Cuestionario Auditoria de Sistemas

 

Preguntas  de Auditoria de Sistemas.

1. ¿Cuál de las siguientes causas puede originar la realización de una AI?
          a) Insatisfacción de los usuarios.

          b) Inseguridad de los SI.

          c) Debilidades económico-financieras.

JUSTIFICACIÓN: Cada una de las alternativas planteadas comprende dentro de la necesidad de Auditar los Sistemas de Información,  estas son las causas que llevan a una AI, para implementar una mejora en la Empresa, son descoordinaciones y desorganizaciones que influyen en el logro de los objetivos por parte de la Empresa.

2. ¿Cuál de los siguientes NO es un objetivo de una Auditoria Informática?

         a) El mantenimiento de la operatividad.

         b) La mejora de la eficacia.

         c) La mejora de la eficiencia

         d) La mejora de la seguridad.

JUSTIFICACIÓN: Los objetivos fundamentales son el mantenimiento de la operatividad y la mejora por parte de la eficacia, y no así la mejora de la eficiencia.

3. ¿Cuál de las siguientes NO es una de las características de la eficacia de un sistema informático?

        a) Información válida.

        b) Información oportuna.

        c) Información completa.

d) Información económica.

JUSTIFICACIÓN:  La eficacia de un sistema no se enfoca en un área como lo es la área económica, más bien se enfoca en la totalidad de la entidad, además la eficacia mide la capacidad de lograr nuestros objetivos, más bien en este caso que la información sirva y debe ser válida , oportuna y completa.

4. En Auditoría Informática, la aportación de un SI de una información válida, exacta, completa, actualizada y oportuna se conoce como:

       a) Operatividad.

      b) Eficacia.

      c) Seguridad.

      d) Rentabilidad.

JUSTIFICACIÓN:  Como ya se menciono anteriormente el flujo de información debe ser eficaz y cumplir con cada uno de los criterios mencionado, para que se haga un uso eficaz de los recursos de Información.

5. La optimización del uso de los recursos de un SI afecta a la:

     a) Operatividad.

     b) Eficacia.

     c) Seguridad.

    d) Rentabilidad.

JUSTIFICACIÓN:  Bajo el supuesto que optimizando los recursos se obtiene rentabilidad, el buen uso de los recursos afecta directamente a la rentabilidad

6. Si una auditoria se centra en la disponibilidad del SI, se está auditando:

     a) La operatividad

     b) La eficacia

     c) La seguridad

     d) Ninguna de ellas

JUSTIFICACIÓN: La auditoría de seguridad se centra en la confidencialidad y la disponibilidad

7. ¿Qué de lo siguiente NO debe hacer un auditor?

      a) Recomendar

     b) Diagnosticar en función a imposiciones

      c) Ser objetivo

     d) Ser competente en AI 

JUSTIFICACIÓN: Un auditor por ningún motivo   debe obligar ni amenazar, actuar en beneficio propio, diagnosticar en función a imposiciones y dejar obsoletos sus conocimientos.

8. ¿En cuántas clases se puede clasificar las actividades típicas del auditor informático?

     a) 3

     b)4

     c) 5

     d)6

JUSTIFICACIÓN: Se  clasifican  en cinco áreas que son: la auditoría de gestión de SI, auditoría de los sistemas en desarrollo, auditoría de los sistemas implantados, auditoría del CPD y apoyo a los auditores no informáticos.

9 ¿De quien depende el área de AI?

     a) Responsable de Informática

     b) Administrador de seguridad

     c) Director Administrativo

    d) Ninguno de ellos

JUSTIFICACIÓN: El área de AI puede depender de la Dirección general o del Jefe del Director de Informática.

10. La auditoría que analiza la adecuación  de los procedimientos establecidos, de las funciones y las responsabilidades en función a las necesidades y problemas de la empresa es la auditoria.

     a) Informática

     b) De calidad

     c) Organizativa

     d) Ninguna de ellas. 

JUSTIFICACIÓN: La auditoría organizativa es la cual analiza los procedimientos establecidos, y las responsabilidades frente a los problemas que presente la empresa.

11.- ¿Qué tipo de auditoría es la que analiza la adecuación de los procedimientos establecidos?

           a)Auditoría de gestión  

           b)Auditoria de Calidad

           c)Auditoria informática

          d)Auditoria organizativa

JUSTIFICACIÓN: Es la Organizativa ya analiza la adecuación de los procedimientos establecidos, de las funciones y de las responsabilidades en función a las necesidades y problemas de la empresa.

12.- ¿cuál de las siguientes es un área general en la que pueda centrarse la auditoria:

          a)Dirección de informática

         b)Comunicaciones 

          c)Usuarios

          d)Seguridad

13.- ¿Cuál de las siguientes NO es un área en que se encuentre una auditoria  informática?

          a)Externa

          b)Interna 

           c)Usuarios

           d)Dirección de Informática

       JUSTIFICACIÓN: Las áreas generales en las que se centra una auditoría informática  son dirección de informática, usuarios, interna y seguridad.

14.- ¿Cuál de los siguientes NO es un ámbito de aplicación de la AI?    

           a)De datos de salida

           b)De cifras

           c)De procedimientos

           d)De gestión informática

JUSTIFICACIÓN: Según el ámbito de aplicación se pueden  distinguir tres tipos de  auditoría (de cifras, de procedimientos y de gestión informática). Y en ninguna parte se menciona de datos de salida.

15.- ¿Cuál es la fase 3 de la metodología para la realización de una Auditoria Informática?

           a)Determinación de Recursos

           b)Elaboración del plan

           c)Estudio Previo

           d)Realización

JUSTIFICACIÓN: Las etapas son Definición de ámbito y objetivos, Estudio previo, Determinación de recursos, Elaboración del Plan, Ejecución y Elaboración del informe final. Y precisamente la tercera es la alternativa A.

16.- La cuarta fase de una metodología típica de auditoría informática es:

            a)Estudio Previo

            b)Definición de ámbito y objetivos.

            c)Determinación de recursos

            d)Elaboración del plan.

JUSTIFICACIÓN: Las etapas son Definición de ámbito y objetivos, Estudio previo, Determinación de recursos, Elaboración del Plan, Ejecución y Elaboración del informe final.

17.- ¿Cuál de las siguientes NO es una técnica a utilizar en la ejecución de una auditoría?

           a)Entrevista.

           b)Cuestionarios escritos. 

           c)Muestreos. 

d        d)Simulaciones.

JUSTIFICACIÓN: Los cuestionarios o check list han de ser  contestados oralmente, a fin de que el auditor pueda aclarar la respuesta del entrevistado.

18.- La entrevista en una auditoria informática debe…

            a)Seguir un plan predeterminado.

            b)Basarse en un cuestionario específico.

            c)Tomar la forma de una conversación formal.

            d)Buscar una finalidad concreta.

JUSTIFICACIÓN: La entrevista tiene que ser correcta sin llegar a formal, y aunque se prepare concienzudamente no debe seguir ni un plan predeterminado ni un cuestionario. Las preguntas deben de surgir de las repuestas del entrevistado, buscando una finalidad concreta no general.

Formulario de Auditoria de Sistemas de Información

RECOMENDACIONES PARA MEJORAR EL SISTEMA.

Una de las falencias encontradas por el equipo de Auditoria es en cuanto al Hardware, una vez realizado el formulario de Auditoria de Sistema de Información, específicamente a LPC1, pudimos detectar el incumplimiento de la seguridad de los equipos, ya que no se cuenta con el material necesario para brindar seguridad al equipo (Candado de Seguridad de PC)

Recomendación: Se sugiere que en el caso de no existir los recursos necesarios para adquirir los candados exista un lugar físico donde el equipo no pueda sufrir ningún daño ni hurto, por ejemplo la confección en el escritorio de una caja adaptada al equipo con seguro.

 En cuanto a la distribución de los equipos a la sala LPC1, detectamos que existe el riesgo de no brindar seguridad, respecto al espacio entre los equipos, ya que en caso de emergencia, esto dificultaría el desplazamiento de los usuarios al retirarse de la Sala.

Recomendación: El equipo sugiere, la disminución de Equipos en sala, para mejorar el espacio físico, de esta forma contribuir con los usuarios en cuanto a comodidad, y desplazamiento dentro del laboratorio, sin dificultad.

En cuanto al software, no existe un sistema de Control Interno, que nos permita saber quien opera en un equipo dentro del laboratorio, esto hace que el equipo quede expuesto a posibles, fallas de sistemas, virus, etc.

Recomendación: Implementar un sistema identificatorio, el cual nos permita saber, quien es el usuario que opera en cada equipo, el tiempo que este ocupa el PC, y que arroje un informe en cuanto a daños provocados en el sistemas, en el caso de que el usuario deje problemas en Sistemas.

ISACA

¿Qué es I.S.A.C.A?

Es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno empresarial, administración de TI así como riesgos y cumplimiento relacionados con TI, además es una entidad sin fines de lucro, de investigación independiente que proporciona orientación a la comunidad mundial de negocios sobre temas relacionados con el gobierno empresarial de los activos de TI. El ITGI fue establecido en 1998 por ISACA, asociación de miembros sin fines de lucro.

¿Cuál es el objetivo de ISACA?

Brindar a nuestros asociados y a la comunidad internacional, el acceso a herramientas y técnicas actualizadas en auditoria, control y seguridad de tecnología de información.

¿Qué ganancia podría tener un auditor al tener un conocimiento acabado de este término?

Abre la puerta a un vasto conjunto de oportunidades de desarrollo profesional, investigación, conocimiento, comunidad y liderazgo. 
Compartir información con los miembros de la Organización de todo el mundo. 
Crear conocimiento acabado de ciertos temas profesionales que no se poseen. 
Certificarse en las Tecnologías de Información a través de ISACA 
Conexión de los profesionales de T.I a través de una variedad de industrias. 
ISACA nos entrega valor como profesionales en el ámbito de Auditorias de información, ya que en la Tecnología de información, un factor determinante es la actualización en el tema. 
Ser miembro de ISACA y conocer ISACA nos entrega un reconocimiento profesional, credibilidad y nos da un alto potencial de ingresos.