¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Mejore su rendimiento en el examen CISM de ISACA con simulacros de examen realistas

Libere el poder de las preguntas del examen CISM de ISACA de SPOTO para impulsar su viaje hacia la certificación de Gerente Certificado de Seguridad de la Información (CISM). Sumérgete en las preguntas y respuestas integrales del examen diseñadas para mejorar tu comprensión de la evaluación de riesgos, la implementación de la gobernabilidad y las estrategias de respuesta a incidentes. Con las preguntas de examen y los materiales de preparación para el examen de SPOTO, obtendrás una ventaja competitiva al enfrentar violaciones de datos, ataques de ransomware y otras amenazas de seguridad en evolución. Accede a valiosos materiales de estudio y recursos de examen diseñados para ayudarte a aprobar con éxito. Participe en exámenes de prueba realistas para simular el entorno del examen y aumentar su confianza. Prepárese con SPOTO y conviértase en un Gerente Certificado de Seguridad de la Información equipado para enfrentar los desafíos actuales de ciberseguridad con experiencia y confianza.
Realizar otros exámenes en línea
Cuestionar #1
La razón MÁS probable para utilizar evaluaciones cualitativas de riesgos para la seguridad en lugar de métodos cuantitativos es cuando:
A. una organización presta servicios en lugar de bienes tangibles
B. un programa de seguridad requiere una expresión independiente de los riesgos
C. los datos disponibles son demasiado subjetivos
D. existe un programa de seguridad maduro
Ver respuesta
Respuesta correcta: A
Cuestionar #2
¿Cuál de las siguientes opciones es la MEJOR para garantizar la integridad de los mensajes, la autenticación de la identidad del remitente y el no repudio?
A. Criptografía simétrica
B. Infraestructura de clave pública (PKI)
C. Hashing de mensajes
D. Código de autenticación de mensajes
Ver respuesta
Respuesta correcta: B
Cuestionar #3
Las políticas de seguridad de la información deben reflejar PRIMARIAMENTE:
A. requisitos de cumplimiento
B. mejores prácticas del sector
C. normas de seguridad de los datos
D. intención de la alta dirección
Ver respuesta
Respuesta correcta: D
Cuestionar #4
Si no se incluyen los requisitos de seguridad de la información en la decisión de construcción/compra, lo MÁS probable es que sea necesario:
A. controles compensatorios en el entorno operativo
B. conformidad del producto comercial con las normas de la empresA
C. normas de programación de fuentes más estrictas
D. escaneado de seguridad de las plataformas operativas
Ver respuesta
Respuesta correcta: A
Cuestionar #5
La ventaja del túnel de red privada virtual (VPN) para usuarios remotos es que:
A. ayuda a garantizar la seguridad de las comunicaciones
B. aumenta la seguridad entre sistemas multinivel
C. permite cambiar las contraseñas con menos frecuenciA
D. elimina la necesidad de autenticación secundariA
Ver respuesta
Respuesta correcta: A
Cuestionar #6
¿Cuál de los siguientes es el factor MÁS importante a la hora de diseñar una arquitectura de seguridad de la información?
A. Interfaces técnicas de la plataforma
B. Escalabilidad de la red
C. Metodologías de desarrollo
D. Requisitos de las partes interesadas
Ver respuesta
Respuesta correcta: D
Cuestionar #7
¿Cuál de las siguientes es la razón PRINCIPAL por la que las redes sociales se han convertido en un blanco popular de ataques?
A. La prevalencia del perímetro fuerte
B. La eficacia reducida de los controles de acceso
C. El elemento de confianza creado por los medios sociales
D. La accesibilidad de los medios sociales desde múltiples lugares
Ver respuesta
Respuesta correcta: D
Cuestionar #8
¿Cuál de las siguientes es la MEJOR línea de actuación para el responsable de seguridad de la información cuando el riesgo residual está por encima del nivel de riesgo aceptable?
A. Realizar un análisis coste-beneficio
B. Recomendar controles adicionales
C. Realizar una evaluación de riesgos
D. Diferir a la dirección empresarial
Ver respuesta
Respuesta correcta: B
Cuestionar #9
¿Cuál de los siguientes es el MEJOR indicador de una práctica de gestión de riesgos eficaz?
A. Se cuantifica el riesgo global
B. Se elimina el riesgo inherente
C. Se minimiza el riesgo residual
D. El riesgo de control está vinculado a las unidades de negocio
Ver respuesta
Respuesta correcta: C
Cuestionar #10
¿Cuál de los siguientes puntos es MÁS probable que se incluya en la política de seguridad de la información de una empresa?
A. Estrategia de vigilancia de la seguridad
B. Requisitos de revisión de la pista de auditoría
C. Requisitos de composición de las contraseñas
D. Consecuencias del incumplimiento
Ver respuesta
Respuesta correcta: D
Cuestionar #11
El análisis de vulnerabilidades ha detectado un riesgo crítico en una aplicación empresarial vital. ¿Cuál de las siguientes acciones debería llevar a cabo PRIMERO el responsable de seguridad de la información?
A. Informar del riesgo empresarial a la alta dirección
B. Confirmar el riesgo con el empresario
C. Actualizar el registro de riesgos
D. Crear una solicitud de cambio de emergenciA
Ver respuesta
Respuesta correcta: B
Cuestionar #12
Debe colocarse un sistema de detección de intrusos:
A. fuera del cortafuegos
B. en el servidor cortafuegos
C. en una subred apantalladA
D. en el router externo
Ver respuesta
Respuesta correcta: C
Cuestionar #13
Una organización ha anunciado nuevas iniciativas para establecer una plataforma de big data y desarrollar aplicaciones móviles. Cuál es el PRIMER paso a la hora de definir los nuevos requisitos de recursos humanos?
A. Solicitar financiación adicional para contratación y formación
B. Analizar las competencias necesarias para apoyar las nuevas iniciativas
C. Comparación con un homólogo del sector
D. Determinar los requisitos tecnológicos de seguridad para las iniciativas
Ver respuesta
Respuesta correcta: B
Cuestionar #14
Lo ideal sería que el director de seguridad de la información (CISO) tuviera una relación de subordinación directa con el:
A. jefe de auditoría internA
B. director de operaciones (COO)
C. director de tecnología (CTO)
D. asesor jurídico
Ver respuesta
Respuesta correcta: B
Cuestionar #15
La dirección ha expresado su preocupación por no estar plenamente informada de los principales riesgos para la seguridad de la información asociados a la organización. ¿Cuál de las siguientes medidas debería adoptarse PRIMERO para responder a esta preocupación?
A. Preparar una presentación sobre iniciativas de seguridad de la información para la dirección
B. Presentar un informe sobre las tendencias y puntos de referencia del sector de la seguridad de la información
C. Determinar los parámetros deseados y elaborar un calendario de presentación de informes
D. Desarrollar un programa de formación continua de concienciación sobre riesgos y seguridad para la dirección
Ver respuesta
Respuesta correcta: C
Cuestionar #16
¿Cuál de las siguientes opciones es la MÁS útil para alinear las operaciones de seguridad con el marco de gobernanza de TI?
A. Política de seguridad de la información
B. Evaluación de los riesgos de seguridad
C. Programa de operaciones de seguridad
D. Análisis del impacto en la empresa (BIA)
Ver respuesta
Respuesta correcta: A
Cuestionar #17
El consejo de administración de una empresa se ha enterado de la reciente legislación que obliga a las empresas del sector a adoptar salvaguardias específicas para proteger la información confidencial de los clientes. ¿Qué medidas debe tomar la junta directiva?
A. Dirigir la seguridad de la información sobre lo que tienen que hacer
B. Investigar las soluciones adecuadas
C. Exigir a la dirección que informe sobre el cumplimiento
D. Nada; la seguridad de la información no informa al consejo
Ver respuesta
Respuesta correcta: C
Cuestionar #18
¿Cuál de los siguientes principios de seguridad de la información es MÁS probable que cumpla un responsable de seguridad de la información que asigna una descripción de puesto a tipos de acceso a datos?
A. Ética
B. Proporcionalidad
C. Integración
D. Rendición de cuentas
Ver respuesta
Respuesta correcta: B
Cuestionar #19
¿Cuál de las siguientes es la directriz MÁS importante a la hora de utilizar software para buscar riesgos de seguridad en una red corporativa?
A. Nunca utilice herramientas de código abierto
B. Centrarse sólo en los servidores de producción
C. Seguir un proceso lineal para los ataques
D. No interrumpir los procesos de producción
Ver respuesta
Respuesta correcta: D
Cuestionar #20
Cuando un cambio de sistema propuesto infringe una norma de seguridad existente, el conflicto se resolvería MEJOR:
A. calcular el riesgo residual
B. hacer cumplir la norma de seguridad
C. rediseñar el cambio de sistemA
D. implementar controles de mitigación
Ver respuesta
Respuesta correcta: D
Cuestionar #21
Las políticas de seguridad de la información deben:
A. abordar las vulnerabilidades de la red corporativA
B. abordar el proceso de comunicación de una infracción
C. ser sencillo y fácil de entender
D. personalizarse para grupos y funciones específicos
Ver respuesta
Respuesta correcta: C
Cuestionar #22
Existe un lapso de tiempo entre el momento en que se publica por primera vez una vulnerabilidad de seguridad y el momento en que se suministra un parche. ¿Cuál de las siguientes acciones debería llevarse a cabo PRIMERO para mitigar el riesgo durante este periodo de tiempo?
A. Identificar los sistemas vulnerables y aplicar controles compensatorios
B. Minimizar el uso de sistemas vulnerables
C. Comunicar la vulnerabilidad a los usuarios del sistema
D. Actualizar la base de datos de firmas del sistema de detección de intrusos (IDS)
Ver respuesta
Respuesta correcta: A
Cuestionar #23
Una organización global ha desarrollado una estrategia para compartir una base de datos de información de clientes entre oficinas de dos países. En esta situación, lo MÁS importante es garantizar:
A. el intercambio de datos cumple las leyes y normativas locales en ambos lugares
B. los datos se cifran en tránsito y en reposo
C. se firma un acuerdo de confidencialidad
D. la cobertura del riesgo se divide entre las dos ubicaciones que comparten datos
Ver respuesta
Respuesta correcta: A
Cuestionar #24
La MEJOR estrategia para la gestión de riesgos es:
A. lograr un equilibrio entre el riesgo y los objetivos de la organización
B. reducir el riesgo a un nivel aceptable
C. garantizar que en la elaboración de las políticas se tengan debidamente en cuenta los riesgos organizativos
D. asegurarse de que todos los riesgos no mitigados son aceptados por la dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #25
¿Cuál de las siguientes sería la MEJOR forma de proceder del responsable de seguridad de la información para obtener la aprobación de la inversión en un control técnico?
A. Realizar un análisis de costes y beneficios
B. Realizar una evaluación de riesgos
C. Calcular el factor de exposición
D. Realizar un análisis de impacto en el negocio (BIA)
Ver respuesta
Respuesta correcta: D
Cuestionar #26
Las políticas de seguridad deben alinearse MÁS estrechamente con:
A. las mejores prácticas de la industriA
B. necesidades organizativas
C. normas generalmente aceptadas
D. leyes y reglamentos locales
Ver respuesta
Respuesta correcta: B
Cuestionar #27
Desde la perspectiva de un responsable de seguridad de la información, ¿cuál es el beneficio inmediato de unas funciones y responsabilidades claramente definidas?
A. Mayor cumplimiento de la política
B. Mejora de los flujos de procedimientos
C. Separación de funciones
D. Mejor rendición de cuentas
Ver respuesta
Respuesta correcta: D
Cuestionar #28
El motor PRIMARIO para obtener recursos externos para ejecutar el programa de seguridad de la información es que los recursos externos puedan:
A. aportar conocimientos rentables de los que no se dispone internamente
B. hacerse responsable del cumplimiento de los requisitos del programa de seguridad
C. sustituir la dependencia de los recursos internos
D. ofrecer resultados más eficaces gracias a sus conocimientos
Ver respuesta
Respuesta correcta: A
Cuestionar #29
Un riesgo ha sido formalmente aceptado y documentado. ¿Cuál de las siguientes es la acción MÁS importante para un responsable de seguridad de la información?
A. Actualizar los niveles de tolerancia al riesgo
B. Notifíquelo a la alta dirección y al consejo
C. Supervisar el entorno para detectar cambios
D. Reevaluar la propensión al riesgo de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #30
¿Cuál de las siguientes opciones ayudaría a cambiar la cultura de seguridad de una organización?
A. Desarrollar procedimientos para hacer cumplir la política de seguridad de la información
B. Obtener un fuerte apoyo de la dirección
C. Aplicar estrictos controles técnicos de seguridad
D. Auditar periódicamente el cumplimiento de la política de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #31
La conservación de los documentos comerciales debe basarse PRIMARIAMENTE en:
A. estrategia y dirección empresarial
B. requisitos reglamentarios y legales
C. capacidad de almacenamiento y longevidad
D. facilidad de negocio y análisis de valor
Ver respuesta
Respuesta correcta: B
Cuestionar #32
Los proyectos de seguridad de la información deben priorizarse en función de:
A. tiempo necesario para la aplicación
B. impacto en la organización
C. coste total de aplicación
D. combinación de recursos necesarios
Ver respuesta
Respuesta correcta: B
Cuestionar #33
¿Cuál de las siguientes actividades de gestión del cambio sería un claro indicador de que es necesario examinar los procedimientos operativos normales? Un alto porcentaje de:
A. solicitudes de cambio similares
B. aplazamientos de solicitudes de cambio
C. solicitudes de cambio canceladas
D. solicitudes de cambio urgentes
Ver respuesta
Respuesta correcta: D
Cuestionar #34
¿Cuál de las siguientes opciones promueve MEJOR la responsabilidad de las partes interesadas en la gestión de los riesgos para la seguridad de la información?
A. Procedimientos de seguridad específicos
B. Establecimiento de la propiedad de la información
C. Establecimiento de líneas de base de seguridad
D. Revisiones periódicas por incumplimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #35
A un responsable de seguridad de la información se le ha pedido que cree una estrategia para proteger la información de la organización frente a diversos vectores de amenaza. ¿Cuál de las siguientes acciones debería realizarse PRIMERO?
A. Realizar un ejercicio de modelización de amenazas
B. Elaborar un perfil de riesgo
C. Diseñar procesos de gestión de riesgos
D. Seleccionar un marco de gobernanza
Ver respuesta
Respuesta correcta: B
Cuestionar #36
¿Cuál de las siguientes debe ser la consideración PRIMARIA a la hora de desarrollar un marco de gobernanza de la seguridad para una empresa?
A. Comprensión de la estrategia empresarial actual
B. Evaluación de la arquitectura de seguridad actual
C. Resultados de un análisis de impacto en la empresa (BIA)
D. Comparación con las mejores prácticas del sector
Ver respuesta
Respuesta correcta: A
Cuestionar #37
¿Cuál de las siguientes opciones sería la MÁS importante para incluir en un caso de negocio para ayudar a obtener el compromiso de la alta dirección para una inversión en seguridad de la información?
A. Resultados de una auditoría independiente
B. Mejores prácticas del sector
C. Valor empresarial proyectado
D. Referencia a las políticas empresariales
Ver respuesta
Respuesta correcta: C
Cuestionar #38
¿Cuál de las siguientes es la información MÁS importante que debe incluirse en un plan estratégico de seguridad de la información?
A. Requisitos de personal para la seguridad de la información
B. Estado actual y estado futuro deseado
C. Necesidades de inversión en TI
D. declaración de misión de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #39
¿Cuál de las siguientes debe ser la base PRIMARIA para determinar la propensión al riesgo?
A. Objetivos de la organización
B. Aportaciones de la alta dirección
C. Puntos de referencia del sector
D. Resultados de la auditoría independiente
Ver respuesta
Respuesta correcta: A
Cuestionar #40
¿Cuál sería la razón PRIMARIA para que una organización llevara a cabo un ataque de phishing simulado contra sus empleados como parte de una evaluación de ingeniería social?
A. Medir la eficacia de la formación sobre concienciación en materia de seguridad
B. Identificar la necesidad de controles de seguridad atenuantes
C. Medir la eficacia de la solución antispam
D. Comprobar la eficacia del plan de respuesta a incidentes
Ver respuesta
Respuesta correcta: A
Cuestionar #41
La razón MÁS importante para mantener indicadores clave de riesgo (KRI) es que:
A. las amenazas y vulnerabilidades evolucionan continuamente
B. son necesarios para verificar el cumplimiento de las leyes y reglamentos
C. ayudan a evaluar el rendimiento del programa de seguridad
D. la dirección los utiliza para tomar decisiones empresariales con conocimiento de causA
Ver respuesta
Respuesta correcta: A
Cuestionar #42
El objetivo PRIMARIO de un programa de gestión de riesgos corporativos es garantizar que los:
A. Los activos informáticos de las funciones empresariales clave están protegidos
B. los riesgos empresariales se abordan mediante controles preventivos
C. los objetivos establecidos son alcanzables
D. Las instalaciones y sistemas informáticos están siempre disponibles
Ver respuesta
Respuesta correcta: C
Cuestionar #43
Un responsable de seguridad de la información ha recibido el encargo de poner en marcha un programa de formación sobre concienciación en materia de seguridad. Cuál de los siguientes factores influirá MÁS en la eficacia de este programa?
