2010 ISACA. All rights reserved.

Page 1

ISACA CISA Examen de muestra

1. Un contrato de auditora debera:

A. ser dinmico y cambiar con frecuencia para coincidir con la naturaleza
cambiante de la tecnologa y la profesin de auditora.
B. establecer claramente los objetivos de la auditora y la delegacin de
autoridad para el mantenimiento y revisin de los controles internos.
C. documentar los procedimientos de auditora designados para lograr los
objetivos planeados de auditora.
D. describir la autoridad, alcance y responsabilidades generales de la
funcin de auditora.


2. El cuadro de mando balanceado (balanced scorecard) de TI es una herramienta
de gobierno del negocio que est destinada a monitorear los indicadores de
evaluacin del desempeo (performance) de TI aparte de:

A. los resultados financieros
B. la satisfaccin del cliente.
C. la eficiencia del proceso interno
D. la capacidad de innovacin.


3. La razn para establecer un alto, o punto de congelacin en el diseo de un
nuevo sistema es:

A. impedir ms cambios a un proyecto en proceso.
B. indicar el punto en que el diseo va a ser realizado.
C. requerir que los cambios despus de ese punto sean evaluados por su
efectividad de costos.
D. proveer el equipo de administracin de proyectos con ms control sobre
el diseo del proyecto.


4. Un auditor de SI que evala la resiliencia de una red de alta disponibilidad
estara MS preocupado si:

A. la disposicin del equipo est dispersa geogrficamente.
B. los servidores de red estn agrupados (clustered) en un sitio.
C. un hot site est listo para ser activado.
D. se implementa un enrutamiento diverso para la red.



Comment [CV1]: En el
documento original estaba como
elasticidad, sin embargo el trmino
correcto es resiliencia
Comment [CV2]: En el
documento original estaba como: se
implementa un routing-variado
(diverse-routing) para la red.


2010 ISACA. All rights reserved. Page 2


5. Cul de los siguientes es la salvaguarda PRIMARIA para asegurar el software
y los datos dentro de una instalacin de procesamiento de informacin?

A. Concientizacin de la seguridad
B. Leer la poltica de seguridad
C. Comit de seguridad
D. Controles de acceso lgico


6. Cul de los siguientes criterios es el MS importante para la seleccin de un
lugar para una instalacin de almacenamiento fuera del sitio para los archivos de
copias de respaldo? La instalacin fuera del sitio debe estar:

A. fsicamente separada del centro de datos y no debe estar sujeta a los
mismos riesgos.
B. dado por el mismo nivel de proteccin que el del centro de datos de
cmputo.
C. contratado con (outsourced) un tercero de confianza.
D. equipado con capacidades de vigilancia.


7. Cul de los siguientes mtodos de muestreo es el MS til cuando se pone a
prueba su cumplimiento?

A. Muestreo de atributos.
B. Muestreo de variables.
C. Media estratificada por unidad.
D. Estimacin de la diferencia.


8. De las funciones siguientes, cul es la funcin MS importante que debe
realizar la administracin de TI cuando se ha dado un servicio para realizarse por
outsourcing?

A. Asegurar que las facturas sean pagadas al proveedor
B. Participar con el proveedor en los diseos de sistemas
C. Renegociar los honorarios del proveedor
D. Monitorear el desempeo del proveedor de outsourcing





2010 ISACA. All rights reserved. Page 3


9. Cul de las siguientes estrategias de conversin de sistemas y de datos provee
la MAYOR redundancia?

A. Corte (cutover) directo
B. Estudio piloto
C. Mtodo por fases
D. Corrida paralela


10. Un auditor de SI que revisa controles de base de datos descubri que los
cambios a la base de datos durante horas laborables normales se manejaban a
travs de un conjunto de procedimientos estndar. Sin embargo, los cambios
hechos despus de horas normales requeran solamente un nmero abreviado de
pasos. En esta situacin, cul de los siguientes se considerara un conjunto
adecuado de controles compensatorios ?

A. Permitir que se hagan cambios solamente con la cuenta de usuario de
DBA
B. Hacer cambios a la base de datos despus de otorgar acceso a una
cuenta de usuario normal
C. Usar la cuenta de usuario de DBA para hacer cambios, registrar los
cambios y revisar el registro de cambios al da siguiente
D. Usar la cuenta normal de usuario para hacer los cambios, registrar los
cambios y revisar el registro de cambios al da siguiente


11. Cul de las siguientes es una caracterstica de un sistema de deteccin de
intrusos (IDS)?

A. Recolectar evidencias sobre intentos de ataque
B. Identificar la debilidad en la definicin de poltica
C. Bloquear el acceso a sitios particulares en la Internet
D. Impedir que ciertos usuarios tengan acceso a servidores especficos


12. Durante una auditora de continuidad del negocio, un auditor de SI encontr que
el plan de continuidad del negocio cubra slo los procesos crticos. El auditor de SI
debe:

A. recomendar que el plan de continuidad del negocio cubra todos los
procesos del negocio
B. evaluar el impacto de los procesos no cubiertos
C. reportar los hallazgos al gerente de TI
D. redefinir los procesos crticos


2010 ISACA. All rights reserved. Page 4




2010 ISACA. All rights reserved. Page 5


13. Mientras se planifica una auditora, se debe hacer una evaluacin del riesgo
para proveer:

A. aseguramiento razonable de que la auditora cubrir puntos materiales
B. aseguramiento definido de que los puntos materiales sern cubiertos
durante el trabajo de auditora
C. aseguramiento razonable de que todos los puntos sern cubiertos por la
auditora
D. aseguramiento suficiente de que todos los puntos sern cubiertos durante
el trabajo de auditora.


14. La administracin de una organizacin ha decidido establecer un programa de
concientizacin de la seguridad. Cul de los siguientes es MS probable que
sea parte del programa?

A. La utilizacin de un sistema de deteccin de intrusos para reportar
accidentes.
B. Ordenar el uso de contraseas para tener acceso a todo el software.
C. Instalar un sistema eficiente de registro de usuarios para rastrear las
acciones de cada usuario
D. Proveer entrenamiento peridico a todos los empleados corrientes y
nuevos.


15. El auditor de SI encuentra que un sistema en desarrollo tiene 12 mdulos
vinculados (linked) y cada elemento de los datos puede llevar hasta 10 campos
de atributos definibles. El sistema maneja varios millones de transacciones al
ao. Cul de estas tcnicas podra el auditor de SI usar para estimar el
tamao del esfuerzo de desarrollo?

A. La tcnica de evaluacin y revisin de programas (PERT).
B. Conteo de las lneas fuente del cdigo (SLOC).
C. Anlisis del punto de funcin.
D. Prueba de caja blanca (white box).


16. Una organizacin ha instalado recientemente un parche de seguridad, que
colaps el servidor de produccin. Para minimizar la probabilidad de que esto
vuelva a ocurrir, un auditor de SI debe:

A. aplicar el parche en conformidad con las notas de publicacin del parche
B. asegurar que est establecido un buen proceso de administracin de
cambios


2010 ISACA. All rights reserved. Page 6

C. probar el parche exhaustivamente antes de enviarlo a produccin
D. aprobar el parche despus de hacer una evaluacin del riesgo


17. Cul de las siguientes es la MEJOR forma de manejar cintas magnticas
obsoletas antes de disponer de ellas?

A. Sobrescribir las cintas
B. Inicializar las etiquetas de cintas
C. Desmagnetizar las cintas
D. Borrar las cintas


18. Por cul de los siguientes hallazgos estara, un auditor de SI MS preocupado
cuando realizara una auditora de copia de respaldo y recuperacin y la bveda
de almacenamiento fuera del sitio?

A. Hay tres tipos de personas que tienen una llave para entrar al rea.
B. Los documentos en papel son tambin almacenados en la bveda fuera
del sitio.
C. Los archivos de datos que estn almacenados en la bveda estn
sincronizados.
D. La bveda fuera del sitio est ubicada en una instalacin separada.


19. Cuando se evala el efecto colectivo de los controles preventivos, de deteccin
o correctivos dentro de un proceso, un auditor de SI debera estar consciente:

A. del punto en que los controles son ejercidos como flujos de datos a travs
del sistema.
B. de que slo los controles preventivos y de deteccin son relevantes.
C. de que los controles correctivos slo pueden ser considerados como
compensatorios.
D. de que la clasificacin permite a un auditor de SI determinar qu controles
faltan.


20. Cul de las siguientes tcnicas de auditora ayudara MS a un auditor a
determinar si ha habido cambios no autorizados de programa desde la ltima
actualizacin autorizada de programa?

A. Corrida de datos de prueba
B. Revisin de los cdigos
C. Comparacin automtica de cdigos
D. Revisin de procedimientos de migracin de cdigos


2010 ISACA. All rights reserved. Page 7





2010 ISACA. All rights reserved. Page 8


21. Los objetivos de control de TI son tiles para los auditores de SI, ya que ellos
proveen la base para entender:

A. el resultado deseado o el propsito de implementar procedimientos
especficos de control.
B. las mejores prcticas de control de seguridad de TI relevantes para una
entidad especfica.
C. las tcnicas para asegurar la informacin.
D. la poltica de seguridad.


22. Cul de los siguientes es el propsito PRIMARIO para llevar a cabo una
prueba paralela?

A. Determinar si el sistema es eficiente en costos.
B. Permitir pruebas comprensivas de unidad y de sistema
C. Destacar los errores en las interfaces de programa con los archivos.
D. Asegurar que el nuevo sistema satisfaga los requerimientos del usuario.


23. Una revisin de uso de red de rea amplia (WAN) descubre que el trfico en
una lnea de comunicacin entre sitios, que enlaza de manera sncrona la base
de datos matriz y la base de datos de reserva, hace pico al 96 por ciento de la
capacidad de lnea. Un auditor de SI debe concluir que:

A. se requiere un anlisis para determinar si surge un patrn que tiene como
consecuencia una prdida de servicio por un corto perodo de tiempo.
B. la capacidad de WAN es adecuada para las demandas mximas de
trfico ya que no se ha alcanzado la saturacin.
C. la lnea debe ser reemplazada de inmediato por una con mayor capacidad
para proveer aproximadamente el 85 por ciento de saturacin.
D. se debe instruir a los usuarios que reduzcan sus demandas de trfico o
que las distribuyan a lo largo de todas las horas de servicio para hacer
ms plano el consumo de ancho de banda.


24. Cul de los siguientes se anexan a archivos como una proteccin contra los
virus?

A. Bloqueadores de conducta
B. Verificadores de redundancia cclica (CRC)
C. Inmunizadores
D. Monitores activos



2010 ISACA. All rights reserved. Page 9




2010 ISACA. All rights reserved. Page 10


25. Cul de los siguientes componentes del plan de continuidad/recuperacin de
desastre provee la MAYOR garanta para la recuperacin despus de un
desastre?

A. La instalacin alterna estar disponible hasta que la instalacin original de
procesamiento de informacin sea restablecida.
B. La gerencia de usuario se involucr en la identificacin de sistemas
crticos y sus tiempos de recuperacin crtica asociados y la
especificacin de los procedimientos que se necesitan.
C. Las copias del plan se guardan en los hogares del personal clave de toma
de decisiones
D. retroalimentacin es proporcionada a la gerencia garantizndole que los
planes de continuidad del negocio son funcionales y que los
procedimientos estn actualizados.


26. Cul de las siguientes es la razn MS probable de por qu los sistemas de
correo electrnico se han convertido en una fuente til de evidencia en litigios?

A. Permanecen disponibles archivos de respaldo de diferentes ciclos.
B. Los controles de acceso establecen la responsabilidad de dar cuenta de
la informacin de correo electrnico.
C. La clasificacin de datos regula qu informacin debera ser comunicada
por correo electrnico.
D. Dentro de la empresa, una poltica clara para usar el correo electrnico
asegura que la evidencia est disponible.


27. Evaluando proyectos de desarrollo de aplicaciones contra el modelo de madurez
de capacidad (CMM), un auditor de SI debe poder verificar que:

A. los productos confiables estn garantizados
B. la eficiencia de los programadores est mejorada
C. los requerimientos de seguridad estn diseados
D. los procesos predecibles de software son seguidos


28. Cul de lo siguiente es el elemento MS importante para la implementacin
exitosa de gobierno de TI?

A. Implementar un scorecard de TI
B. Identificar las estrategias organizacionales
C. Efectuar una evaluacin de riesgo
D. Crear una poltica formal de seguridad


2010 ISACA. All rights reserved. Page 11


29. Idealmente, las pruebas de stress slo deberan llevarse a cabo en los casos
siguientes:

A. en un entorno de prueba usando datos de prueba
B. en un entorno de produccin usando cargas de trabajo en vivo
C. en un entorno de prueba usando cargas de trabajo en vivo
D. en un entorno de produccin usando datos de prueba


30. Cul de los siguientes procedimientos detectara en forma MS efectiva la
carga de paquetes de software ilegal a una red?

A. El uso de estaciones de trabajo sin disco
B. La verificacin peridica de los discos duros
C. El uso de software antivirus actualizado
D. Las polticas que tienen como consecuencia el despido instantneo si
fueran violadas


31. Un auditor de SI descubre que los desarrolladores tienen acceso de operador a
la lnea de comando de un sistema que opera un entorno de produccin. Cul de
los siguientes controles mitigara MEJ OR el riesgo de cambios no detectados y no
autorizados de programa al entorno de produccin?

A. Los comandos digitados en la lnea de comando son registrados
B. Las claves hash son calculadas peridicamente para los programas y
comparadas con las claves hash calculadas para las versiones
autorizadas ms recientes de los programas
C. El acceso a la lnea de comando del sistema operativo es otorgada a
travs de una herramienta de restriccin de acceso con derechos
preaprobados
D. Las herramientas de desarrollo y compiladores de software han sido
retiradas del entorno de produccin

32. Las convenciones de nomenclatura para los recursos del sistema son
importantes para el control de acceso porque ellas:

A. aseguran que los nombres de recursos no sean ambiguos.
B. reducen el nmero de reglas requeridas para proteger adecuadamente
los recursos.
C. aseguran que el acceso de usuario a los recursos sea identificado de
manera clara y nica.
D. aseguran que se usen nombres reconocidos internacionalmente para
proteger recursos.


2010 ISACA. All rights reserved. Page 12



33. Durante una revisin de implementacin de una aplicacin distribuida
multiusuario, el auditor de SI encuentra debilidades menores en tres reasLa
disposicin inicial de parmetros est instalada incorrectamente, se estn usando
contraseas dbiles y algunos reportes vitales no se estn verificando debidamente.
Mientras se prepara el informe de auditora, el auditor de SI debera:

A. registrar las observaciones por separado con el impacto de cada una de
ellas marcado contra cada hallazgo respectivo.
B. advertir al gerente sobre probables riesgos sin registrar las
observaciones, ya que las debilidades de control son de menor
importancia.
C. registrar las observaciones y el riesgo que surjan de las debilidades
colectivas.
D. evaluar los jefes de departamento concernidos con cada observacin y
documentarlo debidamente en el reporte.



34. Es apropiado que un auditor de SI de una compaa que est considerando
hacer outsourcing de su procesamiento de SI solicite y revise una copia del plan de
continuidad del negocio de cada proveedor?

A. S, porque el auditor de SI evaluar la adecuacin del plan de la oficina de
servicio y asistir a su compaa a implementar un plan complementario.
B. S, porque, basado en el plan, el auditor de SI evaluar la estabilidad
financiera de la oficina de servicio y su capacidad para cumplir el contrato.
C. No, porque el respaldo a ser provisto debera ser especificado
adecuadamente en el contrato.
D. No, porque el plan de continuidad del negocio de la oficina de servicio es
informacin privada.


35. Un punto de venta minorista ha introducido etiquetas de identificacin de
frecuencia de radio (RFID) para crear nmeros seriales nicos para todos los
productos. Cul de las siguientes es la preocupacin PRIMARIA asociada con
esta iniciativa?
A. Problemas de privacidad
B. Que la longitud de onda pueda ser absorbida por el cuerpo humano
C. Las etiquetas de RFID pueden no ser eliminables
D. RFID elimina la lectura de lnea de vista




2010 ISACA. All rights reserved. Page 13


36. Una organizacin ha contratado a un proveedor para una solucin llave en
mano (turnkey solution) para su sistema electrnico de cobro de peajes (ETCS). El
proveedor ha provisto su software privado de aplicacin como parte de la solucin.
El contrato debera requerir que:

A. un servidor de respaldo est disponible para ejecutar operaciones de
ETCS con datos actualizados.
B. un servidor de respaldo sea cargado con todo el software y los datos
relevantes.
C. el personal de sistemas de la organizacin sea entrenado para manejar
cualquier evento.
D. el cdigo fuente de la aplicacin de ETCS sea puesto en depsito de
garanta (escrow.)


37. Un auditor de SI que revisa un sistema de cuentas por cobrar descubre que los
registros de auditora no estn siendo revisados. Cuando este problema es
planteado a la gerencia la respuesta es que no son necesarios controles adicionales
porque estn instalados controles efectivos de acceso al sistema. La MEJOR
respuesta que el auditor puede dar es:
A. revisar la integridad de los controles de acceso al sistema.
B. aceptar la declaracin de la gerencia de que estn instalados
controles efectivos de acceso.
C. hacer nfasis en la importancia de tener instalado un marco de control del
sistema.
D. revisar las verificaciones de antecedentes del personal de cuentas por
pagar.


38. Cul de los siguientes ayudar a detectar los cambios efectuados por un
intruso al registro de sistema de un servidor?

A. Mirroring del registro de sistema en otro servidor
B. Duplicar simultneamente el registro de sistema en un disco de escritura
de una sola vez
C. Proteger la escritura del directorio que contiene el registro de sistema
D. Almacenar la copia de respaldo del registro de sistema fuera del sitio





2010 ISACA. All rights reserved. Page 14


39. Una organizacin est considerando conectar a la Internet un sistema crtico
basado en PC. Cul de los siguientes proveera la MEJOR proteccin contra el
hacking?

A. Gateway de nivel de aplicacin
B. Servidor de acceso remoto
C. Servidor proxy
D. Escaneo de puerto


40. Cul de los siguientes mtodos de suprimir un incendio en un centro de datos
es el MS efectivo y menos perjudicial para el ambiente?

A. Gas halon
B. Rociadores de tubera mojada
C. Rociadores de tubera seca
D. Gas de dixido de carbono


41. Un auditor de SI ha auditado un plan de continuidad del negocio (BCP). Cul
de los siguientes hallazgos es el MS crtico?

A. La no disponibilidad de una central telefnica (PBX)
B. La ausencia de un respaldo para el backbone de la red
C. La falta de sistemas de respaldo para las PCs de los usuarios
D. La falla de sistema de tarjeta de acceso


42. El xito de la autoevaluacin de control (CSA) depende altamente de:

A. hacer que los gerentes de lnea asuman una porcin de la
responsabilidad de monitorear el control
B. asignar a los gerentes de personal la responsabilidad de construir, pero
no monitorear, los controles
C. la implementacin de una poltica estricta de control y controles
impulsados por reglas
D. la implementacin de supervisin y el monitoreo de controles de
funciones asignadas


43. En una organizacin, la responsabilidad de la seguridad de TI est claramente
asignada y ejecutada y un anlisis de riesgo e impacto de la seguridad de TI es
ejecutado de manera consistente. Esto representa qu nivel de clasificacin en el
modelo de madurez de gobierno de seguridad de informacin?


2010 ISACA. All rights reserved. Page 15


A. Optimizado
B. Administrado
C. Definido
D. Repetible


44. Cul de los siguientes tipos de prueba determinara si un sistema nuevo o
modificado puede operar en su ambiente objetivo sin afectar adversamente otros
sistemas existentes?

A. Prueba paralela
B. Prueba piloto
C. Prueba de interfaz/integracin
D. Prueba de sociabilidad


45. La documentacin de un caso de negocio usado en un proyecto de desarrollo
de TI debe ser retenida hasta:

A. el final del ciclo de vida del sistema
B. que el proyecto sea aprobado
C. la aceptacin de usuario del sistema
D. que el sistema est en produccin


46. Cul de los siguientes tipos de firewalls provee el MAYOR grado y
granularidad de control?

A. Enrutador de filtrado
B. Filtro de paquete
C. Gateway de aplicacin
D. Gateway de circuito


47. Para asegurar la integridad, confidencialidad, y no repudio de mensajes entre
dos partes, el mtodo MS efectivo sera crear un resumen de mensaje aplicando
un algoritmo de hash criptogrfico contra:

A. todo el mensaje, que cifra el resumen de mensaje (message digest)
usando la clave/llave privada del remitente cifrando el mensaje con una
clave/llave simtrica y cifrando la llave/clave mediante el uso de la
clave/llave pblica del destinatario.
B. cualquier parte del mensaje, cifrando el resumen de mensaje (message
digest) usando la clave/llave privada del remitente, cifrando el mensaje


2010 ISACA. All rights reserved. Page 16

con una clave/llave simtrica y cifrando la clave/llave mediante el uso de
la clave/llave pblica del destinatario.
C. todo el mensaje, cifrando el resumen de mensaje message digest)
usando la clave/llave privada del remitente, cifrando el mensaje con una
clave/llave simtrica y cifrando la clave/llave simtrica mediante el uso
de la clave/llave pblica del destinatario.
D. todo el mensaje, cifrando el resumen de mensaje message
digest)usando la clave/llave privada del remitente y cifrando el mensaje
mediante el uso de la clave/llave pblica del destinatario.


48. Cul de los siguientes es un paso inicial para crear una poltica de firewall?

A. Un anlisis costo-beneficio de mtodos para asegurar las aplicaciones
B. La identificacin de aplicaciones de red a las que se tenga acceso desde
el exterior
C. La identificacin de vulnerabilidades asociadas con aplicaciones de red a
las que se tenga acceso desde el exterior
D. La creacin de una matriz de trfico de aplicaciones que muestre
mtodos de proteccin


49. Durante una revisin de un plan de continuidad del negocio, un auditor de SI
not que el punto en el cual una situacin es declarada una crisis no ha sido
definido. El MAYOR riesgo asociado con esto es que:
A. la evaluacin de la situacin puede ser demorada.
B. la ejecucin del plan de recuperacin de desastre podra ser impactada.
C. la notificacin de los equipos podra no ocurrir.
D. el reconocimiento de una crisis potencial podra ser inefectivo.


50. Un mtodo de arriba abajo para el desarrollo de polticas operacionales ayudar
a asegurar:

A. que sean consistentes en toda la organizacin
B. que sean implementadas como parte de la evaluacin del riesgo
C. el cumplimiento de todas las polticas
D. que sean revisadas peridicamente


51. cul de lo siguiente asegurar MEJ OR el desarrollo offshore exitoso de las
aplicaciones del negocio?

A. Prcticas estrictas de administracin de contratos


2010 ISACA. All rights reserved. Page 17

B. Especificaciones aplicadas en detalle y correctamente
C. Conciencia de las diferencias culturales y polticas
D. Revisiones posteriores a la implementacin


52. El PRIMER paso para administrar el riesgo de un ataque ciberntico es:

A. analizar el impacto de la vulnerabilidad.
B. evaluar la probabilidad de amenazas.
C. identificar los activos de informacin crticos.
D. estimar el dao potencial.


53. Cul de los siguientes acta como un seuelo para detectar ataques activos de
Internet?

A. Tarros de miel (Honey pots)
B. Firewalls
C. Puertas traseras (Trap/back doors)
D. Anlisis de trfico


54. Las redes neurales son efectivas para detectar el fraude porque pueden:

A. descubrir nuevas tendencias ya que son inherentemente lineales.
B. resolver problemas donde conjuntos grandes y generales de datos de
entrenamiento no se pueden obtener.
C. atacar los problemas que requieren consideracin de un gran nmero de
variables de input.
D. hacer supuestos sobre la forma de cualquier curva que relacione las
variables al output.


55. Cul de las siguientes sera la MAYOR preocupacin para un auditor de SI que
revisa la implementacin de un VPN? Las computadoras en la red que estn
ubicadas en:

A. las instalaciones de la empresa.
B. el lugar de respaldo de seguridad.
C. las casas de los empleados.
D. las oficinas remotas de la empresa.


56. Cuando desarrolla una estrategia de auditora basada en el riesgo, un auditor de
SI debe llevar a cabo una evaluacin del riesgo para asegurar que:


2010 ISACA. All rights reserved. Page 18


A. estn establecidos los controles necesarios para mitigar los riesgos
B. las vulnerabilidades y amenazas estn identificadas
C. los riesgos de auditora sean considerados
D. un anlisis de brechas sea apropiado


57. Un auditor de SI fue contratado para revisar la seguridad de un negocio
electrnico (e-business). La primera tarea del auditor de SI fue examinar cada
aplicacin existente de e-business en busca de vulnerabilidades. Cul sera la
siguiente tarea?

A. Reportar los riesgos al (director de sistemas) CIO y al director general
(CEO) de inmediato.
B. Examinar la aplicacin de e-business en desarrollo.
C. Identificar las amenazas y probabilidad de que ocurran.
D. Verificar el presupuesto disponible para la administracin de riesgos.


58. De las siguientes tcnicas de copia de respaldo, cul es la MS apropiada
cuando una organizacin requiere puntos de restauracin de datos granulares,
como se definen en el objetivo de punto de recuperacin (RPO)?
A. Bibliotecas virtuales de cintas
B. Instantneas basadas en disco
C. Copia de respaldo continua de los datos
D. Copia de respaldo de disco a cinta


59. Una organizacin est usando una aplicacin de administracin de recursos de
empresa (ERP). De lo siguiente, cul sera un control efectivo de acceso?
A. Permisos de nivel de usuario
B. Basado en roles
C. De grano fino
D. Discrecional


60. Cuando revisa la implementacin de un sistema de VoIP en una WAN
corporativa, un auditor de SI debe esperar encontrar:
A. un enlace de datos de red digital de servicios integrados (ISDN).
B. ingeniera de trfico.
C. encripcin de datos de privacidad equivalente alambrada (WEP).
AREA 4ENTREGA Y SOPORTE DE


2010 ISACA. All rights reserved. Page 19

D. terminales telefnicas anlogas.


61. Un auditor de SI que hace prueba de penetracin durante una auditora de
conexiones de Internet:

A. evaluara las configuraciones.
B. examinara las disposiciones de seguridad.
C. asegurara que est en uso un software de escaneo de virus.
D. usara herramientas y tcnicas que estn disponibles para un hacker.


62. La MAYOR ventaja de usar servicios web para el intercambio de informacin
entre dos sistemas es:

A. comunicaciones seguras
B. desempeo mejorado
C. intercomunicacin eficiente
D. documentacin ampliada


63. Cul de lo siguiente reduce el impacto potencial de los ataques de ingeniera
social?

A. Cumplimiento de los requisitos regulatorios
B. Promover el entendimiento tico
C. Programas de concientizacin de la seguridad
D. Incentivos de desempeo efectivo


64. Qu de lo siguiente debe un auditor de SI revisar para lograr un entendimiento
de la eficacia de los controles sobre la administracin de mltiples proyectos?

A. Base de datos de proyecto
B. Documentos de poltica
C. Base de datos de cartera de proyectos
D. Organizacin de programa


65. Cul de las siguientes tcnicas de auditora en lnea es MS efectiva para la
deteccin temprana de errores o irregularidades?

A. Mdulo integrado de auditora
B. Prueba integrada
C. Instantnea (snapshot)


2010 ISACA. All rights reserved. Page 20

D. Ganchos de auditora (Audit Hooks)




2010 ISACA. All rights reserved. Page 21


66. Durante la revisin de un proyecto de desarrollo de software basado en la web,
un auditor de SI se da cuenta que las normas de codificacin no se ejecutan y que
las revisiones de cdigo se llevan a cabo rara vez. Lo MS probable es que esto
aumente la probabilidad de:

A. un desborde exitoso de buffer
B. un ataque exitoso de fuerza bruta
C. un ataque distribuido exitoso de negacin de servicio
D. un ataque exitoso de marcado de guerra


67. Un beneficio de la arquitectura de sistema abierto es que sta:
A. facilita la interoperabilidad.
B. facilita la integracin de componentes patentados.
C. ser una base para descuentos por volumen por parte de los vendedores
de equipos.
D. permite que se logren ms economas de escala por equipo.

68. Las herramientas de filtrado de la web y del correo electrnico son
PRINCIPALMENTE valiosas para una organizacin porque ellas:

A protegen a la organizacin de virus, spam, cadenas de correo,
surfing de entretenimiento y correo electrnico de entretenimiento
B. maximizan el desempeo (performance) del empleado
C. salvaguardan la imagen de la organizacin
D. asisten a la organizacin en prevenir problemas legales


69. El objetivo PRIMARIO de la administracin de nivel de servicio (SLM) es:

A. definir, acordar, registrar y administrar los niveles de servicio requeridos.
B. asegurar que los servicios sean manejados para entregar el nivel de
disponibilidad alcanzable ms alto.
C. Mantener los costos asociados con cualquier servicio en un mnimo.
D. Monitorear y reportar cualquier incumplimiento legal a la gerencia del
Negocio.


70. Un auditor de SI que realiza una revisin de control de acceso a
telecomunicacin debera estar preocupado PRIMARIAMENTE de:

A. el mantenimiento de los registros de acceso de uso de diversos recursos
de sistema.


2010 ISACA. All rights reserved. Page 22

B. la autorizacin y autenticacin del usuario antes de otorgar acceso a los
recursos de sistema.
C. la proteccin adecuada de los datos almacenados en los servidores
mediante encripcin u otro medio.
D. el sistema de obligacin de rendir cuenta y la capacidad para identificar
cualquier terminal que tenga acceso a los recursos del sistema.


71. Cul de las siguientes mejores prcticas de gobierno de TI mejora la alineacin
estratgica?

A. Los riesgos de proveedor y de socio estn administrados
B. Est establecida una base de conocimientos sobre clientes, productos,
mercados y procesos
C. Se provee una estructura que facilita la creacin y se comparte
informacin de negocio
D. La alta gerencia media entre los imperativos del negocio y la tecnologa


72. A la conclusin de un proyecto de desarrollo de sistemas, una revisin
posterior al proyecto debe incluir cul de lo siguiente?

A. Determinar los riesgos que pueden conducir a tiempo improductivo
despus de la liberacin en produccin
B. Identificar las lecciones aprendidas que puedan ser aplicables a futuros
proyectos
C. Verificar que los controles en el sistema entregado estn funcionando
D. Asegurar que se eliminen los datos de prueba


73. Un auditor de SI invitado a una reunin de proyecto de desarrollo nota que no se
ha documentado ningn riesgo de proyecto. Cuando el auditor de SI plantea este
problema, el gerente de proyecto responde que es demasiado temprano para
identificar riesgos y que, si los riesgos comenzaran a impactar el proyecto, se
contratar un administrador de riesgos. La respuesta apropiada del auditor de SI
sera:
A. hacer nfasis en la importancia de emplear tiempo en este punto del
proyecto para considerar y documentar los riesgos, y desarrollar planes
de contingencia.
B. aceptar la posicin del gerente de proyecto ya que el gerente de
proyecto es responsable del resultado del proyecto.
C. ofrecerse para trabajar con el gerente de riesgos cuando se nombre uno.
D. informar al gerente de proyecto que el auditor de SI llevar a cabo una
revisin de los riesgos al concluirse la etapa de definicin de


2010 ISACA. All rights reserved. Page 23

requerimientos del proyecto.

74. Un auditor de SI que revisa los procedimientos de control de archivo de datos de
una organizacin encuentra que las transacciones se aplican a los archivos ms
corrientes, mientras que los procedimientos de reinicio usan versiones anteriores. El
auditor de SI debe recomendar la implementacin de:

A. retencin de documentacin fuente
B. seguridad de archivo de datos
C. control de uso de versin
D. verificacin uno por uno


75. Durante una auditora de un sistema de telecomunicaciones, el auditor de SI
encuentra que el riesgo de interceptar los datos transmitidos hacia y desde lugares
remotos es muy alto. El control MS efectivo para reducir esta exposicin es:

A. encripcin.
B. mdems de rellamada.
C. autenticacin de mensaje.
D. lneas dedicadas arrendadas.


76. Un auditor de SI encuentra que las salas de conferencia tienen puertos de red
activos. De lo siguiente, qu es MS importante asegurar?
A. Que la red corporativa est usando un sistema de prevencin de intrusos
(IPS)
B. Que esta parte de la red est aislada de la red corporativa
C. Que se haya implementado single sign-on en la red corporativa
D. Que haya instalado un software antivirus para proteger la red corporativa


77. Cul de los siguientes representa el MAYOR riesgo creado por un contrato
recproco para recuperacin de desastres celebrado entre dos compaas?

A. Los desarrollos pueden tener como consecuencia la incompatibilidad del
hardware y del software.
B. Es posible que los recursos no estn disponibles cuando se necesiten
C. El plan de recuperacin no puede ser probado
D. La infraestructura de seguridad de cada compaa es posible que sea
diferente





2010 ISACA. All rights reserved. Page 24


78. Un ataque basado en Internet que usa sniffing de contrasea puede:

A. permitir a una parte actuar como si fuera otra parte.
B. causar la modificacin del contenido de ciertas transacciones.
C. ser usado para ganar acceso a sistemas que contienen informacin
privada.
D. tener como consecuencia grandes problemas con los sistemas de
facturacin y los contratos de procesamiento de transacciones.


79. Cules de los siguientes controles podra un auditor de sistemas buscar en un
ambiente donde las obligaciones no sean apropiadamente segregadas?

A. Controles sobrelapados
B. Controles limitados
C. Controles de acceso
D. Controles compensados


80. Cul de las siguientes es una preocupacin cuando los datos son transmitidos
a travs de una encripcin segura de capa de socket (SSL) implementada en el
servidor de un socio comercial?

A. La organizacin no tiene control sobre la encripcin.
B. Los mensajes estn sujetos a interceptacin de lneas telefnicas (wire
tapping).
C. Los datos podran no llegar al destinatario pretendido.
D. La comunicacin puede no ser segura.


81. Una organizacin actualmente usando copias de respaldo de cinta toma una
copia de respaldo completa semanalmente y copias de respaldo incrementales
diariamente. Ellos recientemente aumentaron sus procedimientos de copia de
respaldo de cinta con una solucin respaldo a disco. Esto es apropiado porque:

A. las copias de respaldo sintticas rpidas para almacenamiento fuera de
las instalaciones estn soportadas.
B. la copia de respaldo a disco siempre es significativamente ms rpida que
la copia de respaldo a cinta
C. las bibliotecas de cinta ya no se necesitan
D. el almacenamiento de datos en discos es ms confiable que en cintas




2010 ISACA. All rights reserved. Page 25


82. Un sistema de aplicacin de negocio tiene acceso a una base de datos
corporativa usando una sola identificacin y contrasea integrada en un programa.
Cul de lo siguiente proveera un control eficiente de acceso sobre los datos de la
organizacin?
A. Introducir un mtodo secundario de autenticacin como por ejemplo card
swipe
B. Aplicar permisos basados en roles dentro del sistema de aplicacin
C. Hacer que los usuarios introduzcan el ID y la contrasea para cada
transaccin de base de datos.
D. Fijar un perodo de expiracin para la contrasea de base de datos
integrada en el programa


83. Cul de los siguientes tendra la MAS ALTA prioridad en un plan de
continuidad del negocio (BCP)?

A. Retomar los procesos crticos
B. Recuperar los procesos sensitivos
C. Restaurar el sitio
D. Reubicar las operaciones en un sitio alternativo.


84. Una compaa ha decidido implementar un esquema de firma electrnica
basado en infraestructura de llave pblica. La llave privada del usuario ser
almacenada en el disco duro de la computadora y protegida por una contrasea. El
riesgo MS significativo de este mtodo es:
A. la suplantacin de un usuario mediante la sustitucin de la llave pblica
del usuario con la llave pblica de otra persona.
B. falsificacin usando la llave privada de otro usuario para firmar un
mensaje con una firma electrnica.
C. el uso de la firma electrnica del usuario por otra persona si la contrasea
est comprometida.
D. falsificacin mediante la sustitucin de la llave privada de otra persona en
la computadora.


85. Un auditor de SI not que una organizacin tena planes de continuidad del
negocio adecuados para cada proceso individual, pero ningn plan comprensivo de
continuidad del negocio. Cul sera el MEJOR curso de accin para el auditor de
SI?


2010 ISACA. All rights reserved. Page 26


A. Recomendar que se desarrolle un plan adicional comprensivo de
continuidad del negocio
B. Determinar si los planes de continuidad del negocio son consistentes
C. Aceptar los planes de continuidad del negocio como estn escritos
D. Recomendar la creacin de un solo plan de continuidad del negocio


86. Para proteger una infraestructura de VoIP contra un ataque de negacin de
servicio (DoS), lo MS importante es asegurar:

A. servidores de control de acceso
B. controladores de lmite de sesin
C. gateways de backbone
D. sistema de deteccin de intrusos (IDS)


87. Un servidor web es atacado y comprometido. Cul de lo siguiente debe
realizarse PRIMERO para manejar el incidente?

A. Depositar los datos de almacenamiento voltil a un disco
B. Correr el servidor en un modo a prueba de fallas
C. Desconectar el servidor web de la red
D. Cerrar el servidor web


88. Cuando se desarrolla un plan de continuidad del negocio, cul de las
siguientes herramientas se deben usar para lograr un entendimiento de los
procesos de negocio de una organizacin?

A. Auto auditora de continuidad del negocio
B. Anlisis de recuperacin de recursos
C. Evaluacin del riesgo
D. Anlisis de brecha

89. Cul de lo siguiente sera considerado por un auditor de SI como una debilidad,
cuando realiza una auditora de una organizacin que usa una infraestructura de
llave pblica con certificados digitales para sus transacciones de negocio-a-
consumidor a travs de la Internet?

A. Los clientes estn ampliamente dispersos geogrficamente, pero no las
autoridades certificadoras (CA).
B. Los clientes pueden hacer sus transacciones desde cualquier
computadora o dispositivo mvil


2010 ISACA. All rights reserved. Page 27

C. La autoridad certificadora tiene varios subcentros de procesamiento de
datos para administrar los certificados.
D. La organizacin es la propietaria de la Autoridad Certificadora (CA).


2010 ISACA. All rights reserved. Page 28


90. El rol de la CA (autoridad de certificacin) como tercero es:

A. proveer comunicacin y servicios de red seguros basados en certificados
B. alojar un repositorio de certificados con las correspondientes llaves/claves
pblicas y secretas emitidas por esa CA.
C. actuar como un intermediario de confianza entre dos socios de
comunicacin
D. confirmar la identidad de la entidad que es propietaria de un certificado
emitido por esa CA.


91. Un auditor de SI que revisa la seguridad de red inalmbrica determina que el
Protocolo de Configuracin de Anfitrin Dinmico (DHCP) est inhabilitado en todos
los puntos inalmbricos de acceso. Esta prctica:

A. reduce el riesgo de acceso no autorizado a la red
B. no es adecuada para las redes pequeas
C. provee automticamente una direccin IP a cualquiera
D. aumenta los riesgos asociados con el Protocolo Inalmbrico de Encripcin
(WEP).


92. El objetivo PRIMARIO de probar un plan de continuidad del negocio es:

A. familiarizar a los empleados con el plan de continuidad del negocio
B. asegurar que todos los riesgos residuales sean resueltos
C. ejercer todos los posible escenarios de desastre
D. identificar las limitaciones del plan de continuidad de desastre


93. Qu mtodo podra un auditor de SI utilizar para probar la seguridad
inalmbrica en las sucursales?

A. War dialing
B. Ingeniera social.
C. War driving.
D. Forzar las contraseas (Password cracking)


94. La confidencialidad de los datos transmitidos en una red de rea local
inalmbrica (LAN) est MEJOR protegida si la sesin est:

A. restringida a direcciones predefinidas de Control de Acceso a Medios
(MAC)


2010 ISACA. All rights reserved. Page 29

B. encriptada usando llaves estticas
C. encriptada usando llaves dinmicas
D. iniciada a partir de dispositivos que tienen almacenamiento encriptado.


95. Los ataques distribuidos de negacin de servicio (DDos) en los sitios de Internet
son tpicamente evocados por los hackers que usan qu de lo siguiente:

A. bombas lgicas
B. phishing
C. spyware
D. caballos de Troya


96. Cul de las siguientes tcnicas antispam de filtrado prevendran MEJOR un
mensaje de e-mail vlido de longitud variable que contenga una palabra clave de
spam muy pesada de ser etiquetada como spam?

A. Heurstica (basada en regla)
B. Basada en firma
C. Que coincida con patrn
D. Bayesiana (estadstica)


97. En la determinacion del periodo de tiempo aceptable por la reanudacion de
proceso criticos de negocio:

A. Unicamente los costos de tiempo de cada necesitan ser considerados
B. Recuperar la operacin debera ser analizado
C. Deberian ser evaluados los costos de tiempo de cada y los costos de
recuperacin
D. Los costos de tiempo de cada indirectos deberan ser ignorados


98. Una organizacin tiene una mezcla de puntos de acceso que no pueden ser
ampliados a seguridad ms fuerte y puntos de acceso ms nuevos que tienen
seguridad inalmbrica avanzada. Un auditor de SI recomienda reemplazar los
puntos de acceso que no pueden ser actualizados. Cul de lo siguiente justificara
MEJOR la recomendacin del auditor de SI?

A. Los nuevos puntos de acceso con seguridad ms fuerte son
econmicamente accesibles
B. Los viejos puntos de acceso son ms deficientes en trminos de
desempeo


2010 ISACA. All rights reserved. Page 30

C. La seguridad de la organizacin sera tan fuerte como sus puntos ms
dbiles
D. Los nuevos puntos de acceso son ms fciles de manejar.


2010 ISACA. All rights reserved. Page 31


99. Desde una perspectiva de control, el objetivo PRIMARIO de clasificar los activos
de informacin es:

A. establecer lineamientos para el nivel de controles de acceso que debe ser
asignado
B. asegurar que los controles de acceso sean asignados a todos los activos
de informacin
C. asistir a la gerencia y a los auditores en la evaluacin del riesgo
D. identificar qu activos necesitan ser asegurados contra prdidas

100. Cul de las siguientes biomtricas tiene la mayor confiabilidad y la tasa de
falsa aceptacin ms baja (FAR)?

A. Escaneo de palma
B. Reconocimiento de rostro
C. Escaneo de retina
D. Geometra de la mano