• Author / Uploaded
• Jefry Andres Garzon Tijaro

Citation preview

TALLER SIMULACION CISA UNIVERSIDAD ECCI. ______________________________________________________________

Selección múltiple con única respuesta.

1. El Proceso mediante el cual se califica y evalúan los riesgos para

2.

3.

4.

5.

determinar la capacidad de la entidad para su aceptación o tratamiento se conoce como: a. Auditoria b. Análisis de riesgos c. Control d. Mapa de riesgos. Es función de la auditoria: a. Escuchar los problemas de una empresa b. Obtener y evaluar evidencia objetivamente c. Calificar o descalificar las actuaciones de un grupo de personas d. Ninguno de los anteriores La herramienta organizacional que unida al Mapa de Procesos facilita la visualización y entendimiento de los riesgos y la definición de una estrategia para su apropiada administración se conoce como. a. Auditoria b. Administración de riesgos c. Control d. Mapa de riesgos Un proceso es: a. Es un conjunto de actividades que recibe uno o mas insumos y crea un producto o servicio de valor para el cliente b. Sistema conformado por varios procesos que se integran sistemáticamente para alcanzar un objetivo propuesto. c. Un conjunto de actividades que permiten obtener un producto o servicio de valor para el cliente d. Ninguna de las anteriores. La integridad es un elemento importante de la seguridad de la información y tiene por objeto: a. Garantizar que la información no ha sido alterada en su contenido. b. asegurar que sólo la persona correcta acceda a la información que queremos distribuir. c. garantizar que la información llegue en el momento oportuno. d. Ninguna de las anteriores.

6. Una definición de indicador es:

a. Bombillos instalados en los procesos y subprocesos, dan sintomatología del riesgo. b. Una consecuencia generada en un proceso inestable. c. Una ayuda para que el auditor de sistemas genere los informes de auditoria. d. Ninguna de las anteriores. 7. Dentro de las medidas globales de la seguridad para la administración del riesgo se tienen las políticas de seguridad y consisten en: a. Instruir la correcta implementación de un nuevo ambiente tecnológico b. Buscar establecer los estándares de seguridad en el uso y mantenimiento de los activos. Es una forma de suministrar un conjunto de normas para guiar a las personas en la realización de sus trabajos. c. rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas. Da como resultado un grupo de recomendaciones para que los activos puedan ser protegidos. d. Ninguna de las anteriores. 8. Las normas personales, normas de ejecución del trabajo y normas relacionadas con la información hacen parte: a. La calidad del software b. La calidad de un centro de cómputo c. Un sistema de calidad d. La auditoria 9. Las sugerencias, contrastadas y plasmadas en el correspondiente informe de auditoria reciben el nombre de: a. Recomendaciones b. Normas de estricto cumplimiento c. Ayudas especializadas d. Ninguna de los anteriores 10. Una definición de riesgo es: a. Minimizar, reducir, eliminar, evitar y neutralizar una perdida. b. Peligro de no lograr los objetivos c. Es el plan de contingencia para evitar una perdida d. A y C 11. Cuando se altera la información que riesgo se hace presente a. La integridad b. Confidencialidad c. Disponibilidad d. Disponibilidad

12. Las claves de acceso son controles:

a. Detectivos b. Correctivos c. Preventivos d. El B y C 13. Dentro de las principales responsabilidades del auditor informatico están: a. Revisar e informar a la dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. b. Diseñar e implementar los controles para evitar la materialización de riesgos c. Implementar los cambios requeridos por el área de TI de la organización. d. Ninguno de los anteriores. 14. La misión del control interno informatico consiste en: a. Asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas. b. Verificar la correcta aplicación de estándares para el desarrollo de la TI c. Asegurar una adecuada comunicación entre las áreas funcionales de la organización y las áreas de tecnología. d. Asegurar la implementación de reglas de negocio en los diferentes sistemas que soportan los procesos de la organización. 15. Son objetivos del control interno informatico: a. Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. b. Asesorar sobre el conocimiento de las normas c. Colaborar Y apoyar el trabajo de auditoria informática, así como de las auditorias externas al grupo. d. Todas las anteriores. 16. La creación de un sistema de control informatico es una responsabilidad de: a. La Gerencia b. La dirección de TI c. Los usuarios de los sistemas d. Ninguno de los anteriores

17. La validación de datos es un control:

a. Preventivos b. Correctivos c. Detectivos d. El B y C 18. La confidencialidad de la información define: a. Que no sea alterada indebidamente b. Confidencialidad, disponibilidad, integridad c. Que no sea accedida por terceros d. Autenticación, integridad, exactitud 19. Asegurar que sólo la persona correcta acceda a la información que queremos distribuir, es un principio de seguridad de: a. Confidencialidad y disponibilidad b. Disponibilidad c. Confidencialidad d. Integridad 20. La seguridad de la información tiene como propósito proteger: a. La información y el control b. La información y el riesgo c. La información d. El control y el riesgo 21. Que es un control? a. Un plan para poner en marcha el ciclo productivo de una empresa b. Un mecanismo que sirve para maximizar un riesgo. c. Un mecanismo que sirve para administrar un riesgo d. Un mecanismo que sirve para eliminar un riesgo 22. La integridad de la información define: a. Que no sea alterada indebidamente b. Que no sea accedida por terceros c. Que siempre este disponible d. Solo B y C 23. Que la información llegue en el momento oportuno, que se utilice cuando sea necesario, y se pueda acceder en el momento en que necesiten utilizarla es un principio de seguridad de: a. Integridad b. Confidencialidad c. Disponibilidad d. Recuperación

24.

Las normas de auditoria son a. Sugerencias y planes de acción para eliminar las disfunciones o debilidades encontradas. b. Requisitos de calidad relativa a la personalidad del auditor y al trabajo que desempeña c. Conjunto de reglas que deben regir en la empresa auditada. d. Ninguno de los anteriores 25. Al “Proceso sistemático e independiente, que tiene como fin determinar si las actividades y los resultados relativos a la calidad satisfacen las disposiciones previamente establecidas y si éstas se han implementado efectivamente y son adecuadas para el logro de los objetivos propuestos” se conoce como : a. Auditoria b. Administración de riesgos c. Control d. Mapa de riesgos 26. No hace parte de las normas de la auditoria: a. Normas personales b. Normas para la ejecución del trabajo c. Normas para la preparación del informe d. Normas de urbanidad 27. Los auditores de Control Interno deben cumplir y aplicar: a. Los principios de Integridad, objetividad, confidencialidad, responsabilidad y competencia; en el desarrollo de sus funciones b. Administración de riesgos NO inherentes al cargo c. Directrices especiales del Consultor d. Todo el peso de la ley 28. Las auditorias pueden ser: a. Internas, externas, fiscales b. Internas- Externas c. De control fiscal y financiero d. Ninguno de los anteriores 29. EL concepto “Registro y/o declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoria y que son verificables.” Es conocida como a. Efecto del hallazgo b. Evidencia c. Indicador d. Control

30.

Una de las técnicas de auditoria es la observación y consiste en: a. Presenciar personalmente la forma como determinados procedimientos operativos y de control se llevan a cabo en las empresas. b. Directamente leen los procedimientos operativos con los que cuenta la empresa auditada. c. Mediante el estudio de documentos enviados por la empresa se toman elementos y se establecen juicios d. Ninguno de los anteriores 31. Se puede concluir que el “Informe del auditor” puede catalogarse como: a. Una asesoría b. Un relato de la evidencia c. Una opinión d. Una resumen ejecutivo 32. En auditoria de sistemas un tipo de prueba es la de cumplimiento la cual consiste en: a. Determinar si los controles se ajustan a las políticas y procedimientos de la Organización. b. Determinar si los controles se realizan de manera periódica. c. Determinar la relación existente entre los controles y riesgos identificados. d. Ninguna de las anteriores. 33. Aspectos que debe considerar el auditor de sistemas de información en el momento de la planificación: a. Conocimiento del negocio b. Conocimiento del ámbito el negocio c. Evidencia de auditoria y auditabilidad d. Todos los anteriores 34. El termino viabilidad financiera se refiere a: a. Capacidad de una organización de mantener una entrada de recursos financieros mayor que los recursos que se gastan b. La medida en la cual las conclusiones de una evaluación son justificadas por los datos presentados. c. Una variable que se considera afectada o influida por un programa. d. Una variable que se considera afectada o influida por un programa. 35. La primera barrera de seguridad que se establece para reducir los riesgos es: a. Control Preventivo b. Control Detectivo c. Control de Protección d. Control Correctivo.

36.

Se define un procedimiento de auditoria como: a. Las actividades de auditoria que deben desarrollarse para obtener evidencia. b. Conjunto de reglas que le permiten al auditor sacar conclusiones. c. Un manual de usuario final d. Ninguno de los anteriores 37. El objetivo “Recomendar sobre el diseño de controles en el desarrollo de aplicaciones, mejoras en el control interno del área de procesamiento de datos y verificación del cumplimiento de las normas de control en procesamiento de datos y seguridad general” es de: a. Auditoria financiera b. Auditoria Informática c. Oficial de cumplimiento de control interno d. Oficial de control interno 38. Elaborar, dirigir y controlar el plan anual de auditoria de sistemas es : a. Un perfil del oficial de cumplimiento b. Una función del auditor informático c. Un conocimiento del Jefe de Sistemas d. Una forma de ocio auditable 39. Conocer los diferentes elementos administrativos de manera que le permita planear, ejecutar, coordinar y controlar todas las actividades propias del área de responsabilidad. a. Una experiencia del auditor informático b. Una función del Jefe de sistemas c. Un conocimiento del Auditor informático d. Actitudes del auditor informático 40. No es un componente metodológico de la auditoria: a. Conocimiento del área b. Evaluación del sistema de control externo c. Diseño de papeles de trabajo d. Ninguno de los anteriores 41. La auditoria utiliza una metodología basada en: a. Métodos deductivos b. Métodos Inductivos c. La obtención de resultados d. La obtención de resultados 42. Capacidad de convencimiento, creativo y liderazgo a. Un perfil del oficial de cumplimiento b. Una Habilidad del Auditor informático c. Un conocimiento del Jefe de sistemas d. Una forma de ocio auditable

43.

Los papeles de trabajo según su uso se dividen en: a. Archivo permanente - Archivo corriente b. Temporales - fijos c. Vigentes - obsoletos d. Solo A y B 44. Análisis financiero y Administración de sistemas a. Un perfil del oficial de cumplimiento b. Una experiencia del auditor informático c. Un conocimiento del Auditor informático d. Una forma de ocio auditable 45. Lealtad ; Alto sentido de responsabilidad; Prudente, discreto, reservado Alto sentido de ética profesional son : a. Actitudes del auditor informático b. Habilidades del auditor informático c. Conocimientos del auditor informático d. Funciones del auditor informático 46. El concepto de caja negra se utiliza en: a. Sistemas cuando no sabemos que elementos o cosas componen al sistema o proceso b. Ocasiones cuando queremos proteger algo de la luz c. En navegación aérea para registrar las causas de un accidente Aéreo.. d. Ninguna de las anteriores 47. De acuerdo a las opciones la profesión recomendada para un auditor de sistemas ó informático puede ser: a. Contador e Ingeniero b. Contador con especialización en auditoria c. Ingeniero de sistemas con especialización en Finanzas ó Auditoria d. Ingeniero con especialización en auditoria 48. Los tipos de auditoria son: a. Cualitativas b. Cuantitativas c. Cualitativas y cuantitativas d. Positivistas y estructuralistas. 49. Dependiendo de los fines perseguidos en una auditoria esta puede ser: a. Auditoria publica y auditoria privada b. Auditoria operativa y de soporte c. Auditoria interna y auditoria externa d. Ninguna de las anteriores

50.

El área responsable de evaluar la efectividad del sistema de control establecido en el ambiente informático es: a. Auditoria informática b. Control interno informático c. Auditoria Financiera d. Departamento de sistemas 51. La auditoria realizada con recursos materiales y personas que pertenecen a la Empresa auditada se denomina: a. Auditoria publica b. Auditoria externa c. Auditoria interna d. Ninguna de las anteriores

52. Elija la opción que significa una FUNCION del Auditor informático. a. Participar en los proyectos de sistemas y emitir su concepto b. Análisis financiero y Administración de sistemas c. Comprensión clara sobre los distintos tópicos generales y especializados en el Área de Sistemas d. Capacidad para identificar riesgos 53. La información que describe, explica e informa sobre fenómenos utilizando números se asocia a: a. Datos cualitativos b. Datos cuantitativos c. Datos aleatorios d. Ninguna de las anteriores 54. Un indicador es: a. Un medio para medir lo que realmente sucede en comparación con lo que se ha planificado en términos de calidad b. Una medida explícita utilizada para determinar el desempeño c. Una señal que revela el progreso hacia los objetivos d. Todas las anteriores 55. La diferencia entre certificación y acreditación es : a. La certificación es voluntaria y la acreditación NO b. Certificación de procesos y Acreditación de instituciones c. NO existe diferencia d. Solo se puede tener una de las dos (Son excluyentes)

PARA LAS SIGUIENTE PREGUNTAS ELIJA LA CLASIFICACION DE LA POLITICA DE ACUERDO AL DOCUMENTO DE “GUIA PARA POLITICAS DE SEGURIDAD INFORMATICA”

