Scribd Logo
Upload

Welcome to Scribd!

  • Examen - 12 - 01 CISA

    Uploaded by

    Diego
    51 views54 pages
    Examen CISA

    Original Title

    Examen_12_01 CISA

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Examen CISA

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    51 views54 pages

    Examen - 12 - 01 CISA

    Uploaded by

    Diego
    Examen CISA

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 54
    \ Certified information CISA systems Aucitor’ @3} pester celta CERTIFIED INFORMATION SYSTEMS AUDITOR® Manual de Preparacion al Examen CISA® 2012 ( CISA Sey aaa ISACA” ‘Con més de 95 000 miembros en 160 paises, ISACA® (www isaca.ong) es un lider mundialmente reconocido, proveedor de ‘conocimiento, cerificaciones, comunidad, apoyo y educaciOn en seguridad y aseguramiento de sistemas de informacion, ‘gobierno empresarial, administracién de"Tl asi como riesgos y cumplimiento relacionados con TI. Fundada en 1969 la no Iucrativae independiente ISACA organiza conferencias internacionales, publica el ISACA® Journal, y desarrotta estindares internacionales de anditoria y control de sistemas de informacion que ayudan a sus micmbros a garantizar la confianza y el valor de los sistemas de informacién, Asimismo, certifiea los avances y habilidades de los conocimientos dela través de la ‘mundialmente respetada Certified Information Systems Aucitor® (Auditor Certificado en Sistemas de Informacién) (CISA®), cl Certified Inforroation Security Manage:® (Gerente Cerfificado de Seguridad de ta Informacién) (CISM®), Certified in the Governance of Enterprise IT® (Certificado en Gobierno de Tecnologias dela Informacién Empresarial) (CGEIT®) y el Certified Risk and Information Systems Controf™ (Certificado en Riesgo y Control de Sistemas de Informacién) (CRISC™). ISACA actualiza continuamente COBIT®, que ayuda a los profesionales y lideres empresariales de TI a cumplir con sus responsabilidades de administracién y gestiin, particularmente en las reas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio. Cléusula de exencién de responsabilidad ISACA ha diseftado y creado el Manual de preparacién al examen CIS4® 2012 (el “documento”) principalmente como un recurso eckicativo para ayudar a las personas a prepararse para tomar el examen de cettificacién CISA. Este documento se pprodujo por separado det Examen CISA y del Comité de Certificacién CISA, quien no ha tenido responsabilidad por su contenido, Las copias de los eximenes anteriores no estin a disposicién al piblico y no fueron puestas a disposicién de ISACA para fa preparacidn de esta publicacién. ISACA no representa ni avala en absolulo, con respecto a estas u otras publicaciones de ISACA, que so garantiza a los candidatos que aprobarin el examen CISA. Reservacidn de derechos © 2011 ISACA. Todos los derechos reservados, Ninguna parte de esta publicacién puede ser usada, copiada, reproducida, modificada, distribuida, expuesta, almacenada en un sistema de recuperacién o transmnitida en cualquier forma o por cualquier medio (eleetrénico, mecanico, fotocopia, grabacién u ottes), sin la previa autorizacién por escrito de ISACA, ISACA, 3701 Algonquin Road, Suite 1010 Rolling Meadows, {L. 60008 BUA ‘Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electeénico:info@isaca.org Pligina de Internet: www. isaca.org ISBN 978.-1-60420.205-2 ‘Manual de Preparacién al Examen CISA 2012 Impreso en los Estados Unidos ce América CCRISC es una mara cornered servicio de SACA, La mara se haze ores en ots on tooo do ‘Manual de Preparacién al Examen CISA 2012 ISACA, Todos los dorechos reservados. MANUAL DE PREPARACION AL EXAMEN CISA 2012 ISACA se complace en ofrecer In (22%) edicién del Manual de preparacién al examen CISA® 201.2, Fl peopdsito de este manual es broporcionaral candidate CISA informacion téenica y referencias actualizadas para ayadanl a prepararse y estar para el examen CISA, EL Manual cle preparacion al examen CISA® se actualiza anualmente para mantenerse ala par con Ios répidos cambios en las profesiones i «de nditora, control y seguridad de’. Sus comentarios y sugerencias al respecto de este manual son apreciados. Fsté disponible un cuestionaio de retoalimentacin en ines en: wwnxisaca ore/tudvaidsevaluation. Despus de presenarol examen, timese un ompo ara completa la evalua on linea que corresponde esta publcaciin. Sus observaciones son extemadamente vaiosas a medida que ros preparamos para las ediciones faturas, Los miembros de ISACA y otros expettos en el tema revisoron el contenido del Mamual de preparacional examen CISA® para sa adecuacién. Las preguntas de ejemplo contenidas en este manual estn disefiadas para ayudar a comprender el material en este ‘manual y para desoribir el formato del tipo dle pregunta que generalmente se encuentra en el examen CISA. ‘La certficaciin ha proporcionado un efecto positiva en muchas carers, y el CISA es respetado y recanocido por organizaciones sltededor del mundo. Le deseams éxito en su examen CISA. Su compromiso en pos de a cetificacién lider en aucitori, ase control y seguridad de Ses ejemplo, (eis sama RECONOCIMIENTOS La edicién 2012 del Manual de preparacién al examen CISA® es e vesultado de los esfuerzos coletivos de muchos voluntatic. ‘Se cont con la parlicipacion de miembros de ISACA pravenientes de todas las profesiones de auditora, contol y seguridad de SI ‘quienes offecieron generosamente sus talentas y experiencia. ste equipo internacional mostrd un spirit y desprendimiento que se than convertido en la marca dstintiva de los contrbuyeates de este valioso manual, Su participacion y sus opiniones son verdaderamente aprecindas, Todos los miembros de ISACA que participaron en la revisién del Manual de Preparacidn al Examen CISA® 2012 son merecedores de "esta mis proud graft. Revisores expertos Adenle-Quma Harriet Adenike, CISA, American Bar Association, EEUU, Steplen Coates, CISA, CIA, CGAP, FILA, BDO, Australia ‘ames Thomas Enstrom, CISA, CRISC, Chicago Board Options Exchange, EE.UU. [Nelson E, Gibbs, CISA, CISM, CGEIT, CRISC, Deloitt: & Touche LLP, EE.LU, ‘Audtey Lange, CISA, CGEIT, CRISC, RSM McGladrey, EEUU. ‘Aran Laxminarayanan, CISA, FCA, PWC, India Ravikumar Ramachandran, CISA, CISM, CGEIT, CRISC, CEH, CHFI, CIA, CISSP-ISSAR, BCSA, PMP, SSCP, India , Swaminathan, CISA, CGETT, Protiviy, Emiratos Arabes Unidos TSACA ha comenzado a planificar a edicién 2013 del Manual de preparavién al examen CISA®. La pattcipacién de los voluntarios ‘mpuisael éxito del manual. Si esti interesado en ser miembro del grupo selecto de profesionales que participan en este proyesto slobal, queremos saber de usted. Susan M, Caldwell Terence L Trsat Chief Executive Offer Chief Professional Development Officer ISACA ISACA, wv ‘Manual de Proparacion al Examen CISA 2012 TSACA, Todos los derechos reservados. Tabla do Contenido ( cis ‘Sse TABLA DE CONTENIDO Acerca de este Manual. 21 Geneealldades FA Formato de Este Manual 21 Acer et faa de Prez Repco de Popaacn i Beamen 8A we Cars en Linea de Preparacin al Examen CISA. 2 Capitulo 1: Proceso de Auditoria de Sistemas de Informacion 2 Seccién Uno: Generalidades or Definicion. i Ojos. : 2 “areary Conocimienios Relacionades m4 "aes. a CConocimiznts Relacionsdoe 24 Relacién dels teas con fs eonoc 24 Guin de Refrencia de Conoimientos Reaconados 26 Recursos Sugeridos para Fstuios Posterioten, 30 Preguntas de Petia 30 Respucstay a as Pregunas de Pictica 2 Seccién Dos: Contenido... 33 TA Reterencia Ripida 3 12. Gestin de la Funcin de Auatiorta de St 13 1.21 Orgniacin dea Funcién de Aiton de St “33 1122 Gaston defo recursos de aiterta de St. 3B 1.23 Plniicacin de a Audion 4 Paniiccin Amul “34 Asignciones de Ania vidal u 1.24 Beco do la Leyes y Regulaciones en la Panifcaion de Un Atri de 8 35 1.3, Hstindaresy Diresriees de Ascguramientoy Auditoria deTI de ISACA, 36 1.3.1 Cédigo de Btica Profesional de ISACA. svesenaen ae 36 1.3.2 Mareo General de Estindares de Aseguramicnto y Audioria deTl de ISACA 36 Estindares de Attra a 26 1.3.3 Dsetrices de Aseguramicnto y Auditela del de ISACA 38 fini de dietros de aseguramiento autora do TL. 39 1.34 Heramieaasy Tenens de Asoguramienoy Auditoria do de ISACA 8 Indice de herramientas y téenicas de aseguramicnto y auditoria de'T1 43 1.35 Relaciones Ente Estindares, Diretrices, y Hermmiznts yTécakas. 4 1.3.6 tafrmaton Technology Assurance Fameyrk™ (TAF) a Seceién 2200—Estndares Generales a Seccin 2400—Rstndares de Desempeo 45 Seccin 2600—stindares sobre Informe 46 Secién 3000-Dirctrices de Aseguamiento de TT “ar Scccin 3200 Temas relacionados con ln empresa. a Seven 3400-Procesos de getion do ca Seccin 3600—Procesos de asegramient yarn de 1 48 Seccidn 3800-Geston de asegrtniento yarn de 48 1A. Analisis de Rien. 4s 13. Controlestmernos “50 1.5.1 Objtvs del Contol Tere st ‘Manual de ProparaciGn al Examen CISA 2012 7 Tabla de Contenido ( CISA Sisk 5.2 Objetivos de Control de $1 eee eee 153 CoBIT ae i: se : 2 1.544 Controles generales ss 32 155.5 Controles de SI 3 1.6 Realizacién de una Auditoria de SI 33 1.6.1 Clasifieacion de las auditorias 33 1.6.2 Programas de Auditoria 1.63 Metodologia de Auditoria.. : 1.644 Deteceidn de fraudes. a doa aaanoetetconineataet st} 1.6.5 Anitoria basada en el riesgo 56 1.6.6 Riesgo y materialidad de la Aucitoria. 56 1.6.7 Bvaluacion y tratamiento de riesgos. 38 valuacidn de ls riesgos de seguridad, i a se 58 ‘Tratamiento de riesgos j 38 1.68 Téenicas de valoracién de riesgos 58 1.69 Objetivos de ta Auditoria, 9 1.6.10 Prosbas de compliniento vs prusbas sustantvas. 58 16.11 Bvidencia co 116-12 Fntrevsty observacion dl personal durante la jecucin de us fun a 16.13 Muestreo. vs 1-62 1.6.14 Uso de los Servicios de Otros Anditoresy Experts. “a 1.6.15 Técnicas de auditorta asistidas por computador . rornnnisnninnnneennsee 6S CAATs como Método de Auditoria Continua en Linea... 66 1.6.16 Evaluacién de las Fortalezas y Debilidades. ae re 66 Determinacion de Ia Meterialidad de los Hallazgos. : 65 1.6.17 Comunicacién de los Resultados de la Auditonia senses OT Fastructura y Contenido del Informe de Auditora ss : or 1.6.18 Implementacion de las Resomendaciones por Pare del Goren. 68 1.6.19 Documentacién de Ia auditor, 68 1.7 Autoevaluacién del Control ro) L.1 Objetivos de CSA vn 0 7.2 Los Beneficios de CSA. 0 1.7.3 Desventajas de CSA... 70 1.74 BIRol del Auditor en CSA. 0 1.7.5 Impulsores de"Tecnologia para el Programa de CSA... in 1.7.6 Enfoque Tradicional Vs, de CSA 1.8 Cambios Emergentes en ef Proceso de Auditoria de St 1.8.1 AuditoriaIntegrada... 1.8.2 Auditoria Continua Casos de Estudio 1.9.1 Caso de Estudio A. scenario de caso de estudio A. 1.9.2 Caso de Estudio B Escenatio de easo de estudio B. 1.9.3 Caso de Estudio C Exoenario de eas0 de est0dio C..nn 1.10 Respuestas a Preguntas de Casos de Estudio. Respuestas a las preguntas de Caso de Estudio A. Rospuostas alae preguntas de Caso de Estudio B. Respuesta alas preguntas de Caso de Estudio C. 2 ‘Manual de Preparacion al Examen CISA 2012 ISACA, Todos los derechos reservados. (est See Capitulo 2. Gobierno y Gestién de TI. i 7 7 Se Re ee 7 Seccién Uno: Generalidades ® 8 78 8 8 8 Relacién de las tareas con los conocimientos relacionados. a ie wens TB Guia de Referencia de Conocimientos Relacionados se 80 Recursos Sugeridos para Estudios Pasteriores, ven 87 Preguntas de Practica... aie 89 Respuestas alas Preguntas de Practica... 90 Seccién Dos: Contenido. 92 2A Referencia Répida, 92 22. Gobierno Corporativo 93 23° Gobierno de su. i cee Cod 24 rete de MonioceyAsegramiento de ln Tecnologia de I norma Para el Consejo a ‘de Direccién y InAlta Direeeisn. 24.1 Mejores preticas para el gobierno dT ‘Marcos de gobierno de TT Rol de Ia auditoria en el gobiemo de TI 24.2 Comité de estrategia de T, 2.4.3 Cuadro de mando de Tl... : 2.44 Gobierno de la seguridad de la informaci6n eerste a . ssn 97 Gobiemo efectivo de la seguridad de la informacién... 98 Roles y responsabilidades de la alta direccién y los consejos de direccion, a Consejo de direceibn/Alta dirceci6n. . ete gp: Alta divecei 99 Comité directi¥0 mon 99 Direotor de seguridad de la informacion... feeetenernegeee se 99 Matriz de resultados y responsabilidades, q a en 9 2.4.5 Arquitectara corporativa Soe ns 100 25 Estrategias de Sistemas de Informacion... 7 oe 102 2.5.1 Planificacion ostatégica, ae : w+ 102, 2.5.2 Comité de ditecci6ta...nn eee 102 2.6 Modelos de Madurez y Mejoraiiento de Procesos - i: 103 2.7 Préeticas de Inversion y Asignacién de TE rorwimmons : i . 