Dominio 2 Espanol

Un programa de gestión de riesgos efectivo debe reducir el riesgo a: cero. un nivel aceptable. un porcentaje aceptable de los ingresos. una probabilidad aceptable de ocurrencia.

¿Cuál de los siguientes indica MEJOR una práctica exitosa de gestión de riesgos?. El riesgo general está cuantificado. El riesgo inherente se elimina. El riesgo residual es aceptable. El riesgo de control está vinculado a las unidades de negocio.

¿Qué debería utilizar un programa exitoso de gestión de seguridad de la información para determinar la cantidad de recursos dedicados a mitigar la exposición?. Resultados del análisis de riesgos. Hallazgos de informes de auditoría. Resultados de pruebas de penetración. Cantidad del presupuesto de TI disponible.

¿Cuál es la razón PRINCIPAL por la que un gerente de seguridad de la información debe tener un conocimiento sólido de la tecnología de la información?. Para evitar que el personal de TI engañe al gerente de seguridad de la información. Para implementar tecnologías complementarias de seguridad de la información. Para comprender los requisitos de una arquitectura conceptual de seguridad de la información. Para comprender el riesgo de TI relacionado con lograr una seguridad de la información adecuada.

Para fines de gestión de riesgos, el valor de un activo físico debe basarse en: Costo original. Flujo neto de efectivo. Valor presente neto. Costo de reemplazo.

¿Cuál de los siguientes es el que MÁS probablemente inicia una revisión de un Estándar de Seguridad de la Información? Cambios en: Efectividad de los controles de seguridad. Responsabilidades de los jefes de departamento. Procedimientos de seguridad de la información. Resultados de evaluaciones periódicas de riesgos.

¿Durante qué fase del desarrollo es MÁS apropiado comenzar a evaluar el riesgo de un nuevo sistema de aplicaciones?. Factibilidad. Diseño. Desarrollo. Pruebas.

¿Cuál es el atributo MÁS esencial de un indicador clave de riesgo (KRI) efectivo?. Es preciso y confiable. Proporciona métricas cuantitativas. Indica la acción requerida. Es predictivo de un evento de riesgo.

La aceptación del riesgo es un componente de cuál de los siguientes?. Evaluación de riesgos. Mitigación de riesgos. Identificación de riesgos. Monitoreo de riesgos.

Los programas de gestión de riesgos están diseñados para reducir el riesgo a: un nivel tan pequeño que no pueda medirse. el punto en que el beneficio excede el gasto. un nivel que la empresa esté dispuesta a aceptar. una tasa de retorno que iguale el costo actual del capital.

¿A qué intervalo debe realizarse TÍPICAMENTE una evaluación de riesgos?. Una vez al año para cada proceso y subproceso empresarial. Cada tres a seis meses para procesos empresariales críticos. De manera continua. Anualmente o cada vez que haya un cambio significativo.

¿Cuál de los siguientes escenarios de riesgo se evaluaría MEJOR utilizando técnicas de evaluación de riesgos cualitativas?. Robo de software adquirido. Interrupción de energía eléctrica de 24 horas. Disminución permanente en la confianza del cliente. Pérdida temporal de los servicios de correo electrónico.

Los niveles aceptables de riesgo en la seguridad de la información deben ser determinados por: Asesor legal. Gerencia de seguridad. Auditores externos. El comité directivo.

El análisis de riesgos cuantitativo es MÁS apropiado cuando los resultados de la evaluación: Incluyen percepciones de los clientes. Contienen estimaciones porcentuales. Carecen de detalles específicos. Contienen información subjetiva.

¿Cuál de los siguientes es el uso MÁS apropiado del análisis de brechas?. Evaluar un análisis de impacto en el negocio. Desarrollar un cuadro de mando integral empresarial. Demostrar la relación entre controles. Medir el estado actual frente al estado futuro deseado.

¿Cuál de las siguientes situaciones presenta el MAYOR riesgo de seguridad de la información para una empresa con múltiples pero pequeñas ubicaciones de procesamiento nacionales?. No se hacen cumplir las pautas de operación del sistema. Los procedimientos de gestión de cambios son deficientes. El desarrollo del sistema se subcontrata. No se realiza la gestión de capacidad del sistema.

La decisión sobre si un riesgo de TI se ha reducido a un nivel aceptable debe ser determinada por: Requisitos organizacionales. Requisitos del sistema de TI. Requisitos de seguridad de la información. Normas internacionales.

¿Cuál es la razón PRINCIPAL para implementar un programa formal de gestión de riesgos? Un programa formal de gestión de riesgos: Permite a la empresa eliminar los riesgos. Es una parte necesaria de la diligencia debida de la gerencia. Satisface los requisitos legales y regulatorios. Ayuda a aumentar el retorno de la inversión.

¿Cuál de los siguientes grupos estaría en la MEJOR posición para realizar un análisis de riesgos para una empresa?. Auditores externos. Un grupo de pares dentro de un negocio similar. Propietarios de procesos. Un consultor de gestión especializado.

¿Cuál de los siguientes tipos de riesgo se evalúa MEJOR utilizando técnicas de evaluación de riesgos cuantitativas?. Datos de clientes robados. Interrupción del suministro eléctrico. Sitio web alterado. Pérdida del equipo de desarrollo de software.

¿Cuál de los siguientes ayuda MEJOR a calcular el impacto de perder la conectividad de la red Frame Relay durante 18–24 horas?. Tasa de facturación por hora cobrada por el proveedor. Valor de los datos transmitidos por la red. Compensación agregada de todos los usuarios de negocio afectados. Pérdidas financieras incurridas por las unidades de negocio afectadas.

¿Cuál de los siguientes es el entregable MÁS útil de un análisis de riesgos de seguridad de la información?. Informe de análisis de impacto en el negocio. Lista de acciones para mitigar riesgos. Asignación de riesgos a propietarios de procesos. Cuantificación del riesgo organizacional.

El seguimiento continuo de los esfuerzos de remediación para mitigar riesgos identificados puede realizarse MEJOR mediante cuál de los siguientes enfoques?. Diagramas de árbol. Diagramas de Venn. Mapas de calor. Gráficos de barras.

¿Cuáles dos componentes deben evaluarse PRINCIPALMENTE en un análisis de riesgos efectivo?. Visibilidad y duración. Probabilidad e impacto. Probabilidad y frecuencia. Impacto financiero y duración.

Los gerentes de seguridad de la información deben utilizar técnicas de evaluación de riesgos para: Justificar la selección de estrategias de mitigación de riesgos. Maximizar el retorno de inversión. Proporcionar documentación para auditores y reguladores. Cuantificar riesgos que de otro modo serían subjetivos.

¿Qué es lo MÁS esencial al evaluar riesgos?. Proporcionar cobertura igual para todos los tipos de activos. Comparar datos con empresas similares. Considerar tanto el valor monetario como la probabilidad de pérdida. Enfocarse en amenazas y pérdidas pasadas válidas.

Un gerente de seguridad de la información recibe un informe que muestra un aumento en el número de eventos de seguridad. La explicación MÁS probable es: Explotación de una vulnerabilidad en el sistema de información. Actores de amenaza dirigidos a la empresa en mayor número. Falla de controles detectores previamente implementados. Aprobación de una nueva excepción a la gestión de incumplimiento.

Para resaltar a la gerencia la importancia de integrar la seguridad de la información en los procesos empresariales, un oficial de seguridad de la información recién contratado debería PRIMERO: Preparar un presupuesto de seguridad. Realizar una evaluación de riesgos. Desarrollar una política de seguridad de la información. Obtener información de referencia.

Al realizar un análisis de riesgos cuantitativo, ¿qué es lo MÁS importante para estimar la pérdida potencial?. Evaluar pérdidas de productividad. Analizar el impacto de la divulgación de datos confidenciales. Calcular el valor de la información o activo. Medir la probabilidad de ocurrencia de cada amenaza.

¿Cuál es el OBJETIVO PRINCIPAL de un programa de gestión de riesgos?. Minimizar el riesgo inherente. Eliminar el riesgo empresarial. Implementar controles efectivos. Lograr un riesgo aceptable.

¿Cuál de las siguientes opciones representa el MEJOR atributo de los indicadores clave de riesgo?. Alta flexibilidad y adaptabilidad. Metodologías y prácticas consistentes. Solidez y resiliencia. Relación costo-beneficio.

¿Cuál es el PRIMER paso para realizar un análisis de riesgos de información?. Establecer la propiedad de los activos. Evaluar riesgos a los activos. Tomar inventario de activos. Categorizar activos.

Se ha completado una evaluación de riesgos y un análisis de impacto en el negocio (BIA) para una compra importante propuesta y un nuevo proceso para una empresa. Hay desacuerdo entre el gerente de seguridad de la información y el gerente del departamento de negocio sobre quién será responsable de evaluar los resultados y los riesgos identificados. ¿Cuál sería el MEJOR enfoque del gerente de seguridad de la información?. Aceptar la decisión del gerente de negocio sobre el riesgo para la empresa. Aceptar la decisión del gerente de seguridad de la información sobre el riesgo para la empresa. Revisar la evaluación de riesgos con la alta dirección para obtener su opinión final. Crear una nueva evaluación de riesgos y BIA para resolver el desacuerdo.

¿Qué es lo MÁS esencial para que un programa de gestión de riesgos sea efectivo?. Presupuesto de seguridad flexible. Referencia sólida. Detección de nuevos riesgos. Informes precisos.

¿Cuál de las siguientes métricas proporcionará la MEJOR indicación del riesgo organizacional?. Expectativa anual de pérdida. El número de incidentes de seguridad de la información. La magnitud de las interrupciones empresariales no planificadas. El número de vulnerabilidades de alto impacto.

¿Cuál de los siguientes es un indicador de gobernanza efectiva?. Arquitectura de seguridad de la información definida. Cumplimiento de normas internacionales de seguridad. Auditorías externas periódicas. Un programa de gestión de riesgos establecido.

Las evaluaciones de riesgo deben repetirse a intervalos regulares porque: Las amenazas empresariales cambian constantemente. Se pueden corregir omisiones en evaluaciones anteriores. Las evaluaciones repetitivas permiten usar varias metodologías. Ayudan a aumentar la conciencia de seguridad en la empresa.

¿Cuál de los siguientes pasos al realizar una evaluación de riesgos debe realizarse PRIMERO?. Identificar activos del negocio. Identificar riesgos del negocio. Evaluar vulnerabilidades. Evaluar controles clave.

¿Cuál es una expectativa razonable de un programa de gestión de riesgos?. Elimina todo el riesgo inherente. Mantiene el riesgo residual en un nivel aceptable. Implementa controles preventivos para cada amenaza. Reduce a cero el riesgo de control.

¿En qué fase del proceso de desarrollo se debe introducir la evaluación de riesgos PRIMERO?. Programación. Especificación. Pruebas de usuario. Factibilidad.

Al realizar una evaluación inicial de vulnerabilidades técnicas, ¿cuál de las siguientes opciones debe recibir mayor prioridad?. Sistemas que afectan el cumplimiento legal o regulatorio. Sistemas o aplicaciones de cara al exterior. Recursos sujetos a contratos de desempeño. Sistemas cubiertos por seguro de interrupción del negocio.

¿Por qué una empresa podría decidir no tomar ninguna medida sobre una vulnerabilidad de denegación de servicio identificada por el equipo de evaluación de riesgos?. Existen suficientes salvaguardas para neutralizar el riesgo. Las contramedidas necesarias son demasiado complicadas de implementar. El costo de las contramedidas supera el valor del activo y la pérdida potencial. La probabilidad de que ocurra el riesgo es desconocida.

¿Cuál de las siguientes opciones sería el indicador clave de riesgo MÁS significativo?. Una desviación en la rotación de empleados. El número de paquetes descartados por el firewall. El número de virus detectados. La relación jerárquica del departamento de TI.

¿Cuál es el PROPÓSITO PRINCIPAL de usar el análisis de riesgos dentro de un programa de seguridad?. El análisis de riesgos ayuda a justificar el gasto en seguridad. El análisis de riesgos ayuda a priorizar los activos a proteger. El análisis de riesgos ayuda a informar a la alta dirección sobre riesgos residuales. El análisis de riesgos ayuda a evaluar exposiciones y planificar la remediación.

Una autoridad reguladora acaba de introducir una nueva normativa sobre la publicación de resultados financieros trimestrales. La PRIMERA tarea que debe realizar el oficial de seguridad es: Identificar si los controles actuales son adecuados. Comunicar el nuevo requisito a auditoría. Implementar los requerimientos de la nueva regulación. Realizar un análisis costo-beneficio de implementar el control.

Una institución de banca en línea está preocupada de que una violación de información personal de clientes tenga un impacto financiero significativo debido a la necesidad de notificar y compensar a los clientes afectados. La institución determina que el riesgo residual siempre será demasiado alto y decide: Mitigar el impacto comprando un seguro. Implementar un firewall a nivel de circuito para proteger la red. Aumentar la resiliencia de las medidas de seguridad existentes. Implementar un sistema de detección de intrusiones en tiempo real.

¿Qué mecanismo debe usarse para identificar deficiencias que brindarían a los atacantes una oportunidad para comprometer un sistema informático?. Análisis de impacto en el negocio. Análisis de brechas de seguridad. Métricas de desempeño del sistema. Procesos de respuesta a incidentes.

¿Cuál de los siguientes riesgos sería MÁS probable que se pase por alto en una revisión de seguridad de un proveedor externo durante una inspección in situ?. Diferencias culturales. Habilidades técnicas. Defensa en profundidad. Políticas adecuadas.

¿Cuál de los siguientes respalda MEJOR la mejora continua del proceso de gestión de riesgos?. Revisión regular de opciones de tratamiento de riesgos. Clasificación de activos según criticidad. Adopción de un modelo de madurez. Integración de funciones de aseguramiento.

Los atacantes que explotan vulnerabilidades de cross-site scripting se aprovechan de: Falta de controles adecuados de validación de entradas. Controles de autenticación débiles en la capa de la aplicación web. Implementaciones criptográficas defectuosas de SSL y claves cortas. Relaciones implícitas de confianza en la aplicación web.

¿Cuál de las siguientes opciones abordaría MEJOR el riesgo de fuga de datos?. Procedimientos de respaldo de archivos. Verificaciones de integridad de bases de datos. Políticas de uso aceptable. Procedimientos de respuesta a incidentes.

¿Cuál de las siguientes influencias internas o externas en una empresa es la MÁS difícil de estimar?. Postura de vulnerabilidad. Requisitos de cumplimiento. Gastos de externalización. Paisaje de amenazas.

Se contrató a un tercero para desarrollar una aplicación empresarial. ¿Cuál es la MEJOR prueba para detectar la existencia de puertas traseras?. Monitoreo del sistema para tráfico en puertos de red. Revisión de código de seguridad para toda la aplicación. Ingeniería inversa de los binarios de la aplicación. Ejecutar la aplicación desde una cuenta con privilegios altos en un sistema de prueba.

El servidor de correo de una empresa permite acceso anónimo a FTP, lo que podría ser explotado. ¿Qué proceso debe implementar el gerente de seguridad de la información para determinar la necesidad de acción correctiva?. Prueba de penetración. Revisión de línea base de seguridad. Evaluación de riesgos. Análisis de impacto en el negocio.

¿Cuál de las siguientes medidas sería la MÁS efectiva contra amenazas internas a información confidencial?. Control de acceso basado en roles. Monitoreo de auditoría. Política de privacidad. Defensa en profundidad.

Después de un estudio de evaluación de riesgos, un banco con operaciones globales decidió continuar negocios en regiones donde el robo de identidad es frecuente. El gerente de seguridad de la información debería alentar al negocio a: Aumentar los esfuerzos de concienciación de los clientes en esas regiones. Implementar técnicas de monitoreo para detectar y reaccionar ante fraude potencial. Externalizar el procesamiento de tarjetas de crédito a un tercero. Hacer responsable al cliente de pérdidas si no sigue los consejos del banco.

Una empresa planea externalizar su gestión de relaciones con clientes a un proveedor externo. ¿Qué debe hacer la empresa PRIMERO?. Solicitar que el proveedor realice verificaciones de antecedentes a sus empleados. Realizar una evaluación interna de riesgos para determinar controles necesarios. Auditar al proveedor para evaluar sus controles de seguridad. Realizar una evaluación de seguridad para detectar vulnerabilidades.

¿Cuál es la causa raíz de un ataque exitoso de falsificación de solicitud en sitios cruzados (XSRF)?. La aplicación utiliza múltiples redirecciones para completar transacciones de envío de datos. La aplicación ha implementado cookies como único mecanismo de autenticación. La aplicación se ha instalado con una clave de licencia no legítima. La aplicación se aloja en un servidor junto con otras aplicaciones.

¿Cuál es la consideración MÁS importante al realizar una evaluación de riesgos?. El apoyo de la gerencia a los esfuerzos de mitigación de riesgos. Se han calculado expectativas de pérdida anual para activos críticos. Los activos han sido identificados y valorados adecuadamente. Se entienden los motivos, medios y oportunidades de los ataques.

¿En qué momento debería realizarse la evaluación de riesgos de un nuevo proceso para determinar los controles adecuados? Debería realizarse: Solo al inicio y al final del nuevo proceso. A lo largo de todo el ciclo de vida del proceso. Inmediatamente después de aprobarse el caso de negocio del proceso. Antes de aprobar las especificaciones del nuevo proceso.

¿Cuál es la MEJOR estrategia para la gerencia?. Lograr un equilibrio entre los objetivos organizacionales. Reducir el nivel de riesgo aceptable. Asegurar que el desarrollo de políticas considere los riesgos organizacionales. Asegurar que los riesgos no mitigados sean aceptados por la gerencia.

¿Cuál de los siguientes factores es el MÁS importante a considerar en la pérdida de equipos móviles con datos no cifrados?. Divulgación de información personal. Cobertura suficiente de la póliza de seguro por pérdidas accidentales. Impacto potencial de la pérdida de datos. Costo de reemplazo del equipo.

Una institución financiera planea asignar recursos de seguridad de la información a cada una de sus divisiones de negocio. ¿En qué áreas deberían centrarse las actividades de seguridad?. Áreas donde se aplican estrictos requisitos regulatorios. Áreas que requieren el tiempo de recuperación más corto (RTO). Áreas que pueden maximizar el retorno de inversión en seguridad. Áreas donde la probabilidad e impacto de amenazas son mayores.

¿Cuál de los siguientes sería MÁS relevante incluir en un análisis costo-beneficio de un sistema de autenticación de dos factores?. Expectativa anual de pérdidas por incidentes. Frecuencia de incidentes. Costo total de propiedad. Presupuesto aprobado del proyecto.

Se informa de una vulnerabilidad grave en el software de firewall usado por la empresa. ¿Cuál debería ser la acción inmediata del gerente de seguridad de la información?. Asegurarse de que todos los parches del sistema operativo estén actualizados. Bloquear el tráfico entrante hasta encontrar una solución adecuada. Obtener orientación del fabricante del firewall. Encargar una prueba de penetración.

De los siguientes, ¿qué espera identificar una evaluación de vulnerabilidad de red?. Vulnerabilidades de día cero. Software malicioso y spyware. Fallas en el diseño de seguridad. Configuraciones incorrectas y actualizaciones faltantes.

Cuando se descubre una vulnerabilidad grave en la seguridad de un servidor web crítico, se debe notificar de inmediato a: Propietario del sistema para tomar acciones correctivas. Equipo de respuesta a incidentes para investigar. Propietarios de datos para mitigar daños. Departamento legal para remediar.

Después de una evaluación de riesgos, se determina que el costo de mitigar el riesgo es mucho mayor que el beneficio que se obtendría. El gerente de seguridad de la información debería recomendar a la gerencia de negocios que el riesgo sea: Transferido. Tratado. Aceptado. Terminado.

¿Cuál de los siguientes representa el MAYOR riesgo de seguridad de la información?. Actualización diaria de archivos de firmas de virus en servidores. Revisión de registros de acceso a seguridad cada cinco días hábiles. Aplicación de parches críticos dentro de las 24 horas de su lanzamiento. Investigación de incidentes de seguridad dentro de cinco días hábiles.

¿Qué es lo MÁS importante en un entorno cliente-servidor de middleware?. Se previene el parcheo del servidor. Se afectan las copias de seguridad del sistema. Se afecta la integridad de los datos. Se secuestran sesiones de usuarios finales.

¿Qué mecanismo de seguridad es MÁS efectivo para proteger datos clasificados que han sido cifrados para prevenir su divulgación y transmisión fuera de la red de la empresa?. Configuración de firewalls. Fortaleza de los algoritmos de cifrado. Autenticación dentro de la aplicación. Salvaguardas sobre las llaves de cifrado.

¿Qué actividad debe realizar primero la gestión de seguridad de la información al evaluar el impacto potencial de nueva legislación de privacidad en la empresa?. Desarrollar un plan operativo para cumplir con la legislación. Identificar sistemas y procesos que contengan componentes de privacidad. Restringir la recolección de información personal hasta cumplir con la legislación. Identificar legislación de privacidad en otros países que contenga requisitos similares.

¿Cuándo deben realizarse las evaluaciones de riesgo para una efectividad óptima?. Al inicio del desarrollo del programa de seguridad. De manera continua. Al desarrollar casos de uso para el programa de seguridad. Durante el proceso de gestión del cambio del negocio.

Hay un retraso entre el momento en que se publica una vulnerabilidad de seguridad y cuando se entrega un parche. ¿Qué debe hacerse primero para mitigar el riesgo durante este período?. Identificar los sistemas vulnerables y aplicar controles compensatorios. Minimizar el uso de sistemas vulnerables. Comunicar la vulnerabilidad a los usuarios del sistema. Actualizar la base de firmas del sistema de detección de intrusos.

¿Qué técnica indica MÁS claramente si se deben implementar controles específicos de reducción de riesgos?. Análisis costo-beneficio. Pruebas de penetración. Programas frecuentes de evaluación de riesgos. Cálculo de expectativa de pérdida anual.

¿Cuál de los siguientes es la PRINCIPAL razón para realizar evaluaciones de riesgo de forma continua?. El presupuesto de seguridad debe ser justificado continuamente. Se descubren nuevas vulnerabilidades todos los días. El entorno de riesgo está en constante cambio. La gerencia necesita estar continuamente informada sobre riesgos emergentes.

La razón MÁS importante por la cual los sistemas de detección de intrusiones basados en anomalías estadísticas (IDS estadísticos) se usan menos que los IDS basados en firmas es que los IDS estadísticos: Generan más carga que los IDS basados en firmas. Provocan falsos positivos por cambios menores en variables del sistema. Generan falsas alarmas por variaciones en acciones de usuarios o sistemas. No pueden detectar nuevos tipos de ataques.

La PRINCIPAL razón para clasificar los recursos de información según sensibilidad y criticidad es: Determinar la inclusión del recurso de información en el programa de seguridad de la información. Definir el nivel apropiado de controles de acceso. Justificar los costos de cada recurso de información. Determinar el presupuesto total del programa de seguridad de la información.

Al realizar un análisis de riesgo cualitativo, ¿cuál de los siguientes producirá los resultados MÁS confiables?. Pérdidas estimadas de productividad. Posibles escenarios con amenazas e impactos. Valor de los activos de información. Evaluación de vulnerabilidades.

¿Cuál de los siguientes es el MÉTODO MÁS EFECTIVO para asegurar la efectividad general de un programa de gestión de riesgos?. Evaluaciones de usuarios sobre los cambios. Comparación de los resultados del programa con estándares de la industria. Asignación de riesgos dentro de la empresa. Participación de todos los miembros de la empresa.

El uso MÁS efectivo de un registro de riesgos es: Identificar riesgos y asignar roles y responsabilidades para mitigación. Identificar amenazas y probabilidades. Facilitar una revisión exhaustiva de todos los riesgos relacionados con TI de manera periódica. Registrar el monto financiero anualizado de pérdidas esperadas por riesgo.

¿Cuál de los siguientes controles es MÁS efectivo para proporcionar seguridad razonable de cumplimiento de acceso físico a una sala de servidores no atendida controlada con dispositivos biométricos?. Revisión regular de las listas de control de acceso. Acompañamiento de visitantes por un guardia de seguridad. Registro de visitantes en la puerta. Biometría combinada con número de identificación personal.

¿Cuál es la manera MÁS efectiva de tratar un riesgo como un desastre natural, que tiene baja probabilidad pero alto impacto?. Implementar contramedidas. Eliminar el riesgo. Transferir el riesgo. Aceptar el riesgo.

¿Qué actividad debe realizarse para riesgos previamente aceptados?. Los riesgos deben ser reevaluados periódicamente porque cambian con el tiempo. Los riesgos aceptados deben ser señalados para evitar futuros esfuerzos de reevaluación. Se debe evitar el riesgo la próxima vez para optimizar el perfil de riesgo. Los riesgos deben eliminarse del registro después de ser aceptados.

Un gerente de seguridad de la información es informado por contactos en la policía que hay evidencia de que la empresa es objetivo de un grupo de hackers experimentados que usan diversas técnicas, incluyendo ingeniería social y penetración de redes. El PRIMER paso que el gerente debe tomar es: Realizar una evaluación completa de la exposición de la empresa a técnicas de hackers. Iniciar capacitación de concientización para contrarrestar la ingeniería social. Informar inmediatamente a la alta dirección sobre los riesgos elevados. Aumentar actividades de monitoreo para detección temprana de intrusiones.

¿Cuál de los siguientes controles PREVIENE MEJOR un apagado accidental del sistema en un área de operaciones de consola?. Fuentes de alimentación redundantes. Cubiertas protectoras para interruptores. Alarmas de apagado. Lectores biométricos.

¿Cuál es la manera MÁS efectiva de asegurar que los usuarios de la red sean conscientes de su responsabilidad de cumplir con los requisitos de seguridad de la empresa?. Banners de inicio de sesión mostrados en cada acceso. Correos electrónicos periódicos relacionados con seguridad. Un sitio web interno (intranet) para seguridad de la información. Distribución de la política de seguridad de la información.

¿Cuál es la acción MÁS importante antes de que un tercero realice una prueba de ataque y penetración contra una empresa?. Asegurarse de que el tercero proporcione una demostración en un sistema de prueba. Asegurarse de que los objetivos y metas estén claramente definidos. Asegurarse de que el personal técnico haya sido informado sobre qué esperar. Asegurarse de que se realicen copias de seguridad especiales de los servidores de producción.

¿Cuál es la MEJOR acción a realizar cuando un sistema departamental continúa incumpliendo el requisito de fortaleza de contraseñas de la política de seguridad de la información?. Enviar el problema al comité directivo. Realizar una evaluación de riesgos para cuantificar el riesgo. Aislar el sistema del resto de la red. Solicitar una exención de aceptación de riesgo a la alta gerencia.

¿Cuál de los siguientes entornos representa el MAYOR riesgo para la seguridad organizacional?. Servidor de archivos gestionado localmente. Almacén de datos empresarial. Cluster de servidores web balanceados. Switch de datos gestionado centralmente.

¿Cuál de los siguientes representa la MAYOR amenaza para la seguridad de un sistema de planificación de recursos empresariales (ERP)?. No se registran los informes ad hoc de los usuarios. El tráfico de red pasa por un solo switch. No se han aplicado parches de seguridad del sistema operativo. La seguridad de la base de datos utiliza configuraciones predeterminadas del ERP.

El retorno de inversión de la seguridad de la información puede evaluarse MEJOR a través de cuál de los siguientes?. Apoyo a los objetivos empresariales. Métricas de seguridad. Entregables de seguridad. Modelos de mejora de procesos.

Una empresa está trasladando sus operaciones de TI a una ubicación offshore. Un gerente de seguridad de la información debería centrarse PRINCIPALMENTE en: Revisar nuevas leyes y regulaciones. Actualizar procedimientos operativos. Validar las calificaciones del personal. Realizar una evaluación de riesgos.

¿Cuál de las siguientes funciones empresariales es la más probable para que la integración de la seguridad de la información resulte en que el riesgo se aborde como parte estándar del procesamiento de producción?. Aseguramiento de calidad. Adquisiciones. Cumplimiento. Gestión de proyectos.

El uso de seguros es un ejemplo de cuál de los siguientes?. Mitigación de riesgos. Aceptación de riesgos. Eliminación de riesgos. Transferencia de riesgos.

Después de determinar el riesgo residual, la empresa debería A CONTINUACIÓN: Transferir el riesgo restante a un tercero. Adquirir un seguro contra los efectos del riesgo residual. Validar que el riesgo residual es aceptable. Documentar formalmente y aceptar el riesgo residual.

Un gerente de seguridad de la información está realizando una revisión de seguridad y determina que no todos los empleados cumplen con la política de control de acceso del centro de datos. El PRIMER paso para abordar este problema debería ser: Evaluar el riesgo de incumplimiento. Iniciar capacitación en concienciación de seguridad. Preparar un informe de estado para la gerencia. Aumentar la aplicación del cumplimiento.

¿Cómo ayuda el conocimiento del apetito de riesgo a aumentar la efectividad de los controles de seguridad?. Ayuda a obtener el apoyo requerido de la alta gerencia para la estrategia de información. Proporciona una base para redistribuir recursos y mitigar riesgos por encima del apetito. Requiere monitoreo continuo porque todo el entorno está en constante cambio. Facilita la comunicación con la gerencia sobre la importancia de la seguridad.

Una unidad de negocio pretende desplegar una nueva tecnología de manera que viole los estándares existentes de seguridad de la información. ¿Qué acción inmediata debería tomar un gerente de seguridad de la información?. Hacer cumplir el estándar de seguridad existente. Cambiar el estándar para permitir el despliegue. Realizar un análisis de riesgos para cuantificar el riesgo. Investigar para proponer el uso de una mejor tecnología.

El registro de eventos es un ejemplo de qué tipo de defensa contra la compromisión de sistemas?. Contención. Detección. Reacción. Recuperación.

Cuando un cambio de sistema propuesto viola un estándar de seguridad existente, el conflicto se resolvería MEJOR mediante: Calcular el riesgo. Hacer cumplir el estándar de seguridad. Rediseñar el cambio del sistema. Implementar controles mitigantes.

Una revisión interna de un sistema de aplicación web revela que es posible acceder a todas las cuentas de los empleados cambiando el ID del empleado usado para acceder a la cuenta en la URL. La vulnerabilidad identificada es: Autenticación rota. Entrada no validada. Cross-site scripting. Inyección de SQL.

¿Cuál es el método MÁS rentable para identificar nuevas vulnerabilidades de proveedores?. Fuentes externas de informes de vulnerabilidad. Evaluaciones periódicas de vulnerabilidad realizadas por consultores. Software de prevención de intrusiones. Honeypots ubicados en la zona desmilitarizada (DMZ).

¿Cuál es la MEJOR manera de evaluar el riesgo agregado derivado de una cadena de vulnerabilidades vinculadas en los sistemas?. Escaneos de vulnerabilidad. Pruebas de penetración. Revisiones de código. Auditorías de seguridad.

Una empresa se ha enterado de una brecha de seguridad en otra compañía que utiliza tecnología similar. Lo PRIMERO que debe hacer el gerente de seguridad de la información es: Evaluar la probabilidad de incidentes derivados de la causa reportada. Interrumpir el uso de la tecnología vulnerable. Informar a la alta gerencia que la empresa no se ve afectada. Recordar al personal que no se han producido brechas de seguridad similares.

Al introducir tecnología de computación en nube pública al negocio, ¿cuál de las siguientes situaciones sería una PREOCUPACIÓN MAYOR?. Incremento de costos operativos debido a expansión de escala. Dificultad para identificar al originador de transacciones comerciales. Falta de conocimiento sobre escenarios de riesgo que deben incluirse en el perfil de riesgo. Aumento de la probabilidad de ataques para explotar vulnerabilidades.

¿Cuál es una salida típica de una evaluación de riesgos?. Lista de controles apropiados para reducir o eliminar el riesgo. Amenazas documentadas para la empresa. Evaluación de riesgos inherentes a la entidad. Inventario de riesgos que impactan a la empresa.

Para mejorar la exactitud, ¿cuál de las siguientes es la acción MÁS importante para tener en cuenta la naturaleza subjetiva de la evaluación de riesgos?. Capacitar o calibrar al evaluador. Usar solo enfoques estandarizados. Asegurar la imparcialidad del evaluador. Usar múltiples métodos de análisis.

Los sistemas de TI estrechamente integrados son MÁS propensos a ser afectados por. Riesgo agregado. Riesgo sistémico. Riesgo operativo. Riesgo en cascada.

Las evaluaciones de riesgo de seguridad son MÁS rentables para una empresa de desarrollo de software cuando se realizan: Antes de que comience el desarrollo del sistema. En el despliegue del sistema. Antes de desarrollar un caso de negocio. En cada etapa del ciclo de vida del desarrollo del sistema.

¿Cuál de los siguientes es el MEJOR indicador cuantitativo del apetito de riesgo actual de una empresa?. El número de incidentes y las actividades de mitigación subsecuentes. El número, tipo y capas de tecnologías de control disuasorias. El alcance de los requisitos de gestión de riesgos en políticas y estándares. La relación entre el costo y la cobertura de seguro para la protección contra interrupciones del negocio.

El valor en riesgo (VaR) puede usarse: Como un enfoque cualitativo para evaluar el riesgo. Para determinar la pérdida máxima probable durante un período de tiempo. Para análisis de riesgo aplicable solo a empresas financieras. Como una herramienta útil para acelerar el proceso de evaluación.

¿Cuál es la razón MÁS importante para incluir una evaluación efectiva de amenazas y vulnerabilidades en el proceso de gestión de cambios?. Para reducir la necesidad de evaluaciones completas periódicas. Para asegurar que seguridad de la información esté al tanto de los cambios. Para asegurar que las políticas se modifiquen para abordar nuevas amenazas. Para mantener el cumplimiento regulatorio.

El hecho de que una empresa sufra una interrupción significativa como resultado de un ataque de denegación de servicio distribuido (DDoS) se considera: Riesgo intrínseco. Riesgo sistémico. Riesgo residual. Riesgo operativo.

¿Cuál de los siguientes factores de una evaluación de riesgos típicamente implica la mayor cantidad de especulación?. Exposición. Impacto. Vulnerabilidad. Probabilidad.

¿En qué circunstancias es MÁS apropiado reducir la intensidad de los controles?. El riesgo evaluado está por debajo de los niveles aceptables. No se puede determinar el riesgo. El costo del control es alto. El control no es efectivo.

Abordar el riesgo en varias etapas del ciclo de vida se APOYA MEJOR mediante: Gestión de cambios. Gestión de liberaciones. Gestión de incidentes. Gestión de configuración.

La razón PRINCIPAL para considerar la seguridad de la información durante la primera etapa del ciclo de vida de un proyecto es: El costo de la seguridad es mayor en etapas posteriores. La seguridad de la información puede afectar la viabilidad del proyecto. La seguridad de la información es esencial para la aprobación del proyecto. Garantizar la clasificación adecuada del proyecto.

El director de seguridad de la información (CISO) ha recomendado varios controles de información (como antivirus) para proteger los sistemas de la empresa. ¿Cuál de las siguientes opciones de tratamiento de riesgos está recomendando el CISO?. Transferencia de riesgo. Mitigación de riesgo. Aceptación de riesgo. Evitación de riesgo.

Las políticas de seguridad de la información de una empresa requieren que toda la información confidencial se cifre al comunicarse con entidades externas. Una agencia reguladora insistió en que un informe de cumplimiento debe enviarse sin cifrado. El gerente de seguridad de la información debe: Extender el programa de concienciación sobre seguridad de la información a empleados de la autoridad reguladora. Enviar el informe sin cifrado bajo la autoridad de la agencia reguladora. Iniciar un proceso de excepción para enviar el informe sin cifrado. Negarse a enviar el informe sin cifrado.

El MEJOR proceso para evaluar un nivel de riesgo existente es: Un análisis de impacto. Una revisión de seguridad. Una evaluación de vulnerabilidades. Un análisis de amenazas.

Se realiza un análisis costo-beneficio de cualquier control propuesto para: Definir limitaciones presupuestarias. Demostrar la debida diligencia ante el comité presupuestario. Verificar que el costo de implementar el control esté dentro del presupuesto de seguridad. Demostrar que los costos están justificados por la reducción del riesgo.

¿Cuál de estas opciones REVELA MEJOR la naturaleza evolutiva de los ataques en un entorno en línea?. Honeypot de alta interacción. Punto de acceso no autorizado. Grupos de seguimiento de la industria. Escáner de vulnerabilidades.

El gerente de seguridad de la información debe tratar los requisitos de cumplimiento regulatorio como: Mandato organizacional. Prioridad de gestión de riesgos. Cuestión puramente operativa. Solo otro riesgo.

La gerencia decidió que la empresa no cumplirá con un conjunto recientemente emitido de regulaciones. ¿Cuál es la razón MÁS probable de esta decisión?. Las regulaciones son ambiguas y difíciles de interpretar. La gerencia tiene un bajo nivel de tolerancia al riesgo. El costo del cumplimiento excede el costo de posibles sanciones. Las regulaciones son inconsistentes con la estrategia organizacional.

Las líneas base de control están MÁS directamente relacionadas con: El apetito de riesgo de la empresa. El panorama de amenazas externas. La efectividad de las opciones de mitigación. La evaluación de vulnerabilidades.

La razón MÁS probable por la que la gerencia elegiría no mitigar un riesgo que excede su apetito de riesgo es que: Es riesgo residual después de aplicar controles. Es un riesgo costoso de mitigar. Cae dentro de su nivel de tolerancia al riesgo. Es un riesgo de frecuencia relativamente baja.

¿Cuál de los siguientes es el MEJOR indicador del nivel de riesgo aceptable en una empresa?. La proporción de riesgo identificado que ha sido mitigado. La relación entre la cobertura de seguro empresarial y su costo. El porcentaje del presupuesto de TI asignado a seguridad. El porcentaje de activos que han sido clasificados.

¿Cuál de los siguientes ASISTE MEJOR al gerente de seguridad de la información en la identificación de nuevas amenazas a la seguridad de la información?. Realizar revisiones más frecuentes de los factores de riesgo de la empresa. Desarrollar escenarios de riesgo de seguridad de la información más realistas. Comprender el flujo y la clasificación de la información utilizada por la empresa. Un proceso para monitorear los informes de revisión posterior a incidentes preparados por el personal de TI.

Los sistemas de TI empresariales altamente integrados representan un desafío para el gerente de seguridad de la información al intentar establecer líneas base de seguridad PRINCIPALMENTE desde la perspectiva de: Mayor dificultad en la gestión de problemas. Complejidad añadida en la gestión de incidentes. Determinar el impacto del riesgo en cascada. Menor flexibilidad al establecer objetivos de entrega de servicios.

Las vulnerabilidades descubiertas durante una evaluación deben ser: Tratadas como un riesgo, incluso si no hay amenaza. Priorizadas para mitigación únicamente según el impacto. Una base para analizar la efectividad de los controles. Evaluadas considerando amenaza, impacto y costo de mitigación.

¿Cuál de las siguientes acciones debe tomar PRIMERO el gerente de seguridad de la información al encontrar que los controles actuales no son suficientes para prevenir una compromisión grave?. Fortalecer los controles existentes. Reevaluar el riesgo. Establecer nuevos objetivos de control. Modificar las líneas base de seguridad.

¿Cuál de los siguientes enfoques es MEJOR para abordar los requisitos regulatorios?. Tratar el cumplimiento regulatorio como cualquier otro riesgo. Asegurar que las políticas aborden los requisitos regulatorios. Hacer que el cumplimiento regulatorio sea obligatorio. Obtener seguro para incumplimiento.

¿Cuál es una ventaja PRINCIPAL de realizar una evaluación de riesgos de manera consistente?. Reduce los costos de evaluar riesgos. Proporciona evidencia para auditorías. Es parte necesaria de auditorías de terceros. Identifica tendencias en el perfil de riesgo en evolución.

Una nueva regulación para proteger información procesada por un tipo específico de transacción ha llegado a la atención de un oficial de seguridad de la información. El oficial debe PRIMERO: Reunirse con las partes interesadas para decidir cómo cumplir. Analizar riesgos clave en el proceso de cumplimiento. Evaluar si los controles existentes cumplen con la regulación. Actualizar la política de seguridad/privacidad existente.

¿Cuáles son los elementos esenciales del riesgo?. Impacto y amenaza. Probabilidad e impacto. Amenaza y exposición. Sensibilidad y exposición.

El monitoreo ha señalado un incumplimiento de seguridad. ¿Cuál es la acción MÁS apropiada?. Validar el incumplimiento. Escalar el incumplimiento a la gerencia. Actualizar el registro de riesgos. Ajustar el umbral del indicador clave de riesgo.

¿Cuál de los siguientes componentes se establece durante los PASOS INICIALES del desarrollo de un programa de gestión de riesgos?. Aceptación y apoyo de la gerencia. Políticas y normas de seguridad de la información. Un comité de gestión para supervisar el programa. El contexto y propósito del programa.

Como parte del desarrollo del sistema, ¿cómo deben las empresas determinar qué elemento—confidencialidad, integridad o disponibilidad—requiere la MAYOR protección?. Debe basarse en la amenaza a cada elemento. La disponibilidad es lo más importante. Debe basarse en la probabilidad e impacto si cada elemento se ve comprometido. Todos los elementos son igualmente importantes.

¿Cuál de los siguientes enfoques sería MEJOR para abordar vulnerabilidades significativas del sistema descubiertas durante un escaneo de red?. Todas las vulnerabilidades significativas deben mitigarse de manera oportuna. El tratamiento debe basarse en amenaza, impacto y costo. Se deben implementar controles compensatorios para vulnerabilidades mayores. Se deben proponer opciones de mitigación para aprobación de la gerencia.

El gerente de seguridad de la información ha determinado que un riesgo excede el apetito de riesgo, pero no lo mitiga. ¿Cuál es la razón MÁS probable por la que la gerencia consideraría apropiada esta acción?. El riesgo es residual después de aplicar controles. El riesgo es costoso de mitigar. El riesgo cae dentro del nivel de tolerancia. El riesgo es de frecuencia relativamente baja.

¿Por qué el análisis de riesgos debe incluir la consideración del impacto potencial?. El impacto potencial es el elemento central del riesgo. El impacto potencial está relacionado con el valor del activo. El impacto potencial afecta el alcance de la mitigación. El impacto potencial ayuda a determinar la exposición.

Para ser efectiva, la gestión de riesgos debe aplicarse a: Todas las actividades organizacionales. Elementos identificados por una evaluación de riesgos. Cualquier área que exceda niveles de riesgo aceptables. Solo áreas que tengan impacto potencial.

Ante numerosos escenarios de riesgo, la priorización de las opciones de tratamiento será MÁS efectiva si se basa en: Existencia de amenazas y vulnerabilidades identificadas. Probabilidad de compromiso y impacto subsecuente. Resultados de escaneos de vulnerabilidad y costo de mitigación. Exposición de activos corporativos y riesgo operacional.

¿Cuál de los siguientes elementos determina el nivel aceptable de riesgo residual en una empresa?. Discreción de la gerencia. Requisitos regulatorios. Riesgo inherente. Hallazgos de auditoría interna.

Un proceso de gestión de riesgos es MÁS efectivo para lograr los objetivos organizacionales si: Los propietarios de activos realizan evaluaciones de riesgos. El registro de riesgos se actualiza regularmente. El proceso es supervisado por un comité directivo. Las actividades de riesgo se integran en los procesos de negocio.

Reducir la exposición de un activo crítico es una medida de mitigación efectiva porque reduce: El impacto de la compromisión. La probabilidad de ser explotado. La vulnerabilidad del activo. El tiempo necesario para recuperación.

¿Cuál es el objetivo de la agregación de riesgos?. Combinar elementos homogéneos para reducir el riesgo general. Influir en las metodologías de aceptación de riesgo de la empresa. Agrupar eventos individuales de riesgo aceptable para simplificar el informe de riesgos. Identificar el riesgo general significativo de un solo vector de amenaza.

¿Cuál de las siguientes opciones tiene MÁS probabilidades de lograr una mitigación de riesgos rentable en toda la empresa?. Un director de riesgos. Evaluaciones de riesgo consistentes. Integración del proceso de aseguramiento. Niveles aceptables definidos.

Al considerar la extensión de los requisitos de protección, ¿cuál de las siguientes opciones sería la consideración MÁS importante que afecta a todas las demás?. Exposición. Amenaza. Vulnerabilidad. Magnitud.

¿Cuál de los siguientes aspectos debe entenderse antes de definir estrategias de gestión de riesgos?. Criterios de evaluación de riesgos. Objetivos organizacionales y apetito de riesgo. Complejidad de la arquitectura de TI. Planes de recuperación ante desastres de la empresa.

Los objetivos de control están MÁS estrechamente alineados con: Tolerancia al riesgo. Criticidad. Apetito de riesgo. Sensibilidad.

Determinar el nivel de esfuerzo necesario para cumplir objetivos de mejora específicos en la gestión de riesgos se puede determinar MEJOR usando cuál de las siguientes herramientas?. Un diagrama de flujo. Un diagrama de Gantt. Un análisis de brechas. Un cálculo de retorno de inversión.

¿Cuál de las siguientes opciones sería la MÁS útil para determinar las posibles consecuencias de un compromiso importante?. Evaluación de riesgos. Valoración de activos. Pruebas de penetración. Revisión arquitectónica.

¿Bajo qué circunstancias las buenas prácticas de seguridad de la información dictan una reevaluación completa del riesgo?. Después de un fallo material de control. Cuando evaluaciones regulares muestran riesgos no remediados. Tras instalar un sistema operativo actualizado. Después de iniciar cambios de emergencia.

La alta tolerancia al riesgo es un problema cuando: La empresa considera aceptable el riesgo alto. La incertidumbre mostrada por la evaluación es alta. El compromiso indicado es bajo. Está indicado por el análisis de impacto empresarial.

Una empresa ha identificado una amenaza importante a la que es vulnerable. ¿Cuál de las siguientes opciones es la MEJOR razón por la que la gerencia de seguridad de la información no se preocuparía por la remediación preventiva en estas circunstancias?. La vulnerabilidad está compartimentada. Existen procedimientos de respuesta a incidentes. Existen controles compensatorios en caso de impacto. La amenaza identificada solo se ha encontrado en otro continente.

Al descubrir que la falta de cumplimiento adecuado con un conjunto de normas representa un riesgo significativo, un gerente de seguridad de la información debería HACER PRIMERO: Revisar y modificar la política para abordar el riesgo. Crear un nuevo conjunto de directrices para reducir el riesgo. Aconsejar a la gerencia sobre el riesgo y sus posibles consecuencias. Determinar si las normas son consistentes con la política.

El nivel de riesgos aceptables puede medirse MEJOR mediante cuál de las siguientes opciones: Encuestar a los propietarios de procesos de negocio y gerentes senior. Determinar el porcentaje del presupuesto de TI asignado a seguridad. Determinar la proporción del costo del seguro de interrupción del negocio respecto a los ingresos totales. Medir la cantidad y gravedad de incidentes que afectan a la empresa.

¿En qué punto del proceso de gestión de riesgos se determina el riesgo residual?. Al evaluar los resultados de la aplicación de controles o contramedidas nuevas o existentes. Al identificar y clasificar los recursos de información o activos que necesitan protección. Al evaluar amenazas y consecuencias de un compromiso. Después de establecer los elementos de riesgo, al combinarlos para formar una visión general del riesgo.

¿Cuál de las siguientes opciones sería la MEJOR medida de la efectividad de una evaluación de riesgos?. El tiempo, frecuencia y costo de la evaluación. El alcance y gravedad de los riesgos recién descubiertos. El impacto potencial colectivo de los riesgos definidos. El porcentaje de incidentes previamente desconocidos.

Al realizar una evaluación de riesgos, ¿cuál de los siguientes elementos es el MÁS importante?. Consecuencias. Amenaza. Vulnerabilidad. Probabilidad.

¿Cuál de las siguientes actividades es el PRIMER paso para implementar un programa de traer su propio dispositivo (BYOD)?. Permitir o denegar acceso a dispositivos según su estado de aprobación. Realizar un proceso de evaluación riguroso antes de aprobar los dispositivos. Implementar un enfoque de planificar-hacer-verificar-actuar. Revisar y aprobar aplicaciones en la tienda de aplicaciones de la empresa.

La efectividad de la gestión del riesgo empresarial se mide MEJOR por el número de: Incidentes significativos relacionados con TI que no fueron identificados durante la evaluación de riesgos. Evaluaciones de seguridad conformes con normas y directrices organizacionales. Vulnerabilidades identificadas por la evaluación de riesgos y no mitigadas adecuadamente. Incidentes de seguridad que causan pérdidas financieras importantes o interrupciones en el negocio.

El PROPÓSITO PRINCIPAL de la evaluación de riesgos es: Proporcionar una base para seleccionar respuestas al riesgo. Asegurar que se implementen controles para mitigar riesgos. Proporcionar un medio para enfocar las actividades de evaluación. Asegurar que las respuestas al riesgo se alineen con los objetivos de control.

¿Cuál de las siguientes opciones es la BASE MÁS justificable para priorizar riesgos para tratamiento?. Costo y valor de activos. Frecuencia e impacto. Frecuencia y alcance. Costo y esfuerzo.

Cuando se revisó el resultado de la evaluación de riesgos, se encontró que la justificación para la calificación del riesgo variaba según el departamento. ¿Cuál de las siguientes opciones MEJORaría esta situación?. Aplicar criterios comunes de medición de riesgos a cada departamento. Introducir apetito y tolerancia al riesgo a nivel de política. Enfocarse más en la evaluación de riesgos cuantitativa. Implementar revisiones rutinarias por pares de los resultados de la evaluación de riesgos.

La gestión de riesgos debe abordarse como un programa o actividad regular y continua principalmente porque: Las personas cometen errores. La tecnología se vuelve obsoleta. El entorno cambia. Los estándares se actualizan o reemplazan.

El PROPÓSITO FINAL de la respuesta al riesgo es: Reducir costos. Disminuir vulnerabilidad. Minimizar amenazas. Controlar impacto.

¿Por qué una empresa podría racionalmente optar por mitigar un riesgo estimado por encima de su apetito de riesgo declarado, pero dentro de su tolerancia al riesgo?. La junta directiva puede insistir en que todo riesgo por encima del apetito sea mitigado. Los ejecutivos senior pueden preferir transferir el riesgo en lugar de aceptarlo formalmente. Puede haber presión de partes interesadas clave para evitar riesgos que superen el apetito. La alta gerencia puede preocuparse de que el impacto estimado esté subestimado.

La alta volatilidad de riesgos sería una base para que un gerente de seguridad de la información: Basar las medidas de mitigación únicamente en el impacto evaluado. Aumentar el nivel de riesgo evaluado y priorizar la remediación. Ignorar la volatilidad como irrelevante para el nivel de riesgo evaluado. Realizar otra evaluación para validar resultados.

Una empresa está considerando la compra de una nueva tecnología que facilitará mejores interacciones con clientes e integrará el sistema existente de gestión de relaciones con clientes. ¿Cuál es el riesgo PRINCIPAL que el gerente de seguridad de la información debe considerar relacionado con esta compra?. Que la nueva tecnología no entregue la funcionalidad prometida para soportar el negocio. La disponibilidad de soporte continuo para la tecnología y si el personal existente puede proporcionar dicho soporte. La posibilidad de que la nueva tecnología afecte la seguridad u operación de otros sistemas. El tiempo de inactividad necesario para reconfigurar el sistema existente e implementar e integrar la nueva tecnología.

¿Cuál de los siguientes describe MEJOR el resultado de una gestión de riesgos efectiva?. Permite a la empresa obtener una visión continua de las vulnerabilidades. Mide la viabilidad del compromiso de los sistemas y evalúa las consecuencias relacionadas. Determina la brecha entre controles y objetivos de control. Reduce la incidencia de impactos adversos significativos en la empresa.

¿Cuál sería el PRIMER paso para integrar efectivamente la gestión de riesgos en los procesos de negocio?. Análisis de flujo de trabajo. Análisis de impacto en el negocio. Evaluación de amenazas y vulnerabilidades. Análisis de la estructura de gobernanza.

¿Cuál es la BASE PRINCIPAL para la selección e implementación de productos para proteger la infraestructura de TI?. Requisitos regulatorios. Asesoramiento de expertos técnicos. Tecnología de última generación. Una evaluación de riesgos.

¿Cuál es la MEJOR resolución cuando un estándar de seguridad entra en conflicto con un objetivo de negocio?. Cambiar el estándar de seguridad. Cambiar el objetivo de negocio. Realizar un análisis de riesgos. Autorizar una aceptación de riesgo.

¿Cuál es la PRINCIPAL deficiencia de usar la expectativa de pérdida anual (ALE) para predecir la magnitud anual de pérdidas?. Se basa al menos en alguna información subjetiva. El proceso general y los cálculos consumen mucho tiempo. El uso efectivo del enfoque requiere capacitación especializada. El enfoque no está reconocido por normas internacionales.

Una vez definido el objetivo de realizar una revisión de seguridad, el SIGUIENTE paso para el gerente de seguridad de la información es determinar: Restricciones. Enfoque. Alcance. Resultados.

La adquisición de nuevos sistemas de TI críticos para el negocio principal de una empresa puede crear riesgos significativos. Para gestionarlos efectivamente, el gerente de seguridad de la información debe PRIMERO: Asegurarse de que el gerente de TI acepte riesgos relacionados con las decisiones tecnológicas. Requerir aprobación de auditores antes del despliegue. Obtener aprobación de la alta gerencia para compras de TI. Asegurarse de que se empleen procesos de adquisición adecuados.

El OBJETIVO PRINCIPAL de una evaluación de vulnerabilidades es: Reducir riesgo para el negocio. Asegurar cumplimiento con políticas de seguridad. Proporcionar garantía a la gerencia. Medir eficiencia de los servicios proporcionados.

El proceso de gestión de cambios de TI de una empresa requiere que todas las solicitudes de cambio sean aprobadas por el propietario del activo y el gerente de seguridad de la información. El OBJETIVO PRINCIPAL de obtener la aprobación del gerente de seguridad de la información es asegurarse de que: Los cambios cumplen con la política de seguridad. El riesgo de los cambios propuestos está gestionado. Se ha considerado la reversión a un estado anterior. Los cambios son iniciados por gerentes de negocio.

Un gerente de seguridad de la información observó un alto grado de incumplimiento de un control específico. El gerente de negocio explicó que el incumplimiento era necesario para la eficiencia operativa. El gerente de seguridad de la información debería: Evaluar el riesgo debido al incumplimiento y sugerir un control alternativo. Ignorar la eficiencia operativa e insistir en el cumplimiento del control. Cambiar las políticas de seguridad para reducir el riesgo de incumplimiento. Realizar una sesión de concienciación para enfatizar el cumplimiento.

¿Cuál es el enfoque MÁS rentable para probar la seguridad de una aplicación heredada?. Identificar una aplicación similar y referirse a sus debilidades de seguridad. Recompilar la aplicación usando la última biblioteca y revisar códigos de error. Emplear técnicas de ingeniería inversa para derivar funcionalidades. Realizar una evaluación de vulnerabilidades para detectar debilidades de la aplicación.

Los esfuerzos MÁS efectivos de un gerente de seguridad de la información para gestionar el riesgo inherente relacionado con un proveedor de servicios externo serán el resultado de: Limitar la exposición organizacional. Una evaluación y análisis de riesgos. Acuerdos de nivel de servicio sólidos. Auditorías independientes de terceros.

Abordar escenarios de riesgo en varias etapas del ciclo de vida de los sistemas de información es PRIMARIAMENTE una función de: Gestión de cambios. Gestión de versiones. Gestión de incidentes. Gestión de configuración.

¿Cuál es la PRIMERA acción cuando un gerente de seguridad de la información nota que los controles para una aplicación crítica son inadecuados?. Realizar una evaluación de riesgos para determinar el nivel de exposición. Clasificar riesgos como aceptables para la alta gerencia. Desplegar contramedidas adicionales de inmediato. Transferir los riesgos restantes a otra empresa.

¿Cuál es la MAYOR preocupación para una empresa en la que se utilizan ampliamente dispositivos móviles?. Existe una dependencia indebida de redes públicas. Las baterías requieren recargas constantes. Falta de estandarización del sistema operativo. Los dispositivos móviles se pueden perder o robar fácilmente.

¿Cuál es la comunicación MÁS apropiada a la alta gerencia para permitir decisiones oportunas y continuas sobre el riesgo actual de seguridad de la información?. Resultados de evaluación de riesgos de seguridad de la información. Indicadores clave de riesgo relacionados con activos críticos del negocio. Datos históricos de pérdidas internas y externas. Resultados del análisis de escenarios de riesgo de seguridad de la información.

Durante una evaluación de terceros de un sistema de seguridad de la información, al líder del equipo de evaluación se le informa que el equipo de escaneo de vulnerabilidades no ha proporcionado información sobre todas las vulnerabilidades críticas y altas a los interesados del sistema. ¿Cuál es la PRIMERA acción que debe tomar el líder del equipo de evaluación?. Informar a la gerencia del hallazgo. Solicitar un informe completo del escaneo de vulnerabilidades al equipo correspondiente. Informar al líder del equipo de escaneo sobre el hallazgo. Informar al propietario del sistema del hallazgo.

¿Cuál de los siguientes ayuda MEJOR a los gerentes de seguridad de la información a informar cambios en los niveles de riesgo basados en el cumplimiento de controles implementados para mitigar riesgos?. Indicadores adelantados. Análisis predictivo. Indicadores rezagados. Informes de incidentes.

El gerente de seguridad de la información se dio cuenta de que la adquisición propuesta de una nueva aplicación de TI cambiará los niveles de riesgo para la función empresarial. La PRIMERA acción es: Informar los cambios en los niveles de riesgo al jefe de la función empresarial. Detener la adquisición hasta implementar controles mitigantes. Diseñar e implementar proactivamente controles para mitigar el riesgo. Contratar a un tercero para reevaluar el riesgo.

¿A quién debe notificar PRIMERO el gerente de seguridad de la información después de descubrir una amenaza que probablemente explote un servidor no parcheado que contiene información crítica?. Administradores del sistema. Propietario del sistema. Propietario de los datos. Gerente de respuesta a incidentes.

¿Cuál es el elemento MÁS importante a considerar al planificar qué reportar a la alta gerencia sobre riesgos de seguridad de la información?. Objetivos del negocio. Métricas del programa. Tolerancia al riesgo. Objetivos de control.

Un gerente de seguridad de la información que revisa el acceso de los usuarios a una aplicación empresarial crítica para asegurarse de que los derechos estén alineados con sus responsabilidades laborales nota muchas instancias de acceso excesivo. ¿A quién se debe informar PRIMARIAMENTE sobre este riesgo?. Propietario de la aplicación. Gerente de los usuarios. Gerente de seguridad. Administrador de la base de datos.

¿Cuál de los siguientes proporcionaría MEJOR información sobre el potencial de acceso no autorizado o ataques maliciosos de ciberseguridad a una empresa?. Escaneo de red. Gestión de contraseñas. Hacking ético. Monitoreo de base de datos de aplicaciones.

¿Cuál es el método de autenticación más seguro para acceso remoto a sistemas de producción?. Contraseña de un solo uso. Red privada virtual (VPN). Autenticación multifactor. Contraseñas complejas.

¿Qué es CLAVE al seleccionar un proveedor externo de seguridad de la información?. Revisión del contrato. Revisión de informes de auditoría. Costo proyectado de los servicios. Evaluación de riesgos.

¿Cuál de las siguientes situaciones sería el CANDIDATO PRINCIPAL para una reevaluación de riesgos en una empresa?. La consola de gestión de antivirus ha detectado dos laptops de usuarios con firmas de antivirus desactualizadas. El proveedor de software clave ha sido comprado por una empresa desconocida. Se ha reportado un incidente de colarse en las instalaciones (tailgating) por un empleado. Los filtros de correo electrónico de la empresa están detectando más spam en los últimos meses.

Después de un análisis exhaustivo de un problema de seguridad de bajo impacto, un analista de seguridad ha identificado problemas históricos similares que no fueron detectados y no causaron interrupciones en las operaciones comerciales. ¿Qué información ayudaría MEJOR a documentar los próximos pasos para que la alta gerencia tome decisiones de mitigación?. Análisis costo-beneficio. Métricas de incidentes. Análisis de brechas. Resultados de escaneo de vulnerabilidades.

Un gerente de seguridad de la información tiene la tarea de iniciar una evaluación de riesgos sobre controles enfocados en el acceso de usuarios. ¿Cuál de la siguiente sería la información MÁS útil para preparar esta evaluación?. Informes de auditorías previas. Listas actuales de acceso de usuarios. Procedimientos de aprobación de acceso. Archivos de registro de autenticación.

¿Cuál de los siguientes será el objetivo MÁS probable de explotación al examinar fallas en controles de aplicaciones?. Opciones de cambio de contraseña en la etapa de inicio de sesión. Controles débiles de monitoreo de transacciones. Verificaciones de validación inadecuadas en formularios de entrada. Puertos abiertos disponibles para acceso externo.

¿Cuál será la PREOCUPACIÓN PRINCIPAL cuando un empleado conecte un dispositivo personal no autorizado a la red empresarial?. Liberación involuntaria de malware. Pérdida accidental del dispositivo personal. Mensajería no detectada entre el personal. Ralentización del rendimiento de la red.

Se realizó una evaluación de riesgos de seguridad empresarial basada en suposiciones sobre el riesgo. ¿Cuál sería la MEJOR acción para mejorar la calidad de la evaluación?. Incorporar entrevistadores experimentados al equipo de evaluación. Revisar evaluaciones de riesgos previas para información de contexto. Solicitar a las unidades de negocio que clasifiquen los activos de información. Incluir a las partes interesadas relevantes durante las actividades de evaluación.

El departamento de recursos humanos planea introducir un procedimiento para desactivar un registro de empleado dentro de las 24 horas posteriores a la terminación del empleo. ¿Cuál sería la MAYOR preocupación para el gerente de seguridad de la información al revisar este procedimiento?. Posible fraude interno para eludir controles existentes. Interdependencias entre sistemas de RR. HH. y sistemas empresariales. Integridad del registro del sistema de RR. HH. para producir historial de asignaciones. Justificación del plazo de 24 horas desde una perspectiva de gestión de riesgos.

Uno de los factores internos críticos MÁS importantes que afecta la estrategia de seguridad de la información es: Estructura organizacional bien definida. Amplia concienciación sobre seguridad IT promovida. Cultura de seguridad organizacional. Niveles establecidos de apetito y tolerancia al riesgo empresarial.

¿Cuál es la RAZÓN PRINCIPAL por la que una empresa estudiaría amenazas de ciberseguridad? Para establecer: Una biblioteca de amenazas. Una línea base de controles. Guías de respuesta a incidentes. Un análisis de amenazas.

¿Cuál de los siguientes procesos se apoya PRINCIPALMENTE en la identificación y clasificación de activos de información?. Desarrollo del registro de riesgos. Evaluación de riesgos. Programa de capacitación en ciberseguridad. Requisito de cumplimiento normativo.

¿Cuál de los siguientes debe completarse antes de una evaluación de riesgos?. Identificación de controles. Identificación de activos. Identificación de amenazas. Identificación del registro de riesgos.

El riesgo inherente de ciberseguridad se trata mediante: Firewalls de Internet. Conciencia de seguridad. Evaluación de riesgos. Controles.

Una solución que utiliza tecnología de seguridad emergente puede permitir que la empresa aumente sus ingresos, pero la tecnología sigue siendo no probada. ¿Cuál es el MEJOR enfoque al considerar el uso de esta tecnología?. Esperar hasta que los competidores introduzcan la solución. Ejecutar un proyecto piloto para evaluar el riesgo potencial. Construir la solución en el entorno del proveedor. Obtener un seguro para cubrir pérdidas inesperadas.