1

Texto: Auditoria Informtica, un enfoque prctico (piattini y del Peso)

Captulo 8.- Auditoria de Seguridad Fsica.
Preguntas con una respuesta de mltiples opciones
La auditora Fsica comprende a ms de comprobar la existencia de los medios
fsicos:
Comprobar su Funcionalidad
Comprobar su Racionalidad
Comprobar su Seguridad
Todas las Anteriores.
Actividades que suelen realizarse al ejecutar un plan de contingencia son:
Revisar la potencia elctrica y sistemas contra incendio
Establecer un tiempo critico de reanudacin de procesos antes de sufrir perdidas
Revisar contratos de seguros que tiene la empresa
Revisar elementos de construccin utilizados en edificio.
Entre las reas que el auditor informtico prefiere apoyo de peritos tenemos:
Infraestructura del edificio
Instalaciones del centro de procesamiento de datos
Acceso adecuado a los respaldos de datos
Administracin de redes
Entre las fuentes de informacin para realizar una adecuada auditoria fsica, el
auditor podra no solicitar:
Polticas y normas de seguridad de la empresa
Informe sobre entradas y salidas del personal
Plan de contingencia y valoracin de pruebas
Ninguna de las anteriores
El auditor informtico emplea tcnicas al realizar su trabajo como:
Cmara de video
Cuaderno de apuntes
Entrevistas a directivos y personal
Grabadora de audio
Preguntas con respuesta V (Verdadero) o F (Falso)
Definir un centro de Proceso alterno es una actividad del plan de contingencia
( V)
La observacin es una herramienta utilizada por el auditor al realizar su labor
(F)
Organigrama le permite al Auditor conocer el cargo y ubicacin del personal
( V)
Un auditor informtico externo acostumbra efectuar auditorias imprevistas
(F)
Una fase de auditoria es discutir el informe preliminar con responsables del are
( V)
Completar la expresin
La seguridad fsica garantiza la integridad de los activos humanos, lgicos y
materiales de un centro de procesamiento de datos.
Desastre es cualquier evento que al ocurrir interrumpe el normal proceso de una
empresa.
Los contratos de seguros compensan las perdidas, gastos y responsabilidades
para el centro de procesamiento de datos.
Los objetivos de la auditoria fsica son: edificio, instalaciones, equipos y
telecomunicaciones, datos, personas.
Entre las tcnicas de auditoria tenemos: observacin, revisin de polticas,
entrevista con el personal.
Captulo 9.- Auditoria ofimtica
Preguntas con una respuesta de mltiples opciones
El correo electrnico es una herramienta de oficina considerada, como:
Herramienta para la gestin de tareas
Herramienta para la gestin de documentos
Herramienta de trabajo en grupo
Herramienta para la gestin econmica
Entre los controles de economa, eficacia y eficiencia tenemos:
Determinar si la generacin del respaldo garantiza la recuperacin de
informacin.
Determinar el grado de exposicin ante virus.
Determinar si existen garantas que protejan de accesos no autorizados a la
informacin
Determinar el procedimiento de adquisicin de equipos y aplicaciones.
La poltica de mantenimiento de equipos y aplicaciones en la empresa se refiere
a:
Verificar existencia de equipos adquiridos que tengan garanta
Comprobar que en contrato se define tiempo mximo de respuestas
Comprobar que usuarios conozcan como efectivizar las garantas
Todas las anteriores.
Al realizar cambios de versiones y aplicaciones, el auditor determina controles
como:
Existencia de un plan para la formacin de usuarios finales
Existencia de procedimientos adecuados para adquirir nuevos equipos
Existencia de procedimientos adecuados para generar respaldos de informacin
Existencia de un plan para mantenimiento de aplicaciones
Entre los controles sobre uso de copias ilegales en la empresa tenemos:
Existencia de sistemas de alimentacin ininterrumpida
Inhabilitacin de puertos de entrada y salida
Periodicidad con que se realizan las copias de respaldo de informacin
Evaluacin de la aplicacin desarrollada.
Preguntas con respuesta V (Verdadero) o F (Falso)
Los procesadores de texto son sistemas de trabajo en grupo
(F )
Evaluar cambios de versiones y aplicaciones es un control de eficiencia
(V)
Verificar si sistema existe se ajusta a necesidades de empresa es un control de
seguridad
(F )
Por seguridad se deben establecer sistemas que necesitan energa continua
(V)
Verificar si usuarios tienen documentacin suficiente es un control de seguridad
(F )
Completar la expresin
Escritorio virtual es la pantalla del computador con herramientas necesarias para
realizar las actividades de un oficinista.
Las dos caractersticas de los entornos ofimticos son: distribucin de
aplicaciones en la empresa y traslado de responsabilidad sobre controles
informticos al usuario final
Un inventario poco fiable posibilita sustraccin de equipos informticos o de
licencia de programas contratadas.
Cuando personal de cada departamento (no sistemas) desarrolla aplicaciones, el
auditor verifica si la metodologa y pruebas empleadas se ajustan a lo dispuesto
en la empresa.
Auditor revisa al generar copias de respaldo: la suficiente periodicidad, correcta
asignacin de responsabilidades y adecuado almacenamiento de los soportes.
Captulo 10.- Auditoria de la Direccin
Preguntas con una respuesta de mltiples opciones

Evaluar sistemas a desarrollarse, cambios tecnolgicos y recursos a corto plazo,

se refiere al:
Plan de arquitectura de la informacin
Plan operativo anual
Plan de recuperacin ante desastres
Plan estratgico empresarial
Entre las funciones que MENOS realiza un comit de informtica tenemos:
Controlar el uso eficiente de los recursos tecnolgicos por parte del usuario
Fijar prioridades de los proyectos informticos
Ser intermediario entre Dpto. informtica y usuarios de la empresa
Realizar seguimiento a las actividades del Dpto. Informtica
La ubicacin del Dpto. informtica en la empresa debe ser normalmente bajo:
rea administrativa
rea legal
rea financiera
Ninguna de las anteriores
El control sobre la gestin del recurso humano est relacionado con:
Distribuir costo segn el uso de recursos humanos y tecnolgicos
Cobertura de seguros para los sistemas informticos de recursos humanos
Revisar rendimiento del empleado en base a estndares
Revisar vacaciones acumuladas del recurso humano.
En la empresa se debe cumplir normas legales relacionadas con:
Coberturas de seguro
Seguridad e higiene en el trabajo
Propiedad intelectual del software
Todas las anteriores
Preguntas con respuesta V (Verdadero) o F (Falso)
Plan de recuperacin ante desastres es afectacin del servicio informtico por
robo
(V)
La direccin de informtica es responsable de establecer el comit de informtica
(F )
El Dpto. informtica debe estar bajo la direccin general
(V)
Los costos tecnolgicos en empresa deben ser asumidos por Direccin informtica
(V)
El desarrollo del plan estratgico se debe controlar con estndares de rendimiento
(V)
Completar la expresin
Plan de recuperacin ante desastres evala afectacin del servicio informtico
ante incendio, inundacin, robo, sabotaje, acto de terrorismo, etc.
El Dpto. Informtica debe estar bajo la Direccin general y debe tener autoridad e
independencia atendiendo a los Dptos. usuarios.
El presupuesto econmico esta alienado con polticas y procedimientos de
empresa, as como planes operativos y estratgicos del dpto. Informtica.
Conocer los sistemas existentes permite establecer consumo de mquina, lneas
empresas y papel utilizado, horas de programacin.
En la empresa se deben cumplir normas legales relacionadas con propiedad
intelectual del software.
Captulo 12.- Auditoria de desarrollo
Preguntas con una respuesta de mltiples opciones
Entre las etapas del ciclo de vida al desarrollar software tenemos:
Mantenimiento. Frank
Explotacin o uso.
Construccin. Ftima
Eliminacin.
Funcin NO asignada tradicionalmente a la seccin Desarrollo:
Participacin en la elaboracin del plan estratgico empresarial y del rea.
Estudiar nuevos lenguajes, metodologas y estndares para usarlos de ser
necesario.
Establecer un plan de formacin para el personal de la seccin.
Elaborar un plan de mantenimiento preventivo de equipos tecnolgicos.
El proyecto normalmente es liderado por:
Personal del rea de desarrollo.
Personal del rea afectada por el proyecto.
Personal del rea de auditoria.
Personal del rea no afectada por el proyecto.
En fase de desarrollo o construccin:
Se define procedimientos para que usuarios utilicen bien el nuevo sistema.
El sistema debe ser aceptado formalmente por usuarios antes de ser usado.
Se define como arquitectura fsica coherente con el entorno tecnolgico elegido.
El usuario afectado establece claramente los requisitos del nuevo sistema.
En fase de implantacin:
Se define mecanismos para resolver problemas que se presentan durante el
proyecto.
Se debe realizar un plan detallado de entrevistas con usuarios del proyecto.
Los mdulos deben desarrollarse usando tcnicas de programacin correctas.
El usuario acepta formalmente el nuevo sistema.
Preguntas con respuesta de V (Verdadero) o F (Falso)
La seccin desarrollo realiza todo el ciclo de vida del software, incluyendo su uso.
(F )
El principal factor de xito de la informtica es mejorar la calidad del software.
(V)
Personal de la seccin desarrollo normalmente lidera los proyectos empresariales.
(F )
Los responsables de reas afectadas por proyectos deben participar en su
gestin.
(V)
Al final del proyecto, recursos humanos y materiales no regresan al Dpto. origen.
(F )
Completar la expresin
El ndice de fracaso en proyectos de desarrollo es sumamente alto, reflejando la
inexistencia o mal funcionamiento de controles en este proceso.
Desarrollo de nuevos sistemas comprende: planificacin, anlisis, diseo,
construccin e implementacin.
El plan de formacin del personal debe ser de acuerdo con los objetivos
tecnolgicos de la seccin desarrollo.
En todo proyecto informtico se deben definir objetivos, restricciones y unidades
afectadas.
En el proyecto deben ser entrevistados los responsables de todas las unidades
afectadas por el nuevo sistema informtico.
Captulo 14.- Auditoria de base de datos.
Preguntas con una respuesta de mltiples opciones.
El ciclo de vida al crear una base de datos se compone de varias fases , una de
estas no pertenece
Estudio de viabilidad y plan de trabajo.
Concepcin de la base de datos y seleccin del equipo.
Diseo y carga de la base de datos.
Mantenimiento de la base de datos Liss
Se recomienda una separacin de funciones entre:
Administrador de la base de datos y administrador de la seguridad.

Diseador de base de datos y quienes cargan la base de datos.

Quienes realizan estudio de viabilidad y quienes elaboran un plan de trabajo.
Quienes conciben la base de datos y seleccionan el equipo.
El diseo de los datos debera ser aprobado por:
Los usuarios.
Los usuarios, director informtico y alta direccin.
Administrador de base de datos.
Director informtico y alta direccin.
Analizar el rendimiento de las base de datos para realizar ajustes necesarios NO
abarca:
Rediseo fsico o lgico de la base de datos.
Adecuar ciertos parmetros del sistema operativo.
Revisin de conocimiento del administrador de base de datos.
Acceso de las transacciones a la base de datos.
En el proceso de revisin despus de la implantacin, se evala si:
Se consiguieron los resultados esperados.
Se satisface las necesidades de los usuarios.
Los costos y beneficios coinciden con lo previsto.
Todas las anteriores.
Preguntas con respuesta de V (Verdadero) o F (Falso).
La normalizacin es una tcnica de calidad aplicada a las bases de datos
.
(V )
La falla en un diccionario de datos puede atentar contra integridad de los datos.
(F )
En un SGBD normalmente existe un mdulo de respaldo y recuperacin.
(V )
El concepto datawarehouse se refiere a la base de datos operativa.
(F )
El usuario puede acceder a los datos sin conocer sintaxis del lenguaje SGBD.
(V )
Completar la expresin.
Una de las fases del ciclo de vida de una base de datos es el diseo de la base de
datos y su proceso de carga, introduciendo o migrando datos.
Se recomienda una separacin de funciones entre quienes explotan los sistemas y
controlan los datos.
Al seleccionar servidor para la base de datos se deben considerar las necesidades
priorizadas de la empresa y los servicios que ofrecen los distintos SGBD
candidata.
El administrador de la base de datos es responsable de supervisar el rendimiento
e integridad de los sistemas de base de datos.
Las bases de datos distribuidas pueden presentar riesgo de seguridad de los
datos, si no se establecen pistas de auditoria, que previenen interferencias de
actualizacin, etc.
Captulo 18.- Auditora de Redes
Preguntas con una respuesta de mltiples opciones
El modelo comn de referencia en redes se llama modelo OSI, que significa:
Organizacin de Estndares Internacionales
Operacin de Sistemas Integrados
Optimizacin de software interno
Interconexin de sistemas abiertos
Una de las incidencias que se pueden presentar en las redes por causas
tecnolgicas, es la alteracin de bits, lo cual se detecta y corrige al:
Dar un nmero de secuencia a las tramas
Dejar que se corrija por s mismo
Poner al final de la trama un cdigo de redundancia cclico (CRC)
Todas las anteriores
Fsicamente es posible interpretar la informacin, existiendo el riesgo de
indagacin, el cual consiste en:
Un mensaje puede ser ledo por un tercero
Un mensaje falso puede ser enviado por un tercero
El contenido del mensaje puede ser alterado por un tercero
El mensaje puede ser eliminado por un tercero
El concepto de intranet es:
Red privada y segura compartida por un conjunto de empresas
Red interna, privada y segura de una empresa
Red pblica e insegura compartida por un conjunto de empresas
Red externa y pblica compartida por cualquier empresa
El gerente de Redes y comunicaciones en una empresa, NO es responsable en
general de:
Tener un inventario de equipos existentes en la red y normas de conectividad
Controlar las comunicaciones, registros de errores y resolucin de problemas
Evaluar la confidencialidad de los datos transmitidos por la red
Evaluar necesidades de la red, seleccin de equipos y revisin de costos
Preguntas con respuesta V (Verdadero) o F (Falso)
El modelo OSI significa Organizacin de Estndares Internacionales
(F )
La alteracin de bits se detecta y corrige poniendo al final de la trama un CRC
(V )
Intranet es una red privada y segura compartida por un conjunto de empresas
(F )
Indagacin se produce si un mensaje puede ser ledo por un tercero
(V )
La encriptacin de la informacin asegura que la misma no pueda ser espiada
(V )
Completar la expresin
Proteccin y tendido adecuado de cables y lneas de comunicacin, evitan los
accesos fsicos inadecuados.
En el plan de recuperacin de desastres se debe poner atencin a la recuperacin
de los sistemas de comunicacin de los datos.
Deben existir tcnicas de cifrado de datos si existen riesgos de acceso no
autorizado a transmisiones sensibles.
Deben existir poltica que prohba introducir programas personales o conectar
equipos privados a la red local.
El software de comunicaciones para permitir el acceso debe exigir cdigo de
usuario y contraseas.

Texto: Auditoria en Sistemas Computacionales (Muoz)

Captulo 10.- Tcnicas de evaluacin aplicables en Auditoria de Sistemas
Computacionales.
Preguntas con una respuesta de mltiples opciones
Entre las formas de realizar pruebas de implantacin No existen:
Pruebas piloto
Pruebas en paralelo

Pruebas algortmicas
Pruebas de aproximaciones sucesivas
El auditor debe comprobar que estn disponibles para personal de sistemas,
manuales tcnicos como:
Manuales del perfil de puestos
Manuales e instructivos de la operacin del sistema
Manuales de la Estructura Organizacional
Manuales de Recuperacin ante Desastres
De los elementos mencionados seleccione aquel que es necesario en una acta
testimonial:
Lugar donde se levanta el acta
Descripcin de los hechos
Aclaraciones y correcciones
Todas las anteriores
Entre los criterios para elaborar parmetros de evaluacin en este tipo de matriz,
Suficiente se refiere a:
Cumplimiento mnimo necesario para realizar lo encomendado
Cumplimiento del trabajo satisfactorio
Cumplimiento del trabajo se realiza con la mayor calidad posible
Cumplimiento del trabajo no es satisfactorio
Entre los factores de carcter externo, que efectan comportamiento empresarial,
tenemos:
Estrategia
Bienes y Servicios
Tecnologa
Valores y costumbres
Preguntas con respuestas de V (Verdadero) y F(Falso)
1. Inspeccionar sistemas consiste en evaluar y emitir un informe sobre el desarrollo normal de sus funci
2.Confirmacin ayuda al auditor a certificar la validez de su dictamen u opinin
(V
3.Comparacin consiste en comprobar la veracidad y confiabilidad de los datos
(
4.En la matriz de evaluacin se describe el aspecto que ser estudiado y su calificacin
(
5.La tecnologa y las estrategias son factores de carcter interno en una empresa

Completar la expresin
El examen consiste en analizar la calidad y cumplimiento de funciones,
actividades y operaciones realizadas en la empresa
Un auditor jams puede fundamentar sus opiniones ni emitir juicios basados en
datos que no estn certificados plenamente
La revisin documental se aplica al comparar instrucciones de los manuales con el
desarrollo de las operaciones y funcionamiento del sistema.
La matriz de evaluacin contiene seis columnas, la primera describe el aspecto
evaluado y las otras cinco contienen un criterio de calificacin descendente.
La cultura empresarial es el conjunto de conocimiento de cada empleado que
contribuye a fortalecer valores, tradiciones y comportamientos del grupo
Captulo 11.- Tcnicas Especiales de Auditoria de Sistemas Computacionales.
Preguntas con una respuesta de mltiples opciones
La ponderacin se relaciona con:
Equilibrar descomposiciones existentes entre: sistemas computacionales con
mayor importancia y aquellos con menor importancia.
Dar un peso especfico a cada parte que ser evaluada
Buscar que todas las reas tengan un valor similar.
Todas las anteriores
Entre los modelos de simulacin usados en la auditoria de sistemas
computacionales, en cuales se toma en cuenta el Problema existente:
Ciclo de vida de los sistemas, segn Yourdon
Anlisis y diseo, segn Jackson
Mtodo de Anlisis y Diseo Estructurado de sistemas
Fases del Desarrollo segn James Martin
La evaluacin del diseo lgico del sistema consiste en:
Determinar el estado actual del sistema, base de datos y documentacin
Determinar el estado actual de perifricos
Determinar la distribucin del mobiliario y equipos.
Determinar estado de las instalaciones elctricas, de comunicacin y de datos
Al evaluar la funcin ergonmica de los sistemas computacionales, NO se
considera:
Efecto de la iluminacin
Efecto de la alimentacin del personal
Efecto de mobiliario
Efecto de la aireacin ambiental
Para el Diagrama del Circulo de Evaluacin de sistemas, se permite que el auditor
NO utilice:
Lneas de Calificacin alcanzada
Lneas de separacin de Segmentos evaluados
Crculos con calificaciones
Ninguna de las anteriores
Preguntas con respuestas de V (Verdadero) o F(Falso)
1.La gua de evaluacin le permite al auditor hacer un
(V
seguimiento paso a paso de todos los procedimientos que
)
debe realizar
(F )
2. La ponderacin permite conocer el comportamiento del
sistema bajo condiciones que asemejen el ambiente real.
3. Plano de instalaciones del centro de cmputo es un modelo
que simula flujo de datos
4. La evaluacin ayuda a comparar el funcionamiento actual
de un sistema computacional con su funcionamiento esperado.
5. El diagrama de contexto muestra los procesos relacionados
con el objetivo principal del sistema a travs de rectngulos y
flechas

(F )
(V
)
(V
)

Completar la expresin
En el primer paso de la ponderacin se eligen los factores importantes a evaluar
y se les asigna un valor porcentual segn su importancia.
En la evaluacin de la gestin administrativa del rea informtica, se evala la
existencia y aplicacin del perfil de puestos para la seleccin, ocupacin y
promocin del personal.
El diagrama del crculo de evaluacin permite valorar visualmente el
comportamiento, cumplimiento y limitaciones de aspectos (documentacin,
operatividad, etc) de los sistemas.

La lista de verificacin consiste en detallar aspectos a revisar del rea de sistemas

y su cumplimiento o no.

El diccionario de datos permite determinar de cada campo: su tipo, tamao y

descripcin.