¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Diseñado por expertos CISM Pruebas de Práctica 2024, Certified Information Security Manager | SPOTO

Prepárate efectivamente para el examen CISM de ISACA con los exámenes de práctica de alta calidad de SPOTO. Nuestros amplios recursos cubren temas clave tales como gobierno de seguridad de la información, gestión de riesgos, gestión de incidentes, cumplimiento normativo, desarrollo de programas de seguridad y gestión de seguridad de la información. Acceda a una variedad de materiales de examen, incluyendo volcados de examen, preguntas de muestra y exámenes de prueba, para reforzar su comprensión de estas áreas cruciales. Utiliza nuestro simulador de examen para practicar de forma realista, simulando el entorno del examen y mejorando tus habilidades de gestión del tiempo. Con SPOTO, tendrás todas las herramientas que necesitas para tener éxito en la preparación de tu examen CISM. Comienza hoy mismo tu viaje hacia el éxito en la certificación y libera tu potencial como profesional de la seguridad de la información.
Realizar otros exámenes en línea

Cuestionar #1
¿Cuál sería la MEJOR recomendación para protegerse de los ataques de phishing?
A. Instalar un sistema antispam
B. Publicar orientaciones de seguridad para los clientes
C. Sensibilizar al personal de la organización en materia de seguridad
D. D
Ver respuesta
Respuesta correcta: C
Cuestionar #2
Cuando se produce una violación significativa de la seguridad, ¿qué debe comunicarse PRIMERO a la alta dirección?
A. Un resumen de los registros de seguridad que ilustra la secuencia de eventos
B. Una explicación del incidente y de las medidas correctoras adoptadas
C. Un análisis del impacto de ataques similares en otras organizaciones
D. Un caso de negocio para implementar controles de acceso lógico más fuertes
Ver respuesta
Respuesta correcta: C
Cuestionar #3
¿Cuál de las siguientes es la MAYOR amenaza para la seguridad cuando una organización permite el acceso remoto a una red privada virtual (VPN)?
A. Los inicios de sesión de los clientes están sujetos a ataques de repetición
B. Los clientes VPN comprometidos podrían afectar a la red
C. Los atacantes podrían comprometer la puerta de enlace VPN
D. El trafico VPN podria ser olfateado y capturado
Ver respuesta
Respuesta correcta: A
Cuestionar #4
¿En qué fase del proyecto debe desarrollarse un plan de pruebas para validar los controles de seguridad de un nuevo sistema?
A. Pruebas
B. Iniciación
C. Diseño
D. Desarrollo
Ver respuesta
Respuesta correcta: D
Cuestionar #5
¿Cuál de los siguientes es el MEJOR indicador de que una organización dispone de un control de seguridad eficaz?
A. Las estadísticas mensuales de nivel de servicio indican un impacto mínimo de los problemas de seguridad
B. El coste de implantar un control de seguridad es inferior al valor de los activos
C. Porcentaje de sistemas que cumplen las normas de seguridad
D. Los informes de auditoría no reflejan hallazgos significativos en materia de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #6
En caso de que no se pueda implementar una política de contraseñas para una aplicación heredada, ¿cuál de las siguientes es la MEJOR forma de proceder?
A. Actualice la política de seguridad de la aplicación
B. Aplicar el control compensatorio
C. Presentar una renuncia a la solicitud de legado
D. Realizar una evaluacion de seguridad de la aplicacion
Ver respuesta
Respuesta correcta: B
Cuestionar #7
El objetivo de punto de recuperación (RPO) requiere ¿cuál de los siguientes?
A. Declaración de catástrofe
B. Restauración de la imagen anterior
C. Restauración del sistema
D. Tratamiento posterior de la imagen
Ver respuesta
Respuesta correcta: C
Cuestionar #8
¿Cuál de los siguientes sitios sería el MÁS apropiado en el caso de un objetivo de tiempo de recuperación (RTO) muy corto?
