PDF de programación - banco preguntas lsi

ESCUELA SUPERIOR POLITECNICA DEL LITORAL

Licenciatura en Sistemas de Información



Materia: Auditoria de Sistemas y Seguridad de la Información



Seleccione la alternativa correcta a las siguientes preguntas. Si marca más de una

alternativa la respuesta se anula


1. Una característica de un buen Auditor de Sistemas es:

a) Debe ser un experto en el área contable.
b) Debe estar en constante capacitación para ser competente con los trabajos que realice.
c) Debe procurar solicitar la participación en todos los trabajos de auditoría que sean realizados.
d) Debe tener conocimientos en administración de empresas.

Resp: b

2. Lo controles MENOS confiables son:

a) Los controles de preventivos combinados con los controles manuales.

b) Los controles preventivos combinados con los controles automáticos.

c) Los controles detectives combinados con los controles manuales.
d) Los controles detectives combinados con los controles automatizados.


Resp: c

3. Una amenaza se puede definir como:

a) Una medida orientada a mitigar de alguna forma los riesgos que pueda n existir en una

empresa.

b) Una vulnerabilidad identificada dentro de una empresa.
c) Un agente o evento que puede explotar una vulnerabilidad identificada dentro de una

empresa.

d) Una serie de eventos desafortunados que activan un plan de emergencia en una empresa.

Resp: c

4. ¿Cuál de lo siguiente describe MEJOR las primeras etapas de una

uditoria de SI?

a) Observar las instalaciones organizacionales clave.
b) Evaluar el entorno de SI.
c) Entender el proceso del negocio y el entorno aplicable a la revisión.
d) Revisar los informes de auditoría de SI anteriores.

Resp: c

5. El riesgo general del negocio para una amenaza en particular se puede

expresar como:

a) Un producto de la probabilidad y de la magnitud del impacto si una amenaza explotara

exitosamente una vulnerabilidad.

b) La magnitud del impacto si una fuente de amenaza explotara exitosamente la vulnerabilidad.
e) La probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad.
d) La opinión colectiva del equipo de evaluación de riesgos.

Resp: a







6 Qué evidencia sería mucho MÁS confiable en un trabajo de auditoría:

a) Una evidencia cuyo contenido no puede ser leído por el auditor.
b) Una evidencia proporcionada por el auditado sobre la ejecución de su propio trabajo.
c) Una evidencia proporcionada por un externo independiente a l.a
organización. d) Una evidencia identificada pero de contenido
incompleto.

Resp: c

7. A quien deben ser dirigidos principalmente los resultados de

una auditoría?:
a) Al Jefe de un área en particular.

b) Al Gerente General de una empresa.
c) Al nivel de jerarquía más alto en una
empresa. d) A los mismos auditados.



Resp: c

8. Durante una auditoría de seguridad de procesos de TI, un auditor de SI

encontró que no había procedimientos de seguridad

documentados. El auditor de SI debe:
a) Crear el documento de
procedimientos. b) Dar por
terminada la auditoría.
e) Llevar a cabo pruebas de cumplimiento.
d) Identificar y evaluar las prácticas existentes.

Resp: d

9. Revisar los planes estratégicos a largo plazo de la gerencia

ayuda al ditor de SI a:

a) Lograr un entendimiento de las metas y objetivos de una
organización. b)
Probar los controles internos de la empresa.
e) Determinar si la organización puede confiar en los sistemas de
información. d)
que se necesitan.

Determinar el número de recursos de auditoría


Resp: a


10. EI objetivo PRIMARIO de una función de auditoría de SI es:

a) Determinar si todos usan los recursos de SI de acuerdo con su descripción del trabajo.

b) Determinar si los sistemas de información salvaguardan activos, y mantienen la

integridad de datos.

e) Examinar libros de contabilidad y evidencia documentaria relacionada para el

sistema computa rizado.

d) Determinar la capacidad de la organización para detectar fraude.



Resp: b

11. En un enfoque de auditoría basado en el riesgo un Auditor de SI

debería primero
realizar:

a) Una evaluación del riesgo inherente.
b) Una evaluación del riesgo de control.
c) Una prueba de evaluación de control.
d) Una evaluación de prueba sustantiva.

Resp: a







12.Los auditores de SI que hayan participado en el desarrollo
de un sistema de aplicación podrían hacer que su independencia
se viera ímpedida si:
a) Realizaran una revisión del desarrollo de aplicación.
b) Recomendaran aumentos de control y de otros sistemas.
c) Realizaran una evaluación independiente de la aplicación después de su implementación.
d) Participaran activamente e"n el diseño e implementación del sistema de aplicación.

Resp: d

13. El phishing consiste en:

a) Adquirir información confidencial de forma fraudulenta del mismo usuario

b) Adquirir información de cualquier forma empleando ingeniería social.

c) Adquirir información "pescando" paquetes de datos que viajan por Internet.

d) Adquirir información interceptando llamadas sin que el usuario se entere.

Resp: a



14. Cuál sería la MEJOR ubicación para un sitio de procesamiento alterno:

a) Ubicarlo en el edificio de al frente a las oficinas principales para que el tiempo de respuesta sea

b) Ubicarlo a 45 km de distancia a pesar que su costo puede ser alto.

m1mmo.



e) Ubicarlo en el edificio de aliado a las oficinas principales para que el tiempo de respuesta sea el

menor.

d) Ubicarlo a 1km de distancia para minimizar costos y rotar al personal entre ambas ubicaciones.



Resp: b

15. Un estudio de análisis de impacto del negocio ayudará a:

Identificar los RTO (Recovery Time Objective) de los procesos del negocio.

a)
b) Identificar los RTO (Recovery Time Objective) de los procesos más grandes del negocio. e)

d) Identificar los RTO (Recovery Time Objective) de los procesos críticos del negocio.

Identificar los RTO (Recovery Time Objective) de los procesos operativos del negocio.

Resp: d

16. Cuál es la afirmación correcta:

a) ISO 27002 es un Código de Buenas Prácticas para la Seguridad de la Información.
b) ISO 27001provee Especificaciones para los Sistemas de Gestión de Calidad de la Información
e)
ISO 27001 provee Especificaciones para los Sistemas de Gestión de Continuidad de la

ISO 27002 es un Código de Buenas Prácticas para la Implementación de Planes de Continuidad. d)

Información.

Resp: a

17. Las técnicas de auditoría basadas en computadoras consisten en:

a) Un conjunto de herramientas de software que ayudan al auditor de sistemas.
b) Un conjunto de mejores prácticas para auditar la información que puede contener un

computador.

c) Un conjunto de técnicas y herramientas que emplea el auditor para recolectar información de

los ambientes computarizados.

d) Un conjunto de guías de auditorías basadas en ISO 27001 para automatizar el trabajo del

Resp: c

auditor con total seguridad.



18. Una instalación de respaldo fuera del lugar que tenga
cableado el'
equipo de omputo o de comunicaciones, destinada a operar una
instalación de procesamiento de información es major conocida como:

rico, aire acondicionado, piso falso, et'c. pero ningún



a) Sitio alterno frío.
b) Sitio alterno caliente. e)

d) Sitio alterno incompleto.

Sitio alterno espejo.

Resp: a

19. Después de realizar el análisis de impacto del negocio (BIA) lCuál de

1 ·siguientes es el paso siguiente en el proceso de planeación de la
continuidad del negocio?
a) Probar y mantener el plan.
b) Desarrollar un plan específico.
c) Desarrollar estrategias de recuperación.

d) Implementar el plan.



Resp: c

20. Un auditor de SI ha auditado un plan de continuidad del negocio (BCP).

lCuál de los siguientes hallazgos es. el MÁS crítico?
a) La no disponibilidad de una central telefónica (PBX).
b) La ausencia de guardias a la entrada del centro de cómputo.
c) La falta de sistemas de respaldo para las PCs de los usuarios.
d) La falla de sistema de tarjeta de acceso.

Resp: c


21. Un Sistema de Gestión de la Seguridad de la Información consiste en:
a) Un conjunto de controles basados en ISO 27001.
b) La planificación, ejecución, verificación y mejora continua de un conjunto de controles que

e)

permitan reducir el riesgo de sufrir incidentes de seguridad.
La identificación de los procesos críticos de un negocio para precautelar sus activos de
tecnología.

d) Considerar un conjunto de controles basados en ISO 27002.

Resp: b


22. Para realizar un plan de continuidad del negocio se debe realizer
primero:



a) identificar los procesos críticos del negocio.
b) Identificar el hardware y el software que son críticos para el negocio.
e) Realizar un análisis de crit