NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Perguntas e respostas abrangentes sobre o exame CISM, Certified Information Security Manager | SPOTO

Prepare-se de forma abrangente para o exame de certificação Certified Information Security Manager (CISM) com as perguntas e respostas práticas abrangentes do SPOTO. Os nossos testes práticos abrangem uma vasta gama de tópicos de exame, incluindo gestão de riscos de informação, governação, gestão de incidentes e desenvolvimento de programas. Aceda a amostras de perguntas gratuitas para avaliar os seus conhecimentos, explore as lixeiras de exame para uma compreensão aprofundada e faça exames simulados para simular cenários de teste reais. Utilize os nossos materiais de exame seleccionados com respostas e explicações detalhadas para reforçar a sua aprendizagem. Com o simulador de exames online da SPOTO, pratique as questões do exame, refine a sua estratégia de exame e prepare-se eficazmente para o exame CISM. Quer esteja a praticar perguntas de exame, a rever cenários de amostra ou a aperfeiçoar a sua estratégia de exame, as perguntas e respostas abrangentes do exame CISM da SPOTO irão ajudá-lo a ter sucesso.
Faça outros exames online

Pergunta #1
Que informações são MAIS úteis para demonstrar à gestão de topo como a governação da segurança da informação se alinha com os objectivos empresariais?
A. Actualizações sobre projectos de segurança da informação em desenvolvimento
B. Projectos de propostas de alteração de políticas
C. Métricas dos principais produtos de segurança da informação
D. Uma lista de ameaças, riscos e exposições monitorizados
Ver resposta
Resposta correta: C
Pergunta #2
Uma organização está a considerar mover uma das suas aplicações empresariais críticas para um serviço de alojamento na nuvem. O provedor de nuvem pode não fornecer o mesmo nível de segurança para esse aplicativo que a organização. Qual das seguintes opções fornecerá as MELHORES informações para ajudar a manter a postura de segurança?
A. Avaliação dos riscos
B. Estratégia de segurança da nuvem
C. Avaliação da vulnerabilidade
D. Quadro de governação do risco
Ver resposta
Resposta correta: A
Pergunta #3
A MELHOR métrica para avaliar a eficácia de uma firewall é a:
A. Número de ataques bloqueados
B. número de pacotes descartados
C. taxa de transferência média
D. número de regras de firewall
Ver resposta
Resposta correta: C
Pergunta #4
Qual dos seguintes seria o MELHOR indicador de que uma organização está a gerir adequadamente o risco?
A. O número de incidentes de segurança comunicados pelo pessoal aumentou
B. Os resultados da avaliação de riscos estão dentro dos limites de tolerância
C. Um teste de penetração não identifica quaisquer vulnerabilidades de alto risco do sistema
D. O número de eventos comunicados pelo sistema de deteção de intrusões diminuiu
Ver resposta
Resposta correta: B
Pergunta #5
Uma empresa aceitou previamente o risco associado a uma vulnerabilidade de dia zero. A mesma vulnerabilidade foi recentemente explorada num ataque de alto nível a outra organização do mesmo sector. Qual das seguintes opções deve ser a PRIMEIRA linha de ação do gestor de segurança da informação?
A. Reavaliar o risco em termos de probabilidade e impacto
B. Desenvolver os melhores e os piores cenários
C. Comunicar a violação da outra organização à direção
D. Avaliar o custo da correção da vulnerabilidade
Ver resposta
Resposta correta: B
Pergunta #6
A principal razão para que o Comité Diretor de Segurança da Informação analise um novo plano de implementação de controlos de segurança é garantir que:
A. o plano está alinhado com o plano de negócios da organização
B. os orçamentos dos serviços são afectados de forma adequada para pagar o plano
C. Os requisitos de supervisão regulamentar são cumpridos
D. O impacto do plano nas unidades empresariais é reduzido
Ver resposta
Resposta correta: A
Pergunta #7
O conselho de administração de uma organização tomou conhecimento de uma legislação recente que exige que as organizações do sector adoptem medidas de segurança específicas para proteger as informações confidenciais dos clientes. Que acções deve a direção tomar a seguir?
A. Direcionar a segurança da informação para o que deve ser feito
B. Pesquisar soluções para determinar as soluções adequadas
C. Exigir que a direção apresente um relatório sobre o cumprimento
D. Nada; a segurança da informação não responde perante o Conselho de Administração
Ver resposta
Resposta correta: C
Pergunta #8
Qual das seguintes opções seria a MAIS útil num relatório para a direção para avaliar as alterações na posição de risco da segurança da informação da organização?
A. Registo de riscos
B. Análise de tendências
C. Referências do sector
D. Plano de ação de gestão
Ver resposta
Resposta correta: B
Pergunta #9
Qual das seguintes situações seria a que MAIS inibiria a implementação efectiva da governação da segurança?
A. A complexidade da tecnologia
B. Restrições orçamentais
C. Prioridades comerciais contraditórias
D. Patrocínio de alto nível
Ver resposta
Resposta correta: D
Pergunta #10
Na sequência de uma aquisição recente, foi solicitado a um gestor de segurança da informação que abordasse o risco pendente comunicado no início do processo de aquisição. Qual das seguintes opções seria a MELHOR linha de ação para o gestor?
A. Adicionar o risco pendente ao registo de riscos da organização adquirente
B. Reavaliar o risco pendente da empresa adquirida
C. Reavaliar o plano de tratamento do risco para o risco pendente
D. Efetuar uma avaliação da vulnerabilidade da infraestrutura da empresa adquirida
Ver resposta
Resposta correta: A
Pergunta #11
Qual das seguintes opções é a MAIS essencial para que um programa de gestão do risco seja eficaz?
A. Orçamento flexível de segurança
B. Base de risco sólida
C. Deteção de novos riscos
D. Comunicação exacta dos riscos
Ver resposta
Resposta correta: C
Pergunta #12
Um gestor de segurança da informação utiliza métricas de segurança para medir o..:
A. desempenho do programa de segurança da informação
B. desempenho da linha de base da segurança
C. eficácia da análise dos riscos de segurança
D. eficácia da equipa de resposta a incidentes
Ver resposta
Resposta correta: C
Pergunta #13
Ao considerar o valor dos activos, qual das seguintes opções daria ao gestor da segurança da informação a base MAIS objetiva para a medição da entrega de valor na governação da segurança da informação?
A. Número de controlos
B. Custo da realização dos objectivos de controlo
C. Eficácia dos controlos
D. Resultados dos testes dos controlos
Ver resposta
Resposta correta: D
Pergunta #14
Quando o risco inerente a uma atividade empresarial é inferior ao nível de risco aceitável, a MELHOR forma de agir seria
A. monitorizar as mudanças na atividade
B. rever o nível de risco residual
C. comunicar a conformidade à direção
D. implementar controlos para mitigar o risco
Ver resposta
Resposta correta: B
Pergunta #15
Ao selecionar as opções de resposta ao risco para o gerir, o gestor da segurança da informação deve centrar-se principalmente na redução:
A. exposição para satisfazer os níveis de tolerância ao risco
B. a probabilidade de ameaça
C. perdas financeiras através da transferência de riscos
D. o número de vulnerabilidades de segurança
Ver resposta
Resposta correta: A
Pergunta #16
Qual das seguintes opções é a MAIS eficaz para evitar a introdução de uma modificação de código que possa reduzir a segurança de uma aplicação comercial crítica?
A. Gestão de correcções
B. Gestão da mudança
C. Métricas de segurançaD
Ver resposta
Resposta correta: D
Pergunta #17
Um relatório de mitigação de riscos incluiria recomendações para:
A. avaliação
B. aceitação
C. avaliação
D. quantificação
Ver resposta
Resposta correta: B
Pergunta #18
A eficácia do software de deteção de vírus é MAIS dependente de qual das seguintes opções?
A. Filtragem de pacotes
B. Deteção de intrusões
C. Actualizações de software
D. Quadros de definição
Ver resposta
Resposta correta: A
Pergunta #19
Qual das seguintes opções é um indicador de melhoria na capacidade de identificar riscos de segurança?
A. Aumento do número de incidentes de segurança comunicados
B. Diminuição do número de efectivos que necessitam de formação em matéria de segurança da informação
C. Diminuição do número de avaliações de risco de segurança da informação
D. Aumento do número de questões de auditoria de segurança resolvidas
Ver resposta
Resposta correta: A
Pergunta #20
Qual deve ser a base PRIMÁRIA para dar prioridade à contenção de incidentes?
A. Requisitos legais e regulamentares
B. O custo de recuperação dos activos afectados
C. O valor comercial dos activos afectados
D. Contributos dos quadros superiores
Ver resposta
Resposta correta: A
Pergunta #21
Qual das seguintes seria a MELHOR métrica para o processo de gestão de riscos de TI?
A. Número de planos de ação de gestão do risco
B. Percentagem de activos críticos com medidas de correção orçamentadas
C. Percentagem de exposições ao risco não resolvidas
D. Número de incidentes de segurança identificados
Ver resposta
Resposta correta: B
Pergunta #22
Qual dos seguintes dispositivos deve ser colocado numa DMZ?
A. Router
B. Firewall
C. Retransmissão de correio eletrónico
D. Servidor de autenticação
Ver resposta
Resposta correta: B
Pergunta #23
Qual é a MELHOR técnica para determinar quais os controlos de segurança a implementar com um orçamento limitado?
A. Análise de risco
B. Cálculos de expetativa de perda anualizada (ALE)
C. Análise custo-benefício
D. Análise de impacto
Ver resposta
Resposta correta: C
Pergunta #24
Para além do alinhamento empresarial e da propriedade da segurança, qual das seguintes opções é a MAIS importante para a governação da segurança da informação?
A. Auditabilidade dos sistemas
B. Conformidade com as políticas
C. Comunicação de métricas de segurança
D. Patrocínio executivo
Ver resposta
Resposta correta: A
Pergunta #25
Numa análise de impacto comercial, o valor de um sistema de informação deve basear-se no custo global:
A. de recuperação
B. recriar
C. se não estiver disponível
D. das operações de emergência
Ver resposta
Resposta correta: C
Pergunta #26
Qual dos seguintes é o MELHOR método de proteção contra a exposição de dados quando um dispositivo móvel é roubado?
A. Capacidade de limpeza remota
B. Proteção por palavra-passe
C. Seguros
D. Encriptação
Ver resposta
Resposta correta: A
Pergunta #27
Para justificar a necessidade de investir numa ferramenta de análise forense, um gestor de segurança da informação deve PRIMEIRO:
A. Analisar as funcionalidades e os requisitos de implementação da solução
B. analisar relatórios de comparação da implementação de ferramentas em empresas congéneres
C. Dar exemplos de situações em que uma ferramenta deste tipo seria útil
D. fundamentar o investimento na satisfação das necessidades organizacionais
Ver resposta
Resposta correta: D
Pergunta #28
Qual das seguintes é a métrica MAIS relevante a incluir num relatório trimestral de segurança da informação para o comité executivo?
A. Relatório de tendências dos servidores conformes com a segurança
B. Percentagem de servidores conformes com a segurança
C. Número de correcções de segurança aplicadas
D. Relatório de tendências de patches de segurança aplicados
Ver resposta
Resposta correta: D
Pergunta #29
Após uma alteração significativa do código subjacente de uma aplicação, é MUITO importante que o gestor da segurança da informação
A. informar os quadros superiores
B. atualizar a avaliação dos riscos
C. validar o teste de aceitação do utilizador
D. modificar os principais indicadores de risco
Ver resposta
Resposta correta: A
Pergunta #30
Os requisitos de acesso aos dados para uma aplicação devem ser determinados pelo:
A. departamento jurídico
B. Responsável pela conformidade
C. Gestor da segurança da informação
D. proprietário de uma empresa
Ver resposta
Resposta correta: D
Pergunta #31
O sistema de classificação da informação deve:
A. considerar o possível impacto de uma violação de segurança
B. classificar as informações pessoais em formato eletrónico
C. ser efectuada pelo gestor da segurança da informação
D. classificar os sistemas de acordo com os dados processados
Ver resposta
Resposta correta: B
Pergunta #32
Um sistema de missão crítica foi identificado como tendo uma conta de sistema administrativo com atributos que impedem o bloqueio e a alteração de privilégios e nome. Qual seria a MELHOR abordagem para impedir o sucesso do brute forcing da conta?
A. Impedir que o sistema seja acedido remotamente D
B. Criar uma palavra-passe forte e aleatória
C. Pedir uma correção do fornecedor Controlar a utilização da conta através de pistas de auditoria
Ver resposta
Resposta correta: B
Pergunta #33
A razão MAIS importante para efetuar avaliações periódicas dos riscos é a seguinte
A. As avaliações de risco nem sempre são exactas
B. Os riscos de segurança estão sujeitos a alterações frequentes
C. Os revisores podem otimizar e reduzir o custo dos controlos
D. Demonstra à direção que a função de segurança pode acrescentar valor
Ver resposta
Resposta correta: B
Pergunta #34
Ao implementar uma nova metodologia de avaliação de riscos, qual dos seguintes requisitos é o MAIS importante?
