64302442 Spanish CISA Sample Exam Scrambled

ISACA CISA Examen de muestra1. Un contrato de auditora debera: A. B. C. D. ser dinmico y cambiar con frecuencia para coincidir con la naturaleza cambiante de la tecnologa y la profesin de auditora. establecer claramente los objetivos de la auditora y la delegacin de autoridad para el mantenimiento y revisin de los controles internos. documentar los procedimientos de auditora designados para lograr los objetivos planeados de auditora. describir la autoridad, alcance y responsabilidades generales de la funcin de auditora.

2. El cuadro de mando balanceado (balanced scorecard) de TI es una herramienta de gobierno del negocio que est destinada a monitorear los indicadores de evaluacin del desempeo (performance) de TI aparte de: A. B. C. D. los resultados financieros la satisfaccin del cliente. la eficiencia del proceso interno la capacidad de innovacin.

3. La razn para establecer un alto, o punto de congelacin en el diseo de un nuevo sistema es: A. B. C. D. impedir ms cambios a un proyecto en proceso. indicar el punto en que el diseo va a ser realizado. requerir que los cambios despus de ese punto sean evaluados por su efectividad de costos. proveer el equipo de administracin de proyectos con ms control sobre el diseo del proyecto.Comment [CV1]: En el documento original estaba como elasticidad, sin embargo el trmino correcto es resiliencia

4. Un auditor de SI que evala la resiliencia de una red de alta disponibilidad estara MS preocupado si: A. B. C. D. la disposicin del equipo est dispersa geogrficamente. los servidores de red estn agrupados (clustered) en un sitio. un hot site est listo para ser activado. se implementa un enrutamiento diverso para la red.

Comment [CV2]: En el documento original estaba como: se implementa un routing-variado (diverse-routing) para la red.

2010 ISACA. All rights reserved.

Page 1

5. Cul de los siguientes es la salvaguarda PRIMARIA para asegurar el software y los datos dentro de una instalacin de procesamiento de informacin? A. B. C. D. Concientizacin de la seguridad Leer la poltica de seguridad Comit de seguridad Controles de acceso lgico

6. Cul de los siguientes criterios es el MS importante para la seleccin de un lugar para una instalacin de almacenamiento fuera del sitio para los archivos de copias de respaldo? La instalacin fuera del sitio debe estar: A. B. C. D. fsicamente separada del centro de datos y no debe estar sujeta a los mismos riesgos. dado por el mismo nivel de proteccin que el del centro de datos de cmputo. contratado con (outsourced) un tercero de confianza. equipado con capacidades de vigilancia.

7. Cul de los siguientes mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento? A. B. C. D. Muestreo de atributos. Muestreo de variables. Media estratificada por unidad. Estimacin de la diferencia.

8. De las funciones siguientes, cul es la funcin MS importante que debe realizar la administracin de TI cuando se ha dado un servicio para realizarse por outsourcing? A. B. C. D. Asegurar que las facturas sean pagadas al proveedor Participar con el proveedor en los diseos de sistemas Renegociar los honorarios del proveedor Monitorear el desempeo del proveedor de outsourcing


Page 2

9. Cul de las siguientes estrategias de conversin de sistemas y de datos provee la MAYOR redundancia? A. B. C. D. Corte (cutover) directo Estudio piloto Mtodo por fases Corrida paralela

10. Un auditor de SI que revisa controles de base de datos descubri que los cambios a la base de datos durante horas laborables normales se manejaban a travs de un conjunto de procedimientos estndar. Sin embargo, los cambios hechos despus de horas normales requeran solamente un nmero abreviado de pasos. En esta situacin, cul de los siguientes se considerara un conjunto adecuado de controles compensatorios ? A. B. C. D. Permitir que se hagan cambios solamente con la cuenta de usuario de DBA Hacer cambios a la base de datos despus de otorgar acceso a una cuenta de usuario normal Usar la cuenta de usuario de DBA para hacer cambios, registrar los cambios y revisar el registro de cambios al da siguiente Usar la cuenta normal de usuario para hacer los cambios, registrar los cambios y revisar el registro de cambios al da siguiente

11. Cul de las siguientes es una caracterstica de un sistema de deteccin de intrusos (IDS)? A. B. C. D. Recolectar evidencias sobre intentos de ataque Identificar la debilidad en la definicin de poltica Bloquear el acceso a sitios particulares en la Internet Impedir que ciertos usuarios tengan acceso a servidores especficos

12. Durante una auditora de continuidad del negocio, un auditor de SI encontr que el plan de continuidad del negocio cubra slo los procesos crticos. El auditor de SI debe: A. B. C. D. recomendar que el plan de continuidad del negocio cubra todos los procesos del negocio evaluar el impacto de los procesos no cubiertos reportar los hallazgos al gerente de TI redefinir los procesos crticosPage 3



Page 4

13. Mientras se planifica una auditora, se debe hacer una evaluacin del riesgo para proveer: A. B. C. D. aseguramiento razonable de que la auditora cubrir puntos materiales aseguramiento definido de que los puntos materiales sern cubiertos durante el trabajo de auditora aseguramiento razonable de que todos los puntos sern cubiertos por la auditora aseguramiento suficiente de que todos los puntos sern cubiertos durante el trabajo de auditora.

14. La administracin de una organizacin ha decidido establecer un programa de concientizacin de la seguridad. Cul de los siguientes es MS probable que sea parte del programa? A. B. C. D. La utilizacin de un sistema de deteccin de intrusos para reportar accidentes. Ordenar el uso de contraseas para tener acceso a todo el software. Instalar un sistema eficiente de registro de usuarios para rastrear las acciones de cada usuario Proveer entrenamiento peridico a todos los empleados corrientes y nuevos.

15. El auditor de SI encuentra que un sistema en desarrollo tiene 12 mdulos vinculados (linked) y cada elemento de los datos puede llevar hasta 10 campos de atributos definibles. El sistema maneja varios millones de transacciones al ao. Cul de estas tcnicas podra el auditor de SI usar para estimar el tamao del esfuerzo de desarrollo? A. B. C. D. La tcnica de evaluacin y revisin de programas (PERT). Conteo de las lneas fuente del cdigo (SLOC). Anlisis del punto de funcin. Prueba de caja blanca (white box).

16. Una organizacin ha instalado recientemente un parche de seguridad, que colaps el servidor de produccin. Para minimizar la probabilidad de que esto vuelva a ocurrir, un auditor de SI debe: A. B. aplicar el parche en conformidad con las notas de publicacin del parche asegurar que est establecido un buen proceso de administracin de cambiosPage 5


C. D.

probar el parche exhaustivamente antes de enviarlo a produccin aprobar el parche despus de hacer una evaluacin del riesgo

17. Cul de las siguientes es la MEJOR forma de manejar cintas magnticas obsoletas antes de disponer de ellas? A. B. C. D. Sobrescribir las cintas Inicializar las etiquetas de cintas Desmagnetizar las cintas Borrar las cintas

18. Por cul de los siguientes hallazgos estara, un auditor de SI MS preocupado cuando realizara una auditora de copia de respaldo y recuperacin y la bveda de almacenamiento fuera del sitio? A. B. C. D. Hay tres tipos de personas que tienen una llave para entrar al rea. Los documentos en papel son tambin almacenados en la bveda fuera del sitio. Los archivos de datos que estn almacenados en la bveda estn sincronizados. La bveda fuera del sitio est ubicada en una instalacin separada.

19. Cuando se evala el efecto colectivo de los controles preventivos, de deteccin o correctivos dentro de un proceso, un auditor de SI debera estar consciente: A. B. C. D. del punto en que los controles son ejercidos como flujos de datos a travs del sistema. de que slo los controles preventivos y de deteccin son relevantes. de que los controles correctivos slo pueden ser considerados como compensatorios. de que la clasificacin permite a un auditor de SI determinar qu controles faltan.

20. Cul de las siguientes tcnicas de auditora ayudara MS a un auditor a determinar si ha habido cambios no autorizados de programa desde la ltima actualizacin autorizada de programa? A. B. C. D. Corrida de datos de prueba Revisin de los cdigos Comparacin automtica de cdigos Revisin de procedimientos de migracin de cdigosPage 6



Page 7

21. Los objetivos de control de TI son tiles para los auditores de SI, ya que ellos proveen la base para entender: A. B. C. D. el resultado deseado o el propsito de implementar procedimientos especficos de control. las mejores prcticas de control de seguridad de TI relevantes para una entidad especfica. las tcnicas para asegurar la informacin. la poltica de seguridad.

22. Cul de los siguientes es el propsito PRIMARIO para llevar a cabo una prueba paralela? A. B. C. D. Determinar si el sistema es eficiente en costos. Permitir pruebas comprensivas de unidad y de sistema Destacar los errores en las interfaces de programa con los archivos. Asegurar que el nuevo sistema satisfaga los requerimientos del usuario.

23. Una revisin de uso de red de rea amplia (WAN) descubre que el trfico en una lnea de comunicacin entre sitios, que enlaza de manera sncrona la base de datos matriz y la base de datos de reserva, hace pico al 96 por ciento de la capacidad de lnea. Un auditor de SI debe concluir que: A. B. C. D. se requiere un anlisis para determinar si surge un patrn que tiene como consecuencia una prdida de servicio por un corto perodo de tiempo. la capacidad de WAN es adecuada para las demandas mximas de trfico ya que no se ha alcanzado la saturacin. la lnea debe ser reemplazada de inmediato por una con mayor capacidad para proveer aproximadamente el 85 por ciento de saturacin. se debe instruir a los usuarios que reduzcan sus demandas de trfico o que las distribuyan a lo largo de todas las horas de servicio para hacer ms plano el consumo de ancho de banda.

