Guía del examen ISACA CISM (Certified Information Security Manager)

El **CISM** se centra en la gestión de la seguridad. Es la certificación elegida por los gerentes que diseñan, supervisan y evalúan la seguridad de la información de una empresa. Es menos técnico que CISSP y más orientado a la gobernanza.

Un gerente de seguridad de la información está revisando la política de gestión de riesgos de su organización. ¿Cuál de los siguientes componentes es MÁS importante incluir en la política para asegurar una gestión de riesgos efectiva?

Respuesta : Los roles y responsabilidades para la identificación, evaluación, tratamiento y monitoreo de riesgos.

Una política de gestión de riesgos efectiva establece el marco y la dirección para cómo una organización identifica, evalúa, trata y monitorea los riesgos. Definir roles y responsabilidades es fundamental para la implementación y el éxito continuo de este marco.

Durante una auditoría de cumplimiento, se descubre que un departamento ha estado operando sin una revisión formal de su marco de control interno durante los últimos tres años. ¿Qué principio de gobernanza de la seguridad de la información se ha violado MÁS PROBABLEMENTE?

Respuesta : Responsabilidad y rendición de cuentas.

La gobernanza de la seguridad de la información asegura que la seguridad esté alineada con los objetivos del negocio y que existan mecanismos de supervisión y rendición de cuentas. La falta de revisión periódica de los controles socava estos principios, llevando a posibles debilidades no detectadas.

¿Cuál es el objetivo PRINCIPAL de un plan de respuesta a incidentes de seguridad de la información?

Respuesta : Minimizar el impacto de un incidente de seguridad y restaurar las operaciones normales.

Un plan de respuesta a incidentes es un conjunto de procedimientos documentados diseñados para ayudar a una organización a detectar, responder y recuperarse de un incidente de seguridad de la información. Su meta es limitar el daño y restaurar la funcionalidad lo más rápido posible.

Al realizar una evaluación de riesgos, una organización identifica una amenaza de malware que podría afectar sus sistemas críticos. El análisis indica que la probabilidad de ocurrencia es moderada y el impacto potencial es alto. ¿Cuál de las siguientes acciones representa un tratamiento de riesgo adecuado para esta situación?

Respuesta : Mitigar el riesgo implementando controles de seguridad como software antivirus y firewalls.

El tratamiento de riesgos implica seleccionar e implementar medidas para modificar el riesgo. Las opciones incluyen mitigar (reducir), transferir (compartir), evitar (eliminar) o aceptar (asumir) el riesgo. La mitigación es a menudo la estrategia preferida cuando el riesgo no puede o no debe ser evitado o transferido.

Una organización está experimentando un aumento en los ataques de phishing dirigidos a sus empleados. ¿Qué iniciativa de seguridad de la información sería la MÁS efectiva para abordar este problema a largo plazo?

Respuesta : Realizar simulaciones de phishing y proporcionar capacitación continua sobre seguridad.

Los programas de concienciación y capacitación en seguridad son vitales para crear una cultura de seguridad. Empoderan a los empleados para que se conviertan en la primera línea de defensa contra amenazas como el phishing, al enseñarles a identificar y reportar comportamientos sospechosos.

Related Certifications

• ISACA CISA - Certified Information Systems Auditor
• ISACA CRISC - Certified in Risk and Information Systems Control
• ISACA CGEIT - Certified in the Governance of Enterprise IT
• ISACA AAISM – Advanced in AI Security Management
• ISACA Advanced in AI Audit (AAIA)