Certified Information

CISM ' Security Manager' Capítulo 1— Gobierno de seguridad de la información Sección Uno: Generalidades
An ISACA*Certlficallon

1.3 PREGUNTAS DE AUTOEVALUACIÓN 1-3 ¿Cuál de los siguientes enfoques ayuda MEJOR a
que el gerente de seguridad de la información logre el
cumplimiento con los varios requerimientos regulatorios?
PREGUNTAS
A. Recurrir al área jurídica corporativa para informarse
sobre cuáles son las regulaciones aplicables.
Las preguntas que se incluyen en el examen de certificación
B. Mantenerse actualizado sobre todas las regulaciones
CISM están desarrolladas con el propósito de medir y probar
aplicables y solicitar al área jurídica su interpretación.
el conocimiento práctico sobre la gestión de la seguridad de
C. Requerir la participación de todos los departamentos
la información. Todas las preguntas son de opción múltiple
afectados y tratar a las regulaciones como otro riesgo.
y están diseñadas para que se obtenga una mejor respuesta.
D. Ignorar muchas de las regulaciones que no tienen
Todas las preguntas del examen CISM tienen el formato de
penalidades.
planteamiento de un problema (pregunta) y cuatro opciones
(opciones de respuesta). Se pide al candidato que elija la
1-4 La consideración MAS importante para desarrollar políticas
respuesta correcta o la mejor respuesta entre las opciones.
de seguridad es que:
El problema se puede formular como una pregunta o como un
enunciado incompleto. En algunas ocasiones, se puede incluir
A. se basen en un perfil de amenaza.
algún escenario o descripción de un problema. Estas preguntas
B. sean completas y no omitan ningún detalle.
normalmente incluyen la descripción de una situación y requieren
C. la gerencia las apruebe.
que el candidato responda dos o más preguntas basándose en
D. todos los empleados las lean y las entiendan.
la información suministrada. Muchas veces una pregunta del
examen de certificación CISM requerirá que el candidato elija
la respuesta más probable o la mejor.
1-5 El PRINCIPAL objetivó de seguridad al elaborar buenos
procedimientos es:
En cada caso, el candidato debe leer la pregunta cuidadosamente,
eliminar las respuestas que sean claramente incorrectas y luego
A. asegurarse de que funcionan según lo planeado.
hacer la mejor elección posible. Conocer el formato en que
B. no sean ambiguos y que cumplan con los estándares.
se presentan las preguntas y cómo estudiar para obtener el
C. estén redactados en un lenguaje sencillo.
conocimiento de lo que se va a probar será de gran ayuda para
D. se pueda monitorear el cumplimiento.
responder las preguntas correctamente.

1-1 Una estrategia de seguridad es importante para una

organización PRINCIPALMENTE porque proporciona: 1-6 ¿Cuál de las siguientes opciones ayuda MAS a asegurar que
la asignación de funciones y responsabilidades sea efectiva?
A. una base para determinar la mejor arquitectura de
A. La alta dirección respalda las asignaciones.
seguridad lógica para la organización.
B. Las asignaciones son congruentes con las competencias
B. la intención y la dirección de la gerencia para las
existentes.
actividades relacionadas con la seguridad.
C. Las asignaciones se relacionan con las destrezas
C. orientación a los usuarios sobre cómo operar de manera
requeridas.
segura en el desempeño de sus funciones cotidianas.
D. Las asignaciones son dadas de manera voluntaria.
D. ayuda a los auditores de TI a verificar el cumplimiento.

1-7 ¿Cuál de los siguientes beneficios es el MAS importante

1-2 ¿Cuál de las siguientes opciones es la razón MAS
para una organización con gobierno efectivo de seguridad
importante para proveer comunicación efectiva sobre la
de la información?
seguridad de la información?
A. Mantener un cumplimiento regulatorio apropiado.
A. Hace que la seguridad de la información sea más
B. Garantizar que las interrupciones estén dentro de niveles
agradable para los empleados renuentes.
aceptables.
B. Mitiga el eslabón más débil en el panorama de la
C. Priorizar la asignación de recursos correctivos.
seguridad de la información.
D. Maximizar el retomo sobre inversiones en seguridad.
C. Informa a las unidades de negocio sobre la estrategia de
seguridad de la información.
D. Ayuda que la organización cumpla con los
1-8 Desde el punto de vista del gerente de seguridad de la
requerimientos regulatorios de seguridad de la
información. información, los factores MAS importantes con respecto a
la retención de datos son:

A. requerimientos regulatorios y de negocio.

B. integridad y destrucción de documentos.
C. disponibilidad de medios y almacenamiento.
D. confidencialidad y encriptación de datos.

M a n u al de Prep aración al Ex am e n C IS M 2 0 1 5 27
ISACA. Todos los derechos reservados.

Capitulo 1— Gobierno de seguridad de la información
1-9 ¿Cuál de los siguientes roles está en la M EJO R posición
para revisar y confirmar que una lista de acceso de usuarios
es apropiada?;
A. El dueño de los datos
B. Gerente de seguridad de la información
C. Administrador de dominio
D. El gerente de negocio
1-10 En la implementación del gobierno de la seguridad de la
información, el gerente de seguridad de la información es
responsable PRINCIPALM ENTE de:
A. desarrollar la estrategia de seguridad.
B. revisar la estrategia de seguridad.
C. comunicar la estrategia de seguridad.
D. aprobar la estrategia de seguridad.
RESPUESTAS A LAS PREGUNTAS DE
AUTOEVALUACIÓN
1-1 B Una estrategia de seguridad definirá la intención
y la dirección de la gerencia para un programa de
seguridad. Asimismo, debe de ser una declaración de
cómo la seguridad está alineada con los objetivos de
negocio y los apoya, y establece la base para un buen
gobierno de la seguridad.
1-2 B En la gran mayoría de los casos, los fallos en la
seguridad son atribuibles directamente a la falta de
conciencia de los empleados, o que fallan al seguir
los procedimientos. La comunicación es importante
para garantizar que se tiene una concientización
continua de las políticas y los procedimientos de
seguridad entre el personal y los socios de negocios.
1-3 C Aun cuando puede ser útil mantenerse al día en lo
que a regulaciones nuevas y vigentes se refiere,
esto puede volverse un trabajo de tiempo completo
en sí mismo. Los departamentos como recursos
humanos, finanzas y jurídico son los que casi siempre
están sujetos a las nuevas regulaciones y tienen,
por lo tanto, que involucrarse en la determinación
de cómo cumplir mejor con los requerimientos
huevos y los existentes y, por lo general, son
quienes estarían más al tanto de dichas regulaciones.
Tratar a las regulaciones como otro riesgo las
coloca en la perspectiva apropiada y se deben tener
implementados los mecanismos para gestionarlos.
El hecho de que existan tantas regulaciones hace
improbable que todas ellas se puedan tratar de manera
específica y eficiente. En la actualidad, muchas
de ellas no tienen consecuencias significativas y,
de hecho, pueden tratarse dando cumplimiento a
otras regulaciones. La respuesta más relevante a los
requerimientos regulatorios es determinar el posible
impacto que tendría para la organización del mismo
modo en que se determina para cualquier otro riesgo.
28
Certified Information
Sección Uno: Generalidades C I5 M Security Manager*
An ISACA*Certlflcallon
1-4 A Las políticas de seguridad aplicables deben basarse
en amenazas viables a las cuales está expuesta la
organización, y priorizarse a partir del posible impacto
al negocio. Las políticas más estrictas deben aplicarse
a las áreas de mayor riesgo. Esto garantiza que se
mantenga la proporcionalidad y que no se invierta un
gran esfuerzo en amenazas improbables o amenazas
que podrían ocasionar impactos triviales.
1-5 B Por supuesto que todas las respuestas son importantes,
pero el primer criterio debe ser garantizar que no exista
ambigüedad en los procedimientos y que, desde una
perspectiva de seguridad, cumplan con los estándares
aplicables y, por ende, con la política. Aun cuando es
importante garantizar que los procedimientos funcionan
según lo planeado, el hecho de que no sea así no lo
convertiría en un problema de seguridad.
1-6 B El nivel de efectividad de los empleados estará
determinado por el conocimiento y las capacidades
que tengan; en otras palabras, por sus competencias.
El respaldo de la alta dirección siempre es importante
pero no esencial para la eficiencia de las actividades
que realizan los empleados. Relacionar los roles con las
tareas que se requieren puede ser útil, pero no garantiza
que la gente pueda llevar a cabo dichas tareas.
1-7 B Lo esencial de los esfuerzos relacionados con la
seguridad es garantizar que el negocio pueda continuar
con un nivel aceptable de interrupción que no restrinja
demasiado las actividades que generan ingresos.
Las otras opciones son también resultados útiles,
aunque secundarios.
1-8 A La integridad, la disponibilidad y la confidencialidad
son los factores clave para la seguridad de la
información. Sin embargo, tanto los requerimientos
regulatorios como los de negocio son los factores que
impulsan la retención de datos.
1-9 A El dueño de los datos es responsable de reconfirmar
de manera periódica las listas de acceso a los sistemas
de los cuales es dueño. El gerente de seguridad de la
información se encarga de coordinar las revisiones
a la lista de acceso de usuarios pero no tiene
responsabilidad alguna por el acceso a los datos.
El administrador del dominio podría proporcionar
técnicamente el acceso; sin embargo, no lo aprueba.
La opción D es incorrecta porque el gerente de
negocio podría no ser el dueño de los datos.
1-10 A El gerente de seguridad de la información es
responsable de desarrollar una estrategia de seguridad
basada en los objetivos de negocio con la ayuda
de los dueños de los procesos del negocio. Revisar
la estrategia de seguridad es responsabilidad de
un comité directivo. El gerente de seguridad de la
información no necesariamente es responsable de
comunicar o aprobar la estrategia de seguridad.
M a n u a l de Pre p aració n a l Ex am e n C IS M 2 0 1 5
ISACA. Todos los derechos reservados.