¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

CISM Dumps & Exam Questions 2024, Gerente Certificado de Seguridad de la Información | SPOTO

Mejora tu preparación para el examen CISM con SPOTO's CISM Dumps & Exam Questions 2024. Como Gerente Certificado de Seguridad de la Información (CISM), usted demuestra experiencia avanzada en el desarrollo y gestión de programas de seguridad de la información empresarial. Accede a nuestros completos exámenes de práctica, incluyendo opciones de examen gratuitas, para profundizar en los volcados de examen y preguntas de muestra, reforzando tu comprensión de los conceptos clave. Participe en simulacros de examen realistas para simular el entorno del examen y perfeccionar su práctica. Utilice nuestros materiales detallados del examen y respuestas del examen para aumentar más lejos su preparación. Con los recursos de preparación de exámenes de SPOTO's y el simulador de examen avanzado, usted'estará bien preparado para abordar el examen CISM con confianza y tener éxito en su carrera de seguridad de la información.

 

Realizar otros exámenes en línea
Cuestionar #1
¿Cuál de los siguientes sería el objetivo MÁS importante de un programa de gobernanza de la seguridad de la información?
A. Revisión de los mecanismos de control interno
B. Participación efectiva en la toma de decisiones empresariales
C. Eliminación total de los factores de riesgo
D. Garantizar la confianza en los datos
Ver respuesta
Respuesta correcta: D
Cuestionar #2
Una política de respuesta a incidentes debe contener: C.
A. árboles de llamadas actualizados
B. criterios de escaladA
C.
Ver respuesta
Respuesta correcta: A
Cuestionar #3
¿Cuál de las siguientes opciones sería la MEJOR para mitigar oportunamente las vulnerabilidades identificadas?
A. Herramienta de supervisión continua de vulnerabilidades
B. Categorización de las vulnerabilidades en función de la criticidad del sistema
C. Seguimiento de los indicadores clave de riesgo (KRI)
D. Plan de acción con responsabilidades y plazos
Ver respuesta
Respuesta correcta: C
Cuestionar #4
¿Cuál de los siguientes es el elemento MÁS importante para garantizar el éxito de una prueba de recuperación en caso de catástrofe en un hot site proporcionado por un proveedor?
A.
B.
C. El equipo en el lugar caliente es idéntico
D. La dirección de la empresa participa activamente
Ver respuesta
Respuesta correcta: B
Cuestionar #5
¿Cuál de las siguientes opciones prepararía MEJOR a un responsable de seguridad de la información para las revisiones reglamentarias?
A. Asignar un administrador de seguridad de la información como enlace regulador
B. Realizar autoevaluaciones utilizando directrices e informes reglamentarios
C. Evaluar los informes reglamentarios anteriores con la aportación de los responsables del proceso
D. Garantizar que todas las investigaciones reglamentarias sean sancionadas por el departamento jurídico
Ver respuesta
Respuesta correcta: D
Cuestionar #6
Una organización con un programa maduro de respuesta a incidentes lleva a cabo revisiones post-incidente para todos los incidentes importantes de seguridad de la información. El objetivo PRIMARIO de estas revisiones debe ser:
A. documentar e informar de la causa raíz de los incidentes a la alta dirección
B. identificar lagunas en el programa de seguridad o deficiencias sistémicas que deban corregirse
C. preparar notificaciones debidamente verificadas sobre los incidentes a partes externas
D. identificar a los responsables de los incidentes de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #7
¿Cuál es la MEJOR manera de garantizar que los usuarios cumplen los requisitos de seguridad de la organización en cuanto a complejidad de las contraseñas?
A. Incluir requisitos de construcción de contraseñas en las normas de seguridad
B. Exigir a cada usuario que reconozca los requisitos de contraseña
C. Aplicar sanciones estrictas en caso de incumplimiento por parte de los usuarios
D. Habilitar la configuracion de contraseñas forzadas por el sistema
Ver respuesta
Respuesta correcta: C
Cuestionar #8
¿Cuál de los siguientes es el MEJOR indicador de que la formación sobre concienciación en materia de seguridad ha sido eficaz?
A. Los empleados firman para reconocer la política de seguridad
B. Se notifican más incidentes
C. La mayoría de los empleados han completado la formación
D. No se han notificado incidentes en tres meses
Ver respuesta
Respuesta correcta: D
Cuestionar #9
¿Cuál de los siguientes puntos es el MÁS crítico para el éxito de la implantación y el mantenimiento de una política de seguridad?
A. Asimilación del marco y la intención de una política de seguridad escrita por todas las partes apropiadas
B. Apoyo y aprobación de la dirección para la aplicación y el mantenimiento de una política de seguridad
C. Aplicación de las normas de seguridad mediante la adopción de medidas punitivas en caso de infracción de las normas de seguridad
D. Aplicación, supervisión y cumplimiento estrictos de las normas por parte del responsable de seguridad mediante programas informáticos de control de acceso
Ver respuesta
Respuesta correcta: A
Cuestionar #10
Las políticas de seguridad de la información deben:
A. abordar las vulnerabilidades de la red corporativA
B. abordar el proceso de comunicación de una infracción
C. ser sencillo y fácil de entender
D. personalizarse para grupos y funciones específicos
Ver respuesta
Respuesta correcta: C
Cuestionar #11
Cuando las políticas de seguridad se aplican estrictamente, el impacto inicial es que:
A. puede que tengan que modificarse con más frecuenciA
B. serán menos impugnables
C. se incrementa el coste total de la seguridad
D. se reduce la necesidad de revisiones de cumplimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #12
El MEJOR método para detectar y controlar las actividades de un hacker sin exponer los activos de información a riesgos innecesarios es utilizar:
A. cortafuegos
B. anfitriones de bastión
C. archivos señuelo
D. subredes apantalladas
Ver respuesta
Respuesta correcta: C
Cuestionar #13
¿Cuál de las siguientes opciones es la MEJOR para garantizar un acceso puntual y fiable a los servicios?
A. Autenticidad
B. Objetivo de tiempo de recuperación
C. Disponibilidad
D. No repudio
Ver respuesta
Respuesta correcta: A
Cuestionar #14
Un equipo de gestión de incidentes debe realizar una revisión posterior al incidente para determinar: D.
A. pruebas electrónicas pertinentes
B. lecciones aprendidas
C. identidad del hacker
D.
Ver respuesta
Respuesta correcta: C
Cuestionar #15
Durante la restauración de varios servidores, un proceso crítico que da servicio a clientes externos se restauró tarde debido a un fallo, lo que provocó una pérdida de ingresos. ¿Cuál de las siguientes opciones habría sido la MEJOR para evitarlo?
A. Validación de la tolerancia al riesgo de la alta dirección
B. Actualizaciones del análisis de impacto empresarial (BIA)
C. Pruebas más eficaces del plan de recuperación en caso de catástrofe (DRP)
D. Mejoras en los métodos de identificación de incidentes
Ver respuesta
Respuesta correcta: D
Cuestionar #16
¿Cuál de las siguientes métricas sería la MÁS útil para medir lo bien que la seguridad de la información está supervisando los registros de violaciones?
A. Intentos de penetración investigados
B. Informes de registro de infracciones elaborados
C. Anotaciones en el registro de infracciones
D. Frecuencia de las medidas correctoras adoptadas
Ver respuesta
Respuesta correcta: B
Cuestionar #17
¿Cuál de las siguientes opciones es la MÁS probable para cambiar la cultura de una organización hacia una más consciente de la seguridad?
A. Políticas y procedimientos de seguridad adecuados
B. Revisiones periódicas del cumplimiento
C. Comités directores de seguridad
D. Campañas de sensibilización en materia de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #18
A la hora de formar a un equipo de respuesta a incidentes, la ventaja de utilizar ejercicios de mesa es que:
A. proporcionar al equipo experiencia práctica en la respuesta a incidentes
B. garantizar que el equipo pueda responder a cualquier incidente
C. eliminar la necesidad de implicar a los altos directivos en el proceso de respuesta
D. permitir que el equipo desarrolle interacciones de respuesta eficaces
Ver respuesta
Respuesta correcta: D
Cuestionar #19
¿Cuál de las siguientes opciones reduce el impacto potencial de los ataques de ingeniería social?
A. Cumplimiento de los requisitos reglamentarios
B. Promover la comprensión ética
C. Programas de concienciación sobre seguridad
D. Incentivos eficaces al rendimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #20
¿Cuál debería ser el PRIMER curso de acción de un responsable de seguridad de la información cuando una organización está sujeta a un nuevo requisito normativo?
A. Realizar un análisis de carencias
B. Completar una evaluación de control
C. Presentar un argumento comercial que respalde el cumplimiento
D. Actualización del registro de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #21
Un responsable de seguridad de la información ha desarrollado una estrategia para hacer frente a los nuevos riesgos de seguridad de la información derivados de cambios recientes en la empresa. Cuál de las siguientes opciones sería la MÁS importante para presentar la estrategia a la alta dirección?
A. Los costes asociados a los cambios en los procesos empresariales
B. Resultados de la evaluación comparativa con los homólogos del sector
C. El impacto de los cambios organizativos en el perfil de riesgo para la seguridad
D. Controles de seguridad necesarios para mitigar los riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #22
¿Cuál de las siguientes actividades realizadas por un administrador de bases de datos (DBA) debería realizarla otra persona?
A. Eliminación de los registros de actividad de la base de datos
B. Implantación de herramientas de optimización de bases de datos
C. Control del uso de la base de datos
D. Definir procedimientos de copia de seguridad y recuperación
Ver respuesta
Respuesta correcta: D
Cuestionar #23
Cuando existen problemas de separación de funciones entre el personal de soporte informático y los usuarios finales, ¿cuál sería un control compensatorio adecuado?
A. Restricción del acceso físico a los equipos informáticos
B. Revisión de los registros de transacciones y aplicaciones
C. Comprobación de antecedentes antes de contratar personal informático
D. Bloquear sesiones de usuario despues de un periodo especifico de inactividad
Ver respuesta
Respuesta correcta: C
Cuestionar #24
Al desarrollar un plan de pruebas de mesa para pruebas de respuesta a incidentes, el propósito PRIMARIO del escenario debe ser:
A. dar a la empresa una medida de la preparación general de la organización
B. proporcionar a los participantes situaciones que garanticen la comprensión de sus funciones
C. medir el compromiso de la dirección como parte de un equipo de respuesta a incidentes
D. desafiar al equipo de respuesta a incidentes a resolver el problema bajo presión
Ver respuesta
Respuesta correcta: D
Cuestionar #25
¿Con cuál de los siguientes componentes de la infraestructura de TI se relaciona MÁS la gobernanza de la seguridad?
A. Red
B. Aplicación
C. Plataforma
D. Proceso
Ver respuesta
Respuesta correcta: A
Cuestionar #26
¿Cuál de los siguientes es el individuo MÁS apropiado para implantar y mantener el nivel de seguridad de la información necesario para una aplicación empresarial específica?
A. Analista de sistemas
B. Responsable del control de calidad
C. Propietario del proceso
D. Responsable de seguridad de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #27
Para abordar la cuestión de que las presiones sobre el rendimiento de las TI pueden entrar en conflicto con los controles de seguridad de la información, lo MÁS importante es que:
A. los problemas de incumplimiento se comunican a la alta dirección
B. la gestión de la seguridad de la información comprende las cuestiones de rendimiento empresarial
C. la política de seguridad se modifica para adaptarse a la presión del rendimiento informático
D. la alta dirección proporciona orientación y resolución de conflictos
Ver respuesta
Respuesta correcta: D
Cuestionar #28
Durante una revisión posterior al incidente, la secuencia y la correlación de las acciones deben analizarse PRIMARIAMENTE en función de:
A. documentos creados durante el incidente
B. registros de los sistemas implicados
C. un calendario de acontecimientos consolidado
D. entrevistas con el personal
Ver respuesta
Respuesta correcta: B
Cuestionar #29
¿Cuál de las siguientes responsabilidades recae normalmente en los propietarios de los datos?
A. Aplicación de cambios de emergencia a los datos de la aplicación
B. Administración de la seguridad de los registros de la base de datos
C. Migración de los cambios en el código de la aplicación a la producción
D. Determinar el nivel de seguridad de la aplicación requerido
Ver respuesta
Respuesta correcta: A
Cuestionar #30
¿Cuál de los siguientes es el MAYOR riesgo de una definición inadecuada de la política de propiedad de datos y sistemas?
A. No existe coordinación en la gestión de usuarios
B. No se puede establecer la responsabilidad de usuarios específicos
C. Los usuarios no autorizados pueden tener acceso para originar, modificar o borrar datos
D. Es posible que no se apliquen las recomendaciones de auditoríA
Ver respuesta
Respuesta correcta: B
Cuestionar #31
Un responsable de seguridad de la información revisó las listas de control de acceso y observó que se había concedido acceso privilegiado a todo un departamento. ¿Cuál de las siguientes acciones debería realizar PRIMERO el responsable de seguridad de la información?
A. Revisar los procedimientos de concesión de acceso
B. Establecer procedimientos para conceder acceso de emergencia
C. Reunirse con los propietarios de los datos para comprender las necesidades de la empresa
D.
E.
Ver respuesta
Respuesta correcta: A
Cuestionar #32
Un responsable de seguridad de la información ha completado una evaluación de riesgos y ha determinado el riesgo residual. ¿Cuál de los siguientes debería ser el SIGUIENTE paso?
A. Realizar una evaluación de los controles
B. Determinar si el riesgo se ajusta a la propensión al riesgo
C. Aplicar contramedidas para mitigar el riesgo
D. Clasificar todos los riesgos identificados
Ver respuesta
Respuesta correcta: C
Cuestionar #33
¿Cuál de las siguientes es la consideración MÁS importante a la hora de decidir si seguir subcontratando a un proveedor de servicios de seguridad gestionados?
A. La necesidad empresarial de la función
B. Coste de los servicios
C. Reputación del vendedor en el sector
D. La capacidad de cumplir los plazos
Ver respuesta
Respuesta correcta: B
Cuestionar #34
El MEJOR enfoque en la gestión de un incidente de seguridad que implique una penetración exitosa debe ser:
A. permitir que los procesos empresariales continúen durante la respuestA
B. permitir que el equipo de seguridad evalúe el perfil del ataque
C. permitir que el incidente continúe para rastrear el origen
D. examinar el proceso de respuesta a incidentes en busca de deficiencias
Ver respuesta
Respuesta correcta: C
Cuestionar #35
¿Cuál de las siguientes opciones protege la confidencialidad de los datos transmitidos por Internet?
A. Recopilación de mensajes
B. Traducción de direcciones de red
C. Cifrado del sistema de archivos
D. Protocolo IPsec
Ver respuesta
Respuesta correcta: C
Cuestionar #36
¿Cuál de las siguientes tareas debe realizarse una vez elaborado un plan de recuperación en caso de catástrofe?
A. Analizar el impacto empresarial
B. Definir las funciones del equipo de respuesta
C. Desarrollar el plan de pruebas
D. Identificar los objetivos de tiempo de recuperación
Ver respuesta
Respuesta correcta: A
Cuestionar #37
El MEJOR momento para realizar una prueba de penetración es después:
A. se ha producido un intento de penetración
B. una auditoría ha informado de deficiencias en los controles de seguridad
C. se realizan diversos cambios en la infraestructurA
D. una elevada rotación del personal de sistemas
Ver respuesta
Respuesta correcta: A
Cuestionar #38
¿Cuál de las siguientes cláusulas y condiciones representa una deficiencia importante si se incluye en un contrato comercial de obra caliente?
A. En caso de declaración de catástrofe múltiple, se compartirá una instalación "hot site
B. Todos los equipos se suministran "en el momento de la catástrofe, no en el suelo"
C. La instalación está sujeta a una política de "primer llegado, primer servido"
D. El equipo puede sustituirse por un modelo equivalente
Ver respuesta
Respuesta correcta: D
Cuestionar #39
¿Cuál de las siguientes opciones presenta la MAYOR exposición a un ataque interno en una red?
A. Las contraseñas de los usuarios no caducan automáticamente
B. Todo el tráfico de red pasa por un único conmutador
C. Las contraseñas de los usuarios están codificadas pero no encriptadas
D. Todos los usuarios residen en una sola subred interna
Ver respuesta
Respuesta correcta: D
Cuestionar #40
¿Cuál de los siguientes es el puesto MÁS apropiado para patrocinar el diseño y la implantación de una nueva infraestructura de seguridad en una gran empresa global?
A. Jefe de seguridad
B. Director de Operaciones (COO)
C. Responsable de privacidad (CPO)
D. Asesor jurídico jefe (CLC)
Ver respuesta
Respuesta correcta: A
Cuestionar #41
03.¿Quién es responsable de garantizar que la información se clasifica y que se adoptan medidas de protección específicas?
A. El agente de seguridad
B. Alta dirección
C. El usuario final
D. l custodio
Ver respuesta
Respuesta correcta: b
Cuestionar #42
B. En las aplicaciones críticas para la empresa, el acceso de los usuarios debe ser aprobado por el:
A. responsable de seguridad de la información
B.
C.
Ver respuesta
Respuesta correcta: C
Cuestionar #43
¿Cuál de las siguientes opciones sería la MÁS eficaz para garantizar que la seguridad de la información se aborda adecuadamente en los nuevos sistemas?
A. Auditoría interna aprueba la seguridad antes de la aplicación
B. El personal de seguridad de la información realiza revisiones de cumplimiento antes de que comience la producción
C. El personal de seguridad de la información asume la responsabilidad del diseño de la seguridad del sistema
D. Los requisitos empresariales deben incluir objetivos de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #44
Un responsable de seguridad de la información se entera de que un sistema departamental no cumple los requisitos de seguridad de contraseñas de la política de seguridad de la información. ¿Cuál de las siguientes medidas debería tomar el responsable de seguridad de la información?
A. Someter el asunto al comité directivo para su escalada
B. Realizar un análisis de impacto para cuantificar el riesgo asociado
C. Aislar el sistema no conforme del resto de la red
D. Solicitar la aceptación del riesgo por parte de la alta dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #45
06.Para determinar cómo se produjo una brecha de seguridad en la red corporativa, un responsable de seguridad examina los registros de varios dispositivos.¿Cuál de las siguientes MEJORES opciones facilita la correlación y revisión de estos registros?
A. ervidor de base de datos
B. Servidor de nombres de dominio
C. ervidor horario
D. Servidor proxy
Ver respuesta
Respuesta correcta: c
Cuestionar #46
09.¿Cuál de las siguientes herramientas proporciona a un equipo de respuesta a incidentes la MAYOR información sobre la actividad de amenazas internas en múltiples sistemas?
A. na red privada virtual (VPN) con autenticación multifactor
B. n sistema de gestión de eventos e información de seguridad (SIEM)
C. Un sistema de gestión de identidades y accesos (IAM)
D. n sistema de prevención de intrusiones (IPS)
Ver respuesta
Respuesta correcta: b
Cuestionar #47
02.En el modelo Bell-LaPadula, si una persona tiene autorización para un nivel, ¿a qué nivel o niveles puede acceder y qué requisitos adicionales debe cumplir?
A.
B. Pueden acceder al nivel especificado y a niveles superiores sin más requisitos
C. Pueden acceder al nivel especificado e inferior y deben tener necesidad de saber
D. Pueden acceder a todos los niveles y no tienen que cumplir ningún otro requisito
Ver respuesta
Respuesta correcta: c
Cuestionar #48
¿Cuál de las siguientes opciones es la MÁS difícil de conseguir en un entorno de computación en nube pública?
A. Reducción de costes
B. Pago por uso
C. Aprovisionamiento a la carta
D. Capacidad de auditoría
Ver respuesta
Respuesta correcta: D
Cuestionar #49
Un equipo de respuesta a incidentes ha determinado que es necesario aislar un sistema que se está comunicando con un host malicioso conocido en Internet. ¿Con cuál de las siguientes partes interesadas se debe contactar PRIMERO?
A. Principales clientes
B. Dirección ejecutiva
C. Administrador del sistema
D. El empresario
Ver respuesta
Respuesta correcta: B
Cuestionar #50
La alta dirección ha aprobado que los empleados trabajen fuera de las instalaciones utilizando una conexión de red privada virtual (VPN). Lo MÁS importante es que el responsable de seguridad de la información lo haga periódicamente:
A. realizar un análisis coste-beneficio
B. revisar la configuración del cortafuegos
C. revisar la política de seguridad
D. realizar una evaluación de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #51
La MEJOR manera de facilitar la notificación y el escalado de posibles incidentes de seguridad a las partes interesadas adecuadas es definir clasificaciones de incidentes basadas en la:
A. técnica utilizada para lanzar el ataque
B. vulnerabilidad explotada por el ataque
C. fuente verificada y calificación industrial del incidente
D. gravedad e impacto del incidente
Ver respuesta
Respuesta correcta: B
Cuestionar #52
La razón MÁS importante para utilizar un mecanismo centralizado de identificación de incidentes de seguridad de la información es:
A. detectar posibles fraudes
B. impedir cambios no autorizados en las redes
C. cumplir las políticas de la empresa
D. detectar amenazas en distintos entornos
Ver respuesta
Respuesta correcta: D
Cuestionar #53
05.¿Cuál de las siguientes es la MEJOR manera de detectar a un intruso que penetra con éxito en una red antes de que se produzcan daños significativos?
A. ealizar pruebas de penetración periódicas
B. stablecer unas bases mínimas de seguridad
C. mplementar la configuración por defecto del proveedor
D. nstalar un honeypot en la red
Ver respuesta
Respuesta correcta: d
Cuestionar #54
¿Cuál de las siguientes opciones ayudaría MEJOR a identificar las vulnerabilidades introducidas por los cambios en la infraestructura técnica de una organización?
A. Un sistema de detección de intrusos
B. Bases de seguridad establecidas
C. Pruebas de penetración
D. Agregación y correlación de registros
Ver respuesta
Respuesta correcta: D
Cuestionar #55
Tras detectar una amenaza persistente avanzada (APT), ¿cuál de los siguientes pasos debería dar el responsable de seguridad de la información?
A. Notificar a la dirección
B. Contener la amenaza
C. Eliminar la amenaza
D. Realizar un análisis de la causa raíz
Ver respuesta
Respuesta correcta: C

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.