Auditoria Informatica - CAP. 2 Manual CISA

1. Un comité de seguimiento de TI revisaría los sistemas de información PRIMERAMENTE para determinar:

si los procesos de TI soportan los requerimientos del negocio

si la funcionalidad del sistema que se propuso es adecuada

la estabilidad del software eixstente

la complejidad de la tecnología instalada

A committee of IT oversight would first review the information systems to determine if the IT processes support the business requirements. This means that they would assess whether the IT systems and procedures are aligned with and capable of meeting the needs and objectives of the business. This evaluation is essential to ensure that the IT infrastructure is effectively supporting the overall operations and goals of the organization.

Explanation

A committee of IT oversight would first review the information systems to determine if the IT processes support the business requirements. This means that they would assess whether the IT systems and procedures are aligned with and capable of meeting the needs and objectives of the business. This evaluation is essential to ensure that the IT infrastructure is effectively supporting the overall operations and goals of the organization.

2. Para soportar las metas de una organización, el departamento de SI debe tener:

una filosofía de bajo costo

planes de largo y corto plazo.

tecnología de punta.

planes para adquirir nuevo hardware y software

El departamento de SI debe tener planes de largo y corto plazo para poder soportar las metas de una organización. Estos planes permiten establecer objetivos a largo plazo y definir las estrategias y acciones necesarias para alcanzarlos. Además, los planes a corto plazo permiten realizar ajustes y adaptaciones según las necesidades y cambios del entorno. Estos planes ayudan a garantizar que el departamento de SI esté alineado con las metas y objetivos de la organización, y pueda anticiparse a las necesidades futuras en términos de tecnología, hardware y software.

Explanation

El departamento de SI debe tener planes de largo y corto plazo para poder soportar las metas de una organización. Estos planes permiten establecer objetivos a largo plazo y definir las estrategias y acciones necesarias para alcanzarlos. Además, los planes a corto plazo permiten realizar ajustes y adaptaciones según las necesidades y cambios del entorno. Estos planes ayudan a garantizar que el departamento de SI esté alineado con las metas y objetivos de la organización, y pueda anticiparse a las necesidades futuras en términos de tecnología, hardware y software.

3. Un auditor de SI revisa un organigrama PRIMARIAMENTE para:

entender los flujos de trabajo.

investigar diversos canales de comunicación.

entender las responsabilidades y la autoridad de las personas.

investigar la red conectada con diferentes empleados.

An SI auditor primarily reviews an organizational chart to understand the responsibilities and authority of individuals. This helps the auditor gain insights into the hierarchical structure of the organization and the roles and decision-making powers of different individuals. By understanding the responsibilities and authority, the auditor can assess whether there is a proper segregation of duties, identify potential risks, and evaluate the effectiveness of internal controls. Reviewing an organizational chart does not directly provide information about workflow, communication channels, or the network connected to employees.

Explanation

An SI auditor primarily reviews an organizational chart to understand the responsibilities and authority of individuals. This helps the auditor gain insights into the hierarchical structure of the organization and the roles and decision-making powers of different individuals. By understanding the responsibilities and authority, the auditor can assess whether there is a proper segregation of duties, identify potential risks, and evaluate the effectiveness of internal controls. Reviewing an organizational chart does not directly provide information about workflow, communication channels, or the network connected to employees.

4. Cuando un empleado es despedido de un servicio, la acción MÁS importante es:

la entrega de todos los archivos del empleado a otro empleado designado.

sacar una copia de respaldo del trabajo del empleado.

notificar a otros empleados sobre la terminación.

inhabilitar el acceso lógico del empleado.

La acción más importante cuando un empleado es despedido de un servicio es inhabilitar su acceso lógico. Esto significa revocar sus privilegios de acceso a los sistemas y recursos de la empresa, como cuentas de correo electrónico, bases de datos o documentos compartidos. Esto es crucial para proteger la seguridad de la información y garantizar que el empleado no pueda acceder a datos confidenciales o causar daños a la organización después de su despido.

Explanation

La acción más importante cuando un empleado es despedido de un servicio es inhabilitar su acceso lógico. Esto significa revocar sus privilegios de acceso a los sistemas y recursos de la empresa, como cuentas de correo electrónico, bases de datos o documentos compartidos. Esto es crucial para proteger la seguridad de la información y garantizar que el empleado no pueda acceder a datos confidenciales o causar daños a la organización después de su despido.

5. ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?

Investigación de los antecedentes.

Referencias

Fianza

Calificaciones enumeradas en un curriculum vitae/una hoja de vida.

La investigación de los antecedentes proporcionaría la mejor garantía de integridad del nuevo personal. Esto se debe a que al realizar una investigación exhaustiva de los antecedentes de un candidato, se pueden descubrir posibles problemas o comportamientos cuestionables en su historial, como antecedentes penales o referencias negativas. Esto permite a los empleadores tomar decisiones informadas sobre la contratación y asegurarse de que están seleccionando a personas confiables y honestas para el puesto.

Explanation

La investigación de los antecedentes proporcionaría la mejor garantía de integridad del nuevo personal. Esto se debe a que al realizar una investigación exhaustiva de los antecedentes de un candidato, se pueden descubrir posibles problemas o comportamientos cuestionables en su historial, como antecedentes penales o referencias negativas. Esto permite a los empleadores tomar decisiones informadas sobre la contratación y asegurarse de que están seleccionando a personas confiables y honestas para el puesto.

6. El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:

sean distribuidas y estén disponibles para todo el personal.

las políticas de seguridad y control soporten los objetivos del negocio y de TI.

haya un organigrama publicado con descripciones de las funciones.

las funciones estén separadas de manera apropiada.

The primary objective of an audit of IT security policies is to ensure that the policies support the objectives of the business and IT. This means that the audit will assess whether the security policies are aligned with the goals and strategies of the organization, and whether they effectively address the risks and vulnerabilities in the IT systems. The audit will also evaluate the controls and measures in place to enforce the policies and ensure their effectiveness. By ensuring that the policies support the objectives of the business and IT, the organization can enhance its overall security posture and protect its valuable assets.

Explanation

The primary objective of an audit of IT security policies is to ensure that the policies support the objectives of the business and IT. This means that the audit will assess whether the security policies are aligned with the goals and strategies of the organization, and whether they effectively address the risks and vulnerabilities in the IT systems. The audit will also evaluate the controls and measures in place to enforce the policies and ensure their effectiveness. By ensuring that the policies support the objectives of the business and IT, the organization can enhance its overall security posture and protect its valuable assets.

7. La participación de la alta gerencia es MÁS importante en el desarrollo de:

planes estratégicos

políticas de SI

procedimientos de SI

normas y lineamientos

The participation of senior management is more important in the development of strategic plans because these plans define the long-term goals and objectives of the organization. Senior management's involvement ensures that the plans align with the overall vision and mission of the company. Additionally, their expertise and experience can contribute to the formulation of effective strategies that drive the success of the organization. On the other hand, while policies, procedures, and guidelines are also important, they are typically more operational and can be developed and implemented by lower-level management or specialized teams.

Explanation

The participation of senior management is more important in the development of strategic plans because these plans define the long-term goals and objectives of the organization. Senior management's involvement ensures that the plans align with the overall vision and mission of the company. Additionally, their expertise and experience can contribute to the formulation of effective strategies that drive the success of the organization. On the other hand, while policies, procedures, and guidelines are also important, they are typically more operational and can be developed and implemented by lower-level management or specialized teams.

8. ¿Cuál de los siguientes consideraría un auditor de SI que es MÁS importante cuando se evalúan la estrategia de una organización? Que:

haya sido aprobada por la gerencia de línea.

no varié del presupuesto preliminar del departamento de SI

cumpla con los procedimientos de procuración.

soporte los objetivos del negocio de la organización.

An auditor of SI would consider that supporting the objectives of the organization's business is the most important factor when evaluating the organization's strategy. This is because the strategy should align with the overall goals and objectives of the organization in order to ensure its success. The other options, such as being approved by management, not varying from the preliminary budget, and complying with procurement procedures, are also important but may not have as direct of an impact on the organization's overall strategy.

Explanation

An auditor of SI would consider that supporting the objectives of the organization's business is the most important factor when evaluating the organization's strategy. This is because the strategy should align with the overall goals and objectives of the organization in order to ensure its success. The other options, such as being approved by management, not varying from the preliminary budget, and complying with procurement procedures, are also important but may not have as direct of an impact on the organization's overall strategy.

9. ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y de sistemas?

No existe coordinación de la gerencia de usuarios.

No se puede establecer la imputabilidad de accountability) específica del usuario.

Usuarios no autorizados pueden tener acceso para originar, modificar o eliminar datos.

Es posible que las recomendaciones de auditoría no estén implementadas.

Una política inadecuada para la propiedad de datos y sistemas puede resultar en que usuarios no autorizados tengan acceso para originar, modificar o eliminar datos. Esto representa el mayor riesgo porque podría comprometer la integridad y confidencialidad de la información, así como causar daños significativos a la organización. La falta de restricciones y controles adecuados puede permitir que personas no autorizadas realicen acciones maliciosas o accidentales que afecten la seguridad de los datos y sistemas.

Explanation

Una política inadecuada para la propiedad de datos y sistemas puede resultar en que usuarios no autorizados tengan acceso para originar, modificar o eliminar datos. Esto representa el mayor riesgo porque podría comprometer la integridad y confidencialidad de la información, así como causar daños significativos a la organización. La falta de restricciones y controles adecuados puede permitir que personas no autorizadas realicen acciones maliciosas o accidentales que afecten la seguridad de los datos y sistemas.

10. Un auditor de SI ha descubierto recientemente que debido a la escasez de personal capacitado de operaciones, el administrador de seguridad ha aceptado trabajar un turno nocturno por mes como primer operador de computadora. El curso de acción MÁS apropiado para el auditor de SI es:

advertir a la alta gerencia sobre el riesgo que esto implica

acordar trabajar con el oficial de seguridad en estos turnos como una forma de control preventivo.

desarrollar una técnica de auditoría asistida por computadora para detectar las instancias de abusos de este arreglo.

revisar el registro de sistema para cada uno de los turnos nocturnos para determinar si ocurrieron

The most appropriate course of action for the SI auditor is to warn the senior management about the risk involved. This is because the administrator of security accepting to work a night shift as a computer operator due to a shortage of trained personnel in operations poses a potential risk to the organization's security. By informing the senior management, they can take necessary actions to address the risk and ensure the security of the systems and data.

Explanation

The most appropriate course of action for the SI auditor is to warn the senior management about the risk involved. This is because the administrator of security accepting to work a night shift as a computer operator due to a shortage of trained personnel in operations poses a potential risk to the organization's security. By informing the senior management, they can take necessary actions to address the risk and ensure the security of the systems and data.

11. De las funciones siguientes, ¿Cuál es la función MÁS importante que debe realizar la administración de TI cuando se ha dado un servicio para realizarse por outsourcing?

Asegurar que las facturas sean pagadas al proveedor

Participar con el proveedor en los diseños de sistemas

Renegociar los honorarios del proveedor

Monitorear el desempeño del proveedor de outsourcing

The most important function that IT management should perform when a service is outsourced is to monitor the performance of the outsourcing provider. This is crucial to ensure that the provider is meeting the agreed-upon service level agreements and delivering the expected results. Monitoring allows IT management to identify any issues or discrepancies early on and take appropriate actions to address them, ensuring the success of the outsourcing arrangement.

Explanation

The most important function that IT management should perform when a service is outsourced is to monitor the performance of the outsourcing provider. This is crucial to ensure that the provider is meeting the agreed-upon service level agreements and delivering the expected results. Monitoring allows IT management to identify any issues or discrepancies early on and take appropriate actions to address them, ensuring the success of the outsourcing arrangement.

12. Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar:

el entorno de TI existente

el plan de negocios

el presupuesto actual de TI

las tendencias corrientes de la tecnología.

To properly review the IT strategic plan of an organization, it is important for the SI auditor to first review the organization's business plan. This is because the IT strategic plan should align with the overall goals and objectives of the organization as outlined in the business plan. By reviewing the business plan, the auditor can gain an understanding of the organization's current and future direction, its target market, and its competitive landscape. This information is crucial in assessing whether the IT strategic plan is aligned with the organization's overall business strategy and can effectively support its objectives.

Explanation

To properly review the IT strategic plan of an organization, it is important for the SI auditor to first review the organization's business plan. This is because the IT strategic plan should align with the overall goals and objectives of the organization as outlined in the business plan. By reviewing the business plan, the auditor can gain an understanding of the organization's current and future direction, its target market, and its competitive landscape. This information is crucial in assessing whether the IT strategic plan is aligned with the organization's overall business strategy and can effectively support its objectives.

13. ¿Cuál de las siguientes funciones debe ser realizada por los dueños de aplicación para asegurar una segregación adecuada de tareas entre SI y los usuarios finales?

Análisis de sistemas

Autorización para tener acceso a los datos.

Programación de aplicaciones.

Administración de datos.

Los propietarios de aplicaciones deben asegurarse de que los usuarios finales tengan autorización para acceder a los datos. Esto implica establecer permisos y controles de acceso para garantizar que solo las personas adecuadas tengan acceso a la información y que se evite cualquier acceso no autorizado. Esto es importante para mantener la seguridad y la privacidad de los datos y para garantizar una segregación adecuada de tareas entre el sistema de información y los usuarios finales.

Explanation

Los propietarios de aplicaciones deben asegurarse de que los usuarios finales tengan autorización para acceder a los datos. Esto implica establecer permisos y controles de acceso para garantizar que solo las personas adecuadas tengan acceso a la información y que se evite cualquier acceso no autorizado. Esto es importante para mantener la seguridad y la privacidad de los datos y para garantizar una segregación adecuada de tareas entre el sistema de información y los usuarios finales.

14. Un auditor de SI que realiza una revisión del departamento de SI descubre que no existen procedimientos formales de aprobación. En ausencia de estos procedimientos, el gerente de SI ha estado aprobando arbitrariamente proyectos a los niveles superiores de la gerencia para su aprobación. El auditor de SI debería recomendar como un PRIMER curso de acción que:

los usuarios participen en la revisión y en el proceso de aprobación.

se adopten y documenten procedimientos formales de aprobación

los proyectos sean referidos a los niveles apropiados de la gerencia para su aprobación.

la descripción del puesto de trabajo del gerente de SI sea cambiada para que incluya la autoridad de aprobación.

The auditor should recommend adopting and documenting formal approval procedures because the absence of these procedures has allowed the SI manager to arbitrarily approve projects to higher levels of management. By implementing formal procedures, the approval process will become more structured and transparent, ensuring that projects are reviewed and approved by the appropriate levels of management. This will help prevent arbitrary approvals and ensure that all stakeholders, including the users, have a chance to participate in the review and approval process.

Explanation

The auditor should recommend adopting and documenting formal approval procedures because the absence of these procedures has allowed the SI manager to arbitrarily approve projects to higher levels of management. By implementing formal procedures, the approval process will become more structured and transparent, ensuring that projects are reviewed and approved by the appropriate levels of management. This will help prevent arbitrary approvals and ensure that all stakeholders, including the users, have a chance to participate in the review and approval process.

15. El efecto MÁS probable de la falta de participación de la alta gerencia en la planeación estratégica de TI es:

falta de inversión en tecnología.

falta de una metodología para el desarrollo de sistemas.

que la tecnología no estará a la altura de los objetivos de la organización.

ausencia de control de los contratos de tecnología.

La falta de participación de la alta gerencia en la planeación estratégica de TI puede llevar a que la tecnología no esté alineada con los objetivos de la organización. Sin una dirección clara y una visión estratégica por parte de la alta gerencia, es probable que se tomen decisiones tecnológicas que no se ajusten a las necesidades y metas de la organización, lo que puede resultar en una falta de eficiencia y efectividad en el uso de la tecnología.

Explanation

La falta de participación de la alta gerencia en la planeación estratégica de TI puede llevar a que la tecnología no esté alineada con los objetivos de la organización. Sin una dirección clara y una visión estratégica por parte de la alta gerencia, es probable que se tomen decisiones tecnológicas que no se ajusten a las necesidades y metas de la organización, lo que puede resultar en una falta de eficiencia y efectividad en el uso de la tecnología.

16. Un auditor de SI debería preocuparse cuando un analista de telecomunicaciones:

monitorea el desempeño de sistemas y rastrea problemas resultantes de cambios de programa

revisa los requerimientos de carga de red en términos de volúmenes corrientes y futuros de transacciones.

evalúan el impacto de la carga de red sobre el tiempo de respuesta de la terminal y las velocidades de transferencia de datos de red.

recomienda procedimientos y mejoras de balanceo de red.

The correct answer is "monitorea el desempeño de sistemas y rastrea problemas resultantes de cambios de programa." This is because an SI auditor should be concerned when an analyst is monitoring system performance and tracking problems that arise from program changes. This indicates that there may be issues with the system that need to be addressed and could potentially impact the security or functionality of the system.

Explanation

The correct answer is "monitorea el desempeño de sistemas y rastrea problemas resultantes de cambios de programa." This is because an SI auditor should be concerned when an analyst is monitoring system performance and tracking problems that arise from program changes. This indicates that there may be issues with the system that need to be addressed and could potentially impact the security or functionality of the system.

17. ¿Cuál de los siguientes es una función de un comité de dirección de SI?

Monitorear el control y la prueba de cambio controlado de vendedor.

Asegurar una separación de funciones dentro del entorno de procesamiento de información.

Aprobar y monitorear los principales proyectos, la situación de los planes y presupuestos de SI

Responsable del enlace entre el departamento de SI y los usuarios finales.

El comité de dirección de SI tiene la función de aprobar y monitorear los principales proyectos, la situación de los planes y presupuestos de SI. Esto implica que el comité es responsable de evaluar y dar el visto bueno a los proyectos más importantes relacionados con la tecnología de la información, así como supervisar el progreso de los planes y presupuestos establecidos para el área de SI. Esta función asegura que los recursos y el presupuesto asignados a SI se utilicen de manera eficiente y se cumplan los objetivos establecidos.

Explanation

El comité de dirección de SI tiene la función de aprobar y monitorear los principales proyectos, la situación de los planes y presupuestos de SI. Esto implica que el comité es responsable de evaluar y dar el visto bueno a los proyectos más importantes relacionados con la tecnología de la información, así como supervisar el progreso de los planes y presupuestos establecidos para el área de SI. Esta función asegura que los recursos y el presupuesto asignados a SI se utilicen de manera eficiente y se cumplan los objetivos establecidos.

18. Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una semana o más para:

asegurar que el empleado mantiene una calidad de vida, que conducirá a mayor productividad.

reducir la oportunidad de que un empleado cometa un acto indebido o ilegal.

proveer entrenamiento cruzado apropiado a otro empleado

eliminar la interrupción potencial causada cuando un empleado toma un día libre por vez.

Muchas organizaciones requieren que los empleados tomen una vacación obligatoria para reducir la oportunidad de que cometan actos indebidos o ilegales. Al tomar un descanso prolongado, se disminuye la posibilidad de que los empleados se involucren en comportamientos inapropiados o ilegales debido al estrés o la presión laboral. Además, esta medida también puede servir como una forma de control y supervisión, ya que durante la ausencia del empleado, se pueden realizar auditorías o revisiones de su trabajo.

Explanation

Muchas organizaciones requieren que los empleados tomen una vacación obligatoria para reducir la oportunidad de que cometan actos indebidos o ilegales. Al tomar un descanso prolongado, se disminuye la posibilidad de que los empleados se involucren en comportamientos inapropiados o ilegales debido al estrés o la presión laboral. Además, esta medida también puede servir como una forma de control y supervisión, ya que durante la ausencia del empleado, se pueden realizar auditorías o revisiones de su trabajo.

19. La velocidad de cambio de la tecnología aumenta la importancia de:

hacer un outsourcing de la función de SI.

implementar y ejecutar buenos procesos.

contratar personal dispuesto a hacer una carrera dentro de la organización.

satisfacer los requerimientos de los usuarios.

La velocidad de cambio de la tecnología aumenta la importancia de implementar y ejecutar buenos procesos. Esto se debe a que los buenos procesos permiten a las organizaciones adaptarse rápidamente a los cambios tecnológicos, asegurando que se sigan las mejores prácticas y se maximice la eficiencia en el uso de la tecnología. Además, los buenos procesos también ayudan a minimizar los riesgos y los errores al implementar nuevas tecnologías, lo que es especialmente importante en un entorno de rápida evolución tecnológica.

Explanation

La velocidad de cambio de la tecnología aumenta la importancia de implementar y ejecutar buenos procesos. Esto se debe a que los buenos procesos permiten a las organizaciones adaptarse rápidamente a los cambios tecnológicos, asegurando que se sigan las mejores prácticas y se maximice la eficiencia en el uso de la tecnología. Además, los buenos procesos también ayudan a minimizar los riesgos y los errores al implementar nuevas tecnologías, lo que es especialmente importante en un entorno de rápida evolución tecnológica.

20. Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política de seguridad de información de la empresa. El auditor de SI debe concluir que:

Esta falta de conocimiento puede conducir a una revelación no intencional de información sensitiva.

La seguridad de información no es crítica para todas las funciones.

La auditoría de SI provee capacitación de seguridad a los empleados.

El hallazgo de auditoría causaría que la gerencia provea una capacitación continua al personal.

The auditor of IS should conclude that this lack of knowledge can lead to an unintentional disclosure of sensitive information. This is because if employees are not aware of the company's information security policy, they may not take the necessary precautions to protect sensitive information, increasing the risk of it being disclosed unintentionally.

Explanation

The auditor of IS should conclude that this lack of knowledge can lead to an unintentional disclosure of sensitive information. This is because if employees are not aware of the company's information security policy, they may not take the necessary precautions to protect sensitive information, increasing the risk of it being disclosed unintentionally.

21. ¿Cuál de las siguientes es la MEJOR forma de manejar cintas magnéticas obsoletas antes de disponer de ellas?

Sobrescribir las cintas

Inicializar las etiquetas de cintas

Desmagnetizar las cintas

Borrar las cintas

Desmagnetizar las cintas es la mejor forma de manejar cintas magnéticas obsoletas antes de disponer de ellas. Al desmagnetizar las cintas, se elimina toda la información almacenada en ellas y se evita cualquier posibilidad de recuperación de datos. Esto garantiza la seguridad y privacidad de la información contenida en las cintas antes de su disposición final.

Explanation

Desmagnetizar las cintas es la mejor forma de manejar cintas magnéticas obsoletas antes de disponer de ellas. Al desmagnetizar las cintas, se elimina toda la información almacenada en ellas y se evita cualquier posibilidad de recuperación de datos. Esto garantiza la seguridad y privacidad de la información contenida en las cintas antes de su disposición final.

22. Cuando se ha diseñado una política de seguridad de información, lo MÁS importante es que la política de seguridad de información sea:

almacenada fuera del sitio.

escrita por la gerencia de SI.

circulada a los usuarios.

actualizada con frecuencia.

La política de seguridad de información debe ser circulada a los usuarios para asegurar que todos estén informados y conscientes de las medidas de seguridad que deben seguir. Esto ayuda a garantizar que todos los empleados estén al tanto de las políticas y procedimientos establecidos para proteger la información y prevenir posibles brechas de seguridad. Al circular la política, se fomenta una cultura de seguridad en toda la organización y se promueve la responsabilidad individual en la protección de la información.

Explanation

La política de seguridad de información debe ser circulada a los usuarios para asegurar que todos estén informados y conscientes de las medidas de seguridad que deben seguir. Esto ayuda a garantizar que todos los empleados estén al tanto de las políticas y procedimientos establecidos para proteger la información y prevenir posibles brechas de seguridad. Al circular la política, se fomenta una cultura de seguridad en toda la organización y se promueve la responsabilidad individual en la protección de la información.

23. La función de establecimiento del libro mayor/mayor general (general ledger) es un paquete empresarial (ERP) permite fijar período contables. El acceso a esta función ha sido permitido a los usuarios en finanzas, almacén e ingreso de órdenes. La razón MÁS probable para dicho amplio acceso es:

la necesidad de cambiar los períodos contables periódicamente.

el requerimiento del registro las entradas por un período contable cerrado

la falta de políticas y procedimientos para la debida segregación de funciones.

la necesidad de crear/modificar el cuadro de cuentas y sus asignaciones.

The most likely reason for the broad access to the general ledger function is the lack of policies and procedures for proper segregation of duties. This suggests that there are no clear guidelines in place to restrict access to this function to only those who need it, resulting in multiple users from different departments having access. This lack of segregation of duties can increase the risk of errors, fraud, and unauthorized activities within the system.

Explanation

The most likely reason for the broad access to the general ledger function is the lack of policies and procedures for proper segregation of duties. This suggests that there are no clear guidelines in place to restrict access to this function to only those who need it, resulting in multiple users from different departments having access. This lack of segregation of duties can increase the risk of errors, fraud, and unauthorized activities within the system.

24. ¿Cuál de los siguientes procedimientos detectaría en forma MÁS efectiva la carga de paquetes de software ilegal a una red?

El uso de estaciones de trabajo sin disco.

La verificación periódica de los discos duros.

El uso de software antivirus actualizado

Las políticas que tienen como consecuencia el despido instantáneo si fueran violadas.

La verificación periódica de los discos duros sería el procedimiento más efectivo para detectar la carga de paquetes de software ilegal en una red. Esta medida permitiría examinar regularmente los discos duros de las estaciones de trabajo en busca de cualquier software ilegal que haya sido instalado. Esto ayudaría a identificar de manera más precisa cualquier violación de los derechos de autor y tomar las medidas necesarias para evitar su propagación en la red.

Explanation

La verificación periódica de los discos duros sería el procedimiento más efectivo para detectar la carga de paquetes de software ilegal en una red. Esta medida permitiría examinar regularmente los discos duros de las estaciones de trabajo en busca de cualquier software ilegal que haya sido instalado. Esto ayudaría a identificar de manera más precisa cualquier violación de los derechos de autor y tomar las medidas necesarias para evitar su propagación en la red.

25. ¿Qué es lo que un auditor de sistemas consideraría MÁS relevante para la planificación de corto plazo para el departamento de IS?

Asignar recursos

Mantenerse al corriente con los adelantos de la tecnología

Llevar a cabo auto evaluaciones de control

Evaluar las necesidades de hardware

An auditor de sistemas consideraría asignar recursos como lo más relevante para la planificación de corto plazo para el departamento de IS. Esto se debe a que asignar recursos de manera adecuada y eficiente es fundamental para asegurar que el departamento de IS pueda llevar a cabo sus funciones de manera efectiva. Al asignar recursos de manera adecuada, se puede garantizar que el departamento tenga suficiente personal, presupuesto y tecnología para cumplir con sus objetivos y satisfacer las necesidades del negocio. Esto también puede ayudar a optimizar el rendimiento y la eficiencia del departamento de IS.

Explanation

An auditor de sistemas consideraría asignar recursos como lo más relevante para la planificación de corto plazo para el departamento de IS. Esto se debe a que asignar recursos de manera adecuada y eficiente es fundamental para asegurar que el departamento de IS pueda llevar a cabo sus funciones de manera efectiva. Al asignar recursos de manera adecuada, se puede garantizar que el departamento tenga suficiente personal, presupuesto y tecnología para cumplir con sus objetivos y satisfacer las necesidades del negocio. Esto también puede ayudar a optimizar el rendimiento y la eficiencia del departamento de IS.

26. ¿Cuál de las siguientes situaciones aumentaría la probabilidad de fraude?

Los programadores de aplicaciones están implementado cambios a los programas de producción.

Los programas de aplicaciones están implementado cambios a los programas de prueba

El personal de soporte de operaciones está implementado cambios a los cronogramas de lotes

Los administradores de base de datos están implementando cambios a las estructuras de datos.

The correct answer is "Los programadores de aplicaciones están implementado cambios a los programas de producción." This situation increases the probability of fraud because the programmers who are implementing changes to the production programs have direct access and control over the systems and data. They can potentially manipulate or misuse the programs to carry out fraudulent activities.

Explanation

The correct answer is "Los programadores de aplicaciones están implementado cambios a los programas de producción." This situation increases the probability of fraud because the programmers who are implementing changes to the production programs have direct access and control over the systems and data. They can potentially manipulate or misuse the programs to carry out fraudulent activities.

27. Un empleado de Si de largo plazo que cuenta con un antecedente técnico fuerte y con amplia experiencia gerencial ha aplicado para una posición vacante en el departamento de auditoría de SI. La determinación de si se debe contratar a esta persona para esta posición debería basarse en la experiencia de la persona y en:

la duración del servicio ya que esto ayudará a asegurar la competencia técnica.

la edad, ya que entrenar en técnicas de auditoría puede ser impráctico.

los conocimientos de SI ya que esto traerá mayor credibilidad a la función de auditoría.

la capacidad como auditor de SI para ser independiente de las relaciones existentes de SI.

The correct answer is based on the fact that the employee has a strong technical background and extensive managerial experience. Therefore, the most important factor in determining whether to hire this person for the vacant position in the SI audit department is their ability to be independent from existing SI relationships. This independence is crucial for maintaining objectivity and ensuring the effectiveness of the audit function. The other options, such as duration of service, age, and knowledge of SI, may be important factors to consider but are not as directly relevant to the specific requirements of the auditor role.

Explanation

The correct answer is based on the fact that the employee has a strong technical background and extensive managerial experience. Therefore, the most important factor in determining whether to hire this person for the vacant position in the SI audit department is their ability to be independent from existing SI relationships. This independence is crucial for maintaining objectivity and ensuring the effectiveness of the audit function. The other options, such as duration of service, age, and knowledge of SI, may be important factors to consider but are not as directly relevant to the specific requirements of the auditor role.

28. Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:

proveer instrucciones sobre cómo hacer el trabajo y definen autoridad

son actuales, documentados y el empleado puede disponer de ellos fácilmente.

comunican las expectativas específicas de desempeño/performancia del trabajo que tiene la gerencia.

establecen responsabilidad y deber de reportar/imputabilidad (accountability) por las acciones del empleado.

Las descripciones de trabajos establecen responsabilidad y deber de reportar/imputabilidad (accountability) por las acciones del empleado. Esto significa que las descripciones de trabajo especifican claramente las responsabilidades y tareas que se esperan del empleado, así como las consecuencias de no cumplir con estas responsabilidades. Esto ayuda a garantizar que los empleados sean responsables de su trabajo y que se les pueda responsabilizar por sus acciones.

Explanation

Las descripciones de trabajos establecen responsabilidad y deber de reportar/imputabilidad (accountability) por las acciones del empleado. Esto significa que las descripciones de trabajo especifican claramente las responsabilidades y tareas que se esperan del empleado, así como las consecuencias de no cumplir con estas responsabilidades. Esto ayuda a garantizar que los empleados sean responsables de su trabajo y que se les pueda responsabilizar por sus acciones.

29. Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base para entender:

el resultado deseado o el propósito de implementar procedimientos específicos de control.

las mejores prácticas de control de seguridad de TI relevantes para una entidad específica.

las técnicas para asegurar la información.

la política de seguridad.

The correct answer is "el resultado deseado o el propósito de implementar procedimientos específicos de control." This is because IT control objectives help auditors understand the desired outcome or purpose of implementing specific control procedures. By having clear objectives, auditors can assess whether the controls in place are effective in achieving these objectives and identify any gaps or areas for improvement. This understanding is crucial for evaluating the overall effectiveness of an entity's IT control environment.

Explanation

The correct answer is "el resultado deseado o el propósito de implementar procedimientos específicos de control." This is because IT control objectives help auditors understand the desired outcome or purpose of implementing specific control procedures. By having clear objectives, auditors can assess whether the controls in place are effective in achieving these objectives and identify any gaps or areas for improvement. This understanding is crucial for evaluating the overall effectiveness of an entity's IT control environment.

30. La implementación de controles eficientes en costos en un sistema automatizado es en última instancia responsabilidad de:

el administrador del sistema

la función de aseguramiento de calidad.

la gerencia de unidad de negocio

el jefe de auditoría interna

La gerencia de unidad de negocio es responsable de la implementación de controles eficientes en costos en un sistema automatizado. Esto se debe a que la gerencia de unidad de negocio tiene la responsabilidad de supervisar y gestionar todas las operaciones y recursos de la unidad de negocio, incluyendo los costos. Al asegurarse de que se implementen controles eficientes en costos, la gerencia de unidad de negocio puede garantizar que los recursos se utilicen de manera efectiva y que los costos se mantengan bajo control. Esto contribuye a la eficiencia y rentabilidad general del sistema automatizado.

Explanation

La gerencia de unidad de negocio es responsable de la implementación de controles eficientes en costos en un sistema automatizado. Esto se debe a que la gerencia de unidad de negocio tiene la responsabilidad de supervisar y gestionar todas las operaciones y recursos de la unidad de negocio, incluyendo los costos. Al asegurarse de que se implementen controles eficientes en costos, la gerencia de unidad de negocio puede garantizar que los recursos se utilicen de manera efectiva y que los costos se mantengan bajo control. Esto contribuye a la eficiencia y rentabilidad general del sistema automatizado.

31. El grupo de garantía de calidad (quality assurance) es típicamente responsable de:

asegurar que el output recibido del procesamiento de sistemas esté completo.

monitorear la ejecución de tareas de procesamiento de computadora

asegurar que los programas y los cambios de programas y la documentación se adhieran a las normas establecidas.

diseñar procedimientos para proteger los datos contra revelación accidental, modificación o destrucción.

The quality assurance group is typically responsible for ensuring that programs and program changes, as well as documentation, adhere to established standards. This involves reviewing and evaluating the code and documentation to identify any deviations from the standards and ensuring that necessary corrections or improvements are made. By doing so, the quality assurance group helps maintain consistency and reliability in the software development process, ultimately leading to higher quality software products.

Explanation

The quality assurance group is typically responsible for ensuring that programs and program changes, as well as documentation, adhere to established standards. This involves reviewing and evaluating the code and documentation to identify any deviations from the standards and ensuring that necessary corrections or improvements are made. By doing so, the quality assurance group helps maintain consistency and reliability in the software development process, ultimately leading to higher quality software products.

32. Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de servicios de datos es que:

la experiencia que se necesita de SI puede obtenerse desde el exterior.

se puede ejercer mayor control sobre el procesamiento.

se pueden establecer y ejecutar internamente prioridades de procesamiento.

se requiere mayor participación del usuario para comunicar las necesidades del usuario.

La respuesta correcta es "la experiencia que se necesita de SI puede obtenerse desde el exterior". Esto significa que al externalizar el procesamiento de servicios de datos, una organización puede aprovechar la experiencia y conocimientos de profesionales externos en el campo de los sistemas de información. Esto puede resultar beneficioso ya que estos expertos pueden aportar nuevas ideas, mejores prácticas y soluciones innovadoras que pueden mejorar la eficiencia y la calidad del procesamiento de datos de la organización. Además, al contratar a expertos externos, la organización no tiene que invertir en la formación y el desarrollo de su propio personal en esta área.

Explanation

La respuesta correcta es "la experiencia que se necesita de SI puede obtenerse desde el exterior". Esto significa que al externalizar el procesamiento de servicios de datos, una organización puede aprovechar la experiencia y conocimientos de profesionales externos en el campo de los sistemas de información. Esto puede resultar beneficioso ya que estos expertos pueden aportar nuevas ideas, mejores prácticas y soluciones innovadoras que pueden mejorar la eficiencia y la calidad del procesamiento de datos de la organización. Además, al contratar a expertos externos, la organización no tiene que invertir en la formación y el desarrollo de su propio personal en esta área.

33. Un administrador de datos es responsable de:

mantener el software de sistemas de base de datos.

definir los elementos de datos, los nombre de datos y su relación.

desarrollar estructuras físicas de bases de datos

desarrollar software de sistemas de diccionario de datos.

An administrator of data is responsible for defining the elements of data, their names, and their relationship. This involves determining what data needs to be stored, how it should be organized, and how different pieces of data are related to each other. This role is crucial in ensuring that the database is designed effectively and can accurately capture and retrieve the necessary information. It involves tasks such as creating data models, establishing data dictionaries, and defining data relationships.

Explanation

An administrator of data is responsible for defining the elements of data, their names, and their relationship. This involves determining what data needs to be stored, how it should be organized, and how different pieces of data are related to each other. This role is crucial in ensuring that the database is designed effectively and can accurately capture and retrieve the necessary information. It involves tasks such as creating data models, establishing data dictionaries, and defining data relationships.

34. Un auditor de SI está revisando la función de administración de bases de datos para determinar si se ha hecho la disposición adecuada para controlar los datos. El auditor de SI debería determinar que:

la función se reporte al procesamiento de operaciones de datos.

las responsabilidades de la función estén bien definidas.

el administrador de base de datos sea un programador de sistemas competente.

el software de auditoría tenga la capacidad de tener acceso a la base de datos de una manera eficiente.

The auditor of SI should determine that the responsibilities of the database management function are well defined. This is important because clearly defined responsibilities ensure that there is clarity and accountability in the management of data. It helps to prevent confusion and ensures that the appropriate controls are in place to protect and manage the data effectively.

Explanation

The auditor of SI should determine that the responsibilities of the database management function are well defined. This is important because clearly defined responsibilities ensure that there is clarity and accountability in the management of data. It helps to prevent confusion and ensures that the appropriate controls are in place to protect and manage the data effectively.

35. En una organización pequeña, un empleado realiza operaciones de computadora y, cuando la situación lo exige, programa modificaciones. ¿Cuál de lo siguiente debería recomendar el auditor de SI?

Conexión automatizada de cambios con las bibliotecas de desarrollo

Personal adicional para proveer separación de funciones

Procedimientos que verifiquen que sólo se implementan los cambios de programa aprobados

Controles de acceso para impedir que el operador haga modificaciones de programa.

The auditor of SI should recommend implementing procedures that verify that only approved program changes are implemented. This recommendation ensures that any modifications to the programs are authorized and reduces the risk of unauthorized changes being made. It helps to maintain control over the development and implementation process, ensuring that only authorized changes are made to the system. This control measure helps to prevent potential errors or malicious activities that may arise from unauthorized program modifications.

Explanation

The auditor of SI should recommend implementing procedures that verify that only approved program changes are implemented. This recommendation ensures that any modifications to the programs are authorized and reduces the risk of unauthorized changes being made. It helps to maintain control over the development and implementation process, ensuring that only authorized changes are made to the system. This control measure helps to prevent potential errors or malicious activities that may arise from unauthorized program modifications.

36. Una organización que adquiere otros negocios continúa sus sistemas heredados de EDI, y usa tres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo escrito de VAN. El auditor de SI debe recomendar a la gerencia que:

obtenga garantía independiente de los proveedores de servicio )third party service profiders)

Establezca un proceso para monitorear la entrega de servicios del proveedor (third party).

asegure que existan contratos formales.

considere acuerdos con proveedores de servicio (third party service providers) en el desarrollo del plan de continuidad.

The organization should ensure that formal contracts exist. This is because they are using three separate value-added network (VAN) providers without any written agreement. Having formal contracts in place will help establish clear expectations, responsibilities, and terms between the organization and the VAN providers. It will also provide legal protection and ensure that both parties are held accountable for their obligations.

Explanation

The organization should ensure that formal contracts exist. This is because they are using three separate value-added network (VAN) providers without any written agreement. Having formal contracts in place will help establish clear expectations, responsibilities, and terms between the organization and the VAN providers. It will also provide legal protection and ensure that both parties are held accountable for their obligations.

37. ¿Cuál de los siguientes se encontraría normalmente en los manuales ejecución de aplicaciones?

Detalles de documentos fuente

Códigos de error y sus acciones de recuperación.

Diagramas de flujo de programa y definiciones de archivos

Registros de cambio para el código fuente de aplicación.

In application execution manuals, it is common to find information about error codes and the corresponding actions to be taken for recovery. These manuals provide guidance on how to handle different errors that may occur during the execution of an application. This information helps users troubleshoot and resolve issues that may arise while using the application. It is important to have this information readily available in the manuals to ensure smooth operation of the application.

Explanation

In application execution manuals, it is common to find information about error codes and the corresponding actions to be taken for recovery. These manuals provide guidance on how to handle different errors that may occur during the execution of an application. This information helps users troubleshoot and resolve issues that may arise while using the application. It is important to have this information readily available in the manuals to ensure smooth operation of the application.

38. ¿Cuál de los siguientes reportes debe utilizar un auditor para verificar el cumplimiento de un requerimiento de acuerdo de nivel de servicio (SLA) para tiempo productivo?

Reportes de utilización

Reportes de error de hardware

Bitácoras de sistema

Reportes de disponibilidad.

Los reportes de disponibilidad son los más adecuados para verificar el cumplimiento de un requerimiento de acuerdo de nivel de servicio (SLA) para tiempo productivo. Estos reportes proporcionan información sobre el tiempo en el que un sistema o servicio estuvo disponible y funcionando correctamente. Al analizar estos reportes, un auditor puede determinar si se ha cumplido con el tiempo de disponibilidad establecido en el SLA y si se ha alcanzado el nivel de servicio requerido. Los otros tipos de reportes mencionados (utilización, error de hardware y bitácoras de sistema) pueden ser útiles para otros fines de auditoría, pero no son específicos para verificar el cumplimiento de un SLA de tiempo productivo.

Explanation

Los reportes de disponibilidad son los más adecuados para verificar el cumplimiento de un requerimiento de acuerdo de nivel de servicio (SLA) para tiempo productivo. Estos reportes proporcionan información sobre el tiempo en el que un sistema o servicio estuvo disponible y funcionando correctamente. Al analizar estos reportes, un auditor puede determinar si se ha cumplido con el tiempo de disponibilidad establecido en el SLA y si se ha alcanzado el nivel de servicio requerido. Los otros tipos de reportes mencionados (utilización, error de hardware y bitácoras de sistema) pueden ser útiles para otros fines de auditoría, pero no son específicos para verificar el cumplimiento de un SLA de tiempo productivo.

39. Un administrador de LAN estaría normalmente restringido de:

tener responsabilidades de usuario final

reportarse al gerente de usuario final.

tener responsabilidades de programación

ser responsable de la administración de seguridad de la LAN

Un administrador de LAN estaría normalmente restringido de tener responsabilidades de programación. Esto se debe a que las responsabilidades de un administrador de LAN se centran en la gestión y mantenimiento de la red local, asegurándose de que funcione correctamente y esté disponible para los usuarios finales. Las responsabilidades de programación generalmente recaen en los desarrolladores de software o en especialistas en programación, ya que requiere habilidades técnicas y conocimientos específicos en lenguajes de programación. Por lo tanto, un administrador de LAN no suele tener la responsabilidad de programar en el contexto de su trabajo.

Explanation

Un administrador de LAN estaría normalmente restringido de tener responsabilidades de programación. Esto se debe a que las responsabilidades de un administrador de LAN se centran en la gestión y mantenimiento de la red local, asegurándose de que funcione correctamente y esté disponible para los usuarios finales. Las responsabilidades de programación generalmente recaen en los desarrolladores de software o en especialistas en programación, ya que requiere habilidades técnicas y conocimientos específicos en lenguajes de programación. Por lo tanto, un administrador de LAN no suele tener la responsabilidad de programar en el contexto de su trabajo.

40. ¿Cuál de las siguientes funciones sería una preocupación si se efectuara junto con administración de sistemas?

Mantenimiento de reglas de acceso

Revisión de pistas de auditoría del sistema

Bibliotecario de datos

Monitoreo de desempeño

La revisión de pistas de auditoría del sistema sería una preocupación si se efectuara junto con la administración de sistemas porque implica analizar y evaluar los registros y registros de actividad del sistema para identificar posibles problemas de seguridad, violaciones o actividades sospechosas. Este proceso es importante para garantizar la integridad y la seguridad de los sistemas y datos, y requiere un conocimiento profundo de los sistemas y su funcionamiento para llevar a cabo una revisión efectiva.

Explanation

La revisión de pistas de auditoría del sistema sería una preocupación si se efectuara junto con la administración de sistemas porque implica analizar y evaluar los registros y registros de actividad del sistema para identificar posibles problemas de seguridad, violaciones o actividades sospechosas. Este proceso es importante para garantizar la integridad y la seguridad de los sistemas y datos, y requiere un conocimiento profundo de los sistemas y su funcionamiento para llevar a cabo una revisión efectiva.

41. Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste defina:

la configuración del hardware

el software de control de acceso

la propiedad de la propiedad intelectual

la aplicación de metodología de desarrollo.

The correct answer is "la propiedad de la propiedad intelectual." An SI auditor reviewing an outsourcing contract for IT facilities would expect it to define the ownership of intellectual property. This is important to ensure that both parties understand who will have the rights to any intellectual property created or used during the outsourcing arrangement. It helps protect the interests of both the outsourcing company and the client in terms of their intellectual property rights.

Explanation

The correct answer is "la propiedad de la propiedad intelectual." An SI auditor reviewing an outsourcing contract for IT facilities would expect it to define the ownership of intellectual property. This is important to ensure that both parties understand who will have the rights to any intellectual property created or used during the outsourcing arrangement. It helps protect the interests of both the outsourcing company and the client in terms of their intellectual property rights.

42. ¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización?

Una lista de recursos clave de TI a ser asegurada

La base para la autorización de acceso

La identidad de las características de seguridad sensitivas

Características relevantes del software de seguridad.

La base para la autorización de acceso sería incluida en la política de seguridad de SI de una organización. Esto se debe a que la autorización de acceso es un componente fundamental de la seguridad de la información, ya que establece quién tiene permiso para acceder a ciertos recursos y datos. Una política de seguridad de SI debe establecer claramente los procedimientos y criterios para autorizar y controlar el acceso a la información, lo que garantiza la confidencialidad, integridad y disponibilidad de los recursos de TI de la organización.

Explanation

La base para la autorización de acceso sería incluida en la política de seguridad de SI de una organización. Esto se debe a que la autorización de acceso es un componente fundamental de la seguridad de la información, ya que establece quién tiene permiso para acceder a ciertos recursos y datos. Una política de seguridad de SI debe establecer claramente los procedimientos y criterios para autorizar y controlar el acceso a la información, lo que garantiza la confidencialidad, integridad y disponibilidad de los recursos de TI de la organización.

43. La responsabilidad y las líneas de reporte no pueden siempre ser establecidos cuando se auditan sistemas automatizados ya que:

el control diversificado hace irrelevante a la propiedad.

el personal tradicionalmente cambia de puestos de trabajo con mayor frecuencia.

la propiedad es difícil de establecer cuando los recursos son compartidos.

las funciones cambian con frecuencia en el rápido desarrollo de la tecnología.

When auditing automated systems, it can be challenging to establish responsibility and reporting lines because resources are often shared. In such systems, multiple individuals or departments may have access to and use the same resources, making it difficult to determine who is ultimately responsible for them. This lack of clear ownership can complicate the establishment of proper lines of reporting and accountability.

Explanation

When auditing automated systems, it can be challenging to establish responsibility and reporting lines because resources are often shared. In such systems, multiple individuals or departments may have access to and use the same resources, making it difficult to determine who is ultimately responsible for them. This lack of clear ownership can complicate the establishment of proper lines of reporting and accountability.

44. El desarrollo de una política de seguridad de SI es responsabilidad de:

el departamento de SI

el comité de seguridad

el administrador de la seguridad

la junta directiva

La junta directiva es responsable del desarrollo de una política de seguridad de SI. Esto se debe a que la junta directiva es el órgano de gobierno de una organización y tiene la autoridad y la responsabilidad de establecer y supervisar las políticas y estrategias generales de la organización. La seguridad de la información es una parte integral de la gestión de riesgos de una organización, por lo que es responsabilidad de la junta directiva asegurarse de que se establezca una política de seguridad de SI adecuada y se implementen las medidas necesarias para proteger la información de la organización.

Explanation

La junta directiva es responsable del desarrollo de una política de seguridad de SI. Esto se debe a que la junta directiva es el órgano de gobierno de una organización y tiene la autoridad y la responsabilidad de establecer y supervisar las políticas y estrategias generales de la organización. La seguridad de la información es una parte integral de la gestión de riesgos de una organización, por lo que es responsabilidad de la junta directiva asegurarse de que se establezca una política de seguridad de SI adecuada y se implementen las medidas necesarias para proteger la información de la organización.

45. ¿Cuál de los siguientes controles de ingreso de datos provee la MAYOR garantía de que los datos ingresados no contienen errores?

Verificación de llave

Segregación de la función de ingreso de datos de la verificación de ingreso de datos.

Mantener una bitácora /registro detallando la hora, la fecha, las iniciales del empleado, la identificación del usuario, y el progreso de diversas tareas de preparación y verificación de datos.

Agregar dígitos de verificación.

The verification of key provides the greatest guarantee that the entered data does not contain errors. This control involves comparing the entered data with a pre-established key or reference value to ensure accuracy. By verifying the key, any discrepancies or errors can be identified and corrected before further processing or use of the data. This control is effective in minimizing data entry errors and maintaining data integrity.

Explanation

The verification of key provides the greatest guarantee that the entered data does not contain errors. This control involves comparing the entered data with a pre-established key or reference value to ensure accuracy. By verifying the key, any discrepancies or errors can be identified and corrected before further processing or use of the data. This control is effective in minimizing data entry errors and maintaining data integrity.

46. ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor?

Sí, porque el auditor de SI evaluará la adecuación del plan de la oficina de servicio y asistirá a su compañía implementar un plan complementario.

Sí, porque, basado en el plan, el auditor de SI evaluará la estabilidad financiera de la oficina de servicio y su capacidad para cumplir el contrato.

No, porque el respaldo a ser provisto debería ser especificado adecuadamente en el contrato.

No, porque el plan de continuidad del negocio de la oficina de servicio es información privada.

The correct answer is "Sí, porque el auditor de SI evaluará la adecuación del plan de la oficina de servicio y asistirá a su compañía implementar un plan complementario." This answer is correct because it explains that it is appropriate for the SI auditor to request and review a copy of the business continuity plan from each service provider. The auditor will evaluate the adequacy of the plan and assist the company in implementing a complementary plan. This ensures that the company's outsourcing of SI processing is supported by a robust and effective plan for business continuity.

Explanation

The correct answer is "Sí, porque el auditor de SI evaluará la adecuación del plan de la oficina de servicio y asistirá a su compañía implementar un plan complementario." This answer is correct because it explains that it is appropriate for the SI auditor to request and review a copy of the business continuity plan from each service provider. The auditor will evaluate the adequacy of the plan and assist the company in implementing a complementary plan. This ensures that the company's outsourcing of SI processing is supported by a robust and effective plan for business continuity.

47. ¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?

Probar un nuevo paquete de contabilidad

Realizar una evaluación de las necesidades de tecnología de información.

Implementar un nuevo sistema de planeación de proyectos dentro de los próximos 12 meses

Convertirse en el proveedor de elección del producto ofrecido.

This answer is the most aligned with the concept of a strategic plan, which is a long-term plan that outlines an organization's goals and objectives. Becoming the preferred provider of a product is a strategic goal that focuses on positioning the organization as the best option for customers, which can lead to increased market share and profitability. The other options mentioned in the question are more tactical or operational in nature, such as implementing a new accounting package, conducting a technology needs assessment, or implementing a new project planning system.

Explanation

This answer is the most aligned with the concept of a strategic plan, which is a long-term plan that outlines an organization's goals and objectives. Becoming the preferred provider of a product is a strategic goal that focuses on positioning the organization as the best option for customers, which can lead to increased market share and profitability. The other options mentioned in the question are more tactical or operational in nature, such as implementing a new accounting package, conducting a technology needs assessment, or implementing a new project planning system.

48. La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre los activos de información reside en:

el administrador de seguridad

el administrador de sistemas.

los propietarios de datos y de sistemas

el grupo de operaciones de sistemas.

The responsibility for maintaining appropriate security measures on information assets lies with the owners of the data and systems. This means that the individuals or departments who are responsible for the data and systems are accountable for ensuring that proper security measures are in place and maintained. This includes implementing security controls, regularly monitoring and assessing the security of the assets, and taking necessary actions to mitigate any risks or vulnerabilities. The owners of the data and systems are ultimately responsible for protecting the confidentiality, integrity, and availability of the information assets.

Explanation

The responsibility for maintaining appropriate security measures on information assets lies with the owners of the data and systems. This means that the individuals or departments who are responsible for the data and systems are accountable for ensuring that proper security measures are in place and maintained. This includes implementing security controls, regularly monitoring and assessing the security of the assets, and taking necessary actions to mitigate any risks or vulnerabilities. The owners of the data and systems are ultimately responsible for protecting the confidentiality, integrity, and availability of the information assets.

49. Un administrador de base de datos es responsable de:

definir la propiedad de datos

establecer normas operativas para el diccionario de datos.

crear la base de datos física y lógica.

establecer reglas básicas para asegurar la integridad y seguridad de los datos.

An administrator is responsible for creating the physical and logical database. This involves designing and implementing the structure of the database, including tables, relationships, and data types. The administrator ensures that the database is properly organized and optimized for efficient data storage and retrieval. They also handle tasks such as creating user accounts, setting access permissions, and managing backups and recovery procedures. By creating the physical and logical database, the administrator lays the foundation for data storage and management in an efficient and secure manner.

Explanation

An administrator is responsible for creating the physical and logical database. This involves designing and implementing the structure of the database, including tables, relationships, and data types. The administrator ensures that the database is properly organized and optimized for efficient data storage and retrieval. They also handle tasks such as creating user accounts, setting access permissions, and managing backups and recovery procedures. By creating the physical and logical database, the administrator lays the foundation for data storage and management in an efficient and secure manner.

50. Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si:

hay una integración de SI y de los personales de negocios dentro de los proyectos.

hay una definición clara de la misión y visión de SI.

hay instalada una metodología de planeación estratégica de la tecnología de la información.

el plan correlaciona objetivos de negocio con las metas y objetivos de SI.

The auditor of SI should determine if there is an integration of SI and business personnel within the projects. This means that the auditor needs to assess whether there is collaboration and coordination between the IT department and the business units in order to achieve the goals and objectives of the projects. This integration is important for the successful implementation and alignment of technology initiatives with the overall business strategy.

