¿Cuál de las siguientes debe ser la MAYOR preocupación de un profesional de riesgos?

Falta de información interna sobre un ataque exitoso

Falta de notificación al público acerca de una intrusión

Falta de notificación a la policía acerca de un intento de intrusión

Falta de un examen periódico de los derechos de acceso

¿Cuál de los siguientes es el PRIMER paso en el desarrollo de un programa de monitoreo de riesgos?

Llevar a cabo una evaluación de capacidad

Desarrollar indicadores clave para monitorear los resultados

Reunir datos de referencia sobre los indicadores

Analizar e informar los hallazgos.

¿Cuál de las siguientes revisiones proporcionará la MEJOR comprensión de las capacidades de gestión de riesgo de la organización?

Una revisión del modelo de madurez de la capacidad (CMM)

Una comparación de la capacidad con respecto a las regulaciones o normas de la industria

Una autoevaluación de capacidades

Una evaluación de auditoría interna de capacidades

Como parte del programa de gestión de riesgo de la organización (ERM), la MEJOR forma en que un profesional de riesgos puede aprovechar el trabajo realizado por la función de auditoría interna es haciendo que:

Se preste asistencia en las tareas de monitoreo, evaluación, examen e información de los controles.

Se diseñe, implemente y mantenga el proceso de ERM.

Se gestione y se evalúe la concienciación de riesgos global.

Se evalúen los cambios en curso en los factores de riesgo organizacionales.

¿Cuál de las siguientes situaciones es esperable cuando se mantiene un control clave a un nivel óptimo?

Equilibrio entre el coste y la eficacia del control

El plazo más breve hasta que la brecha de control se haga visible

Un nivel de madurez adecuado del proceso de gestión de riesgo

Una estimación precisa de la cantidad de riesgo operativo

La razón PRINCIPAL para informar cambios significativos en los riesgos de TI a la Gerencia/Ejecutivos es:

iniciar el análisis de impacto del riesgo para determinar si se requiere una respuesta adicional.

actualizar periódicamente el inventario de activos de información.

actualizar los valores de probabilidad e impacto para el riesgo relacionado.

reconsiderar el grado de importancia de los activos de información existentes.

Un administrador de base de datos advierte que la aplicación de la libreta de direcciones corporativa, con base en la web y alojada externamente, requiere que los usuarios se autentiquen, pero el tráfico entre estos y dicha aplicación no está cifrado. El curso de acción MÁS adecuado es:

Notificar al propietario de la organización y al gerente de seguridad acerca del hallazgo y proponer agregarlo al registro de riesgos.

Comunicarse con los administradores de la aplicación y solicitarles que habiliten el cifrado del tráfico web de dicha aplicación.

Alertar a todo el personal acerca de la vulnerabilidad y recomendarles que no se conecten desde redes públicas

Aceptar que los controles actuales son adecuados para la información de negocios no confidencial.

¿Cuál de las siguientes es la razón PRINCIPAL para monitorear periódicamente los indicadores clave de riesgo (KM)?

El perfil de riesgo puede haber cambiado.

Debe minimizarse el coste de la respuesta al riesgo.

Deben minimizarse los errores en los resultados de los KRI.

Debe mejorarse continuamente la evaluación de riesgo.

¿Cuál de los siguientes es el MEJOR indicador de un nivel de madurez elevado en el proceso de gestión de riesgo de TI de una organización?

Las personas tienen una conciencia de riesgo adecuada y hablan cómodamente sobre el tema.

La Alta Gerencia está preparada para invertir más dinero en seguridad de TI.

Se recomienda efectuar una evaluación de riesgo en todas las áreas de gestión de negocio y de TI.

El negocio y el área de TI están alineados en la evaluación de riesgo y en el ranking de riesgo.

Como parte del monitoreo de riesgos, el administrador de un sistema de autenticación de dos factores identifica una fuente independiente y confiable que indica que el algoritmo utilizado para generar las claves se ha visto comprometido. El proveedor del sistema de autenticación no brindó información adicional. ¿Cuál de los siguientes es el MEJOR curso de acción inicial?

Determinar e implementar controles compensatorios

Esperar que el proveedor confirme formalmente la falla y proporcione una solución.

¿Cuál de los siguientes es el MEJOR curso de acción inicial?

Identificar todos los sistemas que requieren una autenticación de dos factores y notificar a los correspondientes dueños de negocio.

Esperar que el proveedor confirme formalmente la falla y proporcione una solución.

Determinar e implementar controles compensatorios adecuados.

Inhabilitar el sistema y confiar en la autenticación de un solo factor hasta recibir más información.

¿Cuál de los siguientes análisis es el MÁS útil para desarrollar una serie de objetivos de tiempo de recuperación (RTO)?

Análisis de impacto en el negocio (BIA)

¿Cuál de las siguientes es la MEJOR forma de garantizar que los programadores de contrato cumplan con las políticas de seguridad de la organización?

Efectuar revisiones de seguridad periódicas de los contratistas.

Obtener un acuse de recibo por escrito de las políticas de seguridad por parte de los contratistas.

Mencionar expresamente a los contratistas en las normas de seguridad.

Crear multas por incumplimiento en los acuerdos contractuales.

La Gerencia/Ejecutivos desean garantizar que el área de TI logre cumplir los requisitos del negocio. ¿Cuál de los siguientes recursos es el que MEJOR respalda ese esfuerzo?

Un marco o sistema de control interno

Un análisis de coste-beneficio

Un análisis de retorno sobre la inversión (ROl)

Un proceso comparativo (benchmarking)

¿Cuál es la manera Más eficaz de garantizar que los terceros proveedores de servicios cumplan con la política de seguridad de información de la organización?

Capacitaciones de concienciación sobre seguridad

¿Cuál de las siguientes métricas es la MÁs útil para evaluar el monitoreo de los registros de Violaciones de seguridad?

Investigación de intentos de penetración

Elaboración de informes de registros de violaciones de seguridad

Entradas en los registros de violaciones de seguridad

Secuencia de las acciones correctivas aplicadas

¿Cuál de los siguientes factores es el MÁS importante para medir la eficacia de un programa de concienciación sobre seguridad?

Una mayor cantidad de informes de violaciones de seguridad

Mayor interés en problemas de seguridad por parte de los grupos de enfoque

Menor cantidad de informes sobre violaciones de seguridad

Una evaluación cuantitativa para garantizar la comprensión del usuario

Cuando se descubre una vulnerabilidad significativa en la seguridad de un servidor web crítico, deberá notificarse de inmediato:

Al propietario del sistema para que tome una acción correctiva.

Al equipo de desarrollo para que lo solucione

A los propietarios de los datos para que mitiguen los daños.

Al equipo de respuesta a los incidentes para que investigue.

¿Cuál de las siguientes es la MEJOR métrica para gestionar el programa de seguridad de la información?

La cantidad de excepciones registradas a partir de los requisitos mínimos de seguridad de la información

La cantidad de sistemas sujetos a la detección de intrusos

La cantidad de tiempo de inactividad ocasionado por incidentes de seguridad

El desfase temporal entre la detección, la información y la acción en los incidentes de seguridad

¿Cuál de las siguientes acciones garantiza con MAYOR eficacia que los controles de los proveedores de servicios se mantengan dentro de los lineamientos establecidos en la política de seguridad de información de la organización?

Capacitaciones de concienciación sobre seguridad

A pesar de contar con un programa integral de concienciación sobre seguridad, implementado y evaluado por el personal y los contratistas una vez al año, una organización experimentó una violación de seguridad mediante un ataque de phishing ¿Cuál es la manera Más eficaz de mejorar la concienciación sobre seguridad?

Realizar una prueba de ingeniería social periódica para todos los miembros del personal e informar a estos el resumen de los resultados.

Revisar el programa de concienciación sobre seguridad y mejorar la cobertura de amenazas de ingeniería social.

Implementar un proceso disciplinario dirigido a las personas que filtraron la información.

Implementar un sistema de prevención de pérdida de datos (DLP) que indique automáticamente a los usuarios cuáles son las políticas corporativas.

¿Cuál de las siguientes configuraciones es la MÁS importante cuando se revisan los archivos de configuración de un sistema de aplicaciones corporativo fundamental?

El acceso a los archivos de configuración no está restringido.

Los archivos de configuración se cambian con frecuencia.

Los cambios en los archivos de configuración son registrados.

Los valores de configuración no afectan la eficiencia del sistema.

La razón PRINCIPAL para desarrollar una arquitectura de seguridad de una organización es:

Alinear las estrategias de seguridad entre las áreas funcionales de una organización y sus entidades externas.

Construir una barrera entre los sistemas de TI de la organización y el mundo exterior.

Ayudar a desarrollar una comprensión de las tecnologías de una organización y de sus interacciones.

Proteger a la organización contra amenazas externas y monitorear proactivamente la red corporativa.

Durante una evaluación de riesgo de la organización, se advierte que varias nomas de TI no han sido actualizadas. El MEJOR curso de acción es:

Revisar las normas en comparación con los requisitos actuales y determinar si son adecuadas.

Determinar que las normas deben actualizarse anualmente.

Informar que las normas de TI son adecuadas y no necesitan ser actualizadas.

Revisar el documento de la política de TI y ver con qué frecuencia deben actualizarse las normas de TI.

Hay un aumento en los niveles de llamadas a la mesa de ayuda porque el proveedor de hosting de recursos humanos (RR. HH.) Redujo el período de validez de las contraseñas de 90 a 30 días. La política de contraseñas de la organización exige que la validez de las contraseñas sea de 60 días, y RR. HH. No está al tanto de este cambio. Lo PRIMERO que debe hacer el profesional de riesgos es:

Investigar formalmente la causa del cambio no autorizado.

Solicitar al proveedor del servicio que restablezca el periodo de validez a 90 días.

Iniciar una solicitud para reforzar el requisito de validez de las contraseñas de la corporación a 30 días.

Notificar a los empleados que hubo un cambio en el período de validez de las contraseñas.

Una cantidad excesiva de imágenes de estaciones de trabajo puede categorizarse como un indicador clave de riesgo (KRI) para:

La gestión de operaciones de TI.

¿Cuál de las siguientes situaciones representa la MAYOR preocupación para el profesional de riesgos que revisa una política de seguridad de información corporativa desactualizada? La política:

No fue revisada durante los últimos tres años.

Ausencia de las plataformas tecnológicas más recientes.

No fue actualizada para tener en cuenta a las nuevas ubicaciones.

No hace cumplir el monitoreo de controles.

¿Cuál de las siguientes herramientas bríndala MEJOR capacidad para identificar si los controles implementados siguen siendo eficaces para mitigar el riesgo previsto?

Un indicador clave de riesgo (KRl)

Un indicador clave de desempeño (KPI)

¿Cuál de las siguientes es la PRINCIPAL razón para llevar a cabo una evaluación de riesgo periódica?

Cambios en el perfil de amenazas y vulnerabilidades

Cambios en el inventario de activos

Cambios en los niveles de clasificación de activos

Cambios en el apetito al riesgo

Un profesional de riesgos se va enterado de una potencial fusión con otra organización, ¿Qué acción deberá llevar a cabo este profesional?

Evaluar de qué manera los cambios en la cultura y las operaciones del negocio podrían afectar la evaluación de riesgo.

Monitorear la situación para ver si surge algún nuevo riesgo debido a los cambios propuestos.

Continuar monitoreando y haciendo cumplir el programa de riesgo actual, puesto que ya está adaptado adecuadamente a la organización.

Implementar cambios en el programa de riesgo a fin de prepararse para la transición

¿Cuál, de las siguientes acciones es la MEJOR para permitir a una organización que mida su proceso de gestión de riesgo en comparación con sus pares?

Adopción de un modelo de madurez

Adopción de un modelo de arquitectura de la organización (EA)

Adopción de un cuadro de mando integral (BSC)

Adopción de una metodología de evaluación de riesgo

Una organización se está expandiendo en una nueva zona cercana (complejos de oficinas). ¿Cuál de las siguientes opciones es la MÁS importante que debe informar un profesional de riesgos?

Requisitos jurídicos y normativos

El potencial de desastres naturales

La razón MÁS importante para informar acerca de la eficacia de los controles como parte de los informes sobre riesgos es que:

Permite efectuar informes de auditoría.

Ayuda a gestionar el ciclo de vida de los controles.

¿Cuál de las siguientes herramientas es MÁS adecuada para informar el riesgo de negocio relacionado con TI a la Alta Gerencia?

Cuadros de mando integrales (BSC)

Gráficos de Gantt/diagramas de Técnica de revisión y evaluación de programas (PERT)

Informes de vulnerabilidad técnica

Un objetivo clave al monitorear la eficacia de los controles de los sistemas de información comparándolos con los requisitos externos de la organización es:

Garantizar que se hayan cumplido las obligaciones jurídicas de la organización.

Diseñar los controles de seguridad de información aplicables para las auditorías externas.

Crear las disposiciones de la política de seguridad de información de la organización dirigida a terceros.

Identificar aquellas obligaciones jurídicas que correspondan según las prácticas de seguridad de la organización.

¿Cuál de las siguientes opciones es la MEJOR para ayudar al profesional de riesgos a identificar las deficiencias de los controles de los sistemas de información (SI)?

Un marco de control de) área de TI

¿sistemas de información (SI)?

Un marco de control de área de TI

La MEJOR razón para implementar un modelo de madurez para una gestión de riesgo es:

permitir la alineación con los objetivos de negocio.

ayudar a mejorar el gobierno y el cumplimiento.

asegurar que los controles de seguridad sean eficaces.

¿Cuál de las siguientes consideraciones es la MÁS importante al implementar los indicadores clave de riesgo (KRI)?

La métrica se vincula con un riesgo específico.

La métrica es fácil de evaluar.

La métrica es de agregación fácil.

La métrica es fácil de interpretar.

CRISC_DOMINIO 4 - MONITOREO Y REPORTE DE RIESGOS Y CONTROLES

Authored by ISO 27001:2013 .

World Languages

12th Grade

Used 3+ times

CRISC_DOMINIO 4 - MONITOREO Y REPORTE DE RIESGOS Y CONTROLES

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

101 questions

Show all answers

MULTIPLE CHOICE QUESTION

5 mins • 1 pt

¿Cuál de las siguientes es la razón MÁS importante para llevar a cabo evaluaciones de riesgo periódicas?

Las evaluaciones de riesgo no siempre son precisas.

Los revisores pueden optimizar y reducir el coste de los controles.

Las evaluaciones de riesgo periódicas demuestran el valor de la función de gestión de riesgo ante la Alta Gerencia.

El riesgo de negocio está sujeto a cambios frecuentes.

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de los siguientes factores es el MÁS esencial para que un programa de gestión de riesgo sea eficaz?

Detección de nuevos riesgos

Una línea base de riesgos sólida

Informe de riesgo preciso

Un presupuesto de seguridad flexible

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

Una evaluación de vulnerabilidad de la red tiene por objetivo identificar:

Fallas en el diseño de seguridad.

Vulnerabilidades de día cero.

Errores de configuración y falta de actualizaciones.

Software malicioso y spyware.

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

El riesgo aceptado previamente debe ser:

Reevaluado periódicamente, ya que el riesgo puede aumentar hasta un nivel inaceptable debido a las condiciones revisadas.

Eliminado del registro de riesgo una vez que fue aceptado

Aceptado de manera permanente, dado que la Gerencia/Ejecutivos ya gastó recursos (tiempo y mano de obra) para concluir en que el nivel de riesgo es aceptable.

Evitado la siguiente vez, dado que la elusión del riesgo brinda la mejor protección para la organización.

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

Luego de un estudio de evaluación de riesgo, un banco que realiza transacciones globales decidió continuar operando en ciertas regiones del mundo donde el robo de identidad está extendido. Para abordar el riesgo de la manera MÁS eficaz, la organización debe:

Implementar técnicas de monitoreo para detectar y reaccionar ante potenciales fraudes.

Responsabilizar al cliente por las pérdidas en caso de que aquél no siga las recomendaciones del banco.

Mejorar los esfuerzos de concienciación de clientes en esas regiones.

Tercerizar el procesamiento de tarjetas de crédito.

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de los siguientes es el MEJOR indicador de una práctica de gestión de riesgo exitosa?

El riesgo de control está vinculado a las unidades de negocio.

Se cuantifica el riesgo total.

Se minimiza el riesgo residual.

Se elimina el riesgo inherente.

MULTIPLE CHOICE QUESTION

3 mins • 1 pt

¿Cuál de los siguientes factores es el que MÁS facilita la toma de decisiones de negocio con conciencia del riesgo?

Sólidas políticas de seguridad de la información

Un intercambio de información precisa y oportuna

Personal especializado en gestión de riesgo

Controles de procesos eficaces

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Microsoft

or continue with

Facebook

Apple

Others

Already have an account?

Similar Resources on Wayground

100 questions

Spanish 1 Final May '23

Quiz

•

9th - 12th Grade

97 questions

Examen 2 Esp3 U3EB

Quiz

•

9th - 12th Grade

100 questions

Spanish 1 FINAL

Quiz

•

9th - 12th Grade

105 questions

Final Exam Spanish 1 Fall 23

Quiz

•

12th Grade

100 questions

Bien Dit, Ch.1-2

Quiz

•

9th - 12th Grade

100 questions

Avancemos 2 Examen Diagnostico

Quiz

•

10th - 12th Grade

97 questions

S2 L3 - Repaso para el examen

Quiz

•

9th - 12th Grade

97 questions

Conhecimentos Gerais

Quiz

•

10th Grade - University

Popular Resources on Wayground

28 questions

US History Regents Review

Quiz

•

11th Grade

36 questions

Biology Regents Review

Quiz

•

9th - 10th Grade

20 questions

Math Review

Quiz

•

3rd Grade

38 questions

Regents Life Science General Review

Quiz

•

9th Grade

20 questions

Math Review

Quiz

•

6th Grade

21 questions

EOY Grade 6 Benchmark Assessment - Content Skills

Quiz

•

6th Grade

20 questions

Inferences

Quiz

•

4th Grade

20 questions

Figurative Language Review

Quiz

•

6th Grade

Discover more resources for World Languages

20 questions

preterito vs imperfecto

Quiz

•

5th - 12th Grade