Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

CISM ESPAÑOL by Joorge > 2 Gestion de Riesgos > Flashcards

2 Gestion de Riesgos Flashcards

1
Q

Una institución financiera planea asignar recursos de seguridad de la información a cada una de sus divisiones comerciales. ¿En qué áreas deberían centrarse las actividades de seguridad?
A. Áreas donde se aplican requisitos regulatorios estrictos
B. Áreas que requieren el objetivo de tiempo de recuperación más corto
C. Áreas que pueden maximizar el retorno de la inversión en seguridad
D. Áreas donde la probabilidad y el impacto de las amenazas son mayores

A

Es una pregunta complicada de responder argumentando las respuestas.
D es la respuesta correcta
A. Si bien los requisitos regulatorios deben ser considerados, puede haber otras áreas donde la amenaza y el impacto al negocio sea mayor. Un Incumplimiento regulatorio … suele ser multa, incluso cierre de empresa, pero ¿habrá amenazas mas importantes para el negocio?
B. El RTO es muy importante desde una perspectiva de Continuidad de Negocio, pero solo ilustra una parte del FrameWork de seguridad. El cumplimiento regulatorio tambien tiene iniciativas sobre el RTO.
C. Aplicar seguridad solo a la linea de negocio mas rentable NO garantiza la supervivencia de la empresa ante un ataque.
D. Las actividades de seguridad deben focalizarse en las áreas donde las amenazas, la probabilidad y el impacto son mayores… que para eso hacemos un AARR y un BIA

https://engage.isaca.org/discussion/cism-qotd-wednesday-31th-january-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

¿Cuál de las siguientes es la consideración MÁS importante al realizar una evaluación de riesgos?
A. El equipo Ejecutivo apoya los esfuerzos de mitigación de riesgos.
B. Se han calculado las expectativas de pérdida anual para activos críticos.
C. Los activos han sido identificados y valorados adecuadamente.
D. Se comprenden los motivos, medios y oportunidades del ataque.

A

C es la respuesta correcta
A.- el apoyo de la direccion general es importante, pero no es relevante al realizar una evaluacion de riesgos, excepto en la medida que la falta de apoyo pueda suponer un riesgo.
B.- La expectativa de perdida anual de los activos críticos se usará en el AARR pero primero deberemos identificar esos activos.
C.- La identificación y valoración de activos proporciona la base esencial para los esfuerzos de evaluación de riesgos. Sin saber que existe un activo y su valor para la empresa, no se pueden determinar el riesgo y el impacto.
D.- Comprender los motivos, los medios y las oportunidades de ataque es parte de la identificación de riesgos, pero deben considerarse en el contexto de los activos identificados y valorados.

https://engage.isaca.org/discussion/cism-qotd-monday-29th-january-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

¿En qué momento debería ocurrir una evaluación de riesgos de un nuevo proceso para determinar los controles apropiados? Debería ocurrir:
A. Sólo al principio y al final del nuevo proceso.
B. durante todo el ciclo de vida del proceso.
C. inmediatamente después de que se apruebe el caso de negocio del proceso.
D. antes de aprobar las especificaciones para el nuevo proceso.

A

Hace 20 años …. 2.000 aprox… la seguridad se implementaba al finalizar un proyecto. Desde entonces se ha estado cambiando para que la seguridad no sea una actividad PUNTUAL … sino una actividad continua y constante durante toda la ejecución del proyecto.

B es la respuesta correcta
A. Cambios de riesgo en diversas etapas del ciclo de vida. Si la evaluación se realiza sólo al principio y al final del proceso, se pasarán por alto cuestiones importantes.
B. Se debe realizar una evaluación de riesgos durante todo el ciclo de vida de un proceso nuevo o modificado. Esto permite comprender cómo la implementación de un control temprano afectará las necesidades de control posteriores.
C. El momento de las evaluaciones debe ocurrir en cada etapa del ciclo de vida independientemente del proceso. Tambien cuando se apruebe el caso de uso, así como todas las fases.
D. Las leyes y regulaciones no son relevantes sobre cuándo se debe evaluar el riesgo.

https://engage.isaca.org/discussion/cism-qotd-tuesday-30th-january-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Después de una evaluación de riesgos, se determina que el costo de mitigar el riesgo es mucho mayor que el beneficio que se obtendrá. El gerente de seguridad de la información debe recomendar a la gerencia empresarial que el riesgo sea:
A. Transferido.
B. Tratado.
C. Aceptado.
D. Terminado.

A

C es la respuesta correcta
A. Transferir el riesgo tiene un beneficio limitado si el costo del control es mayor que el costo potencial del riesgo que se manifiesta.
B. Tratar el riesgo tiene un beneficio limitado si el costo del control es mayor que el costo del riesgo que se explota.
C. Cuando el costo del control sea mayor que el costo del riesgo, se debe aceptar el riesgo.
D. Si el valor de la actividad es mayor que el costo potencial del compromiso, entonces terminar la actividad no sería el consejo apropiado.

https://engage.isaca.org/discussion/cism-qotd-thursday-1st-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

¿La aceptación del riesgo es un componente de cuál de los siguientes?
A. Evaluación de riesgos
B. Mitigación de riesgos
C. Identificación de riesgos
D. Vigilancia de riesgos

A

B es la respuesta correcta
A. La evaluación de riesgos incluye la identificación y el análisis para determinar la probabilidad y las posibles consecuencias de un compromiso, que no es cuando se debe considerar la aceptación del riesgo o la mitigación requerida.
B. **Si después de la evaluación de riesgos un riesgo es inaceptable, la aceptabilidad se determina siguiendo los esfuerzos de mitigación del riesgo. **
C. La identificación de riesgos es el proceso de evaluación que identifica el riesgo viable mediante el desarrollo de una serie de escenarios de riesgo potenciales.
D. El seguimiento no está relacionado con la aceptación del riesgo.

https://engage.isaca.org/discussion/cism-qotd-monday-5th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Los programas de gestión de riesgos están diseñados para reducir el riesgo de:
A. un nivel que es demasiado pequeño para ser mensurable.
B. el punto en el que el beneficio excede el gasto.
C. un nivel que la empresa esté dispuesta a aceptar.
D. una tasa de rendimiento que iguala el costo actual del capital.

A

C es la respuesta correcta.
A. Reducir el riesgo a un nivel demasiado pequeño para medirlo no es práctico y, a menudo, tiene un costo prohibitivo.
B. Dependiendo de la preferencia de riesgo de una empresa, puede optar o no por mitigar el riesgo hasta el punto en que el beneficio iguale o supere el gasto.
C. El riesgo debe reducirse a un nivel que una empresa esté dispuesta a aceptar.
D. Vincular el riesgo a una tasa de rendimiento específica ignora los aspectos cualitativos del riesgo que también deben considerarse.

https://engage.isaca.org/discussion/cism-qotd-tuesday-6th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

La decisión de si un riesgo de TI se ha reducido a un nivel aceptable debe determinarse mediante:
A. Requisitos organizativos.
B. Requisitos de los sistemas de información.
C. Requisitos de seguridad de la información.
D. Normas internacionales.

A

A es la respuesta correcta.
A. Los requisitos organizacionales deben determinar cuándo un riesgo se ha reducido a un nivel aceptable.
B. La aceptabilidad de un riesgo es, en última instancia, una decisión de la gestión, que puede o no ser coherente con los requisitos de los sistemas de información.
C. La aceptabilidad de un riesgo es, en última instancia, una decisión de la gestión, que puede o no ser coherente con los requisitos de seguridad de la información.
D. Debido a que cada empresa es única, los estándares internacionales pueden no representar la mejor solución para empresas específicas y son principalmente una guía.

https://engage.isaca.org/discussion/cism-qotd-wednesday-7th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

¿Cuál es una expectativa razonable de un programa de gestión de riesgos?
A. Elimina todo riesgo inherente.
B. Mantiene el riesgo residual en un nivel aceptable.
C. Implementa controles preventivos para cada amenaza.
D. Reduce el riesgo de control a cero.

A

**B es la respuesta correcta. **
A. La gestión de riesgos no pretende eliminar todos los riesgos identificados porque puede no ser rentable.
B. El objetivo de la gestión de riesgos es garantizar que todo el riesgo residual se mantenga en un nivel aceptable para el negocio.
C. La gestión de riesgos no pretende implementar controles para cada amenaza porque no todas las amenazas plantean un riesgo y no sería rentable.
D. El riesgo de control es el riesgo de que un control no sea efectivo; es un componente del programa pero es poco probable que se reduzca a cero.

https://engage.isaca.org/discussion/cism-qotd-thursday-8th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

CISM ESPAÑOL by Joorge (5 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions