Ingeniería en Computación e Informática

Auditoria 2014

PREGUNTAS
1. ¿Cuál de los siguientes consideraría un auditor de SI que es MÁS
importante cuando se evalúa la estrategia de una organización? Que:

A. haya sido aprobada por la gerencia de línea.

B. no varíe del presupuesto preliminar del departamento de SI.

C. cumpla con los procedimientos de procuración.

D. soporte los objetivos del negocio de la organización.

2. El paso inicial para establecer un programa de seguridad de información es:

A. el desarrollo e implementación de un manual de normas de seguridad de

información.

B. la realización de una revisión comprensiva de control de seguridad por el auditor

de SI.

C. la adopción de una declaración corporativa de política de seguridad de

información.

D. la compra de software de control de seguridad de acceso.

3. Un auditor de SI que realiza una revisión de los controles generales de las

prácticas de gerencia de SI relativas al personal debería prestar particular
atención a:

A. políticas de vacaciones obligatorias y cumplimiento de estas.

B. clasificaciones del personal y políticas justas de compensación

C. formación del personal

D. las funciones asignadas al personal

4. ¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora el

alineamiento estratégico?

A. Los riesgos del proveedor y del socio son manejados.

B. Está instalada una base de conocimientos sobre los clientes, productos,

mercados y procesos.

C. Se provee una estructura que facilita crear y compartir la información de

negocio.

D. La alta gerencia media entre los imperativos del negocio y la tecnología

2
5. ¿Cuál de los siguientes es MÁS crítico para la implementación exitosa y el
mantenimiento de una política de seguridad?

A. La asimilación de la estructura y la intención de una política de seguridad escrita

por todas las partes apropiadas

B. El soporte de la gerencia y la aprobación para la implementación y

mantenimiento de una política de seguridad

C. La ejecución de reglas de seguridad proveyendo acciones punitivas por cualquier

violación de las reglas de seguridad

D. La implementación estricta, el monitoreo y la ejecución de reglas por el

funcionario de seguridad a través de software de control de acceso

6. Desde una perspectiva de control, el elemento clave en las descripciones de

trabajos es que:

A. proveen instrucciones sobre cómo hacer el trabajo y definen autoridad.

B. son actuales, documentados y el empleado puede disponer de ellos fácilmente.

C. comunican las expectativas específicas de desempeño/performancia del trabajo

que tiene la gerencia.

D. establecen responsabilidad y deber de reportar/imputabilidad (accountability)

por las acciones del empleado.

7. Un auditor de SI que revisa un contrato de outsourcing de las instalaciones

de TI esperaría que éste defina:

A. la configuración del hardware.

B. el software de control de acceso.

C. la propiedad de la propiedad intelectual.

D. la aplicación de metodología de desarrollo.

3
8. Un empleado de SI de largo plazo que cuenta con un antecedente técnico
fuerte y con amplia experiencia gerencial ha aplicado para una posición
vacante en el departamento de auditoría de SI. La determinación de si se
debe contratar a esta persona para esta posición debería basarse en la
experiencia de la persona y en:

A. la duración del servicio ya que esto ayudará a asegurar la competencia técnica.

B. la edad, ya que entrenar en técnicas de auditoría puede ser impráctico.

C. los conocimientos de SI ya que esto traerá mayor credibilidad a la función de

auditoría.

D. la capacidad como auditor de SI, para ser independiente de las relaciones

existentes de SI.

9. Cuando existe preocupación por la segregación de funciones entre el

personal de soporte y los usuarios finales, ¿cuál sería un control
compensatorio adecuado?

A. Restringir el acceso físico al equipo de computación

B. Revisar los registros (logs) de transacciones y aplicación

C. Realizar verificaciones de antecedentes antes de contratar personal de TI

D. Bloquear las sesiones de usuario después de un período especificado de

inactividad.

10. Cuando se revisan las estrategias de SI, el auditor de SI puede determinar

MEJOR si la estrategia de SI soporta los objetivos de negocio de las
organizaciones determinando si SI:

A. tiene todo el personal y el equipo que necesita

B. los planes son consistentes con la estrategia de la gerencia

C. usa su equipo y su personal eficiente y efectivamente.

D. tiene suficiente capacidad excedente para responder a las instrucciones

cambiantes.

4
11. En una organización, las responsabilidades de seguridad de TI están
claramente asignadas y ejecutadas y se efectúa de manera consistente un
análisis del riesgo de la seguridad de TI y del impacto. ¿Qué nivel de
clasificación representa esto en el modelo de madurez de gobierno de
seguridad de información?

A. Optimizado

B. Manejado

C. Definido

D. Repetible

12. La administración de una organización ha decidido establecer un

programa de conocimiento de la seguridad. ¿Cuál de los siguientes es MÁS
probable que sea parte del programa?

A. La utilización de un sistema de detección de intrusos para reportar accidentes.

B. Ordenar el uso de contraseñas para tener acceso a todo el software.

C. Instalar un sistema eficiente de registro de usuarios para rastrear las acciones

de cada usuario

D. Proveer entrenamiento periódico a todos los empleados corrientes y nuevos.

13. La función de establecimiento del libro mayor/mayor general (general

ledger) en un paquete empresarial (ERP) permite fijar períodos contables. El
acceso a esta función ha sido permitido a los usuarios en finanzas, almacén e
ingreso de órdenes. La razón MÁS probable para dicho amplio acceso es:

A. la necesidad de cambiar los períodos contables periódicamente.

B. el requerimiento del registro las entradas por un período contable cerrado.

C. la falta de políticas y procedimientos para la debida segregación de funciones.

D. la necesidad de crear /modificar el cuadro de cuentas y sus asignaciones.

14. ¿Cuál de lo siguiente es MAS probable que indique que un depósito de

datos de cliente debe permanecer en el local en lugar de ser extraído
(outsourced) de una operación exterior (offshore)?

A. Las diferencias en las zonas horarias podrían obstaculizar las comunicaciones

entre los equipos de TI.

B. El costo de las comunicaciones podría ser mucho más elevado en el primer año.

C. Las leyes de privacidad podrían impedir el flujo de información transfronterizo.

D. El desarrollo de software puede requerir especificaciones más detalladas.

5
15. Cuando una organización está seleccionando (outsourcing) su función de
seguridad de información, ¿cuál de lo siguiente debe ser conservado en la
organización?

A. Responsabilidad de la política corporativa de seguridad

B. Definir la política corporativa de seguridad

C. Implementar la política corporativa de seguridad

D. Definir los procedimientos y directrices de seguridad

16. El gobierno de TI es PRIMARIAMENTE responsabilidad del:

A. director general (Chief Executive Officer—CEO).

B. junta 6ital6ulo (Board of directors).

C. comité de seguimiento de TI (IT steering committee).

D. comité de auditoría.

17. Un auditor de SI que revisa una organización que usa prácticas de

entrenamiento cruzado debe evaluar el riesgo de:

A. dependencia de una sola persona.

B. planeación inadecuada de sucesión.

C. que una persona conozca todas las partes de un sistema.

D. una interrupción de las operaciones.

18. Para asegurar que una organización está cumpliendo con los
requerimientos de privacidad, el auditor de SI debería PRIMERO revisar:

A. la infraestructura de TI

B. las políticas, estándares y procedimientos de la organización.

C. los requisitos legales y regulatorios.

D. la adherencia a las políticas, estándares y procedimientos organizacionales.

6
19. Un auditor de SI debería preocuparse cuando un analista de
telecomunicación:

A. monitorea el desempeño de sistemas y rastrea problemas resultantes de

cambios de programa.

B. revisa los requerimientos de carga de red en términos de volúmenes corrientes

y futuros de transacciones.

C. evalúa el impacto de la carga de red sobre el tiempo de respuesta de la 7ital7ul

y las velocidades de transferencia de datos de red.

D. recomienda procedimientos y mejoras de balanceo de red.

20. La ventaja de un método de abajo hacia arriba para el desarrollo de

políticas organizativas es que las políticas:

A. son desarrolladas para la organización como un todo.

B. es más probable que se deriven como resultado de un análisis de riesgo.

C. no entrarán en conflicto con la política corporativa general.

D. aseguran consistencia en toda la organización.

21. El gobierno efectivo de TI asegurará que el plan de TI sea consistente con

el:

A. plan de negocio de la organización.

B. plan de auditoría de la organización.

C. plan de seguridad de la organización.

D. plan de inversión de la organización.

22. ¿Es apropiado que un auditor de SI de una compañía que está

considerando hacer outsourcing de su procesamiento de SI solicite y revise
una copia del plan de continuidad del negocio de cada proveedor?

A. Sí, porque el auditor de SI evaluará la adecuación del plan de la oficina de

servicio y asistirá a su compañía a implementar un plan complementario.

B. Sí, porque, basado en el plan, el auditor de SI evaluará la estabilidad financiera

de la oficina de servicio y su capacidad para cumplir el contrato.

C. No, porque el respaldo a ser provisto debería ser especificado adecuadamente

en el contrato.

D. No, porque el plan de continuidad del negocio de la oficina de servicio es

información privada.

7
23. ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI
puede determinar cuándo, y si, las actividades de la empresa se han desviado
de los niveles planeados, o de los esperados?

A. Gerencia de calidad

B. Métodos de análisis de SI

C. Principios de gerencia

D. Estándares /puntos de referencia de la industria (benchmarking)

24. ¿Cuál de los siguientes es un paso inicial para crear una política de
firewall?

A. Un análisis costo-beneficio de métodos para asegurar las aplicaciones

B. La identificación de aplicaciones de red a las que se tenga acceso desde el

exterior

C. La identificación de vulnerabilidades asociadas con aplicaciones de red a las que

se tenga acceso desde el exterior

D. La creación de una matriz de tráfico de aplicaciones que muestre métodos de

protección

25. ¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un

programa de conciencia de la seguridad?

A. El número de interesados incluyendo empleados entrenados a diversos niveles

B. Cobertura de capacitación en todos los lugares de la empresa

C. la implementación de dispositivos de seguridad por parte de los diferentes

proveedores

D. Revisiones periódicas y comparación con las mejores prácticas

26. Un auditor de SI que revisa el plan estratégico de TI de una organización

debería PRIMERO revisar:

A. el entorno de TI existente.

B. el plan de negocios.

C. el presupuesto actual de TI.

D. las tendencias corrientes de la tecnología.

8
27. El resultado (output) del proceso de administración de riesgos es un input
para hacer:

A. planes de negocio.

B. contratos de auditoría.

C. decisiones sobre política de seguridad.

D. decisiones de diseño de software.

28. Una política exhaustiva y efectiva de correo electrónico debería resolver

los problemas de estructura de correo electrónico, ejecución de políticas,
monitoreo y:

A. recuperación.

B. retención.

C. reconstrucción.

D. reutilización.

29. La velocidad de cambio de la tecnología aumenta la importancia de:

A. hacer un outsourcing de la función de SI.

B. implementar y ejecutar buenos procesos.

C. contratar personal dispuesto a hacer una carrera dentro de la organización.

D. satisfacer los requerimientos de los usuarios.

30. Un comité de dirección de SI debe:

A. incluir una combinación de miembros de diferentes departamentos y niveles de

gerencia.

B. asegurar que las políticas y procedimientos de seguridad de SI hayan sido

debidamente ejecutados.

C. tener términos formales de referencia y mantener las actas de sus reuniones.

D. ser informado por un proveedor sobre las nuevas tendencias y productos en

cada reunión.

9
31. Un gobierno efectivo de TI requiere estructuras y procesos
organizacionales para asegurar que:

A. las estrategias y los objetivos de la organización extienden la estrategia de TI.

B. la estrategia de negocio se deriva de una estrategia de TI.

C. el gobierno de TI es independiente y diferente del gobierno total.

D. la estrategia de TI extiende las estrategias y objetivos de la organización.

32. De las funciones siguientes, ¿cuál es la función MÁS importante que debe
realizar la administración de TI cuando se ha dado un servicio para realizarse
por outsourcing?

A. Asegurar que las facturas sean pagadas al proveedor

B. Participar con el proveedor en los diseños de sistemas

C. Renegociar los honorarios del proveedor

D. Monitorear el desempeño del proveedor de outsourcing

33. Como resultado del gobierno de seguridad de información, la alineación

estratégica dispone:

A. requisitos de seguridad impulsados por los requerimientos de la empresa.

B. seguridad básica que cumplen con las mejores prácticas.

C. soluciones institucionalizadas y de materia prima.

D. un entendimiento de la exposición al riesgo.

34. El efecto MÁS probable de la falta de participación de la alta gerencia en la

planeación estratégica de TI es:

A. falta de inversión en tecnología.

B. falta de una metodología para el desarrollo de sistemas.

C. que la tecnología no estará a la altura de los objetivos de la organización.

D. ausencia de control de los contratos de tecnología.

10
35. Para minimizar los costos y mejorar los niveles de servicio, ¿un
outsourcer debe buscar cuál de las siguientes cláusulas de contrato?

A. Frecuencias de actualización de O/S y de hardware

B. Bonificaciones por cumplimiento de compartir las ganancias

C. Penalizaciones por incumplimiento

D. Cargos vinculados a la medición de los costos variables

36. Cuando un empleado es despedido de su servicio, la acción MÁS

importante es:

A. la entrega de todos los archivos del empleado a otro empleado designado.

B. sacar una copia de respaldo del trabajo del empleado.

C. notificar a otros empleados sobre la terminación.

D. inhabilitar el acceso lógico del empleado.

37. ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política

inadecuada para propiedad de datos y de sistemas?

A. No existe coordinación de la gerencia de usuarios.

B. No se puede establecer la imputabilidad accountability) específica del usuario.

C. Usuarios no autorizados pueden tener acceso para originar, modificar o eliminar

datos.

D. Es posible que las recomendaciones de auditoría no estén implementadas.

38. Muchas organizaciones requieren que todos los empleados toman una
vacación obligatoria de una semana o más para:

A. asegurar que el empleado mantiene una calidad de vida, que conducirá a mayor
productividad.

B. reducir la oportunidad de que un empleado cometa un acto indebido o ilegal.

C. proveer entrenamiento cruzado apropiado a otro empleado.

D. eliminar la interrupción potencial causada cuando un empleado toma un día

libre por vez.

11
39. Un método de arriba abajo para el desarrollo de las políticas
operacionales ayudará a asegurar:

A. que éstas sean consistentes en toda la organización.

B. que sean implementadas como parte de una evaluación de riesgo.

C. el cumplimiento de todas las políticas.

D. que sean revisadas periódicamente.

40. ¿Cuál de los siguientes es un mecanismo para mitigar los riesgos?

A. Prácticas de seguridad y de control

B. Seguro de propiedad y de responsabilidad

C. Auditoría y certificación

D. Contratos y acuerdos de nivel de servicio (SLA)

41. Los riesgos asociados con recopilar evidencia electrónica es MÁS probable
que se reduzcan, en el caso de un e-mail, por una:

A. política de destrucción.

B. política de seguridad.

C. política de archivos.

D. política de auditoría.

42. Una probable ventaja para una organización que ha efectuado outsourcing
a su procesamiento de servicios de datos es que:

A. la experiencia que se necesita de SI puede obtenerse desde el exterior.

B. se puede ejercer mayor control sobre el procesamiento.

C. se pueden establecer y ejecutar internamente prioridades de procesamiento.

D. se requiere mayor participación del usuario para comunicar las necesidades del
usuario.

43. Un administrador de LAN estaría normalmente restringido de:

A. tener responsabilidades de usuario final.

B. reportarse al gerente de usuario final.

C. tener responsabilidades de programación.

D. ser responsable de la administración de seguridad de la LAN.

12
44. Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad
para proyectar las pérdidas financieras que podrían resultar de riesgo. Para
evaluar las pérdidas potenciales el equipo debería:

A. computar la amortización de los activos relacionados.

B. calcular un rendimiento de la inversión (ROI).

C. aplicar un enfoque cualitativo.

D. emplear el tiempo necesario para definir exactamente la suma de la pérdida.

45. Cuando efectúa una revisión de la estructura de un sistema de

transferencia electrónica de fondos (EFT), un auditor de SI observa que la
infraestructura tecnológica está basada en un esquema centralizado de
procesamiento que ha sido asignado (outsourced) a un proveedor en otro
país. Basado en esta información, ¿cuál de las siguientes conclusiones debe
ser la PRINCIPAL preocupación del auditor de SI?

A. Podría haber una pregunta respecto a la jurisdicción legal

B. Tener un proveedor en el extranjero ocasionará costos excesivos en futuras

auditorías

C. El proceso de auditoría será difícil a causa de las distancias

D. Podría haber normas de auditoría diferentes

46. ¿Cuál de los controles siguientes buscaría un auditor en un entorno en el

cual las funciones no pueden ser segregadas de manera apropiada?

A. Controles que se superponen

B. Controles de límite

C. Controles de acceso

D. Controles compensatorios

47. Dar responsabilidad a las unidades del negocio sobre el desarrollo de

aplicaciones conducirá MUY probablemente a:

A. necesidades de comunicación de datos significativamente reducidas.

B. el ejercicio de un nivel inferior de control.

C. el ejercicio de un nivel superior de control.

D. una mejor segregación de funciones.

13
48. Una organización que adquiere otros negocios continúa sus sistemas
heredados de EDI, y usa tres proveedores separados de red de valor agregado
(VAN). No existe ningún acuerdo escrito de VAN. El auditor de SI debe
recomendar a la gerencia que:

A. obtenga garantía independiente de los proveedores de servicio (third party

service profiders).

B. establezca un proceso para monitorear la entrega de servicios del proveedor

(third party).

C. asegure que existan contratos formales.

D. considere acuerdos con –proveedores de servicios (third party service

providers) en el desarrollo del plan de continuidad.

49. La participación de la alta gerencia es MÁS importante en el desarrollo de:

A. planes estratégicos.

B. políticas de SI.

C. procedimientos de SI.

D. normas y lineamientos.

50. La evaluación de los riesgos de TI se logra MEJOR:

A. usando las amenazas asociadas con los activos existentes de TI y los proyectos
de TI.

B. usando la experiencia pasada real de pérdida de la firma para determinar la

exposición corriente.

C. revisando las estadísticas de pérdida publicadas de organizaciones comparables.

D. revisando las debilidades de control de TI identificadas en los informes de

auditoría.

51. Antes de implementar un cuadro de mandos o marcador balanceado

(balanced scorecard) de TI, una organización debe:

A. Entregar servicios efectivos y eficientes.

B. definir los indicadores clave de desempeño (performance).

C. proveer valor de negocio a los proyectos de TI

D. controlar los gastos de TI

14
52. ¿Cuál de las metas siguientes esperaría usted encontrar en el plan
estratégico de una organización?

A. Probar un nuevo paquete de contabilidad

B. Realizar una evaluación de las necesidades de tecnología de información

C. Implementar un nuevo sistema de planeación de proyectos dentro de los

próximos 12 meses

D. Convertirse en el proveedor de elección del producto ofrecido

53. ¿Cuál de los siguientes es una función de un comité de dirección de SI?

A. Monitorear el control y la prueba de cambio controlado de vendedor

B. Asegurar una separación de funciones dentro del entorno de procesamiento de

información

C. Aprobar y monitorear los principales proyectos, la situación de los planes y

presupuestos de SI

D. Responsable del enlace entre el departamento de SI y los usuarios finales

54. ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo

personal?

A. Investigación de los antecedentes

B. Referencias

C. Fianza

D. Calificaciones enumeradas en un 15ital15ulo 15ital/ una hoja de vida

55. Un comité de seguimiento de TI revisaría los sistemas de información

PRIMARIAMENTE para determinar:

A. si los procesos de TI soportan los requerimientos del negocio.

B. si la funcionalidad del sistema que se propuso es adecuada.

C. la estabilidad del software existente.

D. la complejidad de la tecnología instalada.

15
56. ¿Qué es lo que un auditor de sistemas consideraría MÁS relevante para la
planificación de corto plazo para el departamento de IS?

A. Asignar recursos

B. Mantenerse al corriente con los adelantos de la tecnología

C. Llevar a cabo auto evaluaciones de control

D. Evaluar las necesidades de hardware

57. ¿Cuál de los siguientes reduce el impacto potencial de los ataques de

ingeniería social?

A. Cumplimiento de los requisitos legales

B. Promover el entendimiento de la ética

C. Programas de conciencia de la seguridad

D. Incentivos efectivos al cumplimiento

58. Los objetivos de control de TI son útiles para los auditores de SI, ya que
ellos proveen la base para entender:

A. el resultado deseado o el propósito de implementar procedimientos específicos

de control.

B. las mejores prácticas de control de seguridad de TI relevantes para una entidad

específica.

C. las técnicas para asegurar la información.

D. la política de seguridad.

59. Un auditor de SI fue contratado para revisar la seguridad de un negocio

electrónico (e-business). La primera tarea del auditor de SI fue examinar
cada aplicación existente de e-business en busca de vulnerabilidades. ¿Cuál
sería la siguiente tarea?

A. Reportar los riesgos al (director de sistemas) CIO y al director general (CEO) de

inmediato.

B. Examinar la aplicación de e-business en desarrollo.

C. Identificar las amenazas y probabilidad de que ocurran.

D. Verificar el presupuesto disponible para la administración de riesgos.

16
60. Un auditor de SI encuentra que no todos los empleados tienen
conocimiento de la política de seguridad de información de la empresa. El
auditor de SI debe concluir que:

A. Esta falta de conocimiento puede conducir a una revelación no intencional de

información sensitiva.

B. La seguridad de información no es crítica para todas las funciones.

C. La auditoría de SI provee capacitación de seguridad a los empleados

D. El hallazgo de auditoría causará que la gerencia provea una capacitación

continua al personal

61. ¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de

medición de desempeño/performancia de TI?

A. Minimizar errores

B. Recopilar datos de desempeño/performancia

C. Establecer líneas base de desempeño/performancia

D. Optimizar el desempeño/performancia

62. Una organización ha hecho un outsourcing de su desarrollo de software.

¿Cuál de los siguientes es responsabilidad de la gerencia de TI de la
organización?

A. Pagar por los servicios de proveedor

B. Participar en el diseño de sistemas con el proveedor

C. Administrar/ Gestionar el cumplimiento del contrato para los servicios

externalizados (outsourced)

D. Negociar un acuerdo contractual con el proveedor

63. La falta de controles adecuados de seguridad representa:

A. una amenaza.

B. un activo

C. un impacto

D. una vulnerabilidad.

17
64. ¿Cuál de los siguientes sería un control compensatorio para mitigar los
riesgos resultantes de una segregación inadecuada de funciones?

A. Verificación de secuencia

B. Verificación de dígitos

C. Retención de documentación fuente

D. Reconciliaciones de control de lote

65. ¿Cuál de los siguientes sería incluido en la política de seguridad de SI de

una organización?

A. Una lista de recursos clave de TI a ser asegurada

B. La base para la autorización de acceso

C. La identidad de las características de seguridad sensitivas

D. Características relevantes del software de seguridad

66. Cuando se ha diseñado una política de seguridad de información, lo MÁS

importante es que la política de seguridad de información sea:

A. almacenada fuera del sitio.

B. escrita por la gerencia de SI.

C. circulada a los usuarios.

D. actualizada con frecuencia.

67. Para soportar las metas de una organización, el departamento de SI debe

tener:

A. una filosofía de bajo costo.

B. planes de largo y corto plazo.

C. tecnología de punta.

D. planes para adquirir nuevo hardware y software.

18
68. ¿Cuál de los siguientes programas es MÁS probable que una política sana
de seguridad de información incluiría, para manejar las intrusiones
sospechosas?

A. Respuesta

B. Corrección

C. Detección

D. Monitoreo

69. El desarrollo de una política de seguridad de SI es resposabilidad de:

A. el departamento de SI

B. el comité de seguridad

C. el administrador de la seguridad

D. la junta directiva.

70. Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe

determinar si:

A. hay una integración de SI y de los personales de negocios dentro de los

proyectos.

B. hay una definición clara de la misión y visión de SI.

C. hay instalada una metodología de planeación estratégica de la tecnología de la

información.

D. el plan correlaciona objetivos de negocio con las metas y objetivos de SI.

71. Cuando se desarrolla un programa de administración de riesgos, la

PRIMERA actividad que se debe realizar es:

A. análisis de las amenazas.

B. clasificación de datos.

C. inventario de activos.

D. análisis de criticalidad.

72. ¿Un auditor de SI debería esperar que cuál de los siguientes elementos
sean incluidos en la solicitud de propuesta (RFP) cuando SI está adquiriendo
servicios de un proveedor de servicios independiente (ISP)?

A. Referencias de otros clientes

B. Modelo de acuerdo de nivel de servicio.

19
 C. Acuerdo de mantenimiento

D. Plan de conversión.

73. En una organización donde se ha definido una línea base (baseline) de

seguridad de TI el auditor de SI debe PRIMERO asegurar:

A. la implementación.

B. el cumplimiento.

C. la documentación.

D. la idoneidad (sufficiency).

74. Establecer el nivel de riesgo aceptable es responsabilidad de:

A. la gerencia de garantía de calidad.

B. la alta gerencia del negocio.

C. el director de sistemas /funcionario responsable de la información (Chief

Information Officer—CIO).

D. el funcionario responsable de la seguridad (Chief Security Officer—CSO).

75. El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI

es asegurar que:

A. sean distribuidas y estén disponibles para todo el personal.

B. las políticas de seguridad y control soporten los objetivos del negocio y de TI.

C. haya un organigrama publicado con descripciones de las funciones.

D. las funciones estén separadas de una manera apropiada.

76. El cuadro de mandos o marcador balanceado (balanced scorecard) de TI

es una herramienta de gobierno del negocio que está destinada a monitorear
los indicadores de evaluación del desempeño (performance) de TI aparte de:

A. los resultados financieros

B. la satisfacción del cliente.

C. la eficiencia del proceso interno

D. la capacidad de innovación.

20