¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

CISM Pruebas de Práctica, Pruebas Simuladas y Recursos de Estudio, Gerente Certificado de Seguridad de la Información | SPOTO

Prepárate para el éxito en el examen de certificación Certified Information Security Manager (CISM) con los completos exámenes de práctica, pruebas simuladas y recursos de estudio de SPOTO. Como una certificación avanzada, CISM significa su capacidad para desarrollar y gestionar programas de seguridad de la información empresarial con eficacia. Nuestras pruebas de práctica cubren una gama de temas de examen, incluyendo la gestión de riesgos de la información, gobierno, gestión de incidentes y desarrollo de programas. Acceda a preguntas de muestra gratuitas para evaluar sus conocimientos, sumérjase en los volcados de examen para profundizar en su comprensión y realice simulacros de examen para simular las condiciones reales de las pruebas. Explore nuestros materiales de examen con respuestas y explicaciones detalladas para reforzar su comprensión. Utilice nuestro simulador de examen en línea para practicar las preguntas del examen, perfeccionar su estrategia de examen y prepararse con confianza para el examen CISM.
Realizar otros exámenes en línea
Cuestionar #1
Una preocupación común con las aplicaciones web mal escritas es que pueden permitir a un atacante:
A. ganar control a través de un desbordamiento de búfer
B. realizar un ataque distribuido de denegación de servicio (DoS)
C. abusar de una condición de carrerA
D. inyectar sentencias en lenguaje de consulta estructurado (SQL)
Ver respuesta
Respuesta correcta: D
Cuestionar #2
¿Cuál de los siguientes aspectos debería preocupar MÁS a un responsable de seguridad de la información que revise el programa de clasificación de datos de una organización?
A. El programa permite conceder excepciones
B. El etiquetado no es coherente en toda la organización
C. No se definen los requisitos de conservación de datos
D. Las clasificaciones no siguen las mejores prácticas del sector
Ver respuesta
Respuesta correcta: A
Cuestionar #3
¿Cuál de los siguientes sería el factor MÁS importante a tener en cuenta en la pérdida de equipos móviles con datos sin cifrar?
A. Divulgación de información personal
B. Cobertura suficiente de la póliza de seguro para pérdidas accidentales
C. Valor intrínseco de los datos almacenados en el equipo
D. Coste de sustitución del equipo
Ver respuesta
Respuesta correcta: C
Cuestionar #4
¿Cuál de los siguientes controles es el MÁS eficaz para proporcionar una garantía razonable del cumplimiento de los requisitos de acceso físico a una sala de servidores sin personal controlada con dispositivos biométricos?
A. Revisión periódica de las listas de control de acceso
B. Escolta de visitantes por guardias de seguridad
C. Registro de visitantes en la puerta
D. Una biometría combinada con un PIN
Ver respuesta
Respuesta correcta: A
Cuestionar #5
¿En cuál de los siguientes lugares debería estar ubicado generalmente un servidor web de cumplimiento de pedidos de comercio electrónico?
A. Red interna
B. Zona desmilitarizada (DMZ)
C. Servidor de base de datos
D. Controlador de dominio
Ver respuesta
Respuesta correcta: B
Cuestionar #6
La MEJOR estrategia para la gestión de riesgos es:
A. lograr un equilibrio entre el riesgo y los objetivos de la organización
B. reducir el riesgo a un nivel aceptable
C. garantizar que en la elaboración de las políticas se tengan debidamente en cuenta los riesgos organizativos
D. asegurarse de que todos los riesgos no mitigados son aceptados por la dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #7
Cuando la seguridad a nivel de aplicación controlada por los propietarios de los procesos de negocio se encuentra mal gestionada, ¿cuál de las siguientes opciones podría MEJORAR las prácticas actuales?
A. Centralizar la gestión de la seguridad
B. Aplicación de sanciones por incumplimiento
C. Aplicación de políticas por parte de la dirección de TI
D. Revisiones periódicas del cumplimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #8
Tras un cambio significativo en el código subyacente de una aplicación, lo MÁS importante para el responsable de la seguridad de la información es:
A. informar a la alta dirección
B. actualizar la evaluación de riesgos
C. validar las pruebas de aceptación del usuario
D. modificar los indicadores clave de riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #9
La razón PRIMARIA para establecer un esquema de clasificación de datos es identificar:
A. propiedad de los datos
B. estrategia de retención de datos
C. controles adecuados
D. prioridades de recuperación
Ver respuesta
Respuesta correcta: A
Cuestionar #10
Un responsable de seguridad de la información utiliza métricas de seguridad para medir la:
A. rendimiento del programa de seguridad de la información
B. rendimiento de la línea de base de seguridad
C. eficacia del análisis de riesgos para la seguridad
D. eficacia del equipo de respuesta a incidentes
Ver respuesta
Respuesta correcta: A
Cuestionar #11
¿Cuál de las siguientes es la razón PRIMARIA para realizar evaluaciones periódicas del impacto en la empresa?
A. Mejorar los resultados de la última evaluación del impacto empresarial
B. Actualizar los objetivos de recuperación en función de los nuevos riesgos
C. Reducir los tiempos de recuperación
D. Satisfacer las necesidades de la política de continuidad de la actividad
Ver respuesta
Respuesta correcta: D
Cuestionar #12
¿Cuál es la MEJOR forma de actuar cuando un responsable de seguridad de la información descubre que un proveedor de servicios externo no ha implantado los controles adecuados para salvaguardar los datos críticos de la organización?
A. Evaluar el impacto de la brecha de control
B. Iniciar la renegociación de los contratos
C. Contratar un seguro adicional
D. Realizar una auditoría de control del proveedor
Ver respuesta
Respuesta correcta: B
Cuestionar #13
Un mensaje* que ha sido cifrado por la clave privada del emisor y de nuevo por la clave pública del receptor consigue:
A. autenticación y autorización
B. confidencialidad e integridad
C. confidencialidad y no repudio
D. autenticación y no repudio
Ver respuesta
Respuesta correcta: C
Cuestionar #14
El objetivo MÁS importante del seguimiento de los indicadores clave de riesgo (KRI) relacionados con la seguridad de la información es:
A. identificar cambios en las exposiciones de seguridad
B. reducir los costes de gestión de riesgos
C. cumplir los requisitos normativos
D. minimizar las pérdidas por incidentes de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #15
El beneficio PRIMARIO de realizar una clasificación de activos de información es:
A. vincular los requisitos de seguridad a los objetivos empresariales
B. identificar controles proporcionales al riesgo
C. definir los derechos de acceso
D.
E.
Ver respuesta
Respuesta correcta: B
Cuestionar #16
¿Cuál es la MEJOR manera de determinar el nivel de riesgo asociado a los activos de información procesados por una aplicación informática?
A. Evaluar el valor potencial de la información para un atacante
B. Calcular el valor empresarial de los activos de información
C. Revisar el coste de adquisición de los activos de información para la empresa
D. Investigación de los requisitos de cumplimiento asociados a la información
Ver respuesta
Respuesta correcta: B
Cuestionar #17
¿Cuál de las siguientes es la MEJOR línea de actuación para el responsable de seguridad de la información cuando el riesgo residual está por encima del nivel de riesgo aceptable?
A. Realizar un análisis coste-beneficio
B. Recomendar controles adicionales
C. Realizar una evaluación de riesgos
D. Diferir a la dirección empresarial
Ver respuesta
Respuesta correcta: B
Cuestionar #18
A un responsable de seguridad de la información se le ha pedido que cree una estrategia para proteger la información de la organización frente a diversos vectores de amenaza. ¿Cuál de las siguientes acciones debería realizarse PRIMERO?
A. Realizar un ejercicio de modelización de amenazas
B. Elaborar un perfil de riesgo
C. Diseñar procesos de gestión de riesgos
D. Seleccionar un marco de gobernanza
Ver respuesta
Respuesta correcta: B
Cuestionar #19
La aplicación de un plan de capacidad evitaría:
A. sobrecarga del sistema de archivos derivada de ataques distribuidos de denegación de servicio
B. tiempo de inactividad del sistema por mantenimiento de seguridad programado
C. fallos de software derivados de la explotación de vulnerabilidades de la capacidad del búfer
D. fallos de la aplicación debidos a recursos de hardware insuficientes
Ver respuesta
Respuesta correcta: D
Cuestionar #20
Para gestionar eficazmente el riesgo de seguridad de la información de una organización, lo MÁS importante es:
A. identificar y corregir periódicamente las nuevas vulnerabilidades de los sistemas
B. asignar la responsabilidad de la gestión de riesgos a los usuarios finales
C. comparar los escenarios de riesgo con los de organizaciones similares
D. establecer y comunicar la tolerancia al riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #21
¿Cuál de los siguientes tipos de información esperaría el responsable de seguridad de la información que tuviera el nivel MÁS BAJO de protección de seguridad en una gran empresa multinacional?
A. Plan estratégico de empresa
B. Próximos resultados financierosInformación personal del cliente
C.
D. Resultados financieros anteriores
Ver respuesta
Respuesta correcta: D
Cuestionar #22
¿Cuál de las siguientes opciones es la MÁS adecuada cuando el índice de riesgo es bajo pero el impacto es alto?
A. Transferencia de riesgos
B. Aceptación del riesgo
C. Mitigación de riesgos
D. Evitar riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #23
¿Cuál de las siguientes opciones es la MÁS importante a tener en cuenta a la hora de desarrollar un caso empresarial que respalde la inversión en un programa de seguridad de la información?
A. Apoyo de la alta dirección
B. Resultados de un análisis coste-beneficio
C. Resultados de una evaluación de riesgos
D. Impacto en el perfil de riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #24
A la hora de establecer un marco de gobernanza de la seguridad de la información, lo MÁS importante para un responsable de seguridad de la información es comprender:
A. el entorno normativo
B. mejores prácticas de seguridad de la información
C. la cultura corporativA
D. técnicas de gestión de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #25
¿Cuál de los siguientes pasos debe realizarse PRIMERO en el proceso de evaluación de riesgos?
A. Entrevistas con el personal
B. Identificación de amenazas
C. Identificación y valoración de activos
D. Determinación de la probabilidad de los riesgos identificados
Ver respuesta
Respuesta correcta: C
Cuestionar #26
¿Cuál de las siguientes es una responsabilidad PRIMARIA de un comité de gobierno de la seguridad de la información?
A. Análisis de las revisiones del cumplimiento de la política de seguridad de la información
B. Aprobar la adquisición de tecnologías de seguridad de la información
C. Revisión de la estrategia de seguridad de la información
D. Aprobación de la estrategia de formación en materia de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #27
¿Cuál de las siguientes opciones ayudaría MEJOR a garantizar la alineación entre la seguridad de la información y las funciones empresariales?
A. Elaboración de políticas de seguridad de la información
B. Creación de un comité de gobernanza de la seguridad de la información
C. Establecimiento de un programa de concienciación en materia de seguridad
D. Financiación de las medidas de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #28
¿Cuál de las siguientes opciones demuestra MEJOR la alineación entre el gobierno de la seguridad de la información y el gobierno corporativo?
A. Número medio de incidentes de seguridad en las unidades de negocio
B. Justificación de los proyectos de seguridad en términos de valor comercial
C. Número de vulnerabilidades identificadas para los activos de información de alto riesgo
D. Tiempo medio de resolución de incidentes de seguridad en toda la empresa
Ver respuesta
Respuesta correcta: B
Cuestionar #29
Una unidad de negocio principal depende de un sistema heredado eficaz que no cumple las normas de seguridad actuales y amenaza la red de la empresa. ¿Cuál de los siguientes es el MEJOR curso de acción para abordar la situación?
A. Documentar las deficiencias en el registro de riesgos
B. Desconectar el sistema heredado del resto de la red
C. Exigir que se implanten nuevos sistemas que puedan cumplir las normas
D. Desarrollar procesos para compensar las deficiencias
Ver respuesta
Respuesta correcta: A
Cuestionar #30
¿Cuál de las siguientes es la forma MÁS eficaz de garantizar que las unidades de negocio cumplan con un marco de gobernanza de la seguridad de la información?
A. Integración de los requisitos de seguridad con los procesos
B. Realización de evaluaciones de seguridad y análisis de deficiencias
C. Realización de un análisis de impacto en la empresa (BIA)
D. Impartir formación sobre seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #31
Las actividades de identificación, análisis y mitigación de riesgos pueden integrarse MEJOR en los procesos del ciclo de vida empresarial vinculándolas a:
A. pruebas de conformidad
B. gestión de la configuración
C. planificación de la continuidad
D. gestión del cambio
Ver respuesta
Respuesta correcta: B
Cuestionar #32
El análisis cuantitativo del riesgo es el MÁS apropiado cuando los datos de la evaluación:
A. incluyen las percepciones de los clientes
B. contienen estimaciones porcentuales
C.
Ver respuesta
Respuesta correcta: B
Cuestionar #33
Una organización está desarrollando un plan de recuperación ante desastres para un centro de datos que aloja múltiples aplicaciones. La secuencia de recuperación de aplicaciones BEST se determinaría mediante un análisis de:
A. Indicadores clave de rendimiento (KPI)
B. Objetivos de tiempo de recuperación (RTO)
C. Objetivos de punto de recuperación (OPR)
D. Esquema de clasificación de datos
Ver respuesta
Respuesta correcta: S
Cuestionar #34
Al desarrollar un marco de gobernanza de la seguridad de la información, ¿cuál de las siguientes debe ser la PRIMERA actividad?
A. Integrar la seguridad en el proceso del ciclo de vida de desarrollo del sistemA
B. Alinear el programa de seguridad de la información con las demás actividades de riesgo y control de la organización
C. Desarrollar políticas y procedimientos para apoyar el marco
D. Desarrollar medidas de respuesta para detectar y garantizar el cierre de las brechas de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #35
Una organización desea habilitar el análisis forense digital para una aplicación crítica para el negocio. Cuál de las siguientes opciones es la MEJOR para lograr este objetivo?
A. Instalar control de acceso biométrico
B. Desarrollar un plan de respuesta a incidentes
C. Definir los criterios de conservación de datos
D. Habilitar el registro de actividad
Ver respuesta
Respuesta correcta: A
Cuestionar #36
Antes de la aceptación final del riesgo residual, ¿cuál es la MEJOR manera de que un responsable de seguridad de la información aborde los factores de riesgo que se hayan determinado por debajo de los niveles de riesgo aceptables?
A. Evaluar si se está aplicando un nivel de control excesivo
B. Pedir a la alta dirección que aumente los niveles de riesgo aceptables
C. Aplicar contramedidas más estrictas
D. Pedir a la alta dirección que reduzca los niveles de riesgo aceptables
Ver respuesta
Respuesta correcta: A
Cuestionar #37
¿Cuál de los siguientes debe ser el objetivo PRIMARIO de un responsable de seguridad de la información a la hora de diseñar políticas de seguridad de la información?
A. Reducción del riesgo para la seguridad de la organización
B. Mejorar la protección de la información
C. Minimizar el coste de los controles de seguridad
D. Alcanzar los objetivos de la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #38
El objetivo PRIMARIO de un programa de gestión de riesgos es: minimizar el riesgo inherente.
A.
B.
C.
Ver respuesta
Respuesta correcta: D
Cuestionar #39
¿Cuál de las siguientes es la MEJOR forma de que el responsable de seguridad de la información identifique el cumplimiento de las políticas de seguridad de la información dentro de una organización?
A. Analizar los registros del sistemA
B. Realizar pruebas de concienciación en materia de seguridad
C. Realizar evaluaciones de vulnerabilidad
D. Realizar auditorías periódicas
Ver respuesta
Respuesta correcta: D
Cuestionar #40
¿Cuál de las siguientes opciones sería la MÁS útil para determinar la capacidad actual de una organización para mitigar los riesgos?
A. Modelo de madurez de las capacidades
B. Análisis del impacto empresarial
C. Riesgo y exposición de la seguridad informática
D. Evaluación de la vulnerabilidad
Ver respuesta
Respuesta correcta: A
Cuestionar #41
Una gran organización está considerando una política que permitiría a los empleados traer sus propios smartphones al entorno organizativo. La preocupación MÁS importante para el responsable de seguridad de la información debería ser la:
A. mayores costes de apoyo a los usuarios finales
B. impacto en la capacidad de la red
C. disminución de la productividad del usuario final
D. falta de una solución de gestión de dispositivos
Ver respuesta
Respuesta correcta: D
Cuestionar #42
¿Cuál de las siguientes es la forma MÁS eficaz de comunicar los riesgos de seguridad de la información a la alta dirección?
A. Análisis del impacto empresarial
B. Cuadro de mando integral
C. Indicadores clave de rendimiento (KPI)
D. Mapa de calor
Ver respuesta
Respuesta correcta: A
Cuestionar #43
¿Cuál de los siguientes es el MEJOR método para determinar si un programa de seguridad de la información cumple los objetivos empresariales de una organización?
A. Aplicar medidas de rendimiento
B. Comparación con las normas internacionales de seguridad
C. Realizar un análisis de impacto en el negocio (BIA)
D. Realizar una evaluación anual de la seguridad en toda la empresA
Ver respuesta
Respuesta correcta: D
Cuestionar #44
¿Cuál de los siguientes puntos debe incluirse PRIMARIAMENTE en un programa de formación en seguridad para propietarios de procesos empresariales?
A. Impacto de los riesgos de seguridad
B. Vulnerabilidades de las aplicaciones
C. Tiempo de recuperación de la aplicación Lista de incidentes de seguridad notificados A Un CIO ha pedido al responsable de seguridad de la información de la organización que proporcione planes a uno y cinco años para el programa de seguridad de la información
D.
E.
F.
G.
Ver respuesta
Respuesta correcta: B
Cuestionar #45
¿Cuál de las siguientes es la consideración MÁS importante para diseñar un marco eficaz de gobernanza de la seguridad de la información?
A. Métricas definidas
B. Ciclo de auditoría continua
C. Disposiciones de la política de seguridad
D. Automatización de los controles de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #46
A la hora de elaborar un plan de recuperación en caso de catástrofe, ¿cuál de las siguientes opciones sería la MÁS útil para priorizar el orden en que deben recuperarse los sistemas?
A. Realizar un análisis del impacto en la empresa
B. Medición del volumen de datos de cada sistema
C. Revisión de la política de seguridad de la información
D. Revisión de la estrategia empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #47
¿Cuál de las siguientes opciones es la MÁS útil para integrar el gobierno de la seguridad de la información con el gobierno corporativo?
A. Asignar la implementación de la gobernanza de la seguridad de la información al comité directivo
B. Inclusión de los procesos de seguridad de la información en los procesos operativos y de gestión
C. Presentar al consejo informes independientes sobre la eficiencia y eficacia de la seguridad de la información
D. Adaptar la gobernanza de la seguridad de la información a un marco aceptado mundialmente
Ver respuesta
Respuesta correcta: B
Cuestionar #48
Una institución financiera global ha decidido no tomar ninguna acción adicional sobre un riesgo de denegación de servicio (DoS) encontrado por el equipo de evaluación de riesgos. La razón MÁS probable por la que tomaron esta decisión es que:
A. existen suficientes salvaguardias para evitar que se produzca este riesgo
B. la contramedida necesaria es demasiado complicada de implantar
Ver respuesta
Respuesta correcta: C
Cuestionar #49
Un programa de gestión de riesgos será MÁS eficaz cuando:
A. el apetito por el riesgo se mantiene durante mucho tiempo
B. las evaluaciones de riesgos se repiten periódicamente
C. la evaluación de riesgos la realiza un tercero
D. las unidades de negocio participan en la evaluación de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #50
¿Cuál de las siguientes opciones sería la MÁS útil para el responsable de seguridad de la información encargado de hacer cumplir las normas mejoradas sobre contraseñas?
A. Realización de pruebas de seguridad de contraseñas
B. Reeducar a los usuarios finales sobre la creación de contraseñas fuertes y complejas
C. Implantación de un sistema centralizado de gestión de identidades
D. Implantar controles técnicos de contraseñas que incluyan una fuerte complejidad
Ver respuesta
Respuesta correcta: A
Cuestionar #51
Durante una evaluación de seguridad, un responsable de seguridad de la información descubre que no se han instalado varios parches de seguridad en un servidor que aloja una aplicación empresarial crítica. El propietario de la aplicación no aprobó la instalación de los parches para evitar interrumpir la aplicación. ¿Cuál de las siguientes debería ser la PRIMERA acción del responsable de seguridad de la información?
A. Elevar el riesgo a la alta dirección
B. Comunicar el impacto potencial al propietario de la aplicación
C. Informar del riesgo al comité directivo de seguridad de la información
D. Determinar las opciones de mitigación con la dirección de TI
Ver respuesta
Respuesta correcta: D

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.