NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Sucesso no exame CISA: Testes de simulação e recursos de estudo, Auditor certificado de sistemas de informação | SPOTO

Bem-vindo ao SPOTO's CISA Exam Success: Testes Simulados & Recursos de Estudo para 2024! A certificação Certified Information Systems Auditor® (CISA®) é uma conquista de prestígio em auditoria, avaliação de sistemas de TI e metodologias de auditoria baseadas em risco. Os nossos recursos de estudo, juntamente com os testes de simulação, fornecem uma plataforma de preparação sólida para os aspirantes a profissionais CISA. Os testes de simulação oferecem várias vantagens, incluindo a simulação de condições reais de exame, a melhoria das capacidades de gestão do tempo e a identificação de lacunas de conhecimento para um estudo direcionado. Junte-se à SPOTO para aceder a materiais de exame de alta qualidade, exemplos de perguntas e testes práticos, garantindo uma abordagem confiante e bem-sucedida para obter a sua certificação CISA. Demonstre sua experiência e proficiência na aplicação de uma abordagem baseada em risco para compromissos de auditoria com a preparação para o exame CISA da SPOTO'

Faça outros exames online
Pergunta #1
O auditor de SI deve utilizar a amostragem estatística e não a amostragem por julgamento (não estatística), quando
A. A probabilidade de erro deve ser quantificada de forma objetiva
B. o auditor deseja evitar o risco de amostragem
C.
Ver resposta
Resposta correta: D
Pergunta #2
a análise de risco ________ nem sempre é possível porque o auditor de SI está a tentar calcular o risco utilizando ameaças não quantificáveis e perdas potenciais. Neste caso, uma avaliação de risco _________________ é mais apropriada. Preencha os espaços em branco.
A. Quantitativa; qualitativa
B. Qualitativa; quantitativa
C. Residual; subjectiva
D. Quantitativo; subjetivo
Ver resposta
Resposta correta: C
Pergunta #3
Quando é que os parceiros de aferição de desempenhos são identificados no âmbito do processo de aferição de desempenhos?
A. Na fase de projeto
B. Na fase de teste
C. Na fase de investigação
D. Em fase de desenvolvimento
Ver resposta
Resposta correta: A
Pergunta #4
O objetivo final da governação das TI é
A. incentivar uma utilização óptima das TI
B. reduzir os custos de TI
C. descentralizar os recursos de TI em toda a organização
D. centralizar o controlo das TI
Ver resposta
Resposta correta: D
Pergunta #5
A razão PRINCIPAL pela qual um auditor de SI efectua uma inspeção funcional durante a fase preliminar de um trabalho de auditoria é para:
A. compreender o processo comercial
B. Cumprir as normas de auditoria
C. identificar as deficiências de controlo
D. planear testes substantivos
Ver resposta
Resposta correta: A
Pergunta #6
Qual das seguintes opções é a MELHOR indicação de um processo eficaz de gestão de incidentes? A. Percentagem de incidentes em que a causa raiz foi identificada
A.
B.
C.
Ver resposta
Resposta correta: A
Pergunta #7
Qual é o objetivo mais comum da implementação de uma rede privada virtual?
A. Uma rede privada virtual (VPN) ajuda a proteger o acesso entre uma empresa e os seus parceiros quando comunicam através de um canal não seguro, como a Internet
B. Uma rede privada virtual (VPN) ajuda a proteger o acesso entre uma empresa e os seus parceiros quando comunicam através de uma ligação T1 dedicada
C. Uma rede privada virtual (VPN) ajuda a proteger o acesso dentro de uma empresa ao comunicar através de uma ligação T1 dedicada entre segmentos de rede dentro das mesmas instalações
D. Uma rede privada virtual (VPN) ajuda a proteger o acesso entre uma empresa e os seus parceiros quando comunicam através de uma ligação sem fios
Ver resposta
Resposta correta: C
Pergunta #8
Qual das seguintes opções deve ser o foco PRIMÁRIO de um auditor de SI ao desenvolver um programa de auditoria de SI baseado em risco?
A. Planos de actividades
B. Processos empresariais
C. D
D.
E.
Ver resposta
Resposta correta: A
Pergunta #9
Em qual dos seguintes tipos de ataque se está a confiar fortemente no erro humano?
A. Eavedropping
B. DoS
C. DDoS
D. ATP
E. Engenharia social
F. Nenhuma das opções
Ver resposta
Resposta correta: B
Pergunta #10
Devido ao tamanho crescente de uma base de dados, os tempos de acesso dos utilizadores e as cópias de segurança diárias continuam a aumentar. Qual das seguintes opções seria a MELHOR forma de resolver esta situação?
A. Modelação de dados
B. Visualização de dados
C. Extração de dados
D. Eliminação de dados
Ver resposta
Resposta correta: A
Pergunta #11
O carregamento de pacotes de software ilegais numa rede por um funcionário é detectado de forma mais eficaz por
A. estações de trabalho sem disco
B. verificação regular dos discos rígidosC
C.
Ver resposta
Resposta correta: A
Pergunta #12
O acesso à conta privilegiada é necessário para iniciar um trabalho em lote ad hoc. Qual das seguintes opções detectaria de forma mais eficaz a execução não autorizada de um trabalho?
A. Exigir a aprovação manual de um utilizador autorizado
B. Executar o trabalho através da autenticação de dois factores
C. Introdução aos procedimentos de pedido de execução de trabalhos
D. Reconciliar os registos de atividade dos utilizadores com as autorizações
Ver resposta
Resposta correta: A
Pergunta #13
A MELHOR razão para implementar uma rede privada virtual (VPN) é que ela:
A. Facilita a implementação da encriptação de dados
B. permite a utilização pública de redes privadas
C. permite a utilização de plataformas de hardware existentes
D. permite a utilização privada de redes públicas
Ver resposta
Resposta correta: A
Pergunta #14
A atenuação do risco e do impacto de uma catástrofe ou de uma interrupção de atividade tem normalmente prioridade sobre a transferência do risco para terceiros, como uma seguradora. Verdadeiro ou falso?
A. Verdadeiro
B. Falso
Ver resposta
Resposta correta: A
Pergunta #15
O teste de aceitação final de um novo sistema de aplicação deve ser da responsabilidade do:
A. Equipa de auditoria SI
B. grupo de utilizadores
C. Gestão de SI
D. Equipa de garantia de qualidade
Ver resposta
Resposta correta: B
Pergunta #16
Qual dos seguintes tipos de ataque funciona tirando partido das suposições não reforçadas e não verificadas que o sistema faz sobre as suas entradas?
A. vulnerabilidades de cadeias de formato
B. estouro de número inteiro
C. injeção de código
D. injeção de comandos
E. Nenhuma das opções
Ver resposta
Resposta correta: D
Pergunta #17
A segregação adequada de funções normalmente não proíbe que um administrador de LAN tenha também responsabilidades de programação. Verdadeiro ou falso?
A. Verdadeiro
B. Falso
Ver resposta
Resposta correta: B
Pergunta #18
Qual dos seguintes mecanismos de melhoria de processos envolve a análise das melhores práticas do sector?
A. Melhoria contínua
B. Gestão do conhecimento
C. Reengenharia de processos empresariais (RPN)
D. Avaliação comparativa
Ver resposta
Resposta correta: D
Pergunta #19
O objetivo de uma auditoria ao mainframe é garantir que os processos estão a ser implementados conforme necessário, que o mainframe está a funcionar como deve ser, que a segurança é sólida e que os procedimentos em vigor estão a funcionar e são actualizados conforme necessário. O auditor pode, por conseguinte, fazer recomendações de melhoria. Qual dos seguintes tipos de auditoria tem sempre prioridade sobre os outros? (Escolha cinco.)
A. Auditoria do sistema
B. Auditoria da aplicação
C. Auditoria de software
D. Auditoria de licenças
E. Auditoria do servidor de segurança
F. Nenhuma das opções
Ver resposta
Resposta correta: B
Pergunta #20
O que deve fazer um auditor de SI se verificar que não existem procedimentos de aprovação de projectos?
A. Aconselhar os quadros superiores a investir na formação em gestão de projectos para o pessoal
B. Criar procedimentos de aprovação de projectos para futuras implementações de projectos
C. Atribuir chefes de projeto
D. Recomendar à direção que sejam adoptados e documentados procedimentos formais de aprovação
Ver resposta
Resposta correta: D
Pergunta #21
Se um auditor de SI observar que um departamento de SI não utiliza metodologias, políticas e normas formais documentadas, o que é que o auditor deve fazer?
A. A falta de documentação informática não é normalmente relevante para os controlos testados numa auditoria informática
B. O auditor deve, pelo menos, documentar as normas e políticas informais
C. O auditor deve, pelo menos, documentar as normas e políticas informais e testar a sua conformidade
D. O auditor deve, pelo menos, documentar as normas e políticas informais e testar a sua conformidade
Ver resposta
Resposta correta: D
Pergunta #22
TODAS as linguagens de programação de computadores são vulneráveis a ataques de injeção de comandos. A. Verdadeiro
A.
Ver resposta
Resposta correta: C
Pergunta #23
Os riscos associados à recolha eletrónica de provas seriam muito provavelmente reduzidos por um correio eletrónico:
A. Política de destruição
B. política de segurança
C. política de arquivo
D. política de auditoria
Ver resposta
Resposta correta: A
Pergunta #24
Qual das seguintes opções ajudaria a determinar a maturidade de um programa de sensibilização para a segurança da informação?
A. Uma revisão dos resultados do teste de penetração anual
B. Uma avaliação da vulnerabilidade da rede
C. Um teste simulado de engenharia social
D. Uma avaliação das lacunas em relação a um modelo estabelecido
Ver resposta
Resposta correta: A
Pergunta #25
Relativamente à subcontratação de serviços de TI, qual das seguintes condições deve ser a maior preocupação para um auditor de SI? A. As actividades subcontratadas são essenciais e proporcionam uma vantagem diferenciada à organização.
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #26
Quando é que os testes de regressão são utilizados para determinar se as novas alterações à aplicação introduziram erros no código que permaneceu inalterado?
A. No desenvolvimento de programas e na gestão da mudança
B. Em estudos de viabilidade de programas
C. No desenvolvimento do programa
D. Na gestão da mudança
Ver resposta
Resposta correta: C
Pergunta #27
Qual das seguintes opções um auditor de SI deve recomendar para MELHOR reforçar o alinhamento de um portfólio de projectos de TI com as prioridades estratégicas da organização?
A. Definir um balanced scorecard (BSC) para medir o desempenho Considerar a satisfação do utilizador nos indicadores-chave de desempenho (KPI) Selecionar projectos de acordo com os benefícios e riscos comerciais
B.
Ver resposta
Resposta correta: A
Pergunta #28
Quais dos seguintes elementos são utilizados numa firewall para proteger os recursos internos da entidade? A. Restrições de endereços IP (Internet Protocol)
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #29
Em vez de se limitar a analisar a adequação do controlo de acesso, a adequação das políticas de acesso e a eficácia das salvaguardas e dos procedimentos, o auditor de SI está mais preocupado com a eficácia e a utilização dos activos. Verdadeiro ou falso?
A. Verdadeiro
B. Falso
Ver resposta
Resposta correta: B
Pergunta #30
Qual dos seguintes controlos detecta de forma MAIS eficaz os registos inconsistentes resultantes da falta de integridade referencial num sistema de gestão de bases de dados?
A. Controlos de acesso simultâneo
B. Cópias de segurança incrementais de dados
C. Ferramentas de monitorização do desempenho
D. Controlos periódicos das ligações entre tabelas
Ver resposta
Resposta correta: ABCD
Pergunta #31
O estouro de número inteiro ocorre principalmente com:
A. formatação de cadeias de caracteres B
B.
C.
D.
Ver resposta
Resposta correta: B
Pergunta #32
Depois de identificar potenciais vulnerabilidades de segurança, qual deve ser o próximo passo do auditor de SI?
A. Avaliar potenciais contramedidas e controlos compensatórios
B. Aplicar contramedidas e controlos compensatórios eficazes
C. Efetuar uma análise do impacto comercial das ameaças que poderiam explorar as vulnerabilidades
D. Informar imediatamente os quadros superiores sobre as conclusões
Ver resposta
Resposta correta: C
Pergunta #33
Qual dos seguintes tipos de firewall trata cada quadro ou pacote de rede isoladamente?
A. firewall de estado completo
B. firewall de hardware
C. firewall combinada
D. firewall de filtragem de pacotes
E. firewall sem estado
F. Nenhuma das opções
Ver resposta
Resposta correta: C
Pergunta #34
Qual das seguintes edições de validação de dados é eficaz na deteção de erros de transposição e transcrição?
A. Verificação do alcance
B. Dígito de controlo
C. Controlo de validade D
Ver resposta
Resposta correta: B
Pergunta #35
Ao planear uma auditoria, é aceitável que um auditor de SI se baseie no relatório de auditoria externa de um prestador de serviços terceiro sobre a gestão do nível de serviço quando este:
A. m relatório foi publicado nos últimos 12 meses
B. o âmbito e a metodologia cumprem os requisitos da auditoria
C. O prestador de serviços é certificado e acreditado de forma independente
D. relatório D
Ver resposta
Resposta correta: C
Pergunta #36
Qual deve ser o objetivo PRIMÁRIO da realização de entrevistas com gestores de unidades empresariais quando se desenvolve uma estratégia de segurança da informação?
A. Obter informações sobre os objectivos do departamento
B. Classificar os activos de informação
C. Identificar a propriedade dos dados e do sistema
D. Determinar os tipos de informação
Ver resposta
Resposta correta: A
Pergunta #37
Um auditor de SI está a realizar um trabalho de consultoria e precisa de fazer uma recomendação para proteger todas as portas de um centro de dados para impedir o acesso não autorizado. Qual das seguintes técnicas de controlo de acesso seria a MAIS difícil de comprometer por um intruso?
A. Porta de homem morto e cartão magnético
B. Cartão inteligente e teclado numérico
C. Token USB e palavra-passe
D. Biometria e PIN
Ver resposta
Resposta correta: D
Pergunta #38
Os instantâneos da base de dados podem constituir um excelente rasto de auditoria para um auditor de SI. Verdadeiro ou falso?
A. Verdadeiro
B. Falso
Ver resposta
Resposta correta: B
Pergunta #39
Qual das seguintes opções é a MELHOR altura para efetuar uma revisão pós-implementação (PIR)?
A. Após um ciclo completo de processamento
B. Imediatamente após a implantação
C. Coincidir com o ciclo anual do PIR
D. Seis semanas após o destacamento
Ver resposta
Resposta correta: A
Pergunta #40
Qual dos seguintes ataques é também conhecido como Time of Check (TOC)/Time of Use (TOU)?
A. Escutas telefónicas
B. Análise do tráfego
C. Mascaramento
D. Condição de corrida
Ver resposta
Resposta correta: C
Pergunta #41
Qual das seguintes situações um auditor de SI deve recomendar que seja feita PRIMEIRAMENTE após saber que a nova legislação de proteção de dados pode afetar a organização?
A. Implementar as melhores práticas de proteção de dados
B. Implementar uma nova base de segurança para atingir a conformidade
C. Restringir o acesso ao sistema para processos comerciais não conformes
D. Realizar uma análise das lacunas nas práticas de proteção de dados
Ver resposta
Resposta correta: A
Pergunta #42
A ILD&P baseada no anfitrião aborda principalmente a questão da: A. Integridade da informação
A.
B.
C.
D.
Ver resposta
Resposta correta: A
Pergunta #43
Em informática forense, qual das seguintes opções é o processo que permite a cópia bit a bit de um dado para evitar danos nos dados ou informações originais quando podem ser efectuadas várias análises?
A. Imagiologia
B. Extração
C. Proteção de dados
D. Aquisição de dados
Ver resposta
Resposta correta: C
Pergunta #44
Ao analisar o plano de curto prazo (tático) dos SI, o auditor deve determinar se
A. Existe uma integração do pessoal dos SI e das empresas nos projectos
B. Existe uma definição clara da missão e da visão da SI
C. Existe uma metodologia de planeamento estratégico das tecnologias da informação
D. O plano correlaciona os objectivos comerciais com as metas e objectivos dos SI
Ver resposta
Resposta correta: D
Pergunta #45
Qual das seguintes opções deve um auditor de SI utilizar para detetar registos de facturas duplicados num ficheiro mestre de facturas?
A. Amostragem por atributos
B. Software de auditoria generalizado (GAS)
C. Dados de ensaio
D. Instalação de ensaio integrada (ITF)
Ver resposta
Resposta correta: B
Pergunta #46
Uma organização está a executar servidores com aplicações empresariais críticas que se encontram numa área sujeita a falhas de energia frequentes, mas breves. O conhecimento de qual das seguintes opções permitiria à administração da organização monitorizar a adequação contínua da fonte de alimentação ininterrupta (UPS)?
A. Duração e intervalo dos cortes de eletricidade
B. Impacto comercial do tempo de inatividade do servidor
C. Número de servidores suportados pela UPSD
Ver resposta
Resposta correta: A
Pergunta #47
Qual das seguintes ferramentas MELHOR demonstra a eficácia do programa de segurança da informação?
A. Um quadro de controlo equilibrado da segurança
B. Inquéritos de satisfação dos gestores
C. Mapa de calor dos riscos
D. Indicadores-chave de risco (KRIs)
Ver resposta
Resposta correta: C
Pergunta #48
O desenvolvimento de uma política de segurança dos SI é, em última análise, da responsabilidade do: A. Departamento de SI.
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #49
Um sistema biométrico preciso apresenta normalmente (escolher dois):
A. EER baixo
B. baixo RCE
C. EER elevado D
D.
Ver resposta
Resposta correta: C
Pergunta #50
Para proteger a confidencialidade dos activos de informação, a prática de controlo MAIS eficaz é a seguinte
A. Formação de sensibilização do pessoal para os requisitos regulamentares
B. aplicação de uma filosofia de controlo de acesso do tipo "necessidade de conhecer"
C. Utilização de um mecanismo de autenticação de duplo fator
D. configuração do acesso só de leitura para todos os utilizadores
Ver resposta
Resposta correta: C
Pergunta #51
Quais dos seguintes elementos podem ser utilizados numa rede como ferramentas de vigilância e de alerta precoce de baixo custo?
A. Honeypots
B. IPSs de hardware
C. IDSs de hardware
D. Botnets
E. Firewalls de inspeção stateful
F. Recursos de registo com estado
G. Nenhuma das opções
Ver resposta
Resposta correta: B
Pergunta #52
O que devem os auditores SI verificar sempre quando auditam ficheiros de palavras-passe?
A. Que a eliminação de ficheiros com palavra-passe está protegida
B. Que os ficheiros de palavras-passe são encriptados
C. Que os ficheiros de palavras-passe não são acessíveis através da rede D
Ver resposta
Resposta correta: B
Pergunta #53
O sistema de reservas em linha de uma companhia aérea utiliza um script automático que verifica se as tarifas estão dentro do limite definido como razoável antes de serem apresentadas no sítio Web. Que tipo de controlo está em vigor?
A. Controlo de compensação
B. Controlo preventivo
C. Controlo de deteção
D. Controlo corretivo
Ver resposta
Resposta correta: A
Pergunta #54
Se um auditor de SI observar que os módulos individuais de um sistema funcionam corretamente nos testes do projeto de desenvolvimento, deve informar a administração dos resultados positivos e recomendar outras medidas: A. Desenvolvimento de documentação
A.
B.
C.
Ver resposta
Resposta correta: A
Pergunta #55
Em que fase do ciclo de vida do desenvolvimento de software é que uma organização deve ter em conta a privacidade da identidade?
A. Conceção
B. Ensaios
C. Desenvolvimento
D. Requisitos
Ver resposta
Resposta correta: C
Pergunta #56
Qual das seguintes tecnologias de firewall envolve examinar o cabeçalho de cada pacote de dados que trafega entre a Internet e a rede corporativa sem examinar os pacotes anteriores?
A. Servidores proxy
B. Anfitrião do bastião
C. Filtragem com estado
D. Filtragem sem estado
Ver resposta
Resposta correta: B
Pergunta #57
As hipóteses de sucesso de um cracker podem ser reduzidas por: (Escolha todos os que se aplicam.)
A. Manter os sistemas actualizados utilizando um scanner de segurança
B. contratar pessoas competentes responsáveis pela segurança para analisar e atualizar os seus sistemas
C.
D.
Ver resposta
Resposta correta: B
Pergunta #58
Um dos objectivos do encerramento do projeto é determinar o
A. riscos potenciais que afectam a qualidade dos resultados
B.
Ver resposta
Resposta correta: B
Pergunta #59
Qual dos seguintes é o passo mais fundamental na prevenção de ataques de vírus?
A. Adoção e comunicação de uma política antivírus abrangente
B. Implementação de software de proteção antivírus nos computadores de secretária dos utilizadores
C. Implementar a verificação de conteúdo antivírus em todos os gateways de rede para a Internet
D. Inoculação de sistemas com código antivírus
Ver resposta
Resposta correta: B
Pergunta #60
Qual dos seguintes termos é utilizado de forma mais geral para descrever as rotinas de ocultação num programa malicioso? A. Vírus
A.
B.
C.
D.
E.
F.
Ver resposta
Resposta correta: A
Pergunta #61
Qual das seguintes é a MELHOR forma de proteger a confidencialidade dos dados num smartphone empresarial?
A. Desativar as ligações públicas sem fios
B. Utilizar capacidades de limpeza remota de dados
C. Utilizar a encriptação
D. Alterar o PIN predefinido para ligações Bluetooth
Ver resposta
Resposta correta: D
Pergunta #62
Um corretor da bolsa aceita ordens através da Internet. Qual dos seguintes é o controlo MAIS adequado para garantir a confidencialidade das ordens?
A. Rede privada virtual
B. Encriptação de chave pública
C. Norma de encriptação de dados (DES)
D. Assinatura digital
Ver resposta
Resposta correta: A
Pergunta #63
Um auditor de SI descobre que uma equipa de administração de servidores aplica regularmente soluções alternativas para resolver falhas repetidas de serviços críticos de processamento de dados. Qual das seguintes opções MELHOR permitiria à organização resolver este problema?
A. Gestão do nível de serviço
B. Gestão da mudança
C. Gestão de problemas
D. Gestão de incidentes
Ver resposta
Resposta correta: B
Pergunta #64
Uma organização começou a utilizar as redes sociais para comunicar com clientes actuais e potenciais. Qual dos seguintes aspectos deve ser uma preocupação PRIMÁRIA para o auditor?
A. Utilizar um fornecedor terceiro para alojar e gerir conteúdos
B. Falta de orientações sobre a utilização e o controlo adequados das redes sociais
C. Mensagens negativas de clientes que afectam a imagem da organização
D.
E.
Ver resposta
Resposta correta: A
Pergunta #65
Qual das seguintes opções é o MELHOR controlo de deteção para um processo de programação de tarefas que envolve a transmissão de dados?
A. As métricas que indicam o volume de falhas de trabalho mensais são comunicadas e analisadas pela direção
B. Os alertas de falha de trabalho são gerados automaticamente e encaminhados para o pessoal de suporte
C. Os trabalhos são programados e é conservado um registo desta atividade para revisão posterior
D. As tarefas são programadas para serem concluídas diariamente e os dados são transmitidos utilizando um protocolo de transferência de ficheiros (FTP) seguro
Ver resposta
Resposta correta: A
Pergunta #66
Qual das seguintes é a diferença MAIS importante entre as aplicações de computação para o utilizador final (EUC) e as aplicações tradicionais?
A. A documentação tradicional da aplicação é normalmente menos abrangente do que a documentação da aplicação EUC
B. As aplicações tradicionais requerem procedimentos de reversão, ao passo que as aplicações EUC não
C. As aplicações tradicionais requerem a aplicação periódica de patches, ao passo que as aplicações EUC não
D. Os controlos tradicionais de entrada de aplicações são normalmente mais robustos do que os controlos de entrada de aplicações EUC
Ver resposta
Resposta correta: A
Pergunta #67
O que é MAIS importante quando se contrata uma entidade externa para efetuar um teste de penetração?
A. Obter a aprovação da direção de TI
B. Definir o âmbito do projeto
C. Aumentar a frequência das revisões dos registos
D. Fornecer documentação da rede
Ver resposta
Resposta correta: B
Pergunta #68
Uma vantagem de uma abordagem de auditoria contínua é que pode melhorar a segurança do sistema quando utilizada em ambientes de partilha de tempo que processam um grande número de transacções. Verdadeiro ou falso?
A. Verdadeiro
B. Falso
Ver resposta
Resposta correta: B
Pergunta #69
Qual das seguintes é a forma MAIS eficaz de reduzir os riscos para uma organização decorrentes da utilização generalizada de tecnologias de comunicação baseadas na Web?
A. Publicar uma política a nível de toda a empresa que defina a aceitação da utilização de tecnologias de comunicação baseadas na Web
B. Incorporar a formação de sensibilização para os riscos das comunicações baseadas na Web no programa de segurança informática
C. Controlar a utilização pelo pessoal das comunicações através da Internet e notificar o departamento de segurança informática das infracções
D. Bloquear o acesso dos dispositivos dos utilizadores a páginas não autorizadas que permitam a comunicação baseada na Web
Ver resposta
Resposta correta: B
Pergunta #70
Qual dos seguintes é o risco MAIS significativo quando uma aplicação utiliza contas de utilizador final individuais para aceder à base de dados subjacente?
A. As contas de utilizador podem permanecer activas após a cessação da atividade
B. São utilizadas várias ligações à base de dados, o que torna o processo mais lento
C. A aplicação pode não capturar uma pista de auditoria completa
D. Os utilizadores podem ser capazes de contornar os controlos da aplicação
Ver resposta
Resposta correta: A
Pergunta #71
Qual das seguintes opções é MAIS importante incluir no plano de resposta a incidentes de uma organização para ajudar a evitar a ocorrência de incidentes semelhantes no futuro?
A. Documentação dos pormenores do incidente
B. Procedimentos de encerramento de incidentes
C. Acções de contenção e neutralização
D. Revisão pós-incidente
Ver resposta
Resposta correta: D
Pergunta #72
Qual dos seguintes factores é o MAIS importante para determinar a frequência da reavaliação dos riscos de segurança da informação?
A. Constatações de auditoria
B. Prioridade do risco
C. Controlos atenuantes
D. Métricas de risco
Ver resposta
Resposta correta: C
Pergunta #73
Qual das seguintes opções permitirá que um cliente autentique um vendedor online da Internet?
A. O fornecedor assina uma resposta utilizando uma função de hash e a chave pública do cliente
B. O cliente encripta uma encomenda utilizando a chave pública do vendedor
C. O cliente verifica o certificado do fornecedor com uma autoridade de certificação (CA)
D. O fornecedor decifra as encomendas recebidas utilizando a sua própria chave privada
Ver resposta
Resposta correta: B
Pergunta #74
Numa organização, as responsabilidades pela segurança das TI são claramente atribuídas e aplicadas e é efectuada de forma consistente uma análise do risco e do impacto da segurança das TI. Isto representa que nível de classificação no modelo de maturidade da governação da segurança da informação?
A. Optimizado
B. Gerido
C. Definido
D. Repetível
Ver resposta
Resposta correta: A
Pergunta #75
Existem vários tipos de testes de penetração, consoante o âmbito, o objetivo e a natureza do teste. Qual das seguintes opções descreve um teste de penetração em que se atacam e tentam contornar os controlos da rede visada a partir do exterior, normalmente da Internet?
A. Ensaios externos
B. Testes internos
C. Ensaio cego
D. Testes direccionados
Ver resposta
Resposta correta: B
Pergunta #76
A zona desmilitarizada (DMZ) é a parte de uma rede onde estão colocados os servidores:
A. executar aplicações internas do departamento
B. executar aplicações não Web de missão crítica
C. interagir com a Internet pública
D. externos à organização
Ver resposta
Resposta correta: A
Pergunta #77
Qual das seguintes é a MAIOR vantagem dos testes de penetração de aplicações em relação à análise de vulnerabilidades?
A. Os testes de penetração não requerem um conjunto de competências especiais para serem executados
B.
C.
Ver resposta
Resposta correta: B
Pergunta #78
A MELHOR forma de garantir ao conselho de administração de uma organização que as estratégias de TI apoiam os objectivos comerciais é:
A. Proceder a avaliações regulares das tecnologias emergentes
B. identificar e comunicar a realização dos factores críticos de sucesso (FCS)
C. confirmar que as estratégias de TI foram totalmente documentadas e divulgadas
D. garantir que os gestores de topo da empresa analisem os orçamentos de TI
Ver resposta
Resposta correta: C
Pergunta #79
A revisão dos planos do projeto e dos relatórios de estado ao longo do ciclo de vida do desenvolvimento:
A. Eliminar a necessidade de efetuar uma avaliação dos riscos
B. adiar a documentação da evolução do projeto para a fase final
C. Garantir que o projeto cumprirá os resultados previstos
D. Facilitar a utilização óptima dos recursos ao longo da vida do projeto
Ver resposta
Resposta correta: C
Pergunta #80
A falta de qual das seguintes opções representa o MAIOR risco para a qualidade do software desenvolvido?
A. Revisões de código
B. Auditorias internas periódicas
C. Ensaios de carga
D. Uma arquitetura empresarial
Ver resposta
Resposta correta: C
Pergunta #81
Para garantir o controlo adequado das informações tratadas nos sistemas informáticos, as salvaguardas de segurança devem basear-se PRIMEIRAMENTE em:
A. directrizes estabelecidas
B. capacidade informática global e condicionalismos operacionais
C. considerações de processamento técnico eficiente
D. critérios coerentes com os níveis de classificação
Ver resposta
Resposta correta: C
Pergunta #82
Qual das seguintes opções se refere a qualquer protocolo de autenticação que requer duas formas independentes de estabelecer a identidade e os privilégios?
A. Autenticação de fator forte
B. Autenticação de dois factores
C. Autenticação por palavra-passe dupla
D. Autenticação de duas frases-passe
E. Autenticação de chave dupla
F. Autenticação de fator rico
Ver resposta
Resposta correta: A
Pergunta #83
Um banco está a transferir os seus servidores para um fornecedor que fornece serviços de alojamento de centros de dados a vários clientes. Qual dos seguintes controlos restringiria o acesso físico de outros clientes aos servidores do banco?
A. Câmaras de televisão de circuito fechado
B. Bloqueio das gaiolas dos servidores
C. Acesso biométrico em todas as entradas do centro de dados
D. guardas de segurança 24 horas por dia
Ver resposta
Resposta correta: C
Pergunta #84
A justificação comercial de um projeto SI foi alterada durante o decurso do projeto devido à inclusão de novos requisitos. O que deve ser feito a seguir? A. O projeto deve passar pelo processo formal de reaprovação.
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #85
C. D. Uma auditoria recente identificou licenças de software e tecnologias duplicadas. Qual das seguintes opções seria a MAIS útil para evitar este tipo de duplicação no futuro?
A. Centralizar as práticas de aquisição e aprovação de TI
B. Atualização das políticas e procedimentos de aquisição de TI Realização de revisões periódicas do inventário Criação de um gabinete de gestão de projectos
Ver resposta
Resposta correta: A
Pergunta #86
Qual das seguintes opções é a MAIS adequada para evitar a recuperação não autorizada de informações confidenciais armazenadas num sistema de aplicações empresariais?
A. Aplicar o início de sessão único para controlo do acesso
B. Aplicar uma política interna de acesso aos dados
C. Impor a utilização de assinaturas digitais
D. Implementar a separação de funções
Ver resposta
Resposta correta: A
Pergunta #87
Ao desenvolver uma arquitetura de segurança, qual das seguintes etapas deve ser executada PRIMEIRO? Desenvolvimento de procedimentos de segurança Definição de uma política de segurança
A.
B.
Ver resposta
Resposta correta: B
Pergunta #88
Qual das seguintes opções MELHOR ajudaria a garantir que a segurança da informação é eficaz após a externalização das operações de rede?
A. Testar periodicamente os controlos de segurança
B. Rever os indicadores-chave de desempenho (KPI) de segurança
C. Estabelecer acordos de nível de serviço (SLAs) de segurança
D. Nomear um gestor de monitorização da prestação de serviços de segurança
Ver resposta
Resposta correta: B
Pergunta #89
Na sequência de uma recente violação de dados internos, foi pedido a um auditor de SI que avaliasse as práticas de segurança da informação na organização. Qual das seguintes conclusões seria a MAIS importante a comunicar à direção?
A. Os funcionários não são obrigados a assinar um acordo de não concorrência
B. Os seminários de educação e sensibilização para a segurança não foram concluídos
C. Os utilizadores não têm conhecimentos técnicos relacionados com a segurança e a proteção dos dados
D. As palavras-passe de ambiente de trabalho não requerem caracteres especiais
Ver resposta
Resposta correta: C
Pergunta #90
Um utilizador de um sistema bancário por telefone esqueceu-se do seu número de identificação pessoal (PIN). Depois de o utilizador ter sido autenticado, o MELHOR método para emitir um novo PIN é ter:
A. o utilizador introduz um novo PIN duas vezes
B. o pessoal bancário atribui verbalmente um novo PIN
C. um PIN gerado aleatoriamente e comunicado pelo pessoal bancário
D. O pessoal bancário atribui ao utilizador um novo PIN por correio eletrónico
Ver resposta
Resposta correta: A
Pergunta #91
Qual dos seguintes riscos de segurança pode ser reduzido por uma firewall de rede corretamente configurada?
A. Ataques internos
B. Ataques de injeção de SQL
C. Ataques de negação de serviço (DoS) D
Ver resposta
Resposta correta: A
Pergunta #92
Quais das seguintes opções são válidas para a combinação Apache/SSL (Escolha três.): A. O projeto Apache-SSL
A.
B.
C.
D.
Ver resposta
Resposta correta: D
Pergunta #93
Qual dos seguintes é o pré-requisito MAIS importante para efetuar uma avaliação da segurança da informação?
A. Revisão da análise de impacto comercial (BIA)
B. Avaliação de ameaças e vulnerabilidades C
C.
Ver resposta
Resposta correta: B
Pergunta #94
Ao implementar um produto de software (middleware) para passar dados entre os servidores da rede local (LAN) e o mainframe, a consideração de controlo MAIS crítica é:
A. autenticação multiplataforma
B. sincronização horária das bases de dados
C. níveis de tráfego de rede entre plataformas
D. registo da data e hora das transacções para facilitar a recuperação
Ver resposta
Resposta correta: D
Pergunta #95
Qual das seguintes opções se refere ao ato de criar e utilizar um cenário inventado para persuadir um alvo a realizar uma ação?
A. Pretexto
B. Antecedentes
C. Efetuar cheques
D. Controlo de saltos
E. Nenhuma das opções
Ver resposta
Resposta correta: C
Pergunta #96
A organização A tem um contrato de software como serviço (SaaS) com a organização
A.
B.
C.
D.
E.
F.
Ver resposta
Resposta correta: A
Pergunta #97
Qual das seguintes opções MELHOR apoia a definição de prioridades de novos projectos de TI?
A. Autoavaliação do controlo interno (CSA)
B. Auditoria de sistemas de informaçãoAnálise de carteiras de investimento
C.
Ver resposta
Resposta correta: C
Pergunta #98
Qual das seguintes é a MELHOR fonte de informação para avaliar a eficácia da monitorização dos processos de TI?
A. Técnicas de gestão participativa
B. Revisões da garantia de qualidade (QA)
C. Dados de desempenho
D. Software de auditoria em tempo real
Ver resposta
Resposta correta: A
Pergunta #99
As aplicações empresariais devem ser seleccionadas para os testes de recuperação de desastres com base em
A. Os resultados dos controlos documentais de contingência
B. o número de pontos de falha que estão a ser testados
C. Objectivos de tempo de recuperação (RTO)
D. importância crítica para a empresa
Ver resposta
Resposta correta: C
Pergunta #100
Num criptossistema de chave pública em que não há conhecimento prévio entre as partes, qual das seguintes opções MELHOR ajudará a impedir que uma pessoa utilize uma chave fictícia para se fazer passar por outra?
A. Encriptar a mensagem com a chave pública do remetente, utilizando um sistema de criptografia de chave privada
B. Enviar um certificado que possa ser verificado por uma autoridade de certificação com a chave pública
C. Encriptar a mensagem que contém a chave pública do remetente, utilizando a chave pública do destinatário
Ver resposta
Resposta correta: D
Pergunta #101
Qual das seguintes é a forma MAIS eficaz de manter a integridade da rede quando se utilizam dispositivos móveis?
A. Efetuar revisões da rede
B. Implementar o controlo de acesso à rede
C. Implementar regras de firewall de saída
D. Rever as listas de controlo de acesso
Ver resposta
Resposta correta: ABC
Pergunta #102
Qual das seguintes é a MELHOR forma de abordar potenciais preocupações com a privacidade dos dados associadas à divulgação inadvertida de informações sobre identificadores de máquinas contidas nos registos de segurança?
A. Recolher apenas os registos dos servidores classificados como críticos para a atividade
B. Limitar a utilização dos registos apenas aos fins para os quais foram recolhidos
C. Limitar a recolha de registos apenas aos períodos de maior atividade de segurança
D. Restringir a transferência de ficheiros de registo da máquina anfitriã para o armazenamento online
Ver resposta
Resposta correta: B
Pergunta #103
Para garantir a integridade de uma base de dados recuperada, qual das seguintes opções seria a MAIS útil?
A. Imagens de transacções antes e depois
B. Ferramentas de desfragmentação de bases de dados
C. Uma cópia do dicionário de dados
D. Registos de transacções de aplicações
Ver resposta
Resposta correta: B
Pergunta #104
Um auditor de SI constata que o processo de remoção de acesso de funcionários demitidos não está documentado. Qual é o risco MAIS significativo decorrente desta observação?
A. Os procedimentos podem não estar alinhados com as melhores práticas
B. Os registos de RH podem não corresponder ao acesso ao sistema
C. O acesso não autorizado não pode ser identificado
D. Os direitos de acesso podem não ser retirados atempadamente
Ver resposta
Resposta correta: C
Pergunta #105
Numa organização que tem uma política de rotação de pessoal, o modelo de controlo de acesso MAIS adequado é:
A. baseado em funções
B. discricionário
C. obrigatório
D. baseada em treliça
Ver resposta
Resposta correta: A
Pergunta #106
Qual das seguintes actividades fornece ao auditor de SI MAIS informações sobre potenciais dependências individuais que possam existir na organização?
A. Revisão dos registos de atividade dos utilizadores
B. Mapeamento de processos de TI para funções
C. Revisão dos padrões de férias
D. Entrevistar a direção sénior de TI
Ver resposta
Resposta correta: A
Pergunta #107
Qual das seguintes opções é a MELHOR para permitir uma gestão eficaz dos recursos de TI?
A. Avaliar o risco associado aos recursos informáticos
B. Externalização de processos e actividades de TI
C. Estabelecimento de prioridades comerciais
D. Automatização de processos empresariais
Ver resposta
Resposta correta: D
Pergunta #108
Qual das seguintes opções MELHOR indica a eficácia do programa de gestão de riscos de uma organização?
A. O risco de controlo é minimizado
B. O risco inerente é eliminado
C. O risco residual é minimizado
D. O risco global é quantificado
Ver resposta
Resposta correta: B
Pergunta #109
Qual das seguintes opções seria a MAIS preocupante para determinar se os activos de informação são adequadamente protegidos durante o transporte e a eliminação?
A. Falta de proteção por palavra-passe
B. Falta de formação de sensibilização recente
C. Falta de classificação adequada dos dados D
Ver resposta
Resposta correta: C
Pergunta #110
Um auditor de SI que avalie os controlos de acesso lógico deve PRIMEIRO
A. Documentar os controlos aplicados às potenciais vias de acesso ao sistema
B. testar os controlos dos caminhos de acesso para determinar se estão funcionais
C.
Ver resposta
Resposta correta: C
Pergunta #111
Qual das seguintes actividades é a MAIS importante a ter em conta no planeamento da auditoria aos SI?
A. Os resultados das auditorias anteriores são revistos
B. A programação da auditoria baseia-se no conjunto de competências da equipa de auditoria
C. Os recursos são afectados a áreas de alto risco
D. O comité de auditoria concorda com a classificação dos riscos
Ver resposta
Resposta correta: C
Pergunta #112
Qual das seguintes é a forma MAIS eficaz de avaliar se os controlos de um subcontratante estão a seguir o acordo de nível de serviço (SLA)?
A. Efetuar uma análise no local da empresa subcontratada
B. Analisar os relatórios mensais de serviço da empresa subcontratada
C. Efetuar uma análise das cláusulas de penalização por incumprimento
D. Analisar um relatório de auditoria interna do auditor da empresa subcontratada
Ver resposta
Resposta correta: C
Pergunta #113
Ao efetuar uma análise da estrutura de um sistema de transferência eletrónica de fundos (TEF), um auditor de SI observa que a infraestrutura tecnológica se baseia num esquema de processamento centralizado que foi subcontratado a um fornecedor de outro país. Com base nesta informação, qual das seguintes conclusões deve ser a principal preocupação do auditor de SI? A. Poderá haver uma questão relacionada com a jurisdição legal.
A.
B.
C.
Ver resposta
Resposta correta: A
Pergunta #114
Uma organização que utilize mensagens instantâneas para comunicar com os clientes pode impedir que clientes legítimos se façam passar por eles:
A. utilizando a monitorização de chamadas
B. usando firewalls para limitar o tráfego de rede a portas autorizadas
C. registo de conversas
D. autenticar os utilizadores antes de as conversas serem iniciadas
Ver resposta
Resposta correta: C
Pergunta #115
Qual das seguintes funcionalidades do PBX permite entrar numa linha ocupada para informar outro utilizador de uma mensagem importante?
A. Códigos de conta
B. Códigos de acesso
C. Anular
D. Arrendamento
Ver resposta
Resposta correta: C
Pergunta #116
O desempenho de um sistema de processamento de encomendas pode ser medido de forma mais fiável através da monitorização:
A. comprimento da fila de espera de entrada/pedido
B. Tempo de execução das transacções concluídas
C. carga de CPU dos servidores de aplicações e de bases de dados
D. batimentos cardíacos entre sistemas de servidores
Ver resposta
Resposta correta: B
Pergunta #117
Um funcionário perde um dispositivo móvel, o que resulta na perda de dados empresariais sensíveis. Qual das seguintes opções teria evitado MELHOR a fuga de dados?
A. Formação de sensibilização para os utilizadores de dispositivos móveis
B. Encriptação de dados no dispositivo móvel
C. Ativação de capacidades de limpeza remota de dados
D. Política de palavras-passe complexas para dispositivos móveis
Ver resposta
Resposta correta: A
Pergunta #118
A função de garantia de qualidade (GQ) deve ser impedida de:
A. desenvolver convenções de nomenclatura
B. Estabelecimento de técnicas de análise
C. alteração dos procedimentos de revisão
D. alterar programas para funções comerciais
Ver resposta
Resposta correta: D
Pergunta #119
Qual das seguintes opções é a MAIS provável de resultar de um projeto de reengenharia de processos empresariais (BPR)? A. Um maior número de pessoas a utilizar a tecnologia
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #120
Uma análise de risco para a segurança da informação (BEST) ajuda uma organização a garantir que:
A. são tomadas decisões eficazes em termos de custos relativamente aos activos que necessitam de proteção
B. a organização implementa tecnologias de segurança adequadas
C. a infraestrutura tem o nível adequado de controlo de acesso
D. é aplicado um nível adequado de financiamento aos processos de segurança
Ver resposta
Resposta correta: C
Pergunta #121
Qual das seguintes opções é a MELHOR para fornecer serviços ininterruptos?
A. Instantâneos
B. Cópia de segurança diferencial
C. Televaulting
D. Espelhamento
Ver resposta
Resposta correta: C
Pergunta #122
A reengenharia dos processos empresariais resulta frequentemente na ___________________ automatização, o que resulta no ____________ número de pessoas que utilizam a tecnologia. Preencha os espaços em branco. A. Aumentou; um maior
A.
B.
C.
Ver resposta
Resposta correta: A
Pergunta #123
Ao utilizar assinaturas digitais, um remetente transmite um resumo encriptado da mensagem. Isto garante que a:
A. A mensagem não é interceptada durante a transmissão
B. A mensagem não é alterada durante a transmissão
C. o remetente da mensagem obtém um aviso de receção
D. A mensagem permanece confidencial durante a transmissão
Ver resposta
Resposta correta: C
Pergunta #124
Com base na orientação da auditoria interna, um comité de direção de TI está a considerar a utilização de um balanced scorecard para avaliar o seu processo de gestão de projectos. Qual das seguintes é a MAIOR vantagem de utilizar esta abordagem?
A. A gestão do calendário e do orçamento do projeto será melhorada
B. O desempenho é medido de diferentes perspectivas
C. As informações são fornecidas de forma coerente e atempada
D. Será dada prioridade ao projeto com base no valor
Ver resposta
Resposta correta: C
Pergunta #125
Qual das seguintes opções é um teste substantivo?
A. Verificação de uma lista de relatórios de exceção
B. Garantir a aprovação das alterações de parâmetros C
C.
Ver resposta
Resposta correta: B
Pergunta #126
As práticas informáticas actuais do utilizador final de uma organização incluem a utilização de uma folha de cálculo para as demonstrações financeiras. Qual das seguintes opções constitui a MAIOR preocupação?
A. As fórmulas não estão protegidas contra alterações não intencionais
B. A folha de cálculo contém numerosas macros
C. Os procedimentos operacionais não foram revistos no ano fiscal em curso
D. A folha de cálculo não é mantida pelas TI
Ver resposta
Resposta correta: A
Pergunta #127
Durante uma auditoria de acompanhamento, um auditor de SI descobre que uma recomendação não foi implementada. No entanto, o auditado implementou uma solução alternativa manual que aborda o risco identificado, com muito menos eficiência do que a ação recomendada. Qual das seguintes opções seria a MELHOR forma de atuação do auditor?
A. Notificar a direção de que o risco foi resolvido e não tomar outras medidas
B. Escalonar o problema remanescente para discussão e resolução adicionais
Ver resposta
Resposta correta: A
Pergunta #128
Um programa bem-sucedido de auditoria de TI baseado em riscos deve ser baseado em:
A. um sistema de pontuação eficaz
B. um diagrama PERT eficaz
C. uma sessão de brainstorming departamental eficaz
D. uma sessão de brainstorming eficaz em toda a organização
E. um orçamento anual eficaz
F. Nenhuma das opções
Ver resposta
Resposta correta: C
Pergunta #129
O papel tradicional de um auditor de SI numa autoavaliação do controlo (CSA) deve ser o de um(n):
A. Implementador
B. Facilitador
C. Promotor
D. Patrocinador
Ver resposta
Resposta correta: A

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.