CISM DOMINIO 1 Flashcards
únicamente preguntas del dominio 1
La PRINCIPAL preocupación de un gerente de seguridad de la información que documenta una política formal de retención de datos es:
A. Buenas prácticas generalmente aceptadas en la industria.
B. Requisitos de Negocio.
C. Requisitos legislativos y reglamentarios.
D. disponibilidad de almacenamiento.
31 ENERO 2025 sin contestar QOTD
Correcta es la B … requerimiento del negocio que pueden incluir los aspectos regulatorios que la gerencia ha decidido/querido abordar.
Los requisitos legales pueden decidir NO abordarlos y pagar la correspondiente Multa/sancion
¿Dónde deben identificarse inicialmente los requisitos de recursos para la seguridad de la información?
A. En políticas
B. En la arquitectura
C. En la estrategia
D. En procedimientos
C es la respuesta correcta.
A. Las políticas pueden especificar algunos requisitos, pero se desarrollan durante la implementación de la estrategia.
B. La arquitectura debe implementar las políticas y estándares.
C. La estrategia debe definir inicialmente los requisitos de recursos necesarios para implementar el programa. Esto es diferente del nivel de detalle táctico necesario para identificar recursos específicos.
D. Los procedimientos definirán los procesos de adquisición de recursos, pero no especificarán los requisitos.
10th edición libro Preguntas pregunta 19 página 25
¿Cuál de los siguientes requisitos es el MÁS importante a la hora de desarrollar la gobernanza de la seguridad de la información?
A. Cumplimiento de las normas corporativas aplicables
B. Lograr la rentabilidad de la mitigación de riesgos
C. Obtención del consenso de las unidades de negocio
D. Alineación con los objetivos organizacionales
D es la respuesta correcta.
A. Las normas corporativas se establecen sobre la base de políticas que respaldan la estrategia organizacional. El cumplimiento de las normas corporativas es solo un aspecto del desarrollo de la gobernanza.
B. Si bien la relación costo-beneficio de los enfoques de mitigación de riesgos es una consideración importante, algunos aspectos de la gobernanza de la seguridad de la información no se pueden implementar si son contrarios a los objetivos organizacionales.
C. El consenso es valioso, pero no obligatorio.
D. La gobernanza de la seguridad de la información es el conjunto de responsabilidades y prácticas que ejercen la junta directiva y la gerencia ejecutiva con el objetivo de proporcionar una dirección estratégica, garantizar que se alcancen los objetivos, verificar que se gestionen los riesgos de manera adecuada y verificar que los recursos de la empresa se utilicen de manera responsable. Debe respaldar y reflejar los objetivos de la empresa.
10th edición libro Preguntas pregunta 171 página 90 (ingles)
¿Cuál es la consideración MÁS importante al desarrollar un caso de negocio para una inversión en seguridad de la información?
A. El impacto en el perfil de riesgo de la empresa
B. La aceptabilidad por parte del consejo directivo
C. Los beneficios de la implementación
D. La asequibilidad para la empresa
C es la respuesta correcta.
A. El impacto en el perfil de riesgo puede ser un componente del “caso de negocio”, pero no incluye todas las áreas que éste cubriría. (Repasa lo que dice ISACA de BUSINESS CASE ó CASO DE NEGOCIO)
B. La base de aceptación entre los directores debe ser el impacto en el perfil de riesgo.
C. Un análisis de viabilidad (BUSINESS CASE) se define como la documentación de las razones para realizar una inversión comercial (DE NEGOCIO), que se utiliza tanto para respaldar una decisión comercial (DE NEGOCIO) sobre si se debe proceder con la inversión como para respaldar la gestión de la inversión durante todo su ciclo de vida económico. Un análisis de viabilidad abarca no solo los beneficios a largo plazo, sino también los de corto plazo, junto con los costos.
D. Si bien es importante considerar el costo, si los beneficios superan los costos, será lo mejor para la empresa seguir adelante con la inversión.
Una empresa ha decidido implementar procesos de gobernanza, gestión de riesgos y cumplimiento normativo (GRC) en varias áreas críticas de la empresa. ¿Cuál de los siguientes objetivos es el PRINCIPAL?
A. Reducir los costos de gobernanza
B. Mejorar la gestión de riesgos
C. Armonizar las actividades de seguridad
D. Para cumplir o mantener el cumplimiento normativo
B es la respuesta correcta.
Justificación: OJO muchos de los que NO son realmente las CONSECUENCIAS de implantar procesos de Gobernanza, gestión de Riesgos, y Cumplimiento Normativo.
A. Los costos de gobernanza pueden o no reducirse, pero ese no es el objetivo principal.
B. El objetivo general de gobernanza, riesgo y cumplimiento (GRC) es mejorar la gestión de riesgos mediante la integración de actividades interrelacionadas en toda la empresa, centradas principalmente en los dominios financieros, legales y de TI. –> Y cuando decimos GESTION DE RIESGOS queremos decir ¿eliminar los riesgos? … nooooo … queremos decir reducir los riesgos a un nivel aceptable por la empresa/por el negocio.
C. La convergencia de las actividades de seguridad sería sólo un elemento del GRC.
D. Es probable que uno de los objetivos sea lograr un nivel adecuado de cumplimiento normativo, pero con el objetivo general de lograr una gestión más eficaz y eficiente del riesgo.
Pregunta 173 10Th edición Q&A pagina 89
¿Cuál de las siguientes opciones garantizará MEJOR que la gerencia se apropie del proceso de toma de decisiones sobre seguridad de la información?
A. Políticas y procedimientos de seguridad
B. Autoevaluación anual por parte de la dirección
C. Comités directivos de seguridad
D. Campañas de sensibilización en materia de seguridad
C es la respuesta correcta.
Está hablando del PROCESO DE TOMA DE DECISIONES … y eso marca un COMITÉ
A. Las políticas y procedimientos de seguridad son buenos, pero no necesariamente resultan en una asunción de responsabilidad por parte de la gerencia.
B. Los ejercicios de autoevaluación no necesariamente indican que la gerencia se ha apropiado del proceso de toma de decisiones de seguridad.
C. Los comités directivos de seguridad proporcionan un foro para que la gerencia exprese su opinión y se haga responsable del proceso de toma de decisiones.
D. Las campañas de concientización no son una indicación de que la gerencia se haya apropiado del proceso de toma de decisiones en materia de seguridad.
