Guía del examen ISACA CRISC (Certified in Risk and Information Systems Control)

El **CRISC** es la única certificación que prepara a los profesionales de TI para los desafíos únicos de la gestión de riesgos de TI y empresariales. Lo posiciona como un experto capaz de vincular el riesgo de TI con los objetivos comerciales.

En el contexto de la gestión de riesgos de TI, ¿cuál de las siguientes opciones describe mejor el propósito principal de un marco de control como COSO o COBIT?

Respuesta : Establecer un conjunto de mejores prácticas y estándares para la gobernanza y la gestión de riesgos de TI y empresariales.

Los marcos de control como COSO y COBIT son esenciales para la gestión de riesgos y la gobernanza de TI. Proporcionan un lenguaje común y una estructura para asegurar que los controles internos estén alineados con los objetivos del negocio, mejorando la eficiencia y la eficacia operativa.

Un analista de riesgos está evaluando la probabilidad de que ocurra una amenaza específica y el impacto potencial en la organización. ¿Qué proceso de la gestión de riesgos está realizando principalmente?

Respuesta : Análisis y evaluación del riesgo

La evaluación de riesgos es un componente crítico de la gestión de riesgos. Implica analizar la probabilidad de que una amenaza explote una vulnerabilidad y el impacto resultante en los objetivos de la organización. Esto permite priorizar los riesgos y enfocar los recursos de tratamiento de manera efectiva.

Una organización está experimentando un aumento en los incidentes de seguridad relacionados con el acceso no autorizado a datos sensibles. El equipo de auditoría interna ha identificado que las políticas de contraseñas son débiles y no se aplican de manera consistente. ¿Qué tipo de control sería más apropiado para abordar esta debilidad de manera proactiva?

Respuesta : Control preventivo

Los controles de seguridad se clasifican en preventivos, de detección, correctivos y compensatorios. Los controles preventivos son la primera línea de defensa, diseñados para evitar que los incidentes ocurran en primer lugar. Fortalecer las políticas de contraseñas y aplicar la autenticación multifactor son ejemplos clave de controles preventivos.

¿Cuál es el objetivo principal de la gestión de la continuidad del negocio (BCM)?

Respuesta : Minimizar el impacto de las interrupciones en las operaciones comerciales y asegurar la recuperación oportuna.

La gestión de la continuidad del negocio (BCM) es un proceso proactivo que prepara a una organización para responder a incidentes que podrían interrumpir sus operaciones. Se centra en mantener las funciones críticas del negocio y minimizar las pérdidas financieras y de reputación.

En la gestión de riesgos de TI, ¿qué significa el término 'riesgo inherente'?

Respuesta : El nivel de riesgo que existiría en ausencia de cualquier control.

El riesgo inherente es la exposición intrínseca al riesgo de un proceso o actividad, asumiendo que no existen controles. Comprender el riesgo inherente es fundamental para diseñar controles efectivos, ya que ayuda a determinar el nivel de mitigación necesario para reducir el riesgo a un nivel aceptable (riesgo residual).

Related Certifications

• ISACA CISM - Certified Information Security Manager
• ISACA CISA - Certified Information Systems Auditor
• ISACA CGEIT - Certified in the Governance of Enterprise IT
• ISACA AAISM – Advanced in AI Security Management
• ISACA Advanced in AI Audit (AAIA)