¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Mejore su rendimiento en el examen CISA de ISACA con simulacros de exámenes realistas

Certified Information Systems Auditor® (CISA®) es reconocido mundialmente como el punto de referencia para los profesionales que auditan, controlan, supervisan y evalúan los sistemas de TI y de negocio dentro de las organizaciones. Para los profesionales a mitad de carrera, la obtención de la certificación CISA demuestra su experiencia en la aplicación de un enfoque basado en el riesgo a los encargos de auditoría. Las preguntas del examen CISA de ISACA de SPOTO proporcionan ventajas significativas para una certificación exitosa. Éstos incluyen preguntas y respuestas completas del examen, cubriendo preguntas esenciales de la prueba en el formato del examen. Los materiales de preparación para el examen de SPOTO están diseñados para mejorar la comprensión y el dominio de los conceptos clave, asegurando una preparación completa para el examen. Con acceso a los materiales de estudio y recursos de examen de SPOTO, los candidatos pueden prepararse eficazmente y aprobar el examen CISA con confianza. Además, SPOTO ofrece exámenes de prueba para simular las condiciones del examen real, lo que permite a los candidatos evaluar la preparación y mejorar el rendimiento para lograr una aprobación exitosa.
Realizar otros exámenes en línea
Cuestionar #1
¿Cuál de los siguientes aspectos debería preocupar MÁS a un auditor de SI que revisa el plan de continuidad de negocio (BCP) de una organización?
A. Es necesario actualizar la información de contacto del BCP
B. El PCB no está controlado por versiones
C. El PCB no ha sido aprobado por la alta dirección
D. El PCB no se ha puesto a prueba desde que se publicó por primera vez
Ver respuesta
Respuesta correcta: D
Cuestionar #2
¿Cuál de las siguientes es la MEJOR manera de que una organización mitigue el riesgo asociado al rendimiento de las aplicaciones de terceros?
A. Asegurarse de que el tercero asigna los recursos adecuados para cumplir los requisitos
B. Utilizar la analítica en la función de auditoría interna
C. Realizar un ejercicio de planificación de capacidades
D. Utilizar herramientas de supervisión del rendimiento para verificar los acuerdos de nivel de servicio (SLA)
Ver respuesta
Respuesta correcta: D
Cuestionar #3
Durante una auditoría de gestión de incidentes, un auditor de SI descubre que se registraron varios incidentes similares durante el periodo de auditoría. ¿Cuál de las siguientes es la actuación MÁS importante del auditor?
A. Documente el hallazgo y preséntelo a la dirección
B. Determinar si se realizó un análisis de la causa raíz
C. Confirmar el tiempo de resolución de las incidencias
D. Validar si todos los incidentes se han solucionado
Ver respuesta
Respuesta correcta: B
Cuestionar #4
Un auditor de SI encuentra que la gestión de la capacidad de un sistema clave está siendo realizada por TI sin ninguna aportación del negocio La preocupación PRIMARIA del auditor sería:
A. no maximizar el uso de los equipos
B. aumento imprevisto de las necesidades de capacidad de las empresas
C. coste de la excesiva capacidad de almacenamiento de los centros de datos
D. impacto en la financiación de futuros proyectos empresariales
Ver respuesta
Respuesta correcta: B
Cuestionar #5
¿Cuál de los siguientes debe ser el paso FRST al desarrollar una solución de prevención de toes de datos (DIP) para una gran organización?
A. Identificar los flujos de trabajo de datos aprobados en toda la empresA
B. Realizar un análisis de amenazas contra el uso de datos sensibles
C. Crear el DLP pcJc
D. Realizar un ejercicio de inventario y clasificación de datos
Ver respuesta
Respuesta correcta: D
Cuestionar #6
Si se habilita dentro de las reglas del cortafuegos, ¿cuál de los siguientes servicios presentaría el MAYOR riesgo?
A. Protocolo simple de transferencia de correo (SMTP)
B. Protocolo simple de acceso a objetos (SOAP)
C. Protocolo de transferencia de hipertexto (HTTP)
D. Protocolo de transferencia de archivos (FTP)
Ver respuesta
Respuesta correcta: D
Cuestionar #7
Una empresa está considerando la posibilidad de permitir a los usuarios conectar dispositivos personales a la red corporativa
A. Impartir formación de concienciación en materia de seguridad
B. Aplicar una política de uso aceptable
C. Crear registros de inventario de dispositivos personales
D. Configurar usuarios en la solucion de gestion de dispositivos moviles (MDM)
Ver respuesta
Respuesta correcta: B
Cuestionar #8
¿Cuál de las siguientes opciones afectaría MÁS probablemente a la independencia del auditor de SI a la hora de realizar una revisión posterior a la implantación de un sistema de aplicación?
A. El auditor de SI proporcionó asesoramiento sobre las mejores prácticas de los sistemas de aplicación
B. El auditor SI participó como miembro del equipo del proyecto del sistema de aplicación, pero no tuvo responsabilidades operativas
C. El auditor de SI diseñó un módulo de auditoría integrado exclusivamente para auditar el sistema de aplicaciones
D. El auditor de SI implementó un control específico durante el desarrollo del sistema de aplicación
Ver respuesta
Respuesta correcta: D
Cuestionar #9
¿Cuál de las siguientes opciones proporcionaría la información MÁS importante durante la fase de planificación de una auditoría sobre la implantación de un programa BYOD (traiga su propio dispositivo)?
A. Conclusiones de auditorías anteriores
B. Resultados de una evaluación de riesgos
C. Un inventario de los dispositivos personales que se conectarán a la red corporativa
D. Políticas que incluyan declaraciones de usuario aceptable BYOD
Ver respuesta
Respuesta correcta: D
Cuestionar #10
¿Cuál de los siguientes puntos debe revisar PRIMERO un auditor de SI al planificar una auditoría de privacidad de datos de clientes?
A. Requisitos legales y de cumplimiento
B. Acuerdos con los clientes
C. Clasificación de los datos
D. Políticas y procedimientos organizativos
Ver respuesta
Respuesta correcta: D
Cuestionar #11
Un administrador de sistemas ha informado recientemente al auditor de sistemas de información de que se han producido varios intentos fallidos de intrusión desde el exterior de la organización
A. Uso de tarjetas inteligentes con contraseñas de un solo uso
B. Revisar periódicamente los archivos de registro
C. Configurar el router como cortafuegos
D. Instalación de autenticación basada en biometría
Ver respuesta
Respuesta correcta: C
Cuestionar #12
Una organización permite a sus empleados utilizar dispositivos móviles personales para trabajar. ¿Cuál de las siguientes opciones sería la MEJOR para mantener la seguridad de la información sin comprometer la privacidad de los empleados?
A. Instalación de software de seguridad en los dispositivos
B. Separar el entorno de trabajo del espacio personal en los dispositivos
C. Impedir que los usuarios añadan aplicaciones
D. Restringir el uso de dispositivos para fines personales durante las horas de trabajo
Ver respuesta
Respuesta correcta: B
Cuestionar #13
El MAYOR beneficio de utilizar un enfoque de tipado polo en el desarrollo de software es que ayuda a:
A. minimizar los cambios de alcance del sistemA
B. reducir el tiempo asignado a las pruebas y revisiones de los usuarios
C. conceptualizar y clarificar los requisitos
D. Mejorar la eficacia de las pruebas de garantía de calidad (GC)
Ver respuesta
Respuesta correcta: C
Cuestionar #14
¿Cuál de las siguientes opciones es la MÁS importante para un auditor de SI a la hora de evaluar la exactitud de una hoja de cálculo que contiene varias macros?
A. Cifrado de la hoja de cálculo
B. Historial de versiones
C. Fórmulas dentro de macros
D. Conciliación de cálculos clave
Ver respuesta
Respuesta correcta: D
Cuestionar #15
Un auditor de SI ha descubierto que una organización es incapaz de añadir nuevos servidores bajo demanda de forma rentable. ¿Cuál de las siguientes es la MEJOR recomendación del auditor?
A. Aumentar la capacidad de los sistemas existentes
B. Actualizar el hardware a una tecnología más modernA
C. Contratar trabajadores temporales para la función informáticA
D. Construir un entorno virtual
Ver respuesta
Respuesta correcta: D
Cuestionar #16
Una organización ha externalizado su función de procesamiento de datos a un proveedor de servicios. ¿Cuál de las siguientes opciones sería la MEJOR para determinar si el proveedor de servicios sigue cumpliendo los objetivos de la organización?
A. Evaluación de los procesos de formación del personal del proveedor
B. Adecuación del seguro del proveedor de servicios
C. Revisión del rendimiento con respecto a los acuerdos de nivel de servicio (SLA)
D. Auditorías periódicas de los controles realizadas por un auditor independiente
Ver respuesta
Respuesta correcta: D
Cuestionar #17
¿Cuál de las siguientes es la MEJOR manera de aplicar el principio de mínimo privilegio en un servidor que contiene datos con diferentes clasificaciones de seguridad?
A. Limitación del acceso a los ficheros de datos en función de la frecuencia de uso
B. Obtener el acuerdo formal de los usuarios para cumplir con la política de clasificación de datos
C. Aplicación de los controles de acceso determinados por el propietario de los datos
D. Usando listas de control de acceso con scripts para prevenir acceso no autorizado al servidor
Ver respuesta
Respuesta correcta: C
Cuestionar #18
Debido a la limitada capacidad de almacenamiento, una empresa ha decidido reducir el período de conservación real de los soportes que contienen transacciones de poco valor realizadas
A. La política incluye un sólido enfoque basado en el riesgo
B. El periodo de conservación permite la revisión durante la auditoría de final de año
C. El periodo de conservación cumple con las responsabilidades del propietario de los datos
D. El importe total de la transacción no tiene impacto en la información financiera
Ver respuesta
Respuesta correcta: C
Cuestionar #19
Durante la implantación de un sistema de planificación de recursos empresariales (ERP) actualizado, ¿cuál de las siguientes es la consideración MÁS importante para tomar una decisión de puesta en marcha?
A. Estrategia de desmantelamiento
B. Casos de prueba
C. Objetivos de la revisión posterior a la aplicación
D. Caso empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #20
Una organización está implantando un nuevo sistema que soporta un proceso de negocio de fin de mes. Cuál de las siguientes estrategias de implantación sería la MÁS eficaz para reducir el tiempo de inactividad de la empresa?
A. utover
B. or fases
C. iloto
D. En paralelo
Ver respuesta
Respuesta correcta: C
Cuestionar #21
¿Cuál de los siguientes aspectos debería preocupar MÁS a un auditor de SI que revisa la conversión y migración de datos durante la implantación de un nuevo sistema de aplicación?
A. La conversión de datos se realizó mediante procesos manuales
B. Las copias de seguridad del antiguo sistema y los datos no están disponibles en líneA
C. Se produjeron modificaciones de datos no autorizadas durante la conversión
D. El proceso de gestión del cambio no estaba formalmente documentado
Ver respuesta
Respuesta correcta: C
Cuestionar #22
¿Cuál de las siguientes opciones ofrece la MAYOR garantía sobre la integridad y exactitud del procesamiento de las solicitudes de préstamo en relación con la implantación de un nuevo sistema?
A. Comparación de código entre sistemas antiguos y nuevos
B. Ejecución de transacciones históricas a través del nuevo sistema
C. Revisión de los procedimientos de garantía de calidad (GC)
D. Carga de datos de saldos y transacciones en el nuevo sistema
Ver respuesta
Respuesta correcta: B
Cuestionar #23
¿Cuál de los siguientes es el MEJOR método para salvaguardar los datos de los ordenadores portátiles de una organización?
A. Puertos USB deshabilitados
B. Cifrado de disco completo
C. Control de acceso biométrico
D. Autenticación de dos factores
Ver respuesta
Respuesta correcta: C
Cuestionar #24
La implantación de un marco de gobierno de TI requiere que el consejo de administración de una organización:
A. Abordar cuestiones técnicas de TI
B. Estar informado de todas las iniciativas informáticas
C. Disponer de un comité de estrategia informáticA
D. Aprobar la estrategia informáticA
Ver respuesta
Respuesta correcta: D
Cuestionar #25
¿Qué es lo MEJOR que puede revisar un auditor de SI a la hora de evaluar la eficacia de los cambios introducidos recientemente en los procesos y herramientas relacionados con el plan de continuidad de negocio (PCN) de una organización?
A. Resultados completos de las pruebas
B. Planes de pruebas completados
C. Inventario actualizado de sistemas
D. Procesos de gestión del cambio
Ver respuesta
Respuesta correcta: A
Cuestionar #26
¿Cuál de las siguientes opciones garantizará MEJOR que se ha establecido una fecha límite adecuada para restablecer las transacciones y los registros al estado en que se encontraban justo antes de un fallo del sistema informático?
A. Rotación de las copias de seguridad de los archivos de transacciones fuera del sitio
B. Utilizar un sistema de gestión de bases de datos (SGBD) para retirar dinámicamente las transacciones parcialmente procesadas
C. Mantenimiento de los registros de la consola del sistema en formato electrónico
D. Garantizar la capacidad bisíncrona en todas las líneas de transmisión
Ver respuesta
Respuesta correcta: D
Cuestionar #27
¿Cuál de las siguientes es la MEJOR comprobación de la integridad de los datos?
A. Recuento de las transacciones procesadas por día
B. Realización de una comprobación de secuencia
C. Rastrear los datos hasta el punto de origen
D. Preparación y ejecución de datos de prueba
Ver respuesta
Respuesta correcta: C
Cuestionar #28
¿Cuál de las siguientes es la MAYOR preocupación asociada a un elevado número de excepciones a la política de TI aprobadas por la dirección?
A. Es probable que las excepciones continúen indefinidamente
B. Las excepciones pueden dar lugar a incumplimientos
C. Las excepciones pueden elevar el nivel de riesgo operativo
D. Las excepciones pueden afectar negativamente a la eficacia del proceso
Ver respuesta
Respuesta correcta: B
Cuestionar #29
¿Cuál de las siguientes opciones es la MÁS importante a la hora de implantar un programa de clasificación de datos?
A. Comprender los niveles de clasificación de los datos
B. Formalización de la propiedad de los datos
C. Desarrollar una política de privacidad
D. Planificación de la capacidad de almacenamiento seguro
Ver respuesta
Respuesta correcta: B
Cuestionar #30
¿Cuál de los siguientes es el MEJOR control para mitigar el riesgo de malware asociado a un sistema de mensajería instantánea (IM)?
A. Bloqueo de archivos adjuntos en MI
B. Bloqueo del tráfico externo de mensajería instantánea
C. Permitir sólo soluciones de MI corporativas
D. Cifrar el tráfico de mensajería instantánea
Ver respuesta
Respuesta correcta: C
Cuestionar #31
Los ataques de secuencias de comandos en sitios cruzados (XSS) se evitan MEJOR mediante:
A. configuración de la política del cortafuegos de aplicaciones
B. una arquitectura web de tres niveles
C. prácticas de codificación seguras
D. uso de marcos industriales comunes
Ver respuesta
Respuesta correcta: C
Cuestionar #32
¿Cuál de las siguientes es la MEJOR manera de abordar los problemas de segregación de funciones en una organización con limitaciones presupuestarias?
A. Rote periódicamente las tareas del puesto
B. Realizar una auditoría independiente
C. Contratar personal temporal
D. Aplicar controles compensatorios
Ver respuesta
Respuesta correcta: D
Cuestionar #33
¿Cuál es el MEJOR control para hacer frente a las vulnerabilidades de inyección SQL?
A. Traducción Unicode
B. Encriptación SSL (Secure Sockets Layer)
C. Validación de las entradas
D. Firmas digitales
Ver respuesta
Respuesta correcta: C
Cuestionar #34
¿Cuál de las siguientes condiciones sería la MÁS preocupante para un auditor de SI que evalúa el riesgo de un ataque de fuerza bruta exitoso contra datos encriptados en una prueba?
A. Longitud de clave corta
B. Generación aleatoria de claves
C. Uso del cifrado simétrico
D. Uso de cifrado asimétrico
Ver respuesta
Respuesta correcta: A
Cuestionar #35
Un auditor de SI concluye que una organización tiene una política de seguridad de calidad. ¿Cuál de los siguientes puntos es MÁS importante determinar a continuación? La política debe ser:
A. bien entendido por todos los empleados
B. basándose en las normas del sector
C. desarrollados por los propietarios de los procesos
D. actualizados con frecuenciA
Ver respuesta
Respuesta correcta: A
Cuestionar #36
¿Cuál de los siguientes es el MAYOR riesgo de utilizar un sitio recíproco para la recuperación de desastres?
A. Imposibilidad de utilizar el emplazamiento cuando sea necesario
B. Imposibilidad de probar los planes de recuperación in situ
C. Problemas de compatibilidad de los equipos en el emplazamiento
D. Políticas de seguridad organizativas desajustadas
Ver respuesta
Respuesta correcta: B
Cuestionar #37
¿Cuál de las siguientes es la consideración MÁS importante para un auditor de SI a la hora de evaluar la idoneidad de la política de seguridad de la información de una organización?
A. Actas del Comité Director de Tecnologías de la Información
B. Objetivos empresariales
C. Alineación con el plan táctico de TI
D. Cumplimiento de las mejores prácticas del sector
Ver respuesta
Respuesta correcta: B
Cuestionar #38
¿Cuál de las siguientes es la MEJOR manera de garantizar que los planes de continuidad de negocio (PCN) funcionen eficazmente en caso de catástrofe grave?
A. Preparar planes detallados para cada función empresarial
B. Implicar al personal de todos los niveles en ejercicios periódicos de revisión del papel
C. Actualizar periódicamente las evaluaciones de impacto empresarial
D. Responsabilizar a los altos directivos de las secciones de sus planes
Ver respuesta
Respuesta correcta: B
Cuestionar #39
¿Cuál de las siguientes opciones es la MÁS importante a la hora de desarrollar un programa eficaz de concienciación en materia de seguridad?
A. El personal de formación son profesionales de la seguridad de la información
B. Los ejercicios de phishing se realizan después de la formación
C. Los escenarios de amenazas a la seguridad se incluyen en el contenido del programA
D. Se establecen métricas de resultados para el programA
Ver respuesta
Respuesta correcta: D
Cuestionar #40
Un auditor de SI ha descubierto que un proveedor ha quebrado y la custodia tiene una versión antigua del código fuente. ¿Cuál es la MEJOR recomendación del auditor para la organización?
A. Analizar una nueva aplicación que motive la re
B. Realizar un análisis para determinar el riesgo empresarial
C. Poner al día la versión de custodiA
D. Desarrollar un plan de mantenimiento para soportar la aplicación utilizando el código existente
Ver respuesta
Respuesta correcta: C
Cuestionar #41
En respuesta a un hallazgo de auditoría relativo a una aplicación de nóminas, la dirección implantó un nuevo control automatizado. ¿Cuál de las siguientes opciones sería la MÁS útil para el auditor de SI a la hora de evaluar la eficacia del nuevo control?
A. Guiones de pruebas y resultados aprobados antes de la aplicación
B. Procedimientos escritos que definen los procesos y controles
C. Documento de alcance del proyecto aprobado
D. Revisión de los resultados de los ejercicios de mesa
Ver respuesta
Respuesta correcta: B
Cuestionar #42
¿Cuál de los siguientes será el método MÁS eficaz para verificar que un proveedor de servicios mantiene los niveles de control exigidos por el cliente?
A. Realizar evaluaciones periódicas in situ utilizando criterios acordados
B. Revisar periódicamente el acuerdo de nivel de servicio (SLA) con el proveedor
C. Llevar a cabo una evaluación sin previo aviso de la vulnerabilidad de los sistemas informáticos del proveedor
D. Obtener pruebas de la autoevaluación de control (CSA) del proveedor
Ver respuesta
Respuesta correcta: C
Cuestionar #43
Un auditor de SI observa que TI y la empresa tienen opiniones diferentes sobre la disponibilidad de sus servidores de aplicaciones. ¿Cuál de los siguientes puntos debería revisar PRIMERO el auditor de SI para comprender el problema?
A. La definición exacta de los niveles de servicio y su medición
B. El proceso de alerta y medición en los servidores de aplicaciones
C. La disponibilidad real de los servidores como parte de una prueba sustantiva
D. La documentación periódica de los informes de resultados
Ver respuesta
Respuesta correcta: A
Cuestionar #44
¿Cuál de los siguientes es el MEJOR método para evitar el fraude en las transferencias bancarias por parte de los empleados del banco?
A. Conciliación independiente
B. Reintroducción de los importes en dólares de las transferencias
C. Control de autenticación de dos factores
D. Control dual reforzado por el sistema
Ver respuesta
Respuesta correcta: D
Cuestionar #45
Una organización ha adquirido e implantado recientemente un software de agente inteligente para la concesión de préstamos a clientes. Durante la revisión posterior a la implantación, ¿cuál de los siguientes es el procedimiento MÁS importante que debe realizar el auditor de SI?
A. Revise el sistema y los registros de errores para verificar la exactitud de las transacciones
B. Revisar los informes de control de entrada y salida para verificar la exactitud de las decisiones del sistemA
C. Revisar las aprobaciones firmadas para garantizar que las responsabilidades de las decisiones del sistema están bien definidas
D. Revisar la documentación del sistema para garantizar que está completA
Ver respuesta
Respuesta correcta: B
Cuestionar #46
Durante la implantación de un nuevo sistema, un auditor de SI debe evaluar si determinados cálculos automatizados cumplen los requisitos reglamentarios ¿Cuál de las siguientes es la MEJOR manera de obtener esta garantía?
A. Revisión de la documentación de aprobación
B. Revisar el código fuente relacionado con el cálculo
C. Vuelva a realizar el cálculo con el software de auditoría
D. Inspeccionar los resultados de la prueba de aceptación del usuario (UAT)
Ver respuesta
Respuesta correcta: C
Cuestionar #47
Un sistema externo que contiene datos confidenciales está configurado para que los usuarios tengan derechos de sólo lectura o de administrador. La mayoría de los usuarios del sistema tienen acceso de administrador. ¿Cuál de los siguientes es el MAYOR riesgo asociado a esta situación?
A. Los usuarios pueden exportar registros de aplicaciones
B. Los usuarios pueden ver datos sensibles
C. Los usuarios pueden realizar cambios no autorizados
D. Los usuarios pueden instalar software de licencia abiertA
Ver respuesta
Respuesta correcta: C
Cuestionar #48
A la hora de determinar si un proyecto en fase de diseño cumplirá los objetivos de la organización, ¿qué es lo MEJOR que se puede comparar con el estudio de viabilidad?
A. Plan de aplicación
B. Disposiciones presupuestarias del proyecto
C. Análisis de las necesidades
D. Plan del proyecto
Ver respuesta
Respuesta correcta: C
Cuestionar #49
¿Cuál de las siguientes opciones es la MEJOR para garantizar la integridad de los datos en todas las interfaces del sistema?
A. Segregación medioambiental
B. Conciliación
C. Copias de seguridad del sistema
D. Controles de acceso
Ver respuesta
Respuesta correcta: D
Cuestionar #50
¿Cuál de las siguientes opciones es la MÁS útil para medir la realización de beneficios de un nuevo sistema?
A. Análisis del punto de función
B. Revisión del cuadro de mando integral
C. Revisión posterior a la aplicación
D. Análisis del impacto en la empresa (BIA)
Ver respuesta
Respuesta correcta: A
Cuestionar #51
¿Cuál de los siguientes puntos DEBE completarse como parte del proceso anual de planificación de la auditoría?
A. Análisis del impacto en la empresa (BIA)
B. Trabajo de campo
C. Evaluación de riesgos
D. Matriz de control de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #52
¿Cuál de las siguientes debería ser la consideración MÁS importante a la hora de llevar a cabo una revisión de la gestión del portafolio de TI?
A. Asignación de la responsabilidad de cada proyecto a un miembro del equipo informático
B. Adhesión a las mejores prácticas y metodologías aprobadas por la industria
C. Controles para minimizar el riesgo y maximizar el valor de la cartera de TI
D. Frecuencia de las reuniones en las que la empresa discute la cartera de TI
Ver respuesta
Respuesta correcta: D
Cuestionar #53
¿Cuál de las siguientes opciones sería la MEJOR para gestionar el riesgo de cambios en los requisitos tras la fase de análisis de un proyecto de desarrollo de aplicaciones empresariales?
A. Resultados previstos en los plazos del proyecto
B. Aprobación del equipo informático
C. Participación continua de las partes interesadas
D. Revisión de la garantía de calidad (OA)
Ver respuesta
Respuesta correcta: B
Cuestionar #54
Durante una auditoría de las prácticas de gestión de riesgos de una organización, un auditor de SI descubre que varias aceptaciones de riesgo de TI documentadas no se han renovado de manera oportuna después de la fecha de vencimiento asignada Al evaluar la setenta de este hallazgo, ¿qué factor mitigante minimizaría MÁS significativamente el impacto asociado?
A. Existen controles compensatorios documentados sobre los procesos empresariales
B. Las aceptaciones de riesgo fueron previamente revisadas y aprobadas por la alta dirección correspondiente
C. El entorno empresarial no ha cambiado significativamente desde que se aprobaron las aceptaciones de riesgo
D. Las aceptaciones de riesgo con problemas reflejan un pequeño porcentaje de la población total
Ver respuesta
Respuesta correcta: B
Cuestionar #55
Durante la implantación de un nuevo sistema, se ha asignado a un auditor de SI la revisión de la gestión de riesgos en cada hito. El auditor descubre que no se han abordado varios riesgos para los beneficios del proyecto
A. Gestor de riesgos de la empresa
B. Patrocinador del proyecto
C. Responsable de seguridad de la información
D. Jefe de proyecto
Ver respuesta
Respuesta correcta: D
Cuestionar #56
¿Cuál de las siguientes sería una función apropiada de la auditoría interna para ayudar a establecer el programa de privacidad de una organización?
A. Análisis de los riesgos que plantea la nueva normativa
B. Desarrollar procedimientos para supervisar el uso de datos personales
C. Definición de funciones dentro de la organización en relación con la privacidad
D. Diseñar controles para proteger los datos personales
Ver respuesta
Respuesta correcta: A
Cuestionar #57
¿Cuál de los siguientes es el MEJOR control de detección para un proceso de programación de trabajos que implica la transmisión de datos?
A. La alta dirección comunica y revisa las métricas que denotan el volumen de fracasos mensuales de los trabajos
B. Los trabajos se programan para completarse diariamente y los datos se transmiten utilizando un Protocolo Seguro de Transferencia de Archivos (SFTP)
C. Se programan los trabajos y se conserva un registro de esta actividad para su posterior revisión
D. Las alertas de fallo de trabajo se generan automáticamente y se envían al personal de soporte
Ver respuesta
Respuesta correcta: D
Cuestionar #58
¿Cuál de los siguientes es un control correctivo?
A. Separar las pruebas de desarrollo de los equipos y la producción
B. Verificación de cálculos duplicados en el tratamiento de datos
C. Revisión de los derechos de acceso de los usuarios para la segregación
D. Ejecución de planes de respuesta a emergencias
Ver respuesta
Respuesta correcta: D
Cuestionar #59
¿Cuál es la finalidad PRIMARIA de documentar los objetivos de auditoría al preparar un encargo?
A. Abordar el riesgo global asociado a la actividad examinada
B. Identificar áreas con una probabilidad relativamente alta de problemas materiales
C. Para ayudar a garantizar el máximo aprovechamiento de los recursos de auditoría durante el encargo
D. Ayudar a priorizar y programar las reuniones con los auditados
Ver respuesta
Respuesta correcta: B
Cuestionar #60
¿Cuál sería la MEJOR recomendación de un auditor de SI al descubrir que un proveedor externo de servicios de TI aloja el sistema de recursos humanos (RRHH) de la organización en un país extranjero?
A. Realizar comprobaciones de antecedentes
B. Revisar los informes de auditoría de terceros
C. Aplicar la revisión de la gestión del cambio
D. Realizar un análisis del impacto sobre la privacidad
Ver respuesta
Respuesta correcta: D
Cuestionar #61
Durante una auditoría de seguimiento, un auditor de SI se entera de que algunas personas clave de la dirección han sido sustituidas desde la auditoría original y que la dirección actual ha decidido no aplicar algunas recomendaciones aceptadas anteriormente
A. Notificar al presidente del comité de auditoríA
B. Notifíquelo al responsable de la auditoríA
C. Vuelva a probar el control
D. Cerrar el hallazgo de auditoríA
Ver respuesta
Respuesta correcta: B
Cuestionar #62
¿Cuál de los siguientes componentes de una evaluación de riesgos es el MÁS útil para la dirección a la hora de determinar el nivel de reducción de riesgos que debe aplicarse?
A. Identificación de riesgos
B. Clasificación del riesgo
C. Autoevaluación del control (CSA)
D. Evaluación de impacto
Ver respuesta
Respuesta correcta: D
Cuestionar #63
Durante la fase de planificación de una auditoría de prevención de pérdida de datos (DLP), la dirección expresa su preocupación por la informática móvil
A. El uso de la nube afecta negativamente a la disponibilidad de TI
B. Mayor necesidad de formación para sensibilizar a los usuarios
C. Mayor vulnerabilidad debido a la accesibilidad en cualquier momento y lugar
D. Falta de gobernanza y supervisión de la infraestructura y las aplicaciones informáticas
Ver respuesta
Respuesta correcta: C
Cuestionar #64
Cuando se suprime una intrusión en la red de una organización, ¿cuál de las siguientes acciones debe realizarse PRIMERO?
A. Bloquear todos los nodos de red comprometidos
B. Póngase en contacto con las fuerzas del orden
C. Notifíquelo a la alta dirección
D. Nodos de identidad que han sido comprometidos
Ver respuesta
Respuesta correcta: D
Cuestionar #65
¿Cuál de los siguientes controles de entrada de la aplicación detectaría MÁS probablemente errores de entrada de datos en el campo de número de cuenta de cliente durante el procesamiento de una transacción de cuentas por cobrar?
A. Comprobación de límites
B. Comprobación de paridad
C. Comprobación del carácter razonable
D. Comprobación de la validez
Ver respuesta
Respuesta correcta: C
Cuestionar #66
¿Cuál de los siguientes es el factor determinante MÁS importante a la hora de establecer plazos adecuados para las actividades de seguimiento relacionadas con los resultados de auditoría?
A. Disponibilidad de recursos de auditoría de SI
B. Fechas de corrección incluidas en las respuestas de la dirección
C. Periodos de máxima actividad de la empresa
D. Complejidad de los procesos empresariales identificados en la auditoría
Ver respuesta
Respuesta correcta: C
Cuestionar #67
Durante una auditoría de seguimiento, se descubrió que una vulnerabilidad de seguridad compleja de bajo riesgo no se había resuelto en el plazo acordado. TI ha declarado que el sistema con la vulnerabilidad identificada está siendo sustituido y se espera que sea totalmente funcional en dos meses ¿Cuál de las siguientes es la MEJOR forma de proceder?
A. Exigir documentación que demuestre que la incidencia se abordará en el nuevo sistema
B. Programar una reunión para tratar el asunto con la alta dirección
C. Realizar una auditoría ad hoc para determinar si la vulnerabilidad ha sido explotada
D. Recomendar que la incidencia se resuelva antes de implantar el nuevo sistema
Ver respuesta
Respuesta correcta: C
Cuestionar #68
¿Cuál de las siguientes opciones es necesaria para una gestión eficaz de los riesgos en el gobierno de TI?
A. Los gestores locales son los únicos responsables de la evaluación de riesgos
B. La gestión de riesgos informáticos es independiente de la gestión de riesgos corporativos
C. La estrategia de gestión de riesgos es aprobada por el comité de auditoríA
D. La evaluación de riesgos está integrada en los procesos de gestión
Ver respuesta
Respuesta correcta: D
Cuestionar #69
Durante una auditoría de gobierno de TI, un auditor de SI observa que las políticas y procedimientos de TI no se revisan y actualizan con regularidad. La MAYOR preocupación para el auditor de SI es que las políticas y los procedimientos no:
A. reflejar las prácticas actuales
B. incluyen nuevos sistemas y los correspondientes cambios en los procesos
C. incorporar cambios en las leyes pertinentes
D. ser objeto de una garantía de calidad adecuadA
Ver respuesta
Respuesta correcta: D
Cuestionar #70
La función PRIMARIA de un facilitador de la autoevaluación del control (AAC) es:
A. realizar entrevistas para obtener información de fondo
B. centrar el equipo en los controles internos
C. informar sobre las deficiencias de control interno
D. aportar soluciones a las deficiencias de control
Ver respuesta
Respuesta correcta: B
Cuestionar #71
¿Cuál de los siguientes requisitos debe cumplirse antes de que un auditor de SI inicie las actividades de seguimiento de la auditoría?
A. Recursos disponibles para las actividades incluidas en el plan de acción
B. Una respuesta de la dirección en el informe final con una fecha de aplicación comprometida
C. Un mapa de salud con las lagunas y recomendaciones en términos de riesgo
D. Pruebas justificativas de las lagunas y recomendaciones mencionadas en el informe de auditoría
Ver respuesta
Respuesta correcta: B
Cuestionar #72
Cuando una auditoría de SI revela que un cortafuegos fue incapaz de reconocer una serie de intentos de ataque, la MEJOR recomendación del auditor es colocar un sistema de detección de intrusiones (IDS) entre el cortafuegos y:
A. Internet
B. la zona desmilitarizada (DMZ)
C. el servidor web de la organización
D. la red de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #73
Un auditor de SI encuentra que los servidores de aplicaciones tenían configuraciones de seguridad inconsistentes que conducían a vulnerabilidades potenciales. ¿Cuál de las siguientes es la MEJOR recomendación del auditor de SI?
A. Mejorar el proceso de gestión del cambio
B. Establecer métricas de seguridad
C. Realizar una prueba de penetración
D. Realizar una revisión de la configuración
Ver respuesta
Respuesta correcta: D
Cuestionar #74
Un auditor de SI descubre que los controles de validación de una aplicación web se han trasladado del lado del servidor al navegador para aumentar el rendimiento.
A. phishing
B. denegación de servicio (DoS)
C. inyección de lenguaje de consulta estructurado (SQL)
D. desbordamiento del búfer
Ver respuesta
Respuesta correcta: D
Cuestionar #75
¿Cuál de los siguientes aspectos debería preocupar MÁS a un auditor de SI que revise el plan de recuperación ante desastres (DRP) de una organización?
A. El PRD no ha sido aprobado formalmente por la alta dirección
B. El PRD no se ha distribuido a los usuarios finales
C. El PRD no se ha actualizado desde una actualización de la infraestructura informáticA
D. El DRP contiene procedimientos de recuperación sólo para servidores críticos
Ver respuesta
Respuesta correcta: C
Cuestionar #76
Durante la revisión de un programa de producción, un auditor de SI observa que un miembro del personal no está cumpliendo los procedimientos operativos obligatorios. El SIGUIENTE paso del auditor debería ser:
A. anotar el incumplimiento en los documentos de trabajo de la auditoríA
B. emitir un memorando de auditoría en el que se identifique el incumplimiento
C. incluir el incumplimiento en el informe de auditoríA
D. determinar por qué no se siguieron los procedimientos
Ver respuesta
Respuesta correcta: D
Cuestionar #77
Se ha llevado a cabo una revisión posterior a la implantación mediante la realización de una encuesta a los usuarios
A. Los resultados de la encuesta no se presentaron en detalle a la dirección
B. Las preguntas de la encuesta no abordaban el alcance del estudio de viabilidad
C. La plantilla del formulario de la encuesta no permitía aportar comentarios adicionales
D. La encuesta se envió a los empleados un mes después de su aplicación
Ver respuesta
Respuesta correcta: B
Cuestionar #78
Un mes después de que una empresa adquiriera e implantara un software de supervisión de sistemas y rendimiento, los informes eran demasiado extensos y, por tanto, no se revisaban ni se actuaba en consecuencia El plan de acción MÁS eficaz sería:
A. evaluar los sistemas de sustitución y el software de supervisión del rendimiento
B. restringir la funcionalidad del software de supervisión del sistema a los eventos relacionados con la seguridad
C. reinstalar el sistema y el software de monitorización del rendimiento
D. utilizar herramientas analíticas para elaborar informes de excepciones a partir del sistema y del software de supervisión del rendimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #79
¿Cuál de los siguientes derechos de acceso presenta el MAYOR riesgo cuando se concede a un nuevo miembro del personal de desarrollo del sistema?
A. Acceso de escritura a las bibliotecas de programas de producción
B. Acceso de escritura a las bibliotecas de datos de desarrollo
C. Ejecutar el acceso a las bibliotecas de programas de producción
D. Ejecutar el acceso a las bibliotecas de programas de desarrollo
Ver respuesta
Respuesta correcta: A
Cuestionar #80
Un auditor de SI observa que la prueba de recuperación ante desastres del año anterior no se completó dentro del plazo previsto debido a la insuficiencia de hardware asignado por un proveedor externo.¿Cuál de las siguientes opciones proporciona la MEJOR prueba de que ahora se asignan los recursos adecuados para recuperar con éxito los sistemas?
A. Acuerdo de nivel de servicio (SLA)
B. Política de gestión de cambios de hardware
C. Nota del proveedor indicando la corrección del problema
D. Un gráfico RACI actualizado
Ver respuesta
Respuesta correcta: A
Cuestionar #81
Un consultor externo está gestionando la sustitución de un sistema contable. ¿Cuál de los siguientes aspectos debería ser la MAYOR preocupación del auditor de SI?
A. La migración de datos no forma parte de las actividades contratadas
B. La sustitución se produce cerca de la presentación de informes de fin de año
C. El departamento de usuarios gestionará los derechos de acceso
D. Las pruebas fueron realizadas por el consultor externo
Ver respuesta
Respuesta correcta: C
Cuestionar #82
Un auditor de SI observa que los tiempos de procesamiento de transacciones en un sistema de procesamiento de pedidos han aumentado significativamente después de un lanzamiento importante
A. Plan de gestión de la capacidad
B. Planes de formación
C. Resultados de la conversión de la base de datos
D. Resultados de las pruebas de resistencia
Ver respuesta
Respuesta correcta: D
Cuestionar #83
Un empleado pierde un dispositivo móvil, lo que provoca la pérdida de datos confidenciales de la empresa
A. ¿Cuál de las siguientes opciones habría evitado MEJOR la fuga de datos?
B. Cifrado de datos en el dispositivo móvil
C. Política de contraseñas complejas para dispositivos móviles
D. La activación de las capacidades de borrado remoto de datos
E. Formación de sensibilización para usuarios de dispositivos móviles
Ver respuesta
Respuesta correcta: A
Cuestionar #84
¿Cuál de las siguientes debería ser la MAYOR preocupación de un auditor de SI cuando una organización internacional pretende poner en marcha una política global de privacidad de datos?
A. Los requisitos pueden llegar a ser irrazonables
B. La política puede entrar en conflicto con los requisitos de aplicación existentes
C. La normativa local puede contradecir la políticA
D. Es posible que la dirección local no acepte la políticA
Ver respuesta
Respuesta correcta: C
Cuestionar #85
Durante una auditoría de seguimiento, un auditor de SI encuentra que algunas recomendaciones críticas tienen el MEJOR curso de acción del auditor de SI?
A. Exigir al auditado que aborde las recomendaciones en su totalidad
B. Ajustar en consecuencia la evaluación anual de riesgos
C. Evaluar la aceptación del riesgo por parte de la alta dirección
D. Actualizar el programa de auditoría en función de la aceptación del riesgo por parte de la dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #86
¿Cuál de las siguientes opciones comprometerá MÁS probablemente el control proporcionado por una firma digital creada mediante cifrado RSA?
A. Inversión de la función hash utilizando el resumen
B. Alteración del mensaje en texto plano
C. Descifrar la clave pública del receptor
D. Obtención de la clave privada del remitente
Ver respuesta
Respuesta correcta: D
Cuestionar #87
En la gestión de almacenes de datos (DW), ¿cuál es la MEJOR manera de prevenir los problemas de calidad de datos causados por los cambios de un sistema de origen?
A. Configurar alertas de calidad de datos para comprobar las desviaciones entre el almacén de datos y el sistema fuente
B. Exigir la aprobación de los cambios en el proceso de extracción/transferencia/carga (ETL) entre los dos sistemas
C. Incluir el almacén de datos en el análisis de impacto (o cualquier cambio m el sistema fuente
D. Restringir el acceso a los cambios en el proceso de extracción/transferencia/carga (ETL) entre los dos sistemas
Ver respuesta
Respuesta correcta: B
Cuestionar #88
¿Cuál de las siguientes opciones facilita MEJOR el proceso legal en caso de incidente?
A. Derecho a realizar e-discovery
B. Asesoramiento jurídico
C. Preservar la cadena de custodia
D. Resultados de un análisis de causa raíz
Ver respuesta
Respuesta correcta: C
Cuestionar #89
Una organización está planeando una adquisición y ha contratado a un auditor de SI para que evalúe el marco de gobierno de TI de la empresa objetivo
A. Informes de evaluación de la capacidad y madurez de las TI
B. Informes de evaluación comparativa del rendimiento informático con los competidores
C. Informes recientes de auditorías de SI realizadas por terceros
D. Informes de auditoría interna de SI actuales y anteriores
Ver respuesta
Respuesta correcta: C
Cuestionar #90
Un auditor de sistemas de información sospecha que el ordenador de una organización puede haber sido utilizado para cometer un delito
A. Examinar el ordenador en busca de pruebas que apoyen las sospechas
B. Informar a la dirección del delito tras la investigación
C. Póngase en contacto con el equipo de respuesta a incidentes para llevar a cabo una investigación
D. Notifique el posible delito a las fuerzas de seguridad locales antes de seguir investigando
Ver respuesta
Respuesta correcta: C
Cuestionar #91
¿Cuál de las siguientes opciones es la MÁS importante para garantizar que las pruebas electrónicas recogidas durante una investigación forense sean admisibles en futuros procedimientos judiciales?
A. Restringir el acceso a las pruebas a los investigadores forenses certificados profesionalmente
B. Documentación de la manipulación de pruebas por el personal a lo largo de la investigación forense
C. Realización de procedimientos de investigación en los discos duros originales en lugar de imágenes de los discos duros
D. Contratación de un tercero independiente para realizar la investigación forense
Ver respuesta
Respuesta correcta: B
Cuestionar #92
¿Cuál de las siguientes es la razón PRIMARIA para que un auditor de SI lleve a cabo revisiones post-implementación?
A. Determinar si se han alcanzado los objetivos del proyecto en el estudio de viabilidad
B. Garantizar la aprobación de las principales partes interesadas
C. Alinear los objetivos del proyecto con las necesidades de la empresa
D. Documentar las lecciones aprendidas para mejorar la ejecución de futuros proyectos
Ver respuesta
Respuesta correcta: A
Cuestionar #93
¿Cuál de las siguientes opciones proporcionaría a un auditor de SI la MAYOR garantía de que los controles de eliminación de datos respaldan los objetivos estratégicos de la empresa?
A. Política de reciclaje de soportes
B. Política de higienización de los medios de comunicación
C. Política de etiquetado de los medios de comunicación
D. Política de destrucción de soportes
Ver respuesta
Respuesta correcta: A
Cuestionar #94
Una organización ha desarrollado prácticas maduras de gestión de riesgos que se siguen en todos los departamentos ¿Cuál es la forma MÁS eficaz de que el equipo de auditoría aproveche esta madurez de la gestión de riesgos?
A. Aplicar las respuestas a los riesgos en nombre de la dirección
B. Integración del registro de riesgos en la planificación de auditorías
C. Garantizar a la dirección los riesgos
D. Facilitar talleres de identificación y evaluación de riesgos de auditoría
Ver respuesta
Respuesta correcta: B
Cuestionar #95
En un modelo RAO, ¿cuál de las siguientes funciones debe asignarse a una sola persona?
A. Responsable
B. Informado
C. Consultado
D. Responsable
Ver respuesta
Respuesta correcta: D
Cuestionar #96
¿Cuál de las siguientes opciones es la MÁS eficaz para que una organización garantice la aplicación de los planes de acción acordados en una auditoría de SI?
A. segurarse de que se asigna la propiedad
B. ruebe las acciones correctivas una vez finalizadas
C. arantizar la asignación de recursos de auditoría suficientes
D. Comunicar los resultados de la auditoría a toda la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #97
Un proveedor está desarrollando un nuevo sistema para una organización de servicios al consumidor. ¿Cuál de los siguientes es el requisito MÁS importante que debe incluirse en el contrato con el proveedor para garantizar la continuidad?
A. Debe disponerse de asistencia permanente las 24 horas del día, los 7 días de la semanA
B. El proveedor debe disponer de un plan documentado de recuperación en caso de catástrofe (DRP)
C. El código fuente del software debe depositarse en custodiA
D. El proveedor debe formar al personal de la organización para gestionar el nuevo software
Ver respuesta
Respuesta correcta: C
Cuestionar #98
¿Cuál de los siguientes es el MAYOR riesgo de seguridad asociado a la migración de datos de un sistema heredado de recursos humanos (RRHH) a un sistema basado en la nube?
A. Los datos del sistema de origen y de destino pueden ser interceptados
B. Los datos del sistema de origen y de destino pueden tener formatos de datos diferentes
C. Los registros que hayan superado su periodo de conservación no podrán migrarse al nuevo sistemA
D. El rendimiento del sistema puede verse afectado por la migración
Ver respuesta
Respuesta correcta: A
Cuestionar #99
¿Cuál es el beneficio PRIMARIO de un enfoque de auditoría que requiere que los hallazgos comunicados se publiquen junto con los planes de acción relacionados, los propietarios y las fechas objetivo?
A. facilita el seguimiento de la auditoría
B. impone el consenso sobre el plan de acción entre auditores y auditados
C. establece la responsabilidad de los planes de acción
D. contribuye a garantizar la exactitud de los hechos constatados
Ver respuesta
Respuesta correcta: C
Cuestionar #100
¿Cuál de las siguientes opciones es la MÁS importante que hay que verificar para determinar si el proceso de análisis de vulnerabilidades está completo?
A. El inventario de sistemas de la organización se mantiene actualizado
B. Los resultados de la exploración de vulnerabilidades se comunican al CISO
C. La organización utiliza una herramienta de análisis alojada en la nube para la identificación de vulnerabilidades
D. El acceso a la herramienta de escaneo de vulnerabilidades es revisado periodicamente
Ver respuesta
Respuesta correcta: B
Cuestionar #101
Durante la fase de diseño de un proyecto de desarrollo de software, la responsabilidad PRIMARIA de un auditor de SI es evaluar el:
A. Compatibilidad futura de la aplicación
B. Funcionalidad propuesta para la aplicación
C. Controles incorporados en las especificaciones del sistemA
D. Metodología de desarrollo empleadA
Ver respuesta
Respuesta correcta: C
Cuestionar #102
¿Cuál de los siguientes entornos es el MEJOR utilizado para copiar datos y transformarlos en un almacén de datos formal compatible?
A. Pruebas
B. Replicación
C. Puesta en escena
D. Desarrollo
Ver respuesta
Respuesta correcta: C
Cuestionar #103
¿Cuál de los siguientes sería el parámetro MÁS útil para la dirección a la hora de revisar una cartera de proyectos?
A. Coste de los proyectos dividido por el coste total de TI
B. Rentabilidad esperada dividida por el coste total del proyecto
C. Valor actual neto (VAN) de la cartera
D. Coste total de cada proyecto
Ver respuesta
Respuesta correcta: C
Cuestionar #104
¿Cuál de las siguientes opciones es la MÁS importante que debe confirmar un auditor de SI al revisar los planes de una organización para implementar la automatización de procesos robóticos (RPA) para automatizar tareas empresariales rutinarias?
A. Se comprende y documenta el proceso de principio a fin
B. Se definen las funciones y responsabilidades de los procesos empresariales incluidos en el ámbito de aplicación
C. Se ha completado un ejercicio de evaluación comparativa de los homólogos del sector que utilizan RPA
D. Se ha enviado una solicitud de propuestas (RFP) a proveedores cualificados
Ver respuesta
Respuesta correcta: B
Cuestionar #105
Los desarrolladores de software de una organización necesitan acceder a información personal identificable (IPI) almacenada en un formato de datos concreto. ¿Cuál de las siguientes opciones es la MEJOR manera de proteger esta información sensible y permitir al mismo tiempo que los desarrolladores la utilicen en entornos de desarrollo y prueba?
A. Enmascaramiento de datos
B. Tokenización de datos
C. Cifrado de datos
D. Abstracción de datos
Ver respuesta
Respuesta correcta: A
Cuestionar #106
Una organización ha tomado la decisión estratégica de dividirse en entidades operativas separadas para mejorar la rentabilidad. ¿Cuál de las siguientes opciones sería la MEJOR para garantizar que la auditoría de SI sigue cubriendo las áreas de riesgo clave dentro del entorno de TI como parte de su plan anual?
A. Aumentar la frecuencia de las auditorías de SI basadas en el riesgo para cada entidad empresarial
B. Desarrollar un plan basado en el riesgo teniendo en cuenta los procesos empresariales de cada entidad
C. Realización de una auditoría de las políticas y procedimientos informáticos recién introducidos
D. Revisión de los planes de auditoría de SI para centrarse en los cambios informáticos introducidos tras la escisión
Ver respuesta
Respuesta correcta: D
Cuestionar #107
¿Cuál de los siguientes sería el resultado de utilizar un proceso de modelo de madurez descendente?
A. Un medio de comparar la eficacia de procesos similares con los de sus homólogos
B. Un medio de comparar la eficacia de otros procesos dentro de la empresa
C. Identificación de procesos más antiguos y establecidos para garantizar una revisión oportuna
D. Identificación de los procesos con más oportunidades de mejora
Ver respuesta
Respuesta correcta: D
Cuestionar #108
Para ser útil, un indicador clave de rendimiento (KPI) DEBE
A. ser aprobado por la dirección
B. ser medibles en porcentajes
C. cambiarse con frecuencia para reflejar la estrategia de la organización
D. tener un valor objetivo
Ver respuesta
Respuesta correcta: C
Cuestionar #109
¿Cuál de los siguientes documentos sería MÁS útil para detectar una debilidad en la segregación de funciones?
A. Diagrama de flujo del sistema
B. Diagrama de flujo de datos
C. Diagrama de flujo del proceso
D. Diagrama entidad-relación
Ver respuesta
Respuesta correcta: C
Cuestionar #110
¿Cuál de las siguientes es la MEJOR justificación para aplazar las pruebas de corrección hasta la próxima auditoría?
A. El auditor que realizó la auditoría y estuvo de acuerdo con el calendario ha abandonado la organización
B. Las medidas previstas por la dirección son suficientes dada la importancia relativa de las observaciones
C. La dirección de la entidad auditada ha aceptado todas las observaciones comunicadas por el auditor
D. El entorno de auditoría ha cambiado significativamente
Ver respuesta
Respuesta correcta: D
Cuestionar #111
Al revisar las políticas de seguridad de la información de una organización, un auditor de SI debe verificar que las políticas se hayan definido PRIMARIAMENTE sobre la base de:
A. un proceso de gestión de riesgos
B. un marco de seguridad de la información
C. incidentes pasados de seguridad de la información
D. mejores prácticas del sector
Ver respuesta
Respuesta correcta: B
Cuestionar #112
¿Cuál de los siguientes aspectos es el que MÁS debe preocupar a un auditor de SI durante una revisión posterior a la implantación?
A. El sistema no cuenta con un plan de mantenimiento
B. El sistema contiene varios defectos menores
C. El despliegue del sistema se retrasó tres semanas
D. El sistema superó el presupuesto en un 15%
Ver respuesta
Respuesta correcta: A
Cuestionar #113
Una auditoría de SI revela que una organización no está abordando de forma proactiva las vulnerabilidades conocidas. ¿Cuál de las siguientes recomendaciones debería hacer PRIMERO el auditor de SI?
A. Verificar que se ha probado el plan de recuperación en caso de catástrofe (DRP)
B. Asegurarse de que el sistema de prevención de intrusiones (IPS) es eficaz
C. Evaluar los riesgos de seguridad para la empresA
D. Confirmar que el equipo de respuesta a incidentes entiende el problemA
Ver respuesta
Respuesta correcta: C
Cuestionar #114
¿Cuál de las siguientes opciones proporciona a los profesionales de auditoría de SI la MEJOR fuente de orientación para llevar a cabo las funciones de auditoría?
A. Carta de auditoría
B. Comité director de informática
C. Política de seguridad de la información
D. Mejores prácticas de auditoría
Ver respuesta
Respuesta correcta: A
Cuestionar #115
Un auditor de SI está revisando el proceso de gestión de activos de información de una organización. ¿Cuál de los siguientes puntos sería de MAYOR preocupación para el auditor?
A. El proceso no requiere especificar la ubicación física de los activos
B. No se ha establecido la propiedad del proceso
C. El proceso no incluye la revisión de activos
D. La identificación del valor de los activos no se incluye en el proceso
Ver respuesta
Respuesta correcta: B
Cuestionar #116
Se utilizan hojas de cálculo para calcular las estimaciones de costes del proyecto. A continuación, los totales de cada categoría de costes se introducen en el sistema de cálculo de costes por proyecto
A. Conciliación de los importes totales por proyecto
B. Controles de validez, que impiden la introducción de datos de carácter
C. Comprobaciones del carácter razonable de cada tipo de coste
D. Visualización de los detalles del proyecto después de la entrada
Ver respuesta
Respuesta correcta: A
Cuestionar #117
¿Cuál de las siguientes es la ventaja PRIMARIA del procesamiento paralelo para la implementación de un nuevo sistema?
A. Garantía de que el nuevo sistema cumple los requisitos funcionales
B. Más tiempo para que los usuarios completen la formación sobre el nuevo sistema
C. Ahorro significativo de costes respecto a otros sistemas o enfoques de aplicación
D. Garantía de que el nuevo sistema cumple los requisitos de rendimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #118
¿Cuál de los siguientes puntos debería preocupar MÁS a un auditor de SI que revise la infraestructura de clave pública (PKI) para el correo electrónico de la empresa?
A. No se ha actualizado la lista de revocación de certificados
B. La política PKI no se ha actualizado en el último año
C. No se ha actualizado el certificado de clave privadA
D. No se ha publicado la declaración de prácticas de certificación
Ver respuesta
Respuesta correcta: A
Cuestionar #119
Un cargador de auditoría de organizaciones PRIMARIAMENTE:
A. describe la autoridad de los auditores para realizar auditorías
B. define el código de conducta de los auditores
C. registra formalmente los planes de auditoría anual y trimestral
D. documenta el proceso de auditoría y las normas de información
Ver respuesta
Respuesta correcta: A
Cuestionar #120
La decisión de aceptar un riesgo de control informático relacionado con la calidad de los datos debe ser responsabilidad del:
A. equipo de seguridad de la información
B. Responsable de auditoría de SI
C. director de información (CIO)
D. empresario
Ver respuesta
Respuesta correcta: D
Cuestionar #121
¿Cuál es la principal razón por la que un auditor de SI utiliza técnicas de análisis de datos para reducir qué tipo de riesgo de auditoría?
A. Riesgo tecnológico
B. Riesgo de detección
C. Riesgo de control
D. Riesgo inherente
Ver respuesta
Respuesta correcta: B
Cuestionar #122
¿Cuál de los siguientes es el MEJOR control para evitar la transferencia de archivos a partes externas a través de aplicaciones de mensajería instantánea (IM)?
A. Cifrado a nivel de fichero
B. Protocolo de transferencia de archivos (FTP)
C. Política de mensajería instantánea
D. Cortafuegos a nivel de aplicación
Ver respuesta
Respuesta correcta: D
Cuestionar #123
Para permitir la alineación de los planes de desarrollo del personal de TI con la estrategia de TI, ¿cuál de las siguientes acciones debe realizarse PRIMERO?
A. Revisar las descripciones de los puestos del personal de TI para alinearlas
B. Desarrollar una formación trimestral para cada miembro del personal de TI
C. Identificar las competencias informáticas necesarias para apoyar los procesos empresariales clave
D. Incluir objetivos estratégicos en los objetivos de rendimiento del personal informático
Ver respuesta
Respuesta correcta: C
Cuestionar #124
Una revisión de la cartera de TI de una organización reveló varias aplicaciones que no están en uso. La MEJOR manera de evitar que esta situación se repita sería implementar.
A. Un proceso formal de solicitud de propuestas (RFP)
B. Procedimientos de desarrollo de casos empresariales
C. Una política de adquisición de activos de información
D. Gestión del ciclo de vida de los activos
Ver respuesta
Respuesta correcta: D
Cuestionar #125
¿Cuál de las siguientes cuestiones relacionadas con las cámaras de vigilancia de circuito cerrado de televisión (CCTV) de un centro de datos debería preocupar MÁS a un auditor de SI?
A. Las grabaciones de vídeovigilancia no se revisan periódicamente
B. Las cámaras de vídeovigilancia no están instaladas en las salas de descanso
C. Los registros de vídeovigilancia se borran al cabo de un año
D. Las imágenes de vídeovigilancia no se graban 24 horas al día, 7 días a la semanA
Ver respuesta
Respuesta correcta: A
Cuestionar #126
¿Cuál de las siguientes acciones debe realizarse PRIMERO a la hora de planificar una prueba de penetración?
A. Firmar acuerdos de confidencialidad
B. Determinar los requisitos de notificación de vulnerabilidades
C. Definir el alcance de las pruebas
D. Obtener el consentimiento de la dirección para la realización de las pruebas
Ver respuesta
Respuesta correcta: D
Cuestionar #127
Un auditor de SI está planificando una auditoría de los procesos de cuentas por pagar de una organización. ¿Cuál de los siguientes controles es MÁS importante evaluar en la auditoría?
A. Separación de funciones entre la emisión de órdenes de compra y la realización de pagos
B. Segregación de funciones entre la recepción de facturas y la fijación de límites de autorización
C. Revisión y aprobación por la dirección de los niveles de autorización
D. Revisión y aprobación de las órdenes de compra por parte de la dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #128
¿Cuál de las siguientes opciones es la MÁS importante para incluir en los procedimientos de recopilación y conservación de datos forenses?
A. Garantizar la seguridad física de los dispositivos
B. Preservar la integridad de los datos
C. Mantenimiento de la cadena de custodia
D. Determinación de las herramientas que deben utilizarse
Ver respuesta
Respuesta correcta: B
Cuestionar #129
¿Cuál de las siguientes opciones garantiza MEJOR la calidad e integridad de los procedimientos de prueba utilizados en el análisis de auditoría?
A. Desarrollar y comunicar las mejores prácticas de procedimientos de prueba a los equipos de auditoría
B. Desarrollo e implantación de un repositorio de datos de auditoría
C. Descentralización de los procedimientos e implantación de la revisión periódica inter pares
D. Centralizar los procedimientos y aplicar el control de cambios
Ver respuesta
Respuesta correcta: D
Cuestionar #130
El departamento de arquitectura empresarial (EA) de una organización decide cambiar los componentes de un sistema heredado manteniendo su funcionalidad original. ¿Cuál de las siguientes opciones es la MÁS importante que debe comprender un auditor de SI al revisar esta decisión?
A. Las capacidades empresariales actuales proporcionadas por el sistema heredado
B. Topología de red propuesta para el sistema rediseñado
C. Los flujos de datos entre los componentes que utilizará el sistema rediseñado
D. Las relaciones de entidad de la base de datos dentro del sistema heredado
Ver respuesta
Respuesta correcta: A
Cuestionar #131
¿Cuál de las siguientes es la razón MÁS importante para implantar el control de versiones en una aplicación informática de usuario final (EUC)?
A. Para garantizar la disponibilidad de versiones anteriores como referencia
B. Para garantizar que sólo se utiliza la última versión aprobada de la aplicación
C. Para garantizar la compatibilidad de las distintas versiones de la aplicación
D. Para asegurar que solo usuarios autorizados puedan acceder a la aplicacion
Ver respuesta
Respuesta correcta: B
Cuestionar #132
Un auditor de SI está llevando a cabo una revisión posterior a la implementación de un sistema de planificación de recursos empresariales (ERP). Los usuarios finales han manifestado su preocupación por la precisión de los cálculos automáticos críticos realizados por el sistema. El PRIMER curso de acción del auditor debería ser:
A. revisar los cambios recientes en el sistemA
B. verificar la finalización de las pruebas de aceptación del usuario (UAT)
C. verificar los resultados para determinar la validez de las preocupaciones de los usuarios
D. revisar los requisitos empresariales iniciales
Ver respuesta
Respuesta correcta: C
Cuestionar #133
¿Cuál de las siguientes es una preocupación de la dirección ejecutiva que podría abordarse mediante la implantación de un cuadro de mandos de métricas de seguridad?
A. Eficacia del programa de seguridad
B. Incidentes de seguridad frente a las referencias del sector
C. Número total de horas presupuestadas para seguridad
D. Número total de falsos positivos
Ver respuesta
Respuesta correcta: A
Cuestionar #134
¿Cuál de las siguientes es la MEJOR prueba de que la estrategia de TI de una organización está alineada con sus objetivos empresariales?
A. La estrategia de TI se modifica en respuesta al cambio organizativo
B. La estrategia de TI es aprobada por la dirección ejecutivA
C. La estrategia de TI se basa en las mejores prácticas operativas de TI
D. La estrategia informática tiene un impacto significativo en la estrategia empresarial
Ver respuesta
Respuesta correcta: A
Cuestionar #135
Durante la ejecución de las actividades de seguimiento, un auditor de SI se preocupa por el hecho de que la dirección haya aplicado medidas correctoras distintas de las que se discutieron y acordaron originalmente con la función de auditoría. Para resolver la situación, lo MEJOR que podría hacer el auditor de SI sería:
A. volver a priorizar el problema original como de alto riesgo y elevarlo a la alta dirección
B. programar una auditoría de seguimiento en el próximo ciclo de auditoríA
C. posponer las actividades de seguimiento y elevar los controles alternativos a la alta dirección de auditoríA
D. determinar si los controles alternativos mitigan suficientemente el riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #136
Se ha pedido a un auditor de SI que evalúe la seguridad de un sistema de base de datos recientemente migrado que contiene datos personales y financieros de los clientes de un banco
A. Se han modificado las configuraciones por defecto
B. Todas las tablas de la base de datos están normalizadas
C. Se ha cambiado el puerto de servicio utilizado por el servidor de base de datos
D. La cuenta de administracion por defecto se utiliza despues de cambiar la contraseña de la cuentA
Ver respuesta
Respuesta correcta: A
Cuestionar #137
¿Cuál de los siguientes es el MEJOR control para mitigar los ataques que redirigen el tráfico de Internet a un sitio web no autorizado?
A. Utilizar un cortafuegos basado en red
B. Impartir formación periódica de concienciación sobre seguridad a los usuarios
C. Reforzar la seguridad del servidor del sistema de nombres de dominio (DNS)
D. Imponga una politica de contraseñas fuerte que cumpla con los requerimientos de complejidad
Ver respuesta
Respuesta correcta: C
Cuestionar #138
Se encontró un código de programa malicioso en una aplicación y se corrigió antes de ponerla en producción.Después de la puesta en producción, se informó del mismo problema.¿Cuál de las siguientes es la MEJOR recomendación del auditor IS?
A. Asegúrese de que el código del programa corregido se compila en un servidor dedicado
B. Garantizar que los informes de gestión de cambios se revisan de forma independiente
C. Garantizar que los programadores no puedan acceder al código una vez finalizada la edición del programA
D. Asegurarse de que la empresa aprueba los resultados de las pruebas de aceptación del usuario (UAT) de principio a fin
Ver respuesta
Respuesta correcta: A
Cuestionar #139
¿Cuál de los siguientes controles MEJOR garantiza una adecuada segregación de funciones dentro de un departamento de cuentas por pagar?
A. Restricción de la funcionalidad de los programas según los perfiles de seguridad de los usuarios
B. Restringir el acceso a los programas de actualización únicamente al personal encargado de las cuentas por pagar
C. Incluir el ID de usuario de los creadores como un campo en cada registro de transacción creado
D. Garantizar la existencia de pistas de auditoría para las transacciones
Ver respuesta
Respuesta correcta: A
Cuestionar #140
¿Qué es lo MÁS importante que hay que verificar durante una evaluación externa de la vulnerabilidad de la red?
A. Actualización de las normas de gestión de eventos de información de seguridad (SIEM)
B. Revisión periódica de la política de seguridad de la red
C. Exhaustividad del inventario de activos de la red
D. Ubicación de los sistemas de detección de intrusos (IDS)
Ver respuesta
Respuesta correcta: C
Cuestionar #141
¿Cuál de los siguientes es un control detectivesco?
A. Comprobaciones de edición programadas para la introducción de datos
B. Procedimientos de copia de seguridad
C. Utilización de tarjetas de acceso a las instalaciones físicas
D. Verificación de los totales de hash
Ver respuesta
Respuesta correcta: D
Cuestionar #142
Un minorista en línea está recibiendo quejas de clientes por recibir artículos diferentes de los que pidieron en el sitio web de la organización. La causa principal es la mala calidad de los datos. A pesar de los esfuerzos por limpiar los datos erróneos del sistema, siguen produciéndose múltiples problemas de calidad de datos. ¿Cuál de las siguientes recomendaciones sería la MEJOR manera de reducir la probabilidad de que se produzcan en el futuro?
A. Asignar responsabilidades para mejorar la calidad de los datos
B. Invertir en formación adicional de los empleados para la introducción de datos
C. Externalizar las actividades de limpieza de datos a terceros fiables
D. Implementar reglas de negocio para validar la entrada de datos de los empleados
Ver respuesta
Respuesta correcta: D
Cuestionar #143
Cuando una auditoría de SI revela que un cortafuegos fue incapaz de reconocer una serie de intentos de ataque, la MEJOR recomendación del auditor es colocar un sistema de detección de intrusiones (IDS) entre el cortafuegos y:
A. el servidor web de la organización
B. la zona desmilitarizada (DMZ)
C. la red de la organización
D. Internet
Ver respuesta
Respuesta correcta: C
Cuestionar #144
Un auditor de SI que evalúe los controles dentro de un centro de llamadas recién implantado Primero
A. recabar información de los clientes sobre los tiempos de respuesta y la calidad del servicio
B. revisar los controles manuales y automatizados del centro de llamadas
C. probar la infraestructura técnica del centro de llamadas
D. evaluar el riesgo operativo asociado al centro de llamadas
Ver respuesta
Respuesta correcta: D
Cuestionar #145
La dirección recibe información que indica un alto nivel de riesgo asociado a posibles inundaciones cerca del centro de datos de la organización en los próximos años. Como resultado, se ha tomado la decisión de trasladar las operaciones del centro de datos a otra instalación en un terreno más elevado
A. Evitar riesgos
B. Transferencia de riesgos
C. Aceptación del riesgo
D. Reducción de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #146
¿Cuál de las siguientes opciones sería la MEJOR para determinar si una revisión posterior a la implementación (PIR) realizada por la oficina de gestión de proyectos (PMO) fue eficaz?
A. Se han aplicado las lecciones aprendidas
B. La dirección aprobó el informe PIR
C. La revisión fue realizada por un proveedor externo
D. Se han alcanzado los resultados del proyecto
Ver respuesta
Respuesta correcta: D
Cuestionar #147
¿Cuál de los siguientes es el MEJOR indicador de la eficacia de los sistemas de detección de intrusos basados en firmas (lDS)?
A. Aumento del número de falsos positivos identificados
B. Aumento del número de incidentes detectados no identificados anteriormente
C. Un aumento del número de fuentes desconocidas de intrusos
D. Aumento del número de incidentes críticos notificados internamente
Ver respuesta
Respuesta correcta: B
Cuestionar #148
En una auditoría se ha detectado que un sistema informático no asigna números de pedido secuenciales a las solicitudes de pedido. El auditor de SI está realizando una auditoría de seguimiento para determinar si la dirección se ha reservado este hallazgo. ¿Cuál de los dos siguientes es el procedimiento de seguimiento MÁS fiable?
A. Revisar la documentación de los cambios de retracto para implementar la numeración secuencial de los pedidos
B. Pregunte a la dirección si el sistema se ha configurado y probado para generar números de pedido secuenciales
C. Inspeccione la configuración del sistema y los registros de transacciones para determinar si se generan números de pedido secuenciales
D. Examinar una muestra de órdenes de compra generadas por el sistema y obtenidas de la dirección
Ver respuesta
Respuesta correcta: C
Cuestionar #149
¿Cuál es el hallazgo más crítico al revisar la gestión de la seguridad de la información de una organización?
A. Ningún agente de seguridad especializado
B. Ausencia de carta oficial para el sistema de gestión de la seguridad de la información
C. Ausencia de evaluaciones periódicas para identificar amenazas y vulnerabilidades
D. Ningún programa de formación y educación para la concienciación de los empleados
Ver respuesta
Respuesta correcta: D
Cuestionar #150
¿Cuál de los siguientes puntos es el MÁS importante a la hora de planificar una prueba de penetración de caja negra?
A. La dirección de la organización cliente está al corriente de las pruebas
B. Los resultados de las pruebas se documentarán y comunicarán a la dirección
C. Se han determinado el entorno y el alcance de la prueba de penetración
D. Se dispone de diagramas de la arquitectura de red de la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #151
Antes de un encargo de seguimiento, un auditor de SI se entera de que la dirección ha decidido aceptar un nivel de riesgo residual relacionado con un hallazgo de auditoría sin remediarlo. El auditor de SI está preocupado por la decisión de la dirección, ¿cuál de las siguientes debería ser la PRÓXIMA actuación del auditor de SI?
A. Aceptar la decisión de la dirección y continuar el seguimiento
B. Informar del problema a la dirección de auditoría de SI
C. Informar del desacuerdo a la juntA
D. Presentar la cuestión a la dirección ejecutivA
Ver respuesta
Respuesta correcta: B
Cuestionar #152
¿Cuál de las siguientes es la MEJOR manera de mitigar el impacto de los ataques de ransomware?
A. Invocación del plan de recuperación en caso de catástrofe (DRP)
B. Realizar copias de seguridad frecuentes
C. Pago del rescate
D. Exigir cambios de contraseña para las cuentas administrativas
Ver respuesta
Respuesta correcta: B
Cuestionar #153
¿Cuál es el MEJOR método para determinar si el gasto en recursos informáticos está alineado con el gasto previsto en los proyectos?
A. Análisis del valor ganado (EVA)
B. Análisis del rendimiento de la inversión (ROI)
C. Diagrama de Gantt
D. Análisis del camino crítico
Ver respuesta
Respuesta correcta: A

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.