EXAMEN CISA

5/10/2018 EXAMEN CISA - slidepdf.com

http://slidepdf.com/reader/full/examen-cisa 1/17

Universidad Autónoma de Santo Domingo

Curna-Nagua

Maestría Auditoria y Seguridad Informática

JULIO 17, 2011

FELIX METIVIER ARAGONES

1. Un sistema de soporte de decisiones (DSS):

A. está dirigido a resolver problemas altamente estructurados.

B. combina el uso de modelos con las funciones no tradicionales de acceso a y recuperaciónde datos.

C. enfatiza en la flexibilidad de la metodología de toma de decisiones de los usuarios.

D. soporta solamente las tareas de toma de decisión estructurada.

2. ¿La falla en cuál de las siguientes etapas de prueba tendría el MAYOR impacto sobrela implementación de nuevo software de aplicación?A. Prueba de sistema

B. Prueba de aceptación

C. Prueba de integración

D. Prueba de unidad

3. ¿Cuál de los siguientes debe hacer un auditor de SI cuando una comparación decódigo fuente indica que se hicieron modificaciones?A. Determinar si las modificaciones fueron autorizadas

B. Actualizar la copia de control del código fuente

C. Revisar manualmente el código fuente

D. Insertar observaciones en el código fuente describiendo las modificaciones

4. La razón PRIMARIA para separar los ambientes de prueba y de desarrollo es:A. restringir el acceso a los sistemas que están en prueba.

B. segregar al personal del usuario y de desarrollo.

C. controlar la estabilidad del ambiente de prueba.

D. asegurar el acceso a los sistemas en desarrollo.

5. La PRINCIPAL preocupación para un auditor de SI que revisa un entorno CASEdebería ser que el uso de CASE automáticamente no:A. tenga como resultado una captación correcta de los requisitos

B. asegure que los controles de aplicación deseables han sido implementados

C. produzca interfaces ergonómicos y fáciles de usar para los usuarios

D. genere código eficiente

6. ¿Cuál de los siguientes métodos de prueba es el MÁS efectivo durante las etapas

iníciales de creación de prototipos?A. Sistema




Curna-Nagua


JULIO 17, 2011


B. Paralelo

C. Volumen

D. De arriba hacia abajo

7. ¿Cuál de los siguientes es el propósito PRIMARIO para llevar a cabo una pruebaparalela?A. Determinar si el sistema es eficiente en costos.

B. Permitir pruebas comprensivas de unidad y de sistema

C. Destacar los errores en los interfaces de programa con los archivos.

D. Asegurar que el nuevo sistema satisfaga los requerimientos del usuario.

8. ¿Quién de los siguientes es el responsable final de proporcionar las especificacionesde requerimientos al equipo del proyecto de desarrollo de software?A. Jefe de equipo

B. Patrocinador del proyecto

C. Analista de sistemas

D. Comité de supervisión

9. ¿Cuál de los siguientes debería ser incluido en un estudio de factibilidad para unproyecto para implementar un proceso de EDI?A. El formato de algoritmo de encripción

B. Los procedimientos detallados de control interno

C. Los protocolos necesarios de comunicación

D. El acuerdo propuesto de un tercero de confianza

10. Una característica distintiva de los lenguajes de cuarta generación (4GLs) es laportabilidad, ¿qué significa?A. Independencia ambiental

B. Conceptos de Mesa de Trabajo (Workbench) (almacenamiento temporal, edición de laprueba, etc.)C. Capacidad para diseñar formatos de pantalla y desarrollar outputs gráficosD. Capacidad para ejecutar operaciones en línea

11. ¿Cuál de los siguientes es una fortaleza de la técnica de revisión de evaluación deprogramas (PERT) sobre otras técnicas? PERT:A. considera diferentes escenarios para planear y controlar proyectos.

B. permite que el usuario entre parámetros de programa y de sistema.

C. prueba con exactitud los procesos de mantenimiento de sistema.

D. estima los costos de los proyectos de sistema.




Curna-Nagua


JULIO 17, 2011


12. ¿Cuál de los siguientes sería MÁS probable que asegurase que los requerimientosdel negocio se cumplan durante el desarrollo de software?A. Entrenamiento adecuado

B. Los programadores entienden claramente los procesos del negocio

C. Documentación de las reglas del negocio

D. Participación temprana de los usuarios clave

13. En lugar de un sistema heredado, una organización está implementando un nuevosistema. ¿Cuál de las siguientes prácticas de conversión crea el MAYOR riesgo?A. Piloto

B. Paralelo

C. Corte Inmediato (Direct cut-over)

D. Por fases

14. ¿Cuál de los siguientes procedimientos de auditoría realizaría normalmentePRIMERO un auditor de SI cuando revisa la metodología de desarrollo de sistemas deuna organización?A. Determinar la adecuación del procedimiento.

B. Analizar la efectividad del procedimiento.

C. Evaluar el nivel de cumplimiento con los procedimientos.

D. Comparar los estándares establecidos con los procedimientos observados.

15. Muchos Proyectos de TI experimentan problemas porque el tiempo de desarrollo y/olos requerimientos de recursos son subestimados. ¿Cuál de las siguientes técnicasproveería la MAYOR asistencia para desarrollar una duración estimada de proyecto?A. Análisis de punto de funciónB. Diagrama de PERTC. Desarrollo de aplicación rápidaD. Desarrollo de sistema orientado a objeto

16. Los supuestos mientras se planea un proyecto de SI implican un alto grado de riesgoporque:A. están basados en limitaciones conocidas.

B. están basados en datos pasados objetivos.

C. son resultado de la falta de información.

D. están hechos frecuentemente por personas no calificadas.

17. ¿Cuál de los siguientes grupos /personas debería asumir la dirección general y laresponsabilidad de los costos y cronogramas de los proyectos de desarrollo desistemas?

A. La gerencia de usuarioB. El comité de dirección del proyecto




Curna-Nagua


JULIO 17, 2011


C. La alta gerencia

D. La gerencia de desarrollo de sistemas

18. Una empresa ha establecido un comité de dirección para supervisar su programa denegocios electrónicos. El comité de dirección es MÁS probable que participe en:A. la documentación de requerimientos.

B. el escalamiento de problemas del proyecto.

C. el diseño de controles de interfaz.

D. la especificación de los reportes.

19. Respecto al traslado de un programa de aplicación desde un ambiente de prueba alambiente de producción, el MAYOR control se proveería haciendo que:A. el programador de aplicaciones copie el programa fuente y el módulo compilado de objeto alas bibliotecas de producción.

B. el programador de aplicaciones copie el programa fuente a las bibliotecas de producción yluego haga que el grupo de control de producción compile el programa.

C. el grupo de control de producción compile el modulo objeto a las bibliotecas de producciónusando el programa fuente en el ambiente de prueba.

D. el grupo de control de producción copie el programa fuente a las bibliotecas de producción yluego compile el programa.

20. La explicación MÁS probable para el uso de applets en una aplicación de Internet esque:A. se envía a través de la red desde el servidor.

B. el servidor no ejecuta el programa y el output no es enviado a través de la red.

C. mejoran el desempeño tanto del servidor de la web como de la red.

D. es un Programa JAVA bajado por medio del buscador web y ejecutado por el servidor de la

web de la máquina del cliente.

21. Durante la auditoría de un paquete de software adquirido, el auditor de SI se enteróde que la compra del software se basó en información obtenida a través de la Internet, enlugar de basarse en respuestas a una solicitud de propuesta (RFP). El auditor de SI debePRIMERO:A. probar el software para ver su compatibilidad con el hardware existente.

B. realizar un análisis de brecha (gap analysis.)

C. revisar la política de concesión.

D. asegurarse de que el procedimiento había sido aprobado.

22. Cuando se selecciona el software, ¿cuál de los siguientes aspectos del negocio y

técnicos es el MÁS importante a considerar?A. La reputación de un vendedor




Curna-Nagua


JULIO 17, 2011


B. Los requerimientos de la organización

C. Los factores de costo

D. La base instalada

23. Una organización que planea comprar un paquete de software solicita al auditor de SIuna evaluación de riesgo. ¿Cuál de lo siguiente es el riesgo MAYOR?A. No disponibilidad del código fuente.

B. Falta de una certificación de calidad del vendedor

C. Ausencia de referencias vendedor /cliente

D. Poca experiencia del vendedor con el paquete.

24. Al final de la etapa de prueba de desarrollo de software, un auditor de SI observa queun error intermitente de software no ha sido corregido. No se ha tomado ninguna acciónpara resolver el error. El auditor de SI debe:A. reportar el error como un hallazgo y dejar la exploración adicional a discreción del auditado.

B. tratar de resolver el error.

C. recomendar que se escale una resolución de problema.

D. ignorar el error, ya que no es posible obtener evidencia objetiva para el error de software.

25. El objetivo PRIMARIO de llevar a cabo una revisión posterior a la implementación esdeterminar si el sistema:A. logró los objetivos deseados.

B. provee respaldo y recuperación.

C. provee seguridad de información.

D. está documentado de forma clara e inteligible.

26. ¿Cuál de los siguientes es un control para detectar un cambio no autorizado en un

ambiente de producción?A. Negar a los programadores el acceso a los datos de producciónB. Requerir que la solicitud de cambio incluya beneficios y costosC. Comparar periódicamente los programas de control y los actuales programas objeto yfuenteD. Establecer procedimientos para cambios de emergencia

27. Un auditor de SI que participa en la etapa de prueba de un proyecto de desarrollo desoftware establece que los módulos individuales se desempeñan correctamente. Elauditor de SI debe:A. concluir que los módulos individuales operando como un grupo serán correctos.

B. documentar la prueba como prueba positiva de que el sistema puede producir los resultados

deseados.

C. informar a la gerencia y recomendar una prueba integrada.




Curna-Nagua


JULIO 17, 2011


D. proveer datos adicionales de prueba.

28. Un objetivo de una revisión posterior a la implementación de un sistema deaplicación de negocio nuevo o extensamente modificado es:A. determinar si los datos de prueba cubrieron todos los escenariosB. llevar a cabo un proceso de certificación y de acreditaciónC. determinar si los beneficios esperados del proyecto fueron obtenidosD. diseñar informes de pistas de auditoría

29. La base de conocimientos de un sistema experto que usa cuestionarios paraconducir al usuario a través de una serie de opciones antes de llegar a una conclusiónse conoce como:A. reglas.

B. árboles de decisión.

C. redes semánticas.

D. diagrama de flujo de datos.

30. Una organización quiere hacer valer principios de integridad de datos y lograr undesempeño /ejecución más rápida en una aplicación de base de datos. ¿Cuál de los

siguientes principios de diseño debe aplicarse?A. Activadores (triggers) personalizados de usuarioB. Validación de datos en el inicioC. Validación de datos al finalD. Integridad referencial

31. Una organización está trasladando su mantenimiento de aplicación a su instalacióndesde una fuente exterior. ¿Cuál de las siguientes debe ser la principal preocupación deun auditor de SI?A. Prueba de regresiónB. Cronograma de trabajo (job scheduling)C. Manuales de usuarioD. Procedimientos de control de cambio

32. Si un programa de aplicación es modificado y están instalados procedimientosapropiados de mantenimiento de sistema, ¿cuál de los siguientes se debería probar?A. La integridad de la base de datosB. Los controles de acceso para el programador de aplicacionesC. El programa completo, incluyendo cualesquiera sistemas de interfazD. El segmento del programa que contenga el código revisado

33. ¿Cuál de las fases siguientes representa el punto óptimo para que tenga lugar lalínea base (baselining) del software?A. Pruebas.B. DiseñoC. Requerimientos

D. Desarrollo




Curna-Nagua


JULIO 17, 2011


34. Los procedimientos de administración de cambios son establecidos por la gerenciade SI para:A. controlar el movimiento de las aplicaciones desde el ambiente de prueba hasta el ambientede producción.B. controlar la interrupción de las operaciones del negocio proveniente de la falta de atención alos problemas no resueltos.C. asegurar la operación ininterrumpido del negocio en el caso de un desastre.D. verificar que los cambios de sistema sean debidamente documentados.

35. ¿Cuál de las siguientes tecnologías es una característica de tecnología orientada aobjetos que permite un grado mejorado/ampliado de seguridad sobre los datos?A. HerenciaB. Almacenamiento dinámicoC. EncapsulaciónD. Polimorfismo

36. Las revisiones por instituciones pares para detectar los errores de software duranteuna actividad de desarrollo de programa se denominan:A. técnicas de emulación.B. recorridos (walk-throughs) estructurados.C. técnicas modulares de programa.D. construcción de programas de arriba hacia abajo.

37. Una ventaja de usar en transacciones en vivo saneadas (sanitized live transactions)en los datos de prueba, es que:A. todos los tipos de transacción serán incluidos.

B. cada condición de error probablemente sea probada.

C. no se requiere ninguna rutina especial para evaluar los resultados.

D. las transacciones de prueba son representativas de procesamiento en vivo.

38. ¿Cuál de los siguientes representa un prototipo típico de una aplicación interactiva?A. Pantallas y programas de procesamiento

B. Pantallas, ediciones interactivas y muestras de reportes

C. Ediciones interactivas, programas de procesamiento y muestras de reportes

D. Pantallas, ediciones interactivas, programas de procesamiento y muestras de reportes

39. A las unidades de negocio les preocupa el desempeño (performance) de un sistemarecién implementado. ¿Cuál de los siguientes recomendaría el auditor de SI?A. Desarrollar una línea base y monitorear el uso del sistema

B. Definir procedimientos alternos de procesamiento

C. Preparar el manual de mantenimiento

D. Implementar los cambios que los usuarios han sugerido




Curna-Nagua


JULIO 17, 2011


40. ¿Cuál de las siguientes es una técnica de gerencia que permite que lasorganizaciones desarrollen sistemas estratégicamente importantes más rápidamente altiempo que reduce los costos de desarrollo y mantiene la calidad?A. Análisis de punto de función

B. Metodología de ruta crítica

C. Desarrollo de aplicación rápida

D. Técnica de revisión de evaluación de programa

41. La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de unproyecto de desarrollo de aplicaciones es:A. asesorar sobre los procedimientos de control específico y detallado.

B. asegurar que el diseño refleje exactamente el requerimiento.

C. asegurar que todos los controles necesarios estén incluidos en el diseño inicial.

D. asesorar a la gerencia de desarrollo sobre la adherencia al cronograma.

42. Las fases y los productos disponibles de un proyecto de ciclo de vida de desarrollode sistemas (SDLC) deberían ser determinadas:A. durante las etapas iníciales de planeación del proyecto.

B. después de efectuarse una planeación anticipada, pero antes de que el trabajo haya

comenzado.

C. a través de las etapas del trabajo basadas en riesgos y exposiciones.

D. sólo después de que se hayan identificado todos los riesgos y exposiciones y que el auditor

de SI haya recomendado los controles apropiados.

43. Durante la prueba de unidad, la estrategia de prueba aplicada es de:A. caja negra.

B. caja blanca.

C. abajo hacia arriba.D. arriba hacia abajo.

44. ¿Cuál de los siguientes facilita el mantenimiento del programa?A. Programas más cohesivos y acoplados libremente

B. Programas menos cohesivos y acoplados libremente

C. Programas más cohesivos y acoplados fuertemente

D. Programas menos cohesivos y acoplados fuertemente

45. Un auditor de SI que revisa una propuesta para la adquisición de un software deaplicación debe asegurarse de que:A. el sistema operativo (OS) que se está usando es compatible con la plataforma de hardwareexistente




Curna-Nagua


JULIO 17, 2011


B. las actualizaciones planificadas del OS hayan sido programadas para minimizar impactosnegativos sobre las necesidades de la compañíaC. el OS tenga las versiones y actualizaciones más recientesD. los productos sean compatibles con el OS actual o previsto.

46. ¿Cuál de los siguientes es el MAYOR riesgo cuando se está implementando unalmacén de datos (data warehouse)?A. Incremento en el tiempo de respuesta en los sistemas de producciónB. Controles de acceso que no son adecuados para prevenir la modificación de datosC. Duplicación de datosD. Datos que no están actualizados o no son actuales

47. ¿Cuál de los siguientes tipos de prueba determinaría si un sistema nuevo omodificado puede operar en su ambiente objetivo sin afectar adversamente otrossistemas existentes?A. Prueba paralelaB. Prueba pilotoC. Prueba de interfaz/integraciónD. Prueba de sociabilidad

48. Un programador, que usa firecall IDs, como se dispone en el manual del fabricante,ganó acceso al entorno/ambiente de producción e hizo un cambio no autorizado. ¿Cuálde los siguientes podría haber prevenido que esto ocurriera?A. DesactivaciónB. MonitoreoC. AutorizaciónD. Reestablecimiento

49. La preocupación PRIMARIA de un auditor de SI cuando los desarrolladores deaplicaciones desean usar una copia del archivo de transacciones de producción de ayerpara las pruebas de volumen es que:A. es posible que los usuarios prefieran usar datos inventados para prueba.B. puede tener como consecuencia el acceso no autorizado a datos sensitivos.C. es posible que el manejo de errores y las verificaciones de credibilidad no sean probadosplenamente.

D. necesariamente no se prueba la total funcionalidad del nuevo proceso.

50. ¿Cuál de los siguientes grupos debería asumir la propiedad de un proyecto dedesarrollo de sistemas y el sistema resultante?A. Gerencia de usuarioB. Alta gerenciaC. Comité de dirección de proyectosD. Gerencia de desarrollo de sistemas

51. Una ventaja de usar una metodología de abajo hacia arriba frente a una de arribahacia abajo para la prueba de software es que:A. los errores de interfaz se detectan antes.B. la confianza en el sistema se logra antes.

C. los errores en los módulos críticos se detectan antes.D. las principales funciones y procesamientos se prueban antes.




Curna-Nagua


JULIO 17, 2011


52. Utilizar software de auditoría para comparar el código de objeto de dos programas,es una técnica de auditoría usada para probar:A. los programas lógicos.B. los cambios de programa.C. la eficiencia de programa.D. las computaciones de programa.

53. Se hizo una solicitud de cambio a un formato de reporte en un módulo (subsistema).Después de hacer los cambios requeridos, el programador debería llevar a cabo:A. prueba de unidad.B. prueba de unidad y de módulo.C. prueba de unidad, módulo y regresión.D. prueba de módulo.

54. El fin primario de una prueba de sistema es:A. probar la generación de los totales diseñados de control.B. determinar si la documentación del sistema es exacta.C. evaluar la funcionalidad del sistema.D. asegurar que los operadores del sistema se familiaricen con el nuevo sistema.

55. Una herramienta de depuración (debugging), la cual reporta sobre la secuencia depasos ejecutados por un programa, se denomina:A. analizador de output.B. depósito provisional de memoria (memory dump).C. compilador.D. monitor de ruta lógica.

56. ¿Cuál de los siguientes es una ventaja de creación de prototipos?A. El sistema terminado tiene por lo general fuertes controles internos.B. Los sistemas de prototipo pueden proveer ahorro significativo de tiempo y costo.C. El control de cambio es a menudo menos complicado con los sistemas de creación deprototipos.D. Asegura que las funciones o extras no sean agregados al sistema que se pretende.

57. Una organización ha contratado a un proveedor para una solución llave en mano(turnkey solution) para su sistema electrónico de cobro de peajes (ETCS). El proveedorha provisto su software privado de aplicación como parte de la solución. El contratodebería requerir que:A. un servidor de respaldo esté disponible para ejecutar operaciones de ETCS con datos

actualizados.

B. un servidor de respaldo sea cargado con todo el software y los datos relevantes.

C. el personal de sistemas de la organización sea entrenado para manejar cualquier evento.

D. el código fuente de la aplicación de ETCS sea puesto en depósito de garantía (escrow.)

58. La prueba de regresión es el proceso de probar un programa para

determinar si:A. el nuevo código contiene errores.




Curna-Nagua


JULIO 17, 2011


B. existen discrepancias entre las especificaciones funcionales y el desempeño/performancia.C. se han satisfecho nuevos requerimientos.D. los cambios han introducido algún error en el código no cambiado.

59. ¿Cuál de los siguientes elementos es el MÁS importante en el diseño de un depósitode datos?A. La calidad de los metadatosB. La velocidad de las transaccionesC. La volatilidad de los datosD. La vulnerabilidad del sistema

60. Un software de buena calidad de logra MEJOR:A. por medio de una prueba exhaustiva.B. encontrando y corrigiendo rápidamente los errores de programación.C. determinando la cantidad de pruebas para el tiempo y el presupuesto disponible.D. aplicando procesos bien definidos y revisiones estructuradas en todo el proyecto.

61. Cuando se revisa un proyecto de desarrollo de sistema en la etapa de iniciación delproyecto, un auditor de SI encuentra que el equipo del proyecto está siguiendo el manualde calidad de la organización. Para cumplir las fechas tope críticas, el equipo delproyecto propone acelerar los procesos de validación y de verificación, comenzandoalgunos elementos antes de que se firme el producto disponible previo. Bajo estascircunstancias, el auditor de SI MÁS probablemente:

A. reportaría esto como un hallazgo crítico a la alta gerencia.B. aceptaría que se pueden diferentes procesos de calidad para cada proyecto.C. reportaría a la gerencia de SI que el equipo no siguió los procedimientos de calidad.D. reportaría los riesgos asociados con la vía acelerada (fast tracking) al comité de direccióndel proyecto.

62. El control de cambios para los sistemas de aplicación de negocios que se estándesarrollando usando prototipos podría verse complicado por:

A. la naturaleza iterativa de la utilización de prototipos.B. el ritmo rápido de las modificaciones en los requerimientos y el diseño.

C. el énfasis sobre los informes y las pantallas.D. la falta de herramientas integradas.

63. Una organización tiene un entorno integrado de desarrollo (IDE), donde lasbibliotecas de programa residen en el servidor, pero la modificación /desarrollo y pruebase hacen desde estaciones de trabajo de PCs. ¿Cuál de los siguientes sería una fortalezade un entorno integrado de desarrollo?A. Controla la proliferación de múltiples versiones de programasB. Expande los recursos de programación y ayudas disponiblesC. Aumenta el programa y la integridad de procesamientoD. Previene los cambios válidos de ser sobre-escritos por otros cambios

64. Un número de fallas de sistema están ocurriendo cuando las correcciones a los

errores detectados previamente son nuevamente presentados a la prueba de aceptación.¿Esto indicaría que el equipo de mantenimiento probablemente no está desempeñandoadecuadamente cuál de los siguientes tipos de prueba?




Curna-Nagua


JULIO 17, 2011


A. Prueba de unidadB. Prueba de integraciónC. Recorridos de diseñoD. Gerencia de configuración

65. Al planear un proyecto de desarrollo de software, ¿cuál de los siguientes es lo MÁSdifícil de determinar?A. Tiempos inadecuados del proyectoB. La ruta crítica del proyectoC. Los requerimientos de tiempo y de recursos para las tareas individualesD. Las relaciones que impiden el inicio de una actividad antes de que se realicen otras

66. El uso de técnicas de diseño y desarrollo orientada a objetos, es más probable que:A. faciliten la capacidad para reutilizar módulos.B. mejoren el desempeño del sistema.C. aumenten la efectividad del control.D. aumenten la velocidad del ciclo de vida del desarrollo del sistema.

67. La MAYOR ventaja del desarrollo rápido de aplicaciones(RAD) sobre el tradicionalciclo de vida de desarrollo de sistemas (SDLC) es que:A. facilita la participación del usuarioB. permite pruebas tempranas de las funciones técnicasC. facilita la conversión al nuevo sistemaD. acorta el marco de tiempo del desarrollo

68. ¿Cuál de los siguientes riesgos sería consecuencia de una definición inadecuadadelínea base (baseline) de software?A. Desbordamiento del ámbito (scope creep)B. Demoras de sign-offC. Violaciones de integridad de softwareD. Controles inadecuados

69. La solicitud de propuesta (RFP) para la adquisición de un sistema de aplicación esMÁS probable que sea aprobada por el:A. comité de seguimiento del proyecto (project steering committee).

B. patrocinador de proyecto.C. gerente de proyecto.D. equipo de proyecto de usuario.

70. ¿Cuál de los siguientes describe MEJOR los objetivos de seguir una metodologíaestándar de desarrollo de sistema?A. Asegurar que el contrato de personal apropiado sea asignado y proveer un método decontrolar costos y cronogramasB. Proveer un método de controlar los costos y cronogramas y asegurar la comunicación entrelos usuarios, los auditores de SI, la gerencia y el personal de SIC. Proveer un método de controlar los costos y los cronogramas y un medio efectivo de auditarel desarrollo de proyectosD. Para asegurar la comunicación entre usuarios, los auditores, la gerencia y el personal de SI

y para asegurar que se asigne el personal apropiado




Curna-Nagua


JULIO 17, 2011


71. ¿Cuál de los siguientes métodos de desarrollo usa un prototipo que puede seractualizado continuamente para satisfacer los requerimientos cambiantes del usuario odel negocio?A. Desarrollo orientado a los datos (DOD)B. Desarrollo orientado al objeto (OOD)C. Reingeniería del proceso del negocio (BPR)D. Desarrollo de aplicación rápida (RAD)

72. El auditor de SI encuentra que un sistema en desarrollo tiene 12 módulos vinculados(linked) y cada elemento de los datos puede llevar hasta 10 campos de atributosdefinibles. El sistema maneja varios millones de transacciones al año. ¿Cuál de estastécnicas podría el auditor de SI usar para estimar el tamaño del esfuerzo de desarrollo?A. La técnica de evaluación y revisión de programas (PERT).B. Conteo de las líneas fuente del código (SLOC).C. Análisis del punto de función.D. Prueba de caja blanca (white box).

73. ¿Cuál de lo siguiente es MÁS probable que ocurra cuando un proyecto de desarrollode sistema está en medio de la fase de programación / codificación?A. Pruebas de unidadB. Pruebas de stressC. Pruebas de regresiónD. Pruebas de aceptación

74. Un auditor de SI que realiza una auditoría de mantenimiento de aplicaciones revisaríael registro de cambios de programa para:A. la autorización para cambios de programa.B. la fecha de creación de un módulo objeto corriente.C. el número de cambios de programa realmente hechos.D. la fecha de creación de un programa fuente corriente.

75. La técnica de revisión de evaluación de programas (PERT):A. supone que las actividades no pueden ser iniciadas y detenidas de manera independiente.B. supone un perfecto conocimiento de las horas de actividades individuales.C. comienza con una definición de las actividades del proyecto y su secuencia relativa.

D. eventos, que marcan el inicio o el final de una actividad, tienen tiempo para sí y gastanrecursos.

76. El propósito de los programas de depuración es:A. generar datos aleatorios que puedan ser usados para probar los programas antes deimplementarlos.B. proteger los cambios válidos de que sean sobreescritos por otros cambios durante laprogramación.C. definir el desarrollo del programa y los costos de mantenimiento a ser incluidos en el estudiode factibilidad.D. asegurar que las terminaciones anormales y los errores de codificación sean detectados ycorregidos.

77. Durante el desarrollo de una aplicación, la prueba de aseguramiento de la calidad y laprueba de aceptación de usuario se combinaron. La MAYOR preocupación para unauditor de SI que revisa el proyecto es que habrá:




Curna-Nagua


JULIO 17, 2011


A. Un incremento en el mantenimiento.B. Una documentación inapropiada de las pruebasC. Unas pruebas funcionales inadecuadas.D. Demoras en la resolución de problemas.

78. La razón más común para que los sistemas dejen de satisfacer las necesidades delos usuarios es que:A. las necesidades del usuario están cambiando constantemente.B. el crecimiento de los requerimientos del usuario fue pronosticado incorrectamente.C. el sistema de hardware limita el número de usuarios concurrentes.D. la participación del usuario para definir los requerimientos del sistema era inadecuada.

79. La diferencia entre prueba de caja blanca (whitebox) y prueba de caja negra(blackbox) es que la prueba de caja blanca:A. involucra al auditor de SI.B. es efectuada por un equipo de programadores independientes.C. examina la estructura lógica interna de un programa.D. usa el enfoque de abajo hacia arriba.

80. Cuando un nuevo sistema va a ser implementado dentro de un corto marco detiempo, es MÁS importante:A. terminar de escribir los manuales de usuario.B. realizar una prueba de aceptación de usuario.C. agregar aumentos de último minuto a las funcionalidades.D. asegurar que el código ha sido documentado y revisado.

81. Una compañía ha contratado una firma consultora externa para implementar unsistema financiero comercial para reemplazar su sistema existente desarrolladolocalmente. Al revisar el método de desarrollo propuesto, ¿cuál de los siguientes seríade MAYOR preocupación?

A. La prueba de aceptación va a ser administrada por los usuarios.B. Un plan de calidad no es parte de los productos contratados.C. No todas las funciones de negocios estarán disponibles en la implementación inicial.D. Se está usando la creación de prototipos para confirmar que el sistema satisface los

requerimientos del negocio.

82. ¿Cuál de los siguientes controles sería el MÁS efectivo para asegurar que el códigofuente y el código objeto de producción estén sincronizados?A. Reporte de comparación de fuente y objeto de una liberación a otraB. Software de control de biblioteca que restrinja cambios al código fuenteC. Acceso restringido al código fuente y al código objetoD. Revisiones de fecha y sello de hora del código fuente y objeto

83. Durante una revisión posterior a la implementación del sistema de administración derecursos de una empresa, ¿qué es lo MÁS probable que un auditor de sistemas realice?A. Revise la configuración del control de acceso

B. Evalúe la prueba de interfazC. Revise la documentación detallada de diseñoD. Evalúe la prueba de sistema




Curna-Nagua


JULIO 17, 2011


84. ¿Cuál de las siguientes es una medida del tamaño de un sistema de informaciónbasada en el número y complejidad de los inputs, outputs y archivos de un sistema?A. Técnica de revisión de la evaluación del programa (PERT)B. Desarrollo de aplicación rápida (RAD)C. Análisis de punto de función (FPA)D. Método de ruta crítica (CPM)

85. ¿Cuál de los siguientes es una debilidad de control que puede poner en peligro unproyecto de reemplazo de sistema?A. El documento de iniciación del proyecto no ha sido actualizado para reflejar cambios en elalcance del sistema.B. Un análisis de brechas que compara la solución escogida para la especificación original harevelado un número de cambios significativos en la funcionalidad.C. El proyecto ha estado sujeto a un número de cambios en las especificaciones de losrequerimientos.D. La organización ha decidido que no se requiere un comité de seguimiento de proyecto.

86. La gerencia de SI informa a un auditor de SI que la organización ha alcanzadorecientemente el nivel más alto del modelo de madurez de capacidad de (CMM.) Elproceso de calidad de software MÁS recientemente agregado por la organización es:A. mejoramiento continuo.B. metas de calidad cuantitativas.C. procesos documentados.D. procesos hechos a la medida para proyectos específicos.

87. Idealmente, las pruebas de stress sólo deberían llevarse a cabo en los casossiguientes:A. En un entorno de prueba usando datos de pruebaB. En un entorno de producción usando cargas de trabajo en vivoC. En un entorno de prueba usando cargas de trabajo en vivoD. En un entorno de producción usando datos de prueba

88. ¿Cuál de los siguientes niveles de modelo de madurez de capacidad asegura el logrode los controles básicos de administración de proyectos?

A. Repetible (Nivel 2)B. Definido (Nivel 3)C. Administrado (Nivel 4)D. Optimizado (Nivel 5)

89. Un programador modificó maliciosamente un programa en producción para cambiardatos y luego restauró el código original. ¿Cuál de lo siguiente detectaría MÁSefectivamente la actividad maliciosa?A. Comparación del código fuenteB. Revisión de los archivos de registro del sistema (log files)C. Comparación del Código objetoD. Revisión de la integridad del ejecutable y del código fuente.

90. Después de descubrir una vulnerabilidad de seguridad en una aplicación de tercerosque tiene interfaces con varios sistemas externos, se aplica un parche (patch) a un




Curna-Nagua


JULIO 17, 2011


número significativo de módulos. ¿Cuál de las pruebas siguientes debe serrecomendada por un auditor de SI?A. StressB. Caja negra (Black box)C. Interfaz.D. Sistema

91. El uso de lenguajes de cuarta generación (4GLs) debería ser sopesadocuidadosamente contra el uso de lenguajes tradicionales porque 4GLs:

A. pueden carecer de los comandos de bajo nivel de detalle necesarios para realizaroperaciones intensivas de datos.B. no pueden ser implementado tanto en los procesadores de mainframe como en lasmicrocomputadoras.C. generalmente contienen subconjuntos de lenguajes complejos que deben ser usados porusuarios expertos.D. no pueden tener acceso a los registros de base de datos y producen mensajes salientescomplejos en línea.

92. La responsabilidad de diseñar, implementar y mantener un sistema de control internola tiene:A. el auditor de SI.B. la gerencia.C. el auditor externo.D. el personal de programación.

93. ¿Durante cuál de las siguientes fases en el desarrollo de sistemas serían preparadosgeneralmente los planes de aceptación de usuario?A. Estudio de factibilidadB. Definición de requerimientosC. Planeación de la implementaciónD. Revisión posterior a la implementación

94. Cuando se está implementando un paquete de software de aplicación, ¿cuál de los

siguientes representa el MAYOR riesgo?A. Que las versiones múltiples de software no estén controladasB. Que los programas fuente no estén sincronizados con el código de objetoC. Que los parámetros no estén fijados correctamenteD. Errores de programación

95. Un sistema existente está siendo mejorado extensamente extrayendo y reutilizandocomponentes de diseño y de programa. Este es un ejemplo de:A. ingeniería de reversa.B. creación de prototipos.C. reutilización de software.D. reingeniería.




Curna-Nagua


JULIO 17, 2011


96. ¿En cuál de las siguientes etapas de ciclo de vida de desarrollo de sistemas (SDLC)deben los procedimientos tener una línea de base definida, para prevenirdesbordamiento del ámbito (scope creep)?A. DesarrolloB. ImplementaciónC. DiseñoD. Factibilidad

97. ¿Cuál es el primer nivel de modelo de madurez de capacidad de software (CMM) queincluye un proceso estándar de desarrollo de software?A. Inicial (nivel 1)B. Repetible (nivel 2)C. Definido (nivel 3)D. Optimizante (nivel 5)

98. La razón para establecer un alto, o punto de congelación sobre el diseño de un nuevosistema es:A. impedir más cambios a un proyecto en proceso.B. iniciar el punto en que el diseño va a ser realizado.C. requerir que los cambios después de ese punto sean evaluados por su efectividad decostos.D. proveer el equipo de administración de proyectos con más control sobre el diseño delproyecto.

99. Probar la conexión de dos o más componentes de sistema que pasan informacióndesde un área a otra es:A. Prueba piloto.B. Prueba paralela.C. Prueba de interfaz.D. Prueba de regresión.

100. ¿Cuál de los siguientes es MÁS efectivo para controlar el mantenimiento deaplicaciones?A. Informar a los usuarios sobre la situación de los cambiosB. Establecer prioridades en los cambios de programa

C. Obtener la aprobación del usuario de los cambios de programaD. Requerir especificaciones documentadas de los usuarios para los cambios.

EXAMEN CISA

Documents

Transcript of EXAMEN CISA