Cuando se utiliza un tercero para realizar pruebas de penetración, ¿cuál de los siguientes es el control MÁS importante para minimizar el impacto operativo?

Definir claramente el alcance del proyecto

Realice una verificación de antecedentes del proveedor.

Exigir al proveedor que firme un acuerdo de confidencialidad.

Exija que el proveedor tenga un seguro de responsabilidad civil.

Después de una violación de sistemas de alto perfil en un proveedor clave de una organización, el proveedor ha implementado controles de mitigación adicionales. El proveedor ha compartido voluntariamente el siguiente conjunto de evaluaciones: ¿Cuál de las evaluaciones proporciona la entrada MÁS confiable para evaluar el riesgo residual en el entorno de control del proveedor?

Cuadro de mandos de rendimiento del proveedor

¿Confiable para evaluar el riesgo residual en el entorno de control del proveedor?

Cuadro de mandos de rendimiento del proveedor

La aceptación de costos de control que exceden la exposición al riesgo es probablemente un ejemplo de:

Desalineación de la cultura corporativa.

Alineamiento de la cultura corporativa.

Una interrupción del sistema ha sido rastreada hasta un dispositivo USB personal conectado a la red corporativa por un empleado de TI que eludió los procedimientos de control interno. De los siguientes, ¿quién debería ser responsable?

Gerente de continuidad de negocio (BCM)

Gerente de Recursos Humanos (HRM)

¿Cuál de las siguientes es la forma MÁS rentable de probar un plan de continuidad del negocio?

Realizar entrevistas con las partes interesadas clave.

Llevar a cabo un ejercicio de recuperación ante desastres.

Realiza un ejercicio funcional completo.

Se ha pedido a un profesional de riesgos que asesore a la dirección en el desarrollo de una estrategia de recopilación y correlación de registros. ¿Cuál de las siguientes debería ser la consideración MÁS importante al desarrollar esta estrategia?

Garantizar la sincronización horaria de las fuentes de registro.

Garantizar la inclusión de fuentes de registro de inteligencia de amenazas externas.

Garantizar la inclusión de todos los recursos informáticos como fuentes de registro.

Garantizar el acceso de lectura y escritura a todos los orígenes de registro

Un profesional de riesgos ha determinado que un control clave no cumple con las expectativas de diseño. ¿Cuál de las siguientes opciones se debe hacer A CONTINUACIÓN?

Documentar el hallazgo en el registro de riesgos.

Invoque el plan de respuesta a incidentes.

Reevaluar los indicadores clave de riesgo.

Modifique el diseño del control.

Un profesional de riesgos resume los resultados de una evaluación de riesgos de alto perfil patrocinada por la alta dirección. La MEJOR manera de respaldar las decisiones basadas en el riesgo por parte de la alta dirección sería:

Relacionar los hallazgos con los objetivos.

proporcionar un análisis detallado cuantificado.

recomendar umbrales de tolerancia al riesgo.

Cuantificar los indicadores clave de riesgo (KRls).

El malware ha afectado recientemente a una organización, la forma MÁS efectiva de resolver esta situación y definir un plan integral de tratamiento de riesgos sería realizar:

Un análisis de la causa raíz.

una evaluación de vulnerabilidad.

En respuesta a la amenaza del ransomware, una organización ha implementado actividades de concienciación sobre ciberseguridad. La MEJOR recomendación del profesional del riesgo para reducir aún más el impacto de los ataques de ransomware sería implementar:

Autenticación de dos factores.

Controles de copia de seguridad continua de datos.

¿Cuál de los siguientes es el MEJOR método para identificar controles innecesarios?

Evaluación del impacto de la eliminación de los controles existentes

Evaluación de los controles existentes con respecto a los requisitos de auditoría

Revisión de las funcionalidades del sistema asociadas a los procesos de negocio

Seguimiento de los indicadores clave de riesgo (KRI) existentes

¿Cuál de los siguientes es MAYOR preocupación cuando se realizan cambios no controlados en el entorno de control?

Un aumento en el nivel de riesgo residual

Una disminución en la efectividad de las capas de control

Un aumento del riesgo inherente

Un aumento de las vulnerabilidades de control

La revisión y actualización periódica de un registro de riesgos con detalles sobre los factores de riesgo identificados ayuda PRINCIPALMENTE a:

Cree un perfil de amenazas de la organización para su revisión por la dirección.

Minimice el número de escenarios de riesgo para la evaluación de riesgos.

Escenarios de riesgo agregados identificados en las diferentes unidades de negocio.

Proporcionar una referencia actualizada a las partes interesadas para las decisiones basadas en el riesgo.

¿Cuál de las siguientes es la razón PRINCIPAL para monitorear continuamente el riesgo relacionado con TI?

Asegurar que los niveles de riesgo estén dentro de los límites aceptables del apetito de riesgo y la tolerancia al riesgo de la organización.

Redefinir el apetito y los niveles de tolerancia al riesgo en función de los cambios en los factores de riesgo

Actualizar el registro de riesgos para reflejar los cambios en los niveles de riesgo identificados y nuevos relacionados con las tecnologías de la información

Para ayudar a identificar las causas raíz de los incidentes y recomendar soluciones adecuadas a largo plazo

La característica más importante de las políticas de una organización es reflejar las siguientes características de la organización:

Metodología de evaluación de riesgos.

Las evaluaciones de riesgos de TI pueden ser MEJOR utilizadas por la gerencia:

como insumo para la toma de decisiones

para el cumplimiento de las leyes y reglamentos

como base para el análisis de costo-beneficio.

para medir el éxito de la organización.

¿Cuál de las siguientes prácticas de gestión de riesgos facilita mejor la incorporación de escenarios de riesgo de TI en el registro de riesgos de toda la empresa?

Los escenarios de riesgo de TI se desarrollan en el contexto de los objetivos de la organización.

Se desarrollan indicadores clave de riesgo (KRls) para escenarios clave de riesgo de TI

Los escenarios de riesgo de TI son evaluados por el equipo de gestión de riesgos empresariales

Los apetitos de riesgo para los escenarios de riesgo de TI son aprobados por las partes interesadas clave del negocio.

Un proveedor de servicios externo de confianza ha determinado que el riesgo de que los sistemas de un cliente sean pirateados es bajo. ¿Cuál de los siguientes sería el MEJOR curso de acción del cliente?

Aceptar el riesgo en función de la evaluación de riesgos del tercero

Realizar su propia evaluación de riesgos

Implemente controles adicionales para abordar el riesgo.

Realizar una auditoría independiente del tercero.

¿Cuál de los siguientes debería ser el objetivo PRINCIPAL de promover una cultura consciente de los riesgos dentro de una organización?

Permitir la toma de decisiones basada en el riesgo

Mejor comprensión del apetito por el riesgo

Mejora de los resultados de las auditorías

Aumento de la eficiencia del control de procesos

¿Cuál de los siguientes es el resultado MÁS importante de la revisión del proceso de gestión de riesgos?

Asegurar que el perfil de riesgo respalde los objetivos de TI

Mejorar las competencias de los empleados que realizaron la revisión

Determinar qué cambios deben ser nucos en las políticas de SI para reducir el riesgo

Determinar que los procedimientos utilizados en la evaluación de riesgos son apropiados

Al revisar un contrato de un proveedor de servicios en la nube, se descubrió que el proveedor se niega a aceptar la responsabilidad por una violación de datos confidenciales. ¿Cuál de los siguientes controles reducirá BES el riesgo asociado con una violación de datos de este tipo?

Asegurarse de que el proveedor no conozca la clave de cifrado

Contratación de un tercero para validar los controles operativos

Usar el mismo proveedor de nube que un competidor

Uso del cifrado a nivel de campo con una clave suministrada por el proveedor

¿Cuál de los siguientes cambios se reflejaría en el perfil de riesgo de una organización después del fracaso de la implementación de un parche crítico?

Disminuye el apetito por el riesgo

Se disminuye la tolerancia al riesgo.

Una evaluación de riesgos ha identificado que una organización puede no cumplir con las regulaciones de la industria. El MEJOR curso de acción sería:

Llevar a cabo un análisis de brechas con respecto a los criterios de cumplimiento.

Identificar los controles necesarios para garantizar el cumplimiento.

Modificar las actividades de aseguramiento interno para incluir la validación de controles.

Colabore con la gerencia para cumplir con los requisitos de cumplimiento.

Para reducir el riesgo introducido al realizar pruebas de penetración, el MEJOR control mitigante sería:

Exigir al proveedor que firme un acuerdo de confidencialidad

Defina claramente el alcance del proyecto.

Realice verificaciones de antecedentes del proveedor.

Notifique a los administradores de red antes de realizar pruebas

Una organización ha externalizado sus operaciones de seguridad de TI a un tercero. ¿Quién es EN ÚLTIMA INSTANCIA responsable del riesgo asociado con las operaciones subcontratadas?

La gestión de la organización

Los operadores de control en el tercero

La oficina de gestión de proveedores de la organización

Un profesional de riesgos descubre que se han publicado en Internet varios documentos clave que detallan el diseño de un producto actualmente en desarrollo. ¿Cuál debería ser el PRIMER curso de acción del profesional del riesgo?

Invocar el plan de respuesta a incidentes establecido.

Informar a la auditoría interna.

Realizar un análisis de causa raíz

Llevar a cabo una evaluación de riesgos inmediata

¿Cuál es el KPI MÁS IMPORTANTE que se debe establecer en el SLA para un centro de datos subcontratado?

Tiempo medio de respuesta para resolver incidencias del sistema

Porcentaje de sistemas incluidos en los procesos de recuperación

Número de sistemas clave alojados

Porcentaje de disponibilidad del sistema

¿Cuál de los siguientes sería MÁS útil al estimar la probabilidad de eventos negativos?

Análisis de impacto en el negocio

Análisis de respuesta al riesgo

Revisión de resultados, ¿cuál de las siguientes es la MEJOR manera de identificar las deficiencias de control de los sistemas de información?

Autoevaluación de control (CSA)

Análisis de vulnerabilidades y amenazas

Planificación de la corrección de controles

Pruebas de aceptación del usuario (UAT)

El hecho de que los resultados de los análisis de riesgos deban presentarse en términos cuantitativos o cualitativos debe basarse PRINCIPALMENTE en:

marco específico de análisis de riesgos que se está utilizando.

tolerancia al riesgo organizacional

Resultados de la evaluación de riesgos.

¿Cuál de las siguientes es la consideración MÁS importante al desarrollar la taxonomía de riesgos de una organización?

Marcos líderes de la industria

¿Cuál de los siguientes es MÁS importante a la hora de desarrollar indicadores clave de rendimiento (KPI)?

Alertas cuando se alcanzan los umbrales de riesgo

Alineación con las respuestas al riesgo

Alineación con los informes de gestión

¿Cuál de las siguientes actualizaciones del registro de riesgos es MÁS importante que la alta dirección la revise?

Ampliar en dos meses la fecha de un futuro plan de acción

Retirar un escenario de riesgo que ya no se utiliza

Evitar un riesgo que antes estaba aceptado

Cambiar el propietario de un riesgo

¿Cuál de los siguientes controles detectará MEJOR la modificación no autorizada de datos por parte de un administrador de base de datos?

Revisión de los registros de actividad de la base de datos

Revisión de los derechos de acceso a la base de datos

Comparación de datos con registros de entrada

Revisión de cambios para editar cheques

¿Cuál de las siguientes debería ser la consideración PRINCIPAL al evaluar la automatización del monitoreo de control?

Análisis coste-beneficio de la automatización

Impacto debido a la falla del control

Frecuencia de fallo del control

Plan de contingencia por riesgo residual

¿Cuál de las siguientes opciones proporciona la MEJOR evidencia de la eficacia del proceso de aprovisionamiento de cuentas de una organización?

Controles de acceso basados en roles

Supervisión de registros de seguridad

Un indicador clave de riesgo (KRI) se informa periódicamente a la alta dirección de que supera los umbrales, pero cada vez que la alta dirección ha decidido no tomar ninguna medida para reducir el riesgo. ¿Cuál de las siguientes es la razón MÁS probable para la respuesta de la alta dirección?

La fuente de datos subyacente para el KRI utiliza datos inexactos y debe corregirse.

El KRI no proporciona información útil y debe eliminarse del inventario del KRI.

El umbral del KRI debe revisarse para alinearse mejor con el apetito de riesgo de la organización

La razón principal por la que un profesional de riesgos estaría interesado en un informe de auditoría interna es:

Ayudar en el desarrollo de un perfil de riesgo.

Planifique programas de concientización para gerentes de negocios.

Evaluar la madurez del proceso de gestión de riesgos.

Mantener un registro de riesgos basado en incumplimientos.

El número de tickets para reelaborar el código de la aplicación ha superado significativamente el umbral establecido. ¿Cuál de las siguientes sería la MEJOR recomendación del profesional del riesgo?

Realizar un análisis de causa raíz

Realizar una revisión de código

Implementar software de control de versiones.

Implementar capacitación sobre las mejores prácticas de codificación

Una organización global está considerando la adquisición de un competidor. El personal directivo superior ha solicitado a la organización a que se dirige un examen del perfil general de riesgos. ¿Cuál de los siguientes componentes de esta revisión proporcionaría la información MÁS ÚTIL?

Declaración de apetito de riesgo

Marco de gestión de riesgos empresariales

Políticas de gestión de riesgos

CRISC_Examen_3

Authored by ISO 27001:2013 .

English

University

Used 1+ times

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

76 questions

Show all answers

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Oliver, un estudiante de informática, se enfrenta a un problema de seguridad en su proyecto de clase. ¿Cuál de los siguientes es el MEJOR curso de acción para reducir el impacto del riesgo?

Crear una política de seguridad de TI.

Implementar medidas correctivas.

Implementar controles de detección.

Aproveche la tecnología existente

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Un control para mitigar el riesgo en un área de negocio clave no se puede implementar de inmediato. ¿Cuál de los siguientes es el MEJOR curso de acción del profesional del riesgo cuando se necesita aplicar un control compensatorio?

Obtener la aprobación del propietario del riesgo.

Registre el riesgo tal como se aceptó en el registro de riesgos.

Informar a la alta dirección.

Actualizar el plan de respuesta al riesgo.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

¿De qué tipo de control es el establecimiento de un código de conducta organizacional?

Preventivo

Directiva

Detective

Compensación

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Una organización planea contratar a un proveedor de servicios basados en la nube para algunos de sus procesos de negocio con uso intensivo de datos. ¿Cuál de los siguientes es MÁS importante para ayudar a definir el riesgo de TI asociado con esta actividad de externalización?

Acuerdo de nivel de servicio

Opiniones del servicio de atención al cliente

Alcance de los servicios prestados

Derecho a auditar al proveedor

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

¿Cuál es la MEJOR información que se debe presentar a los propietarios de controles empresariales a la hora de justificar los costos relacionados con los controles?

Frecuencia y magnitud de los eventos de pérdida

Presupuesto y datos reales del año anterior

Puntos de referencia y estándares de la industria

Retorno de las inversiones relacionadas con la seguridad informática

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

¿Cuál de las siguientes sería la MEJOR recomendación de los profesionales del riesgo para prevenir la intrusión cibernética?

Establecer un plan de respuesta cibernética

Implemente herramientas de prevención de pérdida de datos (DLP).

Implementar la segregación de red.

Fortalecer los esfuerzos de remediación de vulnerabilidades.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

¿Cuál de las siguientes es la consideración MÁS importante al seleccionar indicadores clave de riesgo (KRI) para monitorear las tendencias de riesgo a lo largo del tiempo?

Disponibilidad continua de los datos

Capacidad para agregar datos

Capacidad para predecir tendencias

Disponibilidad de sistemas automatizados de presentación de informes

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Similar Resources on Wayground

73 questions

Linguistics Text

Quiz

•

University

80 questions

ENG 100 Unit 1 Lesson 2 The Verb Be Part 2

Quiz

•

University

81 questions

EPU B1 Reading

Quiz

•

University

78 questions

Quiz về Ẩm Thực

Quiz

•

University

Popular Resources on Wayground

15 questions

Fractions on a Number Line

Quiz

•

3rd Grade

10 questions

Probability Practice

Quiz

•

4th Grade

15 questions

Probability on Number LIne

Quiz

•

4th Grade

20 questions

Equivalent Fractions

Quiz

•

3rd Grade

25 questions

Multiplication Facts

Quiz

•

5th Grade

$fractions$

22 questions

fractions

Quiz

•

3rd Grade

6 questions

Appropriate Chromebook Usage

Lesson

•

7th Grade

10 questions

Greek Bases tele and phon

Quiz

•

6th - 8th Grade

Discover more resources for English

12 questions

IREAD Week 4 - Review

Quiz

•

3rd Grade - University

20 questions

Implicit vs. Explicit

Quiz

•

6th Grade - University

10 questions

Can, can't A1

Quiz

•

University

20 questions

Context Clues

Quiz

•

KG - University