¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Certificación CISA Preguntas Prácticas y Pruebas Simuladas, Auditor Certificado de Sistemas de Información | SPOTO

Elevar su preparación para la certificación CISA con preguntas de la práctica integral de SPOTO y pruebas simuladas. Nuestros materiales meticulosamente elaborados cubren una amplia gama de temas, incluyendo preguntas de muestra, preguntas de examen en línea y exámenes de prueba completos, asegurando que estés completamente preparado para la prueba real. Identifique las lagunas de conocimiento y refuerce los conceptos clave mediante explicaciones detalladas y análisis de rendimiento. Acceder a materiales de examen actualizados con regularidad, incluidos los volcados de pruebas gratuitos y las preguntas y respuestas de examen, para mantenerse alineado con los objetivos más recientes. Simule el entorno de examen real con nuestro simulador de examen realista, que incluye pruebas de práctica cronometradas. Desbloquee su potencial de auditoría y logre el éxito en la certificación con los comprobados recursos de práctica CISA de SPOTO.
Realizar otros exámenes en línea

Cuestionar #1
El administrador de una red de área local (LAN) normalmente no puede:
A. tener responsabilidades de usuario final
B. informar al responsable del usuario final
C. tener responsabilidades de programación
D. ser responsable de la administración de la seguridad de la LAN
Ver respuesta
Respuesta correcta: B
Cuestionar #2
¿Cuál es el primer paso para crear una política de cortafuegos adecuada?
A. Asignación de acceso a los usuarios según el principio del menor privilegio
B. Determinación del hardware y software de cortafuegos adecuados
C. Identificar aplicaciones de red como servidores de correo, web o FTP
D. Configurar reglas de acceso al firewall
Ver respuesta
Respuesta correcta: B
Cuestionar #3
Un auditor de SI debe esperar que la responsabilidad de autorizar los derechos de acceso a los datos y sistemas de producción se confíe al:
A. propietarios de procesos
B. administradores de sistemas
C. administrador de seguridad
D. propietarios de los datos
Ver respuesta
Respuesta correcta: B
Cuestionar #4
¿Cuál de los siguientes puntos debe incluirse en la política de seguridad de la SI de una organización?
A. Una lista de los principales recursos informáticos que deben protegerse
B. Base de la autorización de acceso
C. Identidad de los elementos de seguridad sensibles
D. Funciones de seguridad del software pertinentes
Ver respuesta
Respuesta correcta: A
Cuestionar #5
¿Qué esperaría encontrar un auditor IS en el registro de la consola?
A. Pruebas de falsificación de contraseñas
B. Errores del sistema
C. Pruebas de las actividades de copia de datos
D. Pruebas de uso compartido de contraseñas
Ver respuesta
Respuesta correcta: A
Cuestionar #6
Un auditor de SI que revise una nueva aplicación para comprobar el cumplimiento de los principios de privacidad de la información es el que MÁS debe preocuparse:
A. no repudio
B. limitación de la recaudación
C. disponibilidad
D. concienciación
Ver respuesta
Respuesta correcta: B
Cuestionar #7
En el proceso de evaluación de los controles de cambio de programa, un auditor de SI utilizaría software de comparación de código fuente para:
A. examinar los cambios del programa fuente sin información del personal de SI
B. detectar un cambio en el programa fuente realizado entre la adquisición de una copia de la fuente y la ejecución de comparación
C. confirmar que la copia de control es la versión actual del programa de producción
D. garantizar que se detecten todos los cambios realizados en la copia de origen actual
Ver respuesta
Respuesta correcta: A
Cuestionar #8
¿Cuál de las siguientes opciones es la MEJOR para restringir a los usuarios a las funciones necesarias para el desempeño de sus funciones?
A. Control de acceso a nivel de aplicación
B. Cifrado de datos
C. Desactivación de las disqueteras
D. Dispositivo de supervisión de red
Ver respuesta
Respuesta correcta: D
Cuestionar #9
Una empresa utiliza un banco para procesar su nómina semanal. Las hojas de asistencia y los formularios de ajuste de la nómina (por ejemplo, cambios en la tarifa horaria, despidos) se cumplimentan y entregan al banco, que prepara los cheques y los informes para su distribución. Para BEST garantizar la exactitud de los datos de la nómina:
A. los informes de nóminas deben compararse con los formularios de entradA
B. la nómina bruta debe recalcularse manualmente
C. los cheques deben compararse con los formularios de entradA
D. los cheques (talones) deben conciliarse con los informes de salidA
Ver respuesta
Respuesta correcta: C
Cuestionar #10
¿Cuál de las siguientes opciones reduce el impacto potencial de los ataques de ingeniería social?
A. Cumplimiento de los requisitos reglamentarios
B. Promover la comprensión ética
C. Programas de concienciación sobre seguridad
D.
E.
Ver respuesta
Respuesta correcta: C
Cuestionar #11
Un auditor de SI está llevando a cabo una revisión previa a la implantación para determinar si un nuevo sistema está listo para la producción. La preocupación PRIMARIA del auditor debe ser si:
A. el proyecto se ajustó al presupuesto y al plazo previsto
B. los usuarios participaron en las pruebas de garantía de calidad (GC)
C. hay elementos de alto riesgo sin resolver
D. se ha demostrado la obtención de beneficios
Ver respuesta
Respuesta correcta: C
Cuestionar #12
Durante una auditoría de seguridad, un auditor de SI tiene la tarea de revisar las entradas de registro obtenidas de un sistema de prevención de intrusiones (IPS) de la empresa. Qué tipo de riesgo se asociaría con la posibilidad de que el auditor pasara por alto una secuencia de eventos registrados que podrían indicar un error en la configuración del IPS?
A. Riesgo inherente
B. Riesgo de muestreo
C. Riesgo de control
D. Riesgo de detección
Ver respuesta
Respuesta correcta: D
Cuestionar #13
El departamento de recursos humanos (RRHH) ha desarrollado un sistema que permite a los empleados inscribirse en las prestaciones a través de un sitio web en la Intranet corporativa. ¿Cuál de las siguientes medidas protegería la confidencialidad de los datos?
A. Cifrado SSL
B. Autenticación de dos factores
C. Cookies de sesión cifradas
D. Verificación de la dirección IP
Ver respuesta
Respuesta correcta: A
Cuestionar #14
La explicación MÁS probable del éxito de un ataque de ingeniería social es:
A. que los ordenadores cometen errores lógicos
B. que las personas cometen errores de juicio
C. los conocimientos informáticos de los atacantes
D. la sofisticación tecnológica del método de ataque
Ver respuesta
Respuesta correcta: A
Cuestionar #15
¿Cuál de las siguientes opciones reduciría MÁS eficazmente los incidentes de ingeniería social?
A. Formación sobre sensibilización en materia de seguridad
B. aumento de las medidas de seguridad física
C. Política de control del correo electrónico
D. sistemas de detección de intrusos
Ver respuesta
Respuesta correcta: B
Cuestionar #16
Un auditor de SI que examine la configuración de un sistema operativo para verificar los controles debe revisar los: registros de transacciones.
A.
B.
C.
Ver respuesta
Respuesta correcta: C
Cuestionar #17
La dirección de SI de una empresa multinacional está considerando actualizar su red privada virtual (VPN) existente para soportar comunicaciones de voz sobre IP (VoIP) mediante tunelización. ¿Cuál de las siguientes consideraciones debería tenerse en cuenta PRIMARIAMENTE?
A. Fiabilidad y calidad del servicio (QoS)
B. Medios de autenticación
C. Privacidad de las transmisiones de voz
D. Confidencialidad de las transmisiones de datos
Ver respuesta
Respuesta correcta: B
Cuestionar #18
Un administrador de base de datos ha detectado un problema de rendimiento con algunas tablas que podría solucionarse mediante la desnormalización. Esta situación aumentará el riesgo de:
A. acceso concurrente
B. bloqueos
C. acceso no autorizado a los datos
D. una pérdida de integridad de los datos
Ver respuesta
Respuesta correcta: B
Cuestionar #19
Un auditor de SI emite un informe de auditoría en el que señala la falta de funciones de protección de cortafuegos en la puerta de enlace de la red perimetral y recomienda un producto de un proveedor para solucionar esta vulnerabilidad. El auditor de SI no ha realizado el ejercicio:
A. independencia profesional
B. independencia organizativA
C. competencia técnicA
D. competencia profesional
Ver respuesta
Respuesta correcta: B
Cuestionar #20
¿Cuál de las siguientes opciones es la MEJOR prueba de que la carga por lotes se ha realizado correctamente?
A. Firma del diario de lote
B. Utilización de los controles de secuencia
C. Cumplimiento de los tiempos de corte de los lotes
D. Revisión de los registros de procesos
Ver respuesta
Respuesta correcta: B
Cuestionar #21
Un auditor IS está realizando una revisión de la seguridad de la red de una empresa de telecomunicaciones que proporciona servicios de conexión a Internet a centros comerciales para sus clientes inalámbricos. La empresa utiliza tecnología Wireless Transport Layer Security (WTLS) y Secure Sockets Layer (SSL) para proteger la información de pago de sus clientes. El auditor de SI debería estar MÁS preocupado si un pirata informático:
A. compromete la pasarela del Protocolo de Aplicación Inalámbrica (WAP)
B. instala un programa de sniffing frente al servidor
C. roba la PDA de un cliente
D. escucha la transmisión inalámbricA
Ver respuesta
Respuesta correcta: D
Cuestionar #22
Cuando un empleado es despedido del servicio, la acción MÁS importante es:
A. entregar todos los expedientes del empleado a otro empleado designado
B. completar una copia de seguridad del trabajo del empleado
C. notificar el cese a los demás empleados
D. deshabilitar el acceso lógico del empleado
Ver respuesta
Respuesta correcta: A
Cuestionar #23
Al revisar la lista de productos de software aprobados de una organización, ¿cuál de las siguientes opciones es la MÁS importante que hay que verificar?
A. Los riesgos asociados al uso de los productos se evalúan periódicamente
B. Para cada producto se indica la última versión del software
C. Debido a problemas de licencias, la lista no incluye software de código abierto
D. Se ofrece asistencia fuera del horario laboral
Ver respuesta
Respuesta correcta: A
Cuestionar #24
¿Cuál de las siguientes opciones describe MEJOR la función de un servidor de directorio en una infraestructura de clave pública (PKI)?
A. Cifra la información transmitida por la red
B. Pone a disposición de las aplicaciones los certificados de otros usuarios
C. Facilita la aplicación de una política de contraseñas
D. Almacena listas de revocación de certificados (CRL)
Ver respuesta
Respuesta correcta: C
Cuestionar #25
Una empresa exige que se aprueben todas las solicitudes de cambio de programa (PCR) y que todas las modificaciones se registren automáticamente. ¿Cuál de los siguientes procedimientos de auditoría IS determinará MEJOR si se han realizado cambios no autorizados en los programas de producción?
A. Revisar una muestra de PCRs para su correcta aprobación a lo largo del proceso de cambio de programA
B. Rastree una muestra de cambios del programa desde el registro hasta los formularios PCR cumplimentados
C. Utilizar software de comparación de código fuente para determinar si se han realizado cambios en una muestra de programas desde la última fecha de auditoríA
D. Rastrear una muestra de formularios PCR completos hasta el registro de todos los cambios del programA
Ver respuesta
Respuesta correcta: C
Cuestionar #26
Durante la fase de definición de requisitos para una aplicación de base de datos, el rendimiento figura como una de las principales prioridades. Para acceder a los archivos del SGBD, ¿cuál de las siguientes tecnologías debería recomendarse para un rendimiento óptimo de E/S?
A. Red de área de almacenamiento (SAN)
B. Almacenamiento conectado a red (NAS)
C. Sistema de archivos de red (NFS v2)
D. Sistema Común de Archivos de Internet (CIFS)
Ver respuesta
Respuesta correcta: C
Cuestionar #27
¿Cuál de los siguientes presenta un riesgo inherente sin controles preventivos identificables?
A. A cuestas
B. Virus
C. Manipulación de datos
D. Apagado no autorizado de la aplicación
Ver respuesta
Respuesta correcta: A
Cuestionar #28
Al revisar los procedimientos para cambios de emergencia en los programas, el auditor de SI debe verificar que los procedimientos:
A. permitir cambios, que se completarán mediante un seguimiento a posteriori
B. permitir cambios no documentados directamente en la biblioteca de producción
C. no permitir cambios de emergenciA
D. permitir a los programadores el acceso permanente a los programas de producción
Ver respuesta
Respuesta correcta: D
Cuestionar #29
Para garantizar el cumplimiento de una política de seguridad que exige que las contraseñas sean una combinación de letras y números, un auditor de SI debe recomendar que:
A. que se cambie la política de la empresA
B. las contraseñas se cambian periódicamente
C. utilizar una herramienta automatizada de gestión de contraseñas
D. se imparte formación sobre concienciación en materia de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #30
Un auditor de SI está llevando a cabo una revisión posterior a la implantación de un sistema implantado hace dos años. ¿Cuál de los siguientes hallazgos debería preocupar MÁS al auditor?
A. Los costes de mantenimiento no se incluyeron en los costes del ciclo de vida del proyecto
B. No se han obtenido los beneficios previstos en el estudio de viabilidad
C. Las soluciones a los defectos restantes han tenido que utilizarse durante más tiempo del previsto
D. El sistema ha sido objeto de varias solicitudes de cambio para ampliar su funcionalidad
Ver respuesta
Respuesta correcta: B
Cuestionar #31
Durante una revisión posterior a la implantación de un sistema de gestión de recursos empresariales, lo MÁS probable es que un auditor de SI:
A. revisar la configuración del control de acceso
B. evaluar las pruebas de interfaz
C. revisar la documentación detallada del diseño
D. evaluar las pruebas del sistemA
Ver respuesta
Respuesta correcta: C
Cuestionar #32
D.
A.
Ver respuesta
Respuesta correcta: D
Cuestionar #33
Sam es el responsable de seguridad de un instituto financiero. La alta dirección le ha pedido que realice un análisis de riesgos de todas las vulnerabilidades críticas notificadas por un auditor de SI. Después de completar el análisis de riesgos, Sam ha observado que para algunos de los riesgos, el análisis coste-beneficio muestra que el coste de mitigación del riesgo (contramedidas, controles o salvaguarda) es superior a las pérdidas potenciales en las que se podría incurrir. ¿Qué tipo de estrategia debería recomendar Sam a la alta dirección para tratar estos riesgos?
A. Mitigación de riesgos
B. Aceptación del riesgo
C. Evitar riesgos
D. Transferencia de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #34
Una política de seguridad de la información que establezca que "la visualización de contraseñas debe enmascararse o suprimirse", ¿a cuál de los siguientes métodos de ataque se refiere?
A. A cuestas
B. Buceo en contenedores
C. Surf de hombro
D. Suplantación de identidad
Ver respuesta
Respuesta correcta: D
Cuestionar #35
¿Cuál de las siguientes opciones es la MÁS importante para un auditor de SI a la hora de evaluar la eficacia del proceso de respuesta a incidentes de una organización?
A. Acciones anteriores de respuesta a incidentes
B. Experiencia y cualificación del personal de respuesta a incidentes
C. Resultados de las pruebas de gestión de los procedimientos de respuesta a incidentes
D. Funciones y responsabilidades en la respuesta a incidentes
Ver respuesta
Respuesta correcta: C
Cuestionar #36
Una red privada virtual (VPN) garantiza la confidencialidad de los datos:
A. Capa de sockets seguros (SSL)
B. Túnel
C. Firmas digitales
D. Phishing
Ver respuesta
Respuesta correcta: B
Cuestionar #37
¿Cuál de las siguientes opciones controlaría MÁS eficazmente el uso de dispositivos de almacenamiento de bus de almacenamiento universal (USB)?
