Guía Tercer Parcial Sistemas de Información

UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS

DEPARTAMENTO DE CONTADURIA PÚBLICA Y FIANANZAS

Guía Tercer Parcial Sistemas de Información II

1. Selección única:

1. La actualización de la documentación técnica cuando se efectúan cambios solicitados queda evidencia especialmente en:

1. Los manuales operativos
2. En los listados de programas fuente
3. En las solicitudes de cambios
4. En los manuales de biblioteca
5. En los expedientes de los dueños de las  aplicaciones

1. Cuando el auditor puede verificar de manera efectiva que la contraseña de un programador ex empleado fue desactivada cuando se despidió y no se utilizó más. B15.3

1. Revisando su expediente
2. Con platicas con el gerente de TI
3. Con platicas con analistas y programadores
4. B Y C
5. Ninguno de los anteriores   ( solicite un reporte del Log (Bitácora) del sistema con fecha posterior al despido de algún personal )

1. Qué control o controles debe verificar el auditor que se estén aplicando al hub, routers, y/o switch. G 71 2-3

1. Que las computadoras se manejen con llaves
2. La existencia de lockers y que estos estén con llave
3. Localización física restringida
4. Que el acceso a los lockers sea siguiendo un procedimiento de seguridad adecuado.
5. A y C son correctas
6. B y D son correctas
7. Ninguna es correcta

1. Las evaluaciones de seguridad a las tecnologías de información y comunicaciones de la institución se hacen cada: A-3.9.

1. 3 meses

1. 2 años
2. Cada año
3. Todos los meses
4. Ninguna de las anteriores

1. El objetivo de la rotación del personal es: B13.1.3

1. No depender de personas
2. Garantizar la continuidad de las operaciones
3. Desalentar la comisión de errores y/o irregularidades en la operación de aplicaciones sujetas a estos riesgos
4. todas las anteriores
5. A y b son correctas

1. Controlar el uso indebido de programas utilitarios o herramientas que permiten la manipulación de los datos en los diferentes sistemas es responsabilidad de:  A-3 9F

1. Gerente de TI
2. Gerente de Seguridad
3. Comité de gestión de seguridad
4. A y b
5. B y c son correctos.

1. Deberá nombrar un ejecutivo especializado responsable de todos los asuntos relacionados con todos los asuntos de TI  A-3.6

1. Comité de seguridad
2. Junta directiva
3. Administrador de seguridad de Informática
4. Empresa externa
5. Gerencia general

1. Es una de las funciones que debería de estar bien definida en el organigrama del departamento de TI  A-2.2

1. Gerencia de TI
2. Desarrollo de sistemas
3. Sala de computo
4. Entorno de seguridad
5. Vigilancia programada

1. ¿Cómo se verifica que la identidad del sitio de internet está certificado y evita posibles imitaciones?  D-41.1 -4

1. Certificado digital
2. Firma digital
3. Leyenda sitio seguro
4. Sitio este bajo https
5. Este un candado cerrado

1. Persona encargada de revisar la Bitácora de accesos de los auditores de la CNBS para verificar las actividades realizadas por estas personas en la red de la institución bancaria auditada es:  D-37

1. Administrador de red
2. Administrador de seguridad
3. Gerente de TI
4. Jefe de auditores de la CNBS
5. Ninguna de las anteriores.

1. Donde va el auditor a revisar la prueba, determine si las funciones de auditoria aplican alguna técnica de auditoria de sistemas de información, tales como datos de prueba, rutinas incluidas, análisis de listado de compilación etc.

1. En TI
2. En la Gerencia de seguridad
3. En a y b
4. Ninguna de las anteriores.

1. En qué casos el auditor verifica la documentación técnica de la última aplicación desarrollada  C 24.2

1. Si los programadores cumplen con los estándares o guía para el desarrollo de programas y aplicaciones
2. Si los analistas cumplen con los estándares o guía para el desarrollo de programas y aplicaciones
3. Para verificar el cumplimiento con los estándares o guía para elaborar la documentación técnica.
4. A y C
5. B y C
6. Todas  las anteriores

1. El mal uso de la información y de los recursos informáticos en la empresa que ocasiona pérdidas financieras, de tiempo u otros efectos negativos se debe a que: A -2.1E

1. El gerente de seguridad depende de la gerencia de TI
2. No existe el comité de seguridad
3. El gerente de TI no tiene experiencia
4. Falta de un organigrama del departamento de TI

1. Las operaciones pendientes de registro o en suspenso deben de: E-47   PAG. 47

1. Corregir de inmediato
2. Ser resuelta y operada lo más pronto posible (dos días)
3. Tener un responsable del control de correcciones quien corrige los mismos en tres días
4. Ninguna es correcta

1. Se verifica que existen a disposición de la DEI los archivos de la base de datos de las operaciones con una antigüedad de : B-19 2.6

1. 5 años
2. 6 meses
3. No existe periodo determinado
4. Últimos dos años
5. Ninguno de las anteriores.

1. Si en el departamento de TI no existe un manual de descripción de funciones, puede que haya: A-3.1

1. Líneas de mando no definidas
2. Confusión en el personal por no tener claramente definidas sus tareas
3. Inconformidad en los empleados por asignación no equitativa de tareas entre los mismos
4. Todas las anteriores son correctas

1. Tipo Verdadero y Falso

1. Las pruebas de intrusión sirven para evitar que intrusos entren a nuestro sistema de Información PAG. 134……………………………………………………………………………………………...( F ) (sirven para determinar vulnerabilidades en el sistema)
2. El auditor determinara la capacidad técnica operativa del personal para identificar fallas del mal funcionamiento del computador mediante investigación con los operadores del computador     PAG.111……………………………………………….................................................................( F )

(Mediante platicas con los transcriptores y operadores de la APLICACION)

1. Evaluaciones de seguridad que debe efectuar el gerente de seguridad deben ser al menos anualmente…A-3.9……………………………………………………………………………….( V )

1. El auditor preguntara y solicitara información sobre la existencia de estándares para el desarrollo de manuales operativos a los dueños de las aplicaciones…PAG. 51…………………………......…………………………………………………………………   …..( F) (al gerente de TI, ANALISTAS Y PROGRAMADORES)

1. Las responsabilidades y funciones del jefe de seguridad de informática deben estar bien definidas por el responsable de TI…pag 6……………………………………………………...(F) (son definidas por la gerencia general.)

1. El plan de contingencias según la CNBS debe ser revisado como mínimo cada dos años……pag 86 D-40…………………………………………………………………………………….…………(V)                                                                    

1. Los compiladores editores y otros servicios del sistema deben ser accesibles desde los sistemas de desarrollo , cuando se necesiten ………………………………………………..…..(V)

1. Según la CNBS los registros para consulta de las transacciones deben estar disponibles por cinco años…PAG 36………………………………………………………………………….......... (F)  (por seis meses.)

1. Al analizar el organigrama de la empresa el auditor puede observar funciones incompatibles que se pueden estar desarrollando en TI. …PAG 8…………………………………………... (F)   (las funciones incompatibles de TI se encuentran al analizar el manual de puestos y el perfil de funciones.  )                                                                                                                                                                      

1. ¿El personal clave o de alto riesgo es SOLO aquel que  tiene acceso ilimitado a los recursos informáticos? ……………………………………………………………………………..……. ……(V)

1. La contratación  de diseño de programas de cálculo de intereses sobre préstamos que es de vital importancia para el banco debe ser reportada y obtenida la operación previa de la CNBS…… PAG 94……………………………………………..……………………………........(F) (no es actividad significativa de tercerización)

1. Según la resolución 1301, las transacciones de consulta deben estar disponibles por el periodo de seis meses………………………………………………………………………….……………...(V)

1. Puede el departamento de sistemas ejecutar operaciones, transacciones o acciones en aplicaciones en funcionamiento………………………………………………………………….… (F)

(Solo puede hacerlo el dueño de la aplicación)

1. ¿La memoria caché sirve para evitar las colisiones entre las contraseñas iguales? ……………………………………...………………………………………………………………….(  F)

SIRVE PARA ACCEDER MAS RAPIDO A LA INFORMACION

1. El administrador de seguridad debe depender del concejo de administración para evitar conflictos de intereses  con el encargado de TI PAG 4………………………………………………….( F)

(Debe depender de la Gerencia General)

1. La contratación de diseño de programas de la cuenta de ahorros que es de vital importancia para el banco debe ser reportada y obtenida la aprobación de la CNBS………………………………………………………………………………..…………………(F )

(No es actividad significativa de tercerización)

1. El personal clave o de alto riesgo que no llega a trabajar días feriados, horas inhábiles, sábado y domingos no deben estar afianzados?........PAG 12..........................................................................(F)

(Si deben estar afianzados porque son personal de confianza)

1. ¿El plan estratégico del departamento de TI es aprobado por el departamento de Informática? ………………………………………………………………………………………………………….(F )

(Es aprobado POR EL COMITÉ DE INFORMATICA) PAG 14

1. Para las aplicaciones y programas desarrollados por la empresa el auditor deberá verificar que este cuente con el licenciamiento original de sistema operativo……………………………………………………………………………………………….(F) SOLO CUANDO SON COMPRADOS

1. Debe existir documentación técnica solo para las aplicaciones más importantes o criticas…………………………………………………………………………………………………(F) debe existir documentación técnica para todas las aplicaciones

1. Las conexiones a Internet otorgadas a los empleados deben ser autorizadas por el jefe de seguridad de informática……………………………………………………………………………..(F) por el gerente General. PAGINA 88

1. La evaluación del riesgo de continuidad del negocio debe ser llevada a cabo con una total importancia por parte de los propietarios de los recursos y procesos del negocio…………………………………………………………………………………………………(V)

1. Las reuniones del comité de informática se debe revisar dos veces al año y todo lo decidido en este debe estar plasmado en un libro de actas…………………………………………..............(F) se debe realizar por lo menos cada dos meses página 14

1. Los planes de continuidad del negocio se deben probar regularmente para asegurar de su actualización y eficacia………………………………………………….........................................(V)

1. Las operaciones en suspenso o pendientes de registro que son resueltas deberían indicar el personal responsable de la corrección…pagina 105……………………....................................(V)

1. Seguridad de informática se refiere a la protección de los activos de información tales como base de datos, correo electrónico, documentos electrónicos y ben general los activos digitales de la empresa…………………………………… …………………………………………………..(F) esto es Seguridad de la información 

1. Tipo Enumeración:

1. Mencione aspectos que el auditor verifica en lo relativo a los términos y condiciones del empleo que establecen responsabilidades del empleado en materia de seguridad de la información : página 9

1. Responsabilidad de un periodo definido tras la finalización del contrato
2. Propiedad intelectual y protección de datos
3. Responsabilidad por la clasificación y gestión de los datos del empleador
4. Que las responsabilidades se extiendan fuera de la organización y en horas y días no laborables

1. Mencione las funciones que deben estar bien definidas al organizar el organigrama de TI :A2.2

1. Desarrollo de sistemas.
2. Operaciones del computador.
3. Administración de base de datos.
4.  Administración de redes.
5. Administración de seguridad.

1. Ante la falta de un control para la existencia de un contrato que vincule a las instituciones bancarias con compañías externas que brindan servicios relacionados con los sistemas de información (Outsourciing) que procedimientos de auditoría, (Pruebas sustantivas) efectuaría usted como auditor: página 74

Mediante pláticas con el jefe de sistemas, Administrador de seguridad, Departamento Legal y Gerente Administrativo determine si han existido o existen algunas de las siguientes situaciones:

...