NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

CISM Practice Tests & Real Exam Dumps 2024 Updated, Certified Information Security Manager | SPOTO

Prepare-se para o exame de certificação CISM com os testes práticos 2024 actualizados da SPOTO e os dumps de exame reais. Como Certified Information Security Manager, demonstra conhecimentos avançados e experiência no desenvolvimento e gestão de programas de segurança da informação empresarial. Os nossos testes práticos abrangem tópicos essenciais do exame, como gestão de riscos de informação, governação, gestão de incidentes e desenvolvimento de programas. Aceda a amostras de perguntas gratuitas para avaliar a sua preparação e mergulhe nos nossos testes de exame abrangentes para uma revisão completa. Com os exames simulados da SPOTO, simule cenários de exames reais e aperfeiçoe as suas capacidades de realização de exames. Explore os nossos materiais de exame seleccionados, completos com respostas e explicações detalhadas, para reforçar a sua compreensão. Utilize o nosso simulador de exames online para praticar questões de exame, melhorar a sua estratégia de exame e preparar-se eficazmente para o exame CISM.
Faça outros exames online

Pergunta #1
Qual dos seguintes ataques é MELHOR atenuado pela utilização de palavras-passe fortes?
A. Ataque "man-in-the-middle
B. Ataque de força bruta
C. Sobrecarga remota da memória intermédia
D. Kit de raiz
Ver resposta
Resposta correta: B
Pergunta #2
Qual das seguintes áreas é MAIS suscetível à introdução de falhas de segurança?
A. Gestão de bases de dados
B. Gestão de cópias de segurança em fita
C. Gestão da configuração
D. Gestão da resposta a incidentes
Ver resposta
Resposta correta: B
Pergunta #3
Qual das seguintes situações teria geralmente o MAIOR impacto negativo numa organização?
A. Furto de programas informáticos
B. Interrupção dos serviços de utilidade pública
C. Perda de confiança dos clientes
D. Fraude interna que resulta em perdas monetárias
Ver resposta
Resposta correta: A
Pergunta #4
Uma instituição bancária em linha está preocupada com o facto de a violação das informações pessoais dos clientes ter um impacto financeiro significativo devido à necessidade de notificar e compensar os clientes cujas informações pessoais possam ter sido comprometidas. A instituição determina que o risco residual será sempre demasiado elevado e decide:
A. atenuar o impacto através da aquisição de um seguro
B. implementar uma firewall ao nível do circuito para proteger a rede
C. aumentar a resiliência das medidas de segurança em vigor
D. implementar um sistema de deteção de intrusões em tempo real
Ver resposta
Resposta correta: B
Pergunta #5
Os mecanismos de controlo da segurança devem, PRIMEIRAMENTE:
A. centrar-se em informações críticas para o negócio
B. ajudar os proprietários a gerir os riscos de controlo
C. centram-se na deteção de intrusões na rede
D. Registar todas as violações de segurança
Ver resposta
Resposta correta: B
Pergunta #6
Após um estudo de avaliação de risco, um banco com operações globais decidiu continuar a fazer negócios em certas regiões do mundo onde a usurpação de identidade é galopante. O diretor de segurança da informação deve incentivar a empresa a:
A. aumentar os seus esforços de sensibilização dos clientes nessas regiões
B. Aplicar técnicas de controlo para detetar e reagir a potenciais fraudes
C. subcontratar o processamento de cartões de crédito a um terceiro
D. responsabilizar o cliente por perdas se não seguir os conselhos do banco
Ver resposta
Resposta correta: B
Pergunta #7
Uma organização planeia subcontratar a sua gestão da relação com os clientes (CRM) a um fornecedor de serviços externo. Qual das seguintes opções a organização deve fazer PRIMEIRO?
