1. Agora, Individuo y Organización
CURSO DE
PREPARACIÓN
EXAMEN
CISA 2002
MODULO 2
SIMULACRO 4 - CLASE
NOTA a las respuestas y preguntas:
ø las indicadas como Dom xxx - ISACA, corresponden a preguntas publicadas por la ISACA
ø las indicadas como Dom xxx - CRM, son adaptaciones desde el manual de revisión para el examen, y tienen el
objetivo de “revisar” conceptos, e inducir a la revisión de temas concretos en el manual de revisión. Muchas de
estas preguntas han sido aportadas por los siguientes profesionales: Susana Mendiola (CISA); José L. Saez (CISA);
Rafael de la Llama (CISA); Manel García (CISA); Joaquín Pérez (CISA); Pablo Lanza (CISA); Antoni Bosch
(CISA)
2. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El dispositivo para extender la red que debe tener capacidad de almacenamiento para almacenar
1
frames y para actuar como un dispositivo de almacenamiento y reenvío es un:
a) Ruteador (router)
b) Puente (Bridge)
c) Repetidor (repeater)
d) Pasarela (gateway)
Los precios son cargados sobre la base de una tarifa estándar del fichero maestro que cambia según
aumenta el volumen. Cualquier excepción debe ser aprobada manualmente. ¿Cuál es el control
2
automatizado más efectivo para ayudar a asegurar que todas las excepciones de precios sean
aprobadas?
a) Todas las sumas son mostradas nuevamente al operador de entrada de datos, quien debe verificarlos visualmente
b) Los precios fuera del rango normal deber ser ingresados (entered) dos veces para verificar la exactitud de la entrada
de datos
c) El sistema indica con un sonido (beeps) cuándo se realizan (capturan) excepciones de precio e imprime dichas
incidencias en un informe
d) Se debe entrar (dar) una contraseña de segundo nivel antes de que se pueda procesar una excepción de precio
3 El Grupo de Garantía de Calidad (Quality Assurance) es típicamente responsable de:
a) Asegurar que la salida (output) recibida desde el sistema de procesamiento está completa
b) Monitorizar (supervisar y controlar) la ejecución de las tareas de procesamiento del ordenador
c) Asegurar que los programas, los cambios a programas y la documentación cumplen con los estándares/normas
establecidos
d) Diseñar estándares y procedimientos para proteger los datos contra divulgaciones, modificaciones o destrucciones
accidentales
4 Un hub es un dispositivo que conecta:
a) Dos LANs que usan protocolos diferentes
b) Una LAN con una WAN
c) Una LAN con una MAN
d) Dos segmentos de una sola LAN
La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de los
5 sistemas de información están debidamente documentadas en unos estatutos de auditoría (audit
charter) y deben ser:
a) Aprobadas por el nivel más alto de la Gerencia
b) Aprobadas por la Gerencia del Departamento de Auditoría
c) Aprobadas por la Gerencia del Departamento de los usuarios
d) Cambiadas cada año antes del inicio de las auditorías de SI
¿Cuál de las siguientes es la forma más segura para conectar una red privada a través de Internet en
6
una organización de pequeño a mediano tamaño?
a) Red privada virtual
b) Línea dedicada
c) Línea arrendada (Leased line)
d) Red digital de servicios integrados
Todos los siguientes son problemas habituales con la implantación de un firewall/cortafuegos,
7
excepto:
a) Protección inadecuada de la red y los servidores contra ataques de virus
b) Configuración incorrecta de las listas de acceso
c) El registro (log) de las conexiones es o bien insuficiente o bien no se revisa de forma regular
d) Los servicios de la red destinados a los hosts internos son pasados a través de cortafuegos que no realizan un
filtrado (firewall unscreened)
8 ¿Para cuál de los siguientes no sería un uso de los programas de software generalizados de auditoría?
a) Verificación de cálculos y totales
b) Realizar cálculos complejos
c) Seleccionar datos que un auditor define como no usuales
d) Producir múltiples informes y ficheros de salida legibles por ordenador
Agora, Individuo y Organización 2
3. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El mejor momento para realizar una auto evaluación (self assessment) de control que involucre a la
9 Gerencia de línea (line management), al personal de línea (line staff) y al departamento de auditoría
sería durante:
a) Las pruebas de cumplimiento
b) El estudio o revisión preliminar (preliminar survey)
c) Las pruebas sustantivas
d) La elaboración del informe de auditoría
¿Cuál de los siguientes es el modo del sistema operativo en el cual se pueden ejecutar todas las
10
transacciones?
a) Problemas
b) Interrupción
c) Supervisor
d) Proceso estándar
11 ¿Una red privada virtual (VPN) realiza cuál de las siguientes funciones?
a) Esconde información a los sniffers en la red
b) Hace cumplir las políticas de seguridad
c) Detecta abusos o errores
d) Regula el acceso
¿Cuál de los siguientes no debería ser un aspecto de control específico en el curso de una revisión de
12 aplicaciones de un paquete de planificación de recursos de empresa (ERP-enterprise resource
planning)?
a) Autorización de procedimientos de gestión de cambios
b) Las autorizaciones funcionales del ERP se corresponden con las responsabilidades y tareas organizativas del
usuario
c) Los riesgos asociados a las autorizaciones implantadas desde un punto de vista de control interno
d) Mapeo apropiado de los controles de procesos de negocio de la organización con el paquete ERP
13 Un diccionario de datos es un ejemplo de software que se usa para:
a) Describir sistemas de aplicación
b) Ayudar en el desarrollo rápido de programas
c) Mejorar la eficiencia de las operaciones
d) Probar la calidad de los datos
¿Cuál de las siguientes pruebas es una prueba de continuidad que usa recursos reales para simular
14
un colapso del sistema para obtener evidencia eficaz en costos, sobre la eficacia del plan?
a) Prueba sobre papel (paper test)
b) Prueba posterior (post test)
c) Prueba del estado de la preparación (Preparedness test)
d) Recorrido/ensayo (walkthrough)
Un auditor de SI que lleva a cabo una revisión del uso y licencias de software descubre que
15 numerosos PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debe realizar
primero el auditor de SI?
a) Borrar personalmente todas las copias del software no autorizado
b) Informar al auditado sobre el software no autorizado y realizar el seguimiento para confirmar su eliminación
c) Informar sobre el uso de software no autorizado a la Gerencia auditada y advertir sobre la necesidad de prevenir que
esto ocurra nuevamente
d) No hace nada, ya que se trata de una práctica comúnmente aceptada y la Gerencia de Operaciones (Producción y
Explotación) es responsable del seguimiento (monitoring) de dicho uso
16 Una amenaza a la seguridad en Internet que podría comprometer la integridad es:
a) El robo de datos del cliente
b) La exposición de la información de la configuración de red
c) Un browser caballo de Troya
d) Una escucha furtiva (eavesdropping) en la red
Agora, Individuo y Organización 3
4. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Un control que detecta los errores de transmisión anexando los bits calculados al extremo de cada
17
segmento de datos se conoce como:
a) Verificación de razonabilidad (reasonableness check)
b) Verificación de paridad (parity check)
c) Verificación de redundancia (redundancy check)
d) Dígitos de verificación (check digits)
Un Auditor de SI que está revisando los manuales de operación (run manuals) de una aplicación,
18
esperaría que estos contengan:
a) Detalles de los documentos fuente
b) Códigos de error y sus acciones de recuperación
c) Diagramas de flujo con la lógica de programas y definiciones de ficheros
d) Registro de cambios al código fuente de la aplicación
19 ¿Cuál de las siguientes es la mejor forma para lograr software de buena calidad?
a) El medio fundamental es a través de pruebas exhaustivas
b) Es más beneficioso encontrar y corregir rápidamente los errores de programación
c) La cantidad de verificaciones deben se dictadas por el tiempo y el presupuesto disponibles
d) Se deben aplicar procesos bien definidos y revisiones estructuradas durante todo el proyecto
Una posible ventaja para una organización que ha externalizado (outsourced) sus servicios de
20
proceso de datos es que:
a) Se puede obtener una mayor experiencia en SI de los servicios externos
b) Se puede ejercer un control más directo sobre las operaciones del ordenador
c) Se pueden establecer prioridades de proceso y hacerlas cumplir internamente
d) Se requiere una mayor participación del usuario para comunicar sus necesidades
¿Cuál de los siguientes modos de implementación proveería la mayor seguridad para los datos
21
dirigidos al exterior (outbound) en una conexión a Internet?
a) El modo de transporte con cabecera (header) de autenticación (AH) más la encapsulación del contenido (payload)
de seguridad (ESP)
b) El modo SSL
c) El modo de túnel con AH más ESP
d) El modo de cifrado triple DES
El auditor de SI debe poder identificar y evaluar diversos tipos de riesgos y sus efectos potenciales.
22
En consecuencia, ¿cuál de los siguientes riesgos está asociado con las puertas traseras (trap doors)?
a) Riesgo inherente
b) Riesgo de detección
c) Riesgo de auditoría
d) Riesgo de error
23 ¿Cuál de las siguientes no es una responsabilidad del administrador de Base de Datos?
a) Diseñar las aplicaciones de base de datos
b) Modificar la definición física de datos para mejorar el rendimiento
c) Especificar la definición física de los datos
d) Monitorizar la utilización de la base de datos
24 ¿Cuál de las siguientes es la mejor forma de validación de una transacción?
a) Utilizar técnicas de verificación del campo clave en la entrada de datos
b) Utilizar programas para comprobar la transacción en comparación con criterios fijados por la gerencia
c) Autorización de las transacciones por personal supervisor en un departamento adjunto
d) Autorización de la transacción por un supervisor del departamento antes del proceso batch (por lotes)
25 Los procedimientos de administración de seguridad requieren acceso en lectura solamente para:
a) Las tablas de control de acceso
b) Los ficheros de registro /log de seguridad
c) Las opciones de registro (logging)
d) Los perfiles de usuario
Agora, Individuo y Organización 4
5. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Una aplicación propuesta de procesamiento de transacciones es altamente compleja, con muchas
fuentes de captura de datos y también muchas y diferentes rutas de salida, tanto en papel como en
26
formato electrónico. Para asegurar que no se pierden las transacciones durante el proceso, el Auditor
de SI recomendaría con más probabilidad, la inclusión de:
a) Controles de validación
b) Verificaciones internas de credibilidad (internal credibility checks)
c) Procedimientos administrativos de control (clerical procedures)
d) Sistemas de cuadre automatizados (systems balancing)
¿Cuál de los siguientes grupos / personas asume la dirección y responsabilidad global de los costos y
27
cronogramas (timetables) de los proyectos en el ciclo de vida de desarrollo de sistemas ?
a) Gerencia del usuario
b) Comité de Dirección de proyectos (Project Steering Committee)
c) Alta Gerencia (Senior Management
d) Gerencia de desarrollo de sistemas
Una organización ha contratado con un vendedor una solución llave en mano para su sistema
electrónico de cobro de peajes (Electronic Toll Collection System). El vendedor ha suministrado su
28
software de aplicación patentado (propietary) como parte de la solución. El contrato del vendedor
debe tener una cláusula para:
a) Que un servidor de respaldo esté disponible para ejecutar todas las operaciones del ETCS con datos actualizados en
el caso de un fallo del servidor original del ETCS
b) Un servidor de respaldo de una configuración similar a la del servidor del ETCS y estar cargado con todo el
software relevante y los datos
c) Que el personal de sistemas de la organización sea entrenado para manejar cualquier eventualidad
d) Que el código fuente del software de aplicación del ETCS sea mantenido bajo un contrato de depósito de fuentes
(escrow agreement)
¿Cuál de las siguientes funciones representaría un riesgo si se combinara con la de un analista de
29
sistemas, debido a la falta de controles compensatorios?
a) Programación de aplicaciones
b) Entrada de datos (data entry)
c) Aseguramiento de la calidad (quality assurance)
d) Administrador de base de datos
30 Al aplicar una fecha de retención a un fichero asegurará que:
a) Los datos no pueden ser leídos hasta que llegue la fecha
b) Los datos no serán borrados hasta que llegue la fecha
c) Las copias de respaldo (back-up) no son retenidas después de esa fecha
d) Los conjuntos de datos (datasets) que tienen el mismo nombre son diferenciados
¿Cuál de las siguientes metodologías es apropiada para planificar y controlar actividades y recursos
31
en un proyecto de sistemas?
a) Metodología del camino crítico (CPM - Critical path methodology)
b) Técnica de revisión de evaluación de programas (PERT - Program evaluation review technique)
c) Gráficas de GANTT (Gantt charts)
d) Análisis del punto de función
32 ¿Cuál de los siguientes es el paso más fundamental para prevenir eficazmente ataques de virus?
a) Ejecutar periódicamente en background programas antivirus actualizados
b) Adquirir un antivirus eficaz de tipo estándar, e instalarlo en todos los servidores y estaciones con disco duro
c) Asegurarse de que todo software nuevo en todos los medios magnéticos es previamente chequeado en un PC
aislado antes de ser cargados en el entorno de producción
d) Adoptar una política antivirus global para proteger las instalaciones informáticas de la organización frente a
ataques de virus, y comunicarla a todos los usuarios
Agora, Individuo y Organización 5
6. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
33 ¿Cuál de los siguientes no es un elemento de un entorno de red local -LAN?
a) Tecnología de conmutación de paquetes
b) Banda base (señal digital)
c) Topología de bus corto o anillo
d) Tecnología de circuito conmutado privado
Asegurar el cambio periódico de contraseñas, asignar una nueva contraseña de un sólo uso (one time
34 use) cuando un usuario olvida la suya, y requerir que los usuarios no escriban sus contraseñas, son
todos ejemplos de:
a) Objetivos de auditoría
b) Procedimientos de auditoría
c) Objetivos de control
d) Procedimientos de control
¿Cuál de los siguientes brindaría un mecanismo por el cual la gerencia de SI puede determinar
35
cuándo, y si, las actividades de la empresa se han desviado de los niveles planificados, o esperados?
a) Gestión de la calidad (Quality management)
b) Métodos de evaluación de SI (assessment methods)
c) Principios de Gestión (Management principles)
d) Estándares/ puntos de referencia de la industria (benchmarking)
¿Cuál de los siguientes controles de aplicación indican fallas en los controles de entrada o de
36
procesamiento?
a) Procedimientos de control de procesos
b) Procedimientos de control de ficheros de datos
c) Procedimientos de control de output (salida)
d) Prueba de integridad de datos
¿Cuál de las siguientes es una consideración importante a la hora de brindar respaldo (back-up)
37
para los sistemas en línea (on-line)?
a) Mantenimiento de los parámetros del software de sistemas
b) Asegurar el volcado periódico de los registros (logs) de transacciones
c) Asegurar respaldos (backups) de ficheros abuelo – padre - hijo
d) Guardar los datos más importantes en una ubicación externa
38 Todos los siguientes son modos habituales de ataques en Internet, excepto:
a) Aprovechamiento o explotación de las vulnerabilidades en los programas de los vendedores
b) Ataques para la negación de servicio (denial of service attacks)
c) Envío de código hostil y programas de ataque como adjuntos a un mensaje
d) Huellas sistemáticas de un hacker de una organización (hacker foot-printing)
El no definir o no gestionar de manera adecuada los requerimientos para un sistema puede tener
39
como consecuencia un número de riesgos. El mayor riesgo es:
a) Participación inadecuada del usuario
b) Asignación inadecuada de los recursos
c) Cambios de requerimientos durante el desarrollo
d) Estimación inadecuada del camino crítico
El propósito de requerir un depósito en custodia del código fuente (source code escrow) en un
40
acuerdo contractual es para:
a) Asegurar que el código fuente esté disponible si el vendedor dejara de existir
b) Permitir la adaptación del software para que satisfaga los requerimientos especificados del negocio
c) Revisar el código fuente para verificar que los controles son adecuados
d) Asegurar que el proveedor cumple con los requisitos legales
Agora, Individuo y Organización 6
7. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Un Auditor de SI ha descubierto que el sistema de ordenadores de su organización no es el más
adecuado para la demanda que está teniendo lugar del proceso de datos; y no es compatible con los
41
nuevos modelos; y no puede ser ampliado. Como resultado, se ha hecho una recomendación para
usar emulación. Emulación implica:
a) El hardware que convierte un ordenador nuevo en una imagen del ordenador viejo
b) La escritura de programas en módulos que simplifican la transición al ordenador nuevo
c) Un software que traduce el programa viejo en otro leíble por el nuevo ordenador
d) La simulación de un ordenador nuevo en el ordenador viejo para producir código máquina independiente
Una organización quiere introducir un nuevo sistema que permita la identificación única en el inicio
(single-sign-on). Actualmente hay cinco aplicaciones principales, y los usuarios deben conectarse
(sign-on) a cada una de ellas de forma separada. Se ha propuesto que bajo el sistema single-sign-on,
42
los usuarios únicamente introduzcan una identificación de usuario ID y una contraseña para acceder
a todos los sistemas de aplicaciones. Bajo este tipo de sistema de single-sign-on, el riesgo de acceso no
autorizado:
a) Es menos probable
b) Es más probable
c) Tendrá un mayor impacto
d) Tendrá un menor impacto
¿Cuál de los siguientes representa el mayor riesgo creado por un acuerdo recíproco para una
43
recuperación de desastre hecho entre dos compañías?
a) Los desarrollos pueden causar una incompatibilidad de hardware y software
b) Los recursos pueden no estar disponibles cuando sean necesarios
c) El plan de recuperación puede no ser probado
d) Las infraestructuras de seguridad en cada compañía pueden ser diferentes
Un auditor de SI que está efectuando una revisión de controles de accesos en un entorno cliente-
44 servidor descubre que todas las opciones de impresión están habitualmente accesibles a todos los
usuarios. En esta situación, es más probable que el auditor de SI concluya que:
a) La exposición es mayor puesto que la información está al alcance de usuarios no autorizados
b) La eficiencia operativa se ve potenciada puesto que cualquiera puede imprimir cualquier informe y en cualquier
momento
c) Los procedimientos operativos son más eficaces ya que la información está fácilmente disponible
d) Se brinda facilidad y flexibilidad ya que la información circula con fluidez entre los usuarios
Una compañía ha actualizado recientemente su sistema heredado de compras, habilitando la
45 transmisión por EDI. ¿Cuál de los siguientes controles debería implementarse en el interface EDI
para brindar el mapeo (mapping) eficiente de los datos?
a) Verificación de claves (key verification)
b) Verificación uno a uno
c) Recálculo manual
d) Reconocimiento funcional
46 El propósito de los programas de depuración (debugging) es:
a) Generar datos al azar que puedan ser usados para probar programas antes de implementarlos
b) Proteger los cambios válidos de ser borrados (overwritten) por otros cambios durante la programación
c) Definir los costos de desarrollo y mantenimiento de programas para incluirlos en el estudio de viabilidad
d) Asegurar que las terminaciones anormales y los defectos (flaws) de codificación son detectados y corregidos
¿Cuál de los siguientes es un dispositivo de hardware que descarga al ordenador central de realizar
47
el control de la red, conversión de formatos y las tareas de manejo de mensajes?
a) Spool - (operaciones periféricas simultáneas en línea) / gestión del orden de impresión) (Simultaneous Peripheral
Operations Online)
b) Controlador de agrupación (Controlador cluster) (cluster controller)
c) Convertidor de protocolos (Protocol Converter)
d) Procesador frontal (front-end)
Agora, Individuo y Organización 7
8. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes sería considerado el mejor ejemplo de contraseña (password) adecuada para
48
acceder a un sistema?
a) XWA3
b) LARRY2
c) TWC2H
d) TRYC45OPB
¿Cuál de los siguientes es un control para detectar un cambio no autorizado en un entorno de
49
producción?
a) Negar al programador acceso a los datos de producción
b) Requerir que las solicitudes de cambio incluyan información sobre las fechas, descripciones, análisis de costos y
efectos anticipados
c) Ejecutar un programa de comparación de fuentes entre el fuente de control y el fuente actual periódicamente
d) Establecer procedimientos par los cambios de emergencia
¿Cuál de los siguientes es un riesgo de implementación dentro de un proceso de sistemas de soporte a
50
la decisión?
a) Control de gestión (management control)
b) Decisiones semi estructuradas
c) Incapacidad para especificar propósitos y modelos de uso
d) Cambios en los procesos de decisión
51 ¿Cuál de los siguientes tipos de cortafuegos podría proteger mejor una red de un ataque en Internet?
a) Un cortafuegos de filtrado de sub- red (screened sub-net firewall)
b) Una pasarela de filtrado de aplicación
c) Un ruteador de filtrado de paquetes
d) Una pasarela de nivel de circuito
En las ubicaciones 3a, 1d, y 3d, el diagrama indica que existen hubs cuyas líneas parecen estar
52 abiertas y activas. Asumiendo que sea cierto, ¿que control(es), si procede, serían recomendables para
mitigar esta debilidad?
a) Un hub inteligente
b) Seguridad física sobre los hubs
c) Seguridad física y un hub inteligente
d) No son necesarios controles ya que ésta no es una debilidad
Agora, Individuo y Organización 8
9. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Según se procesan las actualizaciones de un sistema on-line de entrada de órdenes, las actualizaciones
son grabadas en una cinta de transacción y en un registro (log) de transacciones impreso (hardcopy).
Al finalizar el día, los archivos de entrada de órdenes son copiados en una cinta. Durante el
53
procedimiento de copia de respaldo (backup), se produce un problema en el dispositivo del disco y se
pierden los ficheros de entrada de órdenes. ¿Cuál de los siguientes es necesario para restaurar esos
ficheros?
a) El fichero de respaldo (backup) del día anterior y la cinta actual de transacciones
b) El fichero de transacciones del día anterior y la cinta actual de transacciones
c) La cinta actual de transacciones y el hardcopy actual del log de transacciones
d) El hardcopy actual del log de transacciones de hoy y el fichero de transacciones del día anterior
¿Cuál de los siguientes pares de funciones no deben ser combinados para brindar una adecuada
54
segregación de funciones?
a) Bibliotecario de cintas (tape librarian) y operador del ordenador
b) Programador de aplicaciones y entrada de datos (data entry)
c) Analista funcional y administrador de base de datos
d) Administrador de seguridad y aseguramiento de calidad (quality assurance)
El software de monitoreo / supervisión y control (monitoring) de la capacidad es usado para
55
asegurar:
a) El uso máximo de la capacidad disponible
b) Que las adquisiciones futuras satisfagan las demandas de funcionalidad del usuario
c) El uso concurrente de un gran número de usuarios
d) La continuidad de una operación /explotación eficiente
¿Cuál de los siguientes programas “applet” de intrusión supone el mayor riesgo de interrupción en
56
una organización?
a) Un programa que deposita un virus en un ordenador cliente
b) Applets que graban las teclas pulsadas del teclado y consecuentemente las contraseñas
c) Descargan código que lee ficheros del disco duro del ordenador cliente
d) Applets que dañan máquinas en la red al establecer conexiones desde la máquina cliente
Un auditor de SI que revisa el desarrollo de sistemas en Internet determina que la mejor razón por la
57
cual el desarrollador de sistemas está usando applets es porque:
a) Es enviado a través de la red desde el servidor web
b) El servidor no ejecuta el programa y la salida (output) no es enviada a través de la red
c) Mejoran el rendimiento (performance) tanto del servidor web como de la red
d) Es un programa JAVA bajado (downloaded) a través del browser de la web, ejecutado en la máquina cliente desde
el servidor Web
Un programa de software independiente que conecta dos aplicaciones que de otro modo estarían
58
separadas, para compartir recursos de cómputo a través de tecnologías heterogéneas se conoce como:
a) Middleware
b) Firmware
c) Software
d) Sistemas empotrados (embedded systems)
Un auditor de SI que participa en proyectos de desarrollo de nuevo software brindará una mayor
59
contribución y la organización experimentará mayor eficiencia si:
a) Se establecen procedimientos para identificar y documentar las necesidades y los requisitos de los usuarios
b) Los procedimientos para almacenar el software desarrollado están definidos en las fases del ciclo de vida del
desarrollo de sistemas
c) Los entornos de desarrollo, prueba y producción están definidos separadamente unos de otros
d) Se establecen procedimientos y directrices formales que identifican cada fase del ciclo de vida del desarrollo de
sistemas
Agora, Individuo y Organización 9
10. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes programas “applet” de intrusión supone el mayor riesgo de interrupción en
60
una organización?
a) Un programa que deposita un virus en un ordenador cliente
b) Applets que graban las teclas pulsadas del teclado y consecuentemente las contraseñas
c) Descargan código que lee ficheros del disco duro del ordenador cliente
d) Applets que dañan máquinas en la red al establecer conexiones desde la máquina cliente
¿Cuál de los siguientes no debería ser un criterio relacionado con la decisión de adquisición de
61
software de sistemas?
a) Costes del hardware y software
b) Integración con el entorno existente
c) Similitud del sistema de software adquirido con el que está actualmente en uso
d) Adecuación del software propuesto con el entorno informático deseado
La necesidad de que se modifiquen las rutinas de validación y edición para mejorar la eficiencia está
62
normalmente indicada por:
a) Cancelaciones (overrides) excesivas
b) Un informe de actividades de cancelaciones (override activity report)
c) Control y corrección de errores
d) Separación de funciones
Al revisar la seguridad de un Centro de Proceso de Datos, un Auditor de SI buscaría la existencia de
63
un estabilizador de corriente (voltage regulator) para:
a) Proteger el hardware contra aumentos repentinos de tensión
b) Mantener la continuidad si la fuente principal de energía se interrumpe
c) Mantener una fuente de energía inmediata si la fuente principal se pierde
d) Proteger el hardware contra fluctuaciones de tensión de larga duración
64 ¿Cuál de los siguientes medios de transmisión no se vería afectado por un cross-talk o interferencia?
a) Sistemas de fibra óptica
b) Circuitos de pares trenzados – Circuito de “par torcido” (twisted pair)
c) Sistemas de radio por microondas
d) Sistemas de enlace de radio por satélite
Cuando un auditor de SI obtiene un listado de los usuarios actuales que tienen acceso a la WAN/LAN
65 seleccionada y verifica que los que están en la lista son asociados/usuarios (associates) activos, el
auditor de SI está realizando un(a):
a) Prueba de cumplimiento
b) Prueba sustantiva
c) Muestreo estadístico
d) Evaluación de Riesgos
¿Cuál de los siguientes procesos sería realizado primero por el sistema cuando se inicia una sesión en
66
un sistema interactivo (“on-line”)?
a) Iniciación
b) Verificación
c) Autorización
d) Autenticación
Una compañía usa un banco para procesar su nómina semanal. Las hojas de tiempo (time sheets) y
los formularios de ajuste de la nómina (por ejemplo los cambios de tarifa horaria, las
67
terminaciones/bajas (terminations) son completados y entregados al banco, que prepara cheques e
informes para su distribución. Para asegurar mejor la exactitud de los datos de la nómina:
a) Los informes de la nómina deben ser comparados con los formularios de entrada
b) La nómina bruta debe ser recalculada manualmente
c) Los cheques deben ser comparados con los formularios de entrada
d) Los cheques deben ser reconciliados con los informes de salida
Agora, Individuo y Organización 10
11. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de las siguientes exposiciones de acceso lógico suponen cambios previos en los datos, o
68
mientras son introducidos en el ordenador?
a) Cambio malintencionado de datos (Data Diddling)
b) Caballo de Troya (Trojan Horse)
c) Gusano (Worm.)
d) Técnica de salami (Salami Technique)
¿Cuál de las siguientes no es una característica de un Sistema de Alimentación Ininterrumpida, SAI
69
(Uninterruptible Power Supply -UPS)?
a) Un SAI proporciona alimentación eléctrica a un ordenador en el caso de un fallo en la alimentación
b) Un sistema SAI es una pieza externa del equipo o puede ser construida dentro del equipo mismo
c) Un SAI debe funcionar permitiendo un apagado ordenado del ordenador
d) Un SAI usa una mayor potencia en el ordenador para asegurar que haya suficiente potencia disponible
Mientras llevaba a cabo un programa de auto evaluación de control (control self assessment – CSA),
un auditor de SI realizó talleres de trabajo (workshops) que incluían a la gerencia y al personal
70
(staff) en la evaluación (judging) y supervisión (monitoring) de la eficacia de los controles existentes.
¿Cuál de los siguientes es un objetivo de un programa de CSA?
a) Desarrollar (enhance) las responsabilidades de auditoría
b) Identificar problemas
c) Considerar (brainstorm) soluciones
d) Completar toda la auditoría
71 Todos los siguientes son controles de entrada, excepto:
a) Totales de lotes (batch totals)
b) Totales monetarios
c) Totales de pasada en pasada (run-to-run totals)
d) Totales de comprobación (hash totals)
Durante la revisión de la post implantación de un sistema de gestión de recursos de empresa
72
(enterprise resource management system) un auditor de SI más probablemente:
a) Revisaría la configuración del control de accesos
b) Evaluaría las pruebas de interfaz
c) Revisaría la documentación del diseño detallado
d) Evaluaría las pruebas del sistema
¿Cuál de las siguientes afirmaciones relativas a la Reingeniería de Procesos de Negocio (BPR -
73
Business Process Re-engineering) es verdadera?
a) Los proyectos BPR producen inquietud (concern) ya que a menudo llevan a un incremento en el número de
personas que utilizan la tecnología
b) Se logran reducciones significativas de costes mediante la reducción de la complejidad y volatilidad en la
tecnología de la información (TI)
c) Los proyectos BPR inducen a estructuras organizativas más débiles y con menor asignación de responsabilidad
(accountability)
d) La protección de la información es un riesgo mayor ya que es más probable que su protección entre en conflicto
con el proceso BPR
¿Cuál de los siguientes describe mejor el impacto que un diseño de cortafuegos (“firewall”) y una
74 estrategia de implementación eficaces tienen como facilitador de una mejor seguridad de la
información?
a) Una fuente de información detallada sobre la seguridad de la red
b) Un punto focal para la auditoría de la seguridad, tanto interna como externa
c) Una oportunidad de reducir significativamente la amenaza de intrusión (“hacking”) interna
d) Una oportunidad para eliminar de raíz conexiones no documentadas y poner todos los accesos remotos en línea con
la política escrita
Agora, Individuo y Organización 11
12. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes procedimientos realizaría un auditor de SI para, de la mejor forma,
75
determinar si existen procedimientos adecuados de recuperación / rearranque (recovery/restart)?
a) Revisar el código del programa
b) Revisar la documentación de operaciones
c) Apagar la UPS (SAI - Unidad ininterrumpible de energía) y a continuación cortar la energía (power)
d) Revisar la documentación de programas
76 ¿Cuál de las siguientes no es una ventaja del procesamiento de imágenes?
a) Verifica firmas
b) Mejora el servicio
c) Relativamente barato de usar
d) Reduce el deterioro debido al manejo
¿Cuál de las siguientes estrategias de recuperación del negocio requeriría el menor desembolso de
77
fondos?
a) Instalación Warm site
b) Instalación Empty shell
c) Subscripción a un Hot site
d) Acuerdo recíproco
78 Un administrador de Base de Datos es responsable de:
a) Mantener la seguridad de acceso de los datos que residen en los ordenadores
b) Implantar los controles de definición de la base de datos
c) Otorgar los derechos de acceso a los usuarios
d) Definir la estructura de los datos del sistema
La evaluación de riesgos realizada por los auditores de SI son un factor crítico en la planificación de
79
auditoría. Se debe hacer una evaluación de riesgos para brindar una:
a) Garantía razonable de que los ítems materiales serán cubiertos durante le trabajo de auditoría
b) Garantía suficiente de que los ítems materiales serán cubiertos durante el trabajo de auditoría
c) Garantía razonable de que todos los ítems serán cubiertos durante el trabajo de auditoría
d) Garantía suficiente de que todos los ítems serán cubiertos durante el trabajo de auditoría
Un auditor de SI evalúa el resultado de las pruebas de una modificación substancial a un módulo de
un sistema en producción que se ocupa de la computación de pagos. El auditor de SI encuentra que
80
un 50% de los cálculos no se corresponden con los totales predeterminados. ¿Cuál de los siguientes
sería más probablemente el siguiente paso en la auditoria?
a) Diseñar más pruebas de los cálculos que dan errores
b) Identificar otras variables que pueden dar lugar a resultados inexactos en las pruebas
c) Examinar algunos de los casos con cálculos incorrectos para confirmar los resultados
d) Documentar los resultados y preparar el informe de hallazgos, conclusiones y recomendaciones
81 La función principal del auditor de SI en la fase de diseño de sistemas de un proyecto de desarrollo
de aplicación es para:
a) Aconsejar sobre procedimientos de control específicos y detallados
b) Asegurar que el diseño refleja con precisión los requerimientos
c) Asegurar que todos lo controles necesarios son incluidos en el diseño inicial
d) Aconsejar al gerente de desarrollo sobre el cumplimiento del calendario
82 ¿Cuál de los siguientes informes automatizados mide las transmisiones de telecomunicaciones y
determina si las transmisiones han sido completadas con exactitud?
a) Gestión o monitores de (monitors) on-line
b) Informes de tiempo sin servicio (down time)
c) Informes de centro de soporte (help desk)
d) Informes de tiempo de respuesta
Agora, Individuo y Organización 12
13. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
83 ¿Cuál de los siguientes brinda el medio más efectivo para determinar qué controles funcionan
adecuadamente en un sistema operativo?
a) Consultar con el vendedor
b) Revisar la guía de instalación del vendedor
c) Consultar con el programador de sistemas
d) Revisar los parámetros de generación del sistema
84 La autenticación es un proceso por el cual el:
a) sistema verifica que los usuarios están acreditados para introducir (input) la transacción solicitada
b) sistema verifica la identidad del usuario
c) usuario se identifica a si mismo en el sistema
d) usuario indica al sistema que la transacción fue procesada correctamente
Un control general de hardware que ayuda a detectar errores de datos cuando éstos son transmitidos
85
desde un ordenador a otro, se conoce como una:
a) Verificación duplicada (duplicate check)
b) Revisión de tabla (table look up)
c) Verificación de validez (validate check)
d) Verificación de paridad (parity check)
¿Cuál de los siguientes es un control más eficaz sobre el acceso de visitas a un centro de proceso de
86
datos?
a) Los visitantes son escoltados
b) Se requieren identificaciones de visitantes (visitor badge)
c) Los visitantes tienen que firmar en el registro de entrada
d) Los visitantes son reconocidos rápidamente (spot-checked) por los operadores
87 ¿Cuál de los siguientes es una técnica de gestión que permite a las organizaciones desarrollar más
rápidamente sistemas estratégicamente importantes, al mismo tiempo que se reducen los costes de
desarrollo y se mantiene la calidad?
a) Análisis de puntos de función
b) Metodología del Camino Crítico/ Método de la ruta crítica/ Critical Path Methodology
c) Desarrollo rápido de aplicaciones/ Rapid Application Development
d) Técnica de revisión de la evaluación de programas (Program evaluation review technique)
¿Cuál de los siguientes no es un control de aplicación que pueda probablemente ser encontrado en un
88
interfaz EDI?
a) Totales de comprobación (Hash totals)
b) Verificaciones de eco (echo cheks)
c) Contador de registros (record counts)
d) Verificaciones de validación
89 Los datos confidenciales en un PC están mejor protegidos por:
a) Una contraseña (password)
b) Cifrado del fichero
c) Disquetes removibles
d) Fuente de energía activada por llave
90 La infraestructura de clave pública (PKI-Public key infraestructure) integra a todos los siguientes en
la arquitectura de una red amplia empresarial (entreprise-wide network), excepto:
a) Criptosistema de clave pública (public key cryptosystem)
b) Certificados digitales
c) Autoridades de Certificación
d) Gestión de la clave de contraseñas
Agora, Individuo y Organización 13
14. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
91 ¿Cuál de las siguientes afirmaciones relativas a los almacenes de datos (data warehouses) es falsa?
a) Un almacén de datos esta diseñado específicamente para el soporte en la toma de decisiones
b) La calidad de los datos en un almacén de datos debe ser muy alta
c) Los almacenes de datos se crean a partir de bases de datos preexistentes, ficheros, e información externa
d) Un almacén de datos sólo debe ser utilizado por la alta dirección, debido a la sensibilidad de la información
92 Muchas organizaciones requieren que un empleado tome obligatoriamente vacaciones de una
semana o más con el fin de:
a) Asegurar que el empleado mantenga una calidad de vida, que conduce a una mayor productividad
b) Reducir la oportunidad a un empleado de cometer un acto inadecuado o ilegal
c) Brindar un adecuado entrenamiento cruzado para otro empleado
d) Eliminar el potencial trastorno causado cuando un empleado toma vacaciones de un día por vez
¿Cuál de los siguientes debe ser probado si un programa de aplicación es modificado en un
93
procedimiento autorizado de mantenimiento?
a) La integridad de la base de datos
b) El segmento del programa que haya sido modificado
c) Los controles de acceso para el programador de aplicaciones
d) El programa completo, incluyendo cualquier interfaz de sistemas
¿En cuál de las siguientes situaciones un procedimiento de reinicio desde el punto de verificación
94
(“checkpoint/restart”) no permitiría la recuperación?
a) Se experimenta un fallo temporal del hardware
b) Se cargan (loading) cintas fuera de secuencia en un fichero multivolumen
c) Se completa la ejecución de una versión incorrecta del programa
d) Se sufre la pérdida temporal del suministro eléctrico del Centro de Datos durante la ejecución
95 Las contraseñas (Passwords) deben ser:
a) Asignadas por el Administrador de seguridad
b) Cambiadas cada 30 días a discreción del usuario
c) Vueltas a usar a menudo para asegurarse de que el usuario no olvida la contraseña
d) Mostradas en pantalla para que el usuario puede comprobar que la ha entrado correctamente
¿En qué fase del desarrollo de un sistema debería un auditor de SI considerar, en primer lugar, los
96
controles de aplicación?
a) Construcción
b) Diseño del sistema
c) Pruebas de aceptación
d) Especificaciones funcionales
97 Los procedimientos para controles sobre el procesamiento (processing) incluyen:
a) Totales de comprobación (Hash totals)
b) Verificaciones de razonabilidad (Reasonableness checks)
c) Controles de acceso on-line.
d) Informes (Reporting) de la imagen antes y después
98 ¿Cuál de las siguientes no es una ventaja de la formación cruzada (cross-training) de empleados?
a) Proporciona planes de sustitución
b) Reduce la dependencia en un empleado
c) Proporciona personal de respaldo (back-up) en caso de ausencia
d) Permite a los individuos comprender todas las partes de un sistema
Los auditores de SI deben tener una sólida comprensión del proceso de evaluación de riesgos. La
99
evaluación de riesgos es un:
a) Proceso subjetivo
b) Proceso objetivo
c) Proceso matemático
d) Proceso estadístico
Agora, Individuo y Organización 14
15. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Una organización ha externalizado (outsourced) el soporte de red y de usuarios finales (desktop).
Aunque la relación ha sido razonablemente satisfactoria, los riesgos permanecen debido a cuestiones
100
de conectividad. ¿Cuál de los siguientes controles debería implantarse primero para asegurar que la
organización mitiga razonablemente estos posibles riesgos?
a) Programas de protección de la red
b) Cifrado/Autenticación
c) Cobertura de información (reporting) adecuada entre las organizaciones
d) Adecuada definición de la relación contractual
¿Cuál de los siguientes conceptos de control debería ser incluido en unas pruebas globales
101
(comprehensive) de los procedimientos de recuperación de desastres?
a) Solicitar la participación del cliente
b) Implicar a todo el personal técnico
c) Cambiar rotativamente a los responsables de la recuperación
d) Instalar almacenamiento local de las copias de respaldo (back-up)
¿Cuál de los siguientes riesgos en sistemas informáticos se incrementaría con la instalación de un
102
sistema de base de datos:
a) Errores de programación
b) Errores de entrada de datos
c) Acceso indebido a ficheros
d) Pérdida de paridad
¿Cuál de las siguientes sentencias es verdadera en relación al uso de criptografía de clave pública
103
para asegurar los datos mientras están siendo transmitidos a través de una red?
a) En la criptografía de clave pública tanto la clave usada para cifrar como para descifrar se hacen públicas
b) En la criptografía de clave pública la clave usada para cifrar se mantiene privada pero la clave usada para descifrar
de los datos se hace pública
c) En la criptografía de clave pública la clave usada para cifrar se hace pública pero la clave usada para descifrar se
mantiene privada
d) En la criptografía de clave pública tanto la clave usada para cifrar como para descifrar los datos se mantienen
privadas
¿Cuál de las siguientes ediciones de validación de datos es eficaz para detectar errores de
104
transposición y de transcripción?
a) Verificación de rango (Range check)
b) Dígito de verificación/control (Check digit)
c) Verificación de validez (Validity check)
d) Verificación duplicada (Duplicate check)
Un auditor de SI ha descubierto recientemente que a causa de una escasez de personal de
operaciones cualificado, el Administrador de Seguridad ha estado de acuerdo en trabajar un mes en
105
el último turno de noche como operador senior del ordenador. La acción más apropiada que el
auditor de SI debería tomar es:
a) Advertir a la dirección general (senior management) del riesgo que implica
b) Estar de acuerdo en trabajar con el Responsable de Seguridad en estos turnos como una forma de control
preventivo
c) Desarrollar una técnica de auditoría asistida por ordenador para detectar casos de abusos de este acuerdo
d) Revisar los registros (logs) de sistema de cada último turno de noche para determinar si ha ocurrido alguna acción
irregular
La primera tarea que debe realizar un auditor de SI cuando realiza una nueva auditoría en un área
106
con la que no está familiarizado es:
a) Diseñar los programas de auditoría para cada sistema o función involucrada
b) Desarrollar un conjunto de pruebas de cumplimiento y de pruebas sustantivas
c) Recopilar información de referencia (background) pertinente para la nueva auditoría
d) Asignar recursos humanos y económicos
Agora, Individuo y Organización 15
16. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de las siguientes afirmaciones es cierta comparando el cifrado de enlace (encription link) con
107
la comunicación cifrada de datos punto a punto (end to end)?
a) El cifrado punto a punto requiere que la cabecera (header) de la información esté cifrada
b) La gestión de las claves es más fácil en el cifrado punto a punto (end to end)
c) El cifrado de enlace no cifra la cabecera de la información
d) La gestión de las claves es más fácil con el cifrado de enlace
¿Durante cuál de las siguientes fases en el desarrollo de sistemas deberían ser, normalmente,
108
preparados los planes para las pruebas de aceptación de usuario?
a) Estudio de viabilidad
b) Definición de requerimientos
c) Planificación de la implementación
d) Revisión post implementación
¿Cuál de los siguientes tipos de validación y edición de datos se utiliza para determinar si un campo
109
contiene datos y no ceros o blancos?
a) Dígito de control/verificación (Check digit)
b) Verificación de existencia (Existence check)
c) Verificación de totalidad (completeness)
d) Verificación de razonabilidad
El auditor de SI ha determinado que la protección de los ficheros del ordenador es inadecuada.
110
¿Cuál de los siguientes es menos probable que haya causado el problema?
a) Acuerdos para instalaciones informáticas de respaldo compatibles (compatible backup computer facilities)
b) Procedimientos para la distribución (release) de ficheros
c) Procedimientos de almacenamiento externo
d) Controles de entorno (environmental controls)
111 Los controles de hardware son aquellos que:
a) Son verificados con una auditoría a través del ordenador
b) Se refieren al acceso al ordenador
c) Están incluidos en el software básico propio del equipo hardware
d) Fueron incluidos (built into) en el equipo por el fabricante
¿Cuál de los siguientes es el primer punto en el cual deberían implementarse totales de control para
112
prevenir la pérdida de datos durante el ciclo de proceso?
a) Durante la preparación de los datos
b) En el tránsito al ordenador
c) Entre ejecuciones relacionadas del ordenador (computer runs)
d) Durante el retorno de los datos al departamento usuario
¿Cuál de los siguientes métodos de brindar continuidad de las telecomunicaciones incluye
113 encaminamiento (routing) del tráfico a través de circuitos (cable facilities) duplicados o
divididos/múltiples (split)?
a) Enrutamiento diversificado (Diverse routing)
b) Enrutamiento alternativo (Alternative routing)
c) Redundancia
d) Diversidad de red de larga distancia (Long haul network diversity)
Un auditor de SI que planifica pruebas de la conexión entre dos o más componentes de un sistema
114
que pasan información de un área a otra emplearía:
a) Pruebas piloto
b) Pruebas paralelas
c) Pruebas de interfaz
d) Pruebas de regresión
Agora, Individuo y Organización 16
17. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El propósito principal de probar periódicamente el hardware de las instalaciones alternativas (off-
115
site) de respaldo es:
a) Asegurar la integridad de los datos en la base de datos
b) Eliminar la necesidad de desarrollar en detalle los planes de contingencia
c) Asegurar la compatibilidad permanente de las instalaciones de contingencia
d) Asegurar que la documentación de los programas y sistemas se mantiene actualizada
¿Cuál de los siguientes tipos de evidencia se consideraría como más fiable para ayudar a un auditor
116
de SI a desarrollar las conclusiones de auditoría?
a) Una carta de confirmación recibida de un tercero para verificar el saldo de una cuenta
b) Garantía obtenida por medio de una auto evaluación de control recibida de un gerente de línea/ Directivo de
departamento (line management), de que una aplicación funciona tal y como se ha diseñado
c) Datos sobre tendencias obtenidos de fuentes WWW (Internet)
d) Análisis de ratios efectuados por el auditor de SI con informes facilitados por directivos de departamentos (line
management)
Una política escrita de seguridad sirve para aumentar la conciencia en la seguridad y debe incluir
117
todos los siguientes componentes claves excepto:
a) Un inventario de software y hardware de ordenador
b) Aprobación de la Gerencia en apoyo de la política
c) Proceso de autorización para obtener acceso a la información automatizada
d) Filosofía de concienciación en los procedimientos de seguridad sobre la base de “necesidad de conocer”
Un PC “stand-alone” utilizado para procesar y almacenar información altamente sensitiva, necesita
118
ser enviado fuera de la instalación para ser reparado. El auditor de SI recomendaría que:
a) Se realice una copia de respaldo de la información sensitiva y esta sea eliminada (erase) usando las utilidades
adecuadas
b) Se firme un acuerdo de confidencialidad con la compañía de reparación
c) Se retire el disco duro antes de realizar el despacho
d) Se desmagnetice el disco duro antes del despacho
Un cajero automático (Automated Teller Machine o ATM) es un tipo especial de terminal de punto
119
de venta (Point of Sale Terminal) que:
a) Solamente permite retirar dinero en metálico y efectuar depósitos
b) Usualmente están instalados en zonas muy pobladas, para evitar el vandalismo
c) Emplea líneas de telecomunicaciones protegidas para la transmisión de datos
d) Debe satisfacer niveles muy altos de seguridad física y lógica
¿Cuál de las pruebas sustantivas siguientes examinan la exactitud, integridad (completeness),
120
consistencia y autorización de datos?
a) Prueba de integridad de datos
b) Prueba de integridad relacional
c) Prueba de integridad de dominio
d) Prueba de integridad referencial
La característica de la firma digital que asegura que el presunto (claimed) remitente de un mensaje
121
no pueda negar posteriormente su autoría y envío de este, es:
a) Integridad de datos
b) Autenticación
c) No repudio
d) Protección de re-envío / contestación (replay)
¿Cuál de los siguientes productos CASE (computer aided software engineering) se usa para
122
desarrollar diseños de detalle, tales como pantallas o representaciones de informes (report layouts)?
a) Case supremo (super)
b) Case superior (upper)
c) Case medio (middle)
d) Case inferior (lower)
Agora, Individuo y Organización 17
18. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Las convenciones para nombrar recursos del sistema son un requisito previo importante para el
123
control de acceso porque:
a) Aseguran que los nombres de los recursos no son ambiguos
b) Reducen la cantidad de reglas requeridas para proteger adecuadamente los recursos
c) Aseguran que el acceso del usuario a los recursos esté identificado de forma clara y exclusiva
d) Aseguran que se utilizan nombres reconocidos internacionalmente para proteger los recursos
Una organización propone implantar una utilidad para el inicio único de sesión (single sign-on
124
facility) dando acceso a todos los sistemas. El auditor de SI debe señalar que:
a) Se permitiría un acceso máximo no autorizado, si se descubriese la contraseña
b) Los derechos de acceso de usuarios deberían ser restringidos con parámetros adicionales de seguridad
c) Se incrementaría la carga de trabajo del administrador de seguridad
d) Se incrementarían los derechos de acceso de los usuarios
125 Una distinción que puede hacerse entre las pruebas de cumplimiento y las sustantivas es:
a) Las pruebas de cumplimento comprueban detalles, mientras que las sustantivas comprueban procedimientos
b) Las pruebas de cumplimento comprueban controles, mientras que las sustantivas comprueban detalles
c) Las pruebas de cumplimento comprueban planes, mientras que las sustantivas comprueban procedimientos
d) Las pruebas de cumplimento comprueban requerimientos de regulación, mientras que las sustantivas comprueban
validaciones
Un auditor de SI que esté revisando las atribuciones y responsabilidades de un Administrador de
126 Base de Datos (DBA), es menos probable que espere que la descripción del puesto de trabajo del
DBA incluya:
a) Definición del esquema conceptual
b) Definición de las pruebas de seguridad e integridad
c) Coordinación con los usuarios en el desarrollo del modelo de datos
d) Mapeo (mapping) del modelo de datos con el esquema interno
¿Cuál de los siguientes consideraría el auditor de SI como el más importante a revisar cuando está
127
realizando una auditoría de continuidad del negocio?
a) Se contrata un “lugar caliente” (hot site) disponible cuando sea necesario
b) El manual de continuidad del negocio está actualizado y disponible
c) La cobertura del seguro es adecuada y se está al corriente de las primas
d) Las copias de respaldo (back-ups) se ejecutan periódicamente (timely basis) y se almacenan en otro lugar (off-site)
128 Los acuerdos de nivel de servicio (service level agreements) establecen:
a) Los niveles mínimos de servicio que debe prestar la dirección de SI
b) Los niveles mínimos de servicio que deben lograrse en caso de un desastre
c) Los niveles máximos de servicio que deben prestar los servicios de soporte de SI
d) Los niveles mínimos de capacidad de proceso que pueden ser afectados por un desastre
El administrador de la seguridad lógica debe tener restringido el acceso a solo en lectura para ¿cuál
129
de los siguientes ficheros?
a) Registro (log) del sistema
b) Parámetros de seguridad
c) Claves de usuarios
d) Perfiles de usuarios
Los controles diseñados para asegurar que no se pueden hacer cambios no autorizados a la
130
información una vez que esta reside en un fichero son conocidos como:
a) Controles de seguridad de datos
b) Controles de implantación
c) Controles de seguridad de programas
d) Controles de operaciones del ordenador
Agora, Individuo y Organización 18
19. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El uso de lenguajes de cuarta generación (4GLs) debería valorarse cuidadosamente frente a la
131
programación tradicional porque:
a) Pueden carecer de nivel de profundidad de comandos para realizar operaciones intensivas sobre datos
b) No pueden implementarse en ambos procesadores, mainframes y microcomputers
c) Generalmente contienen subsets de instrucciones complejas que requieren ser usados por usuarios expertos
d) No pueden acceder a registros de base de datos y producen salidas online complejas
132 ¿Cuál de las siguientes afirmaciones relativas a la seguridad en Internet es cierta?
a) Los cortafuegos (Firewalls) no pueden impedir el acceso de los hackers a la red corporativa
b) Los cortafuegos (Firewalls) se sitúan en el punto de acceso utilizado más frecuentemente entre la red corporativa e
Internet
c) Los datos corporativos cifrados están seguros mientras se transmiten a través de Internet
d) No todas las redes corporativas conectadas a Internet están sujetas a ataques
Las órdenes de venta se numeran automáticamente de forma secuencial en cada uno de los puntos de
venta del detallista. Las órdenes pequeñas se procesan directamente en cada punto de venta, los
133
pedidos grandes se envían a la instalación (facility) central de producción. ¿Cuál sería el control más
apropiado para asegurar que todas las órdenes transmitidas a producción se reciben correctamente?
a) Envío y reconciliación de la suma de transacciones y totales
b) Retransmitir de vuelta los datos al sitio local para comparar
c) Comparar los protocolos de comunicación de datos con las verificaciones de paridad (parity check)
d) Seguimiento (track) y comprobación de la secuencia numérica de las órdenes de venta en el centro de producción
¿Cuál de las siguientes técnicas proporciona la mejor protección de confidencialidad y autenticidad
134
en el mensaje de correo electrónico?
a) Firmando el mensaje utilizando la clave privada del remitente y cifrando el mensaje con la clave pública del
receptor
b) Firmando el mensaje utilizando la clave pública del remitente y cifrando el mensaje con la clave privada del
receptor
c) Firmando el mensaje utilizando la clave privada del receptor y cifrando el mensaje con la clave pública del
remitente
d) Firmando el mensaje utilizando la clave pública del receptor y cifrando el mensaje con la clave privada del
remitente
135 ¿Cuál de los siguientes describe mejor una utilidad integrada de prueba (integrated test facility)?
a) Una técnica que permite al auditor de SI introducir datos de pruebas en la ejecución real (run) de ordenador con el
fin de verificar que el tratamiento es correcto
b) La utilización de hardware y/o software para revisar y probar la funcionalidad de un sistema informático
c) Un método de utilizar opciones especiales de programación que permite imprimir la forma en que un programa
informático procesa una transacción determinada
d) Un procedimiento para etiquetar (tagging) y ampliar (extending) las transacciones y los registros maestros
utilizados por el auditor de SI en las pruebas
Una instalación de respaldo remota (off-site) que tenga cableado eléctrico, aire acondicionado, piso
136 falso, etc. pero ningún ordenador o equipo de comunicaciones, destinada para operar una instalación
de procesamiento de información (information processing facility) es más conocida como:
a) Cold site
b) Warm site
c) Dial up site
d) Instalación de procesamiento duplicado
¿Cuál de los siguientes indicadores reflejará con menor probabilidad que se considere, para la
137
operaciones de sistemas, una prestación de servicios (outsourcing) completa (total) o selectiva?
a) El atraso del desarrollo de aplicaciones es superior a tres años
b) Se necesita un año para desarrollar e implementar sistemas de alta prioridad
c) Más del 60% del coste de programación se dedica al mantenimiento de sistemas
d) Existen funciones de sistemas de información duplicadas en dos dependencias
Agora, Individuo y Organización 19
20. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes es el control más efectivo en el establecimiento de un control de acceso
138
mediante el uso de procedimientos de Sign-On?
a) Autorización y autenticación del usuario
b) Autenticación e identificación del usuario
c) Autorización, autenticación y localización del usuario
d) Autorización, autenticación, identificación y localización del usuario
139 El Auditor de SI, fomentará la utilización de estándares de codificación porque estos:
a) Definen las tablas de control de accesos
b) Detallan la documentación de programas
c) Estandarizan la metodología de diagramas de flujo
d) Aseguran el cumplimiento de convenciones de nombres de campos
140 En un proceso EDI, el dispositivo que transmite y que recibe documentos electrónicos es:
a) El gestor de comunicaciones (communications handler)
b) El traductor EDI
c) El interfaz de aplicaciones
d) El interfaz EDI
En el área 2c del diagrama, hay 3 nodos (hubs) conectados entre sí. ¿Qué riesgo potencial podría
141
indicar esto?
a) Ataque de virus
b) Degradación del rendimiento
c) Gestión insuficiente de controles
d) Vulnerabilidad a los ataques externos de hackers
Un programador se las arregló para tener acceso a la librería de producción, modificó un programa
que entonces se utilizó para actualizar una tabla sensitiva de la base de datos de la nómina, y
142
restauró posteriormente el programa original. ¿Cuál de los siguientes métodos es el más efectivo
para detectar estos cambios no autorizados?
a) Comparación del código fuente
b) Comparación del código ejecutable
c) Utilidad Integrada de prueba (Integrated Test Facilities) (ITF)
d) Revisión periódica de los ficheros de registros de transacciones (log)
Agora, Individuo y Organización 20
21. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes métodos de pruebas es el más eficaz durante las fases iniciales de un
143
prototipo?
a) Prueba del Sistema
b) Prueba en Paralelo
c) Prueba de Volumen
d) Prueba de Arriba a abajo (Top down)
¿Cuál de los siguientes principios debe existir para asegurar la viabilidad de una instalación de
144
procesamiento de información duplicada?
a) Que el sitio (site) esté cerca del sitio primario para asegurar que se logra una recuperación rápida y eficiente
b) Que el sitio contiene el hardware más avanzado disponible del vendedor escogido
c) Que la carga de trabajo del sitio primario es monitoreada para asegurar que el respaldo adecuado es completo
d) Que el hardware es probado cuando se instala para asegurar que está funcionando correctamente
Un auditor de SI que está revisando el plan estratégico de TI de una organización debe revisar en
145
primer lugar:
a) El entorno de tecnología de la información existente
b) El plan de negocio
c) El presupuesto de TI actual
d) Las tendencias actuales en tecnología
¿Una distinción importante que un auditor de SI debe realizar cuando evalúa y clasifica los controles
146
como preventivos, detectivos o correctivos es?
a) El punto donde y cuando los controles se realizan a medida que los datos fluyen a través del sistema
b) Sólo son relevantes los controles preventivos y detectivos
c) Los controles correctivos sólo pueden ser considerados como compensatorios
d) La clasificación permite al auditor de SI determinar qué controles no se realizan
147 La creación de una firma digital:
a) Cifra el mensaje
b) Verifica de quién viene el mensaje
c) No puede comprometerse cuando se utiliza una clave privada
d) No puede utilizarse con sistemas de correo electrónico
148 ¿Cuál de las siguientes es menos fiable como evidencia de auditoría?
a) Los resultados de extracciones de datos
b) Los resultados de casos de prueba (test cases)
c) Manifestaciones verbales
d) Registro de transacciones
149 Las convenciones de denominaciones en los controles de acceso no son:
a) Establecidas por los propietarios de los datos o aplicación
b) Dependientes de la importancia y nivel de seguridad que se necesita
c) Establecidas para promover la implementación de normas de acceso eficientes
d) Definidas con la asistencia del Administrador de base de datos
¿Cuál de los siguientes procedimientos no realizaría un auditor de SI en la planificación previa (pre-
150
audit) a la auditoría, para adquirir el conocimiento del entorno global sujeto a revisión?
a) Recorrer (tour) las actividades clave de la organización
b) Entrevistar a miembros clave de la Dirección clave para comprender los riesgos de negocio
c) Efectuar pruebas de cumplimiento para determinar si se cumplen los requisitos legales
d) Revisar informes de auditorías previas
La responsabilidad (accountability) del mantenimiento de las medidas apropiadas de seguridad
151
sobre los activos de información corresponde a:
a) Administrador de seguridad
b) Administrador de sistemas
c) Propietario de datos y sistemas
d) Grupo de servicio (delivery)/operaciones (operations) de sistemas
Agora, Individuo y Organización 21
22. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de las siguientes afirmaciones relativas a las redes de conmutación de paquetes (packet
152
switching) es verdad?
a) Todos los paquetes de un mensaje dado viajan por la misma ruta
b) Las contraseñas (passwords) no pueden ser integradas (embedded) dentro del paquete
c) Las longitudes del paquete son variables y cada paquete contiene la misma cantidad de información
d) Los costos cargados por la transmisión se basan en cada paquete, y no en la distancia o la ruta realizada
¿Cuál de los siguientes métodos de análisis de resultados, durante la prueba del plan de continuidad
153
del negocio (Business Continuity Plan- BCP), provee la mejor garantía de que el plan es viable?
a) Medición cuantitativa de los resultados de la prueba
b) Medición de la exactitud
c) Tiempo transcurrido para la realización de las tareas prescritas
d) Evaluación de los resultados observados de las pruebas
154 Las fases y los productos (deliverables) o entregas de un proyecto de SDLC deben ser determinados:
a) Durante las instancias más tempranas de planificación del proyecto
b) Después que la planificación inicial ha sido completada, pero antes que comience el trabajo
c) Durante las etapas de trabajo, las entregas o productos son determinados basándose en riesgos y exposiciones
d) Solamente después que todos los riesgos y las exposiciones han sido identificados y el auditor de SI ha
recomendado los controles apropiados
155 ¿Cuál de los siguientes asegura la totalidad (completeness) y exactitud de los datos acumulados?
a) Procedimientos de control de procesamiento
b) Procedimientos de control de ficheros de datos
c) Controles de salida
d) Controles de aplicación
156 Los controles de acceso lógico se emplean para proteger:
a) Consolas de operador
b) Instalaciones de almacenamiento informáticas
c) Clasificación y propiedad de datos
d) Cintas y discos en la librería de respaldo (back-up)
¿Cuál de los siguientes no se considera una ventaja de un paquete de software o software
157
paquetizado?
a) Coste reducido de desarrollo
b) Riesgo reducido de error lógico
c) Mejora de la eficiencia de proceso
d) Mejora de la flexibilidad debido a las características opcionales
Un Auditor de SI revisando los accesos al sistema operativo descubre que el sistema no está
158 asegurado (secured) adecuadamente. En esta situación el Auditor de SI es menos probable que esté
preocupado en que el usuario pueda:
a) Crear nuevos usuarios
b) Borrar la base de datos y los ficheros de registro (log).
c) Acceder a las herramientas de utilidades (utility) del sistema
d) Acceder a directorios escribibles (writeable) del sistema
159 La razón principal para habilitar pistas de auditoría es:
a) Mejorar el tiempo de respuesta para los usuarios
b) Establecer la responsabilidad y la atribución de esta (accountability) sobre las transacciones procesadas
c) Mejorar la eficiencia del sistema, ya que las pistas de auditoría no ocupan espacio en disco
d) Facilitar información útil a los auditores, quienes pudieran desear rastrear transacciones
160 Una ventaja del uso de “sitios calientes” (hot sites) como alternativa de respaldo es:
a) Los costos asociados con esta opción son bajos
b) Pueden ser usados por un período de tiempo muy extenso
c) Pueden estar listos para su operación en un breve lapso de tiempo
d) No requieren que el equipo y el software de sistemas sean compatibles con la instalación primaria que está siendo
respaldada (Backed-up)
Agora, Individuo y Organización 22
23. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
La base de conocimiento de un sistema experto que utiliza cuestionarios que guían al usuario a través
161
de una serie de opciones antes que se pueda llegar a una conclusión, se conoce como:
a) Reglas
b) Arboles de Decisión
c) Redes Semánticas
d) Diagramas de Flujo
¿Cuál de las siguientes frases respecto al impacto en los controles internos de un sistema EDI es
162
falsa?
a) La seguridad será, cada vez más, más importante
b) Los errores deben ser identificados y corregidos más rápidamente
c) Existirán menos oportunidades para revisión y autorización
d) La gestión de IPF (Information Processing Facility – Centro de proceso de información) tendrá mayores
responsabilidades sobre los controles del centro de datos
163 El método más efectivo de prevención del uso no autorizado de ficheros de datos es:
a) Entrada automática de ficheros
b) Gestor de cintas (Tape librarian)
c) Software de control de accesos
d) Librerías bloqueadas
Cuando está realizando una auditoría de la seguridad de una base de datos en una estructura de
164
cliente servidor, un auditor de SI debería estar más interesado acerca de la disponibilidad de:
a) Utilidades del sistema
b) Generadores de programas de aplicación
c) Documentación de la seguridad del sistema
d) Acceso a los procedimientos almacenados
¿Cuál de los siguientes traduce formatos de correo electrónico desde una red a otra de modo que el
165
mensaje pueda viajar a través de todas las redes?
a) Pasarela (Gateway)
b) Convertidor de protocolos
c) Procesador de comunicaciones inicial (front-end communication procesor)
d) Concentrador / multiplexor
¿Cuál de las siguientes es la consecuencia menos probable de unos procedimientos deficientes de
166
recuperación de desastre?
a) Que se puedan perder ingresos de la Compañía
b) Que se pueda trastornar la productividad organizacional
c) Que se puedan perder datos críticos
d) Que la compañía pueda quedar fuera del mercado
Al realizar una auditoría de la gestión de la planificación de los SI, ¿qué debería un auditor de SI
167
considerar como más relevante para la planificación a corto plazo para el Departamento de SI?
a) Asignación de recursos
b) Mantenerse actualizado con los avances de la tecnología
c) Realizar auto evaluaciones de control
d) Evaluar las necesidades de hardware
168 Un auditor de SI debe involucrarse en:
a) La observación de las pruebas del plan de recuperación de desastre
b) El desarrollo del plan de recuperación de desastre
c) El mantenimiento del plan de recuperación de desastre
d) La revisión de los requerimientos de recuperación de desastre de los contratos de proveedores
Agora, Individuo y Organización 23
24. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de las siguientes es una función de un Comité de Dirección de un sistema de información (IS
169
Steering Committee)?
a) Iniciar aplicaciones de ordenador
b) Asegurar el uso eficiente de los recursos de proceso de datos
c) Preparar, supervisar y gestionar (monitor) planes de implementación de sistemas
d) Revisar el rendimiento (performance) del departamento de sistemas
Un auditor de SI que está intentando determinar si el acceso a la documentación de programas está
170
restringida a personas autorizadas debería más probablemente:
a) Evaluar los planes de retención de registros para el almacenamiento fuera de las instalaciones (off-premises
storage)
b) Entrevistar a los programadores acerca de los procedimientos que se siguen en la actualidad
c) Comparar la utilización de registros con los planes de operaciones (operations schedules)
d) Revisar los registros de acceso a ficheros de datos para probar la función del librero /librarian
Cuando se está auditando un sistema operativo de mainframe, ¿qué podría hacer un auditor de SI
171
para establecer que funciones de control están funcionando?
a) Examinar los parámetros utilizados cuando el sistema fue generado
b) Discutir las opciones de los parámetros del sistema con el vendedor
c) Evaluar la documentación de sistemas y la guía de instalación
d) Consultar con los programadores del sistema
¿Cuál de los siguientes ítems de control general no sería normalmente encontrado en una auditoría
172
de procedimientos de programación por usuarios en un entorno informático de usuario final?
a) Procedimientos de registro (log) de consola
b) Procedimientos de control de cambios
c) Procedimientos de respaldo y recuperación
d) Procedimientos y estándares de documentación
La Dirección de SI ha informado recientemente al Auditor de SI sobre su decisión de desactivar
173 ciertos controles de integridad referencial en el sistema de Nóminas para ofrecer los usuarios un
generador de informes más rápido. Lo más probable es que esto incremente el riesgo de:
a) Entrada de datos por usuarios no autorizados
b) Pagar a un empleado inexistente
c) Que un empleado reciba una subida ilegal
d) Duplicar la introducción de datos por usuarios autorizados
¿Cuál de los siguientes métodos aseguraría mejor, la adecuación de un plan de recuperación de
174
desastre?
a) Revisiones periódicas de la vigencia de la información de detalle en el plan
b) Apagados (shut-downs) no anunciados de la instalación principal durante períodos tranquilos
c) Ejercicios periódicos de recuperación usando personal experto, entrenado para la ejecución de los procedimientos
de recuperación
d) Ejercicios de recuperación no anunciados a intervalos periódicos
¿Cuál de las siguientes es una técnica que puede ilegalmente capturar las contraseñas de usuarios en
175
la red?
a) Cifrado
b) Sniffing/Búsqueda
c) Spoofing / Burla
d) Destrucción de datos
176 El uso de técnicas de evaluación de riesgos no ayudará a determinar:
a) Las áreas o funciones de negocio a ser auditadas
b) La naturaleza, el alcance y la oportunidad (timing) de los procesos de auditoría
c) Los posibles hallazgos (findings) de auditoría, conclusiones y recomendaciones
d) La cantidad de tiempo y recursos a ser asignados a una auditoría
Agora, Individuo y Organización 24
25. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes brinda el mejor control de acceso a los datos de nómina que están siendo
177
procesado en un servidor local?
a) Registro (logging) de todos los accesos a la información del personal
b) Clave (password) distinta (separate) para transacciones sensitivas
c) Restricción por medio del software basado en las reglas de acceso del personal autorizado
d) Restricción basada en el horario de trabajo para el acceso al sistema
Los controles internos básicos diseñados en un sistema de aplicación se requieren para asegurar cada
178
uno de los siguientes, excepto que:
a) Todas las transacciones son iniciadas, ejecutadas, y registradas una vez, y sólo una vez
b) La información registrada permanece actualizada y exacta
c) Se previene el fraude intencional de naturaleza inmaterial
d) Las transacciones se ejecutan y registran de acuerdo con las intenciones de la Gerencia
179 ¿Cuál de los siguientes es un control detectivo antivirus?
a) Encaminar (route) todos los enlaces con sistemas externos a través de un cortafuegos (“firewall”)
b) Explorar (scan) todos los disquetes y CDs procedentes desde fuera de la Entidad antes de su uso
c) Explorar (scan) diariamente todos los ficheros de todos los servidores de ficheros, moviendo los ficheros
sospechosos a un área segura
d) Usar software antivirus para actualizar los ficheros de configuración de los antivirus de los usuarios cada vez que
ellos inician una sesión (login)
Durante la auditoría de un acuerdo recíproco para recuperación de desastre entre dos compañías, el
180
auditor de SI debería primariamente estar preocupado por:
a) La solidez del análisis de impacto
b) La compatibilidad del hardware y el software
c) Diferencias en las políticas y procedimientos de SI
d) La frecuencia de las pruebas del sistema
¿Cuál de las siguientes inquietudes acerca de la seguridad de un mensaje electrónico sería abordada
181
mediante firmas digitales?
a) Lectura no autorizada
b) Robo
c) Copia no autorizada
d) Alteración
¿En cuál de la siguiente documentación tendrá un Auditor de SI menos confianza, cuando esté
182 determinando la eficacia de la Gerencia en la comunicación de las políticas de sistemas de
información al personal apropiado?
a) Entrevistas con los usuarios y personal de Sistemas de Información
b) Minutas de las reuniones del Comité de Dirección de Sistemas de Información (Steering Committee)
c) Manuales de procedimientos y sistemas de los Departamentos de usuario
d) Manuales de procedimientos y operación de las instalaciones de proceso de información (Information Processing
Facilities)
183 El método más eficaz de limitar el impacto de un ataque de un virus de software es:
a) Controles mediante software
b) Políticas, normas y procedimientos
c) Controles de acceso lógico
d) Estándares de comunicación de datos
Cuando se está implantando un paquete de software de aplicación, ¿cuál de los siguientes representa
184
el mayor riesgo?
a) No se controlan las versiones múltiples del software
b) Los programas fuente no están sincronizados con el código objeto
c) No se establecen los parámetros correctamente
d) Errores de programación
Agora, Individuo y Organización 25
26. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes esperaría encontrar un auditor de SI en una petición de propuestas (RFP), o
185
una petición de oferta pública (ITT), en cuanto a la provisión del hardware del equipo ?
a) Requerimientos de soporte y mantenimiento para después de la implantación
b) Detalles completos del hardware y software actual del equipo
c) El presupuesto máximo permitido para el proyecto
d) Información corporativa, políticas de seguridad, normativa y procedimientos
¿Cuál de los siguientes sería el más apropiado para asegurar la confidencialidad de las transacciones
186
iniciadas vía Internet?
a) Firma Digital
b) Estándar de cifrado de datos/Data Encryption Standard (DES)
c) Red virtual privada - Virtual Private Network (VPN)
d) Cifrado de clave pública
Todos los siguientes son usados como técnicas de estimación de costes durante la fase de planificación
187
del proyecto, excepto:
a) Diagramas PERT
b) Puntos de función
c) Técnica delphi
d) Juicio de experto
Durante una revisión de las reglas de acceso a los sistemas, un auditor de SI observó que el personal
188 de soporte técnico tiene un acceso ilimitado a todos los datos y programas. Esta autoridad de acceso
es:
a) Apropiada, pero todos los accesos deben ser registrados (logged)
b) Apropiada, porque el personal de soporte técnico puede acceder a todos los ficheros de datos y pro gramas
c) Inapropiada, ya que el acceso debe ser limitado en la medida de aquello que se necesita conocer (need-to-know)
independientemente de su posición
d) Inapropiada, porque el personal de soporte técnico tiene la posibilidad de ejecutar sistemas
189 ¿Cuál de los siguientes no seria considerado un control general?
a) Procedimientos de control de cambios
b) Control de acceso lógico
c) Cuadre de los totales de control diario
d) Procedimientos de desarrollo de sistemas
Un auditor de SI acaba de terminar una revisión integral de una organización que incluye un
mainframe central y un entorno de cliente servidor donde residen todos los datos de producción y ha
190
descubierto algunas debilidades de control. ¿cuál de las siguientes debilidades debería ser
considerada como la más seria?
a) El oficial de seguridad (Security Officer) también actúa como Administrador de la Base de Datos
b) No se administran controles de contraseñas (passwords) en el entorno de cliente servidor
c) No hay un plan de continuidad de negocio para las aplicaciones no críticas del sistema de mainframe
d) La mayoría de las redes de área local no realizan regularmente copias de respaldo (back-up) del disco fijo del
servidor de ficheros
191 Para verificar la transmisión completa y exacta de los datos, un auditor de SI debe:
a) Revisar los registros (logs) de problemas de transmisión del equipo, y de mantenimiento
b) Revisar los procedimientos de copias de respaldo y de recuperación de los datos
c) Determinar si todos los ficheros de programas están protegidos con claves
d) Realizar pruebas de los procedimientos de reconciliación a nivel de microordenadores y del mainframe
¿Cuál de los siguientes es el procedimiento de control más efectivo para la seguridad de un entorno
192
de negocio pequeño con ordenadores aislados (stand-alone)?
a) Supervisión del uso del ordenador
b) Revisión de la gestión diaria del registro (log) de problemas
c) Depósito (storage) de los dispositivos de almacenamiento en una sala cerrada
d) Revisión independiente del diseño de un sistema de aplicación
Agora, Individuo y Organización 26
27. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El objetivo del diseño de pruebas del software es para brindar la mayor probabilidad de encontrar la
193 mayor cantidad de errores con un mínimo de tiempo y esfuerzo. ¿Cuál de los siguientes métodos es el
menos probable que alcance estos objetivos de diseño?
a) Las pruebas de caja negra (black box tests) que son usadas para determinar que las funciones del software están
operativas
b) Las pruebas de caja blanca (white box testing) supuestas para un examen minucioso de los detalles de
procedimiento (procedural detail) de todos los caminos (path) lógicos del software
c) Pruebas de regresión al realizar pruebas previas para asegurar que no se han introducido nuevos errores
d) Diseño de pruebas de software que proporcione pruebas de unidad, integración, sistemas y aceptación
¿Cuál de entre los siguientes procedimientos de auditoría sería menos probable que un auditor de SI
194
lo incluyera en una auditoría de seguridad?
a) Revisión de la eficacia y utilización de los activos
b) Pruebas para determinar que el acceso a los activos es adecuado
c) Validación de las políticas de acceso físico, lógico y de entorno por perfiles de funciones (job profiles)
d) Evaluación de la protección de activos y procedimientos que previenen frente a acceso no autorizado a los activos
195 ¿Cuál de las siguientes no es una ventaja de la utilización de Análisis Estructurado (SA)?
a) SA soporta herramientas CASE
b) SA permite considerar rápidamente las necesidades del usuario
c) SA es más aplicable al análisis orientado a problemas, que al diseño
d) SA permite la transformación de sistemas estructurados en tareas concurrentes
Durante una revisión del control de accesos de telecomunicaciones, un auditor de SI centraría la
196
mayor atención en:
a) el mantenimiento de los registros (logs) de acceso, de la utilización de los diversos recursos del sistema
b) la autorización y autenticación del usuario antes de otorgar el acceso a los recursos del sistema
c) la protección adecuada de los datos almacenados en servidores con cifrado u otros medios
d) el sistema de identificación y registro (accountability) y la capacidad de identificar adecuadamente cualquier
terminal que acceda a los recursos de los sistemas
Cuando está auditando una adquisición propuesta de un nuevo sistema informático, el auditor de SI
197
debe primero establecer que:
a) La gerencia ha aprobado una actuación de negocio explícita
b) Se cumplirán los estándares de seguridad corporativos
c) Los usuarios se involucrarán en el plan de implantación
d) El nuevo sistema satisfará toda la funcionalidad requerida por los usuarios
El potencial para acceso no autorizado al sistema, por vía de terminales o estaciones de trabajo
198
dentro de la instalación de la organización, aumenta cuando:
a) Se cuenta con puntos de conexión en la instalación disponibles para conectar laptops a la red
b) Los usuarios no escriben sus contraseñas del sistema en, o cerca de sus áreas de trabajo
c) Los terminales con protección de contraseña están ubicados en lugares inseguros
d) Los terminales están ubicados dentro de la instalación en pequeños grupos de unos pocos terminales, cada uno bajo
la responsabilidad y supervisión directa de un administrador
199 La programación /planificación de trabajos (scheduling) es un control operativo para:
a) Registrar y contabilizar el uso del equipo
b) Controlar el sistema y supervisar (monitor) su operación /explotación
c) Optimizar la utilización de los recursos del ordenador
d) Evaluar al personal de SI
Un auditor de SI está revisando la función de administración de base de datos para determinar si se
200
han hecho las provisiones adecuadas para controlar los datos. El auditor debería determinar que:
a) La función reporta a Operaciones de proceso de datos
b) Las responsabilidades de la función han sido adecuadamente definidas
c) El administrador de la base de datos es un programador de sistemas competente
d) El software de auditoría tiene la capacidad de acceder eficientemente a la base de datos
Agora, Individuo y Organización 27