A. Políticas que exigen el despido inmediato si se encuentran tales dispositivos
B. Software de seguimiento y gestión de dispositivos de almacenamiento USB
C. Deshabilitar administrativamente el puerto USB
D. Registro del personal en busca de dispositivos de almacenamiento USB a la entrada de las instalaciones
Ver respuesta
Respuesta correcta: A
Cuestionar #38
El objetivo PRIMARIO de la gestión del nivel de servicio (GTS) es:
A. definir, acordar, registrar y gestionar los niveles de servicio requeridos
B. garantizar que los servicios se gestionan para ofrecer el máximo nivel de disponibilidad posible
C. mantener al mínimo los costes asociados a cualquier servicio
D. controlar e informar a la dirección de la empresa de cualquier incumplimiento legal
Ver respuesta
Respuesta correcta: A
Cuestionar #39
¿Cuál de los siguientes procedimientos detectaría MÁS eficazmente la carga de paquetes de software ilegales en una red?
A. El uso de estaciones de trabajo sin disco
B. Comprobación periódica de los discos duros
C. El uso de software antivirus actual
D. políticas que conllevan el despido inmediato en caso de infracción
Ver respuesta
Respuesta correcta: B
Cuestionar #40
Al realizar una revisión de la gestión de incidentes de seguridad, un auditor de SI descubrió que no existen procesos de escalado definidos. Todos los incidentes son gestionados por la mesa de servicio. ¿Cuál de las siguientes debería ser la principal preocupación del auditor?
A. Uso ineficaz de los recursos del servicio de asistencia
B. Ausencia de incidentes de alto impacto por parte de la dirección
C. Retrasos en la resolución de incidencias de baja prioridad
D. Incapacidad de la dirección para hacer un seguimiento de la resolución de incidentes
Ver respuesta
Respuesta correcta: B
Cuestionar #41
¿Cuál de los siguientes controles detectará MÁS eficazmente la presencia de ráfagas de errores en las transmisiones de red?
A. Comprobación de paridad
B. Comprobación de eco
C. Comprobación de la suma en bloque
D. Comprobación de redundancia cíclica
Ver respuesta
Respuesta correcta: D
Cuestionar #42
Una organización está implantando un nuevo sistema para sustituir a un sistema heredado. ¿Cuál de las siguientes prácticas de conversión crea el MAYOR riesgo?
A. Piloto
B. En paralelo
C. Corte directo
D. Por fases
Ver respuesta
Respuesta correcta: D
Cuestionar #43
¿Cuál de las siguientes opciones evitaría cambios no autorizados en la información almacenada en el registro de un servidor?
A. Proteger contra escritura el directorio que contiene el registro del sistema
B. Escribir un registro duplicado en otro servidor
C. Impresión diaria del registro del sistema
D. Almacenar el registro del sistema en un medio de solo escritura
Ver respuesta
Respuesta correcta: B
Cuestionar #44
El objetivo PRIMARIO de una revisión de control de acceso lógico es:
A. revisar los controles de acceso proporcionados a través del software
B. garantizar que el acceso se concede de acuerdo con las autoridades de la organización
C. recorrer y evaluar el acceso proporcionado en el entorno informático
D. ofrecer garantías de que los equipos informáticos están adecuadamente protegidos contra los abusos
Ver respuesta
Respuesta correcta: A
Cuestionar #45
¿Cuál de las siguientes opciones es la MÁS adecuada para la auditoría continua?
A. Operaciones manuales
B. Transacciones irregulares
C. Transacciones de escaso valor
D. Transacciones en tiempo real
Ver respuesta
Respuesta correcta: D
Cuestionar #46
¿Cuál de las siguientes es la MEJOR manera de satisfacer una autenticación de usuario de dos factores?
A. Una tarjeta inteligente que requiere el PIN del usuario
B. ID de usuario y contraseña
C. Escaneado del iris más escaneado de huellas dactilares
D. Una tarjeta magnética que requiere el PIN del usuario
Ver respuesta
Respuesta correcta: A
Cuestionar #47
Durante una auditoría del proceso de gestión de incidentes de una organización, un auditor de SI se entera de que el equipo de operaciones de seguridad incluye informes detallados de ataques recientes en sus comunicaciones a los empleados. ¿Cuál de las siguientes es la MAYOR preocupación en esta situación?
A. Los empleados pueden no comprender la gravedad de las amenazas
B. Los informes pueden ser demasiado complejos para un público no técnico
C. Los empleados pueden hacer un uso indebido de la información contenida en los informes
D. No existe un procedimiento documentado para comunicar los informes
Ver respuesta
Respuesta correcta: C
Cuestionar #48
Para garantizar la autenticación, confidencialidad e integridad de un mensaje, el remitente debe cifrar el hash del mensaje con el del remitente:
A. clave pública y, a continuación, cifrar el mensaje con la clave privada del receptor
B. clave privada y, a continuación, cifrar el mensaje con la clave pública del receptor
C. clave pública y, a continuación, cifrar el mensaje con la clave pública del receptor
D. clave privada y, a continuación, cifrar el mensaje con la clave privada del receptor
Ver respuesta
Respuesta correcta: A
Cuestionar #49
Al realizar una prueba de penetración en la red interna de una organización, ¿cuál de los siguientes enfoques es el MEJOR para que el autor de la prueba no sea detectado en la red?
