Una organización planea contratar a un proveedor de servicios basados en la nube para algunos de sus procesos de negocio con uso intensivo de datos. ¿Cuál de los siguientes es MÁS importante para ayudar a definir el riesgo de TI asociado con esta actividad de externalización?

D. Derecho a auditar al proveedor

A. Acuerdo de nivel de servicio

B. Opiniones del servicio de atención al cliente

C. Alcance de los servicios prestados

¿Cuál es la MEJOR información que se debe presentar a los propietarios de controles empresariales a la hora de justificar los costos relacionados con los controles?

D. Retorno de las inversiones relacionadas con la seguridad informática

A. Frecuencia y magnitud de los eventos de pérdida

B. Presupuesto y datos reales del año anterior

C. Puntos de referencia y estándares de la industria

¿Cuál de las siguientes sería la MEJOR recomendación de los profesionales del riesgo para prevenir la intrusión cibernética?

D. Fortalecer los esfuerzos de remediación de vulnerabilidades.

A. Establecer un plan de respuesta cibernética

B. Implemente herramientas de prevención de pérdida de datos (DLP).

C. Implementar la segregación de red.

¿Cuál de las siguientes es la consideración MÁS importante al seleccionar indicadores clave de riesgo (KRI) para monitorear las tendencias de riesgo a lo largo del tiempo?

C. Capacidad para predecir tendencias

A. Disponibilidad continua de los datos

B. Capacidad para agregar datos

D. Disponibilidad de sistemas automatizados de presentación de informes

Cuando se utiliza un tercero para realizar pruebas de penetración, ¿cuál de los siguientes es el control MÁS importante para minimizar el impacto operativo?

D. Definir claramente el alcance del proyecto

A. Realice una verificación de antecedentes del proveedor.

B. Exigir al proveedor que firme un acuerdo de confidencialidad.

C. Exija que el proveedor tenga un seguro de responsabilidad civil.

La aceptación de costos de control que exceden la exposición al riesgo es probablemente un ejemplo de:

B. Desalineación de la cultura corporativa.

C. Alineamiento de la cultura corporativa.

Una interrupción del sistema ha sido rastreada hasta un dispositivo USB personal conectado a la red corporativa por un empleado de TI que eludió los procedimientos de control interno. De los siguientes, ¿quién debería ser responsable?

D. Director de información (CIO)

A. Gerente de continuidad de negocio (BCM)

B. Gerente de Recursos Humanos (HRM)

¿Cuál de las siguientes es la forma MÁS rentable de probar un plan de continuidad del negocio?

B. Realiza un ejercicio de mesa.

A. Realizar entrevistas con las partes interesadas clave.

C. Llevar a cabo un ejercicio de recuperación ante desastres.

D. Realiza un ejercicio funcional completo.

¿Cuál de las siguientes es la MEJOR manera de identificar cambios en el panorama de riesgos?

A. Informes de auditoría interna

Se ha pedido a un profesional de riesgos que asesore a la dirección en el desarrollo de una estrategia de recopilación y correlación de registros. ¿Cuál de las siguientes debería ser la consideración MÁS importante al desarrollar esta estrategia?

A. Garantizar la sincronización horaria de las fuentes de registro.

B. Garantizar la inclusión de fuentes de registro de inteligencia de amenazas externas.

C. Garantizar la inclusión de todos los recursos informáticos como fuentes de registro.

D. Garantizar el acceso de lectura y escritura a todos los orígenes de registro

Un profesional de riesgos ha determinado que un control clave no cumple con las expectativas de diseño. ¿Cuál de las siguientes opciones se debe hacer A CONTINUACIÓN?

A. Documentar el hallazgo en el registro de riesgos.

B. Invoque el plan de respuesta a incidentes.

C. Reevaluar los indicadores clave de riesgo.

D. Modifique el diseño del control.

Un profesional de riesgos resume los resultados de una evaluación de riesgos de alto perfil patrocinada por la alta dirección. La MEJOR manera de respaldar las decisiones basadas en el riesgo por parte de la alta dirección sería:

A. Relacionar los hallazgos con los objetivos.

B. proporcionar un análisis detallado cuantificado.

C. Recomendar umbrales de tolerancia al riesgo.

D. Cuantificar los indicadores clave de riesgo (KRls).

El malware ha afectado recientemente a una organización, la forma MÁS efectiva de resolver esta situación y definir un plan integral de tratamiento de riesgos sería realizar:

B. Un análisis de la causa raíz.

D. una evaluación de vulnerabilidad.

En respuesta a la amenaza del ransomware, una organización ha implementado actividades de concienciación sobre ciberseguridad. La MEJOR recomendación del profesional del riesgo para reducir aún más el impacto de los ataques de ransomware sería implementar:

B. Controles de copia de seguridad continua de datos.

A. Autenticación de dos factores.

D. Cifrado de datos en movimiento.

¿Cuál de los siguientes es el MEJOR método para identificar controles innecesarios?

A. Evaluación del impacto de la eliminación de los controles existentes

B. Evaluación de los controles existentes con respecto a los requisitos de auditoría

C. Revisión de las funcionalidades del sistema asociadas a los procesos de negocio

D. Seguimiento de los indicadores clave de riesgo (KRI) existentes

¿Cuál de los siguientes es MAYOR preocupación cuando se realizan cambios no controlados en el entorno de control?

D. Un aumento en el nivel de riesgo residual

A. Una disminución en la efectividad de las capas de control

B. Un aumento del riesgo inherente

C. Un aumento de las vulnerabilidades de control

La revisión y actualización periódica de un registro de riesgos con detalles sobre los factores de riesgo identificados ayuda PRINCIPALMENTE a:

C. Cree un perfil de amenazas de la organización para su revisión por la dirección.

A. Minimice el número de escenarios de riesgo para la evaluación de riesgos.

B. Escenarios de riesgo agregados identificados en las diferentes unidades de negocio.

D. Proporcionar una referencia actualizada a las partes interesadas para las decisiones basadas en el riesgo.

¿Cuál de las siguientes es la razón PRINCIPAL para monitorear continuamente el riesgo relacionado con TI?

C. Asegurar que los niveles de riesgo estén dentro de los límites aceptables del apetito de riesgo y la tolerancia al riesgo de la organización.

A. Redefinir el apetito y los niveles de tolerancia al riesgo en función de los cambios en los factores de riesgo

B. Actualizar el registro de riesgos para reflejar los cambios en los niveles de riesgo identificados y nuevos relacionados con las tecnologías de la información

D. Para ayudar a identificar las causas raíz de los incidentes y recomendar soluciones adecuadas a largo plazo

La característica más importante de las políticas de una organización es reflejar las siguientes características de la organización:

A. Metodología de evaluación de riesgos.

Las evaluaciones de riesgos de TI pueden ser MEJOR utilizadas por la gerencia:

C. como insumo para la toma de decisiones

A. para el cumplimiento de las leyes y reglamentos

B. como base para el análisis de costo-beneficio.

D. para medir el éxito de la organización.

¿Cuál de las siguientes prácticas de gestión de riesgos facilita mejor la incorporación de escenarios de riesgo de TI en el registro de riesgos de toda la empresa?

D. Los escenarios de riesgo de TI se desarrollan en el contexto de los objetivos de la organización.

A. Se desarrollan indicadores clave de riesgo (KRls) para escenarios clave de riesgo de TI

B. Los escenarios de riesgo de TI son evaluados por el equipo de gestión de riesgos empresariales

C. Los apetitos de riesgo para los escenarios de riesgo de TI son aprobados por las partes interesadas clave del negocio.

Un proveedor de servicios externo de confianza ha determinado que el riesgo de que los sistemas de un cliente sean pirateados es bajo. ¿Cuál de los siguientes sería el MEJOR curso de acción del cliente?

C. Aceptar el riesgo en función de la evaluación de riesgos del tercero

A. Realizar su propia evaluación de riesgos

B. Implemente controles adicionales para abordar el riesgo.

D. Realizar una auditoría independiente del tercero.

¿Cuál de los siguientes debería ser el objetivo PRINCIPAL de promover una cultura consciente de los riesgos dentro de una organización?

C. Permitir la toma de decisiones basada en el riesgo

A. Mejor comprensión del apetito por el riesgo

B. Mejora de los resultados de las auditorías

D. Aumento de la eficiencia del control de procesos

¿Cuál de los siguientes es el resultado MÁS importante de la revisión del proceso de gestión de riesgos?

A. Asegurar que el perfil de riesgo respalde los objetivos de TI

B. Mejorar las competencias de los empleados que realizaron la revisión

C. Determinar qué cambios deben ser nucos en las políticas de SI para reducir el riesgo

D. Determinar que los procedimientos utilizados en la evaluación de riesgos son apropiados

Al revisar un contrato de un proveedor de servicios en la nube, se descubrió que el proveedor se niega a aceptar la responsabilidad por una violación de datos confidenciales. ¿Cuál de los siguientes controles reducirá BES el riesgo asociado con una violación de datos de este tipo?

A. Asegurarse de que el proveedor no conozca la clave de cifrado

B. Contratación de un tercero para validar los controles operativos

C. Usar el mismo proveedor de nube que un competidor

D. Uso del cifrado a nivel de campo con una clave suministrada por el proveedor

¿Cuál de los siguientes cambios se reflejaría en el perfil de riesgo de una organización después del fracaso de la implementación de un parche crítico?

D. Disminuye el apetito por el riesgo

A. Se disminuye la tolerancia al riesgo.

C. El riesgo inherente aumenta.

Una evaluación de riesgos ha identificado que una organización puede no cumplir con las regulaciones de la industria. El MEJOR curso de acción sería:

A. Llevar a cabo un análisis de brechas con respecto a los criterios de cumplimiento.

B. Identificar los controles necesarios para garantizar el cumplimiento.

C. Modificar las actividades de aseguramiento interno para incluir la validación de controles.

D. Colabore con la gerencia para cumplir con los requisitos de cumplimiento.

Para reducir el riesgo introducido al realizar pruebas de penetración, el MEJOR control mitigante sería:

A. Exigir al proveedor que firme un acuerdo de confidencialidad

B. Defina claramente el alcance del proyecto.

C. Realice verificaciones de antecedentes del proveedor.

D. Notifique a los administradores de red antes de realizar pruebas

Una organización ha externalizado sus operaciones de seguridad de TI a un tercero. ¿Quién es EN ÚLTIMA INSTANCIA responsable del riesgo asociado con las operaciones subcontratadas?

B. La gestión de la organización

C. Los operadores de control en el tercero

D. La oficina de gestión de proveedores de la organización

Un profesional de riesgos descubre que se han publicado en Internet varios documentos clave que detallan el diseño de un producto actualmente en desarrollo. ¿Cuál debería ser el PRIMER curso de acción del profesional del riesgo?

A. Invocar el plan de respuesta a incidentes establecido.

B. Informar a la auditoría interna.

C. Realizar un análisis de causa raíz

D. Llevar a cabo una evaluación de riesgos inmediata

¿Cuál de los siguientes es el indicador clave de rendimiento (KPI) MÁS IMPORTANTE que se debe establecer en el acuerdo de nivel de servicio (SLA) para un centro de datos subcontratado?

C. Tiempo medio de respuesta para resolver incidencias del sistema

A. Porcentaje de sistemas incluidos en los procesos de recuperación

B. Número de sistemas clave alojados

D. Porcentaje de disponibilidad del sistema

¿Cuál de los siguientes sería MÁS útil al estimar la probabilidad de eventos negativos?

A. Análisis de impacto en el negocio

C. Análisis de respuesta al riesgo

Revisión de resultados, ¿Cuál de las siguientes es la MEJOR manera de identificar las deficiencias de control de los sistemas de información?

D. Autoevaluación de control (CSA)

A. Análisis de vulnerabilidades y amenazas

B. Planificación de la corrección de controles

C. Pruebas de aceptación del usuario (UAT)

El hecho de que los resultados de los análisis de riesgos deban presentarse en términos cuantitativos o cualitativos debe basarse PRINCIPALMENTE en:

B. Marco específico de análisis de riesgos que se está utilizando

C. Tolerancia al riesgo organizacional

D. Resultados de la evaluación de riesgos.

El hecho de que los resultados de los análisis de riesgos deban presentarse en términos cuantitativos o cualitativos debe basarse PRINCIPALMENTE en:

B. Marco específico de análisis de riesgos que se está utilizando.

C. Tolerancia al riesgo organizacional

D. Resultados de la evaluación de riesgos.

¿Cuál de las siguientes es la consideración MÁS importante al desarrollar la taxonomía de riesgos de una organización?

A. Marcos líderes de la industria

Cuál de los siguientes es MÁS importante a la hora de desarrollar indicadores clave de rendimiento (KPI)?

C. Alertas cuando se alcanzan los umbrales de riesgo

A. Alineación con las respuestas al riesgo

B. Alineación con los informes de gestión

D. Identificación de tendencias

¿Cuál de las siguientes actualizaciones del registro de riesgos es MÁS importante que la alta dirección la revise?

A. Ampliar en dos meses la fecha de un futuro plan de acción

B. Retirar un escenario de riesgo que ya no se utiliza

C. Evitar un riesgo que antes estaba aceptado

D. Cambiar el propietario de un riesgo

¿Cuál de los siguientes controles detectará MEJOR la modificación no autorizada de datos por parte de un administrador de base de datos?

B. Revisión de los registros de actividad de la base de datos

A. Revisión de los derechos de acceso a la base de datos

C. Comparación de datos con registros de entrada

D. Revisión de cambios para editar cheques

¿Cuál de las siguientes debería ser la consideración PRINCIPAL al evaluar la automatización del monitoreo de control?

D. Análisis coste-beneficio de la automatización

A. Impacto debido a la falla del control

B. Frecuencia de fallo del control

C. Plan de contingencia por riesgo residual

¿Cuál de las siguientes opciones proporciona la MEJOR evidencia de la eficacia del proceso de aprovisionamiento de cuentas de una organización?

B. Controles de acceso basados en roles

A. Aprovisionamiento de usuarios

C. Supervisión de registros de seguridad

Un indicador clave de riesgo (KRI) se informa periódicamente a la alta dirección de que supera los umbrales, pero cada vez que la alta dirección ha decidido no tomar ninguna medida para reducir el riesgo. ¿Cuál de las siguientes es la razón MÁS probable para la respuesta de la alta dirección?

C. El umbral del KRI debe revisarse para alinearse mejor con el apetito de riesgo de la organización

A. La fuente de datos subyacente para el KRI utiliza datos inexactos y debe corregirse.

B. El KRI no proporciona información útil y debe eliminarse del inventario del KRI.

D. La alta dirección no entiende el KRI y debe recibir formación sobre riesgos.

La razón principal por la que un profesional de riesgos estaría interesado en un informe de auditoría interna es:

C. Ayudar en el desarrollo de un perfil de riesgo.

A. Planifique programas de concientización para gerentes de negocios.

B. Evaluar la madurez del proceso de gestión de riesgos.

D. Mantener un registro de riesgos basado en incumplimientos.

CRISC_Examen_2

Authored by ISO 27001:2013 .

English

University

80 Questions

Used 1+ times

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

¿Cuál de los siguientes es MÁS efectivo en la mejora continua del proceso de gestión de riesgos?

A. Evaluaciones periódicas

B. Gestión del cambio

C. Formación de concienciación

D. Actualizaciones de políticas

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

¿Cuál de los siguientes es el MAYOR riesgo asociado con el uso de análisis de datos?

A. Fuentes de datos distribuidas

B. Extracción manual de datos

C. Selección incorrecta de datos

D. Volumen excesivo de datos

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

El MEJOR criterio a la hora de seleccionar una respuesta al riesgo es:

A. capacidad de implementar la respuesta

B. importancia del riesgo de TI dentro de la empresa

C. Eficacia de las opciones de respuesta al riesgo

D. Alineación de la respuesta a los estándares de la industria

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

Una auditoría de seguridad externa ha informado de múltiples hallazgos relacionados con el incumplimiento de los controles. ¿Cuál de las siguientes opciones sería MÁS importante que el profesional de riesgos comunicara a la alta dirección?

A. Recomendación para la validación de la auditoría interna

B. Planes para mitigar el riesgo asociado

C. Sugerencias para mejorar la formación en concienciación sobre riesgos

D. El impacto en el perfil de riesgo de la organización

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

¿Cuál de los siguientes es el MEJOR curso de acción para reducir el impacto del riesgo?

A. Crear una política de seguridad de TI.

B. Implementar medidas correctivas.

C. Implementar controles de detección.

D. Aproveche la tecnología existente

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

Un control para mitigar el riesgo en un área de negocio clave no se puede implementar de inmediato. ¿Cuál de los siguientes es el MEJOR curso de acción del profesional del riesgo cuando se necesita aplicar un control compensatorio?

A. Obtener la aprobación del propietario del riesgo.

B. Registre el riesgo tal como se aceptó en el registro de riesgos.

C. Informar a la alta dirección.

D. Actualizar el plan de respuesta al riesgo.

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

¿De qué tipo de control es el establecimiento de un código de conducta organizacional?

A. Preventivo

B. Directiva

C. Detective

D. Compensación

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Popular Resources on Wayground

5 questions

This is not a...winter edition (Drawing game)

Quiz

•

1st - 5th Grade

25 questions

Multiplication Facts

Quiz

•

5th Grade

10 questions

Identify Iconic Christmas Movie Scenes

Interactive video

•

6th - 10th Grade

20 questions

Christmas Trivia

Quiz

•

6th - 8th Grade

18 questions

Kids Christmas Trivia

Quiz

•

KG - 5th Grade

11 questions

How well do you know your Christmas Characters?

Lesson

•

3rd Grade

14 questions

Christmas Trivia

Quiz

•

5th Grade

20 questions

How the Grinch Stole Christmas

Quiz

•

5th Grade

Discover more resources for English

15 questions

Holiday Movies

Quiz

•

University

10 questions

The Best Christmas Pageant Ever Chapter 5

Quiz

•

KG - University