Preguntas de entrevista de CISM
Management-focused governance, risk and security-programme certification.
Un auditor pide pruebas de que las revisiones de accesos se realizan cada trimestre. ¿Qué le proporcionas?
Los auditores comprueban evidencias, no intenciones: muestra la política de revisión de accesos, los registros fechados de cada revisión con la firma de un aprobador y la confirmación de que los accesos señalados se revocaron y verificaron. Una confirmación verbal no prueba nada reproducible, una promesa de empezar el próximo trimestre demuestra que el control no operó durante el periodo auditado, y un organigrama describe líneas jerárquicas, no decisiones de acceso. Solo los artefactos fechados y atribuibles demuestran que el control operó según lo diseñado durante todo el periodo.
La dirección dice: «Tenemos copias de seguridad, así que estamos cubiertos para la recuperación ante desastres.» ¿Qué aclaras?
Las copias de seguridad son necesarias pero no suficientes: la recuperación ante desastres y la continuidad de negocio son la capacidad probada de restaurar las operaciones dentro de los objetivos acordados de tiempo y punto de recuperación (RTO/RPO), lo que exige un plan documentado, dependencias mapeadas, runbooks y restauraciones validadas, no solo la existencia de archivos de copia. Afirmar que son lo mismo confunde una copia de datos con una capacidad operativa. El DR no es solo contratar un seguro, que transfiere la pérdida financiera pero no restaura los sistemas. Y las copias no hacen innecesario un plan de DR: las copias no probadas fallan habitualmente cuando por fin se necesitan. La aclaración: el DR debe ejercitarse, no presumirse.
Un sistema pasa la lista de verificación de cumplimiento, pero ves una brecha de seguridad real. ¿Cuál es la postura correcta?
Los marcos fijan un mínimo y pueden cumplirse por completo mientras persiste un riesgo real, así que una lista de verificación superada no significa seguro: señala la brecha, evalúa su riesgo e impulsa su tratamiento, sea cual sea el estado de cumplimiento. Concluir que es seguro porque el cumplimiento pasó es una confusión peligrosa entre dos cosas distintas. Eliminar la brecha del informe es una tergiversación, e incluso fraude. Esperar al próximo ciclo de auditoría deja a sabiendas una exposición real abierta. La postura madura trata el cumplimiento como prueba de un suelo, no de un techo, y actúa sobre el riesgo que realmente puede verse.
Los equipos manejan los datos de forma inconsistente — unos sobreprotegen datos triviales, otros exponen datos sensibles. ¿Qué control fundamental ayuda?
Un manejo inconsistente suele significar que no hay una definición compartida de sensibilidad, así que el control fundamental es un esquema de clasificación de datos (p. ej., público/interno/confidencial/restringido) con requisitos definidos de manejo, almacenamiento y compartición por nivel, que permite a los equipos aplicar controles proporcionados. No cifrar nada 'para simplificar' o tratar todos los datos como públicos despoja de protección a los datos que la necesitan. Borrar todos los datos de más de un día destruye registros que el negocio y la ley requieren. Solo un esquema de clasificación alinea la fuerza de los controles con la sensibilidad real de los datos.
Un empleado deja la empresa. ¿Cuál es el control relevante de GRC que hay que verificar?
El riesgo de una baja es el acceso que persiste, así que el control a verificar es el desaprovisionamiento puntual de cada vía de acceso —cuentas de directorio, SSO, VPN, credenciales privilegiadas y de servicio, y SaaS de terceros— conciliado con el proceso de alta/cambio/baja (JML). Suponer que RR. HH. lo gestiona todo sin verificar deja brechas sin propietario. Mantener la cuenta activa 'por si vuelve' es un riesgo permanente y no supervisado. Desactivar solo el correo ignora los muchos otros sistemas que la persona aún podría alcanzar. La clave es verificar que el acceso se elimina real y completamente, no confiar en que así fue.
Quieres reducir el alcance de PCI DSS. ¿Cuál es el enfoque estándar?
El alcance de PCI DSS abarca los sistemas que almacenan, procesan o transmiten datos de titulares de tarjetas, más cualquier sistema conectado a ellos o capaz de afectarlos, así que una segmentación de red eficaz aísla el entorno de datos de tarjetas (CDE) y saca de alcance los sistemas ajenos, reduciendo coste, esfuerzo y riesgo. Cifrar todos los servidores no define una frontera y los sistemas conectados siguen en alcance; añadir cortafuegos por todas partes sin un objetivo no es segmentación si no restringe ni valida los flujos de datos; y dejar de leer en voz alta los números de tarjeta es higiene, no un control de alcance. La respuesta sistémica es controlar dónde viven los datos de tarjetas y qué puede alcanzarlos.
Un equipo identifica un nuevo riesgo. Como analista de GRC, ¿qué haces con él?
La gobernanza significa que el riesgo se captura y se gestiona, no se maneja de manera informal: regístralo en el registro de riesgos con la probabilidad y el impacto evaluados, asigna un propietario responsable, decide y documenta el tratamiento (mitigar, transferir, aceptar o evitar) y fija una fecha de revisión. Resolverlo tú mismo en el momento se salta la propiedad, la priorización y el seguimiento, y puede que ni siquiera te corresponda. Ignorarlo hasta que se convierta en un incidente es negligente, y enviarlo por correo a todos genera ruido pero ninguna responsabilidad ni seguimiento. El registro convierte una observación puntual en una decisión rastreada, con propietario y revisada.
Un proveedor te envía un informe SOC 2. ¿Qué deberías comprobar en realidad?
Un informe SOC 2 solo te aporta garantía si lo lees de verdad: confirma que es del tipo correcto (el Tipo II prueba la eficacia operativa a lo largo del tiempo, el Tipo I solo el diseño en un momento), revisa el alcance y qué criterios de servicios de confianza cubre, que el periodo es actual y no tiene huecos, qué opinión emitió el auditor (sin salvedades o con salvedades) y examina las excepciones señaladas más los controles complementarios de la entidad usuaria (CUEC) que te corresponden. Limitarse a confirmar que el informe existe —o juzgarlo por el logo de la portada o el número de páginas— no dice nada sobre la eficacia real de los controles del proveedor ni sobre tus obligaciones residuales.
Una unidad de negocio quiere enviar datos personales de clientes a un nuevo proveedor SaaS la semana que viene. ¿Qué exige primero el arquitecto?
Enviar datos personales a un tercero extiende tu frontera de confianza, así que primero realiza una evaluación de seguridad del proveedor — tratamiento de datos, cifrado, controles de acceso, certificaciones como SOC 2 / ISO 27001, subencargados, condiciones de notificación de brechas — y firma un acuerdo de tratamiento de datos (DPA) antes de cualquier transferencia. Un contrato de precio o la palabra verbal de un comercial no es diligencia debida. Y un «sitio web pulido» no dice nada sobre cómo protege realmente los datos el proveedor; tú sigues siendo responsable.
El consejo pregunta: «¿Estamos seguros?» ¿Cómo debería responder un CISO?
«Seguro» no es binario; un CISO comunica en el lenguaje del riesgo de negocio: los riesgos más relevantes, cómo los controles actuales los reducen frente al apetito de riesgo del consejo, las inversiones previstas y el riesgo residual que se acepta. Un «sí» absoluto es una falsa garantía que se derrumba en cuanto ocurre un incidente. «No, nunca estaremos seguros» es técnicamente cierto pero inútil y delata falta de control del problema. Una lista de cortafuegos y herramientas refleja gasto, no riesgo ni resultados que el consejo pueda gobernar.
Confirma una brecha que expone datos personales de clientes, y el área legal duda en divulgarla. ¿Qué impulsa el CISO?
La gestión de una brecha se rige por la ley y el contrato: trabajar con el área legal para cumplir los plazos de notificación obligatorios (como las 72 horas del RGPD ante la autoridad de control) e informar a las personas afectadas con exactitud. El ocultamiento expone a multas mucho mayores, sanciones y daño reputacional cuando sale a la luz. Difundir prematuramente detalles técnicos en bruto y sin verificar puede confundir a los clientes y ayudar a los atacantes. Culpar públicamente a un empleado no es exacto, ni legal, ni una gestión de crisis eficaz.
El consejo quiere «métricas» de seguridad. ¿Cuál es la más significativa para reportar?
Las métricas de nivel de consejo deben conectarse con el riesgo y los resultados: tiempos de detección y respuesta (MTTD/MTTR), cumplimiento de SLA de parcheo en sistemas críticos, cobertura de controles y cómo evoluciona el riesgo residual frente al apetito. El número de ataques bloqueados por el cortafuegos, el recuento de firmas de antivirus y el total de correos recibidos son cifras vanidosas — impresionan pero no dicen nada sobre si el riesgo baja. El consejo gobierna el riesgo, así que las métricas deben dejarle ver la tendencia y decidir.
Una simulación de phishing muestra que el 30 % del personal hizo clic en el enlace. ¿Cuál es la respuesta constructiva?
Un 30 % de clics es una línea base que mejorar, no una lista de personas a castigar: combinar formación dirigida por rol y un botón de reporte sin fricción con defensas técnicas (MFA, filtrado de correo, mínimo privilegio) para que un solo clic no derive en compromiso, y seguir la tendencia en el tiempo. Avergonzar públicamente a los empleados suprime el reporte del que dependes. Declarar al personal irrecuperable elimina un control que deberías reforzar. Otro correo alarmista a toda la plantilla no es una intervención medible ni cambia el comportamiento.
Con un presupuesto limitado, ¿cómo debería decidir un CISO qué financiar?
El gasto en seguridad debe seguir al riesgo, no a la moda: usar una evaluación de riesgos para dirigir el dinero donde el impacto al negocio y la probabilidad son más altos y la cobertura de controles actual es más débil, y luego medir la reducción lograda. Comprar lo que vende el proveedor popular ignora tu perfil de amenaza real y a menudo financia herramientas sin usar. Repartir el presupuesto por igual infrafinancia las pocas áreas que más importan. Copiar a los competidores asume que su perfil de riesgo es igual al tuyo, lo cual rara vez ocurre.
¿Por qué un CISO debería realizar ejercicios de simulación de respuesta a incidentes ANTES de un incidente?
Las simulaciones ensayan el lado humano y de decisión de la RI — quién tiene autoridad para declarar un incidente, cómo fluye la comunicación legal/RR. PP./dirección y dónde se rompe el manual — para que la primera vez que tomes esas decisiones no sea durante una crisis real. Es mucho más barato encontrar brechas en un ejercicio que en plena brecha. No son una casilla de cumplimiento vacía, no sirven para asignar culpas por incidentes pasados, y son transversales, no solo del SOC — la dirección debe practicar las decisiones que solo ella puede tomar.
Un sistema heredado no se puede parchear, y el negocio no financiará su reemplazo este año. ¿Cuál es la acción correcta del CISO?
Cuando no puedes remediar, gestionas el riesgo: reducir la exposición con controles compensatorios (segmentación de red, restricción de accesos, monitorización reforzada), cuantificar el riesgo residual y lograr que el propietario de negocio responsable lo acepte formalmente con una fecha de revisión definida. Un apagado unilateral excede la autoridad del CISO y daña al negocio. Ignorarlo porque no se puede arreglar es negligencia. Omitirlo del registro de riesgos oculta la responsabilidad, rompe el rastro de auditoría y significa que nadie consta como dueño de la decisión.
Un proveedor SaaS clave anuncia una brecha que podría incluir tus datos. ¿Cuáles son los primeros movimientos del CISO?
La brecha de un proveedor también es tu incidente: invocar la respuesta a incidentes para acotar qué datos e integraciones quedaron expuestos, rotar todos los secretos compartidos, claves API y relaciones de confianza SSO, evaluar tus propias obligaciones de notificación regulatoria y exigir al proveedor su divulgación. Esperar pasivamente al proveedor cede el control de tu propio calendario y obligaciones. Una rescisión pública del contrato es teatro prematuro antes de conocer siquiera tu exposición. Asumir que no te afectó omite precisamente la evaluación que esperan los reguladores y tus clientes.
¿Qué es el NIST AI Risk Management Framework y cómo estructura la gobernanza de la IA?
El NIST AI Risk Management Framework (AI RMF 1.0) es un marco voluntario y basado en el riesgo para gobernar una IA confiable a lo largo de su ciclo de vida. Su núcleo son cuatro funciones: Govern (cultura, política, rendición de cuentas, y atraviesa las demás), Map (contexto e identificación de riesgos), Measure (evaluar y seguir riesgos) y Manage (priorizar y responder). También define características de confiabilidad: válida y fiable, segura, segura y resiliente, responsable y transparente, explicable, con privacidad mejorada y justa. Complementa listas técnicas como el OWASP LLM Top 10 a nivel de programa.
Explica el BCP frente al DRP, y define el RTO y el RPO.
La continuidad del negocio (BCP) es la estrategia amplia para mantener las funciones críticas del negocio operando durante y después de una interrupción; la recuperación ante desastres (DRP) es el subconjunto centrado en TI que restaura sistemas y datos. El RTO es el tiempo máximo tolerable para restaurar una función; el RPO es la pérdida de datos máxima tolerable medida en tiempo.
Explica la due care frente a la due diligence y da un ejemplo de cada una.
La due diligence es la investigación y comprensión continuas de los riesgos (saber qué se debe hacer), mientras que la due care consiste en tomar las acciones razonables que una persona prudente tomaría para abordarlos (hacerlo realmente). La diligence es investigación y supervisión; la care es implementación y mantenimiento.
Explícame el análisis de riesgo cuantitativo frente al cualitativo, y define ALE, SLE y ARO.
El análisis cuantitativo asigna valores monetarios concretos para calcular la pérdida esperada; el análisis cualitativo clasifica el riesgo en escalas relativas (alto/medio/bajo) mediante juicio experto. El cuantitativo usa SLE = valor del activo x factor de exposición, ARO = ocurrencias esperadas por año, y ALE = SLE x ARO para expresar la pérdida anual esperada en euros.
Tras una evaluación de riesgos, ¿cuáles son tus opciones para tratar un riesgo? Da un ejemplo de cada una.
Puedes mitigar (reducir probabilidad/impacto con controles), transferir (trasladar el impacto financiero mediante seguros o contratos), evitar (detener por completo la actividad arriesgada) o aceptar (tolerar a sabiendas el riesgo residual). La elección depende del apetito de riesgo y de una comparación coste-beneficio frente a la pérdida esperada del riesgo.
Explica las categorías de controles de seguridad y da ejemplos de cada una.
Los controles se clasifican de dos maneras. Por tipo: administrativo (políticas, formación, procedimientos), técnico/lógico (cortafuegos, MFA, cifrado) y físico (cerraduras, tarjetas, cámaras). Por función: preventivo (detener un evento — MFA, control de acceso), detectivo (descubrir un evento — SIEM, IDS, registros de auditoría), correctivo (reparar después — restaurar copia de seguridad, aplicar parche), disuasorio (desalentar — banners de advertencia) y compensatorio (una alternativa cuando el control principal no es viable). La defensa en profundidad superpone estos controles para que ningún fallo aislado lleve a un compromiso.
¿Cuáles son los principios fundamentales del GDPR y cuál es el plazo de notificación de brechas?
El artículo 5 del GDPR establece siete principios: licitud/lealtad/transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva. Ante una brecha de datos personales, el responsable del tratamiento debe notificar a la autoridad de control competente sin dilación indebida y, cuando sea posible, en un plazo de 72 horas tras tener conocimiento (artículo 33). Si la brecha probablemente entrañe un alto riesgo para las personas, el responsable también debe notificar a los interesados afectados sin dilación indebida (artículo 34).
¿En qué se diferencian la gobernanza, el riesgo y el cumplimiento, y cómo se relacionan?
La gobernanza es cómo la dirección fija el rumbo, define la rendición de cuentas y alinea la seguridad con los objetivos de negocio — las políticas, los roles y la supervisión que dicen cómo es «lo bueno». La gestión de riesgos es el proceso de identificar, evaluar, tratar y monitorizar las amenazas a esos objetivos. El cumplimiento consiste en demostrar la adhesión a las obligaciones — leyes, normativas, contratos y política interna. La gobernanza impulsa las decisiones de riesgo; el riesgo determina qué controles necesitas; el cumplimiento evidencia que esos controles satisfacen las normas exigidas. El cumplimiento es un resultado de una buena GRC, no un sustituto de la seguridad.
Explica los fundamentos de HIPAA: la PHI, las salvaguardas de la Security Rule y quién debe cumplir.
HIPAA (la ley estadounidense Health Insurance Portability and Accountability Act) protege la Protected Health Information (PHI). La Privacy Rule rige el uso y la divulgación de la PHI; la Security Rule se aplica a la PHI electrónica (ePHI) y exige tres categorías de salvaguardas — administrativas, físicas y técnicas. Se aplica a las covered entities (proveedores, planes de salud, cámaras de compensación) y a los business associates que manejan PHI en su nombre, vinculados por Business Associate Agreements. La Breach Notification Rule fija las obligaciones de notificar a las personas, al HHS y, a veces, a los medios.
¿Qué es un ISMS según ISO/IEC 27001, y qué papel desempeña el Anexo A?
ISO/IEC 27001 especifica los requisitos de un Information Security Management System (ISMS): un marco descendente y basado en el riesgo de políticas, procesos, roles y mejora continua (Plan-Do-Check-Act) que rige cómo una organización gestiona la seguridad de la información. El Anexo A es un catálogo de controles de referencia. No se aplican todos a ciegas — se realiza una evaluación de riesgos, se decide qué controles son necesarios y se documentan las decisiones de inclusión/exclusión con justificación en una Statement of Applicability (SoA).
Nombra y explica las funciones principales del NIST Cybersecurity Framework.
El NIST Cybersecurity Framework organiza los resultados de ciberseguridad en funciones principales. En el CSF 2.0 hay seis: Govern (la nueva función global para estrategia, roles, decisiones de riesgo y supervisión), Identify (comprender activos y riesgos), Protect (salvaguardas para limitar el impacto), Detect (descubrir eventos), Respond (actuar ante incidentes) y Recover (restaurar capacidades). No son estrictamente secuenciales — funcionan de forma continua y, en conjunto, describen un ciclo de vida completo de gestión del ciberriesgo.
Explica los fundamentos de PCI DSS: qué protege, a quién se aplica y la reducción de alcance.
PCI DSS (Payment Card Industry Data Security Standard) es una norma de seguridad mantenida por el PCI Security Standards Council que se aplica a cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. Se organiza en torno a objetivos de control que cubren una red segura, la protección de los datos almacenados, la gestión de vulnerabilidades, un control de acceso fuerte, la monitorización/pruebas y una política de seguridad de la información. El alcance es todo lo que está en el cardholder data environment (CDE) — por lo que la segmentación, la tokenización y no almacenar datos innecesarios son las principales formas de reducirlo.
¿Cómo diseñarías y medirías un programa de concienciación y formación en seguridad?
Trata la concienciación como un cambio de comportamiento, no como una casilla anual. Hazla basada en roles (un desarrollador necesita contenido distinto al de finanzas), continua en lugar de una presentación una vez al año, y anclada en riesgos reales como el phishing, la ingeniería social y el manejo de datos. Refuérzala con simulaciones de phishing, recordatorios en el momento oportuno y canales de notificación claros. Mide resultados — tasa de notificación de phishing, tasa de clics, tiempo hasta notificar — no solo los porcentajes de finalización. Construye una cultura en la que la gente notifique sus errores sin miedo, porque el miedo suprime la notificación.
Explica la diferencia entre los KPI y los KRI de seguridad, con ejemplos.
Un KPI (Key Performance Indicator) mide lo bien que rinde una actividad de seguridad frente a su objetivo — por ejemplo, el tiempo medio de detección, el cumplimiento del SLA de parcheo o el porcentaje de sistemas con MFA. Un KRI (Key Risk Indicator) es una señal prospectiva de que la exposición al riesgo aumenta hacia un nivel inaceptable, con un umbral que debería desencadenar una acción — por ejemplo, el número de parches críticos vencidos, el recuento de dispositivos no gestionados o las revisiones de acceso fallidas con tendencia al alza. Los KPI te dicen cómo lo estás haciendo; los KRI te advierten de hacia dónde te diriges.
Explica SOC 2 Tipo I vs Tipo II y los Trust Services Criteria.
Un informe SOC 2 Tipo I evalúa si los controles de una organización de servicios están diseñados adecuadamente en un único momento. Un informe Tipo II va más allá: prueba si esos controles operaron de forma eficaz durante un periodo de revisión, normalmente de 3 a 12 meses. Ambos se basan en los Trust Services Criteria de la AICPA — Seguridad (los criterios comunes obligatorios), más opcionalmente Disponibilidad, Integridad del procesamiento, Confidencialidad y Privacidad.
Explícame cómo evalúas y gestionas el riesgo de terceros (proveedores).
Trata el riesgo de proveedores como un ciclo de vida, no como un cuestionario puntual. Inventaría a tus terceros y clasifícalos por criticidad y sensibilidad de los datos. Ejecuta una due diligence proporcional al nivel — revisa informes SOC 2 / ISO 27001, cuestionarios de seguridad, resúmenes de pen-test, y los datos y accesos implicados. Incorpora controles al contrato (requisitos de seguridad, derecho de auditoría, notificación de brechas, tratamiento de datos, subprocesadores). Luego monitoriza de forma continua, no solo en el onboarding, y ten un proceso de offboarding limpio para revocar accesos y recuperar o destruir datos. El riesgo de cuarta parte (subprocesadores) también importa.
¿Cómo llevas a cabo una evaluación de riesgos?
Una evaluación de riesgos identifica los activos y su valor, las amenazas y vulnerabilidades que podrían afectarlos, y luego estima el riesgo como función de la probabilidad y el impacto. Puedes hacerla cualitativamente (alto/medio/bajo, rápido y subjetivo) o cuantitativamente (SLE × ARO = ALE, basado en datos pero más difícil). Marcos como NIST RMF e ISO 27005 le dan estructura, y el resultado alimenta el tratamiento del riesgo: mitigar, transferir, evitar o aceptar.
Consigue 100 preguntas de entrevista de ciberseguridad + respuestas
Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.
Sin spam. Cancela tu suscripción cuando quieras.