SIMULADOR DE AUDITORÍA DE TI

Alta sentido de responsabilidad, prudente, leal, discreto, reservado, alto sentido de ética profesional son: Funciones del auditor Informático. Conocimientos y habilidades del auditor informático. Actitudes del auditor informático. Roles del auditor informático.

¿Cómo clasificaría un mecanismo que utiliza cifrado de extremo a extremo para proteger la transferencia de datos confidenciales entre las sucursales de una empresa?. Detectivo. Ninguno. Preventivo. Correctivo. Todos.

Cuál afirmación es correcta. ISO 27002 es un Código de Buenas Prácticas para la Seguridad de la Información. ISO 27001 provee Especificaciones para los Sistemas de Gestión de Continuidad de la Información. ISO 27002 es un Código de Buenas Prácticas para la Implementación de Planes de Continuidad. ISO 27001provee Especificaciones para los Sistemas de Gestión de Calidad de la Información.

¿Cuál de las siguientes acciones se clasifica como un procedimiento de seguridad de la información?. Definir los objetivos y metas del programa de seguridad de la información. Desarrollar una estrategia de gestión de incidentes de seguridad. Realizar pruebas de penetración para identificar vulnerabilidades. Capacitar al personal sobre el manejo seguro de dispositivos móviles. Establecer una política de clasificación de la información.

¿Cuál de las siguientes medidas se considera una estrategia de seguridad de la información?. Realizar auditorías de seguridad de manera regular. Implementar controles de acceso biométricos en áreas críticas. Desarrollar un plan de continuidad del negocio. Establecer un plan de respuesta a incidentes de seguridad. Definir una política de retención de datos.

¿Cuál de las siguientes opciones es una política de seguridad de la información?. Desarrollar una estrategia de gestión de parches de seguridad. Implementar un procedimiento de recuperación ante desastres. Establecer una política de uso aceptable de los recursos informáticos. Configurar el sistema de detección de intrusiones para monitorear el tráfico de red. Asignar niveles de acceso basados en la jerarquía del empleado.

¿Cuál de las siguientes opciones se considera un procedimiento de seguridad de la información?. Implementar un sistema de detección de intrusiones. Definir una estrategia de cifrado de datos sensibles. Establecer una política de acceso a la red. Capacitar al personal sobre prácticas seguras de manejo de contraseñas. Realizar una evaluación de riesgos periódica.

¿Cuál de las siguientes opciones se enfoca principalmente en la gestión de riesgos en una auditoría de sistemas?. Proteger la integridad y confidencialidad de la información. Eliminar gastos innecesarios en el departamento de marketing. Incrementar la satisfacción de los usuarios que utilizan el sistema. Evaluar y mitigar los riesgos asociados con el uso de sistemas informáticos. Capacitar a todo el personal sobre los controles del sistema.

¿Cuál de las siguientes situaciones demuestra la integridad profesional de un auditor de sistemas?. Un auditor que manipula los resultados de una auditoría para favorecer a un amigo cercano que trabaja en la empresa auditada. Un auditor que acepta sobornos de un proveedor de servicios de TI para pasar por alto problemas en la implementación de un proyecto. Un auditor que omite deliberadamente los resultados negativos de una auditoría para evitar conflictos. Un auditor que divulga información confidencial de la empresa a un competidor. Un auditor que informa honestamente sobre los hallazgos y recomendaciones, independientemente de las presiones externas.

¿Cuál de las siguientes situaciones indica claramente la necesidad de una auditoría de sistemas debido a la descoordinación y desorganización?. Los empleados están insatisfechos con el soporte técnico proporcionado por el departamento de TI. La empresa ha sido elogiada por su ética empresarial y transparencia financiera. Los departamentos de ventas y marketing no están alineados en cuanto a los objetivos de ventas. Se ha completado la migración del sistema de correo electrónico a la nube con problemas. El departamento de recursos humanos ha implementado un nuevo sistema de nómina.

¿Cuál de las siguientes situaciones indica un síntoma claro de desviación de estándares y justifica una auditoría de sistemas?. Los empleados han reportado un aumento en la velocidad de la red de la empresa. Los plazos de entrega de proyectos de desarrollo de software se han extendido en un 50% en comparación con el año pasado. La empresa ha experimentado un aumento del 20% en las ventas este año. Se ha implementado un nuevo sistema de seguridad que cumple con los estándares de la industria. El departamento de TI ha recibido elogios por la implementación de un nuevo sistema de gestión de inventario.

¿Cuál de las siguientes situaciones sugiere la necesidad de una auditoría de sistemas debido a la mala imagen frente al usuario?. Los clientes se quejan de la demora en el servicio de atención al cliente. El departamento de logística ha mejorado sus procesos de entrega. La empresa ha lanzado con éxito una nueva campaña de marketing en redes sociales. Se ha implementado un nuevo sistema de gestión de recursos humanos. El departamento de ventas ha superado sus objetivos de ventas este trimestre.

