¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

CISM Pruebas de Práctica y Examen Real Dumps 2024 Actualizado, Certified Information Security Manager | SPOTO

Prepárate para el examen de certificación CISM con las pruebas de práctica 2024 actualizadas y los vertederos de exámenes reales de SPOTO. Como Gerente Certificado de Seguridad de la Información, demostrarás conocimientos avanzados y experiencia en el desarrollo y gestión de programas de seguridad de la información empresarial. Nuestros exámenes de práctica cubren temas esenciales del examen como gestión de riesgos de la información, gobernabilidad, gestión de incidentes y desarrollo de programas. Acceda a preguntas de muestra gratuitas para evaluar su preparación y sumérjase en nuestros completos volcados de examen para una revisión exhaustiva. Con los exámenes de prueba de SPOTO, simule escenarios de examen reales y perfeccione sus habilidades para tomar exámenes. Explora nuestros materiales de examen curados, completos con respuestas y explicaciones detalladas, para reforzar tu comprensión. Utilice nuestro simulador de examen en línea para practicar preguntas de examen, mejorar su estrategia de examen y prepararse eficazmente para el examen CISM.
Realizar otros exámenes en línea

Cuestionar #1
¿Cuál de los siguientes ataques se mitiga MEJOR utilizando contraseñas seguras?
A. Ataque Man-in-the-middle
B. Ataque de fuerza bruta
C. Desbordamiento remoto del búfer
D. Kit de raíces
Ver respuesta
Respuesta correcta: B
Cuestionar #2
¿Cuál de las siguientes áreas es MÁS susceptible a la introducción de debilidades de seguridad?
A. Gestión de bases de datos
B. Gestión de copias de seguridad en cinta
C. Gestión de la configuración
D. Gestión de la respuesta a incidentes
Ver respuesta
Respuesta correcta: B
Cuestionar #3
¿Cuál de las siguientes situaciones tendría generalmente el MAYOR impacto negativo en una organización?
A. Robo de programas informáticos
B. Interrupción de los servicios públicos
C. Pérdida de confianza de los clientes
D. Fraude interno con pérdidas económicas
Ver respuesta
Respuesta correcta: A
Cuestionar #4
A una entidad de banca en línea le preocupa que la violación de la información personal de un cliente tenga un impacto financiero significativo debido a la necesidad de notificar y compensar a los clientes cuya información personal pueda haberse visto comprometida. La entidad determina que el riesgo residual siempre será demasiado alto y decide:
A. mitigar el impacto contratando un seguro
B. implementar un cortafuegos a nivel de circuito para proteger la red
C. aumentar la resistencia de las medidas de seguridad implantadas
D. implantar un sistema de detección de intrusos en tiempo real
Ver respuesta
Respuesta correcta: B
Cuestionar #5
Los mecanismos de vigilancia de la seguridad deben PRIMARIAMENTE:
A. centrarse en la información crítica para la empresA
B. ayudar a los propietarios a gestionar los riesgos de control
C. centrarse en la detección de intrusiones en la red
D. registrar todas las violaciones de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #6
Tras un estudio de evaluación de riesgos, un banco con operaciones globales decidió seguir haciendo negocios en ciertas regiones del mundo donde el robo de identidad está muy extendido. El responsable de seguridad de la información debe animar a la empresa a:
A. aumentar sus esfuerzos de concienciación de los clientes en esas regiones
B. aplicar técnicas de supervisión para detectar posibles fraudes y reaccionar ante ellos
C. externalizar el procesamiento de tarjetas de crédito a un tercero
D. responsabilizar al cliente de las pérdidas si no sigue los consejos del banco
Ver respuesta
Respuesta correcta: B
Cuestionar #7
Una organización planea externalizar su gestión de relaciones con los clientes (CRM) a un proveedor de servicios externo. ¿Cuál de las siguientes acciones debería realizar la organización PRIMERO?
A. Solicite al proveedor externo que verifique los antecedentes de sus empleados
B. Realizar una evaluación interna de riesgos para determinar los controles necesarios
C. Auditar al proveedor externo para evaluar sus controles de seguridad
D. Realizar una evaluacion de seguridad para detectar vulnerabilidades de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #8
El objetivo PRIMARIO de utilizar el análisis de riesgos dentro de un programa de seguridad es:
A. justificar el gasto en seguridad
B. ayudar a las empresas a priorizar los activos que deben protegerse
C. informar a la dirección ejecutiva del valor residual del riesgo
D. evaluar las exposiciones y planificar las medidas correctoras
Ver respuesta
Respuesta correcta: B
Cuestionar #9
Para justificar la necesidad de invertir en una herramienta de análisis forense, un responsable de seguridad de la información debería PRIMERO:
A. revisar las funcionalidades y los requisitos de implementación de la solución
B. revisar informes comparativos de implantación de herramientas en empresas homólogas
C. dar ejemplos de situaciones en las que una herramienta de este tipo sería útil
D. justificar la inversión para satisfacer las necesidades de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #10
Un gestor de proyectos está desarrollando un portal para desarrolladores y solicita al responsable de seguridad que le asigne una dirección IP pública para que puedan acceder a él el personal interno y los consultores externos fuera de la red de área local (LAN) de la organización. ¿Qué debe hacer PRIMERO el responsable de seguridad?
A. Comprender los requisitos empresariales del portal para desarrolladores
B. Realizar una evaluación de la vulnerabilidad del portal para desarrolladores
C. Instalar un sistema de detección de intrusos (IDS)
D. Obtener un acuerdo de confidencialidad (NDA) firmado por los consultores externos antes de permitir el acceso externo al servidor
Ver respuesta
Respuesta correcta: A
Cuestionar #11
El administrador de sistemas no notificó inmediatamente al responsable de seguridad sobre un ataque malicioso. Un responsable de seguridad de la información podría evitar esta situación:
A. probar periódicamente los planes de respuesta a incidentes
B. probar regularmente el sistema de detección de intrusos (IDS)
C. establecer la formación obligatoria de todo el personal
D. revisar periódicamente los procedimientos de respuesta a incidentes
Ver respuesta
Respuesta correcta: D
Cuestionar #12
¿Durante qué fase de desarrollo es MÁS apropiado empezar a evaluar el riesgo de un nuevo sistema de aplicación?
A. Viabilidad
B. Diseño
C. Desarrollo
D. Pruebas
Ver respuesta
Respuesta correcta: C
Cuestionar #13
La MEJOR manera de garantizar el cumplimiento de las políticas de seguridad de la información es:
A. distribuir copias impresas a todos los empleados
B. realizar revisiones periódicas para comprobar el cumplimiento
C. incluir sanciones crecientes en caso de incumplimiento
D. establecer una línea directa anónima para denunciar los abusos de la políticA
Ver respuesta
Respuesta correcta: A
Cuestionar #14
¿Cuál de los siguientes es el MEJOR enfoque para mitigar los ataques de fuerza bruta en línea contra cuentas de usuario?
A. Contraseñas almacenadas de forma encriptada
B. Conocimiento del usuario
C. Contraseñas seguras que se cambian periódicamente
D. Aplicación de políticas de cierre patronal
Ver respuesta
Respuesta correcta: A
Cuestionar #15
¿Cuál de los siguientes sería el PRIMER paso para establecer un programa de seguridad de la información?
A. Desarrollar la política de seguridad
B. Desarrollar procedimientos operativos de seguridad
C. Desarrollar el plan de seguridad
D. Realizar un estudio de los controles de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #16
¿Cuál de las siguientes es la PRINCIPAL razón para realizar una evaluación de riesgos de forma continua?
A. El presupuesto de seguridad debe justificarse continuamente
B. Cada día se descubren nuevas vulnerabilidades
C. El entorno de riesgo cambia constantemente
D. La dirección debe estar continuamente informada de los riesgos emergentes
Ver respuesta
Respuesta correcta: C
Cuestionar #17
La decisión sobre si los nuevos riesgos deben incluirse en la información periódica o en la basada en sucesos debe basarse en ¿cuál de las siguientes?
A. Controles paliativos
B. Visibilidad del impacto
C. Probabilidad de ocurrencia
D. Frecuencia de los incidentes
Ver respuesta
Respuesta correcta: D
Cuestionar #18
Una forma eficaz de proteger las aplicaciones contra la vulnerabilidad de la inyección de lenguaje de consulta estructurado (SQL) es:
A. validar y sanear las entradas del lado del cliente
B. endurecer el componente listener de la base de datos
C. normalizar el esquema de la base de datos a la tercera forma normal
D. asegurarse de que los parches de seguridad están actualizados en los sistemas operativos
Ver respuesta
Respuesta correcta: A
Cuestionar #19
¿Cuál de los siguientes es el MEJOR indicador de una práctica de gestión de riesgos eficaz?
A. Se cuantifica el riesgo global
B. Se elimina el riesgo inherente
C. Se minimiza el riesgo residual
D. El riesgo de control está vinculado a las unidades de negocio
Ver respuesta
Respuesta correcta: A
Cuestionar #20
Una organización multinacional que opera en quince países está considerando implantar un programa de seguridad de la información. ¿Qué factor influirá MÁS en el diseño del programa de seguridad de la información?
A. Representación de los líderes empresariales regionales
B. Composición del consejo
C. Culturas de los distintos países
D. Conocimientos de seguridad informática
Ver respuesta
Respuesta correcta: A
Cuestionar #21
Se espera que un programa de gestión de riesgos
A. eliminar todo riesgo inherente
B. mantener el riesgo residual en un nivel aceptable
C. implantar controles preventivos para cada amenazA
D. reducir el riesgo de control a cero
Ver respuesta
Respuesta correcta: A
Cuestionar #22
A la hora de evaluar el riesgo, lo MÁS esencial es:
A. proporcionar la misma cobertura para todos los tipos de activos
B. utilizar datos de referencia de organizaciones similares
C. considerar tanto el valor monetario como la probabilidad de pérdidA
D. centrarse principalmente en las amenazas y las pérdidas empresariales recientes
Ver respuesta
Respuesta correcta: B
Cuestionar #23
Se ha asignado a un responsable de seguridad de la información la aplicación de controles preventivos más restrictivos. Al hacerlo, el efecto neto será PRIMARIAMENTE reducir la:
A. amenazA
B. pérdidA
C. vulnerabilidad
D. probabilidad
Ver respuesta
Respuesta correcta: C
Cuestionar #24
¿Cuál es el medio más rentable de mejorar la concienciación del personal en materia de seguridad?
A. Incentivos monetarios para los empleados
B. Educación y formación de los usuarios
C. Una política de seguridad de tolerancia cero
D. Notificación de infracciones de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #25
El propietario MÁS apropiado de los datos de clientes almacenados en una base de datos central, utilizada únicamente por el departamento de ventas de una organización, sería el:
A. departamento de ventas
B. administrador de la base de datos
C. director de información (CIO)
D. jefe del departamento de ventas
Ver respuesta
Respuesta correcta: C
Cuestionar #26
¿Cuál de las siguientes es la MEJOR métrica para evaluar la eficacia de un mecanismo de detección de intrusos?
A. Número de ataques detectados
B. Número de ataques con éxito
C. Relación entre falsos positivos y falsos negativos
D. Proporción de ataques con éxito frente a ataques sin éxito
Ver respuesta
Respuesta correcta: C
Cuestionar #27
Hay razones para creer que una aplicación web recientemente modificada ha permitido un acceso no autorizado. ¿Cuál es la MEJOR manera de identificar un backdoor de aplicación?
A. Prueba de caja negra
B. Auditoría de seguridad
C. Revisión del código fuente
D. Exploración de vulnerabilidades
Ver respuesta
Respuesta correcta: A
Cuestionar #28
Al realizar una evaluación de riesgos, la consideración MÁS importante es que:
A. la gestión apoya los esfuerzos de mitigación de riesgos
B. se han calculado las expectativas anuales de pérdidas (EPA) para los activos críticos
C. se han identificado y valorado adecuadamente los activos
D. comprender los motivos, los medios y las oportunidades de ataque
Ver respuesta
Respuesta correcta: B
Cuestionar #29
¿Cuál de los siguientes es el elemento MÁS importante para garantizar el éxito de una prueba de recuperación en caso de catástrofe en un hot site proporcionado por un proveedor?
A. Las pruebas se programan los fines de semana
B. Las direcciones IP de red están predefinidas
C. El equipo en el lugar caliente es idéntico
D. La dirección de la empresa participa activamente
Ver respuesta
Respuesta correcta: B
Cuestionar #30
Debe impartirse formación de concienciación sobre seguridad a los nuevos empleados:
A. en función de las necesidades
B. durante la formación de los usuarios del sistemA
C. antes de tener acceso a los datos
D. junto con el personal del departamento
Ver respuesta
Respuesta correcta: B
Cuestionar #31
¿Cuál de las siguientes opciones es la MÁS eficaz para evitar fallos de seguridad en los sistemas operativos?
A. Gestión de parches Gestión de cambios
B.
C. Líneas de base de seguridad
D. Gestión de la configuración
Ver respuesta
Respuesta correcta: C
Cuestionar #32
El registro es un ejemplo de ¿qué tipo de defensa contra el compromiso de los sistemas?
A. Contención
B. DetecciónC
C.
Ver respuesta
Respuesta correcta: B
Cuestionar #33
Varias unidades de negocio informaron de problemas con sus sistemas después de que se desplegaran múltiples parches de seguridad. El PRIMER paso en la gestión de este problema sería:
A. evaluar los problemas e instituir procedimientos de reversión, si es necesario
B. desconectar los sistemas de la red hasta que se corrijan los problemas
C. desinstalar inmediatamente los parches de estos sistemas
D. ponerse inmediatamente en contacto con el vendedor para informarle de los problemas surgidos
Ver respuesta
Respuesta correcta: A
Cuestionar #34
El MEJOR momento para realizar una prueba de penetración es después:
A. se ha producido un intento de penetración
B. una auditoría ha informado de deficiencias en los controles de seguridad
C. se realizan diversos cambios en la infraestructurA
D. una elevada rotación del personal de sistemas
Ver respuesta
Respuesta correcta: D
Cuestionar #35
¿Cuál de los siguientes se considera generalmente un componente fundamental de un programa de seguridad de la información?
A. Sistemas de control de acceso basados en roles
B. Provisión automática de acceso
C. Formación sobre sensibilización en materia de seguridad
D. Sistemas de prevención de intrusiones (IPS)
Ver respuesta
Respuesta correcta: C
Cuestionar #36
La persona MÁS adecuada para determinar el nivel de seguridad de la información necesario para una aplicación empresarial específica es el:
A. desarrollador de sistemas
B. responsable de seguridad de la información
C. comité directivo
D. propietario de los datos del sistemA
Ver respuesta
Respuesta correcta: C
Cuestionar #37
¿Quién puede aprobar MEJOR los planes para implantar un marco de gobernanza de la seguridad de la información?
A. Auditor interno
B. Gestión de la seguridad de la información Comité directivo
C.
D. Gestión de infraestructuras
Ver respuesta
Respuesta correcta: A
Cuestionar #38
Cuando la seguridad a nivel de aplicación controlada por los propietarios de los procesos de negocio se encuentra mal gestionada, ¿cuál de las siguientes opciones podría MEJORAR las prácticas actuales?
A. Centralizar la gestión de la seguridad
B. Aplicación de sanciones por incumplimiento
C. Aplicación de políticas por parte de la dirección de TI
D. Revisiones periódicas del cumplimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #39
Los propietarios de los datos son PRIMARIAMENTE responsables de establecer métodos de mitigación de riesgos para abordar ¿cuál de las siguientes áreas?
A. Seguridad de la plataforma
B. Cambios en los derechos
C. Detección de intrusos
D. Controles antivirus
Ver respuesta
Respuesta correcta: A
Cuestionar #40
A efectos de gestión de riesgos, el valor de un activo debe basarse en:
A. coste original
B. flujo de caja neto
C. valor actual neto
Ver respuesta
Respuesta correcta: C
Cuestionar #41
Una organización va a firmar un acuerdo con un nuevo socio comercial para realizar envíos postales a los clientes. ¿Cuál es la acción MÁS importante que debe realizar el responsable de seguridad de la información?
A. Una revisión de seguridad de diligencia debida de los controles de seguridad del socio comercial
B. Asegurarse de que el socio comercial dispone de un programa eficaz de continuidad de la actividad empresarial
C. Garantizar que el tercero está contractualmente obligado a cumplir todos los requisitos de seguridad pertinentes
D. Hablar con otros clientes del socio comercial para comprobar las referencias de rendimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #42
Una empresa tiene una red de sucursales con servidores locales de archivos/impresión y correo; cada sucursal contrata individualmente un hot site. ¿Cuál de las siguientes sería la MAYOR debilidad en la capacidad de recuperación?
A. El uso exclusivo del lugar caliente se limita a seis semanas
B. El sitio caliente puede tener que ser compartido con otros clientes
C. La hora de la declaración determina la prioridad de acceso al emplazamiento
D. El proveedor presta servicios a todas las grandes empresas de la zona
Ver respuesta
Respuesta correcta: C
Cuestionar #43
Una organización tiene previsto contratar a un proveedor de servicios externo para alojar su sitio web corporativo. La preocupación MÁS importante del responsable de seguridad de la información es garantizar que:
A. una auditoría del proveedor de servicios no descubre ninguna debilidad significativA
B. el contrato incluye un acuerdo de confidencialidad (NDA) para proteger la propiedad intelectual de la organización
C. el contrato debe obligar al proveedor de servicios a cumplir las políticas de seguridad
D. el proveedor de servicios externo realiza pruebas de penetración periódicas
Ver respuesta
Respuesta correcta: C

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono: