¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Apruebe su examen CISA con Pruebas de Práctica 2025 Actualizado, Auditor Certificado de Sistemas de Información | SPOTO

Buscando ace su examen CISA en 2025? SPOTO ofrece pruebas de práctica actualizados y recursos para ayudarle a convertirse en un Auditor Certificado de Sistemas de Información (CISA). La incorporación de pruebas simuladas en su plan de estudio ofrece numerosas ventajas en la preparación para los exámenes de certificación.exámenes de prueba simulan el entorno de prueba real, lo que le permite practicar con preguntas de examen y preguntas de muestra en condiciones de tiempo. Esta experiencia práctica le ayuda a familiarizarse con el formato del examen, mejorar su velocidad, precisión y confianza al responder preguntas e identificar áreas de estudio adicional. Utilizar exámenes de prueba para perfeccionar su estrategia de examen, evaluar sus fortalezas y debilidades, y maximizar sus posibilidades de pasar el examen CISA con éxito.

Preparación para el examen CISA

Realizar otros exámenes en línea
Cuestionar #1
¿Cuál de las siguientes opciones puede degradar el rendimiento de la red?
A. Uso superfluo de pasarelas redundantes de carga compartida
B. Aumento de las colisiones de tráfico debido a la congestión del host mediante la creación de nuevos dominios de colisión
C. Uso ineficiente y superfluo de dispositivos de red como conmutadores
D. Uso ineficiente y superfluo de dispositivos de red como los concentradores
Ver respuesta
Respuesta correcta: C

View The Updated CISA Exam Questions

SPOTO Provides 100% Real CISA Exam Questions for You to Pass Your CISA Exam!

Get CISA Practice Test
Cuestionar #2
¿Cuál de los siguientes es el resultado MÁS probable de un proyecto de reingeniería de procesos de negocio (BPR)?
A. Aumento del número de personas que utilizan la tecnología
B. Ahorro significativo de costes, gracias a la reducción de la complejidad de la tecnología de la información
C. Estructuras organizativas más débiles y menor responsabilidad
D. Aumentará el riesgo de protección de la información (PI)
Ver respuesta
Respuesta correcta: D
Cuestionar #3
¿Cuál de los siguientes tipos de comprobaciones de edición de validación de datos se utiliza para determinar si un campo contiene datos y no ceros o espacios en blanco?
A. Dígito de control
B. Comprobación de existencia
C. Comprobación de integridad
D. Comprobación del carácter razonable
Ver respuesta
Respuesta correcta: B
Cuestionar #4
¿Qué es lo que suele dar lugar a que el alcance del proyecto se desborde cuando los requisitos funcionales no están tan bien definidos como podrían estarlo?
A. Baselining de software inadecuado
B. Planificación estratégica insuficiente
C. Asignación imprecisa de recursos
D. Retrasos del proyecto
Ver respuesta
Respuesta correcta: B
Cuestionar #5
Los entornos de red suelen aumentar la complejidad de la comunicación entre programas, lo que dificulta la implantación y el mantenimiento de los sistemas de aplicaciones. ¿Verdadero o falso?
A. Verdadero
B. Falso
Ver respuesta
Respuesta correcta: D
Cuestionar #6
¿Cuál de los siguientes términos de continuidad de negocio determina la cantidad máxima aceptable de pérdida de datos medida en tiempo?
A. OPR
B. RTO
C. WRT
D. MTD
Ver respuesta
Respuesta correcta: D
Cuestionar #7
¿Cuál de los siguientes términos relacionados con el rendimiento de la red se refiere a la variación en el tiempo de llegada de los paquetes al receptor de la información?
A. Ancho de banda
B. Rendimiento
C. Latencia
D. Jitter
Ver respuesta
Respuesta correcta: C
Cuestionar #8
Es MUY probable que los auditores de SI realicen pruebas de conformidad de los controles internos si, tras su evaluación inicial de los controles, llegan a la conclusión de que los riesgos de control están dentro de los límites aceptables. ¿Verdadero o falso?
A. Verdadero
B. Falso
Ver respuesta
Respuesta correcta: B
Cuestionar #9
Al realizar una auditoría de estrategia de SI, un auditor de SI debe revisar las estrategias de SI tanto a corto plazo (un año) como a largo plazo (de tres a cinco años), entrevistar al personal directivo adecuado de la empresa y asegurarse de que se ha tenido en cuenta el entorno externo. El auditor debe centrarse especialmente en los procedimientos en una auditoría de estrategia de SI. ¿Verdadero o falso?
A. Verdadero
B. Falso
Ver respuesta
Respuesta correcta: B
Cuestionar #10
¿Cuál de los siguientes esquemas de copia de seguridad es la MEJOR opción cuando los medios de almacenamiento son limitados?
A. Copia de seguridad virtual
B. Copia de seguridad en tiempo real
C. Copia de seguridad diferencial
D. Copia de seguridad completa
Ver respuesta
Respuesta correcta: A
Cuestionar #11
¿Cuál de las siguientes afirmaciones describe INCORRECTAMENTE un dispositivo y su ubicación dentro del modelo TCP/IP?
A. El conmutador de capa 4 trabaja en la capa de interfaz de red en el modelo TCP/IP
B. El router funciona en la capa de interfaz de red del modelo TCP/IP
C. El conmutador de capa 3 funciona en la capa de interfaz de red en el modelo TCP/IP
D. El concentrador funciona en la capa de interfaz LAN o WAN de un modelo TCP/IP
Ver respuesta
Respuesta correcta: A
Cuestionar #12
Una auditoría reciente concluyó que el sistema de seguridad de la información de una organización era débil y que la supervisión probablemente no detectaría la penetración. ¿Cuál de las siguientes sería la recomendación MÁS apropiada?
A. Buscar continuamente nuevos comportamientos delictivos y ataques a datos sensibles
B. Establecer una política clara en materia de seguridad y tratamiento de datos sensibles
C. Cifrar los datos sensibles al tiempo que se refuerza el sistema
D. Identificar y eliminar periódicamente los datos sensibles que ya no sean necesarios
Ver respuesta
Respuesta correcta: A
Cuestionar #13
Una organización ha subcontratado algunos de sus subprocesos a un proveedor de servicios. Al establecer el alcance de la auditoría del proveedor, el auditor interno de la organización debe PRIMERO:
A. evaluar los controles operativos del proveedor
B. discutir los objetivos de la auditoría con el proveedor
C. revisar los informes de auditoría interna del proveedor
D. revisar el contrato con el proveedor
Ver respuesta
Respuesta correcta: B
Cuestionar #14
La MEJOR estrategia de acceso al configurar un cortafuegos sería:
A. permitir el acceso a todos y registrar la actividad
B. denegar el acceso a todos pero permitir el acceso a los seleccionados
C. permitir el acceso a todos pero denegar el acceso a los seleccionados
D. denegar el acceso a todos excepto a los programas autorizados
Ver respuesta
Respuesta correcta: C
Cuestionar #15
Tras un ataque con éxito al servidor web de una organización, ¿cuál de las siguientes acciones debe realizarse PRIMERO?
A. Revise las reglas de configuración de límites para asegurarse de que los paquetes salientes están limitados
B. Evaluar e implantar un sistema de detección de intrusos
C. Escanear periódicamente la red en busca de sistemas con vulnerabilidades conocidas
D. Establecer sistemas de referencia utilizando herramientas criptográficas de suma de comprobación
Ver respuesta
Respuesta correcta: B
Cuestionar #16
Una empresa de fabricación quiere automatizar su sistema de pago de facturas. Los objetivos establecen que el sistema debe requerir mucho menos tiempo para la revisión y autorización y el sistema debe ser capaz de identificar errores que requieran un seguimiento. ¿Cuál de las siguientes opciones cumpliría MEJOR estos objetivos?
A. Establecimiento de un sistema interconectado de servidores cliente con proveedores para aumentar la eficacia
B. Externalizar la función a una empresa especializada en pagos automatizados y procesamiento de cuentas por cobrar/facturas
C. Establecimiento de un sistema EDI de documentos y transacciones comerciales electrónicas con proveedores clave, de ordenador a ordenador, en un formato estándar
D. Reingeniería del procesamiento existente y rediseño del sistema existente
Ver respuesta
Respuesta correcta: B
Cuestionar #17
Durante una revisión posterior al incidente. la secuencia y la correlación de las acciones deben analizarse PRIMARIAMENTE en función de:
A. entrevistas con el personal
B. un calendario de acontecimientos consolidado
C. registros de los sistemas implicados
D. documentos creados durante el incidente
Ver respuesta
Respuesta correcta: C
Cuestionar #18
¿Cuál de las siguientes capas de un modelo OSI transmite y recibe el flujo de bits como señales eléctricas, ópticas o de radio a través de un medio o portador adecuado?
A. Capa de transporte
B. Capa de red
C. Capa de enlace de datos
D. Capa física
Ver respuesta
Respuesta correcta: C
Cuestionar #19
Al implantar un paquete de software de aplicación, ¿cuál de los siguientes presenta el MAYOR riesgo?
A. Múltiples versiones de software no controladas
B. Programas fuente que no están sincronizados con el código objeto
C. parámetros mal configurados
D. Errores de programación
Ver respuesta
Respuesta correcta: B
Cuestionar #20
¿Cuál de los siguientes tipos de servicio de red almacena información sobre los distintos recursos en una base de datos central de una red y ayuda a los dispositivos de red a localizar los servicios?
A. DHCP
B. DNS
C. Servicio de directorio
D. Gestión de redes
Ver respuesta
Respuesta correcta: D
Cuestionar #21
¿Cuál de las siguientes es la MEJOR indicación de que un programa de seguridad de la información es eficaz?
A. El número de incidentes de seguridad notificados y confirmados ha aumentado tras la formación de sensibilización
B. El programa de concienciación en materia de seguridad se elaboró siguiendo las mejores prácticas del sector
C. El equipo de seguridad ha realizado una evaluación de riesgos para comprender el apetito de riesgo de la organización
D. El equipo de seguridad está bien informado y utiliza las mejores herramientas disponibles
Ver respuesta
Respuesta correcta: C
Cuestionar #22
Durante una auditoría de control de cambios de un sistema de producción, un auditor de SI descubre que el proceso de gestión de cambios no está formalmente documentado y que algunos procedimientos de migración fallaron. ¿Qué debe hacer el auditor?
A. Recomendar rediseñar el proceso de gestión del cambio
B. Obtener más garantías sobre los hallazgos mediante el análisis de las causas raíz
C. Recomendar que se detenga la migración del programa hasta que se documente el proceso de cambio
D. Documentar el hallazgo y presentarlo a la dirección
Ver respuesta
Respuesta correcta: B
Cuestionar #23
Los miembros de un equipo de respuesta a incidentes de emergencia deben ser:
A. seleccionados entre varios departamentos
B. asignados en el momento de cada incidente
C. restringido al personal informático
D. nombrado por el CISO
Ver respuesta
Respuesta correcta: B
Cuestionar #24
¿Cuál de las siguientes es una ventaja de utilizar dispositivos de devolución de llamada?
A. Proporcionar una pista de auditoría
B. Puede utilizarse en un entorno de centralita
C. Permitir la movilidad ilimitada de los usuarios
D. Permitir el desvío de llamadas
Ver respuesta
Respuesta correcta: C
Cuestionar #25
Una organización se encuentra en una jurisdicción en la que recientemente se han anunciado nuevas normativas para restringir la transferencia transfronteriza de datos de identificación personal (PII). Cuál de las siguientes decisiones de TI es MÁS probable que deba evaluarse en el contexto de este cambio?
A. Alojar el sistema de nóminas en un proveedor externo de servicios en la nube
B. Contratar un seguro cibernético a una compañía de seguros extranjera
C. Aplicación del cifrado a la base de datos que aloja datos PII
D. Contratación de consultores informáticos en el extranjero
Ver respuesta
Respuesta correcta: C
Cuestionar #26
Un auditor de SI está revisando la configuración del registro de la base de datos y se da cuenta de que sólo se están supervisando las operaciones de INSERTAR y ELIMINAR en la base de datos. ¿Cuál es el riesgo MÁS importante?
A. Los metadatos no pueden registrarse
B. Los registros recién añadidos no pueden registrarse
C. Los registros eliminados no pueden registrarse
D. Los cambios en los registros existentes no pueden registrarse
Ver respuesta
Respuesta correcta: D
Cuestionar #27
Un empleado que niega las acusaciones de enviar imágenes inapropiadas a otros empleados ha sido despedido. A efectos probatorios, la base de datos de correo del ordenador del empleado despedido debe ser:
A. eliminado, ya que podría someter a la organización a una mayor responsabilidad legal
B. incautado mediante la retirada física de la unidad de disco
C. copia de seguridad en el servidor, donde su acceso puede restringirse estrictamente
D. copiado en un soporte de escritura única y lectura múltiple mediante las herramientas del sistema operativo del ordenador
Ver respuesta
Respuesta correcta: B
Cuestionar #28
¿Qué proceso permite a la dirección de SI determinar si las actividades de la organización difieren de los niveles previstos o planificados?
A. Evaluación del impacto empresarial
B. Evaluación de riesgos
C. Métodos de evaluación de la SI
D. Indicadores clave de rendimiento (KPI)
Ver respuesta
Respuesta correcta: A
Cuestionar #29
¿Cuál de las siguientes es la unidad de datos de protocolo (PDU) de la capa de aplicación en el modelo TCP/IP?
A. Datos
B. Segmento
C. Paquete
D. Marco
Ver respuesta
Respuesta correcta: C
Cuestionar #30
La principal ventaja de utilizar una instalación de pruebas integrada (ITF) como técnica de auditoría en línea es que permite:
A. un enfoque rentable de la auditoría de los controles de las aplicaciones
B. auditores para investigar transacciones fraudulentas
C. los auditores pueden realizar pruebas sin afectar a los datos de producción
D. la integración de las pruebas financieras y de auditoría
Ver respuesta
Respuesta correcta: C
Cuestionar #31
¿Cuál de las siguientes es la MEJOR manera de aumentar la eficacia de la detección de incidentes de seguridad?
A. Determinación de las actividades de contención en función del tipo de incidente
B. Establecimiento de acuerdos de nivel de servicio (SLA) con los proveedores de servicios forenses adecuados
C. Educar a los usuarios finales en la identificación de actividades sospechosas
D. Documentación de los procedimientos de análisis de las causas profundas
Ver respuesta
Respuesta correcta: B
Cuestionar #32
¿Cuál de los siguientes aspectos es de mayor interés a la hora de realizar una auditoría de SI?
A. Capacidad de los usuarios para modificar directamente la base de datos
B. Capacidad de los usuarios para enviar consultas a la base de datos
C. Capacidad de los usuarios para modificar indirectamente la base de datos
D. Capacidad de los usuarios para ver directamente la base de datos
Ver respuesta
Respuesta correcta: D
Cuestionar #33
Un control que detecta errores de transmisión añadiendo bits calculados al final de cada segmento de datos se conoce como:
A. control de razonabilidad
B. comprobación de paridad
C. comprobación de redundanciA
D. dígitos de control
Ver respuesta
Respuesta correcta: D
Cuestionar #34
Los entornos de prueba y desarrollo deben estar separados. ¿Verdadero o falso?
A. Verdadero
B. Falso
Ver respuesta
Respuesta correcta: C
Cuestionar #35
¿Cuál de los siguientes métodos de extinción de incendios se considera más respetuoso con el medio ambiente?
A. Gas halón
B. Rociadores de diluvio
C. Rociadores de tubería seca
D. Rociadores de tubería húmeda
Ver respuesta
Respuesta correcta: A
Cuestionar #36
¿Cuál de los siguientes puntos sería de MAYOR preocupación para un auditor de SI que recibe los procedimientos de gestión de incidentes de seguridad de una organización?
A. Se realizan ejercicios teóricos anuales en lugar de ejercicios funcionales de respuesta a incidentes
B. No se han documentado formalmente las funciones de los miembros del equipo de respuesta a emergencias informáticas (CERT)
C. No se han identificado directrices para priorizar los incidentes
D. Las alertas del software antivirus de la estacion de trabajo no son revisadas regularmente
Ver respuesta
Respuesta correcta: D
Cuestionar #37
Dos organizaciones compartirán la propiedad de un nuevo sistema de gestión de recursos empresariales (ERM). Para ayudar a garantizar el éxito de la implantación del sistema, lo MÁS importante es definir:
A. acceso a los datos
B. el modelo de gobernanza
C. custodia de activosprocedimientos adecuados Como auditor de SI descubre que debido a limitaciones de recursos, un administrador de base de datos (DBA) es responsable de desarrollar y ejecutar cambios en el entorno de producción
D.
E.
F.
G.
Ver respuesta
Respuesta correcta: D
Cuestionar #38
¿Qué técnica de auditoría proporciona la MAYOR garantía de que los procedimientos de gestión de incidentes son eficaces?
A. Determinar si los incidentes se clasifican y abordan
B. Realización de pruebas exhaustivas de exploración y penetración de vulnerabilidades
C. Comparación de los procedimientos de gestión de incidentes con las mejores prácticas
D. Evaluación de los resultados de las encuestas de satisfacción de los usuarios finales
Ver respuesta
Respuesta correcta: B
Cuestionar #39
Una ventaja de utilizar transacciones en vivo saneadas en los datos de prueba es que:
A. se incluirán todos los tipos de transacciones
B. es probable que se compruebe cada condición de error
C. no se requieren rutinas especiales para evaluar los resultados
D. las transacciones de prueba son representativas del procesamiento en vivo
Ver respuesta
Respuesta correcta: C
Cuestionar #40
Durante una entrevista de salida, en los casos en que haya desacuerdo sobre el impacto de un hallazgo, un auditor de SI deberá:
A. pedir al auditado que firme un formulario de exención de responsabilidad en el que acepta su plena responsabilidad legal
B. explicar en detalle la importancia del hallazgo y los riesgos de no corregirlo
C. comunicar el desacuerdo al comité de auditoría para su resolución
D. aceptar la posición del auditado, ya que es el propietario del proceso
Ver respuesta
Respuesta correcta: B
Cuestionar #41
¿Cuál de los siguientes sería el indicio MÁS FUERTE de que en una organización falta el compromiso de la alta dirección con la seguridad de la información?
A. Aplicación incoherente de las políticas de seguridad de la información
B. Reducción de la inversión en seguridad de la información
C. Un alto grado de aceptación del riesgo para la seguridad de la información
D. El responsable de la seguridad de la información depende del jefe de riesgos
Ver respuesta
Respuesta correcta: A
Cuestionar #42
Si un programador tiene acceso de actualización a un sistema activo, a los auditores de SI les preocupa más la capacidad del programador para iniciar o modificar transacciones y la capacidad para acceder a la producción que la capacidad del programador para autorizar transacciones. ¿Verdadero o falso?
A. Verdadero
B. Falso
Ver respuesta
Respuesta correcta: B
Cuestionar #43
¿Cuál de las siguientes opciones permite la MAYOR reducción de costes en un gran centro de datos?
A. Consolidación de servidores
B. Rotación del personal
C. Acondicionamiento de potencia
D. Software de programación de trabajos
Ver respuesta
Respuesta correcta: C
Cuestionar #44
¿Cuál de las siguientes opciones es la MÁS importante que un auditor de SI debe determinar al revisar cómo el equipo de respuesta a incidentes de la organización maneja los dispositivos que pueden estar involucrados en actividades delictivas?
A. Si se comprueba la existencia de aplicaciones maliciosas en los dispositivos
B. Si se comprueban los registros de acceso antes de incautar los dispositivos
C. Si los usuarios tienen conocimiento de que sus dispositivos están siendo examinados
D. Si existe una cadena de custodia de los dispositivos
Ver respuesta
Respuesta correcta: D
Cuestionar #45
¿Cuál de los siguientes es el MAYOR riesgo a la hora de implantar un almacén de datos?
A. aumento del tiempo de respuesta en los sistemas de producción
B. Controles de acceso que no son adecuados para impedir la modificación de datos
C. Duplicación de datos
D. Datos que no están actualizados o vigentes
Ver respuesta
Respuesta correcta: B
Cuestionar #46
¿Cuál de los siguientes es el MEJOR enfoque para reducir la duplicación innecesaria de actividades de cumplimiento?
A. Integración de los esfuerzos de garantía
B. Automatización de los controles
C. Normalización de los requisitos de cumplimiento
D. Documentación de los procedimientos de control
Ver respuesta
Respuesta correcta: C
Cuestionar #47
¿Cuál es el objetivo principal de un programa de autoevaluación de controles (AAC)?
A. Refuerzo de la responsabilidad de auditoría
B. Eliminación de la responsabilidad de auditoría
C. Sustitución de la responsabilidad de auditoría
D. Integridad de la responsabilidad de auditoría
Ver respuesta
Respuesta correcta: C
Cuestionar #48
¿Cuándo deben los administradores de sistemas evaluar por primera vez el impacto de los parches de aplicaciones o sistemas?
A. En los cinco días hábiles siguientes a la instalación
B. Antes de la instalación
C. No antes de cinco días hábiles tras la instalación
D. Inmediatamente después de la instalación
Ver respuesta
Respuesta correcta: C
Cuestionar #49
¿Cuál de las siguientes debe ser la consideración PRIMARIA de un auditor de SI al evaluar el desarrollo y diseño de un programa de privacidad?
A. Gobernanza de datos y procedimientos de clasificación de datos
B. Políticas y procedimientos coherentes con las directrices sobre privacidad
C. Prácticas del sector y orientaciones para el cumplimiento de la normativa
D. Seguridad de la información y prácticas de gestión de incidentes
Ver respuesta
Respuesta correcta: C
Cuestionar #50
¿Quién es responsable en última instancia del desarrollo de una política de seguridad de la SI?
A. El consejo de administración
B. Mandos intermedios
C. Administradores de seguridad
D. Administradores de red
Ver respuesta
Respuesta correcta: A
Cuestionar #51
El desarrollador compila los cambios de código y los coloca en una carpeta de cambios. Un equipo de implementación migra los cambios a producción desde la carpeta de cambios. ¿Cuál de las siguientes opciones indica MEJOR que existe separación de funciones durante el proceso de migración?
A. Una segunda persona revisa el código antes de que el cambio pase a producción
B. El desarrollador aprueba los cambios antes de moverlos a la carpeta de cambios
C. El equipo de implementación no tiene experiencia escribiendo código
D.
E.
F.
G.
Ver respuesta
Respuesta correcta: B
Cuestionar #52
¿Cuál de las siguientes es la MEJOR defensa contra un ataque de fuerza bruta?
A. Control de acceso discrecional
B. Bloqueo por detección de intrusos
C. Control de acceso obligatorio
D. Restricciones horarias
Ver respuesta
Respuesta correcta: A
Cuestionar #53
Una auditoría de SI de las políticas de clasificación de datos de una organización descubre que algunas áreas de las políticas pueden no estar actualizadas con las nuevas normativas de privacidad de datos. ¿Qué debería hacer la dirección PRIMERO para abordar el riesgo de incumplimiento?
A. Realizar una evaluación del impacto sobre la privacidad para identificar lagunas
B. Reclasificar la información basándose en las etiquetas de clasificación de la información revisadas
C. Formación obligatoria sobre la nueva normativa de protección de la intimidad
D. Realizar un ejercicio de descubrimiento de datos para identificar todos los datos personales
Ver respuesta
Respuesta correcta: A
Cuestionar #54
El uso de procedimientos estadísticos de muestreo ayuda a minimizar:
A. Riesgo de detección
B. Riesgo empresarial
C. Controla el riesgo
D. Riesgo de cumplimiento
Ver respuesta
Respuesta correcta: C
Cuestionar #55
¿Cuál de los siguientes aspectos es el que MÁS debe preocupar a un auditor de SI durante una revisión posterior a la implantación?
A. El sistema no dispone de un plan de mantenimiento
B. El sistema contiene varios defectos menores
C. El sistema superó el presupuesto en un 15%
D. El despliegue del sistema se retrasó tres semanas
Ver respuesta
Respuesta correcta: A
Cuestionar #56
Un auditor de SI está analizando una muestra de accesos registrados en el registro del sistema de una aplicación. El auditor tiene la intención de iniciar una investigación intensiva si se encuentra una excepción. ¿Qué método de muestreo sería apropiado?
A. Muestreo de descubrimiento
B. Muestreo de variables
C. Muestreo estratificado
D. Muestreo de juicio
Ver respuesta
Respuesta correcta: C
Cuestionar #57
Un ransomware ha cifrado un servidor crítico para un hospital. El hospital no puede funcionar eficazmente sin este servidor. Cuál de las siguientes opciones permitiría al hospital evitar el pago del rescate?
A. Un proceso continuo de replicación de servidores
B. Un sistema de copia de seguridad sin conexión probado
C. Una propiedad configurada cortafuegos
D. Formación de los empleados sobre ransomware A ¿Cuál de los siguientes sería la información MÁS importante que se debe incluir en un caso empresarial para un proyecto de seguridad de la información en un sector muy regulado?
E.
F.
G.
D. Número de incidentes de seguridad notificados
Ver respuesta
Respuesta correcta: D
Cuestionar #58
¿Cuál de las siguientes es la MAYOR amenaza para el Protocolo de Voz sobre Internet (VoIP) relacionada con la liberación de la privacidad?
A. Enrutamiento incorrecto
B. Espionaje
C. Grabación de llamadas
D. Denegación de servicio
Ver respuesta
Respuesta correcta: C
Cuestionar #59
¿Cuál de las siguientes técnicas de auditoría es la MÁS apropiada para verificar los controles del programa de aplicación?
A. Muestreo estadístico
B. Revisión del código
C. Confirmación de cuentas
D. Utilización de los datos de las pruebas
Ver respuesta
Respuesta correcta: D
Cuestionar #60
¿Cuál de las siguientes es la consideración de seguridad MÁS importante cuando se utiliza infraestructura como servicio (IaaS)?
A. Gestión del acceso de los usuarios
B. Cumplimiento de las normas internas
C. Segmentación entre huéspedes
D. Estrategia de copia de seguridad y recuperación
Ver respuesta
Respuesta correcta: D
Cuestionar #61
¿Cuál de los siguientes protocolos NO funciona en la capa de interfaz de red del modelo TCP/IP?
A. ICMP
B. DNS
C. ARP
D. Protocolo de Internet
Ver respuesta
Respuesta correcta: B
Cuestionar #62
La alta dirección de una organización está animando a sus empleados a utilizar las redes sociales con fines promocionales. Cuál de los siguientes debería ser el PRIMER paso del responsable de seguridad de la información para apoyar esta estrategia?
A. Desarrollar un caso de negocio para una solución de prevención de pérdida de datos
B. Elaborar una directriz sobre el uso aceptable de los medios sociales
Ver respuesta
Respuesta correcta: A
Cuestionar #63
El beneficio PRIMARIO de un servidor de tiempo centralizado es que:
A. reduce las solicitudes individuales de hora del día por parte de las aplicaciones cliente
B. es necesario para los programas de sincronización de contraseñas
C. permite mantener sincronizados los registros descentralizados
D. disminuye la probabilidad de un fallo irrecuperable de los sistemas
Ver respuesta
Respuesta correcta: B
Cuestionar #64
Un auditor de SI está revisando el acuerdo de nivel de servicio (SLA) de un banco con un proveedor externo que aloja el centro de datos secundario del banco. ¿Cuál de los siguientes hallazgos debería preocupar MÁS al auditor?
A. El objetivo del punto de recuperación (OPR) tiene una duración inferior a la documentada en el plan de recuperación en caso de catástrofe
B. El objetivo de tiempo de recuperación (RTO) tiene una duración superior a la documentada en el plan de recuperación en caso de catástrofe
C. Los datos de copia de seguridad sólo se alojan en línea
D. El SLA no se ha revisado en más de un año
Ver respuesta
Respuesta correcta: B
Cuestionar #65
En un entorno de tecnología en nube, ¿cuál de las siguientes opciones supondría el MAYOR reto para la investigación de incidentes de seguridad?
A. Cifrado de datos
B. Acceso al hardware
C. Datos comprimidos de los clientes
D. Registros de eventos no estándar
Ver respuesta
Respuesta correcta: B
Cuestionar #66
¿Cuál de los siguientes servicios es una base de datos distribuida que traduce nombre de host a dirección IP a dirección IP a nombre de host?
A. DNS
B. FTP
C. SSH
D. SMTP
Ver respuesta
Respuesta correcta: D
Cuestionar #67
¿Cuál de las siguientes afirmaciones describe INCORRECTAMENTE la técnica de conmutación de circuitos?
A. El paquete utiliza muchas rutas dinámicas diferentes para llegar al mismo destino
B. Enlaces virtuales orientados a la conexión
C. Retrasos fijos
D. El tráfico circula de forma previsible y constante
Ver respuesta
Respuesta correcta: B
Cuestionar #68
¿Cuál es la función MÁS importante de una Autoridad de Certificación (AC) cuando una clave privada se ve comprometida?
A. Emitir una nueva clave privada para el usuario
B. Actualizar la base de datos de información de claves en el servidor de publicación de certificados
C. Publicar las listas de revocación de certificados (CRL) en el repositorio
D. Actualizar los metadatos de los certificados
Ver respuesta
Respuesta correcta: D
Cuestionar #69
Una organización está preocupada por los pagos duplicados a proveedores en un sistema complejo con un alto volumen de transacciones. Cuál de las siguientes opciones sería la MÁS útil para un auditor de SI a la hora de determinar si existen pagos duplicados a proveedores?
A. Técnica asistida por ordenador
B. Pruebas de parada y arranque
C. Muestreo estadístico
D. Muestreo de juicio
Ver respuesta
Respuesta correcta: A
Cuestionar #70
¿Qué deben utilizar las pruebas de regresión para obtener conclusiones precisas sobre los efectos de los cambios o correcciones introducidos en un programa y garantizar que dichos cambios y correcciones no han introducido nuevos errores?
A. Datos falsos
B. Datos creados de forma independiente
C. Datos en directo
D. Datos de pruebas anteriores
Ver respuesta
Respuesta correcta: D
Cuestionar #71
Una organización ha tomado la decisión estratégica de dividirse en entidades operativas separadas para mejorar la rentabilidad. Sin embargo, la infraestructura de TI sigue siendo compartida entre las entidades. ¿Cuál de las siguientes opciones ayudaría MEJOR a garantizar que la auditoría de SI siga cubriendo las áreas de riesgo clave dentro del entorno de TI como parte de su plan anual?
A. Aumentar la frecuencia de las auditorías de SI basadas en el riesgo para cada entidad empresarial
B. Revisión de los planes de auditoría de SI para centrarse en los cambios informáticos introducidos tras la escisión
C. Realización de una auditoría de las políticas y procedimientos informáticos recién introducidos
D. Desarrollar un plan basado en riesgos teniendo en cuenta los procesos de negocio de cada entidad D Un auditor de SI determina que un minorista en línea que procesa información de tarjetas de crédito no tiene un proceso de clasificación de datos
E.
F.
G.
D. preguntar si ha habido algún incidente de pérdida de datos
Ver respuesta
Respuesta correcta: B
Cuestionar #72
¿Cuál de las siguientes opciones crearía el MAYOR riesgo al migrar un sistema heredado crítico a un nuevo sistema?
A. Utilización de una metodología de desarrollo ágil
B. Siguiendo un enfoque gradual
C. Siguiendo un enfoque de corte directo
D. Mantenimiento de sistemas paralelos
Ver respuesta
Respuesta correcta: C
Cuestionar #73
El control MÁS eficaz para detectar el fraude dentro de la red de una organización, es:
A. implantar un sistema de detección de intrusos (IDS)
B. aplicar la autenticación de dos factores
C. revisar los registros de acceso
D. separar funciones
Ver respuesta
Respuesta correcta: C
Cuestionar #74
Una organización se vio gravemente afectada tras un ataque de amenaza persistente avanzada (APT). Posteriormente, se descubrió que la brecha inicial se había producido un mes antes del ataque. La MAYOR preocupación de la dirección debería ser:
A. resultados de la última prueba de penetración interna
B. la eficacia de los procesos de supervisión Explicación/Referencia:
C. la instalación de parches de seguridad críticos
D. políticas de cortafuegos externo
Ver respuesta
Respuesta correcta: B
Cuestionar #75
¿Cuál de los siguientes servicios externalizados tiene MAYOR necesidad de supervisión de la seguridad?
A. Alojamiento de sitios web
B. Desarrollo de aplicaciones
C. Servicios de red privada virtual (VPN)
D. Infraestructura empresarial
Ver respuesta
Respuesta correcta: D
Cuestionar #76
Si se restaura una base de datos a partir de la información de la copia de seguridad anterior a la última imagen del sistema, ¿cuál de las siguientes opciones se recomienda?
A. El sistema debe reiniciarse después de la última transacción
B. El sistema debe reiniciarse antes de la última transacción
C. El sistema debe reiniciarse en la primera transacción
D. El sistema debe reiniciarse en la última transacción
Ver respuesta
Respuesta correcta: A
Cuestionar #77
¿Cuál de los siguientes es el MAYOR riesgo asociado a la falta de un programa eficaz de privacidad de datos?
A. No impedir las transacciones fraudulentas
B. Incapacidad para gestionar el acceso a datos privados o sensibles
C. Incapacidad para obtener la confianza del cliente
D. Incumplimiento de la normativa sobre datos
Ver respuesta
Respuesta correcta: D
Cuestionar #78
Un departamento de TI ha dado a un proveedor acceso remoto a la red interna para solucionar problemas de rendimiento de la red. Después de descubrir la actividad remota durante una revisión del registro del cortafuegos, ¿cuál de las siguientes es la MEJOR forma de proceder para un responsable de seguridad de la información?
A. Revocar el acceso
B. Revise el acuerdo de nivel de servicio (SLA) correspondiente
C. Determinar el nivel de acceso concedido
D. Declarar un incidente de seguridad
Ver respuesta
Respuesta correcta: B
Cuestionar #79
Las evaluaciones de los sistemas de información críticos se basan en un plan de auditoría cíclico que no se ha actualizado en varios años. ¿Cuál de las siguientes medidas debería recomendar el auditor de SI para abordar MEJOR esta situación?
A. Utilizar un conjunto rotatorio de planes de auditoría para cubrir todos los sistemas
B. Actualizar trimestralmente el plan de auditoría para tener en cuenta los retrasos y aplazamientos de las revisiones periódicas
C. Validar periódicamente el plan de auditoría en función de los riesgos empresariales
D. No incluir las revisiones periódicas en detalle como parte del plan de auditoría
Ver respuesta
Respuesta correcta: C
Cuestionar #80
Se está realizando un análisis de riesgos para un nuevo sistema. ¿Para cuál de los siguientes casos son más importantes los conocimientos empresariales que los informáticos?
A. Análisis de vulnerabilidad
B. Análisis coste-beneficio
C. Análisis de impacto
D. Cuadro de mando integral
Ver respuesta
Respuesta correcta: D
Cuestionar #81
¿Cuál de los siguientes controles de entrada de aplicaciones detectaría con MAYOR probabilidad errores de entrada de datos en el campo de número de cuenta de cliente durante el procesamiento de una transacción de cuentas por cobrar?
A. Comprobación de la validez
B. Comprobación del carácter razonable
C. Comprobación de paridad
D. Comprobación de límites
Ver respuesta
Respuesta correcta: C
Cuestionar #82
El departamento de TI de una organización está llevando a cabo un gran proyecto de virtualización para reducir su huella de servidores físicos. ¿Cuál de los siguientes puntos debería ser la máxima prioridad del responsable de seguridad de la información?
A. Determinar cómo se gestionarán los incidentes
B. Selección del software de virtualización
C. Participar en la fase de diseño del proyecto
D. Garantizar que el proyecto cuenta con la financiación de seguridad adecuada
Ver respuesta
Respuesta correcta: C
Cuestionar #83
Un responsable de seguridad de la información está elaborando procedimientos de conservación de pruebas para un plan de respuesta a incidentes. Cuál de las siguientes sería la MEJOR fuente de orientación para los requisitos asociados a los procedimientos?
A. Gestión informática
B. Dirección ejecutiva
C. Asesoramiento jurídico
D. Propietarios de los datos
Ver respuesta
Respuesta correcta: C
Cuestionar #84
¿Cuál de las siguientes opciones es la MÁS importante para una organización a la hora de planificar una nueva plataforma de marketing que dirija la publicidad en función del comportamiento del cliente?
A. Evaluación del impacto sobre la privacidad de los datos
B. Evaluación de la calidad de los datos
C. Evaluación de la transferencia transfronteriza de datos
D. Evaluación de la vulnerabilidad de la seguridad
Ver respuesta
Respuesta correcta: A
Cuestionar #85
¿Cuál de las siguientes es la forma MÁS eficaz de verificar la capacidad de una organización para continuar con sus operaciones empresariales esenciales tras un evento de interrupción? Análisis de:
A. flujo de recuperación de extremo a extremo
B. objetivos de punto de recuperación (OPR)
C. árboles de llamada
D. análisis de impacto empresarial (BIA)
Ver respuesta
Respuesta correcta: C
Cuestionar #86
Durante una auditoría de SI, se descubre que las configuraciones de seguridad difieren en toda la granja de servidores virtuales de la organización. ¿Cuál de las siguientes es la MEJOR recomendación del auditor de SI para mejorar el entorno de control?
A. Realizar una revisión independiente de la configuración de seguridad de cada servidor
B. Implementar una línea de base de configuración de seguridad para servidores virtuales
C. Implantar controles de supervisión de seguridad para servidores virtuales de alto riesgo
D. Conducir una revision estandar de administracion de parches a traves de la granja de servidores virtuales
Ver respuesta
Respuesta correcta: B
Cuestionar #87
La función PRIMARIA de un sistema de gestión de discos es:
A. supervisar los accesos al disco para su revisión analítica
B. denegar el acceso a los archivos de datos residentes en disco
C. proporcionar datos sobre el uso eficiente del disco
D. proporcionar el método de control para el uso del disco
Ver respuesta
Respuesta correcta: A
Cuestionar #88
Una organización corre MAYOR riesgo de que se introduzca un nuevo gusano a través de la intranet cuando:
A. el código ejecutable se ejecuta desde el interior del cortafuegos
B. el software del sistema no se somete a comprobaciones de integridad
C. los hosts tienen direcciones IP estáticas
D. los archivos de definición de virus del escritorio no están actualizados
Ver respuesta
Respuesta correcta: C
Cuestionar #89
Al realizar una revisión de la gestión de incidentes de seguridad, un auditor de SI descubrió que no existen procesos de escalado definidos. Todos los incidentes son gestionados por la mesa de servicio. ¿Cuál de las siguientes debería ser la principal preocupación del auditor?
A. Uso ineficaz de los recursos del servicio de asistencia
B. Ausencia de incidentes de alto impacto por parte de la dirección
C. Retrasos en la resolución de incidencias de baja prioridad
D. Incapacidad de la dirección para hacer un seguimiento de la resolución de incidentes
Ver respuesta
Respuesta correcta: B
Cuestionar #90
La alta dirección ha aprobado que los empleados trabajen fuera de las instalaciones utilizando una conexión de red privada virtual (VPN). Lo MÁS importante es que el responsable de seguridad de la información lo haga periódicamente:
A. revisar la configuración del cortafuegos
B. revisar la política de seguridad
C. realizar un análisis coste-beneficio
D. realizar una evaluación de riesgos
Ver respuesta
Respuesta correcta: B
Cuestionar #91
Un grupo de gestión de TI ha desarrollado una lista de comprobación de controles de seguridad estandarizada y la ha distribuido a los autoevaluadores de controles de cada unidad organizativa. ¿Cuál de los siguientes sería el MAYOR riesgo de este enfoque?
A. El retraso en la retroalimentación puede aumentar la exposición
B. Con el tiempo, la lista de control puede quedar obsoleta
C. Los evaluadores pueden manipular los resultados
D. Las vulnerabilidades específicas de la empresa pueden pasarse por alto
Ver respuesta
Respuesta correcta: C
Cuestionar #92
¿Cuál de las siguientes opciones es la MÁS eficaz para que una organización se asegure de que sus proveedores de servicios externos conocen los requisitos y las expectativas en materia de seguridad de la información?
A. Impartir formación sobre seguridad de la información al personal de terceros
B. Auditoría de la prestación de servicios de terceros proveedores
C. Introducir cláusulas de seguridad de la información en los contratos
D. Exigir a terceros que firmen acuerdos de confidencialidad
Ver respuesta
Respuesta correcta: D
Cuestionar #93
Durante varios años, un proveedor ha estado proporcionando soportes de copia de seguridad externos y almacenamiento de registros para un banco. Debido a su familiaridad con los empleados del banco, el proveedor no les exige sistemáticamente formularios de autorización para recuperar los soportes. ¿Cuál de los siguientes es el MAYOR riesgo de esta situación?
A. Los empleados del banco pueden obtener indebidamente registros sensibles
B. Las cintas de seguridad pueden no estar disponibles
C. No se ha podido validar la cadena de custodia
D. El proveedor proporciona los medios incorrectos a los empleados
Ver respuesta
Respuesta correcta: D
Cuestionar #94
Un auditor de SI está revisando los resultados del escaneo de vulnerabilidades de la red de una organización. ¿A cuál de los siguientes procesos es MÁS probable que alimenten los resultados del escaneo?
A. Mantenimiento del cortafuegos
B. Gestión de parches
C. Respuesta a incidentes
D. Gestión del tráfico
Ver respuesta
Respuesta correcta: A
Cuestionar #95
Se ha establecido una política que exige a los usuarios instalar software de gestión de dispositivos móviles (MDM) en sus dispositivos personales. ¿Cuál de las siguientes opciones sería la MEJOR para mitigar el riesgo creado por el incumplimiento de esta política?
A. Emisión de advertencias y documentación del incumplimiento
B. Deshabilitar el acceso remoto desde el dispositivo móvil
C. Entrega de dispositivos móviles configurados por la empresa
D. Exigir a los usuarios que firmen los términos y condiciones
Ver respuesta
Respuesta correcta: B
Cuestionar #96
¿Cuál de los siguientes es el control MÁS importante que hay que aplicar cuando los altos directivos utilizan teléfonos inteligentes para acceder a información confidencial de la empresa?
A. Conectividad obligatoria a una red privada virtual (VPN)
B. Administración centralizada de dispositivos
C. Contraseñas seguras
D. Antimalware en los dispositivos
Ver respuesta
Respuesta correcta: D
Cuestionar #97
¿Cuál es el papel MÁS importante del custodio de datos de una organización en apoyo de la función de seguridad de la información?
A. Evaluación de los proveedores de tecnología de seguridad de datos
B. Aplicación de políticas de seguridad de aprobación
C. Aprobación de los derechos de acceso a los datos departamentales
D. Evaluar los riesgos de seguridad de los datos para la organización
Ver respuesta
Respuesta correcta: A
Cuestionar #98
¿Cuál de las siguientes opciones podría proporcionar a una organización la reanudación más rápida del procesamiento tras un fallo de disco?
A. Equilibrio de la carga del servidor
B. Mirroring
C. Conectividad de base de datos abierta (ODBC) del servidor de copia de seguridad
D. Replicación
Ver respuesta
Respuesta correcta: D
Cuestionar #99
¿Cuál de los siguientes es el factor MÁS importante a la hora de desarrollar una estrategia eficaz de seguridad de la información?
A. Informes de auditoría de seguridad
B. Informes de evaluación comparativa
Ver respuesta
Respuesta correcta: D
Cuestionar #100
Una ventaja PRIMARIA de implicar a la dirección de la empresa en la evaluación y gestión de los riesgos de seguridad de la información es que:
A. comprender mejor la arquitectura de seguridad
B. comprender mejor los riesgos organizativos
C. puede equilibrar los riesgos técnicos y empresariales
D. son más objetivos que la gestión de la seguridad
Ver respuesta
Respuesta correcta: A

View The Updated ISACA Exam Questions

SPOTO Provides 100% Real ISACA Exam Questions for You to Pass Your ISACA Exam!

Get ISACA Practice Test

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.