A. Utilice la dirección IP de un servidor de archivos o controlador de dominio existente
B. Ponga en pausa la exploración cada pocos minutos para permitir que se restablezcan los umbrales
C. Realice los escaneos durante las horas de la noche, cuando nadie esté conectado
D. Utilizar varias herramientas de escaneado, ya que cada una tiene características diferentes
Ver respuesta
Respuesta correcta: B
Cuestionar #50
¿Cuál de las siguientes opciones garantiza MEJOR la integridad del sistema operativo de un servidor?
A. Proteger el servidor en un lugar seguro
B. Establecer una contraseña de arranque
C. Endurecimiento de la configuración del servidor
D. Implementar el registro de actividades
Ver respuesta
Respuesta correcta: A
Cuestionar #51
¿Cuál de los siguientes informes debe utilizar un auditor de SI para comprobar el cumplimiento de un requisito de acuerdos de nivel de servicio (SLA) para el tiempo de actividad?
A. Informes de utilización
B. Informes de errores de hardware
C. Registros del sistema
D. Informes de disponibilidad
Ver respuesta
Respuesta correcta: D
Cuestionar #52
A la hora de desarrollar un programa formal de seguridad empresarial, el factor de éxito (CSF) MÁS crítico sería el:
A. creación de una junta de revisión
B. creación de una unidad de seguridad
C. apoyo efectivo de un patrocinador ejecutivo
D. selección de un propietario del proceso de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #53
¿Qué topología proporciona la mayor redundancia de rutas y la mayor tolerancia a fallos de la red?
A. Una topología de red en estrella
B. Una topología de red en malla con reenvío de paquetes habilitado en cada host
C. Topología de una red de autobuses
D. Una topología de red en anillo
Ver respuesta
Respuesta correcta: B
Cuestionar #54
Un auditor de SI está llevando a cabo una revisión de las políticas de TI de una organización sanitaria para el manejo de historiales médicos. ¿Cuál de los siguientes puntos es MÁS importante verificar?
A. Existe un proceso documentado de aprobación de políticas
B. Las normas de redacción de las políticas son coherentes
C. Las políticas cumplen los requisitos reglamentarios
D. El personal informático recibe formación continua sobre políticas
Ver respuesta
Respuesta correcta: C
Cuestionar #55
Al utilizar una instalación de pruebas integrada (ITF), el auditor de SI debe asegurarse de que:
A. los datos de producción se utilizan para las pruebas
B. los datos de prueba se aíslan de los datos de producción
C. se utiliza un generador de datos de pruebA
D. los ficheros maestros se actualizan con los datos de pruebA
Ver respuesta
Respuesta correcta: D
Cuestionar #56
Una ventaja de la calidad de servicio (QoS) es que la:
A. la disponibilidad y el rendimiento de toda la red mejorarán considerablemente
B. el operador de telecomunicaciones proporcionará a la empresa informes precisos sobre el cumplimiento del nivel de servicio
C. las aplicaciones participantes tendrán niveles de servicio garantizados
D. el enlace de comunicaciones estará respaldado por controles de seguridad para realizar transacciones en línea seguras
Ver respuesta
Respuesta correcta: B
Cuestionar #57
Cuando existen problemas de separación de funciones entre el personal de soporte informático y los usuarios finales, ¿cuál sería el control compensatorio adecuado? C.
A. Restricción del acceso físico a los equipos informáticos
B. Revisión de los registros de transacciones y aplicaciones Comprobación de los antecedentes antes de contratar personal informático
C.
Ver respuesta
Respuesta correcta: D
Cuestionar #58
Un auditor de SI descubre que las solicitudes de los clientes se procesaban varias veces cuando se recibían de diferentes bases de datos departamentales independientes, que se sincronizan semanalmente. ¿Cuál sería la MEJOR recomendación?
A. aumentar la frecuencia de replicación de datos entre los sistemas de los distintos departamentos para garantizar actualizaciones puntuales
B. Centralizar toda la tramitación de solicitudes en un departamento para evitar la tramitación paralela de la misma solicitud
C. Cambiar la arquitectura de la aplicación para que los datos comunes se mantengan en una sola base de datos compartida para todos los departamentos
D. implantar controles de conciliación para detectar duplicados antes de que los pedidos se procesen en los sistemas
Ver respuesta
Respuesta correcta: A
Cuestionar #59
¿Cuál de los siguientes aspectos debe determinar PRIMERO un auditor de SI al evaluar el hardware adicional necesario para respaldar la adquisición de un nuevo sistema contable?
A. Se ha desarrollado un programa de formación para apoyar el nuevo sistema contable
B. El proveedor tiene experiencia en el soporte de sistemas contables
C. El hardware especificado se ajustará a la estrategia informática actual
D. El hardware se instalará en una zona segura y ambientalmente controladA
Ver respuesta
Respuesta correcta: C
Cuestionar #60
¿Cuál de los siguientes es el factor determinante MÁS importante a la hora de establecer plazos adecuados para las actividades de seguimiento relacionadas con los resultados de auditoría?
A. Periodos de máxima actividad de la empresa
B. Fechas de corrección incluidas en las respuestas de la dirección
C. Disponibilidad de recursos de auditoría de SI
D. Complejidad de los procesos empresariales identificados en la auditoría
Ver respuesta
Respuesta correcta: D
Cuestionar #61
Una empresa ha decidido implantar un sistema de firma electrónica basado en una infraestructura de clave pública. La clave privada del usuario se almacenará en el disco duro del ordenador y estará protegida por una contraseña. El riesgo MÁS importante de este planteamiento es:
A. uso de la firma electrónica del usuario por otra persona si la contraseña se ve comprometidA
B. falsificación mediante el uso de la clave privada de otro usuario para firmar un mensaje con una firma electrónicA
C. suplantación de la identidad de un usuario mediante la sustitución de su clave pública por la de otra personA
D. falsificación mediante la sustitución de la clave privada de otra persona en el ordenador
Ver respuesta
Respuesta correcta: B
Cuestionar #62
El objetivo de la firma de código es ofrecer garantías de que:
A. el software no ha sido modificado posteriormente
B. la aplicación puede interactuar de forma segura con otra aplicación firmadA
C. el firmante de la solicitud es de confianzA
D. la clave privada del firmante no ha sido comprometidA
Ver respuesta
Respuesta correcta: D
Cuestionar #63
¿Cuál de los siguientes es un procedimiento de revisión analítica para un sistema de nóminas?
A. Realizar intentos de penetración en el sistema de nóminas
B. Evaluar el rendimiento del sistema de nóminas, utilizando programas informáticos de evaluación comparativa
C. Realización de pruebas de razonabilidad multiplicando el número de empleados por el salario medio
D. Horas de examen consignadas en las fichas horarias
Ver respuesta
Respuesta correcta: C
Cuestionar #64
¿Cuál de los siguientes NO es un ejemplo de control preventivo?
A. Control de acceso físico, como cerraduras y puertas
B. Pantalla de inicio de sesión de usuario que sólo permite acceder al sitio web a los usuarios autorizados
C. Cifrar los datos para que sólo los usuarios autorizados puedan verlos
D. Comprobación por duplicado de un cálculo
Ver respuesta
Respuesta correcta: C
Cuestionar #65
Una organización ha elaborado un plan estratégico trienal global de TI. A mitad del plan, se promulga un importante cambio legislativo que afecta a la organización. ¿Cuál de los siguientes debería ser el PRÓXIMO curso de acción de la dirección?
A. Elaborar documentación de procedimiento específica relacionada con la legislación modificadA
B. Evaluar la legislación para determinar si son necesarias para el plan estratégico de TI
C. Realizar una gestión de riesgos de los cambios legislativos
D. Desarrollar un nuevo plan estratégico de TI que englobe la nueva legislación
Ver respuesta
Respuesta correcta: A
Cuestionar #66
¿Cuál de los siguientes aspectos del cifrado de clave simétrica influyó en el desarrollo del cifrado asimétrico?
A. Potencia de procesamiento
B. Volumen de datos
C. Distribución de llaves
D. Complejidad del algoritmo
Ver respuesta
Respuesta correcta: A
Cuestionar #67
La MEJOR regla de filtrado para proteger una red de ser utilizada como amplificador en un ataque de denegación de servicio (DoS) es denegar todo:
A. tráfico saliente con direcciones IP de origen externas a la red
B. tráfico entrante con direcciones IP de origen falsificadas discernibles
C. tráfico entrante con opciones IP configuradas
D. tráfico entrante a hosts críticos
Ver respuesta
Respuesta correcta: A
Cuestionar #68
A un director de auditoría de SI se le ha pedido que realice una revisión de calidad en una auditoría que el mismo director también supervisó. ¿Cuál de las siguientes es la MEJOR respuesta del director a esta situación?
A. Notificar la situación al comité de auditoríA
B. Elevar la situación a la alta dirección de auditoríA
C. Determinar si las pruebas de auditoría respaldan las conclusiones de la auditoríA
D. Discutir con el equipo auditor para comprender cómo se llegó a las conclusiones
Ver respuesta
Respuesta correcta: A
Cuestionar #69
Una organización ha externalizado su servicio de asistencia. ¿Cuál de los siguientes indicadores sería mejor incluir en el SLA?
A. Número total de usuarios admitidos
B. Porcentaje de incidentes resueltos en la primera llamada
C. Número de incidentes comunicados al servicio de asistencia
D. Número de agentes que atienden los teléfonos
Ver respuesta
Respuesta correcta: A
Cuestionar #70
La longitud mínima de la contraseña y la verificación de la complejidad de la contraseña son ejemplos de ello:
A. controles de detección
B. objetivos de control
C. objetivos de la auditoríA
D. procedimientos de control
Ver respuesta
Respuesta correcta: A
Cuestionar #71
Durante una auditoría de control de cambios de un sistema de producción, un auditor de SI descubre que el proceso de gestión de cambios no está formalmente documentado y que algunos procedimientos de migración fallaron. ¿Qué debe hacer el auditor?
A. Recomendar rediseñar el proceso de gestión del cambio
B. Obtener más garantías sobre los hallazgos mediante el análisis de las causas raíz
C. Recomendar que se detenga la migración del programa hasta que se documente el proceso de cambio
D. Documentar el hallazgo y presentarlo a la dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #72
Al evaluar los controles de una aplicación EDI, un auditor de SI debe preocuparse PRIMARIAMENTE por el riesgo de:
A. tiempo excesivo de tramitación de las transacciones
B. fallo de la interfaz de aplicación
C. autorización indebida de transacciones
D. no hay totales de lote validados
Ver respuesta
Respuesta correcta: A
Cuestionar #73
¿Cuál de las siguientes opciones ayudará a detectar los cambios realizados por un intruso en el registro del sistema de un servidor?
A. Reflejando el registro del sistema en otro servidor
B. Duplicar simultáneamente el registro del sistema en un disco de sólo escritura
C. Proteger contra escritura el directorio que contiene el registro del sistema
D. Almacenar la copia de seguridad del registro del sistema fuera del sitio
Ver respuesta
Respuesta correcta: A
Cuestionar #74
¿Cuál de las siguientes observaciones consideraría un auditor de SI el MAYOR riesgo al realizar una auditoría de una granja de servidores virtuales para detectar posibles vulnerabilidades de software?
A. El hipervisor se actualiza trimestralmente
B. Los sistemas operativos invitados se actualizan mensualmente
C. El software antivirus se ha implementado únicamente en el sistema operativo invitado
D. Una variedad de sistemas operativos invitados operan en un servidor virtual
Ver respuesta
Respuesta correcta: C
Cuestionar #75
Un auditor de SI está revisando las medidas de seguridad física de una organización. En lo que respecta al sistema de tarjetas de acceso, el auditor de SI debería estar MÁS preocupado por que:
A. Se entregan tarjetas de acceso no personalizadas al personal de limpieza, que utiliza una hoja de registro pero no muestra ninguna prueba de identidad
B. las tarjetas de acceso no están etiquetadas con el nombre y la dirección de la organización para facilitar la devolución de una tarjeta extraviadA
C. la emisión de tarjetas y la administración de los derechos de las mismas son realizadas por distintos departamentos, lo que provoca plazos innecesarios para la emisión de nuevas tarjetas
D. el sistema informático utilizado para programar las tarjetas sólo puede sustituirse al cabo de tres semanas en caso de fallo del sistemA
Ver respuesta
Respuesta correcta: A
Cuestionar #76
Se está desplegando un cortafuegos en una nueva ubicación. Cuál de los siguientes es el factor MÁS importante para garantizar el éxito de la implantación?
A. Revisión frecuente de los registros
B. Comprobación y validación de las normas
C. Formación de un administrador local en la nueva ubicación
D. Compartir las tareas administrativas del cortafuegos
Ver respuesta
Respuesta correcta: A
Cuestionar #77
Un auditor de SI que examina un sistema de autenticación biométrica de usuarios establece la existencia de una debilidad de control que permitiría a un individuo no autorizado actualizar la base de datos centralizada en el servidor que se utiliza para almacenar plantillas biométricas. De los siguientes, ¿cuál es el MEJOR control contra este riesgo?
A. Kerberos
B. Detección de vitalidad
C. Biometría multimodal
D. Registro antes/después de la imagen
Ver respuesta
Respuesta correcta: C
Cuestionar #78
La dirección de auditoría acaba de finalizar el plan anual de auditoría para el año próximo, que consiste en su totalidad en procesos de alto riesgo. Sin embargo, se determina que no hay recursos suficientes para ejecutar el plan. ¿Qué debe hacerse PRÓXIMAMENTE?
A. Suprimir las auditorías del plan anual para adecuarlas mejor al número de recursos disponibles
B. Reducir el alcance de las auditorías para adaptarlas mejor al número de recursos disponibles
C. Presentar el plan anual al comité de auditoría y solicitar más recursos
D. Revisar el plan de auditoría y aplazar algunas auditorías al año siguiente
Ver respuesta
Respuesta correcta: C
Cuestionar #79
¿Cuál es el beneficio PRIMARIO para la dirección ejecutiva cuando las funciones de auditoría, riesgo y seguridad están alineadas?
A. Gestión más eficaz de los incidentes
B. Reducción del número de informes de garantía
C. Toma de decisiones más eficaz
D. Información de riesgos más puntual
Ver respuesta
Respuesta correcta: D
Cuestionar #80
Los procedimientos de inicio de sesión incluyen la creación de un nombre de usuario y una contraseña únicos. Sin embargo, un auditor de SI descubre que en muchos casos el nombre de usuario y la contraseña son los mismos. El MEJOR control para mitigar este riesgo es:
A. cambiar la política de seguridad de la empresA
B. educar a los usuarios sobre el riesgo de las contraseñas débiles
C. incorporar validaciones para evitarlo durante la creación de usuarios y el cambio de contraseñas
D. exigir una revisión periódica de la coincidencia de ID de usuario y contraseñas para su detección y corrección
Ver respuesta
Respuesta correcta: C
Cuestionar #81
Una organización proporciona información a sus socios de la cadena de suministro y a sus clientes a través de una infraestructura extranet. ¿Cuál de los siguientes aspectos debería preocupar más a un auditor de SI que revise la arquitectura de seguridad del cortafuegos?
A. Se ha implementado una capa de conexión segura (SSL) para la autenticación de usuarios y la administración remota del cortafuegos
B. Las políticas de cortafuegos se actualizan en función de la evolución de las necesidades
C. el tráfico entrante se bloquea a menos que el tipo de tráfico y las conexiones se hayan permitido específicamente
D. El cortafuegos se coloca sobre el sistema operativo comercial con todas las opciones de instalación
Ver respuesta
Respuesta correcta: A
Cuestionar #82
¿Cuál de las siguientes es una función general de control de acceso del sistema operativo?
A. Creación de perfiles de base de datos
B. Verificación de la autorización de los usuarios a nivel de campo
C. Crear responsabilidad individual
D. Registro de las actividades de acceso a la base de datos para supervisar la violación de acceso
Ver respuesta
Respuesta correcta: B
Cuestionar #83
La reevaluación del riesgo es MÁS crítica cuando existe:
A. resistencia a la aplicación de controles paliativos
B. un cambio en la política de seguridad Explicación/Referencia:
C. una solicitud de informes de seguridad actualizados por parte de la direcciónun cambio en el panorama de amenazas D
Ver respuesta
Respuesta correcta: A
Cuestionar #84
Al auditar un plan de aseguramiento de la calidad, un auditor de SI debe estar MÁS preocupado si el:
A. la función de garantía de calidad es independiente de la función de programación
B. El SDLC va unido al plan de aseguramiento de la calidad
C. la función de garantía de calidad es revisada periódicamente por auditoría internA
D. el alcance de las actividades de garantía de calidad no está definido
Ver respuesta
Respuesta correcta: D
Cuestionar #85
Para ayudar a una organización a planificar las inversiones en TI, un auditor de SI debe recomendar el uso de:
A. herramientas de gestión de proyectos
B. una arquitectura orientada a objetos
C. planificación tácticA
D. arquitectura empresarial (EA)
Ver respuesta
Respuesta correcta: B
Cuestionar #86
Durante una auditoría de recursos humanos (RRHH), un auditor de SI es informado de que existe un acuerdo verbal entre los departamentos de TI y RRHH en cuanto al nivel de servicios de TI esperado. En esta situación, ¿qué debe hacer PRIMERO el auditor de SI?
A. Aplazar la auditoría hasta que el acuerdo esté documentado
B. Informar de la existencia del acuerdo no documentado a la alta dirección
C. Confirmar el contenido del acuerdo con ambos departamentos
D. Redactar un acuerdo de nivel de servicio (SLA) para los dos departamentos
Ver respuesta
Respuesta correcta: B
Cuestionar #87
En una organización pequeña, los desarrolladores pueden lanzar cambios de emergencia directamente a producción. ¿Cuál de las siguientes opciones es la MEJOR para controlar el riesgo en esta situación?
A. Aprobar y documentar el cambio al siguiente día laborable
B. Limitar el acceso de los desarrolladores a la producción a un plazo determinado
C. Obtener la aprobación secundaria antes de pasar a producción
D. Desactivar la opción de compilador en la máquina de producción
Ver respuesta
Respuesta correcta: B
Cuestionar #88
¿Cuál de los siguientes es un control sobre fallos/errores de comunicación de componentes?
A. Restricción del acceso de los operadores y mantenimiento de registros de auditoría
B. Seguimiento y revisión de la actividad de ingeniería de sistemas
C. Proporcionar redundancia de red
D. Establecer barreras físicas a los datos transmitidos por la red
Ver respuesta
Respuesta correcta: A
Cuestionar #89
Un auditor de SI participa en un proyecto y descubre que una parte interesada del proyecto de TI desea realizar un cambio que podría afectar tanto al alcance como al calendario del proyecto. ¿Cuál de las siguientes sería la acción MÁS apropiada para el director del proyecto con respecto a la solicitud de cambio?
A. Recomendar al promotor del proyecto la aprobación del cambio
B. Modificar el plan del proyecto como consecuencia del cambio
C. Evaluar el impacto del cambio
D. Ignorar las solicitudes fuera de ámbito
Ver respuesta
Respuesta correcta: C
Cuestionar #90
Un auditor de SI observa que no se están analizando las entradas de registro de IDS relacionadas con el escaneo de puertos. Esta falta de análisis aumentará MUY probablemente el riesgo de éxito de ¿cuál de los siguientes ataques?
A. Denegación de servicio
B. Reproducir
C. Ingeniería social
D. Desbordamiento del búfer
Ver respuesta
Respuesta correcta: C
Cuestionar #91
Una gran compañía de seguros está a punto de sustituir una importante aplicación financiera. ¿Cuál de los siguientes es el enfoque PRIMARIO del auditor de SI al realizar la revisión previa a la implementación?
A. Actualizaciones del procedimiento Explicación/Referencia:
B. Migración de datosC
C.
D.
E.
F.
Ver respuesta
Respuesta correcta: C
Cuestionar #92
A la hora de evaluar si se han logrado los beneficios esperados de un proyecto, lo MÁS importante para un auditor de SI es revisar:
A. problemas posteriores a la aplicación
B. resultados de la garantía de calidad
C. el calendario del proyecto
D. el caso empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #93
¿Cuál de las siguientes opciones consideraría MÁS útil un auditor de SI a la hora de evaluar la eficacia y adecuación de un programa de mantenimiento preventivo informático?
A. Un registro del tiempo de inactividad del sistema
B. Cifras de fiabilidad de los vendedores
C. Registro de mantenimiento periódico
D. Un programa escrito de mantenimiento preventivo
Ver respuesta
Respuesta correcta: C

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono: