Auditoria de sistemas informticos

Falso o verdadero ( F o V)

1. La confiabilidad tiene que ver con la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta consistente y utilizable   F
2. La disponibilidad consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos   F
3. La confidenciabilidad está relacionada con la precisión y completitud de la información, así como su validez de acuerdo a los valores y expectativas del negocio  F
4. La efectividad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno  F
5. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso, es decir, criterios de negocios impuestos externamente, así como políticas internas   V
6. La eficiencia se refiere a la protección de información sensitiva contra revelación no autorizada   F
7. La integridad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas   F
8. Aunque a simple vista se puede entender que un riesgo y una vulnerabilidad se podrían englobar en un mismo concepto, de modo que la vulnerabilidad está ligada a una amenaza y el riesgo a un impacto  V

1. Los siguientes ítems mencionados son elementos generales del control, ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, supervisión o monitoreo, estos componentes están interrelacionados y sirven como criterios para determinar si el sistema es eficaz, ayudando así a que la empresa dirija de mejor forma sus objetivos y ayuden a integrar a todo el personal en un proceso. Con respecto a las actividades de control se puede afirmar lo siguiente:

1. Deben ser específicas, así como adecuadas, completas, razonables e integradas a las actividades globales de la institución
2. Deben ser específicas, así como adecuadas, completas, razonables e integradas a las actividades globales de la institución
3. Las actividades de control se ejecutan en todos los niveles de la organización y en cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos.
4. Están constituidas por los procedimientos específicos establecidos para reafirmar el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos.

1. TESIS: para los auditores, definir si existen debilidades en el control interno les resulta fundamental, dado que les interesa, al practicar la auditoria, determinar la confiabilidad de las operaciones, a través de las evidencias primarias que deben corroborar en la práctica.

POSTULADO I: para arribar a conclusiones fundamentales en una seguridad razonable el auditor requiere de evidencias suficientes; estas se presentan como evidencias primarias y evidencias corroboradas.

POSTULADO II: no se logra una confiabilidad razonable considerando solo uno tipo de evidencias. No obstante, en los extremos de confiar en una o en otra, existe una variedad de posiciones: mientras más consistentes sea la evidencia primaria, se requiere menos evidencia corroborativa o viceversa

1. Marque A si de la tesis se deducen los postulados I y II
2. Marque B si de la tesis se deduce el postulado I
3. Marque C si de la tesis solo se deduce el postulado II
4. Marque D si ninguno de los postulados se deduce de la tesis

1. El modelo de análisis y gestión de riesgo comprende tres submodelos

1. Elementos, datos y procesos
2. Elementos procesos y eventos
3. Elementos, métodos y procesos
4. Elementos, eventos y métodos

1. La vulnerabilidad es una propiedad de la relación entre…

1. Un activo y un impacto
2. Un activo y una agresión
3. Un activo y una amenaza
4. Un activo y un riesgo

1. La función o servicio de salvaguarda es una acción o flujo de tipo…

1. Evento
2. Amenaza
3. Decisión
4. Actuación

1. Análisis de riesgo es:

1. Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.
2. El proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización
3. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización

1. Cuál de los siguientes elementos no se considera un activo de una organización

1. Recursos físicos: equipos, sistemas, cableado
2. Utilización de recursos: uso de CPU, de ancho de banda, de disco duro etc...
3. Imagen, reputación publica y profesional de la empresa y sus empleados
4. Todos los anteriores son activos de una organización

1. ¿Cuál de los siguientes No es una función básica de auditoria informática?

1. Buscar la mejor relación costo-beneficio de los sistemas automáticos computarizados.
2. Incrementar la satisfacción de los usuarios de los sistemas computarizados
3. El control del funcionamiento del departamento de informática con el exterior
4. Minimizar existencias de riesgos en el uso de la tecnología de información

1. ¿Cuál de las siguientes No es una de las características de la eficacia de un sistema informático?

1. Información valida
2. Información oportuna
3. Información completa
4. Información económica

1. En auditoria informática, la aportación de un SI de una información valida, exacta, completa, actualizada y oportuna se conoce como:

1. Operatividad
2. Eficacia
3. Seguridad
4. Rentabilidad

1. La optimización del uso de los recursos de un SI afecta a la

1. Operatividad
2. Eficacia
3. Seguridad
4. Rentabilidad

1. Si una auditoria se centra en la disponibilidad del SI, se está auditando:

1. La operatividad
2. La eficacia
3. La seguridad
4. Ninguna de ellas

1. ¿De quién depende el área de AI?

1. Responsable de informática
2. Administrador de seguridad
3. Director administrativo
4. Ninguno de ellos

1. ¿Cuál de las siguientes causas puede originar la realización de una AI

1. Insatisfacción de los usuarios
2. Inseguridad de los SI
3. Debilidades económico-financieras
4. Todas las anteriores
5. Ninguna de las anteriores

1. ¿cuál de los siguientes es un riesgo en la auditoria?

1. Riesgo en la seguridad
2. Riesgo inherente
3. Perdidas de datos
4. Riesgos de hardware

1. ¿Cuál de las siguientes es un área general en la que pueda centrarse la auditoria?

1. Dirección informática
2. Comunicaciones
3. Usuarios
4. Hardware

1. Seleccione las propuestas que consideres falsas

1. Impacto: consecuencia de la materialización de una amenaza
2. Activo: recurso del sistema de información o relacionado con este necesario para que la organización función correctamente y alcance los objetivos propuestos
3. Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un activo
4. Amenaza: posibilidad de que se produzca un impcto determinado en un activo
5. Riesgo: es un evento que puede desencadenar un incidente en la organización, productos dañados, materiales o perdidas inmateriales en sus activos
6. Ataque: evento, exitoso o no, que atente sobre el buen funcionamiento del sistema

1. Seleccione las respuestas que consideres correctas:

1. La revisión de la eficaz gestión de los recursos informáticos
2. Desempeño del auditor
3. Tener muestreos estadísticos
4. El análisis de la eficiencia de los sistemas informáticos
5. La verificación del cumplimiento de la normatividad

1. En las fases de la amenaza: se denomina si al periodo de tiempo necesario para que el grupo agresor alcance su objetivo

1. Fuga
2. Intervención
3. Intrusión
4. Intercepción
5. Ejecución

1. Si una auditora se centra en la disponibilidad del SI, se está auditando:

1. La operatividad
2. La eficacia
3. La seguridad
4. Ninguna de ella

...