P3-Auditoria

Question 1

Explique las razones principales para auditar sistemas y dar ejemplos de cada una

Answer 1

1-Perdida de datos
2-Desiciones incorrectas
3-Abusos computacionales
4-Errores de computación
5-Valor de recursos
6-Privacidad
7-Evolucion controlada
(con esto ya se considera bien)

(el numero corresponde a su ejemplo)
1-Borrado accidental de historias clínicas en un hospital
2-Error en algoritmo de trading que causo perdidas de 500M en Knight capital
3-Hackeo a plataforma de Bitcoin
4-Sobredosis de radiación por falla en Therac-25 (3 muertes)
5-Fuga de datos confidenciales a competidores
6-Robo de 6M de licencias de conducir en Arg
7-Apagon informático en la Justicia Nacional

Question 2

Para cada uno de los siguientes interesados, presente un ejemplo de como un mal procesamiento de información realizado por un sistema informático, puede conducir a una toma de decisiones incorrectas
-Gerente de una empresa vinculada a la industria automotriz
-Funcionario de ARBA
-Consejo Directivo de la facultad

Answer 2

-Gerente automotriz: Sistema ERP con stock incorrecto-> sobreproducción de autos no demandados

-Funcionario de ARBA: Error de cálculos de impuestos-> multas injustas a contribuyentes

-Consejo directivo: Datos erróneos de matriculación->Recorte de presupuesto para carreras con alta demanda

Question 3

¿Qué tipo de abusos computacionales conoce?¿Cuales son las consecuencias de estos abusos?

Answer 3

Hacking->robo de criptomonedas
Virus-> Ransomware(interrupcion operativa)
Acceso físico ilegal->Robo de servidores
Abuso de privilegios->Empleado copia BD de clientes

Question 4

Explique al menos dos características que diferencien entre un abuso computacional y otro tipo de fraude comercial

Answer 4

Velocidad: Un abuso computacional(ej: un virus) se puede propagar en segundos, mientras un fraude comercial requiere planificación

Anonimato: Los abusos computacionales permiten ocultar la identidad mediante técnicas como proxies o VPN

Question 5

Describa con sus palabras que entiende por auditoria de sistemas de informacion

Answer 5

Proceso para evaluar que si un sistema preserva activos, mantiene integridad de datos, alcanza objetivos organizacionales eficazmente y usa recursos eficientemente

Question 6

Explique los cuatros objetivos de auditoria de sistemas de información

Answer 6

-Salvaguardar activos
-Garantizar integridad de datos
-Asegurar efectividad
-Optimizar eficiencia

Question 7

¿Qué significa que la alta gerencia implemente un sistema de control interno?¿Como se lleva a cabo?

Answer 7

Es un conjunto de mecanismos preventivos y de monitoreo para que todo funcione correctamente y de manera segura.
-Separacion de obligaciones
-Delegacion clara de autoridad y responsabilidades
-Reclutamiento y entrenamiento de personal calificado
-Sistemas de autorizaciones
-Documentos y registros adecuados
-Control fisico y documentacion sobre los activos
-Chequeos independientes de performance
-Comparacion periodica de activos con registros contabilizados

Question 8

Explique por que un control en un sistema de información es un sistema

Answer 8

Un control es un sistema porque implica componentes interrelacionados que trabajan para lograr un objetivo común

Question 9

Explique las diferencias entre un control preventivo, control detectivo y control correctivo

Answer 9

-Preventivo (evita accidentes)
-Detectivo (identifica anomalías)
-Correctivo ( Mitiga daños)

Question 10

¿Cuál es la tarea del auditor en cuanto a los controles?

Answer 10

Evaluar la efectividad de los controles mediante
-Pruebas de cumplimiento
-Análisis de evidencias

Question 11

Explique desde el punto de vista de auditoria de sistemas de información el concepto de “factorizar en subsistemas” y que criterios se aplican para factorizar un sistema en subsistemas

Answer 11

factorizar un sistema en subsistemas significa dividir un sistema complejo en partes más pequeñas (subsistemas) que cumplen funciones específicas y que pueden analizarse, controlarse y evaluarse de forma independiente, se puede evaluar por funcionalidad, organizacional, tecnológico, de entrada/salida y de seguridad/control

Question 12

Indique que otros criterios de factorización existen

Answer 12

-Riesgo?

Question 13

¿De que manera se mide la confiabilidad de los controles?

Answer 13

Mediante mediciones de confiabilidad:
-Tasa de detección: % de accidentes identificados por controles
-Tiempo de respuesta: Velocidad para corregir fallas

Question 14

Identifique cuatro tipos de riesgos. Explique la naturaleza de cada uno de ellos

Answer 14

Operacional: Fallo en servidores
Legal: Incumplimiento de GDPR
Reputacional: Filtraciones de datos
Financiero: Fraude en transacciones

Question 15

Explique el proceso de auditoria

Answer 15

Proceso de auditoria
-Planificacion: Definir objetivos, alcance
-Ejecución: Recolección de evidencia
-Informe: Documentación de hallazgos
-Seguimiento: Verificación de acciones

Question 16

Enuncie cinco tipos de procedimientos de auditoria que pueden ser usados para recolectar evidencia en una auditoria

Answer 16

-Entrevistas al personal clave
-Revisión documental de políticas y registros
-Observación directa de procesos
-Pruebas sustantivas de datos
-Muestreo estadístico

Question 17

Enumere tres tipos de testeos que se pueden realizar durante una auditoria

Answer 17

-Pruebas de cumplimiento
-Pruebas sustantivas
-Pruebas de penetracion

Question 18

¿Cómo se lleva a cabo la planificación de una auditoria? Cite diferencias entre interna y externa

Answer 18

Auditoria interna:
-Realizada por personal de al organización
-Enfoque en mejora continua
Auditoria externa
-Realizada por auditores independientes
-Enfoque en certificación

Question 19

Describa el contenido de un informe de auditoria

Answer 19

-Objetivos y alcance
-Metodología aplicada
-Hallazgos y evidencias
-Conclusiones
-Recomendaciones

Question 20

Describa los cuatro tipos de opinión que un auditor puede emitir

Answer 20

-Sin salvedades
-Con salvedades
-Negativa
-Abstención

Question 21

Explique el significado del concepto “Gobernanza de TI”

Answer 21

Marco estratégico que asegura que las TI (tecnologías de la información, un conjunto de herramientas, sistemas, redes y procesos para almacenar, procesar, transmitir y automatizar):
-Generen valor empresarial
-Gestionen riesgos
-Optimicen recursos

Question 22

Explique que es COBIT y cuales son sus elementos

Answer 22

Es un marco de gobierno de TI y esta compuesto por procesos, principios rectores, objetivos de control y modelos de madurez

Question 23

Explique la diferencia entre Gobernanza y Administración de TI

Answer 23

Gobernanza:
-Define estrategias y políticas
-Responde a “que hacer?”
Administración:
-Implementa operaciones
-Responde a “como hacerlo”

Question 24

¿Cuáles son los principios de COBIT?

Answer 24

1-Satisfacer necesidades de stakeholders
2-Cubrir la empresa integralmente
3-Aplicar marco único integrado
4-Enfoque holístico
5-Separar gobernanza de gestión

Question 25

Indique de que forma organiza COBIT los procesos de TI

Answer 25

1-Evaluar,dirigir y monitorear 2-Alinear, planificar y organizar 3-Construir, adquirir e implementar 4-Entregar, servir e implementar 5-Monitorear, evaluar y asegurar

Question 26

Explique como COBIT clasifica la administración de TI

Answer 26

1-Por capacidades: 0-5 2-Por métricas: KPI(indicador clave de desempeño, miden el desempeño de procesos o actividades de TI. ej: Tiempo de respuesta ante incidentes <2 horas para críticos) y KGI (indicador clave de objetivo, mide si se alcanzaron los resultados esperados a largo plazo. Ej: cumplimiento del 100% con las regulaciones)

Question 27

Justifique la importancia de aplicar COBIT en una organización

Answer 27

-Alinea TI con objetivos de negocio -Optimiza inversiones tecnológicas -Gestiona riesgos efectivamente -Asegura cumplimiento normativo -Mejora entrega de servicios