click below
click below
Normal Size Small Size show me how
Op. de Sistemas de I
Capítulo 11 del Libro
Question | Answer |
---|---|
¿Qué brindan los controles relacionados a los sistemas de información a los ambientes de TI? | Una estructura para la gestión de las operaciones del día a día y mantenimiento de sistemas existentes. |
Ejemplos de controles generales de operaciones de Sistemas de Información: | Actividades como monitoreo y seguimiento de excepciones a finalización, acceso al programador de trabajo, respaldos de datos y almacenamiento fuera del sitio, entre otros. |
Objetivos clave y controles evaluados por las organizaciones y auditores de TI: | Lista en pág 192 |
¿Qué garantizan las políticas y procedimientos cubiertos en las operaciones de sistemas de información? | Pág 192 |
¿Qué deben considerar los gerentes como importantes controles? | La creación, revisión y actualización de las políticas de operación; observando la ejecución para determinar si las políticas existentes están de hecho siendo seguidas en las operaciones de los sistemas de operación dia a dia. |
¿Qué requieren los objetivos de auditoría cuando se evalúan políticas y procedimientos? | Requieren que la organización brinde estándares para preparar documentación y garantizar el mantenimiento de dicha documentación. |
¿Por qué se requieren estándares de documentación? | Para que cuando los empleados cambien de trabajo, se enfermen, o dejen la organización, el personal de reemplazo pueda hacer la tarea de ese empleado de forma adecuada. |
¿De qué forma se documentan los procesos y procedimientos de las operaciones de sistemas de información de una organización? | En forma de políticas organizacionales. |
Un ejemplo de procesamiento de datos financieros es: | Entradas al libro mayor de la organización. |
Roles independientes que cumplen los controles de procesamiento de datos: | Completitud, precisión y validez de información |
¿Qué pasa si uno de los controles de procesamiento de datos no funciona apropiadamente? | El sistema de procesamiento de datos se vuelve vulnerable. |
¿Cómo se pueden orientar los controles de procesamiento de datos? | Con prevención, detección o corrección de errores y abuso. |
¿Cómo son los controles de prevención? | Se aseguran de que los eventos ocurran como fueron planeados. |
¿Cómo son los controles de detección? | Señalan una alerta o terminan una función y detienen el procesamiento cuando el sistema es violado u ocurre un error. |
¿Cómo son los controles de corrección? | Realizan una alerta o terminan una función, pero reparan y restauran parte del sistema a su estado apropiado. |
¿Cuál es un elemento importante de cualquier conjunto de políticas y procedimientos? | El requisito de que los operadores de SI mantengan registros con eventos inusuales o fallas resultantes del procesamiento de datos, de acuerdo con hora y detalle. |
¿Qué preguntas se deben hacer los gerentes para abordar los eventos inusuales? | Lista en pág 293 |
¿Qué son los controles de salida (output)? | Controles que son críticos para garantizar la precisión, completitud y entrega de información. |
¿Por qué se necesitan los controles de salida tradicionales? | Para garantizar la precisión y completitud de la información |
¿Qué se incluye en los controles de salida? | Revisión de balance y completitud, por ejemplo, para confirmar que el número de páginas procesadas es creado para páginas impresas o en línea. |
¿Cómo puede ser confirmada la precisión? | Seleccionando campos de datos clave para comparar antes y después de su procesamiento. |
¿Por qué se necesitan controles para la información sensible? | Para que los documentos originales que necesiten destruirse sean controlados con cuidado para verificar la destrucción de dicha información. |
¿Cuál es un objetivo común en las auditorías de TI con respecto a la información sensible? | Determinar si las operaciones de un SI soportan la agenda adecuada, ejecución, monitoreo, y continuidad de los sistemas, programas y procesos para garantizar el registro completo y preciso de transacciones financieras. |
¿Cuáles son algunas de las actividades de control que el auditor puede evaluar? | Que el procesamiento por lotes y/o en línea sea definido, ejecutado a tiempo y monitoreado para conclusión exitosa. Que las excepciones identificadas en el procesamiento por lotes y/o en línea sean revisadas y corregidas para garantizar precisión. |
Cada ambiente de TI debería tener una librería de datos que controle el acceso a los archivos de datos, programas y documentación. (V o F) | Verdadero |
¿Dónde se usan las etiquetas sensibles a la presión? | En cartuchos de cinta y paquetes de disco, para identificar el volumen y el contenido del archivo |
¿Qué debe garantizar la biblioteca de datos? | Que sólo personas autorizadas reciban archivos, programas o documentos, y que estas personas conozcan su responsabilidad al momento de cada emisión. |
¿Qué se debe asegurar cada vez que un archivo es borrado del procesamiento? | Los controles sobre los archivos de datos deben garantizar que un archivo será generado y regresado a la biblioteca. |
¿Cómo se mejora el control? | Manteniendo un inventario de medios de archivos en la biblioteca de datos. |
Una persona a tiempo completo independiente de las operaciones de IS se asignará a la biblioteca de datos. En ambientes de TI mas pequeños, esto es posible. (V o F) | Falso. En ambientes de TI mas pequeños esto no es economicamente viable. |
¿Qué se hace cuando un ambiente de TI no puede costearse a un bibliotecario de datos a tiempo completo? | Esta tarea debe ser distribuida de las operaciones. |
¿Cuál es el objetivo de la seguridad física y los controles de acceso? | Prevenir los robos, daños y accesos no autorizados a datos y software, y el movimiento de control de servidores, equipamiento relacionado a red, y dispositivos adjuntos. |
¿Qué acceso restringen la seguridad física y controles de acceso? | Restringen el acceso a los data centers (cuartos de computadoras) y áreas EUC donde intrusos podrían acceder a recursos de información. |
La seguridad física y los controles de acceso deben incluir: | Lista en pág 295 |
No importa si el equipo de red se coloca en áreas con mucho tráfico. (V o F) | Falso. El equipo de red debe colocarse en áreas con tráfico ligero. |
¿Qué alternativa tienen los gerentes para evitar las copias de llaves? | Usar dispositivos de bloqueo que operen con tiras magnéticas o tarjetas plásticas. |
¿Cómo debe ser colocado el equipo de red en la officina? | Debe ser adherido a equipo de oficina inmovible pesado, accesorios de oficina permanentes, cerramientos especiales, o estaciones de trabajo de microcomputadora especiales. |
¿Cómo se debe proteger el equipo interno? | Con dispositivos de bloqueo, y cerraduras especiales que reemplace uno o más tornillos y aseguren la parte superior del euqio. |
El cableado no debe ser accesible para los individuos o el ambiente. (V o F) | Verdadero. |
¿Por qué un ambiente de oficina específico no se ajuste a una microcomputadora? | Por ubicación geográfica, instalaciones industriales, o hábitos de empleados. |
Agua y otras sustancias pueden dañar el equipo o causar daños o incendios; ¿Que se hace para evitar estas ocurrencias? | El gerente de operaciones de TI debe agregar una política de prohibición de comida, líquidos y similares cerca de los servidores y equipo de red. |
¿Qué pasa si la temperatura o humedad es demasiado alta o baja? | El equipo de servidor y red deben ser apagados para prevenir pérdida de equipo, software y datos. |
¿A qué daños es susceptible un disco duro? | Polvo, polen, sprays, y humo de gas. |
La electricidad estática es un contaminante de tierra. (V o F) | Falso. Contaminante de aire. |
¿Cuáles son las mayores causas de daños a servidores? | Subidas de tensión y apagones. |
¿Qué son las subidas de tensión? | Fluctuaciones repentinas en el voltaje o frecuencia en el suministro eléctrico. |
¿Qué causa los apagones? | Una pérdida total de energía electrica que puede durar segundos, horas o días. |
¿Cuando ocurre una pérdida de carga (Brownouts)? | Cuando el suministro eléctrico disminuye a niveles debajo de los normales por muchas horas o días. |
¿Para qué se utilizan los paquetes de baterías? | Para tareas a corto plazo. |
Los generadores impulsados por gas brindan energia a largo plazo, y podría ser usado indefinidamente. (V o F) | Verdadero |
Para prevenir daños o pérdida de equipo computacional, instalaciones, o servicios, se deben implementar controles como: | Pág 297 |
¿Qué controles de ambiente son necesarios para prevenir daño a los equipos computacionales? | Pisos elevados y equipo de extinción de fuego. |
¿Cómo son los sistemas de extinción de fuego? | Son automáticos, y no requieren intervención humana para controlar y extinguir fuegos. |
¿Cómo son los pisos elevados? | Son construidos sobre el concreto original del edificio, dejando espacio abierto para cableado o infraestructura de refrigeración. |
Todos los equipos de computadora y red deben ser físicamente asegurados con dispositivos antirobo si se ubican en un ambiente de oficina abierto. (V o F) | Verdadero |
¿Qué requieren las regulaciones y las leyes a las organizaciones? | Mantener o archivar su información y registros por un período específico de tiempo, y mantener respaldos del libro mayor para un número específico de años. |
¿En qué consisten los archivos o respaldos en un ambiente de TI? | Copias de programas significativos, y sus datos relacionados que estan retenidos y almacenados en ubicaciones de almacenamiento seguras. |
¿Qué asegura la disponibilidad de los datos significantes en las operaciones de una organización? | Establecer políticas de respaldo, estándares o lineamientos. |
¿Qué áreas deben cubrir las políticas, procedimientos y estándares o lineamientos? | Almacenamiento y retención de programas y datos, Programación de respaldos y rotación Protección de medios de respaldo Monitoreo, revisión y resolución de excepciones de respaldos. |
¿Dónde deben almacenar los respaldos las organizaciones? | En el sitio, o fuera del sitio. |
Las empresas deben usar sistemas de ciclos de retención para brindar respaldo de los datos actuales. (V o F) | Verdadero |
¿Qué se debe hacer con los archivos de respaldo nuevos? | Deben ser rotados fuera de las instalaciones antes de que los viejos archivos sean devueltos al centro de datos. |
¿Cómo deben ser los respaldos automáticos? | Deberían ser programados para correr durante ciclos de respaldo diarios, semanales, mensuales, anuales, dependiendo del tipo de datos. |
¿Cómo se clasifican los datos? | Sensibles Operacionales y Financieros Generales Públicos |
¿Para qué necesita una empresa los respaldos incrementales o diferenciales? | Para respaldos de datos financieros en una base diaria. |
La protección de los medios de respaldo debe ser parte de las políticas de respaldo de la organización. (V o F) | Verdadero |
¿Dónde se guardan los datos en el sitio? | En una bóveda de centro de computo, que debe ser restringida para personal autorizado. (Ej. Operadores de computadora, bibliotecarios, supervisores del centro de computo, oficiales de seguridad, etc.) |
¿A qué son susceptibles los medios de respaldo? | A la degradación gradual a medida que los materiales físicos se degradan. |
¿Qué se debe hacer para completar exitosamente los respaldos? | Los respaldos deben ser monitoreados frecuentemente y los registros deben ser completados. |
¿Qué sucede cuando se identifican excepciones en el proceso de respaldo? | El operador del sistema de información debe tratar de ejecutar procedimientos de reinicio para resolverlas. Si no es capaz de hacerlo, el problema se debe escalar. |
¿Cuál es la ventaja de los respaldos en la nube? | Que los archivos están disponibles en todos lados y no dependen de una sola computadora o servidor, permitiendo una restauración rápida de datos en eventos de desastre. |
Ventajas adicionales de los respaldos en la nube: | Ahorrar dinero en costos de almacenamiento, habilidad para respaldar de forma frecuente, |
¿Cuál es el objetivo principal de los respaldos? | Tener la confianza de que, en caso de catastrofe, la información será disponible y protegida. |
¿Cuál es el objetivo de un plan de continuidad de negocios? | Describir procesos, pasos y/o procedimientos que deben ser abordados en los eventos de emergencia para lograr recuperaciones a tiempo y disponibilidad de los procesos de negocio esenciales. |
Los planes de continuidad de negocios abordan: | Pág 299 |
¿A qué ayuda un plan de continuidad de negocios? | A responder a emergencias mientras se continua con las actividades fundamentales y operando procesos de negocio críticos a un nivel aceptable de gestión. |
¿Qué significa la falta de un plan de continuidad comprensible? | Puede significar restauraciones atrasadas de los procesos de negocios y sistemas de información, que resulta en la imposibilidad de continuar operaciones, pérdida de ingresos, perdida de ventaja competitiva, pérdida de confianza de clientes, multas. |
¿Cuál sería una actividad de control común puesta a prueba por los auditores de TI relacionada a los planes de continuidad? | Saber si el plan fue preparado y aprobado por la gerencia, basandose en una evaluación de impacto de negocios. |
Ejemplos de desastres naturales: | Terremotos Tsunamis Huracanes Tornados Inundaciones Incendios |
Ejemplos de desastres no naturales: | Ciberataques Interrupción de servicios Fraude Terrorismo Colapso de mercado |
¿Para qué funciona un plan de recuperación ante desastres? | Ayuda a los negocios a responder a amenazas y recuperarse a raíz de un evento que interrumpe las operaciones normales de negocio. Ofrece la oportunidad de sobrevivir. |
¿Cuál es uno de los pasos tempranos críticos en un plan de recuperación ante desastres? | Identificar quien es el responsable por la recuperación ante desastres distribuida. |
¿La recuperación de toda la tecnología es responsabilidad de TI o de las unidades de negocio? | Depende de quién tiene el control sobre el hardware, software, y los datos. |
¿Qué debe abordar un plan de recuperación ante desastres? | La destrucción parcial y total de recursos de computo. |
Las microcomputadoras no son tan importantes en la recuperación. (V o F) | Falso. Estas son importantes para los procesamientos diarios de trabajo y su recuperación no debe pasarse por alto. |
¿En qué se debe basar un plan de recuperación ante desastres? | En la suposición de que cualquier sistema de computadora está sujeto a varios tipos diferentes de fallos. |
¿Qué es un sitio helado? | Edificio vacío es precableado para acceso necesario a telefonía e internet. |
¿Qué es un sitio caliente? | Instalaciones en las que no solamente hay un precableado para telefonía e internet, sino que también contiene todo el equipamiento de computación y oficina que la organización necesita para sus actividades. |
¿Qué se debe hacer antes de realizar un plan de recuperación ante desastres? | Los bienes de la organización y sus valores de reemplazo deben ser identificados, así como los riesgos específicos, el impacto de las pérdidas por los riesgos, y el valor del bien se compara a la frecuencia de perdida para justificar la solución. |
¿De qué depende un tiempo de recuperación? | De la pérdida de exposición para el programa o sistema en particular. |
Un plan de recuperación ante desastres debe abordar los componentes tales como: | Página 301 |
Todos los miembros de una organización deben estar familiarizados con el plan de recuperación ante desastres. (V o F) | Verdadero |
¿Cuál ha sido una de las mayores fuerzas de cambio en los negocios de hoy? | La aplicación del conocimiento de tecnologías por parte del trabajador para ayudar al negocio a resolver problemas. |
¿A qué ayudan los auditores en el plan de recuperación ante desastres? | Puede asistir a los departamentos para encontrar aplicaciones sensibles o críticas que requieren especial atención. |
¿En qué organizaciones los auditores cumplen un rol clave? | En organizaciones donde los controles son inadecuados o inexistentes. |
¿A qué ayuda una auditoría de operaciones de sistemas de información? | Brinda a un auditor la garantía de que las operaciones, como el procesamiento de datos, estén adecuadamente diseñados para garantizar el completo, preciso y válido procesamiento y registro de transacciones financieras. |
¿En qué pueden resultar los controles insuficientes o inadecuados en las operaciones de sistemas de información? | Pág 302 |
Los objetivos comunes de una auditoría de operaciones de sistemas de información garantizan que: | Pág 302 |
¿Qué puede pasar sin la implementación de controles apropiados? | Daños innecesarios o interrupción en el procesamiento de datos de la organización pueden suceder. |
Ejemplos de controles y procedimientos normalmente empleados por auditores de TI cuando se examina el procesamiento de datos: | Que el procesamiento por lotes o en línea esté definido, ejecutado con buen tiempo, y monitoreado. Que las excepciones en los procesamientos se revisen y corrijan a tiempo para asegurar un procesamiento de información financiera completo. |
Para asegurarse de que los respaldos sean efectivos y la información sea precisa, completa y restaurada sin mayores problemas, los auditores de TI deben evaluar actividades tales como: | Pág 303 |
¿Por qué se realizan auditorías de centros de datos? | Para evaluar los controles administrativos sobre los recursos de centros de datos y el personal de procesamiento de datos. |
¿Cuál es el enfoque de una auditoría de centro de datos? | Puede incluir la evaluación de la planificación, personal, políticas, asignación de responsabilidades, presupuestos, reportes de gerencia, y medición de rendimiento en ciertas áreas (gestión de hardware y software, protección de recursos, etc.) |
Para un centro de datos con multiples computadoras y un gran número de usuarios, la auditoría podría solo enfocarse en los controles de acceso y administración de seguridad. (V o F) | Verdadero |
¿Cuáles son los objetivos comunes para una auditoría de centro de datos? | Se relacionan a la identificación de riesgos de auditoría en el ambiente de operación y los controles en el lugar para mitigar esos riesgos de auditoría de acuerdo con las intenciones del gerente. |
¿Cómo deben ser los objetivos de un plan de recuperación ante desastres que se va a auditar? | Realisticos, logrables, y factibles económicamente, brindan dirección al preparar el plan y en la continua reevaluación de su uso. |
¿Qué reduce la oportunidad de falta de comunicación cuando el plan se implementa durante un desastre real? | Las pruebas |
Actividades de control que el auditor de TI puede evaluar y probar para encontrar debilidades y mejorar procedimientos: | Pág 305 |
¿Por qué las organizaciones no están dispuestas a hacer pruebas? | Debido a la interrupción que ocurre a diario en las operaciones y el miedo de que un desastre real surja como resultado de un procedimiento de prueba. |
Las pruebas solo se pueden hacer de una vez de forma completa. (V o F) | Falso. Un enfoque de fases de prueba puede ser útil para lograr una prueba completa. |
Una práctica de prueba de un plan podría ser la diferencia entre su éxito o fracaso. (V o F) | Verdadero. |