Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Correo electrónico *
gonchalo18@hotmail.com
Nombre
Gonzalo
País
Ecuador
Correo electrónico
gonchalo18@hotmail.com
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 1/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
La información en todas sus formas debe protegerse del acceso no autorizado. El acceso
sin restricciones a la opción de informe da como resultado una exposición. La eficiencia y
la eficacia no son factores relevantes en esta situación. No se logrará un mayor control
sobre los informes, ya que no es necesario que los informes se presenten únicamente en
forma impresa. La información podría transmitirse al exterior como archivos electrónicos,
porque las opciones de impresión también permiten la impresión en formato electrónico.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 2/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
C. opciones de registro.
D. perfiles de usuario.
Comentarios
Explicación:
Los procedimientos de administración de seguridad requieren acceso de solo lectura a los
archivos de registro de seguridad para garantizar que, una vez generados, los registros no
se modifiquen. Los registros proporcionan evidencia y rastrean transacciones y
actividades sospechosas. Los procedimientos de administración de seguridad requieren
acceso de escritura a las tablas de control de acceso para administrar y actualizar los
privilegios de acuerdo con los requisitos comerciales autorizados. Las opciones de
registro requieren acceso de escritura para permitir que el administrador actualice la
forma en que se monitorean, capturan, almacenan, procesan e informan las transacciones
y las actividades de los usuarios.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 3/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
La ingeniería social explota la naturaleza y las debilidades humanas para obtener
información y privilegios de acceso. Al aumentar la conciencia de los empleados sobre
los problemas de seguridad, es posible reducir la cantidad de incidentes de ingeniería
social exitosos. En la mayoría de los casos, los incidentes de ingeniería social no
requieren la presencia física del intruso. Por lo tanto, el aumento de las medidas de
seguridad física no evitaría la intrusión. Una política de supervisión de correo electrónico
informa a los usuarios que todo el correo electrónico de la organización está sujeto a
supervisión. No protege a los usuarios de posibles incidentes de seguridad e intrusos. Los
sistemas de detección de intrusos se utilizan para detectar patrones de tráfico irregulares
o anormales.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 4/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
4. ¿Deshabilitar cuál de los siguientes haría que las redes de área local 1/1
inalámbricas fueran más seguras contra el acceso no autorizado?
Comentarios
Explicación:
Deshabilitar la transmisión de SSID agrega seguridad al dificultar que los usuarios no
autorizados encuentren el nombre del punto de acceso. Deshabilitar el filtrado de
direcciones MAC reduciría la seguridad. El uso del filtrado MAC dificulta el acceso a una
WLAN, ya que sería necesario capturar el tráfico y falsificar la dirección MAC. Deshabilitar
WPA reduce la seguridad. El uso de WPA agrega seguridad al cifrar el tráfico. La
desactivación de LEAP reduce la seguridad. El uso de LEAP agrega seguridad al cifrar el
tráfico inalámbrico.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 5/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. encriptación.
C. autenticación de mensajes.
Comentarios
Explicación:
El cifrado de datos es el método más seguro. Los otros métodos son menos seguros,
siendo las líneas arrendadas posiblemente el método menos seguro.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 6/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
El uso de una herramienta de gestión automática de contraseñas es una medida de
control preventivo. El software evitaría la repetición (semántica) y haría cumplir las reglas
sintácticas, lo que haría que las contraseñas fueran sólidas. También proporcionaría un
método para garantizar cambios frecuentes y evitaría que el mismo usuario reutilice su
contraseña anterior durante un período de tiempo designado. Las opciones A, B y D no
imponen el cumplimiento.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 7/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
7. La razón PRINCIPAL para usar firmas digitales es garantizar que los 1/1
datos:
A. confidencialidad.
B. integridad.
C. disponibilidad.
D. puntualidad.
Comentarios
Explicación:
Las firmas digitales brindan integridad porque la firma digital de un mensaje firmado
(archivo, correo, documento, etc.) cambia cada vez que cambia un solo bit del documento;
por lo tanto, un documento firmado no puede ser alterado. Según el mecanismo elegido
para implementar una firma digital, el mecanismo podría garantizar la confidencialidad de
los datos o incluso la puntualidad, pero esto no está garantizado. La disponibilidad no
está relacionada con las firmas digitales.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 8/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. administrador de seguridad.
B. administrador de sistemas.
Respuesta correcta
Comentarios
Explicación:
La gerencia debe asegurarse de que todos los activos de información (datos y sistemas)
tengan un propietario designado que tome decisiones sobre la clasificación y los
derechos de acceso. Los propietarios del sistema suelen delegar la custodia diaria al
grupo de operaciones/entrega de sistemas y las responsabilidades de seguridad a un
administrador de seguridad. Los propietarios, sin embargo, siguen siendo responsables
del mantenimiento de las medidas de seguridad adecuadas.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQjx… 9/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. inscripción.
B identificación.
C. verificación.
D almacenamiento.
Comentarios
Explicación:
los usuarios de un dispositivo biométrico primero deben inscribirse en el dispositivo. El
dispositivo captura una imagen física o de comportamiento del ser humano, identifica las
características únicas y usa un algoritmo para convertirlas en una cadena de números
almacenados como plantilla para usar en los procesos de coincidencia.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 10/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Respuesta correcta
Comentarios
Explicación:
Los acondicionadores de línea eléctrica se utilizan para compensar los picos y valles en el
suministro de energía y reducir los picos en el flujo de energía a lo que necesita la
máquina. Los valles se eliminan mediante la energía almacenada en el equipo. Los
dispositivos de protección contra sobretensiones protegen contra ráfagas de alto voltaje.
Las fuentes de alimentación alternativas están diseñadas para equipos informáticos que
funcionan durante períodos más prolongados y normalmente se combinan con otros
dispositivos, como una fuente de alimentación ininterrumpida (UPS), para compensar la
pérdida de energía hasta que la fuente de alimentación alternativa esté disponible. Una
fuente de alimentación interrumpible haría que el equipo se apagara cada vez que hubiera
una falla de energía.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQj… 11/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. Capa de sesión
B. Capa de transporte
C. Capa de red
D. Capa de presentación
Respuesta correcta
A. Capa de sesión
Comentarios
Explicación:
La capa de sesión proporciona funciones que permiten que dos aplicaciones se
comuniquen a través de la red. Las funciones incluyen seguridad, reconocimiento de
nombres, inicios de sesión, etc. La capa de sesión es la primera capa donde se establece
la seguridad para las aplicaciones del usuario. La capa de transporte proporciona una
transferencia transparente de datos entre puntos finales. La capa de red controla el
enrutamiento y la conmutación de paquetes dentro de la red, así como a cualquier otra
red. La capa de presentación proporciona servicios de comunicación comunes, como
cifrado, compresión de texto y reformateo.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 12/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. Prueba de entrega
B. No repudio
C. Prueba de presentación
Comentarios
Explicación:
Los servicios de no repudio proporcionan evidencia de que ocurrió una acción específica.
Los servicios de no repudio son similares a sus contrapartes de prueba más débiles (es
decir, prueba de envío, prueba de entrega y autenticación del origen del mensaje); sin
embargo, el no repudio proporciona evidencia más sólida porque la prueba se puede
demostrar a un tercero. Las firmas digitales se utilizan para proporcionar no repudio. La
autenticación de origen del mensaje solo confirmará la fuente del mensaje y no
confirmará la acción específica que se ha completado.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 13/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. establecer propiedad.
Respuesta correcta
A. establecer propiedad.
Comentarios
Explicación:
La clasificación de datos es necesaria para definir reglas de acceso basadas en la
necesidad de hacer y la necesidad de saber. El propietario de los datos es responsable de
definir las reglas de acceso; por lo tanto, establecer la propiedad es el primer paso en la
clasificación de datos. Las otras opciones son incorrectas. Se requiere un análisis de
criticidad para la protección de datos, que toma información de la clasificación de datos.
La definición de acceso se completa después de que se prepara la clasificación de datos y
la entrada para un diccionario de datos a partir del proceso de clasificación de datos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 14/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
14. Un auditor de SI que realiza una revisión de control de acceso a las 1/1
telecomunicaciones debe preocuparse PRINCIPALMENTE por:
Comentarios
Explicación:
La autorización y autenticación de usuarios es el aspecto más significativo en una
revisión de control de acceso a las telecomunicaciones, ya que es un control preventivo.
Los controles débiles a este nivel pueden afectar todos los demás aspectos. El
mantenimiento de registros de acceso de uso de los recursos del sistema es un control de
detección. La protección adecuada de los datos que se transmiten hacia y desde los
servidores mediante encriptación u otros medios es un método para proteger la
información durante la transmisión y no es un problema de acceso. El sistema de
rendición de cuentas y la capacidad de identificar cualquier terminal que acceda a los
recursos del sistema se ocupan del control del acceso a través de la identificación de un
terminal.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 15/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
los cortafuegos están destinados a evitar que personas ajenas obtengan acceso a los
sistemas informáticos de una organización a través de la puerta de enlace de Internet.
Forman una barrera con el mundo exterior, pero no están destinados a abordar el acceso
de los usuarios internos y es más probable que causen demoras que abordar tales
preocupaciones.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 16/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. Cifrar el hash del mensaje con la clave privada del remitente y luego cifrar el
hash del mensaje con la clave pública del receptor
C. Cifrar el hash del mensaje con la clave privada del remitente y luego cifrar el
mensaje con la clave pública del receptor
D. Cifrar el mensaje con la clave privada del remitente y cifrar el hash del mensaje
con la clave pública del receptor
Comentarios
Explicación:
para garantizar la autenticidad y la confidencialidad, un mensaje debe cifrarse dos veces:
primero con la clave privada del remitente y luego segundo con la clave pública del
receptor. El receptor puede descifrar el mensaje, asegurando así la confidencialidad del
mensaje. Posteriormente, el mensaje descifrado se puede descifrar con la clave pública
del remitente, lo que garantiza la autenticidad del mensaje. Cifrar el mensaje con la clave
privada del remitente permite que cualquiera pueda descifrarlo.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 17/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
B. Medios de autenticación
Respuesta correcta
Comentarios
Explicación:
la empresa actualmente tiene una VPN, por lo tanto, la VPN ha implementado problemas
como la autenticación y la confidencialidad mediante la tunelización. La privacidad de las
transmisiones de voz es proporcionada por el protocolo VPN. La confiabilidad y la QoS
son, por lo tanto, las principales consideraciones que deben abordarse.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 18/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
B. Haga una pausa en el escaneo cada pocos minutos para permitir que se
restablezcan los umbrales.
C. Realice los escaneos durante las horas de la tarde cuando nadie haya iniciado
sesión.
Respuesta correcta
B. Haga una pausa en el escaneo cada pocos minutos para permitir que se
restablezcan los umbrales.
Comentarios
Explicación:
Pausar el escaneo cada pocos minutos evita sobrecargar la red y exceder los umbrales
que pueden generar mensajes de alerta para el administrador de la red. El uso de la
dirección IP de un servidor daría lugar a una disputa de direcciones que llamaría la
atención. Realizar escaneos después de horas aumentaría la posibilidad de detección, ya
que habría menos tráfico para ocultar las actividades. El uso de diferentes herramientas
podría aumentar la probabilidad de que una de ellas sea detectada por un sistema de
detección de intrusos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 19/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
19. Una red privada virtual (VPN) proporciona confidencialidad de datos 1/1
mediante el uso de:
B. Tunelización
C. Firmas digitales
D. Suplantación de identidad
Comentarios
Explicación:
las VPN protegen los datos en tránsito al encapsular el tráfico, un proceso conocido como
tunelización. SSL es un método simétrico de cifrado entre un servidor y un navegador. Las
firmas digitales no se utilizan en el proceso de VPN y el phishing es una forma de ataque
de ingeniería social.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 20/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
20. ¿ Cuál de las siguientes es la técnica MÁS eficaz para brindar 1/1
seguridad durante la transmisión de datos?
A. Registro de comunicación
C. Cifrado
D. Protocolo estándar
Comentarios
Explicación:
El cifrado brinda seguridad a los datos durante la transmisión. Las otras opciones no
brindan protección durante la transmisión de datos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 21/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
21. Durante una auditoría a una empresa que se dedica al comercio 1/1
electrónico, el gerente de SI afirma que se utilizan firmas digitales cuando
se reciben comunicaciones de los clientes. Para corroborar esto, el auditor
de SI debe demostrar que ¿cuál de los siguientes se utiliza?
B. Un hash de los datos que se transmiten y cifran con la clave privada del
cliente
C. Un hash de los datos que se transmiten y cifran con la clave pública del cliente
D. La firma escaneada del cliente cifrada con la clave pública del cliente
Comentarios
Explicación:
El cálculo de un hash o resumen de los datos que se transmiten y su encriptación
requieren de la clave pública del cliente (receptor) y se denominan firma del mensaje o
firma digital. El receptor realiza el mismo proceso y luego compara el hash recibido, una
vez descifrado con su clave privada, con el hash que calcula con los datos recibidos. Si
son lo mismo, la conclusión sería que hay integridad en los datos que han llegado y se
autentica el origen. El concepto de cifrar el hash con la clave privada del originador
proporciona no repudio, ya que solo se puede descifrar con su clave pública y, como
sugiere el CD, el destinatario no conocería la clave privada. En pocas palabras, en una
situación de par de claves, cualquier cosa que pueda ser desencriptada por la clave
pública de un remitente debe haber sido encriptada con su clave privada, por lo que él/ella
debe haber sido el remitente, es decir, no repudio. La opción C es incorrecta porque, si
este fuera el caso, el destinatario no podría descifrar el hash, por lo que se perdería el
beneficio de no repudio y no podría verificarse que el mensaje no haya sido interceptado y
modificado. Una firma digital se crea cifrando con una clave privada. La persona que crea
la firma usa su propia clave privada, de lo contrario, todos podrían crear una firma con
cualquier clave pública. Por lo tanto, la firma del cliente se crea con la clave privada del
cliente y esto puede ser verificado por la empresa utilizando la clave pública del cliente. La
opción C es incorrecta porque, si este fuera el caso, el destinatario no podría descifrar el
hash, por lo que se perdería el beneficio de no repudio y no podría verificarse que el
mensaje no haya sido interceptado y modificado. Una firma digital se crea cifrando con
una clave privada. La persona que crea la firma usa su propia clave privada, de lo
contrario, todos podrían crear una firma con cualquier clave pública. Por lo tanto, la firma
del cliente se crea con la clave privada del cliente y esto puede ser verificado por la
empresa utilizando la clave pública del cliente. La opción C es incorrecta porque, si este
fuera el caso, el destinatario no podría descifrar el hash, por lo que se perdería el beneficio
de no repudio y no podría verificarse que el mensaje no haya sido interceptado y
modificado. Una firma digital se crea cifrando con una clave privada. La persona que crea
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 22/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
la firma usa su propia clave privada, de lo contrario, todos podrían crear una firma con
cualquier clave pública. Por lo tanto, la firma del cliente se crea con la clave privada del
cliente y esto puede ser verificado por la empresa utilizando la clave pública del cliente.
Una firma digital se crea cifrando con una clave privada. La persona que crea la firma usa
su propia clave privada, de lo contrario, todos podrían crear una firma con cualquier clave
pública. Por lo tanto, la firma del cliente se crea con la clave privada del cliente y esto
puede ser verificado por la empresa utilizando la clave pública del cliente. Una firma
digital se crea cifrando con una clave privada. La persona que crea la firma usa su propia
clave privada, de lo contrario, todos podrían crear una firma con cualquier clave pública.
Por lo tanto, la firma del cliente se crea con la clave privada del cliente y esto puede ser
verificado por la empresa utilizando la clave pública del cliente.
La opción B es la respuesta correcta porque, en este caso, el cliente usa su clave privada
para firmar los datos hash.
22. ¿ Cuál de los siguientes métodos de ataque aborda una política de 1/1
seguridad de la información que establece que "la visualización de
contraseñas debe enmascararse o suprimirse"?
A. Llevar a cuestas
B. Buceo en basureros
C. Surf de hombro
D. Suplantación de identidad
Comentarios
Explanation:
If a password is displayed on a monitor, any person nearby could "look over the shoulder"
of the user to obtain the password. Piggybacking refers to unauthorized persons following,
either physically or virtually, authorized persons into restricted areas. Masking the display
of passwords would not prevent someone from tailgating an authorized person. This
policy only refers to "the display of passwords." If the policy referred to "the display and
printing of passwords" then it would address shoulder surfing and dumpster diving
(looking through an organization's trash for valuable information). Impersonation refers to
someone acting as an employee in an attempt to retrieve desired information.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 23/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
23. ¿ Cuál de las siguientes debería ser una preocupación para un 1/1
auditor de SI que revisa una red inalámbrica?
A. El cifrado WEP (Privacidad equivalente por cable) de clave estática de 128 bits
está habilitado.
Comentarios
Explicación:
la transmisión de SSID permite a un usuario buscar redes inalámbricas disponibles y
acceder a ellas sin autorización. Las opciones A, C y D se utilizan para fortalecer una red
inalámbrica.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 24/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
24. Las firmas digitales validadas en una aplicación de software de correo 1/1
electrónico:
B. proporcionar confidencialidad.
Comentarios
Explicación:
Las firmas electrónicas validadas se basan en certificados calificados que son creados
por una autoridad de certificación (CA) con los estándares técnicos requeridos para
garantizar que la clave no pueda ser forzada ni reproducida en un tiempo razonable.
Dichos certificados solo se entregan a través de una autoridad de registro (RA) después
de que se haya aprobado una prueba de identidad. Usando firmas seguras en el tráfico de
correo electrónico, se puede asegurar el no repudio y se puede rastrear al remitente. El
destinatario puede configurar su servidor o cliente de correo electrónico para eliminar
automáticamente los correos de remitentes específicos. Por cuestiones de
confidencialidad, se debe utilizar encriptación, no firma, aunque ambos métodos pueden
basarse en certificados calificados. Sin filtros aplicados directamente en los servidores de
puerta de enlace de correo para bloquear el tráfico sin firmas seguras, la carga de trabajo
no aumentará. El uso de filtros directamente en un servidor de puerta de enlace dará
como resultado una sobrecarga menor que la que impone el software antivirus. Las firmas
digitales tienen solo unos pocos bytes de tamaño y no reducirán el ancho de banda.
Incluso si los servidores de puerta de enlace comprobaran las CRL, los gastos generales
son mínimos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 25/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
SSL genera una clave de sesión utilizada para cifrar/descifrar los datos transmitidos,
asegurando así su confidencialidad. Aunque SSL permite el intercambio de certificados
X509 para brindar identificación y autenticación, esta función, junto con las opciones C y
D, no son los objetivos principales.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 26/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Respuesta correcta
Comentarios
Explicación:
La configuración y las reglas inadecuadas del enrutador darían lugar a una exposición a
ataques de denegación de servicio. Las opciones B y C contribuirían menos. La opción D
es incorrecta porque las pruebas de auditoría y las técnicas de revisión se aplican
después del hecho.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 27/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
27. La diferencia MÁS importante entre hash y encriptación es que hash: 0/1
A. es irreversible.
Respuesta correcta
A. es irreversible.
Comentarios
Explicación:
Hashing funciona de una manera. Al aplicar un algoritmo hash a un mensaje, se crea un
resumen/hash de mensaje. Si se aplica el mismo algoritmo hash al resumen del mensaje,
no dará como resultado el mensaje original. Como tal, el hashing es irreversible, mientras
que el cifrado es reversible. Esta es la diferencia básica entre hash y cifrado. Hashing crea
una salida que es más pequeña que el mensaje original, y el cifrado crea una salida de la
misma longitud que el original.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 28/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
La mayoría de las transacciones cifradas utilizan una combinación de claves privadas,
claves públicas, claves secretas, funciones hash y certificados digitales para lograr la
confidencialidad, la integridad del mensaje y el no repudio por parte del remitente o el
destinatario. El destinatario utiliza la clave pública del remitente para descifrar el código
prehash en un código posthash, que al igualar el código prehash, verifica la identidad del
remitente y que el mensaje no ha sido cambiado en la ruta; esto proporcionaría la mayor
seguridad. Cada remitente y destinatario tiene una clave privada que solo él/ella conoce y
una clave pública, que puede ser conocida por cualquiera. Cada proceso de
cifrado/descifrado requiere al menos una clave pública y una clave privada y ambas deben
ser de la misma parte. Se utiliza una única clave secreta para cifrar el mensaje, porque el
cifrado de clave secreta requiere menos poder de procesamiento que el uso de claves
públicas y privadas. Un certificado digital, firmado por una autoridad certificadora, valida
las claves públicas de los remitentes y destinatarios.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 29/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Respuesta correcta
Comentarios
Explicación:
El cableado y diagrama esquemático de la red es necesario para realizar una auditoría de
red. Es posible que una auditoría de red no sea factible si no se dispone de un cableado de
red y un diagrama esquemático.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 30/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
30. Para que un control de acceso discrecional sea efectivo, debe: 1/1
C. permitir a los usuarios anular los controles de acceso obligatorios cuando sea
necesario.
Comentarios
Explicación:
Los controles de acceso obligatorios son prohibitivos, todo lo que no esté expresamente
permitido está prohibido. Sólo en este contexto operan los controles discrecionales,
prohibiendo aún más accesos con el mismo principio de exclusión. Cuando los sistemas
aplican políticas de control de acceso obligatorias, deben distinguir entre éstas y las
políticas de acceso obligatorias, que ofrecen más flexibilidad.
Los controles discrecionales no anulan los controles de acceso y no tienen que estar
permitidos en la política de seguridad para que sean efectivos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 31/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
B. en el sitio de respaldo.
Comentarios
Explicación:
Uno de los riesgos de la implementación de una VPN es la posibilidad de permitir el
acceso de equipos de alto riesgo a la red de la empresa. Todas las máquinas a las que se
les permite acceder a la red virtual deben estar sujetas a la misma política de seguridad.
Las computadoras domésticas están menos sujetas a las políticas de seguridad
corporativas y, por lo tanto, son computadoras de alto riesgo. Una vez que una
computadora es pirateada y "poseída", cualquier red que confíe en esa computadora está
en riesgo. La implementación y el cumplimiento de la política de seguridad corporativa es
más fácil cuando todas las computadoras en la red están en el campus de la empresa.
Internamente a la red física de una empresa, debe haber políticas de seguridad para
detectar y detener un ataque externo que utiliza una máquina interna como plataforma de
ensayo. Las computadoras en el sitio de respaldo están sujetas a la política de seguridad
corporativa y, por lo tanto, no son computadoras de alto riesgo.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 32/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
32. Una organización puede garantizar que los destinatarios de los 1/1
correos electrónicos de sus empleados puedan autenticar la identidad del
remitente al:
Comentarios
Explicación:
Al firmar digitalmente todos los mensajes de correo electrónico, el receptor podrá validar
la autenticidad del remitente. El cifrado de todos los mensajes de correo electrónico
garantizaría que solo el destinatario previsto pueda abrir el mensaje; sin embargo, no
garantizaría la autenticidad del remitente.
Comprimir todos los mensajes de correo electrónico reduciría el tamaño del mensaje,
pero no garantizaría la autenticidad. La protección con contraseña de todos los mensajes
de correo electrónico garantizaría que sólo aquellos que tengan la contraseña puedan
abrir el mensaje; sin embargo, no garantizaría la autenticidad del remitente.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 33/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
33. ¿Cuál de las siguientes es una función general de control de acceso 0/1
del sistema operativo?
Respuesta correcta
Comentarios
Explicación:
Crear responsabilidad individual es la función del sistema operativo general. La creación
de perfiles de base de datos, la verificación de la autorización del usuario a nivel de campo
y el registro de actividades de acceso a la base de datos para monitorear violaciones de
acceso son todas funciones de control de acceso a nivel de base de datos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 34/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
Las emisiones pueden ser detectadas por equipos sofisticados y mostradas, dando así
acceso a los datos a personas no autorizadas. No deberían causar la interrupción de las
CPU ni afectar la contaminación acústica.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 35/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
35. Para detectar intentos de ataque que el firewall no puede reconocer, el 1/1
auditor de SI debe recomendar colocar un sistema de detección de
intrusos en la red (IDS) entre:
B. Internet y el cortafuegos.
Comentarios
Explicación:
los intentos de ataque que el cortafuegos no pudo reconocer se detectarán si se coloca
un sistema de detección de intrusos basado en la red entre el cortafuegos y la red de la
organización. Un sistema de detección de intrusos basado en la red colocado entre
Internet y el firewall detectará los intentos de ataque, ya sea que ingresen o no al firewall.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 36/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
B. Autoridad de certificación
C. Red de confianza
D. Kerberos
Respuesta correcta
C. Red de confianza
Comentarios
Explicación:
Web de confianza es un método de distribución de claves adecuado para la comunicación
en un grupo pequeño. Asegura bastante buena privacidad (PGP) y distribuye las claves
públicas de los usuarios dentro de un grupo. El centro de distribución de claves es un
método de distribución adecuado para la comunicación interna de un grupo grande dentro
de una institución, y distribuirá claves simétricas para cada sesión. La autoridad de
certificación es un tercero de confianza que asegura la autenticidad del propietario del
certificado. Esto es necesario para grupos grandes y comunicación formal. Kerberos
Authentication System amplía la función de un centro de distribución de claves, al generar
"tickets" para definir las instalaciones en las máquinas en red, que son accesibles para
cada usuario.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 37/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. evaluar configuraciones.
Respuesta correcta
Comentarios
Explicación:
la prueba de penetración es una técnica que se utiliza para imitar a un pirata informático
experimentado que ataca un sitio en vivo mediante el uso de herramientas y técnicas
disponibles para un pirata informático. Las otras opciones son procedimientos que un
auditor de SI consideraría realizar durante una auditoría de conexiones a Internet, pero no
son aspectos de las técnicas de prueba de penetración.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 38/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
B. la clave pública del remitente y el cifrado del mensaje utilizando la clave privada
del receptor.
Comentarios
Explicación:
al firmar el mensaje con la clave privada del remitente, el receptor puede verificar su
autenticidad utilizando la clave pública del remitente. Al cifrar el mensaje con la clave
pública del receptor, solo el receptor puede descifrar el mensaje utilizando su propia clave
privada. La clave privada del receptor es confidencial y, por tanto, desconocida para el
remitente. Cualquiera puede leer los mensajes cifrados con la clave privada del remitente
(con la clave pública del remitente).
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 39/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
39. ¿Cuál de los siguientes es el tipo de software antivirus MÁS efectivo? 0/1
A. Escáneres
B. Monitores activos
C. Verificadores de integridad
D.Vacunas
Respuesta correcta
C. Verificadores de integridad
Comentarios
Explicación:
Los verificadores de integridad calculan un número binario en un programa conocido libre
de virus que luego se almacena en un archivo de base de datos. El número se denomina
verificación de redundancia cíclica (CRC). Cuando se llama a ese programa para que se
ejecute, el verificador calcula el CRC en el programa que está a punto de ejecutarse y lo
compara con el número en la base de datos. Una coincidencia significa que no hay
infección; una discrepancia significa que se ha producido un cambio en el programa. Un
cambio en el programa podría significar un virus. Los escáneres buscan secuencias de
bits llamadas firmas que son típicas de los programas de virus. Examinan la memoria, los
sectores de arranque del disco, los ejecutables y los archivos de comandos en busca de
patrones de bits que coincidan con un virus conocido.
Por lo tanto, los escáneres deben actualizarse periódicamente para que sigan siendo
efectivos. Los monitores activos interpretan las llamadas del sistema básico de entrada y
salida (BIOS) de DOS y ROM, en busca de acciones similares a las de los virus. Los
monitores activos pueden ser engañosos, porque no pueden distinguir entre una solicitud
de usuario y una solicitud de programa o virus. Como resultado, se pide a los usuarios que
confirmen acciones como formatear un disco o eliminar un archivo o conjunto de
archivos. Se sabe que las vacunas son un buen software antivirus. Sin embargo, también
deben actualizarse periódicamente para que sigan siendo efectivos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 40/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
40. ¿Cuál de las siguientes técnicas de cifrado protegerá MEJOR una red 1/1
inalámbrica de un ataque de intermediario?
Comentarios
Explicación:
una PSK generada aleatoriamente es más fuerte que una PSK basada en MAC, porque la
dirección MAC de una computadora es fija y a menudo accesible. Se ha demostrado que
WEP es una técnica de encriptación muy débil y se puede descifrar en cuestión de
minutos. El SSID se transmite en la red inalámbrica en texto sin formato.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 41/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
41. ¿ Cuál de los siguientes se agrega a los archivos como protección 0/1
contra virus?
A. Bloqueadores de comportamiento
C. Vacunas
D. Monitores activos
Respuesta correcta
C. Vacunas
Comentarios
Explicación:
Los inmunizadores protegen contra los virus agregando secciones de ellos mismos a los
archivos. Revisan continuamente el archivo en busca de cambios e informan cambios
como posible comportamiento viral. Los bloqueadores de comportamiento se centran en
detectar comportamientos potencialmente anormales, como escribir en el sector de
arranque o en el registro de arranque maestro, o realizar cambios en los archivos
ejecutables. Los verificadores de redundancia cíclica calculan un número binario en un
programa conocido libre de virus que luego se almacena en un archivo de base de datos.
Cuando se llama posteriormente a ese programa para ejecutarlo, los verificadores buscan
cambios en los archivos, lo comparan con la base de datos e informan sobre una posible
infección si se han producido cambios. Los monitores activos interpretan las llamadas del
sistema básico de entrada y salida (BIOS) de DOS y ROM, en busca de acciones similares
a las de los virus.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 42/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Respuesta correcta
Comentarios
Explicación:
el control de errores de reenvío implica la transmisión de información redundante
adicional con cada carácter o marco para facilitar la detección y corrección de errores. En
el control de errores de retroalimentación, solo se transmite suficiente información
adicional para que el receptor pueda identificar que se ha producido un error.
Las opciones B y D son métodos de detección de errores pero no métodos de corrección
de errores. La comprobación de la suma de bloques es una extensión de la comprobación
de paridad en la que se calcula un conjunto adicional de bits de paridad para un bloque de
caracteres. Una verificación de redundancia cíclica es una técnica en la que se genera un
único conjunto de dígitos de verificación, en función del contenido de la trama, para cada
trama transmitida.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 43/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
43. ¿ Cuál de las siguientes es una técnica que podría usarse para 0/1
capturar las contraseñas de los usuarios de la red?
A. Cifrado
B. Olfatear
C. Suplantación de identidad
D. Destrucción de datos
Respuesta correcta
B. Olfatear
Comentarios
Explicación:
El rastreo es un ataque que se puede usar para capturar información confidencial
(contraseña) que pasa a través de la red. El cifrado es un método de codificar información
para evitar que personas no autorizadas entiendan la transmisión. La suplantación de
identidad es falsificar una dirección e insertarla en un paquete para ocultar el origen de la
comunicación. La destrucción de datos es borrar información o eliminarla de su ubicación
original.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 44/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Respuesta correcta
Comentarios
Explicación:
El modo túnel brinda protección a todo el paquete IP. Para lograr esto, se pueden anidar
los servicios AH y ESP. El modo de transporte brinda protección primaria para las capas
superiores de los protocolos al extender la protección a los campos de datos (carga útil)
de un paquete IP. El modo SSL proporciona seguridad a las capas superiores de
comunicación (capa de transporte). El modo de cifrado triple-DES es un algoritmo que
proporciona confidencialidad.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 45/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
45. Cuando se vende en el mercado abierto una PC que ha sido utilizada 1/1
para el almacenamiento de datos confidenciales, la:
Comentarios
Explicación:
el disco duro debe desmagnetizarse, ya que esto hará que todos los bits se establezcan
en cero, eliminando cualquier posibilidad de recuperar la información que se almacenó
previamente en el disco. Un formato de nivel medio no elimina información del disco duro.
Solo restablece los punteros de directorio.
Si bien la eliminación de datos del disco elimina el puntero al archivo, los datos
permanecen en su lugar, por lo que con las herramientas adecuadas, se puede recuperar
la información. La desfragmentación del disco no provoca que se elimine la información,
sino que simplemente la mueve para que sea más eficiente acceder a ella.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 46/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
los datos cifrados no se pueden leer incluso cuando se interceptan. Las opciones B, C y D
no afectan la confidencialidad porque el mensaje aún se puede leer. El endurecimiento es
el proceso de hacer cumplir la configuración de un sistema.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 47/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
47. ¿Qué método podría utilizar un auditor de SI para probar la seguridad 0/1
inalámbrica en las sucursales?
A. Marcación de guerra
B. Ingeniería social
C. Conducción de guerra
D. Descifrado de contraseñas
Respuesta correcta
C. Conducción de guerra
Comentarios
Explicación:
La conducción de guerra es una técnica para ubicar y obtener acceso a redes
inalámbricas conduciendo o caminando con una computadora equipada inalámbrica
alrededor de un edificio. La marcación de guerra es una técnica para obtener acceso a una
computadora o una red a través de la marcación de bloques definidos de números de
teléfono, con la esperanza de obtener una respuesta de un módem. La ingeniería social es
una técnica utilizada para recopilar información que puede ayudar a un atacante a obtener
acceso lógico o físico a datos o recursos. La ingeniería social explota las debilidades
humanas. Los crackers de contraseñas son herramientas que se utilizan para adivinar las
contraseñas de los usuarios probando combinaciones y palabras del diccionario.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 48/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
48. La revisión de las listas de control de acceso del enrutador se debe 1/1
realizar durante un:
A. revisión ambiental.
49. La característica de una firma digital que asegura que el remitente no 1/1
pueda negar posteriormente haber generado y enviado el mensaje es:
B. autenticación.
C. no repudio.
D. protección de reproducción.
Comentarios
Explicación:
Todas las anteriores son características de una firma digital. El no repudio garantiza que
el remitente reclamado no pueda negar posteriormente la generación y el envío del
mensaje. La integridad de los datos se refiere a los cambios en el mensaje de texto sin
formato que provocarían que el destinatario no pudiera calcular el mismo hash del
mensaje. Dado que solo el remitente reclamado tiene la clave, la autenticación garantiza
que el remitente reclamado haya enviado el mensaje. La protección de reproducción es un
método que un destinatario puede usar para verificar que el mensaje no fue interceptado y
reproducido.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 49/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 50/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
B. Bloqueo de cifrado
Comentarios
Explicación:
Todos son controles de acceso físico diseñados para proteger a la organización del
acceso no autorizado. Sin embargo, las cerraduras de puertas biométricas, como un
escáner de huellas dactilares, brindan ventajas, ya que son más difíciles de duplicar, más
fáciles de desactivar e identificar individualmente. Las cerraduras de puerta biométricas,
que utilizan las características corporales únicas de un individuo, se utilizan para el
acceso cuando se deben proteger instalaciones extremadamente sensibles.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 51/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. ingeniería social.
B. rastreadores.
C. puertas traseras.
D. Caballos de Troya.
Comentarios
Explicación:
La ingeniería social se basa en la divulgación de información privada a través de diálogos,
entrevistas, consultas, etc., en los que un usuario puede ser indiscreto con respecto a sus
datos personales o los de otros. Un sniffer es una herramienta informática para
monitorear el tráfico en las redes. Las puertas traseras son programas informáticos que
dejan los piratas informáticos para explotar vulnerabilidades. Los caballos de Troya son
programas informáticos que pretenden suplantar a un programa real; por lo tanto, la
funcionalidad del programa no está autorizada y suele ser de naturaleza maliciosa.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 52/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
53. UN GRAN riesgo de usar el inicio de sesión único (SSO) es que: 0/1
Respuesta correcta
Comentarios
Explicación:
El principal riesgo asociado con el inicio de sesión único es el punto de autenticación
único. Si una contraseña se ve comprometida, se puede obtener acceso a muchas
aplicaciones sin más verificación. Un único punto de falla proporciona una redundancia
similar a la del único punto de autenticación. Sin embargo, la falla puede ocurrir en
múltiples puntos de los recursos, como datos, procesos o redes. Puede producirse un
cuello de botella administrativo cuando la administración está centralizada en un sistema
de entrada de un solo paso. Esto es, por tanto, una ventaja. El bloqueo del usuario puede
ocurrir con cualquier sistema de autenticación de contraseña y normalmente el
administrador de seguridad lo soluciona rápidamente al restablecer la cuenta.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 53/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
C. Un servidor proxy
D. Exploración de puertos
Respuesta correcta
Comentarios
Explicación:
Una puerta de enlace a nivel de aplicación es la mejor manera de protegerse contra la
piratería porque puede definir reglas detalladas que describen el tipo de usuario o
conexión que está permitido o no. Analiza en detalle cada paquete, no solo en las capas
uno a cuatro del modelo OSI, sino también en las capas cinco a siete, lo que significa que
revisa los comandos de cada protocolo de nivel superior (HTTP, FTP, SNMP, etc.) para un
servidor de acceso remoto, existe un dispositivo (servidor) que pide usuario y contraseña
antes de entrar a la red. Esto es bueno cuando se accede a redes privadas, pero se puede
mapear o escanear desde Internet creando exposición de seguridad. Los servidores proxy
pueden brindar protección según la dirección IP y los puertos. Sin embargo, se necesita
una persona que realmente sepa cómo hacer esto, y las aplicaciones pueden usar
diferentes puertos para las diferentes secciones del programa. El escaneo de puertos
funciona cuando hay una tarea muy específica que completar, pero no cuando se trata de
controlar lo que proviene de Internet (o cuando se deben controlar todos los puertos
disponibles). Por ejemplo, el puerto para Ping (solicitud de eco) podría bloquearse y las
direcciones IP estarían disponibles para la aplicación y la navegación, pero no
responderían a Ping.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 54/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
55. ¿Cuál de los siguientes controles detectaría MEJOR una intrusión? 1/1
Comentarios
Explicación:
la intrusión se detecta mediante la supervisión activa y la revisión de los inicios de sesión
fallidos. Las identificaciones de usuario y la concesión de privilegios de usuario definen
una política, no un control. El cierre de sesión automático es un método para evitar el
acceso en terminales inactivos y no es un control de detección. Los intentos fallidos de
iniciar sesión son un método para prevenir la intrusión, no para detectarla.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 55/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
56. El control MÁS eficaz para abordar el riesgo de llevar a cuestas es: 0/1
Respuesta correcta
Comentarios
Explicación:
Las puertas de hombre muerto son un sistema de uso de un par de (dos) puertas. Para
que funcione la segunda puerta, la primera puerta de entrada debe cerrarse y trabarse con
solo una persona permitida en el área de espera. Esto reduce el riesgo de que una persona
no autorizada siga a una persona autorizada a través de una entrada segura
(piggybacking). Las otras opciones son todos controles físicos sobre la entrada a un área
segura, pero no abordan específicamente el riesgo de llevar a cuestas.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 56/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 57/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
58. ¿Cuál de los siguientes es el control MÁS efectivo sobre el acceso de 0/1
visitantes a un centro de datos?
Respuesta correcta
Comentarios
Explicación:
Acompañar a los visitantes brindará la mejor garantía de que los visitantes tengan
permiso para acceder a la instalación de procesamiento de datos. Las opciones B y C no
son controles fiables. La opción D es incorrecta porque los visitantes deben estar
acompañados en todo momento mientras estén en las instalaciones, no solo cuando
estén en la instalación de procesamiento de datos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 58/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
59. Un entorno basado en TCP/IP está expuesto a Internet. ¿Cuál de los 0/1
siguientes garantiza MEJOR que existan protocolos completos de
encriptación y autenticación para proteger la información mientras se
transmite?
Respuesta correcta
Comentarios
Explicación:
el modo de túnel con seguridad de IP proporciona cifrado y autenticación del paquete de
IP completo. Para lograr esto, los servicios AH y ESP se pueden anidar. Las opciones B y C
proporcionan autenticación e integridad. Los servicios TCP no proporcionan cifrado ni
autenticación.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 59/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Una reputacion
B. Autenticación
C. Cifrado
D. No repudio
Comentarios
Explicación:
El no repudio puede garantizar que una transacción sea exigible. Se trata de crear una
prueba del origen o la entrega de datos para proteger al remitente contra la falsa negación
por parte del destinatario de la recepción de los datos, o viceversa. La opción A es
incorrecta porque la reputación de la empresa, por sí sola, no probaría que se hizo un trato
a través de Internet. La opción B no es correcta ya que los controles de autenticación son
necesarios para establecer la identificación de todas las partes de una comunicación. La
opción C es incorrecta ya que el cifrado puede proteger los datos transmitidos a través de
Internet, pero es posible que no pruebe que se realizaron las transacciones.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 60/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
La autenticación del sitio que se va a navegar es el objetivo principal de un certificado
web. La autenticación de un usuario se logra mediante contraseñas y no mediante un
certificado de sitio web. El certificado del sitio no evita la piratería ni autentica a una
persona.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 61/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Un crítico.
B vital.
C. sensible.
D. no crítico.
Respuesta correcta
C. sensible.
Comentarios
Explicación:
Las funciones delicadas se describen mejor como aquellas que se pueden realizar
manualmente a un costo tolerable durante un período de tiempo prolongado. Las
funciones críticas son aquellas que no pueden realizarse a menos que sean reemplazadas
por capacidades idénticas y no pueden ser reemplazadas por métodos manuales. Las
funciones vitales se refieren a aquellas que se pueden realizar manualmente pero solo por
un breve período de tiempo; esto se asocia con menores costos de interrupción que las
funciones críticas. Las funciones no críticas pueden interrumpirse durante un período de
tiempo prolongado a un costo mínimo o nulo para la empresa, y su restauración requiere
poco tiempo o costo.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 62/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. Repetir
B. Fuerza bruta
C. Criptográfico
D. imitar
Comentarios
Explicación:
las características biométricas residuales, como las huellas dactilares dejadas en un
dispositivo de captura biométrica, pueden ser reutilizadas por un atacante para obtener
acceso no autorizado. Un ataque de fuerza bruta implica alimentar el dispositivo de
captura biométrica con numerosas muestras biométricas diferentes. Un ataque
criptográfico tiene como objetivo el algoritmo o los datos cifrados. En un ataque mímico,
el atacante reproduce características similares a las del usuario registrado, como
falsificar una firma o imitar una voz.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 63/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
64. ¿ Cuál de los siguientes controles sería el MÁS completo en una red 1/1
de acceso remoto con subsistemas múltiples y diversos?
A. Servidor proxy
B. Instalación de cortafuegos
C. Administrador de red
Comentarios
Explicación:
El control más completo en esta situación es la implementación y administración de
contraseñas. Si bien las instalaciones de firewall son la primera línea de defensa, no
pueden proteger todos los accesos y, por lo tanto, permanece un elemento de riesgo. Un
servidor proxy es un tipo de instalación de firewall y, por lo tanto, se aplican las mismas
reglas. El administrador de la red puede servir como control, pero por lo general esto no
sería lo suficientemente completo como para funcionar en sistemas múltiples y diversos.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 64/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
Cuando se utilizan claves dinámicas, la clave de cifrado se cambia con frecuencia, lo que
reduce el riesgo de que la clave se vea comprometida y el mensaje se descifre. Limitar la
cantidad de dispositivos que pueden acceder a la red no soluciona el problema de
encriptar la sesión. El cifrado con claves estáticas, utilizando la misma clave durante un
largo período de tiempo, tiene el riesgo de que la clave se vea comprometida. El cifrado de
los datos en el dispositivo conectado (computadora portátil, PDA, etc.) aborda la
confidencialidad de los datos en el dispositivo, no la sesión inalámbrica.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 65/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Respuesta correcta
Comentarios
Explicación:
Sin un proceso de autorización adecuado, será imposible establecer límites funcionales y
responsabilidad. El riesgo de que más de un individuo pueda afirmar ser un usuario
específico está asociado con los procesos de autenticación, más que con la autorización.
El riesgo de que las cuentas de los usuarios puedan compartirse está asociado a
procesos de identificación, más que a la autorización. La base de necesidad de saber es el
mejor enfoque para asignar privilegios durante el proceso de autorización.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 66/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
TIENE
B AES
C. Triple DES
D. RSA
Comentarios
Explicación:
Estándar de cifrado avanzado (AES), un algoritmo público que admite claves de 128 a 256
bits de tamaño, no solo brinda buena seguridad, sino que proporciona velocidad y
versatilidad en una variedad de plataformas informáticas. AES se ejecuta de manera
segura y eficiente en computadoras grandes, computadoras de escritorio e incluso
dispositivos pequeños como tarjetas inteligentes. DES no se considera una solución
criptográfica sólida, ya que todo su espacio de claves puede ser forzado por fuerza bruta
por grandes sistemas informáticos en un período de tiempo relativamente corto. Triple
DES puede tardar hasta tres veces más que DES en cifrar y descifrar. Las claves RSA son
números grandes que solo son adecuados para mensajes cortos, como la creación de una
firma digital.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 67/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Respuesta correcta
Comentarios
Explicación:
La parte más importante de la planificación de cualquier prueba de penetración es la
participación de la gerencia de la organización cliente. Las pruebas de penetración sin la
aprobación de la gerencia podrían considerarse razonablemente espionaje y son ilegales
en muchas jurisdicciones.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 68/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. Firmas digitales
B. Criptografía asimétrica
C. Certificados digitales
Respuesta correcta
C. Certificados digitales
Comentarios
Explicación:
Los certificados digitales los emite un tercero de confianza. El remitente del mensaje
adjunta el certificado en lugar de la clave pública y puede verificar la autenticidad con el
depósito de certificados. La criptografía asimétrica es vulnerable a un ataque de
intermediario. Los certificados digitales se utilizan para la confidencialidad. El código de
autenticación de mensajes se utiliza para verificar la integridad de los mensajes.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 69/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
70. La aplicación de una firma digital a los datos que viajan en una red 1/1
proporciona:
A. confidencialidad e integridad.
B. seguridad y no repudio.
C. integridad y no repudio.
D. confidencialidad y no repudio.
Comentarios
Explicación:
El proceso de aplicar un algoritmo matemático a los datos que viajan en la red y colocar
los resultados de esta operación con los datos hash se utiliza para controlar la integridad
de los datos, ya que cualquier modificación no autorizada a estos datos daría como
resultado un hash diferente. La aplicación de una firma digital lograría el no repudio de la
entrega del mensaje. El término seguridad es un concepto amplio y no específico. Además
de un hash y una firma digital, se aplica la confidencialidad cuando existe un proceso de
encriptación.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 70/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
D. Espionaje en la red
Respuesta correcta
Comentarios
Explicación:
las amenazas/vulnerabilidades a la seguridad de Internet para la integridad incluyen un
troyano, que podría modificar los datos, la memoria y los mensajes del usuario que se
encuentran en el software del navegador del cliente. Las otras opciones comprometen la
confidencialidad.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 71/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
72. ¿Cuál de los siguientes es el control MÁS eficaz al otorgar acceso 0/1
temporal a los proveedores?
Respuesta correcta
Comentarios
Explicación:
El control más efectivo es garantizar que la concesión de acceso temporal se base en los
servicios que se brindarán y que haya una fecha de vencimiento (con suerte
automatizada) asociada con cada ID. El SLA puede tener una disposición para
proporcionar acceso, pero esto no es un control. Simplemente definiría la necesidad de
acceso. Los proveedores requieren acceso por un período limitado durante el tiempo de
servicio; sin embargo, es importante asegurarse de que se controle el acceso durante este
período. Es necesario eliminar estos ID de usuario después de completar el trabajo, pero
si no se automatiza, la eliminación podría pasarse por alto.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 72/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Comentarios
Explicación:
Cifrar el código prehash con la clave privada del remitente garantiza la autenticidad del
mensaje. La derivación matemática del código prehash proporciona integridad al
mensaje.
Cifrar el código prehash y el mensaje usando la clave secreta proporciona
confidencialidad.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 73/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
Respuesta correcta
Comentarios
Explicación:
La CPS es la parte de procedimientos de la PKI basada en políticas. La CRL es una lista de
certificados que han sido revocados antes de su fecha de vencimiento programada. La CP
establece los requisitos que posteriormente son implementados por la CPS. La PDS cubre
elementos críticos, como las garantías, limitaciones y obligaciones que vinculan
legalmente a cada parte.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 74/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
75. Un auditor de SI debería estar MÁS preocupado por qué aspecto de un 1/1
honeypot autorizado.
Comentarios
Explicación:
la opción C representa el riesgo organizativo de que el señuelo se pueda utilizar como
punto de acceso para lanzar más ataques a los sistemas de la empresa. Las opciones A y
B son propósitos para implementar un honeypot, no una preocupación. La opción D, el
riesgo de que el honeypot esté sujeto a un ataque distribuido de denegación de servicio
(DDoS), no es relevante, ya que el honeypot no es un dispositivo crítico para brindar el
servicio.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 75/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
76. ¿Cuál de los siguientes limita MEJOR a los usuarios a las funciones 1/1
necesarias para realizar sus tareas?
B. Cifrado de datos
Comentarios
Explicación:
El uso de programas de control de acceso a nivel de aplicación es un control de gestión
que restringe el acceso limitando a los usuarios a solo aquellas funciones necesarias para
realizar sus tareas. El cifrado de datos y la desactivación de unidades de disquete pueden
restringir a los usuarios a funciones específicas, pero no son las mejores opciones. Un
dispositivo de monitoreo de red es un control de detección, no un control preventivo.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 76/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
77. ¿Cuál de los siguientes satisface una autenticación de usuario de dos 1/1
factores?
Comentarios
Explicación:
una tarjeta inteligente indica lo que tiene el usuario. Esto generalmente se usa junto con
probar lo que el usuario sabe, por ejemplo, una contraseña de teclado o un número de
identificación personal (PIN). Probar quién es el usuario generalmente requiere un método
biométrico, como huellas dactilares, escaneo de iris o verificación de voz, para probar la
biología. Esta no es una autenticación de usuario de dos factores, porque solo prueba
quién es el usuario. Un receptor de sistema de posicionamiento global (GPS) informa
sobre dónde se encuentra el usuario. El uso de una identificación y contraseña (lo que el
usuario sabe) es una autenticación de usuario de un solo factor.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 77/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. Conciencia de seguridad
C. Comité de seguridad
Comentarios
Explicación:
Para conservar una ventaja competitiva y cumplir con los requisitos comerciales básicos,
las organizaciones deben garantizar que la integridad de la información almacenada en
sus sistemas informáticos preserve la confidencialidad de los datos confidenciales y
garantice la disponibilidad continua de sus sistemas de información. Para cumplir con
estos objetivos, se deben implementar controles de acceso lógico. La conciencia (opción
A) en sí misma no protege contra el acceso no autorizado o la divulgación de información.
El conocimiento de una política de seguridad de los sistemas de información (opción B),
que deberían conocer los empleados de la organización, ayudaría a proteger la
información, pero no evitaría el acceso no autorizado a la información. Un comité de
seguridad (opción C) es clave para la protección de los activos de información, pero
abordaría los problemas de seguridad desde una perspectiva más amplia.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 78/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
79. ¿Cuál de las siguientes funciones realiza una red privada virtual 1/1
(VPN)?
Comentarios
Explicación:
una VPN oculta información a los rastreadores en la red mediante cifrado. Funciona a
base de tunelización. Una VPN no analiza paquetes de información y, por lo tanto, no
puede aplicar políticas de seguridad; no verifica el contenido de los paquetes y, por lo
tanto, no puede detectar mal uso o errores; y
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 79/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. Denegación de servicio
B. Man-in-the-middle
C. Registro de claves
D. Fuerza bruta
Comentarios
Explicación:
un ataque de man-in-the-middle es similar a piggybacking, en el que el atacante finge ser
el destino legítimo y luego simplemente retransmite lo que sea enviado por el autorizado.
usuario junto con transacciones adicionales después de que se haya aceptado la
autenticación. Un ataque de denegación de servicio no tiene relación con la autenticación.
El registro de claves y la fuerza bruta podrían eludir una autenticación normal, pero no una
autenticación de dos factores.
C. Se usa con frecuencia para otorgar acceso desde una red no confiable a un
sistema externo.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 80/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
C. Se utiliza con frecuencia para conceder acceso desde una red de confianza a un
sistema externo.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 81/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 82/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 83/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
B Las cuentas de usuario se crean según el rol definido (privilegio mínimo) con
fechas de vencimiento.
(89) El principal riesgo por falta de un proceso de autorización para los 0/1
usuarios de una aplicación sería:
Respuesta correcta
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 84/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
(90) El auditor de SI está revisando los controles físicos del centro de 0/1
datos. Para el acceso de visitantes al centro de datos, el control más
efectivo que debe recomendar es que:
Respuesta correcta
C. tanto la clave utilizada para cifrar como descifrar los datos son públicas.
D. tanto la clave utilizada para cifrar como descifrar los datos son privadas.
Respuesta correcta
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 85/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. hash del mensaje que se va a cifrar con la clave privada del remitente y el
descifrado se realiza con la clave pública del remitente.
B. hash del mensaje que se va a cifrar con la clave pública del remitente y el
descifrado se realiza con la clave privada del remitente.
C. hash del mensaje que se va a cifrar con la clave privada del receptor y el
descifrado se realiza con la clave pública del receptor.
D. hash del mensaje que se va a cifrar con la clave pública del receptor y el
descifrado se realiza con la clave privada del receptor.
A. hash del mensaje que se va a cifrar con la clave privada del remitente y el
descifrado se realiza con la clave pública del remitente.
B. hash del mensaje que se va a cifrar con la clave pública del remitente y el
descifrado se realiza con la clave privada del remitente.
C. hash del mensaje que se va a cifrar con la clave privada del receptor y el
descifrado se realiza con la clave pública del receptor.
D. hash del mensaje que se va a cifrar con la clave pública del receptor y el
descifrado se realiza con la clave privada del receptor.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 86/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. Cifrar el hash del mensaje con la clave privada del remitente y luego cifrar el
mensaje con la clave pública del receptor.
B. Cifrar el hash del mensaje con la clave privada del remitente y luego cifrar el
mensaje con la clave privada del receptor.
C. Cifrar el hash del mensaje con la clave pública del receptor y luego cifrar el
mensaje con la clave privada del remitente.
D. Cifrar el hash del mensaje con la clave pública del receptor y, posteriormente,
cifrar el mensaje con la clave pública del remitente.
B. la clave pública del remitente y el cifrado del mensaje utilizando la clave privada
del receptor.
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 87/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
C. Evaluación de amenazas
C. Custodio de datos
D. administrador de seguridad
Respuesta correcta
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 88/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
B. custodio de datos
D. administrador de seguridad
Respuesta correcta
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 89/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
A. propietarios de datos
B ingeniero de sistemas
C. oficial de seguridad
D. bibliotecarios
Opción 1
Google no creó ni aprobó este contenido. - Condiciones del Servicio - Política de Privacidad
Formularios
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 90/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 91/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 92/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 93/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 94/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 95/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 96/97
27/6/23, 11:47 CISA Practise Questions (Domain 5 - 100 Questions)
https://docs.google.com/forms/d/e/1FAIpQLSe4GhVjm1zZHgiNJb6YTDrhNzedr5_exF4k3CshvW41YelpXw/viewscore?viewscore=AE0zAgCgwUEQ… 97/97