Evaluación Auditoria de Sistemas - Teoría

Nombres: ___________________________________________________________

____________________________________________________________________

Cuestionario selección múltiple:

1.- La auditoría en informática comprende no sólo la evaluación de los equipos de

cómputo o de un sistema o procedimiento específico, sino que además habrá de evaluar
los sistemas de información en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtención de información. De acuerdo con lo anterior, la definición
de la auditoria informática es:

a.- Es la revisión y evaluación de los controles, sistemas, procedimientos de informática; de los

equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el
procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos
se logre una utilización más eficiente y segura de la información que servirá para una adecuada
toma de decisiones.

b.- Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema

informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente los recursos.

c.- a y b

d.- Ninguna de las anteriores

2.- El control interno es un proceso llevado a cabo por las personas de una organización,
diseñado con el fin de proporcionar un grado de seguridad razonable para la
consecución de sus objetivos. Este proceso debe ser impulsado al interior de las
organizaciones por las directivas y administradores quienes designan una persona o
grupo que posee la suficiente ética, moral y formación académica que le amerita
credibilidad para que ejerza esta función. De acuerdo a lo anterior, la definición de
control es la siguiente:

a.- Es el conjunto de normas, técnicas, acciones y procedimientos que interrelacionados e

interactuando entre sí con los sistemas y subsistemas organizacionales y administrativos, permite
evaluar, comparar y corregir aquellas actividades que se desarrollan en las organizaciones,
garantizando la ejecución de los objetivos y el logro de las metas institucionales

b.- el sistema integrado por el esquema de organización y el conjunto de los planes, métodos,
principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una
entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la
administración de la información y los recursos, se realicen de acuerdo con las normas
constitucionales, legales y vigentes dentro de las políticas trazadas por la dirección y en atención
a las metas u objetivos previstos

c.- a y b

d.- Ninguna de las anteriores

3.- El control en los sistemas de información pretende verificar que los datos sean
reales, exactos, oportunos, suficientes y sobre todo que no se vean afectados por
pérdida, omisión o redundancia, que proporcionen la información requerida. Los
controles en los Sistemas de Información se pueden clasificar teniendo en cuenta si las
acciones se llevan a cabo antes, durante o después del evento, de acuerdo con esta
clasificación los controles pueden ser:

a.- Generales y específicos

b.- Preventivos y Dectectivos

c.- Correctivos y de recuperación

d.- a y b

e.- b y c

4.- El criterio de organización y archivo de los papeles de trabajo en la auditoria se

deja a elección del auditor, pero existen unas normas de trabajo que facilitan el
acceso rápido a la información contenida en ellos, de acuerdo con esto la organización
de los papeles de trabajo en la auditoria se dividen en dos grupos que son:

a.- Formatos diseñados y aplicados, evaluación de riesgos y controles

b.- Análisis y evaluación de riesgos, resultados de la auditoria

c.- Archivo permanente y archivo corriente

d.- Ninguna de las anteriores

e.- Todas las anteriores

5.- Teniendo en cuenta las herramientas utilizadas en la auditoría tradicional y su

eficiencia comprobada, así como las técnicas usadas y metodologías de evaluación, el
auditor de sistemas debe seleccionar y utilizar las herramientas, técnicas,
procedimientos y metodologías que le permitan examinar, revisar, comparar y evaluar
correctamente cada uno de los aspectos del ambiente informático y de sistemas en el
que desarrolla su trabajo. De acuerdo con lo anterior, las técnicas usadas para realizar
la auditoría informática y de sistemas son las siguientes:

a.- Evaluación e Inspección

b.- Comparación y Confirmación

c.- Revisión Documental, Matriz de evaluación y Matriz DOFA

d.- a y b

e.- Todas las anteriores

6. Los instrumentos, técnicas y metodologías para la recolección de información en una

auditoria ya han sido probados de manera eficiente y eficaz en su aplicación, por eso
que el auditor debe aprovecharlas con el propósito de diseñar los instrumentos
adecuados y los aplique en dicho proceso. Los instrumentos de recolección de
información aplicados en el proceso de auditoría son los siguientes:

a.- Observación y entrevistas

b.- Listas de chequeo y cuestionarios

c.- Inventarios y encuestas

d.- a y b

e.- Todas las anteriores

7.- Los factores generadores de riesgo son aquellas situaciones que contribuyen a crear,
mantener e incrementar la posibilidad de ocurrencia de un riesgo. Los agentes
generadores de riesgo son los factores naturales o medioambientales o aquellos
individuos, grupos u organizaciones que con su actuar materializan el riesgo. De
acuerdo con las anteriores afirmaciones las amenazas son los factores generadores del
riesgo.

SI_________ NO_________

8.- Las vulnerabilidades se pueden definir como:

a.- La debilidad o grado de exposición de un sujeto a los factores de amenaza

b.- Las fallas, omisiones o deficiencias de seguridad que puedan ser aprovechadas por los
delincuentes.

c.- Los riesgos causados por los factores naturales o humanos

d.- a y b

e.- Todas las anteriores

9.- El riesgo se define como:

a.- La probabilidad latente de que ocurra un hecho que produzca ciertos efectos

b.- La combinación de la probabilidad de la ocurrencia de un evento y la magnitud del impacto

que puede causar

c.- Es la incertidumbre frente a la ocurrencia de eventos y situaciones que afecten los beneficios
de una actividad

d.- a y b

e.- Todas las anteriores

10.- El análisis de riesgos es una herramienta de diagnóstico que permite establecer la

exposición real a los riesgos por parte de una organización. Los objetivos del análisis de
riesgos son los siguientes:

a.- El objetivo de este proceso es la determinación de los riesgos, mediante la identificación de sus
elementos para lograr establecer el riesgo total de la exposición y posteriormente el riesgo residual
luego de aplicadas las contramedidas en términos cuantitativos o cualitativos.

b.- El objetivo es identificar las causas potenciales de los principales riesgos que amenazan el
entorno informático en una determinada área para que se pueda tener información suficiente al
respecto, seleccionando mecanismos de control con el fin de minimizar los efectos de eventos no
deseados.

c.- El objetivo es evaluar cuales son los mejores controles para mitigar los riesgos que se están
presentando en las organizaciones, para lograr las metas.

d.- a y b

e.- Todas las anteriores

11.- El modelo COBIT fue desarrollado por expertos de varios países que conforman la
Federación denominada ISACA, este estándar puede aplicarse a recursos informáticos
incluyendo hardware, software y redes o a cualquiera de los sistemas de información de
la organización. La estructura del modelo COBIT propone un marco de acción para la
evaluación de los criterios de información, los criterios de información que evalúa el
CobIT son los siguientes:

a.- Integridad, confidencialidad, disponibilidad

b.- Integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad

c.- Efectividad, eficiencia, el cumplimiento y la confiabilidad de la información.

d.- a y b

e.- a y c
12.- Además de los criterios de información evaluados, los recursos que se auditan en
el modelo CobIT son los siguientes:

a.- Los datos, las aplicaciones

b.- La tecnología de información

c.- Las instalaciones y el personal

d.- a y c

e.- Todas las anteriores

13.- El dominio de planificar y organizar cubre la estrategia y las tácticas, se refiere a la

identificación de la forma en que la tecnología de información puede contribuir de la
mejor manera al logro de los objetivos de la organización. La consecución de la visión
estratégica debe ser planeada, comunicada y administrada desde diferentes
perspectivas y debe establecerse una organización y una infraestructura tecnológica
apropiadas. Cuál de los siguientes procesos no hace parte del dominio de planeación y
organización:

a.- Determinación de la dirección tecnológica

b.- Manejo de la inversión

c.- Evaluación de riesgos

d.- Administración de cambios

14.- El dominio de adquirir e implementar se plantea para llevar a cabo la estrategia de

TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso del negocio. Además, este dominio
cubre los cambios y el mantenimiento realizados a sistemas existentes. De los
siguientes procesos cuál no pertenece a este dominio:

a.- Adquisición y mantenimiento de software aplicativo

b.- Instalación y aceptación de sistemas

c.- Administración de cambios

d.- Definición de la arquitectura de información

15.- En el dominio de servir y dar soporte se hace referencia a la entrega de los servicios
requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios,
deberán establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados
como controles de aplicación. Los procesos asociados a este dominio son los siguientes:

a.- Definición de niveles de servicio, Administración del desempeño y capacidad, Asegurar el

servicio continuo

b.- Garantizar la seguridad de los sistemas, Administración de la configuración,

c.- Administración de problemas, Administración de datos, Administración de instalaciones

d.- Educación y entrenamiento de los usuarios, identificación y asignación de costos, apoyo y

asistencia a los clientes de TI

e.- Todos los anteriores

16.- La metodología general de auditoria cubre cuatro fases o etapas que son la base
para adelantar estos procesos, a su vez cada una de las etapas agrupa un conjunto de
actividades para el cumplimiento de esta, las fases de la auditoria son las siguientes:

a.- Fase de conocimiento, fase de planeación, fase de ejecución y fase de resultados.

b.- Fase de planeación, fase de ejecución y fase de resultados

c.- Fase de recolección de información, fase de diseño de instrumentos, fase de ejecución y fase
de resultados

d.- Fase de recolección de información, fase de diseño y aplicación de instrumentos, fase de

análisis y evaluación de riesgos, fase de resultados.

17.- El análisis y evaluación de riesgos, es una de las actividades que se realiza en una
de las fases en el proceso de auditoría, a que fase o etapa corresponde esta actividad:

a.- Fase de Conocimiento

b.- Fase de Planeación

c.- Fase de Ejecución

d.- Fase de resultados

e.- Fase de gestión de riesgos

18.- El dictamen de auditoría es el proceso que permite hacer la medición del

cumplimiento de los controles en cada uno de los procesos evaluados del estándar
CobIT, esta actividad de hacer la medición del nivel de madurez corresponde a la etapa
de:

a.- Fase de Conocimiento

b.- Fase de Planeación

c.- Fase de Ejecución

d.- Fase de resultados

e.- Fase de Presentación del informe final

19.- En el proceso de auditoría, los hallazgos son soportados en las pruebas de diferente
tipo, algunos de los tipos de pruebas existentes son las siguientes:

a.- Pruebas documentales, pruebas fotográficas

b.- Pruebas fotográficas, pruebas de video

c.- Pruebas realizadas con software especializado TAAC’s

d.- Todas las anteriores

20.- Una vez encontrados los hallazgos, es importante que para cada uno de ellos se
defina el tratamiento que debe darse para minimizar la probabilidad de ocurrencia y el
impacto y sus consecuencias, el tratamiento de los riesgos debe definirse para todos los
riesgos que aparecen en la matriz de riesgos. Las opciones de tratamiento de riesgos
son las siguientes:

a.- Aceptarlo, Transferirlo, Eliminarlo, Controlarlo

b.- Aceptarlo, Modificarlo, Eliminarlo, Controlarlo

c.- Aceptarlo, Transferirlo, Cambiarlo, Controlarlo

d.- Aceptarlo, Transferirlo, Eliminarlo, Minimizarlo

21.- Los controles que se definan para los hallazgos que han sido encontrados en el
proceso de auditoría, deberán tratar de prevenir que no vuelvan a ocurrir de ahora en
adelante, también que permita determinar el momento exacto de su ocurrencia y
corregir los errores luego de su ocurrencia. En general los controles se definen y aplican
a los hallazgos para:

a.- Atacar los hallazgos para eliminarlos

b.- Atacar la causa que los origina

c.- Atacar las consecuencias que produce

d.- Atacar los riesgos que se presentan en la organización

26.- Los tipos de pruebas de seguridad de la información son los siguientes:

a.- Escaneo de Vulnerabilidades - Esta exploración examina la seguridad de los computadores

individuales, los dispositivos de la red o aplicaciones para vulnerabilidades conocidas. Las
vulnerabilidades son identificadas mediante la ejecución de un escáner, sniffers, la revisión de
configuraciones, etc.

b.- Evaluación de Seguridad - Este se basa en la evaluación de la vulnerabilidad mediante la

adición de verificación manual de los controles para confirmar la exposición mediante la revisión
de ajustes, políticas y procedimientos.

c.- Prueba de Penetración - Esto sucede un paso por delante de una evaluación de
vulnerabilidad.

d.- Ingeniería Social – La ingeniería social actualmente una técnica de las pruebas de
penetración, muchas empresas no están listas para una prueba de penetración y podrían optar
por solo desplegar una campaña de correo electrónico de suplantación de identidad.

e.- Todas las anteriores