A. Caliente
B. Redundante
C. Compartido
D. Móvil
Ver respuesta
Respuesta correcta: C
Cuestionar #9
La forma MÁS eficaz de garantizar que los usuarios de la red son conscientes de sus responsabilidades a la hora de cumplir los requisitos de seguridad de una organización es:
A. mensajes que aparecen en cada inicio de sesión
B. mensajes de correo electrónico periódicos relacionados con la seguridad
C. un sitio web Intranet para la seguridad de la información
D. difundir la política de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #10
¿Cuál de las siguientes opciones protegería MEJOR los datos confidenciales de una organización almacenados en un ordenador portátil frente a accesos no autorizados?
A. Autenticación fuerte mediante contraseña
B. Discos duros encriptados
C. Procedimientos de autenticación multifactor
D. Copia de seguridad de datos en red
Ver respuesta
Respuesta correcta: B
Cuestionar #11
Una organización tiene una política en la que se persigue toda actividad delictiva. Qué es lo MÁS importante que debe garantizar el responsable de seguridad de la información cuando se sospecha que un empleado utiliza un ordenador de la empresa para cometer fraude?
A. El proceso forense se inicia inmediatamente
B. Se pone en marcha el plan de respuesta a incidentes
C. Se realizan copias de seguridad de los archivos de registro del empleado
D. Se informa a la alta dirección de la situación
Ver respuesta
Respuesta correcta: D
Cuestionar #12
Para garantizar que todos los procedimientos de seguridad de la información son funcionales y precisos, deben diseñarse con la participación de:
A. usuarios finales
B. Asesoramiento jurídico
C. unidades operativas
D. gestión de auditorías
Ver respuesta
Respuesta correcta: D
Cuestionar #13
Los programas de gestión de riesgos están diseñados para reducir los riesgos para:
A. un nivel demasiado pequeño para ser medible
B. el punto en el que el beneficio supera al gasto
C. un nivel que la organización esté dispuesta a aceptar
D. una tasa de rendimiento igual al coste actual del capital
Ver respuesta
Respuesta correcta: B
Cuestionar #14
Antes de contratar a proveedores externos, el responsable de seguridad de la información debe asegurarse de que se cumplen los requisitos de clasificación de datos de la organización:
A. sean compatibles con la clasificación propia del proveedor
B. se comunican al proveedor
C. superan las del subcontratistA
D. figuran en el contrato
Ver respuesta
Respuesta correcta: A
Cuestionar #15
¿Cuál de las siguientes opciones ayudaría MEJOR a identificar las vulnerabilidades introducidas por los cambios en la infraestructura técnica de una organización?
A. Un sistema de detección de intrusos
B. Bases de seguridad establecidas
C. Pruebas de penetración
D. Agregación y correlación de registros
Ver respuesta
Respuesta correcta: A
Cuestionar #16
¿Cuál de los siguientes es el MEJOR enfoque para tomar decisiones estratégicas en materia de seguridad de la información?
A. Crear un comité directivo de seguridad de la información
B. Establecer reuniones periódicas de la alta dirección
C. Establecer informes periódicos sobre el estado de la seguridad de la información
D. Crear grupos de trabajo sobre seguridad en las unidades de negocio
Ver respuesta
Respuesta correcta: D
Cuestionar #17
¿Cuál de las siguientes actividades de gestión del cambio sería un claro indicador de que es necesario examinar los procedimientos operativos normales? Un alto porcentaje de:
A. solicitudes de cambio similares
B. aplazamientos de solicitudes de cambio
C. solicitudes de cambio canceladas
D. solicitudes de cambio urgentes
Ver respuesta
Respuesta correcta: B
Cuestionar #18
¿Cuál es la razón MÁS importante para llevar a cabo programas de concienciación sobre seguridad en toda una organización?
A. Reducción del riesgo humano
B. Mantener pruebas de los registros de formación para garantizar el cumplimiento
C. Informar a las unidades de negocio sobre la estrategia de seguridad
D. Formación del personal en respuesta a incidentes de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #19
Un responsable de seguridad de la información está desarrollando un caso de negocio para una inversión en un control de seguridad de la información. El PRIMER paso debería ser:
A. investigar los precios de los proveedores para demostrar la rentabilidad
B. evaluar el impacto potencial para la organización
C. demostrar una mayor productividad del personal de seguridad
D. obtener la aprobación de la auditoría para el control de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #20
¿Cuál es la MEJOR política para proteger los datos de las unidades móviles de bus serie universal (USB)?
A. Autenticación
B. Cifrado
C. Prohibir a los empleados que copien datos en dispositivos USB
D. Limitar el uso de dispositivos USB
Ver respuesta
Respuesta correcta: B
Cuestionar #21
El responsable de seguridad de la información de una organización multinacional ha sido informado de que la ciudad en la que se encuentra un centro de datos regional contratado está experimentando disturbios civiles. El responsable de seguridad de la información debe PRIMERO:
A. eliminar los datos sensibles de la organización en la sede del proveedor
B. contratar a otro proveedor de servicios en un lugar más seguro
C. verificar la capacidad del proveedor para proteger los datos de la organización
D. evaluar las opciones de recuperación en caso de que el centro de datos quede inaccesible
Ver respuesta
Respuesta correcta: A
Cuestionar #22
¿Cuál de las siguientes sería la MEJOR defensa contra el sniffing? Proteger los archivos con contraseña Implementar un esquema de direcciones IP dinámicas
A.
B.
Ver respuesta
Respuesta correcta: A
Cuestionar #23
Una empresa tiene una red de sucursales con servidores locales de archivos/impresión y correo; cada sucursal contrata individualmente un hot site. ¿Cuál de las siguientes sería la MAYOR debilidad en la capacidad de recuperación?
A. El uso exclusivo del lugar caliente se limita a seis semanas
B. El sitio caliente puede tener que ser compartido con otros clientes
C. La hora de la declaración determina la prioridad de acceso al emplazamiento
D. El proveedor presta servicios a todas las grandes empresas de la zona
Ver respuesta
Respuesta correcta: B
Cuestionar #24
La persona MÁS adecuada para determinar el nivel de seguridad de la información necesario para una aplicación empresarial específica es el:
A. desarrollador de sistemas
B. responsable de seguridad de la información
C. comité directivo
D. propietario de los datos del sistemA
Ver respuesta
Respuesta correcta: A
Cuestionar #25
La MEJOR manera de determinar si un sistema de detección de intrusos (IDS) basado en anomalías está correctamente instalado es:
A. simular un ataque y revisar el rendimiento del IDS
B. utilizar un honeypot para comprobar si hay actividad inusual
C. auditar la configuración del IDS
D. comparar el IDS con un sitio homólogo
Ver respuesta
Respuesta correcta: C
Cuestionar #26
El objetivo PRINCIPAL de un plan estratégico de seguridad de la información es:
A. elaborar un plan de evaluación de riesgos
B. desarrollar un plan de protección de datos
C. proteger los activos y recursos de información
D. establecer una gobernanza de la seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #27
Un sistema de detección de intrusos (IDS) debería:
A. funcionar continuamente
B. ignorar las anomalías
C. requieren un entorno estable y que rara vez cambie
D. estar situado en la red
Ver respuesta
Respuesta correcta: C
Cuestionar #28
¿Qué mecanismos se utilizan para identificar las deficiencias que podrían ofrecer a los atacantes la oportunidad de poner en peligro un sistema informático?
A. Análisis del impacto en las empresas
B. Análisis de las deficiencias de seguridad
C. Métricas de rendimiento del sistema
D. Procesos de respuesta a incidentes
Ver respuesta
Respuesta correcta: B
Cuestionar #29
Tras detectar una amenaza persistente avanzada (APT), ¿cuál de los siguientes pasos debería dar el responsable de seguridad de la información?
A. Notificar a la dirección
B. Contener la amenaza
C. Eliminar la amenaza
D. Realizar un análisis de la causa raíz
Ver respuesta
Respuesta correcta: A
Cuestionar #30
¿Cuál de los siguientes servicios externalizados tiene MAYOR necesidad de supervisión de la seguridad?
A. Infraestructura empresarial
B. Desarrollo de aplicaciones
C. Servicios de red privada virtual (VPN)
D. Alojamiento de sitios web
Ver respuesta
Respuesta correcta: D
Cuestionar #31
Una organización para integrar la seguridad de la información en sus procesos de gestión de recursos humanos. ¿Cuál de los siguientes debería ser el PRIMER paso?
A. Evaluar el coste de la integración de la seguridad de la información
B. Evaluar los objetivos empresariales de los procesos
C. Identificar el riesgo para la seguridad de la información asociado a los procesos
D. Comparar los procesos con las mejores prácticas para identificar las lagunas
Ver respuesta
Respuesta correcta: A
Cuestionar #32
A.
Ver respuesta
Respuesta correcta: D
Cuestionar #33
Una aplicación empresarial basada en web se está migrando de pruebas a producción. Cuál de los siguientes es el visto bueno de gestión MÁS importante para esta migración?
A. Usuario
B. Red
C. Operaciones
D. Base de datos
Ver respuesta
Respuesta correcta: A
Cuestionar #34
A. La acción PRIORITARIA que debe tomarse cuando un servidor se infecta con un virus es: aislar de la red el servidor o servidores infectados
Ver respuesta
Respuesta correcta: B
Cuestionar #35
¿Cuál de las siguientes métricas sería la MÁS útil para medir lo bien que la seguridad de la información está supervisando los registros de violaciones?
A. Intentos de penetración investigados
B. Informes de registro de infracciones elaborados
C. Anotaciones en el registro de infracciones
D. Frecuencia de las medidas correctoras adoptadas
Ver respuesta
Respuesta correcta: B
Cuestionar #36
¿Qué pretende identificar una evaluación de la vulnerabilidad de la red?
A. vulnerabilidades de día 0
B. Software malicioso y spyware
C. Defectos en el diseño de seguridad
D. Mala configuración y falta de actualizaciones
Ver respuesta
Respuesta correcta: B
Cuestionar #37
¿Cuál de las siguientes opciones es la MEJOR para conseguir que los procedimientos de gestión de cambios garanticen que los planes de recuperación en caso de catástrofe/continuidad de las actividades se mantengan actualizados?
A. Conciliación del inventario anual de sistemas con los planes de recuperación en caso de catástrofe y de continuidad de las actividades
B. Auditorías periódicas de los planes de recuperación en caso de catástrofe/continuidad de las actividades
C. Pruebas exhaustivas
D. Inclusión como paso obligatorio en el proceso del ciclo de vida del sistema
Ver respuesta
Respuesta correcta: D
Cuestionar #38
¿Cuál de las siguientes opciones establecería un gestor de seguridad para determinar el objetivo de restablecimiento del procesamiento normal?
A. Objetivo de tiempo de recuperación (RTO)
B. Interrupción máxima tolerable (MTO)
C. Objetivos de punto de recuperación (OPR)
D. Objetivos de prestación de servicios (OPS)
Ver respuesta
Respuesta correcta: B
Cuestionar #39
Se ha asignado a un responsable de seguridad de la información la aplicación de controles preventivos más restrictivos. Al hacerlo, el efecto neto será PRIMARIAMENTE reducir la:
A. amenazA
B. pérdidA
C. vulnerabilidad
D. probabilidad
Ver respuesta
Respuesta correcta: B
Cuestionar #40
Al realizar un análisis cuantitativo de riesgos, ¿cuál de los siguientes es el MÁS importante para estimar la pérdida potencial?
A. Evaluar las pérdidas de productividad
B. Evaluar el impacto de la divulgación de datos confidenciales
C. Calcular el valor de la información o del activo
D. Medir la probabilidad de ocurrencia de cada amenaza
Ver respuesta
Respuesta correcta: C
Cuestionar #41
Antes de que un tercero realice una prueba de ataque y penetración contra una organización, la acción MÁS importante es asegurarse de que:
A. el tercero realiza una demostración en un sistema de pruebA
B. las metas y los objetivos están claramente definidos
C. se ha informado al personal técnico de lo que cabe esperar
D. se realizan copias de seguridad especiales de los servidores de producción
Ver respuesta
Respuesta correcta: D
Cuestionar #42
A la hora de elaborar normas de seguridad, ¿cuál de los siguientes elementos sería el MÁS apropiado incluir?
A. Responsabilidad por las licencias
B. Uso aceptable de los activos informáticos
C. requisitos del sistema operativo
D. Gestión de existencias
Ver respuesta
Respuesta correcta: A
Cuestionar #43
¿Cuál de los siguientes resultados del proceso de evaluación de riesgos ayudaría MEJOR a la toma de decisiones de gestión de riesgos?
A. Riesgo de control
B. Riesgo inherente
C. Exposición al riesgo
D. Riesgo residual
Ver respuesta
Respuesta correcta: D
Cuestionar #44
¿Cuál de las siguientes opciones confirma al BKST que se han alcanzado los objetivos del plan de continuidad de negocio/recuperación tras catástrofe?
A. No se superó el objetivo de tiempo de recuperación (RTO) durante las pruebas
B. Se han realizado pruebas objetivas del plan de continuidad de las actividades/recuperación en caso de catástrofe de forma coherente
C. El objetivo de punto de recuperación (OPR) se demostró inadecuado mediante pruebas del plan de recuperación en caso de catástrofe
D. Los activos de información han sido valorados y asignados a propietarios según el plan de continuidad de negocio, el plan de recuperación de desastres
Ver respuesta
Respuesta correcta: A
Cuestionar #45
En un escenario de ingeniería social, ¿cuál de las siguientes opciones es la MÁS probable que reduzca la probabilidad de que una persona no autorizada acceda a los recursos informáticos?
A. Aplicación del enmascaramiento de contraseñas en pantalla
B. Realización de programas periódicos de concienciación en materia de seguridad
C. Aumentar la frecuencia de los cambios de contraseña
D. Exigir que las contraseñas sean estrictamente confidenciales
Ver respuesta
Respuesta correcta: D
Cuestionar #46
¿Cuál de las siguientes opciones es la MEJOR para prevenir de forma proactiva la explotación de vulnerabilidades en el software del sistema operativo?
A. Gestión de parches
B. Gestión de amenazas
C. Sistema de detección de intrusos
D. Software antivirus
Ver respuesta
Respuesta correcta: B
Cuestionar #47
¿Cuál de las siguientes características es la MÁS importante para un banco en un sistema de transacciones financieras en línea de alto valor?
A. Identificación
B. Confidencialidad
C. Autenticación
D. Control de auditoría
Ver respuesta
Respuesta correcta: A
Cuestionar #48
La contribución del objetivo de punto de recuperación (OPR) a la recuperación en caso de catástrofe consiste en:
A. definir la estrategia de copia de seguridad
B. eliminar los puntos únicos de fallo
C. reducir el tiempo medio entre fallos (MTBF)
D. minimizar el periodo de interrupción
Ver respuesta
Respuesta correcta: C
Cuestionar #49
A la hora de definir las responsabilidades con un proveedor de computación en nube, ¿cuál de los siguientes aspectos debe considerarse una responsabilidad compartida entre el usuario y el proveedor?
A. Propiedad de los datos
B. Revisión del registro de acceso
C. Registro de aplicaciones
D. Respuesta a incidentes
Ver respuesta
Respuesta correcta: C
Cuestionar #50
De los siguientes, ¿qué aportación es de MAYOR importancia en el desarrollo de una estrategia de seguridad de la información?