A. As avaliações de risco devem ser efectuadas por pessoal certificado
B. A metodologia deve ser aprovada pelo diretor executivo
C. As avaliações de risco devem ser revistas anualmente
D. A metodologia utilizada deve ser consistente em toda a organização
Ver resposta
Resposta correta: D
Pergunta #35
A.
Ver resposta
Resposta correta: B
Pergunta #36
Uma instituição financeira global decidiu não tomar mais nenhuma medida em relação a um risco de negação de serviço (DoS) encontrado pela equipa de avaliação de riscos. A razão MAIS provável para essa decisão é que:
A. Existem salvaguardas suficientes para evitar que este risco ocorra
B. A contramedida necessária é demasiado complicada para ser aplicada
C. o custo da contramedida é superior ao valor do ativo e à perda potencial
D. A probabilidade de ocorrência do risco é desconhecida
Ver resposta
Resposta correta: C
Pergunta #37
A.
Ver resposta
Resposta correta: A
Pergunta #38
Qual das seguintes opções MELHOR fornece integridade de mensagens, autenticação da identidade do remetente e não repúdio?
A. Criptografia simétrica
B. Infraestrutura de chave pública (PKI)
C. Hash de mensagens
D. Código de autenticação de mensagem
Ver resposta
Resposta correta: C
Pergunta #39
Quando se constata que a segurança ao nível das aplicações controlada pelos proprietários dos processos empresariais é mal gerida, qual das seguintes opções poderia melhorar as práticas actuais?
A. Centralizar a gestão da segurança
B. Aplicação de sanções em caso de incumprimento
C. Aplicação das políticas pela direção de TI
D. Revisões periódicas da conformidade
Ver resposta
Resposta correta: D
Pergunta #40
Quem pode defender da melhor forma o desenvolvimento e garantir o êxito de um programa de segurança da informação?
A. Auditor interno
B. Diretor de operações (COO)
C. Comité de direção
D. Gestão de TI
Ver resposta
Resposta correta: A
Pergunta #41
Quem deve conduzir a análise de risco de uma organização?
A. Quadros superiores
B. Gestor de segurançaC
C.
Ver resposta
Resposta correta: B
Pergunta #42
A eficácia do processo de segurança da informação é reduzida quando uma organização subcontratada:
A. é responsável pelas actividades de governação da segurança da informação
B. recebe receitas adicionais quando os níveis de serviço de segurança são atingidos
C. incorre em sanções por incumprimento dos acordos de nível de serviço de segurança
D. normaliza um único produto de software de controlo de acessos
Ver resposta
Resposta correta: A
Pergunta #43
O risco aceitável é atingido quando
A. o risco residual é minimizado
B. o risco transferido é minimizado
C. O risco de controlo é minimizado
D. O risco inerente é minimizado
Ver resposta
Resposta correta: A
Pergunta #44
A fim de salientar à direção a importância de integrar a segurança da informação nos processos empresariais, um responsável pela segurança da informação recém-contratado deve PRIMEIRO:
A. preparar um orçamento de segurança
B. efetuar uma avaliação dos riscos
C. desenvolver uma política de segurança da informação
D. obter informações de benchmarking
Ver resposta
Resposta correta: B
Pergunta #45
Foi detectado um incidente em que os registos dos clientes foram alterados sem autorização. A MAIOR preocupação para a análise forense seria que os dados de registo:
A. foi divulgado
B. poderia estar temporariamente disponível
C. podem não estar sincronizados no tempo
D. pode ser modificado
Ver resposta
Resposta correta: D
Pergunta #46
A governação eficaz das TI é assegurada da seguinte forma
A. utilizando uma abordagem ascendente
B. gestão pelo departamento de TI
C. remeter o assunto para o departamento jurídico da organização
D. utilizando uma abordagem de cima para baixo
Ver resposta
Resposta correta: D
Pergunta #47
Qual das seguintes é a MELHOR forma de facilitar o alinhamento entre o programa de segurança da informação de uma organização e os objectivos comerciais?
A. A segurança da informação é considerada na fase de viabilidade de todos os projectos de TI
B. O comité de governação da segurança da informação inclui representantes das principais áreas de negócio
C. O diretor executivo revê e aprova o programa de segurança da informação
D. O programa de segurança da informação é auditado pelo departamento de auditoria interna
Ver resposta
Resposta correta: B
Pergunta #48
Qual das seguintes práticas impede completamente um ataque man-in-the-middle (MitM) entre dois anfitriões?
A. Utilizar tokens de segurança para autenticação
B. Ligar através de uma VPN IPSec
C. Utilizar https com um certificado do lado do servidor
D. Aplicar endereços de controlo de acesso aos meios (MAC) estáticos
Ver resposta
Resposta correta: A
Pergunta #49
Qual das seguintes opções MELHOR permite a implementação de uma segurança consistente em todas as sucursais internacionais de uma organização multinacional?
A. Maturidade dos processos de segurança
B. Correção das constatações de auditoria
C. Descentralização da governação da segurança
D. Estabelecimento da governação da segurança
Ver resposta
Resposta correta: D
Pergunta #50
Como é que um gestor de segurança da informação pode equilibrar os requisitos potencialmente contraditórios das normas de segurança de uma organização internacional e da regulamentação local?
A. Dar preferência às normas da organização em relação aos regulamentos locais
B. Respeitar apenas os regulamentos locais
C. Informar a organização sobre as normas em que os regulamentos locais causam conflitos
D. Negociar uma versão local das normas da organização
Ver resposta
Resposta correta: D
Pergunta #51
As unidades de negócios de uma organização são resistentes às mudanças propostas para o programa de segurança da informação. Qual das seguintes opções é a MELHOR maneira de resolver esse problema?
A. Implementação de formação adicional de sensibilização para a segurança
B. Comunicação dos resultados da avaliação dos riscos críticos aos gestores das unidades de negócio
C. Incluir a representação das unidades empresariais no comité diretor de segurança
D. Publicação de políticas de segurança da informação actualizadas
Ver resposta
Resposta correta: B
Pergunta #52
Qual das seguintes opções é a MAIS eficaz para evitar falhas de segurança nos sistemas operativos?
A. Gestão de correcções
B. Gestão da mudança
C. Linhas de base de segurança
D. Gestão da configuração
Ver resposta
Resposta correta: C
Pergunta #53
Qual das seguintes é a MELHOR métrica para avaliar a eficácia de um mecanismo de deteção de intrusões?
A. Número de ataques detectados
B. Número de ataques bem sucedidos
C. Rácio de falsos positivos e falsos negativos
D. Rácio entre ataques bem sucedidos e mal sucedidos
Ver resposta
Resposta correta: C
Pergunta #54
Qual dos seguintes controlos é MAIS eficaz para fornecer uma garantia razoável de conformidade de acesso físico a uma sala de servidores não vigiada controlada com dispositivos biométricos? C.
A. Revisão regular das listas de controlo de acesso
B. Acompanhamento dos visitantes por guardas de segurança Registo de visitantes à porta
C.
Ver resposta
Resposta correta: B
Pergunta #55
Qual das seguintes é a solução MAIS eficaz para impedir que indivíduos externos à organização modifiquem informações confidenciais numa base de dados empresarial?
A. Sub-redes rastreadas
B. Políticas e procedimentos de classificação da informação
C. Controlos de acesso baseados em funções
D. Sistema de deteção de intrusões (IDS)
Ver resposta
Resposta correta: D
Pergunta #56
Uma organização teve recentemente acesso não autorizado a dispositivos na sua rede. Para gerir proactivamente o problema e mitigar este risco, o MELHOR controlo preventivo seria
A. manter um inventário dos endereços de rede e de hardware de todos os sistemas ligados à rede
B. Instalar uma firewall de inspeção com estado para impedir o tráfego de rede não autorizado
C. implementar a autenticação e o início de sessão a nível da rede para regular o acesso dos dispositivos à rede
D. implementar uma ferramenta automatizada de descoberta de inventário de activos para identificar os dispositivos que acedem à rede
Ver resposta
Resposta correta: B
Pergunta #57
Qual das seguintes opções é geralmente utilizada para garantir que as informações transmitidas através da Internet são autênticas e efetivamente transmitidas pelo remetente nomeado?
A. Autenticação biométrica
B. Autenticação de dois factores esteganográfica incorporada
C.
Ver resposta
Resposta correta: C

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone: