¿Cuál de las siguientes es la MEJOR manera de determinar la eficiencia continua de los procesos de control?

Analice los indicadores clave de rendimiento (KPI).

Realizar evaluaciones de riesgos anuales.

Entrevistar a los propietarios del proceso.

¿Cuál de los siguientes aspectos de una autoevaluación de riesgos y controles de TI sería MÁS importante incluir en un informe a la alta dirección?

Cambios en el diseño de los controles

Una disminución en el número de controles clave

Cambios en la propiedad del control

Una ventaja principal de involucrar a la gerencia empresarial en la evaluación y gestión del riesgo es que la gerencia:

puede tomar decisiones comerciales mejor informadas.

Comprende mejor la arquitectura del sistema.

es más objetiva que la gestión de riesgos.

puede equilibrar el riesgo técnico y el riesgo de negocio.

¿Cuál de las siguientes opciones ayudaría MEJOR a garantizar que se identifique la actividad sospechosa en la red?

Análisis de los registros del sistema de detección de intrusiones (IDS)

Análisis de los registros del servidor

Uso de un proveedor de supervisión de terceros

Coordinación de eventos con las agencias apropiadas

¿Cuál de las siguientes opciones es MÁS crítica al diseñar controles?

Participación del propietario del proceso

Participación de la auditoría interna

Impacto cuantitativo del riesgo

Identificación de indicadores clave de riesgo

¿Cuál de los siguientes es el MEJOR indicador clave de rendimiento (KPI) para medir la eficacia de un plan de recuperación ante desastres (DRP)?

Número de problemas identificados durante las pruebas de DRP

Número de usuarios que participaron en las pruebas de DRP

Porcentaje de aplicaciones que cumplieron con el RTO durante las pruebas de DRP

Porcentaje de problemas resueltos como resultado de las pruebas de DRP

¿Cuál de los siguientes es el factor MÁS importante a la hora de decidir un control para mitigar la exposición al riesgo?

Requisitos de cumplimiento normativo

Relevancia para el proceso de negocio

Comparación con las mejores prácticas

¿Cuál de las siguientes opciones sería MÁS útil a la hora de medir el progreso de un plan de acción de respuesta al riesgo?

Un registro de riesgos actualizado

Porcentaje de escenarios de riesgo mitigado

Cambios en la expectativa de pérdidas anuales (ALE)

Gastos de recursos con cargo al presupuesto

Durante la evaluación de riesgos de una organización que procesa tarjetas de crédito, se ha encontrado que una serie de controles existentes son ineficaces y no cumplen con los estándares de la industria. El entorno de control general puede seguir siendo eficaz si:

Existen controles de compensación.

Existe un plan de mitigación de control.

La gestión de riesgos es eficaz.

¿Cuál de las siguientes actividades contribuiría MEJOR a promover una cultura consciente de los riesgos en toda la organización?

Realización de un análisis de referencia y evaluación de brechas

Realización de evaluaciones de riesgos e implementación de controles

Comunicar los componentes del riesgo y sus niveles aceptables

Participar en revisiones por pares e implementar las mejores prácticas

¿Cuál es la razón PRINCIPAL para revisar periódicamente los indicadores clave de rendimiento (KPI)?

Promover una cultura consciente de los riesgos.

Optimice los recursos necesarios para los controles

Un profesional de riesgos de TI ha determinado que las actividades de mitigación difieren de un plan de acción de riesgos aprobado. ¿Cuál de los siguientes es el MEJOR curso de acción del profesional del riesgo?

Reporte la observación al director de riesgos (CRO).

Validar la idoneidad de las medidas de mitigación de riesgos implementadas.

Actualizar el registro de riesgos con las acciones de mitigación de riesgos implementadas.

Revertir las medidas de mitigación implementadas hasta que se obtenga la aprobación

Después de llevar a cabo una evaluación de riesgos de un sistema de producción, la acción MÁS adecuada es que el gestor de riesgos:

recomendar un programa que minimice las preocupaciones de ese sistema de producción.

informar al equipo de desarrollo de las preocupaciones, y juntos formular medidas de reducción de riesgos.

informar al propietario del proceso de las preocupaciones y proponer medidas para reducirlas.

Informar al responsable de TI de las preocupaciones y proponer medidas para reducirlas.

¿Cuál de los siguientes es el factor MÁS importante que afecta a la gestión de riesgos en una organización?

La experiencia del gestor de riesgos

Experiencia del Consejo de Administración

Al determinar qué deficiencias de control son más significativas, ¿cuál de las siguientes opciones proporcionaría la información MÁS ÚTIL?

Resultados de la evaluación de vulnerabilidades

Resultados del análisis de riesgos

Directiva de control de excepciones

¿Cuál de las siguientes opciones es MÁS útil para garantizar controles de seguridad eficaces para un proveedor de servicios en la nube?

Un informe de evaluación de seguridad de terceros

Informes de auditoría interna del proveedor

Supervisión de acuerdos de nivel de servicio

Una revisión de los controles de una organización ha determinado que su sistema de prevención de pérdida de datos (DLP) actualmente no puede detectar los correos electrónicos salientes que contienen datos de tarjetas de crédito. ¿Cuál de los siguientes se vería MÁS afectado?

Indicadores clave de riesgo (KRls)

El riesgo debe ser asumido por:

Propietario del proceso de negocio.

¿Cuál de los siguientes presentaría el MAYOR desafío al asignar la responsabilidad de la propiedad del control?

Relaciones de informes poco claras

Estructuras de gobernanza débiles

Escrutinio de la alta dirección

¿Cuál de los siguientes es el MEJOR indicador clave de rendimiento (KPI) para determinar qué tan bien se alinea una política de TI con los requisitos comerciales?

Coste total de los incumplimientos de las políticas

Costo total para respaldar la póliza

Número de excepciones a la política

Número de consultas sobre la póliza

¿Cuál de las siguientes condiciones presenta el MAYOR riesgo para una aplicación?

Los desarrolladores tienen acceso al entorno de producción.

Los controles de la aplicación son manuales.

El desarrollo de aplicaciones se externaliza.

El código fuente está en custodia.

El objetivo principal para requerir una revisión independiente del proceso de gestión de riesgos de TI de una organización debe ser:

evaluar las brechas en las operaciones de gestión de riesgos de TI y el enfoque estratégico.

confirmar que los resultados de la evaluación de riesgos de TI se expresan como impacto en el negocio.

Verifique los controles implementados para reducir la probabilidad de materialización de amenazas.

garantizar que la gestión de riesgos de TI se centre en mitigar los riesgos potenciales.

¿Cuál de los siguientes es MÁS importante a la hora de desarrollar indicadores clave de riesgo (KRI)?

Umbrales establecidos correctamente

Alineación con los requisitos reglamentarios

Disponibilidad de datos cualitativos

Alineación con los puntos de referencia de la industria

La razón principal para establecer varios niveles de umbral para un conjunto de indicadores clave de riesgo (KRI) es:

Garanticen un seguimiento preciso y fiable.

Destacar las tendencias del riesgo en desarrollo.

Tomar las medidas apropiadas de manera oportuna.

Establezca diferentes factores desencadenantes para cada parte interesada.

¿Cuál de las siguientes opciones se puede utilizar para asignar un valor monetario al riesgo?

Expectativa de pérdida anual (ALE)

Un modelo de madurez indicará MEJOR:

certificación y acreditación.

Los controles deben definirse durante la fase de diseño del desarrollo del sistema porque:

Las especificaciones técnicas se definen durante esta fase.

Es más rentable determinar los controles en la fase inicial de diseño.

Las técnicas de análisis estructurado excluyen la identificación de controles.

Las técnicas de programación estructurada requieren que los controles se diseñen antes de que comience la codificación.

Una organización ha iniciado un proyecto para implementar un programa de gestión de riesgos de TI por primera vez. El MEJOR momento para que el profesional de riesgos comience a llenar el registro de riesgos es cuando:

Identificación de escenarios de riesgo.

Determinación de la estrategia de riesgos.

Cálculo del impacto y la probabilidad.

completando el catálogo de controles.

¿Cuál de las siguientes afirmaciones en el informe de perfil de riesgo actual de una organización es motivo de acción adicional por parte de la alta dirección?

Los indicadores clave de rendimiento (KPI) están fuera de los objetivos.

Los datos de tendencia de los indicadores clave de rendimiento (KPI) están incompletos.

Se han establecido nuevos indicadores clave de riesgo (KRI).

Los indicadores clave de riesgo (KRI) están rezagados.

¿De quién es la tolerancia al riesgo MÁS importante a la hora de tomar una decisión sobre el riesgo?

El propietario del proceso de negocio de los activos expuestos

Clientes que se verían afectados por una infracción

Auditores, reguladores y organismos de normalización

El responsable de la seguridad de la información

El MEJOR indicador clave de rendimiento (KPI) para medir la eficacia de un programa de corrección de vulnerabilidades es el número de:

nuevas vulnerabilidades identificadas.

El director de tecnología (CTO) de una organización ha decidido aceptar el riesgo asociado con la pérdida potencial de un ataque de denegación de servicio (DoS). En esta situación, el MEJOR curso de acción del profesional del riesgo es:

identificar los indicadores clave de riesgo (KRl) para el seguimiento continuo

validar la decisión del CTO con el propietario del proceso de negocio

Actualizar el registro de riesgos con la respuesta de riesgo seleccionada

recomendar que el CTO revise la decisión de aceptación de riesgos.

El beneficio PRINCIPAL asociado con los indicadores clave de riesgo (KRls) es que

Ayudar a una organización a identificar amenazas emergentes.

Evalúe el perfil de riesgo de la organización.

Identificar tendencias en las vulnerabilidades de la organización.

Permitir el monitoreo continuo de los riesgos emergentes.

¿Cuál de las siguientes debería ser la consideración MÁS importante al realizar una evaluación de riesgos del proveedor?

Riesgo inherente del proceso de negocio soportado por el proveedor

Resultados de la última evaluación de riesgos del proveedor

Tolerancia al riesgo del proveedor

Tiempo transcurrido desde la última evaluación de riesgos del proveedor

Un profesional del riesgo se da cuenta de que un determinado indicador clave de riesgo (KRI) se ha mantenido por debajo de su punto de activación establecido durante un período prolongado de tiempo. ¿Cuál de las siguientes cosas se debe hacer PRIMERO?

Recomendar una reevaluación del umbral actual del KRI.

Notifique a la gerencia que los KRI se están administrando de manera efectiva.

Actualizar la calificación de riesgo asociada al KRI en el registro de riesgos.

Actualice la tolerancia al riesgo y el apetito al riesgo para alinearlos mejor con el KRI.

¿Cuál de los siguientes debería ser el objetivo PRINCIPAL de un programa de capacitación en conciencia de riesgos?

Para permitir la toma de decisiones basada en el riesgo

Promover el conocimiento de la función de gobernanza de riesgos

Clarificar los principios fundamentales de la gestión de riesgos

Para garantizar que se disponga de recursos suficientes

CRISC_Examen_4

Authored by ISO 27001:2013 .

English

University

Used 1+ times

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

78 questions

Show all answers

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

¿Cuál de las siguientes sería la MEJOR manera de ayudar a garantizar la eficacia de un control de prevención de pérdida de datos (DLP) que se ha implementado para evitar la pérdida de datos de tarjetas de crédito?

Probar la transmisión de números de tarjetas de crédito

Revisión de registros para detectar transferencias de datos no autorizadas

Configuración del control DLP para bloquear números de tarjeta de crédito

Prueba del proceso de control de cambios de reglas de DLP

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

¿Cuál de las siguientes opciones proporcionaría la MEJOR orientación a la hora de seleccionar un plan de tratamiento de riesgos adecuado?

Presupuesto de mitigación de riesgos

Análisis de Impacto en el Negocio

Análisis costo-beneficio

Retorno de la inversión

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

Una unidad de negocio está actualizando un registro de riesgos con los resultados de la evaluación de un proyecto clave. ¿Cuál de los siguientes es MÁS importante capturar en el registro?

El equipo que realizó la evaluación de riesgos

Un gerente de riesgos asignado para proporcionar supervisión

Planes de acción para abordar escenarios de riesgo que requieren tratamiento

La metodología utilizada para realizar la evaluación de riesgos

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

¿Cuál de los siguientes es el indicador MÁS útil para medir la eficiencia de un proceso de gestión de identidades y accesos?

Número de tickets para el aprovisionamiento de nuevas cuentas

Tiempo medio de aprovisionamiento de cuentas de usuario

Volumen de restablecimiento de contraseña por mes

Tiempo medio de bloqueo de la cuenta

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

Es MÁS apropiado que los cambios se promuevan a la producción después de que sean;

Comunicado a la Dirección Empresarial

Probado por dueños de negocios.

aprobado por el dueño de la empresa.

iniciada por usuarios empresariales.

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

Un profesional de riesgos ha identificado que el centro de datos secundario de la organización no proporciona redundancia para una aplicación crítica. ¿Quién debe tener la autoridad para aceptar el riesgo asociado?

Director de Continuidad de Negocio

Administrador de recuperación ante desastres

Propietario de la aplicación empresarial

Administrador del centro de datos

MULTIPLE CHOICE QUESTION

2 mins • 1 pt

Un profesional de riesgos está desarrollando un conjunto de escenarios de riesgo de TI de abajo hacia arriba. El momento MÁS importante para involucrar a las partes interesadas del negocio es cuando:

Actualización del registro de riesgos

Documentar los escenarios de riesgo.

Validación de los escenarios de riesgo

Identificación de controles de mitigación de riesgos.

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Similar Resources on Wayground

83 questions

English Vocabulary Quiz

Quiz

•

University

80 questions

CRISC_Examen_6

Quiz

•

University

80 questions

CRISC_Examen_5

Quiz

•

University

75 questions

PLACEMENT TEST Intermediate

Quiz

•

University

75 questions

Camp 10/9/2023

Quiz

•

University

80 questions

CYCLE V - QUIZ 2

Quiz

•

University

76 questions

plđc b345

Quiz

•

University

Popular Resources on Wayground

15 questions

Fractions on a Number Line

Quiz

•

3rd Grade

14 questions

Boundaries & Healthy Relationships

Lesson

•

6th - 8th Grade

13 questions

SMS Cafeteria Expectations Quiz

Quiz

•

6th - 8th Grade

20 questions

Equivalent Fractions

Quiz

•

3rd Grade

25 questions

Multiplication Facts

Quiz

•

5th Grade

12 questions

SMS Restroom Expectations Quiz

Quiz

•

6th - 8th Grade

20 questions

Main Idea and Details

Quiz

•

5th Grade

10 questions

Pi Day Trivia!

Quiz

•

6th - 9th Grade

Discover more resources for English

20 questions

Subject-Verb Agreement

Quiz

•

KG - University

16 questions

Comparative adjectives: More and Most

Lesson

•

1st Grade - University

10 questions

Identify the Subordinating Conjunction

Quiz

•

KG - University