¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Comprehensive CISM Exam Test Questions & Answers, Certified Information Security Manager | SPOTO

Prepárate exhaustivamente para el examen de certificación Certified Information Security Manager (CISM) con las preguntas y respuestas de práctica integrales de SPOTO. Nuestros exámenes de práctica cubren una amplia gama de temas de examen, incluyendo gestión de riesgos de la información, gobernabilidad, gestión de incidentes y desarrollo de programas. Accede a preguntas de muestra gratuitas para evaluar tus conocimientos, explora los volcados de examen para una comprensión en profundidad y realiza exámenes de prueba para simular escenarios de prueba reales. Utiliza nuestros materiales de examen curados con respuestas y explicaciones detalladas para reforzar tu aprendizaje. Con el simulador de examen en línea de SPOTO, practica preguntas de examen, refina tu estrategia de examen y prepárate efectivamente para el examen CISM. Ya sea que estés practicando preguntas de examen, revisando escenarios de muestra o perfeccionando tu estrategia de examen, las preguntas y respuestas de práctica del examen CISM de SPOTO te ayudarán a tener éxito.
Realizar otros exámenes en línea

Cuestionar #1
¿Qué información es MÁS útil para demostrar a la alta dirección cómo la gobernanza de la seguridad de la información se alinea con los objetivos empresariales?
A. Actualización de los proyectos de seguridad de la información en desarrollo
B. Borradores de propuestas de modificación de las políticas
C. Métricas de los principales resultados en materia de seguridad de la información
D. Una lista de amenazas, riesgos y exposiciones controlados
Ver respuesta
Respuesta correcta: C
Cuestionar #2
Una organización está considerando trasladar una de sus aplicaciones empresariales críticas a un servicio de alojamiento en la nube. Es posible que el proveedor de la nube no proporcione el mismo nivel de seguridad para esta aplicación que la organización. ¿Cuál de las siguientes opciones proporcionará la MEJOR información para ayudar a mantener la postura de seguridad?
A. Evaluación de riesgos
B. Estrategia de seguridad en la nube
C. Evaluación de la vulnerabilidad
D. Marco de gobernanza del riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #3
La MEJOR métrica para evaluar la eficacia de un cortafuegos es la:
A. número de ataques bloqueados
B. número de paquetes perdidos
C. tasa media de rendimiento
D. número de reglas de cortafuegos
Ver respuesta
Respuesta correcta: C
Cuestionar #4
¿Cuál de los siguientes sería el MEJOR indicador de que una organización está gestionando adecuadamente el riesgo?
A. El número de incidentes de seguridad notificados por el personal ha aumentado
B. Los resultados de la evaluación de riesgos están dentro de los márgenes de tolerancia
C. Una prueba de penetración no identifica ninguna vulnerabilidad del sistema de alto riesgo
D. El número de eventos reportados por el sistema de detección de intrusos ha disminuido
Ver respuesta
Respuesta correcta: B
Cuestionar #5
Una empresa aceptó previamente el riesgo asociado a una vulnerabilidad de día cero. La misma vulnerabilidad fue explotada recientemente en un ataque de alto perfil a otra organización de la misma industria. ¿Cuál de las siguientes opciones debería ser la PRIMERA acción del responsable de seguridad de la información?
A. Reevaluar el riesgo en términos de probabilidad e impacto
B. Desarrollar el mejor y el peor escenario posible
C. Informar de la infracción de la otra organización a la alta dirección
D. Evaluar el coste de remediar la vulnerabilidad
Ver respuesta
Respuesta correcta: B
Cuestionar #6
La razón PRINCIPAL para que el Comité Directivo de Seguridad de la Información revise un nuevo plan de implantación de controles de seguridad es garantizar que:
A. el plan se alinea con el plan de negocio de la organización
B. los presupuestos departamentales se asignan adecuadamente para pagar el plan
C. se cumplen los requisitos de supervisión reglamentariA
D. se reduce el impacto del plan en las unidades de negocio
Ver respuesta
Respuesta correcta: A
Cuestionar #7
El consejo de administración de una empresa se ha enterado de la reciente legislación que obliga a las empresas del sector a adoptar salvaguardias específicas para proteger la información confidencial de los clientes. ¿Qué medidas debe tomar la junta directiva?
A. Dirigir la seguridad de la información sobre lo que tienen que hacer
B. Investigar las soluciones adecuadas
C. Exigir a la dirección que informe sobre el cumplimiento
D. Nada; la seguridad de la información no informa al consejo
Ver respuesta
Respuesta correcta: C
Cuestionar #8
¿Cuál de las siguientes opciones sería la MÁS útil en un informe a la alta dirección para evaluar los cambios en la posición de riesgo de la seguridad de la información de la organización?
A. Registro de riesgos
B. Análisis de tendencias
C. Puntos de referencia del sector
D. Plan de acción de gestión
Ver respuesta
Respuesta correcta: B
Cuestionar #9
¿Cuál de las siguientes situaciones es la que MÁS impediría la aplicación eficaz de la gobernanza de la seguridad?
A. La complejidad de la tecnología
B. Limitaciones presupuestarias
C. Conflicto de prioridades empresariales
D. Patrocinio de alto nivel
Ver respuesta
Respuesta correcta: D
Cuestionar #10
Tras una adquisición reciente, se ha pedido a un responsable de seguridad de la información que aborde el riesgo pendiente notificado al principio del proceso de adquisición. ¿Cuál de las siguientes opciones sería la MEJOR forma de proceder?
A. Añadir el riesgo pendiente al registro de riesgos de la organización adquirente
B. Reevaluar el riesgo pendiente de la empresa adquiridA
C. Reevaluar el plan de tratamiento del riesgo pendiente
D. Realizar una evaluación de la vulnerabilidad de la infraestructura de la empresa adquiridA
Ver respuesta
Respuesta correcta: A
Cuestionar #11
¿Cuál de las siguientes opciones es la MÁS esencial para que un programa de gestión de riesgos sea eficaz?
A. Presupuesto de seguridad flexible
B. Base sólida de riesgos
C. Detección de nuevos riesgos
D. Información precisa sobre riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #12
Un responsable de seguridad de la información utiliza métricas de seguridad para medir la:
A. rendimiento del programa de seguridad de la información
B. rendimiento de la línea de base de seguridad
C. eficacia del análisis de riesgos para la seguridad
D. eficacia del equipo de respuesta a incidentes
Ver respuesta
Respuesta correcta: C
Cuestionar #13
Al considerar el valor de los activos, ¿cuál de las siguientes opciones proporcionaría al responsable de la seguridad de la información la base MÁS objetiva para medir la entrega de valor en la gobernanza de la seguridad de la información?
A. Número de controles
B. Coste de la consecución de los objetivos de control
C. Eficacia de los controles
D. Resultados de los controles
Ver respuesta
Respuesta correcta: D
Cuestionar #14
Cuando el riesgo inherente a una actividad empresarial es inferior al nivel de riesgo aceptable, la MEJOR forma de actuar sería:
A. supervisar los cambios en la empresa
B. revisar el nivel de riesgo residual
C. informar del cumplimiento a la dirección
D. aplicar controles para mitigar el riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #15
A la hora de seleccionar opciones de respuesta para gestionar el riesgo, el principal objetivo de un responsable de seguridad de la información debe ser reducirlo:
A. exposición para cumplir los niveles de tolerancia al riesgo
B. la probabilidad de amenazA
C. pérdida financiera por transferencia del riesgo
D. el número de vulnerabilidades de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #16
¿Cuál de las siguientes opciones es la MÁS eficaz para evitar la introducción de una modificación de código que pueda reducir la seguridad de una aplicación empresarial crítica?
A. Gestión de parches
B. Gestión del cambio
C. Métricas de seguridadD
Ver respuesta
Respuesta correcta: D
Cuestionar #17
Un informe de mitigación de riesgos incluiría recomendaciones para:
A. evaluación
B. aceptación
C. evaluación
D. cuantificación
Ver respuesta
Respuesta correcta: B
Cuestionar #18
¿De cuál de los siguientes factores depende MÁS la eficacia del software de detección de virus?
A. Filtrado de paquetes
B. Detección de intrusos
C. Actualizaciones de software
D. Tablas de definición
Ver respuesta
Respuesta correcta: A
Cuestionar #19
¿Cuál de los siguientes es un indicador de mejora en la capacidad para identificar los riesgos de seguridad?
A. Aumento del número de incidentes de seguridad notificados
B. Disminución del número de empleados que necesitan formación en seguridad de la información
C. Disminución del número de evaluaciones de riesgos para la seguridad de la información
D. Mayor número de problemas de auditoría de seguridad resueltos
Ver respuesta
Respuesta correcta: A
Cuestionar #20
¿Cuál debe ser la base PRIMARIA para priorizar la contención de incidentes?
A. Requisitos legales y reglamentarios
B. El coste de recuperación de los activos afectados
C. El valor comercial de los activos afectados
D. Aportaciones de la alta dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #21
¿Cuál de las siguientes sería la MEJOR métrica para el proceso de gestión de riesgos informáticos?
A. Número de planes de acción de gestión de riesgos
B. Porcentaje de activos críticos con medidas correctoras presupuestadas
C. Porcentaje de riesgos no resueltos
D. Número de incidentes de seguridad identificados
Ver respuesta
Respuesta correcta: B
Cuestionar #22
¿Cuál de los siguientes dispositivos debe colocarse dentro de una DMZ?
A. Enrutador
B. Cortafuegos
C. Retransmisión de correo
D. Servidor de autenticación
Ver respuesta
Respuesta correcta: B
Cuestionar #23
¿Cuál es la MEJOR técnica para determinar qué controles de seguridad implantar con un presupuesto limitado?
A. Análisis de riesgos
B. Cálculo de la esperanza de pérdida anualizada (EPA)
C. Análisis coste-beneficio
D. Análisis de impacto
Ver respuesta
Respuesta correcta: C
Cuestionar #24
Además de la alineación con la empresa y la propiedad de la seguridad, ¿cuál de los siguientes aspectos es MÁS crítico para la gobernanza de la seguridad de la información?
A. Auditabilidad de los sistemas
B. Cumplimiento de las políticas
C. Notificación de métricas de seguridad
D. Patrocinio ejecutivo
Ver respuesta
Respuesta correcta: A
Cuestionar #25
En un análisis de impacto empresarial, el valor de un sistema de información debe basarse en el coste global:
A. de recuperación
B. recrear
C. si no está disponible
D. de operaciones de emergenciA
Ver respuesta
Respuesta correcta: C
Cuestionar #26
¿Cuál de los siguientes es el MEJOR método para protegerse contra la exposición de datos en caso de robo de un dispositivo móvil?
A. Capacidad de borrado remoto
B. Protección mediante contraseña
C. Seguros
D. Cifrado
Ver respuesta
Respuesta correcta: A
Cuestionar #27
Para justificar la necesidad de invertir en una herramienta de análisis forense, un responsable de seguridad de la información debería PRIMERO:
A. revisar las funcionalidades y los requisitos de implementación de la solución
B. revisar informes comparativos de implantación de herramientas en empresas homólogas
C. dar ejemplos de situaciones en las que una herramienta de este tipo sería útil
D. justificar la inversión para satisfacer las necesidades de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #28
¿Cuál de las siguientes es la métrica MÁS pertinente que debe incluirse en un informe trimestral sobre seguridad de la información para el comité ejecutivo?
A. Informe de tendencias sobre servidores que cumplen las normas de seguridad
B. Porcentaje de servidores que cumplen las normas de seguridad
C. Número de parches de seguridad aplicados
D. Informe de tendencia de parches de seguridad aplicados
Ver respuesta
Respuesta correcta: D
Cuestionar #29
Tras un cambio significativo en el código subyacente de una aplicación, lo MÁS importante para el responsable de la seguridad de la información es:
A. informar a la alta dirección
B. actualizar la evaluación de riesgos
C. validar las pruebas de aceptación del usuario
D. modificar los indicadores clave de riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #30
Los requisitos de acceso a los datos para una aplicación deben ser determinados por el:
A. departamento jurídico
B. responsable de cumplimiento
C. responsable de seguridad de la información
D. empresario
Ver respuesta
Respuesta correcta: D
Cuestionar #31
El esquema de clasificación de la información debe:
A. considerar el posible impacto de una violación de la seguridad
B. clasificar la información personal en formato electrónico
C. ser realizada por el responsable de seguridad de la información
D. clasificar los sistemas en función de los datos tratados
Ver respuesta
Respuesta correcta: B
Cuestionar #32
Se ha identificado que un sistema de misión crítica tiene una cuenta de sistema administrativa con atributos que impiden el bloqueo y el cambio de privilegios y nombre. Cuál sería el MEJOR enfoque para evitar el éxito de la fuerza bruta de la cuenta?
A. Impedir el acceso remoto al sistema D
B. Crear una contraseña aleatoria segura
C. Pedir un parche al proveedor Rastrear el uso de la cuenta mediante registros de auditoría
Ver respuesta
Respuesta correcta: B
Cuestionar #33
La razón MÁS importante para realizar evaluaciones de riesgos periódicas es que:
A. las evaluaciones de riesgos no siempre son precisas
B. los riesgos de seguridad están sujetos a cambios frecuentes
C. los revisores pueden optimizar y reducir el coste de los controles
D. demuestra a la alta dirección que la función de seguridad puede aportar valor añadido
Ver respuesta
Respuesta correcta: B
Cuestionar #34
Al aplicar una nueva metodología de evaluación de riesgos, ¿cuál de los siguientes es el requisito MÁS importante?
A. Las evaluaciones de riesgos deben ser realizadas por personal certificado
B. La metodología debe ser aprobada por el director general
C. Las evaluaciones de riesgos deben revisarse anualmente
D. La metodología utilizada debe ser coherente en toda la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #35
A.
Ver respuesta
Respuesta correcta: B
Cuestionar #36
Una institución financiera global ha decidido no tomar ninguna acción adicional sobre un riesgo de denegación de servicio (DoS) encontrado por el equipo de evaluación de riesgos. La razón MÁS probable por la que tomaron esta decisión es que:
A. existen suficientes salvaguardias para evitar que se produzca este riesgo
B. la contramedida necesaria es demasiado complicada de implantar
C. el coste de la contramedida supera el valor del activo y la pérdida potencial
D. Se desconoce la probabilidad de que se produzca el riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #37
A.
Ver respuesta
Respuesta correcta: A
Cuestionar #38
¿Cuál de las siguientes opciones es la MEJOR para garantizar la integridad de los mensajes, la autenticación de la identidad del remitente y el no repudio?
A. Criptografía simétrica
B. Infraestructura de clave pública (PKI)
C. Hashing de mensajes
D. Código de autenticación de mensajes
Ver respuesta
Respuesta correcta: C
Cuestionar #39
Cuando la seguridad a nivel de aplicación controlada por los propietarios de los procesos de negocio se encuentra mal gestionada, ¿cuál de las siguientes opciones podría MEJORAR las prácticas actuales?
A. Centralizar la gestión de la seguridad
B. Aplicación de sanciones por incumplimiento
C. Aplicación de políticas por parte de la dirección de TI
D. Revisiones periódicas del cumplimiento
Ver respuesta
Respuesta correcta: D
Cuestionar #40
¿Quién puede ser el MEJOR defensor del desarrollo de un programa de seguridad de la información y garantizar su éxito?
A. Auditor interno
B. Director de Operaciones (COO)
C. Comité de dirección
D. Gestión informática
Ver respuesta
Respuesta correcta: A
Cuestionar #41
¿Quién debe dirigir el análisis de riesgos de una organización?
A. Alta dirección
B. Responsable de seguridadC
C.
Ver respuesta
Respuesta correcta: B
Cuestionar #42
La eficacia del proceso de seguridad de la información se reduce cuando una organización subcontrata:
A. es responsable de las actividades de gobernanza de la seguridad de la información
B. recibe ingresos adicionales cuando se cumplen los niveles de servicio de seguridad
C. incurre en sanciones por incumplimiento de los acuerdos de nivel de servicio de seguridad
D. estandariza un único producto de software de control de acceso
Ver respuesta
Respuesta correcta: A
Cuestionar #43
El riesgo aceptable se alcanza cuando:
A. se minimiza el riesgo residual
B. se minimiza el riesgo transferido
C. se minimiza el riesgo de control
D. se minimiza el riesgo inherente
Ver respuesta
Respuesta correcta: A
Cuestionar #44
Para destacar ante la dirección la importancia de integrar la seguridad de la información en los procesos empresariales, un responsable de seguridad de la información recién contratado debería PRIMERO:
A. preparar un presupuesto de seguridad
B. realizar una evaluación de riesgos
C. desarrollar una política de seguridad de la información
D. obtener información de referenciA
Ver respuesta
Respuesta correcta: B
Cuestionar #45
Se detectó un incidente en el que se alteraron registros de clientes sin autorización. La MAYOR preocupación para el análisis forense sería que los datos de registro:
A. se ha divulgado
B. podría estar disponible temporalmente
C. pueden no estar sincronizados en el tiempo
D. puede modificarse
Ver respuesta
Respuesta correcta: D
Cuestionar #46
La gobernanza eficaz de las TI se garantiza MEJOR mediante:
A. utilizando un enfoque ascendente
B. gestión por parte del departamento informático
C. remitir el asunto al departamento jurídico de la organización
D. utilizando un enfoque descendente
Ver respuesta
Respuesta correcta: D
Cuestionar #47
¿Cuál de las siguientes es la MEJOR manera de facilitar la alineación entre el programa de seguridad de la información de una organización y los objetivos empresariales?
A. La seguridad de la información se tiene en cuenta en la fase de viabilidad de todos los proyectos informáticos
B. El comité de gobernanza de la seguridad de la información incluye representación de las principales áreas de negocio
C. El director general revisa y aprueba el programa de seguridad de la información
D. El programa de seguridad de la información es auditado por el departamento de auditoría internA
Ver respuesta
Respuesta correcta: B
Cuestionar #48
¿Cuál de las siguientes prácticas previene completamente un ataque man-in-the-middle (MitM) entre dos hosts?
A. Utilizar tokens de seguridad para la autenticación
B. Conectar a través de una VPN IPSec
C. Utilizar https con un certificado del lado del servidor
D. Imponer direcciones estaticas de control de acceso al medio (MAC)
Ver respuesta
Respuesta correcta: A
Cuestionar #49
¿Cuál de las siguientes opciones permite MEJOR el despliegue de una seguridad coherente en todas las sucursales internacionales de una organización multinacional?
A. Madurez de los procesos de seguridad
B. Corrección de los resultados de la auditoría
C. Descentralización de la gobernanza de la seguridad
D. Establecimiento de una gobernanza de la seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #50
¿Cómo equilibraría un responsable de seguridad de la información los requisitos potencialmente conflictivos de las normas de seguridad de una organización internacional y la normativa local?
A. Dar preferencia a las normas de la organización sobre la normativa local
B. Siga únicamente la normativa local
C. Concienciar a la organización de aquellas normas en las que la normativa local provoque conflictos
D. Negociar una versión local de las normas de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #51
Las unidades de negocio de una organización se resisten a los cambios propuestos en el programa de seguridad de la información. ¿Cuál de las siguientes es la MEJOR manera de abordar este problema?
A. Impartir formación adicional sobre concienciación en materia de seguridad
B. Comunicación de los resultados de la evaluación de riesgos críticos a los responsables de las unidades de negocio
C. Incluir la representación de las unidades de negocio en el comité directivo de seguridad
D. Publicación de políticas actualizadas de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #52
¿Cuál de las siguientes opciones es la MÁS eficaz para evitar fallos de seguridad en los sistemas operativos?
A. Gestión de parches
B. Gestión del cambio
C. Líneas de base de seguridad
D. Gestión de la configuración
Ver respuesta
Respuesta correcta: C
Cuestionar #53
¿Cuál de las siguientes es la MEJOR métrica para evaluar la eficacia de un mecanismo de detección de intrusos?
A. Número de ataques detectados
B. Número de ataques con éxito
C. Relación entre falsos positivos y falsos negativos
D. Proporción de ataques con éxito frente a ataques sin éxito
Ver respuesta
Respuesta correcta: C
Cuestionar #54
¿Cuál de los siguientes controles es el MÁS eficaz para proporcionar una garantía razonable del cumplimiento de los requisitos de acceso físico a una sala de servidores sin personal controlada con dispositivos biométricos? C.
A. Revisión periódica de las listas de control de acceso
B. Guardia de seguridad escolta a los visitantes Registro de visitantes en la puerta
C.
Ver respuesta
Respuesta correcta: B
Cuestionar #55
¿Cuál de las siguientes es la solución MÁS eficaz para evitar que personas ajenas a la organización modifiquen información confidencial de una base de datos corporativa?
A. Subredes filtradas
B. Políticas y procedimientos de clasificación de la información
C. Controles de acceso basados en roles
D. Sistema de detección de intrusiones (IDS)
Ver respuesta
Respuesta correcta: D
Cuestionar #56
Una organización ha experimentado recientemente el acceso no autorizado de dispositivos a su red. Para gestionar proactivamente el problema y mitigar este riesgo, el MEJOR control preventivo sería:
A. mantener un inventario de las direcciones de red y hardware de todos los sistemas conectados a la red
B. instalar un cortafuegos de inspección de estado para impedir el tráfico de red no autorizado
C. implantar la autenticación e inicio de sesión a nivel de red para regular el acceso de los dispositivos a la red
D. desplegar una herramienta automatizada de descubrimiento de inventario de activos para identificar los dispositivos que acceden a la red
Ver respuesta
Respuesta correcta: B
Cuestionar #57
¿Cuál de las siguientes opciones se utiliza generalmente para garantizar que la información transmitida por Internet es auténtica y realmente transmitida por el remitente indicado?
A. Autenticación biométrica
B. Esteganografía incrustada Autenticación de dos factores
C.
Ver respuesta
Respuesta correcta: C

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono: