Help
Options
Didn't know it?
click below
click below
Knew it?
click below
click below
Don't Know
Remaining cards (0)
Know
retry
shuffle
restart
0:00
Embed Code - If you would like this activity on your web page, copy the script below and paste it into your web page.
Normal Size Small Size show me how
Normal Size Small Size show me how
Op. de Sistemas de I
Capítulo 11 del Libro
| Question | Answer |
|---|---|
| ¿Qué brindan los controles relacionados a los sistemas de información a los ambientes de TI? | Una estructura para la gestión de las operaciones del día a día y mantenimiento de sistemas existentes. |
| Ejemplos de controles generales de operaciones de Sistemas de Información: | Actividades como monitoreo y seguimiento de excepciones a finalización, acceso al programador de trabajo, respaldos de datos y almacenamiento fuera del sitio, entre otros. |
| Objetivos clave y controles evaluados por las organizaciones y auditores de TI: | Lista en pág 192 |
| ¿Qué garantizan las políticas y procedimientos cubiertos en las operaciones de sistemas de información? | Pág 192 |
| ¿Qué deben considerar los gerentes como importantes controles? | La creación, revisión y actualización de las políticas de operación; observando la ejecución para determinar si las políticas existentes están de hecho siendo seguidas en las operaciones de los sistemas de operación dia a dia. |
| ¿Qué requieren los objetivos de auditoría cuando se evalúan políticas y procedimientos? | Requieren que la organización brinde estándares para preparar documentación y garantizar el mantenimiento de dicha documentación. |
| ¿Por qué se requieren estándares de documentación? | Para que cuando los empleados cambien de trabajo, se enfermen, o dejen la organización, el personal de reemplazo pueda hacer la tarea de ese empleado de forma adecuada. |
| ¿De qué forma se documentan los procesos y procedimientos de las operaciones de sistemas de información de una organización? | En forma de políticas organizacionales. |
| Un ejemplo de procesamiento de datos financieros es: | Entradas al libro mayor de la organización. |
| Roles independientes que cumplen los controles de procesamiento de datos: | Completitud, precisión y validez de información |
| ¿Qué pasa si uno de los controles de procesamiento de datos no funciona apropiadamente? | El sistema de procesamiento de datos se vuelve vulnerable. |
| ¿Cómo se pueden orientar los controles de procesamiento de datos? | Con prevención, detección o corrección de errores y abuso. |
| ¿Cómo son los controles de prevención? | Se aseguran de que los eventos ocurran como fueron planeados. |
| ¿Cómo son los controles de detección? | Señalan una alerta o terminan una función y detienen el procesamiento cuando el sistema es violado u ocurre un error. |
| ¿Cómo son los controles de corrección? | Realizan una alerta o terminan una función, pero reparan y restauran parte del sistema a su estado apropiado. |
| ¿Cuál es un elemento importante de cualquier conjunto de políticas y procedimientos? | El requisito de que los operadores de SI mantengan registros con eventos inusuales o fallas resultantes del procesamiento de datos, de acuerdo con hora y detalle. |
| ¿Qué preguntas se deben hacer los gerentes para abordar los eventos inusuales? | Lista en pág 293 |
| ¿Qué son los controles de salida (output)? | Controles que son críticos para garantizar la precisión, completitud y entrega de información. |
| ¿Por qué se necesitan los controles de salida tradicionales? | Para garantizar la precisión y completitud de la información |
| ¿Qué se incluye en los controles de salida? | Revisión de balance y completitud, por ejemplo, para confirmar que el número de páginas procesadas es creado para páginas impresas o en línea. |
| ¿Cómo puede ser confirmada la precisión? | Seleccionando campos de datos clave para comparar antes y después de su procesamiento. |
| ¿Por qué se necesitan controles para la información sensible? | Para que los documentos originales que necesiten destruirse sean controlados con cuidado para verificar la destrucción de dicha información. |
| ¿Cuál es un objetivo común en las auditorías de TI con respecto a la información sensible? | Determinar si las operaciones de un SI soportan la agenda adecuada, ejecución, monitoreo, y continuidad de los sistemas, programas y procesos para garantizar el registro completo y preciso de transacciones financieras. |
| ¿Cuáles son algunas de las actividades de control que el auditor puede evaluar? | Que el procesamiento por lotes y/o en línea sea definido, ejecutado a tiempo y monitoreado para conclusión exitosa. Que las excepciones identificadas en el procesamiento por lotes y/o en línea sean revisadas y corregidas para garantizar precisión. |
| Cada ambiente de TI debería tener una librería de datos que controle el acceso a los archivos de datos, programas y documentación. (V o F) | Verdadero |
| ¿Dónde se usan las etiquetas sensibles a la presión? | En cartuchos de cinta y paquetes de disco, para identificar el volumen y el contenido del archivo |
| ¿Qué debe garantizar la biblioteca de datos? | Que sólo personas autorizadas reciban archivos, programas o documentos, y que estas personas conozcan su responsabilidad al momento de cada emisión. |
| ¿Qué se debe asegurar cada vez que un archivo es borrado del procesamiento? | Los controles sobre los archivos de datos deben garantizar que un archivo será generado y regresado a la biblioteca. |
| ¿Cómo se mejora el control? | Manteniendo un inventario de medios de archivos en la biblioteca de datos. |
| Una persona a tiempo completo independiente de las operaciones de IS se asignará a la biblioteca de datos. En ambientes de TI mas pequeños, esto es posible. (V o F) | Falso. En ambientes de TI mas pequeños esto no es economicamente viable. |
| ¿Qué se hace cuando un ambiente de TI no puede costearse a un bibliotecario de datos a tiempo completo? | Esta tarea debe ser distribuida de las operaciones. |
| ¿Cuál es el objetivo de la seguridad física y los controles de acceso? | Prevenir los robos, daños y accesos no autorizados a datos y software, y el movimiento de control de servidores, equipamiento relacionado a red, y dispositivos adjuntos. |
| ¿Qué acceso restringen la seguridad física y controles de acceso? | Restringen el acceso a los data centers (cuartos de computadoras) y áreas EUC donde intrusos podrían acceder a recursos de información. |
| La seguridad física y los controles de acceso deben incluir: | Lista en pág 295 |
| No importa si el equipo de red se coloca en áreas con mucho tráfico. (V o F) | Falso. El equipo de red debe colocarse en áreas con tráfico ligero. |
| ¿Qué alternativa tienen los gerentes para evitar las copias de llaves? | Usar dispositivos de bloqueo que operen con tiras magnéticas o tarjetas plásticas. |
| ¿Cómo debe ser colocado el equipo de red en la officina? | Debe ser adherido a equipo de oficina inmovible pesado, accesorios de oficina permanentes, cerramientos especiales, o estaciones de trabajo de microcomputadora especiales. |
| ¿Cómo se debe proteger el equipo interno? | Con dispositivos de bloqueo, y cerraduras especiales que reemplace uno o más tornillos y aseguren la parte superior del euqio. |
| El cableado no debe ser accesible para los individuos o el ambiente. (V o F) | Verdadero. |
| ¿Por qué un ambiente de oficina específico no se ajuste a una microcomputadora? | Por ubicación geográfica, instalaciones industriales, o hábitos de empleados. |
| Agua y otras sustancias pueden dañar el equipo o causar daños o incendios; ¿Que se hace para evitar estas ocurrencias? | El gerente de operaciones de TI debe agregar una política de prohibición de comida, líquidos y similares cerca de los servidores y equipo de red. |
| ¿Qué pasa si la temperatura o humedad es demasiado alta o baja? | El equipo de servidor y red deben ser apagados para prevenir pérdida de equipo, software y datos. |
| ¿A qué daños es susceptible un disco duro? | Polvo, polen, sprays, y humo de gas. |
| La electricidad estática es un contaminante de tierra. (V o F) | Falso. Contaminante de aire. |
| ¿Cuáles son las mayores causas de daños a servidores? | Subidas de tensión y apagones. |
| ¿Qué son las subidas de tensión? | Fluctuaciones repentinas en el voltaje o frecuencia en el suministro eléctrico. |
| ¿Qué causa los apagones? | Una pérdida total de energía electrica que puede durar segundos, horas o días. |
| ¿Cuando ocurre una pérdida de carga (Brownouts)? | Cuando el suministro eléctrico disminuye a niveles debajo de los normales por muchas horas o días. |
| ¿Para qué se utilizan los paquetes de baterías? | Para tareas a corto plazo. |
| Los generadores impulsados por gas brindan energia a largo plazo, y podría ser usado indefinidamente. (V o F) | Verdadero |
| Para prevenir daños o pérdida de equipo computacional, instalaciones, o servicios, se deben implementar controles como: | Pág 297 |
| ¿Qué controles de ambiente son necesarios para prevenir daño a los equipos computacionales? | Pisos elevados y equipo de extinción de fuego. |
| ¿Cómo son los sistemas de extinción de fuego? | Son automáticos, y no requieren intervención humana para controlar y extinguir fuegos. |
| ¿Cómo son los pisos elevados? | Son construidos sobre el concreto original del edificio, dejando espacio abierto para cableado o infraestructura de refrigeración. |
| Todos los equipos de computadora y red deben ser físicamente asegurados con dispositivos antirobo si se ubican en un ambiente de oficina abierto. (V o F) | Verdadero |
| ¿Qué requieren las regulaciones y las leyes a las organizaciones? | Mantener o archivar su información y registros por un período específico de tiempo, y mantener respaldos del libro mayor para un número específico de años. |
| ¿En qué consisten los archivos o respaldos en un ambiente de TI? | Copias de programas significativos, y sus datos relacionados que estan retenidos y almacenados en ubicaciones de almacenamiento seguras. |
| ¿Qué asegura la disponibilidad de los datos significantes en las operaciones de una organización? | Establecer políticas de respaldo, estándares o lineamientos. |
| ¿Qué áreas deben cubrir las políticas, procedimientos y estándares o lineamientos? | Almacenamiento y retención de programas y datos, Programación de respaldos y rotación Protección de medios de respaldo Monitoreo, revisión y resolución de excepciones de respaldos. |
| ¿Dónde deben almacenar los respaldos las organizaciones? | En el sitio, o fuera del sitio. |
| Las empresas deben usar sistemas de ciclos de retención para brindar respaldo de los datos actuales. (V o F) | Verdadero |
| ¿Qué se debe hacer con los archivos de respaldo nuevos? | Deben ser rotados fuera de las instalaciones antes de que los viejos archivos sean devueltos al centro de datos. |
| ¿Cómo deben ser los respaldos automáticos? | Deberían ser programados para correr durante ciclos de respaldo diarios, semanales, mensuales, anuales, dependiendo del tipo de datos. |
| ¿Cómo se clasifican los datos? | Sensibles Operacionales y Financieros Generales Públicos |
| ¿Para qué necesita una empresa los respaldos incrementales o diferenciales? | Para respaldos de datos financieros en una base diaria. |
| La protección de los medios de respaldo debe ser parte de las políticas de respaldo de la organización. (V o F) | Verdadero |
| ¿Dónde se guardan los datos en el sitio? | En una bóveda de centro de computo, que debe ser restringida para personal autorizado. (Ej. Operadores de computadora, bibliotecarios, supervisores del centro de computo, oficiales de seguridad, etc.) |
| ¿A qué son susceptibles los medios de respaldo? | A la degradación gradual a medida que los materiales físicos se degradan. |
| ¿Qué se debe hacer para completar exitosamente los respaldos? | Los respaldos deben ser monitoreados frecuentemente y los registros deben ser completados. |
| ¿Qué sucede cuando se identifican excepciones en el proceso de respaldo? | El operador del sistema de información debe tratar de ejecutar procedimientos de reinicio para resolverlas. Si no es capaz de hacerlo, el problema se debe escalar. |
| ¿Cuál es la ventaja de los respaldos en la nube? | Que los archivos están disponibles en todos lados y no dependen de una sola computadora o servidor, permitiendo una restauración rápida de datos en eventos de desastre. |
| Ventajas adicionales de los respaldos en la nube: | Ahorrar dinero en costos de almacenamiento, habilidad para respaldar de forma frecuente, |
| ¿Cuál es el objetivo principal de los respaldos? | Tener la confianza de que, en caso de catastrofe, la información será disponible y protegida. |
| ¿Cuál es el objetivo de un plan de continuidad de negocios? | Describir procesos, pasos y/o procedimientos que deben ser abordados en los eventos de emergencia para lograr recuperaciones a tiempo y disponibilidad de los procesos de negocio esenciales. |
| Los planes de continuidad de negocios abordan: | Pág 299 |
| ¿A qué ayuda un plan de continuidad de negocios? | A responder a emergencias mientras se continua con las actividades fundamentales y operando procesos de negocio críticos a un nivel aceptable de gestión. |
| ¿Qué significa la falta de un plan de continuidad comprensible? | Puede significar restauraciones atrasadas de los procesos de negocios y sistemas de información, que resulta en la imposibilidad de continuar operaciones, pérdida de ingresos, perdida de ventaja competitiva, pérdida de confianza de clientes, multas. |
| ¿Cuál sería una actividad de control común puesta a prueba por los auditores de TI relacionada a los planes de continuidad? | Saber si el plan fue preparado y aprobado por la gerencia, basandose en una evaluación de impacto de negocios. |
| Ejemplos de desastres naturales: | Terremotos Tsunamis Huracanes Tornados Inundaciones Incendios |
| Ejemplos de desastres no naturales: | Ciberataques Interrupción de servicios Fraude Terrorismo Colapso de mercado |
| ¿Para qué funciona un plan de recuperación ante desastres? | Ayuda a los negocios a responder a amenazas y recuperarse a raíz de un evento que interrumpe las operaciones normales de negocio. Ofrece la oportunidad de sobrevivir. |
| ¿Cuál es uno de los pasos tempranos críticos en un plan de recuperación ante desastres? | Identificar quien es el responsable por la recuperación ante desastres distribuida. |
| ¿La recuperación de toda la tecnología es responsabilidad de TI o de las unidades de negocio? | Depende de quién tiene el control sobre el hardware, software, y los datos. |
| ¿Qué debe abordar un plan de recuperación ante desastres? | La destrucción parcial y total de recursos de computo. |
| Las microcomputadoras no son tan importantes en la recuperación. (V o F) | Falso. Estas son importantes para los procesamientos diarios de trabajo y su recuperación no debe pasarse por alto. |
| ¿En qué se debe basar un plan de recuperación ante desastres? | En la suposición de que cualquier sistema de computadora está sujeto a varios tipos diferentes de fallos. |
| ¿Qué es un sitio helado? | Edificio vacío es precableado para acceso necesario a telefonía e internet. |
| ¿Qué es un sitio caliente? | Instalaciones en las que no solamente hay un precableado para telefonía e internet, sino que también contiene todo el equipamiento de computación y oficina que la organización necesita para sus actividades. |
| ¿Qué se debe hacer antes de realizar un plan de recuperación ante desastres? | Los bienes de la organización y sus valores de reemplazo deben ser identificados, así como los riesgos específicos, el impacto de las pérdidas por los riesgos, y el valor del bien se compara a la frecuencia de perdida para justificar la solución. |
| ¿De qué depende un tiempo de recuperación? | De la pérdida de exposición para el programa o sistema en particular. |
| Un plan de recuperación ante desastres debe abordar los componentes tales como: | Página 301 |
| Todos los miembros de una organización deben estar familiarizados con el plan de recuperación ante desastres. (V o F) | Verdadero |
| ¿Cuál ha sido una de las mayores fuerzas de cambio en los negocios de hoy? | La aplicación del conocimiento de tecnologías por parte del trabajador para ayudar al negocio a resolver problemas. |
| ¿A qué ayudan los auditores en el plan de recuperación ante desastres? | Puede asistir a los departamentos para encontrar aplicaciones sensibles o críticas que requieren especial atención. |
| ¿En qué organizaciones los auditores cumplen un rol clave? | En organizaciones donde los controles son inadecuados o inexistentes. |
| ¿A qué ayuda una auditoría de operaciones de sistemas de información? | Brinda a un auditor la garantía de que las operaciones, como el procesamiento de datos, estén adecuadamente diseñados para garantizar el completo, preciso y válido procesamiento y registro de transacciones financieras. |
| ¿En qué pueden resultar los controles insuficientes o inadecuados en las operaciones de sistemas de información? | Pág 302 |
| Los objetivos comunes de una auditoría de operaciones de sistemas de información garantizan que: | Pág 302 |
| ¿Qué puede pasar sin la implementación de controles apropiados? | Daños innecesarios o interrupción en el procesamiento de datos de la organización pueden suceder. |
| Ejemplos de controles y procedimientos normalmente empleados por auditores de TI cuando se examina el procesamiento de datos: | Que el procesamiento por lotes o en línea esté definido, ejecutado con buen tiempo, y monitoreado. Que las excepciones en los procesamientos se revisen y corrijan a tiempo para asegurar un procesamiento de información financiera completo. |
| Para asegurarse de que los respaldos sean efectivos y la información sea precisa, completa y restaurada sin mayores problemas, los auditores de TI deben evaluar actividades tales como: | Pág 303 |
| ¿Por qué se realizan auditorías de centros de datos? | Para evaluar los controles administrativos sobre los recursos de centros de datos y el personal de procesamiento de datos. |
| ¿Cuál es el enfoque de una auditoría de centro de datos? | Puede incluir la evaluación de la planificación, personal, políticas, asignación de responsabilidades, presupuestos, reportes de gerencia, y medición de rendimiento en ciertas áreas (gestión de hardware y software, protección de recursos, etc.) |
| Para un centro de datos con multiples computadoras y un gran número de usuarios, la auditoría podría solo enfocarse en los controles de acceso y administración de seguridad. (V o F) | Verdadero |
| ¿Cuáles son los objetivos comunes para una auditoría de centro de datos? | Se relacionan a la identificación de riesgos de auditoría en el ambiente de operación y los controles en el lugar para mitigar esos riesgos de auditoría de acuerdo con las intenciones del gerente. |
| ¿Cómo deben ser los objetivos de un plan de recuperación ante desastres que se va a auditar? | Realisticos, logrables, y factibles económicamente, brindan dirección al preparar el plan y en la continua reevaluación de su uso. |
| ¿Qué reduce la oportunidad de falta de comunicación cuando el plan se implementa durante un desastre real? | Las pruebas |
| Actividades de control que el auditor de TI puede evaluar y probar para encontrar debilidades y mejorar procedimientos: | Pág 305 |
| ¿Por qué las organizaciones no están dispuestas a hacer pruebas? | Debido a la interrupción que ocurre a diario en las operaciones y el miedo de que un desastre real surja como resultado de un procedimiento de prueba. |
| Las pruebas solo se pueden hacer de una vez de forma completa. (V o F) | Falso. Un enfoque de fases de prueba puede ser útil para lograr una prueba completa. |
| Una práctica de prueba de un plan podría ser la diferencia entre su éxito o fracaso. (V o F) | Verdadero. |
Created by:
Sebastián Sosa
Popular Engineering sets