CISM ESPAÑOL JOORGE Flashcards
Añadiendo preguntas nuevas todas las semanas.
Una institución financiera planea asignar recursos de seguridad de la información a cada una de sus divisiones comerciales. ¿En qué áreas deberían centrarse las actividades de seguridad?
A. Áreas donde se aplican requisitos regulatorios estrictos
B. Áreas que requieren el objetivo de tiempo de recuperación más corto
C. Áreas que pueden maximizar el retorno de la inversión en seguridad
D. Áreas donde la probabilidad y el impacto de las amenazas son mayores
Es una pregunta complicada de responder argumentando las respuestas.
D es la respuesta correcta
A. Si bien los requisitos regulatorios deben ser considerados, puede haber otras áreas donde la amenaza y el impacto al negocio sea mayor. Un Incumplimiento regulatorio … suele ser multa, incluso cierre de empresa, pero ¿habrá amenazas mas importantes para el negocio?
B. El RTO es muy importante desde una perspectiva de Continuidad de Negocio, pero solo ilustra una parte del FrameWork de seguridad. El cumplimiento regulatorio tambien tiene iniciativas sobre el RTO.
C. Aplicar seguridad solo a la linea de negocio mas rentable NO garantiza la supervivencia de la empresa ante un ataque.
D. Las actividades de seguridad deben focalizarse en las áreas donde las amenazas, la probabilidad y el impacto son mayores… que para eso hacemos un AARR y un BIA
https://engage.isaca.org/discussion/cism-qotd-wednesday-31th-january-2024
¿Cuál de las siguientes es la consideración MÁS importante al realizar una evaluación de riesgos?
A. El equipo Ejecutivo apoya los esfuerzos de mitigación de riesgos.
B. Se han calculado las expectativas de pérdida anual para activos críticos.
C. Los activos han sido identificados y valorados adecuadamente.
D. Se comprenden los motivos, medios y oportunidades del ataque.
C es la respuesta correcta
A.- el apoyo de la direccion general es importante, pero no es relevante al realizar una evaluacion de riesgos, excepto en la medida que la falta de apoyo pueda suponer un riesgo.
B.- La expectativa de perdida anual de los activos críticos se usará en el AARR pero primero deberemos identificar esos activos.
C.- La identificación y valoración de activos proporciona la base esencial para los esfuerzos de evaluación de riesgos. Sin saber que existe un activo y su valor para la empresa, no se pueden determinar el riesgo y el impacto.
D.- Comprender los motivos, los medios y las oportunidades de ataque es parte de la identificación de riesgos, pero deben considerarse en el contexto de los activos identificados y valorados.
https://engage.isaca.org/discussion/cism-qotd-monday-29th-january-2024
¿En qué momento debería ocurrir una evaluación de riesgos de un nuevo proceso para determinar los controles apropiados? Debería ocurrir:
A. Sólo al principio y al final del nuevo proceso.
B. durante todo el ciclo de vida del proceso.
C. inmediatamente después de que se apruebe el caso de negocio del proceso.
D. antes de aprobar las especificaciones para el nuevo proceso.
Hace 20 años …. 2.000 aprox… la seguridad se implementaba al finalizar un proyecto. Desde entonces se ha estado cambiando para que la seguridad no sea una actividad PUNTUAL … sino una actividad continua y constante durante toda la ejecución del proyecto.
B es la respuesta correcta
A. Cambios de riesgo en diversas etapas del ciclo de vida. Si la evaluación se realiza sólo al principio y al final del proceso, se pasarán por alto cuestiones importantes.
B. Se debe realizar una evaluación de riesgos durante todo el ciclo de vida de un proceso nuevo o modificado. Esto permite comprender cómo la implementación de un control temprano afectará las necesidades de control posteriores.
C. El momento de las evaluaciones debe ocurrir en cada etapa del ciclo de vida independientemente del proceso. Tambien cuando se apruebe el caso de uso, así como todas las fases.
D. Las leyes y regulaciones no son relevantes sobre cuándo se debe evaluar el riesgo.
https://engage.isaca.org/discussion/cism-qotd-tuesday-30th-january-2024
Después de una evaluación de riesgos, se determina que el costo de mitigar el riesgo es mucho mayor que el beneficio que se obtendrá. El gerente de seguridad de la información debe recomendar a la gerencia empresarial que el riesgo sea:
A. Transferido.
B. Tratado.
C. Aceptado.
D. Terminado.
C es la respuesta correcta
A. Transferir el riesgo tiene un beneficio limitado si el costo del control es mayor que el costo potencial del riesgo que se manifiesta.
B. Tratar el riesgo tiene un beneficio limitado si el costo del control es mayor que el costo del riesgo que se explota.
C. Cuando el costo del control sea mayor que el costo del riesgo, se debe aceptar el riesgo.
D. Si el valor de la actividad es mayor que el costo potencial del compromiso, entonces terminar la actividad no sería el consejo apropiado.
https://engage.isaca.org/discussion/cism-qotd-thursday-1st-february-2024
¿La aceptación del riesgo es un componente de cuál de los siguientes?
A. Evaluación de riesgos
B. Mitigación de riesgos
C. Identificación de riesgos
D. Vigilancia de riesgos
B es la respuesta correcta
A. La evaluación de riesgos incluye la identificación y el análisis para determinar la probabilidad y las posibles consecuencias de un compromiso, que no es cuando se debe considerar la aceptación del riesgo o la mitigación requerida.
B. **Si después de la evaluación de riesgos un riesgo es inaceptable, la aceptabilidad se determina siguiendo los esfuerzos de mitigación del riesgo. **
C. La identificación de riesgos es el proceso de evaluación que identifica el riesgo viable mediante el desarrollo de una serie de escenarios de riesgo potenciales.
D. El seguimiento no está relacionado con la aceptación del riesgo.
https://engage.isaca.org/discussion/cism-qotd-monday-5th-february-2024
Los programas de gestión de riesgos están diseñados para reducir el riesgo de:
A. un nivel que es demasiado pequeño para ser mensurable.
B. el punto en el que el beneficio excede el gasto.
C. un nivel que la empresa esté dispuesta a aceptar.
D. una tasa de rendimiento que iguala el costo actual del capital.
C es la respuesta correcta.
A. Reducir el riesgo a un nivel demasiado pequeño para medirlo no es práctico y, a menudo, tiene un costo prohibitivo.
B. Dependiendo de la preferencia de riesgo de una empresa, puede optar o no por mitigar el riesgo hasta el punto en que el beneficio iguale o supere el gasto.
C. El riesgo debe reducirse a un nivel que una empresa esté dispuesta a aceptar.
D. Vincular el riesgo a una tasa de rendimiento específica ignora los aspectos cualitativos del riesgo que también deben considerarse.
https://engage.isaca.org/discussion/cism-qotd-tuesday-6th-february-2024
La decisión de si un riesgo de TI se ha reducido a un nivel aceptable debe determinarse mediante:
A. Requisitos organizativos.
B. Requisitos de los sistemas de información.
C. Requisitos de seguridad de la información.
D. Normas internacionales.
A es la respuesta correcta.
A. Los requisitos organizacionales deben determinar cuándo un riesgo se ha reducido a un nivel aceptable.
B. La aceptabilidad de un riesgo es, en última instancia, una decisión de la gestión, que puede o no ser coherente con los requisitos de los sistemas de información.
C. La aceptabilidad de un riesgo es, en última instancia, una decisión de la gestión, que puede o no ser coherente con los requisitos de seguridad de la información.
D. Debido a que cada empresa es única, los estándares internacionales pueden no representar la mejor solución para empresas específicas y son principalmente una guía.
https://engage.isaca.org/discussion/cism-qotd-wednesday-7th-february-2024
¿Cuál es una expectativa razonable de un programa de gestión de riesgos?
A. Elimina todo riesgo inherente.
B. Mantiene el riesgo residual en un nivel aceptable.
C. Implementa controles preventivos para cada amenaza.
D. Reduce el riesgo de control a cero.
**B es la respuesta correcta. **
A. La gestión de riesgos no pretende eliminar todos los riesgos identificados porque puede no ser rentable.
B. El objetivo de la gestión de riesgos es garantizar que todo el riesgo residual se mantenga en un nivel aceptable para el negocio.
C. La gestión de riesgos no pretende implementar controles para cada amenaza porque no todas las amenazas plantean un riesgo y no sería rentable.
D. El riesgo de control es el riesgo de que un control no sea efectivo; es un componente del programa pero es poco probable que se reduzca a cero.
https://engage.isaca.org/discussion/cism-qotd-thursday-8th-february-2024
¿Cuál de los siguientes será MÁS importante para calcular el retorno de la inversión en seguridad de la información con precisión?
A. Exclusión del riesgo cualitativo por la exactitud de las cifras calculadas.
B. Establecer procesos para asegurar reducciones de costos.
C. Medir los valores monetarios de manera consistente.
D. Tratar la inversión en seguridad como un centro de ganancias.
C…
Medir constantemente los valores monetarios es crucial para calcular con precisión el ROI. Implica asignar valores financieros a los costos asociados con la implementación y el mantenimiento de medidas de seguridad de la información, así como cuantificar las pérdidas monetarias potenciales que podrían ocurrir en ausencia de esas medidas. Al medir constantemente los valores monetarios, las organizaciones pueden comparar los costos de las inversiones en seguridad con los beneficios o ahorros potenciales que brindan.
C es la respuesta correcta. Por favor lea a continuación las explicaciones.
A. Si algo es un factor de riesgo importante, se debe intentar cuantificarlo aunque no sea muy preciso.
B. Establecer procesos para garantizar reducciones de costos no es relevante para calcular el retorno de la inversión (ROI).
C. Debe haber coherencia en las métricas para obtener resultados razonablemente precisos y consistentes. Al evaluar el riesgo de seguridad, no es una buena idea excluir simplemente el riesgo cualitativo debido a las dificultades de medición.
D. El hecho de que la inversión en seguridad se trate como un centro de ganancias no afecta los cálculos del ROI.
https://engage.isaca.org/discussion/cism-qotd-monday-12th-february-2024
Quien debe ser asignado como propietario de los datos confidenciales de los clientes que son utilizados unicamente por el departamento de ventas y almacenados en una base de datos central?
A. El departamento de ventas
B. El administrador de la base de datos
C. El director de informacion
D. El jefe del departamento de ventas
Respuesta:D
Explanation:
D. El jefe del departamento comercial.
El jefe del departamento de ventas es directamente responsable del uso de los datos dentro de su departamento y normalmente esta mas familiarizado con las necesidades y requisitos especificos del equipo de ventas. Tienen un gran interes en garantizar la confidencialidad, la integridad y el uso adecuado de los datos por parte de los miembros de su equipo. al asignar la propiedad de los datos al jefe del departamento de ventas, pueden establecer y hacer cumplir controles de acceso a los datos adecuados, implementar las medidas de seguridad necesarias y supervisar el cumplimiento de las normas de proteccion de datos pertinentes dentro de su departamento.
##Footnote
QOTD 25th de Marzo 2024
La razon PRINCIPaL para que la alta direccion revise los incidentes de seguridad de la informacion es:
A. garantizar que se implementaron acciones correctivas adecuadas.
B. demostrar el compromiso de la direccion con el proceso de seguridad de la informacion.
C. evaluar el proceso de respuesta a incidentes para detectar deficiencias.
D. evaluar la capacidad del equipo de seguridad.
ANSWER:a
Explanation:
A. aunque el equipo de seguridad y el equipo de respuesta a incidentes tomaron algunas acciones correctivas, la revision de la gerencia establecera si es necesario tomar otras acciones correctivas. En ocasiones, esto dara como resultado mejoras en las politicas de seguridad de la informacion.
OJO solo llegan incidentes GORDOS … pensar en ejemplos donde se requiera de una respuesta de Direccion General a la prensa-Clientes-partes interesadas que es una respuesta de la dirección general….
B. La gerencia no revisara los incidentes de seguridad de la informacion simplemente para demostrar el compromiso de la gerenciA.
C. La gerencia no realizara una revision para detectar fallas, como examinar el proceso de respuesta a incidentes en busca de deficiencias.
D. La administracion no realizara una revision para detectar fallas, como evaluar la capacidad del equipo de seguridad.
Q3
Que actividad BEST ayuda a garantizar que el personal contratado no obtenga acceso no autorizado a informacion confidencial?
A. Establecer cuentas para caducar.
B. Evite otorgar roles de administracion del sistema.
C. asegurese de que pasen con exito las verificaciones de antecedentes.
D. asegurese de que su acceso sea aprobado por el propietario de los datos.
ANSWER:B
Explanation:
A. Establecer una fecha de vencimiento es un elemento positivo, pero no impedira que el personal contratado obtenga acceso a informacion confidencial.
B. El personal contratado no debe recibir tareas laborales que les proporcionen usuarios avanzados u otras funciones administrativas que luego podrian usar para otorgar acceso a archivos confidenciales.
C. Requerir verificaciones de antecedentes es un elemento positivo, pero no impedira que el personal contratado obtenga acceso a informacion confidencial.
D. Hacer que el propietario de los datos apruebe el acceso es un enfoque marginalmente efectivo para limitar el acceso a informacion confidencial.
Q4 Durante la revision de seguridad de los servidores de la organizacion, se descubrio que todos los ID de usuario podian acceder a un servidor de archivos que contenia datos confidenciales de recursos humanos (RRHH). Cual es el PRIMER paso que debe realizar el responsable de seguridad?
A. Copie archivos de muestra como pruebA.
B. Eliminar los privilegios de acceso a la carpeta que contiene los datos.
C. Informar de esta situacion al titular de los datos.
D. Capacitar al equipo de RR.HH. sobre el control adecuado de los permisos de archivos.
ANSWER:C
Explanation:
La respuesta A. es irrelevante ya que no existe ningun requisito forense establecido.
Todas las demas respuestas son relevantes, pero el PRIMER paso es C. Informar esta situacion al propietario de los datos.
Luego, el propietario de los datos identificara los requisitos para: B. Eliminar los privilegios de acceso a la carpeta que contiene los datos.
Luego podemos pasar a D. Capacitar al equipo de recursos humanos para controlar adecuadamente los permisos de archivos.
OJO si quitas los permisos (B) es posible que estés afectando al negocio ya que era el comportamiento deseado por RRHH… no era un error… era una feature… por eso informar al titular VERIFICA QUE LA INCIDENCIA DETECTADA ES REAL… que tambien puede ser que estemos equivocados y no sea un ERROR
Q5
Cual de las siguientes tecnologias es probablemente la MaS util para contrarrestar amenazas persistentes avanzadas APT - APA?
A. Sistema de deteccion de intrusiones basado en anomalias
B. Sistema de gestion de eventos e informacion de seguridad (SIEM)
C. Herramientas automatizadas de escaneo de vulnerabilidades
D. Sistema integrado de gestion de red
ANSWER:B
Explanation:
B. Sistema de gestion de eventos e informacion de seguridad.SIEM en ingles
Los sistemas de gestion de eventos e informacion de seguridad recopilan y analizan datos de registro de varios dispositivos de red y seguridad, proporcionando monitoreo y correlacion de eventos en tiempo real.
Q6
Cual de las siguientes opciones representaria una violacion de la cadena de custodia cuando una cinta de respaldo ha sido identificada como evidencia en una investigacion de fraude? La cinta era:
A. puesto bajo custodia de investigadores encargados de hacer cumplir la ley.
B. conservado en la biblioteca de cintas en espera de un analisis mas detallado.
C. sellado en un sobre firmado y encerrado en una caja fuerte bajo doble control.
D. entregado a investigadores independientes autorizados.
ANSWER:B
Explanation:
A. No es inusual que se envien pruebas a los investigadores encargados de hacer cumplir la ley y se implementaran los controles adecuados.
B. No estoy seguro de quien es la biblioteca de cintas y, en todo caso, habra una persona responsable de los datos para garantizar que no haya contaminacion de la evidenciA.
C. Esto establece un nivel de custodia en cadena y control dual que garantiza que la caja fuerte no se abrira sin que ambas partes esten alli.
D. Esto no es una violacion ya que se otorga autorizacion y se mantiene una cadena de custodiA.
La respuesta para mi es B.
Q7
Cual de los siguientes informa MEJOR a la alta direccion sobre la eficacia general del programa de seguridad de la informacion de la empresa?
A. Informe de analisis de deficiencias/Brechas
B. Estadisticas de incidentes
C. Indicadores clave de riesgo KRI
D. Indicadores clave de desempeno KPI
ANSWER:D
Explanation:
A. El analisis de brechas muestra el estado actual versus el estado deseado y no comunica mucho sobre la efectividad general del programa de seguridad de la informacion de la empresA.
B. Las estadisticas de incidentes no son relevantes; hay mas en el programa de seguridad de la informacion que incidentes.
C. Los KRI estan ahi para medir el riesgo.
D. Los KPI son una medida de eficiencia y eficacia del programA.
Sin embargo, los KPI y los KRI estan relacionados de alguna manerA.
Q8
En una investigacion forense, cual de los siguientes seria el factor MaS importante?
A. Funcionamiento de un proceso solido de gestion de incidentes
B. Identificacion de areas de responsabilidad
C. Participacion de las fuerzas del orden
D. Experiencia en recursos
ANSWER:D
Explanation:
D. Conocimiento de los recursos.
Experiencia de los recursos, se refiere al conocimiento, habilidades y experiencia de las personas involucradas en la realizacion de la investigacion. Las investigaciones forenses a menudo requieren experiencia especializada en diversos dominios, como informatica forense, finanzas forenses o psicologia forense, segun la naturaleza del caso. Los recursos capacitados y conocedores pueden recopilar y analizar evidencia de manera efectiva, interpretar hallazgos y presentar informacion precisa en un tribunal de justiciA.
Q9
Cual de las siguientes capacidades es MaS importante para un proceso eficaz de gestion de incidentes? La capacidad de la empresa para:
A. detectar el incidente.
B. responder al incidente.
C. clasificar el incidente.
D. registrar el incidente.
ANSWER:A
Explanation:
**A. detectar el incidente. El orden es
* Planificacion - Preparacion
* Deteccion y Reporte
* Priorizacion-Clasificacion
* Análisis y Respuesta **
B. responder al incidente.
C. clasificar el incidente.
D. registrar el incidente.
LIBRO pagina 258 de Ed 16
Q10
Se prefiere PRINCIPaLMENTE el uso de cifrado de clave publica con el fin de proporcionar claves de cifrado para un gran numero de personas porque:
A. El cifrado de clave publica es computacionalmente mas eficiente.
B. escalar es menos problematico que usar una clave simetricA.
C. El cifrado de clave publica es menos costoso de mantener que las claves simetricas para grupos pequenos.
D. El cifrado de clave publica proporciona una mayor seguridad de cifrado que las opciones de clave secretA.
NO FIABLE LA RESPUESTA ::: REPASAR
ANSWER:B
Explanation:
B. escalar es menos problematico que usar una clave simetricA. Necesito leer mas sobre el uso de claves publicas, pero puedo recordar que uno de los beneficios del uso de infraestructura de clave publica para entornos grandes fue que el escalado fue mas facil.
Q11
al intentar la recuperacion de datos de un archivo especifico durante el analisis forense, un investigador seria desafiadoMaScuando:
A. todos los archivos en el directorio han sido eliminados.
B. la tabla de particiones en el disco ha sido eliminadA.
C. el contenido del archivo ha sido sobrescrito.
D. se ha realizado el formato de disco de alto nivel
ANSWER:C
Explanation:
A. todos los archivos en el directorio han sido eliminados. [No] El archivo todavia existe inalterado en el disco. La eliminacion solo elimina las entradas en la Tabla de asignacion de archivos (como una tabla de contenido en un libro) o equivalente.
Q12
El factor que es MAS es probable que resulte en la identificacion de incidentes de seguridad es:
A. procesos efectivos de comunicacion e informes.
B. politicas claras que detallen los niveles de gravedad de incidentes.
C. capacidades del sistema de deteccion de intrusos.
D. capacitacion en concienciación de seguridad.
ANSWER:D
Explanation:
Con a habla de tener un procesamiento efectivo de comunicacion e informes, que es un gran conductor para obtener la informacion cuando se sospecha una violacion, pero tambien necesita personal que tenga seguridad conciencia para poder detectar y luego reportar el incidente.
asi que primero para mi es obtener la conciencia en su lugar, entonces las personas pueden comunicarse e informar de manera efectivA. La respuesta final es D
Q13
Cual de los siguientes elementos es MaS importante al desarrollar una estrategia de seguridad de la informacion?
A. Objetivos definidos
B. Plazos de entrega
C. adopcion de un marco de control
D. Politicas completas
ANSWER:a
Explanation:
A. Sin objetivos definidos, la estrategia y el plan de seguridad de la informacion para alcanzar los objetivos no pueden desarrollarse, por lo que los objetivos definidos son el elemento mas importante.
los objetivos pueden venir de los objetivos empresariales
Tambien pueden venir del AARR de la empresa –> es incluso mas importantes …
… y deben estar orientados a lo que la empresa diga.
…
B. Los plazos de entrega son importantes pero no criticos en el proceso de desarrollo del documento de estrategiA.
C. La adopcion de un marco de control no es critica antes de desarrollar una estrategia de seguridad de la informacion.
D. Las politicas se desarrollan durante y despues de la implementacion de la estrategia; no son requisitos previos para desarrollar la estrategia de seguridad de la informacion.
Q14
Cual de los siguientes es el MaS resultado importante de una estrategia de seguridad de la informacion?
A. Politicas y estandares consistentes
B. asegurar que el riesgo residual este en un nivel aceptable
C. Una mejora en el panorama de amenazas
D. Controles consistentes con los estandares internacionales
ANSWER:B
Explanation:
A. La consistencia del diseno de documentos facilita el mantenimiento, mientras que la consistencia del contenido del documento en todas las unidades y entidades asegura que los documentos se apliquen de manera uniforme; La coherencia no garantiza la alineacion con los objetivos comerciales.
B. El riesgo residual es el riesgo restante despues de que la administracion haya implementado una respuesta o tratamiento de riesgo. Un objetivo importante de una estrategia de seguridad es implementar controles rentables que garanticen que el riesgo residual permanezca dentro de los niveles aceptables de riesgo y tolerancia de la empresA.
C. La mayoria de las amenazas no pueden verse afectadas por la politica; sin embargo, la probabilidad de riesgo y el impacto pueden verse afectados.
D. Los controles estandar pueden o no ser relevantes para un objetivo comercial en particular.
Q15
los MaS La forma util de describir los objetivos en la estrategia de seguridad de la informacion es a traves de:
A. atributos y caracteristicas del estado deseado.
B. objetivos generales de control del programa de seguridad.
C. mapear los sistemas de TI a procesos empresariales clave.
D. calculo de las expectativas de perdida anual.
ANSWER:a
Explanation:
A. La estrategia de seguridad generalmente cubrira una amplia variedad de problemas, procesos, tecnologias y resultados que se pueden describir mejor mediante un conjunto de caracteristicas y atributos deseados.
B. Los objetivos de control son una funcion de determinacion de riesgo aceptable y una parte del desarrollo de la estrategia, pero el estado deseado de la funcion de seguridad de la informacion es una mejor herramientA.
C. El mapeo de TI a procesos comerciales clave debe ocurrir como una parte de la implementacion de la estrategia, pero es una actividad operativa y no una forma de describir los objetivos de la estrategiA.
D. El calculo de las expectativas de perdida anual no es una forma de describir los objetivos en la estrategia de seguridad de la informacion.
Q16
al configurar un esquema de clasificacion de informacion, el papel del propietario de la informacion es:
A. garantizar que todos los datos de un sistema de informacion esten protegidos de acuerdo con la politica de clasificacion.
B. determinar la clasificacion de la informacion a traves del alcance de la responsabilidad del propietario de la informacion.
C. identifique toda la informacion que requiere respaldo de acuerdo con su criticidad y clasificacion.
D. delegar la clasificacion de la informacion a los custodios de la informacion responsables.
ANSWER:B
Explanation:
A. El propietario del sistema de informacion es responsable de proteger los datos en un sistema de informacion de acuerdo con la politica de seguridad de la informacion y el mandato y la clasificacion de la informacion. La clasificacion se habria establecido antes.
B. El propietario de la informacion debe determinar la clasificacion de la informacion en el ambito de responsabilidad del rol y asegurarse de que la informacion se clasifique de manera consistente.
C. La identificacion de toda la informacion que requiere respaldo de acuerdo con la clasificacion ocurrira despues de que se haya configurado el esquema de clasificacion de informacion. asegurar la copia de seguridad de los datos es el papel del custodio de la informacion y el grupo de operaciones.
D. El propietario de la informacion puede delegar la clasificacion a otro gerente responsable, sin embargo, este no es el papel recomendado en la configuracion del esquema de clasificacion.
Q17
Los programas de gestion de riesgos estan disenados para reducir el riesgo a:
A. un nivel que es demasiado pequeno para ser medible.
B. el punto en el que el beneficio excede el gasto.
C. un nivel que la empresa esta dispuesta a aceptar.
D. una tasa de rendimiento que iguala el costo actual del capital.
ANSWER:C
Explanation:
A. Reducir el riesgo a un nivel demasiado pequeno para medir no es practico y, a menudo, es prohibitivo.
B. Dependiendo de la preferencia de riesgo de una empresa, puede o no optar por perseguir la mitigacion de riesgos hasta el punto en que el beneficio es igual o superior al gasto.
C. El riesgo debe reducirse a un nivel que una empresa este dispuesta a aceptar.
D. Vincular el riesgo a una tasa de rendimiento especifica ignora los aspectos cualitativos del riesgo que tambien deben considerarse.
Q18
Cual es una expectativa razonable de tener un programa de gestion de riesgos?
A. Elimina todo riesgo inherente.
B. Mantiene el riesgo residual a un nivel aceptable.
C. Implementa controles preventivos para cada amenazA.
D. Reduce el riesgo de control a cero.
ANSWER:B
Explanation:
A. La gestion de riesgos no pretende eliminar todos los riesgos identificados porque puede no ser rentable.
B. El objetivo de la gestion de riesgos es garantizar que todo el riesgo residual se mantenga en un nivel aceptable para la empresA.
C. La gestion de riesgos no pretende implementar controles para cada amenaza porque no todas las amenazas representan un riesgo, y no seria rentable.
D. El riesgo de control es el riesgo de que un control no sea efectivo; es un componente del programa, pero es poco probable que se reduzca a cero.
Q19
Despues de una evaluacion de riesgos, se determina que el costo para mitigar el riesgo es mucho mayor que el beneficio que se derivarA. El gerente de seguridad de la informacion debe recomendar a la administracion empresarial que el riesgo sea:
A. transferido.
B. tratado.
C. aceptado.
D. terminado.
ANSWER:C
Explanation:
A. Transferir el riesgo es de beneficio limitado si el costo del control es mayor que el costo potencial de la manifestacion del riesgo.
B. El tratamiento del riesgo es de beneficio limitado si el costo del control es mayor que el costo del riesgo que se explotA.
C. Cuando el costo del control es mayor que el costo del riesgo, el riesgo debe ser aceptado.
D. Si el valor de la actividad es mayor que el costo potencial de compromiso, entonces terminar la actividad no seria el consejo apropiado.
Q20
los MaS El papel apropiado para la alta gerencia en el apoyo a la seguridad de la informacion es:
A. evaluacion de proveedores que ofrecen productos de seguridad.
B. evaluacion del riesgo para la empresA.
C. aprobacion de declaraciones de politicas y financiacion.
D. desarrollar estandares suficientes para lograr un riesgo aceptable.
ANSWER:C
Explanation:
A. La evaluacion de los proveedores es responsabilidad del gerente de seguridad de la informacion; sin embargo, este no es un rol de la alta gerencia en el apoyo a la seguridad de la informacion. La alta gerencia puede estar involucrada en la evaluacion de proveedores en algunas empresas, pero su funcion principal es establecer la direccion comercial, la supervision y la gobernanza de la empresA.
B. La evaluacion del riesgo es responsabilidad del gerente de seguridad de la informacion y este no es un rol para la alta gerencia en el apoyo a la seguridad de la informacion.
C. Las politicas son una declaracion de intencion y direccion de la alta gerencia que debe ser aprobada por la alta gerenciA. Tambien debe proporcionar fondos suficientes para lograr los objetivos de seguridad de la informacion de la empresA. Este es el papel mas apropiado para la alta gerencia en el apoyo a la seguridad de la informacion.
D. El desarrollo de estandares que cumplan con la intencion de la politica es tipicamente una funcion del gerente de seguridad de la informacion y esto no es un papel para la alta gerencia en el apoyo a la seguridad de la informacion.
Una unidad de negocios tiene la intención de implementar una nueva tecnología de una manera que viole los estándares de seguridad de la información existentes. ¿Qué acción inmediata debe tomar un gerente de seguridad de la información?
A. Hacer cumplir el estándar de seguridad existente.
B. Cambiar el estándar para permitir la implementación.
C. Realizar un análisis de riesgos para cuantificar el riesgo.
D. Realizar investigaciones para proponer el uso de una mejor tecnología.
PIENSA EN UN CASO REAL… Marketing se quiere montar un website “por su cuenta y riesgo” para gestion de clientes al que tengan acceso clientes.
¿Prohibir? … piensa que es posible que Marketing esté siguiendo los objetivos de negocio … NO PODEMOS PROHIBIR los OBJETIVOS DE NEGOCIO. No debemos ser el “Departamento del NO”.
=====
C es la respuesta correcta.
Justificación
A. Hacer cumplir las normas existentes es una buena práctica; sin embargo, los estándares deben examinarse continuamente a la luz de las nuevas tecnologías y el riesgo que presentan y los requisitos comerciales.
B. Las normas no deben cambiarse sin una evaluación de riesgos adecuada.
C. La resolución de conflictos de este tipo debe basarse en un sólido análisis de riesgos de los costos y beneficios de permitir o no una excepción al estándar. Nunca se debe tomar una decisión general sin realizar dicho análisis.
D. No sería trabajo del gerente de seguridad investigar tecnologías alternativas.
https://engage.isaca.org/discussion/cism-qotd-monday-1st-april-2024
