REPASO CSI

¿Cuál fue una de las principales causas de la "Crisis del Software" según el Chaos Report?. Falta de creatividad en los desarrolladores. Ausencia de un control de calidad adecuado y normalizado. Uso excesivo de metodologías ágiles. Presupuestos demasiado elevados.

Según Boehm (1980), ¿qué porcentaje del esfuerzo total de un departamento de TI se dedica al mantenimiento?. 30%. Más del 50%. Menos del 20%. 75%.

¿Qué característica NO forma parte del modelo de calidad de producto según ISO 25010?. Compatibilidad. Portabilidad. Creatividad. Mantenibilidad.

¿Qué documento interpreta ISO 9001 para el desarrollo de software?. ISO 9000-3. ISO 25012. COBIT 5. CMMI.

¿Qué modelo de madurez fue creado por el Software Engineering Institute (SEI) de la Universidad Carnegie Mellon?. COBIT. ITIL. CMMI. ISO 25010.

¿Cuál es el objetivo principal de la métrica "Complejidad Ciclomática"?. Medir el tiempo de respuesta del sistema. Evaluar la facilidad de uso para el usuario final. Medir la complejidad del control de un programa. Calcular el número de líneas de código.

¿Qué proceso de COBIT 5 está específicamente dedicado a la gestión de calidad?. APO11. PO8. DS12. ME4.

Según ISO 25012, ¿qué característica evalúa la exactitud y consistencia de los datos?. Calidad de Uso. Calidad de Datos. Calidad de Proceso. Calidad de Producto.

¿Qué enfoque combina revisiones humanas con herramientas automáticas para el control de calidad?. Enfoque predictivo. Enfoque de comprobación balanceado. Enfoque burocrático. Enfoque ágil.

¿Qué estrategia de medición se basa en metas, preguntas y métricas (GQM)?. Estrategia de benchmarking. Estrategia Goal–Question–Metric. Estrategia de mejora continua. Estrategia de auditoría.

¿Cuál es el principal propósito de la Auditoría Informática (AI)?. Reducir costes operativos de la empresa. Garantizar que los sistemas salvaguarden los bienes, mantengan la integridad de los datos y alcancen los objetivos de la empresa. Aumentar la velocidad de procesamiento de los sistemas. Reemplazar completamente los procesos manuales.

¿Qué problema surge al pasar de procesos manuales a entornos digitales?. Mayor control directo sobre los datos. Disminución de la percepción de control sobre los datos. Eliminación de errores humanos. Reducción de la necesidad de auditorías.

¿Qué dos causas de pérdidas de datos son mencionadas como más importantes que el abuso informático?. Errores humanos y desastres naturales. Ataques cibernéticos y falta de capacitación. Sobrecarga de sistemas y fallos de hardware. Uso de software pirata y falta de actualizaciones.

¿Qué característica define a un Sistema de Proceso de Datos (SPD) eficiente?. Utiliza el mínimo de recursos para alcanzar sus objetivos. Tiene la mayor cantidad de funcionalidades posibles. Requiere intervención humana constante. Opera en entornos físicos exclusivamente.

¿Qué marco regulatorio es obligatorio para sistemas en la Administración Pública española?. GDPR. ISO/IEC 27001. Esquema Nacional de Seguridad (ENS). COBIT.

¿Qué certificación es la más reconocida en auditoría de sistemas de información según ISACA?. CISSP. CISA. ISO 27001 Lead Auditor. COBIT.

¿Qué tipo de auditoría se centra en seguridad e integridad pero también en objetivos de gestión como eficiencia y sobrecostes?. Auditoría externa. Auditoría interna. Auditoría técnica. Auditoría financiera.

¿Qué principio de control interno tradicional se adapta en entornos informáticos mediante roles y segregación de privilegios?. Separación de tareas. Centralización de decisiones. Uniformidad de procesos. Jerarquía rígida.

¿Qué herramienta se menciona como solución para centralizar y asegurar las pistas de auditoría?. ERP. SIEM (Security Information and Event Management). CRM. BI (Business Intelligence).

Según el código de ética de ISACA, ¿qué debe hacer un auditor si detecta hechos críticos durante una auditoría?. Ocultarlos para evitar alarmas innecesarias. Informar a las personas adecuadas (internas o reguladores). Esperar a que la empresa los resuelva por sí misma. Documentarlos pero no actuar.

¿Qué aspecto psicológico puede afectar negativamente el control interno?. Presión excesiva o falta de reconocimiento en el ambiente laboral. Uso de herramientas tecnológicas avanzadas. Exceso de formación técnica. Ausencia de reuniones periódicas.

En el contexto de la Auditoría de SI, ¿qué implica la "suboptimización"?. Optimizar un sistema en detrimento de otros que comparten recursos. Implementar soluciones temporales sin planificación. Reducir costes sin considerar la calidad. Ignorar estándares internacionales.

¿Cuál es el objetivo principal del análisis de riesgos en la fase de planificación de una auditoría de sistemas de información?. Reducir los costes de la organización. Identificar riesgos y vulnerabilidades para determinar controles necesarios. Eliminar todos los riesgos del sistema. Aumentar la velocidad de procesamiento de datos.

Según la clasificación de riesgos, ¿cuál de los siguientes es un ejemplo de riesgo tecnológico?. Cambios en la legislación fiscal. Fallos de seguridad en los servidores. Fluctuaciones en el tipo de cambio. Problemas con proveedores logísticos.

¿Qué tipo de control sería un sensor de humedad en un CPD que alerta sobre posibles inundaciones?. Control preventivo. Control de detección. Control correctivo. Control administrativo.

En el contexto de controles lógicos, ¿qué objetivo persigue principalmente la autenticación de usuarios?. Corregir accesos no autorizados ya producidos. Detectar intentos de acceso fallidos. Prevenir accesos no autorizados al sistema. Mejorar el rendimiento de las aplicaciones.

¿Cuál de las siguientes fases NO forma parte del ciclo de vida del análisis de riesgos en auditoría de SI?. Identificación y evaluación de activos. Mitigación mediante controles. Desarrollo de software personalizado. Monitorización y reevaluación.

¿Qué aspecto es fundamental para garantizar la fiabilidad de las evidencias en una auditoría?. Que sean proporcionadas por el equipo auditado. Que sean suficientes, relevantes y competentes. Que estén basadas únicamente en observaciones. Que sean recopiladas sin documentación previa.

En una matriz de control, ¿qué significa la categoría "F" en la evaluación de un riesgo?. Falta de control. Control débil. Control fuerte. Control solapado.

¿Qué tipo de prueba de auditoría se centra en verificar la integridad de transacciones o datos concretos?. Pruebas de cumplimiento. Pruebas sustantivas. Pruebas de estrés. Pruebas de penetración.

¿Cuál de los siguientes es un ejemplo de control administrativo?. Firewall de red. Política de contratación de personal. Sistema de extinción de incendios. Copias de seguridad automatizadas.

¿Qué debe hacer el auditor si durante la observación descubre que un procedimiento documentado no se sigue en la práctica?. Ignorarlo si no hay impacto inmediato. Documentarlo como hallazgo y evaluar su materialidad. Modificar el procedimiento sin consultar. Asumir que la documentación está desactualizada.

Según la OCDE, ¿qué aspecto clave define el Gobierno Corporativo?. La distribución de derechos y responsabilidades entre participantes corporativos. La implementación exclusiva de tecnologías innovadoras. La centralización de decisiones en el departamento de TI. La reducción de costes operativos mediante outsourcing.

¿Cuál es uno de los objetivos principales del Gobierno Tecnológico (GT)?. Maximizar el uso de hardware obsoleto. Alinear TI con los objetivos estratégicos del negocio. Eliminar por completo los riesgos tecnológicos. Reducir la formación del personal de TI.

¿Qué herramienta se utiliza para evaluar el rendimiento de los sistemas de TI considerando aspectos no financieros como la satisfacción del cliente?. Matriz de Riesgos. Cuadro de Mando Integral (CMI). Diagrama de Gantt. Análisis SWOT.

En el contexto de la administración de riesgos, ¿qué estrategia implica contratar un seguro contra ciberataques?. Mitigación. Transferencia. Evitación. Aceptación.

¿Cuál de las siguientes es una desventaja potencial de la externalización de funciones de TI?. Mayor control operativo sobre los procesos. Pérdida de know-how interno. Reducción de costes ocultos. Mayor alineación con el core-business.

Según COBIT 5, ¿cuál de los siguientes es un principio clave para el gobierno de TI?. Centralizar todas las decisiones en el CIO. Separar el gobierno de la gestión. Evitar la participación de partes interesadas externas. Limitar el uso de estándares internacionales.

¿Qué tipo de cláusula contractual es esencial para garantizar que un proveedor externo cumple con normas como ISO 27001?. Cláusula de re-benchmarking de precios. Derecho de auditoría y reporte de cumplimiento. Penalizaciones por incumplimiento de SLA. Todas las anteriores.

En el cálculo del ALE (Annual Loss Expectancy), ¿qué representa el factor EF?. La probabilidad anual de ocurrencia del riesgo. El valor total del activo afectado. El porcentaje de pérdida de valor del activo por incidente. El coste del control implementado.

¿Qué rol en el Comité Estratégico de TI aporta la visión de las áreas usuarias del negocio?. CIO. Ejecutivo de negocio (usuario clave). Consultor externo. Auditor interno.

¿Cuál de los siguientes es un ejemplo de control preventivo en la política de contratación de personal?. Entrevista de salida. Verificación de antecedentes y referencias. Penalización por incumplimiento de SLA. Informe trimestral de rotación.