BANCO DE PREGUNTAS

RESUMEN DE UEC: AUDITORIA INFORMATICA Y DE SISTEMAS

1. Definición de auditoríaEs la revisión independiente que realiza un auditor profesional aplicando técnica, métodos y procedimientos con el fin de evaluar el cumplimiento de las funciones, actividades y tareas.

2. ¿Qué son los criterios de auditoría? Ejemplos.Son un conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de auditoria

políticas de seguridad manuales de procedimientos manual de calidad manual de organización y funciones

3. ¿Qué entiende por hallazgos de la auditoría?Son los resultados de la evaluación de la evidencia de la auditoria recopilada a los criterios de auditoria pueden indicar conformidad o no conformidad.

4. ¿Qué son las evidencias de la auditoría?Son todos los registros, declaraciones de hechos o cualquier otra información pertinentes a los criterios de auditoria

5. ¿Qué es la auditoria interna o de primera clase?Es una revisión dependiente realizada por el auditor, ya que cuya relación de trabajo está directamente y subordinada a la institución (lugar donde trabaja) donde se aplicara .es contar con dictamen interno sobre las actividades funciones de la empresa

6. ¿Qué es la auditoria externa?Es una revisión independiente realizada x el auditor, con total libertad de criterio y sin ninguna influencia, con el propósito de evaluar el desempeño de las actividades, operaciones y funciones de la empresa .lo cual permitirá emitir un resultado libre e independiente

7. ¿Qué es el control interno?Es el plan de organización, los métodos y procedimientos que tiene implantados una empresa o negocio, estructurados en un todo para la obtención de tres objetivos fundamentales: a) la obtención de información financiera correcta y segura, b) la salvaguarda de los activos y c) la eficiencia de las operaciones.

8. Diferencias entre la auditoria informática y de sistemas y el control interno.

AUDITOR INFORMÁTICO

1.- Análisis en un momento determinado 2.- Informa a la Dirección General de la Organización.

3.- Tanto personal interno como externo.4.- El alcance de sus funciones tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.

1

CONTROL INTERNO INFORMATICO1.- Análisis de los controles en el día a día.2.- Informa a la Dirección del Departamento de Informática.3.- Solo persona interno.4.- El alcance de sus funciones es únicamente sobre el Departamento de Informática.La auditoría informática se basa en la procedimiento informático y en control

9. ¿Cuáles son las razones para realizar una auditoria informática y de sistemas?

Cotes organizacionales por perdida de los datos Toma de deciones incorrectas Fraude informático Valor del hardware, software y del personal Altos costos de los errores informáticos Privacidad La evolución controlada del uso de las tecnologías de la

información

10. Describa cada una de técnicas y herramientas de la auditoria informática y de sistemas.

Entrevistas: consiste un conversación correcta que realiza el auditor auditor

Cuestionarios :son conjuntos de preguntas personalidades que debe ser contestado por el entrevistado

Checlist. preguntas recitadas de memoria debe ser contestada oralmente Encuetas: es una técnica estadística. Observación: examinar los diferentes aspectos que repercuten en

funcionamiento en el área de informática Inventarios: consiste en un recuento físico de lo que se está auditando a

fin de saber la cantidad existente que debería haber. Trazas / huellas: son las validaciones de datos previstas. Log: es un historial que informa q fue cambiando y como fue cambiando la

información Software de interrogación: permite la obtención de consecuencias e

hipótesis de la situación real de unas instalaciones.

11. Defina la auditoria de informática.Cuyo objetivo sean productos informáticos (software e informática, redes), procesos informáticos. Sino también procesos administrativos propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información

12. Describa cada uno de las etapas de la auditoria Informática y de Sistemas. Planeación: se define el origen , objetivos ,puntos evaluar, las

herramientas para la auditoria Ejecución :son todas acciones aplicando instrumentos y herramientas

para poder mejorar .son las observaciones Dictamen o informe : elaborar infórmenos de oportunidades de

mejoramientos encontradas utilizando SGI13. ¿Qué es la auditoria de segunda parte?

Nuestra organización audita a nuestro proveedor

2

14. ¿Qué es la auditoria de tercera parte?La organización es auditada por una organización independiente

15. ¿Cuáles son las metodologías aplicables a la auditoria informática y de sistemas?

1. El Origen 2. Vista preliminar 3. Establecer objetivos 4. Elaborar planes, presupuesto y programas5. Identificar y seleccionar herramientas, instrumentos y procedimientos6. Asignar recursos 7. Aplicar auditoria 8. Elaborar informe 9. Informe final

16. Mencione las principales funciones de la Asociación de Auditoria y Control de Sistemas de Información (ISACA).

17. ¿Cuáles son las principales certificaciones que ofrece ISACA y los requisitos que se debe de cumplir para acceder a ellas?

18. Describir sobre los siguientes principios deontológicos que debe de cumplir el auditor: capacidad profesional, principio de confidencialidad, principio de independencia.

19. Describir sobre los siguientes principios deontológicos que debe de cumplir el auditor: beneficio del auditado, veracidad, de fortalecimiento y respeto de la profesión.

20. Defina la seguridad de la información.Conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.

21. ¿Qué es un activo? Ejemplos.ALGUN BIEN O VALOR PARA LA ORGANIZACIÓN

22. ¿Qué es una amenaza? Ejemplos.Son todos los daños a tu sistema e información

23. ¿Qué es una vulnerabilidad? Ejemplos.SON TODOS ANENAZASQUE PUEDEN DARÑAR LA IMFORMACION

24. ¿Qué es un riesgo? Ejemplos.

25. ¿Qué es un control? Ejemplos. Son todas las medidas para evitar amenazas 26. Describa los principios de la seguridad de la información.

CONFIABILIDAD RESTRIGEIDO en función de la persona que intenta acceder y de la pertinencia de dicho acceso. En otras palabras, se debe establecer quién accede a qué datos, cuándo y cómo

3

INTEGRIDAD VERAZ Y COMPLETA y para ello debe estar protegida contra accidentes y ataques. Si los datos no son fiables o están incompletos, no son de utilidadDISPONIBILIDAD MOMNETO y lugar en que sea necesaria, independientemente del momento y lugar en el que se haya generado.

27. ¿Qué es un Sistema de Gestión de Seguridad de la Información?Un SGSI es una parte del sistema general de gestión (de una institución o empresa), con base en un enfoque de riesgo empresarial, para establecer, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.

28. ¿Cuáles son los beneficios de un SGSI? Poder disponer de una metodología dedicada a la seguridad de la información

reconocida internacionalmente.

Contar con un proceso definido para Evaluar, Implementar, Mantener y

Administrar la seguridad de la información.

Diferenciarse en el mercado de otras organizaciones.

Satisfacer requerimientos de clientes, proveedores y Organismos (Concursos

Públicos).

Potenciales disminuciones de costos e inversiones.

Formalizar las responsabilidades operativas y legales de los usuarios Internos y

Externos de la Información.

29. ¿Cuáles son las etapas para la implementación de un SGSI y las actividades principales que se desarrollan en cada una de ellas?

30. ¿Qué es la ISO/IEC 27001?Es un estándar para la seguridad de la informaciónDescribe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma

31. ¿Qué es la ISO/IEC 27002?

32. ¿Qué es la ISO/ IEC 27005?.

4