A. Obtener la aprobación de la alta dirección
B. Adaptar la formación al entorno de la organización
C. Obtener la aceptación de los usuarios finales
D. Basar el programa de formación en las mejores prácticas del sector
Ver respuesta
Respuesta correcta: C
Cuestionar #44
Debido a su importancia para la empresa, una organización quiere implantar rápidamente una solución técnica que se desvíe de las políticas de la empresa. Un responsable de seguridad de la información debe:
A. realizar una evaluación de riesgos y autorizar o denegar en función del resultado
B. recomendar una evaluación de riesgos y su aplicación sólo si se aceptan los riesgos residuales
C. recomendar que no se aplique porque infringe las políticas de la empresA
D. recomendar la revisión de la política actual
Ver respuesta
Respuesta correcta: B
Cuestionar #45
En una organización multinacional, las normas de seguridad locales deben aplicarse por encima de la política de seguridad global porque:
A. os objetivos empresariales son definidos por los directores de las unidades de negocio locales
B. esplegar el conocimiento de la normativa local es más práctico que el de la política mundial
C. as políticas de seguridad globales incluyen controles innecesarios para las empresas locales
D. revalecen los requisitos de la normativa local
Ver respuesta
Respuesta correcta: D
Cuestionar #46
¿Cuál de las siguientes es la MEJOR razón para desarrollar políticas integrales de seguridad de la información?
A. Cumplir la normativa externa industrial y gubernamental
B. Apoyar el desarrollo de indicadores de riesgo eficaces
C. Adaptar el programa de seguridad de la información a la estrategia de la organización
D. Obtener el apoyo de la alta dirección para el programa de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #47
¿Cuál de los siguientes entornos representa el MAYOR riesgo para la seguridad de la organización?
A. Servidor de archivos gestionado localmente
B. Almacén de datos de la empresa
C. Clúster de servidores web de carga equilibrada
D. Conmutador de datos gestionado centralmente
Ver respuesta
Respuesta correcta: A
Cuestionar #48
La alta dirección ha expresado su preocupación por el hecho de que el sistema de prevención de intrusiones de la organización pueda interrumpir repetidamente las operaciones empresariales. ¿Cuál de las siguientes opciones indica MEJOR que el responsable de seguridad de la información ha ajustado el sistema para responder a esta preocupación?
A. Reducir los falsos positivos
B. Reducir los falsos negativos
C. Aumento de los falsos positivos
D. Aumento de falsos negativos
Ver respuesta
Respuesta correcta: A
Cuestionar #49
La decisión de si un riesgo se ha reducido a un nivel aceptable debe determinarse mediante:
A. requisitos organizativos
B. requisitos de los sistemas de información
C. requisitos de seguridad de la información
D. normas internacionales
Ver respuesta
Respuesta correcta: A
Cuestionar #50
La razón PRINCIPAL para desplegar una infraestructura de clave pública (PKI) al implantar un programa de seguridad de la información es:
A. garantizar la confidencialidad del material sensible
B. proporcionar una alta garantía de identidad
C. permitir el despliegue del directorio activo
D. implementar el cifrado SSL (secure sockets layer)
Ver respuesta
Respuesta correcta: B
Cuestionar #51
El objetivo PRIMARIO en el desarrollo de una estrategia de seguridad de la información es:
A. establecer métricas de seguridad y supervisión del rendimiento
B. educar a los propietarios de los procesos de negocio sobre sus obligaciones
C. garantizar el cumplimiento de los requisitos legales y reglamentarios
D. apoyar los objetivos empresariales de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #52
De los siguientes, ¿qué aportación es de MAYOR importancia en el desarrollo de una estrategia de seguridad de la información?
A. Usuarios finales
B. Auditores corporativos
C. Propietarios de procesos
D. Arquitectos de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #53
¿Cuál de los siguientes objetivos de seguridad es el MEJOR para garantizar la protección de la información frente a modificaciones no autorizadas?
A. Autenticidad
B. Disponibilidad
C. Confidencialidad
D. Integridad
Ver respuesta
Respuesta correcta: D
Cuestionar #54
¿Cuál de las siguientes opciones es la MÁS importante a la hora de desarrollar una estrategia de seguridad?
A. Crear un entorno de seguridad empresarial positivo
B. Comprender los objetivos clave de la empresa
C. Tener una línea de información con la alta dirección
D. Asignar recursos suficientes a la seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #55
A la hora de determinar el alcance de una evaluación de riesgos, los activos deben clasificarse por:
A. probabilidad e impacto
B. sensibilidad y criticidad
C. amenazas y oportunidades
D. redundancia y recuperabilidad
Ver respuesta
Respuesta correcta: B
Cuestionar #56
¿Cuál de las siguientes vulnerabilidades presenta el MAYOR riesgo de que piratas informáticos externos accedan a la red corporativa?
A. Equipos internos que ejecutan servicios innecesarios
B. Registro inadecuado
C. Excesivos derechos administrativos sobre una base de datos interna
D. Falta de parches en una estación de trabajo
Ver respuesta
Respuesta correcta: C
Cuestionar #57
Una organización sin ningún programa formal de seguridad de la información que haya decidido aplicar las mejores prácticas de seguridad de la información debería PRIMERO:
A. invitar a un consultor externo a crear la estrategia de seguridad
B. asignar el presupuesto basándose en las mejores prácticas
C. organizaciones similares de referenciA
D. definir requisitos de seguridad empresarial de alto nivel
Ver respuesta
Respuesta correcta: D
Cuestionar #58
¿Cuál de los siguientes es el factor MÁS importante para garantizar que la seguridad de la información cumple los objetivos de la organización?
A. Participación de la auditoría interna en el proceso de seguridad
B. Implantación de un proceso de autoevaluación del control
C. Establecimiento de umbrales de riesgo aceptables
D. Implantación de un programa de concienciación sobre seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #59
¿En qué fase del proyecto debe desarrollarse un plan de pruebas para validar los controles de seguridad de un nuevo sistema?
A. Pruebas
B. Iniciación
C. Diseño
D. Desarrollo
Ver respuesta
Respuesta correcta: C
Cuestionar #60
¿Cuál de las siguientes debería ser la consideración MÁS importante a la hora de comunicar información sensible sobre riesgos a las partes interesadas?
A. Garantizar el no repudio de la comunicación
B. Consulta con el director de relaciones públicas
C. Transmisión segura de la comunicación interna
D. Adaptar la comunicación a la audiencia
Ver respuesta
Respuesta correcta: C
Cuestionar #61
¿Cuál de las siguientes es la MAYOR ventaja de integrar los requisitos del programa de seguridad de la información en la gestión de proveedores?
A. La capacidad de reducir el riesgo en la cadena de suministro
B. Capacidad para cumplir los requisitos de la industria
C. Capacidad para definir acuerdos de nivel de servicio (SLA)
D. La capacidad de mejorar el rendimiento de los proveedores
Ver respuesta
Respuesta correcta: A
Cuestionar #62
¿Qué pretende identificar una evaluación de la vulnerabilidad de la red?
A. vulnerabilidades de día 0
B. Software malicioso y spyware
C. Defectos en el diseño de seguridad
D. Mala configuración y falta de actualizaciones
Ver respuesta
Respuesta correcta: D
Cuestionar #63
Para el acceso de red privada virtual (VPN) a la red corporativa, el responsable de seguridad de la información exige una autenticación fuerte. Cuál de los siguientes es el método más sólido para garantizar que el inicio de sesión en la red sea seguro?
A. Biometría
B. Claves de cifrado simétricas
C. Autenticación basada en Secure Sockets Layer (SSL)
D. Autenticación de dos factores
Ver respuesta
Respuesta correcta: D
Cuestionar #64
¿Cuál de las siguientes técnicas sería la MEJOR prueba de la eficacia de la seguridad?
A. Realización de una prueba de penetración externa
B. Revisión de las políticas y normas de seguridad
C. Revisión de los registros de seguridad
D. Análisis de las prácticas técnicas de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #65
¿En cuál de los siguientes debe colocarse un cortafuegos?
A. Servidor web
B. Servidor del sistema de detección de intrusos (IDS)
C. Subred filtrada
D. Límite del dominio
Ver respuesta
Respuesta correcta: D
Cuestionar #66
Un propósito PRIMARIO de la creación de políticas de seguridad es:
A. aplicar la estrategia de gobernanza de la dirección
B. establecer la forma en que deben ejecutarse las tareas de seguridad
C. comunicar las expectativas de seguridad de la dirección
D. definir los límites de seguridad permitidos
Ver respuesta
Respuesta correcta: B
Cuestionar #67
¿En cuál de los siguientes hitos se alcanza el objetivo de tiempo de recuperación (RTO)?
A. Declaración de catástrofe
B. Recuperación de las copias de seguridad
C. Restauración del sistema
D. Volver a la tramitación habitual
Ver respuesta
Respuesta correcta: C
Cuestionar #68
¿En qué fase del proceso de desarrollo de aplicaciones debe intervenir inicialmente el departamento de seguridad?
A. Cuando se solicite
B. En las pruebas
C. En programación
D. Requisitos detallados
Ver respuesta
Respuesta correcta: D
Cuestionar #69
El objetivo MÁS importante del seguimiento de los indicadores clave de riesgo (KRI) relacionados con la seguridad de la información es:
A. identificar cambios en las exposiciones de seguridad
B. reducir los costes de gestión de riesgos
C. cumplir los requisitos normativos
D. minimizar las pérdidas por incidentes de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #70
¿Cuál de los siguientes es el MEJOR método para garantizar el cumplimiento de las normas sobre contraseñas?
A. Implantación de software de sincronización de contraseñas
B. Un programa de sensibilización de los usuarios
C. Aplicación automatizada de las reglas de sintaxis de contraseñas
D. Usar software para descifrar contraseñas
Ver respuesta
Respuesta correcta: C
Cuestionar #71
El enfoque MÁS eficaz para abordar los problemas que surgen entre la dirección de TI, las unidades de negocio y la dirección de seguridad al implantar una nueva estrategia de seguridad es que el responsable de seguridad de la información:
A. escalar los problemas a un tercero externo para su resolución
B. asegurarse de que la alta dirección otorga autoridad a la seguridad para abordar los problemas
C. insistir en que los directivos o unidades que no estén de acuerdo con la solución de seguridad acepten el riesgo
D. remitir los problemas a la alta dirección junto con las recomendaciones de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #72
Tras obtener el compromiso de la alta dirección, ¿cuál de los siguientes puntos debe completarse PRÓXIMAMENTE al establecer un programa de seguridad de la información?
A. Definir las métricas de seguridad
B. Realizar una evaluación de riesgos
C. Realizar un análisis de carencias
D. Adquirir herramientas de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #73
¿Cuál de las siguientes opciones sería la MÁS útil para ilustrar a la alta dirección el estado de un marco de gobernanza de la seguridad de la información recientemente implantado?
A. Una evaluación de riesgos
B. Una evaluación de la amenaza
C. Un modelo de madurez
D. Resultados de las pruebas periódicas
Ver respuesta
Respuesta correcta: C
Cuestionar #74
La razón PRIMARIA para definir las funciones y responsabilidades de seguridad de la información del personal en toda una organización es:
A. reforzar la necesidad de formación
B. aumentar la responsabilidad de las empresas
C. cumplir la política de seguridad
D. imponer la responsabilidad individual
Ver respuesta
Respuesta correcta: C
Cuestionar #75
¿Cuál de las siguientes actividades incorporaría MEJOR la seguridad al ciclo de vida de desarrollo de software (SDLC)?
A. Minimizar el uso de software de código abierto
B. Incluir formación en seguridad para el equipo de desarrollo
C. Analizar los sistemas operativos en busca de vulnerabilidades
D. Probar las aplicaciones antes de ponerlas en marchA
Ver respuesta
Respuesta correcta: D
Cuestionar #76
¿Cuál es la función PRIMARIA del programa de seguridad de la información?
A. Desarrollar y aplicar un conjunto de políticas de seguridad alineadas con la empresa
B. Educar a las partes interesadas sobre los requisitos de seguridad de la información
C. Realizar evaluaciones periódicas de riesgos y análisis de impacto en las empresas (BIA)
D. Orientar en la gestión de los riesgos de seguridad de la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #77
¿Cuál de las siguientes opciones garantiza MEJOR que las modificaciones realizadas en las aplicaciones empresariales desarrolladas internamente no introducen nuevos riesgos de seguridad?
A. Pruebas de resistencia
B. Gestión de parches
C. Gestión del cambio
D. Líneas de base de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #78
¿Cuál de los siguientes es un ejemplo de vulnerabilidad?
A. Catástrofes naturales
B. Software defectuoso
C. Ransomware
D. Usuarios no autorizados
Ver respuesta
Respuesta correcta: B
Cuestionar #79
Un responsable de seguridad de la información está implantando un programa BYOD (traiga su propio dispositivo). Cuál de las siguientes opciones es la MEJOR para garantizar que los usuarios cumplen las normas de seguridad?
A. Supervisar las actividades de los usuarios en la red
B. Publicar las normas en la página de inicio de la intranet
C. Establecer una política de uso aceptable
D. Desplegar una solucion de gestion de dispositivos
Ver respuesta
Respuesta correcta: D
Cuestionar #80
A efectos de gestión de riesgos, el valor de un activo debe basarse en:
A. coste original
B. flujo de caja neto
C. valor actual neto
D. coste de sustitución
Ver respuesta
Respuesta correcta: D
Cuestionar #81
¿Cuál de las siguientes es la forma MÁS eficaz de tratar un riesgo como una catástrofe natural de baja probabilidad y alto nivel de impacto?
A. Aplicar contramedidas
B. Eliminar el riesgo
C. Transferir el riesgo
D. Aceptar el riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #82
¿Cuál de los siguientes es el requisito MÁS importante para establecer una infraestructura de seguridad de la información para un nuevo sistema?
A. Realizar un análisis del impacto en la empresa (BIA)
B. Consideración de los dispositivos de información personal como parte de la política de seguridad
C. Iniciar la formación y la familiarización con la seguridad informática
D. Basar la infraestructura de seguridad de la información en la evaluación de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #83
¿Cuál de los siguientes elementos rara vez se modifica en respuesta a los cambios tecnológicos?
A. Normas
B. Procedimientos
C. Políticas
D. Directrices
Ver respuesta
Respuesta correcta: C
Cuestionar #84
¿Cuál de las siguientes opciones ayudaría a la dirección a determinar los recursos necesarios para mitigar un riesgo para la organización?
A. Proceso de análisis de riesgos
B. Análisis del impacto en la empresa (BIA)
C. Cuadro de mando integral de la gestión de riesgos
D. Programa de auditoría basado en el riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #85
Una forma de determinar la eficacia del control es determinando:
A. si es preventiva, detectivesca o compensatoriA
B. la capacidad de proporcionar notificación de fallo
C. los resultados de las pruebas de los objetivos previstos
D. la evaluación y el análisis de la fiabilidad
Ver respuesta
Respuesta correcta: C
Cuestionar #86
Una auditoría interna ha detectado importantes deficiencias en el procesamiento informático. ¿Cuál de las siguientes opciones debería utilizar un responsable de seguridad de la información para MEJOR transmitir una sensación de urgencia a la dirección?
A. Informes de métricas de seguridad
B. Informes de evaluación de riesgos
C. Análisis del impacto en la empresa (BIA)
D. Informe sobre el rendimiento de la inversión en seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #87
¿Cuál de las siguientes opciones debería utilizar un programa de gestión de la seguridad de la información eficaz para determinar la cantidad de recursos dedicados a mitigar los riesgos?
A. Resultados del análisis de riesgos
B. Conclusiones del informe de auditoría
C. Resultados de las pruebas de penetración
D. Importe del presupuesto de TI disponible
Ver respuesta
Respuesta correcta: A
Cuestionar #88
¿Cuál de las siguientes opciones es la MEJOR para garantizar que la evaluación de los riesgos de seguridad se integra en el ciclo de vida de los grandes proyectos informáticos?
A. Integración de la evaluación de riesgos en el programa de auditoría interna
B. Aplicación de normas de seguridad globales a los proyectos informáticos
C. Formación de los gestores de proyectos en materia de evaluación de riesgos
D. Hacer que el responsable de la seguridad de la información participe en los comités de establecimiento del proyecto
Ver respuesta
Respuesta correcta: B
Cuestionar #89
Un CIO ha pedido al responsable de seguridad de la información de la organización que presente planes a uno y cinco años para el programa de seguridad de la información. ¿Cuál es el objetivo PRIMARIO del plan a largo plazo?
A. Crear requisitos formales para satisfacer las necesidades de seguridad previstas para el futuro
B. Crear y documentar una progresión coherente de las capacidades de seguridad
C. Priorizar los riesgos a una escala mayor que el plan de un año
D. Facilitar la mejora continua de la organización informática
Ver respuesta
Respuesta correcta: D
Cuestionar #90
¿Cuál de las siguientes es la aprobación de gestión MÁS importante para migrar un sistema de procesamiento de pedidos de un entorno de pruebas a un entorno de producción?
A. Usuario
B. Seguridad
C. Operaciones
D. Base de datos
Ver respuesta
Respuesta correcta: A
Cuestionar #91
Un director de seguridad de la información recién contratado que revise un plan de inversión en seguridad existente es MUY probable que se preocupe cuando el plan:
A. se basa únicamente en un examen de las amenazas a la seguridad y las vulnerabilidades de los sistemas informáticos existentes
B. identifica las posibles repercusiones que la implantación puede tener en los procesos empresariales
C. se centra en el cumplimiento de las normas internacionales comunes de seguridad
D. ha resumido los costes informáticos de aplicación en lugar de detallarlos
Ver respuesta
Respuesta correcta: A
Cuestionar #92
¿Cuál debería ser el PRIMER curso de acción de un responsable de seguridad de la información cuando una organización está sujeta a un nuevo requisito normativo?
A. Realizar un análisis de carencias
B. Completar una evaluación de control
C. Presentar un argumento comercial que respalde el cumplimiento
D. Actualización del registro de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #93
La estrategia de seguridad de la información de una organización debe basarse en:
A. gestionar el riesgo en relación con los objetivos empresariales
B. gestionar el riesgo hasta un nivel cero y minimizar las primas de seguro
C. evitar la aparición de riesgos para que no sea necesario el seguro
D. transferir la mayoría de los riesgos a las aseguradoras y ahorrar en costes de control
Ver respuesta
Respuesta correcta: A
Cuestionar #94
¿Cuál de las siguientes opciones es la MEJOR para garantizar la eficacia de los controles de seguridad?
A. Políticas de evaluación de riesgos
B. Retorno de la inversión en seguridad
C. Métricas de seguridad
D. Derechos de acceso de los usuarios
Ver respuesta
Respuesta correcta: C
Cuestionar #95
La decisión sobre el nivel de protección que debe darse a un activo concreto en BEST viene determinada por:
A. una evaluación de la amenazA
B. una evaluación de la vulnerabilidad
C. un análisis de riesgos
D. el apetito de riesgo de la empresA
Ver respuesta
Respuesta correcta: C
Cuestionar #96
¿Cuál de las siguientes es la razón PRIMARIA para implantar un programa de gestión de riesgos?
A. Permite a la organización eliminar riesgos
B. Es una parte necesaria de la diligencia debida de la dirección
C. Satisface los requisitos reglamentarios y de auditoría
D. Ayuda a incrementar el rendimiento de la inversión (ROD
Ver respuesta
Respuesta correcta: B
Cuestionar #97
A la hora de desarrollar una estrategia de seguridad de la información, el requisito MÁS importante es que:
A. las normas captan la intención de la dirección
B. se elabora un calendario para alcanzar los objetivos
C. se conoce el resultado deseado
D. se desarrollan los factores críticos de éxito (FCE)
Ver respuesta
Respuesta correcta: A
Cuestionar #98
Durante la revisión de seguridad de una aplicación empresarial heredada, se descubrió que los datos confidenciales de los clientes no están cifrados en el almacenamiento, lo que no cumple la política de seguridad de la información de la organización. ¿Cuál de las siguientes sería la MEJOR medida que podría tomar el responsable de seguridad de la información?
A. Implementar el cifrado en los datos del cliente
B. Informar del incumplimiento a la alta dirección
C. Analizar los controles compensatorios y evaluar el riesgo asociado
D. Determine el coste del cifrado y coméntelo con el propietario de la aplicación
Ver respuesta
Respuesta correcta: C
Cuestionar #99
Al tratar de integrar la seguridad de la información en toda una organización, el objetivo MÁS importante para un órgano de gobierno debe ser garantizar:
A. los recursos utilizados para los proyectos de seguridad de la información se reducen al mínimo
B. la seguridad de la información se trata como una cuestión crítica para la empresA
C. se apruebe la financiación de los proyectos de seguridad de la información solicitados
D. se realizan auditorías periódicas de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #100
Después de mitigar un riesgo, ¿cuál de las siguientes es la MEJOR manera de garantizar que el riesgo residual se mantiene dentro de la tolerancia al riesgo establecida por la organización?
A. Introducir nuevos escenarios de riesgo para comprobar la eficacia del programA
B. Supervisar el entorno de seguridad para detectar cambios en los riesgos
C. Llevar a cabo programas para promover la concienciación de los usuarios sobre los riesgos
D. Realizar un análisis de impacto empresarial (BIA)
Ver respuesta
Respuesta correcta: A
Cuestionar #101
¿Cuál de las siguientes opciones sería la MEJOR para mitigar oportunamente las vulnerabilidades identificadas?
A. Herramienta de supervisión continua de vulnerabilidades
B. Categorización de las vulnerabilidades en función de la criticidad del sistema
C. Seguimiento de los indicadores clave de riesgo (KRI)
D. Plan de acción con responsabilidades y plazos
Ver respuesta
Respuesta correcta: C
Cuestionar #102
El resultado MÁS importante de la gobernanza de la seguridad de la información es:
A. evitar el riesgo empresarial
B. toma de decisiones con conocimiento de causA
C. alineación con los objetivos empresariales
D. alineación con los requisitos de cumplimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #103
¿Cuál de las siguientes es la ventaja MÁS significativa de desarrollar una estrategia de seguridad de la información bien definida?
A. Apoyo a la participación de los empleados de la organización
B. Asignación de recursos a las prioridades más importantes
C. Prevención de las desviaciones de los umbrales de tolerancia del riesgo
D. Mayor madurez de los procesos de respuesta a incidentes
Ver respuesta
Respuesta correcta: C
Cuestionar #104
¿Cuál de los siguientes es un criterio importante para desarrollar indicadores clave de riesgo (KRI) eficaces para supervisar el riesgo de seguridad de la información?
A. El indicador debe poseer una alta correlación con un riesgo específico y medirse con regularidad
B. El indicador debe centrarse en las TI y representar con precisión las variaciones de riesgo
C. El indicador debe alinearse con los indicadores clave de rendimiento y medir las causas raíz de los problemas de rendimiento del proceso
D. El indicador debe proporcionar una visión retrospectiva de los impactos del riesgo y medirse anualmente
Ver respuesta
Respuesta correcta: A
Cuestionar #105
A la hora de seleccionar opciones de respuesta para gestionar el riesgo, el principal objetivo de un responsable de seguridad de la información debe ser reducirlo:
A. exposición para cumplir los niveles de tolerancia al riesgo
B. la probabilidad de amenazA
C. pérdida financiera por transferencia del riesgo
D. el número de vulnerabilidades de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #106
Determinar el riesgo de un par amenaza/vulnerabilidad concreto antes de aplicar los controles puede expresarse como:
A. la probabilidad de que una amenaza determinada intente explotar una vulnerabilidad
B. una función de la probabilidad y el impacto, en caso de que una amenaza explote una vulnerabilidad
C. la magnitud del impacto, en caso de que una amenaza explote una vulnerabilidad
D. una función del coste y la eficacia de los controles sobre una vulnerabilidad
Ver respuesta
Respuesta correcta: B
Cuestionar #107
El compromiso y apoyo de la alta dirección a la seguridad de la información puede MEJORarse mediante:
A. una política de seguridad formal auspiciada por el director general (CEO)
B. formación periódica de concienciación en materia de seguridad para los empleados
C. revisión periódica de la alineación con los objetivos de gestión empresarial
D. el visto bueno de la alta dirección a la estrategia de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #108
¿Cuál de las siguientes opciones es la MÁS útil para priorizar la recuperación de activos informáticos durante una catástrofe?
A. Análisis del impacto en la empresa (BIA)
B. Evaluación de riesgos
C. Evaluación de la vulnerabilidad
D. Análisis coste-beneficio
Ver respuesta
Respuesta correcta: A
Cuestionar #109
¿Cuál de los siguientes debe ser el objetivo PRIMARIO al establecer un nuevo programa de seguridad de la información?
A. Ejecución de la estrategia de seguridad
B. Optimización de los recursos
C. Facilitar la seguridad operativa
D. Cumplimiento de la normativa
Ver respuesta
Respuesta correcta: A
Cuestionar #110
En un estudio de evaluación de riesgos realizado por una organización se observó que no existe segmentación de la red de área local (LAN). La segmentación de la red reduciría el impacto potencial de ¿cuál de las siguientes situaciones?
A. Ataques de denegación de servicio (DoS)
B. Escaneo de tráfico
C. Infecciones víricas
D. Suplantación de dirección IP
Ver respuesta
Respuesta correcta: B
Cuestionar #111
Un informe de mitigación de riesgos incluiría recomendaciones para:
A. evaluación
B. aceptación
C. evaluación
D. cuantificación
Ver respuesta
Respuesta correcta: B
Cuestionar #112
El papel MÁS apropiado para la alta dirección en el apoyo a la seguridad de la información es el:
A. evaluación de los proveedores que ofrecen productos de seguridad
B. evaluación de los riesgos para la organización
C. aprobación de las declaraciones políticas y la financiación
D. controlar el cumplimiento de los requisitos reglamentarios
Ver respuesta
Respuesta correcta: C
Cuestionar #113
¿Cuál de las siguientes es la forma MÁS eficaz de mitigar el riesgo de filtración de datos confidenciales a partes interesadas no autorizadas?
A. Implantar controles de acceso basados en roles
B. Crear una política de clasificación de datos
C. Exigir el uso de credenciales de acceso y contraseñas
D. Impartir formación sobre seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #114
Un responsable de seguridad de la información descubre que la nueva política de seguridad de la información de la organización no se está siguiendo en todos los departamentos. ¿Cuál de los siguientes puntos debería preocupar MÁS al responsable de seguridad de la información?
A. Pueden ser necesarios distintos métodos de comunicación para cada unidad de negocio
B. La dirección de la unidad de negocio no ha hecho hincapié en la importancia de la nueva políticA
C. Los controles correspondientes se consideran prohibitivos para las operaciones comerciales
D. La redacción de la política no está adaptada al público
Ver respuesta
Respuesta correcta: C
Cuestionar #115
¿Cuál de los siguientes es el paso MÁS importante a la hora de establecer directrices para el uso de las redes sociales en una organización?
A. Establecer medidas disciplinarias en caso de incumplimiento
B. Definir la información aceptable para su publicación
C. Identificar sitios seguros de redes sociales
D. Realizar una evaluación de vulnerabilidades
Ver respuesta
Respuesta correcta: D
Cuestionar #116
Una organización determina que un usuario final ha hecho clic en un enlace malicioso. ¿Cuál de las siguientes opciones sería la MÁS eficaz para evitar que se repitan situaciones similares?
A. Formación de usuarios finales
B. Protección antivirus
C. Control de acceso de los usuarios finales
D. Políticas de seguridad actualizadas
Ver respuesta
Respuesta correcta: A
Cuestionar #117
¿Cuál de los siguientes es el MEJOR control para minimizar el riesgo asociado con la pérdida de información como resultado de un ransomware que explota una vulnerabilidad de día cero?
A. Un centro de operaciones de seguridad
B. Un proceso de gestión de parches
C. Una infraestructura de clave pública
D. Un proceso de recuperación de datos
Ver respuesta
Respuesta correcta: D
Cuestionar #118
¿Durante qué fase de desarrollo es MÁS apropiado empezar a evaluar el riesgo de un nuevo sistema de aplicación?
A. Viabilidad
B. Diseño
C. Desarrollo
D. Pruebas
Ver respuesta
Respuesta correcta: A
Cuestionar #119
La razón PRINCIPAL para la certificación interna de aplicaciones empresariales basadas en web es garantizar:
A. cumplimiento de las normas del sector
B. se identifican los cambios en el marco político de la organización
C. se utiliza tecnología web actualizadA
D. cumplimiento de las políticas de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #120
La función de TI ha declarado que, al poner en producción una nueva aplicación, no es necesario actualizar el análisis de impacto en el negocio (BIA) porque no produce modificaciones en los procesos de negocio. El responsable de seguridad de la información debe:
A. verificar la decisión con las unidades de negocio
B. comprobar el análisis de riesgos del sistemA
C. recomendar una actualización tras la revisión posterior a la aplicación
D. solicitar una revisión de auditoríA
Ver respuesta
Respuesta correcta: A
Cuestionar #121
¿Cuál sería una de las MEJORES métricas que un responsable de seguridad de la información puede emplear para evaluar eficazmente los resultados de un programa de seguridad?
A. Número de controles aplicados
B. Porcentaje de objetivos de control alcanzados
C. Porcentaje de cumplimiento de la política de seguridad
D. Reducción del número de incidentes de seguridad notificados
Ver respuesta
Respuesta correcta: B
Cuestionar #122
¿Cuál de las siguientes es la consideración MÁS importante para diseñar un marco eficaz de gobernanza de la seguridad de la información?
A. Métricas de seguridad definidas
B. Ciclo de auditoría continua
C. Disposiciones de la política de seguridad
D. Automatización de los controles de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #123
Para determinar la selección de controles necesarios para cumplir los objetivos empresariales, un responsable de la seguridad de la información debe:
A. priorizar el uso de controles de acceso basados en roles
B. centrarse en los controles clave
C. restringir los controles sólo a las aplicaciones críticas
D. centrarse en los controles automatizados
Ver respuesta
Respuesta correcta: B
Cuestionar #124
Se espera que un programa de gestión de riesgos
A. eliminar todo riesgo inherente
B. mantener el riesgo residual en un nivel aceptable
C. implantar controles preventivos para cada amenazA
D. reducir el riesgo de control a cero
Ver respuesta
Respuesta correcta: B
Cuestionar #125
¿Cuál de las siguientes opciones se utiliza generalmente para garantizar que la información transmitida por Internet es auténtica y realmente transmitida por el remitente indicado?
A. Autenticación biométrica
B. Esteganografía incrustada
C. Autenticación de dos factores
D. Firma digital incrustada
Ver respuesta
Respuesta correcta: D
Cuestionar #126
Antes de la aceptación final del riesgo residual, ¿cuál es la MEJOR manera de que un responsable de seguridad de la información aborde los factores de riesgo que se hayan determinado por debajo de los niveles de riesgo aceptables?
A. Evaluar si se está aplicando un nivel de control excesivo
B. Pedir a la alta dirección que aumente los niveles de riesgo aceptables
C. Aplicar contramedidas más estrictas
D. Pedir a la alta dirección que reduzca los niveles de riesgo aceptables
Ver respuesta
Respuesta correcta: A
Cuestionar #127
¿Cómo equilibraría un responsable de seguridad de la información los requisitos potencialmente conflictivos de las normas de seguridad de una organización internacional y la normativa local?
A. Dar preferencia a las normas de la organización sobre la normativa local
B. Siga únicamente la normativa local
C. Concienciar a la organización de aquellas normas en las que la normativa local provoque conflictos
D. Negociar una versión local de las normas de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #128
La razón PRIMARIA para iniciar un proceso de excepción de política es cuando:
A. las operaciones están demasiado ocupadas para cumplirlas
B. el riesgo está justificado por el beneficio
C. el cumplimiento de la política sería difícil de imponer
D. los usuarios pueden sufrir molestias al principio
Ver respuesta
Respuesta correcta: B
Cuestionar #129
El servidor de correo de una empresa permite el acceso anónimo al protocolo de transferencia de archivos (FTP), que podría ser explotado. ¿Qué proceso debe seguir el responsable de seguridad de la información para determinar la necesidad de adoptar medidas correctoras?
A. Una prueba de penetración
B. Una revisión de la base de seguridad
C. Una evaluación de riesgos
D. Un análisis del impacto en la empresa (BIA)
Ver respuesta
Respuesta correcta: C
Cuestionar #130
¿En cuál de los siguientes casos es necesario el objetivo de punto de recuperación (RPO)?
A. Plan de seguridad de la información
B. Plan de respuesta a incidentes
C. Plan de continuidad de la actividad
D. Plan de recuperación en caso de catástrofe
Ver respuesta
Respuesta correcta: C
Cuestionar #131
¿Cuál de las siguientes es la MEJOR manera de identificar el impacto potencial de un ataque exitoso en las aplicaciones de misión crítica de una organización?
A. Realizar pruebas de penetración
B. Ejecutar escaneos regulares de vulnerabilidades
C. Realizar una revisión independiente del código
D. Realizar una revisión de la vulnerabilidad de la aplicación
Ver respuesta
Respuesta correcta: A
Cuestionar #132
Un proveedor de software ha anunciado una vulnerabilidad de día cero que expone los sistemas empresariales críticos de una organización, ¿cuál debería ser la principal preocupación del responsable de seguridad de la información?
A. Tolerancia empresarial del tiempo de inactividad
B. Adecuación del plan de respuesta a incidentes
C. Disponibilidad de recursos para aplicar los controles
D. Posibilidad de probar los parches antes de su despliegue
Ver respuesta
Respuesta correcta: C
Cuestionar #133
¿Cuál de las siguientes es la principal ventaja de utilizar soluciones de seguridad para puntos finales sin agentes?
A. Menor uso del ancho de banda de la red
B. Disminución de la administración
C. Mayor resistencia
D. Resultados de información más completos
Ver respuesta
Respuesta correcta: B
Cuestionar #134
Desarrollar un caso de negocio exitoso para la adquisición de productos de software de seguridad de la información puede BEST ser asistido por:
A. evaluar la frecuencia de los incidentes
B. cuantificar el coste de los fallos de control
C. calcular las proyecciones de retorno de la inversión (ROI)
D. comparar el gasto con el de organizaciones similares
Ver respuesta
Respuesta correcta: C
Cuestionar #135
¿Cuál de las siguientes opciones reduce MEJOR la probabilidad de que se filtre información privada a través del correo electrónico?
A. Cifrado del correo electrónico
B. Sensibilización de los usuarios
C. Protocolos de autenticación robusta de usuarios
D. Prohibición del uso personal del correo electrónico
Ver respuesta
Respuesta correcta: D
Cuestionar #136
Se envía un mensaje con un hash. El riesgo de que un atacante modifique el mensaje y genere un valor hash auténtico puede mitigarse mediante:
A. utilizando una clave secreta junto con el algoritmo hash
B. exigir al destinatario que utilice un algoritmo hash diferente
C. utilizar la clave pública del remitente para cifrar el mensaje
D. generar una salida hash del mismo tamaño que el mensaje original
Ver respuesta
Respuesta correcta: A
Cuestionar #137
¿Cuál de las siguientes opciones es la MÁS pertinente para que un responsable de seguridad de la información la comunique a operaciones de TI?
A. El nivel de riesgo inherente
B. Evaluación de la vulnerabilidad
C. Evaluación de las amenazas
D. El nivel de exposición
Ver respuesta
Respuesta correcta: B
Cuestionar #138
Etiquetar la información según su clasificación de seguridad:
A. aumenta la probabilidad de que las personas manejen la información de forma segurA
B. reduce el número y el tipo de contramedidas necesarias
C. reduce la necesidad de identificar controles de base para cada clasificación
D. afecta a las consecuencias si la información se maneja de forma insegurA
Ver respuesta
Respuesta correcta: D
Cuestionar #139
En una gran organización que solicita servicios subcontratados, ¿cuál de las siguientes cláusulas contractuales es la MÁS importante para el responsable de seguridad de la información?
A. Cumplimiento de los requisitos de seguridad
B. Frecuencia de los informes de situación
C. Cláusula de confidencialidad
D. Propiedad intelectual (PI)
Ver respuesta
Respuesta correcta: A
Cuestionar #140
Se está realizando un análisis de riesgos para un nuevo sistema. ¿Para cuál de los siguientes es más importante el conocimiento empresarial que el informático?
A. Análisis de vulnerabilidad
B. Cuadro de mando integral
C. Análisis coste-beneficio
D. Análisis de impacto
Ver respuesta
Respuesta correcta: B
Cuestionar #141
¿Cuál es el papel del responsable de seguridad de la información a la hora de finalizar las negociaciones contractuales con los proveedores de servicios?
A. Actualizar las normas de seguridad del proceso externalizado
B. Garantizar la inclusión de cláusulas para auditorías periódicas
C. Obtener una certificación de normas de seguridad del proveedor
D. Realizar un análisis de riesgos del proceso de externalización
Ver respuesta
Respuesta correcta: A
Cuestionar #142
¿Cuál de las siguientes opciones es la MÁS importante para orientar el desarrollo y la gestión de un programa integral de seguridad de la información?
A. Adopción de las mejores prácticas de gestión de programas de seguridad de la información
B. Aplicación de políticas y procedimientos para abordar la estrategia de seguridad de la información
C. Establecer y mantener un marco de gobernanza de la seguridad de la información
D. Alinear los objetivos empresariales de la organización con los objetivos informáticos
Ver respuesta
Respuesta correcta: C
Cuestionar #143
Cuando se desarrollan procedimientos de respuesta a incidentes que afectan a servidores que alojan aplicaciones críticas, ¿cuál de los siguientes debe ser el PRIMERO en ser notificado?
A. Gestión empresarial
B. Director de operaciones
C. Responsable de seguridad de la información
D. Usuarios del sistema
Ver respuesta
Respuesta correcta: C
Cuestionar #144
El propósito PRIMARIO de alinear la seguridad de la información con los objetivos de gobierno corporativo es:
A. crear capacidades para mejorar los procesos de seguridad
B. gestionar de forma coherente las áreas de riesgo significativas
C. identificar la tolerancia al riesgo de una organización
D. reajustar funciones y responsabilidades
Ver respuesta
Respuesta correcta: A
Cuestionar #145
El objetivo PRINCIPAL de documentar las directrices de seguridad de la información para su uso en una gran organización internacional es:
A. garantizar que todas las unidades de negocio tengan los mismos objetivos estratégicos de seguridad
B. proporcionar pruebas a los auditores de que las prácticas de seguridad son adecuadas
C. explicar las prácticas preferidas de la organización en materia de seguridad
D. garantizar que todas las unidades de negocio apliquen procedimientos de seguridad idénticos
Ver respuesta
Respuesta correcta: A
Cuestionar #146
¿Cuál de las siguientes opciones sería la MÁS útil para determinar la capacidad actual de una organización para mitigar los riesgos?
A. Modelo de madurez de las capacidades
B. Análisis del impacto empresarial
C. Riesgo y exposición de la seguridad informática
D. Evaluación de la vulnerabilidad
Ver respuesta
Respuesta correcta: A
Cuestionar #147
¿Cuál es la MEJOR técnica para determinar qué controles de seguridad implantar con un presupuesto limitado?
A. Análisis de riesgos
B. Cálculo de la esperanza de pérdida anualizada (EPA)
C. Análisis coste-beneficio
D. Análisis de impacto
Ver respuesta
Respuesta correcta: C
Cuestionar #148
Por lo general, un servidor de intranet debe colocarse en el:
A. red internA
B. servidor cortafuegos
C. router externo
D. controlador de dominio primario
Ver respuesta
Respuesta correcta: A
Cuestionar #149
Las políticas de seguridad de la información deben diseñarse PRIMARIAMENTE en función de:
A. exigencias empresariales
B. riesgos inherentes
C. normas internacionales
D. riesgos empresariales
Ver respuesta
Respuesta correcta: D
Cuestionar #150
El objetivo PRIMARIO de un responsable de seguridad de la información para presentar los riesgos clave al consejo de administración es:
A. cumplir los requisitos de seguridad de la información
B. garantizar una gobernanza adecuada de la seguridad de la información
C. riesgos para la reputación de la cantidad
D. reevaluar la propensión al riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #151
¿Cuál es el papel PRIMARIO del responsable de seguridad de la información en el proceso de clasificación de la información dentro de una organización?
A. Definir y ratificar la estructura de clasificación de los activos de información
B. Decidir los niveles de clasificación aplicados a los activos de información de la organización
C. Asegurar los activos de información de acuerdo con su clasificación
D. Comprobar si los activos de información se han clasificado correctamente
Ver respuesta
Respuesta correcta: A
Cuestionar #152
¿Cuál de los siguientes es el factor MÁS importante a la hora de desarrollar una estrategia eficaz de seguridad de la información?
A. Normas de seguridad de la información
B. Requisitos de conformidad
C. Informes de evaluación comparativa
D. Informes de auditoría de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #153
¿De cuál de los siguientes factores depende MÁS la eficacia del software de detección de virus?
A. Filtrado de paquetes
B. Detección de intrusos
C. Actualizaciones de software
D. Tablas de definición
Ver respuesta
Respuesta correcta: D
Cuestionar #154
Una organización subcontrata el procesamiento de sus nóminas. ¿Cuál de los siguientes sería el MEJOR indicador de riesgo clave para supervisar la seguridad de la información del proveedor de servicios?
A. Número de incidentes de seguridad por gravedad
B. Número de parches de seguridad críticos
C. Porcentaje de tiempo de funcionamiento de la aplicación
D. Número de ajustes manuales de las nóminas
Ver respuesta
Respuesta correcta: A
Cuestionar #155
El caso empresarial MÁS completo para las soluciones de seguridad es aquel que.
A. incluye una justificación adecuadA
B. explica el perfil de riesgo actual
C. detalla los requisitos reglamentarios
D. identifica incidentes y pérdidas
Ver respuesta
Respuesta correcta: A
Cuestionar #156
El factor de éxito MÁS importante para diseñar un programa eficaz de concienciación sobre seguridad informática es:
A. adaptar el contenido al público destinatario
B. garantizar que la alta dirección esté representadA
C. garantizar la formación de todo el personal
D. evitar el contenido técnico pero dar ejemplos concretos
Ver respuesta
Respuesta correcta: A
Cuestionar #157
¿Cuál de los siguientes es el riesgo MÁS importante asociado al middleware en un entorno cliente-servidor?
A. Se puede impedir la aplicación de parches al servidor
B. Las copias de seguridad del sistema pueden estar incompletas
C. La integridad del sistema puede verse afectada
D. Las sesiones de los usuarios finales pueden ser secuestradas
Ver respuesta
Respuesta correcta: C
Cuestionar #158
¿Cuál de las siguientes es la MEJOR indicación de la alineación de la estrategia de seguridad de la información con la empresa?
A. Número de objetivos empresariales apoyados directamente por iniciativas de seguridad de la información
B. Porcentaje del presupuesto corporativo asignado a iniciativas de seguridad de la información
C. Número de directivos de empresas que han asistido a sesiones de concienciación sobre seguridad de la información
D. Porcentaje de incidentes de seguridad de la información resueltos dentro de los acuerdos de nivel de servicio definidos
Ver respuesta
Respuesta correcta: A
Cuestionar #159
Un programa de gestión de riesgos debe reducir el riesgo de:
A. cero
B. un nivel aceptable
C. un porcentaje aceptable de ingresos
D. una probabilidad de ocurrencia aceptable
Ver respuesta
Respuesta correcta: B
Cuestionar #160
¿Cuál de las siguientes es la MEJOR tarea que realiza el departamento de seguridad?
A. Aprobación de normas de acceso al sistema operativo
B. Registro de accesos no autorizados al sistema operativo
C. Gestión de perfiles de usuario para acceder al sistema operativo
D. Aprovisionar usuarios para acceder al sistema operativo
Ver respuesta
Respuesta correcta: B
Cuestionar #161
¿Cuál de las siguientes es la acción MÁS importante cuando se utiliza una aplicación web que tiene vulnerabilidades reconocidas?
A. Despliegue un cortafuegos de aplicaciones
B. Despliegue la detección de intrusos basada en host
C. Instalar software anti-spyware
D. Monitorear los registros a nivel de aplicación
Ver respuesta
Respuesta correcta: A
Cuestionar #162
Un proveedor de servicios externo está desarrollando una aplicación móvil para los clientes de una organización. ¿Cuál de las siguientes cuestiones debería preocupar MÁS al responsable de seguridad de la información?
A. El contrato no contempla la custodia de software
B. El contrato no exige prácticas de desarrollo seguras
C. Los programadores de la aplicación móvil son todos contratistas extranjeros
D. Los SLA tras la implantación no están claramente definidos
Ver respuesta
Respuesta correcta: B
Cuestionar #163
La preocupación PRIMARIA de un responsable de seguridad de la información que documente una política formal de conservación de datos sería:
A. mejores prácticas industriales generalmente aceptadas
B. requisitos empresariales
C. requisitos legislativos y reglamentarios
D. disponibilidad de almacenamiento
Ver respuesta
Respuesta correcta: B
Cuestionar #164
¿Cuál de los siguientes es el MEJOR método para proteger la información privada de los consumidores en un sitio web público?
A. Cifrar los datos del consumidor en tránsito y en reposo
B. Aplicar una política de enmascaramiento a los datos del consumidor
C. Utilizar una capa de transporte cifrada segurA
D. Aplicar autenticación fuerte a las cuentas en líneA
Ver respuesta
Respuesta correcta: A
Cuestionar #165
¿Cuál de los siguientes sería el PRIMER paso para establecer un programa de seguridad de la información?
A. Desarrollar la política de seguridad
B. Desarrollar procedimientos operativos de seguridad
C. Desarrollar el plan de seguridad
D. Realizar un estudio de los controles de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #166
El valor de los activos de información viene determinado BEST por:
A. gestores de empresas individuales
B. analistas de sistemas empresariales
C. gestión de la seguridad de la información
D. evaluación comparativa de las medias del sector
Ver respuesta
Respuesta correcta: A
Cuestionar #167
El factor MÁS importante a la hora de planificar la conservación a largo plazo de los registros empresariales almacenados electrónicamente es tener en cuenta los posibles cambios en:
A. capacidad de almacenamiento y vida útil
B. requisitos reglamentarios y legales
C. estrategia y dirección empresarial
D. sistemas y medios de aplicación
Ver respuesta
Respuesta correcta: D
Cuestionar #168
¿Cuál de las siguientes opciones garantiza MEJOR la confidencialidad de la información transmitida por Internet?
A. Red privada virtual (VPN)
B. Cortafuegos y routers
C. Autenticación biométrica
D. Autenticación de dos factores
Ver respuesta
Respuesta correcta: A
Cuestionar #169
Cuando una organización y su proveedor de servicios de alojamiento informático establecen un contrato entre sí, lo más importante es que éste incluya:
A. detalles de las métricas de seguridad esperadas
B. las responsabilidades de cada parte en materia de seguridad
C. sanciones por incumplimiento de la política de seguridad
D. objetivos de tiempo de recuperación (RTO)
Ver respuesta
Respuesta correcta: B
Cuestionar #170
¿Cuál de los siguientes puntos es el MÁS crítico para priorizar acciones en un plan de continuidad de negocio (BCP)?
A. Análisis del impacto en la empresa (BIA)
B. Evaluación de riesgos
C. Clasificación de los activos
D. Mapeo de procesos de negocio
Ver respuesta
Respuesta correcta: A
Cuestionar #171
La forma MÁS eficaz de garantizar que los proveedores de servicios subcontratados cumplen la política de seguridad de la información de la organización sería:
A. supervisión del nivel de servicio
B. pruebas de penetración
C. auditar periódicamente
D. formación sobre concienciación en materia de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #172
La MEJOR manera de aislar los datos corporativos almacenados en los dispositivos móviles propiedad de los empleados sería implementar:
A. un entorno sandbox
B. cifrado de dispositivos
C. autenticación de dos factores
D. una política de contraseñas segurA
Ver respuesta
Respuesta correcta: A
Cuestionar #173
La evaluación de riesgos debe realizarse de forma continua porque:
A. los controles cambian continuamente
B. el número de incidentes de piratería informática está aumentando
C. la dirección debe estar al corriente de los cambios en el riesgo
D. factores que afectan al cambio en la seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #174
¿Cuál de las siguientes opciones determina MEJOR la clasificación de un activo de información?
A. Directrices del propietario de los datos
B. Criticidad para un proceso empresarial
C. Coste de producción del activo de información
D. Valor del activo de información para los competidores
Ver respuesta
Respuesta correcta: B
Cuestionar #175
Al realizar una evaluación de riesgos sobre el impacto de la pérdida de un servidor, el valor del servidor debe calcularse utilizando el:
A. coste original de adquisición
B. coste del software almacenado
C. esperanza de pérdida anualizada (ALE)
D. coste de obtener un sustituto
Ver respuesta
Respuesta correcta: D
Cuestionar #176
¿Cuál de las siguientes opciones es la MEJOR para garantizar la seguridad en el desarrollo de una aplicación personalizada?
A. Formación en materia de seguridad para el personal de desarrollo
B. Integración de los requisitos de seguridad en el proceso de desarrollo
C. Exigir una evaluación de la seguridad antes de la aplicación
D. Integrar una auditoría de seguridad en todo el proceso de desarrollo
Ver respuesta
Respuesta correcta: B
Cuestionar #177
¿Cuál de las siguientes opciones sería la MÁS útil para identificar incidentes de seguridad a tiempo?
A. Implantar un sistema de tickets para el servicio de asistencia
B. Exigir que el personal de seguridad asista a cursos de formación
C. Desarrollar un programa de sensibilización de los usuarios
D. Realizar pruebas de penetración periódicas
Ver respuesta
Respuesta correcta: C
Cuestionar #178
¿Cuál de las siguientes personas estaría en MEJOR posición para patrocinar la creación de un grupo directivo de seguridad de la información?
A. Responsable de seguridad de la información
B. Director de Operaciones (COO)
C. Auditor interno
D. Asesoramiento jurídico
Ver respuesta
Respuesta correcta: B
Cuestionar #179
¿Cuál de las siguientes es la razón PRIMARIA por la que una estrategia de seguridad de la información debe desplegarse en una organización?
A. Garantizar que la empresa cumple las normas de seguridad
B. Garantizar que la intención de la dirección se refleja en las actividades de seguridad
C. Garantizar que los empleados respetan las normas de seguridad
D. Garantizar la adopción de las mejores prácticas del sector en materia de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #180
¿Cuál de las siguientes opciones es la MÁS importante para el éxito de un programa de seguridad de la información?
A. Formación adecuada sobre las nuevas tecnologías de seguridad
B. Comunicación abierta con los principales responsables de los procesos
C. Políticas, normas y procedimientos adecuados
D. Compromiso de la dirección ejecutiva
Ver respuesta
Respuesta correcta: D
Cuestionar #181
¿Cuál de las siguientes opciones es la MÁS eficaz para evitar fallos de seguridad en los sistemas operativos?
A. Gestión de parches
B. Gestión del cambio
C. Líneas de base de seguridad
D. Gestión de la configuración
Ver respuesta
Respuesta correcta: A
Cuestionar #182
Una organización está en proceso de adoptar una infraestructura de datos híbrida, transfiriendo todas las aplicaciones no esenciales a proveedores de servicios en la nube y manteniendo todas las funciones empresariales esenciales internamente. El responsable de seguridad de la información ha determinado que se debe utilizar una estrategia de defensa en profundidad. ¿Cuál de las siguientes opciones describe MEJOR esta estrategia?
A. Requisitos de inicio de sesión multifactor para aplicaciones de servicios en la nube, tiempos de espera y contraseñas complejas
B. Despliegue de cortafuegos anidados en la infraestructura
C. Controles de seguridad separados para aplicaciones, plataformas, programas y puntos finales
D. Aplicación estricta del control de acceso basado en funciones (RBAC)
Ver respuesta
Respuesta correcta: C
Cuestionar #183
¿Cuál de las siguientes es la MEJOR forma de evaluar el rendimiento de la inversión en seguridad de la información?
A. Apoyo a los objetivos empresariales
B. Métricas de seguridad
C. Resultados en materia de seguridad
D. Modelos de mejora de procesos
Ver respuesta
Respuesta correcta: A
Cuestionar #184
¿Cuál de las siguientes opciones justificaría MEJOR el gasto en un control compensatorio?
A. Análisis de amenazas
B. Análisis de riesgos
C. Evaluación comparativa entre homólogos
D. Análisis de vulnerabilidad
Ver respuesta
Respuesta correcta: B
Cuestionar #185
¿Cuál de las siguientes funciones es PRIMARIAMENTE responsable de desarrollar un marco de clasificación de la información basado en las necesidades de la empresa?
A. Alta dirección
B. Comité director de seguridad de la información
C. Propietario de la información
D. Responsable de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #186
Un análisis de riesgos debe:
A. incluir una referencia de empresas similares en su ámbito de aplicación
B. asumir un mismo grado de protección para todos los activos
C. abordar el tamaño potencial y la probabilidad de pérdidA
D. dar más peso a la probabilidad frente a la magnitud de la pérdidA
Ver respuesta
Respuesta correcta: C
Cuestionar #187
¿Cuál de las siguientes funciones representaría un conflicto de intereses para un responsable de seguridad de la información?
A. Evaluación de terceros que solicitan conectividad
B. Evaluación de la adecuación de los planes de recuperación en caso de catástrofe
C. Aprobación final de las políticas de seguridad de la información
D. Supervisión del cumplimiento de los controles de seguridad física
Ver respuesta
Respuesta correcta: C
Cuestionar #188
¿Cuál de las siguientes técnicas indica MÁS claramente si deben aplicarse controles específicos de reducción de riesgos?
A. Análisis coste-beneficio de las contramedidas
B. Pruebas de penetración
C. Programas frecuentes de evaluación de riesgos
D. Cálculo de la esperanza de pérdida anual
Ver respuesta
Respuesta correcta: A
Cuestionar #189
¿Cuál de las siguientes opciones es la MÁS importante a tener en cuenta a la hora de elaborar un plan de continuidad de negocio (PCN)?
A. Plan de recuperación en caso de catástrofe (DRP)
B. Análisis del impacto en la empresa (BIA)
C. Requisitos para la gestión de incidentes
D. Plan de comunicación empresarial
Ver respuesta
Respuesta correcta: B
Cuestionar #190
¿Cuál de las siguientes tecnologías se utiliza para garantizar que una persona que se conecta a una red interna corporativa a través de Internet no es un intruso que se hace pasar por un usuario autorizado?
A. Sistema de detección de intrusiones (IDS)
B. Filtrado de paquetes de direcciones IP
C. Autenticación de dos factores
D. Firma digital incrustada
Ver respuesta
Respuesta correcta: C
Cuestionar #191
¿Cuál de las siguientes opciones se actualiza con MÁS frecuencia?
A. Procedimientos para reforzar los servidores de bases de datos
B. Normas de longitud y complejidad de las contraseñas
C. Políticas relativas a la gobernanza de la seguridad de la información
D. Normas de conservación y destrucción de documentos
Ver respuesta
Respuesta correcta: A
Cuestionar #192
¿Cuál de las siguientes opciones permitiría MEJOR la integración del gobierno de la seguridad de la información en el gobierno corporativo?
A. Garantizar una representación empresarial adecuada en el comité directivo de seguridad de la información
B. Utilizar un cuadro de mando integral para medir el rendimiento de la estrategia de seguridad de la información
C. Implantación de cuadros de mando de gobierno, riesgo y cumplimiento de TI (GRC TI)
D. Hacer que el CIO presida el comité directivo de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #193
En el gobierno de la seguridad de la información, la función PRIMARIA del consejo de administración es garantizar:
A. aprobación de las políticas y normas pertinentes
B. comunicación de la postura de seguridad a las partes interesadas
C. cumplimiento de la normativa y las mejores prácticas
D. alineación con los objetivos estratégicos de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #194
Un responsable de seguridad de la información está revisando el impacto de una normativa en el sistema de recursos humanos de la organización. El PRÓXIMO curso de acción debería ser:
A. realizar un análisis de las deficiencias de los requisitos de cumplimiento
B. evaluar las sanciones por incumplimiento
C. revisar el informe de auditoría más reciente de la organización
D. determinar el coste del cumplimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #195
Una aplicación heredada no cumple los nuevos requisitos normativos de cifrado de datos confidenciales en reposo, y solucionar este problema requeriría una inversión significativa. Qué debe hacer PRIMERO el responsable de seguridad de la información?
A. Investigar opciones alternativas para remediar el incumplimiento
B. Evaluar el impacto empresarial para la organización
C. Presentar el riesgo de incumplimiento a la alta dirección
D. Determinar el coste de subsanar el incumplimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #196
¿Cuál de las siguientes opciones es la MÁS importante a la hora de desarrollar una estrategia de seguridad de la información significativa?
A. Entorno normativo
B. Normas internacionales de seguridad
C. Riesgos organizativos
D. Objetivos de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #197
¿Cuál de las siguientes opciones es la MÁS importante que debe tener en cuenta un responsable de seguridad de la información a la hora de identificar las necesidades de recursos de seguridad de la información?
A. Incidentes de seguridad de la información
B. Estrategia de seguridad de la información
C. Niveles actuales de recursos
D. Disponibilidad de recursos potenciales
Ver respuesta
Respuesta correcta: B
Cuestionar #198
Para gestionar eficazmente el riesgo de seguridad de la información de una organización, lo MÁS importante es:
A. identificar y corregir periódicamente las nuevas vulnerabilidades de los sistemas
B. asignar la responsabilidad de la gestión de riesgos a los usuarios finales
C. comparar los escenarios de riesgo con los de organizaciones similares
D. establecer y comunicar la tolerancia al riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #199
¿Cuál de las siguientes opciones es la MÁS probable para cambiar la cultura de una organización hacia una más consciente de la seguridad?
A. Políticas y procedimientos de seguridad adecuados
B. Revisiones periódicas del cumplimiento
C. Comités directores de seguridad
D. Campañas de sensibilización en materia de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #200
¿Cuál de los siguientes es el objetivo PRIMARIO de la gestión de la continuidad de las actividades?
A. Establecer procedimientos de respuesta a incidentes
B. Evaluar el impacto en los procesos empresariales
C. Aumentar la capacidad de supervivencia de la organización
D. Implantar controles para evitar catástrofes
Ver respuesta
Respuesta correcta: C
Cuestionar #201
El coste de implantación de un control de seguridad no debe superar el:
A. esperanza de pérdida anualizadA
B. coste de un incidente
C. valor de los activos
D. costes de oportunidad de aplicación
Ver respuesta
Respuesta correcta: C
Cuestionar #202
Debe impartirse formación de concienciación sobre seguridad a los nuevos empleados:
A. en función de las necesidades
B. durante la formación de los usuarios del sistemA
C. antes de tener acceso a los datos
D. junto con el personal del departamento
Ver respuesta
Respuesta correcta: C
Cuestionar #203
A la hora de implantar una gobernanza de la seguridad eficaz dentro de los requisitos de la estrategia de seguridad de la empresa, ¿cuál de los siguientes es el factor MÁS importante a tener en cuenta?
A. Preservar la confidencialidad de los datos sensibles
B. Establecimiento de normas internacionales de seguridad para el intercambio de datos
C. Cumplimiento de las normas de privacidad de la empresa
D. Establecer la responsabilidad del gestor del sistema en materia de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #204
¿Cuál de las siguientes opciones ilustra MEJOR el riesgo residual en una organización?
A. Marco de gestión de riesgos
B. Registro de riesgos
C. Análisis del impacto empresarial
D. Mapa de calor
Ver respuesta
Respuesta correcta: A
Cuestionar #205
¿Cuál de las siguientes sería la MEJOR métrica para el proceso de gestión de riesgos informáticos?
A. Número de planes de acción de gestión de riesgos
B. Porcentaje de activos críticos con medidas correctoras presupuestadas
C. Porcentaje de riesgos no resueltos
D. Número de incidentes de seguridad identificados
Ver respuesta
Respuesta correcta: B
Cuestionar #206
El objetivo PRIMARIO de una política de uso de Internet es prevenir:
A. acceso a sitios inapropiados
B. descargar código malicioso
C. violación de las leyes de derechos de autor
D. interrupción del acceso a Internet
Ver respuesta
Respuesta correcta: D
Cuestionar #207
¿Cuál de los siguientes es el objetivo PRIMARIO de un análisis de impacto en el negocio (BIA)?
A. Analizar las vulnerabilidades
B. Determinar las prioridades de recuperación
C. Confirmar la eficacia del control
D. Definir el objetivo de punto de recuperación (RPO)
Ver respuesta
Respuesta correcta: D
Cuestionar #208
A la hora de elaborar un plan de respuesta a incidentes, el responsable de seguridad de la información debe:
A. incluir escenarios de respuesta que hayan sido aprobados previamente por la dirección de la empresA
B. determinar los objetivos de tiempo de recuperación (RTO)
C. permitir que TI decida qué sistemas pueden eliminarse de la infraestructurA
D. exigir a TI que invoque el plan de continuidad de negocio
Ver respuesta
Respuesta correcta: B
Cuestionar #209
El uso de un caso de negocio para obtener financiación para una inversión en seguridad de la información es MÁS eficaz cuando el caso de negocio:
A. traduce las políticas y normas de seguridad de la información en requisitos empresariales
B. relaciona la inversión con el plan estratégico de la organización
C. reajusta los objetivos de seguridad de la información a la estrategia de la organización
D. articula la intención de la dirección y las directrices de seguridad de la información en un lenguaje claro
Ver respuesta
Respuesta correcta: B
Cuestionar #210
La MEJOR manera de asegurarse de que un proveedor de servicios externo cumple las políticas de seguridad de la organización es:
A. Incluir explícitamente al proveedor de servicios en las políticas de seguridad
B. Recibir confirmación por escrito de que el proveedor ha leído todas las políticas
C. Referencia cruzada a las políticas del acuerdo de nivel de servicio
D. Realizar revisiones periódicas del proveedor de servicios
Ver respuesta
Respuesta correcta: D
Cuestionar #211
Una organización ha decidido implantar controles de seguridad adicionales para tratar los riesgos de un nuevo proceso. Este es un ejemplo de:
A. eliminar el riesgo
B. transferir el riesgo
C. mitigar el riesgo
D. aceptar el riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #212
Las unidades de negocio de una organización se resisten a los cambios propuestos en el programa de seguridad de la información. ¿Cuál de las siguientes es la MEJOR manera de abordar este problema?
A. Impartir formación adicional sobre concienciación en materia de seguridad
B. Comunicación de los resultados de la evaluación de riesgos críticos a los responsables de las unidades de negocio
C. Incluir la representación de las unidades de negocio en el comité directivo de seguridad
D. Publicación de políticas actualizadas de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #213
¿Cuál de las siguientes es la MEJOR manera de facilitar la alineación entre el programa de seguridad de la información de una organización y los objetivos empresariales?
A. La seguridad de la información se tiene en cuenta en la fase de viabilidad de todos los proyectos informáticos
B. El comité de gobernanza de la seguridad de la información incluye representación de las principales áreas de negocio
C. El director general revisa y aprueba el programa de seguridad de la información
D. El programa de seguridad de la información es auditado por el departamento de auditoría internA
Ver respuesta
Respuesta correcta: B
Cuestionar #214
¿Qué es lo que tendrá MAYOR impacto en los modelos estándar de gobernanza de la seguridad de la información?
A. Número de empleados
B. Distancia entre ubicaciones físicas
C. Complejidad de la estructura organizativa
D. Presupuesto de la organización
Ver respuesta
Respuesta correcta: C
Cuestionar #215
¿Cuál de las siguientes opciones presenta el MAYOR reto a la hora de calcular el rendimiento de la inversión (ROI) en el entorno de la seguridad?
A. El número de incidentes no puede predeterminarse
B. No se pueden prever los sobrecostes del proyecto
C. El coste de las herramientas de seguridad es difícil de calcular
D. Los costes de los incidentes de seguridad no pueden estimarse
Ver respuesta
Respuesta correcta: A
Cuestionar #216
¿Cuál de los siguientes puntos es MÁS importante determinar antes de desarrollar las métricas del programa de seguridad de la información?
A. Cómo se recogerán los datos
B. Quién utilizará las métricas
C. Cómo se informará de los resultados
D. A quién pertenecerán las métricas
Ver respuesta
Respuesta correcta: D
Cuestionar #217
¿Cuál de las siguientes opciones sería la MÁS eficaz para mitigar el riesgo de pérdida de datos en caso de robo de un ordenador portátil?
A. Impartir formación de concienciación a los usuarios finales centrada en los viajes con ordenadores portátiles
B. Implantar software de prevención de pérdida de datos en el portátil
C. Cifrar el disco duro
D. Utilizar una contraseña segura
Ver respuesta
Respuesta correcta: C
Cuestionar #218
Una organización tiene implantado un proceso que implica el uso de un proveedor. Durante el desarrollo del proceso se llevó a cabo una evaluación de riesgos. Un año después de la implantación, se ha tomado la decisión monetaria de utilizar un proveedor diferente. ¿Qué se debe hacer, si es que se debe hacer algo?
A. Nada, ya que se realizó una evaluación de riesgos durante el desarrollo
B. Debe realizarse una evaluación de la vulnerabilidad
C. Debe realizarse una nueva evaluación de riesgos
D. Debe revisarse el informe SAS 70 tipo II del nuevo proveedor
Ver respuesta
Respuesta correcta: C
Cuestionar #219
¿Cuál de las siguientes opciones garantiza que los nuevos puntos débiles de seguridad identificados en un sistema operativo se mitiguen a tiempo?
A. Gestión de parches
B. Gestión del cambio
C. Líneas de base de seguridad
D. Gestión de adquisiciones
Ver respuesta
Respuesta correcta: A
Cuestionar #220
Las excepciones a una política de seguridad deben aprobarse basándose PRIMARIAMENTE en:
A. Apetito por el riesgo
B. la probabilidad de amenaza externA
C. resultados de un análisis de impacto empresarial (BIA)
D. el número de incidentes de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #221
Cuando se configura un sistema de control de acceso biométrico que protege un centro de datos de alta seguridad, se debe establecer el nivel de sensibilidad del sistema:
A. a una mayor tasa de falsos rechazos (FRR)
B. a una menor tasa de error de cruce
C. a una mayor tasa de falsa aceptación (FAR)
D. exactamente a la tasa de error de cruce
Ver respuesta
Respuesta correcta: A
Cuestionar #222
Una empresa va a subcontratar procesos de misión crítica. ¿Cuál de las siguientes opciones es la MÁS importante que hay que verificar antes de firmar el acuerdo de nivel de servicio (SLA)?
A. El proveedor ha implantado las últimas tecnologías
B. El personal técnico del proveedor es evaluado anualmente
C. El proveedor es ampliamente conocido en el sector de la organización
D. El proveedor ha sido auditado por una empresa de auditoría reconocidA
Ver respuesta
Respuesta correcta: D
Cuestionar #223
¿Cuál de los siguientes es el MEJOR método para defenderse de los ataques de ingeniería social?
A. Realice periódicamente análisis antivirus para identificar malware
B. Comunicar directrices para limitar la información publicada en sitios públicos
C. Utilizar una solución de filtrado de contenidos web
D. Monitorear intentos de acceso no autorizados e inicios de sesion fallidos
Ver respuesta
Respuesta correcta: C
Cuestionar #224
¿Cuál de los siguientes tipos de control sería el MÁS importante a la hora de digitalizar los registros de recursos humanos?
A. Controles de gestión de acceso
B. Controles de gestión de proyectos
C. Controles de desarrollo de software
D. Controles de gestión de cambios
Ver respuesta
Respuesta correcta: A
Cuestionar #225
Una organización ha adquirido una empresa en un país extranjero para obtener una ventaja en un nuevo mercado. ¿Cuál de las siguientes es la PRIMERA medida que debe tomar el responsable de seguridad de la información?
A. Fusionar los dos programas de seguridad de la información existentes
B. Determinar la normativa de seguridad de la información del país que se utilizará
C. Aplicar el programa de seguridad de la información existente a la empresa adquiridA
D. Evaluar las leyes de seguridad de la información que se aplican a la empresa adquiridA
Ver respuesta
Respuesta correcta: D
Cuestionar #226
¿Cuál de las siguientes opciones sería la MÁS útil para lograr la alineación entre la seguridad de la información y los objetivos de la organización?
A. Supervisión del control de llaves
B. Un sólido programa de concienciación en materia de seguridad
C. Un programa de seguridad que permite las actividades empresariales
D. Una arquitectura de seguridad eficaz
Ver respuesta
Respuesta correcta: C
Cuestionar #227
Para evitar que los ordenadores de la red corporativa se utilicen como parte de un ataque distribuido de denegación de servicio, el responsable de seguridad de la información debe utilizar:
A. filtrado del tráfico entrante
B. filtrado del tráfico saliente
C. Difusión de la política de seguridad informática
D. limitación de la velocidad
Ver respuesta
Respuesta correcta: B
Cuestionar #228
¿Cuál de los siguientes aspectos sería MÁS importante incluir en una política BYOD (traiga su propio dispositivo) en relación con la pérdida o el robo de dispositivos? La necesidad de que los empleados:
A. iniciar el proceso de notificación de incidentes de la empresA
B. pedir consejo al proveedor de servicios móviles
C. avisar a las fuerzas de seguridad locales
D. solicitar un borrado remoto del dispositivo
Ver respuesta
Respuesta correcta: D
Cuestionar #229
El MEJOR modo de obtener el apoyo de la alta dirección para establecer un "warm site" es:
A. establecer una evaluación periódica de los riesgos
B. promover los requisitos reglamentarios
C. desarrollar un caso de negocio
D. desarrollar métricas eficaces
Ver respuesta
Respuesta correcta: C
Cuestionar #230
Todas las actividades de gestión de riesgos están diseñadas PRIMARIAMENTE para reducir los impactos sobre:
A. un nivel definido por el gestor de seguridad
B. un nivel aceptable basado en la tolerancia al riesgo de la organización
C. un nivel mínimo coherente con los requisitos reglamentarios
D. el nivel mínimo posible
Ver respuesta
Respuesta correcta: B
Cuestionar #231
¿Cuál de las siguientes es la razón PRINCIPAL para realizar un análisis periódico del panorama de amenazas?
A. Determinar la base para proponer un aumento de los presupuestos de seguridad
B. Determinar si los planes de continuidad de la actividad existentes son adecuados
C. Determinar si las vulnerabilidades existentes suponen un riesgo
D. Determinar la información crítica para la dirección ejecutivA
Ver respuesta
Respuesta correcta: C
Cuestionar #232
¿Cuál de las siguientes es la forma MÁS eficaz de identificar cambios en un entorno de seguridad de la información?
A. Control continuo
B. Línea de base de seguridad
C. Evaluaciones anuales de riesgos
D. Análisis del impacto empresarial
Ver respuesta
Respuesta correcta: A
Cuestionar #233
Un programa de gestión de riesgos eficaz debe conducir a:
A. optimización de los esfuerzos de reducción de riesgos frente a los costes
B. contención de las pérdidas a un importe anual presupuestado
C. identificación y eliminación de todas las amenazas de origen humano
D. eliminación o transferencia de todos los riesgos organizativos
Ver respuesta
Respuesta correcta: A
Cuestionar #234
¿Cuál de las siguientes es la MEJOR manera de abordar las deficiencias detectadas durante un proceso de selección de proveedores externos y negociación de contratos?
A. Responsabilizar al proveedor de la seguridad y el cumplimiento
B. Realizar evaluaciones continuas de las deficiencias
C. Incluir derechos de auditoría en el acuerdo de nivel de servicio (SLA)
D. Aplicar controles compensatorios
Ver respuesta
Respuesta correcta: D
Cuestionar #235
Poco después de la instalación, un sistema de detección de intrusos (IDS) informa de una violación. ¿Cuál de las siguientes opciones es la MÁS probable?
A. La violación es un falso positivo
B. Se ha producido una carga rutinaria de archivos de registro IDS
C. Se ha producido una descarga rutinaria de archivos de firmas IDS
D. Se ha producido una intrusión
Ver respuesta
Respuesta correcta: A
Cuestionar #236
El compromiso y el apoyo de la alta dirección a la seguridad de la información pueden obtenerse MEJOR a través de presentaciones que:
A. utilizar ejemplos ilustrativos de ataques con éxito
B. explicar los riesgos técnicos para la organización
C. evaluar la organización con respecto a las mejores prácticas de seguridad
D. vincular los riesgos de seguridad a los objetivos clave de la empresA
Ver respuesta
Respuesta correcta: D
Cuestionar #237
Un perfil de riesgo respalda decisiones de seguridad eficaces PRIMARIAMENTE porque:
A. define la mejor manera de mitigar los riesgos futuros
B. identifica las prioridades para la reducción de riesgos
C. permite la comparación con las mejores prácticas del sector
D. describe las amenazas a la seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #238
Cuando el riesgo inherente a una actividad empresarial es inferior al nivel de riesgo aceptable, la MEJOR forma de actuar sería:
A. supervisar los cambios en la empresa
B. revisar el nivel de riesgo residual
C. informar del cumplimiento a la dirección
D. aplicar controles para mitigar el riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #239
Un director de empresa ha decidido no implantar un control basado en la evaluación de riesgos de una aplicación empresarial de misión crítica debido a su impacto en el rendimiento. ¿Qué es lo MEJOR que puede hacer el responsable de seguridad de la información?
A. Dar instrucciones al gestor de la empresa para que aplique el control de mitigación
B. Actualizar el perfil de riesgo de la organización
C. Recomendar posibles controles compensatorios
D. Elevar la cuestión a la alta dirección para que tome una decisión definitiva
Ver respuesta
Respuesta correcta: C
Cuestionar #240
La MEJOR manera de asegurarse de que la configuración de seguridad de cada plataforma cumple con las políticas y procedimientos de seguridad de la información es:
A. realizar pruebas de penetración
B. establecer líneas de base de seguridad
C. aplicar la configuración predeterminada del proveedor
D. vincular las políticas a una norma independiente
Ver respuesta
Respuesta correcta: B
Cuestionar #241
Antes de llevar a cabo una evaluación formal de riesgos de los recursos de información de una organización, un responsable de seguridad de la información debería PRIMERO:
A. identificar las principales amenazas para los objetivos de la empresA
B. revisar las fuentes disponibles de información sobre riesgos
C. identificar el valor de los activos críticos
D. determinar el impacto financiero si se materializan las amenazas
Ver respuesta
Respuesta correcta: A
Cuestionar #242
Para lograr una alineación estratégica eficaz de las iniciativas de seguridad, es importante que:
A. La dirección del Comité Directivo se elegirá por rotación
B. Se obtengan aportaciones y se alcance un consenso entre las principales unidades organizativas
C. Que la estrategia empresarial se actualice periódicamente
D. Los procedimientos y normas deben ser aprobados por todos los jefes de departamento
Ver respuesta
Respuesta correcta: B
Cuestionar #243
Un responsable de seguridad de la información ha sido notificado recientemente de posibles riesgos de seguridad asociados a un proveedor de servicios externo. Qué debería hacerse PRÓXIMAMENTE para abordar esta preocupación?
A. Realizar un análisis de riesgos
B. Escalar al director de riesgos
C. Realizar un análisis de vulnerabilidad
D. Determinar los controles compensatorios
Ver respuesta
Respuesta correcta: A
Cuestionar #244
¿Cuál es la MEJOR manera de que un cliente autentique a un vendedor de comercio electrónico?
A. Utilizar un protocolo de comunicaciones seguro para la conexión
B. Verificar el certificado del proveedor con una autoridad de certificación
C. Solicitar por correo electrónico la verificación del pedido
D. Cifrar el pedido utilizando la clave privada del vendedor
Ver respuesta
Respuesta correcta: B
Cuestionar #245
Revisar los objetivos de seguridad y garantizar la integración de la seguridad en todas las unidades de negocio es PRIMARIAMENTE el objetivo del:
A. dirección ejecutiva
B. director de seguridad de la información (CISO)
C. consejo de administración
D. comité directivo
Ver respuesta
Respuesta correcta: B
Cuestionar #246
¿Cuál de los siguientes sería el MEJOR indicador de que una organización está gestionando adecuadamente el riesgo?
A. El número de incidentes de seguridad notificados por el personal ha aumentado
B. Los resultados de la evaluación de riesgos están dentro de los márgenes de tolerancia
C. Una prueba de penetración no identifica ninguna vulnerabilidad del sistema de alto riesgo
D. El número de eventos reportados por el sistema de detección de intrusos ha disminuido
Ver respuesta
Respuesta correcta: B
Cuestionar #247
Los objetivos de tiempo de recuperación (RTO) son un resultado de ¿cuál de los siguientes?
A. Plan de continuidad de la actividad
B. Plan de recuperación en caso de catástrofe
C. Acuerdo de nivel de servicio (SLA)
D. Análisis del impacto en la empresa (BIA)
Ver respuesta
Respuesta correcta: B
Cuestionar #248
¿Cuál de las siguientes herramientas es la MÁS adecuada para determinar cuánto tiempo llevará la implantación de un proyecto de seguridad?
A. Diagrama de Gantt
B. Gráfico en cascada
C. Camino crítico
D. Desarrollo rápido de aplicaciones (RAD)
Ver respuesta
Respuesta correcta: C
Cuestionar #249
¿Con cuál de los siguientes componentes de la infraestructura de TI se relaciona MÁS la gobernanza de la seguridad?
A. Red
B. Aplicación
C. Plataforma
D. Proceso
Ver respuesta
Respuesta correcta: D
Cuestionar #250
El impacto de perder la conectividad de la red frame relay durante 18-24 horas debe calcularse utilizando la:
A. tarifa de facturación horaria aplicada por el transportistA
B. valor de los datos transmitidos por la red
C. compensación agregada de todos los usuarios empresariales afectados
D. pérdidas financieras sufridas por las unidades de negocio afectadas
Ver respuesta
Respuesta correcta: D
Cuestionar #251
Una gran organización está considerando una política que permitiría a los empleados traer sus propios smartphones al entorno organizativo. La preocupación MÁS importante para el responsable de seguridad de la información debería ser la:
A. mayores costes de apoyo a los usuarios finales
B. impacto en la capacidad de la red
C. disminución de la productividad del usuario final
D. falta de una solución de gestión de dispositivos
Ver respuesta
Respuesta correcta: D
Cuestionar #252
El no repudio puede garantizarse MEJOR utilizando:
A. trazado de la ruta de entregA
B. traducción de búsqueda inversA
C. canales fuera de la mano
D. firmas digitales
Ver respuesta
Respuesta correcta: D
Cuestionar #253
¿Cuál de los siguientes es el MEJOR método para garantizar que se conocen y comprenden los procedimientos y directrices de seguridad?
A. Reuniones periódicas de grupos focales
B. Revisiones periódicas del cumplimiento
C. Formación para la certificación por ordenador (CBT)
D. Reconocimiento firmado por el empleado
Ver respuesta
Respuesta correcta: C
Cuestionar #254
¿Cuál de las siguientes es la forma MÁS eficaz de lograr la integración del gobierno de la seguridad de la información en el gobierno corporativo?
A. Alinear las solicitudes presupuestarias de seguridad de la información con los objetivos de la organización
B. Garantizar que los esfuerzos de seguridad de la información apoyan los objetivos empresariales
C. Proporcionar cuadros de mando informáticos periódicos a la alta dirección
D. Garantizar la alineación de la seguridad de la información con la estrategia de TI
Ver respuesta
Respuesta correcta: A
Cuestionar #255
¿Cuál de los siguientes es el método MÁS eficaz para clasificar la criticidad de los sistemas y datos durante el proceso de evaluación de riesgos?
A. Entrevistar a la alta dirección
B. Entrevistar a los custodios de los datos
C. Entrevistar a los miembros del consejo
D. Entrevistar a los propietarios de los activos
Ver respuesta
Respuesta correcta: D
Cuestionar #256
El riesgo de gestionar mal las alertas identificadas por un sistema de detección de intrusos (IDS) sería MAYOR cuando:
A. los procedimientos operativos estándar no están formalizados
B. la infraestructura informática es diversA
C. Los sensores IDS están mal configurados
D. las operaciones y la supervisión corren a cargo de equipos diferentes
Ver respuesta
Respuesta correcta: A
Cuestionar #257
¿Cuál de los siguientes aspectos debería preocupar MÁS a un responsable de seguridad de la información a la hora de establecer un conjunto de indicadores clave de riesgo (KRI)?
A. El impacto del riesgo de seguridad en los objetivos de la organización no se conoce bien
B. Aún no se han establecido los niveles de tolerancia al riesgo
C. Varias funciones empresariales se han externalizado a proveedores externos
D. La organización no tiene datos históricos sobre eventos de seguridad anteriores
Ver respuesta
Respuesta correcta: B
Cuestionar #258
¿Cuál de las siguientes es la arquitectura de seguridad de la información MÁS importante?
A. Mejores prácticas del sector
B. Planes informáticos
C. Buenas prácticas en materia de seguridad de la información
D. Objetivos y metas empresariales
Ver respuesta
Respuesta correcta: D
Cuestionar #259
¿Cuál de los siguientes es el MAYOR riesgo del inicio de sesión único?
A. Es un único punto de fallo para el proceso de control de acceso de una empresA
B. El descuido de la contraseña por parte de un usuario puede hacer vulnerable toda la infraestructurA
C. La integración del inicio de sesión único con el resto de la infraestructura es complicadA
D. Un administrador mantiene las soluciones de single sign-on sin segregación de funciones
Ver respuesta
Respuesta correcta: A
Cuestionar #260
¿Cuál es la frecuencia adecuada para actualizar los parches del sistema operativo (SO) en los servidores de producción?
A. Durante los lanzamientos programados de nuevas aplicaciones
B. Según un calendario fijo de gestión de parches de seguridad
C. Simultáneamente con el mantenimiento trimestral del hardware
D. Siempre que se publiquen parches de seguridad importantes
Ver respuesta
Respuesta correcta: D
Cuestionar #261
¿Cuál de los siguientes es el MEJOR enfoque para reducir la duplicación innecesaria de actividades de cumplimiento?
A. Automatización de los controles
B. Documentación de los procedimientos de control
C. Integración de los esfuerzos de garantía
D. Normalización de los requisitos de cumplimiento
Ver respuesta
Respuesta correcta: D
Cuestionar #262
¿Cuál de los siguientes debe ser el objetivo PRIMARIO de un responsable de seguridad de la información a la hora de diseñar políticas de seguridad de la información?
A. Reducción del riesgo para la seguridad de la organización
B. Mejorar la protección de la información
C. Minimizar el coste de los controles de seguridad
D. Alcanzar los objetivos de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #263
¿Cuál de los siguientes es el MEJOR método para determinar si existen nuevos riesgos en las aplicaciones heredadas?
A. Evaluaciones de riesgos programadas periódicamente
B. Exploración automatizada de vulnerabilidades
C. Pruebas de penetración de terceros
D. Actualizaciones frecuentes del registro de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #264
La MEJOR manera de informar a la junta sobre la eficacia del programa de seguridad de la información es presentar:
A. un cuadro de mandos que ilustre las principales métricas de rendimiento
B. valores de referencia del sector
C. un resumen de los resultados de la auditoría más reciente
D. un informe sobre el ahorro de costes derivado de la mejora de los procesos
Ver respuesta
Respuesta correcta: A
Cuestionar #265
El PRIMER paso para establecer un programa de gobernanza de la seguridad es:
A. realizar una evaluación de riesgos
B. organizar un taller para todos los usuarios finales
C. preparar un presupuesto de seguridad
D. obtener patrocinio de alto nivel
Ver respuesta
Respuesta correcta: D
Cuestionar #266
¿Cuál de las siguientes opciones garantiza que los datos de un fichero no han cambiado?
A. Comprobación de la fecha de modificación del fichero
B. Cifrar el fichero con cifrado simétrico
C. Utilizar un control de acceso estricto para impedir el acceso no autorizado
D. Creando un hash del archivo, luego comparando los hashes del archivo
Ver respuesta
Respuesta correcta: D
Cuestionar #267
¿Cuál de las siguientes es la función PRIMARIA del responsable de seguridad de la información en el desarrollo de aplicaciones? Garantizar:
A. se implementan controles de seguridad empresarial
B. cumplimiento de las mejores prácticas del sector
C. los procedimientos de control abordan el riesgo empresarial
D. la seguridad se integra en el ciclo de vida de desarrollo del sistema (SDLC)
Ver respuesta
Respuesta correcta: A
Cuestionar #268
¿Cuál de las siguientes métricas proporcionaría a la dirección la MÁXIMA información útil sobre el progreso de un programa de concienciación en materia de seguridad?
A. Aumento del número de descargas de la política de seguridad de la organización
B. Mayor notificación de incidentes de seguridad
C. Porcentaje de finalización de la formación de sensibilización de los usuarios en cada unidad de negocio
D. Disminución del número de incidentes de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #269
¿Cuál es el objetivo PRIMARIO de asignar clasificaciones a los activos de información?
A. Identificar los niveles de protección adecuados
B. Identificar a los propietarios de las empresas y a los custodios de la información
C. Demostrar el cumplimiento de los requisitos reglamentarios
D. Mantener un inventario preciso de los activos de TI
Ver respuesta
Respuesta correcta: A
Cuestionar #270
A la hora de implantar la seguridad de la información en proyectos de desarrollo de sistemas, ¿cuál de los siguientes es el enfoque MÁS eficaz para un responsable de seguridad de la información con recursos limitados?
A. Integrar a un representante en los proyectos empresariales
B. Asignación de recursos en función del impacto empresarial
C. Presentación de los requisitos de seguridad durante la planificación del proyecto
D. Revisión de los requisitos de seguridad antes del desarrollo
Ver respuesta
Respuesta correcta: B
Cuestionar #271
¿Cuál de las siguientes opciones sería la MÁS útil para ayudar a la alta dirección a comprender el estado del cumplimiento de la seguridad de la información?
A. Puntos de referencia del sector
B. Resultados de la evaluación de riesgos
C. Resultados del análisis del impacto en la empresa (BIA)
D. Indicadores clave de rendimiento (KPI)
Ver respuesta
Respuesta correcta: D
Cuestionar #272
¿Cuál de los siguientes puntos es el MÁS crítico para un marco eficaz de gobernanza de la seguridad de la información?
A. Los miembros del Consejo se comprometen con el programa de seguridad de la información
B. Las políticas de seguridad de la información se revisan periódicamente
C. El programa de seguridad de la información se supervisa continuamente
D. El CIO es responsable del programa de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #273
¿Cuál de las siguientes opciones es la MÁS importante a la hora de realizar un examen forense de un ordenador portátil para determinar la implicación de un empleado en un fraude?
A. Se debe suspender el acceso a la red del empleado
B. El ordenador portátil no debe salir de los locales de la empresA
C. Un representante de RRHH debe estar presente durante el examen del portátil
D. La investigación debe realizarse sobre una imagen de la unidad de disco original
Ver respuesta
Respuesta correcta: D
Cuestionar #274
¿Cuál de los siguientes es el MEJOR indicador de que la formación sobre concienciación en materia de seguridad ha sido eficaz?
A. Los empleados firman para reconocer la política de seguridad
B. Se notifican más incidentes
C. La mayoría de los empleados ha completado la formación
D. No se han notificado incidentes en tres meses
Ver respuesta
Respuesta correcta: B
Cuestionar #275
¿Cuál de los siguientes aspectos debería influir MÁS en un responsable de seguridad de la información a la hora de desarrollar políticas de seguridad informática?
A. Amenazas pasadas y actuales
B. Marco de seguridad informática
C. Cumplimiento de la normativa
D. Estrategia empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #276
Un responsable de seguridad de la información ha identificado e implementado controles de mitigación de acuerdo con las mejores prácticas del sector. Cuál de los siguientes es el MAYOR riesgo asociado a este enfoque?
A. El coste de la aplicación del control puede ser demasiado elevado
B. El programa de seguridad puede no estar alineado con los objetivos de la organización
C. Es posible que las medidas de mitigación no se actualicen oportunamente
D. Pueden perderse importantes controles de seguridad sin la aportación de la alta dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #277
Al crear un plan de respuesta a incidentes, el beneficio PRIMARIO de establecer una definición clara de un incidente de seguridad es que ayuda a:
A. comunicar el proceso de respuesta a incidentes a las partes interesadas
B. desarrollar procedimientos eficaces de escalada y respuesta
C. aumentar la eficacia de las pruebas de mesa
D. dotar de personal y formar adecuadamente a los equipos de respuesta a incidentes
Ver respuesta
Respuesta correcta: B
Cuestionar #278
¿Cuál de las siguientes es la PRINCIPAL razón para realizar una evaluación de riesgos de forma continua?
A. El presupuesto de seguridad debe justificarse continuamente
B. Cada día se descubren nuevas vulnerabilidades
C. El entorno de riesgo cambia constantemente
D. La dirección debe estar continuamente informada de los riesgos emergentes
Ver respuesta
Respuesta correcta: C
Cuestionar #279
¿Cuál de las siguientes opciones detectaría MEJOR los daños maliciosos derivados de una amenaza interna?
A. Lista de control de acceso
B. Cifrado
C. Formación en materia de lucha contra el fraude
D. Rotación laboral
Ver respuesta
Respuesta correcta: D
Cuestionar #280
¿Cuál de las siguientes opciones es la MÁS importante para crear un programa eficaz de seguridad de la información?
A. Arquitectura de seguridad de la información para aumentar las actividades de supervisión
B. Apoyo de la dirección a la seguridad de la información
C. Contenido pertinente y oportuno incluido en los programas de sensibilización
D. Controles lógicos de acceso a los sistemas de información
Ver respuesta
Respuesta correcta: B
Cuestionar #281
La MEJOR manera de garantizar el cumplimiento de las políticas de seguridad de la información es:
A. distribuir copias impresas a todos los empleados
B. realizar revisiones periódicas para comprobar el cumplimiento
C. incluir sanciones crecientes en caso de incumplimiento
D. establecer una línea directa anónima para denunciar los abusos de la políticA
Ver respuesta
Respuesta correcta: B
Cuestionar #282
¿Quién debe encargarse de hacer cumplir los derechos de acceso a los datos de las aplicaciones?
A. Propietarios de los datos
B. Propietarios de procesos empresariales
C. Comité Director de Seguridad
D. Administradores de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #283
¿Cuál de los siguientes métodos de autenticación evita la repetición de autenticación?
A. Implementación del hash de contraseña
B. Mecanismo de desafío/respuesta
C. Uso de la encriptación WEP (Wired Equivalent Privacy)
D. Autenticación Básica HTTP
Ver respuesta
Respuesta correcta: B
Cuestionar #284
Una pequeña organización tiene un contrato con un proveedor multinacional de computación en nube. Cuál de los siguientes aspectos preocuparía más a un responsable de seguridad de la información si se omitiera en el contrato?
A. Autoridad del abonado para aprobar el acceso a sus datos
B. Derecho del abonado a realizar auditorías in situ del vendedor
C. Depósito de código de software con condiciones para la liberación del código
D. Mezcla de datos de abonados en el mismo servidor físico
Ver respuesta
Respuesta correcta: D
Cuestionar #285
Una preocupación común con las aplicaciones web mal escritas es que pueden permitir a un atacante:
A. ganar control a través de un desbordamiento de búfer
B. realizar un ataque distribuido de denegación de servicio (DoS)
C. abusar de una condición de carrerA
D. inyectar sentencias en lenguaje de consulta estructurado (SQL)
Ver respuesta
Respuesta correcta: D
Cuestionar #286
Las decisiones de gestión relativas a las inversiones en seguridad de la información serán MÁS eficaces cuando se basen en:
A. una esperanza de pérdida anual (ALE) determinada a partir del historial de eventos de seguridad
B. la aceptación formalizada del análisis de riesgos por parte de la dirección
C. la comunicación de evaluaciones coherentes y periódicas de los riesgos
D. un proceso para identificar y analizar amenazas y vulnerabilidades
Ver respuesta
Respuesta correcta: C
Cuestionar #287
La reevaluación del riesgo es MÁS crítica cuando existe:
A. un cambio en la política de seguridad
B. resistencia a la aplicación de controles paliativos
C. un cambio en el panorama de las amenazas
D. una solicitud de informes de seguridad actualizados por parte de la dirección
Ver respuesta
Respuesta correcta: C
Cuestionar #288
Un análisis de impacto empresarial (BIA) es la MEJOR herramienta para calcularlo:
A. coste total de propiedad
B. prioridad de la restauración
C. esperanza de pérdida anualizada (ALE)
D. riesgo residual
Ver respuesta
Respuesta correcta: B
Cuestionar #289
¿Cuál de las siguientes características es la MÁS importante a la hora de buscar candidatos para el puesto de director de seguridad de la información (CISO)?
A. Conocimiento de plataformas informáticas, redes y metodologías de desarrollo
B. Capacidad para comprender y relacionar las necesidades de la organización con las tecnologías de seguridad
C. Conocimiento del entorno normativo y de las técnicas de gestión de proyectos
D. Capacidad para gestionar un grupo diverso de personas y recursos en una organización
Ver respuesta
Respuesta correcta: B
Cuestionar #290
Después de implantar un marco de gobernanza de la seguridad de la información, ¿cuál de las siguientes opciones proporcionaría la MEJOR información para desarrollar un plan de proyecto de seguridad de la información?
A. Mapa de riesgos
B. Resultados de auditorías recientes
C. Cuadro de mando integral
D. Análisis de carencias
Ver respuesta
Respuesta correcta: C
Cuestionar #291
Al realizar una evaluación de riesgos, la consideración MÁS importante es que:
A. la gestión apoya los esfuerzos de mitigación de riesgos
B. se han calculado las expectativas anuales de pérdidas (EPA) para los activos críticos
C. se han identificado y valorado adecuadamente los activos
D. comprender los motivos, los medios y las oportunidades de ataque
Ver respuesta
Respuesta correcta: C
Cuestionar #292
¿Cuál de las siguientes es la MEJOR razón para iniciar una reevaluación del riesgo actual?
A. Seguimiento de un informe de auditoría
B. Un incidente de seguridad reciente
C. Requisitos de certificación
D. Cambios en el personal de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #293
¿Cuál de las siguientes opciones influye MÁS directamente en la facilidad de uso del programa de clasificación de activos de una organización?
A. La granularidad de las clasificaciones en la jerarquía
B. La frecuencia de las actualizaciones del registro de riesgos de la organización
C. Los objetivos empresariales de la organización
D. El apoyo de la alta dirección al sistema de clasificación
Ver respuesta
Respuesta correcta: A
Cuestionar #294
¿Cuál de las siguientes opciones protegería MEJOR los datos confidenciales de una organización almacenados en un ordenador portátil frente a accesos no autorizados?
A. Autenticación fuerte mediante contraseña
B. Discos duros encriptados
C. Procedimientos de autenticación multifactor
D. Copia de seguridad de datos en red
Ver respuesta
Respuesta correcta: B
Cuestionar #295
¿Cuál de los siguientes es el resultado MÁS importante de la exploración de vulnerabilidades?
A. Priorización de los riesgos
B. Información sobre los pasos necesarios para piratear el sistema
C. Identificación de las puertas traseras
D. Verificación de que los sistemas están correctamente configurados
Ver respuesta
Respuesta correcta: D
Cuestionar #296
Una organización planea permitir que los empleados utilicen sus propios dispositivos en la red de la organización. Cuál de las siguientes es la MEJOR medida que puede tomar el responsable de seguridad de la información?
A. Implantar programas informáticos automatizados
B. Evaluar el riesgo asociado
C. Impartir formación de sensibilización
D. Actualizar la política de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #297
¿Cuáles serían los riesgos de seguridad MÁS importantes al utilizar tecnología de red de área local (LAN) inalámbrica?
A. Ataque Man-in-the-middle
B. Suplantación de paquetes de datos
C. Punto de acceso no autorizado
D. Secuestro de sesión
Ver respuesta
Respuesta correcta: C
Cuestionar #298
El uso seguro por parte del cliente de una aplicación de comercio electrónico puede lograrse MEJOR mediante:
A. encriptación de datos
B. firmas digitales
C. contraseñas seguras
D. autenticación de dos factores
Ver respuesta
Respuesta correcta: A
Cuestionar #299
¿Cuál de las siguientes opciones describe MEJOR un desbordamiento de búfer?
A. Un programa contiene una función oculta y no prevista que presenta un riesgo para la seguridad
B. Un tipo de canal encubierto que captura datos
C. Código malicioso diseñado para interferir con las operaciones normales
D. Una función se ejecuta con más datos de los que la función puede manejar
Ver respuesta
Respuesta correcta: D
Cuestionar #300
¿Cuál de las siguientes opciones representa la MAYOR amenaza para la seguridad de un sistema de planificación de recursos empresariales (ERP)?
A. Los informes ad hoc de los usuarios no se registran
B. El tráfico de red se realiza a través de un único conmutador
C. No se han aplicado los parches de seguridad del sistema operativo (SO)
D. La seguridad de la base de datos es por defecto la del ERP
Ver respuesta
Respuesta correcta: C
Cuestionar #301
Al integrar los requisitos de seguridad de la información en el desarrollo de software, ¿cuál de las siguientes prácticas debe ser la PRIMERA en el ciclo de vida del desarrollo?
A. Pruebas de penetración
B. Análisis dinámico del código
C. Modelización de amenazas
D. Revisión del código fuente
Ver respuesta
Respuesta correcta: C
Cuestionar #302
¿Cuál de las siguientes es la razón MÁS importante por la que deben definirse objetivos de seguridad de la información?
A. Herramienta para medir la eficacia
B. Comprensión general de los objetivos
C. Coherencia con las normas aplicables
D. Iniciativas de aprobación y apoyo de la dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #303
La estrategia de seguridad de la información de una organización para el próximo año hace hincapié en la reducción del riesgo de ransomware
A. Impartir formación pertinente a todo el personal
B. Crear un plan de pruebas de penetración
C. Realizar un análisis de las deficiencias de los controles
D. Reforzar los controles de seguridad del entorno informático
Ver respuesta
Respuesta correcta: A
Cuestionar #304
Durante el establecimiento de un acuerdo de nivel de servicio (SLA) con un proveedor de servicios en nube, lo MÁS importante para el responsable de la seguridad de la información es:
A. actualizar la política de seguridad para reflejar las condiciones de servicio del proveedor
B. garantizar que los requisitos de seguridad sean exigibles contractualmente
C. establecer vías de comunicación adecuadas con el proveedor
D. comprender la arquitectura de almacenamiento en nube en uso para determinar el riesgo de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #305
¿Cuál de las siguientes opciones evitará MEJOR los ataques externos a la seguridad?
A. Direccionamiento IP estático
B. Traducción de direcciones de red
C. Verificación de los antecedentes de los empleados temporales
D. Asegurar y analizar los registros de acceso al sistema
Ver respuesta
Respuesta correcta: B
Cuestionar #306
Un responsable de seguridad de la información está preparando una presentación para obtener apoyo para una iniciativa de seguridad. Cuál de las siguientes sería la MEJOR manera de obtener el compromiso de la dirección con la iniciativa?
A. Incluir datos históricos de incidentes notificados
B. Indique la rentabilidad estimada de la inversión
C. Análisis de los riesgos actuales
D. Incluir comparaciones sectoriales
Ver respuesta
Respuesta correcta: C
Cuestionar #307
La planificación de la implantación de un programa de seguridad de la información es MÁS eficaz cuando:
A. utiliza árboles de decisión para priorizar los proyectos de seguridad
B. aplica el análisis de carencias a los planes de negocio actuales y futuros
C. utiliza el análisis de riesgos para los proyectos de seguridad
D. aplica soluciones tecnológicas a las necesidades detectadas
Ver respuesta
Respuesta correcta: C
Cuestionar #308
Una organización de seguridad de la información debe PRIMARIAMENTE:
A. apoyar los objetivos comerciales de la empresa prestando servicios de apoyo relacionados con la seguridad
B. ser responsable de establecer y documentar las responsabilidades en materia de seguridad de la información de los miembros del equipo de seguridad de la información
C. garantizar que las políticas de seguridad de la información de la empresa se ajustan a las mejores prácticas y normas mundiales
D. asegurarse de que las expectativas de seguridad de la información se transmiten a los empleados
Ver respuesta
Respuesta correcta: A
Cuestionar #309
Para asegurar que los sistemas de nómina continúan en caso de que un huracán golpee un centro de datos, ¿cuál sería el FIRS T paso crucial que un gerente de seguridad de la información tomaría para asegurar la planificación de la continuidad del negocio?
A. Realización de un análisis de riesgos cualitativo y cuantitativo
B. Asignación de valor a los activos
C. Sopesar el coste de aplicar el plan frente a las pérdidas financieras
D. Realización de un análisis de impacto empresarial (BIA)
Ver respuesta
Respuesta correcta: D
Cuestionar #310
La organización ha decidido externalizar la mayor parte del departamento de TI con un proveedor que aloja servidores en un país extranjero. De las siguientes, ¿cuál es la consideración de seguridad MÁS crítica?
A. Las leyes y reglamentos del país de origen pueden no ser aplicables en el país extranjero
B. La notificación de una violación de seguridad podría retrasarse debido a la diferencia horariA
C. Deberían instalarse sensores adicionales de detección de intrusiones en la red, lo que supondría un coste adicional
D. La compañia podria perder control fisico sobre el servidor y ser incapaz de monitorear la postura de seguridad fisica de los servidores
Ver respuesta
Respuesta correcta: A
Cuestionar #311
¿Qué dos componentes deben evaluarse PRIMARIAMENTE en un análisis de riesgos eficaz?
A. Visibilidad y duración
B. Probabilidad e impacto
C. Probabilidad y frecuencia
D. Incidencia financiera y duración
Ver respuesta
Respuesta correcta: B
Cuestionar #312
El riesgo previamente aceptado debería serlo:
A. reevaluarse periódicamente, ya que el riesgo puede aumentar hasta un nivel inaceptable debido a la revisión de las condiciones
B. aceptado de forma permanente, puesto que la dirección ya ha gastado recursos (tiempo y trabajo) para llegar a la conclusión de que el nivel de riesgo es aceptable
C. evitarse la próxima vez, ya que la evitación de riesgos proporciona la mejor protección a la empresA
D. eliminado del registro de riesgos una vez aceptado
Ver respuesta
Respuesta correcta: A
Cuestionar #313
¿Cuál de las siguientes es la MEJOR manera de que un responsable de seguridad de la información justifique la inversión continuada en el programa de seguridad de la información cuando la organización se enfrenta a importantes recortes presupuestarios?
A. Demostrar que el programa permite las actividades empresariales
B. Demostrar un aumento de los ataques de ransomware dirigidos a organizaciones homólogas
C. Demostrar que los controles del programa implantados son eficaces
D. Demostrar la preparación de los planes de continuidad de las actividades
Ver respuesta
Respuesta correcta: A
Cuestionar #314
¿Cuál de las siguientes acciones debe realizarse PRIMERO a la hora de establecer un nuevo programa de protección de datos que deba cumplir la normativa aplicable en materia de privacidad de datos?
A. Crear un inventario de los sistemas en los que se almacenan datos personales
B. Cifrar todos los datos personales almacenados en sistemas y redes
C. Evaluar las tecnologías de privacidad necesarias para la protección de datos
D. Actualizar los procesos disciplinarios para abordar las violaciones de la privacidad
Ver respuesta
Respuesta correcta: C
Cuestionar #315
La evaluación de riesgos es MÁS eficaz cuando se realiza
A. al principio del desarrollo del programa de seguridad
B. de forma continuA
C. mientras se desarrolla el caso de negocio para el programa de seguridad
D. durante el proceso de cambio empresarial
Ver respuesta
Respuesta correcta: B
Cuestionar #316
Una ventaja PRIMARIA de implicar a la dirección de la empresa en la evaluación y gestión de los riesgos de seguridad de la información es que:
A. comprender mejor los riesgos organizativos
B. puede equilibrar los riesgos técnicos y empresariales
C. son más objetivos que la gestión de la seguridad
D. comprender mejor la arquitectura de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #317
Los programas de concienciación sobre seguridad de la información son MÁS eficaces cuando:
A. personalizada para cada público objetivo
B. patrocinado por la alta dirección
C. reforzada por la formación por ordenador
D. en la orientación de los empleados
Ver respuesta
Respuesta correcta: A
Cuestionar #318
¿Cuál de las siguientes es la PRIMERA etapa en la elaboración de un plan de recuperación en caso de catástrofe (DRP)?
A. Realizar un análisis de impacto en el negocio (BIA)
B. Identificar posibles terceros proveedores de servicios
C. Establezca un objetivo de tiempo de recuperación (RTO)
D. Establecer un objetivo de punto de recuperación (RPO)
Ver respuesta
Respuesta correcta: A
Cuestionar #319
Una organización ha experimentado recientemente el acceso no autorizado de dispositivos a su red. Para gestionar proactivamente el problema y mitigar este riesgo, el MEJOR control preventivo sería:
A. mantener un inventario de las direcciones de red y hardware de todos los sistemas conectados a la red
B. instalar un cortafuegos de inspección de estado para impedir el tráfico de red no autorizado
C. implantar la autenticación e inicio de sesión a nivel de red para regular el acceso de los dispositivos a la red
D. desplegar una herramienta automatizada de descubrimiento de inventario de activos para identificar los dispositivos que acceden a la red
Ver respuesta
Respuesta correcta: C
Cuestionar #320
¿Cuál es la MEJOR política para proteger los datos de las unidades móviles de bus serie universal (USB)?
A. Autenticación
B. Cifrado
C. Prohibir a los empleados que copien datos en dispositivos USB
D. Limitar el uso de dispositivos USB
Ver respuesta
Respuesta correcta: B
Cuestionar #321
¿Cuál de las siguientes opciones establecería un gestor de seguridad para determinar el objetivo de restablecimiento del procesamiento normal?
A. Objetivo de tiempo de recuperación (RTO)
B. Interrupción máxima tolerable (MTO)
C. Objetivos de punto de recuperación (OPR)
D. Objetivos de prestación de servicios (OPS)
Ver respuesta
Respuesta correcta: A
Cuestionar #322
¿Cuál de las siguientes debería ser la consideración MÁS importante a la hora de implantar un marco de seguridad de la información?
A. Requisitos de conformidad
B. Resultados de la auditoría
C. Apetito de riesgo
D. Capacidades técnicas
Ver respuesta
Respuesta correcta: A
Cuestionar #323
¿Cuál de los siguientes puntos es el MÁS crítico a revisar cuando se prepara la externalización de un repositorio de datos a una solución basada en la nube?
A. Plan de recuperación en caso de catástrofe
B. Gestión de identidades y accesos
C. Política de seguridad de la información del vendedor
D. Una evaluación de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #324
Es importante clasificar y determinar la sensibilidad relativa de los activos para garantizar que:
A. el coste de la protección es proporcional a la sensibilidad
B. se protegen los activos altamente sensibles
C. se minimiza el coste de los controles
D. las contramedidas son proporcionales al riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #325
Una organización desea habilitar el análisis forense digital para una aplicación crítica para el negocio. ¿Cuál de las siguientes opciones ayudará MEJOR a lograr este objetivo?
A. Instalar control de acceso biométrico
B. Desarrollar un plan de respuesta a incidentes
C. Definir los criterios de conservación de datos
D. Habilitar el registro de actividad
Ver respuesta
Respuesta correcta: D
Cuestionar #326
¿Quién debe dirigir el análisis de riesgos de una organización?
A. Alta dirección
B. Responsable de seguridad
C. Responsable de calidad
D. Departamento jurídico
Ver respuesta
Respuesta correcta: B
Cuestionar #327
¿Cuál de las siguientes opciones sería la MÁS útil para el responsable de seguridad de la información encargado de hacer cumplir las normas mejoradas sobre contraseñas?
A. Realización de pruebas de seguridad de contraseñas
B. Reeducar a los usuarios finales sobre la creación de contraseñas fuertes y complejas
C. Implantación de un sistema centralizado de gestión de identidades
D. Implantar controles técnicos de contraseñas que incluyan una fuerte complejidad
Ver respuesta
Respuesta correcta: C
Cuestionar #328
La razón PRIMARIA para clasificar los activos es:
A. equilibrar el valor de los activos y las medidas de protección
B. identificar activos de escaso valor con controles insuficientes
C. establecer líneas claras de autoridad y propiedad del activo
D. informar a la alta dirección de la postura de riesgo de la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #329
¿Cuál de los siguientes es el MEJOR enfoque para que un responsable de seguridad de la información gestione eficazmente el riesgo de terceros?
A. Garantizar la aplicación de controles para hacer frente a los cambios en el riesgo
B. Asegurarse de que la alta dirección ha aprobado la relación con el proveedor
C. Garantizar que los esfuerzos de gestión de riesgos sean proporcionales a la exposición al riesgo
D. Asegurarse de que existen controles de gobernanza de proveedores
Ver respuesta
Respuesta correcta: D
Cuestionar #330
Cuando se subcontrata el desarrollo de aplicaciones a un tercero, ¿cuál de las siguientes es la MEJOR manera de garantizar que se cumplen los requisitos de seguridad de la organización?
A. Incluir en el contrato el derecho a auditar el ciclo de vida de desarrollo del sistema
B. Impartir formación sobre codificación segura de aplicaciones al personal de terceros
C. Realizar pruebas de seguridad independientes de las aplicaciones desarrolladas
D. Exigir al proveedor externo que documente su metodología de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #331
El objetivo PRIMARIO de un grupo director de seguridad es:
A. garantizar que la seguridad de la información abarca todas las funciones empresariales
B. garantizar que la seguridad de la información se alinea con los objetivos empresariales
C. aumentar la concienciación sobre la seguridad de la información en toda la organización
D. aplicar todas las decisiones sobre gestión de la seguridad en toda la organización
Ver respuesta
Respuesta correcta: B
Cuestionar #332
Al redactar la declaración de privacidad corporativa para un sitio web público, ¿cuál de los siguientes puntos DEBE incluirse?
A. Requisitos de control de acceso
B. Cláusula de responsabilidad limitada
C. Requisitos de cifrado de la información
D. de uso de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #333
El propósito PRIMARIO de implementar métricas de gobierno de seguridad de la información es:
A. medir la alineación con las mejores prácticas
B. evaluar las métricas operativas y del programA
C. perfeccionar las operaciones de control,
D. guiar la seguridad hacia el estado deseado
Ver respuesta
Respuesta correcta: D
Cuestionar #334
En un análisis de impacto empresarial, el valor de un sistema de información debe basarse en el coste global:
A. de recuperación
B. recrear
C. si no está disponible
D. de operaciones de emergenciA
Ver respuesta
Respuesta correcta: C
Cuestionar #335
Una organización multinacional quiere asegurarse de que su programa de privacidad aborda adecuadamente el riesgo para la privacidad en todas sus operaciones
A. La organización utiliza una estructura descentralizada de gobierno de la privacidad
B. Las políticas de privacidad sólo se revisan anualmente
C. La organización no cuenta con un responsable de privacidad
D. El programa de privacidad no incluye un componente de formación formal
Ver respuesta
Respuesta correcta: D
Cuestionar #336
¿Cuál de los siguientes puntos es el MÁS importante para que un responsable de seguridad de la información se asegure de que se incluye en un estudio de viabilidad para un nuevo sistema de seguridad?
A. Eficacia de los controles
B. Reducción del riesgo asociado al sistema
C. Capacidades de registro de auditoría
D. Resultados de la evaluación comparativa
Ver respuesta
Respuesta correcta: B
Cuestionar #337
¿Cuál de los siguientes dispositivos, cuando se coloca en una zona desmilitarizada (DMZ), se consideraría una exposición significativa?
A. Servidor de autenticación
B. Servidor web
C. Servidor proxy
D. Servidor de detección de intrusos
Ver respuesta
Respuesta correcta: A
Cuestionar #338
El beneficio PRIMARIO de realizar una clasificación de activos de información es:
A. vincular los requisitos de seguridad a los objetivos empresariales
B. identificar controles proporcionales al riesgo
C. definir los derechos de acceso
D. establecer la propiedad
Ver respuesta
Respuesta correcta: B
Cuestionar #339
Para proteger una red contra conexiones externas no autorizadas a los sistemas corporativos, el responsable de la seguridad de la información debe aplicar BEST:
A. una autenticación fuerte
B. Filtrado antispoofing de IP
C. protocolo de cifrado de red
D. listas de acceso de dispositivos de confianzA
Ver respuesta
Respuesta correcta: A
Cuestionar #340
¿Qué es lo MÁS importante a la hora de desarrollar una estrategia eficaz de seguridad de la información?
A. Activos de la empresa que deben garantizarse
B. Ahorro potencial derivado de la gobernanza de la seguridad
C. Requisitos de conformidad
D. Lagunas de control que requieren reparación
Ver respuesta
Respuesta correcta: A
Cuestionar #341
¿Cuál de las siguientes acciones debe realizar PRIMERO un responsable de seguridad de la información tras conocer una nueva normativa que afecta a la organización?
A. Evalúe los cambios con un asesor jurídico
B. Notifíquelo a las unidades de negocio afectadas
C. Evaluar el riesgo de incumplimiento
D. Informar a la alta dirección de la nueva normativA
Ver respuesta
Respuesta correcta: A
Cuestionar #342
Debe realizarse una evaluación de riesgos:
A. una vez al año para cada proceso y subproceso empresarial
B. cada tres a seis meses para los procesos empresariales críticos
C. por partes externas para mantener la objetividad
D. anualmente o cada vez que se produzca un cambio significativo
Ver respuesta
Respuesta correcta: D
Cuestionar #343
¿Cuál de las siguientes características de seguridad es la MÁS importante para la protección de los datos de los clientes en un sistema de transacciones en línea?
A. Disponibilidad
B. Segregación de datos
C. Control de auditoría
D. Autenticación
Ver respuesta
Respuesta correcta: D
Cuestionar #344
Un proveedor de servicios externos debe manejar información confidencial de sus clientes. Cuál de las siguientes opciones es la MÁS importante que debe conocer un responsable de seguridad de la información?
A. Seguridad en el almacenamiento y transmisión de datos sensibles
B. Nivel de cumplimiento de las normas del sector por parte del proveedor
C. Tecnologías de seguridad implantadas en la instalación
D. Resultados de la última revisión de seguridad independiente
Ver respuesta
Respuesta correcta: A
Cuestionar #345
Para garantizar la separación de funciones, ¿cuál de las siguientes actividades es la MEJOR realizada por alguien que no sea el administrador del sistema?
A. Eliminación de los registros del sistema
B. Uso de las utilidades del sistema
C. Control de la utilización del sistema
D. Definición de procedimientos de recuperación del sistema
Ver respuesta
Respuesta correcta: A
Cuestionar #346
¿Cuál de las siguientes opciones es la MÁS importante a la hora de seleccionar un centro de operaciones de seguridad de terceros?
A. Cláusulas de indemnización
B. Evaluación de controles independientes
C. Planes de respuesta a incidentes
D. Planes de continuidad de la actividad
Ver respuesta
Respuesta correcta: B
Cuestionar #347
Para destacar ante la dirección la importancia de integrar la seguridad de la información en los procesos empresariales, un responsable de seguridad de la información recién contratado debería PRIMERO:
A. preparar un presupuesto de seguridad
B. realizar una evaluación de riesgos
C. desarrollar una política de seguridad de la información
D. obtener información de referenciA
Ver respuesta
Respuesta correcta: B
Cuestionar #348
¿Cuál de los siguientes dispositivos debe colocarse dentro de una DMZ?
A. Servidor proxy
B. Servidor de aplicaciones
C. Servidor departamental
D. Servidor de almacén de datos
Ver respuesta
Respuesta correcta: B
Cuestionar #349
Una organización con un programa maduro de respuesta a incidentes lleva a cabo revisiones post-incidente para todos los incidentes importantes de seguridad de la información. El objetivo PRIMARIO de estas revisiones debe ser:
A. documentar e informar de la causa raíz de los incidentes a la alta dirección
B. identificar lagunas en el programa de seguridad o deficiencias sistémicas que deban corregirse
C. preparar notificaciones debidamente verificadas sobre los incidentes a partes externas
D. identificar a los responsables de los incidentes de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #350
El MEJOR momento para realizar una prueba de penetración es después:
A. se ha producido un intento de penetración
B. una auditoría ha informado de deficiencias en los controles de seguridad
C. se realizan diversos cambios en la infraestructurA
D. una elevada rotación del personal de sistemas
Ver respuesta
Respuesta correcta: C
Cuestionar #351
¿Cuál de los siguientes aspectos debería preocupar MÁS a un responsable de seguridad de la información que revise el programa de clasificación de datos de una organización?
A. El programa permite conceder excepciones
B. El etiquetado no es coherente en toda la organización
C. No se definen los requisitos de conservación de datos
D. Las clasificaciones no siguen las mejores prácticas del sector
Ver respuesta
Respuesta correcta: B
Cuestionar #352
¿Cuál de los siguientes grupos estaría en MEJOR posición para realizar un análisis de riesgos para una empresa?
A. Auditores externos
B. Un grupo de empresas similares
C. Propietarios de procesos
D. Un consultor de gestión especializado
Ver respuesta
Respuesta correcta: C
Cuestionar #353
Los requisitos de acceso a los datos para una aplicación deben ser determinados por el:
A. departamento jurídico
B. responsable de cumplimiento
C. responsable de seguridad de la información
D. empresario
Ver respuesta
Respuesta correcta: D
Cuestionar #354
¿Cuál de las siguientes opciones proporcionaría MEJOR información a las partes interesadas para determinar la respuesta adecuada a una catástrofe?
A. Evaluación de riesgos
B. Evaluación de la vulnerabilidad
C. Análisis del impacto empresarial
D. Análisis DAFO
Ver respuesta
Respuesta correcta: C
Cuestionar #355
La criticidad y sensibilidad de los activos de información se determina en función de:
A. evaluación de la amenazA
B. evaluación de la vulnerabilidad
C. evaluación de la dependencia de los recursos
D. evaluación de impacto
Ver respuesta
Respuesta correcta: D
Cuestionar #356
El factor MÁS importante para garantizar el éxito de un programa de seguridad de la información es la eficacia:
A. comunicación de los requisitos de seguridad de la información a todos los usuarios de la organización
B. formulación de políticas y procedimientos para la seguridad de la información
C. alineación con las metas y objetivos de la organización
D. supervisar el cumplimiento de las políticas y procedimientos de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #357
¿Cuál de las siguientes es la MEJOR manera de aumentar la visibilidad de la seguridad de la información dentro de la cultura de una organización?
A. Exigir formación transversal sobre seguridad de la información
B. Realización de campañas de sensibilización de los usuarios para toda la empresa
C. Publicación de una política de uso aceptable
D. Establecer políticas de seguridad basadas en las normas del sector
Ver respuesta
Respuesta correcta: A
Cuestionar #358
Una organización está preocupada por el riesgo de fuga de información causado por el uso incorrecto de dispositivos inteligentes de propiedad personal por parte de los empleados. Cuál es la MEJOR forma de que el responsable de seguridad de la información mitigue el riesgo asociado?
A. Exigir a los empleados que firmen un acuerdo de confidencialidad
B. Implantar una solución de gestión de dispositivos móviles (MDM)
C. Documentar una politica de trae-tu-propio-dispositivo (BYOD)
Ver respuesta
Respuesta correcta: B
Cuestionar #359
Las evaluaciones de amenazas y vulnerabilidades son importantes PRIMARIAMENTE porque lo son:
A. necesarios para estimar el riesgo
B. la base para establecer objetivos de control
C. elementos de la postura de seguridad de la organización
D. utilizado para establecer inversiones de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #360
¿Cuál de las siguientes es la métrica MÁS pertinente que debe incluirse en un informe trimestral sobre seguridad de la información para el comité ejecutivo?
A. Informe de tendencias sobre servidores que cumplen las normas de seguridad
B. Porcentaje de servidores que cumplen las normas de seguridad
C. Número de parches de seguridad aplicados
D. Informe de tendencia de parches de seguridad aplicados
Ver respuesta
Respuesta correcta: A

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.