24. Cul de los siguientes se anexan a archivos como una proteccin contra los virus? A. B. C. D. Bloqueadores de conducta Verificadores de redundancia cclica (CRC) Inmunizadores Monitores activos


Page 8


Page 9

25. Cul de los siguientes componentes del plan de continuidad/recuperacin de desastre provee la MAYOR garanta para la recuperacin despus de un desastre? A. B. La instalacin alterna estar disponible hasta que la instalacin original de procesamiento de informacin sea restablecida. La gerencia de usuario se involucr en la identificacin de sistemas crticos y sus tiempos de recuperacin crtica asociados y la especificacin de los procedimientos que se necesitan. Las copias del plan se guardan en los hogares del personal clave de toma de decisiones retroalimentacin es proporcionada a la gerencia garantizndole que los planes de continuidad del negocio son funcionales y que los procedimientos estn actualizados.

C. D.

26. Cul de las siguientes es la razn MS probable de por qu los sistemas de correo electrnico se han convertido en una fuente til de evidencia en litigios? A. B. C. D. Permanecen disponibles archivos de respaldo de diferentes ciclos. Los controles de acceso establecen la responsabilidad de dar cuenta de la informacin de correo electrnico. La clasificacin de datos regula qu informacin debera ser comunicada por correo electrnico. Dentro de la empresa, una poltica clara para usar el correo electrnico asegura que la evidencia est disponible.

27. Evaluando proyectos de desarrollo de aplicaciones contra el modelo de madurez de capacidad (CMM), un auditor de SI debe poder verificar que: A. B. C. D. los productos confiables estn garantizados la eficiencia de los programadores est mejorada los requerimientos de seguridad estn diseados los procesos predecibles de software son seguidos

28. Cul de lo siguiente es el elemento MS importante para la implementacin exitosa de gobierno de TI? A. B. C. D. Implementar un scorecard de TI Identificar las estrategias organizacionales Efectuar una evaluacin de riesgo Crear una poltica formal de seguridadPage 10


29. Idealmente, las pruebas de stress slo deberan llevarse a cabo en los casos siguientes: A. B. C. D. en un entorno de prueba usando datos de prueba en un entorno de produccin usando cargas de trabajo en vivo en un entorno de prueba usando cargas de trabajo en vivo en un entorno de produccin usando datos de prueba

30. Cul de los siguientes procedimientos detectara en forma MS efectiva la carga de paquetes de software ilegal a una red? A. B. C. D. El uso de estaciones de trabajo sin disco La verificacin peridica de los discos duros El uso de software antivirus actualizado Las polticas que tienen como consecuencia el despido instantneo si fueran violadas

31. Un auditor de SI descubre que los desarrolladores tienen acceso de operador a la lnea de comando de un sistema que opera un entorno de produccin. Cul de los siguientes controles mitigara MEJOR el riesgo de cambios no detectados y no autorizados de programa al entorno de produccin? A. B. Los comandos digitados en la lnea de comando son registrados Las claves hash son calculadas peridicamente para los programas y comparadas con las claves hash calculadas para las versiones autorizadas ms recientes de los programas El acceso a la lnea de comando del sistema operativo es otorgada a travs de una herramienta de restriccin de acceso con derechos preaprobados Las herramientas de desarrollo y compiladores de software han sido retiradas del entorno de produccin

C.

D.

32. Las convenciones de nomenclatura para los recursos del sistema son importantes para el control de acceso porque ellas: A. B. C. D. aseguran que los nombres de recursos no sean ambiguos. reducen el nmero de reglas requeridas para proteger adecuadamente los recursos. aseguran que el acceso de usuario a los recursos sea identificado de manera clara y nica. aseguran que se usen nombres reconocidos internacionalmente para proteger recursos.Page 11


33. Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres reasLa disposicin inicial de parmetros est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera: A. B. registrar las observaciones por separado con el impacto de cada una de ellas marcado contra cada hallazgo respectivo. advertir al gerente sobre probables riesgos sin registrar las observaciones, ya que las debilidades de control son de menor importancia. registrar las observaciones y el riesgo que surjan de las debilidades colectivas. evaluar los jefes de departamento concernidos con cada observacin y documentarlo debidamente en el reporte.

C. D.

34. Es apropiado que un auditor de SI de una compaa que est considerando hacer outsourcing de su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor? A. B. C. D. S, porque el auditor de SI evaluar la adecuacin del plan de la oficina de servicio y asistir a su compaa a implementar un plan complementario. S, porque, basado en el plan, el auditor de SI evaluar la estabilidad financiera de la oficina de servicio y su capacidad para cumplir el contrato. No, porque el respaldo a ser provisto debera ser especificado adecuadamente en el contrato. No, porque el plan de continuidad del negocio de la oficina de servicio es informacin privada.

35. Un punto de venta minorista ha introducido etiquetas de identificacin de frecuencia de radio (RFID) para crear nmeros seriales nicos para todos los productos. Cul de las siguientes es la preocupacin PRIMARIA asociada con esta iniciativa? A. B. C. D. Problemas de privacidad Que la longitud de onda pueda ser absorbida por el cuerpo humano Las etiquetas de RFID pueden no ser eliminables RFID elimina la lectura de lnea de vista


Page 12

36. Una organizacin ha contratado a un proveedor para una solucin llave en mano (turnkey solution) para su sistema electrnico de cobro de peajes (ETCS). El proveedor ha provisto su software privado de aplicacin como parte de la solucin. El contrato debera requerir que: A. B. C. D. un servidor de respaldo est disponible para ejecutar operaciones de ETCS con datos actualizados. un servidor de respaldo sea cargado con todo el software y los datos relevantes. el personal de sistemas de la organizacin sea entrenado para manejar cualquier evento. el cdigo fuente de la aplicacin de ETCS sea puesto en depsito de garanta (escrow.)

37. Un auditor de SI que revisa un sistema de cuentas por cobrar descubre que los registros de auditora no estn siendo revisados. Cuando este problema es planteado a la gerencia la respuesta es que no son necesarios controles adicionales porque estn instalados controles efectivos de acceso al sistema. La MEJOR respuesta que el auditor puede dar es: A. B. C. D. revisar la integridad de los controles de acceso al sistema. aceptar la declaracin de la gerencia de que estn instalados controles efectivos de acceso. hacer nfasis en la importancia de tener instalado un marco de control del sistema. revisar las verificaciones de antecedentes del personal de cuentas por pagar.

38. Cul de los siguientes ayudar a detectar los cambios efectuados por un intruso al registro de sistema de un servidor? A. B. C. D. Mirroring del registro de sistema en otro servidor Duplicar simultneamente el registro de sistema en un disco de escritura de una sola vez Proteger la escritura del directorio que contiene el registro de sistema Almacenar la copia de respaldo del registro de sistema fuera del sitio


Page 13

39. Una organizacin est considerando conectar a la Internet un sistema crtico basado en PC. Cul de los siguientes proveera la MEJOR proteccin contra el hacking? A. B. C. D. Gateway de nivel de aplicacin Servidor de acceso remoto Servidor proxy Escaneo de puerto

40. Cul de los siguientes mtodos de suprimir un incendio en un centro de datos es el MS efectivo y menos perjudicial para el ambiente? A. B. C. D. Gas halon Rociadores de tubera mojada Rociadores de tubera seca Gas de dixido de carbono

41. Un auditor de SI ha auditado un plan de continuidad del negocio (BCP). Cul de los siguientes hallazgos es el MS crtico? A. B. C. D. La no disponibilidad de una central telefnica (PBX) La ausencia de un respaldo para el backbone de la red La falta de sistemas de respaldo para las PCs de los usuarios La falla de sistema de tarjeta de acceso

42. El xito de la autoevaluacin de control (CSA) depende altamente de: A. B. C. D. hacer que los gerentes de lnea asuman una porcin de la responsabilidad de monitorear el control asignar a los gerentes de personal la responsabilidad de construir, pero no monitorear, los controles la implementacin de una poltica estricta de control y controles impulsados por reglas la implementacin de supervisin y el monitoreo de controles de funciones asignadas

43. En una organizacin, la responsabilidad de la seguridad de TI est claramente asignada y ejecutada y un anlisis de riesgo e impacto de la seguridad de TI es ejecutado de manera consistente. Esto representa qu nivel de clasificacin en el modelo de madurez de gobierno de seguridad de informacin? 2010 ISACA. All rights reserved. Page 14

A. B. C. D.

Optimizado Administrado Definido Repetible

44. Cul de los siguientes tipos de prueba determinara si un sistema nuevo o modificado puede operar en su ambiente objetivo sin afectar adversamente otros sistemas existentes? A. B. C. D. Prueba paralela Prueba piloto Prueba de interfaz/integracin Prueba de sociabilidad

45. La documentacin de un caso de negocio usado en un proyecto de desarrollo de TI debe ser retenida hasta: A. B. C. D. el final del ciclo de vida del sistema que el proyecto sea aprobado la aceptacin de usuario del sistema que el sistema est en produccin

46. Cul de los siguientes tipos de firewalls provee el MAYOR grado y granularidad de control? A. B. C. D. Enrutador de filtrado Filtro de paquete Gateway de aplicacin Gateway de circuito

47. Para asegurar la integridad, confidencialidad, y no repudio de mensajes entre dos partes, el mtodo MS efectivo sera crear un resumen de mensaje aplicando un algoritmo de hash criptogrfico contra: A. todo el mensaje, que cifra el resumen de mensaje (message digest) usando la clave/llave privada del remitente cifrando el mensaje con una clave/llave simtrica y cifrando la llave/clave mediante el uso de la clave/llave pblica del destinatario. cualquier parte del mensaje, cifrando el resumen de mensaje (message digest) usando la clave/llave privada del remitente, cifrando el mensajePage 15

B.


C.

D.

con una clave/llave simtrica y cifrando la clave/llave mediante el uso de la clave/llave pblica del destinatario. todo el mensaje, cifrando el resumen de mensaje message digest) usando la clave/llave privada del remitente, cifrando el mensaje con una clave/llave simtrica y cifrando la clave/llave simtrica mediante el uso de la clave/llave pblica del destinatario. todo el mensaje, cifrando el resumen de mensaje message digest)usando la clave/llave privada del remitente y cifrando el mensaje mediante el uso de la clave/llave pblica del destinatario.

48. Cul de los siguientes es un paso inicial para crear una poltica de firewall? A. B. C. D. Un anlisis costo-beneficio de mtodos para asegurar las aplicaciones La identificacin de aplicaciones de red a las que se tenga acceso desde el exterior La identificacin de vulnerabilidades asociadas con aplicaciones de red a las que se tenga acceso desde el exterior La creacin de una matriz de trfico de aplicaciones que muestre mtodos de proteccin

49. Durante una revisin de un plan de continuidad del negocio, un auditor de SI not que el punto en el cual una situacin es declarada una crisis no ha sido definido. El MAYOR riesgo asociado con esto es que: A. B. C. D. la evaluacin de la situacin puede ser demorada. la ejecucin del plan de recuperacin de desastre podra ser impactada. la notificacin de los equipos podra no ocurrir. el reconocimiento de una crisis potencial podra ser inefectivo.

50. Un mtodo de arriba abajo para el desarrollo de polticas operacionales ayudar a asegurar: A. B. C. D. que sean consistentes en toda la organizacin que sean implementadas como parte de la evaluacin del riesgo el cumplimiento de todas las polticas que sean revisadas peridicamente

51. cul de lo siguiente asegurar MEJOR el desarrollo offshore exitoso de las aplicaciones del negocio? A. Prcticas estrictas de administracin de contratosPage 16


B. C. D.

Especificaciones aplicadas en detalle y correctamente Conciencia de las diferencias culturales y polticas Revisiones posteriores a la implementacin

52. El PRIMER paso para administrar el riesgo de un ataque ciberntico es: A. B. C. D. analizar el impacto de la vulnerabilidad. evaluar la probabilidad de amenazas. identificar los activos de informacin crticos. estimar el dao potencial.

53. Cul de los siguientes acta como un seuelo para detectar ataques activos de Internet? A. B. C. D. Tarros de miel (Honey pots) Firewalls Puertas traseras (Trap/back doors) Anlisis de trfico

54. Las redes neurales son efectivas para detectar el fraude porque pueden: A. B. C. D. descubrir nuevas tendencias ya que son inherentemente lineales. resolver problemas donde conjuntos grandes y generales de datos de entrenamiento no se pueden obtener. atacar los problemas que requieren consideracin de un gran nmero de variables de input. hacer supuestos sobre la forma de cualquier curva que relacione las variables al output.

55. Cul de las siguientes sera la MAYOR preocupacin para un auditor de SI que revisa la implementacin de un VPN? Las computadoras en la red que estn ubicadas en: A. B. C. D. las instalaciones de la empresa. el lugar de respaldo de seguridad. las casas de los empleados. las oficinas remotas de la empresa.

56. Cuando desarrolla una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo una evaluacin del riesgo para asegurar que: 2010 ISACA. All rights reserved. Page 17

AREA 4ENTREGA Y SOPORTE DE

A. B. C. D.

estn establecidos los controles necesarios para mitigar los riesgos las vulnerabilidades y amenazas estn identificadas los riesgos de auditora sean considerados un anlisis de brechas sea apropiado

57. Un auditor de SI fue contratado para revisar la seguridad de un negocio electrnico (e-business). La primera tarea del auditor de SI fue examinar cada aplicacin existente de e-business en busca de vulnerabilidades. Cul sera la siguiente tarea? A. B. C. D. Reportar los riesgos al (director de sistemas) CIO y al director general (CEO) de inmediato. Examinar la aplicacin de e-business en desarrollo. Identificar las amenazas y probabilidad de que ocurran. Verificar el presupuesto disponible para la administracin de riesgos.

58. De las siguientes tcnicas de copia de respaldo, cul es la MS apropiada cuando una organizacin requiere puntos de restauracin de datos granulares, como se definen en el objetivo de punto de recuperacin (RPO)? A. B. C. D. Bibliotecas virtuales de cintas Instantneas basadas en disco Copia de respaldo continua de los datos Copia de respaldo de disco a cinta

59. Una organizacin est usando una aplicacin de administracin de recursos de empresa (ERP). De lo siguiente, cul sera un control efectivo de acceso? A. B. C. D. Permisos de nivel de usuario Basado en roles De grano fino Discrecional

60. Cuando revisa la implementacin de un sistema de VoIP en una WAN corporativa, un auditor de SI debe esperar encontrar: A. B. C. un enlace de datos de red digital de servicios integrados (ISDN). ingeniera de trfico. encripcin de datos de privacidad equivalente alambrada (WEP).Page 18


D.

terminales telefnicas anlogas.

61. Un auditor de SI que hace prueba de penetracin durante una auditora de conexiones de Internet: A. B. C. D. evaluara las configuraciones. examinara las disposiciones de seguridad. asegurara que est en uso un software de escaneo de virus. usara herramientas y tcnicas que estn disponibles para un hacker.

62. La MAYOR ventaja de usar servicios web para el intercambio de informacin entre dos sistemas es: A. B. C. D. comunicaciones seguras desempeo mejorado intercomunicacin eficiente documentacin ampliada

63. Cul de lo siguiente reduce el impacto potencial de los ataques de ingeniera social? A. B. C. D. Cumplimiento de los requisitos regulatorios Promover el entendimiento tico Programas de concientizacin de la seguridad Incentivos de desempeo efectivo

64. Qu de lo siguiente debe un auditor de SI revisar para lograr un entendimiento de la eficacia de los controles sobre la administracin de mltiples proyectos? A. B. C. D. Base de datos de proyecto Documentos de poltica Base de datos de cartera de proyectos Organizacin de programa

65. Cul de las siguientes tcnicas de auditora en lnea es MS efectiva para la deteccin temprana de errores o irregularidades? A. B. C. Mdulo integrado de auditora Prueba integrada Instantnea (snapshot)Page 19


D.

Ganchos de auditora (Audit Hooks)


Page 20

66. Durante la revisin de un proyecto de desarrollo de software basado en la web, un auditor de SI se da cuenta que las normas de codificacin no se ejecutan y que las revisiones de cdigo se llevan a cabo rara vez. Lo MS probable es que esto aumente la probabilidad de: A. B. C. D. un desborde exitoso de buffer un ataque exitoso de fuerza bruta un ataque distribuido exitoso de negacin de servicio un ataque exitoso de marcado de guerra

67. Un beneficio de la arquitectura de sistema abierto es que sta: A. B. C. D. facilita la interoperabilidad. facilita la integracin de componentes patentados. ser una base para descuentos por volumen por parte de los vendedores de equipos. permite que se logren ms economas de escala por equipo.

68. Las herramientas de filtrado de la web y del correo electrnico son PRINCIPALMENTE valiosas para una organizacin porque ellas: A B. C. D. protegen a la organizacin de virus, spam, cadenas de correo, surfing de entretenimiento y correo electrnico de entretenimiento maximizan el desempeo (performance) del empleado salvaguardan la imagen de la organizacin asisten a la organizacin en prevenir problemas legales

69. El objetivo PRIMARIO de la administracin de nivel de servicio (SLM) es: A. B. C. D. definir, acordar, registrar y administrar los niveles de servicio requeridos. asegurar que los servicios sean manejados para entregar el nivel de disponibilidad alcanzable ms alto. Mantener los costos asociados con cualquier servicio en un mnimo. Monitorear y reportar cualquier incumplimiento legal a la gerencia del Negocio.

70. Un auditor de SI que realiza una revisin de control de acceso a telecomunicacin debera estar preocupado PRIMARIAMENTE de: A. el mantenimiento de los registros de acceso de uso de diversos recursos de sistema.Page 21


B. C. D.

la autorizacin y autenticacin del usuario antes de otorgar acceso a los recursos de sistema. la proteccin adecuada de los datos almacenados en los servidores mediante encripcin u otro medio. el sistema de obligacin de rendir cuenta y la capacidad para identificar cualquier terminal que tenga acceso a los recursos del sistema.

71. Cul de las siguientes mejores prcticas de gobierno de TI mejora la alineacin estratgica? A. B. C. D. Los riesgos de proveedor y de socio estn administrados Est establecida una base de conocimientos sobre clientes, productos, mercados y procesos Se provee una estructura que facilita la creacin y se comparte informacin de negocio La alta gerencia media entre los imperativos del negocio y la tecnologa

72. A la conclusin de un proyecto de desarrollo de sistemas, una revisin posterior al proyecto debe incluir cul de lo siguiente? A. B. C. D. Determinar los riesgos que pueden conducir a tiempo improductivo despus de la liberacin en produccin Identificar las lecciones aprendidas que puedan ser aplicables a futuros proyectos Verificar que los controles en el sistema entregado estn funcionando Asegurar que se eliminen los datos de prueba

73. Un auditor de SI invitado a una reunin de proyecto de desarrollo nota que no se ha documentado ningn riesgo de proyecto. Cuando el auditor de SI plantea este problema, el gerente de proyecto responde que es demasiado temprano para identificar riesgos y que, si los riesgos comenzaran a impactar el proyecto, se contratar un administrador de riesgos. La respuesta apropiada del auditor de SI sera: A. hacer nfasis en la importancia de emplear tiempo en este punto del proyecto para considerar y documentar los riesgos, y desarrollar planes de contingencia. aceptar la posicin del gerente de proyecto ya que el gerente de proyecto es responsable del resultado del proyecto. ofrecerse para trabajar con el gerente de riesgos cuando se nombre uno. informar al gerente de proyecto que el auditor de SI llevar a cabo una revisin de los riesgos al concluirse la etapa de definicin dePage 22

B. C. D.


requerimientos del proyecto. 74. Un auditor de SI que revisa los procedimientos de control de archivo de datos de una organizacin encuentra que las transacciones se aplican a los archivos ms corrientes, mientras que los procedimientos de reinicio usan versiones anteriores. El auditor de SI debe recomendar la implementacin de: A. B. C. D. retencin de documentacin fuente seguridad de archivo de datos control de uso de versin verificacin uno por uno

75. Durante una auditora de un sistema de telecomunicaciones, el auditor de SI encuentra que el riesgo de interceptar los datos transmitidos hacia y desde lugares remotos es muy alto. El control MS efectivo para reducir esta exposicin es: A. B. C. D. encripcin. mdems de rellamada. autenticacin de mensaje. lneas dedicadas arrendadas.

76. Un auditor de SI encuentra que las salas de conferencia tienen puertos de red activos. De lo siguiente, qu es MS importante asegurar? A. B. C. D. Que la red corporativa est usando un sistema de prevencin de intrusos (IPS) Que esta parte de la red est aislada de la red corporativa Que se haya implementado single sign-on en la red corporativa Que haya instalado un software antivirus para proteger la red corporativa

77. Cul de los siguientes representa el MAYOR riesgo creado por un contrato recproco para recuperacin de desastres celebrado entre dos compaas? A. B. C. D. Los desarrollos pueden tener como consecuencia la incompatibilidad del hardware y del software. Es posible que los recursos no estn disponibles cuando se necesiten El plan de recuperacin no puede ser probado La infraestructura de seguridad de cada compaa es posible que sea diferente


Page 23

78. Un ataque basado en Internet que usa sniffing de contrasea puede: A. B. C. D. permitir a una parte actuar como si fuera otra parte. causar la modificacin del contenido de ciertas transacciones. ser usado para ganar acceso a sistemas que contienen informacin privada. tener como consecuencia grandes problemas con los sistemas de facturacin y los contratos de procesamiento de transacciones.

79. Cules de los siguientes controles podra un auditor de sistemas buscar en un ambiente donde las obligaciones no sean apropiadamente segregadas? A. B. C. D. Controles sobrelapados Controles limitados Controles de acceso Controles compensados

80. Cul de las siguientes es una preocupacin cuando los datos son transmitidos a travs de una encripcin segura de capa de socket (SSL) implementada en el servidor de un socio comercial? A. B. C. D. La organizacin no tiene control sobre la encripcin. Los mensajes estn sujetos a interceptacin de lneas telefnicas (wire tapping). Los datos podran no llegar al destinatario pretendido. La comunicacin puede no ser segura.

81. Una organizacin actualmente usando copias de respaldo de cinta toma una copia de respaldo completa semanalmente y copias de respaldo incrementales diariamente. Ellos recientemente aumentaron sus procedimientos de copia de respaldo de cinta con una solucin respaldo a disco. Esto es apropiado porque: A. B. C. D. las copias de respaldo sintticas rpidas para almacenamiento fuera de las instalaciones estn soportadas. la copia de respaldo a disco siempre es significativamente ms rpida que la copia de respaldo a cinta las bibliotecas de cinta ya no se necesitan el almacenamiento de datos en discos es ms confiable que en cintas


Page 24

82. Un sistema de aplicacin de negocio tiene acceso a una base de datos corporativa usando una sola identificacin y contrasea integrada en un programa. Cul de lo siguiente proveera un control eficiente de acceso sobre los datos de la organizacin? A. B. C. D. Introducir un mtodo secundario de autenticacin como por ejemplo card swipe Aplicar permisos basados en roles dentro del sistema de aplicacin Hacer que los usuarios introduzcan el ID y la contrasea para cada transaccin de base de datos. Fijar un perodo de expiracin para la contrasea de base de datos integrada en el programa

83. Cul de los siguientes tendra la MAS ALTA prioridad en un plan de continuidad del negocio (BCP)? A. B. C. D. Retomar los procesos crticos Recuperar los procesos sensitivos Restaurar el sitio Reubicar las operaciones en un sitio alternativo.

84. Una compaa ha decidido implementar un esquema de firma electrnica basado en infraestructura de llave pblica. La llave privada del usuario ser almacenada en el disco duro de la computadora y protegida por una contrasea. El riesgo MS significativo de este mtodo es: A. B. C. D. la suplantacin de un usuario mediante la sustitucin de la llave pblica del usuario con la llave pblica de otra persona. falsificacin usando la llave privada de otro usuario para firmar un mensaje con una firma electrnica. el uso de la firma electrnica del usuario por otra persona si la contrasea est comprometida. falsificacin mediante la sustitucin de la llave privada de otra persona en la computadora.

85. Un auditor de SI not que una organizacin tena planes de continuidad del negocio adecuados para cada proceso individual, pero ningn plan comprensivo de continuidad del negocio. Cul sera el MEJOR curso de accin para el auditor de SI? 2010 ISACA. All rights reserved. Page 25

A. B. C. D.

Recomendar que se desarrolle un plan adicional comprensivo de continuidad del negocio Determinar si los planes de continuidad del negocio son consistentes Aceptar los planes de continuidad del negocio como estn escritos Recomendar la creacin de un solo plan de continuidad del negocio

86. Para proteger una infraestructura de VoIP contra un ataque de negacin de servicio (DoS), lo MS importante es asegurar: A. B. C. D. servidores de control de acceso controladores de lmite de sesin gateways de backbone sistema de deteccin de intrusos (IDS)

87. Un servidor web es atacado y comprometido. Cul de lo siguiente debe realizarse PRIMERO para manejar el incidente? A. B. C. D. Depositar los datos de almacenamiento voltil a un disco Correr el servidor en un modo a prueba de fallas Desconectar el servidor web de la red Cerrar el servidor web

