¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Últimas preguntas del examen CISM de ISACA para una preparación eficaz del examen

Libere el poder de las preguntas del examen CISM de ISACA de SPOTO para impulsar su viaje hacia la certificación de Gerente Certificado de Seguridad de la Información (CISM). Sumérgete en las preguntas y respuestas integrales del examen diseñadas para mejorar tu comprensión de la evaluación de riesgos, la implementación de la gobernabilidad y las estrategias de respuesta a incidentes. Con las preguntas de examen y los materiales de preparación para el examen de SPOTO, obtendrás una ventaja competitiva al enfrentar violaciones de datos, ataques de ransomware y otras amenazas de seguridad en evolución. Accede a valiosos materiales de estudio y recursos de examen diseñados para ayudarte a aprobar con éxito. Participe en exámenes de prueba realistas para simular el entorno del examen y aumentar su confianza. Prepárese con SPOTO y conviértase en un Gerente Certificado de Seguridad de la Información equipado para enfrentar los desafíos actuales de ciberseguridad con experiencia y confianza.
Realizar otros exámenes en línea
Cuestionar #1
La gobernanza eficaz de las TI se garantiza MEJOR mediante:
A. utilizando un enfoque ascendente
B. gestión por parte del departamento informático
C. remitir el asunto al departamento jurídico de la organización
D. utilizando un enfoque descendente
Ver respuesta
Respuesta correcta: D
Cuestionar #2
Para MEJOR alinear los objetivos de seguridad de la información en una organización, el director de seguridad de la información (CISO) debe:
A. revisar el programa de seguridad de la información
B. evaluar un cuadro de mando integral
C. llevar a cabo sesiones periódicas de concienciación de los usuarios
D. realizar pruebas de penetración
Ver respuesta
Respuesta correcta: B
Cuestionar #3
Un responsable de seguridad de la información se entera de que los usuarios de una aplicación utilizan con frecuencia privilegios de acceso elevados de emergencia para procesar transacciones
A. Solicitar justificación a los responsables del usuario para el acceso de emergenciA
B. Solicitar al administrador de la aplicación que bloquee todos los perfiles de acceso de emergenciA
C. Actualizar la frecuencia y el uso del perfil de acceso de emergencia en la políticA
D. Revisar la arquitectura de seguridad de la aplicación y recomendar cambios
Ver respuesta
Respuesta correcta: D
Cuestionar #4
¿Cuál de las siguientes situaciones requeriría con MAYOR probabilidad la aplicación de un plan de continuidad de la actividad?
A. Un visitante no autorizado descubierto en el centro de datos
B. Un ataque distribuido de denegación de servicio a un servidor de correo electrónico
C. Una epidemia que impide al personal desempeñar sus funciones
D. Un hacker que tiene como rehén información personal identificable
Ver respuesta
Respuesta correcta: B
Cuestionar #5
¿Cuál de los siguientes aspectos debe determinarse PRIMERO a la hora de preparar un plan de comunicación de riesgos?
A. Público destinatario
B. Canal de comunicación
C. Contenido de los informes
D. Frecuencia de los informes
Ver respuesta
Respuesta correcta: A
Cuestionar #6
Una organización planea aprovechar plataformas de redes sociales populares para promocionar sus productos y servicios. Cuál de las siguientes es la MEJOR medida que puede adoptar el responsable de seguridad de la información para apoyar esta iniciativa?
A. Desarrollar controles de seguridad para el uso de las redes sociales
B. Evaluar el riesgo de seguridad asociado al uso de las redes sociales
C. Establecer procesos para publicar contenidos en las redes sociales
D. Realizar evaluaciones de vulnerabilidad en plataformas de redes sociales
Ver respuesta
Respuesta correcta: C
Cuestionar #7
Un departamento de TI planea migrar una aplicación a la nube pública. Cuál de las siguientes es la acción MÁS importante del responsable de seguridad de la información para apoyar esta iniciativa?
A. Calcular los costes de implantación de la seguridad
B. Evaluar los acuerdos de nivel de servicio (SLA)
C. Proporcionar los requisitos de seguridad de la nube
D. Revisar los informes de evaluación independiente del proveedor de la nube
Ver respuesta
Respuesta correcta: B
Cuestionar #8
¿Cuál de las siguientes opciones permite MEJOR el despliegue de una seguridad coherente en todas las sucursales internacionales de una organización multinacional?
A. Madurez de los procesos de seguridad
B. Corrección de los resultados de la auditoría
C. Descentralización de la gobernanza de la seguridad
D. Establecimiento de una gobernanza de la seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #9
Para garantizar la seguridad de la información de los servicios informáticos externalizados, ¿cuál de las siguientes es la actividad de diligencia debida MÁS importante?
A. Revisar muestras de informes de nivel de servicio del proveedor de servicios
B. Evaluar el nivel de concienciación en materia de seguridad del proveedor de servicios
C. Solicitar que el proveedor de servicios cumpla la política de seguridad de la información
D. Revisar el estado de seguridad del proveedor de servicios
Ver respuesta
Respuesta correcta: C
Cuestionar #10
¿Cuál de las siguientes es la razón PRIMARIA para realizar evaluaciones periódicas del impacto en la empresa?
A. Mejorar los resultados de la última evaluación del impacto empresarial
B. Actualizar los objetivos de recuperación en función de los nuevos riesgos
C. Reducir los tiempos de recuperación
D. Satisfacer las necesidades de la política de continuidad de la actividad
Ver respuesta
Respuesta correcta: B
Cuestionar #11
Es MUY probable que los objetivos contradictorios comprometan la eficacia del proceso de seguridad de la información cuando la gestión de la seguridad de la información es:
A. depender del gestor de la infraestructura de red
B. fuera de las tecnologías de la información
C. parcialmente dotada de personal externo de seguridad
D. combinada con la función de gestión del cambio
Ver respuesta
Respuesta correcta: D
Cuestionar #12
La principal ventaja de implementar la sincronización automática de contraseñas es que:
A. reduce la carga de trabajo administrativo general
B. aumenta la seguridad entre sistemas multinivel
C. permite cambiar las contraseñas con menos frecuenciA
D. reduce la necesidad de autenticación de dos factores
Ver respuesta
Respuesta correcta: A
Cuestionar #13
La forma MÁS eficaz de garantizar que los usuarios de la red son conscientes de sus responsabilidades a la hora de cumplir los requisitos de seguridad de una organización es:
A. mensajes que aparecen en cada inicio de sesión
B. mensajes de correo electrónico periódicos relacionados con la seguridad
C. un sitio web Intranet para la seguridad de la información
D. difundir la política de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #14
El cortafuegos subcontratado de una organización estaba mal configurado y permitía un acceso no autorizado que provocó un tiempo de inactividad de 48 horas. ¿Cuál de las siguientes opciones debería ser la PRÓXIMA acción del responsable de seguridad de la información?
A. Reconfigure el cortafuegos de acuerdo con las mejores prácticas
B. Obtener pruebas que demuestren que se ha corregido el problemA
C. Revisar el contrato y mejorar la responsabilidad del proveedor de servicios
D. Reclamar daños y perjuicios al proveedor de servicios
Ver respuesta
Respuesta correcta: B
Cuestionar #15
Una organización corre MAYOR riesgo de que se introduzca un nuevo gusano a través de la intranet cuando:
A. los archivos de definición de virus del escritorio no están actualizados
B. el software del sistema no se somete a comprobaciones de integridad
C. los hosts tienen direcciones IP estáticas
D. el código ejecutable se ejecuta desde dentro del cortafuegos
Ver respuesta
Respuesta correcta: A
Cuestionar #16
La dirección ha anunciado la adquisición de una nueva empresa. Al responsable de seguridad de la información de la empresa matriz le preocupa que los derechos de acceso contradictorios puedan poner en peligro información crítica durante la integración de las dos empresas:
A. escalar la preocupación por los derechos de acceso conflictivos a la dirección
B. aplicar normas coherentes de control de acceso
C. revisar los derechos de acceso a medida que se produce la integración de la adquisición
D. realizar una evaluación de riesgos de los derechos de acceso
Ver respuesta
Respuesta correcta: B
Cuestionar #17
Una revisión interna de un sistema de aplicaciones basado en web descubre la posibilidad de obtener acceso a las cuentas de todos los empleados cambiando el ID del empleado en la URL utilizada para acceder a la cuenta. La vulnerabilidad identificada es:
A. autenticación rotA
B. entrada no validadA
C. cross-site scripting
D. inyección en lenguaje de consulta estructurado (SQL)
Ver respuesta
Respuesta correcta: A
Cuestionar #18
¿Cuál es la MEJOR manera de que una organización controle los riesgos de seguridad?
A. Análisis de los indicadores clave de rendimiento (KPI)
B. Utilización de servicios externos de información sobre riesgos
C. Utilización de un cuadro de mandos para evaluar las vulnerabilidades
D. Análisis de los indicadores clave de riesgo (KRI)
Ver respuesta
Respuesta correcta: D
Cuestionar #19
La alta dirección ha asignado fondos a cada una de las divisiones de la organización para hacer frente a las vulnerabilidades de la seguridad de la información. La financiación se basa en el presupuesto tecnológico de cada división del ejercicio fiscal anterior. ¿Cuál de los siguientes puntos debería preocupar MÁS al responsable de seguridad de la información?
A. Las zonas de mayor riesgo pueden no estar adecuadamente priorizadas para el tratamiento
B. Pueden aplicarse controles redundantes en todas las divisiones
C. La gobernanza de la seguridad de la información podría descentralizarse por divisiones
D. El rendimiento de la inversión puede ser comunicado de forma incoherente a la alta dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #20
En caso de que no se pueda implementar una política de contraseñas para una aplicación heredada, ¿cuál de las siguientes es la MEJOR forma de proceder?
A. Actualice la política de seguridad de la aplicación
B. Aplicar el control compensatorio
C. Presentar una renuncia a la solicitud de legado
D. Realizar una evaluacion de seguridad de aplicaciones
Ver respuesta
Respuesta correcta: B
Cuestionar #21
El beneficio PRIMARIO de integrar el riesgo de seguridad de la información en la gestión del riesgo empresarial es:
A. garantizar la mitigación oportuna de los riesgos
B. justificar el presupuesto de seguridad de la información
C. obtener el compromiso de la alta dirección
D. proporcionar una visión holística del riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #22
¿Cuál de las siguientes opciones tiene MAYOR impacto en los esfuerzos por mejorar la seguridad de una organización?
A. Tono de apoyo de la alta dirección en materia de seguridad
B. Políticas y procedimientos de seguridad bien documentados
C. Información periódica a la alta dirección
D. Automatización de los controles de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #23
¿Cuál de las siguientes opciones es la MEJOR para garantizar que la dirección se responsabiliza del proceso de toma de decisiones en materia de seguridad de la información?
A. Políticas y procedimientos de seguridad
B. Autoevaluación anual por parte de la dirección
C. Comités directores de seguridad
D. Campañas de sensibilización en materia de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #24
¿Cuál de las siguientes debe ser la expectativa PRIMARIA de la dirección cuando una organización introduce un marco de gobernanza de la seguridad de la información?
A. Optimización de los recursos de seguridad de la información
B. Ejecución coherente de la estrategia de seguridad de la información
C. Mayor responsabilidad ante los accionistas
D. Mayor influencia de la gestión de la seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #25
Un mensaje* que ha sido cifrado por la clave privada del emisor y de nuevo por la clave pública del receptor consigue:
A. autenticación y autorización
B. confidencialidad e integridad
C. confidencialidad y no repudio
D. autenticación y no repudio
Ver respuesta
Respuesta correcta: C
Cuestionar #26
¿Cuál de las siguientes opciones es la MÁS eficaz para proteger la autenticidad de los datos en tránsito?
A. Valor hash
B. Firma digital
C. Clave pública
D. Clave privada
Ver respuesta
Respuesta correcta: B
Cuestionar #27
¿Cuál de las siguientes opciones es la MÁS útil para conseguir financiación para una herramienta comercial de evaluación de la vulnerabilidad?
A. Explicar el valor empresarial de la corrección de vulnerabilidades
B. Identificación de los requisitos legales y reglamentarios aplicables
C. Presentación de un informe de exploración de vulnerabilidades para los sistemas empresariales actuales
D. Desarrollar métricas de seguridad vinculadas a los objetivos empresariales
Ver respuesta
Respuesta correcta: A
Cuestionar #28
Tras realizar una evaluación de la seguridad de un sistema de producción, lo MÁS probable es que el responsable de la seguridad de la información:
A. informar al propietario del sistema de cualquier riesgo residual y proponer medidas para reducirlo
B. informar al equipo de desarrollo de cualquier riesgo residual y formular conjuntamente medidas de reducción de riesgos
C. informar al responsable informático de los riesgos residuales y proponer medidas para reducirlos
D. establecer un programa de seguridad global que minimice los riesgos residuales de ese sistema de producción
Ver respuesta
Respuesta correcta: A
Cuestionar #29
La aplicación de la política de seguridad de la información es responsabilidad del:
A. comité directivo de seguridad
B. director de información (CIO)
C. director de seguridad de la información (CISO)
D. Director de Cumplimiento Normativo (CCO)
Ver respuesta
Respuesta correcta: C
Cuestionar #30
La razón PRIMARIA por la que una organización exigiría que los usuarios firmaran un reconocimiento de sus responsabilidades de acceso al sistema es para:
A. mantener un registro preciso de los derechos de acceso de los usuarios
B. servir como prueba de la formación sobre concienciación en materia de seguridad
C. mantener el cumplimiento de las mejores prácticas del sector
D. asignar la responsabilidad de las transacciones realizadas con la I del usuario
Ver respuesta
Respuesta correcta: A
Cuestionar #31
La alta dirección de una organización está animando a sus empleados a utilizar las redes sociales con fines promocionales. Cuál de los siguientes debería ser el PRIMER paso del responsable de seguridad de la información para apoyar esta estrategia?
A. Incorporar los medios sociales al programa de concienciación sobre seguridad
B. Elaborar una directriz sobre el uso aceptable de las redes sociales
C. Desarrollar un caso de negocio para una solución de prevención de pérdida de datos (DLP)
D. Utilizar una solución de filtrado de contenidos web
Ver respuesta
Respuesta correcta: B
Cuestionar #32
Una organización está preocupada por una posible amenaza persistente avanzada (APT). Para garantizar que el riesgo asociado a esta amenaza se gestiona adecuadamente, ¿cuál debería ser la PRIMERA acción de la organización?
A. Informe a la alta dirección
B. Iniciar procesos de respuesta a incidentes
C. Aplicar controles adicionales
D. Realizar un análisis de impacto
Ver respuesta
Respuesta correcta: D
Cuestionar #33
¿Cuál de los siguientes es el MEJOR método para que la dirección obtenga garantías del cumplimiento de su política de seguridad?
A. Revisar los registros de incidentes de seguridad
B. Formar al personal sobre sus responsabilidades en materia de cumplimiento
C. Realizar revisiones periódicas independientes
D. Interrogar al personal sobre sus tareas de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #34
¿Cuál de los siguientes dispositivos debe colocarse dentro de una DMZ?
A. Enrutador
B. Cortafuegos
C. Retransmisión de correo
D. Servidor de autenticación
Ver respuesta
Respuesta correcta: C
Cuestionar #35
¿Cuál de los siguientes mecanismos de seguridad es el MÁS eficaz para proteger los datos clasificados que se han cifrado para impedir su divulgación y transmisión fuera de la red de la organización?
A. Configuración de cortafuegos
B. Fuerza de los algoritmos de cifrado
C. Autenticación dentro de la aplicación
D. Salvaguardias sobre las claves
Ver respuesta
Respuesta correcta: D
Cuestionar #36
Un responsable de seguridad de la información en una organización global que está sujeta a la regulación de múltiples jurisdicciones gubernamentales con diferentes requisitos debe:
A. poner todas las ubicaciones en conformidad con los requisitos agregados de todas las jurisdicciones gubernamentales
B. establecer normas básicas para todas las ubicaciones y añadir normas suplementarias según sea necesario
C. ajustar todas las ubicaciones a un conjunto generalmente aceptado de mejores prácticas del sector
D. establecer una norma de referencia que incorpore los requisitos que todas las jurisdicciones tienen en común
Ver respuesta
Respuesta correcta: B
Cuestionar #37
Además del coste, ¿cuál es el MEJOR criterio para seleccionar contramedidas tras una evaluación de riesgos?
A. Esfuerzo de aplicación
B. Requisitos de cualificación para la aplicación
C. Eficacia de cada opción
D. Requisitos de mantenimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #38
El compromiso y el apoyo de la alta dirección se ofrecerán MÁS probablemente cuando el valor de la gobernanza de la seguridad de la información se presente desde un:
A. perspectiva de amenazA
B. perspectiva de cumplimiento
C. perspectiva de riesgo
D. perspectiva políticA
Ver respuesta
Respuesta correcta: D
Cuestionar #39
Una organización está considerando la adopción de proveedores de servicios en la nube para sus operaciones empresariales globales en expansión. Cuál de las siguientes opciones es la MÁS importante que debe revisar el responsable de seguridad de la información en relación con la protección de datos?
A. Política de privacidad de datos
B. Política y normas de seguridad
C. Requisitos de organización
D. Leyes y normativas locales
Ver respuesta
Respuesta correcta: A
Cuestionar #40
Para una organización con una infraestructura informática grande y compleja, ¿cuál de los siguientes elementos de un servicio de recuperación en caso de catástrofe en el lugar de trabajo requerirá una supervisión más estrecha?
A. Acceso de los empleados
B. Derechos de auditoría
C. Configuraciones de sistemas
D. Número de abonados
Ver respuesta
Respuesta correcta: C
Cuestionar #41
Un responsable de seguridad de la información es informado por sus contactos en las fuerzas de seguridad de que existen pruebas de que su empresa es objetivo de una banda de piratas informáticos expertos que utilizan diversas técnicas, como la ingeniería social y la penetración en la red. El PRIMER paso que debe dar el responsable de seguridad es:
A. realizar una evaluación exhaustiva de la exposición de la organización a las técnicas del hacker
B. iniciar una formación de concienciación para contrarrestar la ingeniería social
C. informar inmediatamente a la alta dirección del elevado riesgo
D. aumentar las actividades de vigilancia para detectar precozmente las intrusiones
Ver respuesta
Respuesta correcta: C
Cuestionar #42
La probabilidad de éxito de un ataque depende de:
A. incentivo y capacidad del intruso
B. oportunidad y valor de los activos
C. niveles de amenaza y vulnerabilidad
D. valor y conveniencia para el intruso
Ver respuesta
Respuesta correcta: A
Cuestionar #43
¿Cuál de los siguientes pasos debe darse PRIMERO a la hora de establecer medidas de seguridad para los datos personales almacenados y tratados en un sistema de gestión de recursos humanos?
A. Realizar una evaluación del impacto sobre la privacidad (PIA)
B. Evaluar las tecnologías de cifrado de datos
C. Trasladar el sistema a una red independiente
D. Realizar una evaluación de la vulnerabilidad
Ver respuesta
Respuesta correcta: A
Cuestionar #44
¿Cuál de las siguientes métricas es el MEJOR indicador de un abuso del proceso de gestión de cambios que podría comprometer la seguridad de la información?
A. Número reducido de solicitudes de cambio
B. Gran disminución porcentual de las solicitudes de cambio mensuales
C. Porcentaje de cambios que incluyen complementos suplementarios posteriores a la homologación
D. Relación elevada entre las líneas de código modificadas y el total de líneas de código
Ver respuesta
Respuesta correcta: B
Cuestionar #45
Es importante desarrollar una línea base de seguridad de la información porque ayuda a definir:
A. recursos de información críticos que necesitan protección
B. una política de seguridad para toda la organización
C. la seguridad mínima aceptable que debe aplicarse
D. controles de acceso físico y lógico necesarios
Ver respuesta
Respuesta correcta: C
Cuestionar #46
¿Cuál de las siguientes es la MEJOR manera de garantizar que las políticas de seguridad de la organización cumplen los requisitos normativos en materia de seguridad de datos?
A. Obtener la aprobación anual de la dirección ejecutivA
B. Adaptar las políticas a la normativa mundial más estrictA
C. Externalizar las actividades de cumplimiento
D. Enviar las políticas a las partes interesadas para su revisión
Ver respuesta
Respuesta correcta: C
Cuestionar #47
¿Cuál de las siguientes debería ser la consideración PRIMARIA para un responsable de seguridad de la información a la hora de diseñar controles de seguridad para una aplicación empresarial recién adquirida?
A. Vulnerabilidades conocidas de la aplicación
B. El marco de la arquitectura de seguridad informática
C. Análisis coste-beneficio de los controles actuales
D. Procesos de negocio soportados por la aplicación
Ver respuesta
Respuesta correcta: C
Cuestionar #48
Una empresa aceptó previamente el riesgo asociado a una vulnerabilidad de día cero. La misma vulnerabilidad fue explotada recientemente en un ataque de alto perfil a otra organización de la misma industria. ¿Cuál de las siguientes opciones debería ser la PRIMERA acción del responsable de seguridad de la información?
A. Reevaluar el riesgo en términos de probabilidad e impacto
B. Desarrollar el mejor y el peor escenario posible
C. Informar de la infracción de la otra organización a la alta dirección
D. Evaluar el coste de remediar la vulnerabilidad
Ver respuesta
Respuesta correcta: A
Cuestionar #49
Al crear un programa de gobierno de la seguridad de la información, ¿cuál de las siguientes opciones es la MEJOR para que la organización pueda cumplir los requisitos normativos?
A. Directrices para procesos y procedimientos
B. Un marco de control de la seguridad
C. Un plan estratégico de seguridad aprobado
D. Aportaciones del comité director de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #50
Una organización ha identificado un aumento de la amenaza de ataques externos de fuerza bruta en su entorno. Cuál de las siguientes opciones es la MÁS eficaz para mitigar este riesgo para los sistemas críticos de la organización?
A. Aumentar la sensibilidad de los sistemas de detección de intrusos
B. Implantar la autenticación multifactor (MFA)
C. Implantar un sistema de gestión de eventos e información de seguridad (SIEM)
D. Aumentar la frecuencia de supervisión y análisis de los registros
Ver respuesta
Respuesta correcta: B
Cuestionar #51
¿Cuál de las siguientes opciones garantiza MÁS eficazmente la correcta instalación de una política de cortafuegos que restringe el acceso a Internet a un pequeño grupo de direcciones IP internas?
A. Una prueba de conectividad desde el host restringido
B. Un ataque simulado de denegación de servicio contra el cortafuegos
C. Un escaneo de puertos del cortafuegos desde una fuente externa
D. Una revisión de la configuración actual del cortafuegos
Ver respuesta
Respuesta correcta: A
Cuestionar #52
¿En qué fase del ciclo de vida de desarrollo de software (SDLC) deben abordarse PRIMERO los controles de seguridad de las aplicaciones?
A. Desarrollo de código de software
B. Gestión de la configuración
C. Diseño del sistema de aplicación
D. Recopilación de requisitos
Ver respuesta
Respuesta correcta: D
Cuestionar #53
El PRIMER paso para crear una cultura interna centrada en la seguridad de la información es:
A. implantar controles más estrictos
B. llevar a cabo una formación periódica de sensibilización
C. supervisar activamente las operaciones
D. obtener el respaldo de la dirección ejecutivA
Ver respuesta
Respuesta correcta: D
Cuestionar #54
¿Cuál de los siguientes es el MEJOR método para proporcionar a un nuevo usuario su contraseña inicial de acceso al sistema de correo electrónico?
A. Interoffice una contraseña compleja generada por el sistema con 30 días de caducidad
B. Dar una contraseña falsa por teléfono con caducidad inmediata
C. No exigir contraseña pero obligar al usuario a establecer la suya propia en 10 días
D. Establezca la contraseña inicial igual al ID de usuario con expiracion en 30 dias
Ver respuesta
Respuesta correcta: B
Cuestionar #55
¿Cuál es la MEJOR manera de determinar el nivel de riesgo asociado a los activos de información procesados por una aplicación informática?
A. Evaluar el valor potencial de la información para un atacante
B. Calcular el valor empresarial de los activos de información
C. Revisar el coste de adquisición de los activos de información para la empresa
D. Investigación de los requisitos de cumplimiento asociados a la información
Ver respuesta
Respuesta correcta: B
Cuestionar #56
¿Cuál de los siguientes puntos debe establecerse PRIMERO al implantar un marco de gobernanza de la seguridad de la información?
A. Equipo de gestión de incidentes de seguridad
B. Programa de formación sobre sensibilización en materia de seguridad
C. Arquitectura de seguridad
D. Políticas de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #57
¿Cuál de las siguientes opciones es la MÁS importante que debe verificar un responsable de seguridad de la información antes de realizar una prueba de continuidad funcional completa?
A. Se ha documentado la aceptación del riesgo por parte de la empresA
B. Los planes de respuesta a incidentes y de recuperación están documentados en un lenguaje sencillo
C. Se han identificado los equipos y las personas responsables de la recuperación
D. Las copias de los planes de recuperación y respuesta a incidentes se guardan fuera de las instalaciones
Ver respuesta
Respuesta correcta: C
Cuestionar #58
El MAYOR beneficio resultante de unos procedimientos de seguridad de la información bien documentados es que:
A. garantizar que las políticas de seguridad se aplican de forma coherente
B. garantizar que el personal temporal pueda seguir los procesos críticos
C. facilitar la formación del nuevo personal en materia de seguridad
D. proporcionar una base para auditar las prácticas de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #59
¿Cuál de los siguientes procesos es el PRIMER paso para establecer una política de seguridad de la información?
A. Evaluación de los controles de seguridad
B. Auditoría de seguridad de la información
C. Revisión de las normas mundiales vigentes
D. Evaluación del riesgo empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #60
¿Cuál de los siguientes mecanismos es el MÁS seguro para implementar una red inalámbrica segura?
A. Filtrar direcciones de control de acceso a medios (MAC)
B. Utilizar un protocolo de Acceso Wi-Fi Protegido (WPA2)
C. Utilizar una clave WEP (Wired Equivalent Privacy)
D. Autenticación basada en web
Ver respuesta
Respuesta correcta: B
Cuestionar #61
La finalidad de un control correctivo es:
A. reducir los efectos adversos
B. indicar compromiso
C. mitigar el impacto
D. garantizar el cumplimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #62
La alta dirección pide al responsable de seguridad de la información una justificación antes de aprobar la adquisición de un nuevo sistema de detección de intrusos (IDS). La MEJOR forma de proceder es proporcionar:
A. mejores prácticas documentadas del sector
B. un análisis de deficiencias con respecto a los nuevos controles IDS
C. un caso empresarial
D. un análisis de impacto empresarial (BIA)
Ver respuesta
Respuesta correcta: C
Cuestionar #63
¿Cuál de las siguientes opciones protege MEJOR contra los ataques de phishing?
A. Lista blanca de aplicaciones
B. Cifrado de red
C. Filtrado del correo electrónico
D. Formación sobre estrategias de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #64
¿Cuál de las siguientes opciones es la MÁS importante a tener en cuenta al manejar pruebas digitales durante la investigación forense de un ciberdelito?
A. Estrategias empresariales
B. Mejores prácticas del sector
C. Normas mundiales
D. Normativa local
Ver respuesta
Respuesta correcta: D
Cuestionar #65
¿Cuál de los siguientes debe ser el PRIMER paso en el desarrollo de un plan de seguridad de la información?
A. Realizar una evaluación de las vulnerabilidades técnicas
B. Analizar la estrategia empresarial actual
C. Realizar un análisis de impacto empresarial
D. Evaluar los niveles actuales de concienciación en materia de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #66
¿Cuál de las siguientes opciones sería la MÁS útil en un informe a la alta dirección para evaluar los cambios en la posición de riesgo de la seguridad de la información de la organización?
A. Registro de riesgos
B. Análisis de tendencias
C. Puntos de referencia del sector
D. Plan de acción de gestión
Ver respuesta
Respuesta correcta: A
Cuestionar #67
¿Cuál de las siguientes opciones ofrece la MAYOR garantía de que la seguridad de la información se tiene en cuenta en la gestión del cambio?
A. Realización de una auditoría de seguridad sobre los cambios
B. Impartir formación en materia de seguridad a la junta consultiva sobre el cambio
C. Exigir el visto bueno de la alta dirección a la gestión del cambio
D. Revisar los cambios desde el punto de vista de la seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #68
¿Cuál de las siguientes es la forma MÁS eficaz de garantizar que las unidades de negocio cumplan con un marco de gobernanza de la seguridad de la información?
A. Integración de los requisitos de seguridad con los procesos
B. Realización de evaluaciones de seguridad y análisis de deficiencias
C. Realización de un análisis de impacto en la empresa (BIA)
D. Impartir formación sobre seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #69
¿Cuál de las siguientes opciones facilitará MEJOR el desarrollo de procedimientos adecuados de respuesta a incidentes?
A. Realización de pruebas de escenarios
B. Realización de evaluaciones de vulnerabilidad
C. Análisis de los indicadores clave de riesgo (KRI)
D. Evaluación de la madurez de las capacidades
Ver respuesta
Respuesta correcta: A
Cuestionar #70
¿Cuál de los siguientes es el método MÁS eficaz para determinar las prioridades de seguridad?
A. Análisis de impacto
B. Evaluación de la amenaza
C. Evaluación de la vulnerabilidad
D. Análisis de carencias
Ver respuesta
Respuesta correcta: A
Cuestionar #71
En una organización que aplica un programa de clasificación de datos, la responsabilidad última de los datos del servidor de base de datos recae en el:
A. responsable de seguridad de la información
B. director de unidad de negocio
C. administrador de bases de datos (DBA)
D. director de tecnologías de la información:
Ver respuesta
Respuesta correcta: A
Cuestionar #72
La razón PRIMARIA para clasificar los activos de información debe ser garantizar:
A. un control de acceso adecuado
B. compromiso de la alta dirección
C. la valoración del seguro es adecuadA
D. se establece la propiedad adecuadA
Ver respuesta
Respuesta correcta: D
Cuestionar #73
El departamento de marketing de una organización ha solicitado acceso a sitios de colaboración basados en la nube para intercambiar archivos multimedia con empresas de marketing externas. Como resultado, se ha pedido al responsable de seguridad de la información que realice una evaluación de riesgos. ¿Cuál de las siguientes consideraciones debería ser la MÁS importante?
A. Información que debe intercambiarse
B. Métodos de transferencia de la información
C. Reputación de las empresas externas de comercialización
D. La seguridad del proveedor externo de la nube
Ver respuesta
Respuesta correcta: B
Cuestionar #74
¿Cuál de los siguientes es un paso en el establecimiento de una política de seguridad?
A. Desarrollo de líneas de base de seguridad a nivel de plataforma
B. Creación de una matriz RACI
C. Implantación de un proceso de desarrollo y mantenimiento de la política
D. Desarrollo de parámetros de configuración para la red
Ver respuesta
Respuesta correcta: C
Cuestionar #75
Cuando una norma de seguridad entra en conflicto con un objetivo empresarial, la situación debe resolverse de la siguiente manera:
A. cambiar la norma de seguridad
B. cambiar el objetivo empresarial
C. realizar un análisis de riesgos
D. autorizar una aceptación de riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #76
¿Cuál de las siguientes situaciones debe corregirse PRIMERO para garantizar el éxito del gobierno de la seguridad de la información en una organización?
A. El departamento de seguridad de la información tiene dificultades para cubrir vacantes
B. El director de información (CIO) aprueba los cambios en la política de seguridad
C. El comité de supervisión de la seguridad de la información sólo se reúne trimestralmente
D. El gerente del centro de datos tiene la firma final en todos los proyectos de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #77
El PRIMER paso para establecer un programa de seguridad de la información es:
A. definir políticas y normas que mitiguen los riesgos de la organización
B. garantizar el compromiso y el apoyo de la organización
C. evaluar el cumplimiento de los requisitos normativos por parte de la organización
D. determinar el nivel de riesgo aceptable para la alta dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #78
¿Cuál de las siguientes es la razón PRIMARIA para que la dirección ejecutiva participe en el establecimiento del marco de gestión de la seguridad de una empresa?
A. Determinar el estado deseado de la seguridad empresarial
B. Establecer el nivel mínimo de controles necesarios
C. Satisfacer las recomendaciones de los auditores en materia de seguridad empresarial
D. Para asegurar que las mejores practicas de la industria para la seguridad de la empresa son seguidas
Ver respuesta
Respuesta correcta: A
Cuestionar #79
¿Cuál es el MEJOR método para verificar que todos los parches de seguridad aplicados a los servidores se documentaron correctamente?
A. Rastrear las solicitudes de control de cambios a los registros de parches del sistema operativo (SO)
B. Rastrear los registros de parches del SO hasta la documentación de actualización del proveedor del SO
C. Rastrear los registros de parches del SO hasta las solicitudes de control de cambios
D. Revisar la documentación de control de cambios de los servidores clave
Ver respuesta
Respuesta correcta: C
Cuestionar #80
Se ha publicado un parche validado para solucionar una nueva vulnerabilidad que puede afectar a un servidor de misión crítica. ¿Qué debe hacerse inmediatamente?
A. Añadir controles atenuantes
B. Desconecte el servidor e instale el parche
C. Comprobar la seguridad del servidor e instalar el parche
D. Realizar un análisis de impacto
Ver respuesta
Respuesta correcta: D
Cuestionar #81
Un CEO exige que la gestión de riesgos de seguridad de la información se practique a nivel organizativo a través de un registro central de riesgos. ¿Cuál de las siguientes es la razón MÁS importante para presentar un resumen de este registro de riesgos a la junta directiva?
A. Facilitar la alineación entre la gestión de riesgos y los objetivos de la organización
B. Garantizar una financiación adecuada para la gestión y mitigación de riesgos
C. Cumplir los requisitos reglamentarios y legales de la organización
D. Garantizar la adecuación a las normas y tendencias del sector
Ver respuesta
Respuesta correcta: A
Cuestionar #82
Desde una perspectiva empresarial, la función MÁS importante de la seguridad de la información es dar soporte:
A. operaciones previsibles
B. normas internacionales
C. concienciación en materia de seguridad
D. política de empresA
Ver respuesta
Respuesta correcta: D
Cuestionar #83
¿Cuál de los siguientes riesgos se evaluaría MEJOR utilizando técnicas cualitativas de evaluación de riesgos?
A. Robo de software adquirido
B. Corte de electricidad de 24 horas
C. Disminución permanente de la confianza de los clientes
D. Pérdida temporal del correo electrónico debido a un ataque de virus
Ver respuesta
Respuesta correcta: C
Cuestionar #84
Una organización reguladora envía un correo electrónico a un responsable de seguridad de la información advirtiéndole de un ciberataque inminente. El responsable de seguridad de la información debe PRIMERO:
A. validar la autenticidad de la descripción
B. determinar si el ataque está en curso
C. alertar al centro de operaciones de la red
D. responder pidiendo más detalles
Ver respuesta
Respuesta correcta: A
Cuestionar #85
¿Cuál de los siguientes pasos debe darse PRIMERO a la hora de seleccionar las métricas de rendimiento para informar sobre el proceso de gestión de riesgos de proveedores?
A. Revise los requisitos de confidencialidad
B. Identificar al propietario de los datos
C. Seleccione la fuente de datos
D. Identifique a los destinatarios
Ver respuesta
Respuesta correcta: B
Cuestionar #86
Sin aprobación previa, un departamento de formación inscribió a la empresa en un sitio gratuito de colaboración basado en la nube e invitó a los empleados a utilizarlo. Cuál de las siguientes es la MEJOR respuesta del responsable de seguridad de la información?
A. Realizar una evaluación de riesgos y desarrollar un análisis de impacto
B. Actualizar el registro de riesgos y revisar la estrategia de seguridad de la información
C. Informar de la actividad a la alta dirección
D. Permitir el uso temporal del sitio y vigilar la fuga de datos
Ver respuesta
Respuesta correcta: C
Cuestionar #87
¿Cuál de las siguientes situaciones podría ser detectada por un sistema de detección de intrusiones en la red (IDS)?
A. Puertos abiertos no documentados
B. Cambio de archivo no autorizado
C. Ataques generados internamente
D. Archivos adjuntos con virus enviados por correo electrónico
Ver respuesta
Respuesta correcta: A
Cuestionar #88
¿Cuál de las siguientes opciones es la MEJOR para incluir en un caso empresarial cuando el rendimiento de la inversión (ROI) de una iniciativa de seguridad de la información es difícil de calcular?
A. Reducción estimada del riesgo
B. Aumento estimado de la eficiencia
C. Costes previstos en el tiempo
D. Aumento previsto del nivel de madurez
Ver respuesta
Respuesta correcta: A
Cuestionar #89
¿Cuál de las siguientes opciones sería la MEJOR justificación para una nueva inversión en seguridad de la información?
A. Resultados de un análisis exhaustivo de amenazas
B. Reducción prevista del riesgo
C. Participación de la alta dirección en la priorización de proyectos
D. Indicadores clave de rendimiento (KPI) definidos
Ver respuesta
Respuesta correcta: A
Cuestionar #90
Se ha identificado un riesgo durante una evaluación de riesgos. El propietario del proceso de negocio ha decidido aceptar el riesgo porque el coste de la corrección es mayor que el coste previsto en el peor de los casos. ¿Cuál debería ser la PRÓXIMA actuación del responsable de seguridad de la información?
A. Determinar un enfoque de menor coste para la reparación
B. Documentar y fijar una fecha para volver a tratar el asunto
C. Cierre la aplicación empresarial
D. Documéntelo y comuníquelo a la alta dirección
Ver respuesta
Respuesta correcta: D
Cuestionar #91
Cuando un responsable de la seguridad de la información elabora un plan estratégico para la seguridad de la información, el calendario del plan debe ser:
A. en consonancia con el plan estratégico de TI
B. basándose en el ritmo actual de cambio tecnológico
C. de tres a cinco años tanto para el hardware como para el software
D. alineada con la estrategia empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #92
¿Cuál de los siguientes dispositivos podría detener un ataque de inyección de lenguaje de consulta estructurado (SQL)?
A. Un sistema de prevención de intrusiones (IPS)
B. Un sistema de detección de intrusiones (IDS)
C. Un sistema de detección de intrusiones basado en host (HIDS)
D. Un firewall basado en host
Ver respuesta
Respuesta correcta: A
Cuestionar #93
¿Cuál debe ser el objetivo PRIMARIO de las entrevistas con los responsables de las unidades de negocio a la hora de desarrollar una estrategia de seguridad de la información?
A. Determinar los tipos de información
B. Obtener información sobre los objetivos de los departamentos
C. Identificar la propiedad de los datos y del sistema
D. Clasificar los activos de información
Ver respuesta
Respuesta correcta: B
Cuestionar #94
Una empresa tiene previsto abrir una nueva oficina en otro país. Los datos confidenciales se enviarán de forma rutinaria entre las dos oficinas. ¿Cuál debería ser la PRIMERA actuación del responsable de seguridad de la información?
A. Identificar los requisitos normativos aplicables para establecer políticas de seguridad
B. Actualizar las políticas de privacidad para incluir las leyes y normativas del otro país
C. Aplicar las políticas de seguridad corporativas actuales a la nueva oficinA
D. Cifrar los datos para transferirlos a la oficina central previa aprobación del responsable de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #95
¿Cuál es la MEJOR forma de actuar cuando un responsable de seguridad de la información descubre que un proveedor de servicios externo no ha implantado los controles adecuados para salvaguardar los datos críticos de la organización?
A. Evaluar el impacto de la brecha de control
B. Iniciar la renegociación de los contratos
C. Contratar un seguro adicional
D. Realizar una auditoría de control del proveedor
Ver respuesta
Respuesta correcta: A
Cuestionar #96
Garantizar que las actividades realizadas por los proveedores de externalización cumplen las políticas de seguridad de la información puede lograrse MEJOR mediante el uso de:
A. acuerdos de nivel de servicio
B. auditorías independientes
C. lenguaje contractual explícito
D. normativa local
Ver respuesta
Respuesta correcta: B
Cuestionar #97
Una organización ha adoptado la práctica de la rotación periódica del personal para minimizar el riesgo de fraude y fomentar la formación cruzada. ¿Qué tipo de política de autorización sería la MEJOR para esta práctica?
A. Multinivel
B. Basado en roles
C. Discrecional
D. Basado en atributos
Ver respuesta
Respuesta correcta: B
Cuestionar #98
Un responsable de seguridad de la información ha desarrollado una estrategia para hacer frente a los nuevos riesgos de seguridad de la información derivados de cambios recientes en la empresa. Cuál de las siguientes opciones sería la MÁS importante para presentar la estrategia a la alta dirección?
A. Los costes asociados a los cambios en los procesos empresariales
B. Resultados de la evaluación comparativa con los homólogos del sector
C. El impacto de los cambios organizativos en el perfil de riesgo para la seguridad
D. Controles de seguridad necesarios para mitigar los riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #99
¿Cuál de las siguientes opciones describe MEJOR el alcance del análisis de riesgos?
A. Principales sistemas financieros
B. Actividades organizativas
C. Sistemas e infraestructuras clave
D. Sistemas sujetos a cumplimiento normativo
Ver respuesta
Respuesta correcta: B
Cuestionar #100
¿Cuál de los siguientes métodos es el que MÁS preocupa a la hora de detectar nuevas amenazas mediante IDS?
A. Reconocimiento estadístico de patrones
B. Firmas de ataque
C. Análisis heurístico
D. Análisis del tráfico
Ver respuesta
Respuesta correcta: B
Cuestionar #101
¿Qué métrica es el MEJOR indicador de que una actualización de la estrategia de concienciación sobre seguridad de la información de una organización es eficaz?
A. Disminución del número de incidentes notificados por el personal
B. Disminución del número de virus de correo electrónico detectados
C. Aumento del número de virus detectados en el correo electrónico
D. Aumento del número de incidentes notificados por el personal
Ver respuesta
Respuesta correcta: A
Cuestionar #102
Una unidad de negocio principal depende de un sistema heredado eficaz que no cumple las normas de seguridad actuales y amenaza la red de la empresa. ¿Cuál de los siguientes es el MEJOR curso de acción para abordar la situación?
A. Documentar las deficiencias en el registro de riesgos
B. Desconectar el sistema heredado del resto de la red
C. Exigir que se implanten nuevos sistemas que puedan cumplir las normas
D. Desarrollar procesos para compensar las deficiencias
Ver respuesta
Respuesta correcta: A
Cuestionar #103
Una firma digital que utilice una infraestructura de clave pública (PKI):
A. no garantizar la integridad de un mensaje
B. basarse en el grado de confianza de la autoridad de certificación (CA)
C. requieren dos partes en el intercambio de mensajes
D. proporcionar un alto nivel de confidencialidad
Ver respuesta
Respuesta correcta: B
Cuestionar #104
Una organización está considerando una solución de autoservicio para el despliegue de servidores de desarrollo virtualizados. ¿Cuál de las siguientes debería ser la principal preocupación del responsable de seguridad de la información?
A. Capacidad para mantener la base de seguridad del servidor
B. Capacidad para mantenerse al día con los parches
C. Generación de excesivos registros de eventos de seguridad
D. Segregación de servidores del entorno de producción
Ver respuesta
Respuesta correcta: D
Cuestionar #105
¿Cuál de las siguientes opciones es la MÁS eficaz para minimizar la posibilidad de revelación involuntaria de información confidencial?
A. Siguiendo el principio del menor privilegio
B. Restricción del uso de soportes extraíbles
C. Aplicación de reglas de clasificación de datos
D. Aplicación de sanciones por infracciones de la política de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #106
A la hora de desarrollar un marco de gobernanza de la seguridad de la información, ¿cuál de los siguientes aspectos debería ser el PRIMERO?
A. Integrar la seguridad en el proceso del ciclo de vida de desarrollo del sistemA
B. Alinear el programa de seguridad de la información con las demás actividades de riesgo y control de la organización
C. Desarrollar políticas y procedimientos para apoyar el marco
D. Desarrollar medidas de respuesta para detectar y garantizar el cierre de las brechas de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #107
¿Cuál de las siguientes opciones es la MEJOR para garantizar la aplicación de las normas de seguridad?
A. Pruebas funcionales
B. Realizar una revisión del código
C. Publicación de normas de codificación de software
D. Pruebas de penetración
Ver respuesta
Respuesta correcta: D
Cuestionar #108
¿Cuál de las siguientes es la función MÁS importante de la seguridad de la información?
A. Gestión del riesgo para la organización
B. Reducir el impacto financiero de las violaciones de seguridad
C. Identificación de las vulnerabilidades del sistema
D. Prevención de incidentes de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #109
El objetivo PRIMARIO del gobierno de la seguridad de la información para una organización es:
A. alinearse con los procesos empresariales
B. alinearse con los objetivos empresariales
C. establecer una estrategia de seguridad
D. gestionar los costes de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #110
A la hora de establecer un marco de gobernanza de la seguridad de la información, lo MÁS importante para un responsable de seguridad de la información es comprender:
A. el entorno normativo
B. mejores prácticas de seguridad de la información
C. la cultura corporativA
D. técnicas de gestión de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #111
¿Cuál de las siguientes acciones debe realizar PRIMERO un responsable de seguridad de la información cuando ha aumentado el riesgo residual de una organización?
A. Aplicar medidas de seguridad para reducir el riesgo
B. Comunicar la información a la alta dirección
C. Transferir el riesgo a terceros
D. Evaluar el impacto empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #112
Una organización ha puesto en marcha recientemente un nuevo programa de adquisiciones que no incluye ningún requisito de seguridad. Cuál de las siguientes acciones debería realizar PRIMERO el responsable de seguridad de la información?
A. Realizar evaluaciones de seguridad de los proveedores basadas en el valor del gasto anual con cada proveedor
B. Reunirse con el responsable de compras para hablar de la adecuación de la seguridad a los objetivos operativos de la organización
C. Pedir a auditoría interna que realice una evaluación del estado actual de los controles de seguridad de terceros
D. Elevar las lagunas del programa de adquisiciones al departamento de cumplimiento en caso de problemas de incumplimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #113
¿Cuál de las siguientes es una responsabilidad PRIMARIA de la función de gobierno de la seguridad de la información?
A. Definición de estrategias de seguridad para apoyar los programas de la organización
B. Garantizar un apoyo adecuado a las soluciones que utilizan tecnologías emergentes
C. Fomentar una cultura consciente de los riesgos para reforzar el programa de seguridad de la información
D. Asesorar a la alta dirección sobre los niveles óptimos de apetito y tolerancia al riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #114
La eficacia del proceso de seguridad de la información se reduce cuando una organización subcontrata:
A. es responsable de las actividades de gobernanza de la seguridad de la información
B. recibe ingresos adicionales cuando se cumplen los niveles de servicio de seguridad
C. incurre en sanciones por incumplimiento de los acuerdos de nivel de servicio de seguridad
D. estandariza un único producto de software de control de acceso
Ver respuesta
Respuesta correcta: A
Cuestionar #115
¿Cuál de las siguientes herramientas es la MÁS adecuada para evaluar si se están cumpliendo los objetivos de gobernanza de la seguridad de la información?
A. Análisis DAFO
B. Gráfico en cascada
C. Análisis de carencias
D. Cuadro de mando integral
Ver respuesta
Respuesta correcta: D
Cuestionar #116
La alta dirección ha aprobado una política global de seguridad de la información. ¿Cuál de las siguientes medidas debería adoptar la organización a continuación?
A. Promover el conocimiento de la política entre los empleados
B. Buscar la aceptación de la política por parte de las partes interesadas de la empresA
C. Implantar un sistema de autenticación y autorización
D. Identificar los marcos de seguridad de la información pertinentes para su adopción
Ver respuesta
Respuesta correcta: B
Cuestionar #117
La desventaja PRIMARIA de utilizar una instalación de recuperación en frío es que es:
A. no disponible para pruebas durante el horario laboral normal
B. sólo disponible si no lo utiliza el inquilino principal
C. no es posible reservar fechas de examen con antelación
D. no es rentable para probar aplicaciones críticas en el sitio
Ver respuesta
Respuesta correcta: A
Cuestionar #118
Cuando un sistema departamental sigue sin cumplir los requisitos de seguridad de contraseñas de una política de seguridad de la información, la MEJOR acción que se puede emprender es:
A. someter el asunto al comité directivo
B. realizar un análisis de impacto para cuantificar los riesgos
C. aislar el sistema del resto de la red
D. solicitar la aceptación del riesgo por parte de la alta dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #119
Una organización ha implementado un programa de "traiga su propio dispositivo" (BYOD). Cuál de los siguientes es el MAYOR riesgo para la organización?
A. Falta de no repudio
B. Incompatibilidad de dispositivos
C. Robo de dispositivos
D. Fuga de datos
Ver respuesta
Respuesta correcta: D
Cuestionar #120
¿Cuál de las siguientes opciones es la MÁS importante para implantar con éxito un marco de gobernanza de la seguridad de la información en toda la organización?
A. Controles de seguridad organizativos desplegados conforme a la normativa
B. Procesos de gestión de la seguridad alineados con los objetivos de seguridad
C. La cultura de seguridad organizativa existente
D. Políticas de seguridad que se adhieren a las mejores prácticas de la industria
Ver respuesta
Respuesta correcta: B
Cuestionar #121
Un responsable de seguridad de la información descubre que una aplicación en línea que se desplegará próximamente aumentará el riesgo por encima de niveles aceptables y que no se han incluido los controles necesarios. Cuál de las siguientes es la MEJOR medida que puede tomar el responsable de seguridad de la información?
A. Presentar a la alta dirección un argumento comercial a favor de controles adicionales
B. Dar instrucciones a TI para que despliegue controles en función de las necesidades empresariales urgentes
C. Solicitar ofertas de productos de control compensatorio
D. Recomendar una aplicación diferente
Ver respuesta
Respuesta correcta: A
Cuestionar #122
¿Cuál de los siguientes es un indicador de mejora en la capacidad para identificar los riesgos de seguridad?
A. Aumento del número de incidentes de seguridad notificados
B. Disminución del número de empleados que necesitan formación en seguridad de la información
C. Disminución del número de evaluaciones de riesgos para la seguridad de la información
D. Mayor número de problemas de auditoría de seguridad resueltos
Ver respuesta
Respuesta correcta: D
Cuestionar #123
El registro es un ejemplo de ¿qué tipo de defensa contra el compromiso de los sistemas?
A. Contención
B. Detección
C. Reacción
D. Recuperación
Ver respuesta
Respuesta correcta: B
Cuestionar #124
El elemento MÁS importante para lograr el compromiso de los ejecutivos con un programa de gobernanza de la seguridad de la información es:
A. un marco de seguridad definido
B. identificación de los motores de la empresa
C. estrategias de seguridad establecidas
D. un modelo de mejora de procesos
Ver respuesta
Respuesta correcta: B
Cuestionar #125
¿Cuál de los siguientes es el individuo MÁS apropiado para implantar y mantener el nivel de seguridad de la información necesario para una aplicación empresarial específica?
A. Analista de sistemas
B. Responsable del control de calidad
C. Propietario del proceso
D. Responsable de seguridad de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #126
¿Cuál de las siguientes opciones protege MEJOR contra los ataques entre dominios basados en web?
A. Endurecimiento de la base de datos
B. Controles de aplicación
C. Esquema de direccionamiento de red
D. Controles de cifrado
Ver respuesta
Respuesta correcta: B
Cuestionar #127
¿Cuál de las siguientes opciones es la MÁS eficaz para evitar que se introduzcan puntos débiles en los sistemas de producción existentes?
A. Gestión de parches
B. Gestión del cambio
C. Líneas de base de seguridad
D. Detección de virus
Ver respuesta
Respuesta correcta: B
Cuestionar #128
¿Cuál debería ser la principal preocupación de una organización a la hora de evaluar un modelo de computación en nube de Infraestructura como Servicio (IaaS) para una aplicación de comercio electrónico?
A. Disponibilidad de los servicios del proveedor
B. Requisitos de auditoría interna
C. Dónde reside la aplicación
D. Propiedad de la solicitud
Ver respuesta
Respuesta correcta: A
Cuestionar #129
¿Cuál de las siguientes opciones ayuda MÁS eficazmente a una organización a alinear el gobierno de la seguridad de la información con el gobierno corporativo?
A. Promover la seguridad para alcanzar los objetivos empresariales
B. Priorizar las iniciativas de seguridad en función de la estrategia de TI
C. Adoptar normas de seguridad mundiales para alcanzar los objetivos empresariales
D. Desarrollo de métricas de rendimiento de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #130
La MEJOR manera de justificar la implantación de un producto de inicio de sesión único (SSO) es utilizar:
A. retorno de la inversión (ROD
B. una evaluación de la vulnerabilidad
C. esperanza de pérdida anual (EPA)
D. un caso empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #131
¿Cuál de las siguientes fases de desarrollo de sistemas debe incluir la evaluación de riesgos para garantizar que los riesgos se tienen en cuenta en un proyecto de desarrollo?
A. Programación
B. Especificación
C. Pruebas de usuario
D. Viabilidad
Ver respuesta
Respuesta correcta: D
Cuestionar #132
¿Cuál de las siguientes opciones prepararía MEJOR a un responsable de seguridad de la información para las revisiones reglamentarias?
A. Asignar un administrador de seguridad de la información como enlace regulador
B. Realizar autoevaluaciones utilizando directrices e informes reglamentarios
C. Evaluar los informes reglamentarios anteriores con la aportación de los responsables del proceso
D. Garantizar que todas las investigaciones reglamentarias sean sancionadas por el departamento jurídico
Ver respuesta
Respuesta correcta: B
Cuestionar #133
Un responsable de seguridad de la información ha completado una evaluación de riesgos y ha determinado el riesgo residual. ¿Cuál de los siguientes debería ser el SIGUIENTE paso?
A. Realizar una evaluación de los controles
B. Determinar si el riesgo se ajusta a la propensión al riesgo
C. Aplicar contramedidas para mitigar el riesgo
D. Clasificar todos los riesgos identificados
Ver respuesta
Respuesta correcta: B
Cuestionar #134
¿En cuál de los siguientes puntos debe colocarse un router fronterizo?
A. Servidor web
B. Servidor IDS
C. Subred filtrada
D. Límite del dominio
Ver respuesta
Respuesta correcta: D
Cuestionar #135
¿Cuál de las siguientes es la razón MÁS importante para que una organización desarrolle un programa de gobierno de la seguridad de la información?
A. Establecimiento de responsabilidades
B. Cumplimiento de los requisitos de auditoría
C. Seguimiento de los incidentes de seguridad
D. Creación de soluciones tácticas
Ver respuesta
Respuesta correcta: B
Cuestionar #136
¿Cuál de las siguientes opciones es la MÁS esencial para que un programa de gestión de riesgos sea eficaz?
A. Presupuesto de seguridad flexible
B. Base sólida de riesgos
C. Detección de nuevos riesgos
D. Información precisa sobre riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #137
Los atacantes que aprovechan las vulnerabilidades de cross-site scripting se aprovechan de:
A. falta de controles adecuados de validación de entradas
B. controles de autenticación débiles en la capa de aplicación web
C. implementaciones criptográficas defectuosas de la capa de sockets seguros (SSL) y longitudes de clave cortas
D. relaciones de confianza implícitas de las aplicaciones web
Ver respuesta
Respuesta correcta: A
Cuestionar #138
¿Cuál de las siguientes opciones proporcionaría el resultado de seguridad MÁS eficaz en el proceso de gestión de contratos de una organización?
A. Ampliación de la evaluación de la seguridad para incluir pruebas de penetración aleatorias
B. Ampliación de la evaluación de la seguridad para cubrir la enajenación de bienes a la finalización del contrato
C. Realizar análisis comparativos de la seguridad de los proveedores en la fase de solicitud de ofertas (RFP)
D. Garantizar que los requisitos de seguridad se definen en la fase de solicitud de propuestas (RFP)
Ver respuesta
Respuesta correcta: C
Cuestionar #139
¿Cuál de las siguientes opciones ayudaría MEJOR a identificar las vulnerabilidades introducidas por los cambios en la infraestructura técnica de una organización?
A. Un sistema de detección de intrusos
B. Bases de seguridad establecidas
C. Pruebas de penetración
D. Agregación y correlación de registros
Ver respuesta
Respuesta correcta: C
Cuestionar #140
¿Qué debería recomendar el responsable de seguridad de la información para respaldar el desarrollo de una nueva aplicación web que permitirá a los clientes minoristas ver el inventario y pedir productos?
A. Creación de una matriz de control de acceso
B. Solicitar a los clientes que se adhieran a las normas básicas de seguridad
C. Acceso a través de una red privada virtual (VPN)
D. Aplicación de protocolos de transmisión seguros
Ver respuesta
Respuesta correcta: D
Cuestionar #141
¿Qué utilizaría PRIMARIAMENTE un responsable de seguridad a la hora de proponer la implantación de una solución de seguridad?
A. Informe de evaluación de riesgos
B. Informe de evaluación técnica
C. Caso práctico
D. Requisitos presupuestarios
Ver respuesta
Respuesta correcta: C
Cuestionar #142
Un análisis de impacto en el negocio debe ejecutarse periódicamente PRIMARIAMENTE para:
A. validar las vulnerabilidades en los cambios ambientales
B. analizar la importancia de los activos
C. verificar la eficacia de los controles
D. comprobar el cumplimiento de la normativA
Ver respuesta
Respuesta correcta: A
Cuestionar #143
¿Cuál de los siguientes es el requisito previo MÁS importante para realizar una evaluación de riesgos para la seguridad de la información?
A. Clasificación de los activos
B. Determinación de la tolerancia al riesgo
C. Revisión del análisis de impacto en el negocio
D. Evaluación de amenazas y vulnerabilidades
Ver respuesta
Respuesta correcta: D
Cuestionar #144
Al apoyar al consejo de administración de una gran empresa en el desarrollo de la gobernanza, ¿cuál de las siguientes es la función PRIMARIA del responsable de seguridad de la información?
A. Conseguir el compromiso de la alta dirección
B. Preparación del presupuesto de seguridad
C. Asesoramiento y orientación
D. Desarrollo de un cuadro de mando integral
Ver respuesta
Respuesta correcta: C
Cuestionar #145
¿Quién es el responsable de garantizar la clasificación de la información y la adopción de medidas de protección específicas?
A. El agente de seguridad
B. Alta dirección
C. El usuario final
D. El depositario
Ver respuesta
Respuesta correcta: B
Cuestionar #146
¿Cuál de las siguientes opciones es la MÁS eficaz para que la alta dirección apoye la integración del gobierno de la seguridad de la información en el gobierno corporativo?
A. Desarrollar la estrategia de seguridad de la información basada en la estrategia de la empresA
B. Nombrar a un director de empresa como responsable de la seguridad de la información
C. Promover campañas de concienciación sobre la seguridad de la información en toda la organización
D. Establezca un comité directivo con representación de toda la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #147
¿Cuál de las siguientes es la MEJOR manera de definir las relaciones entre las tecnologías de seguridad?
A. Métricas de seguridad
B. Topología de la red
C. Arquitectura de seguridad
D. Modelos de mejora de procesos
Ver respuesta
Respuesta correcta: C
Cuestionar #148
¿Cuál de los siguientes es el requisito MÁS importante para implantar con éxito la gobernanza de la seguridad?
A. Implantación de un cuadro de mando integral de seguridad
B. Realizar una evaluación de riesgos en toda la empresa
C. Correspondencia con las estrategias organizativas
D. Adaptación a un marco de seguridad internacional
Ver respuesta
Respuesta correcta: C
Cuestionar #149
Como parte de un plan de expansión internacional, una organización ha adquirido una empresa ubicada en otra jurisdicción. ¿Cuál de las siguientes sería la MEJOR manera de mantener un programa eficaz de seguridad de la información?
A. Garantizar que la seguridad de la información se incluye en cualquier esfuerzo de control de cambios
B. Fusionar los dos programas de seguridad de la información para establecer una continuidad
C. Determinar nuevos factores que podrían influir en la estrategia de seguridad de la información
D. Implantar el actual programa de seguridad de la información en la empresa adquirida
Ver respuesta
Respuesta correcta: C
Cuestionar #150
Un responsable de seguridad de la información está recomendando una inversión en una nueva iniciativa de seguridad para hacer frente a las amenazas publicadas recientemente. Cuál de las siguientes opciones sería la MÁS importante para incluir en el caso de negocio?
A. Impacto empresarial si se materializan las amenazas
B. Disponibilidad de fondos no utilizados en el presupuesto de seguridad
C. Información sobre amenazas procedente de fuentes acreditadas
D. Alineación de la nueva iniciativa con la estrategia empresarial aprobada
Ver respuesta
Respuesta correcta: A
Cuestionar #151
¿Cuál de las siguientes es la consideración MÁS importante a la hora de seleccionar a los miembros de un comité directivo de seguridad de la información?
A. Composición interfuncional
B. Experiencia en seguridad de la información
C. Permanencia en la organización
D. Experiencia empresarial
Ver respuesta
Respuesta correcta: A
Cuestionar #152
Al implantar la arquitectura de seguridad, un responsable de seguridad de la información DEBE asegurarse de que los controles de seguridad:
A. formar múltiples barreras contra las amenazas
B. son transparentes
C. son los menos caros
D. se comunican a través de políticas de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #153
¿Cuál de los siguientes es el componente MÁS importante de un perfil de riesgo?
A. Marco de gestión de riesgos
B. Resultados de la clasificación de datos
C. Resultados de las pruebas de penetración
D. Metodología de evaluación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #154
¿Cuál de las siguientes opciones es la MÁS importante a la hora de establecer con éxito un marco de gobernanza de la seguridad de la información?
A. Selección de los miembros del comité directivo de seguridad de la información
B. Desarrollar una estrategia de seguridad de la información
C. Determinación de las métricas del cuadro de mando integral para la seguridad de la información
D. Identificación de escenarios de riesgo para la seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #155
¿Cuál es la razón MÁS importante para llevar a cabo programas de concienciación en materia de seguridad en una organización?
A. Reducción del riesgo humano
B. Mantener pruebas de los registros de formación para garantizar el cumplimiento
C. Informar a las unidades de negocio sobre la estrategia de seguridad
D. Formación del personal en respuesta a incidentes de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #156
¿Cuál de las siguientes opciones sería la MÁS eficaz para evitar el lanzamiento de malware a través de un archivo adjunto de correo electrónico?
A. Políticas de seguridad actualizadas
B. Colocar el servidor de correo electrónico en una subred apantallada
C. Formación sobre sensibilización en materia de seguridad
D. Un sistema de detección de intrusiones en la red (NIDS)
Ver respuesta
Respuesta correcta: C
Cuestionar #157
¿Cuál de las siguientes opciones tiene MÁS probabilidades de ser discrecional?
A. Políticas
B. Procedimientos
C. Directrices
D. Normas
Ver respuesta
Respuesta correcta: C
Cuestionar #158
Después de que la alta dirección haya aprobado un caso de negocio de seguridad de la información, debe ser:
A. utilizados para diseñar los requisitos funcionales de la solución
B. utilizados como base para una evaluación de riesgos
C. referenciado para construir planos arquitectónicos de la solución
D. revisados a intervalos clave para garantizar los resultados previstos
Ver respuesta
Respuesta correcta: D
Cuestionar #159
En un entorno bien controlado, ¿cuál de las siguientes actividades es la MÁS probable que conduzca a la introducción de puntos débiles en el software de seguridad?
A. Aplicación de parches
B. Modificación de las normas de acceso
C. Actualización del hardware
D. Copia de seguridad de archivos
Ver respuesta
Respuesta correcta: B
Cuestionar #160
¿Cuál de los siguientes es el método MÁS eficaz para evitar una inyección SQL en un portal de empleados?
A. Reconfigurar el esquema de la base de datos
B. Aplicar la integridad referencial a la base de datos
C. Realizar revisiones del código
D. Realizar pruebas de penetración en la red
Ver respuesta
Respuesta correcta: B
Cuestionar #161
¿Cuál de las siguientes opciones demuestra MEJOR que una organización apoya la gobernanza de la seguridad de la información?
A. Los empleados asisten a la formación anual sobre seguridad de toda la organización
B. Las políticas de seguridad de la información están a disposición de los empleados
C. El plan de respuesta a incidentes se documenta y comprueba periódicamente
D. Se celebran reuniones periódicas del comité directivo de seguridad de la información
Ver respuesta
Respuesta correcta: D
Cuestionar #162
En ausencia de controles técnicos, ¿cuál sería la MEJOR manera de reducir los mensajes de texto no autorizados en los dispositivos móviles suministrados por las compañías?
A. Realizar un análisis del impacto en la empresa (BIA) y presentar el informe a la dirección
B. Actualizar la política corporativa de uso de móviles para prohibir los mensajes de texto
C. Dejar de proporcionar dispositivos móviles hasta que la organización pueda implantar controles
D. Incluir el tema de la prohibición de enviar mensajes de texto en la formación de concienciación en materia de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #163
Un responsable de seguridad de la información en una organización global tiene que asegurarse de que el programa local de seguridad de la información garantice inicialmente el cumplimiento de la:
A. política corporativa de privacidad de datos
B. política de privacidad de datos donde se recogen los datos
C. política de privacidad de datos del país de la sede
D. directiva sobre privacidad de datos aplicable a escala mundial
Ver respuesta
Respuesta correcta: B
Cuestionar #164
¿Cuál es el beneficio PRIMARIO para la dirección ejecutiva cuando las funciones de auditoría, riesgo y seguridad están alineadas?
A. Reducción del número de informes de garantía
B. Toma de decisiones más eficaz
C. Información de riesgos más puntual
D. Gestión más eficaz de los incidentes
Ver respuesta
Respuesta correcta: B
Cuestionar #165
¿Cuál de las siguientes opciones es la MEJOR para realizar un seguimiento continuo de los esfuerzos de corrección para mitigar los riesgos identificados?
A. Diagramas de árbol
B. Diagramas de Venn
C. Gráficos de calor
D. Gráficos de barras
Ver respuesta
Respuesta correcta: C
Cuestionar #166
¿Cuál de las siguientes opciones es la frecuencia MÁS adecuada para actualizar los archivos de firmas de software antivirus en los servidores de producción?
A. Diario
B. Semanal
C. Simultáneamente con las actualizaciones de parches del sistema operativo
D. Durante las actualizaciones programadas del control de cambios
Ver respuesta
Respuesta correcta: A
Cuestionar #167
¿Cuál de las siguientes opciones protegerá MEJOR a una organización de los ataques internos a la seguridad?
A. Direccionamiento IP estático
B. Traducción de direcciones internas
C. Comprobación de antecedentes de posibles empleados
D. Programa de certificación de la concienciación de los empleados
Ver respuesta
Respuesta correcta: C
Cuestionar #168
¿Cuáles de los siguientes son los ingredientes esenciales de un análisis de impacto en el negocio (B1A)?
A. Tolerancia al tiempo de inactividad, recursos y criticidad
B. Coste de las interrupciones de servicio en un año como factor del presupuesto de seguridad
C. Metodología de pruebas de continuidad de las actividades que se está aplicando
D. Estructura del equipo de gestión de crisis
Ver respuesta
Respuesta correcta: A
Cuestionar #169
¿En qué fase del proceso de desarrollo de aplicaciones se abordaría inicialmente la gestión de claves de cifrado?
A. Desarrollo de requisitos
B. Despliegue
C. Pruebas de sistemas
D. Revisiones de códigos
Ver respuesta
Respuesta correcta: A
Cuestionar #170
A la hora de plantearse la adopción del sistema BYOD (traiga su propio dispositivo), lo MÁS importante para el responsable de la seguridad de la información es asegurarse de que:
A. los líderes empresariales conocen los riesgos de seguridad
B. los usuarios han leído y firmado los acuerdos de uso aceptable
C. los controles de seguridad se aplican a cada dispositivo cuando se une a la red
D. las aplicaciones se prueban antes de su implantación
Ver respuesta
Respuesta correcta: A
Cuestionar #171
El propietario MÁS apropiado de los datos de clientes almacenados en una base de datos central, utilizada únicamente por el departamento de ventas de una organización, sería el:
A. departamento de ventas
B. administrador de la base de datos
C. director de información (CIO)
D. jefe del departamento de ventas
Ver respuesta
Respuesta correcta: D
Cuestionar #172
¿Cuál de las siguientes opciones sería de MAYOR importancia para el responsable de seguridad a la hora de determinar si acepta o no el riesgo residual?
A. Coste histórico del activo
B. Nivel aceptable de posibles impactos empresariales
C. Coste versus beneficio de los controles de mitigación adicionales
D. Esperanza de pérdidas anualizada (ALE)
Ver respuesta
Respuesta correcta: C
Cuestionar #173
¿Cuál de las siguientes es la MEJOR métrica para evaluar la eficacia de la concienciación en materia de seguridad? El número de:
A. restablecimiento de contraseñas
B. incidentes notificados
C. incidentes resueltos
D. violaciones de las reglas de acceso
Ver respuesta
Respuesta correcta: B
Cuestionar #174
La forma MÁS útil de describir los objetivos en la estrategia de seguridad de la información es a través de:
A. atributos y características del estado deseado"
B. objetivos generales de control del programa de seguridad
C. asignar los sistemas informáticos a los procesos empresariales clave
D. cálculo de las expectativas de pérdidas anuales
Ver respuesta
Respuesta correcta: A
Cuestionar #175
¿Cuál de los siguientes es el uso MÁS apropiado del análisis de carencias?
A. Evaluación de un análisis de impacto sobre la empresa (BIA)
B. Desarrollo de un cuadro de mando empresarial equilibrado
C. Demostrar la relación entre los controles
D. Medir el estado actual frente al estado futuro deseado
Ver respuesta
Respuesta correcta: D
Cuestionar #176
Para implantar un marco de seguridad, un responsable de seguridad de la información debe PRIMERO desarrollar:
A. normas de seguridad
B. procedimientos de seguridad
C. una política de seguridad
D. directrices de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #177
Una organización se enfrenta a graves multas y sanciones si no cumple los requisitos normativos locales en un plazo establecido. La alta dirección ha pedido al responsable de seguridad de la información que prepare un plan de acción para lograr la conformidad. ¿Cuál de las siguientes opciones proporcionaría la MÁXIMA información útil para la planificación?
A. Resultados de un análisis de carencias
B. Resultados de un análisis de impacto empresarial
C. Plazos y sanciones por incumplimiento
D. Un inventario de los controles de seguridad existentes
Ver respuesta
Respuesta correcta: D
Cuestionar #178
¿Cuál de los siguientes es el objetivo PRIMARIO de informar sobre los parámetros de seguridad a las partes interesadas?
A. Identificar los controles clave dentro de la organización
B. Prestar apoyo a las actividades de auditoría de seguridad
C. Comunicar la eficacia del programa de seguridad
D. Demostrar la alineación con la estrategia empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #179
¿Cuál de las siguientes opciones es la MEJOR para llevar a cabo un proceso eficaz de clasificación de activos de información?
A. Revisión de los requisitos del objetivo de tiempo de recuperación (RTO) del activo
B. Análisis de los resultados de la auditoría
C. Inclusión de los requisitos de seguridad en el proceso de clasificación
D. Asignación de propiedad
Ver respuesta
Respuesta correcta: C
Cuestionar #180
¿Cuál de los siguientes ataques se mitiga MEJOR utilizando contraseñas seguras?
A. Ataque Man-in-the-middle
B. Ataque de fuerza bruta
C. Desbordamiento remoto del búfer
D. Kit de raíces
Ver respuesta
Respuesta correcta: B
Cuestionar #181
¿Cuál de las siguientes opciones apoya MEJOR la alineación de la seguridad de la información con las funciones empresariales?
A. Creación de un comité director de seguridad
B. Apoyo de la gestión informática a las evaluaciones de seguridad
C. Participación de la dirección de la empresa en las pruebas de penetración de la seguridad
D. Centrarse en el riesgo de seguridad tecnológica dentro de los procesos empresariales
Ver respuesta
Respuesta correcta: A
Cuestionar #182
Para una empresa que opera en un mercado en línea competitivo y en evolución, lo MÁS importante es centrarse en una política de seguridad:
A. definir políticas para las nuevas tecnologías
B. permitir la adopción de nuevas tecnologías
C. exigir la acreditación de las nuevas tecnologías
D. gestionar los riesgos de las nuevas tecnologías
Ver respuesta
Respuesta correcta: D
Cuestionar #183
¿Cuál de las siguientes características suele faltar cuando se utiliza Secure Sockets Layer (SSL) en un navegador web?
A. Autenticación del cliente web basada en certificados
B. Autenticación del servidor web basada en certificados
C. Confidencialidad de los datos entre el cliente y el servidor web
D. Algoritmos de cifrado múltiple
Ver respuesta
Respuesta correcta: A
Cuestionar #184
¿Cuál de los siguientes métodos es el MEJOR para mitigar el phishing?
A. Software de supervisión de la seguridad
B. Cifrado
C. Autenticación de dos factores
D. Conocimiento del usuario
Ver respuesta
Respuesta correcta: D
Cuestionar #185
Un resultado de una gobernanza eficaz de la seguridad es:
A. evaluación de la dependencia de la empresa
B. alineación estratégicA
C. evaluación de riesgos
D. planificación
Ver respuesta
Respuesta correcta: B
Cuestionar #186
El MEJOR momento para asegurarse de que una empresa adquiere productos de software seguros cuando subcontrata el desarrollo de software es durante:
A. revisiones de seguridad corporativA
B. auditorías de la ejecución de los contratos
C. negociación de contratos
D. desarrollo de políticas de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #187
Cuando un usuario utiliza un certificado digital del lado del cliente para autenticarse en un servidor web a través de Secure Socket Layer (SSL), ¿a cuál de las siguientes situaciones es MÁS vulnerable la confidencialidad?
A. Suplantación de IP
B. Ataque Man-in-the-middle
C. Repudio
D. Troyano
Ver respuesta
Respuesta correcta: D
Cuestionar #188
¿Cuál de las siguientes es la consideración MÁS importante a la hora de diseñar una arquitectura de seguridad de la información?
A. Se definen los parámetros de gestión de riesgos de la organización
B. La arquitectura de seguridad de la información se ajusta a las normas del sector
C. El nivel de seguridad soportado se basa en decisiones empresariales
D. Se supervisa el panorama de amenazas existente
Ver respuesta
Respuesta correcta: C
Cuestionar #189
¿Cuál de las siguientes opciones permite MEJOR una gobernanza eficaz de la seguridad de la información?
A. Evaluaciones periódicas de la vulnerabilidad
B. Métricas de seguridad de la información establecidas
C. Tecnologías avanzadas de seguridad
D. Cultura empresarial consciente de la seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #190
Se publica una nueva versión de una normativa de seguridad de la información que exige su cumplimiento por parte de una organización. El responsable de seguridad de la información debe PRIMERO:
A. realizar una auditoría basada en la nueva versión del reglamento
B. realizar una evaluación de riesgos para determinar el riesgo de incumplimiento
C. realizar evaluaciones comparativas con organizaciones similares
D. realizar un análisis de deficiencias con respecto a la nueva normativA
Ver respuesta
Respuesta correcta: D
Cuestionar #191
La inversión en tecnología y procesos de seguridad debe basarse en:
A. alineación clara con las metas y objetivos de la organización
B. casos de éxito que se han experimentado en proyectos anteriores
C. mejores prácticas empresariales
D. salvaguardias inherentes a la tecnología existente
Ver respuesta
Respuesta correcta: A
Cuestionar #192
La razón PRIMARIA para asignar clases de sensibilidad y criticidad a los recursos de información es proporcionar una base para:
A. determinar el ámbito de inclusión en un programa de seguridad de la información
B. definir el nivel de los controles de acceso
C. justificar los costes de los recursos de información
D. determinar el presupuesto global de un programa de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #193
¿Cuál de las siguientes opciones contribuye MEJOR al desarrollo de un marco de gobernanza de la seguridad que respalde el concepto de modelo de madurez?
A. Análisis, seguimiento e información continuos
B. Seguimiento continuo del rendimiento de la inversión en seguridad (ROSD
C. Reducción continua del riesgo
D. Indicador clave de riesgo (KRD) para los procesos de gestión de la seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #194
Un responsable de seguridad de la información se entera de que la contraseña raíz de un servidor FTP externo puede ser objeto de ataques de fuerza bruta. ¿Cuál de las siguientes opciones sería la MÁS adecuada para reducir la probabilidad de éxito de un ataque?
A. Bloquear la dirección IP de origen del atacante
B. Bloquear el inicio de sesión remoto tras varios intentos fallidos
C. Deshabilitar el acceso al servidor externo
D. Instalar un sistema de detección de intrusos (IDS)
Ver respuesta
Respuesta correcta: B
Cuestionar #195
¿Cuál de las siguientes es la estrategia de mitigación MÁS eficaz para proteger la información confidencial de las amenazas internas?
A. Realización de un proceso de revisión de derechos
B. Implantación de mecanismos de autenticación
C. Definición de la separación de funciones
D. Establecimiento de controles de autorización
Ver respuesta
Respuesta correcta: D
Cuestionar #196
¿Cuál es la MEJOR manera de garantizar que un intruso que logre penetrar en una red sea detectado antes de que se produzcan daños significativos?
A. Realizar pruebas de penetración periódicas
B. Establecer unas bases mínimas de seguridad
C. Aplicar la configuración predeterminada del proveedor
D. Instalar un honeypot en la red
Ver respuesta
Respuesta correcta: D
Cuestionar #197
¿Cuál de las siguientes opciones es la MEJOR para validar que se han implantado controles de seguridad en un nuevo proceso empresarial?
A. Evaluar el proceso de acuerdo con la política de seguridad de la información
B. Comparar el proceso con las prácticas del sector
C. Verificar el uso de un marco de control reconocido
D. Revisar la conformidad del proceso con las mejores prácticas de seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #198
Dentro de la tríada confidencialidad, integridad y disponibilidad (CIA), ¿cuál de las siguientes actividades apoya MEJOR el concepto de integridad?
A. Cumplimiento de los acuerdos de nivel de servicio
B. Implantación de un esquema de clasificación de datos
C. Garantizar el cifrado de los datos en tránsito
D. Utilizar un proceso formal de gestión del cambio
Ver respuesta
Respuesta correcta: D
Cuestionar #199
¿Cuál de las siguientes es la MEJOR ventaja de una estructura organizativa de seguridad de la información centralizada?
A. Permite un nivel común de garantía en toda la empresA
B. Es más fácil gestionar y controlar los equipos de seguridad de las unidades de negocio
C. Responde mejor a las necesidades de las unidades de negocio
D. Proporciona una respuesta más rápida a las solicitudes de exención de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #200
¿Cuál de las siguientes es la información MÁS importante que debe incluirse en una norma de seguridad de la información?
A. Fecha de creación
B. Nombre del autor
C. Fecha de aprobación del proyecto inicial
D. Fecha de la última revisión
Ver respuesta
Respuesta correcta: D
Cuestionar #201
¿Quién puede aprobar MEJOR los planes para implantar un marco de gobernanza de la seguridad de la información?
A. Auditor interno
B. Gestión de la seguridad de la información
C. Comité de dirección
D. Gestión de infraestructuras
Ver respuesta
Respuesta correcta: C
Cuestionar #202
El esquema de clasificación de la información debe:
A. considerar el posible impacto de una violación de la seguridad
B. clasificar la información personal en formato electrónico
C. ser realizada por el responsable de seguridad de la información
D. clasificar los sistemas en función de los datos tratados
Ver respuesta
Respuesta correcta: A
Cuestionar #203
¿Cuál de las siguientes es la forma MÁS eficaz de comunicar los riesgos de seguridad de la información a la alta dirección?
A. Análisis del impacto empresarial
B. Cuadro de mando integral
C. Indicadores clave de rendimiento (KPI)
D. Mapa de calor
Ver respuesta
Respuesta correcta: A
Cuestionar #204
¿Cuál de las siguientes opciones es la MÁS útil para incluir en un informe periódico a la alta dirección para demostrar la eficacia del programa de seguridad de la información?
A. Indicadores clave de riesgo (KRI)
B. Modelos de madurez de las capacidades
C. Factores críticos de éxito (FCE)
D. Indicadores clave de rendimiento (KPI)
Ver respuesta
Respuesta correcta: A
Cuestionar #205
Se implementa un programa de concienciación para mitigar el riesgo de infecciones introducidas a través del uso de los medios sociales. ¿Cuál de las siguientes opciones determinará MEJOR la eficacia del programa de concienciación?
A. Una encuesta posterior al programa de sensibilización
B. Un cuestionario basado en los materiales del programa de sensibilización
C. Un ataque simulado de ingeniería social
D. Tasa de asistencia de los empleados al programa de sensibilización
Ver respuesta
Respuesta correcta: C
Cuestionar #206
¿Cuál de las siguientes opciones es la MÁS eficaz para que un responsable de seguridad de la información garantice que la seguridad se incorpora a los procesos de desarrollo de proyectos de una organización?
A. Realizar revisiones de seguridad durante el diseño, las pruebas y la implementación
B. Integrar los requisitos de seguridad de la organización en la gestión del proyecto
C. Desarrollar una buena comunicación con la oficina de gestión del proyecto
D. Participar en la iniciación, aprobación y financiación de proyectos
Ver respuesta
Respuesta correcta: A
Cuestionar #207
¿Cuál de los siguientes puntos es el MÁS crítico para el éxito de la implantación de la seguridad de la información en una organización?
A. El director de seguridad de la información es responsable de establecer la política de seguridad de la información
B. El grupo de seguridad de la información cuenta con sólidas competencias en materia de gestión de riesgos
C. Se asigna presupuesto para herramientas de seguridad de la información
D. La seguridad se comunica eficazmente a todos los directivos y empleados
Ver respuesta
Respuesta correcta: D
Cuestionar #208
¿Cuál de las siguientes debe ser la consideración PRIMARIA a la hora de seleccionar un sitio de recuperación?
A. Requisitos reglamentarios
B. Objetivo de tiempo de recuperación
C. Situación geográfica
D. Objetivo de punto de recuperación
Ver respuesta
Respuesta correcta: B
Cuestionar #209
En el sitio web de comercio electrónico de una empresa, una buena declaración legal sobre la privacidad de los datos debe incluir:
A. una declaración sobre lo que la empresa hará con la información que recojA
B. una cláusula de exención de responsabilidad sobre la exactitud de la información contenida en su sitio web
C. información técnica sobre cómo se protege la información
D. una declaración sobre dónde se aloja la información
Ver respuesta
Respuesta correcta: A
Cuestionar #210
Una buena declaración de privacidad debe incluir:
A. notificación de responsabilidad sobre la exactitud de la información
B. notificación de que la información será encriptadA
C. qué hará la empresa con la información que recopile
D. una descripción del proceso de clasificación de la información
Ver respuesta
Respuesta correcta: C
Cuestionar #211
¿Cuál de las siguientes prácticas previene completamente un ataque man-in-the-middle (MitM) entre dos hosts?
A. Utilizar tokens de seguridad para la autenticación
B. Conectar a través de una VPN IPSec
C. Utilizar https con un certificado del lado del servidor
D. Imponer direcciones estaticas de control de acceso al medio (MAC)
Ver respuesta
Respuesta correcta: B
Cuestionar #212
En una gran organización, definir los objetivos de tiempo de recuperación (RTO) es PRIMARIAMENTE responsabilidad de:
A. el responsable informático
B. el responsable de seguridad de la información
C. el director de la unidad de negocio
D. alto directivo
Ver respuesta
Respuesta correcta: D
Cuestionar #213
El riesgo de integridad de los datos de la aplicación se abordaría MÁS directamente con un diseño que incluya:
A. tecnologías de control de acceso como los derechos basados en funciones
B. aplicación estricta de un diccionario de datos autorizado
C. requisitos de registro de aplicaciones, como registros de auditoría a nivel de campo y registros de actividad de usuario
D. rutinas de conciliación como sumas de comprobación, totales hash y recuentos de registros
Ver respuesta
Respuesta correcta: D
Cuestionar #214
¿Quién es responsable de garantizar la clasificación de la información?
A. Alta dirección
B. Responsable de seguridad
C. Propietario de los datos
D. Custodio
Ver respuesta
Respuesta correcta: C
Cuestionar #215
¿Cuál de las siguientes es la MEJOR manera de mantener el interés de los empleados en la concienciación sobre la información en una organización?
A. Garantizar un programa común de concienciación en materia de seguridad para todo el personal
B. Relacionar los programas de concienciación en materia de seguridad con las políticas de seguridad
C. Garantizar la participación de todo el personal
D. Utilizar diversos métodos de entrega
Ver respuesta
Respuesta correcta: D
Cuestionar #216
La desactivación temporal de algunos procesos de supervisión, aunque esté respaldada por una aceptación del riesgo operativo, puede no ser aceptable para el responsable de la seguridad de la información si:
A. implica riesgos de cumplimiento
B. no se puede determinar el impacto a corto plazo
C. viola las prácticas de seguridad del sector
D. no se pueden detectar cambios en la matriz de roles
Ver respuesta
Respuesta correcta: A
Cuestionar #217
El objetivo de la gestión de riesgos es reducir el riesgo al nivel mínimo que sea:
A. cumplimiento de las políticas de seguridad
B. prácticas, habida cuenta del entorno industrial y normativo
C. realizable desde el punto de vista técnico y financiero
D. aceptable dada la preferencia de la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #218
¿Saber cuál de los siguientes puntos es el MÁS importante cuando el responsable de la seguridad de la información busca el compromiso de la alta dirección?
A. Costes de seguridad
B. Vulnerabilidades técnicas
C. Requisitos tecnológicos de seguridad
D. Tareas de aplicación
Ver respuesta
Respuesta correcta: C
Cuestionar #219
La forma MÁS eficaz de incorporar prácticas de gestión de riesgos a los sistemas de producción existentes es a través de:
A. desarrollo de políticas
B. gestión del cambio
C. formación de sensibilización
D. supervisión periódicA
Ver respuesta
Respuesta correcta: B
Cuestionar #220
La mitigación de los riesgos tecnológicos hasta niveles aceptables debe basarse PRIMARIAMENTE en:
A. reingeniería de procesos de negocio
B. requisito del proceso de negocio
C. requisitos legales y reglamentarios
D. presupuesto de seguridad de la información
Ver respuesta
Respuesta correcta: B
Cuestionar #221
La MEJOR manera de identificar la criticidad de los sistemas para la empresa es a través de:
A. una evaluación de la amenazA
B. una clasificación de activos
C. una evaluación de la vulnerabilidad
D. una evaluación de impacto
Ver respuesta
Respuesta correcta: B
Cuestionar #222
La gestión del riesgo es lo MÁS rentable:
A. cuando se realiza de forma continuA
B. mientras se desarrolla el caso de negocio para el programa de seguridad
C. al principio del desarrollo del programa de seguridad
D. cuando se integra en otras funciones de aseguramiento corporativo
Ver respuesta
Respuesta correcta: D
Cuestionar #223
A la hora de preparar un caso de negocio para la implantación de un sistema de gestión de eventos e información de seguridad (SIEM), ¿cuál de los siguientes debe ser un factor PRIMARIO en el estudio de viabilidad?
A. Coste de los programas informáticos
B. Análisis coste-beneficio
C. Calendario de aplicación
D. Puntos de referencia del sector
Ver respuesta
Respuesta correcta: B
Cuestionar #224
¿Cuál de los siguientes es el método MÁS eficaz para prevenir las violaciones deliberadas de la seguridad interna?
A. Selección de posibles empleados
B. Sistema cortafuegos bien diseñado
C. Sistema de detección de intrusos (IDS) bien diseñado
D. Control de acceso de seguridad biométrica
Ver respuesta
Respuesta correcta: B
Cuestionar #225
El administrador de sistemas no notificó inmediatamente al responsable de seguridad sobre un ataque malicioso. Un responsable de seguridad de la información podría evitar esta situación:
A. probar periódicamente los planes de respuesta a incidentes
B. probar regularmente el sistema de detección de intrusos (IDS)
C. establecer la formación obligatoria de todo el personal
D. revisar periódicamente los procedimientos de respuesta a incidentes
Ver respuesta
Respuesta correcta: A
Cuestionar #226
¿Cuál de las siguientes opciones es la defensa MÁS eficaz contra los ataques de spear phishing?
A. Gestión unificada de amenazas
B. Filtrado web
C. Soluciones antispam
D. Formación de sensibilización de los usuarios
Ver respuesta
Respuesta correcta: D
Cuestionar #227
¿Cuál de las siguientes es la responsabilidad PRIMARIA de un responsable de seguridad de la información en una organización que está implementando el uso de dispositivos móviles propiedad de la empresa en sus operaciones?
A. Exigir la capacidad de borrado remoto de los dispositivos
B. Imponer contraseñas y cifrado de datos en los dispositivos
C. Impartir formación sobre concienciación en materia de seguridad
D. Revisar y actualizar las políticas de seguridad existentes
Ver respuesta
Respuesta correcta: D
Cuestionar #228
Cuando se transmite información personal a través de redes, DEBE haber controles adecuados sobre:
A. gestión del cambio
B. protección de la intimidad
C. consentimiento para la transferencia de datos
D. dispositivos de cifrado
Ver respuesta
Respuesta correcta: B
Cuestionar #229
¿Cuál de las siguientes prácticas es MEJOR para eliminar el acceso al sistema de contratistas y otros usuarios temporales cuando ya no es necesario?
A. Registrar todo el uso de la cuenta y enviarlo a su gestor
B. Establecer fechas predeterminadas de expiración automática
C. Exigir a los gestores que envíen un correo electrónico de seguridad cuando el usuario abandone
D. Asegurarse de que cada persona ha firmado un reconocimiento de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #230
Durante una evaluación de seguridad, un responsable de seguridad de la información descubre que no se han instalado varios parches de seguridad en un servidor que aloja una aplicación empresarial crítica. El propietario de la aplicación no aprobó la instalación de los parches para evitar interrumpir la aplicación. ¿Cuál de las siguientes medidas debería tomar el responsable de seguridad de la información?
A. Elevar el riesgo a la alta dirección
B. Comunicar el impacto potencial al propietario de la aplicación
C. Informar del riesgo al comité directivo de seguridad de la información
D. Determinar las opciones de mitigación con la dirección de TI
Ver respuesta
Respuesta correcta: D
Cuestionar #231
Una organización con un gran número de usuarios considera necesario mejorar las aplicaciones de control de acceso. ¿Cuál de las siguientes opciones ayudaría MEJOR a impedir el acceso de usuarios no autorizados a redes y aplicaciones?
A. Inicio de sesión único
B. Sistemas biométricos
C. Contraseñas de usuario complejas
D. Listas de control de acceso
Ver respuesta
Respuesta correcta: D
Cuestionar #232
El objetivo PRIMARIO de las evaluaciones de vulnerabilidad es:
A. determinar el impacto de las amenazas potenciales
B. probar los sistemas de detección de intrusiones (IDS) y los procedimientos de respuestA
C. proporcionar pruebas claras de que el sistema es suficientemente seguro
D. detectar deficiencias que podrían poner en peligro el sistemA
Ver respuesta
Respuesta correcta: D
Cuestionar #233
A la hora de desarrollar un programa de seguridad de la información, ¿cuál es la fuente de información MÁS útil para determinar los recursos disponibles?
A. Prueba de aptitud
B. Descripción de los puestos
C. Organigrama
D. Inventario de competencias
Ver respuesta
Respuesta correcta: D
Cuestionar #234
Para una organización con operaciones en diferentes partes del mundo, el MEJOR enfoque para garantizar que las políticas de seguridad no entren en conflicto con las leyes y normativas locales es:
A. remitirse a una norma mundial externa para evitar cualquier conflicto regional
B. elaborar políticas a un nivel suficientemente alto, para que sean aplicables globalmente
C. adoptar políticas uniformes
D. establecer una jerarquía de políticas globales y locales
Ver respuesta
Respuesta correcta: D
Cuestionar #235
Una vez que se ha implantado con éxito un conjunto de controles de seguridad para las unidades de negocio de una organización, lo MÁS importante para el responsable de la seguridad de la información es:
A. asegurarse de que los controles se comprueban periódicamente para verificar su eficaciA
B. traspasar los controles a los empresarios correspondientes
C. prepararse para adaptar los controles a futuras actualizaciones del sistemA
D. realizar pruebas para comparar el rendimiento del control con los niveles del sector
Ver respuesta
Respuesta correcta: A
Cuestionar #236
El MAYOR beneficio de elegir una nube privada frente a una nube pública sería:
A. protección del servidor
B. recopilación de datos forenses
C. disponibilidad del servicio en líneA
D. contención de los datos de los clientes
Ver respuesta
Respuesta correcta: A
Cuestionar #237
El objetivo PRIMARIO de utilizar el análisis de riesgos dentro de un programa de seguridad es:
A. justificar el gasto en seguridad
B. ayudar a las empresas a priorizar los activos que deben protegerse
C. informar a la dirección ejecutiva del valor residual del riesgo
D. evaluar las exposiciones y planificar las medidas correctoras
Ver respuesta
Respuesta correcta: D
Cuestionar #238
Se han identificado varios riesgos importantes tras elaborar y priorizar un registro de riesgos centralizado. La acción más importante del responsable de seguridad de la información es:
A. proporcionar a la alta dirección opciones de tratamiento del riesgo
B. diseñar y aplicar controles para reducir el riesgo
C. consultar a terceros externos sobre cómo tratar el riesgo
D. asegurarse de que los empleados son conscientes del riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #239
¿Cuál de las siguientes opciones es la MÁS importante a la hora de desarrollar un caso de negocio para los recursos de seguridad de la información?
A. Aportaciones de la alta dirección
B. Análisis de carencias
C. Análisis coste-beneficio
D. Evaluación de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #240
¿Cuál de los siguientes aspectos debe determinarse al definir las estrategias de gestión de riesgos?
A. Criterios de evaluación del riesgo
B. Objetivos de la organización y propensión al riesgo
C. Complejidad de la arquitectura informática
D. Planes empresariales de recuperación en caso de catástrofe
Ver respuesta
Respuesta correcta: B
Cuestionar #241
La identificación y priorización de los riesgos empresariales permite a los gestores de proyectos:
A. establecer hitos de aplicación
B. reducir la cantidad total de tiempo de holgurA
C. abordar las áreas más importantes
D. acelerar la finalización de los caminos críticos
Ver respuesta
Respuesta correcta: C
Cuestionar #242
La Organización A ofrece servicios de comercio electrónico y utiliza un protocolo de transporte seguro para proteger la comunicación por Internet. Para confirmar la comunicación con la Organización A, ¿cuál de las siguientes opciones sería la MEJOR que podría verificar un cliente?
A. El certificado del servidor de comercio electrónico
B. Indicación del navegador sobre el uso de SSL
C. La dirección IP del servidor de comercio electrónico
D. La URL del servidor de comercio electrónico
Ver respuesta
Respuesta correcta: A
Cuestionar #243
Un documento de estrategia de seguridad de la información que incluya vínculos específicos con las actividades empresariales de una organización es PRIMARIAMENTE un indicador de:
A. medición del rendimiento
B. integración
C. alineación
D. entrega de valor
Ver respuesta
Respuesta correcta: C
Cuestionar #244
Varios riesgos identificados se han mitigado hasta un nivel aceptable con los controles adecuados. ¿Cuál de las siguientes actividades ayudaría MEJOR a mantener unos niveles de riesgo aceptables?
A. Evaluaciones frecuentes de los riesgos inherentes
B. Revisiones periódicas de los cambios del entorno
C. Análisis periódicos de costes y beneficios de los controles aplicados
D. Evaluaciones frecuentes de los planes de acción sobre riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #245
En un programa de seguridad con recursos limitados, ¿cuál de los siguientes enfoques proporcionará el MEJOR uso de los recursos limitados?
A. Formación transversal
B. Evitar riesgos
C. Priorización de riesgos
D. Gestión de amenazas
Ver respuesta
Respuesta correcta: C
Cuestionar #246
Un análisis de riesgos para la seguridad de la información BEST ayuda a una organización a garantizar que:
A. a infraestructura tiene el nivel adecuado de control de acceso
B. e toman decisiones rentables con respecto a los activos que necesitan protección
C. e aplica un nivel adecuado de financiación a los procesos de seguridad
D. a organización implanta tecnologías de seguridad adecuadas
Ver respuesta
Respuesta correcta: B
Cuestionar #247
La autorización puede lograrse MEJOR estableciendo:
A. la propiedad de los datos
B. qué pueden hacer los usuarios cuando se les concede acceso al sistemA
C. si los usuarios son quienes dicen ser
D. cómo se identifican los usuarios ante los sistemas de información
Ver respuesta
Respuesta correcta: B
Cuestionar #248
¿Qué debe hacer PRIMERO el responsable de seguridad de la información cuando los usuarios finales expresan que los nuevos controles de seguridad son demasiado restrictivos?
A. Realizar un análisis del impacto en la empresa (BIA)
B. Obtener la aprobación del propietario del proceso para eliminar los controles
C. Realizar una evaluación de riesgos sobre la modificación del entorno de control
D. Realizar un análisis coste-beneficio de la modificación del entorno de control
Ver respuesta
Respuesta correcta: C
Cuestionar #249
¿Cuál de los siguientes sería el factor MÁS relevante a la hora de definir la política de clasificación de la información?
A. Cantidad de información
B. Infraestructura informática disponible
C. Evaluación comparativa
D. Requisitos de los propietarios de los datos
Ver respuesta
Respuesta correcta: D
Cuestionar #250
La forma MÁS eficaz de comunicar el nivel de impacto de los riesgos para la seguridad de la información en los objetivos de la organización es presentar:
A. resultados del análisis de impacto en el negocio (BIA)
B. resultados detallados del análisis de amenazas
C. opciones de tratamiento de riesgo
D. un mapa de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #251
¿Cuál de las siguientes debe ser la justificación PRIMARIA para aprobar la implantación de un centro de recuperación ante desastres (DR) por recomendación de un informe de auditoría externa?
A. Análisis coste-beneficio
B. Objetivos de tiempo de recuperación (RTO)
C. Controles de seguridad en el centro de RD
D. Requisitos reglamentarios
Ver respuesta
Respuesta correcta: A
Cuestionar #252
¿Cuál de los siguientes es el punto MÁS importante que hay que incluir al elaborar acuerdos de alojamiento web con terceros proveedores?
A. Condiciones de rescisión
B. Límites de responsabilidad
C. Niveles de servicio
D. Restricciones a la privacidad
Ver respuesta
Respuesta correcta: C
Cuestionar #253
La PRINCIPAL razón por la que la clasificación de activos es importante para el éxito de un programa de seguridad de la información es porque la clasificación determina:
A. la prioridad y el alcance de los esfuerzos de mitigación de riesgos
B. el importe del seguro necesario en caso de siniestro
C. el nivel adecuado de protección del activo
D. cómo se comparan los niveles de protección con los de otras organizaciones similares
Ver respuesta
Respuesta correcta: C
Cuestionar #254
Una organización desea integrar la seguridad de la información en sus procesos de gestión de recursos humanos. ¿Cuál de los siguientes debería ser el PRIMER paso?
A. Evaluar el coste de la integración de la seguridad de la información
B. Evaluar los objetivos empresariales de los procesos
C. Identificar el riesgo para la seguridad de la información asociado a los procesos
D. Comparar los procesos con las mejores prácticas para identificar las lagunas
Ver respuesta
Respuesta correcta: B
Cuestionar #255
¿Cuál de los siguientes pasos debe realizarse PRIMERO en el proceso de evaluación de riesgos?
A. Entrevistas con el personal
B. Identificación de amenazas
C. Identificación y valoración de activos
D. Determinación de la probabilidad de los riesgos identificados
Ver respuesta
Respuesta correcta: C
Cuestionar #256
¿Cuál de las siguientes opciones permitiría MEJOR a una organización supervisar eficazmente la aplicación de configuraciones normalizadas?
A. Implantar un sistema de seguimiento de cambios independiente para registrar los cambios en las configuraciones
B. Realizar auditorías periódicas para detectar configuraciones no conformes
C. Elaborar políticas que exijan el uso de los puntos de referencia establecidos
D. Implementar el escaneo automatizado contra los puntos de referencia establecidos
Ver respuesta
Respuesta correcta: D
Cuestionar #257
Los responsables de la seguridad de la información deben utilizar técnicas de evaluación de riesgos para:
A. Justificar la selección de estrategias de mitigación de riesgos
B. maximizar el rendimiento de la inversión (ROD
C. proporcionar documentación a auditores y reguladores
D. cuantificar riesgos que de otro modo serían subjetivos
Ver respuesta
Respuesta correcta: A
Cuestionar #258
El objetivo de punto de recuperación (RPO) requiere ¿cuál de los siguientes?
A. Declaración de catástrofe
B. Restauración de la imagen anterior
C. Restauración del sistema
D. Tratamiento posterior de la imagen
Ver respuesta
Respuesta correcta: B
Cuestionar #259
Un responsable de seguridad está preparando un informe para obtener el compromiso de la dirección ejecutiva con un programa de seguridad. ¿Cuál de las siguientes opciones sería la MÁS valiosa?
A. Ejemplos de incidentes reales en organizaciones similares
B. Declaración de buenas prácticas generalmente aceptadas
C. Asociar las amenazas realistas a los objetivos de la empresa
D. Análisis de las exposiciones tecnológicas actuales
Ver respuesta
Respuesta correcta: C
Cuestionar #260
La seguridad de la información debe ser:
A. centrada en eliminar todos los riesgos
B. un equilibrio entre los requisitos técnicos y los empresariales
C. Impulsada por requisitos reglamentarios
D. definido por el consejo de administración
Ver respuesta
Respuesta correcta: B
Cuestionar #261
¿Cuál de las siguientes sería la MEJOR opción para mejorar la responsabilidad de un administrador de sistemas que tiene funciones de seguridad?
A. Incluir las responsabilidades de seguridad en la descripción del puesto
B. Exigir al administrador que obtenga una certificación de seguridad
C. Formar al administrador del sistema en pruebas de penetración y evaluación de vulnerabilidades
D. Formar al administrador del sistema en la evaluación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #262
La decisión sobre si los nuevos riesgos deben incluirse en la información periódica o en la basada en sucesos debe basarse en ¿cuál de las siguientes?
A. Controles paliativos
B. Visibilidad del impacto
C. Probabilidad de ocurrencia
D. Frecuencia de los incidentes
Ver respuesta
Respuesta correcta: B
Cuestionar #263
¿Cuál de las siguientes debe ser la base PRIMARIA de una estrategia de seguridad de la información?
A. Visión y misión de la organización
B. Políticas de seguridad de la información
C. Resultados de un análisis exhaustivo de las deficiencias
D. Requisitos reglamentarios y de auditoríA
Ver respuesta
Respuesta correcta: A
Cuestionar #264
Además de la alineación con la empresa y la propiedad de la seguridad, ¿cuál de los siguientes aspectos es MÁS crítico para la gobernanza de la seguridad de la información?
A. Auditabilidad de los sistemas
B. Cumplimiento de las políticas
C. Notificación de métricas de seguridad
D. Patrocinio ejecutivo
Ver respuesta
Respuesta correcta: A
Cuestionar #265
¿Cuál de los siguientes es el MEJOR enfoque para animar a las unidades de negocio a asumir sus funciones y responsabilidades en un programa de seguridad de la información?
A. Realice una evaluación de riesgos
B. Llevar a cabo un programa de concienciación
C. Realizar una auditoría de seguridad
D. Desarrollar controles y contramedidas
Ver respuesta
Respuesta correcta: B
Cuestionar #266
¿Cuál de las siguientes es la razón MÁS importante para realizar un análisis de riesgos?
A. Asignación del nivel de protección adecuado
B. Identificación de activos de información críticos
C. Identificar y eliminar las amenazas
D. Promover una mayor concienciación sobre la seguridad en la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #267
¿Cuál de las siguientes actividades debe realizarse PRIMERO cuando se recibe de un proveedor un parche de seguridad para software de Internet?
A. El parche debe validarse mediante un algoritmo hash
B. El parche debe aplicarse a los sistemas críticos
C. El parche debe implantarse rápidamente en los sistemas vulnerables
D. El parche debe evaluarse en un entorno de pruebas
Ver respuesta
Respuesta correcta: A
Cuestionar #268
¿Cuál de los siguientes es el MEJOR método para transferir un mensaje de forma segura?
A. Medios extraíbles protegidos por contraseña
B. Transmisión por telefax en una sala protegida
C. Utilizar cifrado de infraestructura de clave pública (PKI)
D. Esteganografía
Ver respuesta
Respuesta correcta: C
Cuestionar #269
Los programas de gestión de riesgos están diseñados para reducir los riesgos para:
A. un nivel demasiado pequeño para ser medible
B. el punto en el que el beneficio supera al gasto
C. un nivel que la organización esté dispuesta a aceptar
D. una tasa de rendimiento igual al coste actual del capital
Ver respuesta
Respuesta correcta: C
Cuestionar #270
¿Cuál de las siguientes es la consideración MÁS importante a la hora de proteger los datos de las tarjetas de crédito de los clientes adquiridos por una caja registradora de un punto de venta (TPV)?
A. Autenticación
B. Endurecimiento
C. Cifrado
D. No repudio
Ver respuesta
Respuesta correcta: C
Cuestionar #271
¿Cuál de las siguientes opciones demuestra MEJOR la alineación entre el gobierno de la seguridad de la información y el gobierno corporativo?
A. Número medio de incidentes de seguridad en las unidades de negocio
B. Justificación de los proyectos de seguridad en términos de valor comercial
C. Número de vulnerabilidades identificadas para los activos de información de alto riesgo
D. Tiempo medio de resolución de incidentes de seguridad en toda la empresa
Ver respuesta
Respuesta correcta: B
Cuestionar #272
¿Cuál de los siguientes es el tipo de control de acceso MÁS eficaz?
A. Centralizado
B. Basado en roles
C. Descentralizado
D. Discrecional
Ver respuesta
Respuesta correcta: B
Cuestionar #273
¿Cuál de los siguientes es el MEJOR enfoque para tomar decisiones estratégicas en materia de seguridad de la información?
A. Crear un comité directivo de seguridad de la información
B. Establecer reuniones periódicas de la alta dirección
C. Establecer informes periódicos sobre el estado de la seguridad de la información
D. Crear grupos de trabajo sobre seguridad en las unidades de negocio
Ver respuesta
Respuesta correcta: D
Cuestionar #274
Para justificar la necesidad de invertir en una herramienta de análisis forense, un responsable de seguridad de la información debería PRIMERO:
A. revisar las funcionalidades y los requisitos de implementación de la solución
B. revisar informes comparativos de implantación de herramientas en empresas homólogas
C. dar ejemplos de situaciones en las que una herramienta de este tipo sería útil
D. justificar la inversión para satisfacer las necesidades de la organización
Ver respuesta
Respuesta correcta: D
Cuestionar #275
En una organización multinacional, las normas de seguridad locales deben aplicarse por encima de la política de seguridad global porque:
A. Desplegar la conciencia de la normativa local es más práctico que de la política mundial
B. las políticas de seguridad globales incluyen controles innecesarios para las empresas locales
C. los objetivos empresariales son definidos por los directores de las unidades de negocio locales
D. prevalecen los requisitos de la normativa local
Ver respuesta
Respuesta correcta: D
Cuestionar #276
¿Cuál de las siguientes opciones permitiría MEJOR a un responsable de seguridad de la información identificar el riesgo asociado a las soluciones basadas en la nube?
A. Evaluación de las soluciones con respecto a las políticas de seguridad de la organización
B. Revisión del cumplimiento de los acuerdos de nivel de servicio (SLA) por parte de los proveedores
C. Revisión de las auditorías de terceros de los proveedores de servicios en la nube
D. Evaluación comparativa con organizaciones homólogas que utilizan soluciones en nube
Ver respuesta
Respuesta correcta: C
Cuestionar #277
Los propietarios de los datos son PRIMARIAMENTE responsables de establecer métodos de mitigación de riesgos para abordar ¿cuál de las siguientes áreas?
A. Seguridad de la plataforma
B. Cambios en los derechos
C. Detección de intrusos
D. Controles antivirus
Ver respuesta
Respuesta correcta: B
Cuestionar #278
¿Cuál de los siguientes es el ámbito de actuación MÁS habitual de un comité directivo de seguridad de la información?
A. Entrevistar a candidatos para puestos de especialista en seguridad de la información
B. Elaboración de contenidos para programas de sensibilización en materia de seguridad
C. Priorizar las iniciativas de seguridad de la información
D. Autorización de acceso a sistemas financieros críticos
Ver respuesta
Respuesta correcta: C
Cuestionar #279
El objetivo PRINCIPAL de un plan estratégico de seguridad de la información es:
A. desarrollar un plan de evaluación de riesgos
B. desarrollar un plan de protección de datos
C. proteger los activos y recursos de información
D. establecer una gobernanza de la seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #280
La MEJOR manera de establecer un objetivo de tiempo de recuperación (RTO) que equilibre el coste con un plazo de recuperación realista es:
A. realizar un análisis de impacto en el negocio (BIA)
B. determinar el coste diario del tiempo de inactividad
C. analizar las métricas de costes
D. realizar una evaluación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #281
El requisito MÁS básico de un programa de gobernanza de la seguridad de la información es:
A. estar alineada con la estrategia empresarial corporativA
B. basarse en un enfoque sólido de gestión de riesgos
C. proporcionar un cumplimiento normativo adecuado
D. proporcionar las mejores prácticas para las iniciativas de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #282
Las actividades de identificación, análisis y mitigación de riesgos pueden integrarse MEJOR en los procesos del ciclo de vida empresarial vinculándolas a:
A. pruebas de conformidad
B. gestión de la configuración
C. planificación de la continuidad
D. gestión del cambio
Ver respuesta
Respuesta correcta: B
Cuestionar #283
¿Cuál de las siguientes opciones es la MÁS importante a tener en cuenta a la hora de desarrollar un caso empresarial que respalde la inversión en un programa de seguridad de la información?
A. Apoyo de la alta dirección
B. Resultados de un análisis coste-beneficio
C. Resultados de una evaluación de riesgos
D. Impacto en el perfil de riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #284
¿Cuál de las siguientes es la solución MÁS eficaz para evitar que personas ajenas a la organización modifiquen información confidencial de una base de datos corporativa?
A. Subredes filtradas
B. Políticas y procedimientos de clasificación de la información
C. Controles de acceso basados en roles
D. Sistema de detección de intrusiones (IDS)
Ver respuesta
Respuesta correcta: A
Cuestionar #285
Se ha publicado un parche validado para hacer frente a una nueva vulnerabilidad que puede afectar a un servidor de misión crítica
A. Añadir controles atenuantes
B. Comprobar la seguridad del servidor e instalar el parche
C. Realizar un análisis de impacto
D. Desconectar el servidor e instalar el parche
Ver respuesta
Respuesta correcta: C
Cuestionar #286
¿Cuál de las siguientes es la MEJOR razón para realizar un análisis de impacto en el negocio (BIA)?
A. Para ayudar a determinar el estado actual del riesgo
B. Presupuestar adecuadamente los controles necesarios
C. Para cumplir los requisitos reglamentarios
D. Analizar el efecto en la empresa
Ver respuesta
Respuesta correcta: A
Cuestionar #287
Para ayudar a los usuarios a aplicar controles adecuados en relación con la normativa sobre privacidad de datos, ¿qué es lo MÁS importante que hay que comunicar a los usuarios?
A. Características de los productos de protección de datos
B. Procedimientos de almacenamiento de datos
C. Resultados de las pruebas de penetración
D. Política de clasificación de datos
Ver respuesta
Respuesta correcta: B
Cuestionar #288
Cuando una organización implanta un programa de gobierno de la seguridad de la información, su consejo de administración debe ser responsable de:
A. redactar políticas de seguridad de la información
B. revisar los programas de formación y sensibilización
C. establecer la dirección estratégica del programA
D. auditar el cumplimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #289
¿Cuál de las siguientes opciones es la MÁS adecuada cuando el índice de riesgo es bajo pero el impacto es alto?
A. Transferencia de riesgos
B. Aceptación del riesgo
C. Mitigación de riesgos
D. Evitar riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #290
Al considerar el valor de los activos, ¿cuál de las siguientes opciones proporcionaría al responsable de la seguridad de la información la base MÁS objetiva para medir la entrega de valor en la gobernanza de la seguridad de la información?
A. Número de controles
B. Coste de la consecución de los objetivos de control
C. Eficacia de los controles
D. Resultados de los controles
Ver respuesta
Respuesta correcta: B
Cuestionar #291
Una organización multinacional que opera en quince países está considerando implantar un programa de seguridad de la información. ¿Qué factor influirá MÁS en el diseño del programa de seguridad de la información?
A. Representación de los líderes empresariales regionales
B. Composición del consejo
C. Culturas de los distintos países
D. Conocimientos de seguridad informática
Ver respuesta
Respuesta correcta: C
Cuestionar #292
Una organización ha adquirido una herramienta de gestión de eventos e información de seguridad (SIEM). Cuál de las siguientes opciones es la MÁS importante a tener en cuenta antes de la implementación?
A. ontroles que deben supervisarse
B. Capacidad de elaboración de informes
C. El contrato con el proveedor de SIEM
D. Asistencia técnica disponible
Ver respuesta
Respuesta correcta: A
Cuestionar #293
¿Cuál de los siguientes puntos debe establecerse entre un proveedor de servicios informáticos y sus clientes para MEJORpermitir una adecuada continuidad del servicio en previsión de una interrupción?
A. Políticas de conservación de datos
B. Planes de mantenimiento de servidores
C. Objetivos de tiempo de recuperación
D. Acuerdo de sede recíproca
Ver respuesta
Respuesta correcta: C
Cuestionar #294
La MEJOR manera de determinar si un sistema de detección de intrusos (IDS) basado en anomalías está correctamente instalado es:
A. simular un ataque y revisar el rendimiento del IDS
B. utilizar un honeypot para comprobar si hay actividad inusual
C. auditar la configuración del IDS
D. comparar el IDS con un sitio homólogo
Ver respuesta
Respuesta correcta: A
Cuestionar #295
¿Cuál de los siguientes factores es un impulsor PRIMARIO de la gobernanza de la seguridad de la información que no requiere más justificación?
A. Alineación con las mejores prácticas del sector
B. Inversión en continuidad de las actividades
C. Beneficios empresariales
D. Cumplimiento de la normativa
Ver respuesta
Respuesta correcta: D
Cuestionar #296
¿Cuál de las siguientes opciones describe MEJOR el papel de un responsable de seguridad de la información en un equipo multidisciplinar que abordará un nuevo requisito normativo relativo al riesgo operativo?
A. Garantizar la identificación de todos los riesgos informáticos
B. Evaluar el impacto de los riesgos para la seguridad de la información
C. Demostrar que existen controles de mitigación de TI
D. Sugerir nuevos controles de TI para mitigar el riesgo operativo
Ver respuesta
Respuesta correcta: B
Cuestionar #297
Dentro de un marco de gobernanza de la seguridad, ¿cuál de las siguientes es la característica MÁS importante del comité de seguridad de la información? El comité:
A. realiza revisiones frecuentes de la política de seguridad
B. ha establecido relaciones con profesionales externos
C. tiene unos estatutos y unos protocolos de reunión claramente definidos
D. incluye una mezcla de miembros de todos los niveles de gestión
Ver respuesta
Respuesta correcta: D
Cuestionar #298
Al desarrollar una estrategia de protección para la externalización de aplicaciones, el responsable de seguridad de la información DEBE asegurarse de que:
A. los acuerdos de custodia están en vigor
B. los requisitos de seguridad se incluyen en el acuerdo de nivel de servicio (SLA)
C. la responsabilidad de la seguridad se transfiere en el acuerdo de nivel de servicio (SLA)
D. el contrato incluye cláusulas de confidencialidad
Ver respuesta
Respuesta correcta: B
Cuestionar #299
¿Cuál es la consideración MÁS importante a la hora de establecer métricas para informar al comité de estrategia de seguridad de la información?
A. Acordar valores de referencia para las métricas
B. Desarrollar un cuadro de mandos para comunicar las métricas
C. Proporcionar información en tiempo real sobre la postura de seguridad de la organización
D. Comparación del valor esperado de las métricas con los estándares del sector
Ver respuesta
Respuesta correcta: A
Cuestionar #300
Una organización contrata a un proveedor externo para supervisar y dar soporte a una aplicación financiera que está siendo examinada por los reguladores. El mantenimiento de una estricta integridad y confidencialidad de los datos de esta aplicación es fundamental para la empresa, por lo que ¿cuál de los siguientes controles gestionaría MÁS eficazmente el riesgo para la organización?
A. Aplicación de la separación de funciones entre sistemas y datos
B. Activación del acceso y registro de datos
C. Deshabilitar el acceso de los proveedores y volver a habilitarlo sólo cuando sea necesario
D. Realización de revisiones periódicas del acceso de los empleados de los proveedores
Ver respuesta
Respuesta correcta: B
Cuestionar #301
El objetivo PRIMARIO de un programa de gestión de riesgos es:
A. minimizar el riesgo inherente
B. eliminar el riesgo empresarial
C. aplicar controles eficaces
D. minimizar el riesgo residual
Ver respuesta
Respuesta correcta: D
Cuestionar #302
Tras una evaluación de riesgos, se determina que el coste de mitigar el riesgo es mucho mayor que el beneficio que se obtendrá. El responsable de la seguridad de la información debe recomendar a la dirección de la empresa que se elimine el riesgo:
A. transferido
B. tratado
C. aceptadA
D. terminado
Ver respuesta
Respuesta correcta: C
Cuestionar #303
¿Cuál de las siguientes acciones debe realizar PRIMERO un responsable de seguridad de la información cuando una aplicación heredada no cumple un requisito normativo, pero la unidad de negocio no dispone de presupuesto para remediarlo?
A. esarrollar un caso de negocio para financiar los esfuerzos de remediación
B. consejar a la alta dirección que acepte el riesgo de incumplimiento
C. otificar a auditoría interna y jurídica la aplicación heredada no conforme
D. Evaluar las consecuencias del incumplimiento frente al coste de la corrección
Ver respuesta
Respuesta correcta: D
Cuestionar #304
Los sistemas clave necesarios para las operaciones de la sucursal residen en la sede central. La sucursal A está negociando con un tercero para que le proporcione instalaciones de recuperación en caso de desastre
A. Es posible que haya que compartir el hot site de la sucursal
B. No se proporciona conectividad desde el hot site a la sede corporativA
C. No se incluyen en el contrato cláusulas de penalización por incumplimiento
D. El contrato no contempla el derecho a auditar la planta caliente
Ver respuesta
Respuesta correcta: B
Cuestionar #305
¿Cuál de los siguientes sería el factor MÁS importante a tener en cuenta en la pérdida de equipos móviles con datos sin cifrar?
A. Divulgación de información personal
B. Cobertura suficiente de la póliza de seguro para pérdidas accidentales
C. Valor intrínseco de los datos almacenados en el equipo
D. Coste de sustitución del equipo
Ver respuesta
Respuesta correcta: C
Cuestionar #306
¿Cuál de las siguientes es una ventaja de la gobernanza de la seguridad de la información?
A. Reducción del potencial de responsabilidad civil o legal
B. Cuestionar la confianza en las relaciones con los proveedores
C. Aumento del riesgo de decisiones basadas en información de gestión incompleta
D. Participación directa de la alta dirección en el desarrollo de los procesos de control
Ver respuesta
Respuesta correcta: A
Cuestionar #307
¿Cuál de los siguientes es el paso MÁS importante en la clasificación de riesgos?
A. Evaluación de impacto
B. Coste de mitigación
C. Evaluación de la amenaza
D. Análisis de vulnerabilidad
Ver respuesta
Respuesta correcta: A
Cuestionar #308
Una unidad de negocio tiene la intención de desplegar una nueva tecnología de una manera que la sitúa en violación de las normas de seguridad de la información existentes. ¿Qué medidas inmediatas debe tomar el responsable de la seguridad de la información?
A. Hacer cumplir la norma de seguridad vigente
B. Cambiar la norma para permitir el despliegue
C. Realizar un análisis de riesgos para cuantificar el riesgo
D. Realizar una investigación para proponer el uso de una tecnología mejor
Ver respuesta
Respuesta correcta: C
Cuestionar #309
A la hora de tomar una decisión de externalización, ¿cuál de las siguientes funciones es MÁS importante mantener dentro de la organización?
A. Gestión de la seguridad
B. Respuesta a incidentes
C. Evaluación de riesgos
D. Gobernanza de la seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #310
A la hora de seleccionar las métricas para controlar los riesgos asociados a un programa de seguridad de la información, lo MÁS importante para un responsable de seguridad de la información es:
A. aprovechar las referencias del sector
B. considerar la estrategia empresarial de la organización
C. identificar el riesgo del programa y los controles compensatorios
D. considerar los objetivos estratégicos del programA
Ver respuesta
Respuesta correcta: B
Cuestionar #311
¿Cuál de las siguientes opciones es la MÁS eficaz para evitar la introducción de vulnerabilidades que puedan interrumpir la disponibilidad de una aplicación empresarial crítica?
A. Un proceso de gestión de parches
B. Controles de gestión de cambios
C. Controles de acceso lógicos
D. Control de versiones
Ver respuesta
Respuesta correcta: B
Cuestionar #312
Al apoyar al responsable de privacidad de una organización, ¿cuál de las siguientes es la funciónPRIMARIA del responsable de seguridad de la información en relación con los requisitos de primacía?
A. Control de la transferencia de datos privados
B. Realización de programas de concienciación sobre la privacidad
C. Garantizar la existencia de controles adecuados
D. Determinación de la clasificación de los datos
Ver respuesta
Respuesta correcta: C
Cuestionar #313
El departamento de marketing de una organización quiere utilizar un servicio de colaboración en línea que no cumple la política de seguridad de la información. Se realiza una evaluación de riesgos y se busca la aceptación del riesgo. La aprobación de la aceptación del riesgo debe ser proporcionada por:
A. el responsable de seguridad de la información
B. alta dirección empresarial
C. el director de riesgos
D. el responsable del cumplimiento
Ver respuesta
Respuesta correcta: B
Cuestionar #314
¿Cuál de los siguientes es el factor MÁS importante a la hora de determinar la frecuencia de la reevaluación de la seguridad de la información?
A. Prioridad de riesgo
B. Métricas de riesgo
C. Resultados de la auditoría
D. Controles paliativos
Ver respuesta
Respuesta correcta: B
Cuestionar #315
¿Cuál de las siguientes es la actividad MÁS apropiada del consejo de administración para el gobierno de la seguridad de la información?
A. Establecer la propiedad de la seguridad y la continuidad
B. Desarrollar escenarios "hipotéticos" sobre incidentes
C. Establecer medidas para las líneas de base de seguridad
D. Incluir la seguridad en las evaluaciones del rendimiento laboral
Ver respuesta
Respuesta correcta: A
Cuestionar #316
La reciente evaluación de riesgos de una organización ha identificado muchas áreas de riesgo para la seguridad, y la alta dirección ha solicitado un resumen de cinco minutos de los resultados de la evaluación. Cuál de las siguientes es la MEJOR opción del responsable de seguridad de la información para presentar esta información?
A. Registro de riesgos
B. Mapa de riesgos
C. Diagrama de araña
D. Cuadro de mando integral
Ver respuesta
Respuesta correcta: B
Cuestionar #317
¿Cuál de las siguientes es la MEJOR prueba de que el marco de gobernanza de la seguridad de la información de una organización es eficaz?
A. Las amenazas para la organización han disminuido
B. El registro de riesgos se revisa anualmente
C. El marco se centra principalmente en los controles técnicos
D. El marco puede adaptarse a los cambios organizativos
Ver respuesta
Respuesta correcta: A
Cuestionar #318
Para que el personal de las infraestructuras informáticas esté adecuadamente preparado ante las catástrofes, lo MÁS importante es:
A. hacer que el personal más experimentado participe en las pruebas de recuperación
B. incluir al personal del usuario final en cada prueba de recuperación
C. asignar funciones específicas al personal en el plan de recuperación
D. rotar periódicamente a los participantes en las pruebas de recuperación
Ver respuesta
Respuesta correcta: D
Cuestionar #319
Tras un estudio de evaluación de riesgos, un banco con operaciones globales decidió seguir haciendo negocios en ciertas regiones del mundo donde el robo de identidad está muy extendido. El responsable de seguridad de la información debe animar a la empresa a:
A. aumentar sus esfuerzos de concienciación de los clientes en esas regiones
B. aplicar técnicas de supervisión para detectar posibles fraudes y reaccionar ante ellos
C. externalizar el procesamiento de tarjetas de crédito a un tercero
D. responsabilizar al cliente de las pérdidas si no sigue los consejos del banco
Ver respuesta
Respuesta correcta: B
Cuestionar #320
¿Cuál de las siguientes opciones indica MEJOR el apoyo de la alta dirección a un programa de seguridad de la información?
A. Se establecen y revisan periódicamente políticas detalladas de seguridad de la información
B. El responsable de seguridad de la información se reúne periódicamente con las líneas de negocio
C. Se definen indicadores clave de rendimiento (KPI) para el programa de seguridad de la información
D. El equipo de seguridad de la información realiza con frecuencia evaluaciones de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #321
¿Cuál de las siguientes opciones es la MÁS probable que reduzca la eficacia de un sistema de detección de intrusiones (IDS) basado en firmas?
A. Las actividades controladas se desvían de lo que se considera normal
B. La información relativa a las actividades supervisadas se vuelve obsoletA
C. El patrón de comportamiento normal cambia rápida y drásticamente
D. El entorno es complejo
Ver respuesta
Respuesta correcta: D
Cuestionar #322
¿Cuál es la MEJOR defensa contra un ataque de inyección de lenguaje de consulta estructurado (SQL)?
A. Ficheros de firmas actualizados periódicamente
B. Un cortafuegos correctamente configurado
C. Un sistema de detección de intrusos
D. Controles estrictos de los campos de entrada
Ver respuesta
Respuesta correcta: D
Cuestionar #323
¿Cuál de las siguientes es la MEJOR estrategia para implantar una postura de seguridad operativa eficaz?
A. Gestión de amenazas
B. Defensa en profundidad
C. Mayor concienciación en materia de seguridad
D. Gestión de la vulnerabilidad
Ver respuesta
Respuesta correcta: B
Cuestionar #324
Una organización ha contratado a un proveedor externo de comercio electrónico. ¿Cuál de los siguientes puntos es MÁS importante que examine el responsable de seguridad de la información durante el periodo de revisión de cumplimiento posterior?
A. Cambios en los controles y la infraestructura del proveedor
B. Provisiones financieras y gastos de mantenimiento
C. Cumplimiento del acuerdo de nivel de servicio
D. Disposiciones del contrato relativas al derecho de auditoría
Ver respuesta
Respuesta correcta: A
Cuestionar #325
La razón PRINCIPAL para que el Comité Directivo de Seguridad de la Información revise un nuevo plan de implantación de controles de seguridad es garantizar que:
A. el plan se alinea con el plan de negocio de la organización
B. los presupuestos departamentales se asignan adecuadamente para pagar el plan
C. se cumplen los requisitos de supervisión reglamentariA
D. se reduce el impacto del plan en las unidades de negocio
Ver respuesta
Respuesta correcta: A
Cuestionar #326
Para justificar su presupuesto de seguridad permanente, ¿cuál de las siguientes opciones sería la MÁS útil para el departamento de seguridad de la información?
A. Frecuencia de las violaciones de seguridad
B. Esperanza de pérdidas anualizada (ALE)
C. Análisis coste-beneficio
D. Comparación entre grupos de homólogos
Ver respuesta
Respuesta correcta: C
Cuestionar #327
La aplicación de un plan de capacidad evitaría:
A. sobrecarga del sistema de archivos derivada de ataques distribuidos de denegación de servicio
B. tiempo de inactividad del sistema por mantenimiento de seguridad programado
C. fallos de software derivados de la explotación de vulnerabilidades de la capacidad del búfer
D. fallos de la aplicación debidos a recursos de hardware insuficientes
Ver respuesta
Respuesta correcta: D
Cuestionar #328
Para tener una idea clara del impacto que un nuevo requisito normativo tendrá en los controles de seguridad de la información de una organización, un responsable de seguridad de la información debería PRIMERO:
A. entrevistar a los altos directivos
B. realizar una evaluación de riesgos
C. realizar un análisis coste-beneficio
D. realizar un análisis de carencias
Ver respuesta
Respuesta correcta: D
Cuestionar #329
Los procesos de seguridad de la información de una organización se definen actualmente como ad hoc. Al tratar de mejorar su nivel de rendimiento, el siguiente paso para la organización debería ser:
A. garantizar que los procesos de seguridad sean coherentes en toda la organización
B. imponer niveles de seguridad básicos en toda la organización
C. garantizar que los procesos de seguridad estén plenamente documentados
D. implantar la supervisión de los indicadores clave de rendimiento de los procesos de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #330
La alta dirección ha decidido aceptar un riesgo importante dentro de un plan de corrección de la seguridad. ¿Cuál de las siguientes es la MEJOR forma de actuar del responsable de seguridad de la información?
A. Corrija el riesgo y documente los motivos
B. Actualizar el registro de riesgos con la aceptación del riesgo
C. Comunicar el plan de corrección al consejo de administración
D. Informar de la aceptación del riesgo a los organismos reguladores
Ver respuesta
Respuesta correcta: C

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.