¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Últimas preguntas del examen CSA CCAK para una preparación exhaustiva

Las preguntas de práctica CCAK de SPOTO son la clave definitiva para aprobar el examen Certificate of Cloud Auditing Knowledge. Estas preguntas y respuestas completas del examen cubren todos los temas esenciales, proporcionando preguntas realistas de la práctica y exámenes simulados para simular el ambiente real de la prueba. Utiliza estos invaluables materiales de estudio y recursos de preparación para el examen para identificar las brechas de conocimiento y fortalecer tu comprensión. Con las preguntas de la práctica de CCAK de SPOTO, ganarás confianza y las habilidades necesarias para pasar con éxito. Estos recursos del examen ofrecen una colección meticuloso hecha a mano de preguntas del examen, asegurándose de que le preparan completamente para los desafíos de la auditoría de la nube a continuación.
Realizar otros exámenes en línea
Cuestionar #1
¿Cuál de los siguientes cambios influirá MÁS probablemente en la ampliación o reducción de los controles necesarios para remediar el riesgo derivado de los cambios en el proveedor de SaaS de una organización?
A. olítica de excepciones al riesgo
B. Requisitos contractuales
C. Apetito de riesgo
D. Supervisión del Consejo
Ver respuesta
Respuesta correcta: C
Cuestionar #2
Un CSP contrata la realización de una prueba de penetración en sus infraestructuras. El auditor se dirige al objetivo sin conocimiento previo de sus defensas, activos o canales. El centro de operaciones de seguridad del CSP no recibe notificación previa del alcance de la auditoría ni de los vectores de la prueba. ¿Qué modo selecciona el CSP?
A. oble caja gris
B. ándem
C. nversión
D. oble ciego
Ver respuesta
Respuesta correcta: D
Cuestionar #3
Debido a las limitaciones de recursos del equipo de auditoría de la nube, no se puede completar un plan de auditoría tal como se aprobó inicialmente. Suponiendo que la situación se comunique en el informe de auditoría de la nube, ¿qué línea de actuación es la MÁS pertinente?
A. entrarse en la auditoría de áreas de alto riesgo
B. omprobación de la adecuación del diseño de los controles de la nube
C. onfiar en las pruebas de gestión de los controles de la nube
D. Comprobación de la eficacia operativa de los controles de la nube
Ver respuesta
Respuesta correcta: A
Cuestionar #4
En una organización, ¿cómo es MÁS probable que se produzcan violaciones de las políticas?
A. Por accidente
B. eliberadamente por el ISP
C. Deliberadamente
D. eliberadamente por el proveedor de la nube
Ver respuesta
Respuesta correcta: A
Cuestionar #5
¿Cuál de las siguientes es la MEJOR herramienta para realizar auditorías de control de seguridad en la nube?
A. eglamento General de Protección de Datos (RGPD)
B. SO 27001
C. orma Federal de Tratamiento de la Información (FIPS) 140-2
D. SA Matriz de control de la nube (CCM)
Ver respuesta
Respuesta correcta: D
Cuestionar #6
¿Cuál de los siguientes cambios influirá MÁS probablemente en la ampliación o reducción de los controles necesarios para remediar el riesgo derivado de los cambios en el proveedor de SaaS de una organización?
A. olítica de excepciones al riesgo
B. Requisitos contractuales
C. Apetito de riesgo
D. Supervisión del Consejo
Ver respuesta
Respuesta correcta: C
Cuestionar #7
Un CSP contrata la realización de una prueba de penetración en sus infraestructuras. El auditor se dirige al objetivo sin conocimiento previo de sus defensas, activos o canales. El centro de operaciones de seguridad del CSP no recibe notificación previa del alcance de la auditoría ni de los vectores de la prueba. ¿Qué modo selecciona el CSP?
A. oble caja gris
B. ándem
C. nversión
D. oble ciego
Ver respuesta
Respuesta correcta: D
Cuestionar #8
Debido a las limitaciones de recursos del equipo de auditoría de la nube, no se puede completar un plan de auditoría tal como se aprobó inicialmente. Suponiendo que la situación se comunique en el informe de auditoría de la nube, ¿qué línea de actuación es la MÁS pertinente?
A. entrarse en la auditoría de áreas de alto riesgo
B. omprobación de la adecuación del diseño de los controles de la nube
C. onfiar en las pruebas de gestión de los controles de la nube
D. Comprobación de la eficacia operativa de los controles de la nube
Ver respuesta
Respuesta correcta: A
Cuestionar #9
En una organización, ¿cómo es MÁS probable que se produzcan violaciones de las políticas?
A. Por accidente
B. eliberadamente por el ISP
C. Deliberadamente
D. eliberadamente por el proveedor de la nube
Ver respuesta
Respuesta correcta: A
Cuestionar #10
¿Cuál de las siguientes es la MEJOR herramienta para realizar auditorías de control de seguridad en la nube?
A. eglamento General de Protección de Datos (RGPD)
B. SO 27001
C. orma Federal de Tratamiento de la Información (FIPS) 140-2
D. SA Matriz de control de la nube (CCM)
Ver respuesta
Respuesta correcta: D
Cuestionar #11
Los entornos de red y las instancias virtuales se diseñarán y configurarán para restringir y supervisar el tráfico entre conexiones fiables y no fiables. Estas configuraciones se revisarán al menos una vez al año y estarán respaldadas por una justificación documentada del uso de todos los servicios, protocolos y puertos permitidos, así como por controles compensatorios. ¿Cuál de los siguientes controles se ajusta MEJOR a esta descripción de control?
A. eguridad de la red
B. etección de cambios
C. Instancia virtual y refuerzo del sistema operativo
D. Gestión de la vulnerabilidad de la red
Ver respuesta
Respuesta correcta: A
Cuestionar #12
Tras encontrar una vulnerabilidad en un servidor de una organización conectado a Internet, un delincuente de ciberseguridad consigue acceder a un sistema de archivos cifrado y logra sobrescribir parte de algunos archivos con datos aleatorios. En referencia a la metodología de análisis de las principales amenazas, ¿cómo clasificaría el impacto técnico de este incidente?
A. Como violación de la integridad
B. omo infracción de control
C. Como incumplimiento de la disponibilidad
D. Como violación de la confidencialidad
Ver respuesta
Respuesta correcta: B
Cuestionar #13
Las organizaciones mantienen correspondencias entre los distintos marcos de control que adoptan:
A. yudar a identificar los controles con un estado de evaluación común
B. vitar la duplicación de trabajo al evaluar el cumplimiento
C. yudar a identificar los controles con diferentes estados de evaluación
D. niciar una evaluación de conformidad utilizando la última evaluación
Ver respuesta
Respuesta correcta: C
Cuestionar #14
Las pruebas SAST son realizadas por:
A. scaneando el código fuente de la aplicación
B. scanear la interfaz de la aplicación
C. scaneando todos los componentes de la infraestructurA
D. ealizar acciones manuales para obtener el control de la aplicación
Ver respuesta
Respuesta correcta: A
Cuestionar #15
Cuando el proceso de negocio de un cliente cambia, el SLA del CSP debe:
A. er revisado, pero el SLA no puede ser actualizado
B. o se revise, sino que se cancele inmediatamente el contrato de la nube
C. o ser revisado ya que el SLA no puede ser actualizado
D. revisarse y actualizarse en caso necesario
Ver respuesta
Respuesta correcta: D
Cuestionar #16
El objetivo PRIMARIO de una reunión de inicio de auditoría con un cliente de auditoría de la nube es:
A. eleccionar la metodología de la auditoríA
B. evisar las pruebas solicitadas por el cliente de auditoríA
C. Discutir el alcance de la auditoría de la nube
D. dentificar los requisitos de recursos de la auditoría de la nube
Ver respuesta
Respuesta correcta: C
Cuestionar #17
Se establecerán políticas y procedimientos, y se implantarán procesos empresariales y medidas técnicas de apoyo, para el mantenimiento de varios elementos que garanticen la continuidad y disponibilidad de las operaciones y del personal de apoyo. ¿Cuál de los siguientes controles se ajusta MEJOR a esta descripción de control?
A. antenimiento de las operaciones
B. antenimiento del desarrollo del sistema
C. antenimiento de equipos
D. antenimiento del sistema
Ver respuesta
Respuesta correcta: A
Cuestionar #18
Un auditor identifica que un CSP recibió múltiples consultas de clientes y RFP durante el último mes. Cuál de las siguientes debería ser la MEJOR recomendación para reducir la carga del CSP?
A. SP puede compartir todos los informes de seguridad con los clientes para agilizar el proceso
B. SP puede programar una llamada con cada cliente
C. SP puede responder individualmente a cada cliente
D. SP puede dirigir todas las consultas de los clientes a la información del registro CSA STAR
Ver respuesta
Respuesta correcta: D
Cuestionar #19
¿Cuál de los siguientes enfoques abarca la ingeniería social del personal, la elusión de los controles de acceso físico y las pruebas de penetración?
A. quipo azul
B. aja blanca
C. aja gris
D. Equipo rojo
Ver respuesta
Respuesta correcta: B
Cuestionar #20
Cuando se aplica la metodología de análisis de las principales amenazas tras un incidente, ¿cuál es el alcance del paso de identificación del impacto técnico?
A. eterminar el impacto en los controles que fueron seleccionados por la organización para responder a los riesgos identificados
B. eterminar el impacto en la confidencialidad, integridad y disponibilidad del sistema de información
C. eterminar el impacto en los aspectos financieros, operativos, de cumplimiento y de reputación de la organización
D. eterminar el impacto en la seguridad física y medioambiental de la organización, excluyendo los activos informativos
Ver respuesta
Respuesta correcta: D
Cuestionar #21
Al realizar auditorías en relación con la gestión de la continuidad del negocio y la estrategia de resistencia operativa, ¿cuál sería el aspecto MÁS crítico a auditar en relación con la estrategia del cliente de la nube que debería formularse conjuntamente con el proveedor de servicios en la nube?
A. Validar si la estrategia cubre la indisponibilidad de todos los componentes necesarios para el funcionamiento normal o en modo interrumpido, en partes o en su totalidad, cuando se ve afectada por una interrupción
B. Validar si la estrategia cubre todos los aspectos de la planificación de la continuidad y la capacidad de recuperación de la empresa, teniendo en cuenta el impacto y los riesgos evaluados, para considerar actividades para antes, durante y después de una interrupción
C. alidar si la estrategia cubre todas las actividades necesarias para continuar y recuperar las actividades prioritarias dentro de los plazos identificados y la capacidad acordada, en consonancia con el apetito de riesgo de la organización, incluida la invocación de planes de continuidad y capacidades de gestión de crisis
D. alidar si la estrategia es desarrollada tanto por los proveedores como por los consumidores de servicios en nube dentro de los límites aceptables de su apetito de riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #22
¿Cuál de las siguientes métricas suele ser inmadura?