Cuál es el aspecto clave de todo gobierno de TI. Que se disminuya el gasto de TI y la gestión de costos. Que se cumpla la normativa. Que TI entregue valor al negocio y los riesgos sean gestionados. Ninguna de las anteriores.

¿Cuál es el objetivo principal del cómputo forense?. Desarrollar software de seguridad para la protección de datos. Implementar sistemas de detección de intrusiones en tiempo real. Realizar pruebas de penetración para detectar vulnerabilidades. Recopilar y analizar datos de sistemas para identificar evidencias de cibercrímenes. Mejorar la eficiencia de los sistemas informáticos de la empresa.

¿Cuál es el objetivo principal de la auditoría informática?. Proteger la información de amenazas físicas y lógicas. Revisar el sistema informatizado de la oficina. Evaluar la seguridad de la red. Evaluar la eficiencia del hardware de la empresa. Mejorar los procesos de desarrollo de software.

¿Cuál es el principal objetivo del informe de auditoría en una empresa tecnológica que desarrolla software?. Identificar y corregir errores de programación. Analizar la rentabilidad del software desarrollado. Evaluar la calidad del software desarrollado. Asegurar el cumplimiento de normas y estándares de la industria. Mejorar la interfaz de usuario.

Cuál es la diferencia entre hacking ético y pentesting. Hacking ético es más amplio que pentesting. La diferencia es el conocimiento que debe tener el auditor. La diferencia es el informe que dan como resultado. Son lo mismo.

¿Cuál de los siguientes es un ejemplo de delito informático que implica el envío de correos electrónicos fraudulentos con el objetivo de engañar a las personas para que revelen información confidencial?. Spoofing. Spyware. Malware. Phishing. Ransomware.

¿Cuál es una técnica utilizada en la auditoría ofimática?. Implementación de planes de contingencia. Estrategia de saneamiento. Desarrollo de un plan de acción. Análisis de vulnerabilidades. Técnica de observación.

¿Cuál es una etapa crítica en la auditoría de redes?. Comprobación de licencias de software. Desarrollo de software. Análisis de vulnerabilidades. Evaluación del inventario de hardware. Monitoreo del mantenimiento ofimático.

¿Cuál es uno de los objetivos principales de la auditoría ofimática?. Implementar estrategias de saneamiento. Controlar el acceso a las instalaciones. Evaluar la fiabilidad del inventario ofimático. Realizar mantenimiento preventivo de hardware. Desarrollar software propio.

¿Cuál sería la efectividad de un sistema de monitoreo continuo que alerta inmediatamente al identificar actividades no autorizadas en la red de la empresa?. Todos. Ninguno. Preventivo. Correctivo. Detectivo.

Cuando un mensaje queda no disponible estamos hablando de.. Interrupción. Interceptación. Modificación. Fabricación.

Cuantas funciones tiene COBIT. 32. 30. 4. 34.

Desconectar el equipo afectado de la red para impedir que se propague a los otros equipos es. Recuperación. Erradiación. Contención. Todas las anteriores.

Durante una auditoría de sistemas, se identificó una desviación significativa en el control de acceso físico a los servidores. ¿Qué se debe incluir en el informe final?. Registro de accesos físicos. Detalles de la red de la empresa. Lista de hardware utilizado. Políticas de seguridad actuales. Desviaciones, causas y soluciones.

Durante una auditoría lógica, ¿cuál es una práctica esencial para proteger la información?. Mantener las computadoras en modo de hibernación. Evaluar el inventario de hardware. Restringir el acceso a programas y archivos. Utilizar software de apoyo como XPCSPYP. Comprobar la existencia de un departamento de desarrollo.

Durante una auditoría, se encontró que los registros de accesos no se mantienen por el tiempo requerido por la normativa. ¿Qué informe reflejaría esta irregularidad?. Informe de auditoría informática sobre un programa específico. Informe de auditoría informática aplicado al sistema computarizado. Informe de auditoría de cumplimiento normativo. Informe de auditoría al cumplimiento de los controles de aplicación. Informe de evaluación de riesgos.

El control interno es una función de: Área de Auditoria de sistemas. Área financiera. Área de sistemas. Todas las anteriores.

El control interno consta de algunos componentes, en la sección de valoración de riesgos se refiera a: riesgos de acceso a los lugares de la empresa. actividades de control que incluyen aprobaciones, autorizaciones, verificaciones, conciliaciones. la disciplina y estructura que permite integridad. cada entidad enfrenta una variedad de riesgos internos y/o externos.

El nivel de madurez de una auditoría de mantenimiento que indica •Actitud participativa; reconoce que la gestión de mantenimiento es mandataria. es. Nivel 2. Nivel 3. Nivel 5. Nivel 4.

El password de tu cuenta es un ejemplo de nivel de información... Reservada. Limitada. Condifencial. Secreta.

En el analisis de riesgos en SGSI se consideran mas relevantes. Procesos de negocio/ Servicio de TI. Solo base de datos. Solos los activos de hardware. Solo los activos de software.

En el análisis de riesgos, ¿cuál es el primer paso que debe realizar una empresa?. Identificar los activos de la empresa. Detectar vulnerabilidades en el sistema. Evaluar los daños causados por ataques previos. Determinar los riesgos y amenazas. Crear medidas de prevención y control.

En el contexto del análisis de riesgos, ¿qué se considera una vulnerabilidad informática?. Un componente del sistema que puede ser explotado para dañar la información. Un sistema de seguridad que protege contra ataques cibernéticos. Un método de encriptación de datos para evitar el acceso no autorizado. Una política de seguridad implementada para proteger los datos. Un ataque externo que daña la infraestructura de la empresa.

En la auditoría de desarrollo de proyectos, ¿qué se considera un reto significativo?. La incompatibilidad entre aplicaciones nuevas y existentes. El alto índice de fracasos en proyectos de desarrollo. La monitorización de redes. La alta inversión en hardware comparado con software. La falta de licencias de software.

En la auditoría de seguridad física, ¿cuál de las siguientes medidas es crucial para proteger la infraestructura de la empresa?. Implementar sistemas de encriptación de datos. Capacitación del personal en ciberseguridad. Restringir el acceso a las instalaciones de la empresa. Uso de contraseñas seguras. Actualización regular del software.

En temas de planes de contingencia, y la auditoria de controles de seguridad en esta area, pueden considerarse controles adecuados a. La realización periódica de pruebas de contingencia. La documentación de un procedimiento de actuación ante crisis. La existencia de un plan de copias. Todas las anteriores.

En una auditoría informática, se encuentra que los datos críticos no están cifrados en tránsito. ¿Cuál es la mejor práctica para abordar esta situación?. Contratar más personal de seguridad. Desarrollar una nueva política de uso de datos. Incrementar la capacidad de almacenamiento. Implementar cifrado SSL/TLS. Mejorar la infraestructura de red.

En una auditoría informática se encuentra que los registros de accesos no están siendo revisados regularmente. ¿Qué tipo de informe sería más adecuado para comunicar esta deficiencia?. Informe de auditoría informática sobre un programa específico. Informe de auditoría al cumplimiento de los controles de aplicación. Informe de auditoría informática aplicado al sistema computarizado. Informe de auditoría financiera. Informe de evaluación de riesgos.

En una auditoría de bases de datos, ¿cuál es uno de sus principales objetivos?. Actualizar el software de base de datos. Evitar el acceso externo no autorizado. Evaluar el hardware asociado a la base de datos. Desarrollar nuevas bases de datos. Capacitar al personal en el uso de bases de datos.

En una auditoría de TI, se descubre que no hay un proceso formal para gestionar los incidentes de seguridad. ¿Qué recomendación debería hacerse?. Implementar un proceso formal de gestión de incidentes. Mejorar la infraestructura de red. Desarrollar una política de uso de datos. Incrementar la capacidad de almacenamiento. Contratar más personal de seguridad.

En una auditoría, se descubrió que las contraseñas de los usuarios no se cambian regularmente. ¿Qué medida correctiva debería recomendar el auditor?. Capacitar a los usuarios en la creación de contraseñas seguras. Implementar autenticación multifactor. Desactivar cuentas de usuario inactivas. Establecer una política de expiración de contraseñas. Utilizar contraseñas más largas.

En una auditoría, se detecta que los sistemas no están actualizados regularmente. ¿Cuál es la mejor práctica para manejar esta situación?. Realizar auditorías trimestrales del software. Desarrollar software interno de actualización. Capacitar a los empleados en la importancia de las actualizaciones. Implementar una política de actualizaciones automáticas. Permitir a los usuarios actualizar sus sistemas manualmente.

En una empresa de comercio electrónico, ¿cuál de las siguientes situaciones representa una vulnerabilidad de software?. Un empleado deja su computadora desbloqueada cuando se ausenta del escritorio. El sistema de gestión de inventario utiliza una versión desactualizada del software vulnerable a exploits conocidos. El servidor de correo electrónico no está protegido con una contraseña fuerte. Los empleados no reciben capacitación sobre seguridad de la información. El firewall de la empresa está configurado con reglas demasiado permisivas.

En una empresa de comercio electrónico, se ha observado un aumento significativo en los intentos de acceso no autorizado a la plataforma de ventas en línea. ¿Cuál de las siguientes opciones describe mejor un riesgo potencial identificado en este escenario?. Mejora en la satisfacción del cliente. Reducción de la productividad del personal. Incremento de las ventas. Pérdida de reputación de la marca. Reducción de los costos operativos.

En una empresa de comercio electrónico, se descubre que el software de carrito de compras utilizado en el sitio web tiene una vulnerabilidad que permite a los atacantes ejecutar código malicioso en el servidor. ¿Qué tipo de vulnerabilidad representa esta situación?. Vulnerabilidad de infraestructura. Vulnerabilidad de red. Vulnerabilidad física. Vulnerabilidad de configuración. Vulnerabilidad de software.

En una empresa de comercio electrónico, un empleado utiliza la tarjeta de crédito de un cliente para realizar compras personales en línea. ¿Qué tipo de delito informático representa esta situación?. Fraude informático. Espionaje informático. Phishing. Ataque de ransomware. Ataque de fuerza bruta.

En una empresa de consultoría, se identifica que el personal carece de capacitación adecuada en las políticas de seguridad de la información. ¿Cuál de las siguientes opciones describe mejor un riesgo potencial identificado en este escenario?. Reducción de los costos de formación. Exposición a posibles vulnerabilidades de seguridad. Mejora en la productividad del personal. Aumento de la satisfacción del cliente. Incremento de la rentabilidad de la empresa.

En una empresa de consultoría, un atacante desconocido intenta acceder a la red de la empresa desde una ubicación remota utilizando técnicas de fuerza bruta. ¿Qué tipo de amenaza representa esta situación?. Amenaza interna. Amenaza lógica. Amenaza externa. Amenaza física. Amenaza cibernética.

En una empresa de fabricación, el departamento de auditoría de TI ha identificado deficiencias en el proceso de gestión de parches de seguridad. El comité de auditoría se reúne para discutir las implicaciones. ¿Cuál de las siguientes acciones es más adecuada para el comité de auditoría?. Asumir que el departamento de TI puede resolver el problema. Delegar la responsabilidad de mejorar el proceso de gestión de parches al departamento de sistemas. Rechazar el informe del auditor de TI debido a la falta de comprensión sobre la importancia de la gestión de parches de seguridad. Revisar detenidamente los hallazgos del auditor de TI y desarrollar un plan de acción para abordar las deficiencias identificadas.

En una empresa de logística, todos los archivos en los servidores de la empresa se cifran repentinamente y los atacantes exigen un rescate para desbloquearlos. ¿Qué tipo de delito informático representa esta situación?. Ataque de ransomware. Phishing. Ataque de denegación de servicio. Fraude informático. Ataque de ingeniería social.

En una empresa de logística, se observa que algunos empleados no siguen los procedimientos establecidos para la manipulación de mercancías peligrosas. ¿Cuál de las siguientes opciones describe mejor un riesgo potencial identificado en este escenario?. Reducción de los tiempos de entrega. Mejora en la eficiencia operativa. Exposición a riesgos de seguridad y salud ocupacional. Disminución de los costos de cumplimiento normativo. Aumento de la seguridad en el lugar de trabajo.

En una empresa de logística, un hacker utiliza tácticas fraudulentas para engañar a un empleado y obtener acceso no autorizado al sistema de seguimiento de envíos. ¿Qué tipo de ataque representa esta situación?. Ataque de ransomware. Ataque de fuerza bruta. Ataque de denegación de servicio. Ataque de inyección. Ataque de ingeniería social.

En una empresa de medios de comunicación, un atacante envía correos electrónicos falsificados a los empleados, solicitando información confidencial como contraseñas y números de tarjeta de crédito. ¿Qué tipo de ataque representa esta situación?. Ataque de inyección. Ataque de ransomware. Ataque de phishing. Ataque de ingeniería social. Ataque de denegación de servicio.

En una empresa de medios de comunicación, ¿cuál de los siguientes ejemplos representa un ataque DDoS?. Un grupo de bots envía una avalancha de solicitudes a un servidor web, sobrecargándolo y dejándolo inaccesible. Un hacker utiliza un software especializado para descifrar contraseñas débiles en el sistema de la empresa. Un empleado hace clic en un enlace de phishing y revela sus credenciales de inicio de sesión. Un atacante intercepta y modifica la comunicación entre dos partes legítimas. Un virus se propaga a través de la red de la empresa y afecta a múltiples sistemas.

En una empresa de tecnología, se identifica el riesgo potencial de interrupción del servicio debido a fallos en el servidor central, el cual es un activo crítico para la prestación de servicios en línea. Después de definir los criterios de probabilidad de impacto, se determina que el riesgo tiene una alta probabilidad y un alto impacto. ¿Cuál de las siguientes opciones describe mejor el nivel de riesgo en este escenario?. Riesgo moderado. Riesgo alto. Riesgo crítico. Sin riesgo. Bajo riesgo.

En una empresa de tecnología, se descubre que un empleado ha instalado software no autorizado en su computadora de trabajo, lo que ha abierto una puerta trasera en el sistema. ¿Qué tipo de vulnerabilidad representa mejor esta situación?. Vulnerabilidad de red. Vulnerabilidad de configuración. Vulnerabilidad de software. Vulnerabilidad física. Vulnerabilidad de infraestructura.

En una empresa de tecnología, se descubre que un servidor crítico no tiene instalado el último parche de seguridad, lo que lo hace vulnerable a un exploit conocido. ¿Qué tipo de vulnerabilidad representa esta situación?. Vulnerabilidad física. Vulnerabilidad de software. Vulnerabilidad de infraestructura. Vulnerabilidad de red. Vulnerabilidad de configuración.

En una empresa de servicios, el comité de auditoría está buscando ampliar su conocimiento en tecnología para supervisar los riesgos relacionados con la transformación digital. ¿Cuál de las siguientes opciones sería más beneficiosa para fortalecer la perspectiva tecnológica del comité?. Incorporar a un ex CTO de una empresa de tecnología. Contratar a un especialista en recursos humanos. Incluir a un experto en marketing digital. Nombrar a un ex gerente de operaciones. Agregar a un ex contador público.

En una empresa de servicios financieros, varios empleados reciben correos electrónicos que aparentan ser de su banco, solicitando que ingresen sus credenciales en un enlace proporcionado. ¿Qué tipo de delito informático representa esta situación?. Phishing. Ataque de ransomware. Espionaje informático. Fraude informático. Ataque de fuerza bruta.

En una empresa de servicios financieros, se descubre que los empleados comparten sus credenciales de inicio de sesión entre sí para acceder más rápidamente a los sistemas internos. ¿Qué tipo de vulnerabilidad representa esta situación?. Vulnerabilidad de software. Vulnerabilidad física. Vulnerabilidad de seguridad. Vulnerabilidad de configuración. Vulnerabilidad de red.

En una empresa de servicios financieros, se descubre que varios empleados han compartido de manera imprudente sus contraseñas de acceso al sistema interno. ¿Cuál de las siguientes opciones describe mejor un riesgo potencial identificado en este escenario?. Reducción de los costos de mantenimiento. Reducción de la moral del personal. Exposición a posibles brechas de seguridad. Incremento de la seguridad de la información. Mejora en la eficiencia operativa.

En una empresa de servicios financieros, ¿cuál sería un ejemplo de objetivo de auditoría informática?. Reducir el tiempo de entrega de productos. Implementar un nuevo sistema de gestión de recursos humanos. Resguardar los datos de los clientes. Mejorar la eficiencia en la atención al cliente. Aumentar la velocidad de conexión a Internet.

En una empresa multinacional, el departamento de auditoría de TI ha identificado una brecha significativa en los controles de acceso a los sistemas de información. El comité de auditoría está revisando los hallazgos presentados por el auditor de TI. ¿Cuál de las siguientes acciones es más apropiada para el comité de auditoría en esta situación?. Concluir que la brecha de seguridad no es un problema crítico y seguir adelante sin tomar ninguna medida. Ignorar el informe del auditor de TI ya que el comité no está directamente involucrado en cuestiones operativas. Delegar la responsabilidad de abordar la brecha de seguridad al departamento de recursos humanos. Solicitar al departamento de TI que corrija la brecha de seguridad sin más investigación. Analizar el impacto potencial de la brecha de seguridad en la empresa y tomar medidas correctivas apropiadas.

En una empresa de manufactura, se descubre que varios productos han sido enviados a clientes con defectos de fabricación. Para evitar que esto vuelva a ocurrir, la empresa revisa y mejora sus procesos de control de calidad y establece un programa de capacitación para los trabajadores en la línea de producción. ¿Qué tipo de control se está aplicando?. Preventivo. Predictivo. Correctivo. Reactivo. Detectivo.

En una empresa de manufactura, el comité de auditoría está evaluando su composición para mejorar la supervisión de los riesgos operativos y de seguridad. ¿Cuál de las siguientes opciones sería más apropiada para reforzar la experiencia en gestión de riesgos del comité?. Designar a un ex director de marketing. Contratar a un consultor de recursos humanos. Nombrar a un experto en logística. Incorporar a un ex auditor interno. Incluir a un abogado corporativo.

En una empresa de tecnología, el comité de auditoría está revisando su composición para garantizar una supervisión efectiva de los riesgos financieros y de cumplimiento. ¿Cuál de las siguientes opciones sería la más adecuada para reforzar la experiencia en ciberseguridad del comité?. Incluir a un abogado especializado en litigios comerciales. Incorporar a un contador público certificado (CPA). Designar a un ex CEO de una empresa de ciberseguridad. Nombrar a un experto en mercadeo digital. Contratar a un economista con experiencia en política fiscal.

En una empresa de tecnología, el departamento de auditoría de TI ha descubierto que varios empleados tienen acceso no autorizado a datos confidenciales de los clientes. El comité de auditoría está evaluando cómo abordar este problema. ¿Cuál de las siguientes acciones es más apropiada para el comité de auditoría?. Delegar la responsabilidad de abordar el acceso no autorizado al departamento de ventas. Investigar a fondo las causas del acceso no autorizado y tomar medidas disciplinarias apropiadas. Esperar que el departamento de TI resuelva el problema. Encargar al departamento de recursos humanos que despida a los empleados implicados sin más investigación.

En una empresa de telecomunicaciones, un ex empleado se infiltra en el centro de datos y realiza cambios no autorizados en la configuración de red. ¿Qué tipo de amenaza representa esta situación?. Amenaza física. Amenaza interna. Amenaza lógica. Amenaza externa. Amenaza cibernética.

En una empresa de servicios de tecnología, se detecta un aumento en los intentos de intrusión en el sistema informático. Para mitigar este riesgo, la empresa instala un sistema de cortafuegos actualizado y realiza auditorías de seguridad regulares para identificar vulnerabilidades en el sistema. ¿Qué tipo de control se está utilizando?. Preventivo. Predictivo. Compensatorio. Detectivo. Correctivo.

En una empresa de servicios financieros, ¿cuál de las siguientes situaciones representa una amenaza interna?. Un atacante desconocido intenta acceder a la red desde una ubicación remota. Un corte de energía inesperado provoca la pérdida temporal de datos. Un empleado de la empresa utiliza su acceso privilegiado para robar información confidencial. Un virus se propaga a través de correos electrónicos maliciosos dirigidos a los clientes. Un proveedor sufre una violación de seguridad que afecta a la empresa.

En una empresa de servicios financieros, varios empleados reciben correos electrónicos que aparentan ser de su banco, solicitando que ingresen sus credenciales en un enlace proporcionado. ¿Qué tipo de delito informático representa esta situación?. Ataque de ransomware. Ataque de fuerza bruta. Fraude informático. Espionaje informático. Phishing.

En una empresa financiera, el comité de auditoría busca mejorar su diversidad y experiencia para abordar los desafíos actuales del mercado. ¿Cuál de las siguientes opciones sería la más beneficiosa para fortalecer la perspectiva de cumplimiento normativo del comité?. Incluir a un ex gerente de recursos humanos. Agregar a un profesional con experiencia en marketing. Incorporar a un arquitecto de software. Contratar a un analista de datos. Nombrar a un ex regulador bancario.

Una empresa multinacional ha implementado recientemente un sistema ERP. Durante la auditoría, se encuentra que los datos financieros no están cifrados. ¿Qué norma debería cumplir la empresa para asegurar la confidencialidad de estos datos?. ISO 27001. ISO 9001. ISO 31000. ISO 22301. ISO 14001.

Entre las siguientes opciones, ¿cuál representa un objetivo estratégico clave de una auditoría de sistemas que no está directamente relacionado con la seguridad de la información?. Mejorar la eficiencia de los procesos de recursos humanos. Minimizar los riesgos en el uso de los sistemas. Incrementar la confianza y satisfacción de los usuarios que utilizan el sistema. Proteger la integridad y confidencialidad de la información. Alinear los objetivos de la empresa con las capacidades tecnológicas.

Es ejecutado por el consultor de seguridad con desconocimiento absoluto sobre los sistemas de la organización a ser evaluada y normalmente es externo, es decir se efectúa desde Internet sobre la red pública del cliente. Hacking de caja negra. Hacking de caja gris. Hacking de caja blanca.

¿Es recomendable reunirse con las personas auditadas para explicarles las desviaciones encontradas?. No, porque buscarán defenderse y nos desviarán del objetivo de la auditoría. Si para obtener más detalle de la desviación. No, es mejor reunirse directamente con los jefes de los auditados. Si, es necesario obtener la firma de los auditados para poder entregar el informe final.

Escuchar una conversación telefónica es un ejemplo de. Ataque activo. Ataque pasivo.

•Falta de licencias de software. •Falta de software de aplicaciones actualizados •No existe un calendario de mantenimiento Son conclusiones de la auditoria... Auditoria de sistemas de información. Auditoria de mantenimiento de software y hardware. Auditoría ofimática. Auditoria de redes. Auditoria de base de datos.

Garantizar la seguridad de los sistemas es un proceso que se encuentra dentro de la función. AI Adquirir e implementar. ME Monitorear y evaluar. PO Planificar y organizar. DS Entregar y dar soporte.

Hay organismos que pretenden unificar normas y promocionar estándares, como. Organización de Estándares 0nternacionales. (ISO). Todas las anteriores. Asociación de Control y Auditoria de Sistemas de información. (ISACA). Comité Europeo de normalización. (CEN).

Información que usada fraudulentamente puede causar inconvenientes a la empresa es un nivel. Uso público. Información confidencial. Difusión limitada. Información reservada.

ISO para auditar la seguridad en redes. ISO 27033. ISO 27002. ISO 27004. ISO 27003.

Iso con buenas prácticas para el PSI. ISO 27004. ISO 27003. ISO 27002. ISO 27001.

La opinión del Auditor es desfavorable sí: No puede el auditor dar su opinión. Realizó un trabajo sin limitaciones de alcance y sin incertidumbre. Encuentra ciertas irregularidades poco significativas. Detecta gran cantidad de errores importantes.

Las etapas del proceso de cómputo forense. Preinvestigación, Investigación y Post Investigación. Análisis, Diseño y Evaluación. Ninguna de las anteriores. Planificación, Análisis y Evaluación.

Los controles deben. Todas las anteriores. Ser efectivos. Estar implementados. Cubrir los objetivos por los que fueron implantados.

Ordene correctamente el proceso de creación de un informe de auditoría. Aplicación de los instrumentos, técnicas y procedimientos,. Registrar hallazgos,. Informar a los auditados,. Analizar, depurar y corregir las desviaciones encontradas,. Comentar a los directivos del área de sistemas,. Depurar y elaborar el informe final.

¿Qué acciones son fundamentales en la planificación de una auditoría?. Posibles riesgos. Todas las anteriores. Metodología. Comprensión del negocio.

¿Qué categoría de control representaría la implementación de una política que requiere que los empleados completen regularmente capacitaciones sobre seguridad de la información y firmen un acuerdo de confidencialidad?. Detectivo. Ninguno. Todos. Preventivo. Correctivo.

¿Qué categoría de control representaría la instalación de sistemas biométricos de reconocimiento facial para el acceso físico a las áreas restringidas de la empresa?. Ninguno. Preventivo. Todos. Correctivo. Detectivo.

Que debe contener un PSI. Ninguna. Políticas. Procedimientos. Normas.

¿Qué debe hacer un auditor si descubre que los procedimientos de copia de seguridad no se están siguiendo correctamente en una empresa de TI?. Implementar una solución de respaldo automatizada. Mejorar la formación del personal. Contratar un proveedor de servicios de respaldo. Desarrollar un nuevo software de respaldo. Desactivar las copias de seguridad actuales.

¿Qué diferencia al hacking de caja negra del hacking de caja blanca?. El hacking de caja negra es interno, mientras que el de caja blanca es externo. El hacking de caja negra se enfoca en redes, mientras que el de caja blanca se enfoca en aplicaciones. No hay diferencias significativas entre ambos tipos de hacking. El hacking de caja negra se realiza sin conocimiento previo del sistema, mientras que el de caja blanca se realiza con credenciales y acceso total. El hacking de caja negra siempre involucra ataques físicos, mientras que el de caja blanca es solo virtual.

¿Qué estrategia es más efectiva para protegerse del fraude de citas online?. Usar aplicaciones de citas exclusivamente desde un dispositivo móvil. Compartir detalles personales solo en chats encriptados. Investigar la identidad de la persona con quien se está interactuando. Usar siempre un alias en las plataformas de citas. Evitar el uso de redes sociales para verificar la información de la otra persona.

¿Qué es el pentesting y cuál es su finalidad principal?. Un servicio que consiste en la ejecución de pruebas de intrusión para detectar huecos de seguridad. Un método de análisis de riesgos para identificar vulnerabilidades en el software. Un proceso de auditoría interna para evaluar la eficiencia del personal de TI. Una técnica de encriptación para proteger datos sensibles. Un tipo de malware diseñado para probar la seguridad del sistema.

¿Qué es el phishing y cómo se puede evitar?. Es un malware que se evita actualizando el antivirus regularmente. Es un tipo de ataque DDoS que se evita con un buen firewall. Es un método de hacking ético que se evita con contraseñas seguras. Es un tipo de fraude en compras online que se evita verificando la seguridad de la página. Es una práctica para robar identidades que se evita no dando clic en correos de remitentes.

¿Qué es informática forense?. Es la protección de suministros a la internet. La solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Ninguna de las anteriores. Disciplina para proteger los datos.

¿Qué nivel de madurez indica que una empresa no comprende lo que es el mantenimiento preventivo?. Nivel 4 Capacitando. Nivel 3 Desarrollando. Nivel 5 Consciente. Nivel 2 Despertando. Nivel 1 Inconsciente.

¿Qué se evalúa en una auditoría en sistemas de información gerenciales?. La estructura lógica de las redes. La eficiencia del mantenimiento de hardware. El control de acceso basado en roles y perfiles. El ciclo de vida del desarrollo de software. La seguridad física de las instalaciones.

¿Qué se evalúa en una auditoría en sistemas de información gerenciales?. El ciclo de vida del desarrollo de software. La seguridad física de las instalaciones. El control de acceso basado en roles y perfiles. La eficiencia del mantenimiento de hardware. La estructura lógica de las redes.

¿Qué término se utiliza para referirse a la recuperación de datos originales a partir de datos encriptados?. Desencriptado. Codificación. Decodificación. Descifrado. Decodificación.

¿Qué tipo de control sería un procedimiento de reconciliación mensual de las transacciones financieras entre el sistema de contabilidad y las cuentas bancarias de la empresa?. Todos. Correctivo. Ninguno. Preventivo. Detectivo.

¿Qué tipo de control sería un procedimiento de revisión mensual de registros de acceso al sistema, realizado por un equipo de auditoría interna independiente?. Ninguno. Detectivo. Preventivo. Correctivo. Todos.

¿Qué tipo de informe es más adecuado si una auditoría revela que los controles de seguridad no son suficientes en una aplicación crítica de negocio?. Informe de auditoría informática aplicado al sistema computarizado. Informe de evaluación de riesgos. Informe de auditoría financiera. Informe de auditoría al cumplimiento de los controles de aplicación. Informe de auditoría informática sobre un programa específico.

Tenemos una llave para cerrar la puerta y estamos tranquilos que solo las personas con esa misma llave la van a poder abrir. Es un ejemplo de. Criptografía simétrica. Criptografía asimétrica. Criptografía híbrida.

Tener un firewall es un control de tipo. Correctivo. Todas las anteriores. Preventivo. Detectivo.

Supongamos que una empresa de tecnología sufre un ataque de ransomware que cifra todos sus archivos críticos. ¿Qué acción se considera un delito informático en este escenario?. Instalar un software antivirus. Realizar una copia de seguridad de los archivos antes de pagar el rescate. Restaurar los archivos desde una copia de seguridad sin pagar el rescate. Informar a las autoridades policiales sobre el ataque. Pagar el rescate exigido por los atacantes.

Seleccione la correcta. Características de fondo. Un paso para crear el informe de auditoría es. Características de forma.

Seleccione la correcta. No conformidad crítica. No conformidad Mayor. No conformidad menor.

Une las respuestas correctas. ISO 27003. ISO 27000. ISO 27007.

¿Un conjunto de preguntas que deben ser contestadas por el interlocutor oralmente es una herramienta de auditoria?. En ocasiones. SI. Depende de la situación. No.

Un competidor de la empresa intenta sobornar a uno de sus empleados para obtener acceso a información confidencial. ¿Qué representa esta situación?. Vulnerabilidad. Amenaza. Ataque.

Un empleado de la empresa hace clic en un enlace sospechoso en un correo electrónico y descarga inadvertidamente malware en la red corporativa. ¿Qué representa esta situación?. Amenaza. Vulnerabilidad. Ataque.

Un empleado de la empresa pierde su teléfono móvil, que contiene datos confidenciales sin cifrar. ¿Qué representa esta situación?. Ataque. Vulnerabilidad. Amenaza.

Un hacker desconocido intenta acceder repetidamente al sistema de la empresa mediante fuerza bruta para descifrar las contraseñas de los empleados. ¿Qué representa esta situación?. Ataque. Vulnerabilidad. Amenaza.

Un Sistema de Gestión de la Seguridad de la Información consiste en. Un conjunto de controles basados en ISO 27001. La identificación de los procesos críticos de un negocio para precautelar sus activos de tecnología. La planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad. Un conjunto de controles.

Una empresa de logística sufre una interrupción en su sistema de gestión de almacenes debido a un fallo en el servidor central. Para restaurar el servicio lo antes posible, el equipo de TI implementa un plan de contingencia que incluye la activación de un servidor de respaldo y la restauración de datos desde la última copia de seguridad. . ¿Qué tipo de control se está aplicando?. Correctivo. Detectivo. Compensatorio. Preventivo. Predictivo.

Una empresa multinacional ha implementado recientemente un sistema ERP. Durante la auditoría, se encuentra que los datos financieros no están cifrados. ¿Qué norma debería cumplir la empresa para asegurar la confidencialidad de estos datos?. ISO 14001. ISO 9001. ISO 27001. ISO 22301. ISO 31000.

Una auditoría informática detectó que una empresa carece de controles adecuados para la gestión de accesos. ¿Cuál de las siguientes acciones debería ser la primera recomendación del auditor?. Desarrollar una política de copias de seguridad. Realizar una auditoría de cumplimiento. Capacitar a los empleados en ciberseguridad. Mejorar el software antivirus. Implementar un sistema de gestión de identidades.

Una auditoría informática en una empresa de comercio electrónico encuentra que los datos de las tarjetas de crédito no se están almacenando adecuadamente. ¿Qué regulación es relevante para el manejo seguro de esta información?. COBIT. GDPR. SOX. PCI DSS. HIPAA.

Una auditoría informática revela que los registros de acceso no se almacenan por el tiempo recomendado. ¿Qué recomendación debería hacerse?. Contratar más personal de TI. Mejorar la seguridad física de los servidores. Realizar auditorías mensuales. Aumentar la capacidad de almacenamiento. Implementar políticas de retención de registros.

Una auditoría revela que una empresa no tiene un plan de contingencia para interrupciones del servicio. ¿Qué acción debe recomendarse?. Adquirir software de monitoreo. Crear un plan de contingencia y realizar pruebas regulares. Mejorar el hardware. Contratar más personal de TI. Incrementar la capacidad de los servidores.

Una auditoría revela que una empresa no realiza pruebas de penetración regularmente. ¿Qué recomendación debería hacerse?. Establecer un programa de pruebas de penetración periódicas. Aumentar la complejidad de las contraseñas. Mejorar el software antivirus. Desarrollar una política de copias de seguridad. Implementar autenticación multifactor.

Una auditoría en una compañía de software revela que no se están realizando copias de seguridad periódicas. ¿Cuál sería una recomendación clave?. Implementar un plan de recuperación ante desastres. Actualizar el software de los empleados. Desarrollar nuevas aplicaciones. Optimizar el uso de los recursos de la red. Mejorar la formación del personal en uso de software.

Usted ha sido contratado para revisar el control interno de una empresa y entre los documentos que le entregan encuentra el plan de seguridad y el plan de contingencia por desastres naturales. ¿A que área de aplicación pertenecen esos documentos?. sobre computadores y redes de área local. De desarrollo y mantenimiento de sistemas de información. Generales organizativos. informáticos sobre redes.