Explanation

The auditor of SI should determine if there is an integration of SI and business personnel within the projects. This means that the auditor needs to assess whether there is collaboration and coordination between the IT department and the business units in order to achieve the goals and objectives of the projects. This integration is important for the successful implementation and alignment of technology initiatives with the overall business strategy.

51. ¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones?

Verificación de secuencia

Verificación de dígitos

Retención de documentación fuente

Reconciliaciones de control de lote.

Reconciliaciones de control de lote sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones. Esta medida implicaría realizar una revisión y comparación de los registros y transacciones en lotes para identificar cualquier discrepancia o error. Esto ayudaría a detectar y corregir posibles problemas causados por la falta de segregación adecuada de funciones, asegurando así la integridad y precisión de los datos y transacciones.

Explanation

Reconciliaciones de control de lote sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones. Esta medida implicaría realizar una revisión y comparación de los registros y transacciones en lotes para identificar cualquier discrepancia o error. Esto ayudaría a detectar y corregir posibles problemas causados por la falta de segregación adecuada de funciones, asegurando así la integridad y precisión de los datos y transacciones.

52. El paso inicial para establecer un programa de seguridad de información es:

el desarrollo e implementación de un manual de normas de seguridad de información.

la realización de una revisión comprensiva de control de seguridad por el auditor de SI

la adopción de una declaración corporativa de política de seguridad de información.

la compra de software de control de seguridad de acceso.

The initial step to establish an information security program is the adoption of a corporate statement of information security policy. This step involves creating and implementing a formal policy that outlines the organization's commitment to protecting its information assets. This policy sets the foundation for the entire security program and provides guidance on how to handle information security risks and incidents. It ensures that all employees and stakeholders are aware of their responsibilities and obligations regarding information security. The development and implementation of a manual of information security standards come later in the process, building upon the policy.

Explanation

The initial step to establish an information security program is the adoption of a corporate statement of information security policy. This step involves creating and implementing a formal policy that outlines the organization's commitment to protecting its information assets. This policy sets the foundation for the entire security program and provides guidance on how to handle information security risks and incidents. It ensures that all employees and stakeholders are aware of their responsibilities and obligations regarding information security. The development and implementation of a manual of information security standards come later in the process, building upon the policy.

53. ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar cuándo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los esperados?

Gerencia de calidad

Métodos de análisis de SI

Principios de gerencia

Estándares /puntos de referencia de la industria (benchmarking)

Métodos de análisis de SI proporcionaría un mecanismo mediante el cual la gerencia de SI puede determinar si las actividades de la empresa se han desviado de los niveles planeados o esperados. Estos métodos permiten analizar y evaluar los sistemas de información de la empresa para identificar cualquier desviación o discrepancia en el rendimiento o los resultados. Al utilizar técnicas de análisis de SI, la gerencia de SI puede obtener información sobre el desempeño actual de los sistemas y compararlos con los niveles planeados o esperados, lo que les permite detectar y corregir cualquier desviación o problema.

Explanation

Métodos de análisis de SI proporcionaría un mecanismo mediante el cual la gerencia de SI puede determinar si las actividades de la empresa se han desviado de los niveles planeados o esperados. Estos métodos permiten analizar y evaluar los sistemas de información de la empresa para identificar cualquier desviación o discrepancia en el rendimiento o los resultados. Al utilizar técnicas de análisis de SI, la gerencia de SI puede obtener información sobre el desempeño actual de los sistemas y compararlos con los niveles planeados o esperados, lo que les permite detectar y corregir cualquier desviación o problema.

54. ¿Cuál de los siguientes programas es MÁS probable que una política sana de seguridad de información incluiría para manejar las intrusiones sospechosas?

Respuesta

Corrección

Detección

Monitoreo

Una política sana de seguridad de información incluiría el programa de Detección para manejar las intrusiones sospechosas. Este programa permitiría identificar y alertar sobre cualquier actividad inusual o sospechosa en la red o en los sistemas de información de una organización. El monitoreo también sería importante para supervisar de cerca la actividad de la red y detectar cualquier comportamiento anormal. Sin embargo, la detección es fundamental para identificar las intrusiones y tomar medidas rápidas para mitigar cualquier riesgo o daño potencial.

Explanation

Una política sana de seguridad de información incluiría el programa de Detección para manejar las intrusiones sospechosas. Este programa permitiría identificar y alertar sobre cualquier actividad inusual o sospechosa en la red o en los sistemas de información de una organización. El monitoreo también sería importante para supervisar de cerca la actividad de la red y detectar cualquier comportamiento anormal. Sin embargo, la detección es fundamental para identificar las intrusiones y tomar medidas rápidas para mitigar cualquier riesgo o daño potencial.

55. Un comité de dirección de SI debe:

incluir una combinación de miembros de diferentes departamentos y niveles de gerencia

asegurar que las políticas y procedimientos de seguridad de SI hayan sido debidamente ejecutados.

tener términos formales de referencia y mantener las actas de sus reuniones.

ser informado por un proveedor sobre las nuevas tendencias y productos en cada reunión.

A committee of IT management should have formal terms of reference and maintain minutes of their meetings. This ensures that the committee operates within a defined scope and has a clear understanding of its responsibilities. Keeping minutes of meetings helps in documenting decisions, actions, and discussions, which can be referred to in the future for accountability and transparency. It also helps in tracking progress and monitoring the implementation of decisions made during the meetings.

Explanation

A committee of IT management should have formal terms of reference and maintain minutes of their meetings. This ensures that the committee operates within a defined scope and has a clear understanding of its responsibilities. Keeping minutes of meetings helps in documenting decisions, actions, and discussions, which can be referred to in the future for accountability and transparency. It also helps in tracking progress and monitoring the implementation of decisions made during the meetings.

56. ¿Cuál de los siguientes es un control sobre las actividades de administración de base de datos?

Un punto de verificación de base de datos para reiniciar el procesamiento después de una falla del sistema.

Compresión de base de datos para reducir el espacio no utilizado

Revisión de supervisión de los registros de acceso

Procedimientos de respaldos y recuperación para asegurar la disponibilidad de la base de datos.

The correct answer is "Revisión de supervisión de los registros de acceso". This control involves monitoring and reviewing the access logs of the database to ensure that only authorized users are accessing the database and that any suspicious or unauthorized activities are detected and addressed. This control helps to maintain the security and integrity of the database by preventing unauthorized access and potential data breaches.

Explanation

The correct answer is "Revisión de supervisión de los registros de acceso". This control involves monitoring and reviewing the access logs of the database to ensure that only authorized users are accessing the database and that any suspicious or unauthorized activities are detected and addressed. This control helps to maintain the security and integrity of the database by preventing unauthorized access and potential data breaches.

57. ¿Cuál de las siguientes funciones representaría un riesgo si se combinara con la de un analista de sistemas, debido a la falta de controles compensatorios?

Programación de aplicaciones

Ingreso de datos

Aseguramiento de calidad

Administrador de base de datos

La función de aseguramiento de calidad representa un riesgo si se combina con la de un analista de sistemas debido a la falta de controles compensatorios. Esto se debe a que el aseguramiento de calidad se encarga de verificar y garantizar la calidad de los productos o servicios, incluyendo la detección y corrección de posibles errores o fallas. Si no se aplican controles compensatorios adecuados, podría haber deficiencias en la calidad de los sistemas desarrollados por el analista, lo que podría resultar en problemas o riesgos para la organización.

Explanation

La función de aseguramiento de calidad representa un riesgo si se combina con la de un analista de sistemas debido a la falta de controles compensatorios. Esto se debe a que el aseguramiento de calidad se encarga de verificar y garantizar la calidad de los productos o servicios, incluyendo la detección y corrección de posibles errores o fallas. Si no se aplican controles compensatorios adecuados, podría haber deficiencias en la calidad de los sistemas desarrollados por el analista, lo que podría resultar en problemas o riesgos para la organización.