¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Últimas preguntas del examen CRISC de ISACA para una preparación eficaz del examen

La obtención de la certificación Certified in Risk and Information Systems Control (CRISC) es un valioso activo para los profesionales de la gestión de riesgos. Sin embargo, la preparación para el examen CRISC puede ser una tarea difícil. Ahí es donde las preguntas y los recursos del examen CRISC de SPOTO resultan útiles. SPOTO ofrece una amplia colección de preguntas y respuestas del examen CRISC, preguntas de prueba, exámenes de prueba y materiales de estudio adaptados a los objetivos del examen CRISC. Estos recursos de la preparación del examen se diseñan para simular el ambiente verdadero del examen, proveyendo de ti una experiencia realista y aumentando tu confianza. Con las preguntas del examen CRISC de SPOTO, puedes identificar las áreas en las que necesitas más estudio y práctica, asegurándote de que tienes el conocimiento y las habilidades necesarias para mejorar la resiliencia empresarial de tu compañía, ofrecer valor a las partes interesadas y optimizar la gestión de riesgos en toda la empresa. Aprovechando estos recursos para el examen y practicando con simulacros de examen, podrá prepararse eficazmente y aumentar sus posibilidades de superar con éxito el examen de certificación CRISC.
Realizar otros exámenes en línea
Cuestionar #1
Una evaluación de los controles de seguridad de la información ha identificado controles ineficaces. ¿Cuál de las siguientes opciones debería ser la PRIMERA acción del especialista en riesgos?
A. mplantar un control compensatorio para subsanar las deficiencias detectadas
B. nformar del control ineficaz para su inclusión en el próximo informe de auditoría
C. eterminar si el impacto está fuera del apetito de riesgo
D. olicitar una aceptación formal del riesgo por parte de la alta dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #2
¿Cuál de las siguientes opciones es la MEJOR para cuantificar el riesgo asociado a los usuarios malintencionados en una organización?
A. Análisis del impacto en la empresa
B. valuación del riesgo de amenaza
C. valuación de la vulnerabilidad
D. Análisis de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #3
¿Cuál de las siguientes debe ser la consideración PRIMARIA a la hora de evaluar la automatización de la supervisión del control?
A. recuencia del fallo de control
B. lan de contingencia para el riesgo residual
C. nálisis coste-beneficio de la automatización
D. mpacto por fallo de control
Ver respuesta
Respuesta correcta: D
Cuestionar #4
¿Para cuál de los siguientes niveles de madurez de la capacidad de gestión de riesgos es cierta la afirmación que figura a continuación? "Existe supervisión en tiempo real de los eventos de riesgo y las excepciones de control, así como automatización de la gestión de políticas"
A. ivel 3
B. ivel 0
C. ivel 5
D. ivel 2
Ver respuesta
Respuesta correcta: C
Cuestionar #5
¿Cuál de los siguientes es el MEJOR indicador de la eficacia de la aplicación de un plan de acción de control?
A. ayor propensión al riesgo
B. ayor número de controles
C. ivel de riesgo reducido
D. Compromiso de las partes interesadas
Ver respuesta
Respuesta correcta: C
Cuestionar #6
Usted es el director de un gran proyecto de construcción. Durará 18 meses y costará 750.000 dólares. Está trabajando con su equipo de proyecto, expertos y partes interesadas para identificar los riesgos del proyecto antes de que comience el trabajo. La dirección quiere saber por qué ha programado tantas reuniones de identificación de riesgos a lo largo del proyecto en lugar de sólo al principio, durante la planificación del mismo. ¿Cuál es la mejor razón para duplicar las sesiones de identificación de riesgos?
A. as reuniones iterativas permiten a todas las partes interesadas participar en los procesos de identificación de riesgos a lo largo de todas las fases del proyecto
B. as reuniones iterativas permiten al gestor del proyecto discutir los eventos de riesgo que han pasado el proyecto y que no han sucedido
C. as reuniones iterativas permiten al director del proyecto y a los participantes en la identificación de riesgos identificar nuevos eventos de riesgo descubiertos a lo largo del proyecto
D. as reuniones iterativas permiten al director del proyecto comunicar los riesgos pendientes durante la ejecución del proyecto
Ver respuesta
Respuesta correcta: C
Cuestionar #7
Una organización opera en una jurisdicción en la que se imponen fuertes multas por la filtración de datos de clientes. ¿Cuál de las siguientes opciones es la MEJOR para evaluar el impacto del riesgo inherente?
A. úmero de registros de clientes
B. úmero de bases de datos que albergan datos de clientes
C. úmero de bases de datos de clientes encriptadas
D. Número de empleados con acceso a los datos de los clientes
Ver respuesta
Respuesta correcta: D
Cuestionar #8
¿Cuáles de los siguientes son los componentes de riesgo MÁS importantes que deben comunicarse entre todas las partes interesadas? Cada respuesta correcta representa una parte de la solución. Elija tres.
A. os modelos IRGC tienen por objeto construir modelos de gobernanza interdisciplinarios sólidos e integradores para los riesgos emergentes y existentes
B. l IRGC es tanto un concepto como una herramientA
C. RGC aborda el desarrollo de la resiliencia y la capacidad de las organizaciones y las personas para hacer frente a riesgos inevitables
D. RGC aborda la comprensión de los impactos secundarios de un riesgo
Ver respuesta
Respuesta correcta: BCD
Cuestionar #9
Usted es el director del proyecto QPS. Usted y su equipo de proyecto han identificado un riesgo puro. Junto con las principales partes interesadas, ha decidido eliminar el riesgo puro del proyecto cambiando por completo el plan del proyecto. ¿Qué es un riesgo puro?
A.
B.
C.
D.
Ver respuesta
Respuesta correcta: A
Cuestionar #10
¿Cuál de las siguientes opciones sería la MEJOR para garantizar una gestión eficaz de los riesgos identificados?
A. Revisión de la madurez del entorno de control
B. antener un indicador de riesgo clave para cada activo en el registro de riesgos
C. eguimiento periódico del plan del proyecto
D. evisar periódicamente los controles según el plan de tratamiento de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #11
¿Cuál de las siguientes actualizaciones del registro de riesgos es MÁS importante que revise la alta dirección?
A. vitar un riesgo previamente aceptado
B. rorrogar dos meses la fecha de un futuro plan de acción
C. etirada de un escenario de riesgo que ya no se utiliza
D. ambiar el propietario de un riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #12
Usted es el gestor del proyecto GHY de su empresa. Necesita completar un proceso de gestión de proyectos que esté atento a los nuevos riesgos, a los riesgos cambiantes y a los riesgos que ya han quedado obsoletos. ¿Qué proceso de gestión de proyectos es responsable de estas acciones?
A. lanificación de riesgos
B. Seguimiento y control de riesgos
C. dentificación de riesgos
D. Análisis de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #13
Al propietario de una aplicación se le especificó que el tiempo de inactividad aceptable en caso de incidente era mucho menor que el tiempo real necesario para que el equipo de respuesta recuperara la aplicación. ¿Cuál de los siguientes debería ser el PRÓXIMO curso de acción?
A. nvocar el plan de recuperación de desastres durante un incidente
B. educir el tiempo de recuperación reforzando el equipo de respuesta
C. reparar un análisis coste-beneficio de las alternativas disponibles
D. mplantar una infraestructura redundante para la aplicación
Ver respuesta
Respuesta correcta: C
Cuestionar #14
Numerosos informes de los medios de comunicación indican que se está explotando activamente una vulnerabilidad técnica descubierta recientemente. ¿Cuál de las siguientes sería la MEJOR respuesta a esta situación?
A. valuar el proceso de gestión de vulnerabilidades
B. ealizar una autoevaluación del control
C. eevaluar el riesgo inherente del objetivo
D. ealizar una evaluación de la vulnerabilidad
Ver respuesta
Respuesta correcta: D
Cuestionar #15
¿Cuál de los siguientes aspectos de una autoevaluación de riesgos y controles informáticos sería MÁS importante incluir en un informe a la alta dirección?
A. Disminución del número de controles clave
B. ambios en el diseño del control
C. Aumento del riesgo residual
D. Cambios en el control de la propiedad
Ver respuesta
Respuesta correcta: D
Cuestionar #16
El método de la esperanza de pérdida anualizada (ALE) de análisis de riesgos:
A. tiliza clasificaciones de riesgo cualitativas, como bajo, medio y alto
B. uede utilizarse para determinar el impacto empresarial indirecto
C. yuda a calcular el coste previsto de los controles
D. uede utilizarse en un análisis de costes y beneficios
Ver respuesta
Respuesta correcta: D
Cuestionar #17
¿Cuál de los siguientes sería el MEJOR indicador clave de rendimiento (KPI) para supervisar la eficacia del proceso de gestión de activos de TI?
A. Porcentaje de activos informáticos sin parches
B. Número de activos informáticos adquiridos durante el mes anterior
C. Número de activos informáticos eliminados de forma segura durante el año pasado
D. Porcentaje de activos informáticos sin propietario
Ver respuesta
Respuesta correcta: C
Cuestionar #18
¿Cuál de los siguientes es el MEJOR indicador clave de rendimiento (KPI) para medir la eficacia de un proceso de gestión de vulnerabilidades?
A. Porcentaje de vulnerabilidades corregidas dentro del nivel de servicio acordado
B. úmero de vulnerabilidades identificadas durante el periodo
C. úmero de vulnerabilidades reabiertas durante el periodo
D. Porcentaje de vulnerabilidades elevadas a la alta dirección
Ver respuesta
Respuesta correcta: A
Cuestionar #19
¿Cuáles son los requisitos para crear escenarios de riesgo? Cada respuesta correcta representa una parte de la solución. (Elija tres.)
A. eterminación de la causa y el efecto
B. eterminación del valor del proceso de negocio en riesgo
C. Amenazas y vulnerabilidades potenciales que podrían causar pérdidas
D. eterminación del valor de un activo
Ver respuesta
Respuesta correcta: BCD
Cuestionar #20
Para garantizar el éxito de un gran proyecto informático, lo MÁS importante es:
A. btener la aprobación de los propietarios de los procesos empresariales
B. Obtener el compromiso de las partes interesadas
C. actualizar periódicamente el registro de riesgos
D. linearlo con el plan estratégico de la organización
Ver respuesta
Respuesta correcta: B
Cuestionar #21
¿Cuál de las siguientes es la MEJOR forma de gestionar el riesgo inherente a una red inalámbrica?
A. ctivar la auditoría en cada host que se conecta a una red inalámbrica
B. equerir encriptación privada basada en claves para conectarse a la red inalámbrica
C. xigir que cada host que se conecte a esta red tenga un plan de recuperación bien probado
D. Activar la auditoría en cada conexión a la red inalámbrica
Ver respuesta
Respuesta correcta: B
Cuestionar #22
Lo MÁS apropiado es que los cambios se pasen a producción después de que lo estén:
A. probado por el empresario
B. Probado por empresarios
C. omunicado a la dirección de la empresa
D. iniciada por los usuarios de la empresa
Ver respuesta
Respuesta correcta: B
Cuestionar #23
¿Cuál de los siguientes es el resultado MÁS importante de la revisión del proceso de gestión de riesgos?
A. ejora de las competencias de los empleados que realizaron la revisión
B. Garantizar que el perfil de riesgo respalda los objetivos informáticos
C. eterminar qué cambios deben introducirse en las políticas de SI para reducir el riesgo
D. eterminación de la idoneidad de los procedimientos utilizados en la evaluación de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #24
¿Cuál de las siguientes es la MEJOR manera de determinar la eficacia continua de los procesos de control?
A. ropietarios del proceso de entrevista
B. evisar el registro de riesgos
C. ealizar evaluaciones anuales de riesgos
D. nalizar los indicadores clave de rendimiento (KPI)
Ver respuesta
Respuesta correcta: D
Cuestionar #25
¿Cuál de los siguientes puntos se considera un objetivo del modelo tridimensional dentro del marco descrito en COSO ERM?
A. Evaluación de riesgos
B. Información financiera
C. ntorno de control
D. Control
Ver respuesta
Respuesta correcta: B
Cuestionar #26
¿Cuál de las siguientes es la MEJOR manera de identificar deficiencias en el control de los sistemas de información?
A. utoevaluación del control (CSA)
B. nálisis de vulnerabilidades y amenazas
C. ruebas de aceptación del usuario (UAT)
D. Planificación de la corrección del control
Ver respuesta
Respuesta correcta: B
Cuestionar #27
El MEJOR indicador clave de rendimiento (KPI) para medir la eficacia de un proceso de copia de seguridad sería el número de:
A. olicitudes de recuperación de copias de seguridad
B. ecursos para supervisar las copias de seguridad
C. nformes de seguimiento de la restauración
D. fallos recurrentes de restauración
Ver respuesta
Respuesta correcta: C
Cuestionar #28
¿Cuál de las siguientes consideraciones debe tenerse en cuenta a la hora de seleccionar indicadores de riesgo que garanticen una mayor implicación y apropiación?
A. ndicador de retraso
B. ndicador de plomo
C. Causa raíz
D. Partes interesadas
Ver respuesta
Respuesta correcta: D
Cuestionar #29
¿Cuál de los siguientes es el MEJOR control para detectar una amenaza persistente avanzada (APT)?
A. Seguimiento de las actividades en las redes sociales
B. Realización periódica de pruebas de penetración
C. tilización de sistemas antivirus y cortafuegos
D. mplantación de la supervisión automatizada de registros
Ver respuesta
Respuesta correcta: B
Cuestionar #30
¿Cuál de los siguientes es el proceso de analizar numéricamente los efectos de los riesgos identificados sobre los objetivos generales de la empresa?
A. dentificación de riesgos
B. valuación cuantitativa del riesgo
C. valuación cualitativa del riesgo
D. Seguimiento y control de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #31
Por primera vez, el departamento de compras ha solicitado que TI conceda acceso remoto a proveedores externos. ¿Cuál de las siguientes es la MEJOR forma de actuar de TI para responder a la solicitud?
A. roponer una solución tras analizar el riesgo informático
B. iseñar e implantar controles de autenticación de claves
C. iseñar e implantar un proceso de acceso remoto seguro
D. Normas internas adecuadas al nuevo modelo de negocio
Ver respuesta
Respuesta correcta: A
Cuestionar #32
Para ayudar a garantizar que todos los escenarios de riesgo aplicables se incorporan al registro de riesgos, lo MÁS importante es revisar el:
A. Resultados de la evaluación de riesgos
B. Análisis coste-beneficio
C. Resultados de la evaluación de la vulnerabilidad
D. nfoque de mitigación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #33
¿Con cuál de las siguientes opciones se puede obtener un resultado exhaustivo al realizar un análisis de riesgos cualitativo?
A. scenarios con amenazas e impactos
B. nálisis coste-beneficio
C. alor de los activos de información
D. Evaluación de la vulnerabilidad
Ver respuesta
Respuesta correcta: A
Cuestionar #34
Un especialista en riesgos está ayudando a preparar un informe sobre las capacidades de recuperación en caso de catástrofe (RD) de la organización. Qué información tendría MÁS impacto en el perfil general de recuperación?
A. El porcentaje de sistemas que cumplen los plazos de recuperación ha aumentado
B. a aumentado el número de sistemas que requieren un plan de recuperación
C. l número de sistemas probados en el último año ha aumentado
D. Ha disminuido el porcentaje de sistemas con largos plazos de recuperación
Ver respuesta
Respuesta correcta: B
Cuestionar #35
¿Cuál de los siguientes requisitos empresariales está MÁS relacionado con la necesidad de contar con procesos empresariales y sistemas de información resistentes?
A. Confidencialidad
B. Eficacia
C. Integridad
D. Disponibilidad
Ver respuesta
Respuesta correcta: D
Cuestionar #36
El beneficio PRIMARIO de mantener un registro de riesgos actualizado es que ayuda a:
A. arantizar que el riesgo de las unidades de negocio se distribuye uniformemente
B. laborar un perfil de riesgo para su revisión por la dirección
C. uantificar el apetito de riesgo de la organización
D. mplantar controles uniformes para escenarios de riesgo comunes
Ver respuesta
Respuesta correcta: B
Cuestionar #37
¿Qué tipo de política utilizaría una organización para prohibir a sus empleados que utilicen el correo electrónico de la organización para uso personal?
A. Política contra el acoso
B. olítica de uso aceptable
C. Política de propiedad intelectual
D. Política de privacidad
Ver respuesta
Respuesta correcta: B
Cuestionar #38
Al revisar las autoevaluaciones de control de TI de la dirección, un profesional de riesgos observó un control ineficaz que se vincula a varios escenarios de bajo riesgo residual. ¿Cuál debería ser el PRÓXIMO curso de acción?
A. roponer controles paliativos
B. valuar la tolerancia al riesgo de la dirección
C. ecomendar a la dirección que acepte los escenarios de bajo riesgo
D. eevaluar los escenarios de riesgo asociados al control
Ver respuesta
Respuesta correcta: A
Cuestionar #39
Usted es el director del proyecto GHT. Ha aplicado ciertos controles para evitar cambios no autorizados en su proyecto. ¿Cuál de los siguientes controles habría aplicado para este fin?
A. ontrol de seguridad del personal
B. Control de acceso
C. ontrol de la gestión de la configuración
D. Control de la protección física y medioambiental
Ver respuesta
Respuesta correcta: C
Cuestionar #40
¿Cuál de los siguientes es el objetivo PRIMARIO del análisis de los datos de registro recopilados de los sistemas?
A. dentificar el riesgo que puede materializarse
B. acilitar la investigación de incidentes
C. etectar cambios en la titularidad del riesgo
D. revenir los incidentes causados por el riesgo materializado
Ver respuesta
Respuesta correcta: A
Cuestionar #41
¿Cuál de los siguientes es el indicador clave de rendimiento (KPI) MÁS importante que debe establecerse en el acuerdo de servicio (SLA) para un centro de datos externalizado?
A. úmero de sistemas clave alojados
B. orcentaje de disponibilidad del sistema
C. iempo medio de respuesta para resolver incidencias del sistema
D. Porcentaje de sistemas incluidos en los procesos de recuperación
Ver respuesta
Respuesta correcta: B
Cuestionar #42
El enfoque MÁS eficaz para priorizar los escenarios de riesgo es:
A. valuación del impacto en el plan estratégico
B. Solicitar la opinión de expertos en gestión de riesgos
C. linearse con las mejores prácticas del sector
D. valuación del coste de la respuesta al riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #43
¿Cuál de las siguientes opciones es la MÁS eficaz para mitigar los riesgos identificados?
A. ocumentar la tolerancia al riesgo de la organización
B. signar la propiedad del plan de respuesta al riesgo
C. ensibilizar en la detección precoz del riesgo
D. ealizar auditorías periódicas sobre las áreas de riesgo identificadas
Ver respuesta
Respuesta correcta: D
Cuestionar #44
Supongamos que trabaja en Techmart Inc., que vende diversos productos a través de su sitio web. Debido a algunas pérdidas recientes, está intentando identificar los riesgos más importantes para el sitio web. Basándose en los comentarios de varios expertos, ha elaborado una lista. Ahora quiere priorizar estos riesgos. ¿En qué categoría incluiría el riesgo de modificación del sitio web por terceros no autorizados?
A. Ataque de inundación Ping
B. Desfiguración de páginas web
C. taque de denegación de servicio
D. Ataque de rebote FTP
Ver respuesta
Respuesta correcta: B
Cuestionar #45
Usted es el gestor del proyecto GHT. Ha analizado el riesgo y ha aplicado los controles adecuados. Como resultado, ha obtenido el riesgo residual. ¿Cuál de las siguientes opciones puede utilizarse para determinar el riesgo residual?
A. sunto
B. espuesta de emergencia
C. isparador
D. mbral
Ver respuesta
Respuesta correcta: CD
Cuestionar #46
Usted trabaja en Bluewell Inc., que crea sitios web publicitarios. Alguien ha realizado cambios no autorizados en su sitio web. ¿Cuál de los siguientes términos se refiere a este tipo de pérdida?
A. érdida de confidencialidad
B. érdida de integridad
C. érdida de disponibilidad
D. Pérdida de ingresos
Ver respuesta
Respuesta correcta: B
Cuestionar #47
Para un gran proyecto de desarrollo de software, las evaluaciones de riesgos son MÁS eficaces cuando se realizan:
A. urante el desarrollo del caso de negocio
B. n cada etapa del SDLC
C. n el desarrollo de sistemas
D. antes de que comience el desarrollo del sistema
Ver respuesta
Respuesta correcta: B
Cuestionar #48
Usted es el director del proyecto HGT. Se encuentra en la primera fase del proceso de respuesta al riesgo y está realizando las siguientes tareas:-Comunicar los resultados del análisis de riesgos-Informar sobre las actividades de gestión de riesgos y el estado de cumplimiento Interpretar las conclusiones de la evaluación independiente de riesgos-Identificar las oportunidades de negocio¿Cuál de los siguientes procesos está llevando a cabo?
A. rticulación del riesgo
B. itigación de riesgos
C. eguimiento del riesgo
D. Riesgo de notificación
Ver respuesta
Respuesta correcta: A
Cuestionar #49
Usted trabaja en una empresa. Suponiendo que su empresa compara periódicamente los niveles de inventario de productos terminados con los inventarios perpetuos de su sistema ERP. ¿Qué tipo de información proporciona la ausencia de diferencias significativas entre los niveles perpetuos y los niveles reales?
A. Información directa
B. Información indirecta
C. lan de gestión de riesgos
D. nformación de auditoría de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #50
¿Cómo se representan las opciones potenciales de las decisiones basadas en el riesgo en el análisis del árbol de decisiones?
A. strategia de gestión de las partes interesadas
B. ocumentación sobre las lecciones aprendidas
C. egistro de riesgos
D. lan de gestión de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #51
¿Cuál de las siguientes es la forma MÁS eficaz de incorporar las preocupaciones de las partes interesadas al desarrollar escenarios de riesgo?
A. valuación del impacto de los riesgos
B. reación de informes trimestrales sobre riesgos
C. stablecimiento de indicadores clave de rendimiento
D. Realización de auditorías internas
Ver respuesta
Respuesta correcta: C
Cuestionar #52
Desde una perspectiva empresarial, ¿cuál de los siguientes es el objetivo MÁS importante de una prueba de recuperación en caso de catástrofe?
A. odos los sistemas críticos para la empresa se prueban con éxito
B. e descubren errores en el proceso de recuperación de desastres
C. odos los datos críticos se recuperan dentro de los objetivos de tiempo de recuperación (RTO)
D. La organización obtiene garantías de que puede recuperarse de un desastre
Ver respuesta
Respuesta correcta: C
Cuestionar #53
Un profesional de riesgos ha observado que los propietarios de riesgos han aprobado un elevado número de excepciones a la política de seguridad de la información. ¿Cuál de las siguientes debería ser la MAYOR preocupación del profesional de riesgos?
A. El riesgo agregado se acerca al umbral de tolerancia
B. Las vulnerabilidades no se están mitigando
C. Las políticas de seguridad no se revisan periódicamente
D. os propietarios de riesgos se centran más en la eficiencia
Ver respuesta
Respuesta correcta: A
Cuestionar #54
¿Cuál de las siguientes es la prioridad de los propietarios de los datos a la hora de establecer un método de mitigación de riesgos?
A. ambios en los derechos de los usuarios
B. Seguridad de la plataforma
C. etección de intrusos
D. Controles antivirus
Ver respuesta
Respuesta correcta: A
Cuestionar #55
¿Cuál de las siguientes opciones sería la MEJOR para proteger las transacciones financieras en línea frente a usuarios indebidos?
A. Autenticación multifactor
B. evisión periódica de las pistas de auditoría
C. utorización multinivel
D. Revisión de los intentos de inicio de sesión
Ver respuesta
Respuesta correcta: A
Cuestionar #56
Un profesional de riesgos ha determinado que un control clave no cumple las expectativas de diseño. ¿Cuál de las siguientes acciones debe realizarse PRÓXIMAMENTE?
A. nvocar el plan de respuesta a incidentes
B. odificar el diseño del control
C. ocumentar el hallazgo en el registro de riesgos
D. Reevaluar los principales indicadores de riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #57
¿Cuál de los siguientes es un ejemplo de la segunda línea del modelo de las tres líneas de defensa?
A. Auditores externos
B. Auditores internos
C. omité de gestión de riesgos
D. Propietarios del riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #58
La MAYOR preocupación a la hora de mantener un registro de riesgos es que:
A. a dirección ejecutiva no realiza revisiones periódicas
B. e excluyen los cambios significativos en los factores de riesgo
C. l riesgo informático no está vinculado a los activos informáticos
D. os impactos se registran en términos cualitativos
Ver respuesta
Respuesta correcta: B
Cuestionar #59
¿Cuál de los siguientes aspectos de la herramienta de monitorización garantiza que ésta pueda seguir el ritmo de crecimiento de una empresa?
A. Escalabilidad
B. Personalización
C. Sostenibilidad
D. Impacto en el rendimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #60
¿Cuál de los siguientes documentos se describe en el siguiente enunciado? "Se elabora junto con todos los procesos de la gestión de riesgos. Contiene los resultados del análisis cualitativo del riesgo, el análisis cuantitativo del riesgo y la planificación de la respuesta al riesgo."
A. educción de la frecuencia de una amenaza
B. inimización del riesgo inherente
C. educción del impacto de una amenaza
D. inimización del riesgo residual
Ver respuesta
Respuesta correcta: C
Cuestionar #61
¿Cuál de los siguientes términos se describe en el siguiente enunciado? "Son los principales indicadores de seguimiento de la empresa, y son muy relevantes y poseen una alta probabilidad de predecir o indicar un riesgo importante"
A. Principales indicadores de riesgo
B. ndicadores de retraso
C. Indicadores principales
D. Indicadores de riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #62
Para llevar a cabo el seguimiento MÁS eficaz de los indicadores clave de riesgo (KRI), ¿cuál de las siguientes medidas debe aplicarse?
A. limentación automática de datos
B. upervisión de los controles
C. rocedimientos de escalada
D. efinición del umbral
Ver respuesta
Respuesta correcta: B
Cuestionar #63
¿Cuál de los siguientes actúa como desencadenante del proceso de respuesta al riesgo?
A.
B. Infinito
C. 0
D.
Ver respuesta
Respuesta correcta: B
Cuestionar #64
Usted es el responsable informático de Bluewell Inc. Usted identifica una nueva normativa para salvaguardar la información procesada por un tipo específico de transacción. ¿Cuál sería la PRIMERA medida que tomaría?
A. valuar si los controles existentes cumplen la normativa
B. ctualizar la política de seguridad y privacidad existente
C. eunirse con las partes interesadas para decidir cómo cumplir la normativa
D. nalizar el riesgo clave en el proceso de cumplimiento
Ver respuesta
Respuesta correcta: A
Cuestionar #65
¿Cuál de los siguientes portadores de roles tiene que dar cuenta de la recopilación de datos sobre el riesgo y la articulación del riesgo?
A. omité de riesgos de la empresa
B. Propietario del proceso de negocio
C. irector de Información (CIO)
D. Director de Riesgos (CRO)
Ver respuesta
Respuesta correcta: D
Cuestionar #66
¿Cuál de las siguientes habilidades interpersonales se ha identificado como una de las principales razones del éxito o fracaso de un proyecto?
A. Motivación
B. Influencia
C. omunicación
D. Conciencia política y cultural
Ver respuesta
Respuesta correcta: C
Cuestionar #67
¿Cuál de las siguientes opciones ayudaría MEJOR a identificar al propietario de cada escenario de riesgo en un registro de riesgos?
A. signar la responsabilidad de los factores de riesgo por igual a los propietarios de los activos
B. eterminación de la dependencia de recursos de los activos
C. signación de los factores de riesgo identificados a procesos empresariales específicos
D. eterminar qué departamentos contribuyen más al riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #68
Wendy ha identificado un evento de riesgo en su proyecto que tiene un impacto de 75.000 dólares y una probabilidad del 60% de que ocurra. A través de la investigación, su equipo de proyecto se entera de que el impacto del riesgo en realidad se puede reducir a sólo 15.000 dólares con sólo un diez por ciento de posibilidades de que ocurra. La solución propuesta costará 25.000 dólares. Wendy acepta la solución de 25.000 dólares. ¿Qué tipo de respuesta al riesgo es ésta?
A. Mitigación
B. vitación
C. ransferencia
D. Mejora
Ver respuesta
Respuesta correcta: A
Cuestionar #69
¿Cuál de los siguientes procesos se describe en el siguiente enunciado? "Es el proceso de intercambio de información y opiniones sobre riesgos entre las partes interesadas, como grupos, individuos e instituciones"
A. Gobernanza del riesgo
B. dentificación de riesgos
C. lanificación de la respuesta al riesgo
D. Comunicación de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #70
Usted es el profesional de riesgos en Bluewell Inc. Ha identificado un riesgo y desea implementar una actividad específica de mitigación de riesgos. ¿Qué debería utilizar PRIMARIAMENTE?
A. nforme de evaluación de la vulnerabilidad
B. Caso práctico
C. nforme de evaluación técnica
D. Requisitos presupuestarios
Ver respuesta
Respuesta correcta: B
Cuestionar #71
¿Cuál de las siguientes es la PRINCIPAL razón para vigilar continuamente los riesgos informáticos?
A. arantizar que los niveles de riesgo se encuentran dentro de los límites aceptables de la propensión al riesgo y la tolerancia al riesgo de la organización
B. edefinir la propensión al riesgo y los niveles de tolerancia al riesgo en función de la evolución de los factores de riesgo
C. Ayudar a identificar las causas profundas de los incidentes y recomendar soluciones adecuadas a largo plazo
D. ctualizar el registro de riesgos para reflejar los cambios en los niveles de riesgo identificados y nuevos riesgos relacionados con las TI
Ver respuesta
Respuesta correcta: A
Cuestionar #72
Una organización acaba de empezar a aceptar pagos con tarjeta de crédito de los clientes a través de la página web corporativa. ¿Cuál de los siguientes factores es MÁS probable que aumente como resultado de esta nueva iniciativa?
A. petito de riesgo
B. iesgo residual
C. olerancia al riesgo
D. iesgo inherente
Ver respuesta
Respuesta correcta: D
Cuestionar #73
El propietario del riesgo debe ser la persona responsable de:
A. Acciones de aplicación
B. estión de los controles
C. l proceso de gestión de riesgos
D. el proceso empresarial
Ver respuesta
Respuesta correcta: A
Cuestionar #74
Un entorno de control eficaz es el MEJOR indicado por controles que:
A. inimizar la tolerancia al riesgo de la alta dirección
B. estionar el riesgo dentro del apetito de riesgo de la organización
C. son rentables
D. educir los umbrales de los indicadores clave de riesgo (KRI)
Ver respuesta
Respuesta correcta: D
Cuestionar #75
¿Cuál de los siguientes BEST proporciona una alerta temprana de que el acceso a la red de los empleados despedidos no está siendo revocado de acuerdo con el acuerdo de nivel de servicio (SLA)?
A. upervisión de los indicadores clave de rendimiento del control de acceso
B. ctualización de la autenticación multifactor
C. Análisis de los registros de control de acceso en busca de actividades sospechosas
D. Revisión del acuerdo de nivel de servicio (SLA)
Ver respuesta
Respuesta correcta: A
Cuestionar #76
La responsabilidad de un riesgo concreto se representa MEJOR en un:
A. Registro de riesgos
B. atriz RACI
C. atálogo de riesgos
D. scenario de riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #77
Usted es el director del proyecto RFT. Ha detectado el riesgo de que el panorama de sistemas y aplicaciones informáticas de la empresa sea tan complejo que, dentro de unos años, resulte difícil ampliar la capacidad y el mantenimiento del software resulte muy caro. Para superar este riesgo, la respuesta adoptada es la rearquitectura del sistema existente y la compra de un nuevo sistema integrado. ¿En cuál de las siguientes opciones de priorización de riesgos se clasificaría este caso?
A. plazamientos
B. anancia rápida
C. Argumentos comerciales
D. iesgo de contagio
Ver respuesta
Respuesta correcta: C
Cuestionar #78
La característica MÁS importante de las políticas de una organización es que reflejen las de la organización:
A. Apetito de riesgo
B. Capacidades
C. alor de los activos
D. Metodología de evaluación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #79
¿Cuál de las siguientes opciones mide MEJOR la eficacia operativa de las capacidades de gestión de riesgos?
A. odelos de madurez de las capacidades (MMC)
B. mbrales métricos
C. ndicadores clave de riesgo (KRI)
D. Indicadores clave de rendimiento (KPI)
Ver respuesta
Respuesta correcta: D
Cuestionar #80
La razón PRIMARIA por la que un profesional del riesgo estaría interesado en un informe de auditoría interna es:
A. antener un registro de riesgos basado en los incumplimientos
B. lanificar programas de sensibilización para directivos de empresas
C. ayudar a elaborar un perfil de riesgo
D. valuar la madurez del proceso de gestión de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #81
Una organización ha contratado un servicio de alojamiento gestionado y acaba de descubrir que es probable que el lugar se inunde cada 20 años. De las siguientes personas, ¿a quién se debe notificar PRIMERO esta nueva información?
A. l propietario del riesgo, que también es propietario del servicio empresarial habilitado por esta infraestructura
B. El jefe de obra que, en virtud del contrato, debe presentar evaluaciones de riesgos anuales
C. l gestor del centro de datos que también está contratado en virtud del contrato de servicios de alojamiento gestionado
D. El director de información (CIO) responsable de los servicios alojados
Ver respuesta
Respuesta correcta: A
Cuestionar #82
Usted es el jefe de proyecto de su empresa y se ha aprobado una nueva solicitud de cambio para su proyecto. Sin embargo, esta solicitud de cambio ha introducido varios riesgos nuevos en el proyecto. Usted ha comunicado estos eventos de riesgo y las partes interesadas del proyecto comprenden los posibles efectos que estos riesgos podrían tener en su proyecto. Usted decide crear una respuesta de mitigación para los eventos de riesgo identificados. ¿Dónde registrará la respuesta de mitigación?
A. egistro de riesgos
B. egistro de riesgos
C. lan de gestión del proyecto
D. lan de gestión de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #83
Usted es el director del proyecto GHT. Está accediendo a datos para su posterior análisis. Ha elegido un método de extracción de datos en el que la dirección supervisa sus propios controles. ¿Cuál de los siguientes métodos de extracción de datos está utilizando?
A. Extracción de datos directamente de los sistemas de origen tras la aprobación del propietario del sistema
B. xtracción de datos del custodio del sistema (TI) tras la aprobación del propietario del sistema
C. xtracción de datos del registro de riesgos
D. Extracción de datos del registro de lecciones aprendidas
Ver respuesta
Respuesta correcta: A
Cuestionar #84
¿Cuál de los siguientes debe ser el objetivo PRIMARIO de un programa de formación sobre concienciación de riesgos?
A. romover la concienciación sobre la función de gobernanza del riesgo
B. clarar los principios fundamentales de la gestión de riesgos
C. Permitir la toma de decisiones en función de los riesgos
D. Garantizar la disponibilidad de recursos suficientes
Ver respuesta
Respuesta correcta: A
Cuestionar #85
El MEJOR método para alinear el plan de continuidad de negocio (BCP) y el plan de recuperación de desastres (DRP) de una organización con las necesidades centrales del negocio para:
A. xternalizar el mantenimiento del PBC y el PRD a un tercero
B. ncluir las responsabilidades del PBC y el PRM como parte de la formación de los nuevos empleados
C. jecutar revisiones periódicas del PBC y el PRD
D. ctualizar el análisis de impacto en el negocio (BIA) para cambios significativos en el negocio
Ver respuesta
Respuesta correcta: C
Cuestionar #86
Un centro de procesamiento de datos opera en una jurisdicción en la que la nueva normativa ha aumentado significativamente las sanciones por violación de datos. Cuál de los siguientes elementos del registro de riesgos es MÁS importante actualizar para reflejar este cambio?
A. mpacto del riesgo
B. endencia del riesgo
C. Apetito de riesgo
D. Probabilidad de riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #87
Durante una reorganización del departamento de TI, se sustituyó al gestor de un plan de acción de mitigación de riesgos. El nuevo gestor ha comenzado a implantar un nuevo control tras identificar una opción más eficaz. ¿Cuál de los siguientes es el MEJOR curso de acción del profesional de riesgos?
A. omunicar la decisión al propietario del riesgo para su aprobación
B. dentificar un propietario para el nuevo control
C. odificar el plan de acción en el registro de riesgos
D. olicitar la aprobación del anterior gestor del plan de acción
Ver respuesta
Respuesta correcta: B
Cuestionar #88
Jeff trabaja como gestor de proyectos para www.company.com Inc. Él y los miembros de su equipo participan en el proceso de identificación de riesgos. ¿Cuál de las siguientes herramientas y técnicas utilizará Jeff en el proceso de identificación de riesgos? Cada respuesta correcta representa una solución completa. (Elija tres.)
A. ary programará cuándo es probable que los riesgos identificados sucedan y afecten al calendario del proyecto
B. ary utilizará los controles del programa y la naturaleza del mismo para el análisis cuantitativo del programA
C. ary utilizará el plan de gestión del calendario para programar las reuniones de identificación de riesgos a lo largo del resto del proyecto
D. ary utilizará los controles del calendario para determinar cómo se puede permitir que los riesgos modifiquen el calendario del proyecto
Ver respuesta
Respuesta correcta: ABC
Cuestionar #89
La PRIMERA tarea a la hora de elaborar un plan de continuidad de la actividad debe ser:
A. dentificar las funciones y recursos críticos de la empresA
B. eterminar la disponibilidad de copia de seguridad y recuperación de datos en un sitio alternativo
C. Definir funciones y responsabilidades para la aplicación
D. dentificar los objetivos de tiempo de recuperación (RTO) para las aplicaciones empresariales críticas
Ver respuesta
Respuesta correcta: A
Cuestionar #90
Además del registro de riesgos, ¿qué debería revisar un profesional del riesgo para comprender el perfil de riesgo de la organización?
A. l perfil de los activos
B. Objetivos empresariales
C. l catálogo de control
D. Indicadores clave de riesgo (KRI)
Ver respuesta
Respuesta correcta: D
Cuestionar #91
La junta de control de cambios de su proyecto ha aprobado varios cambios de alcance que alterarán drásticamente el plan del proyecto. Usted y el equipo del proyecto se disponen a actualizar el alcance del proyecto, la EDT, el diccionario de la EDT, la lista de actividades y el diagrama de red del proyecto. También se han producido algunos cambios en los riesgos, la comunicación y los proveedores del proyecto. ¿Qué debería actualizar también el director del proyecto en función de estos cambios en el alcance?
A. Datos de la transacción
B. Integridad del proceso
C. justes de configuración
D. Cambios en el sistema
Ver respuesta
Respuesta correcta: C
Cuestionar #92
¿Cuál de las siguientes leyes se aplica a las organizaciones que manejan información sanitaria?
A. LBA
B. IPAA
C. OX
D. ISMA
Ver respuesta
Respuesta correcta: B
Cuestionar #93
Usted es el jefe de proyecto de su empresa. Ha introducido un sistema de detección de intrusos para el control. Ha identificado un aviso de violación de las políticas de seguridad de su empresa. ¿Qué tipo de control es un sistema de detección de intrusos (IDS)?
A. Detective
B. orrectivo
C. reventivo
D. Recuperación
Ver respuesta
Respuesta correcta: A
Cuestionar #94
¿Qué puede determinarse a partir del gráfico de escenarios de riesgo?
A. os múltiples factores de riesgo que aborda una respuesta elegida
B. osiciones relativas en el mapa de riesgos
C. apacidad de la empresa para aplicar
D. pciones de tratamiento del riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #95
¿Cuáles de los siguientes parámetros se tienen en cuenta para la selección de indicadores de riesgo? Cada respuesta correcta representa una parte de la solución. Elija tres.
A. Aprobación de la dirección
B. ontinuación de las actividades de sensibilización
C. omunicación a los empleados
D. Mantenimiento y revisión
Ver respuesta
Respuesta correcta: ABD
Cuestionar #96
Cuantificar el valor de un único activo ayuda a la organización a comprender el:
A. ecesidad de desarrollar una estrategia de riesgos
B. onsecuencias de la materialización del riesgo
C. mbral de riesgo de la organización
D. ficacia general de la gestión de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #97
Cada respuesta correcta representa una solución completa. Elija tres.
A. Un umbral mínimo de controles de seguridad de la información que deben aplicarse
B. Lista de comprobación de los pasos que deben darse para garantizar la seguridad de la información
C. Una declaración general sobre el alcance y la dirección de la seguridad de la información
D. Una declaración de buenas prácticas dependiente de la tecnología
Ver respuesta
Respuesta correcta: ABD
Cuestionar #98
¿Cuál de los siguientes es el requisito PRIMARIO antes de elegir los indicadores clave de rendimiento de una empresa?
A. eterminar el tamaño y la complejidad de la empresa
B. riorizar los distintos procesos de la empresa
C. eterminar el tipo de mercado en el que opera la empresa
D. a empresa debe establecer sus objetivos estratégicos y operativos
Ver respuesta
Respuesta correcta: D
Cuestionar #99
Usted es el jefe de proyecto de su empresa. Ha identificado varios riesgos. ¿Cuál de las siguientes respuestas al riesgo se considera la MÁS adecuada?
A. Cualquiera de las anteriores
B. segurar
C. vitar
D. Aceptar
Ver respuesta
Respuesta correcta: A
Cuestionar #100
Trabaja como gestor de proyectos para BlueWell Inc. Ha rechazado una solicitud de cambio propuesta debido al riesgo asociado a la misma. ¿Dónde debe documentarse y almacenarse la solicitud de cambio rechazada?
A. Registro de solicitudes de cambio
B. rchivos del proyecto
C. Lecciones aprendidas
D. Actualización de los documentos del proyecto
Ver respuesta
Respuesta correcta: A
Cuestionar #101
¿Cuál de los siguientes es el requisito MÁS importante para supervisar los indicadores clave de riesgo (KRI) mediante el análisis de registros?
A. ecopilación de registros de todo el conjunto de sistemas informáticos
B. roporcionar registros precisos en el momento oportuno
C. mplantación de una herramienta automatizada de análisis de registros
D. Obtención de registros en un formato fácilmente legible
Ver respuesta
Respuesta correcta: A
Cuestionar #102
¿Cuál de las siguientes opciones indica MEJOR la eficacia del programa de prevención de pérdida de datos (DLP) de una organización?
A. educción del impacto financiero asociado a los incidentes de pérdida de datos
B. educción del número de falsos positivos y falsos negativos
C. educción del número de excepciones aprobadas a la política DLP
D. educción de la gravedad de las pérdidas de datos detectadas
Ver respuesta
Respuesta correcta: D
Cuestionar #103
Al desarrollar escenarios de riesgo, lo MÁS importante es asegurarse de que lo son:
A. structurado y notificable
B. lexible y escalable
C. pertinente y realista
D. xhaustivo y detallado
Ver respuesta
Respuesta correcta: C
Cuestionar #104
Un profesional de riesgos está organizando una sesión de formación para comunicar metodologías de evaluación de riesgos que garanticen una visión coherente de los riesgos dentro de la organización. ¿Cuál de los siguientes es el tema MÁS importante a tratar en esta formación?
A. plicación de los factores de riesgo
B. plicación de la propensión al riesgo
C. omprender la cultura del riesgo
D. Referencia de los datos de eventos de riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #105
Una organización ha aumentado el apetito por el riesgo tecnológico. El resultado MÁS probable sería:
A. enor coste de gestión del riesgo
B. isminución del riesgo residual
C. ayor coste de gestión del riesgo
D. umento del riesgo inherente
Ver respuesta
Respuesta correcta: B
Cuestionar #106
¿Cuál de las siguientes es la parte MÁS crucial del proceso de gestión de riesgos?
A. Comunicación de riesgos
B. Auditoría
C. ontrol de riesgos
D. Mitigación de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #107
¿Cuál de los siguientes es el MEJOR indicio de una mejora de la cultura de concienciación sobre los riesgos tras la implantación de un programa de formación sobre concienciación en materia de seguridad para todos los empleados?
A. Aumento del número de fallos del sistema identificados
B. Reducción del número de llamadas al servicio de asistencia técnica
C. Aumento del número de incidentes notificados
D. Reducción del número de restablecimientos de acceso de los usuarios
Ver respuesta
Respuesta correcta: C
Cuestionar #108
¿Cuál de las siguientes opciones proporcionaría la MEJOR orientación a la hora de seleccionar un plan de tratamiento de riesgos adecuado?
A. etorno de la inversión
B. resupuesto de mitigación de riesgos
C. nálisis coste-beneficio
D. Análisis del impacto empresarial
Ver respuesta
Respuesta correcta: C
Cuestionar #109
¿Cuál de las siguientes afirmaciones es cierta para la evaluación de riesgos?
A.
B. a evaluación de riesgos se realiza una vez al año para cada proceso empresarial
C. a evaluación de riesgos se realiza anualmente o cuando se produce un cambio significativo
D. a evaluación de riesgos se realiza cada cuatro o seis meses para los procesos críticos de la empresA
Ver respuesta
Respuesta correcta: C
Cuestionar #110
Una organización está planeando adquirir un nuevo sistema financiero. Cuál de las siguientes partes interesadas proporcionaría la MAYOR parte de la información pertinente para analizar el riesgo asociado a la nueva solución informática?
A. Propietario del proceso
B. Auditor interno
C. estor de riesgos
D. Patrocinador del proyecto
Ver respuesta
Respuesta correcta: C
Cuestionar #111
¿Cuáles son los requisitos PRIMARIOS para desarrollar escenarios de riesgo? Cada respuesta correcta representa una parte de la solución. Elija dos.
A. istema de control de cambios en los contratos
B. istema de control de los cambios de alcance
C. istema de control de cambios de costes
D. Sistema de control de cambios en la programación
Ver respuesta
Respuesta correcta: AB
Cuestionar #112
¿Cuál de las siguientes acciones debe llevar a cabo una organización para prever los efectos de una catástrofe?
A. nalizar las carencias del modelo de madurez de las capacidades
B. efinir objetivos de tiempo de recuperación (RTO)
C. esarrollar un análisis de impacto empresarial (BIA)
D. Simular la recuperación de un desastre
Ver respuesta
Respuesta correcta: D
Cuestionar #113
¿Cuál de los siguientes datos se utilizaría al realizar un análisis de impacto empresarial (BIA)?
A. oste del cumplimiento de la normativa
B. ostes previstos para recuperar la empresa
C. nálisis coste-beneficio del funcionamiento de la empresa actual
D. Impacto previsto de la actividad actual en la futura
Ver respuesta
Respuesta correcta: B
Cuestionar #114
¿Cuál de las siguientes opciones es la MEJOR prueba de la eficacia del proceso de aprovisionamiento de cuentas de una organización?
A. provisionamiento de usuarios
B. upervisión de registros de seguridad
C. Revisión de los derechos
D. Controles de acceso basados en funciones
Ver respuesta
Respuesta correcta: A
Cuestionar #115
Usted es el gestor del proyecto HJT. Los archivos confidenciales importantes de su proyecto están almacenados en un ordenador. Teniendo en cuenta el acceso no autorizado a este ordenador, ha colocado un CCTV oculto en la sala, incluso teniendo contraseña de protección. ¿Qué tipo de CCTV de control es?
A. Control técnico
B. Control físico
C. ontrol administrativo
D. Control de gestión
Ver respuesta
Respuesta correcta: B
Cuestionar #116
La MEJOR manera de justificar las acciones de mitigación de riesgos recomendadas en una evaluación de riesgos sería:
A. entrarse en los motores del negocio
B. uenas prácticas de referencia
C. valuación comparativa con las acciones de la competencia
D. linearse con los resultados de la auditoría
Ver respuesta
Respuesta correcta: A
Cuestionar #117
¿Cuál es la MEJOR información que se puede presentar a los responsables de los controles empresariales a la hora de justificar los costes relacionados con los controles?
A. Rentabilidad de las inversiones en seguridad informática
B. l presupuesto del año anterior y los datos reales
C. Puntos de referencia y normas del sector
D. Frecuencia y magnitud de las pérdidas
Ver respuesta
Respuesta correcta: D
Cuestionar #118
¿Cuál es el valor del factor de exposición si el activo se pierde por completo?
A. ejora
B. ositivo
C. Oportunista
D. Explotación
Ver respuesta
Respuesta correcta: A
Cuestionar #119
¿Cuál de las siguientes opciones debe ser la PRIMARIA a la hora de diseñar los controles de TI?
A. nformes de riesgos internos y externos
B. esultado de las autoevaluaciones de control
C. eferencia de las normas del sector
D. Recomendaciones de los expertos en riesgos informáticos
Ver respuesta
Respuesta correcta: A
Cuestionar #120
¿Cuál de los siguientes debe ser el enfoque PRIMARIO del profesional de riesgos al determinar si los controles son adecuados para mitigar el riesgo?
A. Análisis coste-beneficio
B. nálisis de sensibilidad
C. ivel de riesgo residual
D. Apetito de riesgo
Ver respuesta
Respuesta correcta: D
Cuestionar #121
Como parte de un plan general de gestión de riesgos informáticos, un registro de riesgos informáticos BEST ayuda a la dirección:
A. antenerse al corriente de la situación actual de los controles
B. linear los procesos informáticos con los objetivos empresariales
C. omprender el perfil de riesgo de la organización
D. comunicar la política de gestión de riesgos de la empresa
Ver respuesta
Respuesta correcta: A
Cuestionar #122
Al revisar un plan de continuidad de negocio (PCN), ¿cuál de las siguientes sería la deficiencia MÁS importante?
A. l PBC se suele probar utilizando el método de recorrido
B. as pruebas del BCP no se realizan conjuntamente con el plan de recuperación en caso de catástrofe (DRP)
C. Cada sede empresarial tiene un PCN distinto e incoherente
D. Los objetivos de tiempo de recuperación (RTO) no cumplen los requisitos de la empresa
Ver respuesta
Respuesta correcta: B
Cuestionar #123
¿Cuál de las siguientes actividades facilitaría MEJOR la gestión eficaz de los riesgos en toda la organización?
A. ealización de un análisis de impacto en el negocio
B. ealización de auditorías frecuentes
C. evisión de la documentación de los procesos relacionados con los riesgos
D. Evaluación periódica de los riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #124
¿Cuál de los siguientes es el MEJOR indicador clave de rendimiento (KPI) para medir la eficacia de un plan de recuperación en caso de catástrofe (DRP)?
A. orcentaje de problemas relacionados como resultado de las pruebas DRP
B. úmero de usuarios que participaron en las pruebas del PRD
C. úmero de problemas detectados durante las pruebas del PRD
D. Porcentaje de solicitudes que cumplieron el RTO durante las pruebas del PRD
Ver respuesta
Respuesta correcta: D
Cuestionar #125
¿Cuál de los siguientes es preparado por la empresa y sirve como punto de partida para elaborar la Estrategia de Continuidad del Servicio de TI?
A. strategia de continuidad de las actividades
B. ndice de información relevante en caso de catástrofe
C. irectriz para la invocación de catástrofes
D. isponibilidad/ ITSCM/ Calendario de pruebas de seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #126
¿Cuál de las siguientes respuestas al riesgo incluye comentarios y orientaciones de responsables de riesgos bien cualificados e internos al proyecto?
A. strategia de respuesta contingente
B. Aceptación del riesgo
C. uicio de expertos
D. Transferencia de riesgos
Ver respuesta
Respuesta correcta: C
Cuestionar #127
Su empresa está cubierta por una póliza de seguro de responsabilidad civil, que ofrece varias coberturas de responsabilidad por riesgos de seguridad de la información, incluido cualquier daño físico de los activos, ataques de piratas informáticos, etc. ¿Cuál de las siguientes técnicas de gestión de riesgos utiliza su empresa?
A. Implicar a expertos en la materia en las actividades de análisis de riesgos
B. nvolucrar a las partes interesadas en la identificación de riesgos sólo en las fases en las que el proyecto les afecte directamente
C. tilizar el análisis cualitativo de riesgos para evaluar rápidamente la probabilidad y el impacto de los sucesos de riesgo
D. Centrarse en los riesgos prioritarios mediante un análisis cualitativo de los riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #128
Trabaja como gestor de proyectos para BlueWell Inc. Ha rechazado una solicitud de cambio propuesta debido al riesgo asociado a la misma. ¿Dónde debe documentarse y almacenarse la solicitud de cambio rechazada?
A. Registro de solicitudes de cambio
B. rchivos del proyecto
C. Lecciones aprendidas
D. Actualización de los documentos del proyecto
Ver respuesta
Respuesta correcta: A
Cuestionar #129
Una organización está planeando contratar a un proveedor de servicios basado en la nube para algunos de sus procesos de negocio intensivos en datos. Cuál de las siguientes opciones es la MÁS importante para ayudar a definir el riesgo informático asociado a esta actividad de externalización?
A. cuerdo de nivel de servicio
B. erecho a auditar al proveedor
C. evisiones del servicio de atención al cliente
D. Alcance de los servicios prestados
Ver respuesta
Respuesta correcta: A
Cuestionar #130
¿Cuál de las siguientes debería ser la consideración MÁS importante a la hora de determinar los controles necesarios para un sistema de información altamente crítico?
A. l número de vulnerabilidades del sistema
B. El nivel de riesgo aceptable para la organización
C. El presupuesto disponible de la organización
D. l número de amenazas al sistema
Ver respuesta
Respuesta correcta: A
Cuestionar #131
Una evaluación de riesgos ha detectado que una organización puede no estar cumpliendo la normativa del sector. La MEJOR forma de proceder sería:
A. olaborar con la dirección para cumplir los requisitos de conformidad
B. ealizar un análisis de las deficiencias con respecto a los criterios de cumplimiento
C. dentificar los controles necesarios para garantizar el cumplimiento
D. modificar las actividades de garantía interna para incluir la validación de los controles
Ver respuesta
Respuesta correcta: A
Cuestionar #132
Si se dice que una determinada herramienta de control o seguimiento es sostenible, ¿a qué capacidad se refiere?
A. a capacidad de adaptarse a medida que se añaden nuevos elementos al entorno
B. a capacidad de garantizar que el control se mantiene cuando falla
C. La capacidad de protegerse de la explotación o el ataque
D. a capacidad de aplicarse de la misma manera en toda la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #133
¿Cuál de las siguientes debería ser la PRÓXIMA acción de un profesional del riesgo tras identificar una alta probabilidad de pérdida de datos en un sistema?
A. ealizar una evaluación del control
B. ontratar un seguro cibernético a terceros
C. umentar la frecuencia de notificación de incidentes
D. ejorar el programa de concienciación sobre seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #134
¿Cuál de las siguientes afirmaciones es cierta para el nivel 3 de madurez de la capacidad de gestión de riesgos de la empresa?
A. Gestión empresarial
B. Propietario del proceso de negocio
C. irector de Información (CIO)
D. Director de Riesgos (CRO)
Ver respuesta
Respuesta correcta: ABD
Cuestionar #135
John es el director del proyecto NHQ de su empresa. Su proyecto cuenta con 75 partes interesadas, algunas de las cuales son externas a la organización. John necesita asegurarse de que comunica el riesgo de la forma más adecuada a las partes interesadas externas. ¿Qué plan de gestión de proyectos será la mejor guía para que John se lo comunique a las partes interesadas externas?
A. lan de respuesta a los riesgos
B. lan de gestión de las comunicaciones
C. lan de gestión del proyecto
D. lan de gestión de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #136
Una organización ha externalizado su proceso de pago de arrendamientos a un proveedor de servicios que carece de pruebas del cumplimiento de una norma reglamentaria necesaria. ¿Qué tratamiento del riesgo ha adoptado la organización?
A. ceptación
B. Transferencia
C. Mitigación
D. Evitación
Ver respuesta
Respuesta correcta: A
Cuestionar #137
En repetidas ocasiones se ve a los empleados abriendo la puerta a otros, para que los empleados que les siguen no tengan que detenerse y pasar sus propias tarjetas de identificación. Este comportamiento representa lo MEJOR:
A. vulnerabilidad
B. control
C. n impacto
D. una amenaza
Ver respuesta
Respuesta correcta: A
Cuestionar #138
¿Cuál de las siguientes opciones es la MÁS importante a la hora de desarrollar indicadores clave de riesgo (KRI)?
A. isponibilidad de datos cualitativos
B. lineación con los requisitos normativos
C. mbrales fijados por la propiedad
D. Alineación con las referencias del sector
Ver respuesta
Respuesta correcta: B
Cuestionar #139
¿Cuál de las siguientes cuestiones relacionadas con el plan de respuesta a incidentes informáticos de una organización sería la MAYOR preocupación?
A.
B. os equipos no son operativos hasta que se produce un incidente
C. No todos los empleados han asistido a la formación sobre respuesta a incidentes
D. Las funciones y responsabilidades no están claramente definidas
Ver respuesta
Respuesta correcta: D
Cuestionar #140
¿Cuál es la ventaja más importante de clasificar los activos de información?
A. Vinculación de los requisitos de seguridad con los objetivos de la empresa
B. signación de la propiedad del riesgo
C. efinición de los derechos de acceso
D. Identificación de los controles que deben aplicarse
Ver respuesta
Respuesta correcta: D
Cuestionar #141
Al revisar una estrategia de respuesta al riesgo, la atención PRIMARIA de la alta dirección debe centrarse en:
A. artera de inversiones
B. lineación con la propensión al riesgo
C. Indicadores clave de rendimiento (KPI)
D. Análisis coste-beneficio
Ver respuesta
Respuesta correcta: D
Cuestionar #142
¿Cuál es la necesidad PRIMARIA para evaluar eficazmente los controles?
A. decuación del control al entorno operativo
B. ficacia del diseño del control
C. onsecución de los objetivos de control
D. ficacia operativa del control
Ver respuesta
Respuesta correcta: C
Cuestionar #143
Usted es el director del proyecto GHY de su empresa. Este proyecto tiene un presupuesto de 543.000 dólares y una duración prevista de 18 meses. En este proyecto, usted ha identificado varios eventos de riesgo y ha creado planes de respuesta al riesgo. ¿En qué grupo del proceso de gestión de proyectos implementará los planes de respuesta a riesgos?
A. espuesta al riesgo
B. eguimiento y control de riesgos
C. valuación cuantitativa del riesgo
D. valuación cualitativa del riesgo
Ver respuesta
Respuesta correcta: A
Cuestionar #144
¿Cuál de los siguientes es el MEJOR indicador clave de rendimiento (KPI) para medir la eficacia de un programa antivirus?
A. recuencia de actualización del software antivirus
B. úmero de alertas generadas por el software antivirus
C. Porcentaje de activos informáticos con definiciones de malware actualizadas
D. Número de falsos positivos detectados durante un periodo de tiempo
Ver respuesta
Respuesta correcta: C
Cuestionar #145
¿Cuál de las siguientes opciones es la MÁS eficaz para la mejora continua del proceso de gestión de riesgos?
A. Actualización de las políticas
B. Evaluaciones periódicas
C. Sensibilización
D. Gestión del cambio
Ver respuesta
Respuesta correcta: B
Cuestionar #146
El director de tecnología (CTO) de una organización ha decidido aceptar el riesgo asociado con la pérdida potencial de un ataque de denegación de servicio (DoS). En esta situación, lo MEJOR que puede hacer el especialista en riesgos es..:
A. alidar la decisión del CTO desea el propietario del proceso de negocio
B. ecomendar que el CTO revise la decisión de aceptación del riesgo
C. dentificar indicadores clave de riesgo (KRI) para un seguimiento continuo
D. ctualizar el registro de riesgos con la respuesta al riesgo seleccionadA
Ver respuesta
Respuesta correcta: A
Cuestionar #147
¿Cuál de las siguientes afirmaciones es cierta para la esperanza de pérdida única (SLE), la tasa anual de ocurrencia (ARO) y la esperanza de pérdida anual (ALE)?
A. LE= ARO/SLE
B. RO= LES/ALE
C. RO= ALE*SLE
D. LE= ARO*SLE
Ver respuesta
Respuesta correcta: D
Cuestionar #148
El MEJOR criterio a la hora de seleccionar una respuesta al riesgo es la:
A. ficacia de las opciones de respuesta al riesgo
B. decuación de la respuesta a las normas del sector
C. mportancia del riesgo informático en la empresa
D. apacidad para aplicar la respuesta
Ver respuesta
Respuesta correcta: A
Cuestionar #149
¿Cuál de los siguientes es el MEJOR método para identificar controles innecesarios?
A. Evaluación de los controles existentes en función de los requisitos de auditoría
B. evisión de las funcionalidades del sistema asociadas a los procesos de negocio
C. eguimiento de los indicadores clave de riesgo (KRI) existentes
D. Evaluación del impacto de la eliminación de los controles existentes
Ver respuesta
Respuesta correcta: B
Cuestionar #150
La mejor manera de comprobar la eficacia operativa de un procedimiento de copia de seguridad de datos es:
A. nspeccionar una selección de registros de auditoría y de copias de seguridad
B. ealizar una auditoría de los archivos almacenados fuera de las instalaciones
C. Demostrar una recuperación satisfactoria a partir de archivos de copia de seguridad
D. entrevistar a los empleados para comparar los procedimientos reales con los previstos
Ver respuesta
Respuesta correcta: C
Cuestionar #151
¿Cuál de los siguientes aspectos DEBE evaluarse antes de considerar las opciones de tratamiento del riesgo para un escenario con un impacto significativo?
A. Análisis coste-beneficio
B. robabilidad de sangríA
C. agnitud del riesgo
D. Apetito de riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #152
Fred es el director de un gran proyecto de su organización. Fred necesita comenzar a planificar el plan de gestión de riesgos con el equipo del proyecto y las principales partes interesadas. ¿Qué herramienta y técnica del proceso de gestión de riesgos debería utilizar Fred para planificar la gestión de riesgos?
A. Técnicas de recogida de información
B. écnicas de recogida y representación de datos
C. euniones de planificación y análisis
D. nálisis de variaciones y tendencias
Ver respuesta
Respuesta correcta: C
Cuestionar #153
¿Cuál de las siguientes opciones es la MEJOR para garantizar que los sistemas cumplen con una línea de base establecida antes de su implantación?
A. Supervisión y alerta continuas
B. Controles de acceso y registro activo
C. Gestión de la configuración
D. Exploración de vulnerabilidades
Ver respuesta
Respuesta correcta: A
Cuestionar #154
¿Cuál de las siguientes es la forma de verificar la eficacia del control?
A. a capacidad de proporcionar notificación de fallo
B. i es preventiva o detectivescA
C. Su fiabilidad
D. os resultados de las pruebas de los objetivos previstos
Ver respuesta
Respuesta correcta: D
Cuestionar #155
Una organización trasladó su sistema de nóminas a una aplicación de software como servicio (SaaS). Una nueva normativa sobre privacidad de datos estipula que los datos sólo pueden procesarse dentro del país en el que se recogen. ¿Cuál de las siguientes medidas debe tomarse PRIMERO al abordar esta situación?
A. nalizar los métodos de protección de datos
B. omprender los flujos de datos
C. Incluir una cláusula de derecho de auditoríA
D. Implementar fuertes controles de acceso
Ver respuesta
Respuesta correcta: B
Cuestionar #156
Usted trabaja como jefe de proyecto para Bluewell Inc. Su proyecto tiene varios riesgos que afectarán a varios requisitos de las partes interesadas. ¿Qué plan de gestión de proyectos definirá quién estará disponible para compartir información sobre los riesgos del proyecto?
A. lan de gestión de riesgos
B. strategia de gestión de las partes interesadas
C. lan de gestión de las comunicaciones
D. lan de gestión de recursos
Ver respuesta
Respuesta correcta: C
Cuestionar #157
Usted es el director del proyecto GHT. Ha identificado un evento de riesgo en su proyecto que podría ahorrar 100.000 dólares en costes del proyecto si se produce. ¿Cuál de las siguientes afirmaciones describe MEJOR este evento de riesgo?
A.
B. e trata de un evento de riesgo que debe aceptarse porque las recompensas superan a la amenaza para el proyecto
C. ste evento de riesgo debe evitarse para aprovechar al máximo el ahorro potencial
D. Este evento de riesgo es una oportunidad para el proyecto y debe aprovecharse
Ver respuesta
Respuesta correcta: D
Cuestionar #158
Una organización utiliza un proveedor para destruir discos duros. ¿Cuál de las siguientes opciones reduciría MEJOR el riesgo de fuga de datos?
A. mplementar una política de encriptación para los discos duros
B. Exigir al proveedor que desmagnetice los discos duros
C. tilizar un proveedor acreditado para deshacerse de los discos duros
D. Exigir confirmación de la destrucción al responsable informático
Ver respuesta
Respuesta correcta: D
Cuestionar #159
¿Cuál de las siguientes opciones sería la MÁS importante que un profesional de riesgos proporcionara al departamento de auditoría interna durante el proceso de planificación de la auditoría?
A. lanes de acción de gestión cerrados de la auditoría anterior
B. esultados anuales de la evaluación de riesgos
C. n informe actualizado de gestión de vulnerabilidades
D. Lista de escenarios de riesgo genéricos identificados
Ver respuesta
Respuesta correcta: B
Cuestionar #160
Mary es la gestora del proyecto BLB. Ha dado instrucciones al equipo del proyecto para que se reúna y revise los riesgos. Ha incluido el plan de gestión del calendario como entrada para el proceso de análisis cuantitativo de riesgos. ¿Por qué es necesario el plan de gestión del calendario para el análisis cuantitativo de riesgos?
A. ontrol disuasorio
B. ontrol de detectives
C. ontrol de compensación
D. Control preventivo
Ver respuesta
Respuesta correcta: B
Cuestionar #161
La razón PRINCIPAL para crear y mantener un registro de riesgos es:
A. ener en cuenta los factores de riesgo clave identificados
B. Garantizar que los activos tienen un riesgo residual bajo
C. efinir la metodología de evaluación de riesgos
D. Evaluar la eficacia de los distintos proyectos
Ver respuesta
Respuesta correcta: A
Cuestionar #162
¿Cuáles de los siguientes portadores de roles son responsables de establecer el proceso de gobernanza del riesgo, establecer y mantener una visión común del riesgo, tomar decisiones empresariales conscientes del riesgo y establecer la cultura de riesgo de la empresa? Cada respuesta correcta representa una solución completa. Elija dos.
A. Evitar riesgos
B. ransferencia de riesgos
C. ceptación del riesgo
D. Mitigación de riesgos
Ver respuesta
Respuesta correcta: AD
Cuestionar #163
¿Cuál de las siguientes es la PRINCIPAL causa de riesgo de un proyecto? Cada respuesta correcta representa una solución completa. Elija dos.
A. ctualización del plan de gestión del proyecto
B. n proceso organizativo de actualización de activos
C. Solicitudes de cambio
D. Actualización de los documentos del proyecto
Ver respuesta
Respuesta correcta: CD
Cuestionar #164
¿Cuál de los siguientes atributos de un indicador clave de riesgo (KRI) es el MÁS importante?
A. epetible
B. ualitativo
C. utomatizado
D. Cuantitativo
Ver respuesta
Respuesta correcta: D
Cuestionar #165
El proceso de seguimiento y control de los riesgos del proyecto consta de cuatro elementos. ¿Cuál de los siguientes NO le ayudará a usted, el director del proyecto, a prepararse para la supervisión y el control de los riesgos?
A. egistro de riesgos
B. nformación sobre el rendimiento laboral
C. lan de gestión del proyecto
D. Solicitudes de cambio
Ver respuesta
Respuesta correcta: D
Cuestionar #166
¿Cuál de las siguientes es la consideración MÁS importante a la hora de seleccionar indicadores clave de riesgo (KRI) para supervisar las tendencias de riesgo a lo largo del tiempo?
A. apacidad para predecir tendencias
B. Disponibilidad permanente de datos
C. isponibilidad de sistemas de información automatizados
D. Capacidad de agregar datos
Ver respuesta
Respuesta correcta: D
Cuestionar #167
¿Cuál de los siguientes puntos es MÁS importante incluir en las actualizaciones normativas y de riesgos cuando un nuevo requisito legal afecta a la organización?
A. mbrales recomendados para los indicadores clave de riesgo (KRI)
B. Coste de los cambios en los procesos críticos de la empresA
C. iesgo asociado al incumplimiento
D. Plazo para remediar el riesgo de incumplimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #168
La aceptación de costes de control que superan la exposición al riesgo es MUY probablemente un ejemplo de:
A. Alineación de la cultura corporativa
B. esalineación de la cultura corporativA
C. Baja tolerancia al riesgo
D. lta tolerancia al riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #169
¿Cuál de las siguientes afirmaciones describe MEJOR la propensión al riesgo?
A. ariación aceptable entre los umbrales de riesgo y los objetivos empresariales
B. La cantidad de riesgo que una organización está dispuesta a aceptar
C. a gestión eficaz del riesgo y los entornos de control interno
D. La variación aceptable en relación con la consecución de los objetivos
Ver respuesta
Respuesta correcta: B
Cuestionar #170
¿Cuál de las siguientes opciones es la MÁS relevante para el perfil de riesgo de una organización?
A. Evaluación de riesgos de la auditoría externa
B. utoevaluación de riesgos por parte de la dirección
C. valuación de riesgos de la auditoría interna
D. Evaluación de la vulnerabilidad de la seguridad de la información
Ver respuesta
Respuesta correcta: A
Cuestionar #171
¿Cuál de las siguientes herramientas resulta MÁS útil a la hora de asignar los resultados de la gestión de riesgos informáticos a los objetivos de la organización?
A. uadro de riesgos
B. uadro RACI
C. apa de riesgos para la seguridad de la información
D. Plan estratégico de empresa
Ver respuesta
Respuesta correcta: D
Cuestionar #172
¿Cuál de las siguientes opciones sería la MEJOR para alertar de una situación de alto riesgo?
A. Evaluación de riesgos
B. ndicador clave de riesgo (KRI)
C. egistro de riesgos
D. ndicador clave de rendimiento (KPI)
Ver respuesta
Respuesta correcta: B
Cuestionar #173
¿Cuál de las siguientes opciones es la MEJOR forma de medir el nivel de madurez de la gestión de riesgos de una organización?
A. Alineación de las TI con los objetivos empresariales
B. ivel de riesgo residual
C. ndicadores clave de riesgo (KRI)
D. Los resultados de un análisis de carencias
Ver respuesta
Respuesta correcta: A
Cuestionar #174
Usted trabaja como gestor de proyectos para BlueWell Inc. Está preparando el proceso de identificación de riesgos. Tendrá que involucrar a varias de las principales partes interesadas del proyecto para que le ayuden a identificar y comunicar los eventos de riesgo identificados. También necesitará varios documentos que le ayuden a usted y a las partes interesadas a identificar los eventos de riesgo. ¿Cuál de los siguientes NO es un documento que le ayudará a identificar y comunicar los riesgos del proyecto?
A. egistros de partes interesadas
B. stimaciones de la duración de las actividades
C. stimación del coste de las actividades
D. Registro de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #175
Usted y su equipo de proyecto están identificando los riesgos que pueden existir en su proyecto. Algunos de ellos son pequeños riesgos que no afectarán demasiado al proyecto en caso de producirse. ¿Qué debería hacer con estos riesgos identificados?
A.
B. stos riesgos pueden aceptarse
C. Estos riesgos pueden añadirse a una lista de vigilancia de riesgos de baja prioridad
D. Todos los riesgos deben tener una respuesta válida y documentadA
Ver respuesta
Respuesta correcta: C
Cuestionar #176
Usted es el gestor del proyecto HGT en Bluewell Inc. El proyecto tiene un activo valorado en 125.000 $ y está sujeto a un factor de exposición del 25 por ciento. ¿Cuál será la Expectativa de Pérdida Única de este proyecto?
A. 125,025
B. 31,250
C. 5,000
D. 3,125,000
Ver respuesta
Respuesta correcta: B
Cuestionar #177
En una organización con un programa de gestión de riesgos maduro, ¿cuál de las siguientes opciones sería la MEJOR prueba de que el perfil de riesgos informáticos está actualizado?
A. uestionario de riesgo
B. egistro de riesgos
C. anual de cumplimiento
D. firmación de la dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #178
Usted es el director del proyecto GHY de su organización. Está trabajando con su equipo de proyecto para empezar a identificar los riesgos del proyecto. Como parte de su preparación para identificar los riesgos del proyecto, necesitará once datos para el proceso. ¿Cuál de las siguientes NO es una entrada para el proceso de identificación de riesgos?
A. lan de gestión de la calidad
B. egistro de partes interesadas
C. lan de gestión de costes
D. Plan de gestión de la contratación pública
Ver respuesta
Respuesta correcta: D
Cuestionar #179
Ben es el director del proyecto CMH de su organización. Ha identificado un riesgo que tiene una baja probabilidad de ocurrir, pero el impacto del evento de riesgo podría salvar el proyecto y la organización con una cantidad significativa de capital. Ben asigna a Laura el evento de riesgo y le encarga que investigue el tiempo, el coste y el método para mejorar la probabilidad del evento de riesgo positivo. A continuación, Ben comunica el evento de riesgo y la respuesta a la dirección. ¿Qué respuesta al riesgo se ha utilizado aquí?
A. ransferencia
B. Mejorar
C. Explotación
D. Compartir
Ver respuesta
Respuesta correcta: B
Cuestionar #180
¿Cuál de los siguientes es el primer paso MOST en el proceso de evaluación de riesgos?
A. dentificación de activos
B. dentificación de las amenazas
C. dentificación de las fuentes de amenazas
D. Identificación de vulnerabilidades
Ver respuesta
Respuesta correcta: A
Cuestionar #181
El beneficio PRIMARIO asociado a los indicadores clave de riesgo (KRI) es que:
A. dentificar tendencias en las vulnerabilidades de la organización
B. Realizar un seguimiento continuo de los riesgos emergentes
C. yudar a una organización a identificar amenazas emergentes
D. evaluación comparativa del perfil de riesgo de la organización
Ver respuesta
Respuesta correcta: C
Cuestionar #182
Usted es el director del proyecto HFD. Ha identificado varios riesgos del proyecto. Ha adoptado alternativas para hacer frente a estos riesgos que no intentan reducir la probabilidad de que se produzca un evento de riesgo ni sus impactos. ¿Cuál de las siguientes respuestas ha implementado?
A. ceptación
B. Mitigación
C. vitación
D. Respuesta contingente
Ver respuesta
Respuesta correcta: D
Cuestionar #183
Su proyecto presenta varios riesgos que, de producirse, podrían tener graves repercusiones financieras. Has estudiado los eventos de riesgo y has elaborado algunas respuestas potenciales a los mismos, pero la dirección quiere que hagas algo más. Quieren que crees algún tipo de gráfico que identifique la probabilidad y el impacto del riesgo con un importe financiero para cada evento de riesgo. ¿Cuál es el resultado probable de la creación de este tipo de gráfico?
A. lan de respuesta a los riesgos
B. eserva para imprevistos
C. espuesta al riesgo
D. Análisis cuantitativo
Ver respuesta
Respuesta correcta: B
Cuestionar #184
¿Cuál de las siguientes es la consideración MÁS importante a la hora de desarrollar la taxonomía de riesgos de una organización?
A. strategia informática
B. Principales marcos industriales
C. Contexto empresarial
D. Requisitos reglamentarios
Ver respuesta
Respuesta correcta: C
Cuestionar #185
La MEJOR manera de determinar la probabilidad de un escenario de riesgo de disponibilidad del sistema es evaluando la:
A. isponibilidad de software tolerante a fallos
B. lan estratégico de crecimiento empresarial
C. resultados de la exploración de vulnerabilidades de los sistemas críticos
D. redundancia de la infraestructura técnica
Ver respuesta
Respuesta correcta: D
Cuestionar #186
¿Cuál de las siguientes situaciones daría lugar MÁS probablemente a actualizaciones de una declaración de apetito por el riesgo informático?
A. Cambios en la alta dirección
B. Resultados de la auditoría externa
C. Comentarios de los grupos de discusión
D. Informes de autoevaluación
Ver respuesta
Respuesta correcta: B
Cuestionar #187
¿Cuáles de los siguientes nodos del árbol de decisión tienen probabilidad asociada a sus ramas?
A. odo raíz
B. odo de eventos
C. odo final
D. Nodo de decisión
Ver respuesta
Respuesta correcta: B
Cuestionar #188
Un profesional de riesgos ha identificado que el centro de datos secundario de la organización no proporciona redundancia para una aplicación crítica. ¿Quién debería tener autoridad para aceptar el riesgo asociado?
A. irector de continuidad de negocio
B. ropietario de la aplicación empresarial
C. estor de recuperación en caso de catástrofe
D. Director del centro de datos
Ver respuesta
Respuesta correcta: B
Cuestionar #189
¿Qué debe hacer un profesional de riesgos a continuación si se identifica un control clave ineficaz en un sistema crítico?
A. evalidar la evaluación de riesgos
B. scalar a la alta dirección
C. roponer la aceptación del riesgo
D. Realizar un análisis de las deficiencias
Ver respuesta
Respuesta correcta: D
Cuestionar #190
¿Cuáles de los siguientes activos son ejemplos de activos inmateriales de una empresa? Cada respuesta correcta representa una solución completa. Elija dos.
A. Seguimiento y control
B. n cualquier grupo de procesos donde resida el evento de riesgo
C. lanificación
D. Ejecución
Ver respuesta
Respuesta correcta: AB
Cuestionar #191
¿Cuál de las siguientes opciones es la MÁS importante a la hora de identificar escenarios de riesgo para su inclusión en una revisión de riesgos de un proveedor de servicios externo?
A. Cuestiones pendientes con los proveedores
B. cuerdos de comprA
C. uestionarios para proveedores
D. Mapeo de procesos
Ver respuesta
Respuesta correcta: D
Cuestionar #192
¿Cuál de las siguientes opciones es la MEJOR para garantizar que se mitigan los factores de riesgo para la seguridad de la información al desarrollar aplicaciones internas?
A. ncluir especificaciones de control de seguridad de la información en los casos de negocio
B. dentificar los indicadores clave de riesgo (KRI) como resultado del proceso
C. dentificar los controles de seguridad de la información en el análisis de requisitos
D. iseñar indicadores clave de rendimiento (KPI) para la seguridad en las especificaciones del sistemA
Ver respuesta
Respuesta correcta: C
Cuestionar #193
El cálculo del objetivo de tiempo de recuperación (RTO) es necesario para determinar el:
A. speranza de pérdida anual (ALE)
B. rioridad de la restauración
C. unto de sincronización
D. Tiempo necesario para restaurar los archivos
Ver respuesta
Respuesta correcta: D
Cuestionar #194
Asignar los problemas de riesgo abiertos a un mapa de riesgos empresariales BEST facilita:
A. itularidad del riesgo
B. Identificación de riesgos
C. espuesta al riesgo
D. supervisión del control
Ver respuesta
Respuesta correcta: B
Cuestionar #195
¿Cuál de los siguientes controles NO pertenece a la clase de control técnico?
A. ontrol de la gestión del programa
B. ontrol de protección de sistemas y comunicaciones
C. ontrol de identificación y autenticación
D. Control de acceso
Ver respuesta
Respuesta correcta: A
Cuestionar #196
Al comunicar los resultados de la evaluación de riesgos a la alta dirección, ¿cuál de los siguientes puntos es MÁS importante incluir para permitir la toma de decisiones basada en el riesgo?
A. na lista de los activos expuestos a mayor riesgo
B. érdidas potenciales comparadas con el coste del tratamiento
C. Resultados recientes de auditorías y autoevaluaciones
D. lanes de acción de riesgos y propietarios asociados
Ver respuesta
Respuesta correcta: B
Cuestionar #197
Tras identificar nuevos eventos de riesgo durante un proyecto, el SIGUIENTE paso del gestor de proyectos debe ser:
A. ontinuar con un análisis cuantitativo de riesgos
B. eterminar si los escenarios deben ser aceptados o respondidos
C. ontinuar con un análisis de riesgos cualitativo
D. egistrar los escenarios en el registro de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #198
¿Cuál de las siguientes es una técnica que proporciona una descripción sistemática de la combinación de sucesos no deseados en un sistema?
A. Análisis de sensibilidad
B. nálisis de escenarios
C. nálisis del árbol de fallos
D. Análisis causa-efecto
Ver respuesta
Respuesta correcta: C
Cuestionar #199
Usted es el responsable de riesgos de su empresa. Acaba de completar el proceso de análisis de riesgos. Ha observado que el nivel de riesgo asociado a su proyecto es inferior al nivel de tolerancia al riesgo de su empresa. ¿Cuál de las siguientes es la acción MÁS probable que debería tomar?
A. plicar la respuesta al riesgo
B. ctualización del registro de riesgos
C. inguna acción
D. riorizar las opciones de respuesta al riesgo
Ver respuesta
Respuesta correcta: C
Cuestionar #200
Usted trabaja como jefe de proyecto para Company Inc. El proyecto en el que está trabajando tiene varios riesgos que afectarán a varios requisitos de las partes interesadas. ¿Qué plan de gestión de proyectos definirá quién estará disponible para compartir información sobre los riesgos del proyecto?
A. lan de gestión de recursos
B. lan de gestión de las comunicaciones
C. lan de gestión de riesgos
D. Estrategia de gestión de las partes interesadas
Ver respuesta
Respuesta correcta: B
Cuestionar #201
¿Cuál de las siguientes fases interviene en la extracción, validación, agregación y análisis de datos?
A. espuesta al riesgo y supervisión del riesgo
B. ecopilación de requisitos, acceso a los datos, validación de datos, análisis de datos y elaboración de informes y medidas correctivas
C. cceso y validación de datos
D. dentificación de riesgos, evaluación de riesgos, respuesta a riesgos y supervisión de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #202
¿Cuál de las siguientes es la consideración MÁS importante que debe tener en cuenta un especialista en riesgos a la hora de recomendar la puesta en marcha de un sistema?
A. isponibilidad de recursos internos
B. Exhaustividad de la documentación del sistema
C. esviaciones entre el coste previsto y el real
D. Resultados de las pruebas de aceptación del usuario final
Ver respuesta
Respuesta correcta: B
Cuestionar #203
¿Cuál de las siguientes herramientas es la MÁS eficaz para identificar tendencias en el perfil de riesgo informático?
A. uadro de riesgos
B. egistro de riesgos
C. utoevaluación de riesgos
D. apa de riesgos
Ver respuesta
Respuesta correcta: D
Cuestionar #204
¿Cuál es la razón PRINCIPAL para revisar periódicamente los indicadores clave de rendimiento (KPI)?
A. dentificar tendencias
B. ptimizar los recursos necesarios para los controles
C. arantizar el cumplimiento
D. Fomentar una cultura de riesgo
Ver respuesta
Respuesta correcta: B
Cuestionar #205
¿Cuál de los siguientes es el MEJOR indicador de un programa eficaz de concienciación sobre seguridad informática?
A. Disminución de la tasa de éxito de las pruebas internas de phishing
B. úmero de empleados que completan la formación en seguridad
C. úmero de medidas disciplinarias adoptadas por infracciones de seguridad
D. Disminución del número de incidentes de seguridad notificados
Ver respuesta
Respuesta correcta: D
Cuestionar #206
Un miembro del equipo del proyecto acaba de identificar un nuevo riesgo para el proyecto. Se determina que el evento de riesgo tiene un impacto significativo pero una probabilidad baja en el proyecto. Si se produjera el evento de riesgo, el proyecto se retrasaría tres semanas, lo que provocaría un nuevo riesgo en el proyecto. ¿Qué debe hacer el director del proyecto con el evento de riesgo?
A. ñadir el riesgo identificado a un cuadro de gestión del control de calidad
B. ñade el riesgo identificado al registro de problemas
C. ñadir el riesgo identificado al registro de riesgos
D. ñadir el riesgo identificado a la lista de vigilancia de riesgos de bajo nivel
Ver respuesta
Respuesta correcta: C
Cuestionar #207
¿Cuál de las siguientes es la fuente de datos MÁS importante para el seguimiento de los indicadores clave de riesgo (KRI)?
A. nformes de auditoría de las auditorías internas de los sistemas de información
B. Directivas de las autoridades legales y reglamentarias
C. nálisis de tendencias de los factores de riesgo externos
D. Registros automatizados recogidos de diferentes sistemas
Ver respuesta
Respuesta correcta: D
Cuestionar #208
Una parte de un proyecto se ocupa del trabajo de hardware. Como director del proyecto, ha decidido contratar a una empresa para que se encargue de todos los trabajos de hardware del proyecto. ¿De qué tipo de respuesta al riesgo se trata?
A. ransferencia
B. Mitigación
C. vitación
D. Explotación
Ver respuesta
Respuesta correcta: A
Cuestionar #209
Tras la revisión de un registro de riesgos, auditoría interna cuestionó por qué se había rebajado el riesgo de medio a bajo. ¿Cuál de los siguientes es el MEJOR curso de acción para responder a esta pregunta?
A. otificar a la empresa en la próxima reunión informativa sobre riesgos
B. Obtener referencias del sector relacionadas con el riesgo específico
C. Justificación de la calificación de riesgo más baja
D. Reabrir la cuestión del riesgo y realizar una evaluación completa
Ver respuesta
Respuesta correcta: C
Cuestionar #210
¿Cuál de las siguientes opciones es la MÁS crítica para el diseño de escenarios de riesgo relevantes?
A. os escenarios están vinculados a situaciones organizativas probables
B. os escenarios se basan en incidentes pasados
C. os escenarios están alineados con las capacidades de gestión de riesgos
D. Los escenarios se asignan a las capacidades de gestión de incidentes
Ver respuesta
Respuesta correcta: A

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.