A. Solicitar que o prestador de serviços efectue uma verificação dos antecedentes dos seus empregados
B. Efetuar uma avaliação interna dos riscos para determinar os controlos necessários
C. Auditar o fornecedor externo para avaliar os seus controlos de segurança
D. Efetuar uma avaliação de segurança para detetar vulnerabilidades de segurança
Ver resposta
Resposta correta: C
Pergunta #8
O objetivo PRIMÁRIO da utilização da análise de risco num programa de segurança é
A. Justificar as despesas de segurança
B. ajudar as empresas a definir as prioridades dos activos a proteger
C. informar a direção executiva do valor do risco residual
D. Avaliar as exposições e planear as medidas de correção
Ver resposta
Resposta correta: B
Pergunta #9
Para justificar a necessidade de investir numa ferramenta de análise forense, um gestor de segurança da informação deve PRIMEIRO:
A. Analisar as funcionalidades e os requisitos de implementação da solução
B. analisar relatórios de comparação da implementação de ferramentas em empresas congéneres
C. Dar exemplos de situações em que uma ferramenta deste tipo seria útil
D. fundamentar o investimento na satisfação das necessidades organizacionais
Ver resposta
Resposta correta: D
Pergunta #10
Um gestor de projeto está a desenvolver um portal para programadores e solicita que o gestor de segurança atribua um endereço IP público para que possa ser acedido pelo pessoal interno e por consultores externos fora da rede local (LAN) da organização. O que é que o gestor de segurança deve fazer PRIMEIRO?
A. Compreender os requisitos comerciais do portal do programador
B. Efetuar uma avaliação da vulnerabilidade do portal do programador
C. Instalar um sistema de deteção de intrusões (IDS)
D. Obter um acordo de confidencialidade (NDA) assinado pelos consultores externos antes de permitir o acesso externo ao servidor
Ver resposta
Resposta correta: A
Pergunta #11
O administrador de sistemas não notificou imediatamente o responsável pela segurança sobre um ataque malicioso. Um gestor de segurança da informação poderia evitar esta situação
A. Testar periodicamente os planos de resposta a incidentes
B. Testar regularmente o sistema de deteção de intrusões (IDS)
C. Estabelecer a formação obrigatória de todo o pessoal
D. Rever periodicamente os procedimentos de resposta a incidentes
Ver resposta
Resposta correta: D
Pergunta #12
Durante que fase do desenvolvimento é MAIS adequado começar a avaliar o risco de um novo sistema de aplicações?
A. Viabilidade
B. Conceção
C. Desenvolvimento
D. Ensaios
Ver resposta
Resposta correta: C
Pergunta #13
A MELHOR maneira de garantir que as políticas de segurança da informação são seguidas é:
A. Distribuir cópias impressas a todos os empregados
B. Efetuar revisões periódicas de conformidade
C. incluir sanções crescentes em caso de incumprimento
D. criar uma linha direta anónima para denunciar abusos de políticas
Ver resposta
Resposta correta: A
Pergunta #14
Qual das seguintes é a MELHOR abordagem para mitigar ataques de força bruta online a contas de utilizadores?
A. Palavras-passe armazenadas de forma encriptada
B. Sensibilização dos utilizadores
C. Palavras-passe fortes que são alteradas periodicamente
D. Implementação de políticas de lock-out
Ver resposta
Resposta correta: A
Pergunta #15
Qual dos seguintes seria o PRIMEIRO passo para estabelecer um programa de segurança da informação?
A. Desenvolver a política de segurança
B. Desenvolver procedimentos operacionais de segurança
C. Desenvolver o plano de segurança
D. Realizar um estudo dos controlos de segurança
Ver resposta
Resposta correta: A
Pergunta #16
Qual das seguintes é a PRINCIPAL razão para efetuar uma avaliação de riscos numa base contínua?
A. A justificação do orçamento de segurança deve ser feita de forma contínua
B. Todos os dias são descobertas novas vulnerabilidades
C. O ambiente de risco está em constante mudança
D. A direção precisa de ser continuamente informada sobre os riscos emergentes
Ver resposta
Resposta correta: C
Pergunta #17
A decisão sobre se os novos riscos devem ser objeto de um relatório periódico ou de um relatório baseado em eventos deve basear-se em qual dos seguintes elementos?
A. Controlos atenuantes
B. Visibilidade do impacto
C. Probabilidade de ocorrência
D. Frequência dos incidentes
Ver resposta
Resposta correta: D
Pergunta #18
Uma forma eficaz de proteger as aplicações contra a vulnerabilidade de injeção de SQL (Structured Query Language) é:
A. validar e higienizar as entradas do lado do cliente
B. reforçar o componente de escuta da base de dados
C. normalizar o esquema da base de dados para a terceira forma normal
D. garantir que os patches de segurança são actualizados nos sistemas operativos
Ver resposta
Resposta correta: A
Pergunta #19
Qual das seguintes opções é a que MELHOR indica uma prática de gestão do risco bem sucedida?
A. O risco global é quantificado
B. O risco inerente é eliminado
C. O risco residual é minimizado
D. O risco de controlo está ligado às unidades empresariais
Ver resposta
Resposta correta: A
Pergunta #20
Uma organização multinacional que opera em quinze países está a considerar a implementação de um programa de segurança da informação. Qual o fator que MAIS influenciará a conceção do programa de segurança da informação?
A. Representação dos líderes empresariais regionais
B. Composição do Conselho de Administração
C. Culturas dos diferentes países
D. Competências de segurança informática
Ver resposta
Resposta correta: A
Pergunta #21
Um programa de gestão de riscos deverá
A. eliminar todos os riscos inerentes
B. manter o risco residual a um nível aceitável
C. implementar controlos preventivos para cada ameaça
D. reduzir o risco de controlo para zero
Ver resposta
Resposta correta: A
Pergunta #22
Ao avaliar o risco, é essencial
A. Proporcionar uma cobertura igual para todos os tipos de activos
B. utilizar dados de benchmarking de organizações semelhantes
C. considerar tanto o valor monetário como a probabilidade de perda
D. centram-se principalmente em ameaças e perdas comerciais recentes
Ver resposta
Resposta correta: B
Pergunta #23
Um gestor de segurança da informação foi incumbido de implementar controlos preventivos mais restritivos. Ao fazê-lo, o efeito líquido será reduzir PRIMARIAMENTE o..:
A. ameaça
B. perda
C. vulnerabilidade
D. probabilidade
Ver resposta
Resposta correta: C
Pergunta #24
Qual é o meio económico MOS T para melhorar a sensibilização do pessoal para a segurança?
A. Incentivos monetários aos trabalhadores
B. Educação e formação dos utilizadores
C. Uma política de segurança de tolerância zero
D. Comunicação de infracções de segurança
Ver resposta
Resposta correta: A
Pergunta #25
O proprietário MAIS adequado dos dados dos clientes armazenados numa base de dados central, utilizada apenas pelo departamento de vendas de uma organização, seria o:
A. departamento de vendas
B. administrador da base de dados
C. Diretor de Informação (CIO)
D. chefe do departamento de vendas
Ver resposta
Resposta correta: C
Pergunta #26
Qual das seguintes é a MELHOR métrica para avaliar a eficácia de um mecanismo de deteção de intrusões?
A. Número de ataques detectados
B. Número de ataques bem sucedidos
C. Rácio de falsos positivos e falsos negativos
D. Rácio entre ataques bem sucedidos e mal sucedidos
Ver resposta
Resposta correta: C
Pergunta #27
Há razões para crer que uma aplicação Web recentemente modificada permitiu um acesso não autorizado. Qual é a MELHOR maneira de identificar um backdoor de aplicativo?
A. Teste da caixa negra
B. Auditoria de segurança
C. Revisão do código-fonte
D. Análise de vulnerabilidades
Ver resposta
Resposta correta: A
Pergunta #28
Ao efetuar uma avaliação de risco, a consideração MAIS importante é que:
A. A gestão apoia os esforços de mitigação de riscos
B. As expectativas de perdas anuais (ALE) foram calculadas para os activos críticos
C. Os activos foram identificados e adequadamente avaliados
D. compreender os motivos, os meios e as oportunidades do ataque
Ver resposta
Resposta correta: B
Pergunta #29
Qual dos seguintes elementos é o MAIS importante para garantir o sucesso de um teste de recuperação de desastres em um hot site fornecido pelo fornecedor?
A. Os testes são programados para os fins-de-semana
B. Os endereços IP de rede são predefinidos
C. O equipamento no local quente é idêntico
D. A gestão empresarial participa ativamente
Ver resposta
Resposta correta: B
Pergunta #30
Os novos funcionários devem receber formação de sensibilização para a segurança:
A. numa base de necessidade
B. durante a formação dos utilizadores do sistema
C. antes de terem acesso aos dados
D. com o pessoal do serviço
Ver resposta
Resposta correta: B
Pergunta #31
Qual das seguintes opções é a MAIS eficaz para evitar falhas de segurança nos sistemas operativos?
A. Gestão de patches Gestão de alterações
B.
C. Linhas de base de segurança
D. Gestão da configuração
Ver resposta
Resposta correta: C
Pergunta #32
O registo é um exemplo de que tipo de defesa contra o comprometimento de sistemas?
A. Contenção
B. DetecçãoC
C.
Ver resposta
Resposta correta: B
Pergunta #33
Várias unidades de negócio comunicaram problemas com os seus sistemas depois de terem sido implementadas várias correcções de segurança. O PRIMEIRO passo para resolver este problema seria:
A. Avaliar os problemas e instituir procedimentos de reversão, se necessário
B. Desligar os sistemas da rede até que os problemas sejam corrigidos
C. desinstalar imediatamente os patches desses sistemas
D. contactar imediatamente o fornecedor sobre os problemas que ocorreram
Ver resposta
Resposta correta: A
Pergunta #34
A MELHOR altura para efetuar um teste de penetração é depois:
A. ocorreu uma tentativa de penetração
B. uma auditoria comunicou deficiências nos controlos de segurança
C. são efectuadas várias alterações às infra-estruturas
D. uma elevada rotação do pessoal dos sistemas
Ver resposta
Resposta correta: D
Pergunta #35
Qual das seguintes opções é geralmente considerada um componente fundamental de um programa de segurança da informação?
A. Sistemas de controlo de acesso baseados em funções
B. Fornecimento automático de acesso
C. Formação de sensibilização para a segurança
D. Sistemas de prevenção de intrusões (IPSs)
Ver resposta
Resposta correta: C
Pergunta #36
A pessoa MAIS adequada para determinar o nível de segurança da informação necessário para uma aplicação comercial específica é o:
A. programador de sistemas
B. gestor de segurança da informação
C. Comité de direção
D. proprietário dos dados do sistema
Ver resposta
Resposta correta: C
Pergunta #37
Quem é que a BEST pode aprovar os planos de implementação de uma estrutura de governação da segurança da informação?
A. Auditor interno
B. Gestão da segurança da informação Comité diretor
C.
D. Gestão de infra-estruturas
Ver resposta
Resposta correta: A
Pergunta #38
Quando se constata que a segurança ao nível das aplicações controlada pelos proprietários dos processos empresariais é mal gerida, qual das seguintes opções poderia melhorar as práticas actuais?
A. Centralizar a gestão da segurança
B. Aplicação de sanções em caso de incumprimento
C. Aplicação das políticas pela direção de TI
D. Revisões periódicas da conformidade
Ver resposta
Resposta correta: A
Pergunta #39
Os proprietários de dados são PRIMARIAMENTE responsáveis pela criação de métodos de atenuação do risco para abordar qual das seguintes áreas?
A. Segurança da plataforma
B. Alterações dos direitos
C. Deteção de intrusões
D. Controlos antivírus
Ver resposta
Resposta correta: A
Pergunta #40
Para efeitos de gestão do risco, o valor de um ativo deve basear-se em
A. custo original
B. fluxo de caixa líquido
C. valor atual líquido
Ver resposta
Resposta correta: C
Pergunta #41
Uma organização está a celebrar um acordo com um novo parceiro comercial para realizar envios de correio para clientes. Qual é a ação MAIS importante que o gestor de segurança da informação deve realizar?
A. Uma análise de segurança de devida diligência dos controlos de segurança do parceiro de negócios
B. Garantir que o parceiro de negócios tenha um programa eficaz de continuidade de negócios
C. Garantir que o terceiro está contratualmente obrigado a cumprir todos os requisitos de segurança relevantes
D. Falar com outros clientes do parceiro de negócios para verificar as referências de desempenho
Ver resposta
Resposta correta: B
Pergunta #42
Uma empresa tem uma rede de sucursais com servidores locais de ficheiros/impressão e correio; cada sucursal contrata individualmente um hot site. Qual das seguintes opções seria a MAIOR fraqueza na capacidade de recuperação?
A. A utilização exclusiva do sítio quente é limitada a seis semanas
B. O hot site pode ter de ser partilhado com outros clientes
C. A hora da declaração determina a prioridade de acesso ao sítio
D. O fornecedor presta serviços a todas as grandes empresas da zona
Ver resposta
Resposta correta: C
Pergunta #43
Uma organização planeia contratar um fornecedor de serviços externo para alojar o seu sítio Web empresarial. A preocupação MAIS importante para o gestor de segurança da informação é garantir que:
A. uma auditoria ao prestador de serviços não revela qualquer deficiência significativa
B. o contrato inclui um acordo de não divulgação (NDA) para proteger a propriedade intelectual da organização
C. o contrato deve exigir que o prestador de serviços cumpra as políticas de segurança
D. o prestador de serviços terceiro efectua testes de penetração regulares
Ver resposta
Resposta correta: C

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone: