Domain 3 Espanol
COMMENTS |
STATISTICS |
RECORDS
|
Title of test: Domain 3 Espanol Description: Examen CISM |
Nuevo Comentario| New Comment |
|---|
NO RECORDS |
|
¿Cuál de los siguientes es el requisito previo MÁS importante para realizar la clasificación de activos?. Análisis de amenazas. Evaluación de impacto. Evaluación de controles. Pruebas de penetración. ¿Cuál de los siguientes garantiza MEJOR que la información transmitida por Internet permanecerá confidencial?. Red privada virtual. Firewalls y routers. Autenticación biométrica. Autenticación de dos factores. ¿De qué depende MÁS la efectividad del software de detección de virus?. Filtrado de paquetes. Detección de intrusos. Actualizaciones de software. Archivos de definición de virus. ¿Cuál de los siguientes es el método MÁS efectivo para detectar y prevenir intrusiones en la red?. Encriptación. Sistema de detección de intrusos. Firewalls. Políticas de seguridad. ¿Quién debe ser responsable de hacer cumplir los derechos de acceso a los datos de las aplicaciones?. Propietarios de los datos. Propietarios de procesos de negocio. Comité de seguridad. Administradores de seguridad. Al diseñar un sistema de detección de intrusos, el gerente de seguridad de la información debe recomendar que se coloque: fuera del firewall. en el servidor del firewall. en una subred filtrada. en el router externo. La MEJOR razón para que una empresa implemente dos firewalls discretos conectados directamente a Internet y a la misma zona desmilitarizada sería: proporcionar defensa en profundidad. separar pruebas y producción. permitir balanceo de carga de tráfico. prevenir un ataque de denegación de servicio. Al diseñar estándares de seguridad de la información para una empresa, el gerente de seguridad de la información debe requerir que un servidor extranet se coloque: fuera del firewall. en el servidor del firewall. en una subred filtrada. en el router externo. ¿Cuál de los siguientes es la MEJOR métrica para evaluar la efectividad de la capacitación en concienciación sobre seguridad?. El número de restablecimientos de contraseñas. El número de incidentes reportados. El número de incidentes resueltos. El número de violaciones de reglas de acceso. ¿Cuál de los siguientes factores ayuda MEJOR a determinar el nivel de protección apropiado para un activo de información?. El costo de adquisición e implementación del activo. Conocimiento de las vulnerabilidades presentes en el activo. El grado de exposición a amenazas conocidas. La criticidad de la función de negocio que soporta el activo. ¿Cuál de las siguientes es la MEJOR métrica para evaluar la efectividad de un mecanismo de detección de intrusos?. Número de ataques detectados. Número de ataques exitosos. Relación de falsos positivos a falsos negativos. Relación de ataques exitosos a no exitosos. ¿Cuál de los siguientes es MÁS efectivo para prevenir la introducción de debilidades en sistemas de producción existentes?. Gestión de parches. Gestión de cambios. Estándares de seguridad. Detección de virus. ¿Cuál de los siguientes es MÁS efectivo para prevenir debilidades de seguridad en sistemas operativos?. Gestión de parches. Gestión de cambios. Estándares de seguridad. Gestión de configuración. ¿Cuál de las siguientes soluciones es MÁS efectiva para evitar que usuarios internos modifiquen información sensible y clasificada?. Estándares de seguridad base. Registros de violaciones de acceso al sistema. Controles de acceso basados en roles. Rutinas de salida. ¿Cuál de los siguientes se utiliza generalmente para asegurar que la información transmitida por Internet es auténtica y realmente enviada por el remitente indicado?. Autenticación biométrica. Esteganografía embebida. Autenticación de dos factores. Firma digital embebida. ¿Cuál es la frecuencia MÁS adecuada para actualizar los archivos de firmas de antivirus en servidores de producción?. Diariamente. Semanalmente. Con las actualizaciones del sistema operativo. Durante las actualizaciones programadas de control de cambios. ¿Qué dispositivos deben colocarse dentro de una zona desmilitarizada (DMZ)?. Switch de red. Servidor web. Servidor de base de datos. Servidor de archivos/imágenes. ¿Dónde debe colocarse un firewall?. En el servidor web. En el servidor IDS. En la subred filtrada. En el límite del dominio. ¿Dónde debe colocarse generalmente un servidor intranet?. En la red interna. En el servidor firewall. En el router externo. En el controlador de dominio principal. ¿Cómo se puede implementar MEJOR el control de acceso a una aplicación intranet sensible por usuarios móviles?. Mediante encriptación de datos. Mediante firmas digitales. Mediante contraseñas fuertes. Mediante autenticación de dos factores. Una política de control probablemente abordará cuál de los siguientes requisitos de implementación?. Métricas específicas. Capacidades operacionales. Requisitos de capacitación. Modos de falla. ¿Qué asegura que las debilidades recién identificadas en un sistema operativo se mitiguen oportunamente?. Gestión de parches. Gestión de cambios. Estándares de seguridad. Gestión de adquisiciones. ¿Cuál es la PRINCIPAL ventaja de implementar sincronización automática de contraseñas?. Reduce la carga administrativa global. Aumenta la seguridad entre sistemas multinivel. Permite cambiar contraseñas con menor frecuencia. Reduce la necesidad de autenticación de dos factores. ¿Cuál de las siguientes vulnerabilidades que permiten a atacantes acceder a la base de datos de la aplicación es la MÁS grave?. Faltan controles de validación en páginas de ingreso de datos. Reglas de contraseñas sin suficiente complejidad. Gestión débil del registro de transacciones de la aplicación. Aplicación y base de datos comparten un único ID de acceso. El costo de implementar y operar un control de seguridad no debe exceder: La expectativa anual de pérdida. El costo de un incidente. El valor del activo. El nivel de pérdida aceptable. ¿Cuál es la razón MÁS importante para probar periódicamente los controles?. Cumplir requisitos regulatorios. Probar el diseño del control. Asegurar que se cumplan los objetivos. Lograr cumplimiento de políticas estándar. ¿Cuál es la solución MÁS efectiva para impedir que individuos externos a la empresa modifiquen información sensible en una base de datos corporativa?. Subredes filtradas. Políticas y procedimientos de clasificación de información. Control de acceso basado en roles. Sistema de detección de intrusos. ¿Cuál de las siguientes tecnologías se utiliza para asegurar que un individuo que se conecta a la red interna corporativa a través de Internet no sea un intruso haciéndose pasar por un usuario autorizado?. Sistema de detección de intrusos. Filtrado de paquetes por dirección IP. Autenticación de dos factores. Firma digital embebida. ¿Cuál es la frecuencia apropiada para actualizar parches del sistema operativo en servidores de producción?. Durante despliegues programados de nuevas aplicaciones. Según un calendario fijo de gestión de parches de seguridad. Concurrentemente con el mantenimiento trimestral de hardware. Siempre que se publiquen parches de seguridad importantes. ¿Cuál de los siguientes métodos logra MEJOR el uso seguro de una aplicación de comercio electrónico por parte del cliente?. Encriptación de datos. Firmas digitales. Contraseñas fuertes. Autenticación de dos factores. ¿Cuál es la MEJOR defensa contra un ataque de inyección SQL?. Archivos de firmas actualizados regularmente. Firewall correctamente configurado. Sistema de detección de intrusos. Controles estrictos en campos de entrada. ¿Cuál es la consideración MÁS importante al implementar un sistema de detección de intrusos?. Ajuste fino. Aplicación de parches. Encriptación. Filtrado de paquetes. El resultado del proceso de gestión de riesgos es un insumo para tomar decisiones sobre: Planes de negocio. Mandatos de auditoría. Decisiones de política de seguridad. Decisiones de diseño de software. Las empresas implementan capacitación en ética PRINCIPALMENTE para guiar a individuos que participan en: Monitoreo de actividades de usuarios. Implementación de controles de seguridad. Gestión de tolerancia al riesgo. Asignación de acceso. ¿Cuál es el factor MÁS importante al evaluar productos para monitorear la seguridad en toda la empresa?. Facilidad de instalación. Documentación del producto. Soporte disponible. Sobrecarga del sistema. ¿Cuál es la directriz MÁS importante al usar software para escanear exposiciones de seguridad en la red corporativa?. Nunca usar herramientas de código abierto. Concentrarse solo en servidores de producción. Seguir un proceso lineal para ataques. No interrumpir procesos de producción. ¿Cuál es la mejor forma de asegurar que modificaciones en aplicaciones de negocio internas no introduzcan nuevas exposiciones de seguridad?. Pruebas de estrés. Gestión de parches. Gestión de cambios. Estándares de seguridad. ¿Cuál es la ventaja del túnel de red privada virtual para usuarios remotos?. Ayuda a asegurar que las comunicaciones sean seguras. Aumenta seguridad entre sistemas multinivel. Permite cambiar contraseñas menos frecuentemente. Elimina la necesidad de autenticación secundaria. ¿Cuál es la medida MÁS efectiva para asegurar redes inalámbricas como punto de entrada a la red corporativa?. Router perimetral. Encriptación fuerte. Firewall frente a Internet. Sistema de detección de intrusos. ¿Cuál es la medida MÁS efectiva contra ataques de phishing?. Reglas de bloqueo en firewall. Archivos de firmas actualizados. Capacitación en concienciación de seguridad. Monitoreo de IDS. Cuando un sistema recién instalado para sincronización de contraseñas falla de manera anormal, ¿qué debe ocurrir AUTOMÁTICAMENTE primero?. El firewall bloquea todo tráfico entrante durante la falla. Todos los sistemas bloquean nuevos logins hasta corregir el problema. El control de acceso vuelve al modo no sincronizado. Los logs registran toda actividad de usuario para análisis posterior. ¿Cuál opción ayuda MEJOR a determinar niveles adecuados de protección de recursos de información?. Un caso de negocio. Evaluación de vulnerabilidades. Clasificación de activos. Valoración de activos. Un proveedor externo maneja información sensible de clientes. ¿Qué es más importante para el responsable de seguridad?. Seguridad en almacenamiento y transmisión de datos sensibles. Nivel de cumplimiento del proveedor con estándares. Tecnologías de seguridad en la instalación. Resultados de la última revisión de seguridad independiente. Desde la perspectiva de seguridad de la información, la información que ya no soporta el propósito principal del negocio debería: Ser analizada bajo la política de retención. Ser protegida bajo la política de clasificación de información. Ser analizada bajo la política de respaldo. Ser evaluada mediante un análisis de impacto del negocio. En el proceso de implementar un nuevo sistema de correo electrónico, un responsable de seguridad de la información desea garantizar la confidencialidad de los mensajes durante la transmisión. ¿Cuál es el método MÁS apropiado para asegurar la confidencialidad de los datos en la implementación de un nuevo sistema de correo electrónico?. Encriptación. Autenticación fuerte. Firma digital. Algoritmo de hash. Cuando los estándares corporativos cambian debido a nueva tecnología, ¿cuál de las siguientes opciones es la MÁS probable que se vea afectada?. Políticas organizacionales. Enfoque de evaluación de riesgos. Objetivos de control. Estándares de seguridad de sistemas. ¿Cuál es el factor de éxito MÁS importante para diseñar un programa efectivo de concienciación en seguridad de TI?. Personalización del contenido para la audiencia objetivo. Representación de la alta gerencia. Capacitación del personal en todos los niveles jerárquicos. Sustituir jerga técnica con ejemplos concretos. ¿Cuál de las siguientes prácticas previene completamente un ataque de intermediario (man-in-the-middle) entre dos hosts?. Usar tokens de seguridad para autenticación. Conectarse a través de una red privada virtual IP Security v6. Usar HTTPS con certificado del servidor. Aplicar direcciones MAC estáticas. ¿Cuál es el protocolo MÁS común para asegurar la confidencialidad de transmisiones en una aplicación financiera web de negocio a cliente?. Secure Sockets Layer. Secure Shell. IP Security. Secure/Multipurpose Internet Mail Extensions. Se requiere una autoridad certificadora (CA) para una infraestructura de clave pública (PKI). en casos donde la confidencialidad es un problema. cuando se usa autenticación de desafío/respuesta. excepto cuando los usuarios se autentican entre sí. en implementaciones de control de acceso basado en roles. Cuando un usuario usa un certificado digital del lado del cliente para autenticarse a un servidor web mediante SSL, la confidencialidad es MÁS vulnerable a: Suplantación de IP. Ataque de intermediario. Repudio. Troyano. ¿Cuál es la métrica MÁS relevante para incluir en un informe trimestral de seguridad de la información al comité ejecutivo?. Informe de tendencia de servidores seguros. Porcentaje de servidores seguros. Número de parches aplicados. Informe de tendencia de parches aplicados. ¿Por qué es importante desarrollar una línea base de seguridad de la información? La línea base ayuda a definir: Recursos críticos que necesitan protección. Una política de seguridad para toda la empresa. La seguridad mínima aceptable a implementar. Controles de acceso físicos y lógicos requeridos. ¿Cuál de los siguientes es el eslabón MÁS DÉBIL en el proceso de registro de usuarios autorizados?. Clave privada de la autoridad certificadora. Clave privada de la autoridad de registro. Clave privada del usuario confiable. Clave privada de comunicación segura. El departamento de instalaciones de una gran empresa financiera utiliza tarjetas electrónicas para controlar acceso físico. El responsable de seguridad solicita acceso de solo lectura a los datos de acceso físico. ¿Cuál es el propósito MÁS probable?. Monitorear cumplimiento de contratos del personal. Determinar quién está en el edificio en caso de incendio. Comparar acceso lógico y físico para detectar anomalías. Asegurar correcto funcionamiento del sistema de control físico. Para MEJORAR la alineación de los objetivos de seguridad de la información en la empresa, el CISO debería: Revisar el programa de seguridad de la información. Evaluar un cuadro de mando integral empresarial (BSC). Realizar sesiones de concienciación regulares. Realizar pruebas de penetración. Suponiendo que se conoce el valor de los activos de información, ¿qué proporciona la base MÁS objetiva para que el responsable de seguridad determine que el programa entrega valor?. Número de controles. Costo de lograr objetivos de control. Efectividad de los controles. Resultados de pruebas de controles. El uso de cifrado de clave pública para proporcionar claves a un gran número de individuos es preferido PRINCIPALMENTE porque: El cifrado de clave pública es más eficiente computacionalmente. La escalabilidad es menos problemática que usando clave simétrica. El cifrado de clave pública es menos costoso que mantener claves simétricas en grupos pequeños. Proporciona mayor fuerza de cifrado que claves secretas. Una empresa implementa un programa de seguridad de la información. ¿En qué fase se deben establecer métricas para evaluar efectividad del programa a lo largo del tiempo?. Pruebas. Inicio. Diseño. Desarrollo. La forma MÁS efectiva de asegurar que proveedores externos cumplan con la política de seguridad de la empresa sería: Monitoreo de nivel de servicio. Pruebas de penetración. Auditorías periódicas. Capacitación en concienciación de seguridad. ¿Qué debe implementar el responsable de seguridad para proteger la red contra conexiones externas no autorizadas a sistemas corporativos?. Autenticación fuerte. Filtrado anti-spoofing de IP. Protocolo de cifrado de red. Listas de acceso de dispositivos confiables. ¿Cuál es el resultado de segmentar una base de datos altamente sensible?. Reduce la amenaza. Reduce la criticidad. Reduce la sensibilidad. Reduce la exposición. Es esencial determinar las fuerzas que impulsan la necesidad empresarial del programa de seguridad de la información. Determinar los impulsores es crítico para: Establecer la base para el desarrollo de métricas. Establecer la base para controles de seguridad. Reportar resultados de riesgos a la alta gerencia. Desarrollar módulos de capacitación en concienciación de seguridad. Una empresa usa una aplicación crítica de un proveedor con una longitud máxima de contraseña que no cumple con los estándares de seguridad organizacionales. ¿Cuál enfoque ayuda MEJOR a mitigar la debilidad?. Acortar el periodo de validez de la contraseña. Fomentar el uso de caracteres especiales. Fortalecer la segregación de funciones. Introducir controles compensatorios. ¿Cuál es la razón MÁS importante para definir objetivos de seguridad de la información?. Herramienta para medir efectividad. Comprensión general de metas. Consistencia con estándares aplicables. Aprobación de la gerencia y apoyo a iniciativas. ¿Cuál es la MEJOR política para asegurar datos en unidades USB móviles?. Autenticación. Encriptación. Prohibir que empleados copien datos a USB. Limitar uso de USB. ¿En qué debe enfocarse un responsable de seguridad al hablar con el departamento de recursos humanos sobre seguridad de la información?. Presupuesto adecuado para el programa de seguridad. Reclutamiento de empleados técnicos de TI. Evaluaciones periódicas de riesgo. Capacitación en concienciación de seguridad para empleados. ¿Cuál es la razón MÁS importante para realizar programas de concienciación en seguridad en toda la empresa?. Reducir el riesgo humano. Mantener evidencia de capacitaciones para cumplir con normativa. Informar a unidades de negocio sobre la estrategia de seguridad. Capacitar al personal en respuesta a incidentes. ¿Cuál es la MEJOR respuesta ante riesgos donde la probabilidad de un evento disruptivo es muy baja pero el impacto financiero potencial es muy alto?. Aceptar el alto costo de protección. Implementar controles de detección. Asegurar que la exposición del activo sea baja. Transferir el riesgo a un tercero. ¿Cuál es un ajuste deseable de sensibilidad para un sistema biométrico que protege un centro de datos de alta seguridad?. Alta tasa de rechazo falso. Alta tasa de aceptación falsa. Inferior a la tasa de error cruzado. Exacta tasa de error cruzado. El nivel de clasificación de un activo debe basarse PRINCIPALMENTE en: Criticidad y sensibilidad. Probabilidad e impacto. Valoración y costo de reposición. Vector de amenaza y exposición. ¿Cuál es la razón MÁS importante para una revisión de seguridad de los contratos?. Garantizar que las partes puedan cumplir. Evitar incluir datos confidenciales. Asegurar que se incluyan controles apropiados. Garantizar derecho a auditoría. Para acceso VPN a la red corporativa, el responsable de seguridad exige autenticación fuerte. ¿Cuál es el método más fuerte para asegurar el acceso?. Biometría. Claves simétricas de cifrado. Autenticación basada en SSL. Autenticación de dos factores. Un responsable de seguridad determina que la gestión de riesgos es inconsistente en toda la empresa, creando un eslabón débil. La respuesta inicial MÁS apropiada es: Escalar al comité directivo. Revisar cumplimiento con estándares. Escribir políticas más estrictas. Aumentar la aplicación de controles. ¿Cuál es la medida de seguridad MÁS efectiva para proteger datos en dispositivos móviles?. Control de acceso biométrico. Encriptación de datos almacenados. Contraseñas al encender. Protección de datos en transmisión. Al revisar opciones de tratamiento de riesgo, el beneficio MÁS importante a considerar es: Mitigación máxima del riesgo. Ahorro en controles. Conformidad con regulación. Logro de objetivos de control. Una empresa implementa protección de intrusiones en su DMZ. Para que el IPS vea todo el tráfico, se debe: Colocar el IPS frente al firewall. Permitir que todos los dispositivos conectados vean el IPS. Descifrar todo el tráfico cifrado antes de procesarlo en el IPS. Duplicar el tráfico de todos los dispositivos al IPS. ¿Qué garantiza que los datos de un archivo no han cambiado?. Inspeccionar fecha de modificación. Encriptar contenido del archivo. Usar control de acceso estricto. Crear un hash del archivo y comparar. ¿Cuál es el mecanismo MÁS seguro para implementar una red inalámbrica segura?. Filtrar direcciones MAC. Usar protocolo Wi-Fi Protected Access. Usar clave WEP. Autenticación basada en web. ¿Qué dispositivo puede detener un ataque de inyección SQL?. Sistema de prevención de intrusiones. Sistema de detección de intrusiones. Sistema de detección de intrusiones host-based. Firewall host-based. ¿Qué asegura MEJOR la no repudio?. Contraseñas fuertes. Hash digital. Cifrado simétrico. Firmas digitales. ¿Cuál de los siguientes es el paso MÁS importante antes de implementar una política de seguridad?. Comunicar a los empleados. Capacitar al personal de TI. Identificar tecnologías relevantes para la automatización. Obtener la aprobación de los interesados. El programa de concienciación en seguridad de una empresa debe enfocarse en cuál de los siguientes?. Establecer métricas para respaldos de red. Instalar software de capacitación que simule incidentes de seguridad. Comunicar lo que los empleados deben o no deben hacer en el contexto de sus responsabilidades laborales. Niveles de acceso dentro de la empresa para aplicaciones e Internet. La MEJOR defensa contra ataques de phishing exitosos es: Endurecimiento de aplicaciones. Filtros de spam. Un sistema de detección de intrusos. Concienciación del usuario final. ¿Cuál de los siguientes sería el MAYOR desafío al desarrollar un programa estándar de capacitación de concienciación para una empresa global?. Requisitos técnicos de entrada para el personal de seguridad de TI. Evaluar la efectividad del programa de capacitación. Una cultura diversa y habilidades técnicas variadas de los usuarios finales. Disponibilidad de los usuarios los fines de semana o fuera del horario laboral. Al subcontratar, para asegurar que los proveedores de servicios externos cumplan con la política de seguridad de la empresa, ¿cuál de los siguientes debe ocurrir?. Un calendario de reuniones predefinido. Una auditoría de seguridad periódica. Incluir en el contrato una lista de personas a contactar en caso de incidente (árbol de llamadas). Incluir en el contrato una cláusula de confidencialidad. ¿Cuál de las siguientes medidas de control aborda MEJOR la integridad?. No repudio. Sellos de tiempo. Escaneo biométrico. Encriptación. ¿Cuál de los siguientes controles de seguridad aborda la disponibilidad?. Menor privilegio. Infraestructura de clave pública. Acceso basado en roles. Planificación de contingencia. ¿Cuál es la MEJOR manera de asegurar que la configuración de seguridad en cada plataforma cumpla con las políticas y procedimientos de seguridad de la información?. Realizar pruebas de penetración. Establecer líneas base de seguridad. Implementar configuraciones predeterminadas del proveedor. Vincular políticas a un estándar independiente. Una aplicación empresarial basada en web está siendo migrada de prueba a producción. ¿Cuál de los siguientes es el permiso de gestión MÁS importante para esta migración?. Usuario. Red. Operaciones. Base de datos. ¿Cuál es la MEJOR manera de asegurar que se sigan las políticas de seguridad de la información?. Distribuir copias impresas a todos los empleados. Realizar revisiones periódicas para asegurar el cumplimiento. Incluir sanciones escalonadas por incumplimiento. Establecer una línea directa anónima para reportar abusos de política. Los factores MÁS importantes a considerar al priorizar el desarrollo de controles son: amenaza y vulnerabilidad. costo y frecuencia. apetito y tolerancia al riesgo. probabilidad e impacto. ¿Cuál de los siguientes reducirá MÁS probablemente las posibilidades de que un individuo no autorizado acceda a los recursos informáticos haciéndose pasar por un individuo autorizado que necesita restablecer su contraseña?. Realizar revisiones de restablecimiento de contraseñas. Realizar programas de concienciación en seguridad. Aumentar la frecuencia de cambio de contraseñas. Implementar verificación automática de sintaxis de contraseñas. La manera MÁS directa de determinar con precisión la línea base de control en un sistema de TI es realizar cuál de las siguientes actividades?. Revisar estándares y cumplimiento del sistema. Tomar muestras de configuraciones de hardware y software. Revisar registros del sistema y del servidor en busca de anomalías. Realizar pruebas de penetración internas y externas. ¿Cuál es la MEJOR manera de asegurar que un proveedor de servicios externo cumpla con las políticas de seguridad de la organización?. Incluir explícitamente al proveedor en las políticas de seguridad. Recibir un acuse de recibo por escrito que indique que el proveedor ha leído todas las políticas. Referencia cruzada a las políticas en el acuerdo de nivel de servicio. Realizar revisiones periódicas del proveedor de servicios. ¿Qué práctica se debe aplicar PRIMERO a un parche de seguridad de emergencia recibido por correo electrónico? El parche debe ser: cargado en una máquina de prueba aislada. descompilado para verificar código malicioso. validado para asegurar su autenticidad. copiado en medios de escritura única para evitar manipulaciones. En un entorno bien controlado, ¿cuál de las siguientes actividades es MÁS probable que conduzca a la introducción de debilidades en el software de seguridad?. Aplicar parches. Cambiar reglas de acceso. Actualizar hardware. Respaldar archivos. ¿Cuál de los siguientes es el MEJOR indicador de que la capacitación en concienciación sobre seguridad ha sido efectiva?. Los empleados firman para reconocer la política de seguridad. Se reportan más incidentes. La mayoría de los empleados ha completado la capacitación. No se han reportado incidentes en tres meses. ¿Cuál de las siguientes es la MAYOR preocupación de seguridad cuando un registro de incidentes se almacena en el servidor de base de datos de producción?. La información del registro puede perderse si el servidor de base de datos falla. El administrador de la base de datos puede manipular la información del registro. La capacidad para manejar grandes transacciones puede verse comprometida. Información sensible podría escribirse inadvertidamente en el registro. La consideración MÁS importante al determinar cómo se implementa una política de control es: el riesgo de compromiso. la seguridad del personal. el tiempo medio entre fallos. la naturaleza de una amenaza. Si se necesita abordar una amenaza definida y un control preventivo no es factible, la siguiente MEJOR opción es realizar cuál de las siguientes actividades?. Usar un control disuasorio. Reducir la exposición. Usar un control compensatorio. Reevaluar el riesgo. Un gerente de seguridad de la información tiene dos servidores idénticos en la red sujetos a una vulnerabilidad pero decide endurecer solo uno de ellos. La razón MÁS probable para esta elección es que el segundo servidor: maneja solo información no importante. no podrá realizar las tareas requeridas. está ubicado de manera que no tiene exposición. tiene monitoreo constante que evita ataques. ¿Cuál de las siguientes opciones está MÁS fuertemente respaldada por una gestión efectiva de los activos de información?. Un diccionario de información/datos. Un programa de clasificación de datos. Una cultura de seguridad basada en la información. Una política de riesgos orientada al negocio. ¿Cuál de las siguientes consideraciones es la MÁS importante al usar una herramienta de escaneo de vulnerabilidades?. Múltiples funciones. Actualizaciones periódicas. Interfaz gráfica de usuario. Eliminación de virus en tiempo real. ¿Cuál de los siguientes elementos es la MEJOR base para determinar el valor de los activos intangibles?. Contribución a la generación de ingresos. Un análisis de impacto al negocio. Evaluación de amenazas. Costos de reemplazo. ¿Cuál de los siguientes es el MEJOR método para asegurar que los empleados temporales no reciban derechos de acceso excesivos?. Controles de acceso obligatorios. Controles de acceso discrecionales. Controles de acceso basados en jerarquías. Controles de acceso basados en roles. Con respecto a la implementación de programas de concienciación en seguridad en una empresa, es MÁS relevante comprender cuál de los siguientes aspectos puede cambiar?. La cultura de seguridad. La tecnología de la información. Los requisitos de cumplimiento. Las amenazas y vulnerabilidades. ¿Con cuál de los siguientes elementos deben alinearse MÁS estrechamente las políticas de seguridad?. Buenas prácticas de la industria. Necesidades organizacionales. Estándares generalmente aceptados. Leyes y regulaciones locales. ¿Cuál es la MEJOR manera de determinar si un sistema de detección de intrusiones (IDS) basado en anomalías está correctamente instalado?. Simular un ataque y revisar el desempeño del IDS. Usar un honeypot para verificar actividad inusual. Auditar la configuración del IDS. Comparar el IDS con un sitio similar. ¿Cuándo es el MEJOR momento para realizar una prueba de penetración?. Después de que haya ocurrido un intento de penetración. Después de que una auditoría haya reportado debilidades en los controles de seguridad. Después de que se hayan realizado diversos cambios en la infraestructura. Después de una alta rotación en el personal de sistemas. ¿Cuál de las siguientes actividades de proyecto es la ACTIVIDAD PRINCIPAL en el desarrollo de un programa de seguridad de la información?. Desarrollo de la organización de seguridad. Diseños de arquitectura conceptual y lógica. Desarrollo de objetivos de gestión de riesgos. Diseño y despliegue de controles. ¿Cuál es la MEJOR manera de detectar a un intruso que penetra con éxito en una red antes de que cause daños significativos?. Realizar pruebas de penetración periódicas. Establecer líneas base mínimas de seguridad. Implementar configuraciones predeterminadas del proveedor. Instalar un honeypot en la red. Si un incidente de seguridad no es resultado del fallo de un control, entonces es MÁS probable que sea resultado de cuál de las siguientes opciones?. Un análisis de riesgos incompleto. La ausencia de un control. Un ataque de día cero. Un error del usuario. En un escenario de ingeniería social, ¿cuál de los siguientes reducirá MÁS probablemente la probabilidad de que un individuo no autorizado obtenga acceso a los recursos informáticos?. Implementar enmascaramiento de contraseñas en pantalla. Realizar programas periódicos de concienciación en seguridad. Aumentar la frecuencia de cambios de contraseña. Exigir que las contraseñas se mantengan estrictamente confidenciales. Asumiendo que todas las opciones son técnicamente viables, ¿cuál sería el enfoque MÁS efectivo para que el gerente de seguridad de la información aborde la exposición excesiva de un servidor crítico orientado al cliente?. Desarrollar un plan de respuesta a incidentes. Reducir los vectores de ataque. Iniciar la compartimentación. Implementar controles compensatorios. ¿Cuál es la persona MÁS apropiada para implementar y mantener el nivel de seguridad de la información necesario para una aplicación empresarial específica?. Analista de sistemas. Gerente de control de calidad. Propietario del proceso. Gerente de seguridad de la información. Los objetivos de los controles preventivos deben desarrollarse PRINCIPALMENTE basándose en: Niveles de riesgo alineados con la tolerancia al riesgo de la empresa. Requisitos técnicos dirigidos por estándares de la industria. Niveles de amenaza establecidos por herramientas de monitoreo. Objetivos de disponibilidad especificados en los acuerdos de nivel de servicio. ¿Cuándo debe proporcionarse la capacitación en concienciación en seguridad a los nuevos empleados?. Según sea necesario. Durante la capacitación de usuarios del sistema. Antes de que tengan acceso a los datos. Junto con el personal del departamento. ¿Cuál es el MEJOR método para verificar que todos los parches de seguridad aplicados a los servidores fueron debidamente documentados?. Rastrear las solicitudes de control de cambios hasta los registros de parches del sistema operativo (OS). Rastrear los registros de parches del OS hasta la documentación de actualizaciones del proveedor. Rastrear los registros de parches del OS hasta las solicitudes de control de cambios. Revisar la documentación de control de cambios de los servidores clave. ¿Cuál es el OBJETIVO PRINCIPAL de la concienciación en seguridad?. Asegurar que se entiendan las políticas de seguridad. Influir en el comportamiento de los empleados. Asegurar el cumplimiento legal y regulatorio. Notificar las acciones por incumplimiento. ¿Cuál de las siguientes opciones protegerá MEJOR contra actividades maliciosas de un exempleado?. Evaluación previa al empleo. Monitoreo cercano de los usuarios. Capacitación periódica en concienciación de seguridad. Procedimientos de terminación efectivos. ¿Cuál de los siguientes representa un área de interés PRINCIPAL al realizar una prueba de penetración?. Minería de datos. Mapeo de red. Sistema de detección de intrusos. Datos de clientes. Una empresa está considerando un acuerdo recíproco con otra similar como opción de recuperación. ¿Cuál es el MAYOR riesgo asociado con un acuerdo recíproco?. Variaciones entre las evaluaciones de riesgo e impacto. Frecuencia de pruebas de los planes de recuperación y continuidad. Similitudes en infraestructura y capacidad. Diferencias en políticas y procedimientos de seguridad. ¿Qué actividad ayuda MEJOR a garantizar que el personal contratado no obtenga acceso no autorizado a información sensible?. Establecer que las cuentas expiren. Evitar otorgar roles de administración del sistema. Asegurarse de que pasen verificaciones de antecedentes. Asegurarse de que el acceso sea aprobado por el propietario de los datos. ¿Cuál es el factor de éxito MÁS importante al lanzar un programa corporativo de concienciación en seguridad de la información?. Apoyo presupuestario adecuado. Gestión centralizada del programa. Enfoque de arriba hacia abajo. Experiencia de los instructores. ¿Cuál es el método MÁS apropiado para proteger la entrega de una contraseña que abre un archivo confidencial?. Rastreo de la ruta de entrega. Traducción por búsqueda inversa. Canales fuera de banda. Firmas digitales. ¿Cuál es el método de control de acceso MÁS efectivo para evitar que los usuarios compartan archivos con usuarios no autorizados?. Obligatorio. Discrecional. Jardín cerrado. Basado en roles. ¿Cuál de las siguientes es una debilidad inherente de los sistemas de detección de intrusos basados en firmas?. Un mayor número de falsos positivos. Se perderán nuevos métodos de ataque. Se perderán sondeos de larga duración. Los perfiles de ataque pueden ser fácilmente suplantados. ¿Cuál de las siguientes es la MEJOR manera de asegurar que una red corporativa esté adecuadamente protegida contra ataques externos?. Usar un sistema de detección de intrusos. Establecer bases mínimas de seguridad. Implementar configuraciones recomendadas por el proveedor. Realizar pruebas periódicas de penetración. ¿Cuál de las siguientes presenta la MAYOR exposición a ataques internos en una red?. Las contraseñas de los usuarios no expiran automáticamente. Todo el tráfico de la red pasa por un único switch. Las contraseñas de los usuarios están codificadas pero no encriptadas. Todos los usuarios residen en una única subred interna. La subcontratación combinada con indemnización: reduce la responsabilidad legal pero deja el riesgo financiero relativamente sin cambios. es más rentable como medio de transferencia de riesgo que comprar un seguro. elimina el riesgo reputacional presente cuando las operaciones permanecen internas. reduce el riesgo financiero pero deja la responsabilidad legal generalmente sin cambios. Los controles son efectivos cuando: el riesgo residual está en un nivel aceptable para la empresa. existen programas de monitoreo continuo. el riesgo inherente está dentro de la tolerancia al riesgo organizacional. se han identificado indicadores clave de desempeño. Una empresa ha implementado varias estrategias de mitigación de riesgo para reducir un riesgo identificado. Las medidas de control de riesgo son suficientes cuando: el nivel de aceptación de riesgo es menor o igual al nivel de riesgo total. el riesgo residual es menor o igual al nivel de aceptación de riesgo. la evitación del riesgo está justificada por análisis costo-beneficio. la mitigación del riesgo es igual al valor esperado anual de pérdida. ¿Cuál de los siguientes es el MEJOR método para determinar la clasificación de los datos?. Evaluación del impacto asociado a la posible pérdida de datos por el propietario de los datos. Requisitos de cumplimiento definidos en la política de seguridad de la información. Requisitos basados en el nivel de protección implementado para diferentes conjuntos de datos. Evaluación del riesgo de pérdida de datos por el gerente de seguridad de la información. ¿Cuál es la MEJOR manera de asegurar que los usuarios cumplan con los requisitos organizacionales de complejidad de contraseñas?. Incluir los requisitos de construcción de contraseñas en los estándares de seguridad. Exigir que el usuario reconozca los requisitos de contraseña. Implementar sanciones estrictas por incumplimiento del usuario. Habilitar la configuración de contraseñas aplicada por el sistema. ¿Cuál de los siguientes representa el punto único de falla para la infraestructura de clave pública (PKI)?. Clave pública de una autoridad de certificación (CA). Clave privada de una parte confiable. Clave privada de una CA. Clave pública de una parte confiable. ¿Cuál es la RAZÓN PRINCIPAL para usar métricas para evaluar la seguridad de la información?. Identificar debilidades de seguridad. Justificar gastos presupuestarios. Permitir una mejora continua. Aumentar la conciencia sobre problemas de seguridad. ¿Cuál es el MEJOR método para confirmar que todas las reglas de firewall y configuraciones de routers son adecuadas?. Revisión periódica de la configuración de la red. Revisión de los registros del sistema de detección de intrusos en busca de ataques. Realizar periódicamente pruebas de penetración. Revisión diaria de los registros del servidor en busca de actividad de hackers. ¿Cuál de los siguientes es MÁS importante para medir la efectividad de un programa de concienciación de seguridad?. Reducción en el número de reportes de violaciones de seguridad. Evaluación cuantitativa para asegurar la comprensión del usuario. Mayor interés en grupos focales sobre temas de seguridad. Aumento en el número de reportes de violaciones de seguridad. ¿Cuál de las siguientes es la acción MÁS importante al contratar consultores externos para realizar una prueba de ataque y penetración?. Solicitar una lista del software que se utilizará. Proporcionar instrucciones claras al personal de TI. Monitorear de cerca los registros del IDS y firewall. Establecer reglas claras de compromiso. ¿Cuál de los siguientes PREVIENE MEJOR que un empleado use un dispositivo USB para copiar archivos de computadoras de escritorio?. Restringir la asignación de unidades disponibles en todas las computadoras personales. Deshabilitar los puertos USB en todos los dispositivos de escritorio. Realizar capacitaciones frecuentes con sanciones por incumplimiento. Establecer controles de acceso estrictos a información sensible. Analizar periódicamente la brecha entre los controles y los objetivos de control es necesario para: evitar un aumento en los hallazgos de auditoría. atender cambios en la exposición. evitar un aumento sustancial en los costos. mantener la alineación con los requisitos regulatorios. Un socio comercial importante con acceso a la red interna es reacio o incapaz de remediar serias exposiciones de seguridad de la información en su entorno. ¿Cuál es la MEJOR recomendación?. Firmar un acuerdo legal asignándoles toda la responsabilidad por cualquier brecha. Quitar todo el acceso al socio comercial hasta que la situación mejore. Configurar reglas de firewall que restrinjan el tráfico de red desde esa ubicación. Enviar recordatorios periódicos sobre su incumplimiento. ¿Qué deben lograr los estándares/procedimientos documentados para el uso de criptografía en toda la empresa?. Deben definir las circunstancias en las que se debe usar criptografía. Deben definir los algoritmos criptográficos y longitudes de clave. Deben describir los procedimientos de manejo de claves criptográficas. Deben establecer el uso de soluciones criptográficas. ¿Cuál es la consecuencia MÁS inmediata de no ajustar un sistema de detección de intrusos recién instalado con el umbral establecido en un valor bajo?. El número de falsos positivos aumenta. El número de falsos negativos aumenta. No se detecta sondeo activo. Se ignoran los perfiles de ataque. ¿Cuál es el procedimiento de gestión de cambios MÁS apropiado para manejar cambios de programa de emergencia?. No es necesario completar la documentación formal. Se debe obtener aprobación de la gerencia antes del cambio. La documentación se completa con aprobación poco después del cambio. Los cambios de emergencia eliminan ciertos requisitos de documentación. ¿Cuál de los siguientes representa el MAYOR desafío para una empresa que busca priorizar actividades de gestión de riesgos?. Un catálogo incompleto de activos de información. Una evaluación de amenazas que no es exhaustiva. Una evaluación de vulnerabilidades desactualizada. Una valoración inexacta de los activos de información. La mayoría de los marcos estándar para seguridad de la información muestran que el desarrollo de un programa de seguridad de la información comienza con: Desarrollo de políticas e implementación de procesos. Auditoría interna y remediación de hallazgos. Evaluación de riesgos y objetivos de control. Identificación de recursos y requerimientos presupuestarios. ¿Cuál es la consideración MÁS importante al elegir entre sistemas automáticos de supresión de incendios?. Probabilidad de incendio. Costo de mantenimiento. Daño a los recursos. Propiedad del nuevo sistema. Un dispositivo crítico se entrega con un único ID de usuario y contraseña que debe ser compartido entre múltiples usuarios. Un gerente de seguridad de la información necesita asegurar que todos los accesos estén autorizados. ¿Cuál es el método MÁS eficiente?. Habilitar el acceso a través de un dispositivo separado que requiera autenticación adecuada. Implementar procedimientos manuales que requieran cambio de contraseña después de cada uso. Solicitar al proveedor agregar múltiples ID de usuario. Analizar registros para detectar accesos no autorizados. Las políticas sobre el uso de “trae tu propio dispositivo” (BYOD) deben incluir: La necesidad de devolver el dispositivo al salir de la empresa. El requisito de proteger los datos sensibles en el dispositivo. Limitaciones sobre qué aplicaciones se pueden instalar en el dispositivo. La posibilidad de que seguridad incauten el dispositivo como parte de una investigación. ¿Cuál de los siguientes es el proceso MÁS importante que un gerente de seguridad de la información necesita negociar con un proveedor externo?. El derecho a realizar revisiones de seguridad independientes. Un acuerdo legal vinculante de protección de datos. Cifrado entre la empresa y el proveedor. Una evaluación de riesgos conjunta del sistema. ¿Qué recurso es el MÁS efectivo para prevenir el tailgating/piggybacking en acceso físico?. Cerraduras de puertas con tarjeta. Identificación con foto. Capacitación en concienciación. Escáneres biométricos. ¿Cuál es el MEJOR enfoque para implementar una segregación adecuada de funciones en aplicaciones críticas para el negocio si se necesita acceso compartido a privilegios elevados por un pequeño grupo?. Asegurar que el acceso a funciones individuales solo pueda ser otorgado a usuarios individuales. Implementar control de acceso basado en roles en la aplicación. Aplicar procedimientos manuales asegurando separación de funciones conflictivas. Crear cuentas de servicio que solo puedan usar miembros autorizados del equipo. ¿Cuál de los siguientes es el FACTOR PRINCIPAL para la implementación inicial de un programa de seguridad de la información basado en riesgos?. Priorización. Motivación. Optimización. Estandarización. ¿Cuál es el factor de éxito MÁS crítico del procedimiento de gestión de parches en una empresa donde la disponibilidad es una preocupación principal?. Ventana de tiempo para pruebas antes del despliegue. Habilidades técnicas del equipo responsable. Certificación de validez para el despliegue. Despliegue automatizado en todos los servidores. ¿Quiénes deben participar en el diseño de procedimientos de seguridad de la información para garantizar que sean funcionales y precisos?. Usuarios finales. Asesoría legal. Unidades operativas. Gerencia de auditoría. Un gerente de seguridad de la información revisó las listas de control de acceso y observó que se otorgó acceso privilegiado a todo un departamento. ¿Qué debe hacer el gerente PRIMERO?. Revisar los procedimientos para otorgar acceso. Establecer procedimientos para otorgar acceso de emergencia. Reunirse con los dueños de los datos para entender necesidades del negocio. Redefinir e implementar los derechos de acceso adecuados. ¿Cuál de los siguientes debe estar en su lugar antes de que comience una prueba de penetración de tipo caja negra?. Aprobación de la gerencia de TI. Comunicación adecuada y capacitación en concienciación. Definición clara del alcance. Plan de respuesta a incidentes. ¿Para qué tipo de controles la notificación de una intrusión de red verificada indica que el control está funcionando correctamente?. Preventivos. Correctivos. Detectivos. Disuasivos. La forma MÁS efectiva de limitar impactos actuales y potenciales de la e-discovery en caso de litigio es: Implementar cifrado fuerte en toda la documentación sensible. Asegurar segregación de funciones y acceso limitado a datos sensibles. Aplicar política de no escribir ni almacenar información potencialmente sensible. Desarrollar y aplicar políticas integrales de retención. ¿Cuál de los siguientes PROTEGE MEJOR la confidencialidad de la información?. Clasificación de información. Segregación de funciones. Principio de mínimo privilegio. Monitoreo de sistemas. ¿Quién debe determinar la clasificación adecuada de los datos del libro contable ubicados en un servidor de bases de datos y mantenidos por un administrador de base de datos del departamento de TI?. Administrador de base de datos. Gerencia del departamento financiero. Gerente de seguridad de la información. Gerencia del departamento de TI. Una empresa utiliza a un solo empleado para actualizar servidores, revisar registros de auditoría y mantener controles de acceso. ¿Cuál de las siguientes opciones es el MEJOR control compensatorio?. Verificar que solo se realicen cambios aprobados. Realizar pruebas de penetración trimestrales. Realizar escaneos de vulnerabilidad mensuales. Implementar revisión supervisada de registros. ¿Cuál de los siguientes pasos debe ser EL PRIMERO en el desarrollo de un plan de seguridad de la información?. Realizar una evaluación de vulnerabilidades técnicas. Analizar la estrategia actual del negocio. Realizar un análisis de impacto del negocio. Evaluar los niveles actuales de concienciación en seguridad. Determinar cuál elemento de la tríada confidencialidad, integridad y disponibilidad (CIA) es MÁS importante es una tarea necesaria cuando: Se evalúa el riesgo general del sistema. Se desarrolla una política de controles. Se determinan opciones de tratamiento. Se desarrolla un esquema de clasificación. ¿Cuál de los siguientes atributos sería MÁS esencial para desarrollar métricas efectivas?. Fácil de implementar. Significativa para el destinatario. Representada cuantitativamente. Cumple con requisitos regulatorios. La efectividad de la segregación de funciones puede verse COMPROMETIDA de manera MÁS seria cuando: Los ID de usuarios de personal dado de baja permanecen activos en los sistemas de la aplicación. Se acumulan privilegios de acceso basados en funciones de trabajo anteriores. El acceso basado en roles de la aplicación se desvía de la jerarquía organizacional. Se utilizan herramientas de minería de roles en la revisión de privilegios de acceso. ¿Cuál de las siguientes acciones MITIGA MEJOR una situación en la que un programador de aplicaciones requiere acceso a datos de producción?. Crear una cuenta separada para el programador como usuario con privilegios. Registrar toda la actividad del programador para revisión por el supervisor. Hacer que el programador firme una carta aceptando responsabilidad completa. Realizar auditorías regulares de la aplicación. ¿Qué acción debe tomarse respecto a los requisitos de clasificación de datos antes de contratar proveedores externos?. Que sean compatibles con la clasificación del proveedor. Que se comuniquen al proveedor. Que excedan los requisitos del proveedor. Que estén establecidos en el contrato. ¿Cuál es el MAYOR riesgo cuando hay un número excesivo de reglas de firewall?. Una regla puede sobrescribir a otra en la cadena y crear un agujero de seguridad. Se puede producir degradación del rendimiento de toda la red. El firewall puede no soportar el número creciente de reglas debido a limitaciones. El firewall puede mostrar comportamiento anormal, bloquearse o apagarse automáticamente. ¿Cuál de los siguientes es MÁS probablemente discrecional?. Políticas. Procedimientos. Guías. Estándares. ¿Cuál de los siguientes rara vez se cambia en respuesta a cambios tecnológicos?. Estándares. Procedimientos. Políticas. Guías. ¿Cuál es la MEJOR manera de garantizar la protección de los datos al término de la relación laboral?. Recuperar credenciales y tarjetas de acceso. Recuperar todo el equipo de la computadora personal. Borrar todas las carpetas del empleado. Asegurar que se elimine todo acceso lógico. ¿Cuál es la razón MÁS importante para documentar formalmente los procedimientos de seguridad?. Asegurar que los procesos sean repetibles y sostenibles. Asegurar alineación con los objetivos del negocio. Asegurar auditoría por parte de agencias regulatorias. Asegurar criterios objetivos para la aplicación de métricas. ¿Cuál es el MEJOR enfoque para una empresa que desea proteger su propiedad intelectual?. Realizar sesiones de concienciación sobre la política de propiedad intelectual. Requerir que todos los empleados firmen un acuerdo de confidencialidad. Eliminar inmediatamente todos los accesos cuando un empleado deja la empresa. Restringir el acceso según la necesidad de conocimiento. Al crear una estrategia efectiva de protección de datos, el gerente de seguridad de la información debe entender el flujo de datos y su protección en diversas etapas. Esto se logra MEJOR con: Una evaluación de vulnerabilidades realizada por terceros. Una metodología adaptada basada en la exposición. Una póliza de seguro para pérdidas accidentales de datos. Un sistema de tokenización configurado en un entorno de red seguro. Se encuentra que una cuenta con privilegios administrativos completos sobre un archivo de producción es accesible por un miembro del equipo de desarrollo de software. Esta cuenta fue creada para permitir al desarrollador descargar datos de producción no sensibles para pruebas. Suponiendo que todas las opciones sean posibles, ¿qué debe recomendar el gerente de seguridad de la información?. Restringir el acceso de la cuenta a solo lectura. Registrar todo uso de la cuenta. Suspender la cuenta y activarla solo cuando sea necesario. Requerir que se presente una solicitud de cambio por cada descarga. ¿Cuál es el MEJOR indicador de que los controles de seguridad están funcionando efectivamente?. Las estadísticas mensuales del servicio muestran un impacto mínimo de problemas de seguridad. El costo de implementar controles de seguridad es menor que el valor de los activos. El porcentaje de sistemas que cumplen con los estándares de seguridad es satisfactorio. Los informes de auditoría no reflejan hallazgos significativos de seguridad. Se ha diseñado y aplicado la segregación de funciones (SoD) en un sistema de cuentas por pagar. ¿Qué debe implementarse para mantener MEJOR la efectividad de SoD?. Se asigna una regla de contraseña fuerte al personal de pagos. Se difunde la concienciación de seguridad por el departamento de cumplimiento. Se alinea una matriz de roles operativos con el organigrama. Se revisan los privilegios de acceso cuando cambia el rol de un operador. Varios departamentos reportaron problemas en sus sistemas tras aplicar múltiples parches de seguridad. ¿Cuál es el PRIMER paso para manejar este problema?. Evaluar los problemas e implementar procedimientos de reversión si es necesario. Desconectar los sistemas de la red hasta corregir los problemas. Desinstalar los parches de estos sistemas. Contactar al proveedor sobre los problemas ocurridos. Los marcos de seguridad de la información pueden ser MÁS útiles para el gerente de seguridad de la información porque: proporcionan procesos y métodos detallados. están diseñados para lograr resultados específicos. proporcionan estructura y orientación. proporcionan políticas y procedimientos. ¿En cuál de las siguientes situaciones es la MONITORIZACIÓN CONTINUA la MEJOR opción?. Donde los incidentes pueden tener un alto impacto y frecuencia. Donde la legislación requiere fuertes controles de seguridad de la información. Donde los incidentes pueden tener un alto impacto pero baja frecuencia. Donde el comercio electrónico es un impulsor principal del negocio. Un gerente de seguridad de la información que asigna descripciones de trabajo a tipos de acceso de datos probablemente se adhiere a cuál de los siguientes principios de seguridad de la información?. Ética. Proporcionalidad. Integración. Responsabilidad. ¿Cuál es la MAYOR preocupación al revisar reglas de firewall?. El firewall permite enrutamiento por origen (source routing). El firewall permite propagación por broadcast. El firewall permite puertos no registrados. El firewall permite protocolos no estándar. ¿Cuál es el medio MÁS rentable para mejorar la concienciación de seguridad del personal?. Incentivos monetarios a empleados. Educación y capacitación de usuarios. Política de tolerancia cero. Reporte de infracciones de seguridad. ¿Cuál es el más efectivo para prevenir que un individuo no autorizado siga a una persona autorizada por una entrada segura (tailgating/piggybacking)?. Cerraduras con tarjeta. Identificación con foto. Escáneres biométricos. Capacitación de concienciación. ¿Cómo determinarán los dueños de los datos qué accesos y autorizaciones tendrán los usuarios?. Delegando autoridad al custodio de datos. Clonando cuentas de usuario existentes. Determinando preferencias jerárquicas. Asignando según necesidades del negocio. ¿Cuál es el resultado MÁS probable de un curso de concienciación en seguridad de la información bien diseñado?. Aumento en reporte de incidentes de seguridad a la función de respuesta. Disminución en reporte de incidentes de seguridad a la función de respuesta. Disminución en número de reinicios de contraseñas. Aumento en el número de vulnerabilidades del sistema identificadas. ¿Qué tema sería el MEJOR para incluir en el programa de concienciación de seguridad para empleados generales nuevos?. Revisión de varios modelos de seguridad. Discusión sobre cómo construir contraseñas seguras. Revisión de roles con acceso privilegiado. Discusión de resultados de evaluación de vulnerabilidades. ¿Cuál es un componente crítico de un programa de mejora continua en seguridad de la información?. Métricas del programa. Desarrollar un acuerdo de nivel de servicio para seguridad. Vincular estándares corporativos de seguridad a un estándar internacional reconocido. Asegurar cumplimiento regulatorio. Una empresa ha implementado un sistema ERP utilizado por 500 empleados de varios departamentos. ¿Cuál de los siguientes enfoques de control de acceso es el MÁS apropiado?. Basado en reglas. Mandatorio. Discrecional. Basado en roles. Una empresa planea contratar a un proveedor externo para alojar su sitio web corporativo. La preocupación MÁS importante del gerente de seguridad de la información es asegurarse de que: una auditoría del proveedor no revele debilidades significativas. el contrato incluya un acuerdo de confidencialidad para proteger la propiedad intelectual. el contrato obligue al proveedor a cumplir con las políticas de seguridad. el proveedor realice pruebas de penetración regularmente. ¿Cuál es el OBJETIVO PRINCIPAL al contratar a una empresa externa para realizar pruebas de penetración?. Mitigar riesgo técnico. Obtener certificación independiente de seguridad de red. Recibir una visión independiente de exposiciones de seguridad. Identificar lista completa de vulnerabilidades. La característica MÁS importante de buenas políticas de seguridad es que: Indiquen expectativas de la gerencia de TI. Establezcan solo un mandato general de seguridad. Estén alineadas con los objetivos organizacionales. Gobiernen la creación de procedimientos y guías. ¿Cuál de las siguientes acciones aumentaría la concienciación en seguridad entre los empleados de una empresa?. Distribuir estadísticas de incidentes de la industria. Monitorear la magnitud de los incidentes. Incentivar a los empleados a comportarse de manera más consciente. Refuerzo continuo de la política de seguridad. ¿Cuál es el método MÁS apropiado para asegurar la fortaleza de las contraseñas en una gran empresa?. Intentar restablecer varias contraseñas a valores débiles. Instalar código para capturar contraseñas para auditoría periódica. Solicitar contraseñas de un subconjunto de usuarios para revisión. Determinación automática de fortaleza de contraseñas en cada plataforma. ¿Cuál es el MEJOR enfoque para mejorar los procesos de gestión de seguridad de la información?. Realizar auditorías de seguridad periódicas. Realizar pruebas de penetración periódicas. Definir y monitorear métricas de seguridad. Encuestar a unidades de negocio para obtener retroalimentación. ¿En qué deben basarse las métricas al medir y monitorear programas de seguridad de la información?. Riesgo residual. Niveles de seguridad. Objetivos de seguridad. Estadísticas de incidentes de seguridad. ¿Cuál es la MEJOR justificación para convencer a la gerencia de invertir en un programa de seguridad de la información?. Reducción de costos. Cumplimiento de políticas de la empresa. Protección de activos empresariales. Aumento del valor del negocio. Una empresa está entrando en un acuerdo con un nuevo socio comercial para realizar envíos de correspondencia a clientes. ¿Cuál es la acción MÁS importante que debe realizar el gerente de seguridad de la información?. Revisión de diligencia debida de los controles de seguridad del socio. Asegurar que el socio tenga un programa efectivo de continuidad de negocio. Asegurar que el tercero esté contractualmente obligado a cumplir todos los requisitos de seguridad relevantes. Consultar a otros clientes del socio para verificar referencias. Una empresa que externalizó su nómina necesita realizar evaluaciones independientes de los controles de seguridad del tercero, según la política. ¿Cuál es el requisito MÁS útil para incluir en el contrato?. Derecho a auditar. Acuerdo de confidencialidad. Implementación adecuada de firewall. Gerente de seguridad dedicado para monitoreo de cumplimiento. ¿Cuál es la actividad MÁS crítica para asegurar la seguridad continua de servicios de TI externalizados?. Capacitar en seguridad al personal del proveedor externo. Realizar revisiones de seguridad periódicas al proveedor externo. Incluir requisitos de seguridad en el contrato de servicio. Solicitar al proveedor que cumpla con la política de seguridad de la empresa. Una infraestructura de escritorio virtual permite acceso remoto. El beneficio de este enfoque desde una perspectiva de seguridad es: Optimizar el presupuesto de recursos de TI al reducir el mantenimiento físico de las PC remotas. Establecer la segregación de datos personales y organizacionales al usar una PC remota. Permitir la ejecución de operaciones de borrado de datos en un entorno de PC remota. Terminar la actualización de la lista de antivirus aprobados para PC remotas. ¿Cuál de los siguientes asegura MEJOR que los riesgos de seguridad se reevaluarán cuando se realicen modificaciones en desarrollos de aplicaciones?. Proceso de gestión de problemas. Verificación de antecedentes. Proceso de control de cambios. Análisis de impacto en el negocio. ¿En qué fase del ciclo de vida del desarrollo de sistemas se eligen los controles de acceso y algoritmos de cifrado?. Diseño procedimental. Diseño arquitectónico. Especificaciones de diseño del sistema. Desarrollo de software. ¿Cuál de los siguientes se considera generalmente un componente fundamental de un programa de seguridad de la información?. Sistemas de control de acceso basado en roles. Provisionamiento automático de acceso. Capacitación en concienciación de seguridad. Sistemas de prevención de intrusiones. ¿Cómo puede una empresa saber si su nuevo programa de seguridad de la información está logrando sus objetivos?. Las métricas clave indican reducción del impacto de incidentes. La gerencia aprobó el programa y lo respalda. Los empleados aceptan los cambios implementados. Hay una reducción inmediata en los incidentes reportados. Un beneficio del enfoque de divulgación completa (caja blanca) frente al enfoque ciego (caja negra) para pruebas de penetración es que: Simula un ataque externo de la vida real. No requiere intervención humana. Se gasta menos tiempo en reconocimiento y recopilación de información. La información crítica de infraestructura no se revela al tester. Una empresa probablemente incluirá una cláusula de indemnización en un acuerdo de nivel de servicio porque: Reduce la probabilidad de un incidente. Limita el impacto en la empresa. Es un requisito regulatorio. Asegura el desempeño. ¿Cuál es el MEJOR enfoque para mitigar ataques de fuerza bruta en línea a cuentas de usuario?. Contraseñas almacenadas cifradas. Concienciación del usuario. Contraseñas fuertes que se cambian periódicamente. Implementación de políticas de bloqueo. ¿Cuál medida es el disuasivo MÁS efectivo contra empleados descontentos que abusan de sus privilegios?. Estrategia de defensa en capas. Monitoreo de registros de auditoría del sistema. Política de uso aceptable firmada. Sistemas de alta disponibilidad. ¿Cuál es la ventaja de enviar mensajes usando técnicas esteganográficas frente a cifrado?. La existencia de los mensajes es desconocida. Se requieren claves más pequeñas. El tráfico no puede ser interceptado. La fiabilidad de los datos es mayor en tránsito. Se sospecha que una aplicación web recientemente modificada permitió acceso no autorizado. ¿Cuál es la MEJOR manera de identificar una puerta trasera?. Prueba de penetración caja negra. Auditoría de seguridad. Revisión de código fuente. Escaneo de vulnerabilidades. ¿Qué vulnerabilidad es común al usar SNMP v2 para monitorear redes?. Desbordamiento remoto de buffer. Cross-site scripting. Autenticación en texto claro. Ataque man-in-the-middle. ¿Cuál es la PRIMERA fase en la que se debe abordar la seguridad en el ciclo de desarrollo de un proyecto?. Diseño. Implementación. Pruebas de seguridad de aplicaciones. Factibilidad. Una empresa instaló escáneres biométricos de huellas digitales en todas las entradas debido a un requisito de la gerencia para mejorar el control de acceso. Debido al gran número de empleados y la lenta respuesta del sistema, se tarda mucho tiempo en que todos accedan al edificio y cada vez más empleados entran por “piggybacking”. ¿Cuál es la MEJOR acción que el gerente de seguridad de la información debe tomar?. Reemplazar el sistema por uno de mejor tiempo de respuesta. Escalar el problema a la gerencia. Volver a los procedimientos de control de entrada manual. Aumentar la aplicación de cumplimiento. ¿Cuál de las siguientes métricas es la MÁS útil para evaluar la efectividad de un programa de monitoreo de controles?. Porcentaje de controles clave monitoreados. Tiempo entre detección e inicio de remediación. Costo del monitoreo frente a incidentes detectados. Tiempo entre un incidente y su detección. Lograr cumplimiento con un proceso en un estándar de seguridad de la información seleccionado por la gerencia se demostraría MEJOR mediante: Indicadores de objetivos clave. Factores críticos de éxito. Indicadores clave de desempeño (KPI). Análisis de impacto en el negocio. ¿Cuál sería el riesgo de seguridad MÁS significativo al usar tecnología de red inalámbrica (WLAN)?. Ataque man-in-the-middle. Suplantación de paquetes de datos. Puntos de acceso no autorizados (rogue AP). Secuestro de sesión. ¿Cuál de las siguientes previene MEJOR ataques externos de seguridad?. Direcciones IP estáticas. Traducción de direcciones de red (NAT). Verificación de antecedentes de empleados temporales. Asegurar y analizar registros de acceso al sistema. ¿Cómo debe determinar un gerente de seguridad de la información la selección de controles requeridos para cumplir los objetivos de negocio?. Priorizar el uso de controles de acceso basados en roles. Enfocarse en controles clave. Restringir controles a aplicaciones críticas. Enfocarse en controles automatizados. ¿Cuál es el propósito de un control correctivo?. Reducir eventos adversos. Identificar un compromiso. Mitigar impactos. Asegurar cumplimiento. La promulgación de políticas y procedimientos para prevenir intrusiones de hackers es un ejemplo de actividad que pertenece a: Gestión de riesgos. Cumplimiento. Gestión de TI. Gobernanza. ¿Cuál es el MEJOR método para detectar y monitorear las actividades de un hacker sin exponer activos de información a riesgos innecesarios?. Firewalls. Hosts bastión. Archivos señuelo. Subredes filtradas. ¿Cuál sería la MEJOR manera de mejorar la actitud y compromiso de los empleados hacia la seguridad de la información?. Implementar controles restrictivos. Personalizar la capacitación según la audiencia. Aplicar sanciones administrativas. Iniciar supervisión más estricta. Al considerar la externalización de servicios, ¿en qué momento debería involucrarse la seguridad de la información en el proceso de gestión de proveedores?. Durante la negociación del contrato. Cuando la unidad de negocio solicita asistencia. Cuando se están estableciendo los requisitos. Cuando ocurre un incidente de seguridad. Un gerente de seguridad de la información decidió implementar un sistema para monitorear el acceso a Internet y bloquear varios sitios. Inmediatamente tras la instalación, los empleados inundaron el soporte de TI con quejas por no poder realizar funciones de negocio en Internet. Esto es un ejemplo de: Controles de seguridad en conflicto con necesidades organizacionales. Protección fuerte de recursos de información. Implementación de controles apropiados para reducir riesgos. Proveer capacidades de protección de la seguridad de la información. ¿Cuál de los siguientes es el factor crítico de éxito MÁS importante de un programa de seguridad de la información?. Desarrollo de políticas y procedimientos de seguridad de la información. Compromiso de la alta gerencia. Capacitación y concientización de seguridad para todos los usuarios. Establecimiento de un sistema de gestión de seguridad de la información. ¿Cómo comienza el desarrollo de un programa de seguridad de la información?. Se evalúan y analizan los riesgos. Se desarrolla la arquitectura de seguridad. Se completa la declaración de aplicabilidad de controles. Se definen los resultados requeridos. ¿Cuáles constituyen las PRINCIPALES actividades del proyecto en el desarrollo de un programa de seguridad de la información?. Diseño y despliegue de controles. Desarrollo de seguridad empresarial. Diseño de arquitectura conceptual y lógica. Desarrollo de objetivos de gestión de riesgos. ¿Quién es responsable de garantizar que la información se categorice y se tomen medidas de protección específicas?. El oficial de seguridad. Alta gerencia. El usuario final. El custodio. La seguridad de la información debe: Enfocarse en eliminar todo riesgo. Equilibrar requerimientos técnicos y de negocio. Ser guiada por requerimientos regulatorios. Ser definida por la junta directiva. ¿Cuál es la PRIMERA cosa que debe determinar el gerente de seguridad de la información al desarrollar un programa de seguridad?. Los objetivos de control. Los objetivos estratégicos. Los resultados deseados. La arquitectura lógica. ¿Cuál es la MEJOR forma de mitigar el riesgo de que un administrador de base de datos lea información sensible?. Registrar todo acceso a datos sensibles. Emplear cifrado a nivel de aplicación. Instalar una solución de monitoreo de base de datos. Desarrollar una política de seguridad de datos. En una gran empresa, ¿qué hace que un programa de concientización en seguridad de la información sea MÁS efectivo?. El programa es desarrollado por una empresa de capacitación profesional. El programa está integrado en el proceso de orientación. El programa se personaliza según la audiencia usando el canal de entrega apropiado. El programa es obligatorio según la política de seguridad de la información. ¿Cuál es la BASE PRINCIPAL para la priorización del gasto y presupuesto en seguridad?. Los niveles de riesgo identificados. Tendencias de la industria. Incremento en el costo del servicio. Los ingresos asignados de la empresa. ¿Qué contendrá la política de respaldo de datos?. Criterios para respaldo de datos. Personal responsable del respaldo. Un calendario de respaldo de datos. Lista de sistemas a respaldar. ¿Qué rol es MÁS apropiado para asegurar que el material de concientización y capacitación en seguridad se implemente efectivamente?. Departamento de recursos humanos. Gerente de negocio. Expertos en la materia. Departamento de seguridad de la información. ¿Qué debe hacerse PRIMERO al decidir permitir acceso a la instalación de procesamiento de información de una empresa a un nuevo tercero externo?. Revisión del lenguaje del contrato. Evaluación de riesgos. Factor de exposición. Diligencia debida del proveedor. Una empresa permite que sus proveedores accedan remotamente a una base de datos con información crítica de la cadena de suministro. ¿Cuál es el MEJOR control para asegurar que los representantes de proveedores no accedan o modifiquen indebidamente información?. Derechos de acceso de usuario. Controles de acceso biométricos. Autenticación por contraseña. Autenticación de dos factores. ¿Qué aspecto es MÁS importante incluir en el acuerdo de nivel de servicio para promover la resolución de problemas operativos con un proveedor de nube?. Jurisdicción judicial. Descripción del proceso. Requisitos de auditoría. Responsabilidades definidas. Al asegurar puntos de acceso inalámbricos, ¿qué control garantizaría MEJOR la confidencialidad?. Implementar sistemas de prevención de intrusiones inalámbricas. No transmitir el identificador de conjunto de servicios (SSID). Implementar autenticación WEP. Forzar una VPN sobre la conexión inalámbrica. La alta gerencia es reacia a presupuestar la adquisición de un sistema de prevención de intrusiones. ¿Qué debe hacer el CISO?. Desarrollar y presentar un caso de negocio para el proyecto. Buscar apoyo de usuarios y custodios de activos de información. Invitar al proveedor a una demostración de prueba de concepto. Organizar capacitación en concientización de seguridad para la gerencia. ¿Qué proporcionaría PRIMARIAMENTE la posibilidad de que los usuarios evadan un mecanismo de autenticación basado en formularios en una aplicación con base de datos?. Contraseña débil de seis caracteres. Inyección de SQL. Tiempo de espera de sesión prolongado. Falta de bloqueo de cuenta tras intentos fallidos. Desde una perspectiva de seguridad, ¿cuál es el paso MÁS importante cuando un empleado es transferido a otra función?. Revisar y modificar derechos de acceso. Asignar nuevas responsabilidades de seguridad. Capacitación específica para el nuevo rol. Conocer debilidades de seguridad del departamento anterior. ¿Cuál es la MEJOR forma de borrar información confidencial almacenada en cintas magnéticas?. Formateo de bajo nivel. Reescribir con ceros. Quemarlas. Desmagnetizarlas. ¿Para cuál de los siguientes propósitos se usaría MÁS probablemente el hacking ético?. Prueba de resiliencia de procesos en un sitio alterno. Como sustituto de pruebas sustantivas. Evaluación de controles de aplicaciones heredadas. Chequeo final en un proceso de recuperación de ciberataques. Se ha firmado un contrato con un nuevo proveedor para gestionar servicios de soporte TI. ¿Cuál tarea debe asegurarse de realizar el gerente de seguridad de la información A CONTINUACIÓN?. Establecer monitoreo del proveedor. Definir relaciones de reporte. Crear un acuerdo de nivel de servicio. Hacer que el proveedor firme un acuerdo de confidencialidad. ¿Qué es lo MÁS importante para calcular un retorno de inversión (ROI) preciso en seguridad de la información?. Excluir riesgos cualitativos para precisión en cifras calculadas. Establecer procesos para asegurar reducción de costos. Medir consistentemente valores monetarios. Tratar la inversión en seguridad como un centro de ganancias. El director de auditoría ha recomendado una solución específica de monitoreo de seguridad al gerente de seguridad de la información. ¿Qué debe hacer el gerente PRIMERO?. Obtener cotizaciones comparativas y completar la compra con el proveedor más económico. Agregar la compra al presupuesto en el siguiente ciclo presupuestario. Realizar una evaluación para determinar correlación con objetivos de negocio. Formar un equipo de proyecto para planificar la implementación. Al establecer un esquema de clasificación de información, el rol del propietario de la información es: Asegurar que todos los datos en un sistema de información estén protegidos según la política de clasificación. Determinar la clasificación de la información dentro del alcance de su responsabilidad. Identificar toda información que requiera respaldo según su criticidad y clasificación. Delegar la clasificación de información a los custodios responsables. La declaración formal de objetivos y metas de seguridad de la información de la organización debe encontrarse en: Procedimientos de seguridad de la información. Principios de seguridad de la información. Código de conducta de los empleados. Política de seguridad de la información. ¿Cuál es el enfoque MÁS efectivo para identificar eventos que puedan afectar la seguridad de la información en una gran empresa multinacional?. Revisar auditorías internas y externas para detectar anomalías. Asegurar amplia implementación de sensores de detección de intrusiones. Desarrollar canales de comunicación en toda la empresa. Realizar revisiones de seguridad periódicas a nivel empresarial. Durante una auditoría, un gerente de seguridad de la información descubrió que los representantes de ventas enviaban información sensible de clientes por correo electrónico. ¿Cuál es la MEJOR acción para abordar el problema?. Revisar el hallazgo con el gerente de ventas para evaluar riesgo e impacto. Reportar el problema inmediatamente a la alta gerencia. Solicitar a los representantes que dejen de enviar información sensible por email. Proporcionar capacitación en concientización de seguridad a los representantes de ventas. ¿Cuál de los siguientes se utiliza MEJOR para definir los requisitos mínimos de configuración de seguridad de bases de datos?. Procedimientos. Guías. Valores base. Políticas. ¿Quién sería el USUARIO PRINCIPAL de métricas sobre el número de correos electrónicos puestos en cuarentena por infección de virus frente a los correos infectados que no fueron detectados?. Comité de dirección de seguridad. Junta directiva. Gerentes de TI. Gerente de seguridad de la información. ¿Cuál es el ELEMENTO MÁS importante que debe incluirse en una política de seguridad de la información?. Definición de roles y responsabilidades. Alcance del programa de seguridad. Objetivos clave del programa de seguridad. Referencia a procedimientos y estándares del programa de seguridad. La política corporativa de seguridad de la información debe: Abordar vulnerabilidades de la red corporativa. Abordar el proceso para comunicar una violación. Ser clara y fácil de entender. Ser personalizada para audiencias específicas. Exigir que todos los empleados y contratistas cumplan con los requisitos de seguridad y idoneidad del personal, de acuerdo con la sensibilidad de su puesto y sujeto a evaluaciones de personal, es un ejemplo de una: Política de seguridad. Estrategia. Guía. Valor base. El aspecto MÁS importante al establecer buenas políticas de seguridad de la información es asegurarse de que: Tengan consenso de todos los grupos involucrados. Sean accesibles fácilmente por todos los empleados. Reflejen la intención de la gerencia. Hayan sido aprobadas por auditoría interna. ¿Cuál de las siguientes opciones proporciona la MEJOR medida de efectividad de la estrategia de seguridad?. Minimizar riesgo en toda la empresa. Contramedidas existentes para todas las amenazas conocidas. Pérdidas consistentes con expectativas anuales de pérdida. En qué medida se cumplen los objetivos de control. “Los datos sensibles deben protegerse para evitar pérdida, robo, acceso no autorizado y/o divulgación no autorizada” es una declaración que se encontraría MÁS probablemente en una: Guía. Política. Procedimiento. Estándar. ¿Cuál de los siguientes se actualiza con mayor frecuencia?. Procedimientos para el endurecimiento de servidores de bases de datos. Estándares de longitud y complejidad de contraseñas. Políticas que abordan la gobernanza de seguridad de la información. Estándares para retención y destrucción de documentos. ¿Qué fecha proporciona la MEJOR medida de efectividad de un estándar de seguridad?. Fecha de creación. Nombre del autor. Fecha de aprobación del borrador inicial. Fecha de última revisión. Para mejorar la seguridad del sistema de recursos humanos de una empresa, un gerente de seguridad de la información tiene la opción de implementar un firewall adicional de filtrado de paquetes O un sistema de detección de intrusos basado en heurística. ¿Cómo debe decidir el gerente con presupuesto limitado?. Análisis de riesgos. Análisis de impacto empresarial. Análisis de retorno de inversión. Análisis costo-beneficio. ¿Cuál es la RAZÓN PRINCIPAL para cambiar políticas durante el desarrollo de un programa?. Las políticas deben cumplir nuevos mandatos legales y regulatorios. Los valores base de seguridad ya no están establecidos en las políticas. Las políticas ya no reflejan la intención y dirección de la gerencia. Los empleados ignoran consistentemente las políticas. ¿Qué debería incluir una buena declaración de privacidad?. Notificación de responsabilidad sobre exactitud de información. Notificación de que la información será encriptada. Declaración de lo que la empresa hará con la información recopilada. Descripción del proceso de clasificación de información. ¿Qué requerirá más esfuerzo al apoyar un programa operativo de seguridad de la información?. Revisar y modificar procedimientos. Modificar políticas por cambios tecnológicos. Redactar políticas por nuevas regulaciones. Redactar estándares por diferencias regionales. Cuando una empresa establece relación con un proveedor externo de TI, ¿cuál es uno de los temas MÁS importantes a incluir en el contrato desde el punto de vista de seguridad?. Cumplimiento con estándares internacionales de seguridad. Uso de un sistema de autenticación de dos factores. Existencia de un sitio alterno en caso de interrupción del negocio. Cumplimiento con los requerimientos de seguridad de la información de la empresa. Un nuevo gerente de seguridad de la información observa que las prácticas y procedimientos existentes parecen ad hoc. Basado en esto, la siguiente acción debe ser: Evaluar el compromiso de la gerencia senior con el programa. Evaluar el nivel de madurez de la empresa. Revisar los estándares corporativos. Revisar las prácticas de gestión de riesgos corporativos. ¿Cuál de las siguientes es una ventaja de una estructura organizativa centralizada de seguridad de la información?. Es más fácil promover concientización sobre seguridad. Es más fácil de gestionar y controlar. Es más receptiva a las necesidades de las unidades de negocio. Proporciona un tiempo de respuesta más rápido a solicitudes de seguridad. La alta gerencia ha expresado preocupación sobre la efectividad del programa de seguridad de la información. ¿Qué puede hacer el gerente de seguridad de la información para obtener su apoyo?. Reconstruir el programa basándose en un estándar reconocido y auditable. Calcular el análisis costo-beneficio de los controles existentes. Entrevistar a los gerentes senior para abordar sus inquietudes sobre el programa. Presentar un informe del comité de dirección que respalde el programa. ¿Cuál es el PROPÓSITO PRINCIPAL de instalar un sistema de detección de intrusos?. Identificar debilidades en la seguridad de la red. Identificar patrones de acceso sospechoso. Identificar cómo se lanzó un ataque a la red. Identificar posibles ataques a la red interna. ¿Cuál es el MAYOR beneficio de la gestión de seguridad descentralizada?. Reducción del costo total de propiedad. Mejor cumplimiento de políticas y estándares. Mejor alineación de la seguridad con las necesidades del negocio. Administración más sencilla. ¿Cuál de los siguientes es uno de los MEJORES indicadores que un gerente de seguridad de la información puede usar para evaluar eficazmente los resultados de un programa de seguridad?. Número de controles implementados. Porcentaje de objetivos de control alcanzados. Porcentaje de cumplimiento de la política de seguridad. Reducción en el número de incidentes de seguridad reportados. ¿Cuál de los siguientes indicadores tiene MÁS valor estratégico?. Número de usuarios con acceso privilegiado. Tendencias en la frecuencia de incidentes. Tiempo anual de inactividad de la red. Resultados de escaneo de vulnerabilidades. Obtener la clave pública de otra parte es necesario para iniciar cuál de las siguientes actividades?. Autorización. Firma digital. Autenticación. No repudio. ¿Cuál de las siguientes combinaciones ofrece el método de cifrado y autenticación MÁS FUERTE para redes inalámbricas 802.11?. Wired Equivalent Privacy con autenticación de clave precompartida de 128 bits. Temporal Key Integrity Protocol-Message Integrity Check con el cifrado RC4. Wi-Fi Protected Access 2 (WPA2) con autenticación de clave precompartida. WPA2 con autenticación 802.1x. ¿Cuál de los siguientes tipos de detección es NECESARIO para mitigar un ataque de denegación de servicio o distribuido (DDoS)?. Detección basada en firmas. Inspección profunda de paquetes. Detección de virus. Detección basada en anomalías. El enfoque técnico MÁS efectivo para mitigar el riesgo de que información confidencial sea divulgada en correos electrónicos salientes es implementar: Filtrado de contenido. Clasificación de datos. Concienciación en seguridad de la información. Cifrado de todos los archivos adjuntos. Una empresa planea ofrecer servicios educativos basados en suscripción en línea, que requerirán que los clientes inicien sesión con su ID y contraseña. ¿Cuál es el MEJOR método para validar las contraseñas ingresadas antes de permitir acceso?. Cifrado. Filtrado de contenido. Fortalecimiento de bases de datos. Hashing. Integrar diversas actividades en el desarrollo de una infraestructura de seguridad de información se logra MEJOR desarrollando: un plan de negocio. una arquitectura. requerimientos. especificaciones. Después de decidir adquirir un sistema de gestión de información y eventos de seguridad, lo MÁS importante para el gerente de seguridad de la información es: realizar un análisis comparativo de los sistemas disponibles. desarrollar un caso de negocio completo. usar el proceso de adquisición existente de la empresa. asegurarse de que haya capacidad de red suficiente. ¿Qué es LO MÁS importante en el desarrollo de políticas de seguridad de la información?. Adoptar un marco establecido. Usar diseño modular para facilitar mantenimiento. Usar estándares de la industria. Recopilar requisitos de los interesados. Una empresa ha contratado a un experto en seguridad de información para realizar pruebas de penetración en la red, proporcionándole información sobre la infraestructura. El beneficio de este enfoque es: Se dedica más tiempo a la explotación que al reconocimiento y descubrimiento. Simula con precisión un intento externo de hackeo. Capacidad de explotar vulnerabilidades TCP/IP. Elimina la necesidad de herramientas de prueba de penetración. ¿Cuál es la MEJOR manera de verificar que todos los servidores de producción críticos usan archivos de firmas de virus actualizados?. Verificar la fecha de la última actualización. Usar un virus benigno recientemente identificado para probar la cuarentena. Investigar la firma más reciente y compararla con la consola. Verificar en una muestra de servidores que los archivos estén actualizados. Una empresa ha desarrollado y aprobado una política de control de acceso. ¿Cuál es la forma MÁS efectiva de comunicarla a los empleados?. Exigir a los empleados el acuse de recibo formal de la política. Integrar requisitos de seguridad en las descripciones de trabajo. Publicar la política en la intranet. Implementar un retiro anual sobre seguridad de información. Un baseline de seguridad puede usarse MEJOR para: Asegurar entornos inestables. Establecer endurecimiento uniforme de sistemas. Priorizar objetivos de seguridad. Establecer una política corporativa de seguridad. El CISO recién nombrado de una farmacéutica debe crear procedimientos de seguridad para todos los departamentos. ¿A qué grupo debe acercarse inicialmente para escribirlos?. Departamento legal. Usuarios finales. Alta dirección. Departamento de operaciones. ¿Cuál es el control MÁS apropiado para abordar el cumplimiento de requisitos regulatorios específicos?. Políticas. Estándares. Procedimientos. Directrices. ¿Cuál es el método MÁS efectivo para mejorar la concienciación en seguridad de la información?. Emails oportunos sobre amenazas reales. Capacitación de expertos externos para personal clave de TI. Capacitación de concienciación específica por rol. Capacitación general en línea para todo el personal. En una empresa madura, se esperaría que el baseline de seguridad pueda aproximarse mediante cuál de los siguientes?. Existen políticas organizacionales. La arquitectura empresarial está documentada. Se cumplen los objetivos de control. Se abordan los requisitos de cumplimiento. ¿Cuál de las siguientes fases del ciclo de vida de desarrollo de aplicaciones internas representa la MEJOR oportunidad para que un gerente de seguridad de la información influya en el resultado?. Diseño del sistema para una nueva aplicación. Pruebas de aceptación de usuario y firma. Recopilación y análisis de requisitos. Implementación. Un gerente de seguridad de la información ha instruido a un administrador de bases de datos implementar auditoría nativa para cumplir con requisitos regulatorios de monitoreo de usuarios privilegiados. ¿Cuál es la razón PRINCIPAL de la preocupación del administrador?. Interfiere con el registro de eventos basado en políticas. Afecta el rendimiento de la base de datos de producción. Requiere desarrollo de herramientas suplementarias. Limita la flexibilidad en la gestión de configuraciones. Los controles que fallan en estado cerrado (seguro) presentan un riesgo para: Confidencialidad. Integridad. Autenticidad. Disponibilidad. Cuando se externalizan procesos de nómina a un proveedor, ¿cuál es el aspecto MÁS importante desde el punto de vista de seguridad?. Se ha realizado un análisis costo-beneficio. Se cumplen los requisitos de privacidad. El proveedor asegura transferencia de datos segura. No hubo incidentes de seguridad significativos en el proveedor. Al establecer un programa de seguridad de información, es MÁS importante que los gerentes: Examinen y comprendan la cultura empresarial. Analicen y comprendan el sistema de control. Identifiquen y evalúen el riesgo global de la empresa. Examinen y evalúen los recursos de seguridad. El requisito de diligencia debida está MÁS relacionado con: Derecho a auditar. Acuerdos de nivel de servicio. Estándar de cuidado adecuado. Revisiones periódicas de seguridad. ¿Cuál factor afecta el grado en que los controles deben ser aplicados en capas?. Impacto en productividad. Modos comunes de falla. Costo de mantenimiento de controles. Controles que fallan en condición cerrada. Al recomendar un control para proteger aplicaciones empresariales contra inyección SQL, el gerente de seguridad de la información sugerirá con mayor probabilidad: Endurecimiento de servidores web. Consolidación de sitios en un portal único. Estándares de codificación y revisión de código. Usar HTTPS en lugar de HTTP. ¿Cuál es el atributo más significativo de un buen indicador de seguridad de la información?. Es significativo para el receptor. Es confiable y preciso. Afecta la productividad. Es escalable y rentable. ¿Por qué se necesita una autoridad de certificación en una infraestructura de clave pública?. Proporciona prueba de la integridad de los datos. Evita la negación de transacciones específicas. Avalúa la validez de la clave pública de un usuario. Almacena la clave privada de un usuario. ¿En qué circunstancias deben utilizarse controles de acceso obligatorios?. Cuando la empresa tiene alta tolerancia al riesgo. Cuando la delegación de derechos es contraria a la política. Cuando la política de control especifica supervisión continua. Cuando se permite el acceso, a menos que se deniegue explícitamente. El desarrollo de políticas de seguridad de la información debe basarse PRINCIPALMENTE en: Vulnerabilidades. Exposiciones. Amenazas. Impactos. ¿Cuál es la razón MÁS probable por la que se puede eliminar una política organizacional?. No existe amenaza creíble. El personal ignora la política. Los estándares subyacentes están obsoletos. La política no es requerida por regulaciones. El departamento de TI ha sido encargado de desarrollar un nuevo sistema de procesamiento de transacciones para gestión de cuentas en línea. ¿En qué etapa debe involucrarse el departamento de seguridad de la información?. Viabilidad. Requisitos. Diseño. Pruebas de aceptación de usuario. ¿Cuál de los siguientes es un ejemplo de control correctivo?. Desviar tráfico entrante en respuesta a un ataque de denegación de servicio. Filtrar tráfico de red. Examinar tráfico de red entrante en busca de virus. Registrar tráfico de red entrante. ¿Cuál es el OBJETIVO PRINCIPAL de integrar el proceso de seguridad de la información en el ciclo de vida de desarrollo del sistema?. Garantizar cumplimiento de auditoría. Garantizar que se implementen controles apropiados. Delimitar roles y responsabilidades. Establecer la base para desarrollo o adquisición. ¿Cuál es la razón PRINCIPAL para implementar un programa corporativo de educación y concienciación en seguridad de la información?. Lograr compromiso del consejo y alta dirección. Asignar roles y responsabilidades de seguridad. Establecer una cultura que favorezca la seguridad efectiva. Cumplir políticas y regulaciones de seguridad. ¿Cuál es el MEJOR indicador de buen gobierno corporativo?. Evaluaciones de riesgo. Nivel de madurez. Informes de auditoría. Historial de pérdidas. ¿Cuál de las siguientes actividades es MÁS efectiva para desarrollar un esquema de clasificación de datos?. Clasificar datos críticos según niveles de protección. Clasificar datos según posibilidad de filtración. Alinear el esquema con herramientas de prevención de filtración de datos. Crear conciencia sobre los beneficios de la clasificación de datos. ¿Cuál de las siguientes opciones es una preocupación PRINCIPAL al usar la función de instantánea del registro de auditoría de la base de datos?. Degradación del rendimiento. Pérdida de integridad de los datos. Dificultad para mantener consistencia. Configuración inflexible. ¿Cuál es el objetivo PRINCIPAL de desarrollar un programa de seguridad de la información?. Implementar la estrategia. Optimizar recursos. Entregar métricas. Lograr aseguramiento. Una empresa ha decidido implementar BYOD para laptops y teléfonos móviles. ¿En qué debe centrarse primero el gerente de seguridad de la información?. Desaconsejar BYOD debido al riesgo de seguridad. Preparar un caso de negocio para nuevas herramientas de seguridad para BYOD. Actualizar el programa de concienciación en seguridad para incluir BYOD. Determinar una estrategia de seguridad de la información para BYOD. Las decisiones sobre seguridad de la información se respaldan MEJOR mediante: Análisis estadístico. Asesoramiento experto. Benchmarking. Métricas efectivas. ¿Cuál es el método MÁS efectivo para garantizar que las operaciones externalizadas cumplan con la postura de seguridad de la empresa?. Se proporciona al proveedor la documentación de auditoría. Se redacta un contrato integral con métricas de nivel de servicio y sanciones. Se realizan visitas periódicas al sitio del proveedor. Se realiza una auditoría y revisión de cumplimiento in situ. ¿Por qué la infraestructura de clave pública (PKI) es el modelo preferido para proporcionar claves de cifrado a un gran número de personas?. Es más eficiente computacionalmente. Es más escalable que la clave simétrica. Es menos costosa de mantener que la clave simétrica. Proporciona mayor fuerza de cifrado que el modelo de clave secreta. La implementación de un proceso efectivo de gestión de cambios es un ejemplo de: Control correctivo. Control disuasorio. Control preventivo. Control compensatorio. Los requisitos de un programa de seguridad de la información deben basarse PRINCIPALMENTE en: Políticas de gobernanza. Resultados deseados. Objetivos específicos. Estrategia de seguridad. Un gerente de seguridad de la información ha recibido quejas de la alta dirección sobre el nivel de seguridad proporcionado por un proveedor externo. El proveedor es un vendedor de larga data con un acuerdo de servicio renovado regularmente durante los últimos cuatro años. ¿Cuál es la PRIMERA acción que debe tomar el gerente de seguridad de la información?. Asegurarse de que los requisitos de seguridad en el acuerdo de servicio cumplan con los requerimientos actuales del negocio. Revisar métricas de seguridad para determinar si el proveedor cumple con el acuerdo. Realizar una evaluación formal de la capacidad del proveedor. Automatizar el proceso de reporte de incidentes para asegurar seguimiento oportuno. ¿Cómo debe proceder un gerente de seguridad de la información al seleccionar un proveedor de nube pública para infraestructura y software externalizados?. Exigir estrictos acuerdos de nivel de servicio para garantizar disponibilidad de aplicaciones. Verificar que la postura de seguridad del proveedor cumpla con los requerimientos de la empresa. Actualizar las políticas de seguridad de la empresa para reflejar el acuerdo con el proveedor. Consultar a un tercero para proporcionar un informe de auditoría sobre el programa de seguridad del proveedor. ¿Cuál de los siguientes enfoques es el MEJOR para diseñar controles de acceso basados en roles?. Crear una matriz de funciones de trabajo. Aplicar etiquetas persistentes a los datos. Habilitar autenticación multifactor. Usar scripts de inicio de sesión individuales. ¿Qué paso del proceso de gestión de cambios puede omitirse para implementar un cambio de emergencia?. Documentación. Autorización. Programación. Pruebas. ¿Cuál de los siguientes criterios es el MÁS esencial para métricas operacionales?. Oportunidad del informe. Relevancia para el destinatario. Precisión de la medición. Costo de obtención de métricas. ¿Cuál es la MEJOR indicación de que el gerente de seguridad de la información está logrando el objetivo de entrega de valor?. Alto nivel de utilización de recursos. Reducción de los requerimientos presupuestarios. Uso de proveedores de menor costo. Minimización del costo del personal. ¿Cuál es la razón MÁS importante por la que un gerente de seguridad de la información debe comprender la tecnología de la información?. Asegurar la configuración adecuada de los dispositivos que almacenan y procesan información. Comprender el riesgo tecnológico y su contribución a los objetivos de seguridad. Asistir y asesorar en la adquisición y despliegue de TI. Mejorar la comunicación entre seguridad de la información y funciones de negocio. ¿Qué condición es MÁS probable que requiera la modificación de un estándar corporativo?. El estándar no se ajusta a los procedimientos. El personal de TI no entiende el estándar. El estándar es inconsistente con las guías. No se cumplen los objetivos de control. La protección de datos sensibles almacenados en un tercero requiere: Garantías de que el tercero cumplirá con los requisitos del contrato. Compromisos de auditorías de seguridad independientes periódicas. Capacitación en seguridad y verificación de antecedentes del personal del tercero. Revisión periódica de contratos y políticas del tercero para asegurar cumplimiento. Una nueva aplicación requiere desviarse de la configuración estándar del sistema operativo (OS). ¿Qué debe hacer primero el gerente de seguridad?. Contactar al proveedor para modificar la aplicación. Evaluar riesgos e identificar controles compensatorios. Aprobar una excepción a la política para cumplir necesidades empresariales. Revisar y actualizar la configuración base del OS. ¿Cuál es el mecanismo de capacitación MÁS efectivo para promover la cultura de seguridad organizacional?. Elegir un subconjunto de personas influyentes para promover los beneficios del programa de seguridad. Realizar capacitación estructurada en grupos pequeños anualmente. Exigir a cada empleado completar un módulo autodidacta anual. Impartir capacitación a toda la empresa mediante video en streaming. ¿Cuál de los desafíos asociados con la documentación de seguridad de la información es MÁS probable que afecte a una empresa grande y establecida?. Los estándares cambian más lentamente que el entorno. Las políticas cambian más rápido de lo que pueden distribuirse. Se ignoran los procedimientos para cumplir con requisitos operativos. Las políticas permanecen sin cambios durante largos periodos. En una institución financiera, ¿bajo cuál de las siguientes circunstancias las políticas probablemente necesitarán modificación?. Los controles de acceso actuales han sido insuficientes para prevenir una serie de violaciones graves de la red. El gerente de seguridad de la información ha determinado que el cumplimiento con los estándares de configuración es inadecuado. Los resultados de una auditoría han identificado un problema de continuidad operativa (going concern) con la empresa. La gerencia ha ordenado cumplir con un conjunto recientemente promulgado de requisitos de seguridad de la información. ¿Qué herramienta debería revisar un gerente de seguridad de la información recién contratado para comprender cómo se gestionan eficazmente los proyectos actuales de seguridad de la información?. Base de datos de proyectos. Base de datos del portafolio de proyectos. Documentos de políticas. Oficina de gestión de programas. ¿Cuál es el OBJETIVO PRINCIPAL de desarrollar un programa de seguridad de la información?. Crear la política de seguridad de la información. Maximizar el tiempo de actividad del sistema. Desarrollar controles fuertes. Implementar la estrategia. Un gerente de seguridad de la información ha implementado un proceso automatizado para comparar el acceso físico mediante tarjetas con el acceso lógico en el sistema de inicio de sesión único (SSO). ¿Cuál es el uso MÁS probable de esta información?. Monitorear un indicador clave de riesgo. Determinar si el personal hace piggybacking. Supervisar al departamento de seguridad física. Evaluar el proceso de SSO. ¿Cuál de las siguientes opciones protegerá MEJOR a la empresa contra ataques de seguridad internos?. Direcciones IP estáticas. Traducción de direcciones internas. Verificación de antecedentes de empleados potenciales. Programa de certificación de concientización de empleados. ¿Cuál es el BENEFICIO PRINCIPAL de realizar una clasificación de activos de información?. Vincula los requisitos de seguridad con los objetivos de negocio. Identifica controles acordes al impacto. Define derechos de acceso. Establece la propiedad del activo. ¿Cómo se puede describir MEJOR la relación entre políticas y estándares corporativos?. Los estándares y las políticas tienen solo una relación indirecta. Los estándares describen detalladamente el significado de la política. Los estándares proporcionan dirección sobre el cumplimiento de la intención de la política. Los estándares pueden existir sin relación con ninguna política específica. Una persona que trabaja en un banco recibe una llamada por VoIP de alguien que dice ser empleado del banco en otra sucursal solicitando información de clientes. La PRIMERA acción a tomar es: Obtener el correo electrónico del llamante y enviar la información usando cifrado de mensajes. Aconsejar al empleado que recibió la llamada colgar y luego llamar a la otra sucursal usando el número del directorio de la oficina. Hacer preguntas relacionadas con el negocio y, si la respuesta es correcta, enviar la información. Pedir al llamante que llame después y notificar a los oficiales regulatorios sobre un posible fraude. ¿Cuál de los siguientes ataques se MITIGA MEJOR usando contraseñas fuertes?. Ataque de hombre en el medio. Ataque de fuerza bruta. Desbordamiento de búfer remoto. Rootkit. ¿Cuál de las siguientes razones es la MÁS probable por la que una empresa ha decidido externalizar los servicios de detección de intrusiones?. Como respuesta a recomendaciones de auditoría. Debido a la complejidad de interpretar ataques. Como resultado de un análisis costo-beneficio. Por falta de personal competente. El phishing se MITIGA MEJOR mediante: Software de monitoreo de seguridad. Cifrado. Autenticación de dos factores. Conciencia del usuario. ¿Cuál es el paso inicial que tomaría un gerente de seguridad de la información durante la fase de recopilación de requisitos de un proyecto de TI para evitar el fracaso del proyecto?. Desarrollar una metodología integral que defina y documente las necesidades del proyecto. Incorporar los requisitos de seguridad en el diseño del sistema considerando las necesidades de seguridad de la empresa. Asegurarse de que el problema del negocio se comprenda claramente antes de trabajar en la solución. Crear un plan de proyecto basado en los principios de la metodología ágil. ¿Cuál es el BENEFICIO PRINCIPAL de un programa de concientización en seguridad?. Reducir la probabilidad de un evento de seguridad de la información. Fomentar el cumplimiento de la política de seguridad de la información. Cumplir con la normativa y legislación local y específica de la industria. Proporcionar a los empleados expectativas sobre seguridad de la información. ¿Quién tiene la autoridad inherente para otorgar una excepción a la política de seguridad de la información?. El propietario del proceso de negocio. El gerente departamental. El aprobador de la política. El gerente de seguridad de la información. ¿Qué actividad de recursos humanos (HR) es MÁS crucial en la gestión de dispositivos móviles suministrados por la empresa?. Notificaciones de terminación. Verificación de antecedentes. Estructura de reportes. Apoyo a la concientización. ¿Qué tipo de información esperaría que tuviera el nivel MÁS BAJO de protección de seguridad en una empresa multinacional que cotiza en bolsa?. Plan estratégico de negocios. Resultados financieros próximos. Información personal de clientes. Resultados financieros anteriores. ¿Cuál es el REQUISITO PREVIO PRINCIPAL para implementar la clasificación de datos dentro de una empresa?. Definir roles laborales. Realizar una evaluación de riesgos. Identificar a los propietarios de los datos. Establecer políticas de retención de datos. Al implementar una solución de computación en la nube que proporcione software como servicio (SaaS) a la empresa, ¿cuál es la MAYOR preocupación para el gerente de seguridad de la información?. La falta de regulaciones claras sobre el almacenamiento de datos con un tercero. La capacitación de los usuarios para acceder correctamente a la nueva tecnología. El riesgo de falla de la red y la consiguiente pérdida de disponibilidad de la aplicación. La posibilidad de divulgación de datos sensibles en tránsito o almacenamiento. Una ventaja de usar una solución de computación en la nube en lugar de una solución alojada localmente es: la capacidad de obtener almacenamiento y ancho de banda a demanda. reducción de los requisitos de capacitación de usuarios y gerentes. mayor seguridad como resultado del cifrado de datos en tránsito. la oportunidad de controlar cambios en aplicaciones y datos. Para establecer la relación contractual entre entidades usando infraestructura de clave pública (PKI), la autoridad certificadora debe proporcionar cuál de los siguientes elementos?. Una autoridad de registro. Un certificado digital. Una capacidad de no repudio. Una declaración de prácticas de certificación. ¿Cuál de las siguientes prácticas de control representa la PRIMERA capa de la estrategia de defensa en profundidad?. Privacidad de datos. Autenticación. Respuesta a incidentes. Respaldo. Un gerente de proyecto está desarrollando un portal para desarrolladores y solicita al gerente de seguridad que asigne una dirección IP pública para que pueda ser accedida por personal interno y consultores externos fuera de la red local de la empresa. ¿Qué debe hacer el gerente de seguridad PRIMERO?. Comprender los requisitos empresariales del portal para desarrolladores. Realizar una evaluación de vulnerabilidades del portal para desarrolladores. Instalar un sistema de detección de intrusos. Obtener un acuerdo de confidencialidad firmado por los consultores externos antes de permitir el acceso externo al servidor. La razón MÁS probable para segmentar una red por dominios de confianza es: limitar las consecuencias de una violación. reducir la vulnerabilidad a un ataque. facilitar el escaneo automatizado de la red. implementar un esquema de clasificación de datos. Un sistema crítico para la misión ha sido identificado con una cuenta administrativa con atributos que impiden el bloqueo y el cambio de privilegios y nombre. ¿Cuál sería el MEJOR enfoque para prevenir un ataque de fuerza bruta exitoso sobre esta cuenta?. Evitar que el sistema sea accedido remotamente. Crear una contraseña aleatoria y fuerte. Solicitar un parche al proveedor. Registrar el uso de la cuenta mediante auditorías. La gerencia empresarial está finalizando el contenido de una matriz de segregación de funciones para cargarse en un sistema de órdenes de compra. ¿Qué debería recomendar el gerente de seguridad de la información para MEJORAR la efectividad de la matriz?. Asegurar que los aprobadores estén alineados con el organigrama. Rastrear las rutas de los aprobadores para eliminar bloqueos. Configurar alertas para que se activen en caso de excepciones. Identificar conflictos en los límites de autoridad de los aprobadores. Los programas activos de concienciación en seguridad de la información influyen PRINCIPALMENTE en: el riesgo aceptable. el riesgo residual. los objetivos de control. los objetivos empresariales. Una empresa desarrolló recientemente una tecnología innovadora. Dado que esta tecnología podría darle una ventaja competitiva significativa, ¿qué debería regir PRIMERO cómo se protege esta información?. Política de control de acceso. Política de clasificación de datos. Estándares de cifrado. Política de uso aceptable. Al considerar la externalización de procesos técnicos o empresariales, una de las PRINCIPALES preocupaciones del gerente de seguridad de la información es si el proveedor de servicios externo: entregará un nivel de calidad aceptable para la base de clientes establecida de la empresa. aceptará acuerdos de nivel de servicio con penalizaciones suficientes para compensar pérdidas potenciales. proporcionará servicios técnicos a un costo menor que el posible internamente. cumplirá con los requisitos de seguridad de la empresa de forma continua y verificable. La gerencia de TI ha estandarizado el navegador de Internet usado en la empresa. Esta práctica es MÁS efectiva para cumplir cuál de los siguientes objetivos?. Prevenir ataques diseñados para explotar vulnerabilidades conocidas. Asegurar que la cantidad de suscripciones esté alineada con el contrato. Invalidar el desarrollo ilegal de programas de scripts de navegador. Garantizar la compatibilidad con aplicaciones web internas. ¿Cuál es el MEJOR método para mitigar ataques de denegación de servicio (DoS) en la red?. Asegurarse de que todos los servidores estén actualizados con parches del sistema operativo. Emplear filtrado de paquetes para descartar paquetes sospechosos. Implementar traducción de direcciones de red para hacer que las direcciones internas no sean enrutable. Implementar balanceo de carga para dispositivos expuestos a Internet. ¿Cuál sería la MEJOR métrica que un gerente de seguridad de la información podría proporcionar para apoyar la solicitud de financiamiento de nuevos controles?. Tendencias anuales adversas de incidentes. Hallazgos de auditoría de cumplimiento deficiente. Resultados de un escaneo de vulnerabilidades. Aumento de escaneos de puertos externos. El enfoque MÁS oportuno y efectivo para detectar violaciones de seguridad no técnicas en una empresa es: Desarrollar canales de comunicación a nivel empresarial. Auditorías periódicas de terceros de los registros de incidentes. Un sistema automatizado de monitoreo de cumplimiento de políticas. Implementación de buzones de sugerencias en toda la empresa. ¿Qué elemento del programa debería implementarse PRIMERO en la clasificación y control de activos?. Evaluación de riesgos. Clasificación. Valoración. Mitigación de riesgos. ¿Por qué es importante la clasificación de activos para un programa de seguridad de la información exitoso?. Determina la prioridad y el alcance de los esfuerzos de mitigación de riesgos. Determina la cantidad de seguro necesaria en caso de pérdida. Determina el nivel de protección apropiado para el activo. Determina cómo se comparan los niveles de protección con empresas similares. ¿Cuál es un enfoque razonable para determinar la efectividad de un control?. Determinar si el control es preventivo, detector o correctivo. Revisar la capacidad del control para notificar fallas. Confirmar la capacidad del control para cumplir sus objetivos. Evaluar y cuantificar la confiabilidad del control. La RAZÓN PRINCIPAL para iniciar un proceso de excepción de política es cuando: las operaciones están demasiado ocupadas para cumplir. el riesgo está justificado por el beneficio. el cumplimiento de la política sería difícil de hacer cumplir. los usuarios podrían sentirse inicialmente inconvenientes. ¿Cuál de los siguientes sería el factor MÁS relevante al definir la política de clasificación de la información?. Cantidad de información. Infraestructura de TI disponible. Benchmarking. Requisitos de los propietarios de los datos. La comunicación anormal de servidores desde el interior de la empresa hacia terceros externos puede ser monitoreada para: Registrar el rastro de amenazas persistentes avanzadas. Evaluar la resiliencia de los procesos de operación de los servidores. Verificar la efectividad de un sistema de detección de intrusos. Apoyar un marco de no repudio en comercio electrónico. ¿Cuál de los siguientes métodos de autenticación previene la reproducción (replay) de autenticaciones?. Implementación de hash de contraseñas. Mecanismo de desafío/respuesta. Uso de encriptación Wired Equivalent Privacy. Autenticación básica HTTP. ¿Cuál es el PROPÓSITO PRINCIPAL de la segregación de funciones?. Monitoreo de empleados. Reducción de requisitos de supervisión. Prevención de fraude. Mejora del cumplimiento. ¿Cuál es el MEJOR medio para estandarizar configuraciones de seguridad en dispositivos similares?. Políticas. Procedimientos. Guías técnicas. Líneas base. ¿Cuál de los siguientes proporciona la MEJOR defensa contra la introducción de malware en computadoras de usuarios finales a través del navegador de Internet?. Validación de entradas para inyección de SQL. Restringir acceso a sitios de redes sociales. Eliminar archivos temporales. Restringir la ejecución de código móvil. Un sistema de aplicación de redes sociales tiene un proceso para escanear comentarios publicados en busca de divulgaciones inapropiadas. ¿Cuál de las siguientes opciones evitaría este control?. Un ajuste de fuente elaborado. Uso de identidad robada. Publicación anónima. Un error ortográfico en el texto. ¿Cuál de los siguientes factores afectará MÁS el grado en que los controles deben ser estratificados?. El grado en que los controles son procedimentales. El grado en que los controles están sujetos a la misma amenaza. El costo total de propiedad de los controles existentes. El grado en que los controles fallan en condición cerrada. ¿Cuál de los siguientes es una medida preventiva?. Un banner de advertencia. Registros de auditoría. Un control de acceso. Un sistema de alarma. ¿Cuál es el factor MÁS importante a tener en cuenta al evaluar el valor de la información?. La pérdida financiera potencial. El costo de recrear la información. El costo del seguro. Requisitos regulatorios. El esquema de clasificación de información debe: Considerar el posible impacto de una brecha de seguridad. Clasificar información personal en formato electrónico. Ser realizado por el gerente de seguridad de la información. Basarse en una evaluación de riesgos. ¿Cuál es el MEJOR método para proporcionar a un nuevo usuario su contraseña inicial para el acceso al sistema de correo electrónico?. Proporcionar una contraseña compleja generada por el sistema a través de correo interno con vencimiento en 30 días. Proporcionar una contraseña temporal por teléfono con vencimiento inmediato. No requerir contraseña pero obligar al usuario a establecerla en 10 días. Establecer la contraseña inicial igual al ID de usuario con vencimiento en 30 días. No se puede aplicar un parche no crítico del sistema operativo para mejorar la seguridad porque una aplicación crítica no es compatible con el cambio. ¿Cuál es la MEJOR solución?. Reescribir la aplicación para que sea compatible con el sistema operativo actualizado. Compensar la no instalación del parche con controles mitigantes. Modificar el parche para permitir que la aplicación se ejecute en estado privilegiado. Ejecutar la aplicación en una plataforma de prueba; ajustar la producción para permitir parche y aplicación. ¿Cuál es la BASE PRINCIPAL para la selección de controles y contramedidas?. Eliminar el riesgo de TI. Balance costo-beneficio. Gestión de recursos. El número de activos protegidos. ¿Cuál es el PROPÓSITO PRINCIPAL de realizar una prueba de ataque interno y penetración?. Identificar debilidades en la seguridad de red y servidores. Identificar formas de mejorar el proceso de respuesta a incidentes. Identificar vectores de ataque en el perímetro de la red. Identificar la respuesta óptima a ataques de hackers internos. ¿Cuál de las siguientes tareas debe realizar PRIMERO el gerente de seguridad de la información cuando se debe compartir información empresarial con entidades externas?. Ejecutar un acuerdo de confidencialidad. Revisar la clasificación de la información. Establecer un canal de comunicación seguro. Imponer el cifrado de la información. ¿Cuál es el elemento MÁS importante de la clasificación de activos de información?. Riesgo residual. Segregación de funciones. Impacto potencial. Necesidad de saber. |