NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Perguntas e simulados para o exame CISM, Certified Information Security Manager | SPOTO

A certificação CISM valida a sua experiência no desenvolvimento e gestão de programas de segurança da informação empresarial. Os nossos testes práticos abrangem uma vasta gama de tópicos, incluindo perguntas de exame, perguntas de amostra e exames de simulação, garantindo que está bem preparado para o exame real. Terá acesso a dumps de exame, materiais de exame e perguntas de exame online, melhorando a sua compreensão dos conceitos-chave. As nossas respostas detalhadas ao exame e as secções de perguntas e respostas ao exame reforçam ainda mais a sua base de conhecimentos. Com as nossas sessões de prática de exame e simulador de exame, ganhará confiança e preparação para o exame CISM. Comece hoje mesmo com o nosso teste gratuito e eleve a sua experiência de preparação para o exame com o SPOTO.
Faça outros exames online

Pergunta #1
Ao efetuar uma avaliação de risco, a consideração MAIS importante é que:
A. A gestão apoia os esforços de mitigação de riscos
B. As expectativas de perdas anuais (ALE) foram calculadas para os activos críticos
C. Os activos foram identificados e adequadamente avaliados
D. compreender os motivos, os meios e as oportunidades do ataque
Ver resposta
Resposta correta: A
Pergunta #2
O que é que um gestor de segurança utiliza PRIMARIAMENTE quando propõe a implementação de uma solução de segurança?
A. Relatório de avaliação dos riscos
B. Relatório de avaliação técnica
C. Caso de negócio
D. Requisitos orçamentais
Ver resposta
Resposta correta: D
Pergunta #3
Qual dos seguintes é o método MAIS adequado para garantir a força da palavra-passe numa grande organização?
A. Tentativa de repor várias palavras-passe para valores mais fracos
B. Instalar código para capturar palavras-passe para auditoria periódica
C. Recolher uma amostra de um subconjunto de utilizadores e solicitar as suas palavras-passe para revisão
D. Rever as definições gerais de segurança em cada plataforma
Ver resposta
Resposta correta: B
Pergunta #4
Qual das seguintes ferramentas é a MAIS adequada para avaliar se os objectivos da governação da segurança da informação estão a ser cumpridos?
A. Análise SWOT
B. Gráfico em cascata
C. Análise das lacunas
D. Balanced scorecard
Ver resposta
Resposta correta: C
Pergunta #5
A avaliação de riscos é MAIS eficaz quando é efectuada:
A. No início do desenvolvimento do programa de segurança
B. de forma contínua
C. enquanto desenvolve o caso de negócios para o programa de segurança
D. durante o processo de mudança de negócio
Ver resposta
Resposta correta: B
Pergunta #6
Uma forma de determinar a eficácia do controlo é através da determinação:
A. Se é preventiva, detetiva ou compensatória
B. A capacidade de fornecer notificação de falha
C. os resultados dos testes dos objectivos pretendidos
D. a avaliação e a análise da fiabilidade
Ver resposta
Resposta correta: C
Pergunta #7
Qual das seguintes opções constitui a MELHOR confirmação de que os objectivos do plano de continuidade das actividades/recuperação de desastres foram atingidos?
A. O objetivo de tempo de recuperação (RTO) não foi excedido durante os ensaios
B. O teste objetivo do plano de continuidade das actividades/recuperação de desastres foi efectuado de forma consistente
C. O objetivo do ponto de recuperação (RPO) revelou-se inadequado nos testes do plano de recuperação de desastres
D. Os activos de informação foram avaliados e atribuídos a proprietários de acordo com o plano de continuidade das actividades/plano de recuperação de desastres
Ver resposta
Resposta correta: D
Pergunta #8
Qual das seguintes é a MELHOR abordagem para uma organização que pretende proteger a sua propriedade intelectual?
A. Realizar sessões de sensibilização sobre a política de propriedade intelectual
B. Exigir que todos os empregados assinem um acordo de confidencialidade
C. Remover imediatamente todo o acesso quando um funcionário deixa a organização
D. Restringir o acesso à necessidade de conhecimento
Ver resposta
Resposta correta: C
Pergunta #9
Um exercício de avaliação dos riscos de segurança deve ser repetido a intervalos regulares porque:
A. As ameaças comerciais estão em constante mudança
B. As omissões em avaliações anteriores podem ser colmatadas
C. As avaliações repetitivas permitem várias metodologias
D. ajudam a aumentar a sensibilização para a segurança na empresa
Ver resposta
Resposta correta: B
Pergunta #10
Obter o apoio da direção para a criação de um sítio quente pode ser conseguido da melhor forma:
A. Estabelecer uma avaliação periódica dos riscos
B. promover os requisitos regulamentares
C. desenvolver um caso de negócio
D. desenvolver métricas eficazes
Ver resposta
Resposta correta: A
Pergunta #11
Um gestor de projeto está a desenvolver um portal para programadores e solicita que o gestor de segurança atribua um endereço IP público para que possa ser acedido pelo pessoal interno e por consultores externos fora da rede local (LAN) da organização. O que é que o gestor de segurança deve fazer PRIMEIRO?
A. Compreender os requisitos comerciais do portal do programador
B. Efetuar uma avaliação da vulnerabilidade do portal do programador
C. Instalar um sistema de deteção de intrusões (IDS)
D. Obter um acordo de confidencialidade (NDA) assinado pelos consultores externos antes de permitir o acesso externo ao servidor
Ver resposta
Resposta correta: D
Pergunta #12
Uma análise interna de um sistema de aplicação baseado na Web descobre a capacidade de obter acesso às contas de todos os funcionários alterando o ID do funcionário no URL utilizado para aceder à conta. A vulnerabilidade identificada é:
A. autenticação quebrada
B. entrada não validada
C. scripting entre sítios
D. Injeção de linguagem de consulta estruturada (SQL)
Ver resposta
Resposta correta: D
Pergunta #13
A fim de realçar à direção a importância da segurança da rede, o gestor de segurança deve PRIMEIRO:
A. desenvolver uma arquitetura de segurança
B. instalar um sistema de deteção de intrusões na rede (NIDS) e preparar uma lista de ataques
C. desenvolver uma política de segurança de rede
D. efetuar uma avaliação dos riscos
Ver resposta
Resposta correta: A
Pergunta #14
Qual é a MELHOR forma de reduzir a falta de pessoal na equipa de segurança, mantendo a capacidade interna?
A. Contratar um contratante que não seria incluído no número de efectivos permanentes
B. Externalizar com um fornecedor de serviços de segurança, mantendo o controlo interno
C. Criar uma equipa de segurança virtual a partir de funcionários competentes de toda a empresa
D. Proporcionar formação cruzada para minimizar o défice de recursos existente
Ver resposta
Resposta correta: C
Pergunta #15
Os ataques bem sucedidos de engenharia social podem ser evitados da melhor forma possível:
A. controlo da reintegração no emprego
B. monitorização rigorosa dos padrões de acesso dos utilizadores
C. formação periódica de sensibilização
D. Procedimentos de rescisão eficientes
Ver resposta
Resposta correta: A
Pergunta #16
Existe um intervalo de tempo entre o momento em que uma vulnerabilidade de segurança é publicada pela primeira vez e o momento em que um patch é entregue. Qual das seguintes acções deve ser realizada PRIMEIRO para mitigar o risco durante este período de tempo?
A. Identificar os sistemas vulneráveis e aplicar controlos de compensação
B. Minimizar a utilização de sistemas vulneráveis
C. Comunicar a vulnerabilidade aos utilizadores do sistema
D. Atualizar a base de dados de assinaturas do sistema de deteção de intrusões (IDS)
Ver resposta
Resposta correta: D
Pergunta #17
Deve ser efectuada uma avaliação dos riscos:
A. Uma vez por ano para cada processo e subprocesso empresarial
B. de três em três ou de seis em seis meses para os processos empresariais críticos
C. por entidades externas para manter a objetividade
D. anualmente ou sempre que se registe uma alteração significativa
Ver resposta
Resposta correta: C
Pergunta #18
Qual das seguintes é a PRINCIPAL razão para efetuar uma avaliação de riscos numa base contínua?
A. A justificação do orçamento de segurança deve ser feita de forma contínua
B. Todos os dias são descobertas novas vulnerabilidades
C. O ambiente de risco está em constante mudança
D. A direção precisa de ser continuamente informada sobre os riscos emergentes
Ver resposta
Resposta correta: B
Pergunta #19
Quando se contrata uma empresa externa para prestar serviços de administração de segurança, o elemento contratual MAIS importante é o:
A. cláusula de direito de rescisão
B. limitações de responsabilidade
C. Acordo de nível de serviço (SLA)
D. cláusula de sanções financeiras
Ver resposta
Resposta correta: A
Pergunta #20
Qual das seguintes é a ação MAIS importante a tomar quando se contratam consultores externos para realizar um teste de ataque e penetração?
A. Solicitar uma lista dos programas informáticos a utilizar
B. Dar instruções claras ao pessoal de TI
C. Monitorizar atentamente os registos do sistema de deteção de intrusões (IDS) e da firewall
D. Estabelecer regras de empenhamento claras
Ver resposta
Resposta correta: C
Pergunta #21
Qual das seguintes é a consideração MAIS crítica na recolha e preservação de provas admissíveis durante a resposta a um incidente?
A. Desligar os sistemas
B. Cadeia de custódia
C. Separação de funções
D. Sincronização do relógio
Ver resposta
Resposta correta: C
Pergunta #22
Qual seria a MELHOR recomendação para se proteger contra ataques de phishing?
A. Instalar um sistema anantispam
B. Publicar orientações de segurança para os clientes
C. Sensibilizar o pessoal da organização para a segurança
D. Instalar uma firewall ao nível da aplicação
Ver resposta
Resposta correta: A
Pergunta #23
O caso comercial MAIS completo para soluções de segurança é aquele que:
A. inclui uma justificação adequada
B. explica o perfil de risco atual
C. pormenoriza os requisitos regulamentares
D. identifica os incidentes e as perdas
Ver resposta
Resposta correta: C
Pergunta #24
Uma organização tomou conhecimento de uma violação de segurança noutra empresa que utiliza tecnologia semelhante. A PRIMEIRA coisa que o gestor de segurança da informação deve fazer é:
A. Avaliar a probabilidade de ocorrência de incidentes devido à causa comunicada
B. Interromper a utilização da tecnologia vulnerável
C. comunicar à direção que a organização não foi afetada
D. recordar ao pessoal que não se registaram violações de segurança semelhantes
Ver resposta
Resposta correta: C
Pergunta #25
O diretor de segurança da informação de uma organização foi convidado a contratar um consultor para ajudar a avaliar o nível de maturidade da gestão da segurança da informação da organização. O elemento MAIS importante do pedido de proposta (RFP) é o:
A. referências de outras organizações
B. experiência anterior da equipa de contratação
C. exemplo de entrega
D. Metodologia utilizada na avaliação
Ver resposta
Resposta correta: A
Pergunta #26
A forma MAIS útil de descrever os objectivos da estratégia de segurança da informação é através de:
A. atributos e características do "estado desejado"
B. objectivos gerais de controlo do programa de segurança
C. mapeamento dos sistemas de TI para os principais processos comerciais
D. Cálculo das expectativas de perdas anuais
Ver resposta
Resposta correta: B
Pergunta #27
Qual das seguintes opções constitui a MELHOR confirmação de que os objectivos do plano de continuidade das actividades/recuperação de desastres foram atingidos?
A. O objetivo de tempo de recuperação (RTO) não foi excedido durante os ensaios
B. O teste objetivo do plano de continuidade das actividades/recuperação de desastres foi efectuado de forma consistente
C. O objetivo do ponto de recuperação (RPO) revelou-se inadequado nos testes do plano de recuperação de desastres
D. Os activos de informação foram avaliados e atribuídos a proprietários de acordo com o plano de continuidade das actividades/plano de recuperação de desastres
Ver resposta
Resposta correta: A
Pergunta #28
Qual é o MELHOR método de atenuação contra ataques de negação de serviço (DoS) de rede?
A. Assegurar que todos os servidores estão actualizados em termos de patches do SO
B. Utilizar a filtragem de pacotes para eliminar pacotes suspeitos
C. Implementar a tradução de endereços de rede para tornar os endereços internos não roteáveis
D. Implementar o balanceamento de carga para dispositivos virados para a Internet
Ver resposta
Resposta correta: A
Pergunta #29
As tecnologias de segurança devem ser seleccionadas PRIMARIAMENTE com base nas suas características:
A. capacidade de atenuar os riscos comerciais
B. Avaliações em publicações comerciais
C. Utilização de tecnologias novas e emergentes
D. benefícios em comparação com os seus custos
Ver resposta
Resposta correta: C
Pergunta #30
Várias unidades de negócio comunicaram problemas com os seus sistemas depois de terem sido implementadas várias correcções de segurança. O PRIMEIRO passo para resolver este problema seria:
A. Avaliar os problemas e instituir procedimentos de reversão, se necessário
B. Desligar os sistemas da rede até que os problemas sejam corrigidos
C. desinstalar imediatamente os patches desses sistemas
D. Contactar imediatamente o vendedor relativamente aos problemas ocorridos
Ver resposta
Resposta correta: A
Pergunta #31
Qual é o método MAIS rentável para identificar as vulnerabilidades de novos fornecedores?
A. Fontes externas de informação sobre vulnerabilidades
B. Avaliações periódicas da vulnerabilidade efectuadas por consultores
C. Software de prevenção de intrusões
D. Potes de mel localizados na DMZ
Ver resposta
Resposta correta: A
Pergunta #32
Uma assinatura digital que utilize uma infraestrutura de chave pública (PKI) irá:
A. Não garantir a integridade de uma mensagem
B. dependem da medida em que a autoridade de certificação (CA) é fiável
C. requerem duas partes para a troca de mensagens
D. proporcionar um elevado nível de confidencialidade
Ver resposta
Resposta correta: B
Pergunta #33
A principal razão para envolver a segurança da informação em cada fase do ciclo de vida de desenvolvimento de sistemas (SDLC) é identificar as implicações de segurança e as potenciais soluções necessárias para:
A. identificar vulnerabilidades no sistema
B. sustentar a postura de segurança da organização
C. os sistemas existentes que serão afectados
D. cumprimento da segregação de funções
Ver resposta
Resposta correta: B
Pergunta #34
Do ponto de vista de um gestor de segurança da informação, qual é o benefício imediato de funções e responsabilidades claramente definidas?
A. Cumprimento reforçado das políticas
B. Fluxos de procedimentos melhorados
C. Segregação de funções
D. Melhor responsabilização
Ver resposta
Resposta correta: D
Pergunta #35
A implementação de controlos de monitorização contínua é a MELHOR opção quando:
A. Os incidentes podem ter um impacto e uma frequência elevados
B. A legislação exige fortes controlos de segurança na/da informação
C. Os incidentes podem ter um impacto elevado mas uma frequência reduzida
D. O comércio eletrónico é um dos principais motores do negócio
Ver resposta
Resposta correta: A
Pergunta #36
A PRINCIPAL razão para implementar uma infraestrutura de chave pública (PKI) ao implementar um programa de segurança da informação é:
A. Assegurar a confidencialidade do material sensível
B. Proporcionar uma elevada garantia de identidade
C. permitir a implementação do diretório ativo
D. Implementar a encriptação SSL (secure sockets layer)
Ver resposta
Resposta correta: A
Pergunta #37
Uma organização tem de cumprir os requisitos regulamentares do sector recentemente publicados - conformidade que tem potencialmente custos de implementação elevados. O que é que o gestor de segurança da informação deve fazer PRIMEIRO?
A. Implementar um comité de segurança
B. Efetuar uma análise das lacunas
C. Implementar controlos de compensação
D. Exigir o cumprimento imediato
Ver resposta
Resposta correta: B
Pergunta #38
Para conseguir um alinhamento estratégico eficaz das iniciativas de segurança, é importante que
A. A liderança do comité diretor será selecionada por rotação
B. obter contributos e chegar a um consenso entre as principais unidades organizacionais
C. a estratégia empresarial seja actualizada periodicamente
D. os procedimentos e normas sejam aprovados por todos os chefes de departamento
Ver resposta
Resposta correta: C
Pergunta #39
O fator MAIS importante para garantir o sucesso de um programa de segurança da informação é a eficácia:
A. Comunicação dos requisitos de segurança da informação a todos os utilizadores da organização
B. Formulação de políticas e procedimentos para a segurança da informação
C. alinhamento com as metas e objectivos organizacionais
D. Controlo da conformidade com as políticas e procedimentos de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #40
Qual das seguintes opções seria a MAIS relevante para incluir numa análise custo-benefício de um sistema de autenticação de dois factores?
A. Expectativa de perda anual (ALE) de incidentes
B. incidentes de frequência
C. Custo total de propriedade (TCO)
D. Orçamento aprovado para o projeto
Ver resposta
Resposta correta: D
Pergunta #41
Qual dos seguintes factores seria o MAIS relevante na definição da política de classificação da informação?
A. Quantidade de informação
B. Infra-estruturas informáticas disponíveis
C. Avaliação comparativa
D. Requisitos dos proprietários de dados
Ver resposta
Resposta correta: C
Pergunta #42
Qual das seguintes opções é a MAIS importante no desenvolvimento de uma estratégia de segurança?
A. Criar um ambiente de segurança empresarial positivo
B. Compreender os principais objectivos comerciais
C. Ter um canal de comunicação com os quadros superiores
D. Atribuição de recursos suficientes à segurança da informação
Ver resposta
Resposta correta: B

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone: