ISACA CISA Examen de muestra 1. Un contrato de auditoría debería: A. B. C. D.
ser dinámico y cambiar con frecuencia para coincidir con la naturaleza cambiante de la tecnología y la profesión de auditoría. establecer claramente los objetivos de la auditoría y la delegación de autoridad para el mantenimiento y revisión de los controles internos. documentar los procedimientos de auditoría designados para lograr los objetivos planeados de auditoría. describir la autoridad, alcance y responsabilidades generales de la función de auditoría.
2. El cuadro de mando balanceado (balanced scorecard) de TI es una herramienta de gobierno del negocio que está destinada a monitorear los indicadores de evaluación del desempeño (performance) de TI aparte de: A. B. C. D.
los resultados financieros la satisfacción del cliente. la eficiencia del proceso interno la capacidad de innovación.
3. La razón para establecer un alto, o punto de congelación en el diseño de un nuevo sistema es: A. B. C. D.
impedir más cambios a un proyecto en proceso. indicar el punto en que el diseño va a ser realizado. requerir que los cambios después de ese punto sean evaluados por su efectividad de costos. proveer el equipo de administración de proyectos con más control sobre el diseño del proyecto.
4. Un auditor de SI que evalúa la resiliencia de una red de alta disponibilidad estaría MÁS preocupado si: A. B. C. D.
la disposición del equipo está dispersa geográficamente. los servidores de red están agrupados (clustered) en un sitio. un hot site está listo para ser activado. se implementa un enrutamiento diverso para la red.
© 2010 ISACA. All rights reserved.
Comment [CV1]: En el documento original estaba como elasticidad, sin embargo el término correcto es resiliencia
Comment [CV2]: En el documento original estaba como: se implementa un routing-variado (diverse-routing) para la red.
Page 1
5. ¿Cuál de los siguientes es la salvaguarda PRIMARIA para asegurar el software y los datos dentro de una instalación de procesamiento de información? A. B. C. D.
Concientización de la seguridad Leer la política de seguridad Comité de seguridad Controles de acceso lógico
6. ¿Cuál de los siguientes criterios es el MÁS importante para la selección de un lugar para una instalación de almacenamiento fuera del sitio para los archivos de copias de respaldo? La instalación fuera del sitio debe estar: A. B. C. D.
físicamente separada del centro de datos y no debe estar sujeta a los mismos riesgos. dado por el mismo nivel de protección que el del centro de datos de cómputo. contratado con (outsourced) un tercero de confianza. equipado con capacidades de vigilancia.
7. ¿Cuál de los siguientes métodos de muestreo es el MÁS útil cuando se pone a prueba su cumplimiento? A. B. C. D.
Muestreo de atributos. Muestreo de variables. Media estratificada por unidad. Estimación de la diferencia.
8. De las funciones siguientes, ¿cuál es la función MÁS importante que debe realizar la administración de TI cuando se ha dado un servicio para realizarse por outsourcing? A. B. C. D.
Asegurar que las facturas sean pagadas al proveedor Participar con el proveedor en los diseños de sistemas Renegociar los honorarios del proveedor Monitorear el desempeño del proveedor de outsourcing
© 2010 ISACA. All rights reserved.
Page 2
9. ¿Cuál de las siguientes estrategias de conversión de sistemas y de datos provee la MAYOR redundancia? A. B. C. D.
Corte (cutover) directo Estudio piloto Método por fases Corrida paralela
10. Un auditor de SI que revisa controles de base de datos descubrió que los cambios a la base de datos durante horas laborables normales se manejaban a través de un conjunto de procedimientos estándar. Sin embargo, los cambios hechos después de horas normales requerían solamente un número abreviado de pasos. En esta situación, ¿cuál de los siguientes se consideraría un conjunto adecuado de controles compensatorios ? A. B. C. D.
Permitir que se hagan cambios solamente con la cuenta de usuario de DBA Hacer cambios a la base de datos después de otorgar acceso a una cuenta de usuario normal Usar la cuenta de usuario de DBA para hacer cambios, registrar los cambios y revisar el registro de cambios al día siguiente Usar la cuenta normal de usuario para hacer los cambios, registrar los cambios y revisar el registro de cambios al día siguiente
11. ¿Cuál de las siguientes es una característica de un sistema de detección de intrusos (IDS)? A. B. C. D.
Recolectar evidencias sobre intentos de ataque Identificar la debilidad en la definición de política Bloquear el acceso a sitios particulares en la Internet Impedir que ciertos usuarios tengan acceso a servidores específicos
12. Durante una auditoría de continuidad del negocio, un auditor de SI encontró que el plan de continuidad del negocio cubría sólo los procesos críticos. El auditor de SI debe: A. B. C. D.
recomendar que el plan de continuidad del negocio cubra todos los procesos del negocio evaluar el impacto de los procesos no cubiertos reportar los hallazgos al gerente de TI redefinir los procesos críticos
© 2010 ISACA. All rights reserved.
Page 3
© 2010 ISACA. All rights reserved.
Page 4
13. Mientras se planifica una auditoría, se debe hacer una evaluación del riesgo para proveer: A. B. C. D.
aseguramiento razonable de que la auditoría cubrirá puntos materiales aseguramiento definido de que los puntos materiales serán cubiertos durante el trabajo de auditoría aseguramiento razonable de que todos los puntos serán cubiertos por la auditoría aseguramiento suficiente de que todos los puntos serán cubiertos durante el trabajo de auditoría.
14. La administración de una organización ha decidido establecer un programa de concientización de la seguridad. ¿Cuál de los siguientes es MÁS probable que sea parte del programa? A. B. C. D.
La utilización de un sistema de detección de intrusos para reportar accidentes. Ordenar el uso de contraseñas para tener acceso a todo el software. Instalar un sistema eficiente de registro de usuarios para rastrear las acciones de cada usuario Proveer entrenamiento periódico a todos los empleados corrientes y nuevos.
15. El auditor de SI encuentra que un sistema en desarrollo tiene 12 módulos vinculados (linked) y cada elemento de los datos puede llevar hasta 10 campos de atributos definibles. El sistema maneja varios millones de transacciones al año. ¿Cuál de estas técnicas podría el auditor de SI usar para estimar el tamaño del esfuerzo de desarrollo? A. B. C. D.
La técnica de evaluación y revisión de programas (PERT). Conteo de las líneas fuente del código (SLOC). Análisis del punto de función. Prueba de caja blanca (white box).
16. Una organización ha instalado recientemente un parche de seguridad, que colapsó el servidor de producción. Para minimizar la probabilidad de que esto vuelva a ocurrir, un auditor de SI debe: A. B.
aplicar el parche en conformidad con las notas de publicación del parche asegurar que esté establecido un buen proceso de administración de cambios
© 2010 ISACA. All rights reserved.
Page 5
C. D.
probar el parche exhaustivamente antes de enviarlo a producción aprobar el parche después de hacer una evaluación del riesgo
17. ¿Cuál de las siguientes es la MEJOR forma de manejar cintas magnéticas obsoletas antes de disponer de ellas? A. B. C. D.
Sobrescribir las cintas Inicializar las etiquetas de cintas Desmagnetizar las cintas Borrar las cintas
18. ¿Por cuál de los siguientes hallazgos estaría, un auditor de SI MÁS preocupado cuando realizara una auditoría de copia de respaldo y recuperación y la bóveda de almacenamiento fuera del sitio? A. B. C. D.
Hay tres tipos de personas que tienen una llave para entrar al área. Los documentos en papel son también almacenados en la bóveda fuera del sitio. Los archivos de datos que están almacenados en la bóveda están sincronizados. La bóveda fuera del sitio está ubicada en una instalación separada.
19. Cuando se evalúa el efecto colectivo de los controles preventivos, de detección o correctivos dentro de un proceso, un auditor de SI debería estar consciente: A. B. C. D.
del punto en que los controles son ejercidos como flujos de datos a través del sistema. de que sólo los controles preventivos y de detección son relevantes. de que los controles correctivos sólo pueden ser considerados como compensatorios. de que la clasificación permite a un auditor de SI determinar qué controles faltan.
20. ¿Cuál de las siguientes técnicas de auditoría ayudaría MÁS a un auditor a determinar si ha habido cambios no autorizados de programa desde la última actualización autorizada de programa? A. B. C. D.
Corrida de datos de prueba Revisión de los códigos Comparación automática de códigos Revisión de procedimientos de migración de códigos
© 2010 ISACA. All rights reserved.
Page 6
© 2010 ISACA. All rights reserved.
Page 7
21. Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base para entender: A. B. C. D.
el resultado deseado o el propósito de implementar procedimientos específicos de control. las mejores prácticas de control de seguridad de TI relevantes para una entidad específica. las técnicas para asegurar la información. la política de seguridad.
22. ¿Cuál de los siguientes es el propósito PRIMARIO para llevar a cabo una prueba paralela? A. B. C. D.
Determinar si el sistema es eficiente en costos. Permitir pruebas comprensivas de unidad y de sistema Destacar los errores en las interfaces de programa con los archivos. Asegurar que el nuevo sistema satisfaga los requerimientos del usuario.
23. Una revisión de uso de red de área amplia (WAN) descubre que el tráfico en una línea de comunicación entre sitios, que enlaza de manera síncrona la base de datos matriz y la base de datos de reserva, hace pico al 96 por ciento de la capacidad de línea. Un auditor de SI debe concluir que: A. B. C. D.
se requiere un análisis para determinar si surge un patrón que tiene como consecuencia una pérdida de servicio por un corto período de tiempo. la capacidad de WAN es adecuada para las demandas máximas de tráfico ya que no se ha alcanzado la saturación. la línea debe ser reemplazada de inmediato por una con mayor capacidad para proveer aproximadamente el 85 por ciento de saturación. se debe instruir a los usuarios que reduzcan sus demandas de tráfico o que las distribuyan a lo largo de todas las horas de servicio para hacer más plano el consumo de ancho de banda.
24. ¿Cuál de los siguientes se anexan a archivos como una protección contra los virus? A. B. C. D.
Bloqueadores de conducta Verificadores de redundancia cíclica (CRC) Inmunizadores Monitores activos
© 2010 ISACA. All rights reserved.
Page 8
© 2010 ISACA. All rights reserved.
Page 9
25. ¿Cuál de los siguientes componentes del plan de continuidad/recuperación de desastre provee la MAYOR garantía para la recuperación después de un desastre? A. B.
C. D.
La instalación alterna estará disponible hasta que la instalación original de procesamiento de información sea restablecida. La gerencia de usuario se involucró en la identificación de sistemas críticos y sus tiempos de recuperación crítica asociados y la especificación de los procedimientos que se necesitan. Las copias del plan se guardan en los hogares del personal clave de toma de decisiones retroalimentación es proporcionada a la gerencia garantizándole que los planes de continuidad del negocio son funcionales y que los procedimientos están actualizados.
26. ¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo electrónico se han convertido en una fuente útil de evidencia en litigios? A. B. C. D.
Permanecen disponibles archivos de respaldo de diferentes ciclos. Los controles de acceso establecen la responsabilidad de dar cuenta de la información de correo electrónico. La clasificación de datos regula qué información debería ser comunicada por correo electrónico. Dentro de la empresa, una política clara para usar el correo electrónico asegura que la evidencia está disponible.
27. Evaluando proyectos de desarrollo de aplicaciones contra el modelo de madurez de capacidad (CMM), un auditor de SI debe poder verificar que: A. B. C. D.
los productos confiables están garantizados la eficiencia de los programadores está mejorada los requerimientos de seguridad están diseñados los procesos predecibles de software son seguidos
28. ¿Cuál de lo siguiente es el elemento MÁS importante para la implementación exitosa de gobierno de TI? A. B. C. D.
Implementar un scorecard de TI Identificar las estrategias organizacionales Efectuar una evaluación de riesgo Crear una política formal de seguridad
© 2010 ISACA. All rights reserved.
Page 10
29. Idealmente, las pruebas de stress sólo deberían llevarse a cabo en los casos siguientes: A. B. C. D.
en un entorno de prueba usando datos de prueba en un entorno de producción usando cargas de trabajo en vivo en un entorno de prueba usando cargas de trabajo en vivo en un entorno de producción usando datos de prueba
30. ¿Cuál de los siguientes procedimientos detectaría en forma MÁS efectiva la carga de paquetes de software ilegal a una red? A. B. C. D.
El uso de estaciones de trabajo sin disco La verificación periódica de los discos duros El uso de software antivirus actualizado Las políticas que tienen como consecuencia el despido instantáneo si fueran violadas
31. Un auditor de SI descubre que los desarrolladores tienen acceso de operador a la línea de comando de un sistema que opera un entorno de producción. ¿Cuál de los siguientes controles mitigaría MEJOR el riesgo de cambios no detectados y no autorizados de programa al entorno de producción? A. B.
C.
D.
Los comandos digitados en la línea de comando son registrados Las claves hash son calculadas periódicamente para los programas y comparadas con las claves hash calculadas para las versiones autorizadas más recientes de los programas El acceso a la línea de comando del sistema operativo es otorgada a través de una herramienta de restricción de acceso con derechos preaprobados Las herramientas de desarrollo y compiladores de software han sido retiradas del entorno de producción
32. Las convenciones de nomenclatura para los recursos del sistema son importantes para el control de acceso porque ellas: A. B. C. D.
aseguran que los nombres de recursos no sean ambiguos. reducen el número de reglas requeridas para proteger adecuadamente los recursos. aseguran que el acceso de usuario a los recursos sea identificado de manera clara y única. aseguran que se usen nombres reconocidos internacionalmente para proteger recursos.
© 2010 ISACA. All rights reserved.
Page 11
33. Durante una revisión de implementación de una aplicación distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres áreas—La disposición inicial de parámetros está instalada incorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se están verificando debidamente. Mientras se prepara el informe de auditoría, el auditor de SI debería: A. B.
C. D.
registrar las observaciones por separado con el impacto de cada una de ellas marcado contra cada hallazgo respectivo. advertir al gerente sobre probables riesgos sin registrar las observaciones, ya que las debilidades de control son de menor importancia. registrar las observaciones y el riesgo que surjan de las debilidades colectivas. evaluar los jefes de departamento concernidos con cada observación y documentarlo debidamente en el reporte.
34. ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor? A. B. C. D.
Sí, porque el auditor de SI evaluará la adecuación del plan de la oficina de servicio y asistirá a su compañía a implementar un plan complementario. Sí, porque, basado en el plan, el auditor de SI evaluará la estabilidad financiera de la oficina de servicio y su capacidad para cumplir el contrato. No, porque el respaldo a ser provisto debería ser especificado adecuadamente en el contrato. No, porque el plan de continuidad del negocio de la oficina de servicio es información privada.
35. Un punto de venta minorista ha introducido etiquetas de identificación de frecuencia de radio (RFID) para crear números seriales únicos para todos los productos. ¿Cuál de las siguientes es la preocupación PRIMARIA asociada con esta iniciativa? A. B. C. D.
Problemas de privacidad Que la longitud de onda pueda ser absorbida por el cuerpo humano Las etiquetas de RFID pueden no ser eliminables RFID elimina la lectura de línea de vista
© 2010 ISACA. All rights reserved.
Page 12
36. Una organización ha contratado a un proveedor para una solución llave en mano (turnkey solution) para su sistema electrónico de cobro de peajes (ETCS). El proveedor ha provisto su software privado de aplicación como parte de la solución. El contrato debería requerir que: A. B. C. D.
un servidor de respaldo esté disponible para ejecutar operaciones de ETCS con datos actualizados. un servidor de respaldo sea cargado con todo el software y los datos relevantes. el personal de sistemas de la organización sea entrenado para manejar cualquier evento. el código fuente de la aplicación de ETCS sea puesto en depósito de garantía (escrow.)
37. Un auditor de SI que revisa un sistema de cuentas por cobrar descubre que los registros de auditoría no están siendo revisados. Cuando este problema es planteado a la gerencia la respuesta es que no son necesarios controles adicionales porque están instalados controles efectivos de acceso al sistema. La MEJOR respuesta que el auditor puede dar es: A. B. C. D.
revisar la integridad de los controles de acceso al sistema. aceptar la declaración de la gerencia de que están instalados controles efectivos de acceso. hacer énfasis en la importancia de tener instalado un marco de control del sistema. revisar las verificaciones de antecedentes del personal de cuentas por pagar.
38. ¿Cuál de los siguientes ayudará a detectar los cambios efectuados por un intruso al registro de sistema de un servidor? A. B. C. D.
Mirroring del registro de sistema en otro servidor Duplicar simultáneamente el registro de sistema en un disco de escritura de una sola vez Proteger la escritura del directorio que contiene el registro de sistema Almacenar la copia de respaldo del registro de sistema fuera del sitio
© 2010 ISACA. All rights reserved.
Page 13
39. Una organización está considerando conectar a la Internet un sistema crítico basado en PC. ¿Cuál de los siguientes proveería la MEJOR protección contra el hacking? A. B. C. D.
Gateway de nivel de aplicación Servidor de acceso remoto Servidor proxy Escaneo de puerto
40. ¿Cuál de los siguientes métodos de suprimir un incendio en un centro de datos es el MÁS efectivo y menos perjudicial para el ambiente? A. B. C. D.
Gas halon Rociadores de tubería mojada Rociadores de tubería seca Gas de dióxido de carbono
41. Un auditor de SI ha auditado un plan de continuidad del negocio (BCP). ¿Cuál de los siguientes hallazgos es el MÁS crítico? A. B. C. D.
La no disponibilidad de una central telefónica (PBX) La ausencia de un respaldo para el backbone de la red La falta de sistemas de respaldo para las PCs de los usuarios La falla de sistema de tarjeta de acceso
42. El éxito de la autoevaluación de control (CSA) depende altamente de: A. B. C. D.
hacer que los gerentes de línea asuman una porción de la responsabilidad de monitorear el control asignar a los gerentes de personal la responsabilidad de construir, pero no monitorear, los controles la implementación de una política estricta de control y controles impulsados por reglas la implementación de supervisión y el monitoreo de controles de funciones asignadas
43. En una organización, la responsabilidad de la seguridad de TI está claramente asignada y ejecutada y un análisis de riesgo e impacto de la seguridad de TI es ejecutado de manera consistente. ¿Esto representa qué nivel de clasificación en el modelo de madurez de gobierno de seguridad de información? © 2010 ISACA. All rights reserved.
Page 14
A. B. C. D.
Optimizado Administrado Definido Repetible
44. ¿Cuál de los siguientes tipos de prueba determinaría si un sistema nuevo o modificado puede operar en su ambiente objetivo sin afectar adversamente otros sistemas existentes? A. B. C. D.
Prueba paralela Prueba piloto Prueba de interfaz/integración Prueba de sociabilidad
45. La documentación de un caso de negocio usado en un proyecto de desarrollo de TI debe ser retenida hasta: A. B. C. D.
el final del ciclo de vida del sistema que el proyecto sea aprobado la aceptación de usuario del sistema que el sistema esté en producción
46. ¿Cuál de los siguientes tipos de firewalls provee el MAYOR grado y granularidad de control? A. B. C. D.
Enrutador de filtrado Filtro de paquete Gateway de aplicación Gateway de circuito
47. Para asegurar la integridad, confidencialidad, y no repudio de mensajes entre dos partes, el método MÁS efectivo sería crear un resumen de mensaje aplicando un algoritmo de hash criptográfico contra: A.
B.
todo el mensaje, que cifra el resumen de mensaje (message digest) usando la clave/llave privada del remitente cifrando el mensaje con una clave/llave simétrica y cifrando la llave/clave mediante el uso de la clave/llave pública del destinatario. cualquier parte del mensaje, cifrando el resumen de mensaje (message digest) usando la clave/llave privada del remitente, cifrando el mensaje
© 2010 ISACA. All rights reserved.
Page 15
C.
D.
con una clave/llave simétrica y cifrando la clave/llave mediante el uso de la clave/llave pública del destinatario. todo el mensaje, cifrando el resumen de mensaje message digest) usando la clave/llave privada del remitente, cifrando el mensaje con una clave/llave simétrica y cifrando la clave/llave simétrica mediante el uso de la clave/llave pública del destinatario. todo el mensaje, cifrando el resumen de mensaje message digest)usando la clave/llave privada del remitente y cifrando el mensaje mediante el uso de la clave/llave pública del destinatario.
48. ¿Cuál de los siguientes es un paso inicial para crear una política de firewall? A. B. C. D.
Un análisis costo-beneficio de métodos para asegurar las aplicaciones La identificación de aplicaciones de red a las que se tenga acceso desde el exterior La identificación de vulnerabilidades asociadas con aplicaciones de red a las que se tenga acceso desde el exterior La creación de una matriz de tráfico de aplicaciones que muestre métodos de protección
49. Durante una revisión de un plan de continuidad del negocio, un auditor de SI notó que el punto en el cual una situación es declarada una crisis no ha sido definido. El MAYOR riesgo asociado con esto es que: A. B. C. D.
la evaluación de la situación puede ser demorada. la ejecución del plan de recuperación de desastre podría ser impactada. la notificación de los equipos podría no ocurrir. el reconocimiento de una crisis potencial podría ser inefectivo.
50. Un método de arriba abajo para el desarrollo de políticas operacionales ayudará a asegurar: A. B. C. D.
que sean consistentes en toda la organización que sean implementadas como parte de la evaluación del riesgo el cumplimiento de todas las políticas que sean revisadas periódicamente
51. ¿cuál de lo siguiente asegurará MEJOR el desarrollo offshore exitoso de las aplicaciones del negocio? A.
Prácticas estrictas de administración de contratos
© 2010 ISACA. All rights reserved.
Page 16
B. C. D.
Especificaciones aplicadas en detalle y correctamente Conciencia de las diferencias culturales y políticas Revisiones posteriores a la implementación
52. El PRIMER paso para administrar el riesgo de un ataque cibernético es: A. B. C. D.
analizar el impacto de la vulnerabilidad. evaluar la probabilidad de amenazas. identificar los activos de información críticos. estimar el daño potencial.
53. ¿Cuál de los siguientes actúa como un señuelo para detectar ataques activos de Internet? A. B. C. D.
Tarros de miel (Honey pots) Firewalls Puertas traseras (Trap/back doors) Análisis de tráfico
54. Las redes neurales son efectivas para detectar el fraude porque pueden: A. B. C. D.
descubrir nuevas tendencias ya que son inherentemente lineales. resolver problemas donde conjuntos grandes y generales de datos de entrenamiento no se pueden obtener. atacar los problemas que requieren consideración de un gran número de variables de input. hacer supuestos sobre la forma de cualquier curva que relacione las variables al output.
55. ¿Cuál de las siguientes sería la MAYOR preocupación para un auditor de SI que revisa la implementación de un VPN? Las computadoras en la red que están ubicadas en: A. B. C. D.
las instalaciones de la empresa. el lugar de respaldo de seguridad. las casas de los empleados. las oficinas remotas de la empresa.
56. Cuando desarrolla una estrategia de auditoría basada en el riesgo, un auditor de SI debe llevar a cabo una evaluación del riesgo para asegurar que: © 2010 ISACA. All rights reserved.
Page 17
AREA 4—ENTREGA Y SOPORTE DE
A. B. C. D.
estén establecidos los controles necesarios para mitigar los riesgos las vulnerabilidades y amenazas estén identificadas los riesgos de auditoría sean considerados un análisis de brechas sea apropiado
57. Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e-business). La primera tarea del auditor de SI fue examinar cada aplicación existente de e-business en busca de vulnerabilidades. ¿Cuál sería la siguiente tarea? A. B. C. D.
Reportar los riesgos al (director de sistemas) CIO y al director general (CEO) de inmediato. Examinar la aplicación de e-business en desarrollo. Identificar las amenazas y probabilidad de que ocurran. Verificar el presupuesto disponible para la administración de riesgos.
58. De las siguientes técnicas de copia de respaldo, ¿cuál es la MÁS apropiada cuando una organización requiere puntos de restauración de datos granulares, como se definen en el objetivo de punto de recuperación (RPO)? A. B. C. D.
Bibliotecas virtuales de cintas Instantáneas basadas en disco Copia de respaldo continua de los datos Copia de respaldo de disco a cinta
59. Una organización está usando una aplicación de administración de recursos de empresa (ERP). De lo siguiente, ¿cuál sería un control efectivo de acceso? A. B. C. D.
Permisos de nivel de usuario Basado en roles De grano fino Discrecional
60. Cuando revisa la implementación de un sistema de VoIP en una WAN corporativa, un auditor de SI debe esperar encontrar: A. B. C.
un enlace de datos de red digital de servicios integrados (ISDN). ingeniería de tráfico. encripción de datos de privacidad equivalente alambrada (WEP).
© 2010 ISACA. All rights reserved.
Page 18
D.
terminales telefónicas análogas.
61. Un auditor de SI que hace prueba de penetración durante una auditoría de conexiones de Internet: A. B. C. D.
evaluaría las configuraciones. examinaría las disposiciones de seguridad. aseguraría que esté en uso un software de escaneo de virus. usaría herramientas y técnicas que estén disponibles para un hacker.
62. La MAYOR ventaja de usar servicios web para el intercambio de información entre dos sistemas es: A. B. C. D.
comunicaciones seguras desempeño mejorado intercomunicación eficiente documentación ampliada
63. ¿Cuál de lo siguiente reduce el impacto potencial de los ataques de ingeniería social? A. B. C. D.
Cumplimiento de los requisitos regulatorios Promover el entendimiento ético Programas de concientización de la seguridad Incentivos de desempeño efectivo
64. ¿Qué de lo siguiente debe un auditor de SI revisar para lograr un entendimiento de la eficacia de los controles sobre la administración de múltiples proyectos? A. B. C. D.
Base de datos de proyecto Documentos de política Base de datos de cartera de proyectos Organización de programa
65. ¿Cuál de las siguientes técnicas de auditoría en línea es MÁS efectiva para la detección temprana de errores o irregularidades? A. B. C.
Módulo integrado de auditoría Prueba integrada Instantánea (snapshot)
© 2010 ISACA. All rights reserved.
Page 19
D.
Ganchos de auditoría (Audit Hooks)
© 2010 ISACA. All rights reserved.
Page 20
66. Durante la revisión de un proyecto de desarrollo de software basado en la web, un auditor de SI se da cuenta que las normas de codificación no se ejecutan y que las revisiones de código se llevan a cabo rara vez. Lo MÁS probable es que esto aumente la probabilidad de: A. B. C. D.
un desborde exitoso de buffer un ataque exitoso de fuerza bruta un ataque distribuido exitoso de negación de servicio un ataque exitoso de marcado de guerra
67. Un beneficio de la arquitectura de sistema abierto es que ésta: A. B. C. D.
facilita la interoperabilidad. facilita la integración de componentes patentados. será una base para descuentos por volumen por parte de los vendedores de equipos. permite que se logren más economías de escala por equipo.
68. Las herramientas de filtrado de la web y del correo electrónico son PRINCIPALMENTE valiosas para una organización porque ellas: A B. C. D.
protegen a la organización de virus, spam, cadenas de correo, surfing de entretenimiento y correo electrónico de entretenimiento maximizan el desempeño (performance) del empleado salvaguardan la imagen de la organización asisten a la organización en prevenir problemas legales
69. El objetivo PRIMARIO de la administración de nivel de servicio (SLM) es: A. B. C. D.
definir, acordar, registrar y administrar los niveles de servicio requeridos. asegurar que los servicios sean manejados para entregar el nivel de disponibilidad alcanzable más alto. Mantener los costos asociados con cualquier servicio en un mínimo. Monitorear y reportar cualquier incumplimiento legal a la gerencia del Negocio.
70. Un auditor de SI que realiza una revisión de control de acceso a telecomunicación debería estar preocupado PRIMARIAMENTE de: A.
el mantenimiento de los registros de acceso de uso de diversos recursos de sistema.
© 2010 ISACA. All rights reserved.
Page 21
B. C. D.
la autorización y autenticación del usuario antes de otorgar acceso a los recursos de sistema. la protección adecuada de los datos almacenados en los servidores mediante encripción u otro medio. el sistema de obligación de rendir cuenta y la capacidad para identificar cualquier terminal que tenga acceso a los recursos del sistema.
71. ¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora la alineación estratégica? A. B. C. D.
Los riesgos de proveedor y de socio están administrados Está establecida una base de conocimientos sobre clientes, productos, mercados y procesos Se provee una estructura que facilita la creación y se comparte información de negocio La alta gerencia media entre los imperativos del negocio y la tecnología
72. ¿A la conclusión de un proyecto de desarrollo de sistemas, una revisión posterior al proyecto debe incluir cuál de lo siguiente? A. B. C. D.
Determinar los riesgos que pueden conducir a tiempo improductivo después de la liberación en producción Identificar las lecciones aprendidas que puedan ser aplicables a futuros proyectos Verificar que los controles en el sistema entregado estén funcionando Asegurar que se eliminen los datos de prueba
73. Un auditor de SI invitado a una reunión de proyecto de desarrollo nota que no se ha documentado ningún riesgo de proyecto. Cuando el auditor de SI plantea este problema, el gerente de proyecto responde que es demasiado temprano para identificar riesgos y que, si los riesgos comenzaran a impactar el proyecto, se contratará un administrador de riesgos. La respuesta apropiada del auditor de SI sería: A.
B. C. D.
hacer énfasis en la importancia de emplear tiempo en este punto del proyecto para considerar y documentar los riesgos, y desarrollar planes de contingencia. aceptar la posición del gerente de proyecto ya que el gerente de proyecto es responsable del resultado del proyecto. ofrecerse para trabajar con el gerente de riesgos cuando se nombre uno. informar al gerente de proyecto que el auditor de SI llevará a cabo una revisión de los riesgos al concluirse la etapa de definición de
© 2010 ISACA. All rights reserved.
Page 22
requerimientos del proyecto. 74. Un auditor de SI que revisa los procedimientos de control de archivo de datos de una organización encuentra que las transacciones se aplican a los archivos más corrientes, mientras que los procedimientos de reinicio usan versiones anteriores. El auditor de SI debe recomendar la implementación de: A. B. C. D.
retención de documentación fuente seguridad de archivo de datos control de uso de versión verificación uno por uno
75. Durante una auditoría de un sistema de telecomunicaciones, el auditor de SI encuentra que el riesgo de interceptar los datos transmitidos hacia y desde lugares remotos es muy alto. El control MÁS efectivo para reducir esta exposición es: A. B. C. D.
encripción. módems de rellamada. autenticación de mensaje. líneas dedicadas arrendadas.
76. Un auditor de SI encuentra que las salas de conferencia tienen puertos de red activos. De lo siguiente, ¿qué es MÁS importante asegurar? A. B. C. D.
Que la red corporativa esté usando un sistema de prevención de intrusos (IPS) Que esta parte de la red esté aislada de la red corporativa Que se haya implementado single sign-on en la red corporativa Que haya instalado un software antivirus para proteger la red corporativa
77. ¿Cuál de los siguientes representa el MAYOR riesgo creado por un contrato recíproco para recuperación de desastres celebrado entre dos compañías? A. B. C. D.
Los desarrollos pueden tener como consecuencia la incompatibilidad del hardware y del software. Es posible que los recursos no estén disponibles cuando se necesiten El plan de recuperación no puede ser probado La infraestructura de seguridad de cada compañía es posible que sea diferente
© 2010 ISACA. All rights reserved.
Page 23
78. Un ataque basado en Internet que usa sniffing de contraseña puede: A. B. C. D.
permitir a una parte actuar como si fuera otra parte. causar la modificación del contenido de ciertas transacciones. ser usado para ganar acceso a sistemas que contienen información privada. tener como consecuencia grandes problemas con los sistemas de facturación y los contratos de procesamiento de transacciones.
79. Cuáles de los siguientes controles podría un auditor de sistemas buscar en un ambiente donde las obligaciones no sean apropiadamente segregadas? A. B. C. D.
Controles sobrelapados Controles limitados Controles de acceso Controles compensados
80. ¿Cuál de las siguientes es una preocupación cuando los datos son transmitidos a través de una encripción segura de capa de socket (SSL) implementada en el servidor de un socio comercial? A. B. C. D.
La organización no tiene control sobre la encripción. Los mensajes están sujetos a interceptación de líneas telefónicas (wire tapping). Los datos podrían no llegar al destinatario pretendido. La comunicación puede no ser segura.
81. Una organización actualmente usando copias de respaldo de cinta toma una copia de respaldo completa semanalmente y copias de respaldo incrementales diariamente. Ellos recientemente aumentaron sus procedimientos de copia de respaldo de cinta con una solución respaldo a disco. Esto es apropiado porque: A. B. C. D.
las copias de respaldo sintéticas rápidas para almacenamiento fuera de las instalaciones están soportadas. la copia de respaldo a disco siempre es significativamente más rápida que la copia de respaldo a cinta las bibliotecas de cinta ya no se necesitan el almacenamiento de datos en discos es más confiable que en cintas
© 2010 ISACA. All rights reserved.
Page 24
82. Un sistema de aplicación de negocio tiene acceso a una base de datos corporativa usando una sola identificación y contraseña integrada en un programa. ¿Cuál de lo siguiente proveería un control eficiente de acceso sobre los datos de la organización? A. B. C. D.
Introducir un método secundario de autenticación como por ejemplo card swipe Aplicar permisos basados en roles dentro del sistema de aplicación Hacer que los usuarios introduzcan el ID y la contraseña para cada transacción de base de datos. Fijar un período de expiración para la contraseña de base de datos integrada en el programa
83. ¿Cuál de los siguientes tendría la MAS ALTA prioridad en un plan de continuidad del negocio (BCP)? A. B. C. D.
Retomar los procesos críticos Recuperar los procesos sensitivos Restaurar el sitio Reubicar las operaciones en un sitio alternativo.
84. Una compañía ha decidido implementar un esquema de firma electrónica basado en infraestructura de llave pública. La llave privada del usuario será almacenada en el disco duro de la computadora y protegida por una contraseña. El riesgo MÁS significativo de este método es: A. B. C. D.
la suplantación de un usuario mediante la sustitución de la llave pública del usuario con la llave pública de otra persona. falsificación usando la llave privada de otro usuario para firmar un mensaje con una firma electrónica. el uso de la firma electrónica del usuario por otra persona si la contraseña está comprometida. falsificación mediante la sustitución de la llave privada de otra persona en la computadora.
85. Un auditor de SI notó que una organización tenía planes de continuidad del negocio adecuados para cada proceso individual, pero ningún plan comprensivo de continuidad del negocio. ¿Cuál sería el MEJOR curso de acción para el auditor de SI? © 2010 ISACA. All rights reserved.
Page 25
A. B. C. D.
Recomendar que se desarrolle un plan adicional comprensivo de continuidad del negocio Determinar si los planes de continuidad del negocio son consistentes Aceptar los planes de continuidad del negocio como están escritos Recomendar la creación de un solo plan de continuidad del negocio
86. Para proteger una infraestructura de VoIP contra un ataque de negación de servicio (DoS), lo MÁS importante es asegurar: A. B. C. D.
servidores de control de acceso controladores de límite de sesión gateways de backbone sistema de detección de intrusos (IDS)
87. Un servidor web es atacado y comprometido. ¿Cuál de lo siguiente debe realizarse PRIMERO para manejar el incidente? A. B. C. D.
Depositar los datos de almacenamiento volátil a un disco Correr el servidor en un modo a prueba de fallas Desconectar el servidor web de la red Cerrar el servidor web
88. Cuando se desarrolla un plan de continuidad del negocio, ¿cuál de las siguientes herramientas se deben usar para lograr un entendimiento de los procesos de negocio de una organización? A. B. C. D.
Auto auditoría de continuidad del negocio Análisis de recuperación de recursos Evaluación del riesgo Análisis de brecha
89. ¿Cuál de lo siguiente sería considerado por un auditor de SI como una debilidad, cuando realiza una auditoría de una organización que usa una infraestructura de llave pública con certificados digitales para sus transacciones de negocio-aconsumidor a través de la Internet? A. B.
Los clientes están ampliamente dispersos geográficamente, pero no las autoridades certificadoras (CA). Los clientes pueden hacer sus transacciones desde cualquier computadora o dispositivo móvil
© 2010 ISACA. All rights reserved.
Page 26
C. D.
La autoridad certificadora tiene varios subcentros de procesamiento de datos para administrar los certificados. La organización es la propietaria de la Autoridad Certificadora (CA).
© 2010 ISACA. All rights reserved.
Page 27
90. El rol de la CA (autoridad de certificación) como tercero es: A. B. C. D.
proveer comunicación y servicios de red seguros basados en certificados alojar un repositorio de certificados con las correspondientes llaves/claves públicas y secretas emitidas por esa CA. actuar como un intermediario de confianza entre dos socios de comunicación confirmar la identidad de la entidad que es propietaria de un certificado emitido por esa CA.
91. Un auditor de SI que revisa la seguridad de red inalámbrica determina que el Protocolo de Configuración de Anfitrión Dinámico (DHCP) está inhabilitado en todos los puntos inalámbricos de acceso. Esta práctica: A. B. C. D.
reduce el riesgo de acceso no autorizado a la red no es adecuada para las redes pequeñas provee automáticamente una dirección IP a cualquiera aumenta los riesgos asociados con el Protocolo Inalámbrico de Encripción (WEP).
92. El objetivo PRIMARIO de probar un plan de continuidad del negocio es: A. B. C. D.
familiarizar a los empleados con el plan de continuidad del negocio asegurar que todos los riesgos residuales sean resueltos ejercer todos los posible escenarios de desastre identificar las limitaciones del plan de continuidad de desastre
93. ¿Qué método podría un auditor de SI utilizar para probar la seguridad inalámbrica en las sucursales? A. B. C. D.
War dialing Ingeniería social. War driving. Forzar las contraseñas (Password cracking)
94. La confidencialidad de los datos transmitidos en una red de área local inalámbrica (LAN) está MEJOR protegida si la sesión está: A.
restringida a direcciones predefinidas de Control de Acceso a Medios (MAC)
© 2010 ISACA. All rights reserved.
Page 28
B. C. D.
encriptada usando llaves estáticas encriptada usando llaves dinámicas iniciada a partir de dispositivos que tienen almacenamiento encriptado.
95. Los ataques distribuidos de negación de servicio (DDos) en los sitios de Internet son típicamente evocados por los hackers que usan qué de lo siguiente: A. B. C. D.
bombas lógicas phishing spyware caballos de Troya
96. ¿Cuál de las siguientes técnicas antispam de filtrado prevendrían MEJOR un mensaje de e-mail válido de longitud variable que contenga una palabra clave de spam muy pesada de ser etiquetada como spam? A. B. C. D.
Heurística (basada en regla) Basada en firma Que coincida con patrón Bayesiana (estadística)
97. En la determinacion del periodo de tiempo aceptable por la reanudacion de proceso criticos de negocio: A. B. C. D.
Unicamente los costos de tiempo de caída necesitan ser considerados Recuperar la operación debería ser analizado Deberian ser evaluados los costos de tiempo de caída y los costos de recuperación Los costos de tiempo de caída indirectos deberían ser ignorados
98. Una organización tiene una mezcla de puntos de acceso que no pueden ser ampliados a seguridad más fuerte y puntos de acceso más nuevos que tienen seguridad inalámbrica avanzada. Un auditor de SI recomienda reemplazar los puntos de acceso que no pueden ser actualizados. ¿Cuál de lo siguiente justificaría MEJOR la recomendación del auditor de SI? A. B.
Los nuevos puntos de acceso con seguridad más fuerte son económicamente accesibles Los viejos puntos de acceso son más deficientes en términos de desempeño
© 2010 ISACA. All rights reserved.
Page 29
C. D.
La seguridad de la organización sería tan fuerte como sus puntos más débiles Los nuevos puntos de acceso son más fáciles de manejar.
© 2010 ISACA. All rights reserved.
Page 30
99. Desde una perspectiva de control, el objetivo PRIMARIO de clasificar los activos de información es: A. B. C. D.
establecer lineamientos para el nivel de controles de acceso que debe ser asignado asegurar que los controles de acceso sean asignados a todos los activos de información asistir a la gerencia y a los auditores en la evaluación del riesgo identificar qué activos necesitan ser asegurados contra pérdidas
100. ¿Cuál de las siguientes biométricas tiene la mayor confiabilidad y la tasa de falsa aceptación más baja (FAR)? A. B. C. D.
Escaneo de palma Reconocimiento de rostro Escaneo de retina Geometría de la mano
© 2010 ISACA. All rights reserved.
Page 31