56. Cuando un usuario recibe una cuenta, debe firmar un documento donde declara conocer las políticas y procedimientos de seguridad informática y acepta sus responsabilidades con relación al uso de esa cuenta. a. b. c. d.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

57. Los Privilegios especiales de borrar o depurar los archivos de otros usuarios, sólo se otorgan a los encargados de la administración en la Gerencia de Informática. a. b. c. d.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

58. Las claves de acceso se deben memorizar y no anotar además al tercer intento de acceso fallido, el sistema bloqueará la cuenta. a. b. c. d.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

59. Se suspenderá el servicio de correo electrónico a los funcionarios que no hagan uso de este durante un período mayor o igual a dos meses. a. b. c. d.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

60. La clave de acceso o password debe cambiarse cada noventa (90) días. a. b. c. d.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

61.Se filtrará el tráfico de extensiones *.avi,*.bat,*.bmp, *.exe, *.mdb,*.mp3,*.wma. a. b. c. d.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

a. b. c. d.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

62. Queda prohibido distribuir, acceder o guardar material ofensivo, abusivo, obsceno, racista, ilegal o no laboral, utilizando los medios electrónicos de la empresa.

63. Existen tres grandes problemas que amenazan la mensajería instantánea, estos son:

a. Correo Electrónico, Administración de riesgos, Control b. Internet, Cuentas de Usuarios, Los gusanos y virus. c. Los gusanos y virus; Denegación de servicio; Programas de puertas traseras o troyanos d. Directrices especiales; Correo Electrónico; los virus

64. No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas en los equipos. Es competencia de la Gerencia de Informática, el retiro o cambio de partes. a. b. c. d.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

65. No saldrá de oficinas centrales ningún equipo, impresora, escáner, UPS o demás elemento tecnológico, sin la autorización directa de la Gerencia de Informática. e. f. g. h.

Cuentas de Usuarios Internet Correo Electrónico Directrices especiales

PREGUNTAS DE ANÁLISIS DE RELACIÓN

Si la afirmación y la razón son VERDADERAS y la razón es una explicación CORRECTA de la afirmación...................................... A Si la afirmación y la razón son VERDADERAS pero la razón NO es una explicación correcta de la afirmación, marque la ...................... B Si la afirmación es VERDADERA pero la razón es una proposición FALSA marque la ................. ................................................... C Si la afirmación es FALSA pero la razón es una proposición VERDADERA, marque la .......................................................... D Si tanto la afirmación como la razón son proposiciones FALSAS, marque la .................................................................................. E

66. La auditoria es un proceso para obtener y evaluar evidencias de manera objetiva con el fin de determinar la extensión en que se cumplen los requisitos establecidos PORQUE Cumple con las disposiciones establecidas y si éstas se han aplicado en forma efectiva permitiendo alcanzar los objetivos. A

B

C

D

E

RESPUESTA A

67. El propósito de las políticas de seguridad informática es velar por que existan procedimientos de planificación controlados con métodos simples y funcionales

PORQUE Cada funcionario debe cumplir las políticas y directrices de la empresa, A

B

C

D

E

RESPUESTA E

68. Se dice que la evidencia debe reunir condiciones de calidad y cantidad PORQUE La evidencia tiene características de calidad cuando es "competente", es decir, válida y relevante. Además, en materia de cantidad, la evidencia debe ser "suficiente", aspecto que se determina a través de un juicio de auditoría. A

B

C

D

E

RESPUESTA A

69. La actividad de Auditoría de Sistemas de Información debe contar con la existencia de fuentes verificables de evidencia de auditoría. PORQUE Son necesarias para probar los controles o para realizar procedimientos de pruebas de sustanciación. A

B

C

D

E

RESPUESTA A

70. La evidencia de auditoria es un factor que no afecta la efectividad de una auditoria de sistemas de información. PORQUE

Existen situaciones en que las expectativas respecto de los resultados de la autoridad exceden los requerimientos para detectar errores relevantes, tales como un análisis de la eficiencia del procedimiento de la información. A

B

C

D

E

RESPUESTA E

71.Al planificar una Auditoría de Sistemas de Información, el auditor se puede enfrentar ante la disyuntiva de tener que seleccionar o establecer prioridades con respecto a qué área de la auditoría, o cuál o cuáles aplicaciones comenzar a auditar. PORQUE El auditor no puede auditar todos los sistemas al, mismo tiempo. Se deben establecer criterios que faciliten ese ordenamiento. A

B

C

D

E

RESPUESTA A