Las técnicas de evaluación de riesgo deben ser utilizadas por un profesional de riesgos para:

justificar la selección de estrategias de mitigación de riesgos.

maximizar el retorno sobre la inversión (ROI).

suministrar documentación a auditores y entes reguladores.

cuantificar el riesgo que, de otra manera, sería subjetivo.

¿Cuál de las siguientes evaluaciones del proceso de supervisión de riesgos de una organización ofrece la MEJOR información acerca de su alineación con prácticas líderes de la industria?

Una comparación de capacidades independiente

Una evaluación de capacidad realizada por una organización externa

Una autoevaluación de las capacidades

Una evaluación de auditoría interna de las capacidades

Las evaluaciones de riesgo deben repetirse a intervalos regulares porque:

las amenazas al negocio cambian constantemente.

se pueden tratar las omisiones en evaluaciones previas.

las evaluaciones periódicas permiten usar diversas metodologías.

ayudan a aumentar la conciencia de riesgo entre el personal.

¿Cuál de las siguientes herramientas es la MÁS beneficiosa para la mejora del proceso de gestión de riesgo de la organización?

Indicadores clave de riesgo (KRI)

Un punto de comparación externo

La evaluación de riesgo más reciente

¿Cuál de las siguientes es la razón PRINCIPAL para hacer que el proceso de gestión de riesgo sea examinado por auditores o asesores de riesgo independientes?

Garantizar que los factores de riesgo y el perfil de riesgo estén bien definidos

Garantizar que los resultados de la evaluación de riesgo sean consistentes

Corregir cualquier error en la evaluación de riesgo

Validar las debilidades de los controles para la información de gestión

¿Cuál de las siguientes acciones brinda el MAYOR respaldo a un profesional de riesgo que recomienda el cifrado de las laptops corporativas y medios extraíbles como medida de mitigación de riesgos?

Desarrollo de un caso de negocio

Punto de comparación con pares

Evaluación de informes públicos sobre algoritmos de cifrado en el dominio público

Examinar sistemas no encriptados en busca de vulnerabilidades

El desencadenante MÁS probable de una evaluación de riesgo integral es que se produzcan cambios:

los niveles de valoración de activos.

las políticas de seguridad de la información.

¿Cuál de las siguientes herramientas se utiliza para determinar si se hicieron modificaciones no autorizadas en los programas de producción?

Un análisis de log/registros del sistema

Una organización contrata a un consultor para que ayude a determinar el nivel de madurez de un programa de gestión de riesgo. El elemento MAS importante de la solicitud de propuesta (RFP) es:

la metodología usada en la evaluación.

la experiencia anterior del equipo de trabajo.

referencias de otras organizaciones.

El MEJOR momento para realizar una prueba de penetración es después de:

haberse realizado varios cambios de infraestructura.

un alto nivel de rotación en el personal de sistemas.

que se haya producido un intento de penetración.

que una auditoría haya informado debilidades en los controles.

¿Cuál de los siguientes elementos debe implementarse antes de iniciar una prueba de penetración de caja negra?

Una definición de alcance claramente definido

Comunicación y capacitación de concienciación sobre riesgos adecuadas

Un plan de respuesta a incidentes

¿Cuál de las siguientes herramientas es la que MEJOR ayuda a un profesional de riesgo a medir el actual nivel de desarrollo de los procesos de gestión de riesgo en comparación con el estado deseado?

Un modelo de madurez de capacidad (CNIN'I)

Informes de auditoría sobre gestión de riesgo

Un tablero de control equilibrado (BSC)

Una arquitectura de seguridad de la organización

¿Cuál de las siguientes es la MEJOR forma de garantizar que una red corporativa está adecuadamente protegida contra ataques externos?

Efectuar pruebas de penetración periódicas.

Utilizar un sistema de detección de intrusos (IDS).

Establecer bases de seguridad mínimas.

Implementar configuraciones recomendadas por el proveedor.

Un tercero se compromete a desarrollar una aplicación de negocio. ¿Cuál de las siguientes acciones es la MEJOR para medir la existencia de puertas traseras?

Revisiones de códigos de seguridad para toda la aplicación

Monitoreo del sistema para el tráfico en los puertos de red

Ingeniería inversa de los binarios de aplicación

Ejecutar la aplicación desde una cuenta de

s de seguridad para toda la aplicación

Monitoreo del sistema para el tráfico en los puertos de red

Ingeniería inversa de los binarios de aplicación

Ejecutar la aplicación desde una cuenta de privilegio alto en el sistema de pruebas.

Una prueba de sustantiva para comprobar la exactitud de los registros del inventario de la biblioteca de grabaciones es:

realizar un recuento físico del inventario de grabaciones.

determinar si están instalados los lectores de códigos de barras.

verificar si la recepción y el envío de grabaciones se con exactitud.

determinar si el movimiento de grabaciones está autorizado.

El MEJOR método para detectar y monitorear las actividades de un hacker sin exponer los activos de información a un riesgo innecesario es utilizar:

subredes filtradas (screened subnets).

¿Cuál de las siguientes es la MEJOR forma de verificar los servidores de producción fundamentales están utilizando archivos de firma de antivirus actualizados?

Revisar una muestra de servidores.

Verificar la fecha en que los archivos de firma (signature files) fueron retirados por última vez.

Utilizar un virus benigno identificado recientemente para comprobar si está en cuarentena

Buscar el archivo de firma más reciente y compararlo con la consola.

¿Cuál de las siguientes herramientas es la MEJOR para ayudar a identificar las deficiencias de control de los sistemas de información?

El actual perfil de riesgo de TI

El marco de los controles de TI

Al evaluar el desempeño de un servidor de aplicaciones crítico, los resultados de evaluación MAS confiables pueden obtenerse a partir de:

la activación de una auditoría de base de datos nativa.

la documentación de objetivos de desempeño.

la documentación de los módulos de seguridad.

La meta PRINCIPAL de una revisión posterior al incidente es:

identificar formas de mejorar el proceso de respuesta.

reunir evidencia para una acción jurídico posterior.

identificar a los individuos que no realizaron la acción adecuada.

determinar la identidad del atacante.

El riesgo de TI se mide por:

el impacto en las operaciones de negocio.

el nivel de daño a los sistemas de TI.

La denominación MÁS precisa para la obtención de la posibilidad y el impacto de los escenarios de riesgo a través de métodos estadísticos es:

análisis de riesgo cuantitativo.

análisis de escenario de riesgo.

evaluación de riesgo probabilístico.

Durante una evaluación de riesgo interna en una organización global, un gerente de riesgo advierte que la Gerencia/Ejecutivos locales mitigaron, de manera proactiva, algunos riesgos de nivel alto relacionados con el proceso de compras global. Esto significa que:

la Gerencia/Ejecutivos corporativos sigue siendo responsable de riesgo.

la Gerencia/Ejecutivos locales ahora son responsables por el riesgo.

el propietario de riesgo es el director de riesgo corporativo (CRO).

el propietario de riesgo es el gerente de compras local.

¿Cuándo utilizaría PRINCIPALMENTE el departamento de gestión de proyectos de la organización un análisis de riesgo?

Durante la toma de decisiones para proceder o cancelar

Durante la preparación para catástrofes naturales

Durante el desarrollo de la capacitación sobre seguridad en el lugar de trabajo

Durante las revisiones del boletín de regulaciones

La PRINCIPAL razón para hacer que el proceso de gestión de riesgo sea revisado por un profesional de gestión de riesgo independiente es:

evaluar la validez de todo el proceso.

validar las soluciones rentables para mitigar el riesgo.

validar las debilidades de los controles detectados por el equipo interno.

evaluar si el perfil de riesgo y los factores de riesgo están definidos adecuadamente.

¿Cuál de las siguientes revisiones es la MÁS adecuada para la revisión de los resultados del análisis de riesgo de TI antes de que dichos resultados se envíen a la Gerencia/Ejecutivos para su aprobación y se utilicen en la toma de decisiones?

Una revisión de auditoría interna

Una revisión de política de riesgo

¿Cuál de las siguientes herramientas es la MEJOR para hacer una revisión de pares del proceso de gestión de riesgo de una organización?

Un modelo de madurez de capacidad (CMM)

Un tablero de control equilibrado (BSC)

¿Cuál de las siguientes acciones es la MEJOR para garantizar la eficacia general de un programa de gestión de riesgo?

Dar participación a las partes interesadas relevantes

Obtener la opinión de todos los usuarios finales

Asignar un gerente de riesgo exclusivo para ejecutar el programa

Aplicar metodologías de riesgo cuantitativas

¿Cuál de las siguientes opciones es la MEJOR para garantizar que el riesgo identificado se mantenga en un nivel aceptable?

Revisar los controles con periodicidad, de acuerdo con el plan de acción de riesgo

Enumerar cada riesgo en entradas separadas en el registro de riesgos

Crear un registro de riesgos separado para cada departamento

Mantener un indicador clave de riesgo (KRI) para activos en el registro de riesgos

¿Cuál es el PRIMER paso que debe dar un profesional de riesgos cuando una organización decide tercerizar todos los servicios y el soporte de TI?

Garantizar que los requisitos de seguridad se incluyan en todos los contratos y acuerdos.

Validar los sistemas internos del proveedor de servicios para garantizar que son seguros.

Hacer cumplir las regulaciones y normas asociadas con la externalización de la administración de datos para establecer restricciones sobre el flujo de datos transfronterizos.

Desarrollar un caso de negocio para efectuar una auditoría en el lugar del tercero proveedor.

La política corporativa de una organización especifica que solo se registren (logged) los intentos de acceso exitosos y fallidos. ¿Cuál es el PRINCIPAL riesgo para la organización?

No se registra la dirección del protocolo de internet (IP) de origen.

No se registra la dirección IP de destino.

La información de acceso puede perderse si los datos no se trasladan automáticamente a un almacenami

Durante una evaluación interna, una organización advierte que se registraron solo algunas decenas de transacciones individuales con codificación fija, lo cual no incluye la cantidad que debería registrarse para cumplir los requisitos regulatorios. Los archivos log individuales del servidor utilizan el método primera entrada - primera salida (FIFO). La mayoría de los archivos se reciclan en menos de 24 horas. ¿Cuál es la vulnerabilidad MÁS perjudicial, desde el punto de vista financiero, relacionada con la práctica de registro vigente?

Es posible que no pueda hacerse un seguimiento de las transacciones relacionadas con normas.

Los datos del log se reciclan en menos de 24 horas.

Los archivos del log se almacenan en los servidores de origen.

Las transacciones que se registran tienen una codificación fija.

Las pruebas de cumplimiento de un plan de respuesta y recuperación deben comenzar con la realización de:

una revisión de los logs archivados.

El departamento de TI desea utilizar un servidor para la base de datos de la organización, pero el hardware de dicho servidor no está certificado por el proveedor de la base de datos o del sistema operativo (OS). Un profesional de riesgo determina que el uso de la base de datos presenta:

un nivel de riesgo desconocido.

El PRINCIPAL beneficio de utilizar el modelo de madurez para evaluar el proceso de administración de datos de la organización es que:

puede utilizarse para hacer comparaciones.

Qué indica la presencia de diferentes escenarios de riesgo en las mismas bandas/curvas de los mapas de riesgo?

Todos los escenarios de riesgo que están en la misma curva de los mapas de riesgo presentan el mismo nivel de riesgo.

Todos los escenarios de riesgo que están en la misma curva de los mapas de riesgo presentan la misma magnitud de impacto.

Todos los escenarios de riesgo que están en la misma curva de los mapas de riesgo requieren la misma respuesta al riesgo.

Todos los escenarios de riesgo que están en la misma curva de los mapas de riesgo son del mismo tipo.

La meta de un análisis de riesgo de TI es:

permitir la priorización de las respuestas al riesgo.

permitir la alineación de la gestión de riesgo de TI con la gestión de riesgo de la organización (ERM).

satisfacer los requisitos de cumplimiento jurídicos y regulatorios.

identificar las amenazas y vulnerabilidades conocidas para los activos de la información.

CRISC_DOMINIO 2 - EVALUACIÓN DE RIESGOS DE TI

Authored by ISO 27001:2013 .

English

University

Used 3+ times

CRISC_DOMINIO 2 - EVALUACIÓN DE RIESGOS DE TI

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

130 questions

Show all answers

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de las siguientes opciones utiliza escenarios de riesgo al momento de estimar la probabilidad y el impacto de un riesgo significativo para la organización?

Una auditoría de TI

Un análisis de brechas de seguridad

Una evaluación de amenazas y vulnerabilidades

Una evaluación de seguridad de TI

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de las siguientes opciones tiene el impacto MÁS significativo en los modelos de gobierno de seguridad de información estándar?

Cantidad de empleados

Diferencias culturales entre ubicaciones físicas

Complejidad de la estructura organizacional

Cambios en los requisitos legislativos

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de las siguientes opciones ofrece resultados integrales al momento de realizar un análisis de riesgo cualitativo?

Una evaluación de vulnerabilidad

Escenarios con amenazas e impactos

El valor de los activos de información

Pérdidas de productividad estimadas

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Quién debería ser el responsable de riesgo a un sistema de TI que respalda un proceso de negocio crítico?

La Gerencia/Ejecutivos de TI

La alta Gerencia

El departamento de gestión de riesgo

Los usuarios del sistema

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de los siguientes es el PRINCIPAL resultado de un análisis de impacto en el negocio (BIA)?

Priorización de proyecto

Criticidad de los procesos de negocio

La causa raíz de riesgo de TI

El riesgo de terceros proveedores

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de las siguientes opciones es el insumo MÁS valioso para las medidas de respuesta al incidente?

Análisis cualitativo de amenazas

La pérdida anual esperada (ALE) total

Una evaluación de vulnerabilidad

Pruebas de penetración

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de las siguientes opciones es la que MEJOR describe los roles y responsabilidades asociados con el riesgo de una unidad de negocio (BU) de la organización? El equipo de gestión de BU:

es el propietario del plan de mitigación para el riesgo que pertenece a su BU, mientras que los miembros de la Junta Directiva son los responsables de identificar y evaluar el riesgo, así como también de informar sobre este riesgo al equipo de soporte correspondiente.

es el propietario del riesgo y el responsable de identificar, evaluar y mitigar el riesgo, así como también de informar sobre ese riesgo al equipo de soporte correspondiente y al Directorio.

posee las responsabilidades respectivas relacionadas con el riesgo, pero la responsabilidad definitiva por el trabajo diario de gestión de riesgo y logro de objetivos pertenece a los miembros del directorio.

tiene responsabilidad definitiva por el trabajo diario de gestión de riesgo y logro de objetivos, y el riesgo pertenece a los miembros del directorio.

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Popular Resources on Wayground

25 questions

The Ultimate College Knowledge Quiz

Quiz

•

8th Grade

20 questions

Math Review

Quiz

•

3rd Grade

15 questions

Fast food

Quiz

•

7th Grade

20 questions

Math Review

Quiz

•

6th Grade

20 questions

Context Clues

Quiz

•

6th Grade

20 questions

Inferences

Quiz

•

4th Grade

19 questions

Classifying Quadrilaterals

Quiz

•

3rd Grade

20 questions

Figurative Language Review

Quiz

•

6th Grade

Discover more resources for English

20 questions

Guess The App

Quiz

•

KG - Professional Dev...

11 questions

dog breeds

Quiz

•

3rd Grade - Professio...

40 questions

Disney Trivia

Quiz

•

KG - University

11 questions

NFL Football logos

Quiz

•

KG - Professional Dev...

19 questions

Minecraft

Quiz

•

6th Grade - Professio...

32 questions

NC Biology EOC Review : Heredity, Genetics, Biotechnology

Quiz

•

KG - University

20 questions

Disney Trivia

Quiz

•

University

24 questions

5th Grade Math EOG Review

Quiz

•

KG - University