103 Valor d6 Te vsnsnnnn oe Petar Inplementacién de la Gestién de Portafolio de TI... a 103 Gestion de Portafolio ce TT vs. Cundeas de Mando, 104 28 Politicas y Procedimientos 104 28.1 Politica, i i 104 Politica de seguridad dela informacion : eu ani sen 105 Documento de politica do sogurdad de a informacion. : vn 105 Politica de uso acepiable a se 105 Revisin dela politica de seguridad de la informacién 106 2.8.2 Procedimientos : 106 29° Gestion de Riesgos s eatin eaten eae 107 2.9.1 Desarrollo de un prograna de gestin de vesgos. eects eG 2.9.2 Proceso de gestidn de riesgos, ae pie sen 107 2.9.3 Métodos de andlisis de riesgos... oe esos 10D ‘Manual de Preparacién al Examen CISA 2012 3 ISACA. Todos los derechos reservados, Tabla de Contenido Métodos de andlisis cualitativo Métodos de anilisis semicuantitativo, Métodos de anilisis cuantitativo 2.10 Préctleas de Gestion de 2.101 Gestion de Recursos Humanos Contratacién ‘Manual dol empleado.. Politicas de promocién Capacitacién . Cronogramas y reportes de tiempo Evaluaeiones del desempetio de los empleados... ‘Vacaciones legales Politica de terminacién de contrato 2.10.2 Prictieas de Sourcing Prictices y estrategias de extornalizacion Pricticas y eatrategias de globalizacion ‘Computacién en la nube Externalizacin e informes de auditoria de terveros. Gobierno en externalizacién. Enfoquos actusles de gobierno de la externalizacién Capacidad y planificacién del crecimiento Gestibn de prestacion de servicios de teresr0s Prestacién de servicios ‘Monitoroo y revisién de los servicios de terceros... ‘Gobierno de Ia Nube Gestibn de cambios a los servicios de tereeros Mejoramiento del servicio y satisfaccién del usuario, Estindares de la industrin/estudios comparatives... 2.10.3 Gestién de cambios organizacionales. 2.104 Pricticus de gestién finan Presupuestos de SI Desarrollo de software. 2.10.5 Gestidn de calidad coe 2.10.6 Gestin de Ia seguridad de la informacién. 2.10.7 Optimizacién del Rendimiento... 21 Kstructura Organizativa y Responsabitidades de SL 2.111 Roles y Responsabilidades de SI Gestién de proveedores y contratistas de externalizacion, COperaciones y mantenimiento de infraestructara Gestién de medios Ingreso de datos... Administracion de sistemas, ‘Administracion de ta seguridad. Aseguramiento de Ia calidad Administracion de base de dato. Analista de sistemas. Arquitecto de seguridad... : Desarrollo y mantenimiento de aplicaciones. Desarrollo y mantenimiento de infraestructua, Gestién de red. 2.11.2 Sepregacién de fanciones dentro de SI 2.11.3 Contioles de segregucién de fimciones ‘Sm fe 109 vo 109) 109 110 0 110 110 10 ho nt nt nm nt 1 12 Nd na na us 17 17 7 17 "7 8 us Tt 8 9 sw IS 9 9 119 120 120 121 121 2 2 122 122 sm 1B 3 13 13 so 124 4 1 124 14 124 126 ‘Manual de Proparacién al Examen CISA 2012 TSACA. Todos los derechos reservados. cist Sitiean Tabla de Contenido Atorizacion de transacciones.. =o woe 126 Custociia de actives. 126 ‘Acceso a los datos sos 126 Formularios de sttorizaciin oo i : 6 I ‘Tablas de autorizacién de usuario eee cee so 126 i Controles compensatorios por falta de sepreacién de funciOn€s eens nt 2.12 Auditoria a ta Estructura e Implementacién del Gobierno de'TI. : 127 I 2.12.1 Revisién de la documentacién, 7 127 2.12.2 Revision de Compromisos Conttactuales..u.. ee aeraeeec a 2.13 Ptaneacién de continudad del negocto (BCP)... eee 2.13.1 Planeacion de continuidad del negocio de St eae 129 2.13.2 Desastresy otros eventos que pueden causar interrupciones senmrnnsenennes 30 Planificaciin pandémiea 130 Enfrentar daios a imagen, reputacion o marca... Reece ist 2.133 Pocoto de Placa de Continua el Negocio aes : a 2.13.4 Potion de Cominsidad del Negocio. pias ananimaimaeegt 2.135 Gesin de aides en Plaiiacn de Ia Continua del Negi. 2 2.13.6 Anis de pact del Negocio. ee paca Casitas de operaciones yantiss deeded | 2.1827 Desartllo de planes de contin dln, aan Sore eee i, 2.13.8 Oto Problemas en el Desarrollo de los Planes ete 2.13.9 Blementos de un Plan de Continuided dal Negocio von nnn a 36 Personal lve pra a om de cision no | Respalde de lo suninistos requis. vesnne Serene ee SeBUTO.. BS i 2.18.10 Pres dl pan See eee aera be Especficaionss asso ooonn Soe tig eae jecuctn de in procta 139 DDocamsitacin de los restados Se, Anilisis de resultados. sane vs : senses 139 | Maoteient del pan 9 Mejores prictca en la gesibn de continuidad dl negocio. wo MO 2.13.11 Resumen de Continnidad del Negocio y Reeuperacién en caso de Desaste... Auditoria al Plan de Continuidad del Negocio. : 2.14.1 Revisar el plan de continuidad del negocio, 14 Revisar ef documento. i . renenmnsensnnismnnnnnnn AT i Revisa las Aplicaciones Cubiertas por el Pl... . Ma Revisar los Equipos de Continuidad del Negocio... eee mae w M41 Pruobas del plan sn un 2.142 Bvaluacién de los resultados de prusbas anteriores... : vn 142 2.14.3 Evalusei6n dol almacenamiento extsmo.. i smn, AQ 2.14.4 Bntrevistas al personal clave, ee 12 2.14.5 Bvaluacién de Seguridad en Insalaciones Externas eee att tela 2.14.6 Revisi6n de Contrato de Procesamiento Alternativo. 142 2.14.7 Revi I cobertu del quo 143 2S. Cas0s de Estudl0 oor . on seam IB 2.15.1 Caso de Bstudio A. ae i 3 scenario de Caso de Estudio A ee seinnnsitieinannnnan AB 2.15.2 Caso de Estudio B 144 scenario de Caso de Estudio B 144 2.15.3 Caso de Estudio © 1d Manual de Preparacion al Examen CISA 2012 3 ISACA. Todos loz derechos reservados. Tabla de Contenido (st Sete scenario de Caso de Estudio C sn snes MA 2.154 Caso de Estudio Dssomsnon en : Mas Bscenario de Caso de Estudio D. 4s 2.15.5 Caso de Estudio B a ie . 145 TEscenrio de Caso de Estudio E. ae 145 2.6 Respuestas a las Preguntas de los Casos de Estudio, : snes 146 Respucsias alas preguntas del Caso de Estudio A... an . : 146 RRospuestas a Jas preguntas del Caso de Estudio B 146 Respuesias a las Preguntas del Caso de Estudio C. a ae eae. [Respuestas a las Preguntas del Cago de Estudio Decne 7 146 Respuestas a las preguntas del Caso de Estudio B. Capitulo 3 Adquisicién, Desarrollo e Implementacién de Sistemas de informacién............ 4 Secelon Uno: Generalidades Definicién.. Objetivos, Tareas y Conocimic Tareas Conosimientos relacionados. Relacin de las fareas con los conocimientos relacionados... Guia de Reforencia de Conceimientos Relacionades Recursos Sugeridos para Kstudios Posteriores, Proguntas de Prictiea... Respucstas alas Preguntas de Practica os coo Seccién Dos: Contenido. 182 34 pitas past : 162 3.2 Realizacién del negocio... ae oe 7 = 162 32:1 Gestion de Carteras (portfolios Programas a rn 1B 43.2.2 Desarrollo y Aprobacién del Caso de Negocio (Business Case)... cee sens 168 3.2.3 Téenicas do Realizacién de Beneficios. se 164 33. Estructura de a Gestin de Proyectos. wns 1A 3.3.1 Aspectos Generales nneninnnninsennenn iii aaa 164 3.3.2 Contexto y Ambiente del Proyecto ss vo se 16S 3.3.3 Tipos de Estructaras Organizecionales de los ProyectOs wun mnnn 165 3.3.4 Comunicacién y Cultura de Proyectos ee 168 43.3.5 Objetivos del Proyecto. im ss : 166 3.3.6 Roles y Responsabilkades de Grupos y Persons. snnsnsnne WT 3A Practicas de Gestin de Proyectos... 7 169 3.4.1 Iniciacién de un Proyecto. 170 3.4.2 Planificacion del Proyecto. a : sesesnnns 110 [Estimacign dol Tamafio del SofWAFE oon sen 170 Anilisis de Punto de Funci6n. 179 Puntos Caractristcos del FPA .. m Presupuestos de costos AT stimmcign de costos de software. iereeeeerieecceee ena Programacién de Actividades y Establociiento del Period de Tiempo ss im Metodologia de la Ruta Critica m i im 12 6 Manual de Preparaci ‘al Examen CISA 2012 ISACA, Todos los darachos reservados. (st Seam Tabla de Contenido Gestién de la Caja de Tiempo 1 3.4.3 Gestién General de Proyectos mB Docuinentaci6n.inimerninnren secre TA Automatizacion de oficinas, flee a 174 3.4.4 Control de Proyectos noen See eaen erecta ate eee 7a Gesti6n del aleance, 174 Gestion del uso de recursos = 7 os . 174 Gestin del viesp0 aor a 1s 3.4.5 Cierre de un Proyecto 175 35. Desarrollo de Aplicaciones de Negocios. : : : niet . 195 3.5.1 Enfoque Tradicional del SDLC women ns . sons ITB 3.5.2 Sistemas Integrados de Gestién de Recursos. eee 17 43.5.3 Deseripeion de las Btapas Tradicionales de SDLC.. seen ITD Estudio de Factbilidad/Viabilidad eae oat 179 Definicién de requerimientos, Set 180 Diagramas Batidad - Relacién eee i. 180 Adquisicidn de Software oes renee EBL Diseao. . : : sce 183 Participacién del Usuario en el ise. : snmmnnnniniennnennes 1B Definicibn de Requerimientos de fa Linca Base del Softee. 183 Fin de ta Btapa de Disefo, : a ee 134 Participacién del Auditor d¢ Sl .suninnmomnnse sw 84 Desarrollo, : a 7 a soon BBS. Métodosy Técieas de Propramacién. eet ist Recarsos de Programacidn en Linea (Ambiente de Desarrollo Lategt8d0) «sun 84 Lenguajes de Programacién ae 185 Depuracién de Programas, : asia 185 Pruebas oe 185 lementos de un Proceso de Pra de Software. ieee ae 186 CCasificaciones de Pruebas. : ie 186 Otros Tipos de Pruebas ete sm 138 Prucba Automatizada a las Aplicaciones, ee : 138, Implementaciéa. = Seas a 188 Planeacii dela Inplementacin a out 189 Etapn 1—Desarrollar las Fuuras Estrcturas de Soporte 189 Anilisis de brechas (Gap Analysis) 1189 Definiciones de Roles. rete 189 Etapa 2—Establecer Funciones de Sopot se nm so 190 Acuerdos de Nivel de Ser¥iCi0. noun 190 Plan de mplementacidn/Plan de‘Transferencia de Conocimientos a w= 190 Planes de Capacitacion, . 190 CCapacitacién del Usuario Final Eee ‘ : 190 Migracién de datos eee eert ersten 190) Refinamiento del Eseenario de Migracién.. : 191 scenario de vuelta atrs(fallhack/rollback). eee ert SIO ‘Técnicas de Cortar y Mover (Go-Live).. 193 ‘Cambio en Paralelo 193 Cambio en Etapas... 194 Cambio Abrupto 194 Centficacién/Acreditacién 194 Revision posterior a Ia implementacién 194 ‘Manual de Preparacién al Examen CISA 2012 7 ISACA. Todos los derechos rovervados. Tabla de Contenido 36 3.54 Riesgos Asociados con el Desarrollo de Software, es ea 195 3.5.5 Uso do"Técnicas Bstructuradas de Anilisis, Diseio y Desarrollo 196 Sistemas de Aplicaciones de Negocio, oe 196 3.6.1 Comercio Blectrénico 196 Los Modelos de Comercio Electrénico... 196 Axquiteeturas del Comercio Blectronico, “197 Riesgos del comercio electrénico (e-commerce) 198 ‘Requerimientos del Comercio Eleetrénieo 199 [Aspectos relacionados con la Auditoria y el Control del Comercio Electrénico (Mejores Priticas) ...euennnee 199 3.6.2 Intereambio Blectrinico de Datos: 200 Requetimientos Generales, 200 EDI Tradicional 200 EDI basado en la web. 1201 3.63 Riesgos y controles de EDI... 201 3.64 Controles en el Ambiente EDI 202 Recibo de las Transaeciones Entrantes, 202 Transacciones Salientes. 203 Auditoréa de EDI 203 3.6.5 Correo Electrinieo .... 208 Problemas de seguridad del corrco electeinico. 208 Estdndares para la seguridad del correo electrénico, 204 3.6.6 Sistemas de Punto de Venta 1-205 3.6.7 Banca Elestronica. 205 Desafios dela gst devesgos en la banca electric 206 ‘Controles de gostion de riesgos para la banca electronica... 206 3.6.8 Finanzas Eleeténicas 206 3.6.9 Sistemas de Pago eon 207 El modelo de dinero electbnico 207 El modelo de cheques electrénicos 207 El modelo de trasferencia electrnica 207 3.6.10 Sistemas Integrados de Fabricacion, 207 3.6.11 Transferencia Hlectronica De Fondos. 208 3.6.12 Controles en un Ambiente de EFT. 208 3.6.13 Archivo Integrado de Clientes. 209 3.6.14 Automatizacion de oficinas 209 3.6.15 Cajeros Automaticos... 209 ‘Auditoria de ATM, 209 3.6.16 Sistemas Cooperatives de Procesamicato 209 3.6.17 Respuesta de Yor Interactiva 210 3.6.18 Sistema de Contabifidad de Compras... 210 3.6.19 Procesamiento de Imigenes 210 3.6.20 Inteligencia Artificial y Sistemas Expertos, oe 3.621 Intoligencia de negocios. 213 Gobierno de lntligencia de Negocios. 215 3.6.22 Sistemas Para Soporte de Decisions... 215 ficiencia versus Rfectivided 215 Enfoque en la Decisién. 215 Extructuras de un DSS. 215 Disefio y Desarrollo 216 Iimplementacién y Uso. 217 Factores de Riesgo, 217 ‘Manual de Proparacién al Examen CISA 2012 ISACA. Todos los derechos reservados. et tn Tabla de Contenido strtogias de plement, an ‘Anilissy Evalnacin See an : 217 Caratrisicas Comunes de DSS See air “Tendencins det DSS = 217 3.623 Gein de eaciones conc lente ae 3.624 Gest de cadeas de suministo ae ais 4.7 Formas Alternaivas de Organizacin de Prayetos de Software : 218 311 Desarrollo Agi Se eee eee any 3.12 Greacion de Proatipos : 220 3113 DesarlloRip de Aplicaciones. zl 38 Métodos Aternativis de Desarrollo, zo 3.8.1 Desoto de Sistemas Orontado& Datos. mi 3.82 Desrollo de isemas Orientado a Objtos ae mo 3.8.3 Desarrollo Basado en Componentes sneer Haat | 3.84 Desarrollo de AptcaionesBasadas en la Web sysoonnoomnmnnnnnnnnanunnnnnn, 2 3.85 Reingeniea de sofware ea 3.86 Ingenieria inversa : ce oes a4 39. Desarrollo de latractractara/Pravtica do Agus oe 23 3.9. Fases dl proyecto de ands de agitectara Bea on en 206 Revisn def Argitectra Existente 226 ‘Anis y Disc, eee ane Borrador de Requcrmients Fuslonles,-nosnnnnoneonnnnnn ze Seleccion de Proveedores y de Productos i 226 | Redaesin de los Requrinientos Ficionals- woven s zr | rucba de Coneepto (POC) aoa zr 3.92 Plannin de implomontactn do infact mm | apa de Aas mi “Tiempo de Entra ssn osonsonoannnen : va | Plan de Instalcin, Se eee | Plan de Prueba de Instalacién SsaeeCeaeeStizay | 3.9.3 Factores Criticos de Exito rss vs rvtsnanne - ee 29 3.94 Adguisiién de harvare cee eee cia Paso par ua Adgusciin.-wnonmnmnronnnonnonannnnnnn, a coe 3.9.5 Aduisicin de software del sista cece eae ey 3.96 lmplementcion de software del stoma 2 : aI 3.9.7 Pocedmentos de contol de cambios al software del sta eee 3.10 Practica se Mantenimiento de Sistemas de Tnformactn Seana oatecee| 3.10, Generaligade del proceso de getién de cambios... 231 Implementacién de cambios eae Documenta. feos : ze Pricbs de os cambios a programas : ae ae mm Auttorn cambios de prog yo as Cambios de Fmergencia : “235 Actulizacion de Cambios en el Ambion de Pode. as Riso de los cambios cambios no autorizado) 25 3.102 Gestion de configu 3 “36 S411 Herramientas de Desarrollo de Sistemas y Ayuda de Produc 336 2.11.1 Generate de Cécigo : 236 3.112 Ingenieria de software asst por computadora 236 3.113 Lenguses de Cuarta Generac By ‘Manual de Proparacién al Examon CISA ZO12 2 ISACA. Todos loo doroches reservados, Tabla de Contenido fois iment 3.12 Procesos de Mejora de Pricticas BB 5.12.1 Reingenieria del Proceso de Negnco y Proyectos de Cambios al proceso i . senses BB Miétodos y Técnicas de BPR soonnnns 29 Proceso de Estudio Compaativo (Benchmarking). inaistane soe 239 Auditoria y ovaluacién de BPR. . : 240 3.12.2 150 9126. a sn 240 3.12.3 Modelo de Madurez de la Capacidad del Softwate .nnnmmnnninnsrnn Seater oat 3.124 Integracién del Modelo de Madurez-de Capacidad . se 24 3.125 180 15504. 241 3.13 Controles de Aplicacion. oe ase ecpaetcecee hraeeceseeeneaa 11 313.1 Controtes de Entrada/Origen. 243 Autorizacion de entrada de datos... se pees sven AB, Contoles de procesamiento por lot y de balance 244 Reporte y Manejo de Errores : 245 Totepridad de procesamiento por ots en los sistemas en lineao en sistemas de base de datos 24s 3.13.2 Procedimientos y Controles de Procesamiento. 245 Prooedimiontos de validacién y edicién de datos 285 Conttoles de procesamiento 246 Procedimientos de contro de archivos de datos... 246 3.13.3 Controles de Salida, 246 3.134 Aseguramiento de control de procesos de negocio... 249 3.14 Auditoria de los Controles de Aplicacin na a 249 3.14.1 Flujo de transacciones a través del sistema, 2 149 3.14.2 Modelo de evaluacién de viesgos para analizar controles de aplicaciones oxen. Pease aA 3.14.3 Observar y Probar los Procedimientos Realizados por los Usuarios. 250 3.14.4 Prucbas de integrdad de datos, senate 250 31145 Intogridad de los Datos en los Sistemas de Procesamiento de Transacciones en Linea 251 3.14.6 Prueba de los sistemas de aplicaciones. 251 3.14.7 Augitoria continua en linea . 251 3.14.8 Técnicas de Auditoria en Linea oe seneneansransnaes 251 3.15 Auditoria de Desarrollo, Adquisicién y Mantenimiento de Sistemas. 253 3.15.1 Gestion de Proyectos. . sen 254 3.15.2 Estudio de Factbilidsd/Viabilidad on 254 3.15.3 Definicién de los Requerimientos, Soa sts ass) 3.15.4 Proceso de Adquisicidn de Software 255 3.15.5 Diseiio y desarrollo dtallados, fae coe 258 3.15.6 Pruebas 255 3.15.7 Blapa de Implementacion.... sven ee - oo 255 3.15.8 Rovision Posterior a a Smplementacién 256 3.15.9 Procedimiientos de Cambios al Sistema y Proceso de Migracién de Programas... 256 3.16 Casas de Estudio. 257 3.16.1 Caso de Estudio A i 257 io de Caso de Estudio A 1 257 3.16.2 Caso de Estudio B. . w 7 a 257 scenario de Caso de Estudio B soso 257 3.17 Respuestas a Preguntas de Casos de Estudio. seen Reespuestas a preguntas de Caso de Estudio A. 7 : 258 Respuestas a preguntas de Caso de Estudio B. 258 710 ‘Manual de Preparacion al Examen CISA 2012 ISACA, Todos los derechos reservados. Eat tere Srl Capitulo 4: Tabla de Contenide Operaciones, Mantenimiento y Soporte de Sistemas de Informacion... 259 Seccién Uno: Generalidades. Definicién, Objetivos. ‘Tareas y Conocimientox Relacionades Tateas.. a Conocitnientos relacionados. Relacidn de las tars con los conocimientos relacionados. Guia de Referencia de Conocimientos Relacionados Recursos Sugeridos para Estudios Posterior... : Preguntas de Prictica Respuestas a las Preguntas de Practica, Seccién Dos: Contenido. 4.1 Referencia Répida. 42 Operaciones de los Sistemas de Info 4.2.1 Gestin de Operaciones de SI Funciones de Control 4.2.2 Gestion de Servicios dé Tn. Nivel de servicio, 260 260 260 ss 260 ~ 260 261 262 "268 269 2H 2 m2 213 203 ve 23 274 24 4.2.3 Operaciones de infraestructur. 215 Preparacién de eronogeamas 276 Software de eteacidn de ctonogramas de trabajo, 276 4.24 Monitoreo del uso de los recursos, 26 Proceso de manejo de incidentes., 216 Gestion de Problema ae on Deteccién, documentacién, control, resolucién y reporte de condiciones anormales, 277 4.2.5 Centro de Soporte (Help Desk). 2 4.2.6 Proceso de Gestion de Cambies. 278 4.2.7 Gestion de versiones. 278 4.2.8 Aseguramionto de la calidad, 279 4.2.9 Gestidn de seguridad de la informacisa, eae 279 4.2.10 Sanitizacién de medios de almacenamiento. 7 Se Soars! 43° Hardware de los Sistemas de Informacién alata : fecs 280 43.1 Componentes y arquitecturas de hardware de computador. 280 Componentes de procesamient, Souci wanes 280 ‘Componentes de entrada/selid... 230 ‘Tipos de computadoras, 280) Dispositivos de procesamiento comunes de la empresa 280 Bus Universal en Serie 282 ‘Tarjetas de memoria/Flash drives 282 Riesgos. 282 Controles de Seguridad. 283 dentificacion de Radio Frecuencia (RFID). eee eae 283 Aplicaciones RFID. se i. Panos. Riesgos de RFID... eee : 284 Control de seguridad de RFID eee 4.3.2 Programa de Mantenimiento de Hardware nnn 284 43.3 Provedimicatos de Monitoreo de Hardware. : peat 284 43.4 Gestion de la Capacidad, oa sven 8S Manual de Propara 1" Tabla de Contenido 44 Arquitectara y Software de St 441 Sistomas Operativs.. aaa Funcione o Parimetroe de Contol de Software Problems de Tntgridad del Software Registro de Actividad y Opciones de Reporte 44.2 Software de Contol de Acceso 4143 Software de Comunisaciones de Datos... 44.4 Gestion de Datos Organizacion 86 ArcHIWES ne 444 Sistema de Gen de Bases de Dts Araitetora de DBMS... Arguitctra Detallad dels Metadato del DBMS. Diccionario de Datos/Sistorna do Dircotorio strvtura de Base de Datos Contoles sobre la Base de Dates 44.4 Sistemas de Gestiin do Discos y Cintas 447 Programas de uilidad (tility programs) 44.8 Aspects dat Livenciamiento de Software 4.49 Gest de Derechos Digitales. 45 Infracstructura de las Redes de St 4.51 Arquitctura de Redes Empresarial... 4.5.2 Tipos de Rees. 4.53 Servicios de Red 4.3.4 Bstindaresy Potocolos de Red 4.55 Arquiteotura OSL 4.5.6 Apliacin del Modelo OSLen las Anutecturas de Red Red de Area Loca : Fundamentos y Eopeificaciones de Dis de Redes LAN Especificaioncs de los medios fsicos do ed. Implementacién de edes WAN, “Topolits y protocoos de redes LAN Tecnologias LAN de acceso a medio... Componentes de LAN. Cfiterios de sleccibn dol tecnologia LAN. Red de Area Amplia Técnicas de trastision de mensajes WAN... Dispostvos WAN “Teenologias WAN... Protocolo puto a puto X25 Rottonsmisin de ramus (ame rly) Red Digital de Servicios Integrados (RDS. Modo de Transferencia Asinerona (ATM) Conmutacién de Frigqueta de Protccolo Miitiple (MPLS)... Lineas Digitales de Abonado (DSL). Redes Virals Privadas (VPN) Redes Inaimbricas Redes Inalmbvcas de Area Amplia (WWAN) Redes Inakimbricas de Area Local (WLAN), ‘ited Equivalent Privacy y Wis Protected Access (WPATWPA2) Redes Inatmbricas de Area Personal (WPAN) CISA Shen ate 286 287 287 287 288 288 288 289 289 289 289 290 290 290 2m 22 293 293 294 204 294 295 295 296 296 298 298 so 298 299 299 300 sw 301 303 303 303 308 308 304 305 305 306 306 306 306 306 307 307 308 308 308 12 ‘Manual de ‘al Examen CISA 2012 TSACA, Todos los dorechos reservados. ish Seta Tabla de Contenido Redes ad hoc . 308 Protocolo de Aplicaciones Inalérbricas (WAP).. os foe 310 Infraestructura de Internet “Global” Pablica : soos 31 ‘TCPAP y su Relacién con el Modelo OSI do Refereneia..eearn : ait Sorvicios de TCP/IP Worid Wide Web de Internet : smn BLL ‘Terminologta General de Internsernomenn eee 313 Flujo de Datos Transfrontera : f os 315 Administracion y Control de Red . 35 ‘Métticas del Desempetio de la Red. : eee eect son 316 ‘Aspects Sobre la Gestion de Red... 7 316 Herramientas de Gestion de Red : - i 316 Aplicaciones en un Ambiente €n Red ors 317 ‘Tecnologia cliente-servidor fate . cated soe 7 Desafios del Negocio, : ett 318 La Solueién, : ee a se 318 Midddtewate cc . sone 318 Compatacion por demand 319 4.6 Auditoria de la Infraestructura y de las Operaciones 319 46.1 Revisiones de Hardware., vm 319 4.62 Revisiones del Sistema Operativo. : : ve 319 4.6.3 Revisiones de la Base de Dates. 319 4.64 Revisiones de Infraestructura ¢ Implementacién de la Red. 319 4.6.5 Revisiones de las Operaciones de SI eae se 320 4.6.6 Revision de Planificaciones (S0heduling) .o..nnnin 320 4.6.7 Revisiones de Repories Gerenciales de Problemas. 326 4.7 Planificacion de Recuperacién en Caso de Desastre (DRP), ee 326 4.7.1 Objatvo de punto de recuperasién (RPO) y Objetivo de tiempo de recuperacion (RTO). 326 4.7.2 Fstrategias de Reeuperaciin a eee tata i pene 327 4.7.3 Alternativas de reeuperacién auaaal Cliusulas contractuales ws : : senses SB Adquisiciéa de hardware alte ativ9 sn 329 Métodos de recuperaién de aplicaciones en caso de desta. a se os 329 Métodos de recuperaciin de almaccuamiento de datos en caso de desastte ae 330 Métodos de tecuperacién de las redes de telecomunieaciones en caso de desaste sm. 330 4.74 Desarrollo de Planes de Recuperacion Ante Desastres, : : seen 331 Contenido del DRP de TI 7 eee 331 scenarios de DRP de TT... ses faniaiads Procedimientos de recuperacion 332 4.15 Onganizacion y asignacién de responsabilidades 332 4.7.6 Respalda y restaUEBCi02. earn 333 Controles de bibfiotecas Fiera de I sce (ffi. 334 Seguridad y control de ls instalaciones externa rou : 334 Respaldo de medios de almacenamiento y documentacién 334 Tipos de Dispositivos y Medios de Almaccnamies 334 Procedimiemios de respaklo periédico, 335 Frecuencia de rotacin, ane 336 Tipos de medios y doctmentacign rotada. once 336 Esquemas de Respaldo, : eat 336 Respaldo Completo vanes : : 1.336 Respaldo Incremental 336 Respaldo Difereneial 337 ‘Manual de Preparacién al Examon CISA 2012 3 SAGA. To Tabla de Contenido ( CISA Sensis Método de rota... 337 Retencién de archivos par el amncenamiento extern 338 48 Caos de Estudio, “338 48.1 Caso de Estudio A.. 338 scenario de Caxo de Estudio A 338 4.82 Caso de Estudio B : iereeree ae 339 scenario de Caso de Estudio B. 339 49 Respuestas alas Preguntas de los Casos de Estadio 339 Respuests a les pregunta del Caso de Estudio A eae ce 339 Respuesta a las preguntas del Caso de Estudio B 339 Capitulo 5: Proteccion de Los Activos de Informacion. aa Seceién Uno: Generalidades Definicién.. Objetivos. “Tareas y Cor “Tareas, Conocimientos Relacionados ae ae Relacién de las Tareas con los Conocimientos Relacionados. Guia de Referencia de Conocimientos Relacionados Recursos Sugeridos para Estudios Posteriores. Preguntas de Préctica Respuestas alas Preguntas de Pr scimientos Relacionados Seccién Dos: Contenido, 385 SA Referencia Répida, peas 355 52 Importancia de la Gesti6n de la Seguridad de la UnformaciOn.sorvcrocvrcrcr sonnets 355 5.2.1 Elementos Clave de la Gestidn de la Seguridad de la Informaci6tn.xnn-nennnon 356 5.22 Roles y Responsabilidades de ln Gestion de ln Seguridad dela Infor. sors 3ST 5.2.3 Inventario y Clasificacién de los Activos de Informacién.... : 357 5.24 Permisos de Acceso al Sistema 358 5.2.5 Contyoles de Acceso Obligatorios y Discrecionales. 359 5.26 Aspectes relacionados con la Gestiin Privacidad y la Seguridad de a informacién y el Rol de los AUIS 359 5.2.7 Factores Crticos do Bxito para la Gestion de Seguridad de Ia informacién... 7 ee 300. 5.2.8 Seguridad de la informacion y Tercetos. 360 dentificacién de Tos Riesgos Relecionados con Terceros.. : : senmiennsennne 361 ‘Tratamiento de la Seguridad Cuando se Trabaja con Clientes. 361 ‘Tratamiento de la Seguridad en los Contratos con Terceros: ae : 1362 5.2.9 Seguridad de los recursos Immanos y terceros. — 363 Filtrado. 363 rminos y Condiciones de Empleo 363 Durante el Empleo, 364 Terminacin © Cambio de Empleo... 364 Retiro de los Derechos de Acceso. se 364 5.2.10 Problemas y Exposiciones del Crimen Informitico... 1364 Informica entre semejntes, nensjeria instantina, faa de datos y tecnologia basadas en web (por ejemplo, redes sociales, tabletos de mensajes, blogs) oan i an 5.2.1 Taney Respuesta Incidente de Sepia... : 38 53 Acceso LOgheO oun oo 374 53,1 Exposiciones de Acceso Légico, se : 374 14 ‘Manual de Preparacién al Examen CISA 2012 ISACA. Todos los derechos reservados. @3 a an Tabla de Contenido 5.3.2 Familiarizacion Con ol Entorno de TI de la Empresa, ‘ see 74 5.3.3 Las Vias de Acceso Logica 374 Puntos generales de entrada con : eon 1S 5.3.4 Software de Control de ACCES0 LOCO xennnnnnnnecnnnmmn 375 5.235 Identifieacion y Autenticacién se se 36 Ds de Inicio de Sesi6n (Logon) y contraseas (passwords). 376 Caracteristcas de las contrasefas (passwords) eee : sesennnie STD Las Mejores Pricticas de Identificaci6n y AULENICACIOR sornsne 377 Dispositivos Token, contraseias (passwords) para usr una vez. ce sae 7B Biométtc05 a 378 Gest de la Biometia. . oe eee 380 Inicio Unico de Sesi08 ean ve 380 5.3.6 Aspectos relacionados con Ia AUtoPiZ8C188 nnn peels 381 Listas de Control de Acceso. Se een sal ‘Administracién de Seguridad de Acceso Légico. 382 ‘Sopuridad de Acceso Remoto, 382 ‘Métodos Comunes de Conectivided,, 382 Acceso Remoto Usanco PDAS Fe eee ete eee eee Problemas de Acceso con Tecnologia Mévil.. 384 Log de Auditoria en ef Monitoreo de los Accesos al Sistema ace 7 rns 384 Derechos de Acceso a los Registros (Logs) del Sistema 384 Herramicntas para el Analisis de Pistas (Registo/L.ogs) de Audio o.oo nonn 385 Consiceraciones de Costos. as: Nomenclatura de Perfites para los Controles de Acceso Logico. ae 386 5.3.7 Almacenar, Recuperar, Transportar y Desechar Informacién Confidlencial cenit 386 Preservacién de Informacién Durante el Eavio o Almacenamsiento, 387 Precauciones de Almacenamiento especifico para medios de almaceramieato 387 5A Seguridad de la Infraestructura de la Red. 387 5.4.1 Seguridad de Is LAN. 388 Riesgos y Problemas de la LAN. 389 Virtualizacion . : vs 389 CContrles de Acceso a Llamadas Telefonica (ial-up) : ee a son 389 5.4.2 Seguridad Cliente/Servidor 390 Ricsgos y Problemas del Cliente/Servidor. : ae 391 5.4.3 Amenazas de Seguridad Inakimbrica y Mitigacién de Riesg0s, 391 5.44 Amenazas y Seguridad de Internet. : : i 392 Amenazas a la Seguridad de la Red. so 393 Ataques Pasivos. nn Sees sons 393 Ataques ACtiV08.socnn . sonnei 393 Factores eventuales pars los ataques en Interact... ie sen 393 Controles de Seguridad para Internet. : orn 393 Sistemas de Seguridad Cortafueyos (Firewall). ese 7 304 CCaracteristicas Generales de los Cortafuegos (Firewalls). vont, 394 Tipos de Cortafuegos (Firewalls). 394 CCoriafucgos (Firewalls) de Filtrado de Paquetes por Medio de enrutadores (outers. peti a06. Sistemas de Cortafuegos (Firewall) de Aplicaci6n soo. soon 395 Cortafuegos (Firewalls) de Inspeceida de Estado, we fa 396 [Bjemplos de Implementaciones de Cortafuegos (Fitewall) 0 sone 396 Problemas del Cortafuegos (Firewall) eee eet 397 Plataformas de Cortafueyos (Firewall) eae 09: ‘Manual de Preparacién al Examen CISA 2012 15 ISACA. Todos loz dorechos reservados. Tabla de Contenido ete eatin Sistomas de Deteceiéa de Intrusos 37 ‘Caracteristicas 1398 Limitaciones : 398 Sistemas de prevencién de intrusos. 398 Honeypots y honeynets.. 398 5.4.5 Bneriptacion 399 Blementos Claves de los Sistemas de Encriptacion.. 399 ‘Sistemas criptogrificos eon clave simétrica 399 Sistemas cripfogrificos de clave piblica (asimétrica) 400 CCriptosistema de Curva Eliptica 400 Criptografia Cuintica 400 etindar do Gnerptacion Avanzada 400 inmas Digitales. 401 Sobre Digital. 7 40 Infinestmuctura de Clave Piblica 402 Aplicaciones de Sistemas Criptoetific0® mun 403 Rieagos de Fncriptacién y Protecciba de conrasci (passwords) 404 5.46 Viti : 405 CCoattotes para Virus y Gusancs (Worm). 405 Controles Gerenciales de Procedimiento 405 Controles Técnicos 405 Estrategias de Implementacién de Software Antivirus 406, 5.7 Vou sobre IPeoew 07 Problemas de Seguridad de VoIP. 401 5.4.8 Central Telefonica (PBX) 408 Riesgos de la PBX, wo AO8, Auditoria de PBX... 409 Funcionafdades dl Sistema PBX 409 ‘Ataquos al Sistema PBX .. 409 Interceptacién de Lineas Telefbnicas de Hardware 409, Conferencia de Hardware, : an Acceso Remo. Alt Mantenimiento. aut Funcionalidades Especial del Fabriante 412 Funcionalidadss de Desarrollo y Prueba det Fabricante 412 Carga de Software y Alteracién de las Actualizaciones. 412 Ataques de Crash-Restat 412 Contrasefas (passwords). sce AB SS _Anditoria del Marco General de Ia Gestion de Seguridad de la Informacion. 413 5.5.1 Auditoria al Marco de Gestion de Seguridad de la informacién eens 413 Revisin de ls Politicas, los Procedimientos y los Estindares ESCtit0 nm mmnnane 43 Politicas de Seguridad de Acceso Logico 43 Coneiensiacién y Capacitacion Formal de Seguridad... 413 Propiedad de los Datos 413 Los Propictarios de los Datos... 43 Los Custodios de los Dates 413 B] Administrador de le Seguridad. 413 [Los Nuevos Usuarios de TT. 416 Usuarios de Datos. 416 Autorizaciones Documentadas... . 416 Acceso de Bmpleado que terminan su contrat. 416 16 ‘Manual de Preparacion al Examen CISA 2012 iveles minimos (baselines) de seguridad Sie ae" Estindares de Acceso 5.5.2 Auditoria de Acceso Logica Fuiliarizarse con el Ambiente de TL : Valoracién y documentacion de las vias de acceso. nirevistar al Personal de Sistemas... einen sono Revisar los Reportes Provenientes del Software de Conteol de Acceso Revisar ef Manual de Operaciones de los Sistemas de Aplicacién 5.5.3 Técnicas para Probar la Seguridad. “Tarjetas y Llaves de las Terminals, Keatificaci IDs de Inicio de Sesion (Logon) y contrasedas (passwords) Conttoles sobre fos Recursos de Producciéa. ei Registro y Reporte de las Violaciones de Acceso a las Connputedorss ‘Seguimiento de ls Violaclones de Acceso. Evasién de la Segurided y Controles Compensatorios. . Revisar los Controles de Aceeso y la Administracién de contrescins (pesswords) dle Terminales 5.5.4 Téonicas de Investigacién. Investigacién de Crimen por Computadora Informatica forense. Proteccida de Bvideneia y Cadena de Custodi, 5.6 Auditoria ala Seguridad de Tafraestructura de Red. Proteccién de datos, Adquisieién de datos Generacién de imagenes... Extaceién, Interrogacién... Ingestidn/normalizacion Reports 5.6.1 Auditoria al Acceso Remoto, Acitoria a Tos “Puntos de Presencia” de interno, Pruebas de Penstracin de la Red Revisiones y Evaluacién de Toda Ia Red Desarrollo y Autorizacién de Cambios a la Red. Cambios No Autorizados... 5.7 Expos 1s y Controles Ambientales... 5.7.1 Problemas y expesiciones ambientales 5.1.2 Conttoles para las exposicionos ambientaes Paneles de control de alarmas Detectores de agua... vs Extintores manuals de incendio. Alacmas manuales de incondis.. Defectores de humo, Sistemas de supresidn de incendios. Ubjcacion esteatéyica de la sala de computadoras. Tabla do Contenido Inspeccid peridcica del departamento de bomberos. 429 Paredes, pisos y techos alrededor del conto informatica a prucba de incendios. 429 Protectores de voltaje 9 Generador / Sistema de alimentaci6n ininterrumpida (SAI, UPS). 429 Conmutador (switch) de energla de emengencia 429 LLineas de energia provenientes de dos subestaciones. 29 ‘Manual de Preparacién al Examen CISA 2012 7 ISACA. Todor ‘dorochos reservads Tabla de Contenido 58 59 5.10 sa Glosario. Acrénimos. Cableado eolocado en paneles y conductos eléciticus. Actividades inhibidas dentro de la IPF... Materiales de oficina resistentes al fuego, Planes documentados y probados de evacuacién durante emergencias 5.7.3 Auditoria 4 los controtes ambientales Detectores de agua y de humo Extintores manuales de incendio. Sistemas de supresion de incendios. : Inspeocién periddica del departamento de bomberos, Paredes, pissy techor a prosba de incendio alrededor de la salads computador Protectores de voltae. Linoas de enegia provenientes de dos subestaciones Plan totalmente documentado y probado de la eontinuidad del negocio... Cableado eolocado en paneles y condductos eléctricos. UPS/Generador. : Planes documntadosy probades de evacuacin durante emergencis.. Control de humedad/temperatara Exposiciones y Controles de Acceso Fisico ‘5.8.1 Problemas y exposiciones de acces0 fI8i00 wr. Exposiciones de acceso fisico osibles porpetradores nu 5.8.2 Contoles de acceso fisico 5.8.3 Auditoria al acceso fsico Dispositivos de Computacién Mévi. Casos de Bstudio... 5.10.1 Cas0 de Estudio A scenario de caso de estudio A... 5.10.2 Caso de Estudio B Escenario de caso de estudio B... 5.10.3 Caso de Estudio C... scenario de case de estudio C. 5.104 Caso de Estudio D... scenario de caso de estudio D. Respuestas a Preguntas de Casos de Estudio. ‘Respuestas a las proguntas del Caso de Estudio A Respuestas alas preguntas del Caso de Fstudio B Respuestas a las preguntas del Caso de Estudio C warn Respuesta a las preguntas del Caso de Estudio D. Referencias. (es sae 29 29 29 29 429 29 429 430 420 430 430 430 430 430 430 430 430 430 430 430 431 432 von 433 on 34 34 44 434 435 435 435 435 436 136 436 436 436 437 458 Apéndice A: el Examen on y COBIT.... 1 466 COBIT 4.1 mA, 18 ‘Manual de Proparacion al Examen CISA 2012 TSACA, Todos los dorechos reservados. Sea Apéndice B: Estandares, Directrices, y Herramientas y Técnicas de Asegura- miento y Auditoria de TI Relacion de Kstindares Con Directrices y Herramientas y Té Us0 indices de Estandares, Diretrice, y Herramientas y Técnicas de Asegu nto y Auditoria de TI Apéndice C: Informacién General bd Examen CISA 2012 416 Requerimientos Para la Certifleaci6n soso La Aprobacién del Examen CISA... xperiencia en Auditoria, Control y Seguridad ‘de Si Deseripeién del Examen. ve Registro Para el Examen de CISA. Programa CISA Acreditado Conforme a Iso/lee 17024:2003.. so : 476 Preparacién para ef Examen CISA sor 477 ‘Tipos de Preguntas de Examen... as fen ATT Administracién del Examen. a7 Durante el Examen 477 Planificando su Tiempo... ani RuUELLaTE Reglas y Procedimientos 478 Calificacién del Examen. a8 Evaluaci6n 481 Preparese para los examenes CISA 2012... a penn Proparacién al Examen CISA 2012 19 ‘orochos reservados. Esta pagina se dej6 intencionalmente en blanco CISA Sin or 20 ‘Manual de Preparacién al Examen CISA 2012 TISACA, Todos los derechos reservados. Acerca de este Manual GENERALIDADES Larevisién 2012 del Manual de preparacién al examen CISA® esi hecha con la intenci6n de ayudar 2 los candidatos a prepararse para cl examen CISA. EI manual es una fuente de ppreparacién para el examen y no debe eonsiderarse como Ia inica fuente ni como una recopilactén global de toda la iormacién y In experiencia que se requiere para aprobar el examen. Ninguna publicacion individual offeve tal cobertara y detale ‘A medida que los candidatos leen e! manual y encuentran un ‘tema que es nuevo para ellos o alguno con respecto al cual sientan que tienen un conocimienta y experiencia imitados, pucde surgi como resulta de a intracein del negoeio con st mibicnfe, 0 como resultado dels estates, sstermas asi como {ecnologia, procesos,provedimientose informacién particulares usados por el negocio. El autor de SLesté a mennco centrado ‘enasintos de alto riesgo asociados con la coufidencinliad, Aisponibiiad o integridad de informacién sensible y etc, y com dos sistemas y procesos subyacentes de nformacién, ue generan, ‘almacenan y manipulan dicha inforwacin. Al tevisar est tipo de Fiesuos, los autores de STa menudo evaluat la efectividad del proceso de esti de riesgos que usa una organizacion, Bl proceso de evaluacin de resgos se carateriza como un ciclo de vida iterativo que comienza identificando los objtivos del negocio, Jos activos ce informacién y los sistemas o recursos de informacib ‘subyacentes que generan/amnacenan, usano manipula los actives clave (hardware, software, bases de datos, reds, instakciones, personas, et) para lograr ests abjetivos. Dado que los iesgos de ‘Tl son dindmicos, es clave que la gerencia reeonzca la necesidad de un proceso dinimico de gestion de riesgos deTLy que extablezca 1m proceso de este tipo que soporte el proceso de gestion de rieggos el negocio. Una vez que ls activo de informacién sensible yio ctiticaestin identificados, se realiza una evaluacid de riesgos para idontificar las amenazas y determinr la probabildad de ocarrencia, cLimpacto resulante y las medidas adcionales que mitgarian este impacto aun nivel aceptable para ia gerenca, Manual de Preparacién al Examen CISA 2012 ISACA. Todos toe derechos reservad 49 Capitulo 1 - Proceso do Auditoria de Soceién Dos: Contenido CISA Seaseiimr Sistemas de Informacion Spi i “Luego, durante la etapa de mitigacin de resgos, se identifican fs controle para mitigar ls riesgos idenificados. Ftos controle son contramedidas para I mitigacién de riesgos que buscan prevent 0 reducir la probabilidad de que ocurra un evento de sesgo, detectar la ocurrencia del mismo, minimizar el impacto co wansferirel riesgo a otra organizacion, Laevaluacion de contramedidas deberia ealizarse mediante ‘un anilisis costo-beneticio, en el que los controtes para mitigar riesgos se seleceionan de manera que se logre reducir los riesgos hasta un aivel aceptabe para ln yerencia. Este proceso de andlisis puede basarse en cualquiera de las siguientes opciones: + Bl costo del control comparado eon el beneficio de minimizar elriesgo + La tolerancia a riesgos de la gerencia (por ejemplo, el nivel de riesgo residual que Ia gerencia est preparada para aceptar) + Métodos preferidos de reduceidn de riesgos (por ejemplo, climinar el riesgo, minimizar la probabilidad de acurrencia, ‘minimizar el impact, transfeir el riesgo a través del seguro) La etapa final se relaciona con el monitoreo de fo niveles de desempeto de los riesgos gestionados cuando se identifiquen cambios signficativos en el ambiente, que daria lugar a una ‘nueva evaluaeion de riesgos, con lo que se garantizan cambios ‘au ambiente de contol, Ello abarca tres procesosevaluacion de riesgos, mitigacin de riesgos y reevaluaciGn de tiesgos— para determinar silos riesgos se éstin mitigando hasta un nivel aceptable para la gerencia. Se debe notar que, para ser cefectiva, la evatuacion de riesgo debe ser un proceso continuo cen una organizacion que se esfuerza por idemificar y evaluar ‘constantzmente los riesgos a medida que éstos surgen y ‘evolucionan. Consulte Ia figura 1.3 para obtener un resumen

    You might also like