Este documento contiene 32 preguntas de examen para el CISA (Certified Information Systems Auditor) con respuestas múltiples. Las preguntas cubren una variedad de temas de auditoría de sistemas de información como seguridad, redes, bases de datos, desarrollo de sistemas y continuidad del negocio. El documento proporciona una guía de estudio para ayudar a los auditores de sistemas a prepararse para el examen CISA.

1. Agora, Individuo y Organización
CURSO DE
PREPARACIÓN
EXAMEN
CISA 2002
MODULO 2
SIMULACRO 4 - CLASE
NOTA a las respuestas y preguntas:
ø las indicadas como Dom xxx - ISACA, corresponden a preguntas publicadas por la ISACA
ø las indicadas como Dom xxx - CRM, son adaptaciones desde el manual de revisión para el examen, y tienen el
objetivo de “revisar” conceptos, e inducir a la revisión de temas concretos en el manual de revisión. Muchas de
estas preguntas han sido aportadas por los siguientes profesionales: Susana Mendiola (CISA); José L. Saez (CISA);
Rafael de la Llama (CISA); Manel García (CISA); Joaquín Pérez (CISA); Pablo Lanza (CISA); Antoni Bosch
(CISA)

2. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El dispositivo para extender la red que debe tener capacidad de almacenamiento para almacenar
1
frames y para actuar como un dispositivo de almacenamiento y reenvío es un:
a) Ruteador (router)
b) Puente (Bridge)
c) Repetidor (repeater)
d) Pasarela (gateway)
Los precios son cargados sobre la base de una tarifa estándar del fichero maestro que cambia según
aumenta el volumen. Cualquier excepción debe ser aprobada manualmente. ¿Cuál es el control
2
automatizado más efectivo para ayudar a asegurar que todas las excepciones de precios sean
aprobadas?
a) Todas las sumas son mostradas nuevamente al operador de entrada de datos, quien debe verificarlos visualmente
b) Los precios fuera del rango normal deber ser ingresados (entered) dos veces para verificar la exactitud de la entrada
de datos
c) El sistema indica con un sonido (beeps) cuándo se realizan (capturan) excepciones de precio e imprime dichas
incidencias en un informe
d) Se debe entrar (dar) una contraseña de segundo nivel antes de que se pueda procesar una excepción de precio
3 El Grupo de Garantía de Calidad (Quality Assurance) es típicamente responsable de:
a) Asegurar que la salida (output) recibida desde el sistema de procesamiento está completa
b) Monitorizar (supervisar y controlar) la ejecución de las tareas de procesamiento del ordenador
c) Asegurar que los programas, los cambios a programas y la documentación cumplen con los estándares/normas
establecidos
d) Diseñar estándares y procedimientos para proteger los datos contra divulgaciones, modificaciones o destrucciones
accidentales
4 Un hub es un dispositivo que conecta:
a) Dos LANs que usan protocolos diferentes
b) Una LAN con una WAN
c) Una LAN con una MAN
d) Dos segmentos de una sola LAN
La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de los
5 sistemas de información están debidamente documentadas en unos estatutos de auditoría (audit
charter) y deben ser:
a) Aprobadas por el nivel más alto de la Gerencia
b) Aprobadas por la Gerencia del Departamento de Auditoría
c) Aprobadas por la Gerencia del Departamento de los usuarios
d) Cambiadas cada año antes del inicio de las auditorías de SI
¿Cuál de las siguientes es la forma más segura para conectar una red privada a través de Internet en
6
una organización de pequeño a mediano tamaño?
a) Red privada virtual
b) Línea dedicada
c) Línea arrendada (Leased line)
d) Red digital de servicios integrados
Todos los siguientes son problemas habituales con la implantación de un firewall/cortafuegos,
7
excepto:
a) Protección inadecuada de la red y los servidores contra ataques de virus
b) Configuración incorrecta de las listas de acceso
c) El registro (log) de las conexiones es o bien insuficiente o bien no se revisa de forma regular
d) Los servicios de la red destinados a los hosts internos son pasados a través de cortafuegos que no realizan un
filtrado (firewall unscreened)
8 ¿Para cuál de los siguientes no sería un uso de los programas de software generalizados de auditoría?
a) Verificación de cálculos y totales
b) Realizar cálculos complejos
c) Seleccionar datos que un auditor define como no usuales
d) Producir múltiples informes y ficheros de salida legibles por ordenador
Agora, Individuo y Organización 2

3. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El mejor momento para realizar una auto evaluación (self assessment) de control que involucre a la
9 Gerencia de línea (line management), al personal de línea (line staff) y al departamento de auditoría
sería durante:
a) Las pruebas de cumplimiento
b) El estudio o revisión preliminar (preliminar survey)
c) Las pruebas sustantivas
d) La elaboración del informe de auditoría
¿Cuál de los siguientes es el modo del sistema operativo en el cual se pueden ejecutar todas las
10
transacciones?
a) Problemas
b) Interrupción
c) Supervisor
d) Proceso estándar
11 ¿Una red privada virtual (VPN) realiza cuál de las siguientes funciones?
a) Esconde información a los sniffers en la red
b) Hace cumplir las políticas de seguridad
c) Detecta abusos o errores
d) Regula el acceso
¿Cuál de los siguientes no debería ser un aspecto de control específico en el curso de una revisión de
12 aplicaciones de un paquete de planificación de recursos de empresa (ERP-enterprise resource
planning)?
a) Autorización de procedimientos de gestión de cambios
b) Las autorizaciones funcionales del ERP se corresponden con las responsabilidades y tareas organizativas del
usuario
c) Los riesgos asociados a las autorizaciones implantadas desde un punto de vista de control interno
d) Mapeo apropiado de los controles de procesos de negocio de la organización con el paquete ERP
13 Un diccionario de datos es un ejemplo de software que se usa para:
a) Describir sistemas de aplicación
b) Ayudar en el desarrollo rápido de programas
c) Mejorar la eficiencia de las operaciones
d) Probar la calidad de los datos
¿Cuál de las siguientes pruebas es una prueba de continuidad que usa recursos reales para simular
14
un colapso del sistema para obtener evidencia eficaz en costos, sobre la eficacia del plan?
a) Prueba sobre papel (paper test)
b) Prueba posterior (post test)
c) Prueba del estado de la preparación (Preparedness test)
d) Recorrido/ensayo (walkthrough)
Un auditor de SI que lleva a cabo una revisión del uso y licencias de software descubre que
15 numerosos PCs contienen software no autorizado. ¿Cuál de las siguientes acciones debe realizar
primero el auditor de SI?
a) Borrar personalmente todas las copias del software no autorizado
b) Informar al auditado sobre el software no autorizado y realizar el seguimiento para confirmar su eliminación
c) Informar sobre el uso de software no autorizado a la Gerencia auditada y advertir sobre la necesidad de prevenir que
esto ocurra nuevamente
d) No hace nada, ya que se trata de una práctica comúnmente aceptada y la Gerencia de Operaciones (Producción y
Explotación) es responsable del seguimiento (monitoring) de dicho uso
16 Una amenaza a la seguridad en Internet que podría comprometer la integridad es:
a) El robo de datos del cliente
b) La exposición de la información de la configuración de red
c) Un browser caballo de Troya
d) Una escucha furtiva (eavesdropping) en la red
Agora, Individuo y Organización 3

4. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Un control que detecta los errores de transmisión anexando los bits calculados al extremo de cada
17
segmento de datos se conoce como:
a) Verificación de razonabilidad (reasonableness check)
b) Verificación de paridad (parity check)
c) Verificación de redundancia (redundancy check)
d) Dígitos de verificación (check digits)
Un Auditor de SI que está revisando los manuales de operación (run manuals) de una aplicación,
18
esperaría que estos contengan:
a) Detalles de los documentos fuente
b) Códigos de error y sus acciones de recuperación
c) Diagramas de flujo con la lógica de programas y definiciones de ficheros
d) Registro de cambios al código fuente de la aplicación
19 ¿Cuál de las siguientes es la mejor forma para lograr software de buena calidad?
a) El medio fundamental es a través de pruebas exhaustivas
b) Es más beneficioso encontrar y corregir rápidamente los errores de programación
c) La cantidad de verificaciones deben se dictadas por el tiempo y el presupuesto disponibles
d) Se deben aplicar procesos bien definidos y revisiones estructuradas durante todo el proyecto
Una posible ventaja para una organización que ha externalizado (outsourced) sus servicios de
20
proceso de datos es que:
a) Se puede obtener una mayor experiencia en SI de los servicios externos
b) Se puede ejercer un control más directo sobre las operaciones del ordenador
c) Se pueden establecer prioridades de proceso y hacerlas cumplir internamente
d) Se requiere una mayor participación del usuario para comunicar sus necesidades
¿Cuál de los siguientes modos de implementación proveería la mayor seguridad para los datos
21
dirigidos al exterior (outbound) en una conexión a Internet?
a) El modo de transporte con cabecera (header) de autenticación (AH) más la encapsulación del contenido (payload)
de seguridad (ESP)
b) El modo SSL
c) El modo de túnel con AH más ESP
d) El modo de cifrado triple DES
El auditor de SI debe poder identificar y evaluar diversos tipos de riesgos y sus efectos potenciales.
22
En consecuencia, ¿cuál de los siguientes riesgos está asociado con las puertas traseras (trap doors)?
a) Riesgo inherente
b) Riesgo de detección
c) Riesgo de auditoría
d) Riesgo de error
23 ¿Cuál de las siguientes no es una responsabilidad del administrador de Base de Datos?
a) Diseñar las aplicaciones de base de datos
b) Modificar la definición física de datos para mejorar el rendimiento
c) Especificar la definición física de los datos
d) Monitorizar la utilización de la base de datos
24 ¿Cuál de las siguientes es la mejor forma de validación de una transacción?
a) Utilizar técnicas de verificación del campo clave en la entrada de datos
b) Utilizar programas para comprobar la transacción en comparación con criterios fijados por la gerencia
c) Autorización de las transacciones por personal supervisor en un departamento adjunto
d) Autorización de la transacción por un supervisor del departamento antes del proceso batch (por lotes)
25 Los procedimientos de administración de seguridad requieren acceso en lectura solamente para:
a) Las tablas de control de acceso
b) Los ficheros de registro /log de seguridad
c) Las opciones de registro (logging)
d) Los perfiles de usuario
Agora, Individuo y Organización 4

5. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Una aplicación propuesta de procesamiento de transacciones es altamente compleja, con muchas
fuentes de captura de datos y también muchas y diferentes rutas de salida, tanto en papel como en
26
formato electrónico. Para asegurar que no se pierden las transacciones durante el proceso, el Auditor
de SI recomendaría con más probabilidad, la inclusión de:
a) Controles de validación
b) Verificaciones internas de credibilidad (internal credibility checks)
c) Procedimientos administrativos de control (clerical procedures)
d) Sistemas de cuadre automatizados (systems balancing)
¿Cuál de los siguientes grupos / personas asume la dirección y responsabilidad global de los costos y
27
cronogramas (timetables) de los proyectos en el ciclo de vida de desarrollo de sistemas ?
a) Gerencia del usuario
b) Comité de Dirección de proyectos (Project Steering Committee)
c) Alta Gerencia (Senior Management
d) Gerencia de desarrollo de sistemas
Una organización ha contratado con un vendedor una solución llave en mano para su sistema
electrónico de cobro de peajes (Electronic Toll Collection System). El vendedor ha suministrado su
28
software de aplicación patentado (propietary) como parte de la solución. El contrato del vendedor
debe tener una cláusula para:
a) Que un servidor de respaldo esté disponible para ejecutar todas las operaciones del ETCS con datos actualizados en
el caso de un fallo del servidor original del ETCS
b) Un servidor de respaldo de una configuración similar a la del servidor del ETCS y estar cargado con todo el
software relevante y los datos
c) Que el personal de sistemas de la organización sea entrenado para manejar cualquier eventualidad
d) Que el código fuente del software de aplicación del ETCS sea mantenido bajo un contrato de depósito de fuentes
(escrow agreement)
¿Cuál de las siguientes funciones representaría un riesgo si se combinara con la de un analista de
29
sistemas, debido a la falta de controles compensatorios?
a) Programación de aplicaciones
b) Entrada de datos (data entry)
c) Aseguramiento de la calidad (quality assurance)
d) Administrador de base de datos
30 Al aplicar una fecha de retención a un fichero asegurará que:
a) Los datos no pueden ser leídos hasta que llegue la fecha
b) Los datos no serán borrados hasta que llegue la fecha
c) Las copias de respaldo (back-up) no son retenidas después de esa fecha
d) Los conjuntos de datos (datasets) que tienen el mismo nombre son diferenciados
¿Cuál de las siguientes metodologías es apropiada para planificar y controlar actividades y recursos
31
en un proyecto de sistemas?
a) Metodología del camino crítico (CPM - Critical path methodology)
b) Técnica de revisión de evaluación de programas (PERT - Program evaluation review technique)
c) Gráficas de GANTT (Gantt charts)
d) Análisis del punto de función
32 ¿Cuál de los siguientes es el paso más fundamental para prevenir eficazmente ataques de virus?
a) Ejecutar periódicamente en background programas antivirus actualizados
b) Adquirir un antivirus eficaz de tipo estándar, e instalarlo en todos los servidores y estaciones con disco duro
c) Asegurarse de que todo software nuevo en todos los medios magnéticos es previamente chequeado en un PC
aislado antes de ser cargados en el entorno de producción
d) Adoptar una política antivirus global para proteger las instalaciones informáticas de la organización frente a
ataques de virus, y comunicarla a todos los usuarios
Agora, Individuo y Organización 5

6. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
33 ¿Cuál de los siguientes no es un elemento de un entorno de red local -LAN?
a) Tecnología de conmutación de paquetes
b) Banda base (señal digital)
c) Topología de bus corto o anillo
d) Tecnología de circuito conmutado privado
Asegurar el cambio periódico de contraseñas, asignar una nueva contraseña de un sólo uso (one time
34 use) cuando un usuario olvida la suya, y requerir que los usuarios no escriban sus contraseñas, son
todos ejemplos de:
a) Objetivos de auditoría
b) Procedimientos de auditoría
c) Objetivos de control
d) Procedimientos de control
¿Cuál de los siguientes brindaría un mecanismo por el cual la gerencia de SI puede determinar
35
cuándo, y si, las actividades de la empresa se han desviado de los niveles planificados, o esperados?
a) Gestión de la calidad (Quality management)
b) Métodos de evaluación de SI (assessment methods)
c) Principios de Gestión (Management principles)
d) Estándares/ puntos de referencia de la industria (benchmarking)
¿Cuál de los siguientes controles de aplicación indican fallas en los controles de entrada o de
36
procesamiento?
a) Procedimientos de control de procesos
b) Procedimientos de control de ficheros de datos
c) Procedimientos de control de output (salida)
d) Prueba de integridad de datos
¿Cuál de las siguientes es una consideración importante a la hora de brindar respaldo (back-up)
37
para los sistemas en línea (on-line)?
a) Mantenimiento de los parámetros del software de sistemas
b) Asegurar el volcado periódico de los registros (logs) de transacciones
c) Asegurar respaldos (backups) de ficheros abuelo – padre - hijo
d) Guardar los datos más importantes en una ubicación externa
38 Todos los siguientes son modos habituales de ataques en Internet, excepto:
a) Aprovechamiento o explotación de las vulnerabilidades en los programas de los vendedores
b) Ataques para la negación de servicio (denial of service attacks)
c) Envío de código hostil y programas de ataque como adjuntos a un mensaje
d) Huellas sistemáticas de un hacker de una organización (hacker foot-printing)
El no definir o no gestionar de manera adecuada los requerimientos para un sistema puede tener
39
como consecuencia un número de riesgos. El mayor riesgo es:
a) Participación inadecuada del usuario
b) Asignación inadecuada de los recursos
c) Cambios de requerimientos durante el desarrollo
d) Estimación inadecuada del camino crítico
El propósito de requerir un depósito en custodia del código fuente (source code escrow) en un
40
acuerdo contractual es para:
a) Asegurar que el código fuente esté disponible si el vendedor dejara de existir
b) Permitir la adaptación del software para que satisfaga los requerimientos especificados del negocio
c) Revisar el código fuente para verificar que los controles son adecuados
d) Asegurar que el proveedor cumple con los requisitos legales
Agora, Individuo y Organización 6

7. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Un Auditor de SI ha descubierto que el sistema de ordenadores de su organización no es el más
adecuado para la demanda que está teniendo lugar del proceso de datos; y no es compatible con los
41
nuevos modelos; y no puede ser ampliado. Como resultado, se ha hecho una recomendación para
usar emulación. Emulación implica:
a) El hardware que convierte un ordenador nuevo en una imagen del ordenador viejo
b) La escritura de programas en módulos que simplifican la transición al ordenador nuevo
c) Un software que traduce el programa viejo en otro leíble por el nuevo ordenador
d) La simulación de un ordenador nuevo en el ordenador viejo para producir código máquina independiente
Una organización quiere introducir un nuevo sistema que permita la identificación única en el inicio
(single-sign-on). Actualmente hay cinco aplicaciones principales, y los usuarios deben conectarse
(sign-on) a cada una de ellas de forma separada. Se ha propuesto que bajo el sistema single-sign-on,
42
los usuarios únicamente introduzcan una identificación de usuario ID y una contraseña para acceder
a todos los sistemas de aplicaciones. Bajo este tipo de sistema de single-sign-on, el riesgo de acceso no
autorizado:
a) Es menos probable
b) Es más probable
c) Tendrá un mayor impacto
d) Tendrá un menor impacto
¿Cuál de los siguientes representa el mayor riesgo creado por un acuerdo recíproco para una
43
recuperación de desastre hecho entre dos compañías?
a) Los desarrollos pueden causar una incompatibilidad de hardware y software
b) Los recursos pueden no estar disponibles cuando sean necesarios
c) El plan de recuperación puede no ser probado
d) Las infraestructuras de seguridad en cada compañía pueden ser diferentes
Un auditor de SI que está efectuando una revisión de controles de accesos en un entorno cliente-
44 servidor descubre que todas las opciones de impresión están habitualmente accesibles a todos los
usuarios. En esta situación, es más probable que el auditor de SI concluya que:
a) La exposición es mayor puesto que la información está al alcance de usuarios no autorizados
b) La eficiencia operativa se ve potenciada puesto que cualquiera puede imprimir cualquier informe y en cualquier
momento
c) Los procedimientos operativos son más eficaces ya que la información está fácilmente disponible
d) Se brinda facilidad y flexibilidad ya que la información circula con fluidez entre los usuarios
Una compañía ha actualizado recientemente su sistema heredado de compras, habilitando la
45 transmisión por EDI. ¿Cuál de los siguientes controles debería implementarse en el interface EDI
para brindar el mapeo (mapping) eficiente de los datos?
a) Verificación de claves (key verification)
b) Verificación uno a uno
c) Recálculo manual
d) Reconocimiento funcional
46 El propósito de los programas de depuración (debugging) es:
a) Generar datos al azar que puedan ser usados para probar programas antes de implementarlos
b) Proteger los cambios válidos de ser borrados (overwritten) por otros cambios durante la programación
c) Definir los costos de desarrollo y mantenimiento de programas para incluirlos en el estudio de viabilidad
d) Asegurar que las terminaciones anormales y los defectos (flaws) de codificación son detectados y corregidos
¿Cuál de los siguientes es un dispositivo de hardware que descarga al ordenador central de realizar
47
el control de la red, conversión de formatos y las tareas de manejo de mensajes?
a) Spool - (operaciones periféricas simultáneas en línea) / gestión del orden de impresión) (Simultaneous Peripheral
Operations Online)
b) Controlador de agrupación (Controlador cluster) (cluster controller)
c) Convertidor de protocolos (Protocol Converter)
d) Procesador frontal (front-end)
Agora, Individuo y Organización 7

8. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes sería considerado el mejor ejemplo de contraseña (password) adecuada para
48
acceder a un sistema?
a) XWA3
b) LARRY2
c) TWC2H
d) TRYC45OPB
¿Cuál de los siguientes es un control para detectar un cambio no autorizado en un entorno de
49
producción?
a) Negar al programador acceso a los datos de producción
b) Requerir que las solicitudes de cambio incluyan información sobre las fechas, descripciones, análisis de costos y
efectos anticipados
c) Ejecutar un programa de comparación de fuentes entre el fuente de control y el fuente actual periódicamente
d) Establecer procedimientos par los cambios de emergencia
¿Cuál de los siguientes es un riesgo de implementación dentro de un proceso de sistemas de soporte a
50
la decisión?
a) Control de gestión (management control)
b) Decisiones semi estructuradas
c) Incapacidad para especificar propósitos y modelos de uso
d) Cambios en los procesos de decisión
51 ¿Cuál de los siguientes tipos de cortafuegos podría proteger mejor una red de un ataque en Internet?
a) Un cortafuegos de filtrado de sub- red (screened sub-net firewall)
b) Una pasarela de filtrado de aplicación
c) Un ruteador de filtrado de paquetes
d) Una pasarela de nivel de circuito
En las ubicaciones 3a, 1d, y 3d, el diagrama indica que existen hubs cuyas líneas parecen estar
52 abiertas y activas. Asumiendo que sea cierto, ¿que control(es), si procede, serían recomendables para
mitigar esta debilidad?
a) Un hub inteligente
b) Seguridad física sobre los hubs
c) Seguridad física y un hub inteligente
d) No son necesarios controles ya que ésta no es una debilidad
Agora, Individuo y Organización 8

9. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Según se procesan las actualizaciones de un sistema on-line de entrada de órdenes, las actualizaciones
son grabadas en una cinta de transacción y en un registro (log) de transacciones impreso (hardcopy).
Al finalizar el día, los archivos de entrada de órdenes son copiados en una cinta. Durante el
53
procedimiento de copia de respaldo (backup), se produce un problema en el dispositivo del disco y se
pierden los ficheros de entrada de órdenes. ¿Cuál de los siguientes es necesario para restaurar esos
ficheros?
a) El fichero de respaldo (backup) del día anterior y la cinta actual de transacciones
b) El fichero de transacciones del día anterior y la cinta actual de transacciones
c) La cinta actual de transacciones y el hardcopy actual del log de transacciones
d) El hardcopy actual del log de transacciones de hoy y el fichero de transacciones del día anterior
¿Cuál de los siguientes pares de funciones no deben ser combinados para brindar una adecuada
54
segregación de funciones?
a) Bibliotecario de cintas (tape librarian) y operador del ordenador
b) Programador de aplicaciones y entrada de datos (data entry)
c) Analista funcional y administrador de base de datos
d) Administrador de seguridad y aseguramiento de calidad (quality assurance)
El software de monitoreo / supervisión y control (monitoring) de la capacidad es usado para
55
asegurar:
a) El uso máximo de la capacidad disponible
b) Que las adquisiciones futuras satisfagan las demandas de funcionalidad del usuario
c) El uso concurrente de un gran número de usuarios
d) La continuidad de una operación /explotación eficiente
¿Cuál de los siguientes programas “applet” de intrusión supone el mayor riesgo de interrupción en
56
una organización?
a) Un programa que deposita un virus en un ordenador cliente
b) Applets que graban las teclas pulsadas del teclado y consecuentemente las contraseñas
c) Descargan código que lee ficheros del disco duro del ordenador cliente
d) Applets que dañan máquinas en la red al establecer conexiones desde la máquina cliente
Un auditor de SI que revisa el desarrollo de sistemas en Internet determina que la mejor razón por la
57
cual el desarrollador de sistemas está usando applets es porque:
a) Es enviado a través de la red desde el servidor web
b) El servidor no ejecuta el programa y la salida (output) no es enviada a través de la red
c) Mejoran el rendimiento (performance) tanto del servidor web como de la red
d) Es un programa JAVA bajado (downloaded) a través del browser de la web, ejecutado en la máquina cliente desde
el servidor Web
Un programa de software independiente que conecta dos aplicaciones que de otro modo estarían
58
separadas, para compartir recursos de cómputo a través de tecnologías heterogéneas se conoce como:
a) Middleware
b) Firmware
c) Software
d) Sistemas empotrados (embedded systems)
Un auditor de SI que participa en proyectos de desarrollo de nuevo software brindará una mayor
59
contribución y la organización experimentará mayor eficiencia si:
a) Se establecen procedimientos para identificar y documentar las necesidades y los requisitos de los usuarios
b) Los procedimientos para almacenar el software desarrollado están definidos en las fases del ciclo de vida del
desarrollo de sistemas
c) Los entornos de desarrollo, prueba y producción están definidos separadamente unos de otros
d) Se establecen procedimientos y directrices formales que identifican cada fase del ciclo de vida del desarrollo de
sistemas
Agora, Individuo y Organización 9

10. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes programas “applet” de intrusión supone el mayor riesgo de interrupción en
60
una organización?
a) Un programa que deposita un virus en un ordenador cliente
b) Applets que graban las teclas pulsadas del teclado y consecuentemente las contraseñas
c) Descargan código que lee ficheros del disco duro del ordenador cliente
d) Applets que dañan máquinas en la red al establecer conexiones desde la máquina cliente
¿Cuál de los siguientes no debería ser un criterio relacionado con la decisión de adquisición de
61
software de sistemas?
a) Costes del hardware y software
b) Integración con el entorno existente
c) Similitud del sistema de software adquirido con el que está actualmente en uso
d) Adecuación del software propuesto con el entorno informático deseado
La necesidad de que se modifiquen las rutinas de validación y edición para mejorar la eficiencia está
62
normalmente indicada por:
a) Cancelaciones (overrides) excesivas
b) Un informe de actividades de cancelaciones (override activity report)
c) Control y corrección de errores
d) Separación de funciones
Al revisar la seguridad de un Centro de Proceso de Datos, un Auditor de SI buscaría la existencia de
63
un estabilizador de corriente (voltage regulator) para:
a) Proteger el hardware contra aumentos repentinos de tensión
b) Mantener la continuidad si la fuente principal de energía se interrumpe
c) Mantener una fuente de energía inmediata si la fuente principal se pierde
d) Proteger el hardware contra fluctuaciones de tensión de larga duración
64 ¿Cuál de los siguientes medios de transmisión no se vería afectado por un cross-talk o interferencia?
a) Sistemas de fibra óptica
b) Circuitos de pares trenzados – Circuito de “par torcido” (twisted pair)
c) Sistemas de radio por microondas
d) Sistemas de enlace de radio por satélite
Cuando un auditor de SI obtiene un listado de los usuarios actuales que tienen acceso a la WAN/LAN
65 seleccionada y verifica que los que están en la lista son asociados/usuarios (associates) activos, el
auditor de SI está realizando un(a):
a) Prueba de cumplimiento
b) Prueba sustantiva
c) Muestreo estadístico
d) Evaluación de Riesgos
¿Cuál de los siguientes procesos sería realizado primero por el sistema cuando se inicia una sesión en
66
un sistema interactivo (“on-line”)?
a) Iniciación
b) Verificación
c) Autorización
d) Autenticación
Una compañía usa un banco para procesar su nómina semanal. Las hojas de tiempo (time sheets) y
los formularios de ajuste de la nómina (por ejemplo los cambios de tarifa horaria, las
67
terminaciones/bajas (terminations) son completados y entregados al banco, que prepara cheques e
informes para su distribución. Para asegurar mejor la exactitud de los datos de la nómina:
a) Los informes de la nómina deben ser comparados con los formularios de entrada
b) La nómina bruta debe ser recalculada manualmente
c) Los cheques deben ser comparados con los formularios de entrada
d) Los cheques deben ser reconciliados con los informes de salida
Agora, Individuo y Organización 10

11. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de las siguientes exposiciones de acceso lógico suponen cambios previos en los datos, o
68
mientras son introducidos en el ordenador?
a) Cambio malintencionado de datos (Data Diddling)
b) Caballo de Troya (Trojan Horse)
c) Gusano (Worm.)
d) Técnica de salami (Salami Technique)
¿Cuál de las siguientes no es una característica de un Sistema de Alimentación Ininterrumpida, SAI
69
(Uninterruptible Power Supply -UPS)?
a) Un SAI proporciona alimentación eléctrica a un ordenador en el caso de un fallo en la alimentación
b) Un sistema SAI es una pieza externa del equipo o puede ser construida dentro del equipo mismo
c) Un SAI debe funcionar permitiendo un apagado ordenado del ordenador
d) Un SAI usa una mayor potencia en el ordenador para asegurar que haya suficiente potencia disponible
Mientras llevaba a cabo un programa de auto evaluación de control (control self assessment – CSA),
un auditor de SI realizó talleres de trabajo (workshops) que incluían a la gerencia y al personal
70
(staff) en la evaluación (judging) y supervisión (monitoring) de la eficacia de los controles existentes.
¿Cuál de los siguientes es un objetivo de un programa de CSA?
a) Desarrollar (enhance) las responsabilidades de auditoría
b) Identificar problemas
c) Considerar (brainstorm) soluciones
d) Completar toda la auditoría
71 Todos los siguientes son controles de entrada, excepto:
a) Totales de lotes (batch totals)
b) Totales monetarios
c) Totales de pasada en pasada (run-to-run totals)
d) Totales de comprobación (hash totals)
Durante la revisión de la post implantación de un sistema de gestión de recursos de empresa
72
(enterprise resource management system) un auditor de SI más probablemente:
a) Revisaría la configuración del control de accesos
b) Evaluaría las pruebas de interfaz
c) Revisaría la documentación del diseño detallado
d) Evaluaría las pruebas del sistema
¿Cuál de las siguientes afirmaciones relativas a la Reingeniería de Procesos de Negocio (BPR -
73
Business Process Re-engineering) es verdadera?
a) Los proyectos BPR producen inquietud (concern) ya que a menudo llevan a un incremento en el número de
personas que utilizan la tecnología
b) Se logran reducciones significativas de costes mediante la reducción de la complejidad y volatilidad en la
tecnología de la información (TI)
c) Los proyectos BPR inducen a estructuras organizativas más débiles y con menor asignación de responsabilidad
(accountability)
d) La protección de la información es un riesgo mayor ya que es más probable que su protección entre en conflicto
con el proceso BPR
¿Cuál de los siguientes describe mejor el impacto que un diseño de cortafuegos (“firewall”) y una
74 estrategia de implementación eficaces tienen como facilitador de una mejor seguridad de la
información?
a) Una fuente de información detallada sobre la seguridad de la red
b) Un punto focal para la auditoría de la seguridad, tanto interna como externa
c) Una oportunidad de reducir significativamente la amenaza de intrusión (“hacking”) interna
d) Una oportunidad para eliminar de raíz conexiones no documentadas y poner todos los accesos remotos en línea con
la política escrita
Agora, Individuo y Organización 11

12. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes procedimientos realizaría un auditor de SI para, de la mejor forma,
75
determinar si existen procedimientos adecuados de recuperación / rearranque (recovery/restart)?
a) Revisar el código del programa
b) Revisar la documentación de operaciones
c) Apagar la UPS (SAI - Unidad ininterrumpible de energía) y a continuación cortar la energía (power)
d) Revisar la documentación de programas
76 ¿Cuál de las siguientes no es una ventaja del procesamiento de imágenes?
a) Verifica firmas
b) Mejora el servicio
c) Relativamente barato de usar
d) Reduce el deterioro debido al manejo
¿Cuál de las siguientes estrategias de recuperación del negocio requeriría el menor desembolso de
77
fondos?
a) Instalación Warm site
b) Instalación Empty shell
c) Subscripción a un Hot site
d) Acuerdo recíproco
78 Un administrador de Base de Datos es responsable de:
a) Mantener la seguridad de acceso de los datos que residen en los ordenadores
b) Implantar los controles de definición de la base de datos
c) Otorgar los derechos de acceso a los usuarios
d) Definir la estructura de los datos del sistema
La evaluación de riesgos realizada por los auditores de SI son un factor crítico en la planificación de
79
auditoría. Se debe hacer una evaluación de riesgos para brindar una:
a) Garantía razonable de que los ítems materiales serán cubiertos durante le trabajo de auditoría
b) Garantía suficiente de que los ítems materiales serán cubiertos durante el trabajo de auditoría
c) Garantía razonable de que todos los ítems serán cubiertos durante el trabajo de auditoría
d) Garantía suficiente de que todos los ítems serán cubiertos durante el trabajo de auditoría
Un auditor de SI evalúa el resultado de las pruebas de una modificación substancial a un módulo de
un sistema en producción que se ocupa de la computación de pagos. El auditor de SI encuentra que
80
un 50% de los cálculos no se corresponden con los totales predeterminados. ¿Cuál de los siguientes
sería más probablemente el siguiente paso en la auditoria?
a) Diseñar más pruebas de los cálculos que dan errores
b) Identificar otras variables que pueden dar lugar a resultados inexactos en las pruebas
c) Examinar algunos de los casos con cálculos incorrectos para confirmar los resultados
d) Documentar los resultados y preparar el informe de hallazgos, conclusiones y recomendaciones
81 La función principal del auditor de SI en la fase de diseño de sistemas de un proyecto de desarrollo
de aplicación es para:
a) Aconsejar sobre procedimientos de control específicos y detallados
b) Asegurar que el diseño refleja con precisión los requerimientos
c) Asegurar que todos lo controles necesarios son incluidos en el diseño inicial
d) Aconsejar al gerente de desarrollo sobre el cumplimiento del calendario
82 ¿Cuál de los siguientes informes automatizados mide las transmisiones de telecomunicaciones y
determina si las transmisiones han sido completadas con exactitud?
a) Gestión o monitores de (monitors) on-line
b) Informes de tiempo sin servicio (down time)
c) Informes de centro de soporte (help desk)
d) Informes de tiempo de respuesta
Agora, Individuo y Organización 12

13. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
83 ¿Cuál de los siguientes brinda el medio más efectivo para determinar qué controles funcionan
adecuadamente en un sistema operativo?
a) Consultar con el vendedor
b) Revisar la guía de instalación del vendedor
c) Consultar con el programador de sistemas
d) Revisar los parámetros de generación del sistema
84 La autenticación es un proceso por el cual el:
a) sistema verifica que los usuarios están acreditados para introducir (input) la transacción solicitada
b) sistema verifica la identidad del usuario
c) usuario se identifica a si mismo en el sistema
d) usuario indica al sistema que la transacción fue procesada correctamente
Un control general de hardware que ayuda a detectar errores de datos cuando éstos son transmitidos
85
desde un ordenador a otro, se conoce como una:
a) Verificación duplicada (duplicate check)
b) Revisión de tabla (table look up)
c) Verificación de validez (validate check)
d) Verificación de paridad (parity check)
¿Cuál de los siguientes es un control más eficaz sobre el acceso de visitas a un centro de proceso de
86
datos?
a) Los visitantes son escoltados
b) Se requieren identificaciones de visitantes (visitor badge)
c) Los visitantes tienen que firmar en el registro de entrada
d) Los visitantes son reconocidos rápidamente (spot-checked) por los operadores
87 ¿Cuál de los siguientes es una técnica de gestión que permite a las organizaciones desarrollar más
rápidamente sistemas estratégicamente importantes, al mismo tiempo que se reducen los costes de
desarrollo y se mantiene la calidad?
a) Análisis de puntos de función
b) Metodología del Camino Crítico/ Método de la ruta crítica/ Critical Path Methodology
c) Desarrollo rápido de aplicaciones/ Rapid Application Development
d) Técnica de revisión de la evaluación de programas (Program evaluation review technique)
¿Cuál de los siguientes no es un control de aplicación que pueda probablemente ser encontrado en un
88
interfaz EDI?
a) Totales de comprobación (Hash totals)
b) Verificaciones de eco (echo cheks)
c) Contador de registros (record counts)
d) Verificaciones de validación
89 Los datos confidenciales en un PC están mejor protegidos por:
a) Una contraseña (password)
b) Cifrado del fichero
c) Disquetes removibles
d) Fuente de energía activada por llave
90 La infraestructura de clave pública (PKI-Public key infraestructure) integra a todos los siguientes en
la arquitectura de una red amplia empresarial (entreprise-wide network), excepto:
a) Criptosistema de clave pública (public key cryptosystem)
b) Certificados digitales
c) Autoridades de Certificación
d) Gestión de la clave de contraseñas
Agora, Individuo y Organización 13

14. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
91 ¿Cuál de las siguientes afirmaciones relativas a los almacenes de datos (data warehouses) es falsa?
a) Un almacén de datos esta diseñado específicamente para el soporte en la toma de decisiones
b) La calidad de los datos en un almacén de datos debe ser muy alta
c) Los almacenes de datos se crean a partir de bases de datos preexistentes, ficheros, e información externa
d) Un almacén de datos sólo debe ser utilizado por la alta dirección, debido a la sensibilidad de la información
92 Muchas organizaciones requieren que un empleado tome obligatoriamente vacaciones de una
semana o más con el fin de:
a) Asegurar que el empleado mantenga una calidad de vida, que conduce a una mayor productividad
b) Reducir la oportunidad a un empleado de cometer un acto inadecuado o ilegal
c) Brindar un adecuado entrenamiento cruzado para otro empleado
d) Eliminar el potencial trastorno causado cuando un empleado toma vacaciones de un día por vez
¿Cuál de los siguientes debe ser probado si un programa de aplicación es modificado en un
93
procedimiento autorizado de mantenimiento?
a) La integridad de la base de datos
b) El segmento del programa que haya sido modificado
c) Los controles de acceso para el programador de aplicaciones
d) El programa completo, incluyendo cualquier interfaz de sistemas
¿En cuál de las siguientes situaciones un procedimiento de reinicio desde el punto de verificación
94
(“checkpoint/restart”) no permitiría la recuperación?
a) Se experimenta un fallo temporal del hardware
b) Se cargan (loading) cintas fuera de secuencia en un fichero multivolumen
c) Se completa la ejecución de una versión incorrecta del programa
d) Se sufre la pérdida temporal del suministro eléctrico del Centro de Datos durante la ejecución
95 Las contraseñas (Passwords) deben ser:
a) Asignadas por el Administrador de seguridad
b) Cambiadas cada 30 días a discreción del usuario
c) Vueltas a usar a menudo para asegurarse de que el usuario no olvida la contraseña
d) Mostradas en pantalla para que el usuario puede comprobar que la ha entrado correctamente
¿En qué fase del desarrollo de un sistema debería un auditor de SI considerar, en primer lugar, los
96
controles de aplicación?
a) Construcción
b) Diseño del sistema
c) Pruebas de aceptación
d) Especificaciones funcionales
97 Los procedimientos para controles sobre el procesamiento (processing) incluyen:
a) Totales de comprobación (Hash totals)
b) Verificaciones de razonabilidad (Reasonableness checks)
c) Controles de acceso on-line.
d) Informes (Reporting) de la imagen antes y después
98 ¿Cuál de las siguientes no es una ventaja de la formación cruzada (cross-training) de empleados?
a) Proporciona planes de sustitución
b) Reduce la dependencia en un empleado
c) Proporciona personal de respaldo (back-up) en caso de ausencia
d) Permite a los individuos comprender todas las partes de un sistema
Los auditores de SI deben tener una sólida comprensión del proceso de evaluación de riesgos. La
99
evaluación de riesgos es un:
a) Proceso subjetivo
b) Proceso objetivo
c) Proceso matemático
d) Proceso estadístico
Agora, Individuo y Organización 14

15. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Una organización ha externalizado (outsourced) el soporte de red y de usuarios finales (desktop).
Aunque la relación ha sido razonablemente satisfactoria, los riesgos permanecen debido a cuestiones
100
de conectividad. ¿Cuál de los siguientes controles debería implantarse primero para asegurar que la
organización mitiga razonablemente estos posibles riesgos?
a) Programas de protección de la red
b) Cifrado/Autenticación
c) Cobertura de información (reporting) adecuada entre las organizaciones
d) Adecuada definición de la relación contractual
¿Cuál de los siguientes conceptos de control debería ser incluido en unas pruebas globales
101
(comprehensive) de los procedimientos de recuperación de desastres?
a) Solicitar la participación del cliente
b) Implicar a todo el personal técnico
c) Cambiar rotativamente a los responsables de la recuperación
d) Instalar almacenamiento local de las copias de respaldo (back-up)
¿Cuál de los siguientes riesgos en sistemas informáticos se incrementaría con la instalación de un
102
sistema de base de datos:
a) Errores de programación
b) Errores de entrada de datos
c) Acceso indebido a ficheros
d) Pérdida de paridad
¿Cuál de las siguientes sentencias es verdadera en relación al uso de criptografía de clave pública
103
para asegurar los datos mientras están siendo transmitidos a través de una red?
a) En la criptografía de clave pública tanto la clave usada para cifrar como para descifrar se hacen públicas
b) En la criptografía de clave pública la clave usada para cifrar se mantiene privada pero la clave usada para descifrar
de los datos se hace pública
c) En la criptografía de clave pública la clave usada para cifrar se hace pública pero la clave usada para descifrar se
mantiene privada
d) En la criptografía de clave pública tanto la clave usada para cifrar como para descifrar los datos se mantienen
privadas
¿Cuál de las siguientes ediciones de validación de datos es eficaz para detectar errores de
104
transposición y de transcripción?
a) Verificación de rango (Range check)
b) Dígito de verificación/control (Check digit)
c) Verificación de validez (Validity check)
d) Verificación duplicada (Duplicate check)
Un auditor de SI ha descubierto recientemente que a causa de una escasez de personal de
operaciones cualificado, el Administrador de Seguridad ha estado de acuerdo en trabajar un mes en
105
el último turno de noche como operador senior del ordenador. La acción más apropiada que el
auditor de SI debería tomar es:
a) Advertir a la dirección general (senior management) del riesgo que implica
b) Estar de acuerdo en trabajar con el Responsable de Seguridad en estos turnos como una forma de control
preventivo
c) Desarrollar una técnica de auditoría asistida por ordenador para detectar casos de abusos de este acuerdo
d) Revisar los registros (logs) de sistema de cada último turno de noche para determinar si ha ocurrido alguna acción
irregular
La primera tarea que debe realizar un auditor de SI cuando realiza una nueva auditoría en un área
106
con la que no está familiarizado es:
a) Diseñar los programas de auditoría para cada sistema o función involucrada
b) Desarrollar un conjunto de pruebas de cumplimiento y de pruebas sustantivas
c) Recopilar información de referencia (background) pertinente para la nueva auditoría
d) Asignar recursos humanos y económicos
Agora, Individuo y Organización 15

16. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de las siguientes afirmaciones es cierta comparando el cifrado de enlace (encription link) con
107
la comunicación cifrada de datos punto a punto (end to end)?
a) El cifrado punto a punto requiere que la cabecera (header) de la información esté cifrada
b) La gestión de las claves es más fácil en el cifrado punto a punto (end to end)
c) El cifrado de enlace no cifra la cabecera de la información
d) La gestión de las claves es más fácil con el cifrado de enlace
¿Durante cuál de las siguientes fases en el desarrollo de sistemas deberían ser, normalmente,
108
preparados los planes para las pruebas de aceptación de usuario?
a) Estudio de viabilidad
b) Definición de requerimientos
c) Planificación de la implementación
d) Revisión post implementación
¿Cuál de los siguientes tipos de validación y edición de datos se utiliza para determinar si un campo
109
contiene datos y no ceros o blancos?
a) Dígito de control/verificación (Check digit)
b) Verificación de existencia (Existence check)
c) Verificación de totalidad (completeness)
d) Verificación de razonabilidad
El auditor de SI ha determinado que la protección de los ficheros del ordenador es inadecuada.
110
¿Cuál de los siguientes es menos probable que haya causado el problema?
a) Acuerdos para instalaciones informáticas de respaldo compatibles (compatible backup computer facilities)
b) Procedimientos para la distribución (release) de ficheros
c) Procedimientos de almacenamiento externo
d) Controles de entorno (environmental controls)
111 Los controles de hardware son aquellos que:
a) Son verificados con una auditoría a través del ordenador
b) Se refieren al acceso al ordenador
c) Están incluidos en el software básico propio del equipo hardware
d) Fueron incluidos (built into) en el equipo por el fabricante
¿Cuál de los siguientes es el primer punto en el cual deberían implementarse totales de control para
112
prevenir la pérdida de datos durante el ciclo de proceso?
a) Durante la preparación de los datos
b) En el tránsito al ordenador
c) Entre ejecuciones relacionadas del ordenador (computer runs)
d) Durante el retorno de los datos al departamento usuario
¿Cuál de los siguientes métodos de brindar continuidad de las telecomunicaciones incluye
113 encaminamiento (routing) del tráfico a través de circuitos (cable facilities) duplicados o
divididos/múltiples (split)?
a) Enrutamiento diversificado (Diverse routing)
b) Enrutamiento alternativo (Alternative routing)
c) Redundancia
d) Diversidad de red de larga distancia (Long haul network diversity)
Un auditor de SI que planifica pruebas de la conexión entre dos o más componentes de un sistema
114
que pasan información de un área a otra emplearía:
a) Pruebas piloto
b) Pruebas paralelas
c) Pruebas de interfaz
d) Pruebas de regresión
Agora, Individuo y Organización 16

17. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El propósito principal de probar periódicamente el hardware de las instalaciones alternativas (off-
115
site) de respaldo es:
a) Asegurar la integridad de los datos en la base de datos
b) Eliminar la necesidad de desarrollar en detalle los planes de contingencia
c) Asegurar la compatibilidad permanente de las instalaciones de contingencia
d) Asegurar que la documentación de los programas y sistemas se mantiene actualizada
¿Cuál de los siguientes tipos de evidencia se consideraría como más fiable para ayudar a un auditor
116
de SI a desarrollar las conclusiones de auditoría?
a) Una carta de confirmación recibida de un tercero para verificar el saldo de una cuenta
b) Garantía obtenida por medio de una auto evaluación de control recibida de un gerente de línea/ Directivo de
departamento (line management), de que una aplicación funciona tal y como se ha diseñado
c) Datos sobre tendencias obtenidos de fuentes WWW (Internet)
d) Análisis de ratios efectuados por el auditor de SI con informes facilitados por directivos de departamentos (line
management)
Una política escrita de seguridad sirve para aumentar la conciencia en la seguridad y debe incluir
117
todos los siguientes componentes claves excepto:
a) Un inventario de software y hardware de ordenador
b) Aprobación de la Gerencia en apoyo de la política
c) Proceso de autorización para obtener acceso a la información automatizada
d) Filosofía de concienciación en los procedimientos de seguridad sobre la base de “necesidad de conocer”
Un PC “stand-alone” utilizado para procesar y almacenar información altamente sensitiva, necesita
118
ser enviado fuera de la instalación para ser reparado. El auditor de SI recomendaría que:
a) Se realice una copia de respaldo de la información sensitiva y esta sea eliminada (erase) usando las utilidades
adecuadas
b) Se firme un acuerdo de confidencialidad con la compañía de reparación
c) Se retire el disco duro antes de realizar el despacho
d) Se desmagnetice el disco duro antes del despacho
Un cajero automático (Automated Teller Machine o ATM) es un tipo especial de terminal de punto
119
de venta (Point of Sale Terminal) que:
a) Solamente permite retirar dinero en metálico y efectuar depósitos
b) Usualmente están instalados en zonas muy pobladas, para evitar el vandalismo
c) Emplea líneas de telecomunicaciones protegidas para la transmisión de datos
d) Debe satisfacer niveles muy altos de seguridad física y lógica
¿Cuál de las pruebas sustantivas siguientes examinan la exactitud, integridad (completeness),
120
consistencia y autorización de datos?
a) Prueba de integridad de datos
b) Prueba de integridad relacional
c) Prueba de integridad de dominio
d) Prueba de integridad referencial
La característica de la firma digital que asegura que el presunto (claimed) remitente de un mensaje
121
no pueda negar posteriormente su autoría y envío de este, es:
a) Integridad de datos
b) Autenticación
c) No repudio
d) Protección de re-envío / contestación (replay)
¿Cuál de los siguientes productos CASE (computer aided software engineering) se usa para
122
desarrollar diseños de detalle, tales como pantallas o representaciones de informes (report layouts)?
a) Case supremo (super)
b) Case superior (upper)
c) Case medio (middle)
d) Case inferior (lower)
Agora, Individuo y Organización 17

18. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
Las convenciones para nombrar recursos del sistema son un requisito previo importante para el
123
control de acceso porque:
a) Aseguran que los nombres de los recursos no son ambiguos
b) Reducen la cantidad de reglas requeridas para proteger adecuadamente los recursos
c) Aseguran que el acceso del usuario a los recursos esté identificado de forma clara y exclusiva
d) Aseguran que se utilizan nombres reconocidos internacionalmente para proteger los recursos
Una organización propone implantar una utilidad para el inicio único de sesión (single sign-on
124
facility) dando acceso a todos los sistemas. El auditor de SI debe señalar que:
a) Se permitiría un acceso máximo no autorizado, si se descubriese la contraseña
b) Los derechos de acceso de usuarios deberían ser restringidos con parámetros adicionales de seguridad
c) Se incrementaría la carga de trabajo del administrador de seguridad
d) Se incrementarían los derechos de acceso de los usuarios
125 Una distinción que puede hacerse entre las pruebas de cumplimiento y las sustantivas es:
a) Las pruebas de cumplimento comprueban detalles, mientras que las sustantivas comprueban procedimientos
b) Las pruebas de cumplimento comprueban controles, mientras que las sustantivas comprueban detalles
c) Las pruebas de cumplimento comprueban planes, mientras que las sustantivas comprueban procedimientos
d) Las pruebas de cumplimento comprueban requerimientos de regulación, mientras que las sustantivas comprueban
validaciones
Un auditor de SI que esté revisando las atribuciones y responsabilidades de un Administrador de
126 Base de Datos (DBA), es menos probable que espere que la descripción del puesto de trabajo del
DBA incluya:
a) Definición del esquema conceptual
b) Definición de las pruebas de seguridad e integridad
c) Coordinación con los usuarios en el desarrollo del modelo de datos
d) Mapeo (mapping) del modelo de datos con el esquema interno
¿Cuál de los siguientes consideraría el auditor de SI como el más importante a revisar cuando está
127
realizando una auditoría de continuidad del negocio?
a) Se contrata un “lugar caliente” (hot site) disponible cuando sea necesario
b) El manual de continuidad del negocio está actualizado y disponible
c) La cobertura del seguro es adecuada y se está al corriente de las primas
d) Las copias de respaldo (back-ups) se ejecutan periódicamente (timely basis) y se almacenan en otro lugar (off-site)
128 Los acuerdos de nivel de servicio (service level agreements) establecen:
a) Los niveles mínimos de servicio que debe prestar la dirección de SI
b) Los niveles mínimos de servicio que deben lograrse en caso de un desastre
c) Los niveles máximos de servicio que deben prestar los servicios de soporte de SI
d) Los niveles mínimos de capacidad de proceso que pueden ser afectados por un desastre
El administrador de la seguridad lógica debe tener restringido el acceso a solo en lectura para ¿cuál
129
de los siguientes ficheros?
a) Registro (log) del sistema
b) Parámetros de seguridad
c) Claves de usuarios
d) Perfiles de usuarios
Los controles diseñados para asegurar que no se pueden hacer cambios no autorizados a la
130
información una vez que esta reside en un fichero son conocidos como:
a) Controles de seguridad de datos
b) Controles de implantación
c) Controles de seguridad de programas
d) Controles de operaciones del ordenador
Agora, Individuo y Organización 18

19. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El uso de lenguajes de cuarta generación (4GLs) debería valorarse cuidadosamente frente a la
131
programación tradicional porque:
a) Pueden carecer de nivel de profundidad de comandos para realizar operaciones intensivas sobre datos
b) No pueden implementarse en ambos procesadores, mainframes y microcomputers
c) Generalmente contienen subsets de instrucciones complejas que requieren ser usados por usuarios expertos
d) No pueden acceder a registros de base de datos y producen salidas online complejas
132 ¿Cuál de las siguientes afirmaciones relativas a la seguridad en Internet es cierta?
a) Los cortafuegos (Firewalls) no pueden impedir el acceso de los hackers a la red corporativa
b) Los cortafuegos (Firewalls) se sitúan en el punto de acceso utilizado más frecuentemente entre la red corporativa e
Internet
c) Los datos corporativos cifrados están seguros mientras se transmiten a través de Internet
d) No todas las redes corporativas conectadas a Internet están sujetas a ataques
Las órdenes de venta se numeran automáticamente de forma secuencial en cada uno de los puntos de
venta del detallista. Las órdenes pequeñas se procesan directamente en cada punto de venta, los
133
pedidos grandes se envían a la instalación (facility) central de producción. ¿Cuál sería el control más
apropiado para asegurar que todas las órdenes transmitidas a producción se reciben correctamente?
a) Envío y reconciliación de la suma de transacciones y totales
b) Retransmitir de vuelta los datos al sitio local para comparar
c) Comparar los protocolos de comunicación de datos con las verificaciones de paridad (parity check)
d) Seguimiento (track) y comprobación de la secuencia numérica de las órdenes de venta en el centro de producción
¿Cuál de las siguientes técnicas proporciona la mejor protección de confidencialidad y autenticidad
134
en el mensaje de correo electrónico?
a) Firmando el mensaje utilizando la clave privada del remitente y cifrando el mensaje con la clave pública del
receptor
b) Firmando el mensaje utilizando la clave pública del remitente y cifrando el mensaje con la clave privada del
receptor
c) Firmando el mensaje utilizando la clave privada del receptor y cifrando el mensaje con la clave pública del
remitente
d) Firmando el mensaje utilizando la clave pública del receptor y cifrando el mensaje con la clave privada del
remitente
135 ¿Cuál de los siguientes describe mejor una utilidad integrada de prueba (integrated test facility)?
a) Una técnica que permite al auditor de SI introducir datos de pruebas en la ejecución real (run) de ordenador con el
fin de verificar que el tratamiento es correcto
b) La utilización de hardware y/o software para revisar y probar la funcionalidad de un sistema informático
c) Un método de utilizar opciones especiales de programación que permite imprimir la forma en que un programa
informático procesa una transacción determinada
d) Un procedimiento para etiquetar (tagging) y ampliar (extending) las transacciones y los registros maestros
utilizados por el auditor de SI en las pruebas
Una instalación de respaldo remota (off-site) que tenga cableado eléctrico, aire acondicionado, piso
136 falso, etc. pero ningún ordenador o equipo de comunicaciones, destinada para operar una instalación
de procesamiento de información (information processing facility) es más conocida como:
a) Cold site
b) Warm site
c) Dial up site
d) Instalación de procesamiento duplicado
¿Cuál de los siguientes indicadores reflejará con menor probabilidad que se considere, para la
137
operaciones de sistemas, una prestación de servicios (outsourcing) completa (total) o selectiva?
a) El atraso del desarrollo de aplicaciones es superior a tres años
b) Se necesita un año para desarrollar e implementar sistemas de alta prioridad
c) Más del 60% del coste de programación se dedica al mantenimiento de sistemas
d) Existen funciones de sistemas de información duplicadas en dos dependencias
Agora, Individuo y Organización 19

20. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes es el control más efectivo en el establecimiento de un control de acceso
138
mediante el uso de procedimientos de Sign-On?
a) Autorización y autenticación del usuario
b) Autenticación e identificación del usuario
c) Autorización, autenticación y localización del usuario
d) Autorización, autenticación, identificación y localización del usuario
139 El Auditor de SI, fomentará la utilización de estándares de codificación porque estos:
a) Definen las tablas de control de accesos
b) Detallan la documentación de programas
c) Estandarizan la metodología de diagramas de flujo
d) Aseguran el cumplimiento de convenciones de nombres de campos
140 En un proceso EDI, el dispositivo que transmite y que recibe documentos electrónicos es:
a) El gestor de comunicaciones (communications handler)
b) El traductor EDI
c) El interfaz de aplicaciones
d) El interfaz EDI
En el área 2c del diagrama, hay 3 nodos (hubs) conectados entre sí. ¿Qué riesgo potencial podría
141
indicar esto?
a) Ataque de virus
b) Degradación del rendimiento
c) Gestión insuficiente de controles
d) Vulnerabilidad a los ataques externos de hackers
Un programador se las arregló para tener acceso a la librería de producción, modificó un programa
que entonces se utilizó para actualizar una tabla sensitiva de la base de datos de la nómina, y
142
restauró posteriormente el programa original. ¿Cuál de los siguientes métodos es el más efectivo
para detectar estos cambios no autorizados?
a) Comparación del código fuente
b) Comparación del código ejecutable
c) Utilidad Integrada de prueba (Integrated Test Facilities) (ITF)
d) Revisión periódica de los ficheros de registros de transacciones (log)
Agora, Individuo y Organización 20

21. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes métodos de pruebas es el más eficaz durante las fases iniciales de un
143
prototipo?
a) Prueba del Sistema
b) Prueba en Paralelo
c) Prueba de Volumen
d) Prueba de Arriba a abajo (Top down)
¿Cuál de los siguientes principios debe existir para asegurar la viabilidad de una instalación de
144
procesamiento de información duplicada?
a) Que el sitio (site) esté cerca del sitio primario para asegurar que se logra una recuperación rápida y eficiente
b) Que el sitio contiene el hardware más avanzado disponible del vendedor escogido
c) Que la carga de trabajo del sitio primario es monitoreada para asegurar que el respaldo adecuado es completo
d) Que el hardware es probado cuando se instala para asegurar que está funcionando correctamente
Un auditor de SI que está revisando el plan estratégico de TI de una organización debe revisar en
145
primer lugar:
a) El entorno de tecnología de la información existente
b) El plan de negocio
c) El presupuesto de TI actual
d) Las tendencias actuales en tecnología
¿Una distinción importante que un auditor de SI debe realizar cuando evalúa y clasifica los controles
146
como preventivos, detectivos o correctivos es?
a) El punto donde y cuando los controles se realizan a medida que los datos fluyen a través del sistema
b) Sólo son relevantes los controles preventivos y detectivos
c) Los controles correctivos sólo pueden ser considerados como compensatorios
d) La clasificación permite al auditor de SI determinar qué controles no se realizan
147 La creación de una firma digital:
a) Cifra el mensaje
b) Verifica de quién viene el mensaje
c) No puede comprometerse cuando se utiliza una clave privada
d) No puede utilizarse con sistemas de correo electrónico
148 ¿Cuál de las siguientes es menos fiable como evidencia de auditoría?
a) Los resultados de extracciones de datos
b) Los resultados de casos de prueba (test cases)
c) Manifestaciones verbales
d) Registro de transacciones
149 Las convenciones de denominaciones en los controles de acceso no son:
a) Establecidas por los propietarios de los datos o aplicación
b) Dependientes de la importancia y nivel de seguridad que se necesita
c) Establecidas para promover la implementación de normas de acceso eficientes
d) Definidas con la asistencia del Administrador de base de datos
¿Cuál de los siguientes procedimientos no realizaría un auditor de SI en la planificación previa (pre-
150
audit) a la auditoría, para adquirir el conocimiento del entorno global sujeto a revisión?
a) Recorrer (tour) las actividades clave de la organización
b) Entrevistar a miembros clave de la Dirección clave para comprender los riesgos de negocio
c) Efectuar pruebas de cumplimiento para determinar si se cumplen los requisitos legales
d) Revisar informes de auditorías previas
La responsabilidad (accountability) del mantenimiento de las medidas apropiadas de seguridad
151
sobre los activos de información corresponde a:
a) Administrador de seguridad
b) Administrador de sistemas
c) Propietario de datos y sistemas
d) Grupo de servicio (delivery)/operaciones (operations) de sistemas
Agora, Individuo y Organización 21

22. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de las siguientes afirmaciones relativas a las redes de conmutación de paquetes (packet
152
switching) es verdad?
a) Todos los paquetes de un mensaje dado viajan por la misma ruta
b) Las contraseñas (passwords) no pueden ser integradas (embedded) dentro del paquete
c) Las longitudes del paquete son variables y cada paquete contiene la misma cantidad de información
d) Los costos cargados por la transmisión se basan en cada paquete, y no en la distancia o la ruta realizada
¿Cuál de los siguientes métodos de análisis de resultados, durante la prueba del plan de continuidad
153
del negocio (Business Continuity Plan- BCP), provee la mejor garantía de que el plan es viable?
a) Medición cuantitativa de los resultados de la prueba
b) Medición de la exactitud
c) Tiempo transcurrido para la realización de las tareas prescritas
d) Evaluación de los resultados observados de las pruebas
154 Las fases y los productos (deliverables) o entregas de un proyecto de SDLC deben ser determinados:
a) Durante las instancias más tempranas de planificación del proyecto
b) Después que la planificación inicial ha sido completada, pero antes que comience el trabajo
c) Durante las etapas de trabajo, las entregas o productos son determinados basándose en riesgos y exposiciones
d) Solamente después que todos los riesgos y las exposiciones han sido identificados y el auditor de SI ha
recomendado los controles apropiados
155 ¿Cuál de los siguientes asegura la totalidad (completeness) y exactitud de los datos acumulados?
a) Procedimientos de control de procesamiento
b) Procedimientos de control de ficheros de datos
c) Controles de salida
d) Controles de aplicación
156 Los controles de acceso lógico se emplean para proteger:
a) Consolas de operador
b) Instalaciones de almacenamiento informáticas
c) Clasificación y propiedad de datos
d) Cintas y discos en la librería de respaldo (back-up)
¿Cuál de los siguientes no se considera una ventaja de un paquete de software o software
157
paquetizado?
a) Coste reducido de desarrollo
b) Riesgo reducido de error lógico
c) Mejora de la eficiencia de proceso
d) Mejora de la flexibilidad debido a las características opcionales
Un Auditor de SI revisando los accesos al sistema operativo descubre que el sistema no está
158 asegurado (secured) adecuadamente. En esta situación el Auditor de SI es menos probable que esté
preocupado en que el usuario pueda:
a) Crear nuevos usuarios
b) Borrar la base de datos y los ficheros de registro (log).
c) Acceder a las herramientas de utilidades (utility) del sistema
d) Acceder a directorios escribibles (writeable) del sistema
159 La razón principal para habilitar pistas de auditoría es:
a) Mejorar el tiempo de respuesta para los usuarios
b) Establecer la responsabilidad y la atribución de esta (accountability) sobre las transacciones procesadas
c) Mejorar la eficiencia del sistema, ya que las pistas de auditoría no ocupan espacio en disco
d) Facilitar información útil a los auditores, quienes pudieran desear rastrear transacciones
160 Una ventaja del uso de “sitios calientes” (hot sites) como alternativa de respaldo es:
a) Los costos asociados con esta opción son bajos
b) Pueden ser usados por un período de tiempo muy extenso
c) Pueden estar listos para su operación en un breve lapso de tiempo
d) No requieren que el equipo y el software de sistemas sean compatibles con la instalación primaria que está siendo
respaldada (Backed-up)
Agora, Individuo y Organización 22

23. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
La base de conocimiento de un sistema experto que utiliza cuestionarios que guían al usuario a través
161
de una serie de opciones antes que se pueda llegar a una conclusión, se conoce como:
a) Reglas
b) Arboles de Decisión
c) Redes Semánticas
d) Diagramas de Flujo
¿Cuál de las siguientes frases respecto al impacto en los controles internos de un sistema EDI es
162
falsa?
a) La seguridad será, cada vez más, más importante
b) Los errores deben ser identificados y corregidos más rápidamente
c) Existirán menos oportunidades para revisión y autorización
d) La gestión de IPF (Information Processing Facility – Centro de proceso de información) tendrá mayores
responsabilidades sobre los controles del centro de datos
163 El método más efectivo de prevención del uso no autorizado de ficheros de datos es:
a) Entrada automática de ficheros
b) Gestor de cintas (Tape librarian)
c) Software de control de accesos
d) Librerías bloqueadas
Cuando está realizando una auditoría de la seguridad de una base de datos en una estructura de
164
cliente servidor, un auditor de SI debería estar más interesado acerca de la disponibilidad de:
a) Utilidades del sistema
b) Generadores de programas de aplicación
c) Documentación de la seguridad del sistema
d) Acceso a los procedimientos almacenados
¿Cuál de los siguientes traduce formatos de correo electrónico desde una red a otra de modo que el
165
mensaje pueda viajar a través de todas las redes?
a) Pasarela (Gateway)
b) Convertidor de protocolos
c) Procesador de comunicaciones inicial (front-end communication procesor)
d) Concentrador / multiplexor
¿Cuál de las siguientes es la consecuencia menos probable de unos procedimientos deficientes de
166
recuperación de desastre?
a) Que se puedan perder ingresos de la Compañía
b) Que se pueda trastornar la productividad organizacional
c) Que se puedan perder datos críticos
d) Que la compañía pueda quedar fuera del mercado
Al realizar una auditoría de la gestión de la planificación de los SI, ¿qué debería un auditor de SI
167
considerar como más relevante para la planificación a corto plazo para el Departamento de SI?
a) Asignación de recursos
b) Mantenerse actualizado con los avances de la tecnología
c) Realizar auto evaluaciones de control
d) Evaluar las necesidades de hardware
168 Un auditor de SI debe involucrarse en:
a) La observación de las pruebas del plan de recuperación de desastre
b) El desarrollo del plan de recuperación de desastre
c) El mantenimiento del plan de recuperación de desastre
d) La revisión de los requerimientos de recuperación de desastre de los contratos de proveedores
Agora, Individuo y Organización 23

24. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de las siguientes es una función de un Comité de Dirección de un sistema de información (IS
169
Steering Committee)?
a) Iniciar aplicaciones de ordenador
b) Asegurar el uso eficiente de los recursos de proceso de datos
c) Preparar, supervisar y gestionar (monitor) planes de implementación de sistemas
d) Revisar el rendimiento (performance) del departamento de sistemas
Un auditor de SI que está intentando determinar si el acceso a la documentación de programas está
170
restringida a personas autorizadas debería más probablemente:
a) Evaluar los planes de retención de registros para el almacenamiento fuera de las instalaciones (off-premises
storage)
b) Entrevistar a los programadores acerca de los procedimientos que se siguen en la actualidad
c) Comparar la utilización de registros con los planes de operaciones (operations schedules)
d) Revisar los registros de acceso a ficheros de datos para probar la función del librero /librarian
Cuando se está auditando un sistema operativo de mainframe, ¿qué podría hacer un auditor de SI
171
para establecer que funciones de control están funcionando?
a) Examinar los parámetros utilizados cuando el sistema fue generado
b) Discutir las opciones de los parámetros del sistema con el vendedor
c) Evaluar la documentación de sistemas y la guía de instalación
d) Consultar con los programadores del sistema
¿Cuál de los siguientes ítems de control general no sería normalmente encontrado en una auditoría
172
de procedimientos de programación por usuarios en un entorno informático de usuario final?
a) Procedimientos de registro (log) de consola
b) Procedimientos de control de cambios
c) Procedimientos de respaldo y recuperación
d) Procedimientos y estándares de documentación
La Dirección de SI ha informado recientemente al Auditor de SI sobre su decisión de desactivar
173 ciertos controles de integridad referencial en el sistema de Nóminas para ofrecer los usuarios un
generador de informes más rápido. Lo más probable es que esto incremente el riesgo de:
a) Entrada de datos por usuarios no autorizados
b) Pagar a un empleado inexistente
c) Que un empleado reciba una subida ilegal
d) Duplicar la introducción de datos por usuarios autorizados
¿Cuál de los siguientes métodos aseguraría mejor, la adecuación de un plan de recuperación de
174
desastre?
a) Revisiones periódicas de la vigencia de la información de detalle en el plan
b) Apagados (shut-downs) no anunciados de la instalación principal durante períodos tranquilos
c) Ejercicios periódicos de recuperación usando personal experto, entrenado para la ejecución de los procedimientos
de recuperación
d) Ejercicios de recuperación no anunciados a intervalos periódicos
¿Cuál de las siguientes es una técnica que puede ilegalmente capturar las contraseñas de usuarios en
175
la red?
a) Cifrado
b) Sniffing/Búsqueda
c) Spoofing / Burla
d) Destrucción de datos
176 El uso de técnicas de evaluación de riesgos no ayudará a determinar:
a) Las áreas o funciones de negocio a ser auditadas
b) La naturaleza, el alcance y la oportunidad (timing) de los procesos de auditoría
c) Los posibles hallazgos (findings) de auditoría, conclusiones y recomendaciones
d) La cantidad de tiempo y recursos a ser asignados a una auditoría
Agora, Individuo y Organización 24

25. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes brinda el mejor control de acceso a los datos de nómina que están siendo
177
procesado en un servidor local?
a) Registro (logging) de todos los accesos a la información del personal
b) Clave (password) distinta (separate) para transacciones sensitivas
c) Restricción por medio del software basado en las reglas de acceso del personal autorizado
d) Restricción basada en el horario de trabajo para el acceso al sistema
Los controles internos básicos diseñados en un sistema de aplicación se requieren para asegurar cada
178
uno de los siguientes, excepto que:
a) Todas las transacciones son iniciadas, ejecutadas, y registradas una vez, y sólo una vez
b) La información registrada permanece actualizada y exacta
c) Se previene el fraude intencional de naturaleza inmaterial
d) Las transacciones se ejecutan y registran de acuerdo con las intenciones de la Gerencia
179 ¿Cuál de los siguientes es un control detectivo antivirus?
a) Encaminar (route) todos los enlaces con sistemas externos a través de un cortafuegos (“firewall”)
b) Explorar (scan) todos los disquetes y CDs procedentes desde fuera de la Entidad antes de su uso
c) Explorar (scan) diariamente todos los ficheros de todos los servidores de ficheros, moviendo los ficheros
sospechosos a un área segura
d) Usar software antivirus para actualizar los ficheros de configuración de los antivirus de los usuarios cada vez que
ellos inician una sesión (login)
Durante la auditoría de un acuerdo recíproco para recuperación de desastre entre dos compañías, el
180
auditor de SI debería primariamente estar preocupado por:
a) La solidez del análisis de impacto
b) La compatibilidad del hardware y el software
c) Diferencias en las políticas y procedimientos de SI
d) La frecuencia de las pruebas del sistema
¿Cuál de las siguientes inquietudes acerca de la seguridad de un mensaje electrónico sería abordada
181
mediante firmas digitales?
a) Lectura no autorizada
b) Robo
c) Copia no autorizada
d) Alteración
¿En cuál de la siguiente documentación tendrá un Auditor de SI menos confianza, cuando esté
182 determinando la eficacia de la Gerencia en la comunicación de las políticas de sistemas de
información al personal apropiado?
a) Entrevistas con los usuarios y personal de Sistemas de Información
b) Minutas de las reuniones del Comité de Dirección de Sistemas de Información (Steering Committee)
c) Manuales de procedimientos y sistemas de los Departamentos de usuario
d) Manuales de procedimientos y operación de las instalaciones de proceso de información (Information Processing
Facilities)
183 El método más eficaz de limitar el impacto de un ataque de un virus de software es:
a) Controles mediante software
b) Políticas, normas y procedimientos
c) Controles de acceso lógico
d) Estándares de comunicación de datos
Cuando se está implantando un paquete de software de aplicación, ¿cuál de los siguientes representa
184
el mayor riesgo?
a) No se controlan las versiones múltiples del software
b) Los programas fuente no están sincronizados con el código objeto
c) No se establecen los parámetros correctamente
d) Errores de programación
Agora, Individuo y Organización 25

26. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
¿Cuál de los siguientes esperaría encontrar un auditor de SI en una petición de propuestas (RFP), o
185
una petición de oferta pública (ITT), en cuanto a la provisión del hardware del equipo ?
a) Requerimientos de soporte y mantenimiento para después de la implantación
b) Detalles completos del hardware y software actual del equipo
c) El presupuesto máximo permitido para el proyecto
d) Información corporativa, políticas de seguridad, normativa y procedimientos
¿Cuál de los siguientes sería el más apropiado para asegurar la confidencialidad de las transacciones
186
iniciadas vía Internet?
a) Firma Digital
b) Estándar de cifrado de datos/Data Encryption Standard (DES)
c) Red virtual privada - Virtual Private Network (VPN)
d) Cifrado de clave pública
Todos los siguientes son usados como técnicas de estimación de costes durante la fase de planificación
187
del proyecto, excepto:
a) Diagramas PERT
b) Puntos de función
c) Técnica delphi
d) Juicio de experto
Durante una revisión de las reglas de acceso a los sistemas, un auditor de SI observó que el personal
188 de soporte técnico tiene un acceso ilimitado a todos los datos y programas. Esta autoridad de acceso
es:
a) Apropiada, pero todos los accesos deben ser registrados (logged)
b) Apropiada, porque el personal de soporte técnico puede acceder a todos los ficheros de datos y pro gramas
c) Inapropiada, ya que el acceso debe ser limitado en la medida de aquello que se necesita conocer (need-to-know)
independientemente de su posición
d) Inapropiada, porque el personal de soporte técnico tiene la posibilidad de ejecutar sistemas
189 ¿Cuál de los siguientes no seria considerado un control general?
a) Procedimientos de control de cambios
b) Control de acceso lógico
c) Cuadre de los totales de control diario
d) Procedimientos de desarrollo de sistemas
Un auditor de SI acaba de terminar una revisión integral de una organización que incluye un
mainframe central y un entorno de cliente servidor donde residen todos los datos de producción y ha
190
descubierto algunas debilidades de control. ¿cuál de las siguientes debilidades debería ser
considerada como la más seria?
a) El oficial de seguridad (Security Officer) también actúa como Administrador de la Base de Datos
b) No se administran controles de contraseñas (passwords) en el entorno de cliente servidor
c) No hay un plan de continuidad de negocio para las aplicaciones no críticas del sistema de mainframe
d) La mayoría de las redes de área local no realizan regularmente copias de respaldo (back-up) del disco fijo del
servidor de ficheros
191 Para verificar la transmisión completa y exacta de los datos, un auditor de SI debe:
a) Revisar los registros (logs) de problemas de transmisión del equipo, y de mantenimiento
b) Revisar los procedimientos de copias de respaldo y de recuperación de los datos
c) Determinar si todos los ficheros de programas están protegidos con claves
d) Realizar pruebas de los procedimientos de reconciliación a nivel de microordenadores y del mainframe
¿Cuál de los siguientes es el procedimiento de control más efectivo para la seguridad de un entorno
192
de negocio pequeño con ordenadores aislados (stand-alone)?
a) Supervisión del uso del ordenador
b) Revisión de la gestión diaria del registro (log) de problemas
c) Depósito (storage) de los dispositivos de almacenamiento en una sala cerrada
d) Revisión independiente del diseño de un sistema de aplicación
Agora, Individuo y Organización 26

27. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El objetivo del diseño de pruebas del software es para brindar la mayor probabilidad de encontrar la
193 mayor cantidad de errores con un mínimo de tiempo y esfuerzo. ¿Cuál de los siguientes métodos es el
menos probable que alcance estos objetivos de diseño?
a) Las pruebas de caja negra (black box tests) que son usadas para determinar que las funciones del software están
operativas
b) Las pruebas de caja blanca (white box testing) supuestas para un examen minucioso de los detalles de
procedimiento (procedural detail) de todos los caminos (path) lógicos del software
c) Pruebas de regresión al realizar pruebas previas para asegurar que no se han introducido nuevos errores
d) Diseño de pruebas de software que proporcione pruebas de unidad, integración, sistemas y aceptación
¿Cuál de entre los siguientes procedimientos de auditoría sería menos probable que un auditor de SI
194
lo incluyera en una auditoría de seguridad?
a) Revisión de la eficacia y utilización de los activos
b) Pruebas para determinar que el acceso a los activos es adecuado
c) Validación de las políticas de acceso físico, lógico y de entorno por perfiles de funciones (job profiles)
d) Evaluación de la protección de activos y procedimientos que previenen frente a acceso no autorizado a los activos
195 ¿Cuál de las siguientes no es una ventaja de la utilización de Análisis Estructurado (SA)?
a) SA soporta herramientas CASE
b) SA permite considerar rápidamente las necesidades del usuario
c) SA es más aplicable al análisis orientado a problemas, que al diseño
d) SA permite la transformación de sistemas estructurados en tareas concurrentes
Durante una revisión del control de accesos de telecomunicaciones, un auditor de SI centraría la
196
mayor atención en:
a) el mantenimiento de los registros (logs) de acceso, de la utilización de los diversos recursos del sistema
b) la autorización y autenticación del usuario antes de otorgar el acceso a los recursos del sistema
c) la protección adecuada de los datos almacenados en servidores con cifrado u otros medios
d) el sistema de identificación y registro (accountability) y la capacidad de identificar adecuadamente cualquier
terminal que acceda a los recursos de los sistemas
Cuando está auditando una adquisición propuesta de un nuevo sistema informático, el auditor de SI
197
debe primero establecer que:
a) La gerencia ha aprobado una actuación de negocio explícita
b) Se cumplirán los estándares de seguridad corporativos
c) Los usuarios se involucrarán en el plan de implantación
d) El nuevo sistema satisfará toda la funcionalidad requerida por los usuarios
El potencial para acceso no autorizado al sistema, por vía de terminales o estaciones de trabajo
198
dentro de la instalación de la organización, aumenta cuando:
a) Se cuenta con puntos de conexión en la instalación disponibles para conectar laptops a la red
b) Los usuarios no escriben sus contraseñas del sistema en, o cerca de sus áreas de trabajo
c) Los terminales con protección de contraseña están ubicados en lugares inseguros
d) Los terminales están ubicados dentro de la instalación en pequeños grupos de unos pocos terminales, cada uno bajo
la responsabilidad y supervisión directa de un administrador
199 La programación /planificación de trabajos (scheduling) es un control operativo para:
a) Registrar y contabilizar el uso del equipo
b) Controlar el sistema y supervisar (monitor) su operación /explotación
c) Optimizar la utilización de los recursos del ordenador
d) Evaluar al personal de SI
Un auditor de SI está revisando la función de administración de base de datos para determinar si se
200
han hecho las provisiones adecuadas para controlar los datos. El auditor debería determinar que:
a) La función reporta a Operaciones de proceso de datos
b) Las responsabilidades de la función han sido adecuadamente definidas
c) El administrador de la base de datos es un programador de sistemas competente
d) El software de auditoría tiene la capacidad de acceder eficientemente a la base de datos
Agora, Individuo y Organización 27

28. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
RESPUESTAS
Los puentes conectan dos redes separadas para formar una red lógica (por ejemplo, uniendo una red de ethernet
con una red token). Este dispositivo hardware debe tener capacidad de almacenamiento para almacenar frames y
actuar como un dispositivo de almacenamiento y reenvío. Los puentes operan en la capa de enlace de datos de
OSI examinando la cabecera (header) del control de acceso de un paquete de datos. Los routers son dispositivos
de switching que operan en la capa de red OSI examinando las direcciones de red (es decir, información de
1 B enrutamiento codificada en un paquete IP). El router, examinando la dirección IP, puede tomar decisiones
inteligentes para dirigir el paquete a su destino. Las repetidoras amplifican las señales de transmisión para
alcanzar dispositivos remotos tomando una señal proveniente de una LAN, reacondicionándola y
resincronizándola (retiming), y enviándola a otro. Esta funcionalidad está codificada por hardware y ocurre en la
capa física de OSI. Las pasarelas proveen caminos de accesos a redes externas. Dom 3 – ISACA
El control automatizado debe asegurar que el sistema procesa las excepciones de precio solamente con la
aprobación de otro usuario que esté autorizado para aprobar dichas excepciones. De ahí que, una contraseña de
segundo nivel aseguraría que las excepciones de precio son aprobadas por un usuario autorizado a un nivel
superior, que haya sido debidamente autorizado por la gerencia con derechos apropiados de acceso al sistema.
La verificación visual de todas las sumas por un operador de entrada de datos no es un control, sino un requisito
2 D básico para cualquier entrada de datos. La posibilidad del usuario de verificar visualmente lo que ha sido
registrado (entered), es un control manual básico. La entrada de excepciones de precio dos veces, es un control
(manual) de entrada. Esto no asegura que las excepciones son verificadas automáticamente por otro usuario.
Que el sistema emita un sonido cuando se realiza la entrada de una excepción de precio es sólo una advertencia
al operador de entrada de datos, lo cual no impide que se siga delante. Imprimir estas excepciones en un informe
es un control (manual) de detección. Dom 7 – ISACA
El Grupo de Garantía de Calidad es típicamente responsable de asegurar que los programas, cambios a
programas y la documentación se ajusta a los estándares establecidos. La respuesta A es responsabilidad del
3 C Control de Datos; La respuesta B es responsabilidad de Operaciones del ordenador; y la respuesta D es la
responsabilidad de Seguridad de Datos. Dom 2 – ISACA
Un hub es un dispositivo que conecta dos segmentos de una sola LAN, un hub es un repetidor. Brinda
conectividad transparente a los usuarios en todos los segmentos de la misma LAN. Es un dispositivo de nivel 1.
Un puente opera en el nivel 2 de la capa OSI y se usa para conectar dos LANs usando protocolos diferentes (por
4 D ejemplo, uniendo una red de Ethernet con una red token) para formar una red lógica. Una pasarela, que es un
dispositivo de nivel 7, se usa para conectar una LAN con una WAN. Una LAN se conecta con una MAN usando
un ruteador (router) que opera en la capa de red. Dom 3 – ISACA
La norma (standard) sobre responsabilidad, autoridad y obligación de rendir cuentas expresa “La
responsabilidad, autoridad y obligación de rendir cuentas de la función de auditoría de los sistemas de
información deben ser debidamente documentadas en unos estatutos de auditoría o en una carta de compromiso
(letter of engagement)”. Las opciones B y C son incorrectas porque los estatutos de auditoría deben ser
aprobados por la Gerencia de más alto nivel, no meramente por el departamento de auditoría de los sistemas de
5 A información, o del departamento de usuarios. La metodologías de planificación resultantes deben ser revisadas y
aprobadas por la alta gerencia y por el Comité de Auditoría. La opción D es incorrecta porque los estatutos de
auditoría, una vez establecidos, no son revisados de manera rutinaria y deben ser cambiados sólo si el cambio
puede ser, y es, justificado exhaustivamente. Dom 1 – ISACA
Nota de los profesores: la referencia a las normas, es en relación a las normas y estándares de auditoría
establecidos por la ISACA.
La forma más segura sería una red privada virtual (VPN – Virtual private network) usando cifrado,
autenticación y tunelización para permitir que los datos viajen con seguridad desde una red privada a Internet.
6 A Las opciones B, C y D son opciones de conectividad de red demasiado caras para ser prácticas para las
organizaciones de pequeño y mediano tamaño. Dom 4 – ISACA
Los cortafuegos no ofrecen protección contra ataques de virus, ya que la codificación de los virus está
típicamente embebida en datos de usuarios (por ejemplo, los cortafuegos brindan protección contra un uso
indebido de datos de la gestión de la red contenidos en los paquetes de datos, previniendo o detectando accesos
no autorizados). Los métodos habituales usados para proteger contra virus incluyen la ejecución (running)
regular de software de virus tales como verificadores de la integridad de datos, escáneres que buscan secuencias
7 A de bits – llamadas firmas – que son típicos de los programas de virus, y los monitores activos (active monitors)
que interpretan el sistema operativo y las llamadas al BIOS ROM (input.-output system), buscando acciones
similares a los virus. Las otras opciones son problemas habituales en las implantaciones de cortafuegos que
cuando se mantienen sin corregir pueden acarrear un acceso no autorizado en los sistemas de red de la
organización. Dom 3 - ISACA
El software generalizado de auditoría se utiliza para verificar la integridad de los datos contenidos en ficheros de
ordenador, se usa para realizar rutinas o tareas de auditoría general, como la verificación de cálculos y totales,
8 B selección de datos y producción de informes y ficheros. La respuesta B es correcta porque debería usarse
software especializado de auditoría para realizar cálculos complejos. Dom 1 – ISACA
La auto evaluación de control es un proceso en el que el auditor puede reunir a los auditados, entender el
9 B proceso del negocio, definir dónde están los controles y generar una evaluación de cuán bien están funcionado
Agora, Individuo y Organización 28

29. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
los controles. Esto idealmente se lleva a cabo durante la fase de recopilación preliminar de información. Las
opciones A, C, y D son pasos de auditoría que se realizan después de haber realizado la auto evaluación de
control. Dom 1 – ISACA
El modo supervisor responde a la disponibilidad de todas las instrucciones o comandos y está relacionado con la
10 C mayoría de los equipos informáticos. En el modo de problema, las instrucciones o comandos privilegiados no
pueden ser ejecutados. Las otras opciones no son relevantes. Dom 3 - ISACA
Una VPN esconde información a los sniffers en la red. Una VPN esconde información usando el cifrado, el cual
no tiene sentido alguno para los sniffers en la red. Funciona basada en la tunelización. Una VPN no analiza los
11 A paquetes de información y por lo tanto no puede hacer cumplir las políticas de seguridad. No verifica el
contenido de los paquetes, de modo que no puede detectar abusos o errores, y no realiza una función de
autenticación y por ello no puede regular el acceso. Dom 4 – ISACA
El mapeo efectivo de los controles de procesos de negocio con el paquete ERP es uno de los factores de control
a ser considerado como parte del mapeo de los procesos de negocio antes de implementar un paquete ERP. Sin
12 D embargo, en el curso de una revisión de aplicaciones, esto es cubierto como parte del riesgo asociado con la
implementación de autorizaciones por responsabilidades funcionales. Las otras opciones son aspectos de control
esenciales en la revisión de aplicaciones en un paquete ERP. Dom 7 – ISACA
Un diccionario de datos es un ejemplo de un software de programa de utilidad que se usa para entender los
13 A sistemas de aplicación. Otros ejemplos son flujograma, analizador del perfil de transacciones, y analizador del
camino de ejecución (execution path analyzer). Dom 3 - ISACA
Una prueba de preparación es por lo general una versión localizada de una prueba total, en la que los recursos
reales son empleados en la simulación de un colapso del sistema. Esta prueba es realizada periódicamente sobre
diferentes aspectos del plan y puede ser una forma eficiente para obtener gradualmente evidencia sobre la
eficacia del plan. También brinda un medio para mejorar el desarrollo del plan. Una prueba sobre papel es un
recorrido/ensayo (walkthrough) basado en papel del plan, involucrando a los actores principales en la ejecución
del plan, quienes tratan de determinar qué podría pasar en una situación particular de interrupción del servicio.
14 C La prueba sobre papel, por lo general, precede a la prueba de preparación. Un prueba posterior es, en realidad,
una fase de prueba e incluye un grupo de actividades, como por ejemplo devolver todos los recursos a su lugar
original, desconexión del equipo, reintegrar el personal y eliminar todos los datos de la compañía en sistemas de
terceros. Un recorrido/ensayo es una prueba que involucra una situación simulada de desastre que prueba el
estado de preparación y comprensión de la gerencia y del personal, más que los recursos reales. Dom 5 –
ISACA
El uso de software no autorizado o ilegal debe ser prohibido por una organización. La piratería del software es
un riesgo inherente y puede implicar severas multas. El Auditor de SI debe convencer al usuario y a la Gerencia
15 C de los usuarios sobre el riesgo y sobre la necesidad de eliminarlo. Un Auditor de SI no debe asumir el papel de
oficial que impone una acción ni involucrarse personalmente en borrar dicho software no autorizado. Dom 1 –
ISACA
Las amenazas / vulnerabilidades de seguridad en Internet, en relación a la integridad incluyen un caballo de
Troya encontrado en el software del browser de clientes, modificación de los datos de usuario, modificación de
16 C memoria y modificación del tráfico de mensajes en tránsito. Las otras opciones afectan a la confidencialidad.
Dom 4 – ISACA
Una verificación de redundancia detecta errores de transmisión anexando los bits calculados al extremo de cada
segmento de datos. Una verificación de razonabilidad compara los datos con los límites de razonabilidad
definidos previamente o las frecuencias de ocurrencia establecidas para los datos. Una verificación de paridad es
17 C un control de hardware que detecta los errores de datos cuando los datos son leídos desde un ordenador a otro
desde la memoria o durante la transmisión. Los dígitos de verificación detectan los errores de transposición y de
transcripción. Dom 7 – ISACA
Los manuales de operación de una aplicación deben incluir las acciones a tomar para los errores reportados que
son esenciales para que el operador actúe adecuadamente. Los documentos fuente y el código fuente son
18 B irrelevantes para el operador. Aunque los diagramas de flujo pudieran serle útiles, los diagramas detallados de
los programas y las definiciones de los ficheros no lo serían. Dom 2 – ISACA
Las pruebas pueden señalar deficiencias de calidad. Sin embargo, no puede repararlas por si misma. La acción
correctiva en este punto del proyecto es cara. A pesar de que es necesario detectar y corregir los errores de
programas, el principal resultado proviene de los defectos contenidos en etapas que tiene lugar en las fases más
tempranas, tales como las de requerimientos y diseño. La opción C es representativa del error más común
cuando se trata de aplicar la gestión de calidad en un proyecto de software. Es visto, como un gasto general. Por
19 D el contrario, la eliminación anticipada de defectos tiene un beneficio sustancial. La reelaboración es en realidad
el mayor impulsador de costos en la mayoría de los proyectos de software. La opción D representa el núcleo del
logro de la calidad. Es decir, siguiendo un proceso consistente y bien definido y revisando eficazmente los
productos (deliverables) clave (esto supone que el personal del proyecto está también bien entrenado y que
tienen experiencia). Dom 6 – ISACA
El Outsourcing es un acuerdo contractual por el que la organización abandona el control sobre todo o parte del
20 A proceso de información en manos de un tercero externo. Generalmente se hace para adquirir recursos
adicionales o experiencia que no puede ser obtenida dentro de la organización. Dom 2 – ISACA
Agora, Individuo y Organización 29

30. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El modo de túnel provee protección a todo el paquete IP. Para lograr esto, se pueden juntar (nest) los servicios
AH y ESP. El modo de transporte provee protección primaria para las capas superiores de los protocolo. Es
21 C decir, la protección se extiende al campo de los datos (payload) de un paquete IP. El modo SSL (capa de
conexión segura - secure socket layer), brinda seguridad a las capas superiores de comunicación (capa de
transporte). El modo de cifrado triple DES es un algoritmo que provee confidencialidad. Dom 4 – ISACA
El riesgo inherente es la propensión de un área de auditoría a un error que podría ser material, individualmente o
en combinación con otros errores, asumiendo que no hubiera controles internos. Las puertas traseras son
aquellos riesgos de poder salir de (exit out) un programa autorizado y que permiten la inserción de una lógica
específica, como por ejemplo interrupciones de programa, para permitir una revisión de los datos durante el
22 A procesamiento. Estas puertas permiten también la inserción de lógica o código no autorizado. El riesgo de
detección (opción B) es el riesgo de que los procedimientos sustantivos de auditoría de SI no detecten un error
que podría ser material, individualmente o en combinación con otros errores. El riesgo de auditoría (opción C)es
el riesgo de dar una opinión incorrecta de auditoría, mientras que la opción D, riesgo de error, es el riesgo de que
tengan lugar errores en el área que está siendo auditada. Dom 1 – ISACA
El Administrador de Base de Datos no es responsable del diseño y desarrollo de aplicaciones. Esta es una
23 A función del personal de programación, y proporciona una adecuada separación de funciones entre los dos
grupos. Dom 2 – ISACA
El uso de programas para comprobar la transacción contra un criterio establecido por la gerencia es la mejor
24 B respuesta, porque la validación involucra la comparación de una transacción contra un criterio predefinido. Dom
3 – ISACA
Los procedimientos de administración de seguridad requieren acceso de lectura solamente a los ficheros de
registro (logs) de seguridad para asegurar que, una vez generados, los registros (logs) no son modificados, ni
siquiera por el administrador. Los registros son críticos en el proceso de auditoría para evidenciar y rastrear
transacciones sospechosas y actividades de usuarios. Los procedimientos de administración de la seguridad
25 B requieren acceso en escritura (write) a las tablas de control de acceso para gestionar y actualizar los privilegios
de acuerdo con los requerimientos autorizados del negocio. Las opciones de registro (logging) requieren acceso
en escritura para permitir al administrador actualizar la forma en que las transacciones y las actividades del
usuario son monitoreadas, captadas, almacenadas, procesadas y reportadas. Dom 4 – ISACA
Aunque algunos de los datos de salida estén soporte de papel, la impresión sería generada a partir de ficheros
internos de datos, los cuales pueden ser sumados y comparados con un total de todas las transacciones entradas
desde cualquier fuente. Esto es un sistema de cuadre automatizado. Esta sería con diferencia la mejor forma de
asegurar que no se pierden transacciones así como que cualquier diferencia entre entradas totales y salidas
26 D totales serían automáticamente informadas o reportadas para su investigación y corrección. Los controles de
validación y las comprobaciones internas de credibilidad son ciertamente controles válidos, pero no detectarían
ni informarían de la pérdida de transacciones. Además, aunque podrían usarse procedimientos administrativos
para sumar y comparar entradas y salidas, un proceso automatizado es menos susceptible de error. Dom 7 –
ISACA
El Comité de Dirección de proyectos es en última instancia responsable de todos los costos y cronogramas. La
gerencia de usuario asume la propiedad del proyecto y el sistema resultante. La alta gerencia se compromete con
27 B el proyecto y aprueba los recursos necesarios para completar el proyecto. La gerencia de desarrollo de sistemas
provee soporte técnico para los entornos de hardware y de software desarrollando, instalando y operando el
sistema solicitado. Dom 6 – ISACA
Siempre que se utiliza software de aplicación propietario, para operaciones críticas, el contrato del vendedor
debe proveer que el código fuente de software sea mantenido bajo un acuerdo de depósito de fuentes, para estar
disponible en el caso en que el vendedor no esté en condiciones de continuar brindando servicios. Tener un
28 D servidor de respaldo con datos actualizados y la capacitación del personal es crítico; sin embargo, asegurar la
disponibilidad de un acuerdo de depósito de fuentes aseguraría que la compañía no se vea afectada por la
incapacidad del vendedor para suministrar dicho servicio de manera continuada. Dom 6 – ISACA
Un analista de sistemas no debe realizar tareas de garantía de calidad (Quality Assurance – QA) ya que podría
obstaculizar la independencia, debido a que el analista de sistemas es parte del equipo que desarrolla / diseña el
software. Un analista de sistemas puede realizar las otras funciones. El mejor ejemplo es un “programador
ciudadano”. Un programador ciudadano (nombre relacionado con “ciudadano”, porque éstos tienen el derecho
de hacer todo o cualquier cosa) que tiene acceso a herramientas de desarrollo poderosas, puede hacer todos los
29 C aspectos mientras desarrolla software (diseño, desarrollo, comprobación, implementación). Solamente, buenos
controles compensatorios asegurarían que estas funciones adicionales hayan sido realizadas eficazmente. Aún
cuando, si un analista pusiera en compromiso ciertas actividades en estas funciones, se puede detectar
inmediatamente con la ayuda de controles compensatorios. Sin embargo, se debe desalentar que un analista de
sistemas realice funciones de QA, ya que los niveles de garantías de calidad podrían verse comprometidos si
ésta no satisface las normas acordadas. Los niveles de QA nunca deben verse comprometidos. Dom 2 – ISACA
Una fecha de retención asegurará que el fichero no puede ser liberado o sobre-escrito antes de que haya pasado
una fecha. La fecha de retención no afectará a la posibilidad de leer el fichero. Las copias de back-up pueden
30 B también retenerse después de que el fichero haya sido borrado o sobre-escrito. La fecha de creación diferenciará
los ficheros con el mismo nombre. Dom 4 – ISACA
Agora, Individuo y Organización 30

31. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
PERT define las actividades, los recursos asignados, el adelanto de los controles, y permite que se tomen a
tiempo las decisiones. Las opciones A, C y D son herramientas útiles para ayudar a los gerentes de proyecto de
sistema a definir las proposiciones de tareas, estimar los costos y monitorear el desempleo. Dom 6 – ISACA
31 B Nota de los profesores: A y B son equivalentes. El PERT (que en general no se usa) usa un algoritmo
de CPM. La única diferencia entre PERT y CPM es que el primero usa 3 estimaciones de tiempo de
actividad (que se transforman a 1) y el segundo sólo 1.
La formulación de una política antivirus global y la formación de los usuarios son las etapas más fundamentales
para la prevención frente a ataques de virus. Esto proporciona un marco desde el cual se desarrollarán prácticas
y procedimientos operativos adecuados. Si no existe esta política, o la política no se comunica, se pueden poner
32 D en práctica procedimientos ad-hoc ineficaces. Las otras respuestas son procedimientos dentro de la política
global que pueden encauzar las medidas a adoptar para prevenir, detectar y recuperar de ataques de virus. Dom
4 - ISACA
Una tecnología de circuito conmutado privado está asociado al uso de una WAN y no a una LAN. Típicamente,
este tipo de red se establece por una corporación u otra organización de grandes dimensiones para interconectar
diferentes sitios. Este tipo de red usualmente consiste en sistemas PBX en cada lugar interconectados por líneas
33 D dedicadas provistas por un operador. La tecnología de conmutación de paquetes es el mecanismo para la
transmisión de datos entre dispositivos en una LAN. La banda base se usa comúnmente como técnica de señal
(señal digital) de transmisión de datos en una LAN. La Topología de bus corto o anillo son métodos para
interconectar dispositivos en una LAN. Dom 3 - ISACA
Los procedimientos de control son prácticas establecidas por la gerencia para alcanzar objetivos específicos
(objetivos de control, opción C). Los ejemplos que anteceden son todos procedimientos de control destinados a
34 D alcanzar el objetivo de control de asegurar el cumplimiento de las políticas, procedimientos y normas. Las
opciones A y B se refieren al proceso de auditoría que se usa para verificar la efectividad y adecuación de los
procedimientos de control. Dom 1 – ISACA
Los métodos de evaluación brindan un mecanismo, por el cual la gerencia de SI puede determinar cuándo y si
las actividades de la organización se han desviado de los niveles planificados o de esperados. Estos métodos
incluyen en relación a los SI: los presupuestos, la planificación de la capacidad y del crecimiento, los estándares
/puntos de referencia de la industria, las prácticas de gestión financiera y el logro de las metas. La gestión de la
calidad es el mecanismo por el cual los procesos basados en el departamento de SI son controlados, medidos y
35 B mejorados. Los principios de Gestión difieren dependiendo de la naturaleza del departamento de SI. Ellos se
concentran en áreas tales como la gente, cambios, procesos, seguridad, etc. Los estándares /puntos de referencia
de la industria brindan un mecanismo de determinar el nivel de rendimiento (performance) provisto por entornos
similares de instalaciones procesamiento de información. Estos estándares, o estadísticas de referencia se
pueden obtener de grupos usuarios de proveedores, publicaciones de la industria y asociaciones profesionales.
Dom 2 – ISACA
La comprobación de integridad de datos es un conjunto de pruebas sustantivas que examina la exactitud, la
integridad, la consistencia y la autorización de los datos y que indicarán las fallas en los controles de entrada
(input) o de procesamiento. Los procedimientos de control de procesos aseguran la integridad (en este caso
completeness) y la exactitud de los datos acumulados. Son ejemplos la edición, los totales de pasada en pasada
36 D (run-to-run). Los procedimientos de control de ficheros de datos aseguran que sólo el procesamiento autorizado
se efectué a los datos almacenados, por ejemplo los registros (logs) de transacciones. Los controles de salida
(output) aseguran que los datos entregados a los usuarios serán presentados, formateados y entregados en una
forma consistente y segura, por ejemplo la distribución de informes. Dom 7 – ISACA
Garantizar el volcado frecuente de los logs de transacciones es la única forma segura de preservar
37 B oportunamente (timely) los datos históricos. El volumen de actividad habitualmente asociado con los sistemas
on-line hace imprácticos los otros métodos tradicionales de backup. Dom 5 –ISACA
Las huellas (foot-printing) sistemáticas (obtención información clave) de una organización permite a los hackers
crear un perfil completo de las disposiciones (postures) de seguridad de una organización que conduzcan a un
ataque. Utilizando una combinación de herramientas y técnicas, los piratas informáticos o hackers sin
conocimiento del propio personal, sobre la red de una organización, excepto por el nombre de su dominio
38 D pueden obtener la información necesaria para diseñar un mecanismo para lanzar un ataque (por ejemplo, un
rango de nombres de dominios, los bloqueos de red y las direcciones IP individuales de los sistemas de una
organización clave conectada a Internet). Las otras opciones son ejemplos de ataques reales que pueden ocurrir,
llevando ya sea a la obtención por un usuario no autorizado del control de la máquina o también a un acceso que
cause daño o negación de servicio a un sistema host o red. Dom 4 - ISACA
El proceso a través del cual cambian los requerimientos durante el desarrollo es considerado el mayor riesgo, ya
que cualquier cambio en los requerimientos afectará al cronograma (shedule) del desarrollo y/o los recursos,
conduciendo a un caos total en la gestión del proyecto. La participación inadecuada del usuario es también
39 C considerada como uno de los riesgos, pero no es el mayor riesgo. La asignación inadecuada de recursos es una
característica general en la que es necesario usar al gerente del proyecto, de forma óptima. La estimación
inadecuada del camino crítico no es el mayor riesgo. Dom 6 – ISACA
Asegurar que el código fuente está disponible si el vendedor deja de existir es una razón mayor para requerir el
40 A depósito en custodia del código fuente. Las opciones B, C y D no son aplicables porque el depósito del código
Agora, Individuo y Organización 31

32. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
fuente no se usa par estos fines. Dom 6 – ISACA
Esta pregunta requiere el conocimiento de la técnica de emulación, que es realizada por un emulador. Este imita
un sistema con otro de tal forma que el sistema que imita acepta los mismos datos, ejecuta los mismos
41 C programas y logra los mismos resultados que el sistema imitado. Las otras elecciones no son relevantes en
cuanto a la técnica de emulación. Dom 3 - ISACA
El impacto será mayor ya que el intruso o hacker únicamente tendrá que conocer una contraseña para obtener el
acceso a los cinco sistemas y podrá por lo tanto causar más daño que si se conoce la contraseña de una sola de
las aplicaciones. Esta sería "Menos probable" como respuesta correcta si el sistema de single-sing-on fuese
introducido con una forma de autenticación más fuerte, tal como un sistema de autenticación mediante tarjetas
42 C inteligentes con posibilidad de generación aleatoria de claves (smart card/challenge response system). No hay
ninguna indicación de que la probabilidad de que alguien consiga acceder al sistema después de introducir el
single sign-on sea mayor que antes. El impacto únicamente puede ser mayor, no menor, ya que el acceso que se
logra es más amplio que en la situación anterior (cinco aplicaciones en lugar de una). Dom 4 – ISACA
Si una organización actualiza su configuración de su hardware y software, esto puede significar que esta no sea
en adelante compatible con los sistemas de la otra parte en el acuerdo. Esto puede significar que cada compañía
no tiene la posibilidad de utilizar las instalaciones de la otra compañía para recuperar sus procesos a
continuación de un desastre. Que los recursos no estén disponibles cuando son necesarios es un riesgo intrínseco
43 A de cualquier acuerdo recíproco, pero este es un aspecto contractual y no es el mayor riesgo. El plan puede ser
probado mediante ensayos basados en papel (paper-based walkthroughs) y posiblemente, por acuerdo entre las
compañías, y que la diferencia en las estructuras de seguridad, aún cuando es un riesgo, no es insuperable tal
como la recuperación del procesamiento después de un desastre. Dom 5 – ISACA
El spooling para imprimir fuera de línea (off-line printing) puede facilitar que se impriman copias adicionales a
menos que estén controladas. Es improbable que los ficheros de impresión (print files) estén disponibles para ser
leídos en línea (on-line reading) por los operadores. Los datos en los ficheros de spool no son más fáciles de
44 C corregir sin autorización que cualquier otro fichero. Normalmente existe una menor amenaza de acceso no
autorizado a informes sensitivos en el caso de un fallo del sistema. Dom 4 – ISACA
Nota de los profesores: también podrían editar la información de los listados
Los reconocimientos funcionales son uno de los principales controles utilizados en el mapeo (mapping) de
datos, sirven como pista de auditoría para las transacciones EDI. Todas las demás opciones son controles
45 D manuales de entrada, pero el mapeo de datos trata de la integración automática de datos en la compañía que los
recibe. Dom 7 - ISACA
El propósito de los programas de depuración es asegurar que todas las terminaciones anormales de programas y
defectos de codificación son detectados y corregidos antes que el programa final vaya a producción. El
46 D programador corrige los errores lógicos, afina (tune) y repara (fix)el programa. Hay herramientas especiales
tales como los monitores de caminos lógicos, volcados de memoria y analizadores de salida (output) para
realizar esta depuración. Dom 6 – ISACA
Un procesador front-end es un dispositivo de hardware que conecta todas las líneas de comunicaciones a un
47 D ordenador central para descargar el ordenador central de ejecuciones (performing). Dom 3 - ISACA
Las contraseñas deben tener una longitud de 5 a 8 caracteres y no ser fáciles de adivinar. Deben contener tanto
48 C caracteres alfabéticos como numéricos. Dom 4 - ISACA
Ejecutar el programa de comparación de fuentes entre el fuente de control y el fuente actual periódicamente
permite la detección de cambios no autorizados en el entorno de producción. Las opciones A, B y D son
controles preventivos que son eficaces mientras sean aplicados de manera consistente. Dom 6 – ISACA
49 C Nota de los profesores: algunas guías de buenas práctica recomiendan tener dos librerías de
programas fuente (una de control, y otra en producción). Otras prácticas recomiendan tener una sola
librería de programas fuente (que estén en producción), y con un control exhaustivo en el acceso a
estos, su copia, y su actualización.
La incapacidad o imposibilidad de especificar el propósito y los modelos de uso son riesgos que los
50 C desarrolladores necesitan prever mientras se implementa un sistema de soporte a la decisión. A y B no son
riesgos, sino características de un DSS. Dom 7- ISACA
Un firewall “screened sub-net” proporcionaría la mejor protección. El ruteador “screening” (escrutinio) puede
ser un ruteador (router) comercial o un nodo con capacidades de ruteo que puede filtrar paquetes, teniendo la
posibilidad de permitir o evitar tráfico entre las redes y los nodos basándose en las direcciones, puertos,
protocolos, interfaces, etc. Las pasarelas de nivel de aplicación son mediadores entre dos entidades que desean
51 A comunicarse, también conocidas como pasarelas “proxy”. El nivel de aplicación (proxy) trabaja a nivel de la
aplicación, no solamente en el nivel de paquetes. El escrutinio (screening) solamente controla en el nivel de
paquetes, direcciones, puertos, etc., pero no ve el contenido de un paquete. El ruteador de filtrado de paquetes
examina la cabecera de cada paquete o datos que pasan entre Internet y la red corporativa. Dom 3 - ISACA
Los hubs abiertos representan una debilidad de control significativa debido a la posibilidad potencial de acceso
fácil a la conexión de la red. Un hub inteligente permitiría desactivar una sola puerta mientras las demás siguen
52 C activas. Adicionalmente la seguridad física proporcionará una protección razonable sobre los hubs con puertas
activas. Dom 4 – ISACA
Agora, Individuo y Organización 32

33. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
El backup del día anterior será el backup histórico de actividad más actual en el sistema. El fichero de
53 A transacciones del día de hoy contendrá toda la actividad del día. De esta forma, la combinación de estos dos
ficheros facilitará la plena recuperación en el punto de interrupción. Dom 5 – ISACA
No deben combinarse las funciones de programador y de entrada de datos ya que no existen controles
compensatorios capaces de mitigar el riesgo sobre la segregación de dichas funciones. Los demás pares
combinados de funciones son aceptables. Dom 2 – ISACA
54 B Nota de los profesores: en alguna otra pregunta no se toma esta separación como crítica cuando se
habla de analista de sistemas. Esta situación podría darse en pequeños entornos, especialmente en
donde la informática está directamente bajo la supervisión del departamento usuario. En una visión
“objetiva”, y como principio general la respuesta es válida.
El software de monitoreo de la capacidad, usualmente en forma de luces o gráficos rojos, ámbar o verdes,
muestran el uso actual de los sistemas on-line versus su capacidad máxima. El objetivo es permitir al personal
de soporte de software tomar acciones si el uso comienza a exceder el porcentaje de capacidad disponible para
asegurar que se mantienen unas operaciones /explotación eficientes, en la forma de tiempo de respuesta. Nunca
55 D se debe permitir que los sistemas operen a la capacidad máxima. El software de monitoring tiene como objetivo
prevenir esto. Aún cuando el software puede ser utilizado también para soportar una argumento de negocio para
futuras adquisiciones en términos de requerimientos de capacidad, este no brindaría información sobre el efecto
de las demandas de funcionalidad del usuario y no aseguraría el uso concurrente del sistema por los usuarios,
más allá de indicar los niveles de acceso de los usuarios. Dom 3 – ISACA
56
Un applet es un programa JAVA que es enviado a través de la red desde el servidor web, usualmente a través de
un browser de web, a la máquina cliente. Luego, el código es ejecutado en la máquina. Como el servidor no
ejecuta el programa y la salida no es enviada a través de la red, el rendimiento de ambos, el servidor web y la
red a través de la cual están conectados el servidor y el cliente, mejora drásticamente por medio del uso de
57 C applets. Es más importante considerar dicha mejora de rendimiento, por lo tanto las opciones A y B son
incorrectas. Como la máquina virtual JAVA (JVM) está integrada (embedded) en la mayoría de los browsers de
web, el applet cargado por medio del browser de web se ejecuta en la máquina cliente desde el browser, no
desde el servidor web, por lo tanto la opción D es incorrecta. Dom 6 – ISACA
Middleware es un software independiente que conecta dos aplicaciones que de otro modo estarían separadas
para compartir recurso de cómputo en tecnologías heterogéneas. Firmware es software (programas o datos) que
ha sido escrito en una memoria de lectura solamente (ROM), es un chip de memoria con código integrado
(embedded) que retiene su contenido cuando se apaga la corriente. Firmware es una combinación de software y
hardware. Los ROMSs, PROMs y EPROMs que tiene datos o programas registrados en ellos son firmware.
Software son instrucciones o datos de ordenador. Cualquier programa que se almacene electrónicamente es
58 A software. El software se divide a menudo en dos categorías: software de sistemas, que incluye el sistema
operativo y todas las utilidades que permiten al ordenador funcionar, y software de aplicación, que incluye
programas que hacen realmente el trabajo para los usuarios. Por ejemplo, los procesadores de texto, las hojas de
cálculo (spreadsheets) y los sistemas de gestión de base de datos. Los sistemas integrados/empotrados
(embedded) son módulos integrados para un fin específico, por ejemplo SCARF (Systems Control Audit
Review File). Dom 7 – ISACA
La contribución del auditor de SI aumentará significativamente cuando haya procedimientos y directrices
formales que identifican cada fase en el ciclo de vida del sistema y el grado de participación del auditor. Para
cualquier tipo de trabajo en conjunto entre auditores de SI, equipos de proyecto, usuarios y gerencia de SI, es
59 D imperativo que se establezca un procedimiento estructurado para el desarrollo de un sistema. Una metodología
estructurada de desarrollo, con fase definidas, y con puntos específicos para revisión y evaluación, puede brindar
varias ventajas. Dom 6 – ISACA
Un “applet” es un programa descargado de un servidor web en un cliente, normalmente a través de un
navegador de web que proporciona funciones de acceso a bases de datos, páginas web interactivas y
comunicación con otros usuarios. Los programas applet que abren conexiones desde la máquina cliente con
otras máquinas en la red dañando estas máquinas tal como ataques de negación del servicio, suponen la mayor
amenaza para una organización y podrían trastornar la continuidad del negocio. Un programa que deposita un
60 D virus en una máquina cliente es reconocido como un ataque malicioso (específicamente concebidos para causar
daños en una máquina cliente), pero no tiene necesariamente por qué ocasionar una interrupción del servicio.
Los applets que graban las teclas pulsadas, y por consiguiente las contraseñas y que descargan códigos que leen
ficheros del disco duro del cliente tienen que ver más con la privacidad de la organización, y aunque importante,
es menos probable que causen una interrupción significativa del servicio. Dom 4 – ISACA
El proceso debe ser proactivo y buscar nuevas soluciones y enfoques, no reactivo para mantener el status quo.
61 C Todas las demás respuestas son parte del proceso de toma de decisiones. Dom 6 – ISACA
Las cancelaciones del supervisor, de la validación y edición de datos, deben ser revisadas para asegurar que el
registro automático (logging) tiene lugar. Se deben realizar pruebas del informe de actividades de cancelación
62 A para ver si hay evidencias de revisión gerencial. Las cancelaciones excesivas indican la necesidad de modificar
las rutinas de validación y edición para mejorar la eficiencia. Las cancelaciones excesivas se pueden obtener
Agora, Individuo y Organización 33

34. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
analizando el informe de actividades de cancelación. Los informes de error brindan evidencias de revisión
apropiada, investigación, corrección oportuna (timely) y nueva ejecución (resubmission). La separación de
funciones incluye la estipulación que las funciones de generación, autorización, verificación o distribución son
efectuadas por diferentes personas. Dom 7 – ISACA
Un estabilizador protege contra fluctuaciones eléctricas de pequeña duración. Normalmente no sirve para
63 A fluctuaciones de larga duración, y tampoco para mantener la continuidad si la fuente principal de energía se
interrumpe o se pierde. Dom 4 – ISACA
64 A Este sistema no se verá afectado por interferencias o ruido. Dom 3 - ISACA
Las pruebas de cumplimiento determinan si los controles están siendo aplicados en conformidad con las
políticas y los procedimientos de la Gerencia. En este caso, verificar que sólo están presentes los asociados /
usuarios activos brinda una garantía razonable de que existe un control y que se puede confiar en el mismo. La
65 A opción B, pruebas sustantivas, están relacionadas con las revisiones cuantitativas, como por ejemplo los saldos y
las transacciones y su exactitud. La opción C no está relacionada ya que se verifican todos los registro de los
usuarios actuales, mientras que la opción D es parte de un enfoque de auditoría basado en el riesgo. Dom 1 –
ISACA
La identidad del usuario se confirma antes que cualquier otro proceso. La iniciación es una respuesta de
distracción, ya que el sistema debe haber sido iniciado para que el usuario pueda realizar el inicio de la sesión.
66 D La verificación se realiza después de un evento. La autorización normalmente sigue a la confirmación de la
identidad del usuario. Dom 4 - ISACA
La mejor forma para confirmar la exactitud de los datos en la situación mencionada aquí, donde la entrada
(input) la facilita la compañía y la salida (output) la genera el banco, es verificar la entrada de datos (formularios
de input) con los resultados del input (informes de nómina). De ahí que, comparar los informes de nómina con
los formularios de input, es el mejor mecanismo para verificar la exactitud de los datos. Recalcular manualmente
la nómina bruta sólo verificaría si el procesamiento es correcto y no la exactitud de los datos del input. Verificar
los cheques con los formularios de input no es viable (feasible) ya que los cheques tienen la información
67 A procesada y los formularios de input tienen los datos del input. Reconciliar los cheques con los informes de
salida, sólo confirma que los cheques han sido emitidos según los informes de salida (output). Esto no verifica la
exactitud de los provenientes de los formularios de input. Dom 7 – ISACA
Nota de los profesores: es un práctica habitual que en ciertos países como EE.UU., Canadá y
México, los bancos procesen la nómina para empresas pequeñas y medianas, similar a un gestor
externo.
Los cambios malintencionados de datos implican cambios en los datos antes, o mientras son introducidos en el
ordenador. Un caballo de Troya implica cambios no autorizados a un programa de ordenador. Un gusano es
68 A también un programa destructivo que destruye datos; y la técnica de salami es una modificación de programas
que extrae pequeñas cantidades de dinero de una transacción informatizada. Dom 4 - ISACA
Un SAI típicamente “filtra” la energía para asegurar que la potencia que llega a un ordenador permanece
69 D constante y no daña al ordenador. Todas las otras respuestas son características de un SAI. Dom 5 – ISACA
Un objetivo asociado con un programa de CSA es la mejora o la ampliación de las responsabilidades de
auditoría (no un reemplazo). Las opciones B y C son ventajas que adquieren con un programa de CSA, pero no
70 A son objetivos. Un programa de CSA es útil par determinar los pasos de auditoría al obtener una comprensión
global del sujeto de auditoría y del objetivo de auditoría. La realización de un CSA no reemplazará los pasos de
auditoría como por ejemplo la comprobación, la verificación y la validación (opción D). Dom 1 – ISACA
Los totales “run-to-run” verifican los valores de los datos a través de las fases del proceso de aplicación. Estos
71 C aseguran que los datos leídos por el ordenador son aceptados y entonces aplicados al proceso de actualización.
Las opciones A, B y D son todos controles de entrada o input. Dom 7 – ISACA
La revisión de la configuración de los controles de acceso sería la primera tarea realizada para determinar si la
seguridad has sido mapeada adecuadamente en el sistema. Dado que esto está relacionado con una revisión de
una post implantación que se hace generalmente después de las pruebas de aceptación del usuario y la
implantación real, uno no se concentraría en las pruebas de interfaz o en la documentación del diseño detallado,
72 A que probablemente estarán fuera del plazo. La evaluación de las pruebas de interfaz no sería parte del proceso de
implantación. El tema de la revisión de la documentación de diseño detallado no es generalmente relevante para
un sistema de gestión de los recursos de empresa dado que generalmente hay paquetes de proveedores con
manuales de usuario. La prueba del sistema también se realiza normalmente antes de la aprobación final del
usuario. Dom 6 – ISACA
Un proyecto BPR conduce, frecuentemente, a un incremento en el número de personas que utilizan la tecnología
y esto sería un motivo de inquietud. Los procesos BPR están, a menudo, orientados hacia la tecnología, y esta
73 A tecnología es normalmente más compleja y volátil que en el pasado, no es frecuente que se materialicen
reducciones de costes en este área. No hay motivo para que haya conflictos en la protección de información con
un proyecto BPR, a menos que el proyecto no funcione correctamente. Dom 7- ISACA
Diseñar e implementar un cortafuegos brinda una oportunidad para mejorar notablemente una política de
74 C seguridad de la información de una organización. Un diseño del “firewall” y una estrategia de implementación
eficaces pueden reducir notablemente la amenaza de intrusión interna y acceso no autorizado por usuarios
Agora, Individuo y Organización 34

35. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
autorizados, un problema en el que sistemáticamente tienen supremacía sobre los hackers externos en todos los
estudios sobre seguridad de la información. Dom 4 - ISACA
La documentación de operaciones debe contener los procedimientos de rearranque / recuperación de forma que
las operaciones pueden volver al proceso normal rápidamente. Apagando la UPS y apagando a continuación el
75 B la energía se podría crear una situación de recuperación y rearranque, pero el efecto negativo que causaría en las
operaciones hacen que este método no sea deseable. La revisión del código de programa y de la documentación
generalmente no proporcionan evidencias de procedimientos de recuperación y rearranque. Dom 5 – ISACA
Todas las anteriores son ventajas de los sistemas de proceso de imagen, excepto que el tratamiento de imágenes
76 C es muy caro y las empresas no invierten en ello a la ligera. Dom 3 - ISACA
Los acuerdos recíprocos son los menos costosos porque usualmente se basan en un acuerdo “de caballeros”
77 D entre dos firmas. Sin embargo, al mismo tiempo que son los menos costosos, son también los menos fiables y a
menudo, difíciles de hacer cumplir, en el momento de necesidad. Dom 5 – ISACA
Implementar los controles de definición de la base de datos es una de las funciones críticas del administrador de
la base de datos. Mantener la seguridad de acceso de los datos y otorgar los derechos de acceso a los usuarios tal
78 B como ha sido definido por la Dirección es responsabilidad del administrador de seguridad. La definición de la
estructura de los datos del sistema es una responsabilidad del analista de sistemas. Dom 2 – ISACA
La directriz (guideline) de auditoría de SI sobre la planificación de la auditoría de SI establece: “Se debe hacer
una evaluación de riesgos para brindar una garantía razonable de que se abarcarán adecuadamente los ítems
materiales durante el trabajo de auditoría. Esta evaluación debe identificar áreas con riesgos relativamente altos
79 A de la existencia de problemas materiales”. Una garantía suficiente de que se abarcarán los ítems materiales
durante el trabajo de auditoría es una proposición no práctica. Una garantía razonable de que se abarcarán todos
los ítems durante el trabajo de auditoría no es la respuesta correcta ya que es necesario que los ítems materiales
sean cubiertos, no todos ellos. Dom 1 – ISACA
El Auditor de SI deberá seguidamente examinar los casos donde se hayan dado cálculos incorrectos y confirmar
los resultados. Después de que estos cálculos hayan sido confirmados, pueden realizar y revisar más pruebas y
80 C variables. La preparación de informes, hallazgos y recomendaciones no se realizará hasta que todos los
resultados hayan sido confirmados. Dom 7 – ISACA
La tarea de un auditor de SI es asegurar que se han incluido los controles necesarios. Salvo que esté
específicamente presente como consultor, el auditor de SI no debe implicarse en el diseño de detalle. En la fase
81 C de diseño, el papel principal del auditor de SI es asegurar que los controles son incluidos. Salvo que haya un
problema o fallo potencial que reportar, el auditor de SI no está preocupado con el control del proyecto en esta
fase. Dom 6 – ISACA
Los monitores o gestores on-line miden las transmisiones de telecomunicaciones y determinan si las
transmisiones son completas. Los informes de down-time rastrean la disponibilidad de las líneas de
telecomunicaciones y circuitos. Los informes del centro de soporte (help desk) gestionan los problemas
82 A ocurridos durante el desarrollo normal de las operaciones, y los informes de tiempo de respuesta identifican el
tiempo que le lleva a un comando lanzado desde un terminal hasta ser contestado por el ordenador Dom 4 -
ISACA
Los parámetros de generación del sistema determinan cómo funciona (run) el sistema, la configuración física y
83 D su interacción con la carga de trabajo (workoad) Dom 3 - ISACA
La autenticación es el proceso por el cual el sistema verifica la identidad del usuario. La opción A no es la mejor
respuesta porque la autenticación se refiere a la verificación de quien es el usuario contra una tabla de seguridad
84 B de usuarios autorizados para acceder al sistema y no necesariamente de las funciones que el usuario puede
realizar. La opción C es incorrecta porque esta no implica que el sistema ha verificado la identidad del usuario.
La opción D no es correcta porque esta es un control de aplicación en relación a la exactitud. Dom 4 - ISACA
Una verificación de paridad ayudará a detectar los errores de datos cuando los datos son leídos desde la memoria
o comunicados desde un ordenador a otro. Se agrega un dígito de un bit (ya sea 0 ó 1) a un ítem de información
85 D para indicar si la suma de ese bit del ítem de información es impar o par. Cuando el bit de paridad no coincide
con la suma de los otros bits, se genera un informe de error. Las opciones A, B y C son tipos de validación de
datos y de controles de edición. Dom 7 – ISACA
La escolta o acompañamiento de los visitantes asegurará que ambos el personal y los visitantes tienen permiso
para acceder a la instalación de proceso de datos (data processing facility). Las opciones B y C no son controles
86 A fiables. La opción D es incorrecta porque los visitantes deberían estar acompañados todo el tiempo mientras
están en el local o edificio, pero no solamente cuando están en la instalación de proceso de datos (data
processing facility). Dom 4 - ISACA
El desarrollo rápido de aplicaciones es una técnica de gestión que permite a las organizaciones desarrollar
sistemas importantes estratégicamente y más rápido mientras que se reducen los costes de desarrollo y se
87 C mantiene la calidad. PERT y la metodología de Camino Crítico son ambas técnicas de planificación y control,
mientras que el Análisis de Puntos de Función se usa para estimar la complejidad del desarrollo de aplicaciones.
Dom 6 – ISACA
Las verificaciones de eco no son un control apropiado para un interfaz EDI ya que no son un control general de
88 B comunicaciones de datos que detecte los errores de línea por la retransmisión inversa (back) de los datos hacia el
dispositivo emisor para compararlos con la transmisión original. Las opciones A, C, D, son controles de
Agora, Individuo y Organización 35

36. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
aplicación que a menudo encontramos en un interfaz EDI que brinda alguna seguridad de la integridad de datos
para la manipulación y encaminamiento (routing) de datos entre el sistema de aplicación y el gestor de
comunicaciones. Dom 7 – ISACA
El mejor medio para proteger datos confidenciales en un PC es a través del cifrado de los ficheros ya que se
genera un fichero no legible para usuarios no autorizados. El encendido operado mediante llave, la contraseña, o
los disquetes removibles únicamente restringen el acceso. Sin embargo, los datos pueden ser visualizados
utilizando sofisticadas técnicas de espionaje electrónico (eavesdropping). Únicamente el cifrado proporciona
89 B confidencialidad. Una contraseña puede no ser el mejor método de protección ya que pueden averiguarse. Los
disquetes removibles proporcionan cierta seguridad para la información si se almacenan en lugares cerrados a
los que únicamente los usuarios autorizados tengan acceso. Sin embargo, si caen en manos de usuarios no
autorizados éstos podrán leerlos fácilmente. Un sistema de encendido del equipo mediante llave puede ser
fácilmente evitado mediante la obtención de energía de una fuente alternativa. Dom 4 – ISACA
PKI es una combinación de software, tecnologías de cifrado, y servicios que permite a las empresas proteger la
seguridad de sus comunicaciones y transacciones de negocio en Internet. Un PKI típico de empresa abarca la
emisión de certificados digitales (claves públicas) a los individuos, la integración con directorios de certificados
corporativos y el uso de sistemas de cifrado de clave pública al establecer relaciones de confianza con los
90 D clientes. La gestión de la clave de contraseñas no es una técnica usada en PKI para distribuir claves a los
individuos. En vez, las autoridades de certificación digitalmente firman los certificados usando su propia clave
privada, y por lo tanto protegen el certificado o la clave contra alteraciones (tamper) y atestiguando (vouching)
la identidad del titular (holder). Dom 3 - ISACA
Todas las respuestas son correctas respecto a los data warehouses, con la excepción de que pueden ser usados
91 D para la toma de decisiones en cualquier posición de la organización. Dom 6 – ISACA
La obligación de tomar vacaciones de una semana o más de duración en que algún otro empleado en vez del
habitual desempeñe la función de trabajo, es frecuentemente obligatoria para puestos sensitivos. Esto reduce la
oportunidad de cometer actos inadecuados o ilegales, y durante este tiempo puede ser posible descubrir
92 B cualquier actividad fraudulenta que se estuviera realizando. Respuestas A, C y D podrían ser beneficios
organizativos de una determinada política de vacaciones, pero no la razón por la que se establece. Dom 2 –
ISACA
El programa completo, incluyendo todos los interfaz, debe ser verificado para determinar el impacto total del
93 D cambio en el código. Habitualmente, cuanto más complejo es el programa, más pruebas necesitará. Dom 6 –
ISACA
Si se inicia una versión incorrecta del programa, debe ser re-ejecutado desde el inicio. Una vez que un fallo ha
sido reparado, la ejecución puede ser re-emprendida desde el último punto de verificación (checkpoint). Si se
94 C carga una cinta fuera de secuencia, el trabajo (job) puede ser reiniciado desde un punto de verificación
(checkpoint) previo. Después de una pérdida de suministro eléctrico, la ejecución puede ser reemprendida desde
el último punto de verificación. Dom 5 – ISACA
La asignación del password inicial debería hacerla discretamente (discretely) el Administrador de Seguridad.
Los passwords deberían cambiarse a menudo (por ejemplo cada 30 días). Sin embargo, el cambio no es
voluntario y debe ser forzado por el sistema. Los sistemas no deberían permitir que los passwords anteriores
95 A sean usados de nuevo una vez hayan sido cambiados. Las contraseñas viejas pueden haber sido descubiertas y
permitirían así el acceso no autorizado. Los passwords no deben ser visualizadas de ninguna manera. Dom 4 -
ISACA
Es importante que los auditores de SI se ocupen de los controles lo antes posible. Un riesgo que se corre en la
fase de especificaciones funcionales es que los requisitos de control no queden claramente establecidos. El
auditor debe asegurarse que las áreas de negocio explicitan sus necesidades de control en esa fase. Hacer esto en
la fase de construcción es demasiado tarde para la identificación de los controles, puesto que puede requerir
96 D cambios en el diseño. Los controles deben ser diseñados en la etapa de diseño del sistema, pero los tipos de
controles deberían haber sido identificados como parte de las especificaciones funcionales. En las pruebas de
aceptación será demasiado tarde para identificar los controles, porque puede requerir grandes cambios en el
sistema. Dom 6 – ISACA
Controles de razonabilidad son una forma de controles de proceso que se usan para asegurar que los datos son
conformes de acuerdo a unos determinados criterios. Los informes de la imagen de antes y después son
esencialmente controles sobre los ficheros de datos que hacen posible trazar el impacto que las transacciones
97 B tienen en los registros del ordenador. Los controles de acceso online evitan accesos no autorizados a los datos y
al sistema. Los totales de comprobación son una forma de control de lotes (Batch control) usados para verificar
que un determinado campo numérico para todos los documentos procesados en un lote está de acuerdo con el
número de documentos procesados. Dom 7 – ISACA
Una ventaja de la formación cruzada es reducir la dependencia de un empleado y puede formar parte de un plan
de sustitución. También facilita la disponibilidad de respaldo del personal en el caso de su ausencia. Sin
98 D embargo, la formación cruzada puede presentar riesgos si brinda a un empleado conocimientos de todas las
partes de un sistema que puede posteriormente utilizarlos para burlar controles. Dom 2 – ISACA
La directriz (guideline) de auditoría de SI sobre el uso de una evaluación de riesgos en la planificación de
99 A auditoría expresa: “Todas las metodologías de evaluación de riesgos se basan en juicios subjetivos en cierto
Agora, Individuo y Organización 36

37. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
momento del proceso (por ejemplo, para asignar ponderaciones a los diversos parámetros). El auditor de SI debe
identificar las decisiones subjetivas requeridas para usar una metodología en particular y considerar si estos
juicios pueden hacerse y ser validados a un nivel apropiado de exactitud”. Dom 1 – ISACA
El control más necesario y eficaz que debe implantarse en primer lugar cuando se usa un acuerdo de
colaboración, es el contrato. Las otras respuestas constituyen todas, buenas técnicas utilizadas como controles
para minimizar/mitigar riesgos. Sin embargo, es posible que no se pueda forzar su uso sino son recogidos
100 D específicamente en el contrato. Dom 2 – ISACA
Nota de los profesores: la versión en inglés de esta pregunta, habla de mitigar los controles “mitigate
controls”. Se supone que es una redacción incorrecta, ya que el sentido siempre es que las técnicas y
los controles se usan para mitigar riesgos.
Los responsables de recuperación deberían ser intercambiados rotativamente para garantizar que la experiencia
en los planes de recuperación se extienda. Los clientes pueden ser implicados pero no necesariamente en cada
101 C caso. No todo el personal técnico debe ser implicado en cada prueba. Deben utilizarse siempre ubicaciones
externas para las copias de respaldo. Dom 5 – ISACA
Debido a la posibilidad de compartir datos con una base de datos, el asunto más preocupante es el acceso
indebido a ficheros. Los errores de programación y de entrada de datos no deberían aumentar por instalar una
102 C base de datos. La pérdida de paridad puede afectar a las transmisiones de datos, pero no tiene que ver con bases
de datos. Dom 3 - ISACA
En la criptografía de clave pública (Public Key encryption), conocida también como cifrado de clave asimétrica
la clave pública para cifrar el mensaje y la clave privada se usa para descifrarlo. Dom 4 – ISACA
103 C Nota de los profesores: La redacción de la respuesta correcta no es suficientemente clara, su mensaje
es: En la criptografía de clave pública la clave usada para cifrar los mensajes que recibo, la hago
pública, pero la clave usada para descifrarlos la mantengo privada
Un dígito de verificación/control es un valor numérico que se calcula matemáticamente y que se agrega a los
datos para asegurar que los datos originales no han sido alterados, o que hayan sido sustituidos por un valor,
incorrecto, pero válido. Este control es eficaz para detectar errores de transposición y de transcripción. Una
verificación de rango es verificar los datos que coincidan con un rango predeterminado de valores. Una
104 B verificación de validez es la verificación programada de la validez de los datos en conformidad con criterios
predeterminados. En una verificación duplicada, las transacciones nuevas o recientes se comparan con la
introducidas (entered) previamente para asegurar que éstas no estén ya en el sistema. Dom 7 – ISACA
Nota de los profesores: criterios predeterminados (p. ej., que el campo es numérico entero)
La primera y antes que nada responsabilidad del auditor de SI es advertir a la dirección general del riesgo que
implica el tener al Administrador de Seguridad desempeñando funciones de Operaciones. Esta es una violación
105 A de la segregación de funciones. El Auditor de SI no debe involucrarse en tareas de procesamiento, pero puede
emplear algún tipo de sistema de supervisión (monitoring system) para revisar la integridad de las transacciones.
Dom 2 – ISACA
Una planificación apropiada es el primer paso necesario para realizar auditorías eficaces. La primera tarea de un
auditor de SI debe ser recolectar información de referencia (background), tales como el sector del negocio, los
puntos de referencia (benchmarks) aplicados, tendencias específicas y requisitos regulatorios y legales. Esto
106 C permitirá al auditor entender mejor qué tiene auditar. Después de recolectar información inicial, el auditor
identificará, luego, el sujeto de la auditoría y el objetivo de la auditoría, definirá el alcance, establecerá los
sistemas de información y las funciones involucradas y definirá los recursos que se necesitan. Dom 1 – ISACA
Con el cifrado punto a punto un mensaje es cifrado cuando se transmite y descifrado cuando es recibido. La red
puede no necesitar siquiera saber que está cifrado. Puede necesitarse dejar algunos tipos de información tales
como la información de cabeceras y encaminamiento (routing), sin cifrar. En el cifrado del enlace el mensaje es
107 B cifrado cuando es trasmitido pero se descifra y cifra nuevamente cada vez que pasa por un nodo de
comunicación en la red. La gestión de las claves es más fácil en el cifrado punto a punto ya que se tiene que
almacenar la clave solamente en los puntos finales. En el cifrado de enlace se debe mantener en cada nodo. Dom
3 - ISACA
Durante la definición de requerimientos, el equipo de proyecto trabajará con los usuarios para definir sus
objetivos precisos y necesidades funcionales. En este momento, los usuarios deberían trabajar con el equipo para
considerar y documentar como puede ser probada la funcionalidad del sistema para asegurar que sus
108 B necesidades son satisfechas, tal como se establecen. En el estudio de viabilidad es demasiado pronto para esta
involucración detallada del usuario y en las fases de planificación de la implementación y revisión post
implementación es demasiado tarde. El auditor de SI debe saber en que punto se deberían planificar las pruebas
de usuario a fin de asegurar que es más eficaz y eficiente. Dom 6 – ISACA
Un control/verificación de totalidad (completeness) se utiliza para determinar si un campo contiene datos y no,
ceros o blancos. Un dígito de control/verificación es un número calculado matemáticamente para asegurar que el
109 C dato original no se alteró. Un control/verificación de existencia también comprueba que los datos se introdujeron
(entered) correctamente y de acuerdo a criterios predeterminados. Un control de razonabilidad verifica si la
entrada (input) se ajusta a unos límites razonables o tasas de ocurrencia. Dom 7 – ISACA
110 A Los acuerdos de instalaciones informáticas de respaldo compatibles es la mejor respuesta ya que esta no se
Agora, Individuo y Organización 37

38. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
relaciona con la seguridad de los ficheros, pero si solamente con la disponibilidad de las instalaciones
informáticas de respaldo. Los procedimientos en el centro informático de respaldo no afectarían la protección de
los ficheros a menos que fuese necesario usar la instalación de respaldo. Los procedimientos inadecuados para la
distribución (release) de ficheros se relacionarían con una protección inadecuada, los procedimientos
inadecuados de almacenamiento externo se relacionarían con una protección inadecuada de los ficheros, y los
controles de entorno o ambientales inadecuados se relacionarían con la protección inadecuada de los ficheros.
Dom 4 - ISACA
111 D Los controles de hardware son aquellos que están construidos en el equipo por el fabricante. Dom 3 - ISACA
“Durante la preparación de los datos” es la mejor respuesta ya que establece un control en el punto más
112 A temprano. Dom 7 – ISACA
El enrutamiento diversificado (Diverse routing) es un método para suministrar continuidad de
telecomunicaciones que implica enrutar el tráfico a través de circuitos duplicados o multiplicados. El
113 A enrutamiento alternativo se efectúa mediante el empleo de medios de transporte alternativos, como cable o fibra
óptica; la redundancia precisa el empleo de capacidad sobrante, y la diversidad de red de larga distancia es un
servicio proporcionado por los operadores para acceder a diversas redes de larga distancia. Dom 5 – ISACA
Las pruebas de interfaz (hardware o software) evalúan la conexión entre dos o más componentes que transfieren
información de un área a otra. Las pruebas piloto son pruebas preliminares centradas en aspectos específicos y
predeterminados de un sistema y que no implican reemplazar otros métodos. Las pruebas paralelas se efectúan
114 C suministrando los mismos datos a dos sistemas, al sistema modificado y al sistema alternativo, y comparando los
resultados. Las pruebas de regresión consisten en reejecutar o reprocesar una parte de un escenario o un plan de
pruebas para asegurar que los cambios y correcciones efectuadas no han introducido nuevos errores. Los datos
empleados en la prueba de regresión han de ser los mismos empleados en la prueba original. Dom 6 – ISACA
El propósito principal de probar el hardware de las instalaciones off-site es asegurar el mantenimiento de la
compatibilidad de las instalaciones de contingencia. Hay herramientas de software específico disponibles para
115 C asegurar la continuidad en la integridad de la base de datos. Los planes de contingencia no deben ser eliminados
y la documentación de sistemas y programas debe ser revisada de una forma continuada para asegurar su
vigencia. Dom 5 - ISACA
La evidencia obtenida de terceros independientes es casi siempre considerada como la más fiable. Las opciones
116 A B, C y D no se considerarían como fiables. Dom 1 – ISACA
La política es independiente, en general, del hardware y software utilizado, pero la política debe definir el plan y
la filosofía de concienciación, sin embargo sería esta estaría realmente en el nivel más alto, aspectos como “la
concienciación será realizada cada tres meses, y el incumplimiento de asistir a estas sesiones sin justificación,
podría ser motivo de despido”. La gerencia debe demostrar un compromiso con la política, aprobando la
concienciación y formación en la seguridad. El propietario de los datos o el gerente que es responsable del uso
117 A correcto e información (reporting) de la información, debe brindar autorización escrita a los usuarios para que se
le otorguen los accesos a la información automatizada. Dom 2 – ISACA
Nota de los profesores: esta pregunta que estaba ya en los cuestionarios del año 2001, y que fue
reportada por inconsistente, en cuanto a la respuesta correcta, ha sido corregida por la ISACA en la
versión del año 2002. Esta nota es un aviso para aquellas personas que puedan, en algún momento,
revisar preguntas utilizadas en años anteriores.
La información sensitiva debe ser borrada del disco duro antes que este salga del entorno seguro y restaurada
cuando este sea devuelto. Se deben usar herramientas adecuadas para asegurar que la información está
completamente eliminada (erase) más que meramente borrada (delete), ya que la información borrada (delete),
puede ser recreada utilizando programas de utilidad. Un acuerdo de confidencialidad existirá normalmente, pero
118 A eliminar la información sensitiva es la única forma para asegurar la confidencialidad. Retirar el disco duro es
una opción razonable, pero este dispositivo puede ser necesario para la reparación. Desmagnetizar el disco duro
eliminará efectivamente la información, pero también eliminará los programas y el sistema operativo haciendo
que la restauración después de la reparación mucho más difícil. Dom 3 - ISACA
Los cajeros automáticos (Automated Teller Machines o ATMs) son un tipo especial de terminal de punto de
venta y su sistema debe satisfacer altos niveles de seguridad física y lógica, tanto para el cliente, como para el
119 D equipo. Los cajeros permiten efectuar un variado tipo de transacciones, incluyendo la retirada y el depósito de
fondos; generalmente están situados en zonas sin atención humana; y utilizan líneas de telecomunicación sin
protección para la transmisión de datos. Dom 4 – ISACA
La comprobación de integridad de datos es un conjunto de pruebas sustantivas que examina la exactitud,
integridad (completeness), consistencia y autorización de los datos. La comprobación de integridad relacional es
una prueba sustantiva que detecta modificaciones a datos sensitivos mediante el uso de totales de control. La
120 A comprobación de integridad de dominio es una prueba sustantiva que verifica que los datos se ajustan a las
especificaciones. La comprobación de integridad referencial asegura que los datos existen en su fichero matriz
(parent file) u original antes de que exista en el fichero hijo o en otro fichero. Dom 7 – ISACA
Todas estas son características de la firma digital. El no repudio garantiza que el remitente supuesto no puede
121 C negar la generación y envío del mensaje con posterioridad. La integridad de datos se refiere a cambios en el
texto normal (plaintext) del mensaje que generarían que el receptor tendría fallos en el cálculo del hash del
Agora, Individuo y Organización 38

39. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
mismo mensaje. La autenticación garantiza que el mensaje ha sido enviado por quien dice ser el
remitente/emisor, pues sólo tal remitente puede tener la clave. Protección de re-envío o contestación (replay) es
un método que un receptor puede usar para chequear que el mensaje no ha sido interceptado y replicado
(copiado). Dom 4 - ISACA
Los productos de CASE medio se usan para desarrollar diseños de detalle, tales como pantallas o
representaciones de informes . El CASE supremo (super CASE) no es un producto CASE definido. El upper
122 C CASE se usa para describir y documentar los requerimientos del negocio y de la aplicación, y el lower CASE
tiene que ver con la codificación del programa, y las definiciones de la base de datos. Dom 6 – ISACA
Las convenciones de nombres para los recursos del sistema son un requisito previo importante para una
administración eficiente de los controles de seguridad. Las convenciones de nombres pueden ser estructuradas
de tal forma que los recursos que comiencen con el mismo calificador de alto nivel puede ser gestionado por una
o más reglas genéricas. Esto reduce el número de reglas requeridas para proteger adecuadamente los recursos, lo
cual a su vez facilita las administración de la seguridad y los esfuerzos de mantenimiento. Reducir el número de
123 B reglas requeridas para proteger adecuadamente los recursos permite la agrupación de los recursos y ficheros por
aplicación, lo cual hace más fácil el proporcionar acceso. Asegurar que los nombres de los recursos no son
ambiguos no se logra por convenciones de nombres. Asegurar que el acceso a los recursos del usuario está
claramente y unívocamente identificado, es gestionado por las reglas de control de acceso, no por las
convecciones de nombres. Los nombres reconocidos internacionalmente no son requeridos para el control del
acceso a los recursos. Esto se basa en como cada organización desea identificar sus recursos. Dom 4 – ISACA
Si se descubre una contraseña cuando el inicio de sesión único (single sign-on) está habilitado, hay un riesgo de
que sea posible un acceso no autorizado a todos los sistemas. Los derechos de acceso de usuarios deben
124 A permanecer sin cambios por el inicio de sesión único ya que no se necesariamente se implantarán parámetros
adicionales de seguridad. Uno de los beneficios deliberados del inicio de sesión único, es que la administración
de la seguridad se simplificará y es improbable un aumento de la carga de trabajo. Dom 3 - ISACA
Las pruebas de cumplimiento determinan si los controles existen y funcionan tal como estaban previstos
mientras que las pruebas sustantivas tienen que ver con pruebas de detalle de transacciones/procedimientos. Las
125 B pruebas de cumplimiento no incluyen pruebas de planes. Los requerimientos regulatorios no son en si mismo
probados directamente por las pruebas de cumplimiento, aunque sí se comprueban los controles implantados
para asegurar el cumplimiento de la regulación. Dom 1 - ISACA
El administrador de bases de datos sólo en raras ocasiones debe mapear (mapping) elementos de datos del
modelo de datos al esquema interno (definiciones de almacenamiento físico de datos). Para hacer eso debería
126 D eliminar la independencia entre datos y los sistemas de aplicaciones. El mapeo (mapping) del modelo de datos
ocurre en el esquema conceptual puesto que el esquema conceptual representa la vista corporativa de los datos
en la organización y es la base para derivar un modelo de datos departamental de usuario final. Dom 2 – ISACA
Sin datos para procesar, todos los otros componentes del esfuerzo de recuperación son vanos. Aún en el caso de
127 D la ausencia de un plan, los esfuerzos de recuperación de cualquier tipo no serían prácticos sin los datos para
procesar Dom 5 – ISACA
Los acuerdos de nivel de servicio se establecen entre el departamento usuario y la dirección de SI para asegurar
los niveles mínimos de capacidad de proceso durante un desastre. Los niveles mínimos de servicio que debe
prestar la dirección de SI normalmente se recogen en un estatuto (charter). Las otras alternativas no son
128 B relevantes. Dom 2 – ISACA
Nota de los profesores: aunque se esté hablando de un caso específico, actualmente los ‘
acuerdos de
nivel de servicio’NO son exclusivos para desastres
Los administradores del sistema deben tener la posibilidad de leer los registros (logs) del sistema para establecer
quien ha estado realizando funciones específicas en el sistema e identificar cualquier acceso potencialmente no
autorizado. Sin embargo, nunca se les debe permitir ESCRIBIR en este fichero ya que pueden comprometer el
uso como evidencia de esta información. Los administradores de seguridad, por definición, más que el acceso en
129 A LECTURA a los ficheros de los parámetros de seguridad y a los perfiles de usuarios ya que el mantenimiento de
esta información es intrínseca como parte de sus trabajos. El administrador de seguridad no debe tener acceso ni
en LECTURA ni en ESCRITURA a los ficheros de contraseñas (passwords) de usuarios ya que las claves deben
permanecer confidenciales siempre. Estos ficheros deberían estar siempre cifrados. Dom 3 - ISACA
Los controles de seguridad de datos son los controles que aseguran la integridad de los datos, no la exactitud.
130 A
Ninguno de los otros controles asegura la integridad de los datos. Dom 4 - ISACA
Todo lo mencionado son ventajas excepto que pueden carecer del nivel de detalle suficiente en comandos para
131 A realizar operaciones intensivas con datos. Este tipo de operaciones es habitualmente requerida en el desarrollo
de aplicaciones de gran envergadura. Dom 6 – ISACA
Los datos corporativos cifrados están seguros mientras se transmiten a través de Internet. Los Firewalls están
pensados para impedir el acceso a los hackers a las redes corporativas, deberían estar situados en el punto más
132 C vulnerable entre la red corporativa e Internet, todas las redes corporativas son posibles objetivos de ataque en la
red. Dom 4 – ISACA
El envío y reconciliación de la suma de transacciones y de totales asegura que las órdenes son recibidas, pero
133 A también que han sido procesadas en las instalación central de producción. La retransmisión hacia el emisor
(instalación local) confirma la recepción (instalación central) pero no que haya sido procesada la información. El
Agora, Individuo y Organización 39

40. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
seguimiento (tracking) y justificar la secuencia numérica solo confirma que las órdenes han llegado, pero no si
actualmente han sido completadas. La verificación de paridad confirmaría que las ordenes no han sido alteradas
durante la transmisión. Dom 7 – ISACA
Firmando el mensaje utilizando la clave privada del remitente, el receptor puede verificar su autenticidad
utilizando la clave pública del remitente. Cifrando el mensaje con la clave pública del receptor, únicamente el
134 A receptor puede descifrar el mensaje utilizando su clave privada. La clave privada del receptor es confidencial, y
por lo tanto desconocida para el remitente. Los mensajes cifrados utilizando la clave privada del remitente
pueden ser leídos por cualquiera (utilizando la clave pública del remitente). Dom 4 - ISACA
La respuesta A es la que describe mejor una utilidad integrada de prueba, que es un proceso de computación
especializado de ayuda a la auditoría, que permite al auditor de SI probar una aplicación de una forma
135 A continuada. La opción B es un ejemplo de un fichero de revisión de auditoría de control de sistemas. Las
opciones C y D son ejemplos de instantáneas o fotografías (snapshot). Dom 1 - ISACA
Un cold site está listo para recibir equipo, pero no ofrece ningún componente in situ, por anticipado a la
necesidad. Un warm site es una instalación de respaldo remota (off-site) que está parcialmente configurada con
conexiones de red y con equipo periférico seleccionado, tales como unidades de disco, unidades de cinta,
136 A controladores, y CPUs, para operar una instalación de procesamiento de información. Una instalación de
procesamiento de información duplicada es un sitio (site) de recuperación, dedicado, autodesarrollado que puede
dar respaldo a aplicaciones críticas. Dom 5 – ISACA
El desarrollo e implementación de un sistema de alta prioridad típicamente conlleva entre una año y 18 meses.
Por lo que si se necesita un año no sería por lo tanto un indicador de que una externalización vaya a mejorar el
137 B tiempo de desarrollo. Las respuestas A, C y D constituyen todas ellas indicadores que justificarían una
externalización. Dom 2 - ISACA
Los procedimientos de sign-on típicamente incluyen la Identificación de Usuario del logon (inicio de sesión) y
la contraseña. Adicionalmente el proceso de sign-on puede incluir la identificación del terminal que está
138 D utilizando. Estas medidas permiten al ordenador determinar si el usuario está autorizado para acceder. Dom 4 -
ISACA
Asegurar que se cumplen las convenciones de nombres de campos es importante para asegurar que el
mantenimiento de programas podrá ser realizado fácilmente por diferentes programadores, y que se facilitan
controles de calidad. Las tablas de control de accesos, la documentación de programas y las técnicas de diseño
139 D de diagramas de flujo no se incluirían normalmente en los estándares de codificación. Un Auditor de SI debe
conocer dichos estándares y sus componentes ya que así sabrá dónde mirar cuando busque información y por
qué tales estándares son importantes. Dom 6 – ISACA
Un gestor de comunicaciones transmite y recibe documentos electrónicos entre socios comerciales (trading
partners) y/o redes de área amplia (WANs). Un traductor EDI traduce datos entre el formato estándar y el
140 A formato propiedad (propietary) de un socio comercial. Un interfaz de aplicaciones mueve las transacciones
electrónicas hacia o desde, el sistema de aplicación y realiza el mapeo de datos. Un interfaz EDI manipula y
enruta los datos entre el sistema de aplicación y gestor de comunicaciones. Dom 7 – ISACA
Los nodos (hubs) son unidades (devices) internas que normalmente no tienen conectividad externa directa y por
lo tanto no son accesibles por los hackers. No existen virus conocidos que ataquen específicamente a los hubs.
141 B Aunque esta situación puede indicar que existe un nivel deficiente de la gestión de los controles, la respuesta B
es más probable cuando se utilizan prácticas de apilar hubs y aumentar las conexiones de terminales. Dom 4 –
ISACA
El único rastro de los cambios realizados en la base de datos de la nómina aparecerá en los ficheros de registros
de transacciones (log). Porque los programas originales fueron restaurados, la comparación del código fuente y
142 D ejecutable es ineficaz. ITF es menos eficaz que la comparación de código fuente, porque es difícil saber dónde
buscar. Dom 7 – ISACA
La prueba de Arriba Abajo (Top down) comienza con las principales funciones del sistema y trabaja hacia abajo.
El énfasis inicial, cuando se utiliza la técnica de los prototipos, es crear en el menor tiempo posible, pantallas e
143 D informes, que contengan las principales características del sistema propuesto. Las pruebas de volumen y del
sistema se realizan en las fases finales de pruebas. Las pruebas en paralelo no son siempre necesarias,
especialmente si no existe un sistema "viejo" con el que comparar. Dom 6 – ISACA
La disponibilidad de recursos debe estar asegurada. La carga de trabajo del sitio debe ser monitoreada para
asegurar que no se obstaculice la disponibilidad para el uso del respaldo de emergencia. El sitio escogido no
debe estar sujeto al mismo desastre natural que el sitio primario. Además, debe existir una compatibilidad
144 C razonable de hardware / software para que sirva como base para el respaldo. El hardware más reciente o más
nuevo podría no servir adecuadamente para satisfacer estar necesidad. Probar el sito cuando esté instalado es
esencial, pero es necesario que los datos reales de respaldo sean probados periódicamente para asegurar que las
operaciones continuarán funcionando tal como se planificó. Dom 5 – ISACA
El plan estratégico de TI existe para soportar el plan de negocio de la organización. Para evaluar el plan
145 B estratégico de TI el auditor de SI necesitaría primero familiarizarse con el plan de negocio. Dom 2 – ISACA
Un auditor de SI debería centrarse en el momento en que se realizan los controles a medida que los datos fluyen
146 A a través de un sistema informático. La opción B no es correcta ya que los controles correctivos también pueden
ser relevantes. La respuesta C es incorrecta porque los controles correctivos eliminan o reducen los efectos de
Agora, Individuo y Organización 40

41. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
los errores o irregularidades y son considerados únicamente como controles compensatorios. La respuesta D es
incorrecta e irrelevante ya que la existencia y la función de los controles es importante, no su clasificación. Dom
1 - ISACA
La creación de una firma digital no cifra por sí misma el mensaje o asegura que éste no va a resultar
147 B comprometido. Únicamente verifica de quién viene el mensaje. Dom 4 - ISACA
La evidencia tiene que ser relevante, fiable, suficiente y útil. Sin embargo, cierta evidencia es más fiable que
otra. En este caso, las manifestaciones verbales serían la evidencia menos fiable, a menos que estén
148 C documentadas y puedan ser sustanciadas. Este tipo de evidencias, a menudo, depende de la independencia del
que la suministra, de su experiencia y objetividad. Las otras opciones de evidencia que se relacionan son
documentales por naturaleza, y por ende consideradas más fiables. Dom 1 – ISACA
Todas las opciones se refieren a aspectos de convenciones de denominaciones para los controles de acceso
149 D excepto que sean a menudo definidas y establecidas con la asistencia del Responsable de Seguridad, no por el
Administrador de Base de Datos. Dom 4 - ISACA
Las respuestas A, B y D son todas pasos en la planificación previa de la auditoría. Las pruebas de cumplimiento
150 C no se efectuarían hasta que se hubiera completado toda la planificación previa de la auditoría. Dom 1 – ISACA
La Dirección debe asegurar que todos los activos de información (datos y sistemas) tengan asignado un
propietario que tome las decisiones sobre la clasificación de la información y los derechos de accesos. Los
propietarios de los sistemas típicamente delegan la custodia del día a día al grupo de servicio/operaciones de
151 C sistemas y delegan también las responsabilidades de seguridad en el administrador de seguridad. Los
propietarios, sin embargo, siguen siendo los responsables del mantenimiento de las medidas de seguridad
apropiadas. Dom 2 – ISACA
Las contraseñas y otra información pueden ser situadas dentro del paquete. Los costos cargados por la
transmisión se basan en los paquetes transmitidos, y no en la distancia o ruta utilizada. Las respuestas A y C no
152 D son correctas porque el mensaje completo se divide en unidades de transmisión (packets), que son ruteados
(conducidos/routed) individualmente a través de la red. Dom 3 - ISACA
Medir cuantitativamente los resultados de la prueba involucra un informe genérico (generic statement) para
medir todas las actividades realizadas durante el BCP, que da la mejor garantía de un plan eficaz. A pesar de que
153 A las opciones B y C también son cuantitativas, éstas están relacionadas con áreas específicas, o con un análisis de
resultados desde un punto de vista, concretamente, la exactitud de los resultados y el tiempo transcurrido. Dom
5 – ISACA
Es muy importante que el proyecto se planifique adecuadamente y que todas las fases específicas y productos o
154 A entregas se identifiquen durante las fases iniciales o más tempranas del proyecto Dom 6 – ISACA
Los controles de procesamiento aseguran la totalidad y exactitud de los datos acumulados; por ejemplo, la
edición y totales de pasada en pasada (run-to-run totals). Los procedimientos de control de ficheros de datos
aseguran que los datos almacenados sólo sean tratados por procesamientos autorizados, por ejemplo registros de
155 A transacciones (logs). Los controles de salida (output) aseguran que los datos entregados a los usuarios serán
presentados, formateados, y entregados en una forma consistente y segura, por ejemplo distribución de informes.
Controles de aplicación es una terminología general que comprende todos los tipos de controles usados en una
aplicación Dom 7 – ISACA
La clasificación y propiedad de datos es un procedimiento establecido para garantizar la adecuada segregación
156 C de tareas. Los controles de acceso lógico garantizan que se mantiene tal segregación. Las otras opciones están
todas protegidas por controles físicos. Dom 4 - ISACA
La mejora de la eficiencia del proceso puede no ser realizada con los paquetes de software. Normalmente, los
157 C sistemas desarrollados internamente son más eficientes debido a que han sido desarrollados para un entorno de
recursos específicos. Dom 6 – ISACA
El acceso al sistema operativo no necesariamente conlleva el otorgar acceso para crear nuevos usuarios. Por lo
tanto, no es una preocupación probable. Las otras elecciones son inquietudes probables si el sistema operativo
158 A no está definido convenientemente. En este caso los usuarios pueden acceder a directorios escribibles o
grabables del sistema, borrar base de datos y ficheros de registro (log) y acceder a herramientas de utilidades del
sistema. Dom 4 – ISACA
Habilitar pistas de auditoría ayuda a establecer la responsabilidad y la atribución de esta (accountability) sobre
las transacciones procesadas al permitir rastrear transacciones a través del sistema. El objetivo de habilitar al
software para que brinde pistas de auditoría no es mejorar la eficiencia del sistema, ya que implica, a menudo,
159 B un proceso adicional que de hecho puede reducir el tiempo de respuesta para los usuarios. Habilitar las pistas de
auditoría implica almacenamiento y por lo tanto ocupa espacio en disco. La alternativa D también es también
una razón válida pero no es la principal. Dom 1 – ISACA
Los hot sites puede estar listos para operar, normalmente, en horas. Sin embargo, el uso de los hot sites es muy
160 C caro, no debe ser considerado como una solución de larga duración, y si requiere que el equipo y el software del
sistema sean compatibles con la instalación primaria que está siendo respaldada. Dom 5 – ISACA
Los Arboles de Decisión utilizan cuestionarios que guían al usuario a través de una serie de opciones hasta
alcanzar una conclusión. La flexibilidad está comprometida porque el usuario debe responder a las preguntas en
161 B una secuencia exacta. Las reglas se refieren a expresiones declarativas de conocimiento mediante el uso de
relacione si-entonces (IF THEN). Las redes semánticas son un gráfico de en el que los nodos representan objetos
Agora, Individuo y Organización 41

42. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
físicos o conceptuales y los arcos representan las relaciones entre nodos. Las redes semánticas se asemejan a los
diagramas de flujos y usan los mecanismos de herencia para prevenir la duplicación de datos. Dom 6 – ISACA
No hay relativamente controles del centro de proceso de datos, nuevos y adicionales asociados con la
implantación de aplicaciones EDI. Pero se necesitará un mayor control en el sistema de aplicación del usuario
para reemplazar los controles manuales, tales como la revisión in situ de documentos. Será necesario poner más
162 D énfasis en el control de la transmisión de datos (controles de gestión de red), con la selección de documentos
estándar y los protocolos adecuados y el uso de los reconocimientos será cada vez más importante. Dom 7 –
ISACA
El software de control de acceso tiene los siguientes mecanismos automatizados.
1. Reglas de acceso basadas en identificaciones individuales (logon-ID)
2. Autenticación individual (logon-ID y passwords)
163 C 3. Registro y reporte (Logging and reporting) de intentos de accesos no autorizados.
También, porque el software de control de accesos es un mecanismo automático, es un control activo que debe
estar presente siempre. Dom 4 - ISACA
Las utilidades del sistema pueden permitir que se realicen cambios no autorizados a datos en la base de datos de
cliente/servidor. En una auditoría de la seguridad de una base de datos, los controles sobre estas utilidades
deberían ser la primera preocupación de un auditor de SI. Los generadores de programas de aplicación son una
164 A parte intrínseca en una tecnología de cliente/servidor, el auditor de SI evaluaría los controles sobre los derechos
de acceso de los generadores a la base de datos más que su disponibilidad. La documentación de seguridad debe
estar restringida al persona de seguridad autorizado, pero esta no es una inquietud principal, ni el acceso a los
procedimientos almacenados. Dom 3 - ISACA
Una pasarela realiza el trabajo de traducir los formatos de correo electrónico desde una red a otra de modo que
los mensajes puedan hacer su camino a través de todas las redes. Un convertidor de protocolos es un dispositivo
de hardware que convierte entre dos tipos diferentes de transmisiones, tales como las transmisiones asíncronas y
165 A síncronas. Un procesador de comunicaciones inicial (front-end) conecta todas las líneas de comunicación de red
a un ordenador central para relevar al ordenador central de la realización del control de red, tareas de conversión
de formatos y de manejo de mensajes. Un concentrador /multiplexor es un dispositivo que se usa para combinar
varios canales de velocidad más baja en un canal de alta velocidad. Dom 7 – ISACA
Es probable que una compañía quede fuera del mercado o pierda su negocio después de un desastre en sus
instalaciones informáticas. Sin embargo, la probabilidad de que esto ocurra es menor que las pérdidas en los
ingresos, que la interrupción o trastorno en la productividad organizativa, o pérdida de datos críticos. Las
166 D opciones A, B y C no son correctas, porque la pérdida en los ingresos de la compañía, la interrupción o trastorno
en la productividad organizativa y la pérdida de datos críticos son muy probablemente como consecuencia de
procedimientos deficientes en la recuperación. Dom 5 - ISACA
La fase de planificación del Departamento de SI debe específicamente tener en cuenta la forma en que los
recursos son proporcionados en el corto plazo. Las inversiones en TI necesitan ser conciliadas con las estrategias
167 A de la alta gerencia, más que centrarse en la tecnología por la tecnología misma. Realizar auto evaluaciones de
control y evaluar las necesidades de hardware no son tan críticas como la asignación de recursos durante la
planificación a corto plazo para el Departamento de SI. Dom 2 – ISACA
El auditor de SI debe estar siempre presente cuando se prueban los planes de recuperación de desastre para
asegurar que la prueba satisface los objetivos requeridos para la restauración y que los procedimientos de
recuperación son eficaces y eficientes, informando sobre los resultados según corresponda. Los auditores de SI
pueden estar involucrados en la supervisión del desarrollo del plan, pero es poco probable que se involucren en
168 A el proceso real de desarrollo. De forma similar, se podría llevar a cabo una auditoría del mantenimiento del plan
pero el auditor de SI no tendría normalmente ninguna responsabilidad en el mantenimiento real. Se puede pedir
a un Auditor de SI que comente sobre los diversos elementos de un contrato de proveedor, pero, otra vez, este
no es el caso habitual. Dom 5 - ISACA
Idealmente un comité de dirección de SI debería estar compuesto por miembros de todas las áreas de negocio
importantes en una organización. Su meta es revisar y actuar sobre todas las peticiones de nuevas necesidades de
169 B sistemas según los objetivos y la misión corporativa. A este fin es responsabilidad del comité asegurar el uso
eficiente de los recursos de proceso de datos y establecer las prioridades, examinar costes y proporcionar soporte
para diversos proyectos. Dom 2 – ISACA
Preguntar a los programadores acerca de los procedimientos que están siendo seguidos en la actualidad es útil
para determinar si el acceso a la documentación de programas está restringida a personas autorizadas. La
evaluación de los planes de retención de registros para el almacenamiento en instalaciones externas (off
170 B premises) prueba los procedimientos de recuperación, pero no el control de acceso a la documentación de
programas. La prueba de los registros de utilización no está relacionada con la seguridad de acceso sobre la
documentación de programas. Las pruebas de acceso a ficheros de datos no están relacionadas con la seguridad
de la documentación de programas. Dom 4 - ISACA
La única forma de establecer que parámetros están funcionando en un sistema operativo existente es determinar
que opciones (settings) de los parámetros, existían en el momento en que el sistema fue generado o creado
171 A (generalmente se hace referencia a esto como la Carga Inicial del Sistema Operativo o IPL). Aún cuando, los
hallazgos de este ejercicio pueden ser adicionalmente evaluados en una examen con el vendedor, evaluando la
Agora, Individuo y Organización 42

43. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
documentación y consultando con los programadores del sistema, estas acciones no establecerían, por si
mismas, que funciones específicas de control están operativas. Dom 3 - ISACA
La mayoría de dispositivos informáticos de usuario final no registran todas las actividades del sistema o no es
172 A razonable hacerlo debido a la gran cantidad de recursos de almacenamiento que se requiere para mantener el
registro (log). Dom 6 – ISACA
Los controles de integridad referencial previenen la ocurrencia de valores (unmatched) de claves externas
(unmatching foreing keys values) que no coincidan. Dado que un empleado inexistente no aparece en la tabla de
173 B empleados, nunca tendrá una entrada correspondiente en la tabla de pagos salariales. Las demás alternativas no
pueden detectarse por los controles de integridad referencial. Dom 7 – ISACA
De las opciones, la más efectiva sería la revisión periódica de la vigencia de la información de detalle en el plan,
tales como los nombres y los sitios de contacto, la frecuencia de las copias de respaldo y del contenido, los
procedimientos de recuperación, etc.. Se deberán realizar ejercicios periódicos de recuperación, pero es mejor
que el personal involucrado no sea experto en recuperaciones. Esto brindará una seguridad mayor de que, si
174 A ocurriese un desastre, el plan podría ser usado por cualquier personal disponible. Los ejercicios deben ser
planificados y anunciados, una prueba no planificada, por muy frecuentemente que se realice, será más difícil de
evaluar y es menos probable que brinde seguridad de que el plan es eficaz. Un cierre o apagado (shut down) no
anunciado de los procesos principales no debería ser considerado en ninguna ocasión, debido a que el efecto
potencial en los procesos “vivos”, haría fallar la recuperación. Dom 5 - ISACA
El sniffing (búsqueda) es un ataque que puede ser ilegalmente usado para capturar partes sensitivas de
información (contraseñas / passwords), que pasan a través de la red. El cifrado es un método de distorsión de
175 B información para evitar que individuos no autorizados entiendan la transmisión. Spoofing (burla) es falsear una
dirección e insertarla en un paquete para ocultar el origen de la comunicación. La destrucción de datos es el
borrado de información o sacándolos de su ubicación original. Dom 4 - ISACA
El Auditor de SI deberá utilizar técnicas de evaluación de riesgos en el desarrollo del plan general de auditoría y
en la planificación de auditorías específicas. La evaluación de riesgos facilita las decisiones de planificación
tales como: la naturaleza, el alcance, la oportunidad de los procesos de auditoría, áreas o funciones de negocio a
176 C auditar, y la cantidad de tiempo y recursos a asignar a una auditoría. Las técnicas de evaluación de riesgos
ayudarán a identificar exposiciones significativas y sus riesgos correspondientes, pero por sí mismas no
conducirán a la predicción de posibles hallazgos, conclusiones y recomendaciones de auditoría. Dom 1 –
ISACA
Un control interno básico diseñado en un sistema de aplicación no asegura la prevención de un fraude
178 C intencional, mientras que las otras respuestas son el resultado del diseño de esos controles en los sistemas de
aplicación. Dom 7 - ISACA
La seguridad del servidor y del sistema debe estar definida de tal forma que solamente permita al personal
autorizado acceso a la información del personal cuyos registros se procesan diariamente. La opción A es un
buen control ya que permitirá que los accesos sean analizados en el caso que haya alguna inquietud sobre la
existencia de accesos no autorizados. Sin embargo, no previene el acceso. La opción B, acceso restrictivo a
177 C transacciones sensitivas, solamente restringirá el acceso a parte de la información. No prevendrá el acceso a
otros datos. La opción D, el acceso al sistema está restringido al horario de trabajo, solamente restringe cuando
un acceso no autorizado puede tener lugar, este no prevendría contra este acceso en otros momentos. Dom 4 -
ISACA
Los controles detectivos son controles que detectan que un error, omisión o actuación maliciosa ha ocurrido e
informa de ello. La opción B también podría ser correcta. La exploración (scan) de los disquetes y CDs traídos
desde fuera de la compañía antes que se usen puede también ser considerado tanto un control antivirus como un
control preventivo. Como tal, la exploración diaria de todos los ficheros en todos los servidores de ficheros y
179 C mover los ficheros sospechosos a un área segura es un control detectivo anti-virus. Direccionar o encaminar
todos los enlaces con sistemas externos a través de un “firewall” y explorar todos los disquetes y CDs
procedentes del exterior de la entidad antes de su uso son controles anti-virus preventivos. El uso de software
antivirus para actualizar los ficheros de configuración de los antivirus de los usuarios cada vez que inician una
sesión es también una comprobación preventiva para asegurar que los controles funcionen. Dom 1 – ISACA
Para que un acuerdo recíproco sea efectivo, el hardware y el software en los dos sitios deben ser compatibles.
Deben existir procesos para asegurar que esto sea así. La opción D, la frecuencia de las pruebas del sistema, es
una preocupación, pero la razón para considerar este aspecto es que pruebe que el hardware y el software sean
180 B compatibles. La opción A es una cuestión para cuando se examina el proceso de planificación no el acuerdo
recíproco. La opción C no es un problema, ya que las organizaciones pueden tener diferencias en políticas y
procedimientos, y aún así ser capaces de operar sus sistemas en el sitio de cada otro en el caso de un desastre.
Dom 5 – ISACA
Una firma digital incluye un total hash cifrado del mensaje tal como fue transmitido por su autor; este ya no
sería exacto si el mensaje hubiese sido posteriormente alterado, indicando de esta forma que ha existido una
181 D alteración. Las firmas digitales no previenen ni identifican ninguna de las otras opciones. La firma no prevendría
ni impediría una lectura o copia no autorizada, ni el robo. Dom 4 - ISACA
Las minutas de las reuniones del Comité de Dirección de Sistemas de Información no son medidas objetivas de
182 B la eficacia de la Gerencia. Generalmente representan el punto de vista de la Gerencia, no del staff, y por lo tanto
Agora, Individuo y Organización 43

44. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
pueden no indicar cuan eficazmente han sido transmitidas las políticas al personal apropiado. Dom 2 – ISACA
Los controles mediante software en la forma de detección de virus y eliminación de programas es el método más
eficaz para detectar y eliminar virus. Las políticas, normas y procedimientos son importantes, porque se basan
183 A en el personal, sin embargo están considerados menos eficaces que los controles de software. Las opciones C y
D no son relevantes para la detección de virus. Dom 4 - ISACA
Los parámetros que no se establecen correctamente serían la mayor preocupación cuando se está implantando un
184 C paquete de software de aplicación. Las otras opciones, aunque importantes, son una preocupación del proveedor,
no de la organización que está implantando el software en si. Dom 6 – ISACA
Un RFP (o ITT) es una petición a los proveedores de hardware para que realicen propuestas formales o pliegos
de condiciones para proveer hardware. Debe contener el detalle suficiente para que el que realiza la oferta
entienda las necesidades de la organización e incluya sus costes. El soporte después de la implantación y el
185 A mantenimiento es una parte integrante del coste, mientras que la infraestructura actual del software y el
hardware, y las políticas de seguridad, etc, son irrelevantes en detalle. El presupuesto global disponible no
debería ser incluido en el RFT (ITT). Dom 3 - IS
El cifrado es el único medio para asegurar que las transacciones en Internet son confidenciales, y de las
opciones, el uso de cifrado de clave pública es el mejor método. Las firmas digitales asegurarán que la
transacción no ha sido cambiada y que no puede ser repudiada, pero no asegurará la confidencialidad. Dom 4 –
ISACA
186 D Nota de los Profesores: En las VPN, la información va tunelizada, encapsulada y cifrada, por lo que
la confidencialidad de las transacciones está asegurada. Pero no es la respuesta correcta porque la
pregunta versa sobre transacciones iniciadas en Internet y las VPN sirven para enlazar (vía Internet)
varias LAN, en las que se inician las transacciones.
Los diagramas PERT no son una técnica de estimación de costes sino más bien contribuyen a la identificación
del camino crítico (critical path). Este asegura que se realiza una planificación y seguimiento adecuados. Sin
embargo, esto no ayudará en la estimación de costes. Las otras opciones son técnicas que podrían ser usadas
para la estimación de costes en la fase de planificación de un proyecto. Los puntos de función son usados para
estimar la carga de trabajo y el contenido del sistema propuesto y por lo tanto, indirectamente los requerimientos
187 A de recursos también. La técnica delphi es usada para resolver la diferencia de opiniones entre las diversas
personas que estiman la necesidad de recursos. Esto se hace llegando a un consenso por medio de discusiones
mutuas y ajustes de refinamiento a las estimaciones en vueltas (rounds). El juicio experto es la técnica utilizada
más ampliamente, donde basándose en su experiencia previa, una persona traza una estimación para un proyecto
dado. Dom 6 – ISACA
El personal de soporte técnico, como cualquier otro usuario de ordenador, debe tener acceso autorizado
188 C solamente a la información que necesitan para llevar a cabo su trabajo. El hecho de que estos deseen tener
acceso a todos los recursos no justifica darles ese acceso. Dom 4 - ISACA
El cuadre de los totales de control diarios está relacionado con aplicaciones específicas y no es considerado
189 C parte del conjunto de controles generales. Todas las demás opciones son aspectos de los controles generales.
Dom 7 - ISACA
La ausencia de controles de contraseñas (passwords) del entorno de cliente servidor donde residen los datos
190 B críticos es la debilidad más crítica. Todos los demás hallazgos (findings), aun cuando algunos son debilidades
serias de control, no tienen el mismo impacto de desastre. Dom 4 - ISACA
Los totales de reconciliación aseguran que todos los datos introducidos (input) a nivel del microordenador han
191 D sido leídos y procesados por el mainframe. Dom 7 - ISACA
Dado que los entornos pequeños de ordenadores aislados carecen de los controles básicos tales como personal
entrenado en SI, segregación de funciones, software de control de acceso, deberían aplicarse controles
disciplinarios fuertes. En esta situación, debería confiarse en la supervisión del uso del ordenador. Esto toma la
192 A forma de supervisar y controlar la actividad de la oficina, revisando aspectos claves de los registros de actividad
(accounting) e informes de control, y realizando muestras del trabajo de los empleados para asegurar que es
apropiado y está autorizado. Dom 4 – ISACA
Las pruebas de caja blanca son recomendadas para un examen minucioso de los detalles de procedimiento donde
los caminos (paths) lógicos a través del software son probados al proporcionar casos de pruebas que ejecutan
determinados grupos de condiciones y /o bucles (loops). Sin embargo, una prueba exhaustiva como esta es
imposible para sistemas de software grandes con miles de caminos lógicos para revisar. En cambio una persona
que prueba (tester) limitaría su revisión a unos pocos y seleccionados caminos a revisar. Las opciones A, C y D
193 B son aplicables a descubrir la mayor cantidad de errores con el mínimo de tiempo y esfuerzo. Las pruebas de caja
negra durante las pruebas de integración examinan algunos aspectos del sistema (normalmente un interface) con
una consideración limitada sobre la estructura lógica interna del software. Las pruebas de regresión son usadas
para asegurar que no se introducen nuevos errores, y el diseño de las pruebas del software incorporan una
estrategia “bottom up” asegurando que existan niveles adecuados de prueba. Dom 6 - ISACA
La revisión de la eficacia y utilización de activos no se encuentra en el rango objetivo de la auditoría de
194 A seguridad. Las auditorías de seguridad se centran principalmente en la evaluación de las políticas y
procedimientos que garantizan la confidencialidad, integridad y disponibilidad de los datos. En una auditoría de
Agora, Individuo y Organización 44

45. CURSO DE PREPARACIÓN EXAMEN CISA 2002
SIMULACRO 4 – PREGUNTAS PARA CONTESTAR EN CLASE
seguridad, el auditor de SI revisará normalmente el acceso a los activos, y validará los controles físicos y de
entorno en la medida necesaria para satisfacer los requisitos de la auditoría. El auditor de SI también revisará las
políticas de acceso lógico y las comparará con los perfiles de funciones (job profiles) para garantizar que no se
otorgan derechos excesivos. La revisión también incluiría la evaluación de la protección de activos y los
procedimientos de prevención frente a accesos no autorizados a tales activos. Dom 4 – ISACA
El SA no permite diseñar tareas concurrentes a partir de sistemas estructurados. Todas las demás respuestas son
195 D ciertas. Dom 6 - ISACA
El mecanismo de autenticar y autorizar a los usuarios es el aspecto más relevante en una revisión de los
controles de acceso de telecomunicaciones ya que es un control preventivo para conceder el acceso. Controles
débiles en éste área pueden afectar a todos los otros aspectos. El mantenimiento de registros (logs) de acceso, de
la utilización de los diversos recursos del sistema tiene que ver con controles detectivos. La protección adecuada
196 B de los datos mediante cifrado o similar, en la transmisión a y desde servidores es un mecanismo secundario de
proteger la información durante la transmisión. La identificación y registro (accountability) del sistema y la
capacidad para la apropiada identificación de cualquier terminal que accede a los recursos del sistema tiene que
ver con el control de acceso por medio de la identificación de acceso a través de un terminal. Dom 4 – ISACA
La primera inquietud del auditor de SI debe ser el establecer que la propuesta satisface las necesidades del
negocio, y esto debe ser establecido por una actuación de negocio explícita. Aún cuando, el cumplimiento con
197 A los estándares de seguridad es esencial, tal como también es la satisfacción de las necesidades del usuario y
hacer que los usuarios se involucren en el proceso de implementación, es demasiado pronto en el proceso de
adquisición para que estas sean la primera inquietud o preocupación del auditor de SI. Dom 6 - ISACA
Cualquier persona que tenga intenciones dolosas puede conectar un laptop a la red. En este caso, como la
instalación tiene puntos de conexión inseguros, puede ser posible un acceso no autorizado. Sin embargo, si el
laptop es conectado a una red, el acceso no se podría lograr sin la identificación (ID) o la contraseña de un
usuario. Las otras opciones son controles para impedir el acceso no autorizado a la red. Si las contraseñas del
sistema no están fácilmente a disposición para que las usen los intrusos, estos deben adivinar, lo cual introduce
198 A un factor de trabajo adicional, y también implica tiempo. Las contraseñas del sistema proveen protección contra
el uso no autorizado de terminales ubicados en lugares inseguros. El acceso físico al hardware del ordenador
está controlado, haciendo que no sea posible el acceso al sistema. La supervisión es también una forma de
control. Es muy efectiva cuando se usa para ejercer control sobre una unidad pequeña y manejable de los
recursos operativos o de producción. De ahí, que los usuarios no autorizados no puedan tener acceso a los
terminales en dichos grupos. Dom 4 - ISACA
Las respuestas A y B, aunque son actividades de operaciones /explotación, no están relacionadas con la
planificación de los trabajos (scheduling). La evaluación del personal de SI no es una función de la
199 C programación o planificación de trabajos. La planificación de los trabajos se realiza para optimizar la utilización
de los recursos del equipo. Dom 3 - ISACA
El auditor de SI no solamente debe determinar que las responsabilidades de la función del administrador de la
base de datos están bien definidas, sino también que debe asegurarse que el administrador de base de datos
reporta directamente a la Gerencia de proceso de datos o un nivel ejecutivo que le proporcione independencia,
200 B autoridad, y responsabilidad. El DBA no debería reportar ni a operaciones de proceso de datos ni al gerente de
desarrollo de sistemas. El DBA no necesita ser un programador de sistemas competente. La respuesta D, no es
importante comparada con A. Dom 2 – ISACA
Agora, Individuo y Organización 45