88. Cuando se desarrolla un plan de continuidad del negocio, cul de las siguientes herramientas se deben usar para lograr un entendimiento de los procesos de negocio de una organizacin? A. B. C. D. Auto auditora de continuidad del negocio Anlisis de recuperacin de recursos Evaluacin del riesgo Anlisis de brecha

89. Cul de lo siguiente sera considerado por un auditor de SI como una debilidad, cuando realiza una auditora de una organizacin que usa una infraestructura de llave pblica con certificados digitales para sus transacciones de negocio-aconsumidor a travs de la Internet? A. B. Los clientes estn ampliamente dispersos geogrficamente, pero no las autoridades certificadoras (CA). Los clientes pueden hacer sus transacciones desde cualquier computadora o dispositivo mvil


Page 26

C. D.

La autoridad certificadora tiene varios subcentros de procesamiento de datos para administrar los certificados. La organizacin es la propietaria de la Autoridad Certificadora (CA).


Page 27

90. El rol de la CA (autoridad de certificacin) como tercero es: A. B. C. D. proveer comunicacin y servicios de red seguros basados en certificados alojar un repositorio de certificados con las correspondientes llaves/claves pblicas y secretas emitidas por esa CA. actuar como un intermediario de confianza entre dos socios de comunicacin confirmar la identidad de la entidad que es propietaria de un certificado emitido por esa CA.

91. Un auditor de SI que revisa la seguridad de red inalmbrica determina que el Protocolo de Configuracin de Anfitrin Dinmico (DHCP) est inhabilitado en todos los puntos inalmbricos de acceso. Esta prctica: A. B. C. D. reduce el riesgo de acceso no autorizado a la red no es adecuada para las redes pequeas provee automticamente una direccin IP a cualquiera aumenta los riesgos asociados con el Protocolo Inalmbrico de Encripcin (WEP).

92. El objetivo PRIMARIO de probar un plan de continuidad del negocio es: A. B. C. D. familiarizar a los empleados con el plan de continuidad del negocio asegurar que todos los riesgos residuales sean resueltos ejercer todos los posible escenarios de desastre identificar las limitaciones del plan de continuidad de desastre

93. Qu mtodo podra un auditor de SI utilizar para probar la seguridad inalmbrica en las sucursales? A. B. C. D. War dialing Ingeniera social. War driving. Forzar las contraseas (Password cracking)

94. La confidencialidad de los datos transmitidos en una red de rea local inalmbrica (LAN) est MEJOR protegida si la sesin est: A. restringida a direcciones predefinidas de Control de Acceso a Medios (MAC)Page 28


B. C. D.

encriptada usando llaves estticas encriptada usando llaves dinmicas iniciada a partir de dispositivos que tienen almacenamiento encriptado.

95. Los ataques distribuidos de negacin de servicio (DDos) en los sitios de Internet son tpicamente evocados por los hackers que usan qu de lo siguiente: A. B. C. D. bombas lgicas phishing spyware caballos de Troya

96. Cul de las siguientes tcnicas antispam de filtrado prevendran MEJOR un mensaje de e-mail vlido de longitud variable que contenga una palabra clave de spam muy pesada de ser etiquetada como spam? A. B. C. D. Heurstica (basada en regla) Basada en firma Que coincida con patrn Bayesiana (estadstica)

97. En la determinacion del periodo de tiempo aceptable por la reanudacion de proceso criticos de negocio: A. B. C. D. Unicamente los costos de tiempo de cada necesitan ser considerados Recuperar la operacin debera ser analizado Deberian ser evaluados los costos de tiempo de cada y los costos de recuperacin Los costos de tiempo de cada indirectos deberan ser ignorados

98. Una organizacin tiene una mezcla de puntos de acceso que no pueden ser ampliados a seguridad ms fuerte y puntos de acceso ms nuevos que tienen seguridad inalmbrica avanzada. Un auditor de SI recomienda reemplazar los puntos de acceso que no pueden ser actualizados. Cul de lo siguiente justificara MEJOR la recomendacin del auditor de SI? A. B. Los nuevos puntos de acceso con seguridad ms fuerte son econmicamente accesibles Los viejos puntos de acceso son ms deficientes en trminos de desempeo


Page 29

C. D.

La seguridad de la organizacin sera tan fuerte como sus puntos ms dbiles Los nuevos puntos de acceso son ms fciles de manejar.


Page 30

99. Desde una perspectiva de control, el objetivo PRIMARIO de clasificar los activos de informacin es: A. B. C. D. establecer lineamientos para el nivel de controles de acceso que debe ser asignado asegurar que los controles de acceso sean asignados a todos los activos de informacin asistir a la gerencia y a los auditores en la evaluacin del riesgo identificar qu activos necesitan ser asegurados contra prdidas

100. Cul de las siguientes biomtricas tiene la mayor confiabilidad y la tasa de falsa aceptacin ms baja (FAR)? A. B. C. D. Escaneo de palma Reconocimiento de rostro Escaneo de retina Geometra de la mano


Page 31

Documents

64302442 Spanish CISA Sample Exam Scrambled