A. étricas en torno a los entornos de almacenamiento y red de la infraestructura como servicio (IaaS)
B. étricas en torno a los entornos de desarrollo de plataformas como servicio (PaaS)
C. étricas en torno a los entornos informáticos de infraestructura como servicio (IaaS)
D. Métricas en torno a servicios específicos de aplicaciones de software como servicio (SaaS)
Ver respuesta
Respuesta correcta: A
Cuestionar #23
La PRINCIPAL diferencia entre la Matriz de Control de la Nube (CCM) y el Cuestionario de la Iniciativa de Evaluación del Consenso (CAIQ) es que:
A. CM evalúa la presencia de controles, mientras que CAIQ evalúa la seguridad global de un servicio
B. CM tiene un conjunto de preguntas de seguridad, mientras que CAIQ tiene un conjunto de controles de seguridad
C. CM tiene 14 dominios y CAIQ tiene 16 dominios
D. CM proporciona un marco de controles, mientras que CAIQ proporciona formas aceptadas por la industria para documentar qué controles de seguridad existen en las ofertas de IaaS, PaaS y SaaS
Ver respuesta
Respuesta correcta: D
Cuestionar #24
¿Cuál de los siguientes es un ejemplo de impacto empresarial financiero?
A. Un hacker que utiliza una identidad de administrador robada hace caer los sistemas de ventas y marketing de SaaS, lo que provoca la imposibilidad de procesar los pedidos de los clientes o gestionar sus relaciones
B. Aunque se informó oportunamente de la infracción al CEO, el CFO y el CISO se culparon mutuamente en público, lo que provocó una pérdida de confianza pública que llevó al consejo a sustituir a los tres
C. Un ataque DDoS deja inaccesible la nube del cliente durante 24 horas, con la consiguiente pérdida millonaria de ventas
D. l proveedor de la nube no informa de una violación de los datos personales de un cliente desde un servidor no seguro, lo que da lugar a multas GDPR de 10 millones de euros
Ver respuesta
Respuesta correcta: C
Cuestionar #25
Desde la perspectiva de un auditor senior de seguridad en la nube en una organización con un programa de seguridad maduro con adopción de la nube, ¿cuál de las siguientes afirmaciones describe MEJOR el concepto DevSecOps?
A. roceso de integración de la seguridad mediante la automatización en el desarrollo de software
B. Normas de desarrollo para abordar los problemas de integración, pruebas y despliegue
C. arco operativo que fomenta la coherencia del software mediante la automatización
D. Simplificar, agilizar y facilitar el desarrollo de software mediante la automatización
Ver respuesta
Respuesta correcta: B
Cuestionar #26
¿Cuál de las siguientes opciones es la MÁS importante a tener en cuenta a la hora de desarrollar un modelo de amenazas eficaz durante la introducción de un nuevo servicio SaaS en la arquitectura de una organización cliente? El modelo de amenazas:
A. econoce la responsabilidad compartida de la gestión de riesgos entre el cliente y el CSP
B. provecha los modelos de amenaza SaaS desarrollados por organizaciones homólogas
C. s desarrollado por un tercero independiente con experiencia en el sector industrial de la organización
D. considera la pérdida de visibilidad y control que supone la transición a la nube
Ver respuesta
Respuesta correcta: A
Cuestionar #27
Mientras realizaba la auditoría, el auditor descubrió que cualquier persona en Internet podía acceder a un cubo de almacenamiento de objetos que contenía información de identificación personal. Dado este descubrimiento, ¿cuál debería ser la acción más apropiada que el auditor debería llevar a cabo?
A. oner de relieve la laguna al patrocinador de la auditoría lo antes posible
B. edir al administrador de la nube de la organización que cierre inmediatamente la brecha actualizando los ajustes de configuración y haciendo que el bucket de almacenamiento de objetos sea privado y, por tanto, inaccesible desde Internet
C. ocumentar las conclusiones en el informe de auditoría y compartir las deficiencias con las partes interesadas
D. nformar inmediatamente al responsable de auditoría interna de la organización sobre la brecha
Ver respuesta
Respuesta correcta: C
Cuestionar #28
Para poder optar a la certificación CSA STAR para un sistema en nube concreto, el informe SOC 2 debe cubrir:
A. SO/I?? 27001: 2013 controles
B. riterios del modelo de madurez
C. odos los controles de la Matriz de Control de la Nube (CCM) y los principios de seguridad de los TSPC
D. atriz de control de la nube (CCM) y controles ISO/IEC 27001:2013
Ver respuesta
Respuesta correcta: C
Cuestionar #29
¿Cuál de las siguientes es la MÁS importante a tener en cuenta cuando una organización está creando un programa de cumplimiento para la nube?
A. La rápida evolución de la cartera de servicios y la arquitectura de la nube
B. os proveedores en nube no deben formar parte del programa de cumplimiento
C. La naturaleza bastante estática de la cartera de servicios y la arquitectura de la nube
D. La nube es similar al entorno local en términos de cumplimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #30
A la hora de desarrollar un programa de cumplimiento en la nube, ¿cuál es la razón PRIMARIA para que un cliente de la nube revise qué servicios en la nube se van a implantar?
A. Determinar cómo encajarán esos servicios en sus políticas y procedimientos
B. Determinar el coste total de los servicios en nube que se van a implantar
C. Confirmar qué proveedor se seleccionará en función del cumplimiento de los requisitos de seguridad
D. Confirmar si los controles compensatorios implantados son suficientes para la nube
Ver respuesta
Respuesta correcta: A
Cuestionar #31
¿Cuál de las siguientes atestaciones permite la adopción inmediata de la Matriz de Control de la Nube (CCM) como criterio adicional a los Criterios de Servicios Fiduciarios del AICPA y proporciona la flexibilidad para actualizar los criterios a medida que cambian la tecnología y los requisitos del mercado?
A. C-IDSS
B. ertificación CSA STAR
C. TCS
D. atálogo de criterios C5 de BSI
Ver respuesta
Respuesta correcta: B
Cuestionar #32
Para garantizar que los recursos de auditoría en la nube ofrecen el mejor valor a la organización, el paso PRIMARIO sería:
A. laborar un plan de auditoría de la nube sobre la base de una evaluación detallada de los riesgos
B. rogramar las auditorías y controlar el tiempo dedicado a cada una de ellas
C. ormar al personal de auditoría de la nube sobre la tecnología actual utilizada en la organización
D. upervisar el progreso de las auditorías e iniciar medidas de control de costes
Ver respuesta
Respuesta correcta: A
Cuestionar #33
¿Cuál de los siguientes es un ejemplo de impacto técnico de integridad?
A. l proveedor de la nube informa de una filtración de datos personales de clientes desde un servidor no seguro
B. n hacker que utiliza una identidad de administrador robada alerta del porcentaje de descuento en la base de datos de productos
C. Un ataque DDoS deja inaccesible la nube del cliente durante 24 horas
D. n administrador hizo clic inadvertidamente en un cebo Phish exponiendo a su empresa a un ataque de ransomware
Ver respuesta
Respuesta correcta: D
Cuestionar #34
¿Cuál es el signo de una organización que ha adoptado un concepto shift-left de los ciclos de liberación de código?
A. n modelo de cascada para mover los recursos a través de las fases de desarrollo a lanzamiento
B. ncorporación de la automatización para identificar y abordar los problemas del código del software en una fase temprana
C. adurez de las entidades de nueva creación con alta iteración a commits de código de bajo volumen
D. Grandes entidades con cadencias de publicación más lentas y sistemas geográficamente dispersos
Ver respuesta
Respuesta correcta: B
Cuestionar #35
Los clientes de la nube pueden utilizar los controles de la Matriz de Control de la Nube (CCM) para:
A. esarrollar nuevas bases de seguridad para la industriA
B. efinir diferentes marcos de control para diferentes proveedores de servicios en nube
C. acilitar la comunicación con su departamento jurídico
D. rear un programa operativo de gestión de riesgos en la nube
Ver respuesta
Respuesta correcta: B
Cuestionar #36
Dentro de una organización, ¿cuál de las siguientes funciones debería ser responsable de definir el enfoque de adopción de la nube?
A. omité de auditoría
B. esponsable de cumplimiento
C. Director de informática
D. Alta dirección
Ver respuesta
Respuesta correcta: D

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.