A. Usuarios finales
B. Auditores corporativos
C. Propietarios de procesos
D. Arquitectos de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #51
El principio de "separación de funciones" se viola si ¿cuál de las siguientes personas tiene derechos de actualización de la lista de control de acceso (ACL) de la base de datos?
A. Propietario de los datos
B. Custodia de datos
C. Programador de sistemas
D. Administrador de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #52
¿Cuál de las siguientes opciones evitará MEJOR los ataques externos a la seguridad?
A. Direccionamiento IP estático
B. Traducción de direcciones de red
C. Verificación de los antecedentes de los empleados temporales
D. Asegurar y analizar los registros de acceso al sistema
Ver respuesta
Respuesta correcta: C
Cuestionar #53
¿Cuál es la MAYOR ventaja de las directrices y procedimientos operativos documentados desde el punto de vista de la seguridad?
A. Proporcionar instrucciones detalladas sobre cómo llevar a cabo diferentes tipos de tareas
B. Garantizar la coherencia de las actividades para proporcionar un entorno más estable
C. Garantizar el cumplimiento de las normas de seguridad y los requisitos reglamentarios
D. Garantizar la reutilización para cumplir los requisitos de calidad
Ver respuesta
Respuesta correcta: A
Cuestionar #54
La MEJOR manera de establecer un objetivo de tiempo de recuperación (RTO) que equilibre el coste con un plazo de recuperación realista es:
A. realizar un análisis de impacto empresarial
B. determinar el coste diario del tiempo de inactividad
C. analizar las métricas de costes
D. realizar una evaluación de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #55
¿Cuál de los siguientes es el individuo MÁS apropiado para implantar y mantener el nivel de seguridad de la información necesario para una aplicación empresarial específica?
A. Analista de sistemas
B. Responsable del control de calidad
C. Propietario del proceso
D. Responsable de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #56
A.
A.
B.
C.
Ver respuesta
Respuesta correcta: B
Cuestionar #57
¿Cuál de las siguientes técnicas sería la MEJOR prueba de la eficacia de la seguridad?
A. Realización de una prueba de penetración externa
B. Revisión de las políticas y normas de seguridad
C. Revisión de los registros de seguridad
D. Análisis de las prácticas técnicas de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #58
¿Cuál de los siguientes grupos estaría en MEJOR posición para realizar un análisis de riesgos para una empresa?
A. Auditores externos
B. Un grupo de pares dentro de una empresa similarC
C.
Ver respuesta
Respuesta correcta: A
Cuestionar #59
Una empresa ha desarrollado recientemente una tecnología revolucionaria. Dado que esta tecnología podría proporcionar a la empresa una importante ventaja competitiva, ¿cuál de los siguientes aspectos regiría PRIMERO la forma de proteger esta información?
A. Política de control de acceso
B. Política de clasificación de datos
C. Normas de cifrado
D. Política de uso aceptable
Ver respuesta
Respuesta correcta: C
Cuestionar #60
La autorización para transferir la gestión de un incidente de seguridad interno a un proveedor de asistencia externo viene definida PRIMARIAMENTE por el:
A. responsable de seguridad de la información
B. procedimientos de escalada
C. plan de recuperación en caso de catástrofe
D. cadena de custodia
Ver respuesta
Respuesta correcta: D
Cuestionar #61
Para garantizar la seguridad de la información de los servicios informáticos externalizados, ¿cuál de las siguientes es la actividad de diligencia debida MÁS importante?
A. Revisar muestras de informes de nivel de servicio del proveedor de servicios
B. Evaluar el nivel de concienciación en materia de seguridad del proveedor de servicios
C. Solicitar que el proveedor de servicios cumpla la política de seguridad de la información
D. Revisar el estado de seguridad del proveedor de servicios
Ver respuesta
Respuesta correcta: B

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono: