ejemplo de examen primera - isaca.org€¦ · explicaciones de preparación al examen cism ... el...

CORRECTION NOTICE for Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISM® 2011: Sample Test (EJEMPLO DE EXAMEN) questions 3, 38, 59, 62, 68, 69, 73, 96 and 103 on pages 177, 182, 185, 186, 187, 190 and 191

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISM 2011 177

EJEMPLO DE EXAMEN

1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias específicas a fin de proteger la información confidencial de los clientes. ¿Cuáles son las acciones que debería tomar el consejo a continuación?

A. Indicar a la seguridad de la información lo que se necesita hacer B. Estudiar las soluciones para determinar cuáles son las apropiadas C. Requerir a la gerencia que informe respecto al cumplimiento D. Nada; la seguridad de la información no está subordinada a la junta

2. El gerente de seguridad de la información cree que un servidor de archivos de la red fue alterado por un intruso (hacker). ¿Cuál de las siguientes acciones debería ser la PRIMERA en tomarse?

A. Asegurarse de que exista un respaldo de los datos importantes en el servidor. B. Cerrar el servidor comprometido. C. Iniciar el proceso de respuesta a incidentes. D. Bloquear la red.

3. A medida que crece una organización, podría suceder que se requiriera establecer excepciones en las políticas de seguridad de la información que no se habían especificado inicialmente. Para garantizar una gestión efectiva de los riesgos de negocio, las excepciones a dichas políticas deberían ser:

A. consideradas a juicio del propietario de la información. B. aprobadas por el superior inmediato dentro de la organización. C. manejadas formalmente dentro del marco de la seguridad de la información. D. revisadas y aprobadas por el gerente de seguridad.

4. ¿Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

A. Desarrollar procedimientos para aplicar la política de seguridad de la información B. Obtener un sólido respaldo de la gerencia C. Implementar estrictos controles de seguridad técnicos D. Auditar periódicamente el cumplimiento de la política de seguridad de la información

5. ¿Cuál de las siguientes opciones representa un beneficio del gobierno de seguridad de la información?

A. Reducción de la posibilidad de responsabilidad civil o legal B. Cuestionar la confianza en las relaciones con los proveedores C. Aumentar el riesgo de las decisiones basadas en información incompleta de la gerencia D. Intervención directa de la alta gerencia en el desarrollo de los procesos de control

6. La inversión en tecnología y procesos de seguridad se debe basar en:

A. una clara alineación con las metas y los objetivos de la organización. B. casos que hayan resultado exitosos en proyectos anteriores. C. las mejores prácticas de negocios. D. la protección inherente a la tecnología existente.

7. Un componente crítico del programa de mejor continua para la seguridad de la información es: A. medir los procesos y proporcionar opiniones y comentarios. B. desarrollar un acuerdo de nivel de servicio (SLA) para la seguridad. C. vincular los estándares de seguridad de la empresa con un estándar internacional reconocido. D. asegurar el cumplimiento de las regulaciones.


182 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISM 2011

EJEMPLO DE EXAMEN

36. La PRINCIPAL razón para incluir la seguridad de la información en cada etapa del ciclo de vida del desarrollo de sistemas (SDLC) es identificar las implicaciones de seguridad y las posibles soluciones requeridas para:

A. identificar vulnerabilidades en el sistema. B. sostener la postura de seguridad de la organización. C. los sistemas existentes que se verán afectados. D. cumplir con la segregación de funciones.

37. Al hablar al departamento de recursos humanos de una organización acerca de la seguridad de la información, un gerente de seguridad de la información debería concentrase en la necesidad de:

A. un presupuesto adecuado para el programa de seguridad. B. reclutar empleados técnicos en TI. C. evaluaciones de riesgos periódicas. D. entrenar a los empleados para concienciarlos sobre la seguridad.

38. ¿Cuál acción se debería llevar a cabo una vez verificado el incidente de seguridad?

A. Identificar el incidente. B. Contener el incidente. C. Determinar la causa del incidente. D. Realizar una evaluación de vulnerabilidad.

39. ¿Cuál de los siguientes es el MEJOR enfoque para mejorar los procesos de gestión de seguridad de la información?

A. Realizar auditorías de seguridad periódicas. B. Realizar pruebas de penetración periódicas. C. Definir y monitorear las mediciones de seguridad. D. Sondear a las unidades de negocio para conocer su opinión.

40. Una organización de seguridad de la información debe PRINCIPALMENTE:

A. respaldar los objetivos de negocios de la compañía al proporcionar servicios de apoyo relacionados con la seguridad.

B. ser responsable de establecer y documentar las responsabilidades de la seguridad de la información de los miembros del equipo de seguridad de la información.

C. asegurar que las políticas de seguridad de la información de la compañía se adhieran a las mejores prácticas y los mejores estándares.

D. asegurar que se transmitan las expectativas de la seguridad de la información a los empleados.

41. La razón PRINCIPAL para iniciar un proceso de excepción de políticas es cuando:

A. el número de operaciones sea muy elevado para cumplir. B. el beneficio justifique el riesgo. C. sea muy difícil hacer cumplir las políticas. D. los usuarios puedan verse inicialmente incómodos.

42. La manera MÁS útil de describir los objetivos en la estrategia de seguridad de la información es a través de:

A. atributos y características del “estado deseado”. B. objetivos generales de control del programa de seguridad. C. asignación de sistemas de TI a procesos de negocio clave. D. cálculo de expectativas de pérdidas anuales.


EJEMPLO DE EXAMEN

57. El personal de operaciones de la organización coloca los archivos de pago en una carpeta compartida en red; posteriormente el personal de costo toma los archivos para realizar el procesamiento de pagos. Meses más tarde, esta intervención manual será automatizada y, por consiguiente, se espera que haya controles económicos que protejan los archivos contra alteraciones. ¿Cuál de las siguientes opciones sería la MEJOR solución?

A. Diseñar un programa de entrenamiento dirigido al personal encargado para crear más conciencia sobre

la seguridad de la información B. Establecer permisos de acceso basados en roles para la carpeta compartida C. El usuario final desarrolla un programa de macros para PC para comparar los contenidos de los

archivos de remitentes y destinatarios D. Los operadores de las carpetas compartidas firman un acuerdo donde se comprometen a no realizar

actividades fraudulentas 58. ¿Cuál de las siguientes opciones sería el factor MÁS importante que se debería considerar en la pérdida de

equipos móviles con datos no cifrados? A. Divulgación de información personal B. Cobertura suficiente de la política de seguros para pérdidas accidentales C. Valor intrínseco de los datos almacenados en el equipo D. Costo de reemplazo del equipo 59. Cuando se descubre una vulnerabilidad importante en la seguridad de un servidor web crítico, se debe

notificar inmediatamente a: A. el propietario del sistema para que tome acciones correctivas. B. el equipo de respuesta a incidentes para que investigue. C. los propietarios de los datos para que mitiguen el daño. D. el equipo de desarrollo para que solucione el problema.

60. Cuando se implementa un gobierno de seguridad efectivo en el marco de los requerimientos de la estrategia de seguridad de la compañía, ¿cuál de los siguientes factores es el MÁS importante que se debe considerar?

A. Preservar la confidencialidad de los datos sensitivos B. Establecer estándares de seguridad internacionales para compartir datos C. Adherirse a los estándares corporativos de privacidad D. Establecer la responsabilidad relacionada con la seguridad de la información del gerente de sistemas

61. ¿Cuál de las opciones siguientes contribuye MÁS al desarrollo de una estructura de gobierno de seguridad que respalde el concepto de modelo de madurez?

A. Análisis, monitoreo y discusiones permanentes B. Monitoreo continuo del beneficio sobre la inversión en seguridad (ROSI, return on security investment) C. Reducción continua de riesgos D. Establecimiento de indicador clave de riesgo (KRI, key risk indicator) en procesos de gestión de la

seguridad

62. La razón PRINCIPAL para que el Comité de dirección de seguridad de la información revise un nuevo plan de implementación de controles de seguridad es asegurar que:

A. el plan se adhiere al plan de negocios de la organización. B. los presupuestos departamentales han sido elaborados de manera correcta para financiar el plan. C. se cumplen los requerimientos regulatorios de supervisión. D. se reduce el impacto del plan sobre las unidades de negocios.



EJEMPLO DE EXAMEN

63. Una organización ha adoptado una práctica regular de rotación de personal para minimizar el riesgo de fraude y alentar el entrenamiento cruzado. ¿Qué tipo de política de autorización abordaría MEJOR esta práctica?

A. Multinivel B. Basada en roles C. Discrecional D. Basada en atributos

64. La evaluación de riesgos es MÁS efectiva cuando se realiza:

A. al principio del desarrollo del programa de seguridad. B. con frecuencia. C. mientras se desarrolla el caso de negocio para el programa de seguridad. D. durante el proceso de cambio de negocio.

65. Una organización que contrató servicios de terceros para el procesamiento de nóminas realiza una evaluación independiente de los controles de seguridad de los proveedores externos, según requerimientos establecidos por las políticas. ¿Cuál de los siguientes requerimientos es el MÁS importante al hacer un contrato?

A. Derecho de auditoría B. Acuerdo de no divulgación C. Implementación de cortafuegos (firewall) adecuado D. Gerente de seguridad dedicado a la supervisión del cumplimiento

66. ¿Cuál de las siguientes técnicas identifica MÁS claramente si se deberían implementar controles de reducción de riesgos específicos?

A. Análisis de costo-beneficio de contramedidas B. Prueba de penetración C. Programas frecuentes de evaluación de riesgos D. Cálculo de la expectativa de pérdidas anuales (ALE)

67. ¿Cuál de los siguientes recursos es el MÁS efectivo para impedir que un individuo no autorizado siga a una persona autorizada a través de una entrada protegida (seguir muy de cerca o entrar inmediatamente después)?

A. Cerraduras de puertas con tarjeta de acceso B. Identificación con fotografía C. Escáneres biométricos D. Formación para la sensibilización

68. Existen razones para pensar que una aplicación web modificada recientemente permitió un acceso no autorizado. ¿Cuál es la MEJOR manera de identificar una puerta trasera en la aplicación?

A. Prueba de penetración de caja negra B. Auditoría de seguridad C. Revisión del código fuente D. �Escaneo de vulnerabilidad

69. El origen de un ataque de Falsificación de petición en sitios cruzados (XSRF) llevado a cabo exitosamente en una aplicación, es que la aplicación vulnerable:

A. usa redireccionamiento múltiple para completar la inserción de datos. B. ha implementado cookies como único mecanismo de autenticación. C. �fue instalada con una clave de licencia ilegítima. D. está alojada en un servidor junto con otras aplicaciones.



EJEMPLO DE EXAMEN

70. Después de obtener la participación de la alta gerencia, ¿cuál de las siguientes opciones se deben completar SEGUIDAMENTE cuando se establece un programa de seguridad de la información?

A. Definir métricas de seguridad B. Realizar una evaluación de riesgos C. Realizar un análisis de brechas D. �Adquirir herramientas de seguridad

71. Un riesgo aceptado anteriormente se debe:

A. volver a evaluar periódicamente, ya que éste pudiera alcanzar un nivel inaceptable debido a situaciones ya consideradas.

B. aceptar de forma permanente, ya que la gerencia ha dedicado recursos (tiempo y trabajo) para concluir que el nivel de riesgo es aceptable.

C. evitar la próxima vez, ya que el rechazo de riesgos proporciona la mejor protección para la compañía. D. eliminar del registro de riesgos después de aceptarlo.

72. Durante la implementación de un programa de gobierno de seguridad de la información, la junta directiva de una organización debe ser responsable de:

A. crear políticas de seguridad de la información. B. revisar programas de entrenamiento y concienciación. C. determinar la dirección estratégica del programa. D. auditar con el propósito de verificar el cumplimiento.

73. El gerente de seguridad de la información de una organización está diseñando la estructura del Comité directivo para la seguridad de la información. ¿A cuál de los siguientes grupos debe invitar el gerente?

A. Auditoría externa y verificadores (testers) de penetración de red B. Consejo de dirección y reguladores de la organización C. Representantes sindicales externos y proveedores de seguridad clave D. Líderes de TI, de recursos humanos y del departamento de ventas 74. Una organización se enteró de que la seguridad en otra empresa que utiliza tecnología similar fue

vulnerada. Lo PRIMERO que el gerente de seguridad de la información debe hacer es: A. evaluar la probabilidad de incidentes por la causa reportada. B. descontinuar el uso de la tecnología vulnerable. C. reportar a la gerencia senior que el problema no afecta a la organización. D. recordar al personal que no se han detectado brechas similares a la seguridad.

75. ¿Cuál de los siguientes métodos es el MEJOR para transferir un mensaje de modo seguro?

A. Medios de almacenamiento removibles protegidos por contraseña B. Transmisión por fax en una habitación segura C. Uso de cifrado de infraestructura de clave pública (PKI) D. Esteganografía

76. ¿Cuál de las siguientes medidas de control aborda de forma MÁS efectiva la integridad?

A. No repudio B. Sellos de tiempo (Timestamps) C. Escaneos (scanning) biométricos D. Encriptación



EJEMPLO DE EXAMEN

91. Existe un desfase de tiempo entre la hora cuando se publica por primera vez una vulnerabilidad de la seguridad y la hora de distribución de las correcciones. ¿Cuál de las siguientes opciones debería ser la PRIMERA en llevarse a cabo para mitigar el riesgo durante este período de tiempo?

A. Identificar los sistemas vulnerables y aplicar controles compensatorios B. Minimizar el uso de los sistemas vulnerables C. Comunicar la vulnerabilidad a los usuarios del sistema D. Actualizar la base de datos de firmas de los sistemas de detección de intrusos (IDS)

92. ¿Cuál de las siguientes sería la opción MÁS indicada para mejorar la responsabilidad de un administrador de sistemas que tiene funciones de seguridad?

A. Incluir funciones de seguridad en la descripción del cargo B. Exigir al administrador que obtenga la certificación de seguridad C. Entrenar al administrador de sistemas en pruebas de penetración y evaluación de vulnerabilidades D. Entrenar al administrador de sistemas en evaluación de riesgo

93. De las siguientes opciones, ¿cuál es la PRIMERA fase en la que se debería abordar la seguridad durante el ciclo de desarrollo de un proyecto?

A. Diseño B. Implementación C. Pruebas de seguridad de las aplicaciones D. Factibilidad

94. ¿Cuál de las siguientes es la consideración MÁS crítica cuando se recolecta y preserva evidencia admisible durante la respuesta a un incidente?

A. Desconexión de los sistemas B. Cadena de custodia C. Segregación de funciones D. Sincronización de los relojes 95. Tres empleados reportaron el robo o la pérdida de sus computadoras portátiles durante sus viajes de

negocios. El PRIMER curso de acción para el gerente de seguridad sería:

A. evaluar el impacto de la pérdida y determinar los pasos para mitigarla. B. comunicar las mejores prácticas para proteger las computadoras portátiles a todos los usuarios de este

tipo de equipos. C. ordenar a los empleados en cuestión que paguen una multa por la pérdida de las computadoras

portátiles. D. recomendar que la gerencia que reporte el incidente a la policía y reclame el seguro.

96. Una organización está llegando a un acuerdo con un nuevo socio de negocios para gestionar los correos de los clientes. ¿Cuál es la acción MÁS importante que debe ejecutar el gerente de seguridad de la información?

A. Realizar una revisión de seguridad de debida diligencia de los controles de seguridad del socio de

negocios B. Asegurarse de que el socio de negocios cuente con un programa de continuidad del negocio eficaz C. Asegurarse de que el contrato obligue a los proveedores externos a cumplir con todos los

requerimientos de seguridad relevantes D. Pedir a otros clientes del socio de negocios que verifiquen referencias de desempeño

97. ¿Cuál de las siguientes acciones garantiza que los datos en un archivo no hayan sido modificados? A. Analizar la fecha en que fue modificado el archivo B. Encriptar el archivo mediante encriptación simétrica C. Utilizar un control de acceso estricto para evitar accesos no autorizados D. Crear un hash del archivo para luego comparar los hashes del archivo



EJEMPLO DE EXAMEN

98. El propietario MÁS apropiado de los datos de clientes almacenados en una base de datos central, utilizada únicamente por el departamento de ventas de una organización, es el:

A. departamento de ventas. B. administrador de la base de datos. C. gerente de TI (CIO). D. director del departamento de ventas.

99. El propósito de un control correctivo es: A. reducir eventos adversos. B. indicar compromiso. C. mitigar impacto. D. asegurar cumplimiento.

100. El gerente de proyectos reporta una posible violación a un sistema de TI de una organización. ¿Qué es lo PRIMERO que debería hacer el gerente de respuesta a incidentes?

A. Ejecutar un escaneo de puertos en el sistema B. Deshabilitar el ID de inicio de sesión (logon) C. Investigar los registros (logs) del sistema D. Validar el incidente

101. ¿Cuál de las opciones siguientes sería MÁS útil para lograr una alineación entre los objetivos de seguridad de la información y los objetivos de la organización?

A. Monitoreo de controles clave B. Un sólido programa de concientización sobre la seguridad C. Un programa de seguridad que incluye actividades de negocios D. Una arquitectura de seguridad efectiva 102. ¿Cuál de las siguientes opciones es la MEJOR garantía para el no repudio:

A. contraseñas robustas. B. un hash digital. C. encriptación simétrica. D. firmas digitales.

103. Un gerente de seguridad de la información que revise las reglas sobre los sistemas de protección firewall se sentiría MÁS preocupado si el firewall permite:

A. enrutar por origen. B. propagación por difusión. C. puertos no registrados. D. protocolos no estandarizados.

104. Un enfoque de gestión de riesgos para la protección de la información es: A. gestionar riesgos hasta un nivel aceptable, según las metas y los objetivos. B. aceptar la estructura de seguridad proporcionada por productos de seguridad comerciales. C. implementar un programa de entrenamiento para educar a las personas sobre la protección y los riesgos

de la información. D. gestionar herramientas de riesgos para asegurar que se evalúan todas las vulnerabilidades de la

protección de la información.


ejemplo de examen primera - isaca.org€¦ · explicaciones de preparación al examen cism ... el...

Documents