Help
Options
Didn't know it?
click below
click below
Knew it?
click below
click below
Don't Know
Remaining cards (0)
Know
retry
shuffle
restart
0:00
Embed Code - If you would like this activity on your web page, copy the script below and paste it into your web page.
Normal Size Small Size show me how
Normal Size Small Size show me how
Riesgos y Controles
Capítulo 9 del libro
| Question | Answer |
|---|---|
| ¿De qué formas representan riesgos las aplicaciones? | En forma de costos elevados, pérdida de integridad de datos, confidencialidad débil, falta de disponibilidad, pobre rendimiento. |
| Los sistemas de aplicación incluyen datos concentrados en un formato que pueda ser fácilmente accesado. (V o F) | Verdadero |
| ERP | Enterprise Resource Planning | Planieación de Recursos Empresariales |
| ¿Qué brinda el ERP? | Funcionalidad de negocios estándar en un sistema de ambiente de TI integrado. |
| Tener muchas bases de datos mejora la calidad y tiempo de información financiera. (V o F) | Falso. Tener una sola lo hace. |
| Algunos de los proveedores de ERP primarios: | SAP, FIS Global, Oracle, Fiserv, Intuit, Inc., Cerner Corporation, Microsoft, Ericson, Infor, McKesson. |
| ¿Qué hacen las organizaciones para reducir la dependencia de consultores de alto precio? | Necesitan invertir en educar a su propio personal para tomar la responsabilidad de mantener el sistema ERP. |
| La complejidad de un Sistema ERP puede costar más que las múltiples aplicaciones que se suponía que reemplazaría. (V o F) | Verdadero |
| Riesgos adicionales relacionados con los sistemas de aplicaciones: | Ver pág 242 |
| ¿Qué es la seguridad débil de información? | Obstaculos para salvaguardar la información como falta de recursos humanos, fondos, conciencia de gerencia, herramientas. No ha sido una prioridad top para muchas organzaciones. |
| ¿Qué es el acceso no autorizado a datos o programas? | Prohibir el acceso a la información de un sistema. Los programadores no deben tener acceso a la información de un programauna vez este entra en producción. |
| ¿Qué es el acceso remoto no autorizado? | Acceso no autorizado a la red de una organización y recursos computacionales. Es un riesgo con los dispositivos de clientes, ya que estos suelen tener una protección débil que los dispositivos de una oganización. |
| ¿Qué podría pasar si los usuarios de o fuera de la red de una empresa logran acceso sin autorización? | Riesgo a información sensible y confidencial, se pueden ingresar virus de computadora que afecten a los documentos de la empresa, rendimiento de sistemas, o ralentizar la red y sus recursos. |
| ¿Qué se debe hacer para combatir los accesos remotos no autorizados? | Se deben encriptar los id de usuarios y contraseñas cuando se transmitan en líneas públicas. |
| ¿Qué son los datos imprecisos? | Información redundante que genera pérdida de tiempo al tratar de descubrir si es precisa o no. Problemas al identificar cierta información, interpretar el sentido y valor de información adquirida. |
| ¿Qué es el ingreso de datos falsos o erróneos? | Erróneo es cuando datos imprecisos son ingresados en el sistema de aplicación inadvertidamente por errores humanos, datos falsos son los que se ingresan deliberadamente para defraudar a una organización. |
| ¿Qué es el Procesamiento incompleto? | Ocurre cuando las transacciones o archivos no son procesados debido a errores. Puede ocurrir en el procesamiento por lotes o procesamiento en línea. |
| ¿Qué es una transacción duplicada? | Ejecución de transacciones más de una vez. |
| ¿Qué es el procesamiento inoportuno? | Procesamiento retrasado debido a problemas de producción o perder un corte de tiempo. |
| ¿Qué es una falla de sistema de comunicación? | Potenciales fallas de servicios que hacen que la información enviada de una locación a otra sea vulnerable a fallas accidentales, intersección intencional, y/o modificación no autorizada. |
| ¿Qué es la salida imprecisa o incompleta? | Salidas que pueden contener errores luego de ser procesadas por no ser guardadas adecuadamente. |
| ¿Qué es la documentación insuficiente? | Sucede cuando los programadores no cuentan con la suficiente información para entender cómo funciona una aplicación. |
| ¿Qué asegura la documentación de un sistema? | El mantenimiento del sistema y sus componentes, además minimiza la probabilidad de errores. |
| ¿Qué son los riesgos en aplicaciones desarrolladas por usuarios finales? | Estos incluyen: costos organizacionales altos, sistemas incompatibles, sistemas redundantes, implementaciones inefectivas, ausencia de segregación de tareas, análisis de sistemas incompletos, acceso no autorizado a datos. |
| ¿Qué son los Costos Organizacionales Altos? | Son los que, sumando a los de operación, pueedn aumentar por la falta de capacitación, cuya inexperiencia puede llevar a la compra inapropiada de equipo incompatible. |
| ¿Cómo es el riesgo de sistemas incompatibles? | Ausencia de hardware o software que puede resultar en la imposibilidad de compartir datos con otras aplicaciones en la organización. |
| ¿Cómo es el riesgo en sistemas redundantes? | Desarrollo de aplicaciones redundantes o bases de datos por la falta de comunicación entre departamentos, por lo que se pueden crear aplicaciones o bases que otro depto ya haya creado, |
| ¿Cómo es el riesgo en implementaciones inefectivas? | Falta de capacitación formal en el desarrollo estructurado de aplicaciones, no darse cuenta de la importancia de la documentación, tender a omitir medidas de control necesarias, |
| ¿Qué sucede por la falta de análisis, documetnación y prueba en el riesgo en implementaciones inefectivas? | Pasa que las aplicaciones podrían no cumplir con las expectativas. |
| ¿Cómo es el riesgo en la ausencia de tareas segregadas? | Riesgos inherentes como pasar por alto errores, cuando se tiene a la misma persona creando y probando un programa. |
| ¿Cómo es el riesgo en el análisis de sistema incompleto? | Los usuarios finales eliminan muchos de los pasos establecidos por el departamento central de TI, puede que no todas las facetas de un problema hayan sido identificadas y, por ende, el sistema completo podría no resolver el problema o necesidad. |
| ¿Cómo es el riesgo del acceso no autorizado a datos o programas? | Que las contraseñas puedan ser adivinadas fácilmente, lo que amenaza con cambios o borrados deliberados que pongan el peligro de la confiabillidad de la información. |
| ¿Cómo es el riesgo en la violación del Copyright? | En las copias de software, que puede tener virus o no ser confiables. Tolerar piratería fomenta el deterioro de éticas de negocio. |
| ¿Cómo es el riesgo en la falta de respaldo y opciones de recuperación? | Posibilidad de no recuperar datos en caso de desastres o ataques de virus, lo que evitaría que el usuario pueda recrear la aplicación y sus datos en un tiempo razonable. |
| ¿Cómo es el riesgo en la destrucción de información por virus de computadora? | Ataques a los dispositivos tradicionales para explotar vulnerabilidades, así como a unidades de estado sólido, tarjetas de red y dispositivos de Wi Fi, estos son Malware. También se da el ransomware. |
| ¿Qué es un virus? | Término común usado para describir programas autoproductores, gusanos, hoyos, caballos de troya, y bombas de tiempo. |
| ¿Qué parte de un disco es la más susceptible a infección de virus? | El Sector de Arranque (Boot) porque es accesado cada vez que la computadora se enciende, dando fácil replicación del virus. |
| ¿Qué sucede cuando un virus se activa? | Copia su código en el disco duro, y se puede esparcir a media adicional al ejecutar una aplicación común como un procesador de palabras o un programa de correo. |
| Los virus no se pueden esparcir a través de computadoras en una red. (V o F) | Falso. Si pueden. |
| Los virus pueden causar una gran variedad de problemas: | Destruir o alterar datos, destruir software, entregar mensajes no deseados, causar bloqueo e inactivación de teclados, ralentizar una red haciendo muchas tareas en loop continuo sin fin, producir spam, lanzar ataques de DDOS. |
| ¿Cuál es el riesgo de las organizaciones con los virus? | El tiempo que se toma para remover el virus, reconstruir el sistema afectado y la información. |
| EDI | Electronic Data Exchange | Intercambio Electrónico de Datos |
| ¿Qué es el EDI? | Se refiere al intercambio de documentos entre socios de negocios en un formato estándar. Permite enviar y recibir documentos entre empresas en un formato estándar para que una computadora sea capaz de leer y entender los documentos. |
| Riesgo del EDI: Pérdida de continuidad del negocio / problema de empresa en marcha | La corrupcion de aplicaiones de EDI pueden afectar cada transaccion ingresada por una organizacion impactando la satisfaccion del cliente, relacion con proveedores, y continuidad del negocio. |
| Riesgo del EDI: Interdependencia | Dependencia crecida en los sistemas de socios comerciales, que está más allá del control de la organizacion |
| Riesgo del EDI: Pérdida de confidencialidad de informacion sensible | Informacion sensible puede ser divulgada accidental o deliberadamente en la red o sistemas de correo a partes no autorizadas. |
| Riesgo del EDI: Exposición al fraude incrementada | El acceso a las computadoras brinda una oportunidad de cambiar registros de una organizacion y sus socios, y hacer una transaccion no autorizada. |
| Riesgo del EDI: Pérdida de transacciones | Transacciones perdidas a causa de interrupción de procesos en redes de terceros. |
| Riesgo del EDI: Errores en la información y sistemas de comunicación | Reparación de mensaje incorrecto, puede resultar en la transmision de informacion de intercambio incorrecta o imprecisa. |
| Riesgo del EDI: Pérdida de pista de auditoría | El usuario de EDI puede que no brinde evidencia de auditoría adecuada o apropiada, ya sea física o electrónicamente. |
| Riesgo del EDI: Concentración de control. | Habrá dependencia incrementada en controles de computadora que reemplacen los controles manuales, y puede que no sean lo suficientemente oportunos. |
| Riesgo del EDI: Falla de aplicacion | Fallas que pueden tener un impacto negativo en los ciclos de negocio, especialmente en la gestion del inventario recien llegado, produccion, y sistemas de pago. |
| Riesgo del EDI: Responsabilidad legal potencial | Situacion en la que la responsabilidad no es claramente definida en los acuerdos de socios comerciales, puede surgir debido a errores fuera del control de una organización o por sus propios empleados. |
| Riesgo del EDI: Sobrecarga por proveedores de servicios de terceros | Proveedores terceros pueden accidental o deliberadamente sobrecargar a una empresa usando sus servicios. |
| Riesgo del EDI: Manipulación de empresa | La información disponible de los propietarios a redes de terceros puede hacer que ellos o los competidores tomen ventaja injusta sobre una empresa. |
| Riesgo del EDI: No lograr los ahorros de costo anticipados | Sucede cuando los ahorros de costo anticipados de la inversion en el EDI no se cumplen por alguna razón. |
| Surgimiento de los riesgos de EDI implica: | Pérdida de pistas de auditoría de transacción, exposición a virus, interrupción de flujo de efectivo, pérdida de rentabilidad, daño a la reputación. |
| ¿Qué estándares hay para las evaluaciones de auditoría de estándares EDI? | ASC X12. ANSI, EDIFACT |
| ¿Qué hace el estándar ASC (Accredited Standards Committee)? | Facilita el intercambio electronico de transacciones de negocios, como poner órdenes, envios, recibos, facturas y pagos. Identifica los datos que deben aparecer, su orden, si son obligatorios u opcionales, cuando están repetidos, si tiene ciclos. |
| ¿Qué hace el estandar EDIFACT (Data Interchange for Administration, Commerce and Transport)? | Brinda un conjunto de estandares internacionales para la transmision electronica de datos comerciales. |
| Otros estandares de EDI: | Tradacoms, ODETTE (Organization for Data Exchange by Tele Transmission), VDA (Verband der Automobilindustrie), HL7 (Health Level-7), GS1 EDI |
| ¿Qué es una aplicación web? | Una aplicación en la que todas o algunas de sus partes de software son descargadas de la web a medida que esta se está ejecutando. |
| ¿Cuáles son los beneficios de una aplicación web? | Tiempo reducido de comercialización, satisfacción del usuario incrementada, gastos reducidos de mantenimiento y soporte. |
| ¿Qué se debe entender al desarrollar una aplicación Web? | Controles del lado de cliente como ser validación de entradas, campos ocultos, y controles de interfaz. |
| ¿Cuáles son los grupos de controles de computadora que ayudan a mitigar los riesgos de aplicación? | Controles Generales de Computación y Controles de Aplicación |
| Riesgos atribuibles a las aplicaciones web, top 10 de la OWASP en el año 2017: | Secuencias de comandos entre sitios, inyección, autenticacion rota, desconfiguracion de seguridad, exposicion de datos sensibles, proteccion insuficiente, Falsificación de solicitudes entre sitios, componentes con vulnerabilidades conocidas, pag 253 |
| ¿Que son los controles generales de computacion? | Examinan politicas y procedimientos que se relacionan a muchas aplicaciones y apoyan el funcionamiento efectivo de los controles de aplicacion. Controlan: operaciones de sistema, seguridad informatica, gestion de cambio. |
| ¿Qué son los controles de aplicacion? | Examinan procedimientos específicos y unicos de la aplicacion. Se refiere tambien como controles automatizados. Tienen precisión, completitud, validez, y autorización de los datos capturados, ingresados, procesados, almacenados, transmitidos y reportados. |
| ¿Qué son los controles de ingreso de datos? | Controles que minimizan los riesgos asociados con el ingreso de datos en los sistemas de aplicación. |
| ¿A qué ayuda definir requisitos de entrada de datos? | Garantiza que el método de captura de datos sea el apropiado para el tipo de dato que está siendo ingresado y cómo es usado subsecuentemente. |
| ¿Cómo define NIST la autenticidad? | Propiedad de ser genuino y ser capaz de ser verificado y confiado. Verifica la identidad de un usuario, proceso, o dispositivo a menudo como un prerequsito para acceder a los recursos de un SI. |
| ¿Qué garantiza la autenticidad? | Que sólo los usuarios autorizados tengan acceso a entrar en transacciones. |
| ¿Cómo se garantiza la precisión? | Validación de datos ingresados antes de aceptar el procesamiento de una transacción. |
| ¿Qué garantiza la precisión? | Que la información ingresada en una aplicación sea consistente y cumpla con las políticas y procedimientos, los cuales deben atravesar validaciones de datos, |
| ¿Quienes deben anular las rutinas de edición? | Solamente los usuarios privilegiados del departamento de managers o supervisores, o de una terminal maestra. |
| ¿Qué es la completitud? | Confirma que todos los datos necesarios para cumplir con una necesidad de negocio o futura estén listos y disponibles. |
| ¿Qué forma tienen los datos completos? | Declaraciones financieras, listas de vendedores, informes de cuentas por cobrar de clientes, reportes de préstamo. |
| Controles de validación cuando se ingresan datos: | Ver pág 255 |
| ¿Qué hacen los controles de procesamiento? | Previenen, detecta, y/o corrigen errores mientras el procesamiento de datos toma lugar. |
| ¿Qué garantizan los controles de procesamiento? | Que los datos sean precisos y completamente procesados en la aplicación. |
| ¿Qué programa se puede usar para modificar una base de datos directamente? | Un programa SQL | Lenguaje Estructurado de Consulta |
| ¿Qué se debe hacer para cumplir con la precisión y completad de datos? | Manejo de errores: actividad de error de loggin, aprobación de errores de correción y reenvio, responsabilidad definida para archivos de suspenso, reportes de errores sin resolver, envejecimeinto y prioridad de errores sin resolver. |
| Ejemplos de puntos principales de procesamiento de trabajos: | Puntos de ingreso de datos, modulos de procesamiento mayor, puntos de ramificación, puntos de salida de datos. |
| ¿Para qué se usan los hash totales? | Para que sumen todas las cifras en una columna para verificar que el siguiente proceso acepte el mismo total |
| Otros ejemplos de controles de proceso: | Emparejamiento/Coincidencia de datos, etiquetas de archivos, cross-footing, prueba de balance cero, mecanismos de protección de escritura, controles de actualización concurrentes. |
| ¿Para qué funcionan los controles de salida? | Son diseñados para detectar y corregir errores luego de que el procesamiento es controlado. |
| ¿Qué garantizan los controles de salida de datos? | La integridad de la salida de datos. |
| ¿Qué incluyen los controles de salida de datos? | Procedimientos para verificar si los datos con completos y precisos, procedimientos para la correcta distribución y corrección de reportes. |
| Tipos de control de salida relacionados con la precisión y completitud: | Revisiones de usuario, reconciliaciones, controles de transmisión de datos. |
| ¿Cómo debe ser la distribución de las salidas de datos? | Claramente definidas, el acceso fisico y logico debe estar limitado a personal autorizado. |
Created by:
Sebastián Sosa
Popular Engineering sets