¿Cuál de las siguientes opciones permite a un auditor de SI determinar MEJOR la efectividad de un programa de concientización y capacitación sobre seguridad?

A.Un programa de capacitación sobre seguridad puede estar bien diseñado, pero los resultados del mismo se determinarán a partir de la concientización de los empleados.

B.Consultar al administrador de seguridad no mostraría la efectividad de un programa de concientización y capacitación sobre seguridad, porque un programa de este tipo no va destinado únicamente al administrador.

C.Entrevistar una muestra de empleados es la mejor forma de determinar la efectividad de un programa de concientización y capacitación sobre la seguridad, porque la concientización general debe determinarse y la efectividad de la seguridad depende de las personas. Revisar el programa de capacitación sobre la seguridad no sería el indicador principal de la efectividad de la capacitación sobre concientización.

D.Revisar los recordatorios de seguridad para los empleados no es la mejor forma de determinar la efectividad de la capacitación sobre concientización, porque enviar recordatorios puede dar lugar a una baja concientización real.

El riesgo de dumpster diving (buscar en el basurero) se mitiga MEJOR mediante:

A es la respuesta correcta.

Justificación:

A. Dumpster diving (buscar en el basurero) se utiliza para robar documentos o soportes informáticos que no fueron desechados adecuadamente. Los usuarios deben estar capacitados para conocer el riesgo de descartar descuidadamente documentos sensibles y otros elementos.

B.Los contenedores de trituración pueden no ser utilizados correctamente si los usuarios no son conscientes de las técnicas de seguridad adecuadas.

C.Una política de eliminación de los medios es una buena idea; sin embargo, si los usuarios no son conscientes de la política puede no ser efectiva.

D.Los trituradores pueden no ser utilizados correctamente si los usuarios no son conscientes de las técnicas de seguridad adecuadas.

El PRIMER paso en la clasificación de datos es:

A es la respuesta correcta.

Justificación:

A.La clasificación de datos es necesaria para definir las reglas de acceso basadas en una necesidad de cosas por hacer, y el principio de necesidad de conocer. El propietario de los datos es responsable de definir las reglas de acceso; por lo tanto, establecer la propiedad es el primer paso en la clasificación de datos.

B.Se requiere un análisis de criticidad para determinar el nivel adecuado de protección de datos, de acuerdo a la clasificación de datos.

C.Las reglas de acceso se configuran dependiendo de la clasificación de datos.

D.Las entradas para un diccionario de datos se preparan a partir de los resultados del proceso de clasificación de datos.

C es la respuesta correcta.

Justificación:

A.Piggybacking se refiere a personas no autorizadas que siguen, ya sea física o virtualmente, a las personas autorizadas en áreas restringidas. El enmascaramiento (masking) de la visualización de las contraseñas no evitará que alguien siga de cerca a una persona autorizada.

B.Esta política sólo se refiere a "la visualización de contraseñas", no a la búsqueda en la basura (buscar en la basura de una organización para obtener información valiosa).

C.Si aparece una contraseña en un monitor, una persona o una cámara cercana podrían mirar por encima del hombro del usuario para obtener la contraseña.

D.La suplantación de identidad se refiere a alguien que actúa como empleado en un intento de recuperar la información deseada.

Una función de auditoría interna de SI está planeando una auditoría general de SI. ¿Cuál de las siguientes actividades se lleva a cabo durante el PRIMER paso de la etapa de planificación?

D es la respuesta correcta.

Justificación:

A.Los resultados de la evaluación de riesgos se utilizan para contribuir con el programa de auditoría.

B.El estatuto de auditoría se elabora cuando el departamento de auditoría se establece o a medida que las actualizaciones son necesarias. La creación del Estatuto de la Función de Auditoría no está relacionada con la etapa de planificación de la auditoría, ya que es parte de la estructura de gobierno de la auditoría interna que proporciona la independencia para la función.

C.Se debe realizar una evaluación de riesgos antes de identificar los propietarios principales de la información. Los propietarios principales de la información, por lo general, no participan directamente en el proceso de planificación de una auditoría.

D.Se debe realizar una evaluación de riesgos para determinar cómo se deben asignar los recursos internos de auditoría para asegurar que todos los elementos materiales se abordarán.