Maestría Auditoria y Seguridad Informática

Examen CISA
Julio 2011

1. Un sistema de soporte de decisiones (DSS):

C. enfatiza en la flexibilidad de la metodología de toma de decisiones de los usuarios.

2. ¿La falla en cuál de las siguientes etapas de prueba tendría el MAYOR impacto sobre
la implementación de nuevo software de aplicación?

D. Prueba de unidad

3. ¿Cuál de los siguientes debe hacer un auditor de SI cuando una comparación de

código fuente indica que se hicieron modificaciones?

A. Determinar si las modificaciones fueron autorizadas

4. La razón PRIMARIA para separar los ambientes de prueba y de desarrollo es:

C. controlar la estabilidad del ambiente de prueba.

5. La PRINCIPAL preocupación para un auditor de SI que revisa un entorno CASE

debería ser que el uso de CASE automáticamente no:

D. genere código eficiente

6. ¿Cuál de los siguientes métodos de prueba es el MÁS efectivo durante las etapas
iníciales de creación de prototipos?

D. De arriba hacia abajo

7. ¿Cuál de los siguientes es el propósito PRIMARIO para llevar a cabo una prueba
paralela?

C. Destacar los errores en los interfaces de programa con los archivos.

8. ¿Quién de los siguientes es el responsable final de proporcionar las especificaciones

de requerimientos al equipo del proyecto de desarrollo de software?

A. Jefe de equipo

9. ¿Cuál de los siguientes debería ser incluido en un estudio de factibilidad para un

proyecto para implementar un proceso de EDI?

B. Los procedimientos detallados de control interno

10. Una característica distintiva de los lenguajes de cuarta generación (4GLs) es la

portabilidad, ¿qué significa?

A. Independencia ambiental
Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

11. ¿Cuál de los siguientes es una fortaleza de la técnica de revisión de evaluación de

programas (PERT) sobre otras técnicas? PERT:

A. considera diferentes escenarios para planear y controlar proyectos.

12. ¿Cuál de los siguientes sería MÁS probable que asegurase que los requerimientos
del negocio se cumplan durante el desarrollo de software?

C. Documentación de las reglas del negocio

13. En lugar de un sistema heredado, una organización está implementando un nuevo

sistema. ¿Cuál de las siguientes prácticas de conversión crea el MAYOR riesgo?

C. Corte Inmediato (Direct cut-over)

14. ¿Cuál de los siguientes procedimientos de auditoría realizaría normalmente

PRIMERO un auditor de SI cuando revisa la metodología de desarrollo de sistemas de
una organización?

C. Evaluar el nivel de cumplimiento con los procedimientos.

15. Muchos Proyectos de TI experimentan problemas porque el tiempo de desarrollo y/o

los requerimientos de recursos son subestimados. ¿Cuál de las siguientes técnicas
proveería la MAYOR asistencia para desarrollar una duración estimada de proyecto?

B. Diagrama de PERT

16. Los supuestos mientras se planea un proyecto de SI implican un alto grado de riesgo
porque:

B. están basados en datos pasados objetivos.

17. ¿Cuál de los siguientes grupos /personas debería asumir la dirección general y la
responsabilidad de los costos y cronogramas de los proyectos de desarrollo de
sistemas?

C. La alta gerencia

18. Una empresa ha establecido un comité de dirección para supervisar su programa de

negocios electrónicos. El comité de dirección es MÁS probable que participe en:

B. el escalamiento de problemas del proyecto.

19. Respecto al traslado de un programa de aplicación desde un ambiente de prueba al

ambiente de producción, el MAYOR control se proveería haciendo que:

D. el grupo de control de producción copie el programa fuente a las bibliotecas de

producción y luego compile el programa.
Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

20. La explicación MÁS probable para el uso de applets en una aplicación de Internet es
que:

D. es un Programa JAVA bajado por medio del buscador web y ejecutado por el servidor
de la web de la máquina del cliente.

21. Durante la auditoría de un paquete de software adquirido, el auditor de SI se enteró

de que la compra del software se basó en información obtenida a través de la Internet, en
lugar de basarse en respuestas a una solicitud de propuesta (RFP). El auditor de SI debe
PRIMERO:

D. asegurarse de que el procedimiento había sido aprobado.

22. Cuando se selecciona el software, ¿cuál de los siguientes aspectos del negocio y
técnicos es el MÁS importante a considerar?

B. Los requerimientos de la organización

23. Una organización que planea comprar un paquete de software solicita al auditor de SI
una evaluación de riesgo. ¿Cuál de lo siguiente es el riesgo MAYOR?

A. No disponibilidad del código fuente.

24. Al final de la etapa de prueba de desarrollo de software, un auditor de SI observa que

un error intermitente de software no ha sido corregido. No se ha tomado ninguna acción
para resolver el error. El auditor de SI debe:

A. reportar el error como un hallazgo y dejar la exploración adicional a discreción del

auditado.

25. El objetivo PRIMARIO de llevar a cabo una revisión posterior a la implementación es

determinar si el sistema:

A. logró los objetivos deseados.

26. ¿Cuál de los siguientes es un control para detectar un cambio no autorizado en un

ambiente de producción?

C. Comparar periódicamente los programas de control y los actuales programas objeto y

fuente

27. Un auditor de SI que participa en la etapa de prueba de un proyecto de desarrollo de

software establece que los módulos individuales se desempeñan correctamente. El
auditor de SI debe:

C. informar a la gerencia y recomendar una prueba integrada.

Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

28. Un objetivo de una revisión posterior a la implementación de un sistema de

aplicación de negocio nuevo o extensamente modificado es:

A. determinar si los datos de prueba cubrieron todos los escenarios

29. La base de conocimientos de un sistema experto que usa cuestionarios para

conducir al usuario a través de una serie de opciones antes de llegar a una conclusión
se conoce como:

B. árboles de decisión.

30. Una organización quiere hacer valer principios de integridad de datos y lograr un
desempeño /ejecución más rápida en una aplicación de base de datos. ¿Cuál de los
siguientes principios de diseño debe aplicarse?

D. Integridad referencial

31. Una organización está trasladando su mantenimiento de aplicación a su instalación

desde una fuente exterior. ¿Cuál de las siguientes debe ser la principal preocupación de
un auditor de SI?

D. Procedimientos de control de cambio

32. Si un programa de aplicación es modificado y están instalados procedimientos

apropiados de mantenimiento de sistema, ¿cuál de los siguientes se debería probar?

A. La integridad de la base de datos

33. ¿Cuál de las fases siguientes representa el punto óptimo para que tenga lugar la
línea base (baselining) del software?

B. Diseño

34. Los procedimientos de administración de cambios son establecidos por la gerencia

de SI para:

D. verificar que los cambios de sistema sean debidamente documentados.

35. ¿Cuál de las siguientes tecnologías es una característica de tecnología orientada a

objetos que permite un grado mejorado/ampliado de seguridad sobre los datos?

A. Herencia

36. Las revisiones por instituciones pares para detectar los errores de software durante
una actividad de desarrollo de programa se denominan:

D. construcción de programas de arriba hacia abajo.

37. Una ventaja de usar en transacciones en vivo saneadas (sanitized live transactions)
en los datos de prueba, es que:

B. cada condición de error probablemente sea probada.

Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

38. ¿Cuál de los siguientes representa un prototipo típico de una aplicación interactiva?

D. Pantallas, ediciones interactivas, programas de procesamiento y muestras de reportes

39. A las unidades de negocio les preocupa el desempeño (performance) de un sistema

recién implementado. ¿Cuál de los siguientes recomendaría el auditor de SI?

A. Desarrollar una línea base y monitorear el uso del sistema

40. ¿Cuál de las siguientes es una técnica de gerencia que permite que las
organizaciones desarrollen sistemas estratégicamente importantes más rápidamente al
tiempo que reduce los costos de desarrollo y mantiene la calidad?

A. Análisis de punto de función

41. La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un

proyecto de desarrollo de aplicaciones es:

B. asegurar que el diseño refleje exactamente el requerimiento.

42. Las fases y los productos disponibles de un proyecto de ciclo de vida de desarrollo
de sistemas (SDLC) deberían ser determinadas:

A. durante las etapas iníciales de planeación del proyecto.

43. Durante la prueba de unidad, la estrategia de prueba aplicada es de:

B. caja blanca.

44. ¿Cuál de los siguientes facilita el mantenimiento del programa?

D. Programas menos cohesivos y acoplados fuertemente

45. Un auditor de SI que revisa una propuesta para la adquisición de un software de

aplicación debe asegurarse de que:

C. el OS tenga las versiones y actualizaciones más recientes

46. ¿Cuál de los siguientes es el MAYOR riesgo cuando se está implementando un

almacén de datos (data warehouse)?

C. Duplicación de datos

47. ¿Cuál de los siguientes tipos de prueba determinaría si un sistema nuevo o

modificado puede operar en su ambiente objetivo sin afectar adversamente otros
sistemas existentes?

A. Prueba paralela
Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

48. Un programador, que usa firecall IDs, como se dispone en el manual del fabricante,
ganó acceso al entorno/ambiente de producción e hizo un cambio no autorizado. ¿Cuál
de los siguientes podría haber prevenido que esto ocurriera?

B. Monitoreo

49. La preocupación PRIMARIA de un auditor de SI cuando los desarrolladores de

aplicaciones desean usar una copia del archivo de transacciones de producción de ayer
para las pruebas de volumen es que:

A. es posible que los usuarios prefieran usar datos inventados para prueba.

50. ¿Cuál de los siguientes grupos debería asumir la propiedad de un proyecto de

desarrollo de sistemas y el sistema resultante?

D. Gerencia de desarrollo de sistemas

51. Una ventaja de usar una metodología de abajo hacia arriba frente a una de arriba
hacia abajo para la prueba de software es que:

A. los errores de interfaz se detectan antes.

52. Utilizar software de auditoría para comparar el código de objeto de dos programas,
es una técnica de auditoría usada para probar:

A. los programas lógicos.

53. Se hizo una solicitud de cambio a un formato de reporte en un módulo (subsistema).

Después de hacer los cambios requeridos, el programador debería llevar a cabo:

B. prueba de unidad y de módulo.

54. El fin primario de una prueba de sistema es:

D. asegurar que los operadores del sistema se familiaricen con el nuevo sistema.

55. Una herramienta de depuración (debugging), la cual reporta sobre la secuencia de

pasos ejecutados por un programa, se denomina:

C. compilador.

56. ¿Cuál de los siguientes es una ventaja de creación de prototipos?

B. Los sistemas de prototipo pueden proveer ahorro significativo de tiempo y costo.

57. Una organización ha contratado a un proveedor para una solución llave en mano
(turnkey solution) para su sistema electrónico de cobro de peajes (ETCS). El proveedor
ha provisto su software privado de aplicación como parte de la solución. El contrato
debería requerir que:

D. el código fuente de la aplicación de ETCS sea puesto en depósito de garantía

(escrow.)

58. La prueba de regresión es el proceso de probar un programa para

determinar si:
A. el nuevo código contiene errores.
Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

59. ¿Cuál de los siguientes elementos es el MÁS importante en el diseño de un depósito

de datos?

B. La velocidad de las transacciones

60. Un software de buena calidad de logra MEJOR:

D. aplicando procesos bien definidos y revisiones estructuradas en todo el proyecto.

61. Cuando se revisa un proyecto de desarrollo de sistema en la etapa de iniciación del

proyecto, un auditor de SI encuentra que el equipo del proyecto está siguiendo el manual
de calidad de la organización. Para cumplir las fechas tope críticas, el equipo del
proyecto propone acelerar los procesos de validación y de verificación, comenzando
algunos elementos antes de que se firme el producto disponible previo. Bajo estas
circunstancias, el auditor de SI MÁS probablemente:

D. reportaría los riesgos asociados con la vía acelerada (fast tracking) al comité de
dirección del proyecto.

62. El control de cambios para los sistemas de aplicación de negocios que se están
desarrollando usando prototipos podría verse complicado por:

B. el ritmo rápido de las modificaciones en los requerimientos y el diseño.

63. Una organización tiene un entorno integrado de desarrollo (IDE), donde las
bibliotecas de programa residen en el servidor, pero la modificación /desarrollo y prueba
se hacen desde estaciones de trabajo de PCs. ¿Cuál de los siguientes sería una fortaleza
de un entorno integrado de desarrollo?

B. Expande los recursos de programación y ayudas disponibles

64. Un número de fallas de sistema están ocurriendo cuando las correcciones a los
errores detectados previamente son nuevamente presentados a la prueba de aceptación.
¿Esto indicaría que el equipo de mantenimiento probablemente no está desempeñando
adecuadamente cuál de los siguientes tipos de prueba?

B. Prueba de integración

65. Al planear un proyecto de desarrollo de software, ¿cuál de los siguientes es lo MÁS

difícil de determinar?

D. Las relaciones que impiden el inicio de una actividad antes de que se realicen otras

66. El uso de técnicas de diseño y desarrollo orientada a objetos, es más probable que:

A. faciliten la capacidad para reutilizar módulos.

67. La MAYOR ventaja del desarrollo rápido de aplicaciones(RAD) sobre el tradicional

ciclo de vida de desarrollo de sistemas (SDLC) es que:

A. facilita la participación del usuario

68. ¿Cuál de los siguientes riesgos sería consecuencia de una definición inadecuada
delínea base (baseline) de software?

A. Desbordamiento del ámbito (scope creep)

Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

69. La solicitud de propuesta (RFP) para la adquisición de un sistema de aplicación es

MÁS probable que sea aprobada por el:

A. comité de seguimiento del proyecto (project steering committee).

70. ¿Cuál de los siguientes describe MEJOR los objetivos de seguir una metodología
estándar de desarrollo de sistema?

B. Proveer un método de controlar los costos y cronogramas y asegurar la

comunicación entre los usuarios, los auditores de SI, la gerencia y el personal de SI

71. ¿Cuál de los siguientes métodos de desarrollo usa un prototipo que puede ser
actualizado continuamente para satisfacer los requerimientos cambiantes del usuario o
del negocio?

D. Desarrollo de aplicación rápida (RAD)

72. El auditor de SI encuentra que un sistema en desarrollo tiene 12 módulos vinculados

(linked) y cada elemento de los datos puede llevar hasta 10 campos de atributos
definibles. El sistema maneja varios millones de transacciones al año. ¿Cuál de estas
técnicas podría el auditor de SI usar para estimar el tamaño del esfuerzo de desarrollo?

D. Prueba de caja blanca (white box).

73. ¿Cuál de lo siguiente es MÁS probable que ocurra cuando un proyecto de desarrollo
de sistema está en medio de la fase de programación / codificación?

A. Pruebas de unidad

74. Un auditor de SI que realiza una auditoría de mantenimiento de aplicaciones revisaría

el registro de cambios de programa para:

C. el número de cambios de programa realmente hechos.

75. La técnica de revisión de evaluación de programas (PERT):

C. comienza con una definición de las actividades del proyecto y su secuencia relativa.

76. El propósito de los programas de depuración es:

D. asegurar que las terminaciones anormales y los errores de codificación sean

detectados y corregidos.

77. Durante el desarrollo de una aplicación, la prueba de aseguramiento de la calidad y la

prueba de aceptación de usuario se combinaron. La MAYOR preocupación para un
auditor de SI que revisa el proyecto es que habrá:

A. Un incremento en el mantenimiento.

78. La razón más común para que los sistemas dejen de satisfacer las necesidades de
los usuarios es que:

A. las necesidades del usuario están cambiando constantemente.

Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

79. La diferencia entre prueba de caja blanca (whitebox) y prueba de caja negra
(blackbox) es que la prueba de caja blanca:

C. examina la estructura lógica interna de un programa.

80. Cuando un nuevo sistema va a ser implementado dentro de un corto marco de

tiempo, es MÁS importante:

B. realizar una prueba de aceptación de usuario.

81. Una compañía ha contratado una firma consultora externa para implementar un
sistema financiero comercial para reemplazar su sistema existente desarrollado
localmente. Al revisar el método de desarrollo propuesto, ¿cuál de los siguientes sería
de MAYOR preocupación?

C. No todas las funciones de negocios estarán disponibles en la implementación inicial.

82. ¿Cuál de los siguientes controles sería el MÁS efectivo para asegurar que el código
fuente y el código objeto de producción estén sincronizados?

C. Acceso restringido al código fuente y al código objeto

83. Durante una revisión posterior a la implementación del sistema de administración de

recursos de una empresa, ¿qué es lo MÁS probable que un auditor de sistemas realice?

A. Revise la configuración del control de acceso

84. ¿Cuál de las siguientes es una medida del tamaño de un sistema de información
basada en el número y complejidad de los inputs, outputs y archivos de un sistema?

C. Análisis de punto de función (FPA)

85. ¿Cuál de los siguientes es una debilidad de control que puede poner en peligro un
proyecto de reemplazo de sistema?

D. La organización ha decidido que no se requiere un comité de seguimiento de

proyecto.

86. La gerencia de SI informa a un auditor de SI que la organización ha alcanzado

recientemente el nivel más alto del modelo de madurez de capacidad de (CMM.) El
proceso de calidad de software MÁS recientemente agregado por la organización es:

A. mejoramiento continuo.

87. Idealmente, las pruebas de stress sólo deberían llevarse a cabo en los casos
siguientes:

C. En un entorno de prueba usando cargas de trabajo en vivo

88. ¿Cuál de los siguientes niveles de modelo de madurez de capacidad asegura el logro
de los controles básicos de administración de proyectos?

C. Administrado (Nivel 4)

89. Un programador modificó maliciosamente un programa en producción para cambiar

datos y luego restauró el código original. ¿Cuál de lo siguiente detectaría MÁS
efectivamente la actividad maliciosa?
A. Comparación del código fuente
Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

90. Después de descubrir una vulnerabilidad de seguridad en una aplicación de terceros

que tiene interfaces con varios sistemas externos, se aplica un parche (patch) a un
número significativo de módulos. ¿Cuál de las pruebas siguientes debe ser
recomendada por un auditor de SI?

B. Caja negra (Black box)

91. El uso de lenguajes de cuarta generación (4GLs) debería ser sopesado

cuidadosamente contra el uso de lenguajes tradicionales porque 4GLs:

A. pueden carecer de los comandos de bajo nivel de detalle necesarios para realizar
operaciones intensivas de datos.

92. La responsabilidad de diseñar, implementar y mantener un sistema de control interno

la tiene:

B. la gerencia.

93. ¿Durante cuál de las siguientes fases en el desarrollo de sistemas serían preparados
generalmente los planes de aceptación de usuario?

B. Definición de requerimientos

94. Cuando se está implementando un paquete de software de aplicación, ¿cuál de los

siguientes representa el MAYOR riesgo?

D. Errores de programación

95. Un sistema existente está siendo mejorado extensamente extrayendo y reutilizando

componentes de diseño y de programa. Este es un ejemplo de:

B. creación de prototipos.

96. ¿En cuál de las siguientes etapas de ciclo de vida de desarrollo de sistemas (SDLC)
deben los procedimientos tener una línea de base definida, para prevenir
desbordamiento del ámbito (scope creep)?

B. Implementación

97. ¿Cuál es el primer nivel de modelo de madurez de capacidad de software (CMM) que
incluye un proceso estándar de desarrollo de software?
A. Inicial (nivel 1)

98. La razón para establecer un alto, o punto de congelación sobre el diseño de un nuevo
sistema es:

C. requerir que los cambios después de ese punto sean evaluados por su efectividad de
costos.

99. Probar la conexión de dos o más componentes de sistema que pasan información
desde un área a otra es:

C. Prueba de interfaz.

100. ¿Cuál de los siguientes es MÁS efectivo para controlar el mantenimiento de

aplicaciones?
Maestría Auditoria y Seguridad Informática
Examen CISA
Julio 2011

B. Establecer prioridades en los cambios de programa