200+ Preguntas Gratis: ISACA CISM

CISM Gestión de Seguridad de la Información en Español — Practica gratis, sin registro.

✓ Sin registro✓ Sin costo✓ Con explicaciones✓ Asistente con IA

200+ Preguntas

100% Gratis

Internacional

Pregunta 1 de 2000/0 correctas (0%)

Pregunta 1

Fácil

¿Cuál es el objetivo principal del gobierno de seguridad de la información en una organización?

Preguntas de Ejemplo: ISACA CISM

Prueba estas preguntas de ejemplo para evaluar tu preparación para el ISACA CISM. Cada pregunta incluye una explicación detallada. Inicia el quiz interactivo arriba para acceder a las 200+ preguntas con tutor de IA.

1¿Cuál es el objetivo principal del gobierno de seguridad de la información en una organización?

A.Alinear la seguridad con los objetivos del negocio y la dirección del riesgo

B.Administrar directamente todos los servidores corporativos

C.Eliminar la necesidad de auditorías internas

D.Delegar todas las decisiones de seguridad a proveedores

Explicación: El gobierno de seguridad existe para asegurar que la seguridad apoye la estrategia del negocio y trate el riesgo dentro del apetito aprobado. No se limita a operaciones técnicas ni transfiere la responsabilidad final fuera de la organización.

2¿Quién debe aprobar en última instancia la política corporativa de seguridad de la información?

A.El equipo de mesa de ayuda

B.El directorio o la alta dirección designada

C.Los usuarios finales de cada área

D.El proveedor principal de tecnología

Explicación: La política corporativa marca la dirección formal de la organización, por lo que debe contar con aprobación al nivel adecuado de liderazgo. Eso le da autoridad, respaldo y alineación con prioridades empresariales.

3¿Qué indicador suele aportar más valor al comité directivo para supervisar la seguridad de la información?

A.Cantidad de parches aplicados esta semana

B.Tendencia de riesgos clave frente al apetito aprobado

C.Número de cambios de contraseña del mes

D.Cantidad de correos bloqueados por spam

Explicación: La alta dirección necesita visibilidad sobre exposición, tendencia y decisiones, no solo métricas operativas aisladas. Relacionar los riesgos con el apetito aprobado permite supervisión real y priorización ejecutiva.

4Tras una fusión, cada unidad mantiene políticas distintas y criterios de excepción contradictorios. ¿Cuál debe ser la PRIMERA acción del responsable de seguridad?

A.Definir una estructura común de gobierno, roles y derechos de decisión

B.Reemplazar de inmediato todas las herramientas de seguridad

C.Iniciar un análisis forense de todos los sistemas heredados

D.Suspender todas las excepciones existentes sin revisión

Explicación: Antes de estandarizar controles o herramientas, la organización necesita claridad sobre quién decide, quién aprueba excepciones y cómo se escalan riesgos. Sin una estructura común de gobierno, las acciones posteriores serán inconsistentes.

5¿Qué insumo debe guiar principalmente la estrategia de seguridad de la información?

A.Las preferencias técnicas del equipo de infraestructura

B.Los objetivos del negocio y el apetito de riesgo

C.Las funciones incluidas en la herramienta más reciente

D.Las prácticas de otras empresas sin análisis interno

Explicación: La estrategia de seguridad debe partir de lo que la organización intenta lograr y del nivel de riesgo que está dispuesta a aceptar. Las decisiones técnicas deben derivarse de ese marco, no sustituirlo.

6¿Qué práctica demuestra mejor que el gobierno de seguridad está funcionando de manera efectiva?

A.Un reporte periódico al comité con riesgos, excepciones y responsables de acción

B.Un inventario mensual de impresoras por ubicación

C.Un listado de vacaciones del personal de TI

D.Una única prueba de penetración sin seguimiento

Explicación: El gobierno efectivo requiere supervisión continua, rendición de cuentas y seguimiento de decisiones. Un reporte ejecutivo con excepciones, acciones y dueños demuestra que existe control y trazabilidad.

7La organización terceriza una operación crítica. ¿Qué elemento de gobierno debe conservar internamente como prioridad?

A.La responsabilidad y supervisión continua del riesgo y del cumplimiento del servicio

B.La propiedad legal del código fuente del proveedor

C.La ejecución diaria de todas las tareas operativas

D.La negociación de descuentos de hardware

Explicación: Externalizar un servicio no externaliza la responsabilidad sobre el riesgo, el cumplimiento ni los resultados esperados. La organización debe mantener supervisión, métricas, escalamiento y control sobre obligaciones contractuales.

8Una unidad de negocio quiere apartarse de un estándar corporativo alegando urgencia comercial. ¿Cuál es la respuesta de gobierno más adecuada?

A.Permitir la desviación sin documentación para no retrasar el negocio

B.Negar automáticamente cualquier excepción para todas las áreas

C.Aplicar un proceso formal de excepción con evaluación de riesgo y aprobación adecuada

D.Pedir al proveedor que decida si el riesgo es aceptable

Explicación: El gobierno maduro no bloquea por reflejo ni aprueba sin control; exige un proceso transparente para evaluar impacto, duración y controles compensatorios. Así se conserva consistencia sin ignorar necesidades legítimas del negocio.

9Se anuncia un nuevo requisito regulatorio que afectará el manejo de datos. Desde el punto de vista de gobierno, ¿qué debe hacerse primero?

A.Comprar de inmediato una nueva herramienta de cumplimiento

B.Suspender todo procesamiento de datos hasta nuevo aviso

C.Evaluar el impacto, asignar responsables y decidir los cambios de política y control necesarios

D.Esperar a la próxima auditoría externa para recibir instrucciones

Explicación: El primer paso de gobierno es entender cómo el nuevo requisito afecta objetivos, procesos, controles y responsabilidades. Solo después tiene sentido decidir inversiones, cambios normativos y plazos de implementación.

10¿Qué describe mejor el riesgo residual?

A.El riesgo identificado antes de aplicar cualquier control

B.El riesgo que permanece después de aplicar controles y respuestas

C.El riesgo que se elimina por completo con una póliza de seguro

D.El riesgo que solo existe en proyectos futuros

Explicación: El riesgo residual es la exposición que todavía queda una vez implementados los controles previstos. Es ese riesgo remanente el que debe compararse con el apetito y, si corresponde, aceptarse formalmente.

Estadísticas 2026

Datos Clave: ISACA CISM

150

Preguntas

240 min

Duración

450/800

Puntaje para aprobar

US$575/760

Tarifa 2026

Prepárate gratis para CISM en español 2026 con 200 preguntas prácticas. Estudia gobierno de seguridad (17%), gestión de riesgos (20%), programa de seguridad (33%) y gestión de incidentes (30%) para el examen de ISACA.

Sobre el Examen ISACA CISM

Preparación 2026 para el examen ISACA CISM (Certified Information Security Manager). Incluye 200 preguntas en español sobre gobierno de seguridad, gestión de riesgos, programas de seguridad de la información y gestión de incidentes.

Preguntas

150 preguntas de opción múltiple.

Duración

4 horas (240 minutos).

Aprobación

450/800 en la escala de puntuación de ISACA.

Costo

US$575 para miembros de ISACA y US$760 para no miembros (tarifas 2026). (ISACA, con administración del examen a través de PSI en centros autorizados o con supervisión remota.)

Temario del ISACA CISM

17%

Gobierno de Seguridad de la Información

Cubre cultura organizacional, requisitos legales y contractuales, estructuras de gobierno, estrategia de seguridad, marcos de gobierno y planificación estratégica.

20%

Gestión de Riesgos de Seguridad de la Información

Evalúa identificación y análisis de amenazas, vulnerabilidades y deficiencias de control, así como opciones de tratamiento, monitoreo y reporte del riesgo.

33%

Programa de Seguridad de la Información

Es la sección con mayor peso e incluye recursos del programa, clasificación de activos, políticas, métricas, diseño e implementación de controles, capacitación y gestión de terceros.

30%

Gestión de Incidentes

Se centra en preparación, clasificación, investigación, contención, comunicaciones, recuperación y revisión posterior a incidentes, alineado con BIA, BCP y DRP.

Cómo Aprobar el ISACA CISM

Lo que debes saber

Aprobación: 450/800 en la escala de puntuación de ISACA.
Preguntas: 150 preguntas de opción múltiple.
Tiempo: 4 horas (240 minutos).
Costo: US$575 para miembros de ISACA y US$760 para no miembros (tarifas 2026).

Claves para aprobar

Completa todas las preguntas de práctica disponibles
Obtén 80%+ consistentemente antes de presentar
Enfócate en las secciones con mayor peso
Usa nuestro asistente con IA para conceptos difíciles

Consejos de Estudio para el ISACA CISM

1Prioriza el Dominio 3, porque el programa de seguridad de la información representa el 33% del examen y suele integrar controles, métricas, terceros y comunicaciones ejecutivas.

2Practica preguntas situacionales con enfoque de gestión: en CISM suele importar más la decisión de gobierno, riesgo o priorización que el detalle técnico aislado.

3Relaciona incidentes, continuidad y recuperación. ISACA espera que puedas conectar plan de respuesta, BIA, BCP, DRP, escalamiento y lecciones aprendidas.

4Estudia marcos y principios que un gerente de seguridad usa para alinear seguridad con negocio, cumplimiento, apetito de riesgo y responsabilidades organizacionales.

Preguntas Frecuentes sobre el ISACA CISM

¿Quién administra el examen CISM?

La credencial pertenece a ISACA y el examen se administra mediante PSI, ya sea en centros autorizados o con supervisión remota, según disponibilidad.

¿Cuántas preguntas y cuánto tiempo tiene el examen CISM?

El formato vigente en 2026 usa 150 preguntas de opción múltiple y un límite de 4 horas, es decir, 240 minutos.

¿Cuál es la puntuación mínima para aprobar?

ISACA informa los resultados en una escala de 200 a 800 y exige 450 o más para aprobar.

¿Hay cambios anunciados para 2026?

Sí. ISACA indica que el CISM Exam Content Outline se actualizará con efecto el 3 de noviembre de 2026 y que los materiales actualizados estarán disponibles en septiembre de 2026. Mientras tanto, el esquema vigente sigue siendo el de cuatro dominios con pesos 17%, 20%, 33% y 30%.