Guía del examen ISACA CISA (Certified Information Systems Auditor)

El **CISA** es el estándar para profesionales de auditoría, control y seguridad de sistemas de información. Valida su experiencia para auditar, controlar, monitorear y evaluar la tecnología de la información y los sistemas comerciales de una organización.

Un auditor de sistemas de información está revisando los controles de acceso a un sistema crítico. ¿Cuál de los siguientes métodos proporciona el nivel más alto de seguridad para la autenticación de usuarios?

Respuesta : Autenticación multifactor (MFA) que combina algo que el usuario sabe (contraseña) y algo que el usuario tiene (token físico o móvil).

La autenticación multifactor (MFA) es una piedra angular de la seguridad moderna. Combina dos o más factores de autenticación (conocimiento, posesión, inherencia) para verificar la identidad de un usuario, reduciendo drásticamente el riesgo de acceso no autorizado.

Durante una auditoría de continuidad del negocio, se descubre que las copias de seguridad de datos se almacenan en la misma ubicación física que los sistemas de producción. ¿Cuál es el riesgo principal asociado con esta práctica?

Respuesta : Pérdida de datos irrecuperable si ocurre un desastre que afecte la ubicación física.

La estrategia de respaldo y recuperación es vital para la continuidad del negocio. Las copias de seguridad deben almacenarse en una ubicación geográfica separada (fuera del sitio) para garantizar la disponibilidad de los datos en caso de un desastre local.

Un auditor está evaluando la efectividad de los controles de seguridad en un entorno de computación en la nube. ¿Qué principio es fundamental para garantizar la segregación de funciones entre los desarrolladores y los operadores de la infraestructura en la nube?

Respuesta : Utilizar roles y políticas de IAM (Identity and Access Management) con privilegios mínimos.

La segregación de funciones es un control interno crítico para prevenir fraudes y errores. En la nube, esto se logra mediante la configuración cuidadosa de los servicios de gestión de identidad y acceso (IAM), asignando roles y permisos específicos que limitan las acciones que cada usuario o grupo puede realizar.

¿Cuál es el objetivo principal de la gestión de riesgos en el contexto de la auditoría de sistemas de información?

Respuesta : Identificar, evaluar y responder a los riesgos que podrían afectar los objetivos de la organización.

La gestión de riesgos es un proceso continuo que implica identificar amenazas y vulnerabilidades, evaluar su impacto potencial y probabilidad, y desarrollar estrategias para tratarlos. El objetivo es mantener los riesgos dentro de límites aceptables para la organización.

Un auditor está revisando el proceso de desarrollo de software. ¿Qué metodología de ciclo de vida del desarrollo de sistemas (SDLC) enfatiza la entrega incremental y la retroalimentación continua del cliente?

Respuesta : Metodologías Ágiles (Agile Methodologies), como Scrum.

Las metodologías ágiles, como Scrum y Kanban, han ganado popularidad por su flexibilidad y enfoque en la entrega rápida de valor. Permiten a los equipos adaptarse a los cambios y responder a las necesidades del cliente de manera más efectiva que los modelos tradicionales.

Related Certifications

Local Testing

Careers

preload
preload
preload
preload
preload
preload