¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Mejore su preparación para el examen ISACA con las pruebas de práctica de CISM

Conseguir la certificación Certified Information Security Manager (CISM) es crucial en el panorama actual de amenazas a la seguridad y violaciones de datos en constante evolución. Sin embargo, la preparación para el examen CISM puede ser una tarea difícil. Ahí es donde las preguntas y recursos para el examen CISM de SPOTO entran en juego. SPOTO ofrece una colección completa de preguntas y respuestas del examen CISM, preguntas de prueba, exámenes simulados y materiales de estudio adaptados a los objetivos del examen CISM. Estos recursos de la preparación del examen se diseñan para simular el ambiente verdadero del examen, proveyendo de usted una experiencia realista y aumentando su confianza. Con las preguntas del examen CISM de SPOTO, usted puede identificar las áreas en las que necesita estudiar y practicar más, asegurándose de tener el conocimiento y las habilidades necesarias para evaluar riesgos, implementar un gobierno efectivo y responder proactivamente a incidentes de seguridad. Aprovechando estos recursos de examen y practicando con exámenes de prueba, usted puede prepararse efectivamente y aumentar sus posibilidades de aprobar el examen de certificación CISM exitosamente. Las violaciones de datos, los ataques de ransomware y otras amenazas a la seguridad en constante evolución son las principales preocupaciones de los profesionales de TI de hoy en día. Con una certificación Certified Information Security Manager® (CISM®), aprenderá a evaluar los riesgos, aplicar una gobernanza eficaz y responder de forma proactiva a los incidentes.
Realizar otros exámenes en línea
Cuestionar #1
¿Cuál de las siguientes es la tarea MÁS esencial que debe realizar un director de seguridad de la información (CISO)?
A. Actualizar la configuración de seguridad a nivel de plataforma
B. Realizar ejercicios de prueba de recuperación en caso de catástrofe
C. Autorizar el acceso a los sistemas financieros críticos
D. Elaborar un documento de estrategia de seguridad de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #2
¿Quién debe decidir hasta qué punto una organización cumplirá los nuevos requisitos normativos en materia de ciberseguridad?
A. Alta dirección
B. Comité director de informática
C. Asesoramiento jurídico
D. Responsable de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #3
¿Cuál de las siguientes es la función PRIMARIA del responsable de seguridad de la información en el proceso de clasificación de los activos de información?
A. Asignación de la propiedad de los activos
B. Asignación del nivel de clasificación de los activos
C. Asegurar los activos de acuerdo con su clasificación
D. Desarrollo de un modelo de clasificación de activos
Ver respuesta
Respuesta correcta: D
Cuestionar #4
Si el riesgo inherente a una actividad empresarial es superior al nivel de riesgo aceptable, el responsable de la seguridad de la información debe PRIMERO:
A. implantar controles para mitigar el riesgo hasta un nivel aceptable
B. recomendar a la dirección que evite la actividad empresarial
C. evaluar la diferencia entre el nivel de riesgo actual y el aceptable
D. transferir el riesgo a un tercero para evitar el coste del impacto
Ver respuesta
Respuesta correcta: C
Cuestionar #5
Los escenarios de riesgo simplifican el proceso de evaluación de riesgos:
A. reducir la necesidad de una posterior evaluación de riesgos
B. centrarse en el riesgo importante y relevante
C. garantizar que se mitiga el riesgo empresarial
D. cubrir toda la gama de riesgos posibles
Ver respuesta
Respuesta correcta: B
Cuestionar #6
Una empresa ha comprado una organización rival y está intentando integrar estrategias de seguridad. ¿Cuál de los siguientes es el MAYOR problema a tener en cuenta?
A. Las organizaciones tienen diferentes apetitos de riesgo
B. Diferentes tecnologías de seguridad
C. Diferentes competencias en materia de seguridad dentro de las organizaciones
D. Podría filtrarse información confidencial
Ver respuesta
Respuesta correcta: A
Cuestionar #7
¿Cuál de las siguientes es la consideración MÁS importante en un programa BYOD (traiga su propio dispositivo) para proteger los datos de la empresa en caso de pérdida?
A. La capacidad de localizar dispositivos a distancia
B. La capacidad de gestionar dispositivos de forma centralizada
C. Capacidad de restringir las solicitudes no aprobadas
D. La capacidad de clasificar los tipos de dispositivos
Ver respuesta
Respuesta correcta: B
Cuestionar #8
Una organización está atravesando un proceso de transformación digital, que sitúa a la organización de TI en un panorama de riesgos desconocido. Se ha encargado al responsable de seguridad de la información que dirija el proceso de gestión de riesgos de TI. A cuál de los siguientes aspectos se le debe dar la máxima prioridad?
A. Identificación del riesgo
B. Diseño de indicadores clave de riesgo (KRI)
C. Análisis de las lagunas de control
D. Selección de opciones de tratamiento del riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #9
Para un usuario de software comercial descargado de Internet, ¿cuál de los siguientes es el medio MÁS eficaz para garantizar la autenticidad?
A. Firmas digitales
B. Certificados digitales
C. Firma de código digital
D. Esteganografía
Ver respuesta
Respuesta correcta: C
Cuestionar #10
¿Cuál de los siguientes sería el objetivo MÁS importante de un programa de gobernanza de la seguridad de la información?
A. Revisión de los mecanismos de control interno
B. Participación efectiva en la toma de decisiones empresariales
C. Eliminación total de los factores de riesgo
D. Garantizar la confianza en los datos
Ver respuesta
Respuesta correcta: D
Cuestionar #11
La MEJOR manera de fomentar las buenas prácticas de seguridad es:
A. programar auditorías periódicas de cumplimiento
B. disciplinar a quienes incumplan la política de seguridad
C. reconocer el comportamiento adecuado de los individuos en materia de seguridad
D. publicar la política de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #12
Tras un cambio significativo en el código subyacente de una aplicación, lo MÁS importante para el responsable de la seguridad de la información es:
A. informar a la alta dirección
B. actualizar la evaluación de riesgos
C. validar las pruebas de aceptación del usuario (UAT)
D. modificar los indicadores clave de riesgo (KRI)
Ver respuesta
Respuesta correcta: A
Cuestionar #13
¿Cuál de los siguientes resultados del proceso de evaluación de riesgos ayudaría MEJOR a la toma de decisiones de gestión de riesgos?
A. Riesgo de control
B. Riesgo inherente
C. Exposición al riesgo
D. Riesgo residual
Ver respuesta
Respuesta correcta: D
Cuestionar #14
A la hora de implantar controles de seguridad, un responsable de seguridad de la información debe centrarse PRIMARIAMENTE en:
A. minimizar los impactos operativos
B. eliminando todas las vulnerabilidades
C. uso por organizaciones similares
D. certificación de un tercero
Ver respuesta
Respuesta correcta: A
Cuestionar #15
¿Cuál de los siguientes es el elemento MÁS importante a tener en cuenta al evaluar productos para supervisar la seguridad en toda la empresa?
A. Facilidad de instalación
B. Documentación del producto
C. Ayudas disponibles
D. Sobrecarga del sistema
Ver respuesta
Respuesta correcta: D
Cuestionar #16
Para comprender la postura de seguridad de una organización, lo MÁS importante es que la alta dirección de la misma:
A. garantizar que se comunican las métricas de seguridad establecidas
B. revisar el número de incidentes de seguridad notificados
C. evaluar el progreso de los esfuerzos de mitigación de riesgos
D. evaluar los resultados de la prueba de respuesta a incidentes más reciente
Ver respuesta
Respuesta correcta: A
Cuestionar #17
¿Cuál de los siguientes tipos de información esperaría el responsable de seguridad de la información que tuviera el nivel MÁS BAJO de protección de seguridad en una gran empresa multinacional?
A. Plan estratégico de empresa
B. Próximos resultados financieros
C. Información personal del cliente
D. Resultados financieros anteriores
Ver respuesta
Respuesta correcta: D
Cuestionar #18
Un responsable de seguridad de la información ha investigado varias opciones para gestionar los problemas de seguridad existentes y va a presentar estas soluciones a los responsables de la empresa. ¿Cuál de las siguientes opciones es la MEJOR para que los directivos tomen una decisión informada?
A. Análisis del impacto en la empresa (BIA)
B. Análisis coste-beneficio
C. Análisis de riesgos
D. Análisis de carencias
Ver respuesta
Respuesta correcta: A
Cuestionar #19
Un responsable de seguridad de la información ha descubierto que una unidad de negocio está planeando implantar una nueva aplicación y no ha contratado a nadie del departamento de seguridad de la información. ¿Cuál de las siguientes medidas es la MEJOR?
A. Recomendar la participación del gestor del cambio
B. Bloquear la puesta en producción de la aplicación
C. Discutir el asunto con los altos cargos
D. Revisar y actualizar el proceso de gestión del cambio
Ver respuesta
Respuesta correcta: A
Cuestionar #20
¿Cuál de los siguientes enfoques es el MEJOR para seleccionar controles para minimizar los riesgos de seguridad de la información?
A. Análisis coste-beneficio
B. Control-eficacia
C. Evaluación de riesgos
D. Mejores prácticas del sector
Ver respuesta
Respuesta correcta: C
Cuestionar #21
La PRINCIPAL razón por la que un responsable de la seguridad de la información debe supervisar los cambios que se producen a nivel industrial en la empresa y en las TI es:
A. evaluar el efecto de los cambios en los niveles de riesgo residual
B. identificar los cambios en el entorno de riesgo
C. actualizar las políticas de seguridad de la información de acuerdo con los cambios
D. cambiar los objetivos empresariales en función del impacto potencial
Ver respuesta
Respuesta correcta: B
Cuestionar #22
Un enfoque de gestión de riesgos para la protección de la información es:
A. Gestionar los riesgos hasta un nivel aceptable, acorde con las metas y objetivos
B. aceptar la postura de seguridad proporcionada por los productos de seguridad comerciales
C. implementar un programa de formación para educar a los individuos sobre la protección de la información y los riesgos
D. gestionar las herramientas de riesgo para garantizar que evalúan todas las vulnerabilidades de la protección de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #23
Al realizar un análisis cuantitativo de riesgos, ¿cuál de los siguientes es el MÁS importante para estimar la pérdida potencial?
A. Evaluar las pérdidas de productividad
B. Evaluar el impacto de la divulgación de datos confidenciales
C. Calcular el valor de la información o del activo
D. Medir la probabilidad de ocurrencia de cada amenaza
Ver respuesta
Respuesta correcta: C
Cuestionar #24
Las evaluaciones de riesgos para la seguridad deben abarcar únicamente los activos de información que:
A. se clasifican y etiquetan
B. están dentro de la organización
C. apoyar los procesos empresariales
D. tienen valor tangible
Ver respuesta
Respuesta correcta: A
Cuestionar #25
¿Cuál de los siguientes dispositivos, cuando se coloca en una zona desmilitarizada (DMZ), se consideraría la exposición MÁS significativa?
A. Servidor proxy
B. Servidor de retransmisión de correo
C. Servidor de aplicaciones
D. Servidor de base de datos
Ver respuesta
Respuesta correcta: D
Cuestionar #26
¿Cuál de las siguientes es una característica de la gestión centralizada de la seguridad de la información?
A. Más caro de administrar
B. Mejor cumplimiento de las políticas
C. Más alineado con las necesidades de la unidad de negocio
D. Respuesta más rápida a las solicitudes
Ver respuesta
Respuesta correcta: B
Cuestionar #27
Para tener una idea clara del impacto que un nuevo requisito normativo tendrá en los controles de seguridad de la información de una organización, un responsable de seguridad de la información debería PRIMERO:
A. ealizar un análisis de costes y beneficios
B. ealizar una evaluación de riesgos
C. ntrevistar a los altos directivos
D. Realizar un análisis de las deficiencias
Ver respuesta
Respuesta correcta: D
Cuestionar #28
En una organización con una gestión eficaz de los riesgos informáticos, la razón PRIMARIA para establecer indicadores clave de riesgo (KRI) es:
A. proporcionar información para remediar los eventos de riesgo
B. demostrar la alineación de los esfuerzos de gestión de riesgos
C. asignar el riesgo potencial a las iniciativas estratégicas clave de la organización
D. activadores de identidad que superan los umbrales de riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #29
El servidor de correo principal de una entidad financiera ha sido comprometido a nivel de superusuario; la única forma de garantizar la seguridad del sistema sería:
A. cambiar la contraseña de root del sistemA
B. implantar la autenticación multifactor
C. Reconstruir el sistema a partir del soporte de instalación original
D. desconectar el servidor de correo de la red
Ver respuesta
Respuesta correcta: C
Cuestionar #30
¿Cuál de las siguientes opciones es la MÁS adecuada para incluir en una estrategia de seguridad de la información?
A. Controles empresariales designados como controles clave
B. Procesos, métodos, herramientas y técnicas de seguridad
C. Conjuntos de reglas de cortafuegos, valores predeterminados de red y configuración del sistema de detección de intrusiones (IDS)
D. Estimaciones presupuestarias para adquirir herramientas de seguridad específicas
Ver respuesta
Respuesta correcta: B
Cuestionar #31
¿Cuál de las siguientes métricas sería la MÁS útil para medir lo bien que la seguridad de la información está supervisando los registros de violaciones?
A. Intentos de penetración investigados
B. Informes de registro de infracciones elaborados
C. Anotaciones en el registro de infracciones
D. Frecuencia de las medidas correctoras adoptadas
Ver respuesta
Respuesta correcta: A
Cuestionar #32
¿Cuál de las siguientes actividades de seguridad debe implementarse en el proceso de gestión de cambios para identificar las principales vulnerabilidades introducidas por los cambios?
A. Análisis del impacto en la empresa (BIA)
B. Pruebas de penetración
C. Auditoría y revisión
D. Análisis de amenazas
Ver respuesta
Respuesta correcta: B
Cuestionar #33
¿Cuál de los siguientes es el riesgo de seguridad MÁS importante en la gestión de activos informáticos?
A. Los bienes informáticos pueden ser utilizados por el personal con fines privados
B. Los activos informáticos no registrados no pueden recibir apoyo
C. Los activos informáticos no registrados no podrán incluirse en la documentación de seguridad
D. Los activos informáticos no registrados pueden no estar configurados correctamente
Ver respuesta
Respuesta correcta: A
Cuestionar #34
El objetivo PRIMARIO de la supervisión continua de los controles de seguridad es garantizar:
A. disponibilidad del sistemA
B. se minimizan las lagunas de control
C. eficacia de los controles
D. alineación con los requisitos de cumplimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #35
¿Cuál de las siguientes opciones es la MÁS eficaz para protegerse contra la técnica de ataque conocida como phishing?
A. Reglas de bloqueo del cortafuegos
B. Ficheros de firmas actualizados
C. Formación sobre sensibilización en materia de seguridad
D. Supervisión de la detección de intrusos
Ver respuesta
Respuesta correcta: C
Cuestionar #36
Los ataques exitosos de ingeniería social pueden prevenirse MEJOR a través de:
A. investigación previa a la contratación
B. una estrecha vigilancia de los patrones de acceso de los usuarios
C. formación periódica de sensibilización
D. procedimientos de rescisión eficaces
Ver respuesta
Respuesta correcta: C
Cuestionar #37
¿Cuál de los siguientes es responsable de la responsabilidad legal y reglamentaria?
A. Jefe de seguridad
B. Asesor jurídico jefe (CLC)
C. Consejo y alta dirección
D. Grupo director de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #38
Se ha asignado a un responsable de seguridad de la información la aplicación de controles preventivos más restrictivos. Al hacerlo, el efecto neto será PRIMARIAMENTE reducir la:
A. amenazA
B. pérdidA
C. vulnerabilidad
D. probabilidad
Ver respuesta
Respuesta correcta: C
Cuestionar #39
¿Cuál de las siguientes opciones es la MÁS útil para integrar el gobierno de la seguridad de la información con el gobierno corporativo?
A. Asignar la implementación de la gobernanza de la seguridad de la información al comité directivo
B. Inclusión de los procesos de seguridad de la información en los procesos operativos y de gestión
C. Presentar al consejo informes independientes sobre la eficiencia y eficacia de la seguridad de la información
D. Adaptar la gobernanza de la seguridad de la información a un marco aceptado mundialmente
Ver respuesta
Respuesta correcta: B
Cuestionar #40
¿Cuál de las siguientes es la MEJOR manera de determinar si el riesgo actual de una organización está dentro del apetito de riesgo?
A. Realización de un análisis de impacto en la empresa (BIA)
B. Aplicación de indicadores clave de rendimiento (KPI)
C. Aplicación de indicadores clave de riesgo (KRI)
D. Desarrollar controles de mitigación adicionales
Ver respuesta
Respuesta correcta: C
Cuestionar #41
Las normas mínimas de seguridad de la infraestructura técnica deben definirse en un documento de seguridad:
A. estrategiA
B. directrices
C. odelo C
D. arquitecturA
Ver respuesta
Respuesta correcta: D
Cuestionar #42
Cuando se produce una violación significativa de la seguridad, ¿qué debe comunicarse PRIMERO a la alta dirección?
A. Un resumen de los registros de seguridad que ilustra la secuencia de eventos
B. An del incidente y medidas correctoras adoptadas
C. Un análisis del impacto de ataques similares en otras organizaciones
D. Un caso de negocio para implementar controles de acceso lógico más fuertes
Ver respuesta
Respuesta correcta: B
Cuestionar #43
¿Cuál de las siguientes opciones sería la MÁS eficaz para aplicar con éxito políticas de contraseñas restrictivas?
A. Auditorías periódicas de contraseñas
B. Sistema de inicio de sesión único
C. Programa de sensibilización en materia de seguridad
D. Sanciones por incumplimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #44
¿Cuál de las siguientes es la MEJOR forma de actuar de un responsable de seguridad de la información para alinear los objetivos de seguridad y de negocio?
A. Definición de indicadores clave de rendimiento (KPI)
B. Compromiso activo con las partes interesadas
C. Revisión de la estrategia empresarial
D. Realización de un análisis de impacto en el negocio (BIA)
Ver respuesta
Respuesta correcta: D
Cuestionar #45
Una organización que aplica una estricta política de acceso a la información basada en la necesidad de conocerla está a punto de poner en marcha una intranet de gestión del conocimiento
A. Desarrollar un procedimiento de control para comprobar el contenido antes de publicarlo
B. Cambiar la política de la organización para permitir un uso más amplio del nuevo sitio web
C. Garantizar que el acceso al sitio web esté limitado a los altos directivos y al consejo de administración
D. Proteger con contraseña los documentos que contengan información confidencial
Ver respuesta
Respuesta correcta: A
Cuestionar #46
Una gran organización está en proceso de desarrollar su programa de seguridad de la información que implica trabajar con varias funciones organizativas complejas. ¿Cuál de las siguientes opciones es la MEJOR para implementar con éxito este programa?
A. Gobernanza de la seguridad
B. Política de seguridad
C. Métricas de seguridad
D. Directrices de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #47
Las inversiones en tecnologías de seguridad de la información deben basarse en:
A. evaluaciones de vulnerabilidad
B. análisis de valores
C. clima empresarial
D. recomendaciones de auditoríA
Ver respuesta
Respuesta correcta: B
Cuestionar #48
Una organización promulgó varias políticas de seguridad de la información para satisfacer requisitos normativos. ¿Cuál de las siguientes situaciones aumentaría MÁS la probabilidad de incumplimiento de estos requisitos?
A. Compromiso insuficiente de los propietarios de los sistemas para apoyar las políticas
B. Disponibilidad de los documentos de política de seguridad en un sitio web público
C. Falta de formación de los usuarios finales sobre las políticas de seguridad
D. Falta de un marco de gobernanza de la seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #49
Una organización está adoptando una tecnología corporativa estandarizada de mensajería por chat para ayudar a facilitar la comunicación entre las unidades de negocio. Cuál de las siguientes es una tarea ESENCIAL asociada a esta iniciativa?
A. Aumentar la seguridad y el personal operativo para apoyar la tecnología
B. Restringir el uso de la tecnología en departamentos con información sensible
C. Revisión de las políticas organizativas existentes en relación con la nueva tecnología
D. Aplicación del cifrado de las comunicaciones de chat
Ver respuesta
Respuesta correcta: C
Cuestionar #50
¿Cuál de las siguientes opciones es la MÁS importante para el éxito de un programa de seguridad de la información?
A. Formación en materia de "seguridad
B. Metas y objetivos alcanzables
C. Patrocinio de la alta dirección
D. Presupuesto inicial y personal adecuados
Ver respuesta
Respuesta correcta: C
Cuestionar #51
Un responsable de seguridad de la información recién contratado descubre que la limpieza de las cuentas de los empleados despedidos sólo se realiza una vez al año
A. Diseñar y documentar un nuevo proceso
B. Actualizar la política de seguridad
C. Realizar una evaluación de riesgos
D. Informar del problema a la alta dirección
Ver respuesta
Respuesta correcta: C
Cuestionar #52
¿Cuál de los siguientes puntos es el MÁS importante para un responsable de seguridad de la información a la hora de evaluar las solicitudes de cambio?
A. Las solicitudes son aprobadas por los responsables del proceso
B. Las peticiones añaden valor a la empresA
C. El riesgo residual está dentro de la tolerancia al riesgo
D. Se han creado planes de contingenciA
Ver respuesta
Respuesta correcta: D
Cuestionar #53
¿Cuál de las siguientes es la solución MÁS eficaz para impedir que los usuarios internos modifiquen información sensible y clasificada?
A. Normas básicas de seguridad
B. Registros de violaciones de acceso al sistema
C. Controles de acceso basados en roles
D. Rutinas de salida
Ver respuesta
Respuesta correcta: C
Cuestionar #54
¿Cuál de los siguientes roles es PRIMARIAMENTE responsable de determinar los niveles de clasificación de la información para un activo de información dado?
A. Director
B. Custodio
C. Usuario
D. Propietario
Ver respuesta
Respuesta correcta: D
Cuestionar #55
Un grupo directivo de seguridad de la información debería:
A. proporcionar supervisión y orientación generales
B. desarrollar políticas de seguridad de la información
C. establecer líneas de base de seguridad de la información
D. supervisar las operaciones diarias del programa de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #56
¿Cuál de las siguientes es la MEJOR manera de demostrar a la alta dirección que las prácticas de seguridad de la organización cumplen las normas del sector?
A. Resultados de una evaluación independiente
B. Documentación actualizada sobre políticas y procedimientos
C. Un informe sobre la madurez de los controles
D. Existencia de un marco aceptado por la industria
Ver respuesta
Respuesta correcta: A
Cuestionar #57
En el proceso de implantación de un nuevo sistema de correo electrónico, un responsable de seguridad de la información desea garantizar la confidencialidad de los mensajes mientras están en tránsito. Cuál de los siguientes es el método MÁS adecuado para garantizar la confidencialidad de los datos en la implantación de un nuevo sistema de correo electrónico?
A. Cifrado
B. Certificado digital
C. Firma digital
D. Algoritmo de trinca
Ver respuesta
Respuesta correcta: A
Cuestionar #58
La eficacia de un marco de gobernanza de la seguridad de la información MEJORará si:
A. Los auditores de SI están facultados para evaluar las actividades de gobernanza
B. la gestión de riesgos se integra en las actividades operativas y estratégicas
C. la dirección promueve una cultura de cumplimiento legal y normativo
D. los consultores revisan el marco de gobernanza de la seguridad de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #59
Los propietarios de los datos deben proporcionar un entorno seguro para garantizar la confidencialidad, integridad y disponibilidad de la transacción. Este es un ejemplo de seguridad de la información:
A. línea de base
B. estrategiA
C. procedimiento
D. políticA
Ver respuesta
Respuesta correcta: D
Cuestionar #60
Una organización planea implantar una solución de colaboración documental para permitir a los empleados compartir información de la empresa. Cuál de los siguientes es el control MÁS importante para mitigar el riesgo asociado a la nueva solución?
A. Asignar acceso de escritura a los propietarios de los datos
B. Permitir el acceso a la solución a un número mínimo de usuarios
C. Hacer que los propietarios de los datos realicen revisiones periódicas del acceso de los usuarios
D. Permitir sólo información no sensible en la solución
Ver respuesta
Respuesta correcta: C
Cuestionar #61
¿Cuál de las siguientes opciones MEJORaría la seguridad del cortafuegos?
A. Colocación del cortafuegos en una subred apantallada
B. Registro de eventos de seguridad
C. Aplicación de prácticas de control de cambios
D. Proporcionar asignación dinámica de direcciones
Ver respuesta
Respuesta correcta: B
Cuestionar #62
Cuando se minimiza el riesgo residual:
A. el riesgo aceptable es probable
B. el riesgo transferido es aceptable
C. se reduce el riesgo de control
D. el riesgo es transferible
Ver respuesta
Respuesta correcta: A
Cuestionar #63
Cuando un sistema recién instalado para sincronizar contraseñas a través de múltiples sistemas y plataformas termina anormalmente sin advertencia, ¿cuál de las siguientes acciones debería ocurrir automáticamente PRIMERO?
A. El cortafuegos debe bloquear todo el tráfico entrante durante la interrupción
B. Todos los sistemas deben bloquear los nuevos inicios de sesión hasta que se corrija el problema
C. El control de acceso debe volver al modo no sincronizado
D. Los logs del sistema deben registrar toda la actividad del usuario para su posterior analisis
Ver respuesta
Respuesta correcta: C
Cuestionar #64
¿La aceptación del riesgo es un componente de cuál de los siguientes?
A. Evaluación
B. Mitigación
C. Evaluación
D. Supervisión
Ver respuesta
Respuesta correcta: B
Cuestionar #65
¿Quién es el responsable último de la información de la organización?
A. Custodia de datos
B. Director de Seguridad de la Información (CISO)
C. Consejo de Administración
D. Director de Información (CIO)
Ver respuesta
Respuesta correcta: C
Cuestionar #66
¿Cuál de las siguientes es la PRIMERA tarea a la hora de determinar el perfil de seguridad de la información de una organización?
A. Elaborar un inventario de activos
B. Lista de privilegios administrativos
C. Establecer normas de seguridad
D. Completar una evaluación de la amenaza
Ver respuesta
Respuesta correcta: C
Cuestionar #67
¿Cuál de los siguientes es el MEJOR método para determinar si un programa de seguridad de la información cumple los objetivos empresariales de una organización?
A. Aplicar medidas de rendimiento
B. Comparación con las normas internacionales de seguridad
C. Realizar un análisis de impacto en el negocio (BIA)
D. Realizar una evaluación anual de la seguridad en toda la empresA
Ver respuesta
Respuesta correcta: A
Cuestionar #68
¿Cuál de los siguientes riesgos se evaluaría MEJOR utilizando técnicas cuantitativas de evaluación de riesgos?
A. Robo de datos de clientes
B. Un corte de energía eléctrica
C. Un sitio web desfigurado por piratas informáticos
D. Pérdida del equipo de desarrollo de software
Ver respuesta
Respuesta correcta: B
Cuestionar #69
¿Cuál de las siguientes opciones es la MÁS importante para que un responsable de seguridad de la información informe periódicamente a la alta dirección?
A. Resultados de las pruebas de penetración
B. Informes de auditoría
C. Impacto de los riesgos no remediados
D. Informes de análisis de amenazas
Ver respuesta
Respuesta correcta: C
Cuestionar #70
El objetivo PRIMARIO de una estrategia de respuesta al riesgo debe ser:
A. reducción de la amenazA
B. cumplimiento de la normativA
C. compromiso de la alta dirección
D. selección adecuada del control
Ver respuesta
Respuesta correcta: A
Cuestionar #71
El objetivo PRIMARIO de establecer un marco de gobernanza de la seguridad de la información debe ser:
A. alinear la estrategia y las inversiones en seguridad de la información para apoyar las actividades de la organización
B. alinear el gobierno corporativo, las actividades y las inversiones con los objetivos de seguridad de la información
C. establecer el argumento empresarial para la integración estratégica de la seguridad de la información en los esfuerzos organizativos
D. documentar y comunicar cómo funciona el programa de seguridad de la información dentro de la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #72
¿Cuál de los siguientes controles es el MÁS eficaz para proporcionar una garantía razonable del cumplimiento de los requisitos de acceso físico a una sala de servidores sin personal controlada con dispositivos biométricos?
A. Revisión periódica de las listas de control de acceso
B. Escolta de visitantes por guardias de seguridad
C. Registro de visitantes en la puerta
D. Una biometría combinada con un PIN
Ver respuesta
Respuesta correcta: A
Cuestionar #73
¿Cuál de las siguientes opciones es la MÁS importante a la hora de elaborar un plan de recuperación en caso de catástrofe?
A. Plan de continuidad de las actividades (PCN)
B. Análisis del impacto en la empresa (BIA)
C. Análisis coste-beneficio
D. Evaluación de la viabilidad
Ver respuesta
Respuesta correcta: B
Cuestionar #74
La MEJOR métrica para evaluar la eficacia de un cortafuegos es la:
A. número de ataques bloqueados
B. número de paquetes perdidos
C. tasa media de rendimiento
D. número de reglas de cortafuegos
Ver respuesta
Respuesta correcta: A
Cuestionar #75
¿Cuál de las siguientes opciones facilita MEJOR la supervisión del riesgo en toda una organización?
A. Pruebas de penetración
B. Indicadores clave de riesgo (KRI)
C. Evaluación de las amenazas
D. Evolución de la propensión al riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #76
¿Cuál de los siguientes es el MEJOR criterio para clasificar los activos?
A. El valor de mercado de los activos
B. Esperanza de pérdida anual (ALE)
C. Valor de los activos en relación con la organización
D. Objetivo de tiempo de recuperación (RTO)
Ver respuesta
Respuesta correcta: C
Cuestionar #77
¿Cuál de los siguientes es el enfoque MÁS eficaz para integrar la seguridad en el desarrollo de aplicaciones?
A. Definición de los requisitos de seguridad
B. Realización de análisis de vulnerabilidades
C. Inclusión de la seguridad en la aprobación de las pruebas de aceptación del usuario
D. Desarrollar modelos de seguridad en paralelo
Ver respuesta
Respuesta correcta: A
Cuestionar #78
¿Cuál de las siguientes opciones proporcionaría a la alta dirección la MEJOR información para comprender mejor el perfil de riesgo de la seguridad de la información de la organización?
A. Escenarios que afectan a las operaciones comerciales
B. Escenarios que perturban los servicios a los clientes
C. Escenarios que afectan a los objetivos empresariales
D. Escenarios con impacto monetario
Ver respuesta
Respuesta correcta: C
Cuestionar #79
¿Cuál de las siguientes es la MEJOR indicación de que la seguridad de la información está integrada en el gobierno corporativo?
A. Las nuevas vulnerabilidades se comunican directamente al responsable de seguridad
B. Los incidentes significativos se elevan a la dirección ejecutivA
C. Los documentos de política de seguridad se revisan periódicamente
D. El personal administrativo recibe formación sobre temas actuales de seguridad de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #80
La dirección primaria sobre el impacto del cumplimiento de los nuevos requisitos reglamentarios que pueden conducir a cambios importantes en el sistema de aplicación debe obtenerse del:
A. auditor interno de la empresA
B. Desarrolladores/analistas de sistemas
C. propietarios de procesos empresariales clave
D. asesor jurídico de empresA
Ver respuesta
Respuesta correcta: C
Cuestionar #81
La MEJOR razón para que una organización tenga dos cortafuegos discretos conectados directamente a Internet y a la misma DMZ sería:
A. proporcionar una defensa en profundidad
B. separar las pruebas y la producción
C. permitir el equilibrio de la carga de tráfico
D. prevenir un ataque de denegación de servicio
Ver respuesta
Respuesta correcta: C
Cuestionar #82
¿Cuál de los siguientes procesos puede utilizarse para corregir las vulnerabilidades técnicas identificadas?
A. Ejecución de configuraciones de referencia
B. Realización de una evaluación de riesgos
C. Realizar un análisis del impacto en la empresa (BIA)
D. Ejecución de escáneres automatizados
Ver respuesta
Respuesta correcta: B
Cuestionar #83
El equipo de seguridad de la información ha determinado que se necesita una solución de seguridad adicional para mejorar la postura de seguridad de la organización. ¿Qué debe hacer el responsable de seguridad de la información para seguir adelante con esta iniciativa?
A. Evaluar los productos disponibles
B. Crear un caso de negocio
C. Proceder a la selección del proveedor
D. Iniciar la diligencia debida del proveedor
Ver respuesta
Respuesta correcta: B
Cuestionar #84
Una organización tiene que cumplir unos requisitos normativos del sector publicados recientemente, un cumplimiento que puede tener unos costes de aplicación elevados. Qué debe hacer PRIMERO el responsable de seguridad de la información?
A. Crear un comité de seguridad
B. Realizar un análisis de carencias
C. Aplicar controles compensatorios
D. Exigir el cumplimiento inmediato
Ver respuesta
Respuesta correcta: B
Cuestionar #85
¿Cuál es el riesgo PRINCIPAL cuando no hay representación de la gestión de usuarios en el Comité Directivo de Seguridad de la Información?
A. Los requisitos funcionales no se tienen debidamente en cuentA
B. Los programas de formación de usuarios pueden ser inadecuados
C. Los presupuestos asignados a las unidades de negocio no son adecuados
D. Los planes de seguridad de la información no están alineados con los requisitos de la empresa
Ver respuesta
Respuesta correcta: D
Cuestionar #86
¿Cuál de las siguientes es la forma MÁS eficaz de garantizar que las políticas de seguridad sean pertinentes para las prácticas empresariales de la organización?
A. Integrar las mejores prácticas del sector
B. Obtener el visto bueno de la alta dirección
C. Realizar una auditoría de seguridad en toda la organización
D. Aprovechar la contribución del comité directivo de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #87
Tras realizar una evaluación completa de los riesgos informáticos, ¿quién puede decidir MEJOR qué controles paliativos deben aplicarse?
A. Alta dirección
B. Director comercial
C. Responsable de auditoría informática
D. Responsable de seguridad de la información (ISO)
Ver respuesta
Respuesta correcta: B
Cuestionar #88
Un CEO solicita acceso a documentos corporativos desde un dispositivo móvil que no cumple con la política de la organización. El responsable de seguridad de la información debe PRIMERO:
A. evaluar una solución de terceros
B. desplegar controles de seguridad adicionales
C. evaluar el riesgo empresarial
D. iniciar un proceso de aprobación de excepciones
Ver respuesta
Respuesta correcta: C
Cuestionar #89
Lo MÁS importante para un responsable de la seguridad de la información es asegurarse de que se realizan evaluaciones de los riesgos para la seguridad:
A. de forma coherente en toda la empresa
B. durante un análisis de causa raíz
C. como parte del caso de negocio de seguridad
D. en respuesta al panorama de amenazas
Ver respuesta
Respuesta correcta: A
Cuestionar #90
La ventaja PRIMARIA de implicar a los usuarios finales en la planificación de la continuidad es que:
A. son más objetivos que la gestión de la seguridad de la información
B. puede equilibrar los riesgos técnicos y empresariales
C. comprender mejor las necesidades específicas de las empresas
D. puede ver el impacto global en la empresA
Ver respuesta
Respuesta correcta: B
Cuestionar #91
¿Cuál de los siguientes debería ser el SIGUIENTE paso del responsable de seguridad de la información tras la aprobación de la estrategia de seguridad de la información por parte de la alta dirección?
A. Desarrollar una política de seguridad
B. Elabore un presupuesto
C. Realizar un análisis de carencias
D. Formar un comité directivo
Ver respuesta
Respuesta correcta: A
Cuestionar #92
¿Cuál de las siguientes opciones sería la MÁS útil a la hora de obtener apoyo para una iniciativa de seguridad de la información?
A. Demostrar el alineamiento organizativo
B. Hacer hincapié en las amenazas para la organización
C. Referencia a las deficiencias de control
D. Presentación de una matriz de comparación de soluciones
Ver respuesta
Respuesta correcta: A
Cuestionar #93
¿Cuál de los siguientes debe ser el objetivo PRIMARIO de un responsable de seguridad de la información durante el desarrollo de un sistema crítico que almacene datos altamente confidenciales?
A. Garantizar que la cantidad de riesgo residual es aceptable
B. Reducir el número de vulnerabilidades detectadas
C. Evitar las amenazas identificadas para el sistema
D. Cumplimiento de los requisitos reglamentarios
Ver respuesta
Respuesta correcta: D
Cuestionar #94
¿Cuál de las siguientes situaciones es la que MÁS impediría la aplicación eficaz de la gobernanza de la seguridad?
A. La complejidad de la tecnología
B. Limitaciones presupuestarias
C. Conflicto de prioridades empresariales
D. Patrocinio de alto nivel
Ver respuesta
Respuesta correcta: D
Cuestionar #95
¿Cuál de las siguientes es la MEJOR manera de integrar la seguridad de la información en el gobierno corporativo?
A. Involucrar a consultores de seguridad externos en las iniciativas de seguridad
B. Impartir formación exhaustiva sobre gestión de la seguridad de la información a las principales partes interesadas
C. Garantizar que los procesos de seguridad de la información formen parte de los procesos de gestión existentes
D. Exigir que se realicen evaluaciones periódicas de los riesgos para la seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #96
¿Cuál de los siguientes enfoques es el que MÁS garantizaría la integración de la gestión de riesgos en los procesos del ciclo de vida de la empresa?
A. Evaluación periódica de los riesgos
B. Integración del riesgo de seguridad en la gestión de riesgos de la empresa
C. Integración de la gestión de riesgos en el ciclo de vida del desarrollo de software
D. Comprender la tolerancia al riesgo de la dirección de la empresa
Ver respuesta
Respuesta correcta: B
Cuestionar #97
¿Cuál de los siguientes es el MEJOR método para garantizar la eficacia global de un programa de gestión de riesgos?
A. Evaluación de los cambios por parte de los usuarios
B. Comparación de los resultados del programa con las normas del sector
C. Asignación de riesgos dentro de la organización
D. Participación de todos los miembros de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #98
¿A cuál de los siguientes aspectos debe darse prioridad para garantizar la aplicación eficaz de la gobernanza de la seguridad de la información?
A. Consulta
B. Negociación
C. Facilitación
D. Planificación
Ver respuesta
Respuesta correcta: D
Cuestionar #99
Al evaluar el grado en que una organización puede verse afectada por la nueva legislación sobre privacidad, la gestión de la seguridad de la información debe PRIMERO:
A. elaborar un plan operativo para lograr el cumplimiento de la legislación
B. identificar sistemas y procesos que contengan componentes de privacidad
C. restringir la recogida de información personal hasta que se cumpla la normativA
D. identificar la legislación sobre privacidad de otros países que pueda contener requisitos similares
Ver respuesta
Respuesta correcta: B
Cuestionar #100
¿Cuál de los siguientes es el factor de riesgo MÁS relevante para una organización cuando los empleados utilizan las redes sociales?
A. Se puede acceder a las redes sociales desde múltiples lugares
B. Las redes sociales ofrecen una plataforma que puede albergar ciberataques
C. Las redes sociales pueden utilizarse para recabar información sobre ataques
D. Los medios sociales aumentan la velocidad del riesgo y la capacidad de amenazA
Ver respuesta
Respuesta correcta: C
Cuestionar #101
¿Cuál de las siguientes es la MEJOR manera de que un responsable de seguridad de la información se proteja contra un ataque de día cero?
A. Realizar un análisis de impacto en el negocio (BIA)
B. Realizar escaneos de vulnerabilidad diariamente
C. Configurar ejecuciones diarias del software de protección antivirus
D. Implementar herramientas de supervisión basadas en heurísticA
Ver respuesta
Respuesta correcta: D
Cuestionar #102
La dirección cuestiona la necesidad de varias partidas del proyecto de presupuesto de seguridad de la información. ¿Cuál de las siguientes opciones habría sido MÁS útil antes de presentar el presupuesto?
A. Evaluación comparativa de los esfuerzos de seguridad de la información de los competidores del sector
B. Obtener mejores precios de los proveedores de servicios de seguridad de la información
C. Presentación de un informe sobre las amenazas actuales para la organización
D. Educar a la dirección en las mejores prácticas de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #103
¿Cuál de las siguientes opciones es la MÁS importante a la hora de priorizar las amenazas durante el proceso de evaluación de riesgos?
A. La criticidad de los sistemas amenazados
B. La gravedad de las vulnerabilidades explotadas
C. Impacto potencial en las operaciones
D. La capacidad de los actores de la amenaza
Ver respuesta
Respuesta correcta: A
Cuestionar #104
¿Cuál de las siguientes opciones es la MÁS importante a tener en cuenta a la hora de determinar la eficacia del programa de gobernanza de la seguridad de la información?
A. Indicadores clave de rendimiento (KPI)
B. Indicadores clave de riesgo (KRI)
C. Modelos de madurez
D. Niveles de tolerancia al riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #105
¿Qué elemento del programa debe aplicarse PRIMERO en la clasificación y el control de activos?
A. Evaluación de riesgos
B. Clasificación
C. Valoración
D. Mitigación de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #106
El no repudio puede garantizarse MEJOR utilizando:
A. contraseñas seguras
B. un hash digital
C. cifrado simétrico
D. firmas digitales
Ver respuesta
Respuesta correcta: D
Cuestionar #107
¿Cuál de las siguientes opciones debería ser la PRIMARIA a la hora de definir el estado deseado de la seguridad en una organización?
A. Nivel de riesgo aceptable
B. Esperanza de pérdida anual
C. Resultados de la auditoría externa
D. Nivel de impacto empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #108
¿Cuál de las siguientes opciones identificará una desviación en el proceso de gestión de la seguridad de la información con respecto a las normas de buenas prácticas generalmente aceptadas?
A. Evaluación de riesgos
B. Análisis del impacto en la empresa (BIA)
C. Pruebas de penetración
D. Análisis de carencias
Ver respuesta
Respuesta correcta: D
Cuestionar #109
¿Cuál de las siguientes es la responsabilidad PRIMARIA del comité directivo de seguridad de la información?
A. Desarrollo de políticas de seguridad alineadas con las estrategias corporativas y de TI
B. Revisión de los casos empresariales en los que no se han obtenido beneficios
C. Identificar los riesgos asociados a las nuevas iniciativas de seguridad
D. Desarrollo y presentación de casos empresariales para iniciativas de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #110
A una entidad de banca en línea le preocupa que la violación de la información personal de un cliente tenga un impacto financiero significativo debido a la necesidad de notificar y compensar a los clientes cuya información personal pueda haberse visto comprometida. La entidad determina que el riesgo residual siempre será demasiado alto y decide:
A. mitigar el impacto contratando un seguro
B. implementar un cortafuegos a nivel de circuito para proteger la red
C. aumentar la resistencia de las medidas de seguridad implantadas
D. implantar un sistema de detección de intrusos en tiempo real
Ver respuesta
Respuesta correcta: A
Cuestionar #111
Tras adoptar un marco de seguridad de la información, un responsable de seguridad de la información está trabajando con la alta dirección para cambiar la percepción de toda la organización de que la seguridad de la información es responsabilidad exclusiva del departamento de seguridad de la información. Para lograr este objetivo, ¿cuál debería ser la PRIMERA iniciativa del responsable de seguridad de la información?
A. Desarrollar un plan operativo que proporcione las mejores prácticas para los proyectos de seguridad de la información
B. Desarrollar una campaña de concienciación sobre la seguridad de la información con el apoyo de la alta dirección
C. Documentar y publicar las responsabilidades del departamento de seguridad de la información
D. Implantar un proceso formal para realizar revisiones periódicas del cumplimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #112
Una aplicación empresarial basada en web se está migrando de pruebas a producción. Cuál de los siguientes es el visto bueno de gestión MÁS importante para esta migración?
A. Usuario
B. Red
C. Operaciones
D. Base de datos
Ver respuesta
Respuesta correcta: A
Cuestionar #113
Un gestor de seguridad de la información logrará MEJOR el compromiso y el apoyo de la alta dirección a la seguridad de la información haciendo hincapié en:
A. riesgo organizativo
B. métricas de toda la organización
C. necesidades de seguridad
D. las responsabilidades de las unidades organizativas
Ver respuesta
Respuesta correcta: A
Cuestionar #114
Un responsable de seguridad de la información utiliza métricas de seguridad para medir la:
A. rendimiento del programa de seguridad de la información
B. rendimiento de la línea de base de seguridad
C. eficacia del análisis de riesgos para la seguridad
D. eficacia del equipo de respuesta a incidentes
Ver respuesta
Respuesta correcta: A
Cuestionar #115
En un escenario de ingeniería social, ¿cuál de las siguientes opciones es la MÁS probable que reduzca la probabilidad de que una persona no autorizada acceda a los recursos informáticos?
A. Aplicación del enmascaramiento de contraseñas en pantalla
B. Realización de programas periódicos de concienciación en materia de seguridad
C. Aumentar la frecuencia de los cambios de contraseña
D. Exigir que las contraseñas sean estrictamente confidenciales
Ver respuesta
Respuesta correcta: B
Cuestionar #116
¿Cuál de las siguientes opciones sería la MEJOR para hacer frente al riesgo de fuga de datos?
A. Procedimientos de copia de seguridad de archivos
B. Comprobación de la integridad de la base de datos
C. Políticas de uso aceptable
D. Procedimientos de respuesta a incidentes
Ver respuesta
Respuesta correcta: C
Cuestionar #117
Se ha completado una evaluación de riesgos y un análisis del impacto en el negocio (BIA) para una compra importante propuesta y un nuevo proceso para una organización. Existe un desacuerdo entre el responsable de seguridad de la información y el responsable del departamento de negocio, que será el propietario del proceso, sobre los resultados y el riesgo asignado. ¿Cuál de los siguientes sería el MEJOR enfoque del responsable de seguridad de la información?
A. Aceptación de la decisión del director comercial sobre el riesgo para la empresa
B. Aceptación de la decisión del responsable de seguridad de la información sobre el riesgo para la empresa
C. Revisión de la evaluación con la dirección ejecutiva para la aportación final
D. Se necesita una nueva evaluación de riesgos y un nuevo BIA para resolver el desacuerdo
Ver respuesta
Respuesta correcta: C
Cuestionar #118
¿Cuál de los siguientes puntos es MÁS importante evaluar después de completar un plan de acción de riesgos?
A. Perfil de la amenaza
B. Riesgo inherente
C. Riesgo residual
D. Panorama de la vulnerabilidad
Ver respuesta
Respuesta correcta: A
Cuestionar #119
El análisis cuantitativo del riesgo es el MÁS apropiado cuando los datos de la evaluación:
A. incluyen las percepciones de los clientes
B. contienen estimaciones porcentuales
C. no contienen detalles específicos
D. contienen información subjetivA
Ver respuesta
Respuesta correcta: B
Cuestionar #120
¿Cuál de las siguientes opciones protegerá MEJOR contra las actividades maliciosas de un antiguo empleado?
A. Examen previo a la contratación
B. Control estricto de los usuarios
C. Formación periódica de sensibilización
D. Procedimientos de rescisión efectivos
Ver respuesta
Respuesta correcta: D
Cuestionar #121
Un responsable de seguridad de la información está planeando adquirir un sistema de gestión de dispositivos móviles (MDM) para gestionar los dispositivos personales utilizados por los empleados para acceder al correo electrónico corporativo. Cuál de las siguientes opciones es la MÁS importante para incluir en el caso de negocio?
A. Análisis coste-beneficio
B. Riesgos identificados y controles paliativos
C. Resultados de la evaluación comparativa de las mejores prácticas del sector
D. Métricas relacionadas con la seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #122
¿Cuál de las siguientes es la ventaja PRIMARIA de contar con un marco de gobierno de la seguridad de la información establecido cuando una organización está adoptando tecnologías emergentes?
A. Existe una estrategia de tecnologías emergentes
B. Se establece un proceso eficaz de gestión de los riesgos de seguridad
C. Se establece la aceptación de las tecnologías emergentes por parte del usuario final
D. Un proceso de análisis coste-beneficio es más fácil de realizar
Ver respuesta
Respuesta correcta: B
Cuestionar #123
¿Cuál de las siguientes opciones es la MÁS probable que se incluya en la política de seguridad de una empresa?
A. efinición de responsabilidades
B. Calendario de conservación
C. specificaciones de acceso al sistema
D. iesgo organizativo
Ver respuesta
Respuesta correcta: A
Cuestionar #124
Al desarrollar una nueva aplicación, ¿cuál de los siguientes es el MEJOR enfoque para garantizar el cumplimiento de los requisitos de seguridad?
A. Impartir formación sobre seguridad a los desarrolladores
B. Preparar criterios de aceptación detallados
C. Cumplir los procesos de gestión del cambio
D. Realizar un análisis de brechas de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #125
¿Cuál de las siguientes es la MEJOR manera de abordar el riesgo asociado al uso de un proveedor de servicios tecnológicos subcontratado?
A. Revisar el seguro de responsabilidad cibernéticA
B. Implantar un programa de gestión de proveedores
C. Exigir la aprobación de la dirección para la selección de proveedores
D. Realizar la diligencia debida sobre el proveedor en el momento del contrato
Ver respuesta
Respuesta correcta: B
Cuestionar #126
¿Cuál de las siguientes es la MEJOR manera de alinear las estrategias de seguridad y de negocio?
A. Incluir el riesgo de seguridad como parte de la gestión de riesgos corporativos
B. Desarrollar un cuadro de mando integral para la seguridad
C. Establecer indicadores clave de rendimiento (KPI) para las empresas mediante procesos de seguridad
D. Integrar el gobierno de la seguridad de la información en el gobierno corporativo
Ver respuesta
Respuesta correcta: C
Cuestionar #127
¿Cuál de las siguientes opciones es la MÁS importante que un responsable de seguridad de la información debe comunicar a la alta dirección en relación con el programa de seguridad?
A. Riesgos y exposiciones potenciales
B. Resultados del análisis de impacto
C. Cambios en la arquitectura de seguridad
D. Funciones y responsabilidades de los usuarios
Ver respuesta
Respuesta correcta: B
Cuestionar #128
¿Cuál de las siguientes es la MAYOR ventaja de integrar una solución de gestión de eventos e información de seguridad (SIEM) con herramientas de seguridad tradicionales como IDS, antimalware y soluciones de filtrado de correo electrónico?
A. Eliminación de falsos positivos
B. Reducción de los costes operativos
C. Aumento de la visibilidad de los patrones de amenazas potenciales
D. La consolidación de herramientas en una única consola
Ver respuesta
Respuesta correcta: D
Cuestionar #129
¿Cuál de las siguientes actividades es MÁS probable que aumente la dificultad de erradicar totalmente el código malicioso que no se detecta inmediatamente?
A. Aplicación de parches
B. Modificación de las normas de acceso
C. Actualización del hardware
D. Copia de seguridad de archivos
Ver respuesta
Respuesta correcta: D
Cuestionar #130
Un responsable de seguridad de la información está revisando el caso de negocio de un proyecto de seguridad que está entrando en la fase de desarrollo. Se determina que el coste estimado de los controles es ahora mayor que el riesgo que se pretende mitigar.La MEJOR recomendación del responsable de seguridad de la información sería:
A. eliminar algunos de los controles del ámbito del proyecto
B. interrumpir el proyecto para liberar fondos para otros esfuerzos
C. Continuar con el proyecto hasta que los beneficios cubran los costes
D. ralentizar el ritmo del proyecto para repartir los costes a lo largo de un periodo más prolongado
Ver respuesta
Respuesta correcta: A
Cuestionar #131
¿Cuál de las siguientes opciones es la MÁS importante para promover con éxito buenas prácticas de gestión de la seguridad?
A. Métricas de seguridad
B. Líneas de base de seguridad
C. Apoyo a la gestión
D. Formación periódica
Ver respuesta
Respuesta correcta: C
Cuestionar #132
¿Cuál de las siguientes sería la MEJOR defensa contra el olfateo?
A. Proteger los archivos con contraseña
B. Implementar un esquema de direcciones IP dinámicas
C. Cifrar los datos transmitidos
D. Establecer direcciones estaticas de control de acceso obligatorio (MAC)
Ver respuesta
Respuesta correcta: C
Cuestionar #133
¿Cuál de los siguientes es el PRINCIPAL objetivo de la normativa sobre privacidad?
A. Extracción de datos sin restricciones
B. Robo de identidad
C. Protección de los derechos humanos
D. Datos personales identificables
Ver respuesta
Respuesta correcta: D
Cuestionar #134
¿Cuál de las siguientes es un área clave del marco ISO 27001?
A. Evaluación del riesgo operativo
B. Métricas de la delincuencia financiera
C. Gestión de la capacidad
D. Gestión de la continuidad de las actividades
Ver respuesta
Respuesta correcta: D
Cuestionar #135
¿Cuál de los siguientes es el elemento MÁS importante de una estrategia de seguridad de la información?
A. Objetivos definidos
B. Plazos de entrega
C. Adopción de un marco de control
D. Políticas completas
Ver respuesta
Respuesta correcta: A
Cuestionar #136
¿Cuál de las siguientes es la razón MÁS importante para supervisar el riesgo de la información de forma continua?
A. El perfil de riesgo puede cambiar con el tiempo
B. La eficacia de los controles puede verificarse
C. El coste de los controles puede reducirse al mínimo
D. Se pueden identificar errores en la evaluación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #137
Cuando los datos de los clientes se hayan visto comprometidos, una organización debe ponerse en contacto con las autoridades policiales:
A. si el ataque procede de una fuente internacional
B. cuando lo indique el responsable de seguridad de la información
C. si existe un impacto potencial para la organización
D. de acuerdo con la política de comunicación de la empresA
Ver respuesta
Respuesta correcta: D
Cuestionar #138
A un responsable de seguridad de la información se le pide que demuestre que la organización cumple con su obligación legal de proteger la información de identificación personal (IIP)
A. Métricas relacionadas con la eficacia del programa
B. Políticas y normas escritas
C. Formación sobre protección de datos
D. Evaluaciones de riesgo de las aplicaciones relacionadas con la privacidad
Ver respuesta
Respuesta correcta: A
Cuestionar #139
¿Cuál de las siguientes opciones es la MÁS importante para garantizar que el programa de ciberseguridad de una organización satisface las necesidades de la empresa?
A. Formación en materia de seguridad de la información
B. Métricas de seguridad de la información
C. Programa de evaluación de riesgos
D. Gobernanza de la seguridad de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #140
En la evaluación de riesgos, tras la identificación de las amenazas a los activos de la organización, el responsable de seguridad de la información:
A. evaluar los controles existentes en la actualidad
B. implantar controles para alcanzar los niveles de riesgo objetivo
C. solicitar financiación para el programa de seguridad
D. determinar las amenazas que deben comunicarse a la alta dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #141
Un responsable de seguridad que cumpla los requisitos para el flujo internacional de datos personales deberá garantizar:
A. un acuerdo de tratamiento de datos
B. un registro de protección de datos
C. el acuerdo de los interesados
D. procedimientos de acceso de los sujetos
Ver respuesta
Respuesta correcta: C
Cuestionar #142
¿Cuál de los siguientes sitios sería el MÁS apropiado en el caso de un objetivo de tiempo de recuperación (RTO) muy corto?
A. Caliente
B. Redundante
C. Compartido
D. Móvil
Ver respuesta
Respuesta correcta: A
Cuestionar #143
¿Cuál de los siguientes es el requisito previo MÁS importante para establecer la gestión de la seguridad de la información en una organización?
A. Compromiso de la alta dirección
B. Marco de seguridad de la información
C. Estructura organizativa de la seguridad de la información
D. Política de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #144
¿Cuál de las siguientes opciones sería la MÁS útil para desarrollar una serie de objetivos de tiempo de recuperación (RTO)?
A. Análisis de carencias
B. Análisis de regresión
C. Análisis de riesgos
D. Análisis del impacto empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #145
¿Cuál de las siguientes opciones permite cumplir un requisito de política de no repudio para las transacciones electrónicas?
A. Certificados digitales
B. Firmas digitales
C. Contraseñas cifradas
D. Contraseñas de un solo uso
Ver respuesta
Respuesta correcta: B
Cuestionar #146
¿Cuál de las siguientes opciones garantizaría el no repudio de las transacciones electrónicas?
A. Autenticación de dos factores
B. Reacreditaciones periódicas
C. Certificados de terceros
D. Acuse de recibo
Ver respuesta
Respuesta correcta: C
Cuestionar #147
La razón MÁS importante para realizar evaluaciones de riesgos periódicas es que:
A. las evaluaciones de riesgos no siempre son precisas
B. los riesgos de seguridad están sujetos a cambios frecuentes
C. los revisores pueden optimizar y reducir el coste de los controles
D. demuestra a la alta dirección que la función de seguridad puede aportar valor añadido
Ver respuesta
Respuesta correcta: B
Cuestionar #148
Al realizar un análisis de riesgos de la información, un responsable de seguridad de la información debería PRIMERO:
A. establecer la propiedad de los activos
B. evaluar los riesgos para los activos
C. realizar un inventario de activos
D. clasificar los activos
Ver respuesta
Respuesta correcta: C
Cuestionar #149
¿Qué mecanismos se utilizan para identificar las deficiencias que podrían ofrecer a los atacantes la oportunidad de poner en peligro un sistema informático?
A. Análisis del impacto en las empresas
B. Análisis de las deficiencias de seguridad
C. Métricas de rendimiento del sistema
D. Procesos de respuesta a incidentes
Ver respuesta
Respuesta correcta: B
Cuestionar #150
Un programa de seguridad de la información debe estar patrocinado por:
A. gestión de infraestructuras
B. el departamento de auditoría de la empresA
C. propietarios de procesos empresariales clave
D. gestión de la seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #151
¿Cuál de las siguientes áreas es MÁS susceptible a la introducción de debilidades de seguridad?
A. Gestión de bases de datos
B. Gestión de copias de seguridad en cinta
C. Gestión de la configuración
D. Gestión de la respuesta a incidentes
Ver respuesta
Respuesta correcta: C
Cuestionar #152
¿Quién puede ser el MEJOR defensor del desarrollo de un programa de seguridad de la información y garantizar su éxito?
A. Auditor interno
B. Director de Operaciones (COO)
C. Comité de dirección
D. Gestión informática
Ver respuesta
Respuesta correcta: C
Cuestionar #153
En la aplicación de la gobernanza de la seguridad de la información, el responsable de la seguridad de la información es PRIMARIAMENTE responsable de:
A. desarrollo de la estrategia de seguridad
B. revisar la estrategia de seguridad
C. comunicar la estrategia de seguridad
D. aprobar la estrategia de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #154
El control de acceso a una aplicación sensible de la intranet por parte de usuarios móviles puede implementarse mediante BEST:
A. encriptación de datos
B. firmas digitales
C. contraseñas seguras
D. autenticación de dos factores
Ver respuesta
Respuesta correcta: D
Cuestionar #155
Debido a limitaciones presupuestarias, una aplicación informática interna no incluye los controles necesarios para cumplir un acuerdo de nivel de servicio (SLA) con un cliente. ¿Cuál de las siguientes es la MEJOR medida que puede tomar el responsable de seguridad de la información?
A. Informar al departamento jurídico de la deficienciA
B. Analizar e informar del problema a la alta dirección
C. Exigir al propietario de la aplicación que aplique los controles
D. Evaluar y presentar los riesgos al propietario de la aplicación
Ver respuesta
Respuesta correcta: D
Cuestionar #156
¿Cuál de las siguientes es la MEJOR defensa contra un ataque de fuerza bruta?
A. Control de acceso discrecional
B. Bloqueo por detección de intrusos
C. Restricciones horarias
D. Control de acceso obligatorio
Ver respuesta
Respuesta correcta: C
Cuestionar #157
El protocolo MEJOR para garantizar la confidencialidad de las transmisiones en una aplicación web financiera de empresa a cliente (B2C) es:
A. Capa de sockets seguros (SSL)
B. Secure Shell (SSH)
C. Seguridad IP (IPSec)
D. Extensiones de Correo de Internet Seguro/Multipropósito (S/MIME )
Ver respuesta
Respuesta correcta: A
Cuestionar #158
¿Cuál de las siguientes opciones es la MÁS importante a la hora de evaluar el valor de la información?
A. La pérdida financiera potencial
B. El coste de recrear la información
C. El coste de la cobertura del seguro
D. Exigencia reglamentaria
Ver respuesta
Respuesta correcta: A
Cuestionar #159
Cuando una organización contrata a un nuevo responsable de seguridad de la información, ¿cuál de los siguientes objetivos debe perseguir esta persona PRIMERO?
A. Desarrollar una arquitectura de seguridad
B. Establecer una buena comunicación con los miembros del comité directivo
C. Reunir un personal experimentado
D. Organizaciones homólogas de referencia
Ver respuesta
Respuesta correcta: B
Cuestionar #160
Una ventaja de los programas antivirus basados en la detección de cambios es que tienen:
A. la posibilidad de detectar cepas víricas actuales y futuras
B. un directorio más flexible de firmas virales
C. actualizarse con menos frecuencia que los monitores de actividad
D. la mayor probabilidad de evitar falsas alarmas
Ver respuesta
Respuesta correcta: A
Cuestionar #161
¿Cuál de los siguientes puntos debe incluirse PRIMARIAMENTE en un programa de formación en seguridad para propietarios de procesos empresariales?
A. Impacto de los riesgos de seguridad
B. Vulnerabilidades de las aplicaciones
C. Tiempo de recuperación de la aplicación
D. Lista de incidentes de seguridad notificados
Ver respuesta
Respuesta correcta: A
Cuestionar #162
¿Cuál de los siguientes es el MEJOR enfoque para identificar problemas de incumplimiento de los requisitos legales, reglamentarios y contractuales?
A. Evaluación de riesgos
B. Análisis del impacto en la empresa (BIA)
C. Evaluación de la vulnerabilidad
D. Análisis de carencias
Ver respuesta
Respuesta correcta: D
Cuestionar #163
Durante una revisión para aprobar un plan de pruebas de penetración, ¿cuál de las siguientes debe ser la preocupación PRIMARIA de un responsable de seguridad de la información?
A. Desviación del alcance del equipo de pruebas de penetración
B. Acceso no autorizado a utilidades administrativas
C. Falsas alarmas positivas al personal de operaciones
D. Impacto en los sistemas de producción
Ver respuesta
Respuesta correcta: D
Cuestionar #164
¿Cuál de las siguientes sería la información MÁS importante que habría que incluir en un estudio de viabilidad de un proyecto de seguridad de la información en un sector muy regulado?
A. Evaluación del riesgo de incumplimiento
B. Conclusiones críticas de la auditoría
C. Análisis comparativo del sector
D. Número de incidentes de seguridad notificados
Ver respuesta
Respuesta correcta: A
Cuestionar #165
¿Cuál de las siguientes es la MEJOR métrica para evaluar la eficacia de un mecanismo de detección de intrusos?
A. Número de ataques detectados
B. Número de ataques con éxito
C. Relación entre falsos positivos y falsos negativos
D. Proporción de ataques con éxito frente a ataques sin éxito
Ver respuesta
Respuesta correcta: C
Cuestionar #166
Una organización está desarrollando un plan de recuperación ante desastres para un centro de datos que aloja múltiples aplicaciones. La secuencia de recuperación de aplicaciones BEST se determinaría mediante un análisis de:
A. Indicadores clave de rendimiento (KPI)
B. Objetivos de tiempo de recuperación (RTO)
C. Objetivos de punto de recuperación (OPR)
D. Esquema de clasificación de datos
Ver respuesta
Respuesta correcta: B
Cuestionar #167
¿Cuál de los siguientes es el PRIMER paso en el desarrollo de un plan de continuidad de negocio (BCP)?
A. Identificar las aplicaciones con los objetivos de tiempo de recuperación (RTO) más cortos
B. Determinar la estrategia de recuperación de la empresa
C. Identificar los procesos empresariales críticos
D. Determinar los recursos disponibles
Ver respuesta
Respuesta correcta: C
Cuestionar #168
¿Cuál de las siguientes opciones sería la MEJOR forma de que una empresa redujera el riesgo de pérdida de datos como consecuencia del acceso al sistema de correo electrónico corporativo por parte de dispositivos propiedad de los empleados?
A. Vincular la política de "traiga su propio dispositivo" (BYOD) a la política disciplinaria del personal existente
B. Exigir a los empleados que reciban formación antes de permitirles el acceso al servicio de correo electrónico corporativo
C. Exigir a los empleados que instalen una solución antivirus móvil de confianza en sus dispositivos personales
D. Utilizar una solucion de gestion de dispositivos moviles (MDM) para aislar el almacenamiento local de correo electronico corporativo
Ver respuesta
Respuesta correcta: D
Cuestionar #169
Las tecnologías de seguridad deben seleccionarse PRIMARIAMENTE en función de su:
A. capacidad para mitigar los riesgos empresariales
B. evaluaciones en publicaciones especializadas
C. uso de tecnologías nuevas y emergentes
D. beneficios en comparación con sus costes
Ver respuesta
Respuesta correcta: A
Cuestionar #170
¿Cuál de las siguientes opciones ayudaría MEJOR a garantizar que el programa de seguridad de una organización está alineado con los objetivos empresariales?
A. Las políticas de seguridad son revisadas y aprobadas por el director de información
B. La estrategia de seguridad es revisada y aprobada por el comité ejecutivo de la organización
C. La junta directiva de la organización cuenta con un especialista en seguridad de la información
D. Los jefes de proyecto reciben una formación anual de concienciación sobre la seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #171
¿Cuál de los siguientes es el MEJOR indicador del éxito de una intrusión externa en los sistemas informáticos?
A. Uso inesperado de protocolos dentro de la DMZ
B. Aumento inesperado de URL malformadas
C. Disminución del número de fallos de inicio de sesión
D. Picos en el número de fallos de inicio de sesión
Ver respuesta
Respuesta correcta: A
Cuestionar #172
¿Cuál de los siguientes puntos debe establecer PRIMERO un responsable de seguridad de la información para garantizar que las actividades relacionadas con la seguridad se supervisan adecuadamente?
A. Canales internos de información
B. Responsabilidad de las funciones de seguridad
C. Evaluaciones de seguridad programadas
D. Revisiones periódicas de los registros del sistema informático
Ver respuesta
Respuesta correcta: A
Cuestionar #173
La función MÁS importante de un programa de gestión de riesgos es:
A. cuantificar el riesgo global
B. minimizar el riesgo residual
C. eliminar el riesgo inherente
D. maximizar la suma de todas las expectativas de pérdidas anualizadas (ALE)
Ver respuesta
Respuesta correcta: B
Cuestionar #174
A la hora de determinar un nivel de riesgo aceptable, ¿cuál de las siguientes es la consideración MÁS importante?
A. Puntos críticos del sistema
B. Puntuaciones de vulnerabilidad
C. Matrices de riesgo
D. Perfiles de amenaza
Ver respuesta
Respuesta correcta: A
Cuestionar #175
¿Quién estaría en MEJOR posición para determinar el objetivo de punto de recuperación (OPR) de las aplicaciones empresariales?
A. Coordinador de continuidad de las actividades
B. Director de Operaciones (COO)
C. Responsable de seguridad de la información
D. Auditoría interna
Ver respuesta
Respuesta correcta: B
Cuestionar #176
Al elaborar un plan de continuidad de negocio para toda la empresa, se descubre que hay dos líneas de sistemas empresariales distintas que podrían verse afectadas por la misma amenaza. ¿Cuál de los siguientes es el MEJOR método para determinar la prioridad de recuperación del sistema en caso de desastre?
A. Evaluación del coste asociado a la interrupción de cada sistema
B. Revisión de los planes de negocio de cada departamento
C. Comparación de los objetivos de punto de recuperación (OPR)
D. Revisión de los indicadores clave de rendimiento (KPI) de cada sistema
Ver respuesta
Respuesta correcta: A
Cuestionar #177
¿Cuál es la MEJOR manera de asegurarse de que los programadores contratados cumplen las políticas de seguridad de la organización?
A. Hacer referencia explícita a los contratistas en las normas de seguridad
B. Hacer que los contratistas reconozcan por escrito las políticas de seguridad
C. Establecer sanciones por incumplimiento en el acuerdo de contratación
D. Realizar revisiones periódicas de la seguridad de los contratistas
Ver respuesta
Respuesta correcta: D
Cuestionar #178
¿Cuál de las siguientes es la MEJOR manera de crear una cultura consciente del riesgo?
A. ambiar periódicamente los mensajes de concienciación sobre los riesgos
B. arantizar que las amenazas se comunican oportunamente a toda la organización
C. Comprobar periódicamente el cumplimiento de los controles de seguridad y publicar los resultados
D. stablecer incentivos y un canal para que el personal informe de los riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #179
Un responsable de seguridad de la información está desarrollando una nueva estrategia de seguridad de la información. ¿Cuál de las siguientes funciones sería el MEJOR recurso para revisar la estrategia y proporcionar orientación para la alineación empresarial?
A. Auditoría interna
B. El comité de dirección
C. El servicio jurídico
D. El consejo de administración
Ver respuesta
Respuesta correcta: B
Cuestionar #180
Al desarrollar un plan de pruebas de mesa para pruebas de respuesta a incidentes, el propósito PRIMARIO del escenario debe ser:
A. dar a la empresa una medida de la preparación general de la organización
B. proporcionar a los participantes situaciones que garanticen la comprensión de sus funciones
C. medir el compromiso de la dirección como parte de un equipo de respuesta a incidentes
D. desafiar al equipo de respuesta a incidentes a resolver el problema bajo presión
Ver respuesta
Respuesta correcta: C
Cuestionar #181
Un programa de seguridad de la información debe establecerse PRIMARIAMENTE sobre la base de:
A. la estrategia de seguridad de la información aprobadA
B. el enfoque de gestión de riesgos aprobado
C. requisitos reglamentarios en materia de seguridad de los datos
D. aportaciones de la alta dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #182
¿Cuál de los siguientes pasos de la evaluación de riesgos debe realizarse PRIMERO?
A. Activos empresariales de identidad
B. Identificar los riesgos empresariales
C. Evaluar las vulnerabilidades
D. Evaluar los controles clave
Ver respuesta
Respuesta correcta: A
Cuestionar #183
Auditoría interna ha informado de una serie de problemas de seguridad de la información que no cumplen los requisitos normativos. ¿Qué debe hacer PRIMERO el responsable de seguridad de la información?
A. Crear una excepción de seguridad
B. Realizar una evaluación de la vulnerabilidad
C. Realizar un análisis de carencias para determinar los recursos necesarios
D. Evaluar el riesgo para las operaciones comerciales
Ver respuesta
Respuesta correcta: C
Cuestionar #184
El riesgo aceptable se alcanza cuando:
A. se minimiza el riesgo residual
B. se minimiza el riesgo transferido
C. se minimiza el riesgo de control
D. se minimiza el riesgo inherente
Ver respuesta
Respuesta correcta: A
Cuestionar #185
¿Cuál de las siguientes es la MEJOR manera de determinar si un programa de seguridad de la información se ajusta al gobierno corporativo?
A. Evaluar la financiación de las iniciativas de seguridad
B. Encuesta a los usuarios finales sobre gobierno corporativo
C. Revisar las políticas de seguridad de la información
D. Revisar el cuadro de mando integral
Ver respuesta
Respuesta correcta: C
Cuestionar #186
Al evaluar proveedores para el tratamiento de datos sensibles, ¿cuál de los siguientes debe ser el PRIMER paso para garantizar que se proporciona el nivel correcto de seguridad de la información?
A. Incluir cláusulas de seguridad de la información en el contrato con el proveedor
B. Examinar los informes de terceros sobre posibles proveedores
C. Incluir criterios de seguridad de la información como parte de la selección de proveedores
D. Desarrollar parámetros para medir el rendimiento de los proveedores
Ver respuesta
Respuesta correcta: C
Cuestionar #187
¿Cuál de las siguientes opciones es la MEJOR para garantizar el éxito de la gobernanza de la seguridad de la información en una organización?
A. Los comités directores aprueban los proyectos de seguridad
B. Formación sobre política de seguridad impartida a todos los directivos
C. Formación sobre seguridad disponible para todos los empleados en la intranet
D. Los comités directivos velan por el cumplimiento de las leyes y reglamentos
Ver respuesta
Respuesta correcta: A
Cuestionar #188
A la hora de identificar las cuestiones legales y reglamentarias que afectan a la seguridad de la información, ¿cuál de las siguientes opciones representaría el MEJOR enfoque para desarrollar políticas de seguridad de la información?
A. Crear políticas separadas para cada reglamento
B. Elaborar políticas que cumplan todos los requisitos obligatorios
C. Incorporar las declaraciones políticas de los reguladores
D. Desarrollar una evaluación de riesgos de cumplimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #189
Para garantizar un control adecuado de la información tratada en los sistemas informáticos, las salvaguardias de seguridad deben basarse PRINCIPALMENTE en:
A. directrices establecidas
B. criterios coherentes con los niveles de clasificación
C. consideraciones técnicas eficientes para el tratamiento
D. capacidad general de TI y limitaciones operativas
Ver respuesta
Respuesta correcta: A
Cuestionar #190
Una organización tiene un programa aprobado de "traiga su propio dispositivo" (BYOD). Cuál de los siguientes es el método MÁS eficaz para imponer el control de aplicaciones en los dispositivos personales?
A. Establecer una política de uso aceptable de los dispositivos móviles
B. Implantar una solución de gestión de dispositivos móviles
C. Educar a los usuarios sobre el uso de aplicaciones aprobadas
D. Implementar un firewall de aplicaciones web
Ver respuesta
Respuesta correcta: B
Cuestionar #191
¿En cuál de los siguientes sitios debería estar ubicado generalmente un servidor web de cumplimiento de pedidos de comercio electrónico?
A. Red interna
B. Zona desmilitarizada (DMZ)
C. Servidor de base de datos
D. Controlador de dominio
Ver respuesta
Respuesta correcta: B
Cuestionar #192
¿Cuál sería la MEJOR actuación de un responsable de seguridad de la información cuando se le notifica que la implantación de algunos controles de seguridad se está retrasando debido a limitaciones presupuestarias?
A. Priorizar los controles de seguridad en función del riesgo
B. Solicitar una excepción presupuestaria para los controles de seguridad
C. Iniciar el proceso de aceptación del riesgo
D. Sugerir controles de seguridad alternativos menos costosos
Ver respuesta
Respuesta correcta: A
Cuestionar #193
A un responsable de seguridad de la información se le pide que haga una breve presentación sobre la situación actual de los riesgos informáticos de la organización ante el consejo de administración. ¿Cuál de las siguientes opciones sería la MÁS eficaz para incluir en esta presentación?
A. Mapa de riesgos
B. Resultados del análisis de carencias
C. Resultados de la evaluación de amenazas
D. Registro de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #194
Al realizar un análisis de riesgos cualitativo, ¿cuál de las siguientes opciones es la MEJOR para obtener resultados fiables?
A. Pérdidas de productividad estimadas
B. Posibles escenarios con amenazas e impactos
C. Valor de los activos de información
D. Evaluación de la vulnerabilidad
Ver respuesta
Respuesta correcta: B
Cuestionar #195
¿Cuál de las siguientes es la MEJOR forma de que un responsable de seguridad de la información identifique el cumplimiento de las políticas de seguridad de la información dentro de una organización?
A. Analizar los registros del sistemA
B. Realizar pruebas de concienciación en materia de seguridad
C. Realizar evaluaciones de vulnerabilidad
D. Realizar auditorías periódicas
Ver respuesta
Respuesta correcta: D
Cuestionar #196
Al hablar con el departamento de recursos humanos de una organización sobre la seguridad de la información, un responsable de seguridad de la información debe centrarse en la necesidad de:
A. un presupuesto adecuado para el programa de seguridad
B. contratación de empleados técnicos informáticos
C. evaluaciones periódicas de los riesgos
D. formación sobre concienciación en materia de seguridad para los empleados
Ver respuesta
Respuesta correcta: D
Cuestionar #197
¿Cuál de las siguientes representa un área de interés PRIMARIA al realizar una prueba de penetración?
A. Extracción de datos
B. Cartografía de la red
C. Sistema de detección de intrusiones (IDS)
D. Datos del cliente
Ver respuesta
Respuesta correcta: B
Cuestionar #198
En una organización, la seguridad de los sistemas de información es responsabilidad de:
A. todo el personal
B. personal de sistemas de información
C. personal de seguridad de los sistemas de información
D. personal funcional
Ver respuesta
Respuesta correcta: A
Cuestionar #199
¿Cuál de las siguientes características es la MÁS importante para un banco en un sistema de transacciones financieras en línea de alto valor?
A. Identificación
B. Confidencialidad
C. Autenticación
D. Control de auditoría
Ver respuesta
Respuesta correcta: B
Cuestionar #200
Un responsable de seguridad de la información se entera de la existencia de una nueva norma internacional relacionada con la seguridad de la información. ¿Cuál de las siguientes medidas sería la MEJOR?
A. Revisar las respuestas de los homólogos del sector a la nueva normA
B. Consultar con un asesor jurídico la aplicabilidad de la norma a la reglamentación
C. Determinar si la organización puede beneficiarse de la adopción de la nueva normA
D. Realizar un análisis de las diferencias entre la nueva norma y las prácticas existentes
Ver respuesta
Respuesta correcta: C
Cuestionar #201
Cuando los mensajes se cifran y firman digitalmente para proteger los documentos transferidos entre socios comerciales, la MAYOR preocupación es que:
A. los socios comerciales pueden repudiar la transmisión de mensajes
B. los hackers pueden espiar los mensajes
C. los socios comerciales pueden repudiar la recepción de mensajes
D. los hackers pueden introducir mensajes falsos
Ver respuesta
Respuesta correcta: D
Cuestionar #202
¿Cuál de los siguientes mensajes sería el MÁS eficaz para obtener el compromiso de la alta dirección con la gestión de la seguridad de la información?
A. Una seguridad eficaz elimina riesgos para la empresa
B. Adoptar un marco reconocido con métricas
C. La seguridad es un producto empresarial y no un proceso
D. La seguridad apoya y protege a la empresa
Ver respuesta
Respuesta correcta: A
Cuestionar #203
El acuerdo de nivel de servicio (SLA) para una función de TI externalizada no refleja un nivel de protección adecuado. En esta situación, un responsable de seguridad de la información debería:
A. garantizar que el proveedor sea responsable de las pérdidas
B. recomendar que no se renueve el contrato a su vencimiento
C. recomendar la rescisión inmediata del contrato
D. determinar el nivel de seguridad actual
Ver respuesta
Respuesta correcta: D
Cuestionar #204
A la hora de evaluar el riesgo, lo MÁS esencial es:
A. proporcionar la misma cobertura para todos los tipos de activos
B. utilizar datos de referencia de organizaciones similares
C. considerar tanto el valor monetario como la probabilidad de pérdidA
D. centrarse principalmente en las amenazas y las pérdidas empresariales recientes
Ver respuesta
Respuesta correcta: C
Cuestionar #205
El PRIMER paso para desarrollar un programa de gestión de la seguridad de la información es:
A. identificar los riesgos empresariales que afectan a la organización
B. aclarar el propósito de la organización para crear el programA
C. asignar la responsabilidad del programA
D. evaluar la adecuación de los controles para mitigar los riesgos empresariales
Ver respuesta
Respuesta correcta: B
Cuestionar #206
¿Cuál de las siguientes es la MEJOR manera de que la alta dirección demuestre su compromiso con una estrategia eficaz de seguridad de la información?
A. Nombrar al máximo responsable de la seguridad de la información, que dependerá del Director General
B. Comunicar el apetito y la tolerancia al riesgo de la organización
C. Aprobación de un programa global de gestión de riesgos
D. Asignación de recursos adecuados para la seguridad de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #207
Ha llegado a conocimiento de un responsable de seguridad de la información una nueva normativa para salvaguardar la información procesada por un tipo específico de transacción. El responsable debe PRIMERO:
A. reunirse con las partes interesadas para decidir cómo cumplir
B. analizar los riesgos clave en el proceso de cumplimiento
C. evaluar si los controles existentes cumplen la normativA
D. actualizar la política de seguridad/privacidad existente
Ver respuesta
Respuesta correcta: C
Cuestionar #208
Desde el punto de vista de la seguridad de la información, la información que ya no sirva para el objetivo principal de la empresa debe eliminarse:
A. analizados según la política de retención
B. protegidos por la política de clasificación de la información
C. analizado bajo la política de copias de seguridad
D. protegidos en virtud del análisis de impacto empresarial (BIA)
Ver respuesta
Respuesta correcta: A
Cuestionar #209
¿Cuál de los siguientes requisitos tendría el nivel más bajo de prioridad en la seguridad de la información?
A. Técnico
B. Reglamentación
C. Privacidad
D. Negocios
Ver respuesta
Respuesta correcta: A
Cuestionar #210
¿Para cuál de las siguientes opciones es MÁS importante que los administradores del sistema tengan restringido el acceso a sólo lectura?
A. Perfiles de usuario administrador
B. Opciones de registro del sistema
C. Archivos de registro de acceso de usuarios
D. Archivos de registro del administrador
Ver respuesta
Respuesta correcta: D
Cuestionar #211
El componente MÁS importante de una política de privacidad es:
A. notificaciones
B. Garantías
C. pasivos
D. cobertura geográficA
Ver respuesta
Respuesta correcta: A
Cuestionar #212
¿Cuál de las siguientes medidas sería la MÁS eficaz contra las amenazas internas a la información confidencial?
A. Control de acceso basado en roles
B. Control de la pista de auditoría
C. Política de privacidad
D. Defensa en profundidad
Ver respuesta
Respuesta correcta: A
Cuestionar #213
¿Cuál de las siguientes es una responsabilidad PRIMARIA de un comité directivo de seguridad de la información?
A. Revisión de la estrategia de seguridad de la información
B. Aprobación de la estrategia de formación en materia de seguridad de la información
C. Análisis de las revisiones del cumplimiento de la política de seguridad de la información
D. Aprobar la adquisición de tecnologías de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #214
¿Cuál sería la MEJOR recomendación de un responsable de seguridad de la información al enterarse de que un contrato existente con un tercero no identifica claramente los requisitos para salvaguardar los datos críticos de la organización?
A. Crear una adenda al contrato existente
B. Anular el contrato de externalización
C. Transferir el riesgo al proveedor
D. Iniciar una auditoria externa del centro de datos del proveedor
Ver respuesta
Respuesta correcta: A
Cuestionar #215
Antes de que un tercero realice una prueba de ataque y penetración contra una organización, la acción MÁS importante es asegurarse de que:
A. el tercero realiza una demostración en un sistema de pruebA
B. las metas y los objetivos están claramente definidos
C. se ha informado al personal técnico de lo que cabe esperar
D. se realizan copias de seguridad especiales de los servidores de producción
Ver respuesta
Respuesta correcta: B
Cuestionar #216
¿Cuál de las siguientes es la ventaja PRIMARIA de la comprobación documental de un plan de continuidad de negocio (PCN)?
A. Evalúa la disponibilidad y compatibilidad de un hardware de copia de seguridad
B. Permite una mayor participación de la dirección y del departamento informático
C. Garantizar que se realiza un seguimiento adecuado de los problemas detectados
D. Proporciona un método de bajo coste para evaluar la integridad del PBC
Ver respuesta
Respuesta correcta: C
Cuestionar #217
¿Cuál de las siguientes opciones es la MÁS probable?
A. Disminución de los incidentes de intrusión
B. Aumento de los incidentes notificados
C. Disminución de los cambios en la política de seguridad
D. Aumento de las infracciones de las normas de acceso
Ver respuesta
Respuesta correcta: B
Cuestionar #218
Las políticas eficaces de seguridad de la información deben desarrollarse PRIMARIAMENTE en base a:
A. buenas prácticas del sector
B. el coste de la aplicación
C. el perfil de riesgo de la organización
D. la facilidad de aplicación
Ver respuesta
Respuesta correcta: C
Cuestionar #219
¿Cuál de las siguientes es la razón MÁS importante para realizar una revisión de la seguridad de la información en los contratos? Para ayudar a garantizar que:
A. las partes del acuerdo pueden cumplirlo
B. los datos confidenciales no se incluyen en el acuerdo
C. se incluyen controles adecuados
D. el derecho de auditoría es un requisito
Ver respuesta
Respuesta correcta: C
Cuestionar #220
¿Cuál de los siguientes es el MEJOR método o técnica para garantizar la aplicación eficaz de un programa de seguridad de la información?
A. Obtener el apoyo del consejo de administración
B. Mejorar el contenido del programa de concienciación sobre seguridad de la información
C. Mejorar el conocimiento de las políticas de seguridad por parte de los empleados
D. Implantar controles de acceso lógico a los sistemas de información
Ver respuesta
Respuesta correcta: A
Cuestionar #221
¿Cuál de los siguientes es el resultado MÁS útil de un análisis de riesgos para la seguridad de la información?
A. Informe de análisis del impacto en la empresa (BIA)
B. Lista de medidas para mitigar el riesgo
C. Asignación de riesgos a los responsables de los procesos
D. Cuantificación del riesgo organizativo
Ver respuesta
Respuesta correcta: B
Cuestionar #222
A la hora de diseñar un informe trimestral de seguridad de la información para la dirección, el elemento MÁS importante a tener en cuenta debe ser el:
A. métricas de seguridad de la información
B. conocimientos necesarios para analizar cada cuestión
C. vinculación con los objetivos del área de negocio
D. referencia con respecto a la cual se evalúan las métricas
Ver respuesta
Respuesta correcta: C
Cuestionar #223
¿Cuál de los siguientes es el método MÁS eficaz para evaluar la eficacia de un programa de concienciación en materia de seguridad?
A. Revisión posterior al incidente
B. Prueba de ingeniería social
C. Exploración de vulnerabilidades
D. Prueba de mesa
Ver respuesta
Respuesta correcta: B
Cuestionar #224
Una empresa ha desarrollado recientemente una tecnología revolucionaria. Dado que esta tecnología podría proporcionar a la empresa una importante ventaja competitiva, ¿cuál de las siguientes opciones regiría PRIMERO la forma de proteger esta información?
A. Política de control de acceso
B. Política de clasificación de datos
C. Normas de cifrado
D. Política de uso aceptable
Ver respuesta
Respuesta correcta: B
Cuestionar #225
¿Cuál de las siguientes es una responsabilidad PRIMARIA de un comité de gobierno de la seguridad de la información?
A. Análisis de las revisiones del cumplimiento de la política de seguridad de la información
B. Aprobar la adquisición de tecnologías de seguridad de la información
C. Revisión de la estrategia de seguridad de la información
D. Aprobación de la estrategia de formación en materia de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #226
¿Cuál de las siguientes opciones es la MÁS eficaz para proteger las redes inalámbricas como punto de entrada a una red corporativa?
A. Enrutador límite
B. Cifrado fuerte
C. Cortafuegos orientado a Internet
D. Sistema de detección de intrusiones (IDS)
Ver respuesta
Respuesta correcta: B
Cuestionar #227
Se ha identificado un problema de cumplimiento normativo en una aplicación empresarial crítica, pero su solución afectaría significativamente a las operaciones de la empresa. ¿Qué información BEST permitiría a la alta dirección tomar una decisión informada?
A. Análisis de impacto y opciones de tratamiento
B. Costes asociados a los controles compensatorios
C. Puntos de referencia y mejores prácticas del sector
D. Resultados de la evaluación de riesgos y recomendaciones
Ver respuesta
Respuesta correcta: A
Cuestionar #228
¿Cuál de las siguientes opciones demuestra MEJOR que se están cumpliendo los objetivos de un marco de gobernanza de la seguridad de la información?
A. Cuadro de riesgos
B. Indicadores clave de rendimiento (KPI)
C. Resultados de las pruebas de penetración
D. Cuadro de mando integral
Ver respuesta
Respuesta correcta: D
Cuestionar #229
¿Cuál de las siguientes es la MEJOR justificación para convencer a la dirección de que invierta en un programa de seguridad de la información?
A. Reducción de costes
B. Cumplimiento de las políticas de la empresa
C. Protección del patrimonio empresarial
D. Aumento del valor empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #230
Durante la restauración de varios servidores, un proceso crítico que da servicio a clientes externos se restauró tarde debido a un fallo, lo que provocó una pérdida de ingresos. ¿Cuál de las siguientes opciones habría sido la MEJOR para evitarlo?
A. Validación de la tolerancia al riesgo de la alta dirección
B. Actualizaciones del análisis de impacto empresarial (BIA)
C. Pruebas más eficaces del plan de recuperación en caso de catástrofe (DRP)
D. Mejoras en los métodos de identificación de incidentes
Ver respuesta
Respuesta correcta: D
Cuestionar #231
Cuando la dirección cambia la estrategia de negocio de la empresa, ¿cuál de los siguientes procesos debe utilizarse para evaluar los controles de seguridad de la información existentes, así como para seleccionar nuevos controles de seguridad de la información?
A. Gestión de riesgos
B. Gestión del cambio
C. Gestión del control de acceso
D. Gestión de la configuración
Ver respuesta
Respuesta correcta: A
Cuestionar #232
La contribución del objetivo de punto de recuperación (OPR) a la recuperación en caso de catástrofe consiste en:
A. definir la estrategia de copia de seguridad
B. eliminar los puntos únicos de fallo
C. reducir el tiempo medio entre fallos (MTBF)
D. minimizar el periodo de interrupción
Ver respuesta
Respuesta correcta: D
Cuestionar #233
¿Cuál de las siguientes debe ser la PRIMERA actuación de un responsable de seguridad de la información tras la decisión de implantar una nueva tecnología?
A. Determinar los controles de seguridad necesarios para soportar la nueva tecnologíA
B. Realizar un análisis del impacto en la empresa (BIA) de la nueva tecnologíA
C. Realizar un análisis del rendimiento de la inversión (ROI) de la nueva tecnologíA
D. Determinar si la nueva tecnología cumplirá los requisitos reglamentarios
Ver respuesta
Respuesta correcta: B
Cuestionar #234
Cuando la dirección cambia la estrategia de negocio de la empresa, ¿cuál de los siguientes procesos debe utilizarse para evaluar los controles de seguridad de la información existentes, así como para seleccionar nuevos controles de seguridad de la información?
A. estión del control de acceso
B. Gestión del cambio
C. Gestión de la configuración
D. Gestión de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #235
¿Cuál de las siguientes opciones es la MÁS eficaz para que una organización se asegure de que sus proveedores de servicios externos conocen los requisitos y las expectativas en materia de seguridad de la información?
A. Auditoría de la prestación de servicios de terceros proveedores
B. Inclusión de cláusulas de seguridad de la información en los contratos
C. Impartir formación sobre seguridad de la información al personal de terceros
D. Exigir a terceros que firmen acuerdos de confidencialidad
Ver respuesta
Respuesta correcta: B
Cuestionar #236
¿Cuál es el elemento MÁS importante que debe incluirse en una política de seguridad de la información?
A. Definición de funciones y responsabilidades
B. Alcance del programa de seguridad
C. Objetivos clave del programa de seguridad
D. Referencia a los procedimientos y normas del programa de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #237
Tras una adquisición reciente, se ha pedido a un responsable de seguridad de la información que aborde el riesgo pendiente notificado al principio del proceso de adquisición. ¿Cuál de las siguientes opciones sería la MEJOR forma de proceder?
A. Añadir el riesgo pendiente al registro de riesgos de la organización adquirente
B. Reevaluar el riesgo pendiente de la empresa adquiridA
C. Reevaluar el plan de tratamiento del riesgo pendiente
D. Realizar una evaluación de la vulnerabilidad de la infraestructura de la empresa adquiridA
Ver respuesta
Respuesta correcta: B
Cuestionar #238
La responsabilidad de seguridad de los custodios de datos en una organización incluirá:
A. asumir la protección global de los activos de información
B. determinar los niveles de clasificación de los datos
C. implantar controles de seguridad en los productos que instalan
D. garantizar que las medidas de seguridad son coherentes con la políticA
Ver respuesta
Respuesta correcta: D
Cuestionar #239
Cuando una organización establece una relación con un proveedor externo de servicios informáticos, ¿cuál de los siguientes es uno de los temas MÁS importantes que debe incluirse en el contrato desde el punto de vista de la seguridad?
A. Cumplimiento de las normas internacionales de seguridad
B. Utilización de un sistema de autenticación de dos factores
C. Existencia de un hot site alternativo en caso de interrupción de la actividad
D. Cumplimiento de los requisitos de seguridad de la información de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #240
¿Cuál de las siguientes opciones define los requisitos mínimos de seguridad que debe cumplir un sistema específico?
A. Política de seguridad
B. Directriz de seguridad
C. Procedimiento de seguridad
D. Base de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #241
¿Cuál de las siguientes opciones es la MÁS eficaz para garantizar que el proceso de concesión de acceso a los nuevos empleados está normalizado y cumple los requisitos de seguridad de la organización?
A. Conceder autorización a sistemas individuales según sea necesario con la aprobación de la gestión de la seguridad de la información
B. Exigir a los responsables de las nuevas contrataciones que se encarguen de la configuración y el acceso a las cuentas durante la orientación de los empleados
C. Integrar la autorización y creación de cuentas en los procedimientos de incorporación de RRHH
D. Adoptar una plantilla estándar de niveles de acceso para todos los empleados que se promulgará en el momento de la contratación
Ver respuesta
Respuesta correcta: C
Cuestionar #242
¿Cuál de los siguientes elementos es el que MÁS contribuye a la aplicación eficaz de una estrategia de seguridad de la información?
A. Notificación de métricas de seguridad
B. Formación periódica sobre sensibilización en materia de seguridad
C. Respaldo de la alta dirección
D. Aplicación de las normas de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #243
¿Cuál de los siguientes debe ser el PRIMER paso para garantizar que un programa de seguridad de la información cumple los requisitos de la nueva normativa?
A. Validar el esquema de clasificación de activos
B. Integrar el cumplimiento en el proceso de gestión de riesgos
C. Evaluar los controles de seguridad de la organización
D. Realizar un análisis de deficiencias para determinar los cambios necesarios
Ver respuesta
Respuesta correcta: B
Cuestionar #244
¿Cuál de las siguientes opciones protegerá MEJOR los datos confidenciales al conectar grandes redes inalámbricas a una infraestructura de red por cable existente?
A. Filtrado obligatorio de direcciones de control de acceso (MAC)
B. Contraseñas seguras
C. Red privada virtual (VPN)
D. Cortafuegos
Ver respuesta
Respuesta correcta: A
Cuestionar #245
¿Cuál de los siguientes es el indicador MÁS FUERTE de una alineación efectiva entre el gobierno corporativo y el gobierno de la seguridad de la información?
A. La alta dirección patrocina los esfuerzos de seguridad de la información
B. La alta dirección solicita actualizaciones periódicas de la seguridad de la información
C. Los indicadores clave de rendimiento (KPI) para los controles evolucionan positivamente
D. Las iniciativas de seguridad de la información cumplen el alcance, el calendario y el presupuesto
Ver respuesta
Respuesta correcta: C
Cuestionar #246
Una organización global procesa y almacena grandes volúmenes de datos personales. ¿Cuál de los siguientes sería el atributo MÁS importante a la hora de crear una política de acceso a los datos?
A. Disponibilidad
B. Integridad
C. Fiabilidad
D. Confidencialidad
Ver respuesta
Respuesta correcta: D
Cuestionar #247
A la hora de desarrollar un marco de gobernanza de la seguridad de la información, ¿cuál de las siguientes sería la PRINCIPAL consecuencia de no contar con la participación de la alta dirección?
A. La responsabilidad del tratamiento de riesgos no está claramente definidA
B. Las responsabilidades en materia de seguridad de la información no se comunican eficazmente
C. No se tienen debidamente en cuenta las necesidades de recursos
D. Los planes de seguridad de la información no apoyan los requisitos empresariales
Ver respuesta
Respuesta correcta: C
Cuestionar #248
Un responsable de seguridad de la información está colaborando en la elaboración de la solicitud de propuesta (RFP) para un nuevo servicio externalizado. Esto requerirá que el tercero tenga acceso a información empresarial crítica. El responsable de seguridad debe centrarse PRIMARIAMENTE en definir:
A. métricas de seguridad
B. acuerdos de nivel de servicio (SLA)
C. metodologías de notificación de riesgos
D. requisitos de seguridad del proceso externalizado
Ver respuesta
Respuesta correcta: A
Cuestionar #249
Tras evaluar y mitigar los riesgos de una aplicación web, ¿quién debe decidir sobre la aceptación de los riesgos residuales de la aplicación?
A. Responsable de seguridad de la información
B. Director de Información (CIO)
C. Empresario
D. Director General (CFO)
Ver respuesta
Respuesta correcta: C
Cuestionar #250
¿Cuál de las siguientes opciones define los factores desencadenantes de un plan de continuidad de negocio (PCN)?
A. Plan de recuperación en caso de catástrofe
B. Necesidades de la organización
C. Análisis de carencias
D. Política de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #251
¿Cuál de las siguientes opciones sería la MÁS pertinente para incluir en un análisis coste-beneficio de un sistema de autenticación de dos factores?
A. Expectativa de pérdida anual (EAP) de incidentes
B. Frecuencia de los incidentes
C. Coste total de propiedad (TCO)
D. Presupuesto aprobado para el proyecto
Ver respuesta
Respuesta correcta: C
Cuestionar #252
¿Cuál de los siguientes riesgos está representado en el apetito de riesgo de una organización?
A. Control
B. Inherente
C. Residual
D. Auditoría
Ver respuesta
Respuesta correcta: C
Cuestionar #253
Cuando el equipo de respuesta a incidentes informáticos (CIRT) encuentra pruebas claras de que un pirata informático ha penetrado en la red corporativa y modificado información de clientes, un responsable de seguridad de la información debe notificarlo PRIMERO:
A. el comité directivo de seguridad de la información
B. clientes que pueden verse afectados
C. propietarios de datos que pueden verse afectados
D. organismos reguladores de la privacidad
Ver respuesta
Respuesta correcta: C
Cuestionar #254
¿Cuál de los siguientes es el objetivo PRIMARIO de un programa de gestión de riesgos?
A. Implantar controles preventivos contra las amenazas
B. Gestionar el impacto empresarial de los riesgos inherentes
C. Gestionar el cumplimiento de las políticas de la organización
D. Reducir el apetito de riesgo de la organización
Ver respuesta
Respuesta correcta: B
Cuestionar #255
Un programa de gestión de riesgos será MÁS eficaz cuando:
A. el apetito por el riesgo se mantiene durante mucho tiempo
B. las evaluaciones de riesgos se repiten periódicamente
C. la evaluación de riesgos la realiza un tercero
D. las unidades de negocio participan en la evaluación de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #256
Al preparar un plan de tratamiento de riesgos, ¿cuál de las siguientes es la consideración MÁS importante al revisar las opciones para mitigar el riesgo?
A. Análisis coste-beneficio
B. Aceptación del usuario
C. Análisis del impacto en la empresa (BIA)
D. Identificación del control
Ver respuesta
Respuesta correcta: A
Cuestionar #257
Un proveedor subcontratado gestiona los datos críticos de una organización. ¿Cuál de las siguientes opciones es la MÁS eficaz para que la organización cliente obtenga garantías de las prácticas de seguridad del proveedor?
A. Verificación de las certificaciones de seguridad del proveedor
B. Revisión de los informes de auditoría de seguridad del proveedor
C. Exigir revisiones periódicas por terceros independientes
D. Exigir planes de continuidad de negocio (BCP) al proveedor
Ver respuesta
Respuesta correcta: C
Cuestionar #258
La valoración de los activos informáticos debe ser realizada por:
A. un responsable de seguridad informáticA
B. un consultor de seguridad independiente
C. el director financiero (CFO)
D. el propietario de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #259
¿Cuál de las siguientes opciones garantiza, mediante criptografía de clave pública, la autenticación, confidencialidad y no repudio de un mensaje?
A. Cifrar primero con la clave privada del receptor y después con la clave pública del emisor
B. Cifrar primero con la clave privada del emisor y después con la clave pública del receptor
C. Cifrar primero con la clave privada del remitente y descifrar después con la clave pública del remitente
D. Cifrar primero con la clave pública del emisor y después con la clave privada del receptor
Ver respuesta
Respuesta correcta: B
Cuestionar #260
Una auditoría de control interno ha revelado una deficiencia de control relacionada con un sistema heredado en el que los controles compensatorios ya no parecen ser eficaces. ¿Cuál de las siguientes opciones ayudaría MEJOR al responsable de seguridad de la información a determinar los requisitos de seguridad para resolver la deficiencia de control?
A. Evaluación de riesgos
B. Análisis de carencias
C. Análisis coste-beneficio
D. Caso empresarial
Ver respuesta
Respuesta correcta: B
Cuestionar #261
Una organización ya está certificada conforme a una norma de seguridad internacional. ¿Qué mecanismo sería el MEJOR para adaptar aún más la organización a otros requisitos normativos de seguridad de datos en función de las nuevas necesidades empresariales?
A. Indicadores clave de rendimiento (KPI)
B. Análisis del impacto en la empresa (BIA)
C. Análisis de carencias
D. Evaluación técnica de la vulnerabilidad
Ver respuesta
Respuesta correcta: C
Cuestionar #262
¿Cuál de las siguientes opciones es la MÁS útil para la dirección a la hora de determinar si los riesgos están dentro del nivel de tolerancia de una organización?
A. Resultados de la auditoría
B. Mapa de calor
C. Resultados de las pruebas de penetración
D. Nivel de madurez
Ver respuesta
Respuesta correcta: B
Cuestionar #263
¿Cuál de los siguientes dispositivos debe colocarse dentro de una zona desmilitarizada (DMZ)?
A. Conmutador de red
B. Servidor web
C. Servidor de base de datos
D. Servidor de archivos/impresión
Ver respuesta
Respuesta correcta: B
Cuestionar #264
¿Cuál de los siguientes es el requisito PRIMARIO para implantar la clasificación de datos en una organización?
A. Definición de las funciones
B. Realización de una evaluación de riesgos
C. Identificación de los propietarios de los datos
D. Establecer políticas de conservación de datos
Ver respuesta
Respuesta correcta: C
Cuestionar #265
De los siguientes, el MEJOR método para garantizar que los empleados temporales no reciben derechos de acceso excesivos es:
A. controles de acceso obligatorios
B. controles de acceso discrecionales
C. controles de acceso basados en celosías
D. controles de acceso basados en roles
Ver respuesta
Respuesta correcta: D
Cuestionar #266
Los niveles aceptables de riesgo para la seguridad de la información deben determinarse mediante:
A. Asesoramiento jurídico
B. gestión de la seguridad
C. auditores externos
D. die steering committee
Ver respuesta
Respuesta correcta: D
Cuestionar #267
¿Cuál de los siguientes controles evitaría MEJOR el apagado accidental del sistema desde la consola o el área de operaciones?
A. Fuentes de alimentación redundantes
B. Cubiertas protectoras de los interruptores
C. Alarmas de parada
D. Lectores biométricos
Ver respuesta
Respuesta correcta: B
Cuestionar #268
Un responsable de SI ha decidido implantar un sistema de seguridad para controlar el acceso a Internet e impedir el acceso a numerosos sitios. Inmediatamente después de la instalación, los empleados se dirigen al servicio de asistencia de TI para quejarse de que no pueden realizar funciones empresariales en sitios de Internet. Esto es un ejemplo de:
A. Controles de seguridad en conflicto con las necesidades de la organización
B. fuerte protección de los recursos de información
C. aplicar controles adecuados para reducir el riesgo
D. demostrar la capacidad de protección de la seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #269
El objetivo PRIMARIO de la concienciación en materia de seguridad es:
A. asegurarse de que se comprenden las políticas de seguridad
B. influir en el comportamiento de los empleados
C. garantizar el cumplimiento legal y reglamentario
D. notificar las acciones por incumplimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #270
El uso MÁS eficaz de un registro de riesgos es:
A. identificar los riesgos y asignar funciones y responsabilidades para su mitigación
B. identificar amenazas y probabilidades
C. facilitar una revisión exhaustiva de todos los riesgos relacionados con las TI de forma periódicA
D. registrar el importe financiero anualizado de las pérdidas esperadas debidas a los riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #271
¿Cuál de las siguientes tendencias sería de MAYOR preocupación al revisar el rendimiento de los sistemas de detección de intrusos (IDS) de una organización?
A. Disminución de falsos negativos
B. Aumento de falsos positivos
C. Disminución de falsos positivos
D. Aumento de falsos negativos
Ver respuesta
Respuesta correcta: D
Cuestionar #272
¿Cuál de los siguientes objetivos de seguridad es el MEJOR para garantizar la protección de la información contra la divulgación no autorizada?
A. Autenticidad
B. Confidencialidad
C. No repudio
D. Integridad
Ver respuesta
Respuesta correcta: B
Cuestionar #273
En el desarrollo de una estrategia de seguridad de la información, los objetivos de tiempo de recuperación (RTO) servirán como indicadores de:
A. apoyo de la alta dirección
B. vulnerabilidades abiertas
C. tolerancias de riesgo
D. niveles de madurez
Ver respuesta
Respuesta correcta: C
Cuestionar #274
¿Cuál de las siguientes es una característica de la gestión descentralizada de la seguridad de la información en una organización geográficamente dispersa?
A. Más uniformidad en la calidad del servicio
B. Mejor cumplimiento de las políticas
C. Mejor adaptación a las necesidades de las unidades de negocio
D. Más ahorro en los costes totales de explotación
Ver respuesta
Respuesta correcta: C
Cuestionar #275
¿Cuál de las siguientes opciones demostraría MEJOR el valor añadido de un programa de seguridad de la información?
A. Líneas de base de seguridad
B. Un análisis DAFO
C. Un análisis de las carencias
D. Un cuadro de mando integral
Ver respuesta
Respuesta correcta: B
Cuestionar #276
Una organización multinacional ha desarrollado una política de "traiga su propio dispositivo" (BYOD) que requiere la instalación de software de gestión de dispositivos móviles (MDM) en los dispositivos de propiedad personal. ¿Cuál de las siguientes opciones plantea el MAYOR reto para su implantación?
A. Derechos variables de los trabajadores en materia de protección de datos
B. Traducción y comunicación de la política
C. Diferencias en las plataformas de los sistemas operativos móviles
D. Diferencias en las culturas empresariales
Ver respuesta
Respuesta correcta: C
Cuestionar #277
¿Cuál de los siguientes es el puesto MÁS apropiado para patrocinar el diseño y la implantación de una nueva infraestructura de seguridad en una gran empresa global?
A. Jefe de seguridad
B. Director de Operaciones (COO)
C. Responsable de privacidad (CPO)
D. Asesor jurídico jefe (CLC)
Ver respuesta
Respuesta correcta: B
Cuestionar #278
¿Cuál es el factor MÁS importante para implantar con éxito un programa de seguridad de la información en toda la empresa?
A. Estimaciones presupuestarias realistas
B. Concienciación en materia de seguridad
C. Apoyo de la alta dirección
D. Recálculo del factor trabajo
Ver respuesta
Respuesta correcta: C
Cuestionar #279
¿Cuál de los siguientes puntos DEBE establecerse antes de implantar un sistema de prevención de pérdida de datos (DLP)?
A. Evaluación del impacto sobre la privacidad
B. Una política de copia de seguridad de datos
C. Clasificación de los datos
D. Una política de recuperación de datos
Ver respuesta
Respuesta correcta: C
Cuestionar #280
¿Cuál de las siguientes opciones es la MÁS importante a la hora de definir los objetivos de control?
A. El nivel actual de riesgo residual
B. Objetivos estratégicos de la organización
C. Recomendaciones de control de una auditoría reciente
D. El apetito de riesgo de la organización
Ver respuesta
Respuesta correcta: B
Cuestionar #281
El director de seguridad de la información (CISO) ha desarrollado una estrategia de seguridad de la información, pero tiene dificultades para obtener el compromiso de la alta dirección para financiar la aplicación de la estrategia
A. La estrategia no incluye un análisis coste-beneficio
B. El CISO depende del CIO
C. No hubo compromiso con la empresa durante el desarrollo
D. La estrategia no cumple las normas de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #282
Un parche no crítico del sistema operativo (SO) para mejorar la seguridad del sistema no se puede aplicar porque una aplicación crítica no es compatible con el cambio. ¿Cuál de las siguientes es la MEJOR solución?
A. Reescribir la aplicación para adaptarla al sistema operativo actualizado
B. Compensar la no instalación del parche con controles paliativos
C. Alterar el parche para permitir que la aplicación se ejecute en un estado privilegiado
D. Ejecutar la aplicación en una plataforma de prueba; ajustar la producción para permitir el parche y la aplicación
Ver respuesta
Respuesta correcta: B
Cuestionar #283
Cuando se recibe un parche de seguridad de emergencia por correo electrónico, el parche debe ser PRIMERO:
A. cargado en una máquina de ensayo aisladA
B. descompilado para comprobar si hay código malicioso
C. validado para garantizar su autenticidad
D. se copian en soportes de una sola escritura para evitar su manipulación
Ver respuesta
Respuesta correcta: C
Cuestionar #284
Tras evaluar el riesgo, la decisión de tratarlo debe basarse PRIMARIAMENTE en:
A. disponibilidad de recursos financieros
B. si el nivel de riesgo supera el apetito de riesgo
C. si el nivel de riesgo supera el riesgo inherente
D. la criticidad del riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #285
Un responsable de seguridad de la información ha sido informado de una nueva vulnerabilidad en una aplicación de banca en línea, y se espera que en las próximas 72 horas se publique un parche para resolver este problema. La actuación MÁS importante del responsable de seguridad de la información debería ser:
A. evaluar el riesgo y asesorar a la alta dirección
B. identificar y aplicar controles paliativos
C. ejecutar el sistema de aplicación en modo offline
D. realizar un análisis de impacto en el negocio (BIA)
Ver respuesta
Respuesta correcta: A
Cuestionar #286
Basándose en la información proporcionada, ¿cuál de las siguientes situaciones presenta el MAYOR riesgo de seguridad de la información para una organización con múltiples, pero pequeñas, ubicaciones de procesamiento nacional?
A. No se aplican los procedimientos de funcionamiento de los sistemas
B. Los procedimientos de gestión del cambio son deficientes
C. El desarrollo de sistemas se externaliza
D. No se realiza la gestión de la capacidad de los sistemas
Ver respuesta
Respuesta correcta: B
Cuestionar #287
La persona MÁS adecuada para determinar el nivel de seguridad de la información necesario para una aplicación empresarial específica es el:
A. desarrollador de sistemas
B. responsable de seguridad de la información
C. comité directivo
D. propietario de los datos del sistemA
Ver respuesta
Respuesta correcta: D
Cuestionar #288
Un responsable de seguridad de la información sin experiencia confía en su departamento de auditoría interna para diseñar e implantar controles de seguridad clave. ¿Cuál de los siguientes es el MAYOR riesgo?
A. Aplicación inadecuada de los controles
B. Conflicto de intereses
C. Violación de la carta de auditoría
D. Habilidades de auditoría inadecuadas
Ver respuesta
Respuesta correcta: B
Cuestionar #289
Un responsable de seguridad de la información sospecha que la organización ha sufrido un ataque de ransomware. Qué se debe hacer PRIMERO?
A. Notifíquelo a la alta dirección
B. Alertar a los empleados del ataque
C. Confirmar la infección
D. Aislar los sistemas afectados
Ver respuesta
Respuesta correcta: C
Cuestionar #290
¿Cuál de las siguientes es la consideración MÁS importante a la hora de implantar un sistema de detección de intrusos (IDS)?
A. Sintonización
B. Parcheado
C. Cifrado
D. Filtrado de paquetes
Ver respuesta
Respuesta correcta: A
Cuestionar #291
¿Cuál de las siguientes opciones ayudaría MEJOR a garantizar la alineación entre la seguridad de la información y las funciones empresariales?
A. Desarrollo de políticas de seguridad de la información
B. Creación de un comité de gobernanza de la seguridad de la información
C. Establecimiento de un programa de concienciación en materia de seguridad
D. Financiación de las medidas de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #292
Al implantar la gobernanza de la seguridad de la información, una organización debe PRIMERO:
A. adoptar normas de seguridad
B. determinar las líneas de base de seguridad
C. definir la estrategia de seguridad
D. establecer políticas de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #293
¿Cuál de los siguientes factores es MÁS probable que impulse una actualización de la estrategia de seguridad de la información?
A. Una reciente prueba de penetración ha descubierto una debilidad de control
B. Se ha actualizado una importante aplicación empresarial
C. La dirección ha decidido implantar una tecnología emergente
D. Se ha contratado a un nuevo Director de TecnologíA
Ver respuesta
Respuesta correcta: C
Cuestionar #294
La razón PRIMARIA para establecer un esquema de clasificación de datos es identificar:
A. propiedad de los datos
B. estrategia de retención de datos
C. controles adecuados
D. prioridades de recuperación
Ver respuesta
Respuesta correcta: C
Cuestionar #295
¿Cuál de las siguientes opciones es la MÁS útil para mantener la cohesión de los recursos de seguridad de la información de una organización?
A. Arquitectura de seguridad de la información
B. Análisis de las deficiencias de seguridad
C. Análisis del impacto empresarial
D. Comité Director de Seguridad de la Información
Ver respuesta
Respuesta correcta: A
Cuestionar #296
¿Cuál de las siguientes opciones es la MÁS probable que reduzca las posibilidades de que una persona no autorizada acceda a los recursos informáticos haciéndose pasar por una persona autorizada que necesita restablecer su contraseña?
A. Realización de revisiones de restablecimiento de contraseñas
B. Realización de programas de concienciación en materia de seguridad
C. Aumentar la frecuencia de los cambios de contraseña
D. Implementar la comprobación automática de la sintaxis de la contraseña
Ver respuesta
Respuesta correcta: B
Cuestionar #297
¿Cuál de las siguientes opciones es la MÁS eficaz para controlar la pérdida de datos cuando se conecta un dispositivo móvil personal al sistema de correo electrónico corporativo?
A. El correo electrónico debe almacenarse en formato cifrado en el dispositivo móvil
B. Se debe impedir la sincronización del correo electrónico cuando se está conectado a un punto de acceso Wi-Fi público
C. Un alto directivo debe aprobar cada conexión
D. Los usuarios deben aceptar que se borre el dispositivo móvil en caso de pérdidA
Ver respuesta
Respuesta correcta: D
Cuestionar #298
¿Cuál de los siguientes puntos debe incluirse en un presupuesto anual de seguridad de la información que se somete a la aprobación de la dirección?
A. Un análisis coste-beneficio de los recursos presupuestados
B. Todos los recursos recomendados por la empresa
C. Coste total de propiedad (TCO)
D. Comparaciones de referencia
Ver respuesta
Respuesta correcta: A
Cuestionar #299
¿Cuál de las siguientes opciones sería la MÁS importante a tener en cuenta a la hora de implementar la configuración de seguridad de un nuevo sistema?
A. Resultados de las auditorías internas y externas
B. Normativa gubernamental y sanciones relacionadas
C. Objetivos empresariales y riesgos informáticos asociados
D. Mejores prácticas del sector aplicables a la empresa
Ver respuesta
Respuesta correcta: C
Cuestionar #300
Los mecanismos de vigilancia de la seguridad deben PRIMARIAMENTE:
A. centrarse en la información crítica para la empresA
B. ayudar a los propietarios a gestionar los riesgos de control
C. centrarse en la detección de intrusiones en la red
D. registrar todas las violaciones de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #301
¿Cuál de las siguientes opciones es la MÁS importante a la hora de llevar a cabo una investigación forense?
A. Documentación de los pasos del análisis
B. Captura de imágenes completas del sistema
C. Mantenimiento de una cadena de custodia
D. Análisis de la memoria del sistema
Ver respuesta
Respuesta correcta: C
Cuestionar #302
¿Cuál de las siguientes tareas debe realizarse una vez elaborado un plan de recuperación en caso de catástrofe?
A. Analizar el impacto empresarial
B. Definir las funciones del equipo de respuesta
C. Desarrollar el plan de pruebas
D. Identificar los objetivos de tiempo de recuperación (RTO)
Ver respuesta
Respuesta correcta: B
Cuestionar #303
Cuando los controles preventivos para mitigar adecuadamente el riesgo no son factibles, ¿cuál de las siguientes es la acción MÁS importante que debe realizar el responsable de seguridad de la información?
A. Evaluar las vulnerabilidades
B. Gestionar el impacto
C. Evaluar las amenazas potenciales
D. Identificar los niveles de riesgo inaceptables
Ver respuesta
Respuesta correcta: D
Cuestionar #304
A la hora de elaborar un plan de recuperación en caso de catástrofe, ¿cuál de las siguientes opciones sería la MÁS útil para priorizar el orden en que deben recuperarse los sistemas?
A. Realizar un análisis del impacto en la empresa (BIA)
B. Medición del volumen de datos de cada sistema
C. Revisión de la política de seguridad de la información
D. Revisión de la estrategia empresarial
Ver respuesta
Respuesta correcta: A
Cuestionar #305
La aplicación con éxito de la gobernanza de la seguridad de la información requerirá PRIMERO:
A. formación sobre concienciación en materia de seguridad
B. políticas de seguridad actualizadas
C. un equipo de gestión de incidentes informáticos
D. una arquitectura de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #306
Una organización dedicada a actividades de comercio electrónico que opera desde su país de origen ha abierto una nueva oficina en otro país con leyes de seguridad estrictas. En este escenario, la estrategia global de seguridad debe basarse en:
A. resultados de la evaluación de riesgos
B. normas internacionales de seguridad
C. los requisitos más estrictos
D. la estructura organizativa de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #307
Un ejercicio de evaluación de riesgos para la seguridad debe repetirse a intervalos regulares porque:
A. las amenazas empresariales cambian constantemente
B. se pueden subsanar las omisiones de evaluaciones anteriores
C. las evaluaciones repetitivas permiten diversas metodologías
D. ayudan a concienciar sobre la seguridad en la empresA
Ver respuesta
Respuesta correcta: A
Cuestionar #308
De los siguientes, ¿quién debería tener la responsabilidad PRIMARIA de evaluar el riesgo de seguridad asociado con un contrato de proveedor de nube subcontratado?
A. Responsable de seguridad de la información
B. Responsable de cumplimiento
C. Director de Información
D. Gestor de prestación de servicios
Ver respuesta
Respuesta correcta: D
Cuestionar #309
¿Cuál de las siguientes es la MEJOR opción para abordar las normativas que afectarán negativamente a la asignación de recursos del programa de seguridad de la información?
A. Priorizar los esfuerzos de cumplimiento en función de la probabilidad
B. Determinar los niveles de cumplimiento de las organizaciones homólogas
C. Retrasar la aplicación de las actividades de cumplimiento
D. Realizar evaluaciones para tomar decisiones de gestión
Ver respuesta
Respuesta correcta: D
Cuestionar #310
¿Cuál de los siguientes es el MEJOR enfoque para determinar el nivel de madurez de un programa de seguridad de la información?
A. Evaluar los indicadores clave de rendimiento (KPI)
B. Contratar la revisión de un tercero
C. Revisión de los resultados de las auditorías internas
D. Realizar una autoevaluación
Ver respuesta
Respuesta correcta: A
Cuestionar #311
Para resaltar ante la dirección la importancia de la seguridad de la red, el responsable de seguridad debe PRIMERO:
A. desarrollar una arquitectura de seguridad
B. instalar un sistema de detección de intrusiones en la red (NIDS) y preparar una lista de ataques
C. desarrollar una política de seguridad de la red
D. realizar una evaluación de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #312
¿Cuál de las siguientes opciones es la MEJOR para que un responsable de seguridad de la información pueda determinar la exhaustividad de la estrategia de seguridad de la información de una organización?
A. Análisis del impacto empresarial
B. Apetito de riesgo de la organización
C. Auditoría de seguridad independiente
D. Evaluación de los riesgos de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #313
La razón MÁS importante por la que los sistemas de detección de intrusos basados en anomalías estadísticas (IDS de lamas) se utilizan menos que los IDS basados en firmas, es que los IDS de lamas:
A. generan más sobrecarga que los IDS basados en firmas
B. causar falsos positivos por cambios menores en las variables del sistemA
C. generar falsas alarmas por acciones variables del usuario o del sistemA
D. no puede detectar nuevos tipos de ataques
Ver respuesta
Respuesta correcta: C
Cuestionar #314
Para ayudar a garantizar que el personal contratado no obtenga acceso no autorizado a información sensible, un gestor de seguridad de la información debe PRIMARIAMENTE:
A. configurar sus cuentas para que caduquen en seis meses o menos
B. evitar otorgar roles de administración del sistemA
C. asegurarse de que superan con éxito las comprobaciones de antecedentes
D. asegurarse de que el propietario de los datos aprueba su acceso
Ver respuesta
Respuesta correcta: B
Cuestionar #315
Al utilizar una infraestructura de gestión de eventos e información de seguridad (SIEM) recién implementada, ¿cuál de los siguientes aspectos debe considerarse PRIMERO?
A. Retención
B. Sintonización
C. Cifrado
D. Distribución de informes
Ver respuesta
Respuesta correcta: D
Cuestionar #316
Una organización ha detectado un riesgo potencial derivado del incumplimiento de la nueva normativa de su sector. Cuál de las siguientes es la razón MÁS importante para informar de esta situación a la alta dirección?
A. Es necesario actualizar el perfil de riesgo
B. Es necesario realizar una revisión externa del riesgo
C. Es necesario aplicar controles de seguimiento específicos
D. Es necesario realizar un análisis comparativo
Ver respuesta
Respuesta correcta: A
Cuestionar #317
¿Cuál de las siguientes es la forma MÁS eficaz de abordar los problemas de seguridad de una organización durante las negociaciones contractuales con un tercero?
A. evisar el contrato de terceros con el departamento jurídico de la organización
B. omunicar la política de seguridad al proveedor externo
C. Garantizar la participación de la seguridad en el proceso de contratación
D. Realizar una auditoría de seguridad de la información al proveedor externo
Ver respuesta
Respuesta correcta: B
Cuestionar #318
¿Cuál de los siguientes es el resultado MÁS probable de la aplicación de un marco de gobernanza de la seguridad?
A. Mayor disponibilidad de los sistemas de información
B. Cumplimiento de las normas internacionales
C. Valor empresarial obtenido de las iniciativas de seguridad de la información
D. Reducción de costes de las iniciativas de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #319
¿Cuál sería la MEJOR recomendación de un responsable de seguridad de la información al enterarse de que un contrato existente con un tercero no identifica claramente los requisitos para salvaguardar los datos críticos de la organización?
A. ancelar el contrato de externalización
B. ransferir el riesgo al proveedor
C. rear una adenda al contrato existente
D. Iniciar una auditoría externa del centro de datos del proveedor
Ver respuesta
Respuesta correcta: C
Cuestionar #320
Al contratar a un subcontratista para que se encargue de la administración de la seguridad, el elemento contractual MÁS importante es el:
A. cláusula de derecho de rescisión
B. limitaciones de responsabilidad
C. acuerdo de nivel de servicio (SLA)
D. cláusula de sanciones económicas
Ver respuesta
Respuesta correcta: C
Cuestionar #321
Una empresa está considerando un nuevo sistema automatizado que requiere la implementación de dispositivos inalámbricos para la captura de datos. Aunque la tecnología inalámbrica no está aprobada, la alta dirección ha aceptado el riesgo y ha aprobado una prueba de concepto (POC) para evaluar la tecnología y la solución propuesta. ¿Cuál de las siguientes es la MEJOR forma de proceder del responsable de seguridad de la información?
A. Sandbox de la solución propuesta
B. Proporcionar al personal formación sobre seguridad inalámbrica
C. Implantar un sistema inalámbrico de detección de intrusos (IDS)
D. Desarrollar normas inalámbricas corporativas
Ver respuesta
Respuesta correcta: A
Cuestionar #322
Se ha identificado que un sistema de misión crítica tiene una cuenta de sistema administrativa con atributos que impiden el bloqueo y el cambio de privilegios y nombre. Cuál sería el MEJOR enfoque para evitar el éxito de la fuerza bruta de la cuenta?
A. Impedir el acceso remoto al sistema
B. Crear una contraseña aleatoria segura
C. Pedir un parche al proveedor
D. Rastrear el uso de la cuenta mediante registros de auditoría
Ver respuesta
Respuesta correcta: B
Cuestionar #323
¿Quién tiene la responsabilidad de clasificar la información en una organización?
A. Custodia de datos
B. Administrador de bases de datos
C. Responsable de seguridad de la información
D. Propietario de los datos
Ver respuesta
Respuesta correcta: D
Cuestionar #324
Un responsable de seguridad de la información debe comprender la relación entre la seguridad de la información y las operaciones empresariales para:
A. apoyar los objetivos de la organización
B. determinar las posibles áreas de incumplimiento
C. evaluar las posibles repercusiones del compromiso
D. comprender las amenazas para la empresA
Ver respuesta
Respuesta correcta: A
Cuestionar #325
Debe colocarse un servidor de extranet:
A. fuera del cortafuegos
B. en el servidor cortafuegos
C. en una subred apantalladA
D. en el router externo
Ver respuesta
Respuesta correcta: C
Cuestionar #326
Un gestor de proyectos está desarrollando un portal para desarrolladores y solicita al responsable de seguridad que le asigne una dirección IP pública para que puedan acceder a él el personal interno y los consultores externos fuera de la red de área local (LAN) de la organización. ¿Qué debe hacer PRIMERO el responsable de seguridad?
A. Comprender los requisitos empresariales del portal para desarrolladores
B. Realizar una evaluación de la vulnerabilidad del portal para desarrolladores
C. Instalar un sistema de detección de intrusos (IDS)
D. Obtener un acuerdo de confidencialidad (NDA) firmado por los consultores externos antes de permitir el acceso externo al servidor
Ver respuesta
Respuesta correcta: A
Cuestionar #327
Al desarrollar procesos de seguridad para el tratamiento de datos de tarjetas de crédito en el sistema de información de la unidad de negocio, el responsable de seguridad de la información debe PRIMERO:
A. revisar las políticas corporativas relativas a la información de las tarjetas de crédito
B. aplicar los requisitos de seguridad de las empresas de tarjetas de crédito
C. asegurarse de que los sistemas que manejan datos de tarjetas de crédito están segmentados
D. revisar las mejores prácticas de la industria para gestionar pagos seguros
Ver respuesta
Respuesta correcta: A
Cuestionar #328
¿Cuál de las siguientes opciones ayudaría MEJOR a un responsable de seguridad de la información a priorizar las actividades de corrección para cumplir los requisitos normativos?
A. Una matriz del modelo de madurez de las capacidades
B. Expectativa de pérdida anual (EPA) del incumplimiento
C. Coste de los controles asociados
D. Alineación con la estrategia de TI
Ver respuesta
Respuesta correcta: D
Cuestionar #329
¿Cuál de las siguientes situaciones tendría generalmente el MAYOR impacto negativo en una organización?
A. Robo de programas informáticos
B. Interrupción de los servicios públicos
C. Pérdida de confianza de los clientes
D. Fraude interno con pérdidas económicas
Ver respuesta
Respuesta correcta: C
Cuestionar #330
Una institución financiera global ha decidido no tomar ninguna acción adicional sobre un riesgo de denegación de servicio (DoS) encontrado por el equipo de evaluación de riesgos. La razón MÁS probable por la que tomaron esta decisión es que:
A. existen suficientes salvaguardias para evitar que se produzca este riesgo
B. la contramedida necesaria es demasiado complicada de implantar
C. el coste de la contramedida supera el valor del activo y la pérdida potencial
D. Se desconoce la probabilidad de que se produzca el riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #331
La característica MÁS importante de las buenas políticas de seguridad es que:
A. Expectativas de estado de la gestión de TI
B. enunciar un único mandato general de seguridad
C. están alineados con los objetivos de la organización
D. regulan la creación de procedimientos y directrices
Ver respuesta
Respuesta correcta: C
Cuestionar #332
Cuando la seguridad a nivel de aplicación controlada por los propietarios de los procesos de negocio se encuentra mal gestionada, ¿cuál de las siguientes opciones podría MEJORAR las prácticas actuales?
A. Centralizar la gestión de la seguridad
B. Aplicación de sanciones por incumplimiento
C. Aplicación de políticas por parte de la dirección de TI
D. Revisiones periódicas del cumplimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #333
Un programa de concienciación sobre seguridad debería:
A. presentar la perspectiva de la alta dirección
B. abordar detalles sobre explotaciones específicas
C. dirigirse a grupos y funciones específicos
D. promover los procedimientos del departamento de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #334
¿Cuál de las siguientes debería ser la función PRIMARIA de un responsable de seguridad de la información cuando una organización inicia un proceso de clasificación de datos?
A. Verificar que los activos se han clasificado adecuadamente
B. Aplicar la seguridad de acuerdo con la clasificación específicA
C. Definir la estructura de clasificación que se va a aplicar
D. Asignar el nivel de clasificación de los activos
Ver respuesta
Respuesta correcta: C
Cuestionar #335
¿Cuál de las siguientes opciones es la MÁS importante para incluir en los informes mensuales de seguridad de la información que se envían a la dirección general?
A. Análisis de tendencias de las métricas de seguridad
B. Inteligencia sobre amenazas
C. Análisis de la causa raíz de los incidentes de seguridad
D. Resultados de la evaluación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #336
La gobernanza de la seguridad de la información está impulsada PRIMARIAMENTE por:
A. limitaciones tecnológicas
B. requisitos reglamentarios
C. potencial de litigio
D. estrategia empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #337
¿Cuál de los siguientes es el control MÁS práctico que una organización puede implementar para evitar la descarga no autorizada de datos a dispositivos de almacenamiento de bus serie universal (USB)?
A. Autenticación de dos factores
B. Restringir el uso de las unidades
C. Cifrado fuerte
D. Acción disciplinaria
Ver respuesta
Respuesta correcta: B
Cuestionar #338
Una organización está considerando trasladar una de sus aplicaciones empresariales críticas a un servicio de alojamiento en la nube. Es posible que el proveedor de la nube no proporcione el mismo nivel de seguridad para esta aplicación que la organización. ¿Cuál de las siguientes opciones proporcionará la MEJOR información para ayudar a mantener la postura de seguridad?
A. Evaluación de riesgos
B. Estrategia de seguridad en la nube
C. Evaluación de la vulnerabilidad
D. Marco de gobernanza del riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #339
Un responsable de seguridad de la información está evaluando los indicadores clave de riesgo (KRI) para el programa de seguridad de la información de una organización. ¿Cuál de las siguientes sería la MAYOR preocupación del responsable de seguridad de la información?
A. Umbrales indefinidos para activar alertas
B. Múltiples KRI para un único proceso de control
C. Utilización de medidas cualitativas
D. Falta de aprobación formal del KRI por parte de la dirección de TI
Ver respuesta
Respuesta correcta: A
Cuestionar #340
La implantación de una política de contraseñas segura forma parte de la estrategia de seguridad de la información de una organización para este año. Una unidad de negocio cree que la estrategia puede afectar negativamente a la adopción por parte de un cliente de una aplicación móvil desarrollada recientemente y ha decidido no aplicar la política
A. Analizar el riesgo y el impacto de no aplicar la políticA
B. Desarrollar y aplicar una política de contraseñas para la aplicación móvil
C. Elevar el incumplimiento de la política a la alta dirección
D. Comparación con aplicaciones móviles similares para identificar carencias
Ver respuesta
Respuesta correcta: C
Cuestionar #341
¿Cuál de los siguientes debería ser el criterio MÁS importante a la hora de definir las políticas de conservación de datos?
A. Requisitos de capacidad
B. Resultados de la auditoría
C. Requisitos reglamentarios
D. Mejores prácticas del sector
Ver respuesta
Respuesta correcta: C
Cuestionar #342
Un responsable de seguridad de la información está desarrollando un caso de negocio para una inversión en un control de seguridad de la información. El PRIMER paso debería ser:
A. investigar los precios de los proveedores para demostrar la rentabilidad
B. evaluar el impacto potencial para la organización
C. demostrar una mayor productividad del personal de seguridad
D. obtener la aprobación de la auditoría para el control de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #343
¿Cuál de los siguientes es el MEJOR enfoque para un responsable de seguridad de la información a la hora de desarrollar nuevas políticas de seguridad de la información?
A. Crear un mapa de las partes interesadas
B. Hacer referencia a una norma industrial
C. Crear un comité de gobernanza de la seguridad de la información
D. Descargar un modelo de políticA
Ver respuesta
Respuesta correcta: C
Cuestionar #344
¿Cuál debería ser la base PRIMARIA para establecer un objetivo de tiempo de recuperación (RTO) para una aplicación empresarial crítica?
A. Resultados del análisis de impacto sobre el negocio (BIA)
B. Puntos de referencia empresariales relacionados
C. Resultados de la evaluación de riesgos
D. Requisitos legales y reglamentarios
Ver respuesta
Respuesta correcta: A

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.