NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Testes práticos CISM concebidos por especialistas 2024, Certified Information Security Manager | SPOTO

Prepare-se eficazmente para o exame ISACA CISM com os testes práticos de alta qualidade da SPOTO. Os nossos recursos abrangentes cobrem tópicos importantes, como governação da segurança da informação, gestão de riscos, gestão de incidentes, conformidade regulamentar, desenvolvimento de programas de segurança e gestão da segurança da informação. Aceda a uma variedade de materiais de exame, incluindo testes de exame, perguntas de amostra e exames simulados, para reforçar a sua compreensão destas áreas cruciais. Utilize o nosso simulador de exame para uma prática realista do exame, simulando o ambiente do exame e melhorando as suas capacidades de gestão do tempo. Com o SPOTO, terá todas as ferramentas necessárias para ter sucesso na sua preparação para o exame CISM. Comece hoje a sua jornada para o sucesso da certificação e liberte o seu potencial como profissional de segurança da informação.
Faça outros exames online

Pergunta #1
Qual seria a MELHOR recomendação para se proteger contra ataques de phishing?
A. Instalar um sistema anti-spam
B. Publicar orientações de segurança para os clientes
C. Sensibilizar o pessoal da organização para a segurança
D. D
Ver resposta
Resposta correta: C
Pergunta #2
Quando ocorre uma violação significativa da segurança, o que deve ser comunicado PRIMEIRO à direção?
A. Um resumo dos registos de segurança que ilustra a sequência de eventos
B. Uma explicação do incidente e das medidas correctivas tomadas
C. Uma análise do impacto de ataques semelhantes noutras organizações
D. Um caso comercial para implementar controlos de acesso lógico mais fortes
Ver resposta
Resposta correta: C
Pergunta #3
Qual das seguintes opções constitui a MAIOR ameaça à segurança quando uma organização permite o acesso remoto a uma rede privada virtual (VPN)?
A. Os logins de clientes estão sujeitos a ataques de repetição
B. Os clientes VPN comprometidos podem afetar a rede
C. Os atacantes podem comprometer o gateway VPN
D. O tráfego VPN pode ser detectado e capturado
Ver resposta
Resposta correta: A
Pergunta #4
Um plano de teste para validar os controlos de segurança de um novo sistema deve ser desenvolvido durante que fase do projeto?
A. Ensaios
B. Iniciação
C. Conceção
D. Desenvolvimento
Ver resposta
Resposta correta: D
Pergunta #5
Qual dos seguintes é o MELHOR indicador de que um controlo de segurança eficaz está integrado numa organização?
A. As estatísticas mensais do nível de serviço indicam um impacto mínimo das questões de segurança
B. O custo de implementação de um controlo de segurança é inferior ao valor dos activos
C. A percentagem de sistemas que está em conformidade com as normas de segurança
D. Os relatórios de auditoria não reflectem quaisquer constatações significativas em matéria de segurança
Ver resposta
Resposta correta: A
Pergunta #6
No caso de não ser possível implementar uma política de palavras-passe para uma aplicação antiga, qual das seguintes opções é a MELHOR forma de atuação?
A. Atualizar a política de segurança da aplicação
B. Implementar o controlo de compensação
C. Apresentar uma isenção para o pedido de legado
D. Efetuar uma avaliação da segurança das aplicações
Ver resposta
Resposta correta: B
Pergunta #7
O objetivo do ponto de recuperação (RPO) requer qual das seguintes opções?
A. Declaração de catástrofe
B. Restauro antes da imagem
C. Restauração do sistema
D. Processamento pós-imagem
Ver resposta
Resposta correta: C
Pergunta #8
Qual dos seguintes locais seria o MAIS adequado no caso de um objetivo de tempo de recuperação (RTO) muito curto?
A. Quente
B. Redundante
C. Partilhada
D. Móvel
Ver resposta
Resposta correta: C
Pergunta #9
A forma MAIS eficaz de garantir que os utilizadores da rede estão conscientes das suas responsabilidades no cumprimento dos requisitos de segurança de uma organização é:
A. mensagens apresentadas em cada início de sessão
B. mensagens de correio eletrónico periódicas relacionadas com a segurança
C. um sítio Web da Intranet para a segurança da informação
D. divulgar a política de segurança da informação
Ver resposta
Resposta correta: A
Pergunta #10
Qual das seguintes opções MELHOR protegeria os dados confidenciais de uma organização armazenados num computador portátil contra o acesso não autorizado?
A. Autenticação forte por palavra-passe
B. Discos rígidos encriptados
C. Procedimentos de autenticação multifactor
D. Cópia de segurança de dados baseada em rede
Ver resposta
Resposta correta: B
Pergunta #11
Uma organização tem uma política segundo a qual todas as actividades criminosas são processadas. O que é MAIS importante para o diretor de segurança da informação garantir quando um funcionário é suspeito de utilizar um computador da empresa para cometer fraude?
A. O processo forense é imediatamente iniciado
B. O plano de resposta a incidentes é iniciado
C. É feita uma cópia de segurança dos ficheiros de registo do empregado
D. Os quadros superiores são informados da situação
Ver resposta
Resposta correta: D
Pergunta #12
Para garantir que todos os procedimentos de segurança da informação são funcionais e exactos, devem ser concebidos com a participação de:
A. utilizadores finais
B. aconselhamento jurídico
C. unidades operacionais
D. gestão de auditorias
Ver resposta
Resposta correta: D
Pergunta #13
Os programas de gestão de riscos são concebidos para reduzir os riscos para:
A. Um nível que é demasiado pequeno para ser mensurável
B. o ponto em que o benefício excede a despesa
C. um nível que a organização está disposta a aceitar
D. uma taxa de rendibilidade igual ao custo atual do capital
Ver resposta
Resposta correta: B
Pergunta #14
Antes de contratar fornecedores externos, um gestor de segurança da informação deve certificar-se de que os requisitos de classificação de dados da organização:
A. sejam compatíveis com a classificação do próprio prestador
B. são comunicadas ao prestador de serviços
C. exceder as da empresa subcontratada
D. são indicadas no contrato
Ver resposta
Resposta correta: A
Pergunta #15
Qual das seguintes opções MELHOR ajudaria a identificar vulnerabilidades introduzidas por alterações na infraestrutura técnica de uma organização?
A. Um sistema de deteção de intrusões
B. Linhas de base de segurança estabelecidas
C. Testes de penetração
D. Agregação e correlação de registos
Ver resposta
Resposta correta: A
Pergunta #16
Qual das seguintes é a MELHOR abordagem para tomar decisões estratégicas de segurança da informação?
A. Criar um comité diretor de segurança da informação
B. Estabelecer reuniões periódicas com os quadros superiores
C. Elaborar relatórios periódicos sobre o estado da segurança da informação
D. Criar grupos de trabalho de segurança para as unidades de negócio
Ver resposta
Resposta correta: D
Pergunta #17
Qual das seguintes actividades de gestão da mudança seria um indicador claro de que os procedimentos operacionais normais necessitam de ser examinados? Uma percentagem elevada de:
A. pedidos de alteração semelhantes
B. Adiamentos de pedidos de alteração
C. pedidos de alteração cancelados
D. pedidos de alteração de emergência
Ver resposta
Resposta correta: B
Pergunta #18
Qual é a razão MAIS importante para realizar programas de sensibilização para a segurança numa organização?
A. Reduzir o risco humano
B. Manter provas dos registos de formação para garantir a conformidade
C. Informar as unidades empresariais sobre a estratégia de segurança
D. Formação do pessoal em matéria de resposta a incidentes de segurança
Ver resposta
Resposta correta: D
Pergunta #19
Um gestor de segurança da informação está a desenvolver um caso de negócio para um investimento num controlo de segurança da informação. O PRIMEIRO passo deve ser:
A. pesquisar os preços dos fornecedores para mostrar a eficiência dos custos
B. avaliar o potencial impacto para a organização
C. demonstrar o aumento da produtividade do pessoal de segurança
D. obter a adesão da auditoria ao controlo de segurança
Ver resposta
Resposta correta: D
Pergunta #20
Qual é a MELHOR política para proteger dados em unidades USB (Universal Serial Bus) móveis?
A. Autenticação
B. Encriptação
C. Proibir os funcionários de copiarem dados para dispositivos USB
D. Limitar a utilização de dispositivos USB
Ver resposta
Resposta correta: B
Pergunta #21
O diretor de segurança da informação de uma organização multinacional foi informado de que a cidade onde está localizado um centro de dados regional contratado está a sofrer distúrbios civis. O gestor de segurança da informação deve PRIMEIRO:
A. eliminar os dados sensíveis da organização no local do fornecedor
B. contratar outro prestador de serviços num local mais seguro
C. verificar a capacidade do fornecedor para proteger os dados da organização
D. avaliar as opções de recuperação se o centro de dados ficar inacessível
Ver resposta
Resposta correta: A
Pergunta #22
Qual das seguintes opções seria a MELHOR defesa contra sniffing? Proteger os ficheiros com palavra-passe Implementar um esquema de endereços IP dinâmicos
A.
B.
Ver resposta
Resposta correta: A
Pergunta #23
Uma empresa tem uma rede de sucursais com servidores locais de ficheiros/impressão e correio; cada sucursal contrata individualmente um hot site. Qual das seguintes opções seria a MAIOR fraqueza na capacidade de recuperação?
A. A utilização exclusiva do sítio quente é limitada a seis semanas
B. O hot site pode ter de ser partilhado com outros clientes
C. A hora da declaração determina a prioridade de acesso ao sítio
D. O fornecedor presta serviços a todas as grandes empresas da zona
Ver resposta
Resposta correta: B
Pergunta #24
A pessoa MAIS adequada para determinar o nível de segurança da informação necessário para uma aplicação comercial específica é o:
A. programador de sistemas
B. gestor de segurança da informação
C. Comité de direção
D. proprietário dos dados do sistema
Ver resposta
Resposta correta: A
Pergunta #25
A MELHOR forma de determinar se um sistema de deteção de intrusões (IDS) baseado em anomalias está corretamente instalado é:
A. Simular um ataque e analisar o desempenho do IDS
B. utilizar um honeypot para verificar se existe atividade invulgar
C. auditar a configuração do IDS
D. comparar o IDS com um sítio semelhante
Ver resposta
Resposta correta: C
Pergunta #26
O objetivo PRINCIPAL de um plano estratégico de segurança da informação é
A. Desenvolver um plano de avaliação de riscos
B. desenvolver um plano de proteção de dados
C. proteger os activos e recursos de informação
D. estabelecer a governação da segurança
Ver resposta
Resposta correta: D
Pergunta #27
Um sistema de deteção de intrusões (IDS) deve:
A. funcionar continuamente
B. ignorar as anomalias
C. requerem um ambiente estável e raramente alterado
D. estar localizado na rede
Ver resposta
Resposta correta: C
Pergunta #28
Que mecanismos são utilizados para identificar as deficiências que podem dar aos atacantes a oportunidade de comprometer um sistema informático?
A. Análises de impacto nas empresas
B. Análises das lacunas de segurança
C. Métricas de desempenho do sistema
D. Processos de resposta a incidentes
Ver resposta
Resposta correta: B
Pergunta #29
Após a deteção de uma ameaça persistente avançada (APT), qual dos seguintes deve ser o PRIMEIRO passo do gestor de segurança da informação?
A. Notificar a direção
B. Conter a ameaça
C. Remover a ameaça
D. Efetuar uma análise da causa raiz
Ver resposta
Resposta correta: A
Pergunta #30
Qual dos seguintes serviços subcontratados tem a MAIOR necessidade de monitorização da segurança?
A. Infraestrutura da empresa
B. Desenvolvimento de aplicações
C. Serviços de rede privada virtual (VPN)
D. Alojamento de sítios Web
Ver resposta
Resposta correta: D
Pergunta #31
Uma organização pretende integrar a segurança da informação nos seus processos de gestão de recursos humanos. Qual das seguintes opções deve ser o PRIMEIRO passo?
A. Avaliar o custo da integração da segurança da informação
B. Avaliar os objectivos comerciais dos processos
C. Identificar os riscos de segurança da informação associados aos processos
D. Comparar os processos com as melhores práticas para identificar lacunas
Ver resposta
Resposta correta: A
Pergunta #32
A.
Ver resposta
Resposta correta: D
Pergunta #33
Uma aplicação comercial baseada na Web está a ser migrada do teste para a produção. Qual das seguintes opções é a aprovação de gestão MAIS importante para esta migração?
A. Utilizador
B. Rede
C. Operações
D. Base de dados
Ver resposta
Resposta correta: A
Pergunta #34
A. A ação PRIORITÁRIA a tomar quando um servidor é infetado com um vírus é: isolar o(s) servidor(es) infetado(s) da rede
Ver resposta
Resposta correta: B
Pergunta #35
Qual das seguintes métricas seria a MAIS útil para medir a forma como a segurança da informação está a monitorizar os registos de violação?
A. Tentativas de penetração investigadas
B. Relatórios de registo de violações produzidos
C. Entradas do registo de violações
D. Frequência das medidas correctivas tomadas
Ver resposta
Resposta correta: B
Pergunta #36
O que é que uma avaliação da vulnerabilidade da rede pretende identificar?
A. vulnerabilidades de dia zero
B. Software malicioso e spyware
C. Falhas de conceção da segurança
D. Má configuração e actualizações em falta
Ver resposta
Resposta correta: B
Pergunta #37
Os procedimentos de gestão de alterações para garantir que os planos de recuperação de desastres/continuidade das actividades são mantidos actualizados podem ser MELHOR alcançados através de qual das seguintes opções?
A. Reconciliação do inventário anual dos sistemas com os planos de recuperação de desastres e de continuidade das actividades
B. Auditorias periódicas dos planos de recuperação de desastres/continuidade das actividades
C. Testes exaustivos de passagem
D. Inclusão como uma etapa obrigatória no processo do ciclo de vida do sistema
Ver resposta
Resposta correta: D
Pergunta #38
Qual das seguintes opções um gestor de segurança estabeleceria para determinar o objetivo da restauração do processamento normal?
A. Objetivo do tempo de recuperação (RTO)
B. Interrupção máxima tolerável (MTO)
C. Objectivos do ponto de recuperação (RPO)
D. Objectivos de prestação de serviços (OPS)
Ver resposta
Resposta correta: B
Pergunta #39
Um gestor de segurança da informação foi incumbido de implementar controlos preventivos mais restritivos. Ao fazê-lo, o efeito líquido será reduzir PRIMARIAMENTE o..:
A. ameaça
B. perda
C. vulnerabilidade
D. probabilidade
Ver resposta
Resposta correta: B
Pergunta #40
Ao efetuar uma análise de risco quantitativa, qual das seguintes opções é a MAIS importante para estimar a perda potencial?
A. Avaliar as perdas de produtividade
B. Avaliar o impacto da divulgação de dados confidenciais
C. Calcular o valor da informação ou do ativo
D. Medir a probabilidade de ocorrência de cada ameaça
Ver resposta
Resposta correta: C
Pergunta #41
Antes de pedir a um terceiro que efectue um teste de ataque e penetração contra uma organização, a ação MAIS importante é garantir que:
A. o terceiro faz uma demonstração num sistema de teste
B. As metas e os objectivos estão claramente definidos
C. O pessoal técnico foi informado do que se espera
D. são efectuados backups especiais dos servidores de produção
Ver resposta
Resposta correta: D
Pergunta #42
Ao desenvolver normas de segurança, qual das seguintes opções seria a MAIS adequada para incluir?
A. Responsabilização pelas licenças
B. Utilização aceitável dos activos informáticos
C. requisitos do sistema operativo
D. Gestão de stocks
Ver resposta
Resposta correta: A
Pergunta #43
Qual dos seguintes resultados do processo de avaliação do risco seria o MELHOR para ajudar na tomada de decisões de gestão do risco?
A. Risco de controlo
B. Risco inerente
C. Exposição ao risco
D. Risco residual
Ver resposta
Resposta correta: D
Pergunta #44
Qual das seguintes opções fornece à BKST a confirmação de que os objectivos do plano de continuidade do negócio/recuperação de desastres foram alcançados?
A. O objetivo de tempo de recuperação (RTO) não foi excedido durante os ensaios
B. O teste objetivo do plano de continuidade das actividades/recuperação de desastres foi efectuado de forma consistente
C. O objetivo do ponto de recuperação (RPO) revelou-se inadequado nos testes do plano de recuperação de desastres
D. Os activos de informação foram avaliados e atribuídos a proprietários de acordo com o plano de continuidade das actividades, o plano de recuperação de desastres
Ver resposta
Resposta correta: A
Pergunta #45
Num cenário de engenharia social, qual das seguintes opções MAIS provavelmente reduzirá a probabilidade de um indivíduo não autorizado obter acesso a recursos informáticos?
A. Implementação da máscara de palavras-passe no ecrã
B. Realização de programas periódicos de sensibilização para a segurança
C. Aumentar a frequência das alterações da palavra-passe
D. Exigir que as palavras-passe sejam mantidas estritamente confidenciais
Ver resposta
Resposta correta: D
Pergunta #46
Qual das seguintes opções MELHOR ajudará a prevenir proactivamente a exploração de vulnerabilidades no software do sistema operativo?
A. Gestão de correcções
B. Gestão de ameaças
C. Sistema de deteção de intrusões
D. Software antivírus
Ver resposta
Resposta correta: B
Pergunta #47
Qual das seguintes características é MAIS importante para um banco num sistema de transacções financeiras em linha de elevado valor?
A. Identificação
B. Confidencialidade
C. Autenticação
D. Controlo de auditoria
Ver resposta
Resposta correta: A
Pergunta #48
A contribuição do objetivo do ponto de recuperação (RPO) para a recuperação de desastres é a seguinte
A. definir a estratégia de backup
B. eliminar pontos únicos de falha
C. Reduzir o tempo médio entre falhas (MTBF)
D. minimizar o período de interrupção
Ver resposta
Resposta correta: C
Pergunta #49
Ao definir responsabilidades com um fornecedor de computação em nuvem, qual das seguintes opções deve ser considerada uma responsabilidade partilhada entre o utilizador e o fornecedor?
A. Propriedade dos dados
B. Revisão do registo de acesso
C. Registo de aplicações
D. Resposta a incidentes
Ver resposta
Resposta correta: C
Pergunta #50
Das seguintes pessoas, qual é o contributo mais importante para o desenvolvimento de uma estratégia de segurança da informação?
A. Utilizadores finais
B. Auditores de empresas
C. Proprietários do processo
D. Arquitectos de segurança
Ver resposta
Resposta correta: D
Pergunta #51
O princípio da "separação de funções" é violado se qual dos seguintes indivíduos tiver direitos de atualização para a lista de controlo de acesso (ACL) da base de dados?
A. Proprietário dos dados
B. Responsável pela custódia dos dados
C. Programador de sistemas
D. Administrador de segurança
Ver resposta
Resposta correta: A
Pergunta #52
Qual das seguintes opções melhorará a prevenção de ataques externos à segurança?
A. Endereçamento IP estático
B. Tradução de endereços de rede
C. Controlo dos antecedentes dos trabalhadores temporários
D. Proteger e analisar os registos de acesso ao sistema
Ver resposta
Resposta correta: C
Pergunta #53
Qual é a MAIOR vantagem das directrizes e procedimentos operacionais documentados do ponto de vista da segurança?
A. Fornecer instruções pormenorizadas sobre a execução de diferentes tipos de tarefas
B. Assegurar a coerência das actividades para proporcionar um ambiente mais estável
C. Assegurar o cumprimento das normas de segurança e dos requisitos regulamentares
D. Garantir a reutilização para cumprir os requisitos de qualidade
Ver resposta
Resposta correta: A
Pergunta #54
A MELHOR maneira de estabelecer um objetivo de tempo de recuperação (RTO) que equilibre o custo com um período de tempo de recuperação realista é:
A. efetuar uma análise do impacto comercial
B. determinar o custo diário do tempo de inatividade
C. analisar as métricas de custos
D. efetuar uma avaliação dos riscos
Ver resposta
Resposta correta: C
Pergunta #55
Qual dos seguintes é o indivíduo MAIS adequado para implementar e manter o nível de segurança da informação necessário para uma aplicação comercial específica?
A. Analista de sistemas
B. Gestor do controlo de qualidade
C. Proprietário do processo
D. Gestor da segurança da informação
Ver resposta
Resposta correta: B
Pergunta #56
A.
A.
B.
C.
Ver resposta
Resposta correta: B
Pergunta #57
Qual das seguintes técnicas seria o MELHOR teste da eficácia da segurança?
A. Realização de um teste de penetração externa
B. Revisão das políticas e normas de segurança
C. Revisão dos registos de segurança
D. Analisar as práticas de segurança técnica
Ver resposta
Resposta correta: A
Pergunta #58
Qual dos seguintes grupos estaria na MELHOR posição para efetuar uma análise de risco para uma empresa?
A. Auditores externos
B. Um grupo de pares numa empresa semelhanteC
C.
Ver resposta
Resposta correta: A
Pergunta #59
Uma empresa desenvolveu recentemente uma tecnologia inovadora. Uma vez que esta tecnologia pode dar a esta empresa uma vantagem competitiva significativa, qual das seguintes opções PRIMEIRAMENTE regerá a forma como esta informação deve ser protegida?
A. Política de controlo de acesso
B. Política de classificação de dados
C. Normas de cifragem
D. Política de utilização aceitável
Ver resposta
Resposta correta: C
Pergunta #60
A autorização para transferir o tratamento de um incidente de segurança interna para um prestador de serviços de apoio externo é PRIMEIRAMENTE definida pelo:
A. Gestor da segurança da informação
B. Procedimentos de escalonamento
C. Plano de recuperação de desastres
D. cadeia de custódia
Ver resposta
Resposta correta: D
Pergunta #61
Para garantir a segurança da informação dos serviços de TI externalizados, qual das seguintes é a atividade de diligência devida MAIS crítica?
A. Analisar amostras de relatórios de nível de serviço do prestador de serviços
B. Avaliar o nível de sensibilização para a segurança do fornecedor de serviços
C. Solicitar que o prestador de serviços cumpra a política de segurança da informação
D. Rever o estado de segurança do fornecedor de serviços
Ver resposta
Resposta correta: B

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone: