¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Mejore su rendimiento en el examen CRISC de ISACA con simulacros de examen realistas

La obtención de la certificación Certified in Risk and Information Systems Control (CRISC) es un valioso activo para los profesionales de la gestión de riesgos. La preparación para el examen CRISC puede ser una tarea desalentadora, pero con los materiales de estudio adecuados y recursos de examen, puede aumentar sus posibilidades de pasar con éxito. SPOTO ofrece una amplia colección de preguntas y respuestas del examen CRISC, preguntas de prueba, exámenes de prueba y recursos de preparación de exámenes adaptados a los objetivos del examen CRISC. Estos recursos están diseñados para simular el entorno del examen real, que le proporciona una experiencia realista y aumentar su confianza. Con las preguntas del examen CRISC de SPOTO, puedes identificar las áreas en las que necesitas más estudio y práctica, asegurándote de que tienes el conocimiento y las habilidades necesarias para mejorar la resiliencia empresarial de tu compañía, ofrecer valor a las partes interesadas y optimizar la gestión de riesgos en toda la empresa. Aprovechando estos recursos para el examen y practicando con simulacros de examen, podrá prepararse eficazmente y aumentar sus posibilidades de superar con éxito el examen de certificación CRISC.
Realizar otros exámenes en línea
Cuestionar #1
Una organización está considerando externalizar los controles de administración de usuarios para un sistema crítico. El posible proveedor ha ofrecido realizar autoauditorías trimestrales de sus controles en lugar de auditorías anuales independientes. ¿Cuál de los siguientes aspectos debería preocupar MÁS al profesional de riesgos?
A. l vendedor no conseguirá las mejores prácticas
B. l vendedor no garantizará contra fallos de control
C. Es posible que los controles no se comprueben adecuadamente
D. Falta de un enfoque del control de acceso basado en el riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #2
Usted es el jefe de proyecto de su empresa. Ha identificado un evento de riesgo en su empresa. Ha planificado previamente las respuestas a los riesgos. Ha supervisado los riesgos que se han producido. ¿Cuál es el paso inmediato después de este proceso de supervisión que debe seguirse en respuesta a los eventos de riesgo?
A. robabilidad de alcanzar los plazos y costes estimados
B. ista prioritaria de riesgos
C. ista de riesgos de baja prioridad
D. iesgos agrupados por categorías
Ver respuesta
Respuesta correcta: A
Cuestionar #3
¿Cuál de los siguientes es un componente clave de un entorno de control interno sólido?
A. MIS
B. Separación de funciones
C. ontrol manual
D. Herramientas automatizadas
Ver respuesta
Respuesta correcta: B
Cuestionar #4
¿Cuál de los siguientes es el indicador clave de rendimiento (KPI) MÁS eficaz para la gestión del cambio?
A. orcentaje de cambios con éxito
B. úmero de cambios aplicados
C. orcentaje de cambios con un plan alternativo
D. Tiempo medio necesario para aplicar un cambio
Ver respuesta
Respuesta correcta: A
Cuestionar #5
¿Cuál de las siguientes situaciones provocaría cambios en los umbrales de los indicadores clave de riesgo (KRI)?
A. Cambios en la propensión o tolerancia al riesgo
B. odificación de las categorías de riesgo
C. onocimiento de las amenazas nuevas y emergentes
D. Cambios en el registro de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #6
El objetivo PRIMARIO para seleccionar las opciones de respuesta al riesgo es:
A. inimizar el riesgo residual
B. educir los factores de riesgo
C. educir el riesgo a un nivel aceptable
D. dentificar los controles compensatorios
Ver respuesta
Respuesta correcta: C
Cuestionar #7
A la hora de desarrollar escenarios de riesgo informático, es CRÍTICO involucrar:
A. Propietarios de procesos
B. Directores de informática
C. Auditores internos
D. lta dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #8
El objetivo de exigir la custodia del código fuente en un acuerdo contractual es:
A. Garantizar que el código fuente esté disponible si el proveedor deja de existir
B. Garantizar que el código fuente esté disponible cuando se produzcan errores
C. evisar el código fuente para comprobar la adecuación de los controles
D. Asegurarse de que el código fuente es válido y existe
Ver respuesta
Respuesta correcta: A
Cuestionar #9
¿Cuál de las siguientes situaciones representa una falta de controles adecuados?
A. ulnerabilidad
B. Amenaza
C. ctivo
D. Impacto
Ver respuesta
Respuesta correcta: A
Cuestionar #10
Usted es el responsable de riesgos de Techmart Inc. Se le ha pedido que realice una evaluación de riesgos sobre el impacto de la pérdida de un servidor. Para ello, debe calcular el valor monetario del servidor. ¿Sobre cuál de las siguientes bases calcula el valor monetario?
A. Coste de la sustitución
B. oste original de adquisición
C. speranza de pérdida anual
D. Coste del software almacenado
Ver respuesta
Respuesta correcta: A
Cuestionar #11
¿Cuál de las siguientes opciones es la MÁS importante para mantener la eficacia de un registro de riesgos informáticos?
A. egistro y seguimiento de la situación de los planes de respuesta a los riesgos dentro del registro
B. omunicación del registro a los principales interesados
C. ealizar revisiones y actualizaciones periódicas del registro
D. liminar entradas del registro una vez tratado el riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #12
¿Cuál de los siguientes controles es un ejemplo de control no técnico?
A. Control de acceso
B. Seguridad física
C. istema de detección de intrusos
D. Cifrado
Ver respuesta
Respuesta correcta: B
Cuestionar #13
¿Cuál de los siguientes es el uso MÁS importante de los KRI?
A. roporcionar una visión retrospectiva de los eventos de riesgo que se han producido
B. roporcionar una señal de alerta temprana
C. roporcionar una indicación del apetito y la tolerancia al riesgo de la empresa
D. Documentación y análisis de tendencias
Ver respuesta
Respuesta correcta: B
Cuestionar #14
Desde el punto de vista de la gestión de riesgos, el objetivo PRIMARIO de la utilización de modelos de madurez es permitir:
A. ntrega de la solución
B. alineación estratégica
C. utilización de los recursos
D. valuación del rendimiento
Ver respuesta
Respuesta correcta: D
Cuestionar #15
¿Cuál de las siguientes opciones sería la MÁS útil para comprender el impacto de un nuevo sistema tecnológico en el perfil de riesgo actual de una organización?
A. ealizar un análisis de las deficiencias
B. evisar los controles existentes para mitigar los riesgos
C. ealizar una evaluación de riesgos
D. ontratar consultores especializados en la nueva tecnología
Ver respuesta
Respuesta correcta: D
Cuestionar #16
¿Cuál de los siguientes NO se utiliza para medir los Factores Críticos de Éxito del proyecto?
A. roductividad
B. Calidad
C. antidad
D. Atención al cliente
Ver respuesta
Respuesta correcta: C
Cuestionar #17
Una función PRIMARIA del registro de riesgos es proporcionar información de apoyo para el desarrollo del riesgo de una organización:
A. n mapA
B. roceso B
C. erfil C
D. strategiA
Ver respuesta
Respuesta correcta: C
Cuestionar #18
La forma MÁS eficaz de aumentar la probabilidad de que se apliquen las respuestas a los riesgos es:
A. evisar los informes de situación
B. rear un plan de acción
C. ealizar auditorías periódicas
D. asignar la propiedad
Ver respuesta
Respuesta correcta: D
Cuestionar #19
Una unidad de negocio está actualizando un registro de riesgos con los resultados de la evaluación de un proyecto clave. ¿Cuál de los siguientes aspectos es MÁS importante incluir en el registro?
A. lanes de acción para abordar las situaciones de riesgo que requieren tratamiento
B. l equipo que realizó la evaluación de riesgos
C. Un gestor de riesgos encargado de la supervisión
D. Metodología utilizada para realizar la evaluación de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #20
La dirección de TI ha solicitado una visión consolidada del perfil de riesgo de la organización para permitir la priorización de proyectos y la asignación de recursos. ¿Cuál de los siguientes materiales sería MÁS útil?
A. ista de indicadores clave de riesgo
B. Informes de auditoría interna
C. egistro de riesgos informáticos
D. Lista de proyectos aprobados
Ver respuesta
Respuesta correcta: C
Cuestionar #21
¿Cuál de las siguientes es la razón PRIMARIA para que un tercero revise el proceso de gestión de riesgos?
A. btener una visión objetiva de las deficiencias de los procesos y de los errores sistémicos
B. arantizar que se define y comunica el perfil de riesgo
C. alidar el proceso de gestión de amenazas
D. Obtener una evaluación objetiva del entorno de control
Ver respuesta
Respuesta correcta: A
Cuestionar #22
¿Cuál de las siguientes es la MEJOR manera de confirmar si existen controles automatizados adecuados en un sistema implantado recientemente?
A. ealizar pruebas de aceptación del usuario
B. ealizar una revisión posterior a la aplicación
C. ropietarios del proceso de entrevistas
D. Revisar los indicadores clave de rendimiento (KPI)
Ver respuesta
Respuesta correcta: B
Cuestionar #23
¿Cuál de los siguientes debe ser el objetivo PRIMARIO de la promoción de una cultura consciente del riesgo dentro de una organización?
A. osibilitar la toma de decisiones basadas en el riesgo
B. umento de la eficacia del control de procesos
C. ejor comprensión de la propensión al riesgo
D. Mejorar los resultados de las auditorías
Ver respuesta
Respuesta correcta: A
Cuestionar #24
El beneficio PRIMARIO de llevar a cabo una supervisión continua de los controles de acceso es la capacidad de identificar.
A. osibles actividades no conformes que conducen a la divulgación de datos
B. Indicadores clave de riesgo (KRI) adelantados o retrasados
C. incoherencias entre las políticas y los procedimientos de seguridad
D. amenazas desconocidas para socavar los controles de acceso existentes
Ver respuesta
Respuesta correcta: B
Cuestionar #25
Un escenario de riesgo identificado de alta probabilidad que implica una función empresarial crítica y propia tiene un coste anualizado de control superior a la expectativa de pérdida anual. ¿Cuál de las siguientes es la MEJOR respuesta al riesgo?
A. vitar
B. Transferencia
C. ceptar
D. Mitigar
Ver respuesta
Respuesta correcta: D
Cuestionar #26
Usted trabaja como Jefe de Proyecto para www.company.com Inc. Tiene que medir la probabilidad, el impacto y la exposición al riesgo. Luego, tiene que medir cómo la respuesta al riesgo seleccionada puede afectar la probabilidad y el impacto del evento de riesgo seleccionado. ¿Cuál de las siguientes herramientas le ayudará a realizar la tarea?
A. iagramas de red del proyecto
B. écnica Delphi
C. nálisis del árbol de decisión
D. Diagramas de causa-efecto
Ver respuesta
Respuesta correcta: C
Cuestionar #27
¿Quién debe ser PRIMARIAMENTE responsable de establecer la cultura de riesgos informáticos de una organización?
A. Gestión de riesgos
B. estión informática
C. Propietario del proceso de negocio
D. Dirección ejecutiva
Ver respuesta
Respuesta correcta: D
Cuestionar #28
Usted es el director de un proyecto en Bluewell Inc. Usted y su equipo de proyecto han identificado varios riesgos del proyecto, han completado el análisis de riesgos y están planeando aplicar las respuestas al riesgo más apropiadas. ¿Cuál de las siguientes herramientas utilizaría para elegir la respuesta adecuada al riesgo?
A. iagramas de red del proyecto
B. nálisis causa-efecto
C. nálisis del árbol de decisión
D. Técnica Delphi
Ver respuesta
Respuesta correcta: C
Cuestionar #29
¿Cuál de los siguientes debe ser un elemento del apetito de riesgo de una organización?
A. Capacidad de la empresa para absorber pérdidas
B. a eficacia de los controles compensatorios
C. El nivel de riesgo inherente que se considera adecuado
D. El riesgo residual afectado por los controles preventivos
Ver respuesta
Respuesta correcta: A
Cuestionar #30
Usted es el director de un proyecto en Bluewell Inc. Usted y su equipo de proyecto han identificado varios riesgos del proyecto, han completado el análisis de riesgos y están planeando aplicar las respuestas al riesgo más apropiadas. ¿Cuál de las siguientes herramientas utilizaría para elegir la respuesta adecuada al riesgo?
A. iagramas de red del proyecto
B. nálisis causa-efecto
C. nálisis del árbol de decisión
D. Técnica Delphi
Ver respuesta
Respuesta correcta: C
Cuestionar #31
¿Cuál de las siguientes prácticas de gestión de riesgos facilita MEJOR la incorporación de escenarios de riesgo informático en el registro de riesgos de toda la empresa?
A. e desarrollan indicadores clave de riesgo (KRI) para escenarios clave de riesgo informático
B. os escenarios de riesgo informático se desarrollan en el contexto de los objetivos de la organización
C. os escenarios de riesgo informático son evaluados por el equipo de gestión de riesgos de la empresA
D. Las partes interesadas clave del negocio aprueban los apetitos de riesgo para los escenarios de riesgo de TI
Ver respuesta
Respuesta correcta: B
Cuestionar #32
¿Cuál de las siguientes es la mejor razón para realizar una evaluación de riesgos?
A. eterminar el estado actual del riesgo
B. nalizar el efecto en la empresa
C. Cumplir los requisitos reglamentarios
D. resupuestar adecuadamente la aplicación de los distintos controles
Ver respuesta
Respuesta correcta: A
Cuestionar #33
Al revisar un contrato de un proveedor de servicios en la nube, se descubrió que el proveedor se niega a aceptar la responsabilidad por una violación de datos sensibles. Cuál de los siguientes controles reduciría MEJOR el riesgo asociado a dicha violación de datos?
A. Contratación de un tercero para validar los controles operativos
B. tilizar el mismo proveedor de nube que un competidor
C. tilizar el cifrado a nivel de campo con una clave suministrada por el proveedor
D. Asegurarse de que el proveedor no conoce la clave de cifrado
Ver respuesta
Respuesta correcta: A
Cuestionar #34
Usted es el director del proyecto GHT. Debe realizar el proceso de análisis cualitativo de riesgos. Cuando haya completado este proceso, producirá todo lo siguiente como parte de la salida de actualización del registro de riesgos, ¿excepto cuál?
A. Riesgos del proyecto
B. Actualización de la situación
C. ctualización de riesgos
D. Problema del proyecto
Ver respuesta
Respuesta correcta: A
Cuestionar #35
¿Cuál de las siguientes opciones es la MÁS útil para garantizar la eficacia de los controles de seguridad de un proveedor de servicios en la nube?
A. nformes de auditoría interna del proveedor
B. utoevaluación del control B
C. Informe de evaluación de la seguridad por terceros
D. Supervisión de los acuerdos de nivel de servicio
Ver respuesta
Respuesta correcta: C
Cuestionar #36
¿Cuál de los siguientes métodos implica el uso de una herramienta analítica predictiva o diagnóstica para exponer los factores de riesgo?
A. Análisis de escenarios
B. nálisis de sensibilidad
C. nálisis del árbol de fallos
D. Análisis causa-efecto
Ver respuesta
Respuesta correcta: D
Cuestionar #37
Una organización ha experimentado varios incidentes de cortes de red prolongados que han excedido la tolerancia. Cuál de los siguientes debería ser el PRIMER paso del profesional de riesgos para abordar esta situación?
A. ecomendar un análisis de la causa raíz de los incidentes
B. ctualizar el nivel de tolerancia al riesgo a umbrales aceptables
C. ecomendar controles adicionales para hacer frente al riesgo
D. ctualizar la tendencia de los riesgos relacionados con incidentes en el registro de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #38
¿Cuál de los siguientes debe ser el objetivo PRIMARIO de un programa de concienciación sobre riesgos informáticos?
A. ultivar el cambio de comportamiento a largo plazo
B. Demostrar el cumplimiento de la normativa
C. arantizar el cumplimiento de las políticas internas de la organización
D. omunicar la política de riesgos informáticos a los participantes
Ver respuesta
Respuesta correcta: A
Cuestionar #39
Ha identificado varios riesgos en su proyecto. Ha optado por la mitigación de riesgos para responder a los riesgos identificados. ¿Cuál de las siguientes opciones garantiza la eficacia del método de mitigación de riesgos que ha elegido?
A. ontrol de la protección del sistema y las comunicaciones
B. ontrol de auditoría y rendición de cuentas
C. Control de acceso
D. Control de identificación y autenticación
Ver respuesta
Respuesta correcta: B
Cuestionar #40
Usted es el gestor del proyecto GHT. Durante el proceso de extracción de datos, ha evaluado el número total de transacciones por año multiplicando la media mensual por doce. Este proceso de evaluación del número total de transacciones se conoce como?
A. rueba de duplicados
B. ontroles totales
C. implista e ineficaz
D. Prueba de razonabilidad
Ver respuesta
Respuesta correcta: D
Cuestionar #41
¿Cuál de los siguientes debería ser el PRÓXIMO paso de un profesional de riesgos al enterarse de que la organización no cumple una normativa legal específica?
A. valuar la probabilidad y magnitud del riesgo asociado
B. dentificar las actividades de mitigación y los controles compensatorios
C. otificar el riesgo asociado a los altos ejecutivos de cumplimiento
D. eterminar las sanciones por incumplimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #42
Usted es el jefe de proyecto de BlueWell Inc. Ha observado que el nivel de riesgo de su proyecto aumenta por encima del nivel de tolerancia al riesgo de su empresa. Ha aplicado varias respuestas al riesgo. Ahora tiene que actualizar el registro de riesgos de acuerdo con el proceso de respuesta al riesgo. El registro de riesgos incluye todos los elementos siguientes, excepto ¿cuál?
A. Activadores de riesgo
B. strategias de respuesta acordadas
C. nálisis del diagrama de red de las actividades del camino crítico
D. ropietarios del riesgo y su responsabilidad
Ver respuesta
Respuesta correcta: C
Cuestionar #43
Usted es el jefe de proyecto de un proyecto HGT que ha finalizado recientemente el proceso de compilación final. El cliente del proyecto ha dado el visto bueno a la finalización del proyecto y usted tiene que realizar algunas actividades administrativas de cierre. En el proyecto había varios riesgos importantes que podrían haber arruinado el proyecto, pero usted y su equipo de proyecto encontraron algunos métodos nuevos para resolver los riesgos sin afectar a los costes ni a la fecha de finalización del proyecto. ¿Qué debe hacer con las respuestas a los riesgos que ha identificado?
A. ncluir las respuestas en el plan de gestión del proyecto
B. ncluir las respuestas a los riesgos en el plan de gestión de riesgos
C. ncluir las respuestas a los riesgos en la base de datos de lecciones aprendidas de la organización
D. adA
Ver respuesta
Respuesta correcta: C
Cuestionar #44
¿Cuál es el paso INMEDIATO tras definir un conjunto de escenarios de riesgo?
A. Reducción de riesgos
B. Control de riesgos
C. estión de riesgos
D. Análisis de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #45
¿Cuál de las siguientes es la MAYOR ventaja de implantar un programa de gestión de riesgos?
A. Fomentar una cultura de riesgo
B. ejora de la gobernanza de la seguridad
C. Decisiones conscientes del riesgo
D. Reducción del riesgo residual
Ver respuesta
Respuesta correcta: A
Cuestionar #46
¿Cuál de las siguientes opciones es la MÁS crítica a la hora de diseñar controles?
A. Participación del propietario del proceso
B. Participación de la auditoría interna
C. dentificación de los principales indicadores de riesgo
D. Impacto cuantitativo del riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #47
Una organización delega su procesamiento de datos al equipo interno de TI para gestionar la información a través de sus aplicaciones. Cuál de las siguientes es la función del equipo de TI interno en esta situación?
A. Propietarios de los datos
B. Custodios de datos
C. Responsables del tratamiento
D. Procesadores de datos
Ver respuesta
Respuesta correcta: B
Cuestionar #48
¿Cuál de las siguientes pruebas es la MEJOR para confirmar la eficacia del proceso de gestión de acceso al sistema?
A. uentas de usuario a registros de recursos humanos (RRHH)
B. uentas de usuario para acceder a las solicitudes
C. a base de datos del proveedor a las cuentas de usuario
D. solicitudes de acceso a cuentas de usuario
Ver respuesta
Respuesta correcta: B
Cuestionar #49
Una auditoría de seguridad externa ha informado de múltiples hallazgos relacionados con el incumplimiento de los controles. ¿Cuál de las siguientes opciones sería la MÁS importante que el especialista en riesgos comunicara a la alta dirección?
A. lanes para mitigar el riesgo asociado
B. ugerencias para mejorar la formación en sensibilización sobre riesgos
C. na recomendación para la validación de la auditoría interna
D. El impacto en el perfil de riesgo de la organización
Ver respuesta
Respuesta correcta: C
Cuestionar #50
¿Cuál de las siguientes opciones es la MÁS útil para alinear el riesgo informático con los objetivos empresariales?
A. ealización de un análisis de impacto en el negocio (BIA)
B. ntegración de los resultados de los análisis descendentes de escenarios de riesgo
C. Introducción de un marco de gobierno informático aprobado
D. mplantación de un sistema de clasificación de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #51
¿Cuál de las siguientes sería la MEJOR recomendación de un experto en riesgos para prevenir una intrusión cibernética?
A. mplantar herramientas de prevención de pérdida de datos (DLP)
B. mplementar la segregación de la red
C. stablecer un plan de respuesta cibernéticA
D. Reforzar los esfuerzos de corrección de vulnerabilidades
Ver respuesta
Respuesta correcta: A
Cuestionar #52
¿Cuál de las siguientes es la MEJOR manera de identificar los cambios en el panorama de riesgos?
A. Revisiones de acceso
B. nálisis de la causa raíz
C. Informes de auditoría interna
D. odelización de amenazas
Ver respuesta
Respuesta correcta: D
Cuestionar #53
¿Cuál de los siguientes es el método MÁS apropiado para evaluar el impacto potencial de los requisitos legales, reglamentarios y contractuales sobre los objetivos empresariales?
A. Comunicación con las partes interesadas en el proceso empresarial
B. nálisis de impacto empresarial orientado al cumplimiento de la normativa
C. nálisis de deficiencias orientado al cumplimiento
D. Asignación de los requisitos de cumplimiento a las políticas y procedimientos
Ver respuesta
Respuesta correcta: B
Cuestionar #54
¿Qué sección de la Ley Sarbanes-Oxley especifica que "los informes financieros periódicos deben estar certificados por el CEO y el CFO"?
A. ección 302
B. ección 404
C. ección 203
D. Artículo 409
Ver respuesta
Respuesta correcta: A
Cuestionar #55
¿Cuál de las siguientes sería la MEJOR recomendación de un profesional de riesgos para ayudar a garantizar que el riesgo cibernético se evalúe y se refleje en el perfil de riesgo a nivel de empresa?
A. mpartir formación de concienciación sobre riesgos cibernéticos adaptada específicamente a la alta dirección
B. mplantar un programa de ciberriesgos basado en las mejores prácticas del sector
C. estionar el riesgo cibernético de acuerdo con el marco de gestión de riesgos de la organización
D. Definir las funciones y responsabilidades cibernéticas en toda la organización
Ver respuesta
Respuesta correcta: C
Cuestionar #56
¿Cuál es la razón PRIMARIA para clasificar los escenarios de riesgo por procesos de negocio?
A. eterminar los niveles de riesgo agregados por propietario del riesgo
B. dentificar las situaciones que dan lugar a un exceso de control
C. Permitir a la dirección aplicar medidas rentables para mitigar los riesgos
D. Mostrar las deficiencias de la actividad empresarial que deben mejorarse
Ver respuesta
Respuesta correcta: C
Cuestionar #57
El objetivo PRINCIPAL de realizar una autoevaluación de control (AAC) es:
A. educir la dependencia de las auditorías externas
B. omprender mejor el riesgo en la organización
C. Comprender mejor la eficacia del control en la organización
D. ajustar los controles antes de una auditoría externa
Ver respuesta
Respuesta correcta: C
Cuestionar #58
El MEJOR indicio de que la gestión de riesgos es eficaz es cuando el riesgo se ha reducido a cumplir:
A. Apetito de riesgo
B. apacidad de riesgo
C. Niveles de riesgo
D. resupuestos de riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #59
¿Cuál de las siguientes funciones sería MÁS útil para proporcionar una visión de alto nivel del riesgo relacionado con la pérdida de datos de clientes?
A. estor de la base de datos de clientes
B. Comité de auditoría
C. Responsable de la protección de datos
D. Custodio de los datos del cliente
Ver respuesta
Respuesta correcta: D
Cuestionar #60
A la hora de determinar qué deficiencias de control son más significativas, ¿cuál de las siguientes opciones proporcionaría la información MÁS útil?
A. olítica de tratamiento de excepciones
B. Evaluaciones comparativas
C. esultados de la evaluación de la vulnerabilidad
D. Resultados del análisis de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #61
¿Cuál de las siguientes es la MEJOR manera de garantizar que los proveedores de servicios subcontratados cumplen la política de seguridad de la información de la empresa?
A. Pruebas de penetración
B. Supervisión del nivel de servicio
C. Formación sobre sensibilización en materia de seguridad
D. Auditorías periódicas
Ver respuesta
Respuesta correcta: D
Cuestionar #62
¿Cuál de los siguientes procesos aborda los riesgos según sus prioridades, programa el plan de gestión del proyecto según sea necesario e inserta recursos y actividades en el presupuesto?
A. upervisar y controlar los riesgos
B. lanificar la respuesta al riesgo
C. dentificar los riesgos
D. nálisis cualitativo de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #63
¿Qué tipo de política utilizaría una organización para prohibir a sus empleados que utilicen el correo electrónico de la organización para uso personal?
A. Política contra el acoso
B. olítica de uso aceptable
C. Política de propiedad intelectual
D. Política de privacidad
Ver respuesta
Respuesta correcta: B
Cuestionar #64
En una organización que depende de la analítica de datos para impulsar la toma de decisiones, ¿cuál de las siguientes opciones ayudaría MEJOR a minimizar el riesgo asociado a la inexactitud de los datos?
A. Evaluación de cada una de las fuentes de datos en busca de vulnerabilidades
B. stablecimiento de un acuerdo de propiedad intelectual
C. Comparación con las mejores prácticas del sector
D. evisar periódicamente las estrategias de big data
Ver respuesta
Respuesta correcta: A
Cuestionar #65
Sammy es la gestora de proyectos de su organización. Le gustaría clasificar cada riesgo en función de su probabilidad y su efecto en el tiempo, el coste y el alcance. Harry, un miembro del equipo del proyecto, nunca ha hecho esto antes y cree que Sammy se equivoca al intentar este enfoque. Harry dice que debería crearse una puntuación de riesgo acumulativa, no tres puntuaciones de riesgo separadas. ¿Quién tiene razón en esta situación?
A. ammy es correcto, porque es la gestora del proyecto
B. ammy es correcta, porque las organizaciones pueden crear puntuaciones de riesgo para cada objetivo del proyecto
C. arry es correcto, la matriz de probabilidad de riesgo e impacto es el único enfoque para la evaluación de riesgos
D. arry es correcto, porque la probabilidad y el impacto del riesgo tienen en cuenta todos los objetivos del proyecto
Ver respuesta
Respuesta correcta: B
Cuestionar #66
Cuando se recurre a un tercero para realizar pruebas de penetración, ¿cuál de los siguientes es el control MÁS importante para minimizar el impacto operativo?
A. xigir al vendedor un seguro de responsabilidad civil
B. Comprobar los antecedentes del vendedor
C. Exigir al vendedor que firme un acuerdo de confidencialidad
D. Definir claramente el alcance del proyecto
Ver respuesta
Respuesta correcta: D
Cuestionar #67
¿Cuál es el proceso de selección y aplicación de las medidas de impacto denominadas de riesgo?
A. ratamiento del riesgo
B. ontrol
C. valuación de riesgos
D. Gestión de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #68
Usted es el director del proyecto GHT. Su proveedor de hardware le ha dejado un mensaje de voz diciendo que la entrega del equipo que ha pedido no llegaría a tiempo. Quería avisarle y le pidió que le devolviera la llamada. ¿Cuál de las siguientes afirmaciones es VERDADERA?
A.
B. Esto es un detonante
C. Se trata de un plan de contingenciA
D. Se trata de un riesgo secundario
Ver respuesta
Respuesta correcta: B
Cuestionar #69
¿Cuál de las siguientes opciones indica MEJOR que una organización ha implantado requisitos de rendimiento de TI?
A. Referencias de proveedores
B. atriz de responsabilidad
C. Datos comparativos
D. Acuerdos de nivel de servicio
Ver respuesta
Respuesta correcta: C
Cuestionar #70
¿Cuál de las siguientes situaciones requeriría con MAYOR probabilidad que un profesional del riesgo actualizara el registro de riesgos?
A. Una alerta comunicada por el centro de operaciones de seguridad
B. esarrollo de un calendario de proyecto para la aplicación de una respuesta al riesgo
C. ontratación de un tercero para realizar un escaneo de vulnerabilidades
D. inalización de un proyecto de implantación de un nuevo control
Ver respuesta
Respuesta correcta: D
Cuestionar #71
Se ha pedido a un profesional de riesgos que asesore a la dirección sobre el desarrollo de una estrategia de recopilación y correlación de registros. ¿Cuál de los siguientes puntos debería ser la consideración MÁS importante a la hora de desarrollar esta estrategia?
A. arantizar la inclusión de todos los recursos informáticos como fuentes de registro
B. arantizar la sincronización horaria de las fuentes de registro
C. Garantizar el acceso de lectura y escritura a todas las fuentes de registro
D. arantizar la inclusión de fuentes externas de registro de inteligencia sobre amenazas
Ver respuesta
Respuesta correcta: B
Cuestionar #72
¿Cuál de los siguientes es el inhibidor MÁS eficaz de una comunicación pertinente y eficaz?
A. na falsa sensación de confianza en la cúpula sobre el grado de exposición real relacionado con las TI y la falta de una dirección bien entendida para la gestión de riesgos desde arriba hacia abajo
B. a percepción de que la empresa intenta ocultar a las partes interesadas un riesgo conocido
C. xistencia de una cultura de culpabilización
D. Desajuste entre la propensión real al riesgo y su traducción en políticas
Ver respuesta
Respuesta correcta: C
Cuestionar #73
¿Cuál es la PRIMERA fase del proceso de supervisión y mantenimiento de la SI?
A. nálisis de las causas profundas
B. écnicas de diagramas de influencia
C. nálisis DAFO
D. Análisis de supuestos
Ver respuesta
Respuesta correcta: B
Cuestionar #74
A la hora de elaborar un plan de continuidad de negocio (PCN), lo MÁS importante es:
A. esarrollar un plan de comunicación multicanal
B. riorizar los servicios críticos que deben restablecerse
C. dentificar un centro de recuperación en caso de catástrofe geográficamente disperso
D. identificar una ubicación alternativa para albergar las operaciones
Ver respuesta
Respuesta correcta: C
Cuestionar #75
¿Cuál de las siguientes opciones NO es cierta para los Indicadores Clave de Riesgo?
A. Se seleccionan como los principales indicadores de seguimiento de la empresa
B. Evitan tener que gestionar e informar sobre un número excesivo de indicadores de riesgo
C. l conjunto completo de KRIs también debe equilibrar los indicadores de riesgo, las causas fundamentales y el impacto en el negocio
D. e controlan anualmente
Ver respuesta
Respuesta correcta: D
Cuestionar #76
¿Cuál de las siguientes es la MAYOR preocupación asociada a los datos redundantes en el sistema de inventario de una organización?
A. Incoherencia de los datos
B. so innecesario de almacenamiento de datos
C. Control de acceso deficiente
D. Costes innecesarios de los cambios de programa
Ver respuesta
Respuesta correcta: C
Cuestionar #77
¿Cuál de las siguientes es la consideración MÁS importante a la hora de determinar si se acepta el riesgo residual después de haber implantado controles de seguridad en un sistema crítico?
A. oste del sistema de control de la información
B. Coste frente a beneficio de los controles de mitigación adicionales
C. speranza de pérdidas anualizada (ALE) del sistemA
D. Frecuencia del impacto empresarial
Ver respuesta
Respuesta correcta: C
Cuestionar #78
Usted es el jefe de proyecto de un proyecto SGT. Se ha estado comunicando y trabajando activamente con las partes interesadas del proyecto. Uno de los resultados del proceso de "gestión de las expectativas de las partes interesadas" puede crear nuevos riesgos para el proyecto. ¿Qué resultado del proceso de gestión de las expectativas de las partes interesadas puede crear riesgos?
A. uente de confianza
B. eguro
C. Distinto
D. Independiente
Ver respuesta
Respuesta correcta: C
Cuestionar #79
Tras las recientes actualizaciones del registro de riesgos, la dirección ha solicitado que se reduzca el nivel global de riesgo residual. ¿Cuál de los siguientes es el MEJOR curso de acción del profesional de riesgos?
A. ar prioridad a los planes de reparación
B. ecomendar la aceptación de riesgos de bajo nivel
C. esarrollar nuevos planes de acción de riesgos con los propietarios de los riesgos
D. mplantar controles adicionales
Ver respuesta
Respuesta correcta: D
Cuestionar #80
Una parte de un proyecto se ocupa del trabajo de hardware. Como director del proyecto, ha decidido contratar a una empresa para que se encargue de todos los trabajos de hardware del proyecto. ¿De qué tipo de respuesta al riesgo se trata?
A. ransferencia
B. Mitigación
C. vitación
D. Explotación
Ver respuesta
Respuesta correcta: A
Cuestionar #81
Las mejoras en el diseño y la aplicación de un control darán lugar MUY probablemente a una actualización de:
A. olerancia al riesgo
B. Apetito de riesgo
C. iesgo inherente
D. iesgo residual
Ver respuesta
Respuesta correcta: D
Cuestionar #82
¿Cuál de las siguientes es la MEJOR manera de validar los resultados de una evaluación de vulnerabilidades?
A. ealizar una prueba de penetración
B. ealizar un análisis de la causa raíz
C. ealizar un análisis de amenazas
D. evisar los registros de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #83
¿Cuál de las siguientes técnicas se utilizaría durante una evaluación de riesgos para demostrar a las partes interesadas que se han evaluado todas las alternativas conocidas?
A. ráfico de control
B. nálisis de tendencias
C. nálisis de sensibilidad
D. Árbol de decisión
Ver respuesta
Respuesta correcta: A
Cuestionar #84
¿Durante cuál de los siguientes procesos se preparan las matrices de probabilidad e impacto?
A. Mejorar
B. Explotación
C. ceptar
D. Compartir
Ver respuesta
Respuesta correcta: D
Cuestionar #85
Usted es el director del proyecto HGT. Ha identificado los riesgos del proyecto y aplicado la respuesta adecuada para mitigarlos. Ha observado que se ha generado un riesgo como resultado de aplicar la respuesta. ¿Cómo se denomina este riesgo resultante?
A. Riesgo puro
B. iesgo secundario
C. iesgo de respuesta
D. Alto riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #86
El PRIMER paso para una empresa de nueva creación a la hora de desarrollar un plan de recuperación en caso de catástrofe debe ser identificar:
A. ulnerabilidades actuales
B. un emplazamiento alternativo adecuado
C. bjetivos de tiempo de recuperación
D. procesos empresariales críticos
Ver respuesta
Respuesta correcta: D
Cuestionar #87
¿Cuál de las siguientes opciones sería la MÁS útil para un equipo de gestión de la seguridad de la información a la hora de asignar recursos para mitigar los riesgos?
A. Resultados de la auditoría interna
B. Casos prácticos de riesgo relevantes
C. esultados de la evaluación de riesgos
D. Resultados de las pruebas de penetración
Ver respuesta
Respuesta correcta: C
Cuestionar #88
La MEJOR métrica para controlar el riesgo asociado a los cambios desplegados en producción es el porcentaje de:
A. ambios que no requieren pruebas de aceptación del usuario
B. ambios que provocan incidentes
C. ambios debidos a emergencias
D. personal con derechos para realizar cambios en la producción
Ver respuesta
Respuesta correcta: B
Cuestionar #89
¿Cuál de las siguientes es la consideración MÁS importante cuando varios profesionales del riesgo capturan escenarios de riesgo en un único registro de riesgos?
A. tilización de un método coherente para la evaluación de riesgos
B. esarrollo de procedimientos de escalado e información de riesgos
C. antener actualizados los planes de tratamiento de riesgos
D. Alinear la propiedad del riesgo y la propiedad del control
Ver respuesta
Respuesta correcta: A
Cuestionar #90
¿Cuál de los siguientes tipos de riesgo podría provocar una quiebra?
A. arginal
B. Insignificante
C. rítica
D. Catastrófico
Ver respuesta
Respuesta correcta: D
Cuestionar #91
¿Cuál de los siguientes riesgos es el que se produce con un socio comercial importante y afecta a un gran grupo de empresas dentro de un área o sector?
A. iesgo de contagio
B. Riesgo de notificación
C. iesgo operativo
D. iesgo sistémico
Ver respuesta
Respuesta correcta: D
Cuestionar #92
¿Cuál de las siguientes es la consideración MÁS importante a la hora de compartir las actualizaciones de la gestión de riesgos con la dirección ejecutiva?
A. tilización de una visión agregada del riesgo organizativo
B. asarse en los datos de los indicadores clave de riesgo (KRI)
C. arantizar la relevancia para los objetivos de la organización
D. ncluido el análisis de tendencias de las métricas de riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #93
¿Cuál de las siguientes es la MEJOR indicación de que una organización está siguiendo un proceso maduro de gestión de riesgos?
A. a dirección ejecutiva recibe formación periódica de concienciación sobre riesgos
B. os atributos de cada escenario de riesgo se han documentado en el registro de riesgos
C. l registro de riesgos se utiliza con frecuencia para la toma de decisiones
D. e ha desarrollado un cuadro de mandos para la alta dirección que proporciona valores de riesgo en tiempo real
Ver respuesta
Respuesta correcta: D
Cuestionar #94
¿Cuál de las siguientes funciones sería la MÁS importante a la hora de identificar escenarios de riesgo informático?
A. estores de riesgos operativos
B. Auditores internos
C. Responsables de seguridad de la información
D. Propietarios de procesos de negocio
Ver respuesta
Respuesta correcta: D
Cuestionar #95
¿Quién debe ser responsable de la aplicación y el mantenimiento de los controles de seguridad?
A. ustodia de datos
B. Auditor interno
C. Propietario de los datos
D. Usuario final
Ver respuesta
Respuesta correcta: A
Cuestionar #96
El MEJOR indicador clave de rendimiento (KPI) para medir la eficacia de un programa de corrección de vulnerabilidades es el número de:
A. uevas vulnerabilidades identificadas
B. Vulnerabilidades recurrentes
C. Vulnerabilidades corregidas
D. Exploración de vulnerabilidades
Ver respuesta
Respuesta correcta: B
Cuestionar #97
¿Cuál de los siguientes riesgos se asocia a no recibir la información adecuada de las personas adecuadas en el momento oportuno para poder tomar las medidas adecuadas?
A. egistro de riesgos y resultados del análisis de riesgos
B. egistro de riesgos y plan de respuesta a los riesgos
C. egistro de riesgos y facultad de asignar respuestas a los riesgos
D. Registro de riesgos y plan de gestión de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #98
Usted es el director del proyecto RFT. Ha detectado el riesgo de que el panorama de sistemas y aplicaciones informáticas de la empresa sea tan complejo que, dentro de unos años, resulte difícil ampliar la capacidad y el mantenimiento del software resulte muy caro. Para superar este riesgo, la respuesta adoptada es la rearquitectura del sistema existente y la compra de un nuevo sistema integrado. ¿En cuál de las siguientes opciones de priorización de riesgos se clasificaría este caso?
A. plazamientos
B. anancia rápida
C. Argumentos comerciales
D. iesgo de contagio
Ver respuesta
Respuesta correcta: C
Cuestionar #99
Wendy está a punto de realizar un análisis cualitativo de los riesgos identificados en su proyecto. ¿Cuál de las siguientes opciones NO ayudará a Wendy a realizar esta actividad de gestión de proyectos?
A. lan de gestión de riesgos
B. eclaración sobre el alcance del proyecto
C. egistro de riesgos
D. Registro de partes interesadas
Ver respuesta
Respuesta correcta: D
Cuestionar #100
¿Cuál de los siguientes aspectos debe tenerse en cuenta PRIMARIAMENTE a la hora de diseñar los controles de los sistemas de información?
A. l plan estratégico de TI
B. El entorno informático existente
C. l plan estratégico de la organización
D. El presupuesto informático actual
Ver respuesta
Respuesta correcta: C
Cuestionar #101
¿Cuál de las siguientes opciones mide MEJOR la eficacia de un proceso de respuesta a incidentes?
A. úmero de incidentes sin respuesta
B. úmero de incidentes elevados a la dirección
C. iempo medio entre cambios y actualización de la matriz de escalado
D. Diferencia media entre los tiempos de respuesta reales y los acordados
Ver respuesta
Respuesta correcta: D
Cuestionar #102
¿Cuál de las siguientes funciones es la MÁS adecuada para ayudar a un profesional del riesgo a comprender el impacto de los eventos relacionados con TI en los objetivos empresariales?
A. Propietarios de procesos
B. estión informática
C. lta dirección
D. Auditoría interna
Ver respuesta
Respuesta correcta: A
Cuestionar #103
Una organización ha concedido a un proveedor acceso a sus datos para analizar el comportamiento de los clientes. Cuál de los siguientes sería el control MÁS eficaz para mitigar el riesgo de fuga de datos de clientes?
A. Restringir el acceso a los datos de los clientes en función de la "necesidad de conocer"
B. Control de los antecedentes penales
C. nmascarar los campos de datos del cliente
D. Exigir al vendedor que firme un acuerdo de confidencialidad
Ver respuesta
Respuesta correcta: A
Cuestionar #104
Usted es el jefe de producto de su empresa. Ha detectado que en su empresa se introducen nuevas tecnologías, productos y servicios cada cierto tiempo. ¿Qué hay que hacer para prevenir la eficiencia y eficacia de los controles debido a estos cambios?
A. ecibir información oportuna de las evaluaciones de riesgos y a través de los indicadores clave de riesgo, y actualizar los controles
B. ñadir más controles
C. ealizar un análisis de impacto empresarial (BIA)
D. ada, la eficiencia y la eficacia de los controles no se ven afectadas por estos cambios
Ver respuesta
Respuesta correcta: A
Cuestionar #105
¿Cuál de las siguientes es la consideración PRIMARIA a la hora de establecer la metodología de gestión de riesgos de una organización?
A. ivel de tolerancia al riesgo
B. Información comparativa
C. Recursos necesarios
D. Contexto empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #106
Una organización ha subcontratado una aplicación a un proveedor de Software como Servicio (SaaS). El riesgo asociado al uso de este servicio debe ser propiedad de la:
A. Director de TI del proveedor de servicios
B. estor de riesgos del proveedor de servicios
C. estor de procesos empresariales de la organización
D. Gestor de proveedores de la organización
Ver respuesta
Respuesta correcta: C
Cuestionar #107
¿Cuál de las siguientes opciones es la MÁS útil para identificar nuevas exposiciones al riesgo debidas a cambios en el entorno empresarial?
A. Evaluación comparativa del sector
B. Procedimientos normalizados de trabajo
C. nálisis de las lagunas de control
D. Análisis DAFO
Ver respuesta
Respuesta correcta: D
Cuestionar #108
Un profesional de riesgos descubre que se han publicado en Internet varios documentos clave que detallan el diseño de un producto actualmente en desarrollo. ¿Cuál debe ser la PRIMERA medida que debe tomar el profesional de riesgos?
A. ealizar un análisis de la causa raíz
B. ealizar una evaluación inmediata de los riesgos
C. nvocar el plan de respuesta a incidentes establecido
D. Informar a la auditoría interna
Ver respuesta
Respuesta correcta: D
Cuestionar #109
NIST SP 800-53 identifica los controles en tres clases principales. ¿Cuáles son?
A. Aspectos técnicos, administrativos y medioambientales
B. reventivo, detectivo y correctivo
C. Aspectos técnicos, operativos y de gestión
D. Aspectos administrativos, técnicos y operativos
Ver respuesta
Respuesta correcta: C
Cuestionar #110
Judy ha identificado un evento de riesgo en su proyecto que tendrá una alta probabilidad y un alto impacto. Basándose en los requisitos del proyecto, Judy ha solicitado cambiar el alcance del proyecto para eliminar el requisito y el riesgo asociados. ¿Qué tipo de respuesta al riesgo es ésta?
A. Explotación
B. o es una respuesta al riesgo, sino una solicitud de cambio
C. vitación
D. Transferencia
Ver respuesta
Respuesta correcta: C
Cuestionar #111
Una auditoría revela que varias cuentas de empleados despedidos mantienen el acceso. ¿Cuál de los siguientes debería ser el PRIMER paso para abordar el riesgo?
A. ealizar una evaluación de riesgos
B. esactivar el acceso de usuarios
C. ealizar un análisis de la causa raíz
D. esarrollar una política de control de acceso
Ver respuesta
Respuesta correcta: D
Cuestionar #112
¿Cuál de los siguientes puntos es MÁS importante actualizar cuando cambia la propensión al riesgo de una organización?
A. ndicadores clave de riesgo (KRI)
B. axonomía del riesgo
C. ndicadores clave de rendimiento (KPI)
D. Metodología de información sobre riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #113
¿Cuál de las siguientes opciones ayuda a garantizar el cumplimiento de un requisito de política de no repudio para las transacciones electrónicas?
A. Firmas digitales
B. Certificados digitales
C. ontraseñas de un solo uso
D. Contraseñas cifradas
Ver respuesta
Respuesta correcta: A
Cuestionar #114
¿Cuál de los siguientes es el inhibidor MÁS eficaz de una comunicación pertinente y eficaz?
A. na falsa sensación de confianza en la cúpula sobre el grado de exposición real relacionado con las TI y la falta de una dirección bien entendida para la gestión de riesgos desde arriba hacia abajo
B. a percepción de que la empresa intenta ocultar a las partes interesadas un riesgo conocido
C. xistencia de una cultura de culpabilización
D. Desajuste entre la propensión real al riesgo y su traducción en políticas
Ver respuesta
Respuesta correcta: C
Cuestionar #115
¿Cuál de las siguientes es la MEJOR defensa contra los ataques de phishing?
A. istema de detección de intrusos
B. ndurecimiento de la aplicación
C. Sensibilización del usuario final
D. Filtros de spam
Ver respuesta
Respuesta correcta: C
Cuestionar #116
El objetivo PRIMARIO de un programa de gestión de riesgos es:
A. acilitar la disponibilidad de recursos
B. alvaguardar los activos de la empresA
C. Ayudar a garantizar el cumplimiento de los objetivos
D. yudar a evitar pérdidas operativas
Ver respuesta
Respuesta correcta: B
Cuestionar #117
Henry es el director del proyecto QBG de su empresa. Este proyecto tiene un presupuesto de 4.576.900 dólares y se espera que dure 18 meses en completarse. El CIO, una de las partes interesadas en el proyecto, ha introducido una solicitud de cambio de alcance para obtener entregables adicionales como parte del trabajo del proyecto. ¿Qué componente del sistema de control de cambios revisaría el impacto de los cambios propuestos en las características y funciones del producto del proyecto?
A. l análisis de riesgos debe suponer un grado igual de protección para todos los activos
B. l análisis de riesgos debe dar más peso a la probabilidad que a la magnitud de la pérdidA
C. l análisis de riesgos debe limitarse a una referencia de empresas similares
D. l análisis de riesgos debe abordar el tamaño potencial y la probabilidad de pérdidA
Ver respuesta
Respuesta correcta: B
Cuestionar #118
¿Cuál de los siguientes componentes garantiza que se examinen los riesgos de todas las nuevas solicitudes de cambio propuestas en el sistema de control de cambios?
A. estión de la configuración
B. Control de los cambios de alcance
C. eguimiento y control de riesgos
D. Control de cambios integrado
Ver respuesta
Respuesta correcta: D
Cuestionar #119
Una organización que ha sido objeto de múltiples ataques de ingeniería social está desarrollando un programa de concienciación de riesgos. El objetivo PRIMARIO de este programa debe ser:
A. omunicar las consecuencias de las infracciones
B. plicar las mejores prácticas del sector
C. educir el apetito de riesgo de la organización
D. educir el riesgo a un nivel aceptable
Ver respuesta
Respuesta correcta: D
Cuestionar #120
Un profesional de riesgos está revisando el estado de un plan de acción para mitigar un riesgo informático emergente y descubre que el nivel de riesgo ha aumentado. El MEJOR curso de acción sería:
A. valuar si los controles seleccionados siguen siendo adecuados
B. plicar los controles previstos y aceptar el riesgo restante
C. uspender el plan de acción actual para reevaluar el riesgo
D. evisar el plan de acción para incluir controles de mitigación adicionales
Ver respuesta
Respuesta correcta: A
Cuestionar #121
Una práctica empresarial prudente exige que no se supere el apetito de riesgo:
A. apacidad de riesgo
B. iesgo inherente
C. Tolerancia al riesgo
D. Riesgo residual
Ver respuesta
Respuesta correcta: A
Cuestionar #122
¿Cuál de los siguientes es el elemento MÁS crítico para maximizar el potencial de una implementación de seguridad exitosa?
A. erramientas de seguridad líderes del sector
B. La cultura de la organización
C. acilidad de aplicación
D. El conocimiento de la organización
Ver respuesta
Respuesta correcta: B
Cuestionar #123
¿Cuál de las siguientes es una medida de rendimiento que se utiliza para evaluar la eficiencia de una inversión o para comparar la eficiencia de varias inversiones diferentes?
A. etorno de la inversión en seguridad
B. oste total de propiedad
C. etorno de la inversión
D. onjunto redundante de discos de bajo coste
Ver respuesta
Respuesta correcta: C
Cuestionar #124
¿Cuál de las siguientes cuestiones debe preocupar MÁS a la hora de evaluar los controles existentes durante una evaluación de riesgos?
A. xisten controles compensatorios redundantes
B. os custodios de activos son los responsables de definir los controles en lugar de los propietarios de los activos
C. xiste un elevado número de excepciones aprobadas con controles compensatorios
D. as evaluaciones sucesivas tienen las mismas vulnerabilidades recurrentes
Ver respuesta
Respuesta correcta: D
Cuestionar #125
Durante una revisión de control, el propietario del control afirma que un control existente se ha deteriorado con el paso del tiempo. ¿Cuál es la MEJOR recomendación para el propietario del control?
A. Elevar el problema a la alta dirección
B. iscutir las opciones de mitigación de riesgos con el propietario del riesgo
C. ertificar el control tras documentar el problema
D. Aplicar controles compensatorios para reducir el riesgo residual
Ver respuesta
Respuesta correcta: D
Cuestionar #126
¿Cuál de las siguientes debe ser la consideración PRIMARIA de la dirección a la hora de aprobar los planes de acción de respuesta al riesgo?
A. riorización de la aplicación de los planes de acción
B. apacidad de los planes de acción para abordar múltiples escenarios de riesgo
C. acilidad de aplicación de la solución de tratamiento de riesgos
D. Cambios en el riesgo residual tras la aplicación de los planes
Ver respuesta
Respuesta correcta: A
Cuestionar #127
Una aplicación ejecuta un trabajo programado que recopila datos financieros de varios sistemas empresariales y actualiza el sistema de informes financieros. Si este trabajo se ejecuta durante demasiado tiempo, puede retrasar los informes financieros. ¿Cuál de las siguientes es la MEJOR recomendación del especialista en riesgos?
A. mplantar la supervisión de la actividad y la capacidad de la base de datos
B. onsidere la posibilidad de proporcionar recursos adicionales del sistema a este trabajo
C. segurarse de que la empresa dispone de un proceso para detectar estas situaciones
D. segurarse de que la empresa es consciente del riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #128
¿A cuál de los siguientes portadores de roles corresponde el análisis de riesgos, el mantenimiento del perfil de riesgo y la toma de decisiones conscientes del riesgo?
A. robabilidades
B. Amenazas
C. Vulnerabilidades
D. Impactos
Ver respuesta
Respuesta correcta: D
Cuestionar #129
¿Cuál de los siguientes procesos aborda los riesgos según sus prioridades, programa el plan de gestión del proyecto según sea necesario e inserta recursos y actividades en el presupuesto?
A. upervisar y controlar los riesgos
B. lanificar la respuesta al riesgo
C. dentificar los riesgos
D. nálisis cualitativo de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #130
¿Cuál de las siguientes opciones es la MÁS importante cuando se habla de riesgos en una organización?
A. doptar una taxonomía común de los riesgos
B. reación de una política de comunicación de riesgos
C. tilización de indicadores clave de rendimiento (KPI)
D. tilización de indicadores clave de riesgo (KRI)
Ver respuesta
Respuesta correcta: D
Cuestionar #131
¿Cuál de las siguientes opciones es la MEJOR para mitigar el riesgo asociado a la desalineación entre TI y negocio?
A. Introducción de un marco establecido para la arquitectura informática
B. stablecimiento de indicadores clave de rendimiento empresarial (KPI)
C. mplicar al propietario del proceso de negocio en la estrategia de TI
D. stablecimiento de indicadores clave de riesgo (KRI)
Ver respuesta
Respuesta correcta: A
Cuestionar #132
¿Cuál de las siguientes es la PRINCIPAL ventaja de implicar a las partes interesadas en la selección de los indicadores clave de riesgo (KRI)?
A. Aprovechamiento de las métricas existentes
B. ptimización de las decisiones de tratamiento de riesgos
C. Obtener la aprobación de los propietarios del riesgo
D. Mejorar la concienciación sobre los riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #133
La ventaja PRIMARIA de implantar un marco de gestión de riesgos informáticos es la:
A. lineación de los objetivos empresariales con los objetivos informáticos
B. ejora de los controles dentro de la organización y minimización de las pérdidas
C. umplimiento de los requisitos legales y reglamentarios pertinentes
D. establecimiento de una base fiable para la toma de decisiones en función del riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #134
Henry es el patrocinador del proyecto JQ y Nancy es la gestora del proyecto. Henry ha pedido a Nancy que inicie el proceso de identificación de riesgos para el proyecto, pero Nancy insiste en que el equipo del proyecto participe en el proceso. ¿Por qué debe participar el equipo del proyecto en la identificación de riesgos?
A. arco
B. Requisitos legales
C. stándar
D. Prácticas
Ver respuesta
Respuesta correcta: A
Cuestionar #135
Una organización está considerando permitir a los usuarios acceder a los datos de la empresa desde sus dispositivos personales. Cuál de los siguientes es el factor MÁS importante a la hora de evaluar el riesgo?
A. lasificación de los datos
B. ipo de dispositivo
C. apacidades de gestión remota
D. olumen de datos
Ver respuesta
Respuesta correcta: C
Cuestionar #136
¿Cuál de las siguientes medidas es la MEJOR para reducir el impacto del riesgo?
A. rear una política de seguridad informática
B. plicar controles de detección
C. plicar medidas correctoras
D. Aprovechar la tecnología existente
Ver respuesta
Respuesta correcta: C
Cuestionar #137
Usted es el director de un gran proyecto de construcción. Durará 18 meses y costará 750.000 dólares. Está trabajando con su equipo de proyecto, expertos y partes interesadas para identificar los riesgos del proyecto antes de que comience el trabajo. La dirección quiere saber por qué ha programado tantas reuniones de identificación de riesgos a lo largo del proyecto en lugar de sólo al principio, durante la planificación del mismo. ¿Cuál es la mejor razón para duplicar las sesiones de identificación de riesgos?
A. as reuniones iterativas permiten a todas las partes interesadas participar en los procesos de identificación de riesgos a lo largo de todas las fases del proyecto
B. as reuniones iterativas permiten al gestor del proyecto discutir los eventos de riesgo que han pasado el proyecto y que no han sucedido
C. as reuniones iterativas permiten al director del proyecto y a los participantes en la identificación de riesgos identificar nuevos eventos de riesgo descubiertos a lo largo del proyecto
D. as reuniones iterativas permiten al director del proyecto comunicar los riesgos pendientes durante la ejecución del proyecto
Ver respuesta
Respuesta correcta: C
Cuestionar #138
Usted trabaja como jefe de proyecto para Bluewell Inc. Se ha producido un retraso en el trabajo del proyecto que está afectando negativamente al calendario del mismo. Decide, con la aprobación de las partes interesadas, acelerar el trabajo del proyecto para terminarlo antes. Si acelera el proyecto, ¿qué es probable que aumente?
A. Necesidades de recursos humanos
B. Problemas de control de calidad
C. Costes
D. Riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #139
¿Cuál de los siguientes es el MEJOR indicador clave de rendimiento (KPI) para medir la capacidad de prestar servicios informáticos ininterrumpidos?
A. iempo medio entre fallos
B. Tiempos de inactividad imprevistos
C. iempo medio de recuperación
D. Tiempo de inactividad planificado
Ver respuesta
Respuesta correcta: A
Cuestionar #140
¿Cuál de los siguientes es el indicio MÁS FUERTE de que los controles aplicados como parte de un plan de acción de riesgos no son eficaces?
A. Se produce un fallo de seguridad
B. a auditoría interna identifica excepciones recurrentes
C. Los cambios se ponen en producción sin la aprobación de la dirección
D. Se utiliza una muestra para validar el plan de acción
Ver respuesta
Respuesta correcta: B
Cuestionar #141
Usted trabaja como gestor del proyecto ABS. El proyecto consiste en establecer una red informática en las instalaciones de un colegio. Durante la ejecución del proyecto, la dirección del centro pide que se habilite la Wi-Fi en el campus. Sabe que esto puede afectar negativamente al proyecto. Ha debatido la solicitud de cambio con otras partes interesadas. ¿Cuál será su SIGUIENTE paso?
A. ctualizar el plan de gestión del proyecto
B. mitir una solicitud de cambio
C. nalizar el impacto
D. ctualizar el plan de gestión de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #142
Usted es el director del proyecto AFD de su empresa. Está trabajando con el equipo del proyecto para volver a evaluar los eventos de riesgo existentes y para identificar los eventos de riesgo que no se han producido y cuya relevancia para el proyecto ya ha pasado. ¿Qué debería hacer con estos eventos que no han ocurrido y que no ocurrirían ahora en el proyecto?
A. ñadir el riesgo al registro de incidencias
B. errar los riesgos obsoletos
C. ñadir los riesgos al registro de riesgos
D. Añadir los riesgos a una lista de vigilancia de baja prioridad
Ver respuesta
Respuesta correcta: B
Cuestionar #143
Usted es el responsable de riesgos de su empresa. Su empresa toma decisiones importantes sin tener en cuenta la información sobre credenciales de riesgo y tampoco es consciente de los requisitos externos para la gestión de riesgos y la integración con la gestión de riesgos empresariales. ¿En cuál de los siguientes niveles de madurez de la capacidad de gestión de riesgos se encuentra su empresa?
A. ivel 1
B. ivel 0
C. ivel 5
D. Nivel 4
Ver respuesta
Respuesta correcta: B
Cuestionar #144
Usted es el profesional del riesgo de su empresa. Necesita calcular la pérdida potencial de ingresos si se produce un determinado riesgo. Su empresa tiene un sitio web electrónico (comercio electrónico) que está produciendo 1 millón de dólares de ingresos cada día, entonces si se produce un ataque de denegación de servicio (DoS) que dura medio día crea ¿cuánta pérdida?
A. Análisis de datos
B. Validación de datos
C. Recogida de datos
D. Acceso a los datos
Ver respuesta
Respuesta correcta: B
Cuestionar #145
¿Dónde se documentan todos los riesgos y sus respuestas a medida que avanza el proyecto?
A. lan de gestión de riesgos
B. lan de gestión del proyecto
C. lan de respuesta a los riesgos
D. Registro de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #146
Un equipo directivo tiene la agresiva misión de lanzar un nuevo producto para penetrar en nuevos mercados y pasa por alto los factores de riesgo, las amenazas y las vulnerabilidades de TI. Este escenario MEJOR demuestra el riesgo de una organización:
A. estión
B. nálisis
C. ulturA
D. oleranciA
Ver respuesta
Respuesta correcta: C
Cuestionar #147
Una organización ha dejado que su seguro de ciberriesgo caduque mientras busca un nuevo proveedor de seguros. El profesional de riesgos debe informar a la dirección de que el riesgo se ha:
A. ceptada
B. itigado
C. ransferido
D. Evitado
Ver respuesta
Respuesta correcta: A
Cuestionar #148
¿Cuál de los siguientes puntos es MÁS importante comunicar a la alta dirección durante la implantación inicial de un programa de gestión de riesgos?
A. Asunción de riesgos
B. Buenas prácticas
C. ivel de riesgo deseado
D. Cumplimiento de la normativa
Ver respuesta
Respuesta correcta: A
Cuestionar #149
Usted está trabajando en un proyecto en una empresa. Alguna parte de su proyecto requiere comercio electrónico, pero su empresa opta por no dedicarse al comercio electrónico. Este escenario está demostrando ¿cuál de las siguientes formas?
A. vitación de riesgos
B. ratamiento de riesgos
C. ceptación del riesgo
D. ransferencia de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #150
¿Cuál de las siguientes acciones garantiza a la dirección que los objetivos de la organización están protegidos frente a la aparición de eventos de riesgo?
A. Control interno
B. Gestión de riesgos
C. Cobertura
D. Evaluación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #151
El objetivo PRIMARIO de exigir una revisión independiente del proceso de gestión de riesgos informáticos de una organización debe ser:
A. Garantizar que la gestión de riesgos informáticos se centra en mitigar los riesgos potenciales
B. onfirmar que los resultados de la evaluación de riesgos informáticos se expresan como impacto en el negocio
C. valuar las lagunas en las operaciones de gestión de riesgos informáticos y el enfoque estratégico
D. erificar los controles implementados para reducir la probabilidad de materialización de la amenazA
Ver respuesta
Respuesta correcta: C
Cuestionar #152
Una organización ha sido notificada de que un administrador de TI despedido y malhumorado ha intentado entrar en la red corporativa. ¿Cuál de los siguientes descubrimientos debería preocupar MÁS a la organización?
A. e ha detectado un ataque de fuerza bruta
B. e ha detectado un escaneo externo de vulnerabilidades
C. e ha observado un aumento de las solicitudes de ayuda
D. e han desactivado los registros de autenticación
Ver respuesta
Respuesta correcta: D
Cuestionar #153
Harry es el director del proyecto HDW. Ha identificado un riesgo que podría lesionar a los miembros del equipo del proyecto. No quiere aceptar ningún riesgo de que alguien pueda resultar herido en este proyecto, por lo que contrata a un proveedor profesional para completar esta parte del trabajo del proyecto. ¿Qué tipo de respuesta al riesgo está aplicando Harry?
A.
B. on los individuos que tendrán las mejores respuestas para los eventos de riesgo identificados dentro del proyecto
C. on los individuos más afectados por los eventos de riesgo
D. Son los individuos que necesitarán un sentido de propiedad y responsabilidad en los eventos de riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #154
Usted es el profesional de riesgos de su empresa. Ha realizado un análisis de costes y beneficios del control que ha adoptado. ¿Cuáles son todas las ventajas de realizar un análisis de costes y beneficios del control? Cada respuesta correcta representa una solución completa. Elija tres.
A. l proyecto se ha completado y el sistema ha estado en producción durante un periodo de tiempo suficiente
B. urante el proyecto
C. nmediatamente después de la finalización del proyecto
D. El proyecto está a punto de concluir
Ver respuesta
Respuesta correcta: ACD
Cuestionar #155
¿Cuál de los siguientes términos se utiliza en la evaluación cualitativa del riesgo para valorar el nivel de riesgo? Cada respuesta correcta representa una parte de la solución. Elija dos.
A. Cobertura
B. versión
C. Apetito
D. Tolerancia
Ver respuesta
Respuesta correcta: AC
Cuestionar #156
¿Cuál de los siguientes es el objetivo PRIMARIO de proporcionar una visión agregada del riesgo informático a la dirección de la empresa?
A. roporcionar una terminología coherente y clara
B. Permitir una revisión adecuada de la tolerancia al riesgo
C. dentificar las dependencias para informar del riesgo
D. Permitir la obtención de datos coherentes sobre el riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #157
De las diversas respuestas al riesgo, ¿cuál de las siguientes se utiliza en caso de riesgo negativo?
A. ompartir
B. Mejorar
C. Explotación
D. Aceptar
Ver respuesta
Respuesta correcta: D
Cuestionar #158
Una organización global está considerando la adquisición de un competidor. La alta dirección ha solicitado una revisión del perfil de riesgo global de la organización objetivo. ¿Cuál de los siguientes componentes de esta revisión proporcionaría la MÁXIMA información útil?
A. Declaración de propensión al riesgo
B. olíticas de gestión de riesgos
C. egistro de riesgos
D. arco de gestión del riesgo empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #159
De las diversas respuestas al riesgo, ¿cuál de las siguientes se utiliza en caso de riesgo negativo?
A. ompartir
B. Mejorar
C. Explotación
D. Aceptar
Ver respuesta
Respuesta correcta: D
Cuestionar #160
¿Cuál es el valor del factor de exposición si el activo se pierde por completo?
A. ejora
B. ositivo
C. Oportunista
D. Explotación
Ver respuesta
Respuesta correcta: A
Cuestionar #161
Adrian es el director de un nuevo proyecto en el que se utiliza una tecnología que acaba de salir al mercado y sobre la que hay relativamente poca información. Las pruebas iniciales de la tecnología hacen que su uso parezca prometedor, pero sigue habiendo incertidumbre sobre su longevidad y fiabilidad. Adrian quiere considerar los factores tecnológicos un riesgo para su proyecto. ¿Dónde debería documentar los riesgos asociados a esta tecnología para poder hacer un seguimiento del estado de los riesgos y las respuestas?
A. eclaración sobre el alcance del proyecto
B. Carta del proyecto
C. ista de vigilancia de bajo nivel de riesgo
D. Registro de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #162
El objetivo PRIMARIO de los informes sobre el estado de los controles informáticos es:
A. Ayudar a la auditoría interna a evaluar y poner en marcha medidas correctoras
B. Garantizar el cumplimiento de la estrategia de gobernanza de TI
C. acilitar la comparación de los estados actual y deseado
D. Comparar los controles de TI con las normas del sector
Ver respuesta
Respuesta correcta: C
Cuestionar #163
¿Cuál de las siguientes afirmaciones NO es cierta en relación con el plan de gestión de riesgos?
A. l plan de gestión de riesgos es un resultado del proceso de Gestión de Riesgos del Plan
B. l plan de gestión de riesgos es una aportación a todos los demás procesos de planificación de riesgos
C. l plan de gestión de riesgos incluye una descripción de las respuestas a los riesgos y los factores desencadenantes
D. l plan de gestión de riesgos incluye umbrales, métodos de puntuación e interpretación, responsables y presupuestos
Ver respuesta
Respuesta correcta: C
Cuestionar #164
¿Cuál de los siguientes es el MAYOR riesgo asociado al uso de datos no enmascarados con fines de prueba?
A. Confidencialidad
B. Integridad
C. isponibilidad
D. Responsabilidad
Ver respuesta
Respuesta correcta: A
Cuestionar #165
¿Cuál de los siguientes es el MEJOR enfoque para crear un conjunto completo de escenarios de riesgo informático?
A. eunir hipótesis de la alta dirección
B. erivar escenarios de las políticas y normas de riesgo informático
C. Comparar los escenarios con los de otros sectores
D. Adaptar los escenarios a un marco reconocido de gestión de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #166
¿Cuál de las siguientes es la característica MÁS importante de un programa eficaz de gestión de riesgos?
A. os planes de respuesta a los riesgos están documentados
B. e definen los indicadores clave de riesgo
C. e asigna la titularidad del riesgo
D. Los controles se asignan a escenarios de riesgo clave
Ver respuesta
Respuesta correcta: D
Cuestionar #167
Una organización ha determinado que un escenario de riesgo está fuera del nivel de tolerancia al riesgo definido. ¿Cuál debería ser el PRÓXIMO curso de acción?
A. esarrollar un control compensatorio
B. dentificar las respuestas a los riesgos
C. signar recursos de reparación
D. ealizar un análisis coste-beneficio
Ver respuesta
Respuesta correcta: A
Cuestionar #168
¿Cuál de las siguientes es la MAYOR preocupación cuando se utiliza un conjunto genérico de escenarios de riesgo informático para el análisis de riesgos?
A. l riesgo inherente podría no tenerse en cuenta
B. os costes de aplicación podrían aumentar
C. os factores de riesgo podrían no ser relevantes para la organización
D. El análisis cuantitativo podría no ser posible
Ver respuesta
Respuesta correcta: C
Cuestionar #169
Se le ha asignado como Jefe de Proyecto para un nuevo proyecto que implica el desarrollo de una nueva interfaz para su actual sistema de gestión del tiempo. Ha terminado de identificar todos los riesgos posibles junto con las partes interesadas y el equipo y ha calculado la probabilidad y el impacto de estos riesgos. ¿Cuál de las siguientes opciones necesitaría para priorizar los riesgos?
A. iagrama de afinidad
B. ormas de clasificación de riesgos
C. iagrama de la red del proyecto
D. Categorías de riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #170
Usted es el director del proyecto PFO. Está trabajando con los miembros de su equipo de proyecto y dos expertos en la materia para evaluar los eventos de riesgo identificados en el proyecto. ¿Cuál de los siguientes enfoques es el mejor para evaluar los eventos de riesgo en el proyecto?
A. ntrevistas o reuniones
B. eterminación del coste real del evento de riesgo
C. atriz de probabilidad e impacto
D. nálisis de la causa raíz
Ver respuesta
Respuesta correcta: A
Cuestionar #171
¿Cuál de los siguientes es el factor PRIMARIO para determinar un objetivo de tiempo de recuperación (RTO)?
A. iempo de respuesta del plan de acción de emergencia
B. Coste del tiempo de inactividad debido a una catástrofe
C. oste de los locales de copia de seguridad externos
D. Coste de las pruebas del plan de continuidad de la actividad
Ver respuesta
Respuesta correcta: B
Cuestionar #172
Shelly es la directora del proyecto BUF de su empresa. En este proyecto, Shelly necesita establecer algunas reglas para reducir la influencia del sesgo de riesgo durante el proceso de análisis cualitativo de riesgos. ¿Qué método puede adoptar Shelly para reducir mejor la influencia del sesgo de riesgo?
A. stablecer límites de riesgo
B. grupar a las partes interesadas según sean positivas o negativas y, a continuación, completar el análisis de riesgos
C. eterminar la causa raíz del riesgo en lugar de la persona que identifica los eventos de riesgo
D. stablecer definiciones del nivel de probabilidad e impacto del evento de riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #173
Un gestor de riesgos ha determinado que existe un riesgo excesivo con una tecnología concreta. ¿Quién es la MEJOR persona para asumir el riesgo no mitigado de la tecnología?
A. ropietario del proceso de negocio
B. irector financiero
C. efe de riesgos
D. Propietario del sistema informático
Ver respuesta
Respuesta correcta: D
Cuestionar #174
Usted trabaja como jefe de proyecto para Bluewell Inc. Su proyecto tiene varios riesgos que afectarán a varios requisitos de las partes interesadas. ¿Qué plan de gestión de proyectos definirá quién estará disponible para compartir información sobre los riesgos del proyecto?
A. lan de gestión de recursos
B. lan de gestión de riesgos
C. strategia de gestión de las partes interesadas
D. lan de gestión de las comunicaciones
Ver respuesta
Respuesta correcta: D
Cuestionar #175
El control compensatorio que MÁS eficazmente aborda el riesgo asociado a entrar a caballito en una zona restringida sin puerta de hombre muerto es:
A. Uso de la autenticación de dos factores
B. Uso de cerraduras biométricas
C. Obligar a los empleados a llevar tarjetas de identificación
D. formación sobre sensibilización en materia de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #176
Periódicamente se informa a la alta dirección de un indicador de riesgo clave (KRI) que supera los umbrales, pero en cada ocasión la alta dirección ha decidido no tomar ninguna medida para reducir el riesgo. ¿Cuál de las siguientes es la razón MÁS probable de la respuesta de la alta dirección?
A. a fuente de datos subyacente para el KRI utiliza datos inexactos y debe corregirse
B. l umbral del KRI debe revisarse para ajustarse mejor al apetito de riesgo de la organización
C. a alta dirección no entiende el KRI y debería recibir formación sobre riesgos
D. El KRI no proporciona información útil y debería eliminarse del inventario de KRI
Ver respuesta
Respuesta correcta: B
Cuestionar #177
Marie ha identificado un evento de riesgo en su proyecto que necesita una respuesta de mitigación. En realidad, su respuesta crea un nuevo evento de riesgo que ahora debe analizarse y planificarse. ¿Qué término se da a este nuevo evento de riesgo?
A. iesgo residual
B. iesgo secundario
C. iesgo de infinitivo
D. iesgo de población
Ver respuesta
Respuesta correcta: B
Cuestionar #178
Una organización ha externalizado sus operaciones de seguridad informática a un tercero. ¿Quién es ULTIMAMENTE responsable del riesgo asociado a las operaciones externalizadas?
A. a oficina de gestión de proveedores de la organización
B. a dirección de la organización
C. os operadores de control de la tercera parte
D. La gestión del tercero
Ver respuesta
Respuesta correcta: B
Cuestionar #179
Para respaldar eficazmente las decisiones empresariales, DEBE existir un registro de riesgos informáticos:
A. eflejar los resultados de las evaluaciones de riesgos
B. poyar eficazmente un modelo de madurez empresarial
C. star a disposición de los grupos operativos
D. ser revisado por el comité directivo de TI
Ver respuesta
Respuesta correcta: B
Cuestionar #180
¿Cuál de las siguientes sería la MEJOR manera de ayudar a garantizar la eficacia de un control de prevención de pérdida de datos (DLP) que se ha implementado para evitar la pérdida de datos de tarjetas de crédito?
A. Revisión de los registros para detectar transferencias de datos no autorizadas
B. onfiguración del control DLP para bloquear números de tarjetas de crédito
C. omprobación de la transmisión de números de tarjetas de crédito
D. Comprobación del proceso de control de cambios de reglas de DLP
Ver respuesta
Respuesta correcta: A
Cuestionar #181
Un profesional de riesgos descubrió recientemente que se necesitan datos confidenciales del entorno de producción para realizar pruebas en entornos que no son de producción. Cuál de las siguientes es la MEJOR recomendación para abordar esta situación?
A. nmascarar los datos antes de transferirlos al entorno de pruebA
B. mplementar una seguridad equivalente en el entorno de pruebas
C. abilitar la encriptación de datos en el entorno de pruebas
D. mpedir el uso de datos de producción con fines de pruebA
Ver respuesta
Respuesta correcta: B
Cuestionar #182
¿Cuál de las siguientes es la PRINCIPAL razón para documentar la realización de controles?
A. ustificación del rendimiento de la inversión
B. Demostración de una reducción eficaz de los riesgos
C. roporcionar informes de riesgo precisos
D. Obtener el visto bueno de la dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #183
¿Cuál de las siguientes es la MEJOR manera de que un profesional del riesgo ayude a la dirección a priorizar la respuesta al riesgo?
A. valuar el riesgo en relación con los objetivos empresariales
B. mplantar una taxonomía de riesgos específica para la organización
C. linear los objetivos empresariales con el perfil de riesgo
D. xplicar los detalles del riesgo a la dirección
Ver respuesta
Respuesta correcta: C
Cuestionar #184
Usted es el jefe de proyecto de su empresa. Ha identificado nuevas amenazas y, a continuación, ha evaluado la capacidad de los controles existentes para mitigar el riesgo asociado a las nuevas amenazas. Ha observado que el control existente no es eficaz para mitigar estos nuevos riesgos. ¿Qué medidas podría tomar en este caso? Cada respuesta correcta representa una solución completa. (Elija tres.)
A. iesgo de pertinencia
B. iesgo de integridad
C. iesgo de disponibilidad
D. Riesgo de acceso
Ver respuesta
Respuesta correcta: ABC
Cuestionar #185
¿Cuál de las siguientes es la MEJOR forma de actuar cuando se detecta que el riesgo es superior al apetito de riesgo aceptable?
A. jecutar el plan de respuesta al riesgo
B. nalizar la eficacia de los controles
C. antener los controles actuales
D. evisar los niveles de tolerancia al riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #186
¿Cuál de los siguientes es el PRIMER paso en la gestión del riesgo asociado a la filtración de datos confidenciales?
A. levar a cabo un programa de concienciación para propietarios y usuarios de datos
B. antenimiento y revisión del inventario de datos clasificados
C. mplantar el cifrado obligatorio de los datos
D. efinir y aplicar una política de clasificación de datos
Ver respuesta
Respuesta correcta: A
Cuestionar #187
Della trabaja como gestora de proyectos para Tech Perfect Inc. Está estudiando la documentación de planificación de un proyecto. La documentación indica que hay veintiocho partes interesadas en el proyecto. ¿Cuál será el número de canales de comunicación del proyecto?
A. 50
B. 8
C. 78
D. 00
Ver respuesta
Respuesta correcta: C
Cuestionar #188
Ha sido elegido director del proyecto GHT. Tiene que iniciar el proyecto. Tu documento de solicitud de proyecto ha sido aprobado y ahora tienes que empezar a trabajar en el proyecto. ¿Cuál es el PRIMER paso que debe dar para iniciar el proyecto?
A. ealizar un estudio de viabilidad
B. dquirir software
C. efinir los requisitos del proyecto
D. lanificar la gestión del proyecto
Ver respuesta
Respuesta correcta: A
Cuestionar #189
Usted es el gestor de un proyecto para un cliente. El cliente ha prometido a su empresa una bonificación si el proyecto se termina antes de lo previsto. Después de estudiar el trabajo del proyecto, usted opta por estrellar el proyecto para conseguir la fecha de finalización anticipada. Este es un ejemplo de ¿qué tipo de respuesta al riesgo?
A. espuesta negativa al riesgo, porque chocar añadirá riesgos
B. espuesta positiva al riesgo, ya que la colisión es un ejemplo de mejorA
C. espuesta positiva al riesgo, ya que el bloqueo es un ejemplo de explotación
D. espuesta negativa al riesgo, porque la colisión añadirá costes
Ver respuesta
Respuesta correcta: B
Cuestionar #190
Usted es el profesional de riesgos de su empresa. Su empresa ha introducido nuevos sistemas en muchos departamentos. Los requisitos empresariales a los que debía responder el nuevo sistema siguen sin cumplirse, y el proceso ha sido un despilfarro de recursos. Incluso si se implanta el sistema, lo más probable es que se infrautilice y no se mantenga, con lo que quedará obsoleto en poco tiempo. ¿De qué tipo de riesgo se trata?
A. iesgo inherente
B. iesgo empresarial
C. iesgo del proyecto
D. iesgo residual
Ver respuesta
Respuesta correcta: B
Cuestionar #191
Usted es el director del proyecto KJH y está trabajando con su equipo de proyecto para planificar las respuestas a los riesgos. Considere que su proyecto tiene un presupuesto de 500.000 dólares y se espera que dure seis meses. Dentro del proyecto KJH, usted ha identificado un evento de riesgo que tiene una probabilidad de 0,70 y un impacto en el coste de 350.000 $. A la hora de crear una respuesta al riesgo para este evento, ¿cuál es la exposición al riesgo del evento que debe tenerse en cuenta para el coste de la respuesta al riesgo?
A. a exposición al riesgo del evento es de 350
B. a exposición al riesgo del evento es de 500
C. a exposición al riesgo del evento es de 850
D. a exposición al riesgo del evento es de 245
Ver respuesta
Respuesta correcta: D
Cuestionar #192
¿Cuál de los siguientes es el MEJOR método para descubrir los tipos de riesgo de alto impacto?
A. nálisis cualitativo de riesgos
B. écnica Delphi
C. nálisis de los modos de fallo y sus efectos
D. nálisis cuantitativo de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #193
Una organización ha identificado una exposición al riesgo debido a la debilidad de los controles técnicos en un sistema de RR.HH. recién implantado. El profesional de riesgos está documentando el riesgo en el registro de riesgos. El riesgo debe ser propiedad del:
A. propietario del proceso de negocio
B. Director de Información
C. Jefe de proyecto
D. Director de Riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #194
Tras realizar una evaluación de riesgos de un sistema de producción, la acción MÁS adecuada es que el gestor de riesgos:
A. nformar al responsable informático de los problemas y proponer medidas para reducirlos
B. nformar al responsable del proceso de los problemas y proponer medidas para reducirlos
C. Informar al equipo de desarrollo de los problemas y formular conjuntamente medidas de reducción del riesgo
D. ecomendar un programa que minimice las preocupaciones de ese sistema de producción
Ver respuesta
Respuesta correcta: A
Cuestionar #195
¿Cuál de las siguientes opciones indica MEJOR una gestión eficaz de los incidentes de seguridad de la información?
A. recuencia de las pruebas del plan de respuesta a incidentes de seguridad de la información
B. orcentaje de incidentes de seguridad de alto riesgo
C. volución mensual de los incidentes relacionados con la seguridad de la información
D. Tiempo medio para identificar incidentes críticos de seguridad de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #196
¿Cuál de los siguientes es el objetivo MÁS importante del control del sistema de información?
A. e alcanzan los objetivos empresariales y se detectan y corrigen los eventos de riesgo no deseados
B. Garantizar un funcionamiento eficaz y eficiente
C. laboración de planes de continuidad de la actividad y de recuperación en caso de catástrofe
D. Salvaguarda de activos
Ver respuesta
Respuesta correcta: A
Cuestionar #197
Un profesional de riesgos está resumiendo los resultados de una evaluación de riesgos de alto nivel patrocinada por la alta dirección. La MEJOR manera de apoyar las decisiones basadas en el riesgo por parte de la alta dirección sería:
A. uantificar los indicadores clave de riesgo (KRI)
B. ecomendar umbrales de tolerancia al riesgo
C. roporcionar un análisis detallado cuantificado
D. relacionar los resultados con los objetivos
Ver respuesta
Respuesta correcta: D
Cuestionar #198
¿Cuál de los siguientes riesgos se refiere a la probabilidad de que la rentabilidad real de una inversión sea inferior a las expectativas del inversor?
A. iesgo de integridad
B. iesgo de propiedad del proyecto
C. iesgo de pertinencia
D. Riesgo de gasto
Ver respuesta
Respuesta correcta: D
Cuestionar #199
¿Cuál de los siguientes elementos de un registro de riesgos es MÁS probable que cambie como resultado de un cambio en la propensión al riesgo de la dirección?
A. robabilidad e impacto del riesgo
B. elocidad de riesgo
C. iesgo inherente
D. Umbrales de los indicadores clave de riesgo (KRI)
Ver respuesta
Respuesta correcta: D
Cuestionar #200
Una revisión de los controles de una organización ha determinado que su sistema de prevención de pérdida de datos (DLP) no detecta actualmente los correos electrónicos salientes que contienen datos de tarjetas de crédito
A. petito de riesgo
B. iesgo residual
C. ndicadores clave de riesgo (KRI)
D. iesgo inherente
Ver respuesta
Respuesta correcta: B
Cuestionar #201
Tras asignar los escenarios de riesgo genéricos a las políticas de seguridad de la organización, el SIGUIENTE curso de acción debería ser:
A. egistrar los escenarios de riesgo en el registro de riesgos para su análisis
B. validar los escenarios de riesgo para su aplicabilidad empresarial
C. Reducir el número de escenarios de riesgo a un conjunto manejable
D. ealizar un análisis de los escenarios de riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #202
Una organización opera en un entorno en el que la reducción del tiempo de comercialización de nuevos productos de software es una de las principales prioridades empresariales. ¿Cuál de las siguientes debería ser la MAYOR preocupación del profesional de riesgos?
A. a infraestructura de correo electrónico no cuenta con planes de reversión adecuados
B. No se asignan recursos suficientes a los proyectos de desarrollo informático
C. El sistema de correo electrónico corporativo no identifica ni almacena los correos electrónicos de phishing
D. El personal del servicio de asistencia al cliente no tiene la formación adecuada
Ver respuesta
Respuesta correcta: B
Cuestionar #203
¿Cuál de las siguientes sería la MAYOR preocupación de un profesional del riesgo en relación con el seguimiento de los indicadores clave de riesgo (KRI)?
A.
B. Los registros se cifran durante la transmisión desde el sistema a las herramientas de análisis
C. os registros se modifican antes de realizar el análisis
D. Los registros se recogen de un pequeño número de sistemas
Ver respuesta
Respuesta correcta: D
Cuestionar #204
¿Cuál de las siguientes opciones es la MÁS importante a la hora de supervisar continuamente el rendimiento de una aplicación orientada al cliente?
A.
B. os propietarios del control aprueban los cambios de control
C. os objetivos se confirman con el empresario
D. Se han realizado pruebas de aceptación por parte del usuario final
Ver respuesta
Respuesta correcta: D
Cuestionar #205
¿Cuál de las siguientes opciones proporciona a una organización la MAYOR información sobre la preparación operativa asociada al riesgo?
A. Resultados de la evaluación de la madurez de las capacidades
B. Actas de las reuniones del Comité de Riesgos de Empresa
C. Comparación con las normas del sector
D. Autoevaluación de las capacidades
Ver respuesta
Respuesta correcta: D
Cuestionar #206
La dirección ha exigido una formación de concienciación sobre la seguridad de la información para reducir el riesgo asociado al compromiso de las credenciales. ¿Cuál es la MEJOR manera de evaluar la eficacia de la formación?
A. Realizar pruebas de ingeniería social
B. ealizar una evaluación de vulnerabilidades
C. uditar los materiales de formación sobre concienciación en materia de seguridad
D. Administrar un cuestionario de fin de formación
Ver respuesta
Respuesta correcta: A
Cuestionar #207
¿Cuál de las siguientes opciones sería la MEJOR para garantizar la identificación de actividades sospechosas en la red?
A. nálisis de los registros del servidor
B. oordinación de actos con los organismos pertinentes
C. nálisis de los registros del sistema de detección de intrusiones (IDS)
D. tilizar un proveedor de supervisión externo
Ver respuesta
Respuesta correcta: C
Cuestionar #208
Usted es el director del proyecto NHH. Está trabajando con el equipo del proyecto para crear un plan que documente los procedimientos de gestión de riesgos a lo largo del proyecto. Este documento definirá cómo se identificarán y cuantificarán los riesgos. También definirá cómo aplicará el equipo del proyecto los planes de contingencia. ¿Qué documento crearán usted y su equipo en este caso?
A. lan del proyecto
B. lan de gestión de recursos
C. lan de gestión del proyecto
D. lan de gestión de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #209
¿Cuál de las siguientes opciones es la MÁS importante para evaluar la eficacia operativa de un control recién implantado?
A. e utilizan técnicas de auditoría continua para garantizar el seguimiento permanente de los controles
B. os propietarios de los controles realizan un seguimiento oportuno de los resultados de los controles y presentan informes al respecto
C. os datos de origen utilizados para el rendimiento del control son precisos y completos
D. os resultados de las pruebas de autoevaluación se verifican periódicamente mediante pruebas de control independientes
Ver respuesta
Respuesta correcta: A
Cuestionar #210
Usted trabaja en una empresa. Su empresa está dispuesta a aceptar un cierto riesgo. ¿Cómo se llama este riesgo?
A. estión de la configuración
B. estión de las comunicaciones
C. ealizar un proceso integrado de control de cambios
D. Proceso de control de cambios del proyecto
Ver respuesta
Respuesta correcta: C
Cuestionar #211
¿Cuál de los siguientes indicadores clave de riesgo (KRI) es el MÁS eficaz para supervisar el riesgo relacionado con un programa BYOD (traiga su propio dispositivo)?
A. úmero de incidentes originados por dispositivos BYOD
B. resupuesto asignado a los controles de seguridad del programa BYOD
C. úmero de dispositivos inscritos en el programa BYOD
D. Número de usuarios que han firmado una política de uso aceptable de BYOD
Ver respuesta
Respuesta correcta: A
Cuestionar #212
Los participantes en un taller sobre riesgos se han centrado en el coste financiero de mitigar el riesgo en lugar de elegir la respuesta más adecuada. ¿Cuál de las siguientes es la MEJOR manera de abordar este tipo de problema a largo plazo?
A. evisar el registro de riesgos y los escenarios de riesgo
B. alcular la esperanza de pérdida anualizada de los escenarios de riesgo
C. umentar la madurez de la gestión del riesgo organizativo
D. ealizar un análisis del rendimiento de la inversión
Ver respuesta
Respuesta correcta: B
Cuestionar #213
¿Cuál de las siguientes afirmaciones NO es cierta en relación con la gobernanza del riesgo?
A. a gobernanza del riesgo se basa en los principios de cooperación, participación, mitigación y sostenibilidad, y se adopta para lograr una gestión más eficaz del riesgo
B. a gobernanza de riesgos requiere la presentación de informes una vez al año
C. a gobernanza del riesgo trata de reducir la exposición al riesgo y la vulnerabilidad colmando las lagunas de la política de riesgos
D. a gobernanza del riesgo es un enfoque sistémico de los procesos de toma de decisiones asociados a los riesgos naturales y tecnológicos
Ver respuesta
Respuesta correcta: B
Cuestionar #214
¿A qué nivel debe reducirse el riesgo para cumplir el objetivo de la gestión de riesgos?
A. un nivel en el que el ALE sea inferior al SLE
B. un nivel en el que ARO sea igual a SLE
C. A un nivel que una organización pueda aceptar
D. A un nivel que una organización pueda mitigar
Ver respuesta
Respuesta correcta: C
Cuestionar #215
¿En cuál de las siguientes condiciones las unidades de negocio tienden a señalar a TI cuando los proyectos no se entregan a tiempo?
A. dentificación de amenazas en el proyecto
B. allo del sistema
C. Desajuste entre la propensión real al riesgo y su traducción en políticas
D. Existencia de una cultura de culpabilización
Ver respuesta
Respuesta correcta: D
Cuestionar #216
¿Cuál de los siguientes aspectos debe tenerse en cuenta para garantizar que las respuestas al riesgo que se adopten sean rentables y estén alineadas con los objetivos empresariales? Cada respuesta correcta representa una parte de la solución. Elija tres.
A. lan de gestión del proyecto
B. lan de comunicación del proyecto
C. elación contractual del proyecto con el proveedor
D. Declaración del alcance del proyecto
Ver respuesta
Respuesta correcta: ABD
Cuestionar #217
¿Cuál de las siguientes personas es responsable de identificar los requisitos del proceso, aprobar el diseño del proceso y gestionar el rendimiento del proceso?
A. ropietario del proceso de negocio
B. ropietario del riesgo
C. irector financiero
D. Director de Información
Ver respuesta
Respuesta correcta: A
Cuestionar #218
Recientemente se crearon varias cuentas de usuario de red sin las aprobaciones de gestión necesarias. Cuál de las siguientes sería la MEJOR recomendación del profesional de riesgos para abordar esta situación?
A. nvestigar la causa raíz del incumplimiento
B. eclarar un fallo de seguridad e informar a la dirección
C. esarrollar un procedimiento de respuesta a incidentes de incumplimiento
D. ealizar una revisión exhaustiva del cumplimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #219
Usted es el jefe de proyecto de un proyecto HGT que ha finalizado recientemente el proceso de compilación final. El cliente del proyecto ha dado el visto bueno a la finalización del proyecto y usted tiene que realizar algunas actividades administrativas de cierre. En el proyecto había varios riesgos importantes que podrían haber arruinado el proyecto, pero usted y su equipo de proyecto encontraron algunos métodos nuevos para resolver los riesgos sin afectar a los costes ni a la fecha de finalización del proyecto. ¿Qué debe hacer con las respuestas a los riesgos que ha identificado?
A. ncluir las respuestas en el plan de gestión del proyecto
B. ncluir las respuestas a los riesgos en el plan de gestión de riesgos
C. ncluir las respuestas a los riesgos en la base de datos de lecciones aprendidas de la organización
D. adA
Ver respuesta
Respuesta correcta: C
Cuestionar #220
¿Cuál de las siguientes opciones ayudará MEJOR a una organización a evaluar el entorno de control de varios proveedores externos?
A. Revisar las métricas de rendimiento de los proveedores en cuanto a calidad y entrega de procesos
B. evisar las evaluaciones internas de riesgos de los proveedores que cubran los riesgos y controles clave
C. btener informes de control independientes de los proveedores de alto riesgo
D. btener referencias de proveedores de terceros
Ver respuesta
Respuesta correcta: A
Cuestionar #221
Las evaluaciones de riesgos informáticos pueden ser utilizadas MEJOR por la dirección:
A. ara medir el éxito de la organización
B. omo aportación para la toma de decisiones
C. omo base para el análisis coste-beneficio
D. ara el cumplimiento de las leyes y reglamentos
Ver respuesta
Respuesta correcta: B
Cuestionar #222
Lo MÁS importante para un profesional del riesgo es conocer los procesos de una organización para:
A. ealizar un análisis de impacto empresarial
B. stablecer directrices sobre riesgos
C. omprender el diseño del control
D. dentificar posibles fuentes de riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #223
Usted es el director del proyecto HWD. Requiere la instalación de algunas máquinas eléctricas. Usted y el equipo del proyecto han decidido contratar a un electricista, ya que los trabajos eléctricos pueden ser muy peligrosos. ¿Qué tipo de respuesta al riesgo está siguiendo?
A. vitación
B. ransferencia
C. Mitigación
D. Aceptación
Ver respuesta
Respuesta correcta: B
Cuestionar #224
Usted es el jefe de proyecto de un gran proyecto de redes. Durante la fase de ejecución, el cliente solicita un cambio en el plan de proyecto existente. ¿Cuál será su acción inmediata?
A. ctualizar el registro de riesgos
B. olicitar una solicitud formal de cambio
C. gnorar la solicitud ya que el proyecto se encuentra en fase de ejecución
D. Rechazar la solicitud de cambio
Ver respuesta
Respuesta correcta: B
Cuestionar #225
Se han perdido datos confidenciales después de que un empleado retirara inadvertidamente un archivo de las instalaciones, infringiendo la política de la organización. ¿Cuál de los siguientes controles es MÁS probable que haya fallado?
A. Verificación de antecedentes
B. Sensibilización
C. Acceso de usuarios
D. Gestión de políticas
Ver respuesta
Respuesta correcta: B
Cuestionar #226
En respuesta a la amenaza del ransomware, una organización ha puesto en marcha actividades de concienciación sobre ciberseguridad. La MEJOR recomendación del profesional de riesgos para reducir aún más el impacto de los ataques de ransomware sería implementar:
A. ifrado de datos en reposo
B. ifrado de datos en movimiento
C. Autenticación de dos factores
D. controles continuos de copia de seguridad de datos
Ver respuesta
Respuesta correcta: D
Cuestionar #227
Durante una sesión de revisión de escenarios de riesgo de TI, los ejecutivos de negocios cuestionan por qué se les ha asignado la propiedad de los escenarios de riesgo relacionados con TI. Piensan que el riesgo de TI es de naturaleza técnica y, por lo tanto, debería ser propiedad de TI. ¿Cuál de las siguientes es la MEJOR manera para el profesional de riesgos de abordar estas preocupaciones?
A. ecomendar la formación de un consejo ejecutivo de riesgos para supervisar los riesgos informáticos
B. roporcione una estimación del tiempo de inactividad del sistema informático si se materializa el riesgo informático
C. escribir los escenarios de riesgo informático en términos de riesgo empresarial
D. Educar a los ejecutivos sobre los conceptos de riesgo informático
Ver respuesta
Respuesta correcta: C
Cuestionar #228
¿Cuál de los siguientes es el factor MÁS importante a la hora de decidir un control para mitigar la exposición al riesgo?
A. Comparación con las mejores prácticas
B. Pertinencia para el proceso empresarial
C. equisitos de cumplimiento de la normativa
D. Análisis coste-beneficio
Ver respuesta
Respuesta correcta: B
Cuestionar #229
La dirección se ha dado cuenta de que los costes de almacenamiento han aumentado exponencialmente en los últimos 10 años porque la mayoría de los usuarios no borran sus correos electrónicos. Cuál de las siguientes opciones puede aliviar MEJOR este problema sin sacrificar la seguridad?
A. Establecimiento de la detección electrónica y la prevención de pérdida de datos (DLP)
B. nvío de notificaciones cuando se está cerca de la cuota de almacenamiento
C. plicación de herramientas y técnicas de conservación de documentos
D. Implantación de una política de "traiga su propio dispositivo" (BYOD)
Ver respuesta
Respuesta correcta: B
Cuestionar #230
Usted es el director del proyecto NGQQ de su empresa. Para ayudarle a comunicar el estado del proyecto a las partes interesadas, va a crear un registro de partes interesadas. Toda la información siguiente debe incluirse en el registro de partes interesadas, excepto ¿cuál?
A. strategia de gestión de las partes interesadas
B. nformación sobre la evaluación de los principales requisitos, expectativas e influencia potencial de las partes interesadas
C. atos de identificación de cada parte interesada
D. lasificación de las partes interesadas en función de su papel en el proyecto
Ver respuesta
Respuesta correcta: A
Cuestionar #231
Se está preparando para completar el proceso de análisis cuantitativo de riesgos con su equipo de proyecto y varios expertos en la materia. Reúne los datos necesarios, incluido el plan de gestión de costes del proyecto. ¿Por qué es necesario incluir el plan de gestión de costes del proyecto en la preparación del proceso de análisis cuantitativo de riesgos?
A.
B. l plan de gestión de costes del proyecto puede ayudarle a determinar cuál puede ser el coste total del proyecto
C. El plan de gestión de costes del proyecto indica cómo pueden modificarse los costes en función de los riesgos identificados
D. l plan de gestión de costes del proyecto no es una aportación al proceso de análisis cuantitativo de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #232
Usted trabaja como jefe de proyecto para TechSoft Inc. Está trabajando con las partes interesadas en el proceso de análisis cualitativo de riesgos de su proyecto. Ha utilizado todas las herramientas del proceso de análisis cualitativo de riesgos en su proyecto. ¿Cuál de las siguientes técnicas NO se utiliza como herramienta en el proceso de análisis cualitativo de riesgos?
A. valuación de la urgencia del riesgo
B. eevaluación de riesgos
C. valuación de la calidad de los datos sobre riesgos
D. ategorización del riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #233
Un profesional de riesgos ha observado que existe una tendencia creciente a que los usuarios envíen información confidencial por correo electrónico sin utilizar cifrado. ¿Cuál de las siguientes medidas sería la MÁS eficaz para mitigar el riesgo asociado a la pérdida de datos?
A. mplementar una herramienta para crear y distribuir informes de infracción
B. Bloquear los correos electrónicos salientes no cifrados que contengan datos confidenciales
C. plicar un proceso disciplinario progresivo para las infracciones del correo electrónico
D. Sensibilizar sobre los requisitos de cifrado de datos sensibles
Ver respuesta
Respuesta correcta: B
Cuestionar #234
¿Cuál de los siguientes debe ser el objetivo PRIMARIO de un responsable de riesgos una vez que se ha tomado la decisión de mitigar un riesgo?
A. eterminación de los procesos de supervisión de la eficacia de los controles
B. onfirmar a la dirección que los controles reducen la probabilidad del riesgo
C. ctualización del registro de riesgos para incluir el plan de mitigación de riesgos
D. arantizar que el diseño del control reduce el riesgo a un nivel aceptable
Ver respuesta
Respuesta correcta: D
Cuestionar #235
¿Cuál de los siguientes indicadores clave de riesgo (KRI) de TI proporciona a la dirección la MEJOR información sobre la capacidad de TI?
A. endencias en el uso de recursos informáticos
B. ayor disponibilidad de recursos
C. Evolución de los costes de mantenimiento informático
D. umento del número de incidentes
Ver respuesta
Respuesta correcta: D
Cuestionar #236
Trabaja como jefe de proyecto en Bluewell Inc. Se está acercando a las fases finales de la ejecución del proyecto y está estudiando las actividades finales de seguimiento y control de riesgos. Para los archivos de su proyecto, ¿cuál de los siguientes es un resultado del seguimiento y control de riesgos?
A. nálisis cualitativo de riesgos
B. Auditorías de riesgos
C. nálisis cuantitativo de riesgos
D. Cambios solicitados
Ver respuesta
Respuesta correcta: D
Cuestionar #237
¿Cuál de las siguientes directrices debe seguirse para una gestión eficaz de los riesgos? Cada respuesta correcta representa una solución completa. Elija tres.
A. istema de gestión de la configuración
B. ontrol de cambios integrado
C. egistro de cambios
D. istema de control de los cambios de alcance
Ver respuesta
Respuesta correcta: BCD
Cuestionar #238
¿Cuáles son las funciones de la auditoría y del control de la rendición de cuentas? Cada respuesta correcta representa una solución completa. (Elija tres.)
A. l nivel de riesgo aumenta por encima del apetito de riesgo
B. umento del nivel de riesgo por encima de la tolerancia al riesgo
C. l nivel de riesgo equivale a la propensión al riesgo
D. l nivel de riesgo equivale a la tolerancia al riesgo
Ver respuesta
Respuesta correcta: ACD
Cuestionar #239
¿A quién le importa MÁS la tolerancia al riesgo a la hora de tomar una decisión?
A. Clientes que se verían afectados por una infracción
B. l responsable de seguridad de la información
C. l propietario del proceso de negocio de los activos expuestos
D. Auditores, reguladores y organizaciones de normalización
Ver respuesta
Respuesta correcta: D
Cuestionar #240
¿Cuál de los siguientes nodos del análisis del árbol de decisión representa el punto inicial del árbol de decisión?
A. odo de decisión
B. odo final
C. odo de eventos
D. Nodo raíz
Ver respuesta
Respuesta correcta: D
Cuestionar #241
¿Cuál de las siguientes opciones describe MEJOR la utilidad de un riesgo?
A. El incentivo financiero detrás del riesgo
B. a oportunidad potencial del riesgo
C. La mecánica del funcionamiento de un riesgo
D. La utilidad del riesgo para individuos o grupos
Ver respuesta
Respuesta correcta: D
Cuestionar #242
En la fase de iniciación del proyecto del Ciclo de Vida de Desarrollo del Sistema, ¿cuál de los siguientes portadores de roles tiene información sobre el proyecto iniciado?
A. RO
B. Patrocinador
C. Gestión empresarial
D. IO
Ver respuesta
Respuesta correcta: B
Cuestionar #243
¿Cuál de los siguientes es un resultado CLAVE de la asunción de riesgos?
A. e comunica la información relacionada con los riesgos
B. e abordan las responsabilidades en materia de riesgos
C. e definen las tareas orientadas al riesgo
D. e analiza el riesgo de los procesos de negocio
Ver respuesta
Respuesta correcta: B
Cuestionar #244
¿Cuál de las siguientes opciones es la MEJOR para garantizar que se abordan las situaciones de riesgo identificadas?
A. igilancia de las amenazas en tiempo real
B. reación de un registro de riesgos independiente para las principales unidades de negocio
C. ealización periódica de autoevaluaciones de control de riesgos
D. Revisión de la aplicación de la respuesta al riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #245
¿Cuáles de los siguientes son componentes de riesgo del marco COSO ERM? Cada respuesta correcta representa una solución completa. Elija tres.
A. ista de respuestas a los riesgos
B. atriz de clasificación de riesgos
C. istado de riesgos priorizados
D. Resultados del análisis cualitativo
Ver respuesta
Respuesta correcta: ABD
Cuestionar #246
Una revisión por pares de una evaluación de riesgos descubre que no se ha incluido una comunidad de amenazas relevante. La mitigación del riesgo requerirá cambios sustanciales en una aplicación de software. ¿Cuál de las siguientes opciones es la MEJOR?
A. edir a la empresa que solicite presupuesto para solucionar el problemA
B. nvestigar los tipos de ataques que puede presentar la amenazA
C. eterminar el impacto de la amenaza perdidA
D. Construir un caso de negocio para remediar el problemA
Ver respuesta
Respuesta correcta: C
Cuestionar #247
¿Cuál de los siguientes enfoques para la prestación de servicios BYOD (traiga su propio dispositivo) ofrece MEJOR protección frente a la pérdida de datos?
A. ruebas de penetración y tiempos de espera de sesión
B. mplantar la supervisión a distancia
C. Aplicar contraseñas seguras y cifrado de datos
D. Habilitar la función de borrado de datos
Ver respuesta
Respuesta correcta: B
Cuestionar #248
¿Cuál de las siguientes afirmaciones es cierta para el nivel 3 de madurez de la capacidad de gestión de riesgos de la empresa?
A. robabilidades
B. Amenazas
C. Vulnerabilidades
D. Impactos
Ver respuesta
Respuesta correcta: ABD
Cuestionar #249
¿Cuál de los siguientes riesgos operativos garantiza que el suministro de un producto de calidad no se vea ensombrecido por los costes de producción de dicho producto?
A. Riesgos para la seguridad de la información
B. iesgos contractuales y de responsabilidad por productos defectuosos
C. iesgos de la actividad del proyecto
D. iesgos operativos de rentabilidad
Ver respuesta
Respuesta correcta: D
Cuestionar #250
Stephen es el director del proyecto GBB. Ha trabajado con dos expertos en la materia y su equipo de proyecto para completar la técnica de evaluación de riesgos. Hay aproximadamente 47 riesgos que tienen una probabilidad baja y un impacto bajo en el proyecto. ¿Cuál de las siguientes respuestas describe mejor lo que Stephen debería hacer con estos riesgos?
A.
B. os riesgos de baja probabilidad y bajo impacto deberían añadirse a una lista de vigilancia para su futuro seguimiento
C. Al ser poco probables y de bajo impacto, los riesgos pueden descartarse
D. Los riesgos de baja probabilidad y bajo impacto deben añadirse al registro de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #251
¿Cuál de las siguientes es la ventaja MÁS importante de los indicadores clave de riesgo (IRR)?
A. Ayudar a optimizar continuamente la gobernanza del riesgo
B. roporcionar una alerta temprana para tomar medidas proactivas
C. Documentación y análisis de tendencias
D. arantizar el cumplimiento de los requisitos reglamentarios
Ver respuesta
Respuesta correcta: A
Cuestionar #252
¿Cuál de los siguientes es el MEJOR indicador clave de rendimiento (KPI) para medir la madurez del proceso de gestión de incidentes de seguridad de una organización?
A. Número de incidentes de seguridad resueltos
B. Número de incidentes de seguridad comunicados a la alta dirección
C. Número de nuevos incidentes de seguridad identificados
D. El número de incidentes de seguridad recurrentes
Ver respuesta
Respuesta correcta: D
Cuestionar #253
¿Cuál de los siguientes NO se utiliza para medir los Factores Críticos de Éxito del proyecto?
A. roductividad
B. Calidad
C. antidad
D. Atención al cliente
Ver respuesta
Respuesta correcta: C
Cuestionar #254
¿Quién es el propietario MÁS adecuado para el riesgo informático recién identificado?
A. l director responsable de las operaciones informáticas que apoyará los esfuerzos de mitigación de riesgos
B. La persona con más conocimientos sobre riesgos informáticos
C. La persona con autoridad para comprometer recursos de la organización para mitigar el riesgo
D. Un gestor de proyectos capaz de priorizar los esfuerzos de corrección de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #255
Usted es un Jefe de Proyecto con experiencia al que se le ha confiado un proyecto para desarrollar una máquina que produce componentes para automóviles. Ha programado reuniones con el equipo del proyecto y las principales partes interesadas para identificar los riesgos del proyecto. ¿Cuál de los siguientes es un resultado clave de este proceso?
A. egistro de riesgos
B. lan de gestión de riesgos
C. structura de desglose de riesgos
D. Categorías de riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #256
Una empresa ha identificado eventos de riesgo en un proyecto. Al responder a estos eventos de riesgo identificados, ¿cuál de las siguientes partes interesadas es MÁS importante para revisar las opciones de respuesta a un riesgo de TI?
A. Responsables de seguridad de la información
B. Auditores internos
C. Miembros del equipo de respuesta a incidentes
D. Directores de empresa
Ver respuesta
Respuesta correcta: D
Cuestionar #257
¿Cuál de las siguientes opciones sería la MÁS útil para un profesional del riesgo a la hora de garantizar que el riesgo mitigado se mantiene dentro de los límites aceptables?
A. mplantación de un proceso de seguimiento continuo de la eficacia del control
B. iseñar un proceso para que los propietarios del riesgo revisen periódicamente el riesgo identificado
C. arantizar que los propietarios de los riesgos participen en un proceso periódico de pruebas de control
D. onstruir un perfil de riesgo organizativo tras actualizar el registro de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #258
¿Cuál de las siguientes opciones es la MEJOR descrita en la definición que figura a continuación? "Influyen enormemente en la probabilidad y el impacto de las situaciones de riesgo y deben tenerse en cuenta en todos los análisis de riesgos, cuando se evalúan la probabilidad y el impacto"
A. iesgo oscuro
B. Factores de riesgo
C. nálisis de riesgos
D. Evento de riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #259
¿Cuáles de los siguientes controles pertenecen a la categoría de gestión? Cada respuesta correcta representa una solución completa. (Elija dos.)
A. ceptación
B. vitación
C. Explotación
D. Mejorar
Ver respuesta
Respuesta correcta: AC
Cuestionar #260
¿Cuál de los siguientes es el MAYOR beneficio para una organización cuando las actualizaciones del registro de riesgos se realizan con prontitud tras la finalización de una evaluación de riesgos?
A. ejora de la comunicación de la alta dirección
B. ayor concienciación sobre la gestión de riesgos
C. ptimización de las decisiones de tratamiento del riesgo
D. ejora de la colaboración entre profesionales del riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #261
Una organización ha implementado un control preventivo para bloquear las cuentas de usuario después de tres intentos fallidos de inicio de sesión. Se ha demostrado que esta práctica es improductiva y se ha recomendado cambiar el valor del umbral de control. ¿Quién debe autorizar el cambio de este umbral?
A. ropietario del control
B. esponsable de seguridad informática
C. ropietario del riesgo
D. Propietario del sistema informático
Ver respuesta
Respuesta correcta: A
Cuestionar #262
¿Cuál de las siguientes técnicas examina el grado en que los puntos fuertes de la organización compensan las amenazas y oportunidades que pueden servir para superar los puntos débiles?
A. Análisis DAFO
B. elphi
C. luvia de ideas
D. Dictamen pericial
Ver respuesta
Respuesta correcta: A
Cuestionar #263
¿Cuál de los siguientes procesos de SI proporciona información indirecta? Cada respuesta correcta representa una solución completa. Elija tres.
A. érdida de 250
B. érdida de 500
C. érdida de 1 millón de dólares
D. 100
Ver respuesta
Respuesta correcta: ABC
Cuestionar #264
El MEJOR control para mitigar el riesgo asociado a la fluencia del alcance del proyecto es:
A. onsultar periódicamente a la alta dirección
B. plicar procedimientos de gestión de cambios
C. Garantizar una amplia participación de los usuarios
D. mplantar herramientas CASE en el desarrollo de software
Ver respuesta
Respuesta correcta: A
Cuestionar #265
¿Cuál de las siguientes opciones sería la MEJOR para minimizar el riesgo asociado a las amenazas de ingeniería social?
A. evisión de la propensión al riesgo de la organización
B. jecución de las sanciones impuestas a los trabajadores
C. Aplicación de la separación de funciones
D. Realización de ejercicios de phishing
Ver respuesta
Respuesta correcta: D
Cuestionar #266
Un proveedor de servicios externo de confianza ha determinado que el riesgo de que los sistemas de un cliente sean pirateados es bajo. Cuál de las siguientes sería la MEJOR medida que podría tomar el cliente?
A. ealizar una auditoría independiente del tercero
B. ceptar el riesgo basándose en la evaluación de riesgos del tercero
C. ealizar su propia evaluación de riesgos
D. mplantar controles adicionales para hacer frente al riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #267
Una organización global está planeando recopilar datos sobre el comportamiento de los clientes a través de la publicidad en redes sociales. ¿Cuál de los siguientes es el riesgo empresarial MÁS importante a tener en cuenta?
A.
B. a publicidad de las empresas deberá adaptarse por países
C. l análisis de los datos puede ser ineficaz para alcanzar los objetivos
D. El muestreo de datos puede verse afectado por diversas restricciones del sector
Ver respuesta
Respuesta correcta: A
Cuestionar #268
¿En cuál de los siguientes niveles de madurez de la capacidad de gestión de riesgos se aplican el apetito y la tolerancia al riesgo sólo durante las evaluaciones de riesgos episódicas?
A. ivel 3
B. ivel 2
C. ivel 4
D. Nivel 1
Ver respuesta
Respuesta correcta: D
Cuestionar #269
Realizar una comprobación de los antecedentes de un candidato a nuevo empleado antes de contratarlo es un ejemplo de ¿qué tipo de control?
A. ompensación
B. reventivo
C. Detective
D. orrectivo
Ver respuesta
Respuesta correcta: B
Cuestionar #270
¿Quién debe responsabilizarse de supervisar el entorno de control para garantizar que los controles son eficaces?
A. ropietario del riesgo
B. peraciones de vigilancia de la seguridad
C. ropietario de los datos afectados
D. Propietario del sistema
Ver respuesta
Respuesta correcta: B
Cuestionar #271
¿Cuál de las siguientes afirmaciones es cierta para el índice de rendimiento de costes (CPI)?
A. i el IPC > 1, indica un rendimiento del proyecto mejor de lo esperado
B. PI = Valor ganado (VE) * Coste real (CA)
C. e utiliza para medir el cumplimiento del calendario
D. i el IPC = 1, indica malos resultados del proyecto
Ver respuesta
Respuesta correcta: A
Cuestionar #272
¿Cuál de los siguientes es el indicador MÁS útil para medir la eficacia de un proceso de gestión de identidades y accesos?
A. Tiempo medio de aprovisionamiento de cuentas de usuario
B. Volumen mensual de restablecimiento de contraseñas
C. úmero de teletipos para la provisión de nuevas cuentas
D. iempo medio de bloqueo de la cuenta
Ver respuesta
Respuesta correcta: A
Cuestionar #273
¿Cuál de los siguientes es un control administrativo?
A. etección de agua
B. omprobación del carácter razonable
C. rograma de prevención de pérdida de datos
D. Tiempo de espera de la sesión
Ver respuesta
Respuesta correcta: C
Cuestionar #274
Un profesional de riesgos se ha dado cuenta de que se están utilizando datos de producción en un entorno de pruebas. ¿Cuál de las siguientes debería ser la principal preocupación del profesional?
A. eguridad del entorno de pruebas
B. egibilidad de los datos de las pruebas
C. ensibilidad de los datos
D. isponibilidad de los datos para el personal autorizado
Ver respuesta
Respuesta correcta: C
Cuestionar #275
¿Cuál de los siguientes controles informáticos es el MÁS útil para mitigar el riesgo asociado a los datos inexactos?
A. Registros de auditoría para actualizaciones y eliminaciones
B. lmacenamiento cifrado de datos
C. nlaces a los datos de origen
D. omprobar totales en registros y campos de datos
Ver respuesta
Respuesta correcta: A
Cuestionar #276
Se ha identificado una brecha de control informático en un proceso clave. ¿Quién sería el propietario MÁS adecuado del riesgo asociado a esta laguna?
A. ropietario del proceso de negocio
B. efe de seguridad de la información
C. estor de riesgos operativos
D. Propietario del control de claves
Ver respuesta
Respuesta correcta: A
Cuestionar #277
¿Cuál de los siguientes es el aspecto MÁS importante para garantizar que se mantiene un registro de riesgos preciso?
A. ublicar el registro de riesgos en una plataforma de gestión del conocimiento con funciones de flujo de trabajo que contacte y sondee periódicamente a los evaluadores de riesgos para garantizar la exactitud del contenido
B. ealizar auditorías periódicas por parte del personal de auditoría y mantener un registro de riesgos
C. resentar el registro de riesgos a los responsables de los procesos empresariales para su revisión y actualización
D. Supervisar los principales indicadores de riesgo y anotar los resultados en el registro de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #278
Una organización ha contratado a un tercero para que le proporcione un servicio de cifrado de puerta de enlace a Internet que protege los datos confidenciales cargados en un servicio en la nube. Este es un ejemplo de riesgo:
A. ransferencia
B. ceptación
C. Mitigación
D. vitación
Ver respuesta
Respuesta correcta: A
Cuestionar #279
¿Cuál de los siguientes es el uso MÁS importante de los KRI?
A. roporcionar una visión retrospectiva de los eventos de riesgo que se han producido
B. roporcionar una señal de alerta temprana
C. roporcionar una indicación del apetito y la tolerancia al riesgo de la empresa
D. Documentación y análisis de tendencias
Ver respuesta
Respuesta correcta: B
Cuestionar #280
¿Cuál de las siguientes opciones es la MÁS importante a la hora de determinar un enfoque adecuado para la evaluación de riesgos?
A. menazas y vulnerabilidades
B. alor de los activos de información
C. omplejidad de la infraestructura informática
D. Cultura de gestión
Ver respuesta
Respuesta correcta: B
Cuestionar #281
¿Cuál de las siguientes opciones puede utilizarse para asignar un valor monetario al riesgo?
A. speranza de pérdida anual (ALE)
B. Análisis del impacto en la empresa
C. nálisis coste-beneficio
D. Vulnerabilidades inherentes
Ver respuesta
Respuesta correcta: A
Cuestionar #282
Usted es el director del proyecto GHT. Su equipo de proyecto está en el proceso de identificar los riesgos del proyecto actual. El equipo tiene la opción de utilizar todas las herramientas y técnicas siguientes para diagramar algunos de estos riesgos potenciales EXCEPTO ¿cuál?
A. lujograma del proceso
B. iagrama de Ishikawa
C. iagrama de influencia
D. iagrama de árbol de decisión
Ver respuesta
Respuesta correcta: D
Cuestionar #283
¿Cuál de las siguientes es la MEJOR manera de garantizar que los proveedores de servicios subcontratados cumplen la política de seguridad de la información de la empresa?
A. Pruebas de penetración
B. Supervisión del nivel de servicio
C. Formación sobre sensibilización en materia de seguridad
D. Auditorías periódicas
Ver respuesta
Respuesta correcta: D
Cuestionar #284
Usted es el director del proyecto GHT. Ha implementado una herramienta automatizada para analizar e informar sobre los registros de control de acceso en función de la gravedad. Esta herramienta genera una cantidad excesiva de resultados. Usted realiza una evaluación de riesgos y decide configurar la herramienta de supervisión para que informe sólo cuando las alertas estén marcadas como "críticas". ¿Qué debe hacer para conseguirlo?
A. plicar la respuesta al riesgo
B. ptimizar el indicador clave de riesgo
C. ctualización del registro de riesgos
D. ealizar un análisis cuantitativo de los riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #285
¿Cuál de las siguientes es la MEJOR métrica para demostrar la eficacia del proceso de gestión del cambio de una organización?
A. iempo medio para completar los cambios
B. umento del número de cambios de emergencia
C. orcentaje de cambios no autorizados
D. umento de la frecuencia de los cambios
Ver respuesta
Respuesta correcta: A
Cuestionar #286
¿Cuál de los siguientes componentes de los escenarios de riesgo tiene el potencial de generar amenazas internas o externas en una empresa?
A. imensión temporal
B. ventos
C. Activos
D. Actores
Ver respuesta
Respuesta correcta: D
Cuestionar #287
¿En cuál de los siguientes niveles de madurez de la capacidad de gestión de riesgos toma la empresa las principales decisiones empresariales teniendo en cuenta la probabilidad de pérdida y la probabilidad de recompensa? Cada respuesta correcta representa una solución completa. Elija dos.
A. ara que el equipo del proyecto pueda desarrollar un sentido de propiedad de los riesgos y de las responsabilidades de riesgo asociadas
B. Para que el gestor del proyecto pueda identificar a los responsables de los riesgos del proyecto y las respuestas necesarias a los mismos
C. Para que el jefe de proyecto no sea la única persona que identifique los eventos de riesgo dentro del proyecto
D. Para que el equipo del proyecto y el director del proyecto puedan trabajar juntos para asignar la propiedad del riesgo
Ver respuesta
Respuesta correcta: CD
Cuestionar #288
¿Cuál de los siguientes es el elemento básico MÁS importante de un modelo eficaz de tres líneas de defensa para una organización?
A. n comité de gestión de riesgos bien establecido
B. n sólido conjunto de herramientas de agregación de riesgos
C. rocedimientos de escalada bien documentados y comunicados
D. Funciones y responsabilidades claramente definidas
Ver respuesta
Respuesta correcta: D
Cuestionar #289
David es el director del proyecto HRC. Ha identificado un riesgo en el proyecto que podría retrasarlo. David no quiere que se produzca este riesgo, así que toma algunas medidas para asegurarse de que no se produzca. Sin embargo, estas medidas adicionales cuestan al proyecto 10.000 dólares más. ¿Qué tipo de respuesta al riesgo ha adoptado David?
A. vitación
B. Mitigación
C. ceptación
D. ransferencia
Ver respuesta
Respuesta correcta: B
Cuestionar #290
¿Cuál de los siguientes actúa como desencadenante del proceso de respuesta al riesgo?
A.
B. Infinito
C. 0
D.
Ver respuesta
Respuesta correcta: B
Cuestionar #291
¿Cuándo tiene lugar el proceso de identificación de riesgos en un proyecto?
A. n la fase de planificación
B. En la fase de ejecución
C. En la fase de iniciación
D. A lo largo del ciclo de vida del proyecto
Ver respuesta
Respuesta correcta: D
Cuestionar #292
Está completando el proceso de análisis cualitativo de riesgos con su equipo de proyecto y se basa en el plan de gestión de riesgos para ayudarle a determinar el presupuesto, el calendario de gestión de riesgos y las categorías de riesgo. Descubre que no se han creado las categorías de riesgo. ¿Cuándo deberían haberse creado las categorías de riesgo?
A. efinir el proceso de alcance
B. roceso de identificación de riesgos
C. lanificar el proceso de gestión de riesgos
D. rear un proceso de desglose del trabajo
Ver respuesta
Respuesta correcta: C
Cuestionar #293
Jenny es la gestora de los proyectos NBT. Trabaja con el equipo del proyecto y varios expertos en la materia para llevar a cabo el proceso de análisis cuantitativo de riesgos. Durante este proceso, ella y el equipo del proyecto descubren varios eventos de riesgo que no se habían identificado previamente. ¿Qué debe hacer Jenny con estos eventos de riesgo?
A. os sucesos deben introducirse en el análisis de riesgos cualitativo
B. e debe determinar si es necesario aceptar los eventos o responder a ellos
C. os sucesos deben inscribirse en el registro de riesgos
D. os acontecimientos deberían continuar con el análisis cuantitativo de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #294
El riesgo asociado a un activo antes de aplicar los controles puede expresarse como:
A. a probabilidad de una amenaza determinadA
B. a magnitud de un impacto
C. na función de la probabilidad y el impacto
D. una función del coste y la eficacia de los controles
Ver respuesta
Respuesta correcta: C
Cuestionar #295
Usted es el director del proyecto GHT. Este proyecto durará 18 meses y tiene un presupuesto de 567.000 dólares. Robert, una de sus partes interesadas, ha introducido una solicitud de cambio de alcance que probablemente repercutirá en los costes y el calendario del proyecto. Robert le asegura que pagará el tiempo y los costes adicionales asociados al evento de riesgo. Usted ha identificado que la solicitud de cambio también puede afectar a otras áreas del proyecto distintas del tiempo y el coste. ¿Qué componente de la gestión del proyecto se re
A. estión de la configuración
B. ontrol de cambios integrado
C. nálisis de riesgos
D. istema de control de cambios del proyecto
Ver respuesta
Respuesta correcta: B
Cuestionar #296
El jefe de un departamento de operaciones comerciales solicita revisar todo el registro de riesgos informáticos. Cuál de los siguientes sería el MEJOR enfoque del gestor de riesgos ante esta solicitud antes de compartir el registro?
A. eterminar el objeto de la solicitud
B. Exigir un acuerdo de confidencialidad
C. esinfectar partes de la caja registradorA
D. scalar a la alta dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #297
¿Cuál de los siguientes pasos debe darse PRIMERO cuando se identifica un nuevo escenario de riesgo?
A. valuar el programa de concienciación sobre riesgos
B. valuar el programa de formación sobre riesgos
C. dentificar al titular del riesgo
D. stimar el riesgo residual
Ver respuesta
Respuesta correcta: A
Cuestionar #298
Usted es el profesional de riesgos en Bluewell Inc. Se identifica un riesgo y la empresa quiere implementar rápidamente el control aplicando una solución técnica que se desvía de las políticas de la empresa. ¿Qué debe hacer?
A. ecomendar que no se aplique porque vulnera la política de la empresa
B. ecomendar la revisión de la política actual
C. ecomendar una evaluación de riesgos y su posterior aplicación sólo si se acepta el riesgo residual
D. Realizar una evaluación de riesgos y autorizar o denegar en función de los resultados
Ver respuesta
Respuesta correcta: C
Cuestionar #299
Recientemente se ha actualizado un proceso de gestión de cambios con nuevos procedimientos de prueba. El PRÓXIMO curso de acción es:
A. omunicar a los que prueban y promueven los cambios
B. valuar la madurez del proceso de gestión del cambio
C. ealizar un análisis coste-beneficio para justificar el coste del control
D. supervisar los procesos para garantizar que se siguen las actualizaciones recientes
Ver respuesta
Respuesta correcta: A
Cuestionar #300
¿Cuál de las siguientes es la MEJOR manera de validar si los controles se han aplicado de acuerdo con el plan de acción de mitigación de riesgos?
A. plicar indicadores clave de riesgo (KRI)
B. robar el diseño del control
C. robar el entorno de control
D. plicar indicadores clave de rendimiento (KPI)
Ver respuesta
Respuesta correcta: A
Cuestionar #301
¿Cuál de las siguientes actividades debe realizarse PRIMERO al establecer procesos de gestión de riesgos informáticos?
A. ealizar una evaluación de riesgos de alto nivel basada en la naturaleza de la empresA
B. ecopilar datos de incidentes pasados y lecciones aprendidas
C. dentificar el apetito de riesgo de la organización
D. valuar los objetivos y la cultura de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #302
Usted es el jefe de proyecto de BlueWell Inc. Su proyecto actual es un proyecto de alta prioridad y alto perfil dentro de su organización. Quiere identificar a las partes interesadas del proyecto que tendrán más poder en relación con su interés en su proyecto. Esto le ayudará a planificar los riesgos del proyecto, la gestión de las partes interesadas y la comunicación continua con las partes interesadas clave de su proyecto. En este proceso de análisis de las partes interesadas, ¿qué tipo de cuadrícula o modelo debe crear en función de estas condiciones?
A. ed de poder/intereses de las partes interesadas
B. egistro de partes interesadas
C. ejilla de influencia/impacto
D. odelo de saliencia
Ver respuesta
Respuesta correcta: A
Cuestionar #303
¿Qué tipo de respuesta al riesgo es un acuerdo de colaboración?
A. ceptación
B. Mitigación
C. ransferencia
D. Compartir
Ver respuesta
Respuesta correcta: D
Cuestionar #304
Una organización está implementando el cifrado de datos en reposo para reducir el riesgo asociado al acceso no autorizado. Cuál de las siguientes opciones DEBE tenerse en cuenta para evaluar el riesgo residual?
A. Requisitos para la destrucción de datos
B. rquitectura de almacenamiento en nube
C. equisitos de conservación de datos
D. Gestión de claves
Ver respuesta
Respuesta correcta: D
Cuestionar #305
El hecho de que los resultados del análisis de riesgos deban presentarse en términos cuantitativos o cualitativos debe basarse PRIMARIAMENTE en:
A. arco específico de análisis de riesgos utilizado
B. Resultados de la evaluación de riesgos
C. Requisitos de gestión
D. olerancia al riesgo de la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #306
¿Cuál de las siguientes opciones es la MÁS rentable para poner a prueba un plan de continuidad de negocio?
A. Realización de un ejercicio teórico
B. Entrevistas con las principales partes interesadas
C. ealizar un ejercicio de recuperación en caso de catástrofe
D. ealizar un ejercicio funcional completo
Ver respuesta
Respuesta correcta: A
Cuestionar #307
Usted es el responsable de riesgos de Bluewell Inc. Hay algunos riesgos que suponen una amenaza para su empresa. Usted está midiendo la exposición de esos factores de riesgo, que tiene el mayor potencial, examinando en qué medida la incertidumbre de cada elemento afecta al objeto considerado cuando todos los demás elementos inciertos se mantienen en sus valores de referencia. ¿Qué tipo de análisis está realizando?
A. Análisis de sensibilidad
B. nálisis del árbol de fallos
C. nálisis causa-efecto
D. Análisis de escenarios
Ver respuesta
Respuesta correcta: A
Cuestionar #308
Al preparar un informe sobre la situación de los riesgos para su revisión periódica por la alta dirección, lo MÁS importante es asegurarse de que el informe incluya:
A. ecomendaciones de un evaluador de riesgos independiente
B. n resumen de los incidentes que han afectado a la organización
C. na visión detallada de las exposiciones individuales al riesgo
D. exposición al riesgo en términos empresariales
Ver respuesta
Respuesta correcta: C
Cuestionar #309
Un informe de auditoría interna revela que no todas las bases de datos de aplicaciones informáticas están cifradas. ¿Cuál de las siguientes informaciones sería la MÁS importante para evaluar el impacto del riesgo?
A. a razón por la que algunas bases de datos no han sido encriptadas
B. na lista de bases de datos no encriptadas que contienen datos sensibles
C. El coste necesario para aplicar el cifrado
D. El número de usuarios que pueden acceder a datos sensibles
Ver respuesta
Respuesta correcta: A
Cuestionar #310
¿Cuál de los siguientes es un método aceptable para gestionar el riesgo positivo de un proyecto?
A. Identificación de riesgos
B. ctivación del riesgo
C. vento de riesgo
D. Respuesta al riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #311
¿Cuál de las siguientes es la razón PRIMARIA para que un profesional del riesgo utilice normas mundiales relacionadas con la gestión del riesgo?
A. ejorar continuamente los procesos de gestión de riesgos
B. Crear una cultura organizativa consciente de los riesgos
C. Cumplir los requisitos legales y reglamentarios
D. Identificar lagunas en las prácticas de gestión de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #312
¿Cuál de los siguientes es el MEJOR método para evaluar la eficacia del control?
A. Informes ad hoc
B. nálisis predictivo
C. ontrol continuo
D. utoevaluación del control
Ver respuesta
Respuesta correcta: B
Cuestionar #313
Un profesional de riesgos recién contratado descubre que el registro de riesgos no se ha actualizado en el último año. ¿Qué es lo MEJOR que puede hacer?
A. Mejorar el proceso y sustituir el antiguo registro de riesgos
B. Externalizar el proceso de actualización del registro de riesgos
C. dentificar cambios en los factores de riesgo e iniciar revisiones de riesgos
D. ontratar a un consultor externo para rediseñar el proceso de gestión de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #314
Una organización ha introducido la propiedad del riesgo para establecer una responsabilidad clara para cada proceso. Para garantizar una apropiación eficaz de los riesgos, lo MÁS importante es que:
A. os propietarios del riesgo tienen autoridad para tomar decisiones
B. a alta dirección supervisa el proceso
C. Existe separación de funciones entre los responsables de los riesgos y los responsables de los procesos
D. la propiedad del proceso se alinea con la propiedad del sistema de TI
Ver respuesta
Respuesta correcta: C
Cuestionar #315
¿Cuál de las siguientes es la MAYOR ventaja de incorporar escenarios de riesgo informático al registro de riesgos corporativo?
A. e establecen protocolos corporativos de escalada de incidentes
B. e amplía el presupuesto de control de toda la organización
C. a exposición se integra en el perfil de riesgo de la organización
D. El apetito de riesgo se transmite a la dirección de la unidad de negocio
Ver respuesta
Respuesta correcta: A
Cuestionar #316
Un malware ha afectado recientemente a una organización. La forma MÁS eficaz de resolver esta situación y definir un plan integral de tratamiento de riesgos sería realizar:
A. una evaluación de la vulnerabilidad
B. n análisis de la causa raíz
C. una evaluación de impacto
D. un análisis de carencias
Ver respuesta
Respuesta correcta: B
Cuestionar #317
A la hora de definir los umbrales de los indicadores clave de rendimiento (KPI) de control, lo MÁS útil es alinearlos:
A. ndicadores clave de riesgo (KRI) con la propensión al riesgo de la empresa
B. os indicadores clave de rendimiento (KPI) de control con los resultados de la auditoría
C. ontrolar los resultados con la tolerancia al riesgo de los empresarios
D. valuaciones de riesgos de la información con evaluaciones de riesgos de la empresa
Ver respuesta
Respuesta correcta: B
Cuestionar #318
Mike es el director del proyecto NNP de su organización. Está trabajando con su equipo de proyecto para planificar las respuestas a los riesgos del proyecto PNN. A Mike le gustaría que el equipo del proyecto trabajara conjuntamente en el establecimiento de umbrales de riesgo en el proyecto. ¿Cuál es el propósito de establecer umbrales de riesgo?
A. s un estudio de la tolerancia al riesgo de la organización
B. s una señal de advertencia de que se va a producir un acontecimiento de riesgo
C. s un límite de los fondos que pueden asignarse a eventos de riesgo
D. Ayuda a identificar los riesgos para los que se necesitan respuestas específicas
Ver respuesta
Respuesta correcta: D
Cuestionar #319
¿Cuáles de las siguientes son subcategorías de amenaza? Cada respuesta correcta representa una solución completa. Elija tres.
A. Evaluación comparativa
B. nálisis coste-beneficio
C. oste de la conformidad con la calidad
D. Desarrollo del equipo
Ver respuesta
Respuesta correcta: CDE
Cuestionar #320
Un contrato asociado a un proveedor de servicios en nube DEBE incluir:
A. n plan de recuperación empresarial
B. Asunción de responsabilidades
C. Provisión de custodia del código fuente
D. os estados financieros del proveedor
Ver respuesta
Respuesta correcta: B
Cuestionar #321
Usted es el jefe de proyecto de su empresa. Ha identificado un riesgo que amenaza el éxito de determinados objetivos de su empresa. ¿En cuál de los siguientes niveles existe este riesgo identificado?
A. iesgo moderado
B. lto riesgo
C. iesgo extremadamente alto
D. Riesgo bajo
Ver respuesta
Respuesta correcta: A
Cuestionar #322
Tom trabaja como jefe de proyecto para BlueWell Inc. Está determinando qué riesgos pueden afectar al proyecto. ¿Cuál de las siguientes entradas del proceso de identificación de riesgos es útil para identificar los riesgos y proporciona una evaluación cuantitativa del coste probable para completar las actividades programadas?
A. stimaciones de la duración de las actividades
B. lan de gestión de riesgos
C. lan de gestión de costes
D. Estimación del coste de las actividades
Ver respuesta
Respuesta correcta: D
Cuestionar #323
Usted y su equipo de proyecto están identificando los riesgos que pueden existir en su proyecto. Algunos de ellos son pequeños riesgos que no afectarán demasiado al proyecto en caso de producirse. ¿Qué debería hacer con estos riesgos identificados?
A.
B. stos riesgos pueden aceptarse
C. stos riesgos pueden añadirse a una lista de vigilancia de riesgos de baja prioridad
D. Todos los riesgos deben tener una respuesta válida y documentadA
Ver respuesta
Respuesta correcta: C
Cuestionar #324
¿Cuál de las siguientes opciones es la MÁS útil para elaborar los umbrales de los indicadores clave de riesgo?
A. nformación sobre la esperanza de pérdida
B. cuerdos de nivel de servicio de TI
C. esultados de los controles
D. Progreso de las actividades de reparación
Ver respuesta
Respuesta correcta: A
Cuestionar #325
¿Cuál de los siguientes es el tema MÁS importante que debe tratarse en un programa de formación sobre riesgos para todo el personal?
A. Funciones y responsabilidades del departamento de riesgos
B. equisitos de cumplimiento de la política y proceso de excepciones
C. l perfil de riesgo de seguridad de la información de la organización
D. Incidentes de seguridad de la información internos y externos
Ver respuesta
Respuesta correcta: B
Cuestionar #326
¿Cuál de las siguientes opciones proporciona la MÁXIMA información actualizada sobre la eficacia del entorno general de control informático de una organización?
A. Pruebas de penetración periódicas
B. ndicadores clave de rendimiento (KPI)
C. Resultados de las auditorías internas
D. Mapas de riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #327
Antes de implantar la mensajería instantánea en una organización utilizando una solución pública, ¿cuál de las siguientes medidas debe adoptarse para mitigar el riesgo de fuga de datos?
A. na lista de control de acceso
B. Una política de uso aceptable
C. n sistema de detección de intrusos (IDS)
D. na herramienta de extracción de datos
Ver respuesta
Respuesta correcta: B

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.