¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

CISM Preguntas de Examen y Exámenes Simulados, Gerente Certificado de Seguridad de la Información | SPOTO

La certificación CISM valida su experiencia en el desarrollo y la gestión de programas de seguridad de la información empresarial. Nuestros exámenes de práctica cubren una amplia gama de temas, incluyendo preguntas de examen, ejemplos de preguntas y simulacros de examen, asegurando que esté bien preparado para el examen real. Tendrá acceso a volcados de examen, materiales de examen y preguntas de examen en línea, lo que mejorará su comprensión de los conceptos clave. Nuestras detalladas secciones de respuestas de examen y preguntas y respuestas de examen refuerzan aún más su base de conocimientos. Con nuestras sesiones de práctica de examen y el simulador de examen, ganará confianza y estará preparado para el examen CISM. Comienza hoy mismo con nuestra prueba gratuita y eleva tu experiencia de preparación para el examen con SPOTO.
Realizar otros exámenes en línea

Cuestionar #1
Al realizar una evaluación de riesgos, la consideración MÁS importante es que:
A. la gestión apoya los esfuerzos de mitigación de riesgos
B. se han calculado las expectativas anuales de pérdidas (EPA) para los activos críticos
C. se han identificado y valorado adecuadamente los activos
D. comprender los motivos, los medios y las oportunidades de ataque
Ver respuesta
Respuesta correcta: A
Cuestionar #2
¿Qué utilizaría PRIMARIAMENTE un responsable de seguridad a la hora de proponer la implantación de una solución de seguridad?
A. Informe de evaluación de riesgos
B. Informe de evaluación técnica
C. Caso práctico
D. Requisitos presupuestarios
Ver respuesta
Respuesta correcta: D
Cuestionar #3
¿Cuál de los siguientes es el método MÁS apropiado para garantizar la seguridad de las contraseñas en una gran organización?
A. Intentar restablecer varias contraseñas a valores más débiles
B. Instalar código para capturar contraseñas para auditoría periódica
C. Tomar una muestra de un subconjunto de usuarios y solicitar sus contraseñas para revisarlas
D. Revisar la configuración general de seguridad en cada plataforma
Ver respuesta
Respuesta correcta: B
Cuestionar #4
¿Cuál de las siguientes herramientas es la MÁS adecuada para evaluar si se están cumpliendo los objetivos de gobernanza de la seguridad de la información?
A. Análisis DAFO
B. Gráfico en cascada
C. Análisis de carencias
D. Cuadro de mando integral
Ver respuesta
Respuesta correcta: C
Cuestionar #5
La evaluación de riesgos es MÁS eficaz cuando se realiza
A. al principio del desarrollo del programa de seguridad
B. de forma continuA
C. mientras se desarrolla el caso de negocio para el programa de seguridad
D. durante el proceso de cambio empresarial
Ver respuesta
Respuesta correcta: B
Cuestionar #6
Una forma de determinar la eficacia del control es determinando:
A. si es preventiva, detectivesca o compensatoriA
B. la capacidad de proporcionar notificación de fallo
C. los resultados de las pruebas de los objetivos previstos
D. la evaluación y el análisis de la fiabilidad
Ver respuesta
Respuesta correcta: C
Cuestionar #7
¿Cuál de las siguientes opciones es la MEJOR confirmación de que se han alcanzado los objetivos del plan de continuidad de negocio/recuperación tras catástrofe?
A. No se superó el objetivo de tiempo de recuperación (RTO) durante las pruebas
B. Se han realizado pruebas objetivas del plan de continuidad de las actividades/recuperación en caso de catástrofe de forma coherente
C. El objetivo de punto de recuperación (OPR) se demostró inadecuado mediante pruebas del plan de recuperación en caso de catástrofe
D. Se han valorado los activos de información y se han asignado a sus propietarios de acuerdo con el plan de continuidad de la actividad/plan de recuperación en caso de catástrofe
Ver respuesta
Respuesta correcta: D
Cuestionar #8
¿Cuál de los siguientes es el MEJOR enfoque para una organización que desea proteger su propiedad intelectual?
A. Organizar sesiones de sensibilización sobre la política de propiedad intelectual
B. Exigir a todos los empleados que firmen un acuerdo de confidencialidad
C. Eliminar rápidamente todo acceso cuando un empleado abandona la organización
D. Restringir el acceso a lo que sea necesario conocer
Ver respuesta
Respuesta correcta: C
Cuestionar #9
Un ejercicio de evaluación de riesgos para la seguridad debe repetirse a intervalos regulares porque:
A. las amenazas empresariales cambian constantemente
B. se pueden subsanar las omisiones de evaluaciones anteriores
C. las evaluaciones repetitivas permiten diversas metodologías
D. ayudan a concienciar sobre la seguridad en la empresA
Ver respuesta
Respuesta correcta: B
Cuestionar #10
El MEJOR modo de obtener el apoyo de la alta dirección para establecer un "warm site" es:
A. establecer una evaluación periódica de los riesgos
B. promover los requisitos reglamentarios
C. desarrollar un caso de negocio
D. desarrollar métricas eficaces
Ver respuesta
Respuesta correcta: A
Cuestionar #11
Un jefe de proyecto está desarrollando un portal para desarrolladores y solicita al responsable de seguridad que le asigne una dirección IP pública para que el personal interno y los consultores externos puedan acceder a él desde fuera de la red local (LAN) de la organización. ¿Qué debe hacer PRIMERO el responsable de seguridad?
A. Comprender los requisitos empresariales del portal para desarrolladores
B. Realizar una evaluación de la vulnerabilidad del portal para desarrolladores
C. Instalar un sistema de detección de intrusos (IDS)
D. Obtener un acuerdo de confidencialidad (NDA) firmado por los consultores externos antes de permitir el acceso externo al servidor
Ver respuesta
Respuesta correcta: D
Cuestionar #12
Una revisión interna de un sistema de aplicaciones basado en web descubre la posibilidad de obtener acceso a las cuentas de todos los empleados cambiando el ID del empleado en la URL utilizada para acceder a la cuenta. La vulnerabilidad identificada es:
A. autenticación rotA
B. entrada no validadA
C. cross-site scripting
D. Inyección de lenguaje de consulta estructurado (SQL)
Ver respuesta
Respuesta correcta: D
Cuestionar #13
Para resaltar ante la dirección la importancia de la seguridad de la red, el responsable de seguridad debe PRIMERO:
A. desarrollar una arquitectura de seguridad
B. instalar un sistema de detección de intrusiones en la red (NIDS) y preparar una lista de ataques
C. desarrollar una política de seguridad de la red
D. realizar una evaluación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #14
¿Cuál es la MEJOR manera de paliar la escasez de personal en los equipos de seguridad, manteniendo al mismo tiempo la capacidad interna?
A. Contratar a un contratista que no estaría incluido en la plantilla permanente
B. Externalizar con un proveedor de servicios de seguridad manteniendo el control interno
C. Crear un equipo de seguridad virtual formado por empleados competentes de toda la empresa
D. Proporcionar formación cruzada para minimizar el déficit de recursos existente
Ver respuesta
Respuesta correcta: C
Cuestionar #15
Los ataques exitosos de ingeniería social pueden prevenirse MEJOR a través de:
A. examen de reempleo
B. una estrecha vigilancia de los patrones de acceso de los usuarios
C. formación periódica de sensibilización
D. procedimientos de rescisión eficaces
Ver respuesta
Respuesta correcta: A
Cuestionar #16
Existe un lapso de tiempo entre el momento en que se publica por primera vez una vulnerabilidad de seguridad y el momento en que se suministra un parche. ¿Cuál de las siguientes acciones debería llevarse a cabo PRIMERO para mitigar el riesgo durante este periodo de tiempo?
A. Identificar los sistemas vulnerables y aplicar controles compensatorios
B. Minimizar el uso de sistemas vulnerables
C. Comunicar la vulnerabilidad a los usuarios del sistema
D. Actualizar la base de datos de firmas del sistema de detección de intrusos (IDS)
Ver respuesta
Respuesta correcta: D
Cuestionar #17
Debe realizarse una evaluación de riesgos:
A. una vez al año para cada proceso y subproceso empresarial
B. cada tres o seis meses para los procesos empresariales críticos
C. por partes externas para mantener la objetividad
D. anualmente o cada vez que se produzca un cambio significativo
Ver respuesta
Respuesta correcta: C
Cuestionar #18
¿Cuál de las siguientes es la PRINCIPAL razón para realizar la evaluación de riesgos de forma continua?
A. El presupuesto de seguridad debe justificarse continuamente
B. Cada día se descubren nuevas vulnerabilidades
C. El entorno de riesgo cambia constantemente
D. La dirección debe estar continuamente informada de los riesgos emergentes
Ver respuesta
Respuesta correcta: B
Cuestionar #19
Al contratar a un subcontratista para que se encargue de la administración de la seguridad, el elemento contractual MÁS importante es el:
A. cláusula de derecho de rescisión
B. limitaciones de responsabilidad
C. acuerdo de nivel de servicio (SLA)
D. cláusula de sanciones económicas
Ver respuesta
Respuesta correcta: A
Cuestionar #20
¿Cuál de las siguientes es la medida MÁS importante que hay que tomar cuando se contrata a consultores externos para realizar una prueba de ataque y penetración?
A. Solicitar una lista de los programas informáticos que se van a utilizar
B. Dar instrucciones claras al personal informático
C. Supervise atentamente los registros del sistema de detección de intrusiones (IDS) y del cortafuegos
D. Establecer reglas de enfrentamiento claras
Ver respuesta
Respuesta correcta: C
Cuestionar #21
¿Cuál de las siguientes es la consideración MÁS crítica a la hora de recopilar y conservar pruebas admisibles durante la respuesta a un incidente?
A. Desenchufar los sistemas
B. Cadena de custodia
C. Separación de funciones
D. Sincronización de relojes
Ver respuesta
Respuesta correcta: C
Cuestionar #22
¿Cuál sería la MEJOR recomendación para protegerse de los ataques de phishing?
A. Instalar un sistema antispam
B. Publicar orientaciones de seguridad para los clientes
C. Sensibilizar al personal de la organización en materia de seguridad
D. Instale un firewall a nivel de aplicacion
Ver respuesta
Respuesta correcta: A
Cuestionar #23
El caso empresarial MÁS completo para las soluciones de seguridad es aquel que:
A. incluye una justificación adecuadA
B. explica el perfil de riesgo actual
C. detalla los requisitos reglamentarios
D. identifica incidentes y pérdidas
Ver respuesta
Respuesta correcta: C
Cuestionar #24
Una organización ha tenido conocimiento de una brecha de seguridad en otra empresa que utiliza tecnología similar. Lo PRIMERO que debe hacer el responsable de seguridad de la información es:
A. evaluar la probabilidad de que se produzcan incidentes por la causa notificadA
B. dejar de utilizar la tecnología vulnerable
C. informar a la alta dirección de que la organización no está afectadA
D. recordar al personal que no se han producido fallos de seguridad similares
Ver respuesta
Respuesta correcta: C
Cuestionar #25
Al responsable de seguridad de la información de una organización se le ha pedido que contrate a un consultor para que le ayude a evaluar el nivel de madurez de la gestión de la seguridad de la información de la organización. El elemento MÁS importante de la solicitud de propuesta (RFP) es el:
A. referencias de otras organizaciones
B. experiencia previa del equipo de contratación
C. entrega de muestras
D. metodología utilizada en la evaluación
Ver respuesta
Respuesta correcta: A
Cuestionar #26
La forma MÁS útil de describir los objetivos en la estrategia de seguridad de la información es a través de:
A. atributos y características del "estado deseado"
B. objetivos generales de control del programa de seguridad
C. asignar los sistemas informáticos a los procesos empresariales clave
D. cálculo de las expectativas de pérdidas anuales
Ver respuesta
Respuesta correcta: B
Cuestionar #27
¿Cuál de las siguientes opciones es la MEJOR confirmación de que se han alcanzado los objetivos del plan de continuidad de negocio/recuperación tras catástrofe?
A. No se superó el objetivo de tiempo de recuperación (RTO) durante las pruebas
B. Se han realizado pruebas objetivas del plan de continuidad de las actividades/recuperación en caso de catástrofe de forma coherente
C. El objetivo de punto de recuperación (OPR) se demostró inadecuado mediante pruebas del plan de recuperación en caso de catástrofe
D. Se han valorado los activos de información y se han asignado a sus propietarios de acuerdo con el plan de continuidad de la actividad/plan de recuperación en caso de catástrofe
Ver respuesta
Respuesta correcta: A
Cuestionar #28
¿Cuál es el MEJOR método para mitigar los ataques de denegación de servicio (DoS) en la red?
A. Asegúrese de que todos los servidores están actualizados con los parches del sistema operativo
B. Emplear filtrado de paquetes para descartar paquetes sospechosos
C. Implementar la traducción de direcciones de red para que las direcciones internas no sean enrutables
D. Implementar el equilibrio de carga para los dispositivos orientados a Internet
Ver respuesta
Respuesta correcta: A
Cuestionar #29
Las tecnologías de seguridad deben seleccionarse PRIMARIAMENTE en función de su:
A. capacidad para mitigar los riesgos empresariales
B. evaluaciones en publicaciones especializadas
C. uso de tecnologías nuevas y emergentes
D. beneficios en comparación con sus costes
Ver respuesta
Respuesta correcta: C
Cuestionar #30
Varias unidades de negocio informaron de problemas con sus sistemas después de que se desplegaran múltiples parches de seguridad. El PRIMER paso en la gestión de este problema sería:
A. evaluar los problemas e instituir procedimientos de reversión, si es necesario
B. desconectar los sistemas de la red hasta que se corrijan los problemas
C. desinstalar inmediatamente los parches de estos sistemas
D. ponerse inmediatamente en contacto con el vendedor para informarle de los problemas surgidos
Ver respuesta
Respuesta correcta: A
Cuestionar #31
¿Cuál es el método MÁS rentable para identificar nuevas vulnerabilidades de los proveedores?
A. Fuentes externas de información sobre vulnerabilidades
B. Evaluaciones periódicas de vulnerabilidad realizadas por consultores
C. Software de prevención de intrusiones
D. Honey pots situados en la DMZ
Ver respuesta
Respuesta correcta: A
Cuestionar #32
Una firma digital que utilice una infraestructura de clave pública (PKI):
A. no garantizar la integridad de un mensaje
B. basarse en el grado de confianza de la autoridad de certificación (CA)
C. requieren dos partes en el intercambio de mensajes
D. proporcionar un alto nivel de confidencialidad
Ver respuesta
Respuesta correcta: B
Cuestionar #33
La razón PRIMARIA para involucrar la seguridad de la información en cada etapa del ciclo de vida de desarrollo de sistemas (SDLC) es identificar las implicaciones de seguridad y las soluciones potenciales requeridas para:
A. identificar las vulnerabilidades del sistemA
B. mantener la postura de seguridad de la organización
C. los sistemas existentes que se verán afectados
D. cumplir con la segregación de funciones
Ver respuesta
Respuesta correcta: B
Cuestionar #34
Desde la perspectiva de un responsable de seguridad de la información, ¿cuál es el beneficio inmediato de unas funciones y responsabilidades claramente definidas?
A. Mayor cumplimiento de la política
B. Mejora de los flujos de procedimientos
C. Separación de funciones
D. Mejor rendición de cuentas
Ver respuesta
Respuesta correcta: D
Cuestionar #35
La aplicación de controles de vigilancia continua es la MEJOR opción cuando:
A. Los incidentes pueden tener un impacto y una frecuencia elevados
B. La legislación exige controles de seguridad internos y externos estrictos
C. Los incidentes pueden tener un impacto elevado pero una frecuencia baja
D. El comercio electrónico es un motor empresarial primordial
Ver respuesta
Respuesta correcta: A
Cuestionar #36
La razón PRINCIPAL para desplegar una infraestructura de clave pública (PKI) al implantar un programa de seguridad de la información es:
A. garantizar la confidencialidad del material sensible
B. proporcionar una alta garantía de identidad
C. permitir el despliegue del directorio activo
D. Implementar el cifrado SSL (Secure Sockets Layer)
Ver respuesta
Respuesta correcta: A
Cuestionar #37
Una organización tiene que cumplir unos requisitos normativos del sector publicados recientemente, un cumplimiento que puede tener unos costes de aplicación elevados. Qué debe hacer PRIMERO el responsable de seguridad de la información?
A. Crear un comité de seguridad
B. Realizar un análisis de carencias
C. Aplicar controles compensatorios
D. Exigir el cumplimiento inmediato
Ver respuesta
Respuesta correcta: B
Cuestionar #38
Para lograr una alineación estratégica eficaz de las iniciativas de seguridad, es importante que:
A. La dirección del Comité Directivo se elegirá por rotación
B. se obtengan aportaciones y se logre el consenso entre las principales unidades organizativas
C. actualizar periódicamente la estrategia empresarial
D. los procedimientos y normas sean aprobados por todos los jefes de departamento
Ver respuesta
Respuesta correcta: C
Cuestionar #39
El factor MÁS importante para garantizar el éxito de un programa de seguridad de la información es la eficacia:
A. comunicación de los requisitos de seguridad de la información a todos los usuarios de la organización
B. formulación de políticas y procedimientos para la seguridad de la información
C. alineación con las metas y objetivos de la organización
D. supervisar el cumplimiento de las políticas y procedimientos de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #40
¿Cuál de las siguientes opciones sería la MÁS pertinente para incluir en un análisis coste-beneficio de un sistema de autenticación de dos factores?
A. Expectativa de pérdida anual (EAP) de incidentes
B. frecuencia de los incidentes
C. Coste total de propiedad (TCO)
D. Presupuesto aprobado para el proyecto
Ver respuesta
Respuesta correcta: D
Cuestionar #41
¿Cuál de los siguientes sería el factor MÁS relevante a la hora de definir la política de clasificación de la información?
A. Cantidad de información
B. Infraestructura informática disponible
C. Evaluación comparativa
D. Requisitos de los propietarios de los datos
Ver respuesta
Respuesta correcta: C
Cuestionar #42
¿Cuál de las siguientes opciones es la MÁS importante a la hora de desarrollar una estrategia de seguridad?
A. Crear un entorno de seguridad empresarial positivo
B. Comprender los objetivos clave de la empresa
C. Tener una línea de información con la alta dirección
D. Asignar recursos suficientes a la seguridad de la información
Ver respuesta
Respuesta correcta: B

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono: