Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

CISM ESPAÑOL by Joorge > CISM ESPAÑOL JOORGE > Flashcards

CISM ESPAÑOL JOORGE Flashcards

1
Q

Una institución financiera planea asignar recursos de seguridad de la información a cada una de sus divisiones comerciales. ¿En qué áreas deberían centrarse las actividades de seguridad?
A. Áreas donde se aplican requisitos regulatorios estrictos
B. Áreas que requieren el objetivo de tiempo de recuperación más corto
C. Áreas que pueden maximizar el retorno de la inversión en seguridad
D. Áreas donde la probabilidad y el impacto de las amenazas son mayores

A

Es una pregunta complicada de responder argumentando las respuestas.
D es la respuesta correcta
A. Si bien los requisitos regulatorios deben ser considerados, puede haber otras áreas donde la amenaza y el impacto al negocio sea mayor. Un Incumplimiento regulatorio … suele ser multa, incluso cierre de empresa, pero ¿habrá amenazas mas importantes para el negocio?
B. El RTO es muy importante desde una perspectiva de Continuidad de Negocio, pero solo ilustra una parte del FrameWork de seguridad. El cumplimiento regulatorio tambien tiene iniciativas sobre el RTO.
C. Aplicar seguridad solo a la linea de negocio mas rentable NO garantiza la supervivencia de la empresa ante un ataque.
D. Las actividades de seguridad deben focalizarse en las áreas donde las amenazas, la probabilidad y el impacto son mayores… que para eso hacemos un AARR y un BIA

https://engage.isaca.org/discussion/cism-qotd-wednesday-31th-january-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

¿Cuál de las siguientes es la consideración MÁS importante al realizar una evaluación de riesgos?
A. El equipo Ejecutivo apoya los esfuerzos de mitigación de riesgos.
B. Se han calculado las expectativas de pérdida anual para activos críticos.
C. Los activos han sido identificados y valorados adecuadamente.
D. Se comprenden los motivos, medios y oportunidades del ataque.

A

C es la respuesta correcta
A.- el apoyo de la direccion general es importante, pero no es relevante al realizar una evaluacion de riesgos, excepto en la medida que la falta de apoyo pueda suponer un riesgo.
B.- La expectativa de perdida anual de los activos críticos se usará en el AARR pero primero deberemos identificar esos activos.
C.- La identificación y valoración de activos proporciona la base esencial para los esfuerzos de evaluación de riesgos. Sin saber que existe un activo y su valor para la empresa, no se pueden determinar el riesgo y el impacto.
D.- Comprender los motivos, los medios y las oportunidades de ataque es parte de la identificación de riesgos, pero deben considerarse en el contexto de los activos identificados y valorados.

https://engage.isaca.org/discussion/cism-qotd-monday-29th-january-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

¿En qué momento debería ocurrir una evaluación de riesgos de un nuevo proceso para determinar los controles apropiados? Debería ocurrir:
A. Sólo al principio y al final del nuevo proceso.
B. durante todo el ciclo de vida del proceso.
C. inmediatamente después de que se apruebe el caso de negocio del proceso.
D. antes de aprobar las especificaciones para el nuevo proceso.

A

Hace 20 años …. 2.000 aprox… la seguridad se implementaba al finalizar un proyecto. Desde entonces se ha estado cambiando para que la seguridad no sea una actividad PUNTUAL … sino una actividad continua y constante durante toda la ejecución del proyecto.

B es la respuesta correcta
A. Cambios de riesgo en diversas etapas del ciclo de vida. Si la evaluación se realiza sólo al principio y al final del proceso, se pasarán por alto cuestiones importantes.
B. Se debe realizar una evaluación de riesgos durante todo el ciclo de vida de un proceso nuevo o modificado. Esto permite comprender cómo la implementación de un control temprano afectará las necesidades de control posteriores.
C. El momento de las evaluaciones debe ocurrir en cada etapa del ciclo de vida independientemente del proceso. Tambien cuando se apruebe el caso de uso, así como todas las fases.
D. Las leyes y regulaciones no son relevantes sobre cuándo se debe evaluar el riesgo.

https://engage.isaca.org/discussion/cism-qotd-tuesday-30th-january-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Después de una evaluación de riesgos, se determina que el costo de mitigar el riesgo es mucho mayor que el beneficio que se obtendrá. El gerente de seguridad de la información debe recomendar a la gerencia empresarial que el riesgo sea:
A. Transferido.
B. Tratado.
C. Aceptado.
D. Terminado.

A

C es la respuesta correcta
A. Transferir el riesgo tiene un beneficio limitado si el costo del control es mayor que el costo potencial del riesgo que se manifiesta.
B. Tratar el riesgo tiene un beneficio limitado si el costo del control es mayor que el costo del riesgo que se explota.
C. Cuando el costo del control sea mayor que el costo del riesgo, se debe aceptar el riesgo.
D. Si el valor de la actividad es mayor que el costo potencial del compromiso, entonces terminar la actividad no sería el consejo apropiado.

https://engage.isaca.org/discussion/cism-qotd-thursday-1st-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

¿La aceptación del riesgo es un componente de cuál de los siguientes?
A. Evaluación de riesgos
B. Mitigación de riesgos
C. Identificación de riesgos
D. Vigilancia de riesgos

A

B es la respuesta correcta
A. La evaluación de riesgos incluye la identificación y el análisis para determinar la probabilidad y las posibles consecuencias de un compromiso, que no es cuando se debe considerar la aceptación del riesgo o la mitigación requerida.
B. **Si después de la evaluación de riesgos un riesgo es inaceptable, la aceptabilidad se determina siguiendo los esfuerzos de mitigación del riesgo. **
C. La identificación de riesgos es el proceso de evaluación que identifica el riesgo viable mediante el desarrollo de una serie de escenarios de riesgo potenciales.
D. El seguimiento no está relacionado con la aceptación del riesgo.

https://engage.isaca.org/discussion/cism-qotd-monday-5th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Los programas de gestión de riesgos están diseñados para reducir el riesgo de:
A. un nivel que es demasiado pequeño para ser mensurable.
B. el punto en el que el beneficio excede el gasto.
C. un nivel que la empresa esté dispuesta a aceptar.
D. una tasa de rendimiento que iguala el costo actual del capital.

A

C es la respuesta correcta.
A. Reducir el riesgo a un nivel demasiado pequeño para medirlo no es práctico y, a menudo, tiene un costo prohibitivo.
B. Dependiendo de la preferencia de riesgo de una empresa, puede optar o no por mitigar el riesgo hasta el punto en que el beneficio iguale o supere el gasto.
C. El riesgo debe reducirse a un nivel que una empresa esté dispuesta a aceptar.
D. Vincular el riesgo a una tasa de rendimiento específica ignora los aspectos cualitativos del riesgo que también deben considerarse.

https://engage.isaca.org/discussion/cism-qotd-tuesday-6th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

La decisión de si un riesgo de TI se ha reducido a un nivel aceptable debe determinarse mediante:
A. Requisitos organizativos.
B. Requisitos de los sistemas de información.
C. Requisitos de seguridad de la información.
D. Normas internacionales.

A

A es la respuesta correcta.
A. Los requisitos organizacionales deben determinar cuándo un riesgo se ha reducido a un nivel aceptable.
B. La aceptabilidad de un riesgo es, en última instancia, una decisión de la gestión, que puede o no ser coherente con los requisitos de los sistemas de información.
C. La aceptabilidad de un riesgo es, en última instancia, una decisión de la gestión, que puede o no ser coherente con los requisitos de seguridad de la información.
D. Debido a que cada empresa es única, los estándares internacionales pueden no representar la mejor solución para empresas específicas y son principalmente una guía.

https://engage.isaca.org/discussion/cism-qotd-wednesday-7th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

¿Cuál es una expectativa razonable de un programa de gestión de riesgos?
A. Elimina todo riesgo inherente.
B. Mantiene el riesgo residual en un nivel aceptable.
C. Implementa controles preventivos para cada amenaza.
D. Reduce el riesgo de control a cero.

A

**B es la respuesta correcta. **
A. La gestión de riesgos no pretende eliminar todos los riesgos identificados porque puede no ser rentable.
B. El objetivo de la gestión de riesgos es garantizar que todo el riesgo residual se mantenga en un nivel aceptable para el negocio.
C. La gestión de riesgos no pretende implementar controles para cada amenaza porque no todas las amenazas plantean un riesgo y no sería rentable.
D. El riesgo de control es el riesgo de que un control no sea efectivo; es un componente del programa pero es poco probable que se reduzca a cero.

https://engage.isaca.org/discussion/cism-qotd-thursday-8th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

¿Cuál de los siguientes será MÁS importante para calcular el retorno de la inversión en seguridad de la información con precisión?
A. Exclusión del riesgo cualitativo por la exactitud de las cifras calculadas.
B. Establecer procesos para asegurar reducciones de costos.
C. Medir los valores monetarios de manera consistente.
D. Tratar la inversión en seguridad como un centro de ganancias.

A

C…
Medir constantemente los valores monetarios es crucial para calcular con precisión el ROI. Implica asignar valores financieros a los costos asociados con la implementación y el mantenimiento de medidas de seguridad de la información, así como cuantificar las pérdidas monetarias potenciales que podrían ocurrir en ausencia de esas medidas. Al medir constantemente los valores monetarios, las organizaciones pueden comparar los costos de las inversiones en seguridad con los beneficios o ahorros potenciales que brindan.
C es la respuesta correcta. Por favor lea a continuación las explicaciones.
A. Si algo es un factor de riesgo importante, se debe intentar cuantificarlo aunque no sea muy preciso.
B. Establecer procesos para garantizar reducciones de costos no es relevante para calcular el retorno de la inversión (ROI).
C. Debe haber coherencia en las métricas para obtener resultados razonablemente precisos y consistentes. Al evaluar el riesgo de seguridad, no es una buena idea excluir simplemente el riesgo cualitativo debido a las dificultades de medición.
D. El hecho de que la inversión en seguridad se trate como un centro de ganancias no afecta los cálculos del ROI.

https://engage.isaca.org/discussion/cism-qotd-monday-12th-february-2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Quien debe ser asignado como propietario de los datos confidenciales de los clientes que son utilizados unicamente por el departamento de ventas y almacenados en una base de datos central?
A. El departamento de ventas
B. El administrador de la base de datos
C. El director de informacion
D. El jefe del departamento de ventas

A

Respuesta:D
Explanation:
D. El jefe del departamento comercial.

El jefe del departamento de ventas es directamente responsable del uso de los datos dentro de su departamento y normalmente esta mas familiarizado con las necesidades y requisitos especificos del equipo de ventas. Tienen un gran interes en garantizar la confidencialidad, la integridad y el uso adecuado de los datos por parte de los miembros de su equipo. al asignar la propiedad de los datos al jefe del departamento de ventas, pueden establecer y hacer cumplir controles de acceso a los datos adecuados, implementar las medidas de seguridad necesarias y supervisar el cumplimiento de las normas de proteccion de datos pertinentes dentro de su departamento.
##Footnote
QOTD 25th de Marzo 2024

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

La razon PRINCIPaL para que la alta direccion revise los incidentes de seguridad de la informacion es:
A. garantizar que se implementaron acciones correctivas adecuadas.
B. demostrar el compromiso de la direccion con el proceso de seguridad de la informacion.
C. evaluar el proceso de respuesta a incidentes para detectar deficiencias.
D. evaluar la capacidad del equipo de seguridad.

A

ANSWER:a
Explanation:
A. aunque el equipo de seguridad y el equipo de respuesta a incidentes tomaron algunas acciones correctivas, la revision de la gerencia establecera si es necesario tomar otras acciones correctivas. En ocasiones, esto dara como resultado mejoras en las politicas de seguridad de la informacion.
OJO solo llegan incidentes GORDOS … pensar en ejemplos donde se requiera de una respuesta de Direccion General a la prensa-Clientes-partes interesadas que es una respuesta de la dirección general….

B. La gerencia no revisara los incidentes de seguridad de la informacion simplemente para demostrar el compromiso de la gerenciA.

C. La gerencia no realizara una revision para detectar fallas, como examinar el proceso de respuesta a incidentes en busca de deficiencias.

D. La administracion no realizara una revision para detectar fallas, como evaluar la capacidad del equipo de seguridad.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Q3
Que actividad BEST ayuda a garantizar que el personal contratado no obtenga acceso no autorizado a informacion confidencial?
A. Establecer cuentas para caducar.
B. Evite otorgar roles de administracion del sistema.
C. asegurese de que pasen con exito las verificaciones de antecedentes.
D. asegurese de que su acceso sea aprobado por el propietario de los datos.

A

ANSWER:B
Explanation:
A. Establecer una fecha de vencimiento es un elemento positivo, pero no impedira que el personal contratado obtenga acceso a informacion confidencial.
B. El personal contratado no debe recibir tareas laborales que les proporcionen usuarios avanzados u otras funciones administrativas que luego podrian usar para otorgar acceso a archivos confidenciales.
C. Requerir verificaciones de antecedentes es un elemento positivo, pero no impedira que el personal contratado obtenga acceso a informacion confidencial.
D. Hacer que el propietario de los datos apruebe el acceso es un enfoque marginalmente efectivo para limitar el acceso a informacion confidencial.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Q4 Durante la revision de seguridad de los servidores de la organizacion, se descubrio que todos los ID de usuario podian acceder a un servidor de archivos que contenia datos confidenciales de recursos humanos (RRHH). Cual es el PRIMER paso que debe realizar el responsable de seguridad?
A. Copie archivos de muestra como pruebA.
B. Eliminar los privilegios de acceso a la carpeta que contiene los datos.
C. Informar de esta situacion al titular de los datos.
D. Capacitar al equipo de RR.HH. sobre el control adecuado de los permisos de archivos.

A

ANSWER:C
Explanation:
La respuesta A. es irrelevante ya que no existe ningun requisito forense establecido.
Todas las demas respuestas son relevantes, pero el PRIMER paso es C. Informar esta situacion al propietario de los datos.
Luego, el propietario de los datos identificara los requisitos para: B. Eliminar los privilegios de acceso a la carpeta que contiene los datos.
Luego podemos pasar a D. Capacitar al equipo de recursos humanos para controlar adecuadamente los permisos de archivos.
OJO si quitas los permisos (B) es posible que estés afectando al negocio ya que era el comportamiento deseado por RRHH… no era un error… era una feature… por eso informar al titular VERIFICA QUE LA INCIDENCIA DETECTADA ES REAL… que tambien puede ser que estemos equivocados y no sea un ERROR

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Q5
Cual de las siguientes tecnologias es probablemente la MaS util para contrarrestar amenazas persistentes avanzadas APT - APA?
A. Sistema de deteccion de intrusiones basado en anomalias
B. Sistema de gestion de eventos e informacion de seguridad (SIEM)
C. Herramientas automatizadas de escaneo de vulnerabilidades
D. Sistema integrado de gestion de red

A

ANSWER:B
Explanation:
B. Sistema de gestion de eventos e informacion de seguridad.SIEM en ingles
Los sistemas de gestion de eventos e informacion de seguridad recopilan y analizan datos de registro de varios dispositivos de red y seguridad, proporcionando monitoreo y correlacion de eventos en tiempo real.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Q6
Cual de las siguientes opciones representaria una violacion de la cadena de custodia cuando una cinta de respaldo ha sido identificada como evidencia en una investigacion de fraude? La cinta era:
A. puesto bajo custodia de investigadores encargados de hacer cumplir la ley.
B. conservado en la biblioteca de cintas en espera de un analisis mas detallado.
C. sellado en un sobre firmado y encerrado en una caja fuerte bajo doble control.
D. entregado a investigadores independientes autorizados.

A

ANSWER:B
Explanation:
A. No es inusual que se envien pruebas a los investigadores encargados de hacer cumplir la ley y se implementaran los controles adecuados.
B. No estoy seguro de quien es la biblioteca de cintas y, en todo caso, habra una persona responsable de los datos para garantizar que no haya contaminacion de la evidenciA.
C. Esto establece un nivel de custodia en cadena y control dual que garantiza que la caja fuerte no se abrira sin que ambas partes esten alli.
D. Esto no es una violacion ya que se otorga autorizacion y se mantiene una cadena de custodiA.
La respuesta para mi es B.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Q7
Cual de los siguientes informa MEJOR a la alta direccion sobre la eficacia general del programa de seguridad de la informacion de la empresa?
A. Informe de analisis de deficiencias/Brechas
B. Estadisticas de incidentes
C. Indicadores clave de riesgo KRI
D. Indicadores clave de desempeno KPI

A

ANSWER:D
Explanation:
A. El analisis de brechas muestra el estado actual versus el estado deseado y no comunica mucho sobre la efectividad general del programa de seguridad de la informacion de la empresA.
B. Las estadisticas de incidentes no son relevantes; hay mas en el programa de seguridad de la informacion que incidentes.
C. Los KRI estan ahi para medir el riesgo.
D. Los KPI son una medida de eficiencia y eficacia del programA.
Sin embargo, los KPI y los KRI estan relacionados de alguna manerA.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Q8
En una investigacion forense, cual de los siguientes seria el factor MaS importante?
A. Funcionamiento de un proceso solido de gestion de incidentes
B. Identificacion de areas de responsabilidad
C. Participacion de las fuerzas del orden
D. Experiencia en recursos

A

ANSWER:D
Explanation:
D. Conocimiento de los recursos.
Experiencia de los recursos, se refiere al conocimiento, habilidades y experiencia de las personas involucradas en la realizacion de la investigacion. Las investigaciones forenses a menudo requieren experiencia especializada en diversos dominios, como informatica forense, finanzas forenses o psicologia forense, segun la naturaleza del caso. Los recursos capacitados y conocedores pueden recopilar y analizar evidencia de manera efectiva, interpretar hallazgos y presentar informacion precisa en un tribunal de justiciA.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Q9
Cual de las siguientes capacidades es MaS importante para un proceso eficaz de gestion de incidentes? La capacidad de la empresa para:
A. detectar el incidente.
B. responder al incidente.
C. clasificar el incidente.
D. registrar el incidente.

A

ANSWER:A
Explanation:
A. detectar el incidente. El orden es
Deteccion, Respuesta, Registro y Clasificacion del incidente
B. responder al incidente.
C. clasificar el incidente.
D. registrar el incidente.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Q10
Se prefiere PRINCIPaLMENTE el uso de cifrado de clave publica con el fin de proporcionar claves de cifrado para un gran numero de personas porque:
A. El cifrado de clave publica es computacionalmente mas eficiente.
B. escalar es menos problematico que usar una clave simetricA.
C. El cifrado de clave publica es menos costoso de mantener que las claves simetricas para grupos pequenos.
D. El cifrado de clave publica proporciona una mayor seguridad de cifrado que las opciones de clave secretA.

A

NO FIABLE LA RESPUESTA ::: REPASAR

ANSWER:B
Explanation:
B. escalar es menos problematico que usar una clave simetricA. Necesito leer mas sobre el uso de claves publicas, pero puedo recordar que uno de los beneficios del uso de infraestructura de clave publica para entornos grandes fue que el escalado fue mas facil.

20
Q

Q11
al intentar la recuperacion de datos de un archivo especifico durante el analisis forense, un investigador seria desafiadoMaScuando:
A. todos los archivos en el directorio han sido eliminados.
B. la tabla de particiones en el disco ha sido eliminadA.
C. el contenido del archivo ha sido sobrescrito.
D. se ha realizado el formato de disco de alto nivel

A

ANSWER:C
Explanation:
A. todos los archivos en el directorio han sido eliminados. [No] El archivo todavia existe inalterado en el disco. La eliminacion solo elimina las entradas en la Tabla de asignacion de archivos (como una tabla de contenido en un libro) o equivalente.

21
Q

Q12
El factor que es MAS es probable que resulte en la identificacion de incidentes de seguridad es:
A. procesos efectivos de comunicacion e informes.
B. politicas claras que detallen los niveles de gravedad de incidentes.
C. capacidades del sistema de deteccion de intrusos.
D. capacitacion en concienciación de seguridad.

A

ANSWER:D
Explanation:
Con a habla de tener un procesamiento efectivo de comunicacion e informes, que es un gran conductor para obtener la informacion cuando se sospecha una violacion, pero tambien necesita personal que tenga seguridad conciencia para poder detectar y luego reportar el incidente.

asi que primero para mi es obtener la conciencia en su lugar, entonces las personas pueden comunicarse e informar de manera efectivA. La respuesta final es D

22
Q

Q13
Cual de los siguientes elementos es MaS importante al desarrollar una estrategia de seguridad de la informacion?
A. Objetivos definidos
B. Plazos de entrega
C. adopcion de un marco de control
D. Politicas completas

A

ANSWER:a
Explanation:
A. Sin objetivos definidos, la estrategia y el plan de seguridad de la informacion para alcanzar los objetivos no pueden desarrollarse, por lo que los objetivos definidos son el elemento mas importante.
los objetivos pueden venir de los objetivos empresariales
Tambien pueden venir del AARR de la empresa –> es incluso mas importantes …
… y deben estar orientados a lo que la empresa diga.

B. Los plazos de entrega son importantes pero no criticos en el proceso de desarrollo del documento de estrategiA.
C. La adopcion de un marco de control no es critica antes de desarrollar una estrategia de seguridad de la informacion.
D. Las politicas se desarrollan durante y despues de la implementacion de la estrategia; no son requisitos previos para desarrollar la estrategia de seguridad de la informacion.

23
Q

Q14
Cual de los siguientes es el MaS resultado importante de una estrategia de seguridad de la informacion?
A. Politicas y estandares consistentes
B. asegurar que el riesgo residual este en un nivel aceptable
C. Una mejora en el panorama de amenazas
D. Controles consistentes con los estandares internacionales

A

ANSWER:B
Explanation:
A. La consistencia del diseno de documentos facilita el mantenimiento, mientras que la consistencia del contenido del documento en todas las unidades y entidades asegura que los documentos se apliquen de manera uniforme; La coherencia no garantiza la alineacion con los objetivos comerciales.
B. El riesgo residual es el riesgo restante despues de que la administracion haya implementado una respuesta o tratamiento de riesgo. Un objetivo importante de una estrategia de seguridad es implementar controles rentables que garanticen que el riesgo residual permanezca dentro de los niveles aceptables de riesgo y tolerancia de la empresA.
C. La mayoria de las amenazas no pueden verse afectadas por la politica; sin embargo, la probabilidad de riesgo y el impacto pueden verse afectados.
D. Los controles estandar pueden o no ser relevantes para un objetivo comercial en particular.

24
Q

Q15
los MaS La forma util de describir los objetivos en la estrategia de seguridad de la informacion es a traves de:
A. atributos y caracteristicas del estado deseado.
B. objetivos generales de control del programa de seguridad.
C. mapear los sistemas de TI a procesos comerciales clave.
D. calculo de las expectativas de perdida anual.

A

ANSWER:a
Explanation:
A. La estrategia de seguridad generalmente cubrira una amplia variedad de problemas, procesos, tecnologias y resultados que se pueden describir mejor mediante un conjunto de caracteristicas y atributos deseados.
B. Los objetivos de control son una funcion de determinacion de riesgo aceptable y una parte del desarrollo de la estrategia, pero el estado deseado de la funcion de seguridad de la informacion es una mejor herramientA.
C. El mapeo de TI a procesos comerciales clave debe ocurrir como una parte de la implementacion de la estrategia, pero es una actividad operativa y no una forma de describir los objetivos de la estrategiA.
D. El calculo de las expectativas de perdida anual no es una forma de describir los objetivos en la estrategia de seguridad de la informacion.

25
Q

Q16
al configurar un esquema de clasificacion de informacion, el papel del propietario de la informacion es:
A. garantizar que todos los datos de un sistema de informacion esten protegidos de acuerdo con la politica de clasificacion.
B. determinar la clasificacion de la informacion a traves del alcance de la responsabilidad del propietario de la informacion.
C. identifique toda la informacion que requiere respaldo de acuerdo con su criticidad y clasificacion.
D. delegar la clasificacion de la informacion a los custodios de la informacion responsables.

A

ANSWER:B
Explanation:
A. El propietario del sistema de informacion es responsable de proteger los datos en un sistema de informacion de acuerdo con la politica de seguridad de la informacion y el mandato y la clasificacion de la informacion. La clasificacion se habria establecido antes.

B. El propietario de la informacion debe determinar la clasificacion de la informacion en el ambito de responsabilidad del rol y asegurarse de que la informacion se clasifique de manera consistente.

C. La identificacion de toda la informacion que requiere respaldo de acuerdo con la clasificacion ocurrira despues de que se haya configurado el esquema de clasificacion de informacion. asegurar la copia de seguridad de los datos es el papel del custodio de la informacion y el grupo de operaciones.

D. El propietario de la informacion puede delegar la clasificacion a otro gerente responsable, sin embargo, este no es el papel recomendado en la configuracion del esquema de clasificacion.

26
Q

Q17
Los programas de gestion de riesgos estan disenados para reducir el riesgo a:
A. un nivel que es demasiado pequeno para ser medible.
B. el punto en el que el beneficio excede el gasto.
C. un nivel que la empresa esta dispuesta a aceptar.
D. una tasa de rendimiento que iguala el costo actual del capital.

A

ANSWER:C
Explanation:
A. Reducir el riesgo a un nivel demasiado pequeno para medir no es practico y, a menudo, es prohibitivo.
B. Dependiendo de la preferencia de riesgo de una empresa, puede o no optar por perseguir la mitigacion de riesgos hasta el punto en que el beneficio es igual o superior al gasto.
C. El riesgo debe reducirse a un nivel que una empresa este dispuesta a aceptar.
D. Vincular el riesgo a una tasa de rendimiento especifica ignora los aspectos cualitativos del riesgo que tambien deben considerarse.

27
Q

Q18
Cual es una expectativa razonable de tener un programa de gestion de riesgos?
A. Elimina todo riesgo inherente.
B. Mantiene el riesgo residual a un nivel aceptable.
C. Implementa controles preventivos para cada amenazA.
D. Reduce el riesgo de control a cero.

A

ANSWER:B
Explanation:
A. La gestion de riesgos no pretende eliminar todos los riesgos identificados porque puede no ser rentable.
B. El objetivo de la gestion de riesgos es garantizar que todo el riesgo residual se mantenga en un nivel aceptable para la empresA.
C. La gestion de riesgos no pretende implementar controles para cada amenaza porque no todas las amenazas representan un riesgo, y no seria rentable.
D. El riesgo de control es el riesgo de que un control no sea efectivo; es un componente del programa, pero es poco probable que se reduzca a cero.

28
Q

Q19
Despues de una evaluacion de riesgos, se determina que el costo para mitigar el riesgo es mucho mayor que el beneficio que se derivarA. El gerente de seguridad de la informacion debe recomendar a la administracion empresarial que el riesgo sea:
A. transferido.
B. tratado.
C. aceptado.
D. terminado.

A

ANSWER:C
Explanation:
A. Transferir el riesgo es de beneficio limitado si el costo del control es mayor que el costo potencial de la manifestacion del riesgo.
B. El tratamiento del riesgo es de beneficio limitado si el costo del control es mayor que el costo del riesgo que se explotA.
C. Cuando el costo del control es mayor que el costo del riesgo, el riesgo debe ser aceptado.
D. Si el valor de la actividad es mayor que el costo potencial de compromiso, entonces terminar la actividad no seria el consejo apropiado.

29
Q

Q20
los MaS El papel apropiado para la alta gerencia en el apoyo a la seguridad de la informacion es:
A. evaluacion de proveedores que ofrecen productos de seguridad.
B. evaluacion del riesgo para la empresA.
C. aprobacion de declaraciones de politicas y financiacion.
D. desarrollar estandares suficientes para lograr un riesgo aceptable.

A

ANSWER:C
Explanation:
A. La evaluacion de los proveedores es responsabilidad del gerente de seguridad de la informacion; sin embargo, este no es un rol de la alta gerencia en el apoyo a la seguridad de la informacion. La alta gerencia puede estar involucrada en la evaluacion de proveedores en algunas empresas, pero su funcion principal es establecer la direccion comercial, la supervision y la gobernanza de la empresA.
B. La evaluacion del riesgo es responsabilidad del gerente de seguridad de la informacion y este no es un rol para la alta gerencia en el apoyo a la seguridad de la informacion.
C. Las politicas son una declaracion de intencion y direccion de la alta gerencia que debe ser aprobada por la alta gerenciA. Tambien debe proporcionar fondos suficientes para lograr los objetivos de seguridad de la informacion de la empresA. Este es el papel mas apropiado para la alta gerencia en el apoyo a la seguridad de la informacion.
D. El desarrollo de estandares que cumplan con la intencion de la politica es tipicamente una funcion del gerente de seguridad de la informacion y esto no es un papel para la alta gerencia en el apoyo a la seguridad de la informacion.

30
Q

Una unidad de negocios tiene la intención de implementar una nueva tecnología de una manera que viole los estándares de seguridad de la información existentes. ¿Qué acción inmediata debe tomar un gerente de seguridad de la información?
A. Hacer cumplir el estándar de seguridad existente.
B. Cambiar el estándar para permitir la implementación.
C. Realizar un análisis de riesgos para cuantificar el riesgo.
D. Realizar investigaciones para proponer el uso de una mejor tecnología.

A

PIENSA EN UN CASO REAL… Marketing se quiere montar un website “por su cuenta y riesgo” para gestion de clientes al que tengan acceso clientes.
¿Prohibir? … piensa que es posible que Marketing esté siguiendo los objetivos de negocio … NO PODEMOS PROHIBIR los OBJETIVOS DE NEGOCIO. No debemos ser el “Departamento del NO”.
=====
C es la respuesta correcta.
Justificación
A. Hacer cumplir las normas existentes es una buena práctica; sin embargo, los estándares deben examinarse continuamente a la luz de las nuevas tecnologías y el riesgo que presentan y los requisitos comerciales.
B. Las normas no deben cambiarse sin una evaluación de riesgos adecuada.
C. La resolución de conflictos de este tipo debe basarse en un sólido análisis de riesgos de los costos y beneficios de permitir o no una excepción al estándar. Nunca se debe tomar una decisión general sin realizar dicho análisis.
D. No sería trabajo del gerente de seguridad investigar tecnologías alternativas.

https://engage.isaca.org/discussion/cism-qotd-monday-1st-april-2024

31
Q

Para mejorar la precisión, ¿cuál de las siguientes es la acción MÁS importante a tener en cuenta para tener en cuenta la naturaleza subjetiva de la evaluación de riesgos?

A. Capacitar o calibrar al evaluador.
B. Utilice únicamente enfoques estandarizados.
C. Garantizar la imparcialidad del evaluador.
D. Utilice múltiples métodos de análisis.

A

PREVIO … un <> en su Primer AARR … ¿la opcion B, C ó D serían correctas? Yo consiedero que NO.

Y UN VETERANO con +10 años … mejora la precision del AARR con las opciones B,C, ó D??… minimamente, todo ayuda,

Creo que un VETERANO tiene mas precisión que un NOVATO aunque el Novato use B enfoques estandarizados, C sea imparcial, D utiliza multiples métodos de análisis.

A es la respuesta correcta.
Justificación
A. Los estudios demuestran que capacitar o calibrar al evaluador mejora la precisión y reduce la subjetividad de las evaluaciones de riesgos.
B. Un enfoque estandarizado es menos eficaz para prevenir la sobreestimación del riesgo.
C. La imparcialidad del evaluador es importante pero no compensa la tendencia a sobreestimar el riesgo.
D. Múltiples métodos de análisis pueden contribuir a la precisión, pero capacitar a los evaluadores de riesgos es el más eficaz.

Dominio 2 Gestión de riesgos de seguridad de la información Subdominio de conocimiento 2A3 Evaluación y análisis de riesgos

32
Q

Se han completado una evaluación de riesgos y un análisis de impacto Negocio (BIA) para una compra importante propuesta y un nuevo proceso para una empresa. Existe desacuerdo entre el gerente de seguridad de la información y el gerente del departamento del negocio quien será el responsable de evaluar los resultados y el riesgo identificado. ¿Cuál de los siguientes sería el MEJOR enfoque del gerente de seguridad de la información?

A. Aceptación de la decisión del administrador empresarial sobre el riesgo para la sociedad
B. Aceptación de la decisión del gerente de seguridad de la información sobre el riesgo para la sociedad
C. Revisión de la evaluación de riesgos con la dirección ejecutiva para obtener aportes finales
D. Crear una nueva evaluación de riesgos y BIA para resolver el desacuerdo

A

C es la respuesta correcta. Justificación
A. Este no es el mejor enfoque, ya que es probable que el gerente comercial se centre en hacer el negocio en lugar de gestionar el riesgo que representa para la empresa.
B. El gerente de seguridad de la información típico se centra en el riesgo y puede sobreestimarlo al considerar los peores escenarios en lugar de los eventos más probables.
C. La dirección ejecutiva estará en la mejor posición para considerar el panorama general y las compensaciones entre seguridad y funcionalidad para toda la empresa.
D. No hay indicios de que las evaluaciones sean inadecuadas o defectuosas de alguna manera; por lo tanto, no se justifica repetir el ejercicio.

33
Q

Las políticas de seguridad de la información de una empresa requieren que toda la información confidencial esté cifrada mientras se comunica con entidades externas. Una agencia reguladora insistió en que un informe de cumplimiento debe enviarse sin cifrado. El gerente de seguridad de la información debe:

A. Ampliar el programa de concientización sobre seguridad de la información para incluir a los empleados de la autoridad reguladora.
B. Enviar el informe sin cifrado bajo la autoridad de la agencia reguladora.
C. Iniciar un proceso de excepción para enviar el informe sin cifrado.
D. Negarse a enviar el informe sin cifrar.

A

La respuesta correcta es C
A. Aunque esta elección puede no ser posible, el gerente de seguridad de la información puede discutir y comprender el motivo para insistir en un informe no cifrado y tratar de convencer a la autoridad reguladora.

B. Si el gerente de seguridad de la información decide ignorar la solicitud de la autoridad reguladora (lo que puede no ser posible en muchas partes del mundo), es necesario que se realice una evaluación comparativa de riesgos.

C. El gerente de seguridad de la información debe evaluar primero el riesgo de enviar el informe a la autoridad reguladora sin cifrado. El gerente de seguridad de la información puede considerar canales de comunicación alternativos que abordarán el riesgo y preverán la excepción.

D. La política de seguridad de la información establece que la información confidencial debe ser encriptada cuando se envíe a entidades externas. El papel del gerente de seguridad de la información es encontrar una manera dentro de la política para completar la tarea. La mejor manera de hacerlo es iniciar una excepción.

34
Q

Los objetivos de control <> están MÁS estrechamente alineados con:
A. tolerancia al riesgo.
B. criticidad.
C. apetito por el riesgo.
D. sensibilidad.

A

Pista:: COBIT …https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas

C es la respuesta correcta.
Justificación
A. La tolerancia al riesgo es el nivel aceptable de desviación del riesgo aceptable y no se ve directamente afectada por los objetivos de control.
B. La criticidad es la importancia para el negocio y es una de las consideraciones cuando se establecen objetivos de control además del impacto potencial, la exposición, el costo y la viabilidad de posibles controles. Sin embargo, la criticidad juega un papel menor en las relaciones entre riesgo y control. La criticidad es más una necesidad para el negocio que un control para reducir el riesgo para el medio ambiente.
C. El apetito por el riesgo es la cantidad de riesgo, en un nivel amplio, que una entidad está dispuesta a aceptar en el cumplimiento de su misión. Los objetivos de control se establecen de manera que los controles puedan diseñarse sobre esa base.
D. La sensibilidad es el impacto potencial de la divulgación no autorizada, que es una de las consideraciones en los objetivos de control pero no es un control en sí mismo. La sensibilidad crea riesgo, que se compara con los controles establecidos para reducir ese riesgo, pero la sensibilidad es un marcador de identificación o clasificación de datos para un control y no define un riesgo aceptable.

Los objetivos de control se refieren a las metas u objetivos específicos que una organización pretende alcanzar mediante la implementación de medidas de control. Estos objetivos se derivan del apetito de riesgo de la organización, que es el nivel de riesgo que está dispuesta a aceptar en la consecución de sus objetivos estratégicos.

35
Q

¿Cuál de las siguientes técnicas incluiría PRINCIPALMENTE los métodos y prácticas destinados a revelar la intención y el alcance de un ciberataque contra una empresa?

Which of the following techniques would PRIMARILY include the methods and practices aimed to unveil the intention and extent of a cyberattack against an enterprise?

A. Vulnerability assessment
B. Red team exercise
C. Post-incident review
D. Forensic analysis

A. Evaluación de la vulnerabilidad
B. Ejercicio del equipo rojo
C. Revisión posterior al incidente DFIR
D. Análisis forense

A

SIN CONTESTAR POR PARTE DE ISACA … —»> https://engage.isaca.org/discussion/cism-qotd-monday-13th-may-2024

36
Q

Una vez definido el objetivo de realizar una revisión de seguridad, el SIGUIENTE paso para el gerente de seguridad de la información es determinar:

A. Restricciones.
B. Enfoque.
C. Alcance.
D. Resultados.

A

C es la respuesta correcta.
Justificación
A. Se deben determinar restricciones para comprender los límites de la revisión, pero este no es el siguiente paso
B. El enfoque debe definirse después del alcance y las limitaciones.
C. Los resultados son los últimos después del alcance, las limitaciones y el enfoque.

37
Q

Un gerente de seguridad de la información que revisa el acceso de los usuarios a una aplicación empresarial crítica para garantizar que los usuarios tengan derechos alineados con sus responsabilidades laborales observa muchos casos de acceso excesivo. ¿Cuál de las siguientes personas sería el contacto PRIMARIO para informar sobre este riesgo?
A. Propietario de la aplicación
B. Administrador de usuarios
C. Responsable de seguridad
D. Administrador de base de datos

A

A es la respuesta correcta.
Justificación
A. Se debe informar al propietario de la aplicación sobre cualquier riesgo potencial para tomar las decisiones adecuadas.
B. El administrador de usuarios es responsable del acceso a la aplicación; sin embargo, el propietario de la aplicación es el contacto principal en este caso.
C. No se informará inmediatamente a seguridad sobre este riesgo a menos que así lo determine el propietario de la aplicación.
D. El administrador de la base de datos es responsable de revocar el acceso si así lo determina el propietario de la aplicación.

38
Q

¿Cuál es el atributo MÁS esencial de un indicador clave de riesgo (KRI) eficaz? El KRI:

A. es preciso y confiable.
B. proporciona métricas cuantitativas.
C. indica la acción requerida.
D. es predictivo de un evento de riesgo.

PISTA –> Pag 126 manual español PUNTO 2.6.2

A

D es la respuesta correcta. Justificación
A. Los indicadores clave de riesgo (KRI) generalmente señalan el riesgo en desarrollo, pero no indican cuál es el riesgo real. Esta opción no es un atributo esencial ya que los KRI no son precisos ni confiables.
B. Los KRI normalmente no proporcionan métricas cuantitativas sobre el riesgo.
C. Los KRI no indicarán que se requiere ninguna acción en particular aparte de investigar más a fondo.
D. El atributo más esencial es que un KRI debe ser predictivo e indicar que un riesgo se está desarrollando o cambiando para mostrar que se necesita una investigación para determinar la naturaleza y el alcance de un riesgo.

39
Q

Nombra SEIS beneficios/Resultados de la GOBERNANZA

A

ACRÓNIMO: AE-GR-EV-OR-MD-I

El objetivo de la gobernanza es desarrollar y gestionar un programa de seguridad que logre estos resultados:
1.Alineación estratégica: alinear los requisitos de seguridad con los requisitos empresariales, respalda la estrategia y los objetivos comerciales.
2.Gestión de riesgos: gestionar el riesgo a un nivel aceptable
3.Entrega de valor: las inversiones en seguridad deben gestionarse para optimizar el apoyo a los objetivos comerciales y ofrecer un valor claro a la organización; deben existir estándares y prácticas claras, líneas de base y mejoras continuas del programa;
4.Optimización de recursos: arquitecturas y procesos de seguridad de documentos. Se deben desarrollar arquitecturas de seguridad para definir y utilizar infraestructuras para lograr los objetivos de seguridad de manera eficiente. Esto promueve el reconocimiento de las necesidades de recursos.
5.Medición del desempeño: seguimiento e informes para garantizar que se alcancen los objetivos, es decir, métricas.
6.Integración del proceso de aseguramiento: integrar todas las funciones con la seguridad

¿Qué tan bien sabías esto? puntua BAJO para que te vuelva a salir la pregunta.

40
Q

¿Cuál de las siguientes opciones justifica MEJOR un programa de seguridad de la información?
A. El impacto en los activos críticos de TI
B. Un caso de negocio detallado
C. Aprobación del comité directivo
D. Aceptación del usuario

PISTA: Mira esta otra traduccion de la pregunta…
Cual de las siguientes opciones nos sirve para JUSTIFICAR MEJOR un programa de Seguridad de la Informacion?

A

Al pone JUSTIFICAR … estamos justificando ante la Alta direccion

A- NO puede ser … el impacto en IT no tiene por qué tener una trazabilidad “facil” hacia los objetivos de negocio que se incumplirían.

B–> un caso de negocio justifica … ya que incluye supuestos en los cuales los objetivos empresariales se ven comprometidos

C- NO … es lo que buscamos que nos lo apruebe el comité directivo, pero tenemos que justificar esa INVERSION (no GASTO, INVERSION)

D- NO… la aceptación del usuario NO justifica una inversión en un programa de seguridad de la informacion. No está trazado con respecto a los objetivos empresariales.

B es la respuesta correcta
A. El impacto en los activos de TI es un componente importante pero por sí solo es insuficiente para justificar el programa de seguridad de la información.

B. Un caso de negocios (Business Case) contiene documentación de la justificación para realizar una inversión comercial, utilizada tanto para respaldar una decisión comercial sobre si se debe proceder con la inversión como una herramienta operativa para respaldar la gestión de la inversión a lo largo de su ciclo de vida económico completo. Un caso de negocio proporcionará la justificación del programa de seguridad de la información al demostrar los beneficios de su implementación.

C. La aprobación del comité directivo valida la justificación contenida en el caso de negocio.

D La aceptación del usuario es muy relevante durante el ciclo de vida del desarrollo del sistema; sin embargo, no es aconsejable confiar en la aceptación del usuario como justificación para un programa de seguridad, particularmente porque la seguridad y el rendimiento a menudo chocan.

https://engage.isaca.org/discussion/cism-qotd-wednesday-22nd-may-2024

https://engage.isaca.org/discussion/cism-qotd-wednesday-22nd-may-2024#bmec0edace-a96b-4255-bd18-49b1f0631e98

41
Q

¿Cuál es el beneficio PRINCIPAL de tener un plan de comunicación actualizado cuando ocurre un incidente?

A. Proporciona orientación sobre cómo y qué comunicar a las autoridades reguladoras.
B. Orienta al personal sobre cuándo invocar el plan de continuidad del negocio.
C. Permite al personal saber qué se debe comunicar a las partes interesadas.
D. Proporciona las plantillas necesarias para la comunicación de incidentes.

A

C es la respuesta correcta
Por favor vea a continuación las razones
A. La orientación detallada sobre la comunicación con las autoridades reguladoras es solo uno de los muchos tipos relevantes de información documentada en el plan de comunicación. Si no está claro quién debe comunicar qué, a quién y cómo, el plan es ineficaz.
B. La invocación del plan de continuidad del negocio (BCP) de la empresa puede o no estar documentado en el plan de comunicación.
C. Uno de los objetivos principales de un plan de comunicación es informar a los miembros del personal sobre sus funciones y responsabilidades, incluido a quién contactar y cómo comunicarse con ellos durante un incidente. Mantener el plan de comunicación actualizado garantizará que esta información esté actualizada en caso de que ocurra un incidente.
D. Las plantillas para la comunicación de incidentes son solo una de las muchas piezas de información relevantes documentadas en el plan de comunicación. Sin embargo, no son útiles si no está claro quién debe usar las plantillas y cuándo.

https://engage.isaca.org/discussion/cism-qotd-thursday-15th-may-2024

42
Q

¿Cuál de las siguientes acciones se debe realizar PRIMERO después de un ataque de denegación de servicio (DoS)?

A. Restaurar servidores desde medios de respaldo almacenados fuera del sitio.
B. Realizar una evaluación para determinar el estado del sistema.
C. Realizar un análisis de impacto del corte.
D. Aislar la subred protegida.

A

B es la respuesta correcta. Por favor vea a continuación las razones
A. Es posible que los servidores no se hayan visto afectados, por lo que no es necesario en este momento reconstruir ningún servidor.
B. Se debe realizar una evaluación para determinar el estado general del sistema y si se produjo algún daño permanente.
C. Un análisis de impacto de la interrupción no proporcionará ningún beneficio inmediato.
D. El aislamiento de la subred filtrada se realiza a posteriori y no proporcionará ningún beneficio.

https://engage.isaca.org/discussion/cism-qotd-friday-17th-may-2024

43
Q

¿Cuál de las siguientes medidas es el elemento disuasorio MÁS eficaz contra el personal descontento que abusa de sus privilegios?

A. Estrategia de defensa en capas
B. Monitoreo del registro de auditoría del sistema
C. Política de uso aceptable firmada
D. Sistemas de alta disponibilidad

A

Sin confirmar C es DISUASORIO

https://engage.isaca.org/discussion/cism-qotd-saturday-18th-may-2024-1

44
Q

¿Cuál es el atributo más importante de una buena métrica de seguridad de la información?
A. Tiene significado para el destinatario.
B. Es confiable y preciso.
C. Afecta la productividad.
D. Es escalable y rentable.

¿quien es primero … la gallina ó el huevo? … que es mas importante…

A

A es la respuesta correcta.
A. La información proporcionada por métricas que no son significativas para el destinatario tiene poco valor.
B. La confiabilidad y la precisión son criterios importantes para seleccionar métricas de seguridad de la información, pero primero se debe determinar que la información proporcionada ayuda a los destinatarios a realizar sus tareas.
C. El impacto en la productividad debe equilibrarse con la utilidad de la métrica; sin embargo, es una consideración válida.
D. La rentabilidad debe equilibrarse con la utilidad de la métrica; sin embargo, es una consideración válida. La escalabilidad de las métricas, en la mayoría de las situaciones, es más un criterio deseable que un criterio de selección.
https://engage.isaca.org/discussion/cism-qotd-tuesday-14th-may-2024

45
Q

¿Cuál de las siguientes técnicas incluiría PRINCIPALMENTE los métodos y prácticas destinados a revelar la intención y el alcance de un ciberataque contra una empresa?
A. Evaluación de la vulnerabilidad
B. Ejercicio del equipo rojo
C. Revisión posterior al incidente
D. Análisis forense

A

D es la respuesta correcta.
A. Una evaluación de vulnerabilidad identifica las debilidades del sistema, no la intención ni el alcance de un incidente.
B. Un ejercicio del equipo rojo es una réplica de un ataque en un entorno controlado. Sin embargo, no ayudaría a determinar el impacto de un ataque en curso.
C. La revisión posterior al incidente es el último paso en una respuesta a un incidente y es más probable que revele lecciones aprendidas que revelar la intención y el alcance de un ciberataque.
D. El análisis forense desempeña un papel vital en la investigación de un ciberataque. Incluye analizar la intrusión y resumir los hallazgos. Otras opciones, como la evaluación de vulnerabilidades, la revisión posterior al incidente y los ejercicios del equipo rojo, ayudan a prevenir un ciberataque, pero no son útiles después.

https://engage.isaca.org/discussion/cism-qotd-monday-13th-may-2024

46
Q

La empresa “PimPamPimpo” de Barcelona ha implementado un nuevo sistema de acceso a sus sistemas de IT. Ahora los usuarios deben poner usuario/contraseña y adicionalmente un PIN único para acceder a ciertos recursos.
¿como se denomima a este tipo de autenticación?

A) Autenticación Basada en Roles.
B) Autenticación Multimodal.
C) Autenticación de Dos Factores (2FA)
D) Autenticación de Un Factor (1FA)

A

¿TE PILLE? … ojo que es pregunta trampa.

Para tener DOBLE FACTOR deben ser de DOS factores de dos categorías distintas.
–> Algo que SÉ (usuario, contraseña, pin unico…)
–> Algo que TENGO (movil (SMS,app) , certificado,…)
–> Algo que ERES (huella)

Tanto el PIN, como el usuario y la contraseña son datos que SABEMOS … son todo datos que SABEMOS … luego es Autenticacion de UN FACTOR.

Respuesta D of Delta

47
Q

Un atacante logra acceder al CORE de nuestro sistema de atención a clientes y logra modificar el NOMBRE DEL USUARIO de un grupo de clientes de la plataforma. Los clientes al intentar loguearse reciben el mensaje Usuario Incorrecto.
En este escenario, el impacto a la empresa de este ciberataque es * principalmente * hacia:

A) La Autenticacion
B) La Integridad
C) La Autorizacion
D) La Disponibilidad

A

El proposito de la pregunta es pensar en el IMPACTO FINAL.

Se produce una INDISPONIBILIDAD del sistema. Ese es el impacto que tiene en la empresa.

No pregunta la vulnerabilidad que aprobechó el atacante ni si cambio la integridad de los datos. Pregunta por el impacto final hacia el negocio. ¿QUE SUFRE EL NEGOCIO?
Fallo de DISPONIBILIDAD (a parte del miedo de tener el sistema bulnerable y que pueda volver a pasar)

CISM ESPAÑOL by Joorge (5 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions