NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Faça os exames CISA com testes práticos reais, Auditor certificado de sistemas de informação | SPOTO

Faça os exames CISA com os testes práticos reais do SPOTO Club! Tornar-se um Auditor Certificado de Sistemas de Informação requer uma preparação rigorosa. Os materiais de exame da SPOTO incluem centenas de perguntas e respostas realistas, bem como exames simulados completos para simular a experiência real do teste. Pratique com as perguntas do exame online da SPOTO e as perguntas de amostra para identificar as suas áreas fracas e concentrar os seus estudos. As suas explicações detalhadas para cada resposta de exame aprofundarão a sua compreensão. O simulador de exame da SPOTO recria o ambiente real do exame, ajudando-o a ganhar confiança e a gerir o seu tempo de forma eficaz. Não perca tempo com dumps de exame desactualizados - os testes práticos da SPOTO contêm as perguntas mais recentes do exame, actualizadas regularmente por especialistas na matéria. Comece hoje mesmo o seu teste gratuito e perceba porque é que o SPOTO é o recurso de preparação para o exame dos aspirantes a CISA em todo o mundo!
Faça outros exames online
Pergunta #1
Ao proteger os sistemas de TI de uma organização, qual das seguintes opções é normalmente a próxima linha de defesa depois que o firewall da rede foi comprometido?
A. Firewall pessoal
B. Programas antivírus
C. Sistema de deteção de intrusões (IDS)
D. Configuração da rede local virtual (VLAN)
Ver resposta
Resposta correta: C
Pergunta #2
Para atender aos requisitos de recuperação de desastres de uma organização, os intervalos de backup não devem exceder o:
A. Objetivo do nível de serviço (SLO)
B. Objetivo do tempo de recuperação (RTO)
C. Objetivo do ponto de recuperação (RPO)
D. Interrupção máxima aceitável (MAO)
Ver resposta
Resposta correta: C
Pergunta #3
Ao testar a separação de funções, qual das seguintes técnicas de auditoria fornece as provas MAIS fiáveis?
A. Observar as operações quotidianas na zona em causa
B. Avaliação da estrutura dos serviços através do organigrama
C. Revisão dos manuais de procedimentos dos serviços
D. Entrevistar gestores e utilizadores finais
Ver resposta
Resposta correta: A
Pergunta #4
Um auditor de SI que analisa a utilização de encriptação descobre que a chave simétrica é enviada por uma mensagem de correio eletrónico entre as partes. Qual das seguintes respostas de auditoria está correcta nesta situação?
A. É registada uma constatação de auditoria, uma vez que a chave deve ser assimétrica e, por conseguinte, alterada
B. Não foi registada qualquer constatação de auditoria, uma vez que é normal distribuir uma chave desta natureza desta forma
C. Não é registada qualquer constatação de auditoria, uma vez que a chave só pode ser utilizada uma vez
D. É registada uma conclusão de auditoria porque a chave deve ser distribuída de forma segura
Ver resposta
Resposta correta: B
Pergunta #5
Qual das seguintes é a MELHOR abordagem para tomar decisões estratégicas de segurança da informação?
A. Elaborar relatórios regulares sobre o estado da segurança da informação
B. Criar grupos de trabalho sobre segurança nas unidades empresariais
C. Estabelecer reuniões periódicas da direção
D. Criar um comité diretor de segurança da informação
Ver resposta
Resposta correta: A
Pergunta #6
No que respeita à autenticação biométrica, as características físicas incluem normalmente (escolher cinco):
A. Impressões digitais
B. retinas oculares
C. íris
D. padrões faciaisE
E.
Ver resposta
Resposta correta: ABCD
Pergunta #7
Uma organização acabou de concluir a sua avaliação anual dos riscos. Relativamente ao plano de continuidade do negócio, o que é que um auditor de SI deve recomendar como próximo passo para a organização?
A. Rever e avaliar a adequação do plano de continuidade das actividades
B. Efetuar uma simulação completa do plano de continuidade da atividade
C. Formar e educar os funcionários relativamente ao plano de continuidade das actividades
D. Notificar os contactos críticos no plano de continuidade do negócio
Ver resposta
Resposta correta: A
Pergunta #8
Um auditor de SI observou que uma organização tinha planos de continuidade de negócio (PCN) adequados para cada processo individual, mas não tinha um PCN abrangente. Qual seria a MELHOR linha de ação para o auditor de SI?
A. Recomendar a elaboração de um PCA adicional abrangente
B. Determinar se os PCA são coerentes
C. Aceitar os PCA tal como estão redigidos
D. Recomendar a criação de um único PCA
Ver resposta
Resposta correta: B
Pergunta #9
Qual das seguintes opções um auditor de SI deve verificar ao auditar a eficácia da proteção contra vírus?
A. Frequência das revisões dos registos IDS
B. Moeda da aplicação de correcções de software
C. Calendário de migração para a produção
D. Frequência de acesso externo à Internet
Ver resposta
Resposta correta: C
Pergunta #10
Uma organização estabeleceu três ambientes de processamento de SI: desenvolvimento, teste e produção. O PRINCIPAL motivo para separar os ambientes de desenvolvimento e de teste é:
A. Obter a separação de funções entre o pessoal dos SI e os utilizadores finais
B. limitar os direitos de acesso do utilizador ao ambiente de teste
C. realizar testes num ambiente estável
D. proteger os programas em desenvolvimento de testes não autorizados
Ver resposta
Resposta correta: C
Pergunta #11
Durante o acompanhamento da auditoria, um auditor de SI constata que um controlo foi implementado de forma diferente da recomendada. O auditor deve:
A. verificar se os objectivos de controlo são adequadamente abordados
B. comparar o controlo com o plano de ação
C. comunicar como uma constatação repetida
D. informar a administração sobre a implementação incorrecta
Ver resposta
Resposta correta: B
Pergunta #12
Um auditor de SI descobre que os servidores de aplicações têm definições de segurança inconsistentes, o que conduz a potenciais vulnerabilidades. Qual das seguintes é a MELHOR recomendação do auditor de SI? A. Melhorar o processo de gestão de alterações
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #13
Qual das seguintes opções é a MAIS importante para um auditor de SI analisar ao avaliar a eficácia do processo de resposta a incidentes de uma organização?
A. Acções anteriores de resposta a incidentes
B. Experiência e qualificações do pessoal de resposta a incidentes
Ver resposta
Resposta correta: A
Pergunta #14
É pedido a um auditor de SI que identifique o risco num projeto de desenvolvimento de software de uma organização. O gestor do projeto informa o auditor de que está a ser utilizada uma metodologia de desenvolvimento ágil para minimizar o longo processo de desenvolvimento. Qual das seguintes opções seria a de MAIOR preocupação para o auditor?
A. Cada equipa faz os seus próprios testes
B. Os trabalhos necessários ainda não foram totalmente identificados
C. Alguns dos criadores não participaram em acções de formação recentes
D. Os elementos do projeto não foram documentados
Ver resposta
Resposta correta: B
Pergunta #15
Uma autoridade de certificação (CA) pode delegar os processos de:
A. Revogação e suspensão do certificado de assinante
B. geração e distribuição da chave pública da AC
C. estabelecer uma ligação entre a entidade requerente e a sua chave pública
D. Emitir e distribuir certificados de assinante
Ver resposta
Resposta correta: C
Pergunta #16
Qual dos seguintes factores é o MAIS importante quando uma organização está a desenvolver políticas e procedimentos de segurança da informação?
A. Referências cruzadas entre políticas e procedimentos
B. Inclusão da missão e dos objectivos C
C.
Ver resposta
Resposta correta: A
Pergunta #17
Qual dos seguintes grupos é MAIS provavelmente responsável pela implementação de projectos de TI?
A. Comité diretor de TI
B. Comité de Conformidade TI
C. Comité de estratégia TI
D. Comité de governação das TI
Ver resposta
Resposta correta: C
Pergunta #18
Uma aplicação antiga está a ser executada num sistema operativo que já não é suportado pelo fornecedor. Se a organização continuar a utilizar a aplicação atual, qual das seguintes deve ser a MAIOR preocupação do auditor de SI?
A. Potencial exploração de vulnerabilidades de dia zero no sistema
B. Incapacidade de atualizar a base de dados da aplicação antiga
C. Aumento do custo de manutenção do sistema
D. Incapacidade de utilizar o sistema operativo devido a potenciais problemas de licença
Ver resposta
Resposta correta: A
Pergunta #19
Qual dos seguintes modos de comunicação deve ser o MAIS preocupante para um auditor de SI que avalia a rede do utilizador final?
A. Sistema a sistema
B. Peer-to-peer
C. Anfitrião a anfitrião
D. Cliente para servidor
Ver resposta
Resposta correta: C
Pergunta #20
Após um teste de contingência operacional completo, um auditor de SI efectua uma análise das etapas de recuperação. O auditor conclui que o tempo necessário para que o ambiente tecnológico e os sistemas voltem a funcionar plenamente excedeu o tempo crítico de recuperação exigido. Qual das seguintes opções o auditor deve recomendar?
A. Efetuar uma revisão integral das tarefas de recuperação
B. Alargar a capacidade de processamento para ganhar tempo de recuperação
C. Melhorar a estrutura de circulação das instalações
D. aumentar a quantidade de recursos humanos envolvidos na recuperação
Ver resposta
Resposta correta: A
Pergunta #21
Para restaurar o serviço numa grande instalação de processamento após um desastre, qual das seguintes tarefas deve ser realizada PRIMEIRO?
A. Lançar a equipa de intervenção de emergência
B. Informar os agentes das companhias de seguros
C. Contactar os fornecedores de equipamento
D. Ativar o acordo recíproco
Ver resposta
Resposta correta: A
Pergunta #22
Os sistemas de bases de dados sofisticados oferecem muitos níveis e tipos de segurança, incluindo (Escolha três.):
A. Controlo de acesso
B. Auditoria
C. Encriptação
D. Controlos de integridade
E. Controlos de compressão
Ver resposta
Resposta correta: ABCD
Pergunta #23
O MAIOR risco representado por um sistema de prevenção de intrusões (IPS) implementado incorretamente é:
A. que haverá demasiados alertas para os administradores de sistemas verificarem
B. diminuição do desempenho da rede devido ao tráfego IPS
C. o bloqueio de sistemas ou serviços críticos devido a falsos accionamentos
D. dependência de conhecimentos especializados dentro da organização de TI
Ver resposta
Resposta correta: C
Pergunta #24
Qual o tipo de risco que MAIS influenciaria a seleção de uma metodologia de amostragem?
A. Controlo
B. Inerente
C. Residual
D. Deteção
Ver resposta
Resposta correta: A
Pergunta #25
Na determinação do período de tempo aceitável para a retoma de processos comerciais críticos:
A. Só é necessário ter em conta os custos do tempo de inatividade
B. as operações de recuperação devem ser analisadas
C. É necessário avaliar tanto os custos de inatividade como os custos de recuperação
D. Os custos indirectos do tempo de inatividade devem ser ignorados
Ver resposta
Resposta correta: C
Pergunta #26
Ao analisar o plano de continuidade do negócio de uma organização, um auditor de SI observou que os ficheiros de dados e de software da organização são objeto de cópias de segurança periódicas. Que caraterística de um plano eficaz é que isto demonstra?
A. Dissuasão
B. Mitigação
C. Recuperação
D. Resposta
Ver resposta
Resposta correta: B
Pergunta #27
A programação do acompanhamento das auditorias deve basear-se, PRIMEIRAMENTE, em:
A. custos e esforços de auditoria envolvidos
B. compromissos em termos de tempo da pessoa objeto de auditoria e do auditor
C. o risco e a exposição envolvidos
D. processos de controlo e deteção
Ver resposta
Resposta correta: D
Pergunta #28
Qual das seguintes é uma razão para implementar um modelo de governação de TI descentralizado?
A. Controlos normalizados e economias de escala
B. Sinergia informática entre unidades de negócio
C. Maior coerência entre as unidades de negócio
D. Maior capacidade de resposta às necessidades da empresa
Ver resposta
Resposta correta: D
Pergunta #29
Um auditor de SI está a analisar uma amostra de acessos registados no registo do sistema de uma aplicação. O auditor pretende lançar uma investigação intensiva se for encontrada uma exceção. Que método de amostragem seria adequado?
A. Amostragem por descoberta B
B.
C.
Ver resposta
Resposta correta: D
Pergunta #30
Qual das seguintes opções é a forma MAIS fiável de um auditor de SI avaliar a eficácia operacional dos controlos de prevenção de perda de dados (DLP) de uma organização?
A. Verificar se os ficheiros confidenciais não podem ser transmitidos para um dispositivo USB pessoal
B. Realizar entrevistas para identificar possíveis vulnerabilidades na proteção de dados
C. Rever os níveis de classificação dos dados com base nas melhores práticas do sector
D. Verificar se o software DLP atual está instalado em todos os sistemas informáticos
Ver resposta
Resposta correta: C
Pergunta #31
Uma empresa utiliza um formulário padrão para documentar e aprovar todas as alterações nos programas de produção. Para garantir que os formulários são devidamente autorizados, qual dos seguintes é o método de amostragem MAIS eficaz?
A. Atributo
B. Variável
C. Descoberta
D. Monetário
Ver resposta
Resposta correta: C
Pergunta #32
Qual das seguintes opções forneceria a prova MAIS fiável para indicar se o acesso do empregado foi desativado atempadamente após a cessação?
A. Comparação dos formulários de rescisão com as datas no sistema HR
B. Revisão dos formulários de devolução de activos de hardware
C. Entrevistar os supervisores para verificar se os dados dos empregados estão a ser actualizados imediatamente
D. Comparação dos formulários de rescisão com as entradas do registo de transacções do sistema
Ver resposta
Resposta correta: B
Pergunta #33
Durante a auditoria de um plano de continuidade de negócios (PCN), um auditor de SI constatou que, embora todos os departamentos estivessem alojados no mesmo edifício, cada departamento tinha um PCN separado. O auditor de SI recomendou que os PCA fossem reconciliados. Qual das seguintes áreas deve ser reconciliada PRIMEIRO?
A. Plano de evacuação
B. Prioridades de recuperação
C. Armazenamento de cópias de segurança
D. Árvore de chamadas
Ver resposta
Resposta correta: A
Pergunta #34
Uma equipa de auditoria tem um calendário completo aprovado pelo comité de auditoria. Depois de iniciar algumas das auditorias programadas, a direção executiva pediu à equipa para auditar imediatamente um processo adicional. Não há recursos suficientes disponíveis para adicionar a auditoria adicional ao cronograma. Qual das seguintes opções é a MELHOR linha de ação?
A. Rever o âmbito das auditorias programadas
B. Propor um calendário de auditoria revisto
C. Aprovar as horas extraordinárias para garantir a conclusão da auditoria
D. Considerar a programação da auditoria para o período seguinte
Ver resposta
Resposta correta: D
Pergunta #35
Como parte do processo de planeamento da continuidade das actividades, qual dos seguintes aspectos deve ser identificado PRIMEIRO na análise do impacto nas actividades?
A. Riscos organizacionais, tais como o risco de ponto único de falha e o risco de infraestrutura
B. Ameaças aos processos críticos da empresa
C. Processos empresariais críticos para determinar a prioridade da recuperação
D. Recursos necessários para a retoma da atividade
Ver resposta
Resposta correta: C
Pergunta #36
Qual das seguintes opções é a MAIS importante para um auditor de SI garantir que está incluída na notificação de privacidade de dados online de uma organização global aos clientes?
A. Consequências para a organização do tratamento incorreto dos dados
B. Termos de consentimento, incluindo o objetivo da recolha de dados
C. Informações de contacto para a comunicação de violações da autorização
D. Normas do sector para a notificação de violações de dados
Ver resposta
Resposta correta: C
Pergunta #37
Qual das seguintes opções pode garantir que um projeto de TI produziu os benefícios previstos?
A. Teste de aceitação do utilizador (UAT)
B. Aprovação do comité de direção
C. Revisão pós-implementação
D. Avaliação da garantia de qualidade
Ver resposta
Resposta correta: C
Pergunta #38
Os routers baseados no Cisco IOS efectuam a filtragem básica de tráfego através de qual dos seguintes mecanismos?
A. digitalização de datagramas
B. listas de acesso
C. inspeção com estado
D. controlo estatal
E. ligação em curso
F. Nenhuma das opções
Ver resposta
Resposta correta: B
Pergunta #39
Para proteger a confidencialidade dos activos de informação, a prática de controlo MAIS eficaz é a seguinte
A. Formação de sensibilização do pessoal para os requisitos regulamentares
B. aplicação de uma filosofia de controlo de acesso do tipo "necessidade de conhecer"
C. Utilização de um mecanismo de autenticação de duplo fator
D. configuração do acesso só de leitura para todos os utilizadores
Ver resposta
Resposta correta: C
Pergunta #40
Qual das seguintes é uma responsabilidade PRIMÁRIA de um comité de governação da segurança da informação?
A. Aprovar a aquisição de tecnologias de segurança da informação
B. Aprovar a estratégia de formação de sensibilização para a segurança da informação
C. Revisão da estratégia de segurança da informação
D. Analisar as revisões de conformidade da política de segurança da informação
Ver resposta
Resposta correta: D
Pergunta #41
Um auditor de SI está a analisar as políticas de TI e descobriu que a maioria das políticas não é revista há mais de 3 anos. O risco MAIS significativo é que as políticas não reflictam:
A. requisitos legais actuais
B. a visão do diretor-geral
C. a missão da organização
D. as melhores práticas actuais do sector
Ver resposta
Resposta correta: A
Pergunta #42
Qual das seguintes constatações seria a MAIOR preocupação para um auditor de SI que estivesse a analisar o programa de sensibilização para a segurança online recentemente implementado numa organização?
A. Apenas os novos funcionários são obrigados a participar no programa
B. O calendário para as actualizações do programa não foi determinado
C. Não foram estabelecidas métricas para avaliar os resultados da formação
D. Os trabalhadores não recebem uma notificação imediata dos resultados
Ver resposta
Resposta correta: C
Pergunta #43
A MELHOR forma de validar se um ato malicioso ocorreu realmente numa aplicação é analisar:
A. Separação de funções
B. controlos de acesso
C. registos de actividades
D. registos de gestão de alterações
Ver resposta
Resposta correta: A
Pergunta #44
Um auditor de SI está a avaliar a segurança do processo de backup de dados de uma organização, que inclui a transmissão de backups incrementais diários para um servidor externo dedicado. Qual das seguintes constatações representa o MAIOR risco para a organização?
A. As transmissões de cópia de segurança não são encriptadas
B. As transmissões de reserva falham ocasionalmente
C. Os testes de recuperação de dados são efectuados uma vez por ano
D. O registo de dados arquivados está incompleto
Ver resposta
Resposta correta: B
Pergunta #45
Qual dos seguintes controlos de segurança se destina a repor o ambiente em funcionamento normal?
A. Dissuasão
B. Preventivo
C. Correctivas
D. Recuperação
Ver resposta
Resposta correta: C
Pergunta #46
Ao avaliar um business case como parte de uma revisão pós-implementação, o auditor de SI deve garantir que
A. Foi avaliada a viabilidade de abordagens de projeto alternativas
B. O business case não foi alterado desde a aprovação do projeto
C. Foram aplicadas medidas de garantia da qualidade ao longo de todo o projeto
D. Foram aprovadas as alterações ao business case
Ver resposta
Resposta correta: D
Pergunta #47
O objetivo PRIMÁRIO de uma análise de impacto nas empresas (BIA) é
A. fornecer um plano para retomar as operações após uma catástrofe
B. identificar os eventos que podem afetar a continuidade das operações de uma organização
C. divulgar o compromisso da organização com a segurança física e lógica
D. fornecer a estrutura para um plano eficaz de recuperação de desastres
Ver resposta
Resposta correta: B
Pergunta #48
Um auditor de SI verifica que o sistema de gestão de registos está sobrecarregado com alertas falsos positivos. A MELHOR recomendação do auditor seria:
A. Recrutar mais pessoal de controlo
B. afinar o sistema de deteção de intrusões (IDS)
C. reduzir as regras da firewall
D. Estabelecer critérios para a análise das indicações
Ver resposta
Resposta correta: D
Pergunta #49
Ao analisar problemas semelhantes no sistema de help desk de uma organização, um auditor de SI descobre que eles foram analisados de forma independente e resolvidos de forma diferente. Esta situação indica, muito provavelmente, uma deficiência em:
A. Gestão do nível de serviço de TI
B. gestão da mudança
C. Gestão da configuração
D. gestão de problemas
Ver resposta
Resposta correta: B
Pergunta #50
Qual das seguintes opções MELHOR permite que o pessoal aceite as políticas de segurança da informação?
A. Forte apoio dos quadros superiores
B. Financiamento adequado da segurança
C. Formação baseada em computador
D. Um programa sólido de resposta a incidentes
Ver resposta
Resposta correta: D
Pergunta #51
O objetivo PRIMÁRIO dos planos de continuidade das actividades e de recuperação de desastres deve ser
A. salvaguardar os activos críticos dos SI
B. Prever a continuidade das operações
C. minimizar a perda para uma organização
D. proteger a vida humana
Ver resposta
Resposta correta: D
Pergunta #52
Qual dos seguintes é o benefício MAIS importante de envolver a auditoria dos SI na implementação da governação das TI da empresa?
A. Identificar as funções relevantes para uma estrutura de governação de TI da empresa B
B.
C.
Ver resposta
Resposta correta: B
Pergunta #53
Qual das seguintes opções é a PRIMEIRA a considerar quando se desenvolve uma política de retenção de dados?
A. Determinação do ciclo de cópia de segurança com base no período de retenção
B. Conceção de uma estratégia de armazenamento de infra-estruturas
C. Identificar o período de conservação legal e contratual dos dados
D. Determinar os privilégios de acesso de segurança aos dados
Ver resposta
Resposta correta: C
Pergunta #54
Qual das seguintes opções é o PRIMEIRO passo na realização de uma análise de impacto comercial?
A. Identificação dos recursos de informação críticos
B. Identificação de eventos que afectam a continuidade das operações
C. Análise dos volumes de transacções anteriores
D. Criar um esquema de classificação de dados
Ver resposta
Resposta correta: A
Pergunta #55
Ao facilitar o alinhamento da governação empresarial e da governação da segurança da informação, qual das seguintes é a função MAIS importante do comité diretor de segurança de uma organização?
A. Obter o apoio dos empresários para a integração
B. Obtenção de aprovação para o orçamento de segurança da informação
C. Avaliar e comunicar o grau de integração
D. Definição de métricas para demonstrar o alinhamento
Ver resposta
Resposta correta: A
Pergunta #56
Qual das seguintes opções é a MAIS importante a incluir num contrato com um fornecedor de serviços de desenvolvimento de software?
A. Uma lista de indicadores-chave de desempenho (KPI)
B. Propriedade da propriedade intelectual C
C.
Ver resposta
Resposta correta: B
Pergunta #57
Ao analisar as políticas de backup, um auditor de SI DEVE verificar se os intervalos de backup de sistemas críticos não excedem qual das seguintes opções?
A. Objetivo do ponto de recuperação (RPO)
B. Objetivo do tempo de recuperação (RTO)
C. Objetivo do nível de serviço (SLO)
D. Interrupção máxima aceitável (MAO)
Ver resposta
Resposta correta: A
Pergunta #58
Um auditor de SI está a analisar os resultados de um projeto de melhoria de processos empresariais. Qual das seguintes acções deve ser realizada PRIMEIRO?
A. Avaliar as lacunas de controlo entre os processos antigos e os novos
B. Desenvolver controlos de compensação
C. Documentar o impacto das deficiências de controlo no processo
D. Garantir que as lições aprendidas durante o processo de mudança sejam documentadas
Ver resposta
Resposta correta: A
Pergunta #59
Na sequência de uma violação de segurança em que um hacker explorou uma vulnerabilidade bem conhecida no controlador de domínio, foi pedido a um auditor de SI que efectuasse uma avaliação do controlo. A MELHOR forma de atuação do auditor seria determinar se:
A. o controlador de domínio foi classificado para alta disponibilidade
B. o tráfego de rede estava a ser monitorizado
C. os patches foram actualizados
D. os registos foram monitorizados
Ver resposta
Resposta correta: B
Pergunta #60
Uma grande cadeia de lojas com transferência eletrónica de fundos (EFT) em dispositivos de ponto de venda tem um processador de comunicações central para ligação à rede bancária. Qual das seguintes opções é o MELHOR plano de recuperação de desastres para o processador de comunicações?
A. Armazenamento fora do local das cópias de segurança diárias
B. Processador alternativo de reserva no local
C. instalação de ligações de comunicação duplex
D. Processador alternativo em espera noutro nó da rede
Ver resposta
Resposta correta: D
Pergunta #61
O objetivo principal de um método de diagrama de precedências na gestão de projectos de TI é
A. Monitorizar o aumento do âmbito do projeto
B. identificar o caminho crítico
C. identificar as principais etapas
D. minimizar os atrasos e os excessos
Ver resposta
Resposta correta: A
Pergunta #62
Qual é a MELHOR forma de um auditor de SI abordar o risco associado à conservação excessiva de dados pessoais depois de identificar um grande número de registos de clientes conservados para além do período de conservação definido por lei?
A. Recomendar a automatização da eliminação de registos para além do período de conservação
B. Programar auditorias internas regulares para identificar os registos a eliminar
C. Comunicar o incumprimento do período de retenção à autoridade reguladora
D. Encaminhar a questão da retenção excessiva para o responsável pela privacidade dos dados para acompanhamento
Ver resposta
Resposta correta: A
Pergunta #63
Durante uma revisão do help desk, um auditor de SI determina que a taxa de abandono de chamadas excede os níveis de serviço acordados. Que conclusões podem ser tiradas dessa constatação? A. O número de linhas telefónicas disponíveis para o serviço de assistência é insuficiente.
A.
B.
C.
Ver resposta
Resposta correta: A
Pergunta #64
Um auditor de SI determina que um plano de continuidade do negócio não foi revisto e aprovado pela direção. Qual dos seguintes é o risco MAIS significativo associado a esta situação?
A. O planeamento da continuidade pode estar sujeito a restrições de recursos
B. O plano pode não estar alinhado com as melhores práticas do sector
C. Os processos empresariais críticos podem não ser tratados de forma adequada
D. O plano não foi revisto pela gestão do risco
Ver resposta
Resposta correta: D
Pergunta #65
Qual das seguintes situações deve ser a MAIOR preocupação para um auditor de SI que esteja a analisar o programa de segurança da informação de uma organização?
A. O programa não foi formalmente assinado pelo patrocinador
B. Não foram estabelecidos indicadores-chave de desempenho (KPI)
C. Nem todo o pessoal de TI tem conhecimento do programa
Ver resposta
Resposta correta: A
Pergunta #66
Qual das seguintes opções oferece a MAIOR garantia de que uma organização atribui recursos adequados para responder a eventos de segurança da informação?
A. Procedimentos de classificação de incidentes
B. Análise de ameaças e relatórios de informação
C. Um plano de pessoal de TI aprovado
D. Políticas e normas de segurança da informação
Ver resposta
Resposta correta: B
Pergunta #67
Uma organização está a desenvolver normas de classificação de dados e pediu aconselhamento à auditoria interna sobre o alinhamento das normas com as melhores práticas. A auditoria interna recomendaria MAIS provavelmente que as normas fossem:
A. Com base nos resultados de uma avaliação de riscos de toda a organização
B.
C.
Ver resposta
Resposta correta: A
Pergunta #68
Pede-se ao auditor de SI que explique como é que os servidores da rede local (LAN) podem contribuir para uma rápida disseminação de vírus. A MELHOR resposta do auditor SI é que:
A. O software do servidor é o alvo principal e é o primeiro a ser infetado
B. O sistema operativo do servidor troca dados com cada estação a partir de cada início de sessão
C. A função de partilha de ficheiros do servidor facilita a distribuição de ficheiros e aplicações
D. Os utilizadores de um determinado servidor têm uma utilização semelhante de aplicações e ficheiros
Ver resposta
Resposta correta: A
Pergunta #69
Um modelo de maturidade pode ser utilizado para auxiliar a implementação da governação das TI, identificando
A. Factores críticos de sucesso (CSF)
B. factores de desempenho C
C.
Ver resposta
Resposta correta: C
Pergunta #70
Uma organização transmite grandes quantidades de dados de um sistema interno para outro. O auditor de SI está a analisar a qualidade dos dados no ponto de origem. Qual das seguintes opções o auditor deve verificar PRIMEIRO?
A. Os dados foram encriptados
B. A transformação de dados é exacta
C. O processo de extração de dados está concluído
D. Os dados de origem são exactos
Ver resposta
Resposta correta: A
Pergunta #71
Qual é a PRIMEIRA linha de defesa contra actividades criminosas internas?
A. Validação da integridade do pessoal
B. Acompanhamento das actividades dos trabalhadores
C. Assinatura de acordos de segurança pelo pessoal crítico
D. Controlos de acesso rigorosos e aplicados
Ver resposta
Resposta correta: D
Pergunta #72
Qual das seguintes opções deve o auditor de SI fazer PRIMEIRO para garantir a integridade da transferência de dados para dispositivos da Internet das Coisas (IoT)?
A. Verificar as listas de controlo de acesso à base de dados onde estão armazenados os dados recolhidos
B. Confirmar se estão definidos limites aceitáveis de largura de banda de dados para cada dispositivo
C. Certifique-se de que é utilizado o transporte de telemetria de fila de mensagens (MQTT)
Ver resposta
Resposta correta: B
Pergunta #73
Um comité diretor de TI ajuda o conselho de administração a cumprir os deveres de governação de TI ao
A. Desenvolver políticas e procedimentos de TI para o acompanhamento de projectos
B. centrada no fornecimento de serviços e produtos informáticos
C. supervisionar os grandes projectos e a atribuição de recursos informáticos
D. implementar a estratégia de TI
Ver resposta
Resposta correta: D
Pergunta #74
Qual das seguintes opções é a MAIS importante a incluir num plano de continuidade da atividade (PCN)?
A. Informações de contacto do fornecedor
B. Documentação dos sistemas críticos
C. Documentação das plantas do centro de dados
D. Informações de localização do sítio de cópia de segurança
Ver resposta
Resposta correta: C
Pergunta #75
Um auditor de SI está a planear auditar a infraestrutura de uma organização em termos de acesso, aplicação de patches e gestão de alterações. Qual das seguintes é a MELHOR maneira de priorizar os sistemas?
A. Complexidade do ambiente
B. Criticidade do sistema
C. Hierarquia do sistema na infraestrutura
D. Plano de reforma do sistema
Ver resposta
Resposta correta: D
Pergunta #76
Qual das seguintes situações seria MELHOR evitada por um piso elevado na sala de máquinas do computador?
A. Danos nos fios à volta dos computadores e servidores
B. Uma falha de energia devido a eletricidade estática
C. Choques causados por terramotos
D. Danos causados por inundações de água
Ver resposta
Resposta correta: A
Pergunta #77
Uma auditoria de controlo interno revelou uma deficiência de controlo relacionada com um sistema antigo em que os controlos de compensação já não parecem ser eficazes. Qual das seguintes opções MELHOR ajudaria o gestor de segurança da informação a determinar os requisitos de segurança para resolver a deficiência de controlo?
A. Análise custo-benefício
B. Análise das lacunas
C. Avaliação dos riscos
D. Caso de negócio
Ver resposta
Resposta correta: D
Pergunta #78
Após alterações organizacionais significativas, qual das seguintes é a consideração MAIS importante ao atualizar a política de TI?
A. A política está integrada nas descrições de funções
B. A política é aprovada pelos quadros superiores
C. A política está em conformidade com as leis e regulamentos relevantes
Ver resposta
Resposta correta: C
Pergunta #79
Ao analisar os processos de governação de TI de uma organização, qual das seguintes opções fornece a MELHOR indicação de que as expectativas de segurança da informação estão a ser cumpridas a todos os níveis?
A. Realização dos indicadores de segurança estabelecidos
B. Aprovação do programa de segurança pela direção
C. Utilização de uma norma de segurança reconhecida internacionalmente
D. Implementação de um programa global de sensibilização para a segurança
Ver resposta
Resposta correta: C
Pergunta #80
Um auditor de SI observa que o CEO tem acesso total ao sistema de planeamento de recursos empresariais (ERP). O auditor de SI deve PRIMEIRO:
A. Aceitar o nível de acesso fornecido como adequado
B. recomendar a supressão do privilégio
C. ignorar a observação por não ser relevante para o reexame
D. documentar a descoberta como um risco potencial
Ver resposta
Resposta correta: D
Pergunta #81
Um cavalo de Troia não pode simplesmente funcionar de forma autónoma.
A. Verdadeiro
B. falso
Ver resposta
Resposta correta: A
Pergunta #82
Qual das seguintes opções seria a MAIS crítica para um auditor de SI procurar ao avaliar as precauções contra incêndio num centro de dados tripulado localizado no piso superior de um edifício de vários andares?
A. Existência de extintores de incêndio portáteis em locais bem visíveis
B. Documentação relativa às inspecções regulares efectuadas pelo corpo de bombeiros local
C. Adequação do sistema AVAC em toda a instalação
D. Documentação dos planos de evacuação de emergência testados
Ver resposta
Resposta correta: A
Pergunta #83
Durante uma auditoria de acompanhamento, um auditor de SI verifica que algumas recomendações críticas não foram tratadas, uma vez que a direção decidiu aceitar o risco. Qual das seguintes é a MELHOR linha de ação do auditor de SI?
A. Ajustar a avaliação anual dos riscos em conformidade
B. Exigir que a entidade auditada responda às recomendações na íntegra
C. Avaliar a aceitação do risco pela direção
D. Atualizar o programa de auditoria com base na aceitação do risco por parte da gestão
Ver resposta
Resposta correta: B
Pergunta #84
Qual das seguintes é a razão MAIS importante para utilizar a amostragem estatística?
A. Os resultados são mais defensáveis
B. Assegura que todos os casos relevantes são abrangidos C
C.
Ver resposta
Resposta correta: C
Pergunta #85
Qual das seguintes opções MELHOR forneceria à direção executiva informações actuais sobre os custos relacionados com as TI e os indicadores de desempenho das TI?
A. Painel de controlo informático
B. Registo de riscos
C. Plano de gestão de serviços informáticos
D. Relatórios de auditoria contínuos
Ver resposta
Resposta correta: B
Pergunta #86
Qual das seguintes opções é a consideração MAIS importante para uma organização quando planeia cumprir os regulamentos de privacidade?
A. Assegurar a existência de membros do pessoal com um conhecimento aprofundado dos regulamentos relativos à privacidade
B. Garantir um conhecimento atualizado do local onde são guardados os dados dos clientes
C. Assegurar a atualização regular dos contratos com terceiros que tratam os dados dos clientes
D. Garantir o acesso adequado aos sistemas de informação que contêm informações sobre a proteção da vida privada
Ver resposta
Resposta correta: D
Pergunta #87
Qual das seguintes opções é a que MAIS contribui para um plano de continuidade das actividades (PCN) eficaz?
A. O documento é distribuído a todas as partes interessadas
B. O planeamento envolve todos os serviços utilizadores
C. Aprovação pelos quadros superiores
D. Auditoria por um auditor externo de SI
Ver resposta
Resposta correta: B
Pergunta #88
A direção de auditoria acaba de concluir o plano de auditoria anual para o ano seguinte, que consiste inteiramente em processos de alto risco. No entanto, foi determinado que não existem recursos suficientes para executar o plano. O que deve ser feito a seguir? A. Remover auditorias do plano anual para melhor corresponder ao número de recursos disponíveis
A.
B.
C.
Ver resposta
Resposta correta: B
Pergunta #89
Qual dos seguintes é o pré-requisito MAIS importante para implementar uma ferramenta de prevenção de perda de dados (DLP)?
A. Identificar onde residem os dados existentes e estabelecer uma matriz de classificação de dados
B. Exigir que os utilizadores guardem os ficheiros em pastas seguras em vez de numa unidade partilhada em toda a empresa
C. Revisão dos registos de transferência de dados para determinar os padrões históricos do fluxo de dados
D. Desenvolver uma política DLP e exigir o reconhecimento assinado pelos utilizadores
Ver resposta
Resposta correta: B
Pergunta #90
Um auditor de SI obteve um grande conjunto de dados que contém vários campos e dados não numéricos para análise. Qual das seguintes actividades MAIS melhorará a qualidade das conclusões derivadas da utilização de uma ferramenta de análise de dados para esta auditoria?
A. Anonimização de dados
B. Classificação dos dados
Ver resposta
Resposta correta: S
Pergunta #91
Durante a revisão de um plano de produção, um auditor de SI observa que um membro do pessoal não está a cumprir os procedimentos operacionais obrigatórios. O PRÓXIMO passo do auditor deve ser:
A. determinar porque é que os procedimentos não foram seguidos
B. incluir a não conformidade no relatório de auditoria
C. registar o incumprimento nos documentos de trabalho da auditoria
D. emitir um memorando de auditoria identificando a não conformidade
Ver resposta
Resposta correta: C
Pergunta #92
O objetivo primordial da revisão do plano estratégico de TI é identificar os riscos que podem:
A. limitar a capacidade de satisfazer as necessidades dos clientes
B. limitar a capacidade da organização para atingir os seus objectivos
C. afetar a eficiência operacional do departamento de TI
D. impacto dos recursos financeiros para implementar o plano
Ver resposta
Resposta correta: B
Pergunta #93
Qual das seguintes opções é uma reescrita do ipfwadm?
A. ipchains
B. iptables
C. Netfilter
D. ipcook
E. Nenhuma das opções
Ver resposta
Resposta correta: A
Pergunta #94
O MELHOR método que uma organização pode empregar para alinhar o seu plano de continuidade do negócio (BCP) e o seu plano de recuperação de desastres (DRP) com as necessidades essenciais do negócio é:
A. Executar inspecções periódicas dos planos
B. atualizar a análise de impacto comercial (BIA) para alterações comerciais significativas
C. externalizar a manutenção do PCA e do plano de recuperação de desastres a um terceiro
D. incluir as responsabilidades do PCN e do plano de recuperação de desastres como parte da formação dos novos funcionários
Ver resposta
Resposta correta: C
Pergunta #95
A implementação de uma política de palavras-passe fortes faz parte da estratégia de segurança da informação de uma organização para este ano. Uma unidade de negócios acredita que a estratégia pode afetar negativamente a adoção por um cliente de uma aplicação móvel recentemente desenvolvida e decidiu não implementar a política. Qual das seguintes opções seria a MELHOR ação do gestor de segurança da informação?
A. Analisar o risco e o impacto da não aplicação da política
B. Desenvolver e implementar uma política de palavras-passe para a aplicação móvel
C. Encaminhar a não aplicação da política para a direção
D. Comparar com aplicações móveis semelhantes para identificar lacunas
Ver resposta
Resposta correta: C
Pergunta #96
Qual das seguintes auditorias avalia a exatidão dos relatórios financeiros?
A. Auditoria de conformidade
B. Auditoria financeira
C. Auditoria operacional
D. Auditoria forense
Ver resposta
Resposta correta: C
Pergunta #97
Um gestor de segurança da informação desenvolveu uma estratégia para lidar com os novos riscos de segurança da informação resultantes de mudanças recentes na empresa. Qual das seguintes opções seria a MAIS importante a incluir na apresentação da estratégia à direção?
A. O impacto das mudanças organizacionais no perfil de risco de segurança
B. Os custos associados às alterações dos processos empresariais
C. Resultados da avaliação comparativa com os pares do sector
D. Controlos de segurança necessários para a atenuação do risco
Ver resposta
Resposta correta: C
Pergunta #98
Ao efetuar um teste de penetração de um sistema informático, uma organização deve preocupar-se sobretudo com
A. a confidencialidade do relatório
B. encontrar todos os pontos fracos possíveis no sistema
C. restaurar todos os sistemas para o estado original
D. Registar todas as alterações efectuadas no sistema de produção
Ver resposta
Resposta correta: C
Pergunta #99
Uma organização foi severamente afetada após um ataque de ameaça persistente avançada (APT). Posteriormente, descobriu-se que a violação inicial tinha ocorrido um mês antes do ataque. A MAIOR preocupação da gerência deve ser:
A. Resultados do anterior teste de penetração interna
B. a eficácia dos processos de controlo
C. a instalação de patches de segurança críticos Explicação/Referência: D
Ver resposta
Resposta correta: C
Pergunta #100
Para garantir a integridade da mensagem, a confidencialidade e o não repúdio entre duas partes, o método MAIS eficaz seria criar um resumo da mensagem aplicando um algoritmo de hashing criptográfico:
A. a mensagem completa, cifrando o resumo da mensagem com a chave privada do remetente, cifrando a mensagem com uma chave simétrica e cifrando a chave com a chave pública do destinatário
B. qualquer parte da mensagem, cifrando o resumo da mensagem com a chave privada do remetente, cifrando a mensagem com uma chave simétrica e cifrando a chave com a chave pública do destinatário
C. toda a mensagem, cifrando o resumo da mensagem com a chave privada do emissor, cifrando a mensagem com uma chave simétrica e cifrando a mensagem cifrada e o resumo com a chave pública do recetor
D. toda a mensagem, cifrando o resumo da mensagem utilizando a chave privada do remetente e cifrando a mensagem utilizando a chave pública do destinatário
Ver resposta
Resposta correta: A
Pergunta #101
Qual das seguintes opções é a MAIS importante no planeamento de uma auditoria de rede?
A. Determinação da gama IP em utilização
B. Isolamento de pontos de acesso não autorizados
C. Identificação dos nós existentes
D. Análise do conteúdo do tráfego
Ver resposta
Resposta correta: B
Pergunta #102
O foco PRIMÁRIO de um currículo de formação para os membros de uma equipa de resposta a incidentes deve ser:
A. formação tecnológica
B. sensibilização para a segurança
C. comunicação empresarial externa
D. formação específica de funções
Ver resposta
Resposta correta: D
Pergunta #103
Qual das seguintes opções é a MAIS importante para a implementação bem-sucedida de uma estrutura de governação da segurança da informação em toda a organização?
A. A cultura de segurança organizacional existente
B. Processos de gestão da segurança alinhados com os objectivos de segurança
C. Controlos de segurança organizacionais implementados em conformidade com a regulamentação
D. Políticas de segurança que aderem às melhores práticas do sector
Ver resposta
Resposta correta: C
Pergunta #104
O objetivo PRIMÁRIO de testar um plano de continuidade das actividades é
A. Familiarizar os funcionários com o plano de continuidade do negócio
B. garantir que todos os riscos residuais sejam tratados
C. exercitar todos os cenários de catástrofe possíveis
D. Identificar as limitações do plano de continuidade das actividades
Ver resposta
Resposta correta: D
Pergunta #105
Qual das seguintes opções é um controlo de diretiva?
A. Criação de uma equipa de operações de segurança da informação
B. Atualização do software de prevenção de perda de dados
C. Implementação de uma política de segurança da informação
D. Configurar o software de encriptação de dados
Ver resposta
Resposta correta: C
Pergunta #106
Um auditor de SI constata que os dispositivos móveis da empresa utilizados pelos funcionários têm diferentes níveis de definições de palavra-passe. Qual das seguintes seria a MELHOR recomendação?
A. Atualizar a política de utilização aceitável para dispositivos móveis
B. Notificar os funcionários para definirem palavras-passe com um comprimento específico
C. Encriptar dados entre o gateway empresarial e os dispositivos
D. Aplicar uma política de segurança aos dispositivos móveis
Ver resposta
Resposta correta: D
Pergunta #107
Qual dos seguintes aspectos deve ser o MAIS preocupante para um auditor de SI que analisa a infraestrutura de chave pública (PKI) para o correio eletrónico empresarial?
A. O certificado de chave privada não foi atualizado
B. A lista de revogação de certificados não foi actualizada
C. A declaração de prática do certificado não foi publicada
D. A política de PKI não foi actualizada no último ano
Ver resposta
Resposta correta: C
Pergunta #108
Qual das seguintes deve ser a razão PRIMÁRIA para estabelecer uma política de redes sociais para todos os empregados?
A. Publicar mensagens aceitáveis a utilizar pelos funcionários quando publicam mensagens B
B.
C.
Ver resposta
Resposta correta: D
Pergunta #109
Um relatório de auditoria de SI que destaca controlos internos de rede inadequados é contestado porque nunca ocorreu nenhum incidente grave. Qual das seguintes acções realizadas durante a auditoria teria apoiado MELHOR as conclusões?
A. Testes de conformidade
B. Avaliação do risco de ameaça
C. Testes de penetração
D. Avaliação da vulnerabilidade
Ver resposta
Resposta correta: C
Pergunta #110
Qual dos seguintes riscos de auditoria está relacionado com a exposição de um processo ou entidade a ser auditada sem ter em conta o controlo que a gestão implementou?
A. Risco inerente
B. Risco de controlo
C. Risco de deteção
D. Risco global de auditoria
Ver resposta
Resposta correta: B
Pergunta #111
São emitidos tokens de segurança aos utilizadores para serem utilizados em combinação com um PIN para aceder à rede privada virtual (VPN) da empresa. Relativamente ao PIN, qual é a regra MAIS importante a incluir numa política de segurança?
A. Os utilizadores não devem deixar os tokens onde possam ser roubados
B. Os utilizadores nunca devem guardar a ficha na mesma mala que o computador portátil
C. Os utilizadores devem selecionar um PIN que seja completamente aleatório, sem dígitos repetidos
D. Os utilizadores nunca devem anotar o seu PIN Secção: Proteção dos activos de informação Explicação/Referência: Explanation:
Ver resposta
Resposta correta: D
Pergunta #112
Um auditor SI apresentou relatórios de auditoria e agendou uma auditoria de acompanhamento com um cliente. O cliente solicitou a contratação dos serviços do mesmo auditor para desenvolver controlos melhorados. Qual é a MAIOR preocupação com este pedido?
A. Seria necessária a aprovação do diretor de auditoria
B. Estaria para além do âmbito original da auditoria
C. Seria um possível conflito de interesses
D. Exigiria uma alteração do plano de auditoria
Ver resposta
Resposta correta: C
Pergunta #113
Uma organização está atualmente a substituir o seu sistema de contabilidade. Qual das seguintes estratégias minimizará MELHOR o risco associado à perda de integridade dos dados resultante da atualização?
A. Implementação piloto
B. Ensaios de integração funcional
C. Contingência de recurso
D. Implementação paralela
Ver resposta
Resposta correta: B
Pergunta #114
Os relatórios de auditoria interna devem ser redigidos e comunicados PRINCIPALMENTE para
A. A direção da auditoria, uma vez que é responsável pela qualidade da auditoria
B. auditores externos, uma vez que emitem um parecer sobre as demonstrações financeiras
C. D
Ver resposta
Resposta correta: C
Pergunta #115
Foi pedido a um auditor de SI que prestasse aconselhamento sobre a conceção e aplicação das melhores práticas de gestão de TI. Qual das seguintes acções prejudicaria a independência do auditor?
A. Prestação de aconselhamento em matéria de gestão de candidaturas
B. Conceção de um módulo de auditoria incorporado
C. Implementação da resposta ao risco em nome da direção
D. Avaliar o processo de gestão do risco
Ver resposta
Resposta correta: A
Pergunta #116
Qual das seguintes opções um auditor de SI deve esperar ver numa avaliação de vulnerabilidade de rede?
A. Má configuração e actualizações em falta
B. Software malicioso e spyware
C. Falhas de conceção da segurança
D. Vulnerabilidades de dia zero
Ver resposta
Resposta correta: D
Pergunta #117
Qual das seguintes acções deve ser realizada PRIMEIRO para definir eficazmente o universo de auditoria de TI para uma entidade com várias linhas de negócio?
A. Identificar o risco residual agregado de TI para cada linha de negócio
B. Obter uma listagem completa dos processos informáticos da entidade
C. Obter uma listagem completa dos activos fundamentais para as actividades da entidade
D. Identificar os principais objectivos de controlo para os principais processos de cada linha de negócio
Ver resposta
Resposta correta: C
Pergunta #118
Um repositório de código-fonte deve ser concebido para:
A. Proporcionar a incorporação e distribuição automáticas do código modificado
B. Impedir que as alterações sejam incorporadas no código existente
C. fornecer capacidades seguras de criação de versões e de cópias de segurança para o código existente
D. impedir os programadores de acederem a código-fonte seguro
Ver resposta
Resposta correta: B
Pergunta #119
Uma organização tem várias sucursais numa vasta área geográfica. Para garantir que todos os aspectos do plano de recuperação de desastres sejam avaliados de forma económica, um auditor de SI deve recomendar a utilização de um:
A. teste de recuperação de dados
B. ensaio operacional completo
C. pós-teste
D. teste de preparação
Ver resposta
Resposta correta: D
Pergunta #120
Durante a análise de um plano de continuidade da atividade, um auditor de SI reparou que não foi definido o momento em que uma situação é declarada como crise. O PRINCIPAL risco associado a este facto é que:
A. A avaliação da situação pode ser atrasada
B. A execução do plano de recuperação de desastres pode ser afetada
C. a notificação das equipas pode não ocorrer
D. O potencial reconhecimento de crises pode ser ineficaz
Ver resposta
Resposta correta: B
Pergunta #121
Um diretor executivo solicita acesso a documentos da empresa a partir de um dispositivo móvel que não está em conformidade com a política da organização. O diretor de segurança da informação deve PRIMEIRO:
A. avaliar o risco comercial
B. avaliar uma solução de terceiros
C. iniciar um processo de aprovação de exceção
D. implementar controlos de segurança adicionais
Ver resposta
Resposta correta: A
Pergunta #122
Uma organização foi recentemente notificada pelo seu organismo regulador de discrepâncias significativas nos seus dados de reporte. Uma investigação preliminar revelou que as discrepâncias foram causadas por problemas com a qualidade dos dados da organização. A administração orientou a equipa de qualidade dos dados para melhorar o seu programa. O comité de auditoria solicitou à auditoria interna que fosse consultora do processo. Para garantir que as preocupações da gerência sejam atendidas, qual conjunto de dados a auditoria interna deve recomendar que seja revisado PRIMEIRO?
A. Dados com impacto nos objectivos comerciais
B. Dados de apoio às demonstrações financeiras
C. Dados comunicados ao organismo regulador
D. Dados com informações pessoais do cliente
Ver resposta
Resposta correta: A
Pergunta #123
Uma equipa de auditoria de SI está a avaliar a documentação relacionada com a revisão mais recente do acesso dos utilizadores à aplicação, realizada pela gestão de TI e da empresa. Foi determinado que a lista de utilizadores não foi gerada pelo sistema. Qual das seguintes situações deve ser a MAIOR preocupação?
A. Fonte da lista de utilizadores analisada
B. Disponibilidade da lista de utilizadores revista
C. Confidencialidade da lista de utilizadores analisada
D. Exaustividade da lista de utilizadores analisada
Ver resposta
Resposta correta: D
Pergunta #124
Um auditor de SI está a avaliar os controlos de acesso numa empresa multinacional com uma infraestrutura de rede partilhada. Qual das seguintes opções é a MAIS importante?
A. Simplicidade das vias de comunicação de extremo a extremo
B. Administração remota da rede
C. Políticas de segurança comuns
D. Registo de informações de rede a nível do utilizador
Ver resposta
Resposta correta: A
Pergunta #125
Um auditor de SI descobriu anomalias num relatório mensal gerado a partir de um sistema atualizado há seis meses. Qual das seguintes opções deve ser a PRIMEIRA linha de ação do auditor?
A. Inspecionar o código-fonte para deteção de anomalias
B. Efetuar uma revisão da gestão de alterações do sistema
C. Agendar uma revisão do acesso ao sistema
D. Determinar o impacto das anomalias no relatório
Ver resposta
Resposta correta: A
Pergunta #126
O método MAIS eficaz para um auditor de SI determinar quais os controlos que estão a funcionar num sistema operativo é
A. comparar a configuração atual com a norma da empresa
B. Consultar o programador de sistemas
C. consultar o fornecedor do sistema
Ver resposta
Resposta correta: A
Pergunta #127
Qual das seguintes conclusões teria o MAIOR impacto no objetivo de um sistema de business intelligence?
A. O controlo-chave não é testado há um ano
B. As consultas de apoio à decisão utilizam funções de base de dados exclusivas do fornecedor
C. O hot site para recuperação de desastres não inclui o sistema de apoio à decisão
D. Os relatórios de gestão não foram avaliados desde a sua implementação
Ver resposta
Resposta correta: D
Pergunta #128
O objetivo MAIS importante da formação de sensibilização para a segurança destinada ao pessoal das empresas é
A. compreender os métodos de intrusão
B. reduzir os resultados negativos das auditorias
C. aumentar a conformidade
D. modificar o comportamento
Ver resposta
Resposta correta: D
Pergunta #129
Qual das seguintes deve ser a preocupação PRIMÁRIA de um auditor de SI durante uma análise de um acordo de nível de serviço (SLA) de TI externo para operações informáticas?
A. Inexistência de um plano de sucessão dos trabalhadores
B. As alterações nos serviços não são acompanhadas
C. Ausência de disposições relativas ao depósito de software
D. O fornecedor tem o controlo exclusivo dos recursos de TI Explicação/Referência:
Ver resposta
Resposta correta: A
Pergunta #130
Qual das seguintes seria a MAIOR preocupação de um auditor de SI ao avaliar um plano de resposta a incidentes de cibersegurança?
A. O plano não foi testado recentemente
B. As funções e responsabilidades não são pormenorizadas para cada processo
C. Os dados de contacto das partes interessadas não estão actualizados
D. O plano não inclui métricas de resposta a incidentes
Ver resposta
Resposta correta: D
Pergunta #131
Qual das seguintes é uma ferramenta que pode ser utilizada para simular uma grande estrutura de rede num único computador?
A. lua de mel
B. armadilha para mel
C. Tubo de mel
D. meld
E. Nenhuma das opções
Ver resposta
Resposta correta: D
Pergunta #132
Qual das seguintes constatações seria a MAIS preocupante para um auditor de SI que efectua uma auditoria de segurança da informação a actividades críticas de gestão de registos de servidores?
A. Os registos podem ser substituídos antes de serem revistos
B.
C.
Ver resposta
Resposta correta: C
Pergunta #133
Qual das seguintes opções demonstra MELHOR uma gestão eficaz da segurança da informação numa organização?
A. Os empregados apoiam as decisões tomadas pela direção da segurança da informação
B. Uma exposição excessiva ao risco num departamento pode ser absorvida por outros departamentos
C. A governação da segurança da informação é incorporada na governação organizacional
D. A propriedade do controlo é atribuída a partes que podem aceitar perdas relacionadas com a falha do controlo
Ver resposta
Resposta correta: C
Pergunta #134
Qual dos seguintes é o objetivo PRIMÁRIO da função de auditoria dos SI?
A. Efetuar revisões com base em normas desenvolvidas por organizações profissionais
B. Informar a direção sobre o funcionamento dos controlos internos
C. Certificar a exatidão dos dados financeiros
D. Facilitar a extração de dados informáticos para testes substantivos
Ver resposta
Resposta correta: C
Pergunta #135
Durante uma auditoria, o cliente fica a saber que o auditor de SI concluiu recentemente uma análise de segurança semelhante num concorrente. O cliente pergunta sobre os resultados da auditoria do concorrente. Qual é a MELHOR forma de o auditor responder a esta questão?
A. Explicar que não seria correto discutir os resultados de outro cliente de auditoria
B. Encaminhar a questão para o diretor de auditoria para que este tome medidas adicionais
C. Discutir os resultados da auditoria, omitindo pormenores relacionados com nomes e produtos
Ver resposta
Resposta correta: D
Pergunta #136
Durante uma auditoria a uma base de dados, um auditor de SI observou problemas frequentes devido ao tamanho crescente das tabelas de encomendas. Qual das seguintes é a MELHOR recomendação para esta situação?
A. Desenvolver uma abordagem de arquivo
B. Eliminar periodicamente as encomendas concluídas
C. Construir mais índices de tabela
D. Migrar para um sistema de gestão de bases de dados diferente
Ver resposta
Resposta correta: A
Pergunta #137
Qual das seguintes opções é a MAIS importante quando se selecciona uma métrica de segurança da informação?
A. Definição da métrica em termos quantitativos
B. Alinhar a métrica com a estratégia de TI C
C.
Ver resposta
Resposta correta: D
Pergunta #138
Durante a reengenharia de processos empresariais (BPR) das actividades de caixa de um banco, um auditor de SI deve avaliar:
A. o impacto de processos comerciais alterados
B. o custo dos novos controlos
C. Planos de projectos BPR
D. planos de melhoria contínua e de monitorização
Ver resposta
Resposta correta: B
Pergunta #139
Durante uma auditoria à base de dados de gestão de fornecedores, um auditor de SI identifica várias instâncias de registos de fornecedores duplicados. Para evitar a recorrência do mesmo problema, qual das seguintes seria a MELHOR recomendação do auditor de SI à direção?
A. Efetuar controlos de verificação do sistema para valores de dados únicos nos campos-chave
B. Solicitar a aprovação da direção de todos os novos detalhes do fornecedor
C. Executar periodicamente relatórios de sistema das listas completas de fornecedores para identificar duplicações
D. Criar um controlo de segregação de funções no processo de criação de fornecedores
Ver resposta
Resposta correta: D
Pergunta #140
Um auditor de SI está a analisar um contrato de externalização de instalações de TI. Se faltar, qual das seguintes opções deve representar a MAIOR preocupação para o auditor?
A. Requisitos de controlo do acesso
B. Configurações de hardware
C. Diagrama de segurança da rede perimetral
D. Disponibilidade do serviço de assistência
Ver resposta
Resposta correta: C
Pergunta #141
O CIO de uma organização está preocupado com o facto de as políticas de segurança da informação poderem não ser abrangentes. Qual das seguintes acções um auditor de SI deve recomendar que seja realizada PRIMEIRO?
A. Obter uma cópia das políticas dos seus concorrentes
B. Determinar se existe um processo para tratar as excepções às políticas
C. Criar um conselho de administração para acompanhar o cumprimento das políticas
D. Comparar as políticas com um quadro industrial
Ver resposta
Resposta correta: D
Pergunta #142
Qual das seguintes opções deve ser a MAIS preocupante para um auditor de SI que esteja a analisar o PCN?
A. Os níveis de catástrofe baseiam-se nos âmbitos das funções danificadas, mas não na duração
B. A diferença entre desastres de baixo nível e incidentes de software não é clara
C. O PCA global está documentado, mas não são especificadas as etapas de recuperação pormenorizadas
D. A responsabilidade pela declaração de uma catástrofe não é identificada
Ver resposta
Resposta correta: D
Pergunta #143
A razão PRIMÁRIA pela qual uma organização exigiria que os utilizadores assinassem uma confirmação das suas responsabilidades de acesso ao sistema é para:
A. manter a conformidade com as melhores práticas do sector
B. Servem como prova de formação de sensibilização para a segurança
C. atribuir responsabilidade pelas transacções efectuadas com o ID do utilizador
D. manter um registo preciso dos direitos de acesso dos utilizadores
Ver resposta
Resposta correta: C
Pergunta #144
O fator de sucesso MAIS importante no planeamento de um teste de penetração é:
A. a documentação do procedimento de ensaio planeado
B. Programar e decidir sobre a duração do teste
C. o envolvimento da direção da organização cliente
D. as qualificações e a experiência do pessoal envolvido no teste
Ver resposta
Resposta correta: C
Pergunta #145
Antes de concluir que se pode confiar nos controlos internos, o auditor SI deve
A. discutir as deficiências do controlo interno com a entidade auditada
B. controlos de aplicações de documentos
C. efetuar testes de conformidade
D. documentar o sistema de controlo interno
Ver resposta
Resposta correta: D
Pergunta #146
Qual é o benefício PRIMÁRIO para a direção executiva quando as funções de auditoria, risco e segurança estão alinhadas?
A. Tratamento mais eficiente dos incidentes
B. Redução do número de relatórios de garantia
C. Tomada de decisões mais eficaz
D. Relatórios de risco mais atempados
Ver resposta
Resposta correta: B
Pergunta #147
No departamento de TI, onde a separação de funções não é viável devido a um número limitado de recursos, um membro da equipa desempenha as funções de operador de computador e revisor de registos de aplicações. Qual das seguintes seria a MELHOR recomendação do auditor de SI?
A. Desenvolver procedimentos para verificar que os registos de aplicações não são modificados
B. Impedir o operador de realizar actividades de desenvolvimento de aplicações
C. Atribuir um segundo revisor independente para verificar os registos da aplicação
D. Restringir o acesso do operador de computador ao ambiente de produção
Ver resposta
Resposta correta: C
Pergunta #148
Um sistema biométrico preciso apresenta normalmente (escolher dois):
A. EER baixo
B. baixo RCE
C. EER elevado
D. CER elevado
E. Nenhuma das opções
Ver resposta
Resposta correta: AB
Pergunta #149
Explicação/Referência: No âmbito de um acompanhamento da auditoria de um ano anterior, um auditor de SI aumentou a margem de erro prevista para uma amostra. O impacto será:
A. O grau de garantia aumenta
B. O desvio-padrão diminui
C. o risco de amostragem diminui
D. A dimensão da amostra necessária aumenta
Ver resposta
Resposta correta: D
Pergunta #150
Qual das seguintes observações registadas durante uma análise das práticas de redes sociais da organização deve ser a MAIS preocupante para o auditor de SI?
A. A organização não necessita de aprovação para as publicações nas redes sociais
B. Mais do que um funcionário está autorizado a publicar nas redes sociais em nome da organização
C. Nem todos os funcionários que utilizam as redes sociais participaram no programa de sensibilização para a segurança
D. A organização não tem uma política de redes sociais documentada
Ver resposta
Resposta correta: B
Pergunta #151
Um departamento de auditoria interna estabeleceu recentemente um programa de garantia de qualidade (GQ) como parte do seu programa global de auditoria. Qual das seguintes actividades deve ser incluída como parte dos requisitos do programa de GQ?
A. Relatar os resultados do programa à direção
B. Revisão periódica das normas de auditoria
C. Analisar os relatórios de satisfação dos utilizadores das linhas de negócio
D. Realização de um planeamento a longo prazo para o pessoal de auditoria interna
Ver resposta
Resposta correta: S
Pergunta #152
O risco de o auditor de SI não encontrar um erro que ocorreu é identificado por qual dos seguintes termos?
A. Controlo
B. Prevenção
C. Inerente
D. Deteção
Ver resposta
Resposta correta: C
Pergunta #153
Um auditor de SI descobre que uma equipa de originação de hipotecas recebe pedidos de hipotecas de clientes através de um repositório partilhado. Qual dos seguintes procedimentos de teste é a MELHOR forma de avaliar se existem controlos de privacidade adequados sobre este processo?
A. Validar se a encriptação está em conformidade com os requisitos da organização
B. Validar se os dados são introduzidos de forma exacta e atempada
C. Validar se os documentos são eliminados de acordo com os procedimentos de retenção de dados
D. Validar se são necessárias palavras-passe complexas
Ver resposta
Resposta correta: D
Pergunta #154
Qual dos seguintes procedimentos um auditor de SI deve concluir PRIMEIRO ao avaliar a adequação dos indicadores-chave de desempenho (KPIs) de TI?
A. Calcular de forma independente a exatidão dos KPIs
B. Rever os KPIs que indicam um fraco desempenho de TI
C. Validar os limiares dos KPI
D. Determinar se os KPIs apoiam os objectivos de TI
E.
F.
G.
D. Capacidade de resposta da entidade objeto de auditoria
Ver resposta
Resposta correta: S
Pergunta #155
Uma organização que utiliza atualmente backups em fita efectua um backup completo semanalmente e backups incrementais diariamente. Recentemente, eles aumentaram seus procedimentos de backup em fita com uma solução de backup em disco. Isso é apropriado porque:
A. são suportados backups sintéticos rápidos para armazenamento externo
B. O backup em disco é sempre significativamente mais rápido do que o backup em fita
C. as bibliotecas de fitas já não são necessárias
D. O armazenamento de dados em discos é mais fiável do que em fitas
Ver resposta
Resposta correta: A
Pergunta #156
A forma MAIS eficaz de determinar se as TI estão a cumprir os requisitos comerciais é estabelecer:
A. referências do sector
B.
C.
Ver resposta
Resposta correta: A
Pergunta #157
A diferença MAIS importante entre o hashing e a encriptação é que o hashing:
A. é irreversível
B. A saída tem o mesmo comprimento que a mensagem original
C. preocupa-se com a integridade e a segurança
D. é o mesmo no extremo emissor e recetor
Ver resposta
Resposta correta: A
Pergunta #158
As ferramentas de monitorização do desempenho indicam que os servidores estão consistentemente acima da capacidade de utilização recomendada. Qual das seguintes é a MELHOR recomendação do auditor de SI?
A. Desenvolver um plano de capacidade com base em projecções de utilização
B. Implantar balanceadores de carga
C. Monitorizar os registos de atividade
D. Adicionar servidores até que a utilização atinja a capacidade pretendida
Ver resposta
Resposta correta: D
Pergunta #159
Qual das seguintes situações deve preocupar mais um auditor de SI que esteja a analisar um sistema de deteção de intrusões (IDS)?
A. Número de falsos negativos
B. Número de falsos positivos
C. Tráfego legítimo bloqueado pelo sistema
D. Fiabilidade dos registos IDS
Ver resposta
Resposta correta: B
Pergunta #160
Ao retirar um sistema de aplicação financeira da produção, qual das seguintes opções é a MAIS importante?
A. Os suportes utilizados pelo sistema reformado foram higienizados
B. Os dados conservados para fins regulamentares podem ser recuperados
C. Os pedidos de alterações dos utilizadores finais são registados e acompanhados
D. Os contratos de licença de software são retidos
Ver resposta
Resposta correta: B
Pergunta #161
Ao planear uma auditoria de aplicação, é MAIS importante avaliar os factores de risco através de entrevistas:
A. proprietários de processos
B. proprietários de aplicações
C. Gestão de TI
D. utilizadores de aplicações
Ver resposta
Resposta correta: C
Pergunta #162
Um acordo de nível de serviço (SLA) do fornecedor exige que as cópias de segurança sejam fisicamente protegidas. Uma auditoria IS do sistema de backup revelou a falta de alguns suportes de backup. Qual das seguintes opções deve ser o PRÓXIMO passo do auditor?
A. Recomendar uma revisão do contrato do vendedor
B. Recomendar a identificação dos dados armazenados nos suportes em falta
C.
Ver resposta
Resposta correta: A
Pergunta #163
Uma das vantagens da utilização de hot sites como alternativa de backup é que:
A. os custos associados aos hot sites são baixos
B. Os hot sites podem ser utilizados durante um período de tempo alargado
C. Os hot sites podem ser preparados para funcionar num curto espaço de tempo
D. não exigem que o equipamento e o software dos sistemas sejam compatíveis com o sítio principal
Ver resposta
Resposta correta: C
Pergunta #164
Durante uma avaliação de vulnerabilidades, um auditor de SI encontra uma vulnerabilidade de alto risco num servidor Web público utilizado para processar encomendas online de clientes através de cartão de crédito. O auditor de SI deve PRIMEIRO:
A. notificar a direção
B. reformular o processo de encomenda do cliente
C. documentar a descoberta no relatório
D. suspender o processamento de cartões de crédito
Ver resposta
Resposta correta: A
Pergunta #165
Qual das seguintes é a forma MAIS eficaz de garantir que as unidades empresariais cumprem uma estrutura de governação da segurança da informação?
A. Realização de acções de formação de sensibilização para a segurança da informação
B. Efetuar avaliações de segurança e análises de lacunas
C. Integração dos requisitos de segurança nos processos
D. Realização de uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: D
Pergunta #166
Na ausência de controlos técnicos, qual seria a MELHOR forma de reduzir as mensagens de texto não autorizadas nos dispositivos móveis fornecidos pela empresa?
A. Atualizar a política de utilização de telemóveis da empresa para proibir o envio de mensagens de texto
B. Efetuar uma análise de impacto comercial (BIA) e apresentar o relatório à direção
C. Deixar de fornecer dispositivos móveis até que a organização consiga implementar controlos
D. Incluir o tópico das mensagens de texto proibidas na formação de sensibilização para a segurança
Ver resposta
Resposta correta: B
Pergunta #167
Numa auditoria de acompanhamento, um auditor de SI constata que a direção abordou as constatações originais de uma forma diferente da inicialmente acordada. O auditor deve PRIMEIRO:
A. assinalar a recomendação como satisfeita e encerrar a constatação
B. verificar se a ação da gestão atenua o risco identificado C
C.
Ver resposta
Resposta correta: A
Pergunta #168
Um plano de auditoria de 5 anos prevê auditorias gerais todos os anos e auditorias de aplicações em anos alternados. Para obter uma maior eficiência, o diretor de auditoria dos SI deve, muito provavelmente D.
A. Prosseguir com o plano e integrar todas as novas aplicações
B. alternar entre a autoavaliação do controlo (CSA) e as auditorias gerais todos os anos
C. aplicar critérios de avaliação dos riscos para determinar as prioridades de auditoria
D. realizar auto-avaliações de controlo (CSA) e auditorias formais das aplicações em anos alternados
Ver resposta
Resposta correta: A
Pergunta #169
Em vez de desativar toda uma aplicação antiga, o departamento de TI de uma organização optou por substituir módulos específicos, mantendo os que ainda são relevantes. Qual dos seguintes artefactos é MAIS importante para um auditor de SI analisar?
A. Catálogo de gestão de serviços de TI e requisitos de nível de serviço
B. Requisitos de segurança para a ocultação e destruição de dados antigos
C. Acordos de licenciamento aplicáveis à aplicação
D. Arquitetura e requisitos do estado futuro
Ver resposta
Resposta correta: D
Pergunta #170
Uma organização efectua cópias de segurança nocturnas mas não tem uma política formal. Um auditor IS deve PRIMEIRO:
A. avaliar os actuais procedimentos de cópia de segurança
B. escalar para os quadros superiores
C. documentar uma política para a organização
D. recomendar o backup automatizado
Ver resposta
Resposta correta: A
Pergunta #171
Qual dos seguintes é o objetivo PRIMÁRIO da realização de uma análise de impacto comercial (BIA)?
A. Identificação das opções de atenuação dos riscos
B. Identificar os principais riscos da atividade
C. Identificação dos processos críticos da empresa
D. Identificar o ambiente de ameaça
Ver resposta
Resposta correta: D

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.