NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Melhore o seu desempenho no exame ISACA CISA com testes de simulação realistas

O Certified Information Systems Auditor® (CISA®) é reconhecido mundialmente como a referência para os profissionais que auditam, controlam, monitorizam e avaliam os sistemas de TI e empresariais das organizações. Para os profissionais em meio de carreira, a obtenção da certificação CISA demonstra a experiência na aplicação de uma abordagem baseada no risco aos compromissos de auditoria. As perguntas do exame ISACA CISA da SPOTO oferecem vantagens significativas para uma certificação bem-sucedida. Estas incluem perguntas e respostas abrangentes, cobrindo as questões essenciais do exame no formato do exame. Os materiais de preparação para o exame da SPOTO são concebidos para melhorar a compreensão e o domínio dos conceitos-chave, garantindo uma preparação completa para o exame. Com acesso aos materiais de estudo e recursos de exame da SPOTO, os candidatos podem preparar-se eficazmente e passar no exame CISA com confiança. Além disso, a SPOTO oferece exames simulados para simular as condições reais do exame, permitindo que os candidatos avaliem a sua preparação e melhorem o seu desempenho para obterem uma aprovação com sucesso.
Faça outros exames online
Pergunta #1
Qual dos seguintes aspectos deve ser a MAIOR preocupação para um auditor de SI que esteja a analisar o plano de continuidade do negócio (PCN) de uma organização?
A. As informações de contacto do PCA precisam de ser actualizadas
B. O PCA não tem controlo de versão
C. O PCA não foi aprovado pela direção
D. O PCA não foi testado desde que foi emitido pela primeira vez
Ver resposta
Resposta correta: D
Pergunta #2
Qual das seguintes é a MELHOR forma de uma organização mitigar o risco associado ao desempenho de aplicações de terceiros?
A. Assegurar que o terceiro atribui recursos adequados para cumprir os requisitos
B. Utilizar a análise no âmbito da função de auditoria interna
C. Realizar um exercício de planeamento das capacidades
D. Utilizar ferramentas de monitorização do desempenho para verificar os acordos de nível de serviço (SLAs)
Ver resposta
Resposta correta: D
Pergunta #3
Durante uma auditoria de gestão de incidentes, um auditor de SI descobre que vários incidentes semelhantes foram registados durante o período de auditoria
A. Documentar a descoberta e apresentá-la à direção
B. Determinar se foi efectuada uma análise da causa raiz
C. Confirmar a hora de resolução dos incidentes
D. Validar se todos os incidentes foram tratados
Ver resposta
Resposta correta: B
Pergunta #4
Um auditor de SI constata que a gestão da capacidade de um sistema-chave está a ser efectuada pelas TI sem qualquer contributo da empresa:
A. não maximizar a utilização do equipamento
B. aumento imprevisto das necessidades de capacidade das empresas
C. custo da capacidade excessiva de armazenamento do centro de dados
D. impacto no financiamento de futuros projectos empresariais
Ver resposta
Resposta correta: B
Pergunta #5
Qual das seguintes deve ser a etapa FRST no desenvolvimento de uma solução de prevenção de topos de dados (DIP) para uma grande organização?
A. Identificar fluxos de trabalho de dados aprovados em toda a empresa
B. Efetuar uma análise de ameaças contra a utilização de dados sensíveis
C. Criar o DLP pcJc
D. Efetuar um inventário de dados e um exercício de classificação
Ver resposta
Resposta correta: D
Pergunta #6
Se for ativado nas regras de firewall, qual dos seguintes serviços apresentaria o MAIOR risco?
A. Protocolo simples de transferência de correio (SMTP)
B. Protocolo simples de acesso a objectos (SOAP)
C. Protocolo de transferência de hipertexto (HTTP)
D. Protocolo de transferência de ficheiros (FTP)
Ver resposta
Resposta correta: D
Pergunta #7
Uma organização está a considerar a possibilidade de permitir que os utilizadores liguem dispositivos pessoais à rede empresarial
A. Realizar acções de formação de sensibilização para a segurança
B. Implementar uma política de utilização aceitável
C. Criar registos de inventário de dispositivos pessoais
D. Configurar utilizadores na solução de gestão de dispositivos móveis (MDM)
Ver resposta
Resposta correta: B
Pergunta #8
Qual das seguintes situações é mais suscetível de afetar a independência do auditor de SI ao efetuar uma revisão pós-implementação de um sistema de aplicações?
A. O auditor SI prestou aconselhamento sobre as melhores práticas do sistema de aplicação
B. O auditor dos SI participou como membro da equipa de projeto do sistema de aplicação, mas não teve responsabilidades operacionais
C. O auditor SI concebeu um módulo de auditoria incorporado exclusivamente para auditar o sistema de aplicação
D. O auditor dos SI implementou um controlo específico durante o desenvolvimento do sistema de aplicação
Ver resposta
Resposta correta: D
Pergunta #9
Qual das seguintes opções constituiria o contributo MAIS importante durante a fase de planeamento de uma auditoria à implementação de um programa "Bring Your Own Device" (BYOD)?
A. Constatações de auditorias anteriores
B. Resultados de uma avaliação de riscos
C. Um inventário dos dispositivos pessoais a serem ligados à rede empresarial
D. Políticas, incluindo declarações de utilizador aceitável BYOD
Ver resposta
Resposta correta: D
Pergunta #10
Qual das seguintes situações deve um auditor de SI analisar PRIMEIRO ao planear uma auditoria à privacidade dos dados do cliente?
A. Requisitos legais e de conformidade
B. Acordos com clientes
C. Classificação dos dados
D. Políticas e procedimentos organizacionais
Ver resposta
Resposta correta: D
Pergunta #11
Um administrador de sistemas informou recentemente o auditor de SI sobre a ocorrência de várias tentativas de intrusão sem sucesso a partir do exterior da organização. Qual das seguintes opções é MAIS eficaz na deteção de tal intrusão?
A. Utilização de cartões inteligentes com palavras-passe de utilização única
B. Revisão periódica dos ficheiros de registo
C. Configurar o router como uma firewall
D. Instalar a autenticação baseada na biometria
Ver resposta
Resposta correta: C
Pergunta #12
Uma organização permite que os seus funcionários utilizem dispositivos móveis pessoais para trabalhar. Qual das seguintes opções MELHOR manteria a segurança da informação sem comprometer a privacidade dos funcionários?
A. Instalação de software de segurança nos dispositivos
B. Separação entre o ambiente de trabalho e o espaço pessoal nos dispositivos
C. Impedir que os utilizadores adicionem aplicações
D. Restringir a utilização de dispositivos para fins pessoais durante o horário de trabalho
Ver resposta
Resposta correta: B
Pergunta #13
A MAIOR vantagem da utilização de uma abordagem de polo de digitação no desenvolvimento de software é o facto de ajudar a:
A. minimizar as alterações de âmbito do sistema
B. diminuir o tempo atribuído aos testes e à revisão pelos utilizadores
C. concetualizar e clarificar os requisitos
D. Melhorar a eficiência dos testes de garantia de qualidade (QA)
Ver resposta
Resposta correta: C
Pergunta #14
Qual das seguintes opções é a MAIS importante para um auditor de SI analisar ao avaliar a exatidão de uma folha de cálculo que contém várias macros?
A. Encriptação da folha de cálculo
B. Histórico de versões
C. Fórmulas dentro de macros
D. Conciliação dos principais cálculos
Ver resposta
Resposta correta: D
Pergunta #15
Um auditor de SI descobriu que uma organização é incapaz de adicionar novos servidores a pedido de uma forma eficiente em termos de custos. Qual das seguintes é a MELHOR recomendação do auditor?
A. Aumentar a capacidade dos sistemas existentes
B. Atualizar o hardware para uma tecnologia mais recente
C. Contratar trabalhadores temporários para a função informática
D. Criar um ambiente virtual
Ver resposta
Resposta correta: D
Pergunta #16
Uma organização subcontratou a sua função de processamento de dados a um prestador de serviços. Qual das seguintes opções MELHOR determinaria se o prestador de serviços continua a cumprir os objectivos da organização?
A. Avaliação dos processos de formação do pessoal do prestador
B. Adequação do seguro do prestador de serviços
C. Análise do desempenho em relação aos acordos de nível de serviço (SLA)
D. Auditorias periódicas dos controlos por um auditor independente
Ver resposta
Resposta correta: D
Pergunta #17
Qual das seguintes é a MELHOR forma de aplicar o princípio do menor privilégio num servidor que contém dados com diferentes classificações de segurança?
A. Limitar o acesso aos ficheiros de dados com base na frequência de utilização
B. Obter o acordo formal dos utilizadores para cumprirem a política de classificação de dados
C. Aplicação de controlos de acesso determinados pelo proprietário dos dados
D. Utilizar listas de controlo de acesso com script para impedir o acesso não autorizado ao servidor
Ver resposta
Resposta correta: C
Pergunta #18
Devido à capacidade limitada de armazenamento, uma organização decidiu reduzir o período de retenção real dos suportes de dados que contêm transacções de baixo valor concluídas
A. A política inclui uma forte abordagem baseada no risco
B. O período de retenção permite a revisão durante a auditoria de fim de ano
C. O período de conservação está em conformidade com as responsabilidades do proprietário dos dados
D. O montante total da transação não tem impacto na informação financeira
Ver resposta
Resposta correta: C
Pergunta #19
Durante a implementação de um sistema de planeamento de recursos empresariais (ERP) atualizado, qual das seguintes opções é a consideração MAIS importante para uma decisão de entrada em funcionamento?
A. Estratégia de reversão
B. Casos de teste
C. Objectivos da revisão pós-implementação
D. Caso de negócio
Ver resposta
Resposta correta: D
Pergunta #20
Uma organização está a implementar um novo sistema que suporta um processo comercial de fim de mês. Qual das seguintes estratégias de implementação seria a MAIS eficiente para diminuir o tempo de inatividade da empresa?
A. Cutover
B. Faseado
C. Piloto
D. Paralelo
Ver resposta
Resposta correta: C
Pergunta #21
Qual das seguintes situações deve ser a MAIOR preocupação de um auditor de SI que esteja a analisar a conversão e migração de dados durante a implementação de um novo sistema de aplicações?
A. A conversão de dados foi efectuada através de processos manuais
B. As cópias de segurança do sistema e dos dados antigos não estão disponíveis online
C. Ocorreram modificações não autorizadas de dados durante a conversão
D. O processo de gestão da mudança não foi formalmente documentado
Ver resposta
Resposta correta: C
Pergunta #22
Qual das seguintes opções oferece a MAIOR garantia sobre a integridade e a exatidão do processamento de pedidos de empréstimo no que respeita à implementação de um novo sistema?
A. Comparação de código entre sistemas antigos e novos
B. Execução de transacções históricas através do novo sistema
C. Revisão dos procedimentos de garantia de qualidade (GQ)
D. Carregamento de dados de saldos e transacções para o novo sistema
Ver resposta
Resposta correta: B
Pergunta #23
Qual dos seguintes é o MELHOR método para proteger os dados nos computadores portáteis de uma organização?
A. Portas USB desactivadas
B. Encriptação total do disco
C. Controlo de acesso biométrico
D. Autenticação de dois factores
Ver resposta
Resposta correta: C
Pergunta #24
A implementação de um quadro de governação de TI exige que o conselho de administração de uma organização:
A. Abordar questões técnicas de TI
B. Ser informado de todas as iniciativas informáticas
C. Ter um comité de estratégia de TI
D. Aprovar a estratégia de TI
Ver resposta
Resposta correta: D
Pergunta #25
O que é MELHOR para um auditor de SI analisar ao avaliar a eficácia das alterações recentemente efectuadas nos processos e ferramentas relacionados com o plano de continuidade das actividades (PCN) de uma organização?
A. Resultados completos do ensaio
B. Planos de ensaio concluídos
C. Inventário atualizado dos sistemas
D. Processos de gestão da mudança
Ver resposta
Resposta correta: A
Pergunta #26
Qual das seguintes opções melhorará a garantia de que foi estabelecido um corte adequado para repor as transacções e os registos na sua condição imediatamente anterior a uma falha do sistema informático?
A. Cópias de segurança rotativas dos ficheiros de transacções fora do local
B. Utilização de um sistema de gestão de bases de dados (SGBD) para retirar dinamicamente transacções parcialmente processadas
C. Manutenção dos registos da consola do sistema em formato eletrónico
D. Garantir capacidades bissíncronas em todas as linhas de transporte
Ver resposta
Resposta correta: D
Pergunta #27
Qual das seguintes opções é a MELHOR verificação da integridade dos dados?
A. Contagem das transacções processadas por dia
B. Efetuar um controlo de sequência
C. Rastreio de dados até ao ponto de origem
D. Preparar e executar dados de teste
Ver resposta
Resposta correta: C
Pergunta #28
Qual das seguintes é a MAIOR preocupação associada a um elevado número de excepções à política de TI aprovadas pela administração?
A. É provável que as excepções se mantenham indefinidamente
B. As excepções podem resultar em incumprimento
C. As excepções podem elevar o nível de risco operacional
D. As excepções podem ter um impacto negativo na eficiência do processo
Ver resposta
Resposta correta: B
Pergunta #29
Qual das seguintes opções é a MAIS importante na implementação de um programa de classificação de dados?
A. Compreender os níveis de classificação dos dados
B. Formalização da propriedade dos dados
C. Desenvolver uma política de privacidade
D. Planeamento da capacidade de armazenamento seguro
Ver resposta
Resposta correta: B
Pergunta #30
Qual dos seguintes é o MELHOR controlo para mitigar o risco de malware associado a um sistema de mensagens instantâneas (IM)?
A. Bloqueio de anexos em MI
B. Bloqueio do tráfego de MI externo
C. Permitir apenas soluções de IM empresariais
D. Encriptar o tráfego de MI
Ver resposta
Resposta correta: C
Pergunta #31
Os ataques de scripting entre sítios (XSS) são evitados da melhor forma possível:
A. definições de política da firewall de aplicação
B. uma arquitetura Web de três níveis
C. práticas de codificação seguras
D. utilização de quadros industriais comuns
Ver resposta
Resposta correta: C
Pergunta #32
Qual das seguintes é a MELHOR forma de resolver problemas de separação de funções numa organização com restrições orçamentais?
A. Proceder a uma rotação periódica das funções
B. Efetuar uma auditoria independente
C. Contratar pessoal temporário
D. Implementar controlos de compensação
Ver resposta
Resposta correta: D
Pergunta #33
Qual é o MELHOR controlo para resolver as vulnerabilidades de injeção de SQL?
A. Tradução Unicode
B. Encriptação SSL (Secure Sockets Layer)
C. Validação dos dados de entrada
D. Assinaturas digitais
Ver resposta
Resposta correta: C
Pergunta #34
Qual das seguintes condições seria a MAIS preocupante para um auditor de SI que avalia o risco de um ataque de força bruta bem sucedido contra dados encriptados em teste?
A. Comprimento de chave curto
B. Geração de chaves aleatórias
C. Utilização da cifragem simétrica
D. Utilização de encriptação assimétrica
Ver resposta
Resposta correta: A
Pergunta #35
Um auditor de SI conclui que uma organização tem uma política de segurança de qualidade, qual das seguintes opções é a MAIS importante para determinar a seguir? A política deve ser:
A. bem compreendida por todos os empregados
B. com base nas normas do sector
C. desenvolvido por proprietários de processos
D. atualizado frequentemente
Ver resposta
Resposta correta: A
Pergunta #36
Qual dos seguintes é o MAIOR risco de utilizar um sítio recíproco para a recuperação de desastres?
A. Incapacidade de utilizar o sítio quando necessário
B. Impossibilidade de testar os planos de recuperação no local
C. Problemas de compatibilidade do equipamento no local
D. Políticas de segurança organizacional incompatíveis
Ver resposta
Resposta correta: B
Pergunta #37
Qual das seguintes opções é a consideração MAIS importante para um auditor de SI ao avaliar a adequação da política de segurança da informação de uma organização?
A. Actas do comité diretor das TI
B. Objectivos empresariais
C. Alinhamento com o plano tático de TI
D. Conformidade com as melhores práticas do sector
Ver resposta
Resposta correta: B
Pergunta #38
Qual das seguintes é a MELHOR forma de garantir que os planos de continuidade da atividade (PCN) funcionem eficazmente em caso de catástrofe de grandes proporções?
A. Preparar planos pormenorizados para cada função comercial
B. Envolver o pessoal a todos os níveis em exercícios periódicos de passagem de papel
C. Atualizar regularmente as avaliações de impacto comercial
D. Responsabilizar os gestores de topo pelas suas secções do plano
Ver resposta
Resposta correta: B
Pergunta #39
Qual das seguintes opções é a MAIS importante para garantir o desenvolvimento de um programa eficaz de sensibilização para a segurança?
A. O pessoal de formação é constituído por profissionais da segurança da informação
B. Os exercícios de phishing são realizados após a formação
C. Os cenários de ameaças à segurança estão incluídos no conteúdo do programa
D. São estabelecidos indicadores de resultados para o programa
Ver resposta
Resposta correta: D
Pergunta #40
Um auditor de SI descobriu que um fornecedor faliu e que o depósito de garantia tem uma versão mais antiga do código-fonte. Qual é a MELHOR recomendação do auditor para a organização?
A. Analisar uma nova aplicação que dê lugar a uma aplicação atual
B. Efetuar uma análise para determinar o risco comercial
C. Atualizar a versão do depósito de garantia
D. Desenvolver um plano de manutenção para suportar a aplicação utilizando o código existente
Ver resposta
Resposta correta: C
Pergunta #41
Em resposta a uma constatação de auditoria relativa a uma aplicação de processamento de salários, a administração implementou um novo controlo automatizado. Qual das seguintes opções seria MAIS útil para o auditor de SI ao avaliar a eficácia do novo controlo?
A. Scripts e resultados de testes aprovados antes da implementação
B. Procedimentos escritos que definem processos e controlos
C. Documento do âmbito do projeto aprovado
D. Análise dos resultados dos exercícios de mesa
Ver resposta
Resposta correta: B
Pergunta #42
Qual dos seguintes será o método MAIS eficaz para verificar se um fornecedor de serviços mantém os níveis de controlo exigidos pelo cliente?
A. Efetuar avaliações periódicas no local utilizando critérios acordados
B. Rever periodicamente o acordo de nível de serviço (SLA) com o fornecedor
C. Efetuar uma avaliação sem aviso prévio das vulnerabilidades dos sistemas informáticos do vendedor
D. Obter provas da autoavaliação do controlo do vendedor (CSA)
Ver resposta
Resposta correta: C
Pergunta #43
Um auditor de SI constata que as TI e a empresa têm opiniões diferentes sobre a disponibilidade dos seus servidores de aplicações
A. A definição exacta dos níveis de serviço e a sua medição
B. O processo de alerta e medição nos servidores de aplicações
C. A disponibilidade efectiva dos servidores como parte de um teste substantivo
D. A documentação periódica de comunicação do desempenho
Ver resposta
Resposta correta: A
Pergunta #44
Qual dos seguintes é o MELHOR método para evitar a fraude nas transferências electrónicas por parte dos empregados bancários?
A. Reconciliação independente
B. Re-inscrição dos montantes em dólares das transferências
C. Controlo da autenticação de dois factores
D. Controlo duplo reforçado pelo sistema
Ver resposta
Resposta correta: D
Pergunta #45
Uma organização adquiriu e implementou recentemente um software de agente inteligente para conceder empréstimos a clientes. Durante a revisão pós-implementação, qual dos seguintes procedimentos é o MAIS importante para o auditor de SI efetuar?
A. Rever o sistema e os registos de erros para verificar a exatidão das transacções
B. Rever os relatórios de controlo de entrada e saída para verificar a exatidão das decisões do sistema
C. Rever as aprovações assinadas para garantir que as responsabilidades pelas decisões do sistema estão bem definidas
D. Rever a documentação do sistema para garantir que está completa
Ver resposta
Resposta correta: B
Pergunta #46
Durante a implementação de um novo sistema, um auditor de SI deve avaliar se determinados cálculos automatizados estão em conformidade com os requisitos regulamentares. Qual das seguintes é a MELHOR forma de obter essa garantia?
A. Rever a documentação de aprovação
B. Rever o código-fonte relacionado com o cálculo
C. Efetuar novamente o cálculo com o software de auditoria
D. Inspecionar os resultados do teste de aceitação do utilizador (UAT)
Ver resposta
Resposta correta: C
Pergunta #47
Um sistema externo que contém dados sensíveis está configurado de modo a que os utilizadores tenham direitos de leitura ou de administrador. A maioria dos utilizadores do sistema tem acesso de administrador. Qual dos seguintes é o MAIOR risco associado a esta situação?
A. Os utilizadores podem exportar registos de aplicações
B. Os utilizadores podem ver dados sensíveis
C. Os utilizadores podem fazer alterações não autorizadas
D. Os utilizadores podem instalar software de licença aberta
Ver resposta
Resposta correta: C
Pergunta #48
Ao determinar se um projeto em fase de conceção irá cumprir os objectivos organizacionais, o que é MELHOR comparar com o business case?
A. Plano de execução
B. Disposições relativas ao orçamento do projeto
C. Análise dos requisitos
D. Plano do projeto
Ver resposta
Resposta correta: C
Pergunta #49
Qual das seguintes opções MELHOR ajuda a garantir a integridade dos dados nas interfaces do sistema?
A. Segregação ambiental
B. Reconciliação
C. Cópias de segurança do sistema
D. Controlos de acesso
Ver resposta
Resposta correta: D
Pergunta #50
Qual das seguintes opções é a MAIS útil para medir a realização dos benefícios de um novo sistema?
A. Análise de pontos de função
B. Análise do Balanced Scorecard
C. Revisão pós-implementação
D. Análise do impacto nas empresas (BIA)
Ver resposta
Resposta correta: A
Pergunta #51
Qual das seguintes opções DEVE ser preenchida como parte do processo de planeamento da auditoria anual?
A. Análise do impacto nas empresas (BIA)
B. Trabalho de campo
C. Avaliação dos riscos
D. Matriz de controlo dos riscos
Ver resposta
Resposta correta: C
Pergunta #52
Qual das seguintes opções deve ser a consideração MAIS importante ao realizar uma análise da gestão do portfólio de TI?
A. Atribuição da responsabilidade por cada projeto a um membro da equipa de TI
B. Adesão às melhores práticas e às metodologias aprovadas pelo sector
C. Controlos para minimizar o risco e maximizar o valor da carteira de TI
D. Frequência das reuniões em que a empresa discute a carteira de TI
Ver resposta
Resposta correta: D
Pergunta #53
Qual das seguintes opções seria a MELHOR para gerir o risco de alterações nos requisitos após a fase de análise de um projeto de desenvolvimento de aplicações empresariais?
A. Resultados esperados que cumprem os prazos do projeto
B. Aprovação da equipa de TI
C. Participação contínua das partes interessadas relevantes
D. Revisão da garantia de qualidade (OA)
Ver resposta
Resposta correta: B
Pergunta #54
Durante uma auditoria às práticas de gestão de risco de uma organização, um auditor de SI descobre que várias aceitações de risco de TI documentadas não foram renovadas atempadamente após a data de expiração atribuída. Ao avaliar a gravidade desta descoberta, que fator de atenuação minimizaria de forma mais significativa o impacto associado?
A. Existem controlos de compensação documentados sobre os processos empresariais
B. As aceitações de risco foram previamente revistas e aprovadas pelos quadros superiores adequados
C. O ambiente empresarial não sofreu alterações significativas desde a aprovação das aceitações de risco
D. As aceitações de risco com problemas reflectem uma pequena percentagem da população total
Ver resposta
Resposta correta: B
Pergunta #55
Durante a implementação de um novo sistema, foi designado um auditor de SI para analisar a gestão do risco em cada etapa. O auditor constata que vários riscos para os benefícios do projeto não foram abordados. Quem deve ser responsável pela gestão destes riscos?
A. Gestor do risco empresarial
B. Patrocinador do projeto
C. Responsável pela segurança da informação
D. Gestor de projeto
Ver resposta
Resposta correta: D
Pergunta #56
Qual das seguintes seria uma função apropriada da auditoria interna para ajudar a estabelecer o programa de privacidade de uma organização?
A. Analisar os riscos colocados pela nova regulamentação
B. Desenvolvimento de procedimentos de controlo da utilização de dados pessoais
C. Definição de funções dentro da organização relacionadas com a privacidade
D. Conceber controlos para proteger os dados pessoais
Ver resposta
Resposta correta: A
Pergunta #57
Qual das seguintes opções é o MELHOR controlo de deteção para um processo de programação de tarefas que envolve a transmissão de dados?
A. As métricas que indicam o volume de falhas de trabalho mensais são comunicadas e analisadas pela direção
B. Os trabalhos são programados para serem concluídos diariamente e os dados são transmitidos utilizando um protocolo de transferência segura de ficheiros (SFTP)
C. Os trabalhos são programados e é conservado um registo desta atividade para revisão posterior
D. Os alertas de falha de trabalho são gerados automaticamente e encaminhados para o pessoal de suporte
Ver resposta
Resposta correta: D
Pergunta #58
Qual das seguintes opções é um controlo corretivo?
A. Separação dos ensaios de desenvolvimento do equipamento e da produção
B. Verificação de cálculos duplicados no processamento de dados
C. Revisão dos direitos de acesso dos utilizadores para efeitos de segregação
D. Execução dos planos de resposta a emergências
Ver resposta
Resposta correta: D
Pergunta #59
Qual é o objetivo PRIMÁRIO da documentação dos objectivos de auditoria aquando da preparação para um compromisso?
A. Abordar o risco global associado à atividade em análise
B. Identificar áreas com probabilidade relativamente elevada de problemas materiais
C. Para ajudar a garantir a máxima utilização dos recursos de auditoria durante o trabalho
D. Ajudar a definir prioridades e agendar reuniões com as entidades auditadas
Ver resposta
Resposta correta: B
Pergunta #60
Qual seria a MELHOR recomendação de um auditor de SI ao descobrir que um fornecedor de serviços de TI externo aloja o sistema de recursos humanos (RH) da organização num país estrangeiro?
A. Efetuar controlos de antecedentes
B. Analisar os relatórios de auditoria de terceiros
C. Implementar a revisão da gestão da mudança
D. Efetuar uma análise do impacto na privacidade
Ver resposta
Resposta correta: D
Pergunta #61
Durante uma auditoria de acompanhamento, um auditor de SI toma conhecimento de que algum pessoal chave da gestão foi substituído desde a auditoria original e que a atual gestão decidiu não implementar algumas recomendações previamente aceites
A. Notificar o presidente do comité de auditoria
B. Notificar o diretor de auditoria
C. Voltar a testar o controlo
D. Encerrar o achado de auditoria
Ver resposta
Resposta correta: B
Pergunta #62
Qual das seguintes componentes de uma avaliação do risco é MAIS útil para a gestão determinar o nível de redução do risco a aplicar?
A. Identificação dos riscos
B. Classificação dos riscos
C. Autoavaliação do controlo (CSA)
D. Avaliação do impacto
Ver resposta
Resposta correta: D
Pergunta #63
Durante a fase de planeamento de uma auditoria de prevenção de perda de dados (DLP), a administração manifesta uma preocupação com a computação móvel
A. A utilização da nuvem tem um impacto negativo na disponibilidade de TI
B. Maior necessidade de formação para a sensibilização dos utilizadores
C. Maior vulnerabilidade devido à acessibilidade em qualquer altura e em qualquer lugar
D. Falta de governação e de supervisão das infra-estruturas e aplicações informáticas
Ver resposta
Resposta correta: C
Pergunta #64
Quando uma intrusão na rede de uma organização é eliminada, qual das seguintes acções deve ser realizada PRIMEIRO?
A. Bloquear todos os nós de rede comprometidos
B. Contactar as autoridades policiais
C. Notificar os quadros superiores
D. Nós de identidade que foram comprometidos
Ver resposta
Resposta correta: D
Pergunta #65
Qual dos seguintes controlos de entrada da aplicação detectaria com maior probabilidade erros de entrada de dados no campo do número de conta do cliente durante o processamento de uma transação de contas a receber?
A. Controlo dos limites
B. Controlo de paridade
C. Controlo da razoabilidade
D. Controlo de validade
Ver resposta
Resposta correta: C
Pergunta #66
Qual dos seguintes é o fator determinante MAIS importante para estabelecer prazos adequados para as actividades de acompanhamento relacionadas com as constatações de auditoria?
A. Disponibilidade de recursos de auditoria dos SI
B. Datas de correção incluídas nas respostas da gestão
C. Períodos de pico de atividade da empresa
D. Complexidade dos processos empresariais identificados na auditoria
Ver resposta
Resposta correta: C
Pergunta #67
Durante uma auditoria de acompanhamento, verificou-se que uma vulnerabilidade de segurança complexa de baixo risco não foi resolvida dentro do prazo acordado. As TI declararam que o sistema com a vulnerabilidade identificada está a ser substituído e que se espera que esteja totalmente funcional dentro de dois meses
A. Exigir documentação que comprove que a constatação será tratada no novo sistema
B. Marcar uma reunião para discutir a questão com a direção
C. Efetuar uma auditoria ad hoc para determinar se a vulnerabilidade foi explorada
D. Recomendar que a constatação seja resolvida antes da implementação do novo sistema
Ver resposta
Resposta correta: C
Pergunta #68
Qual das seguintes opções é necessária para uma gestão eficaz dos riscos na governação das TI?
A. Os gestores locais são os únicos responsáveis pela avaliação dos riscos
B. A gestão do risco informático é distinta da gestão do risco empresarial
C. A estratégia de gestão do risco é aprovada pelo comité de auditoria
D. A avaliação dos riscos está integrada nos processos de gestão
Ver resposta
Resposta correta: D
Pergunta #69
Durante uma auditoria à governação das TI, um auditor de SI constata que as políticas e os procedimentos de TI não são revistos e actualizados regularmente. A maior preocupação para o auditor de SI é o facto de as políticas e os procedimentos poderem não ser:
A. Refletir as práticas actuais
B. incluem novos sistemas e as correspondentes alterações de processos
C. incorporar alterações à legislação pertinente
D. ser objeto de uma garantia de qualidade (GQ) adequada
Ver resposta
Resposta correta: D
Pergunta #70
A função PRIMÁRIA de um facilitador da autoavaliação do controlo (CSA) é a seguinte
A. realizar entrevistas para obter informações de base
B. centrar a equipa nos controlos internos
C. relatório sobre as deficiências do controlo interno
D. fornecer soluções para as deficiências de controlo
Ver resposta
Resposta correta: B
Pergunta #71
Qual das seguintes opções deve estar em vigor antes de um auditor de SI iniciar as actividades de acompanhamento da auditoria?
A. Recursos disponíveis para as actividades incluídas no plano de ação
B. Uma resposta da direção no relatório final, com uma data de aplicação prevista
C. Um mapa de saúde com as lacunas e recomendações apresentadas em termos de risco
D. Provas de apoio para as lacunas e recomendações mencionadas no relatório de auditoria
Ver resposta
Resposta correta: B
Pergunta #72
Quando uma auditoria de SI revela que uma firewall não foi capaz de reconhecer uma série de tentativas de ataque, a MELHOR recomendação do auditor é colocar um sistema de deteção de intrusão (IDS) entre a firewall e:
A. a Internet
B. A zona desmilitarizada (DMZ)
C. o servidor Web da organização
D. a rede da organização
Ver resposta
Resposta correta: D
Pergunta #73
Um auditor de SI descobre que os servidores de aplicações tinham definições de segurança inconsistentes, o que conduzia a potenciais vulnerabilidades
A. Melhorar o processo de gestão da mudança
B. Estabelecer métricas de segurança
C. Efetuar um teste de penetração
D. Efetuar uma revisão da configuração
Ver resposta
Resposta correta: D
Pergunta #74
Um auditor de SI descobre que os controlos de validação de uma aplicação Web foram transferidos do lado do servidor para o browser para melhorar o desempenho.
A. phishing
B. negação de serviço (DoS)
C. Injeção de linguagem de consulta estruturada (SQL)
D. estouro de buffer
Ver resposta
Resposta correta: D
Pergunta #75
Qual das seguintes situações deve ser a maior preocupação para um auditor de SI que esteja a analisar o plano de recuperação de desastres (DRP) de uma organização?
A. O DRP não foi formalmente aprovado pela direção
B. O DRP não foi distribuído aos utilizadores finais
C. O DRP não foi atualizado desde uma atualização da infraestrutura de TI
D. O DRP contém procedimentos de recuperação apenas para servidores críticos
Ver resposta
Resposta correta: C
Pergunta #76
Durante a revisão de um plano de produção, um auditor de SI observa que um membro do pessoal não está a cumprir os procedimentos operacionais obrigatórios. O PRÓXIMO passo do auditor deve ser:
A. registar a não conformidade nos documentos de trabalho da auditoria
B. emitir um memorando de auditoria que identifique o incumprimento
C. incluir a não conformidade no relatório de auditoria
D. determinar porque é que os procedimentos não foram seguidos
Ver resposta
Resposta correta: D
Pergunta #77
Foi efectuada uma análise pós-implementação através de um inquérito aos utilizadores. Qual das seguintes opções deve ser a MAIS preocupante para um auditor de SI?
A. Os resultados do inquérito não foram apresentados em pormenor à direção
B. As perguntas do inquérito não abordavam o âmbito do business case
C. O modelo do formulário de inquérito não permitia a apresentação de comentários adicionais
D. O inquérito foi enviado aos trabalhadores um mês após a implementação
Ver resposta
Resposta correta: B
Pergunta #78
Um mês depois de uma empresa ter comprado e implementado um software de monitorização do sistema e do desempenho, os relatórios eram demasiado grandes e, por isso, não eram analisados nem tomadas medidas O plano de ação MAIS eficaz seria
A. Avaliar os sistemas de substituição e o software de monitorização do desempenho
B. Restringir a funcionalidade do software de monitorização do sistema a eventos relacionados com a segurança
C. reinstalar o sistema e o software de monitorização do desempenho
D. utilizar ferramentas analíticas para produzir relatórios de exceção a partir do sistema e do software de monitorização do desempenho
Ver resposta
Resposta correta: B
Pergunta #79
Qual dos seguintes direitos de acesso apresenta o MAIOR risco quando concedido a um novo membro da equipa de desenvolvimento do sistema?
A. Acesso de escrita às bibliotecas de programas de produção
B. Acesso de escrita às bibliotecas de dados de desenvolvimento
C. Executar o acesso às bibliotecas de programas de produção
D. Executar o acesso às bibliotecas de programas de desenvolvimento
Ver resposta
Resposta correta: A
Pergunta #80
Um auditor de SI observa que o teste de recuperação de desastres do ano anterior não foi concluído dentro do prazo programado devido à insuficiência de hardware alocado por um fornecedor terceirizado. Qual das seguintes opções fornece a MELHOR evidência de que os recursos adequados estão agora alocados para recuperar os sistemas com sucesso?
A. Acordo de nível de serviço (SLA)
B. Política de gestão das alterações de hardware
C. Nota do fornecedor indicando a correção do problema
D. Um gráfico RACI atualizado
Ver resposta
Resposta correta: A
Pergunta #81
Um consultor externo está a gerir a substituição de um sistema de contabilidade. Qual das seguintes deve ser a MAIOR preocupação do auditor de SI?
A. A migração de dados não faz parte das actividades contratadas
B. A substituição está a ocorrer perto do relatório de fim de ano
C. O departamento de utilizadores gere os direitos de acesso
D. Os ensaios foram efectuados pelo consultor independente
Ver resposta
Resposta correta: C
Pergunta #82
Um auditor de SI observa que os tempos de processamento de transacções num sistema de processamento de encomendas aumentaram significativamente após uma versão importante
A. Plano de gestão das capacidades
B. Planos de formação
C. Resultados da conversão da base de dados
D. Resultados dos testes de esforço
Ver resposta
Resposta correta: D
Pergunta #83
Um funcionário perde um dispositivo móvel, o que resulta na perda de dados empresariais sensíveis
A. Qual das seguintes opções teria evitado MELHOR a fuga de dados?
B. Encriptação de dados no dispositivo móvel
C. Política de palavras-passe complexas para dispositivos móveis
D. O acionamento de capacidades de limpeza remota de dados
E. Formação de sensibilização para os utilizadores de dispositivos móveis
Ver resposta
Resposta correta: A
Pergunta #84
Qual das seguintes deve ser a MAIOR preocupação de um auditor de SI quando uma organização internacional pretende implementar uma política global de privacidade de dados?
A. As exigências podem tornar-se irrazoáveis
B. A política pode entrar em conflito com os requisitos de aplicação existentes
C. Os regulamentos locais podem contradizer a política
D. A direção local pode não aceitar a política
Ver resposta
Resposta correta: C
Pergunta #85
Durante uma auditoria de acompanhamento, um auditor de SI constata que algumas recomendações críticas têm a MELHOR linha de ação do auditor de SI?
A. Exigir que a entidade auditada responda às recomendações na íntegra
B. Ajustar a avaliação anual dos riscos em conformidade
C. Avaliar a aceitação do risco pela direção
D. Atualizar o programa de auditoria com base na aceitação do risco por parte da gestão
Ver resposta
Resposta correta: B
Pergunta #86
Qual das seguintes opções é a que MAIS provavelmente comprometerá o controlo fornecido por uma assinatura digital criada com encriptação RSA?
A. Inverter a função hash utilizando o resumo
B. Alteração da mensagem de texto simples
C. Decifrar a chave pública do recetor
D. Obtenção da chave privada do remetente
Ver resposta
Resposta correta: D
Pergunta #87
Na gestão do armazém de dados (DW), qual é a MELHOR forma de evitar problemas de qualidade dos dados causados por alterações de um sistema de origem?
A. Configurar alertas de qualidade de dados para verificar as variações entre o data warehouse e o sistema de origem
B. Exigir aprovação para alterações no processo de extração/transferência/carregamento (ETL) entre os dois sistemas
C. Incluir o armazém de dados na análise de impacto (ou quaisquer alterações no sistema de origem)
D. Restringir o acesso a alterações no processo de extração/transferência/carregamento (ETL) entre os dois sistemas
Ver resposta
Resposta correta: B
Pergunta #88
Qual das seguintes opções MELHOR facilita o processo jurídico em caso de incidente?
A. Direito de efetuar a pesquisa eletrónica
B. Aconselhamento jurídico
C. Preservação da cadeia de custódia
D. Resultados de uma análise da causa raiz
Ver resposta
Resposta correta: C
Pergunta #89
Uma organização está a planear uma aquisição e contratou um auditor de SI para avaliar a estrutura de governação de TI da empresa-alvo. Qual das seguintes opções seria a MAIS útil para determinar a eficácia da estrutura?
A. Relatórios de avaliação das vendas da capacidade e maturidade das TI
B. Relatórios de avaliação comparativa do desempenho informático com os concorrentes
C. Relatórios recentes de auditoria IS de terceiros
D. Relatórios actuais e anteriores de auditorias internas de SI
Ver resposta
Resposta correta: C
Pergunta #90
Um auditor de SI suspeita que o computador de uma organização pode ter sido utilizado para cometer um crime. Qual das seguintes opções é a MELHOR forma de atuação do auditor?
A. Examinar o computador para procurar provas que confirmem as suspeitas
B. Aconselhar a direção sobre o crime após a investigação
C. Contactar a equipa de resposta a incidentes para realizar uma investigação
D. Notificar as autoridades policiais locais sobre o potencial crime antes de prosseguir a investigação
Ver resposta
Resposta correta: C
Pergunta #91
Qual das seguintes opções é a MAIS importante para garantir que as provas electrónicas recolhidas durante uma investigação forense serão admissíveis em futuros processos judiciais?
A. Restringir o acesso às provas a investigadores forenses certificados profissionalmente
B. Documentar o tratamento das provas pelo pessoal durante a investigação forense
C. Realização de procedimentos de investigação nos discos rígidos originais e não em imagens dos discos rígidos
D. Contratação de um terceiro independente para efetuar a investigação forense
Ver resposta
Resposta correta: B
Pergunta #92
Qual das seguintes é a razão PRINCIPAL para um auditor de SI efetuar revisões pós-implementação?
A. Determinar se os objectivos do projeto foram alcançados no business case
B. Assegurar a obtenção da aprovação das principais partes interessadas
C. Alinhar os objectivos do projeto com as necessidades da empresa
D. Documentar as lições aprendidas para melhorar a execução de futuros projectos
Ver resposta
Resposta correta: A
Pergunta #93
Qual das seguintes opções daria a um auditor de SI a MAIOR garantia de que os controlos de eliminação de dados apoiam os objectivos estratégicos da empresa?
A. Política de reciclagem de suportes
B. Política de higienização dos meios de comunicação social
C. Política de rotulagem dos meios de comunicação social
D. Política de destruição de suportes
Ver resposta
Resposta correta: A
Pergunta #94
Uma organização desenvolveu práticas maduras de gestão do risco que são seguidas em todos os departamentos Qual é a forma MAIS eficaz de a equipa de auditoria tirar partido desta maturidade da gestão do risco?
A. Implementação de respostas ao risco em nome da direção
B. Integrar o registo de riscos para efeitos de planeamento da auditoria
C. Dar garantias à direção relativamente ao risco
D. Facilitar seminários de identificação e avaliação do risco de auditoria
Ver resposta
Resposta correta: B
Pergunta #95
Num modelo RAO, qual das seguintes funções deve ser atribuída a apenas um indivíduo?
A. Responsável
B. Informado
C. Consultado
D. Responsável
Ver resposta
Resposta correta: D
Pergunta #96
Qual das seguintes é a forma MAIS eficaz de uma organização ajudar a garantir que os planos de ação acordados de uma auditoria de SI serão implementados?
A. Assegurar que a propriedade é atribuída
B. Testar as acções correctivas após a sua conclusão
C. ssegurar a afetação de recursos de auditoria suficientes
D. Comunicar os resultados da auditoria a toda a organização
Ver resposta
Resposta correta: A
Pergunta #97
Um novo sistema está a ser desenvolvido por um fornecedor para uma organização de serviços ao consumidor. O fornecedor fornecerá o seu software proprietário assim que o desenvolvimento do sistema estiver concluído Qual dos seguintes é o requisito MAIS importante a incluir no contrato do fornecedor para garantir a continuidade?
A. Deve estar disponível um apoio contínuo 24 horas por dia, 7 dias por semana
B. O fornecedor deve ter um plano documentado de recuperação de desastres (DRP) em vigor
C. O código fonte do software deve ser depositado em caução
D. O fornecedor deve formar o pessoal da organização para gerir o novo software
Ver resposta
Resposta correta: C
Pergunta #98
Qual dos seguintes é o MAIOR risco de segurança associado à migração de dados de um sistema antigo de recursos humanos (RH) para um sistema baseado na nuvem?
A. Os dados do sistema de origem e do sistema de destino podem ser interceptados
B. Os dados do sistema de origem e de destino podem ter formatos de dados diferentes
C. Os registos que ultrapassem o seu período de retenção não podem ser migrados para o novo sistema
D. O desempenho do sistema pode ser afetado pela migração
Ver resposta
Resposta correta: A
Pergunta #99
Qual é a vantagem PRINCIPAL de uma abordagem de auditoria que exige que as constatações comunicadas sejam emitidas juntamente com os respectivos planos de ação, proprietários e datas-limite?
A. facilita o acompanhamento da auditoria
B. Impõe um consenso sobre o plano de ação entre os auditores e as entidades auditadas
C. Estabelece a responsabilidade pelos planos de ação
D. ajuda a garantir a exatidão factual das conclusões
Ver resposta
Resposta correta: C
Pergunta #100
Qual das seguintes opções é MAIS importante verificar ao determinar a integridade do processo de verificação de vulnerabilidades?
A. O inventário de sistemas da organização é mantido atualizado
B. Os resultados da verificação de vulnerabilidades são comunicados ao CISO
C. A organização está a utilizar uma ferramenta de análise alojada na nuvem para identificação de vulnerabilidades
D. O acesso à ferramenta de verificação de vulnerabilidades é revisto periodicamente
Ver resposta
Resposta correta: B
Pergunta #101
Durante a fase de conceção de um projeto de desenvolvimento de software, a responsabilidade PRIMÁRIA de um auditor de SI é avaliar a..:
A. Compatibilidade futura da aplicação
B. Funcionalidade proposta para a aplicação
C. Controlos incorporados nas especificações do sistema
D. Metodologia de desenvolvimento utilizada
Ver resposta
Resposta correta: C
Pergunta #102
Qual dos seguintes ambientes é o MELHOR utilizado para copiar dados e transformá-los numa forma de data warehouse compatível?
A. Ensaios
B. Replicação
C. Encenação
D. Desenvolvimento
Ver resposta
Resposta correta: C
Pergunta #103
Qual das seguintes seria a métrica MAIS útil para a gestão considerar ao analisar uma carteira de projectos?
A. Custo dos projectos dividido pelo custo total de TI
B. Rendimento esperado dividido pelo custo total do projeto
C. Valor atual líquido (VAL) da carteira
D. Custo total de cada projeto
Ver resposta
Resposta correta: C
Pergunta #104
Qual das seguintes opções é a MAIS importante para um auditor de SI confirmar ao analisar os planos de uma organização para implementar a automatização de processos robóticos (RPA) para automatizar tarefas empresariais de rotina?
A. O processo de ponta a ponta é compreendido e documentado
B. As funções e responsabilidades são definidas para os processos empresariais no âmbito
C. Foi concluído um exercício de aferição de desempenhos dos seus pares do sector que utilizam a RPA
D. Foi emitido um pedido de proposta (RFP) para fornecedores qualificados
Ver resposta
Resposta correta: B
Pergunta #105
Os programadores de software de uma organização precisam de aceder a informação pessoal identificável (PIP) armazenada num determinado formato de dados. Qual das seguintes é a MELHOR forma de proteger esta informação sensível, permitindo simultaneamente que os programadores a utilizem em ambientes de desenvolvimento e teste?
A. Mascaramento de dados
B. Tokenização de dados
C. Encriptação de dados
D. Abstração de dados
Ver resposta
Resposta correta: A
Pergunta #106
Uma organização tomou a decisão estratégica de se dividir em entidades operacionais separadas para melhorar a rentabilidade. No entanto, a infraestrutura de TI continua a ser partilhada entre as entidades. Qual das seguintes opções MELHOR ajudaria a garantir que a auditoria dos SI continua a abranger as principais áreas de risco no ambiente de TI como parte do seu plano anual?
A. Aumentar a frequência das auditorias SI baseadas no risco para cada entidade empresarial
B. Desenvolver um plano baseado no risco considerando os processos de negócio de cada entidade
C. Efetuar uma auditoria das políticas e procedimentos informáticos recentemente introduzidos
D. Rever os planos de auditoria dos SI para se centrarem nas alterações informáticas introduzidas após a cisão
Ver resposta
Resposta correta: D
Pergunta #107
Qual das seguintes opções seria o resultado da utilização de um processo de modelo de maturidade top-down?
A. Um meio de aferir a eficácia de processos semelhantes com os seus pares
B. Um meio de comparar a eficácia de outros processos dentro da empresa
C. Identificação de processos mais antigos e estabelecidos para garantir uma revisão atempada
D. Identificação dos processos com mais oportunidades de melhoria
Ver resposta
Resposta correta: D
Pergunta #108
Para ser útil, um indicador-chave de desempenho (KPI) DEVE
A. ser aprovado pela direção
B. Ser mensurável em percentagens
C. ser alteradas frequentemente para refletir a estratégia organizacional
D. têm um valor-alvo
Ver resposta
Resposta correta: C
Pergunta #109
Qual dos seguintes documentos seria MAIS útil para detetar uma deficiência na segregação de funções?
A. Fluxograma do sistema
B. Diagrama de fluxo de dados
C. Fluxograma do processo
D. Diagrama entidade-relacionamento
Ver resposta
Resposta correta: C
Pergunta #110
Qual das seguintes é a MELHOR justificação para adiar os testes de correção até à próxima auditoria?
A. O auditor que realizou a auditoria e concordou com o cronograma deixou a organização
B. As acções planeadas pela Direção são suficientes, tendo em conta a importância relativa das observações
C. A direção da entidade auditada aceitou todas as observações comunicadas pelo auditor
D. O ambiente de auditoria mudou significativamente
Ver resposta
Resposta correta: D
Pergunta #111
Ao analisar as políticas de segurança da informação de uma organização, um auditor de SI deve verificar se as políticas foram definidas PRIMARIAMENTE com base em:
A. um processo de gestão do risco
B. uma estrutura de segurança da informação
C. incidentes anteriores de segurança da informação
D. melhores práticas do sector
Ver resposta
Resposta correta: B
Pergunta #112
Qual dos seguintes aspectos deve ser o MAIS importante para um auditor de SI durante uma revisão pós-implementação?
A. O sistema não dispõe de um plano de manutenção
B. O sistema contém vários defeitos menores
C. A implantação do sistema sofreu um atraso de três semanas
D. O sistema ultrapassou o orçamento em 15%
Ver resposta
Resposta correta: A
Pergunta #113
Uma auditoria de SI revela que uma organização não está a lidar proactivamente com as vulnerabilidades conhecidas. Qual das seguintes opções o auditor de SI deve recomendar que a organização faça PRIMEIRO?
A. Verificar se o plano de recuperação de desastres (DRP) foi testado
B. Assegurar que o sistema de prevenção de intrusões (IPS) é eficaz
C. Avaliar os riscos de segurança para a empresa
D. Confirmar que a equipa de resposta a incidentes compreende o problema
Ver resposta
Resposta correta: C
Pergunta #114
Qual das seguintes opções fornece aos profissionais de auditoria de SI a MELHOR fonte de orientação para o desempenho das funções de auditoria?
A. Carta de auditoria
B. Comité diretor de TI
C. Política de segurança da informação
D. Melhores práticas de auditoria
Ver resposta
Resposta correta: A
Pergunta #115
Um auditor de SI está a analisar o processo de gestão de activos de informação de uma organização. Qual das seguintes opções é a que mais preocupa o auditor?
A. O processo não requer a especificação das localizações físicas dos activos
B. A propriedade do processo não foi estabelecida
C. O processo não inclui a análise de activos
D. A identificação do valor do ativo não está incluída no processo
Ver resposta
Resposta correta: B
Pergunta #116
As folhas de cálculo são utilizadas para calcular as estimativas de custos do projeto. Os totais de cada categoria de custos são depois introduzidos no sistema de cálculo de custos por funções. Qual é o MELHOR controlo para garantir que os dados são introduzidos com precisão no sistema?
A. Reconciliação dos montantes totais por projeto
B. Controlos de validade, impedindo a introdução de dados com caracteres
C. Controlos de razoabilidade para cada tipo de custo
D. Exibir o detalhe do projeto após a entrada
Ver resposta
Resposta correta: A
Pergunta #117
Qual das seguintes é a vantagem PRIMÁRIA do processamento paralelo para a implementação de um novo sistema?
A. Garantia de que o novo sistema cumpre os requisitos funcionais
B. Mais tempo para os utilizadores completarem a formação para o novo sistema
C. Economias de custos significativas em relação a outras implementações ou abordagens de sistemas
D. Garantia de que o novo sistema cumpre os requisitos de desempenho
Ver resposta
Resposta correta: A
Pergunta #118
Qual dos seguintes aspectos deve ser o MAIS preocupante para um auditor de SI que analisa a infraestrutura de chave pública (PKI) para correio eletrónico empresarial?
A. A lista de revogação de certificados não foi actualizada
B. A política de PKI não foi actualizada no último ano
C. O certificado de chave privada não foi atualizado
D. A declaração de prática do certificado não foi publicada
Ver resposta
Resposta correta: A
Pergunta #119
Um carro de auditoria de organizações PRIMARIAMENTE:
A. descreve a autoridade dos auditores para efetuar auditorias
B. Define o código de conduta dos revisores de contas
C. regista formalmente os planos de auditoria anuais e trimestrais
D. documenta o processo de auditoria e as normas de comunicação
Ver resposta
Resposta correta: A
Pergunta #120
A decisão de aceitar um risco de controlo informático relacionado com a qualidade dos dados deve ser da responsabilidade do responsável:
A. Equipa de segurança da informação
B. Diretor de auditoria de SI
C. Diretor de Informação (CIO)
D. proprietário de uma empresa
Ver resposta
Resposta correta: D
Pergunta #121
A principal razão para um auditor de SI utilizar técnicas de análise de dados é reduzir que tipo de risco de auditoria?
A. Risco tecnológico
B. Risco de deteção
C. Risco de controlo
D. Risco inerente
Ver resposta
Resposta correta: B
Pergunta #122
Qual dos seguintes é o MELHOR controlo para impedir a transferência de ficheiros para terceiros através de aplicações de mensagens instantâneas (IM)?
A. Encriptação ao nível dos ficheiros
B. Protocolo de transferência de ficheiros (FTP)
C. Política de mensagens instantâneas
D. Firewalls de nível de aplicação
Ver resposta
Resposta correta: D
Pergunta #123
Para permitir o alinhamento dos planos de desenvolvimento do pessoal de TI com a estratégia de TI, qual das seguintes acções deve ser realizada PRIMEIRO?
A. Rever as descrições das funções do pessoal de TI para as alinhar
B. Desenvolver formação trimestral para cada membro do pessoal de TI
C. Identificar os conjuntos de competências informáticas necessárias para apoiar os principais processos empresariais
D. Incluir objectivos estratégicos nos objectivos de desempenho do pessoal de TI
Ver resposta
Resposta correta: C
Pergunta #124
Uma análise da carteira de TI de uma organização revelou várias aplicações que não estão a ser utilizadas. A MELHOR maneira de evitar que esta situação se repita seria implementar.
A. Um processo formal de pedido de proposta (RFP)
B. Procedimentos de desenvolvimento de casos de negócios
C. Uma política de aquisição de activos de informação
D. Gestão do ciclo de vida dos activos
Ver resposta
Resposta correta: D
Pergunta #125
Qual dos seguintes problemas associados às câmaras de vigilância de circuito fechado de televisão (CCTV) de um centro de dados deve ser o MAIS preocupante para um auditor de SI?
A. As gravações de CCTV não são revistas regularmente
B. As câmaras CCTV não estão instaladas nas salas de descanso
C. Os registos de CCTV são apagados ao fim de um ano
D. As imagens de CCTV não são registadas 24 horas por dia, 7 dias por semana
Ver resposta
Resposta correta: A
Pergunta #126
Qual das seguintes opções deve ser feita PRIMEIRO ao planear um teste de penetração?
A. Celebrar acordos de confidencialidade (NDA)
B. Determinar os requisitos de comunicação das vulnerabilidades
C. Definir o âmbito do teste
D. Obter o consentimento da direção para os testes
Ver resposta
Resposta correta: D
Pergunta #127
Um auditor de SI está a planear uma auditoria aos processos de contas a pagar de uma organização. Qual dos seguintes controlos é MAIS importante avaliar na auditoria?
A. Separação de funções entre a emissão de ordens de compra e a realização de pagamentos
B. Segregação de funções entre a receção de facturas e a fixação de limites de autorização
C. Análise e aprovação pela direção dos níveis de autorização
D. Análise e aprovação das ordens de compra pela direção
Ver resposta
Resposta correta: A
Pergunta #128
Qual das seguintes opções é a MAIS importante a incluir nos procedimentos de recolha e preservação de dados forenses?
A. Garantir a segurança física dos dispositivos
B. Preservação da integridade dos dados
C. Manutenção da cadeia de custódia
D. Determinação dos instrumentos a utilizar
Ver resposta
Resposta correta: B
Pergunta #129
Qual das seguintes opções MELHOR garante a qualidade e a integridade dos procedimentos de teste utilizados na análise de auditoria?
A. Desenvolver e comunicar as melhores práticas de procedimentos de ensaio às equipas de auditoria
B. Desenvolver e implementar um repositório de dados de auditoria
C. Descentralização dos procedimentos e implementação da avaliação periódica pelos pares
D. Centralização de procedimentos e implementação do controlo de alterações
Ver resposta
Resposta correta: D
Pergunta #130
O departamento de arquitetura empresarial (EA) de uma organização decide alterar os componentes de um sistema legado, mantendo a sua funcionalidade original. Qual das seguintes opções é a MAIS importante para um auditor de SI compreender ao analisar esta decisão?
A. As capacidades comerciais actuais fornecidas pelo sistema antigo
B. A topologia de rede proposta para ser utilizada pelo sistema reformulado
C. Os fluxos de dados entre os componentes a utilizar pelo sistema reformulado
D. As relações entre as entidades da base de dados no sistema antigo
Ver resposta
Resposta correta: A
Pergunta #131
Qual das seguintes é a razão MAIS importante para implementar o controlo de versões numa aplicação de computação para o utilizador final (EUC)?
A. Para garantir que as versões mais antigas estão disponíveis para referência
B. Para garantir que apenas é utilizada a última versão aprovada da aplicação
C. Para garantir a compatibilidade de diferentes versões da aplicação
D. Para garantir que apenas os utilizadores autorizados podem aceder à aplicação
Ver resposta
Resposta correta: B
Pergunta #132
Um auditor de SI está a efetuar uma análise pós-implementação de um sistema de planeamento de recursos empresariais (ERP). Os utilizadores finais indicaram preocupações com a exatidão dos cálculos automáticos críticos efectuados pelo sistema. A PRIMEIRA linha de ação do auditor deve ser a seguinte
A. analisar as alterações recentes ao sistema
B. Verificar a conclusão dos testes de aceitação do utilizador (UAT)
C. verificar os resultados para determinar a validade das preocupações dos utilizadores
D. rever os requisitos comerciais iniciais
Ver resposta
Resposta correta: C
Pergunta #133
Qual das seguintes é uma preocupação da gestão executiva que pode ser resolvida pela implementação de um painel de controlo de métricas de segurança?
A. Eficácia do programa de segurança
B. Incidentes de segurança vs
C. Número total de horas orçamentadas para a segurança
D. Número total de falsos positivos
Ver resposta
Resposta correta: A
Pergunta #134
Qual das seguintes é a MELHOR prova de que a estratégia de TI de uma organização está alinhada com os seus objectivos comerciais?
A. A estratégia de TI é modificada em resposta à mudança organizacional
B. A estratégia de TI é aprovada pela direção executiva
C. A estratégia de TI baseia-se nas melhores práticas operacionais de TI
D. A estratégia de TI tem um impacto significativo na estratégia empresarial
Ver resposta
Resposta correta: A
Pergunta #135
Durante a execução das actividades de acompanhamento, um auditor de SI está preocupado com o facto de a direção ter implementado medidas correctivas diferentes das inicialmente discutidas e acordadas com a função de auditoria. A fim de resolver a situação, a MELHOR forma de atuação do auditor de SI seria
A. redefinir a prioridade da questão original como sendo de alto risco e escalar para a gestão de topo
B. agendar uma auditoria de acompanhamento no próximo ciclo de auditoria
C. adiar as actividades de acompanhamento e transferir os controlos alternativos para a direção de auditoria
D. determinar se os controlos alternativos atenuam suficientemente o risco
Ver resposta
Resposta correta: D
Pergunta #136
Foi pedido a um auditor de SI que avaliasse a segurança de um sistema de base de dados recentemente migrado, que contém dados pessoais e financeiros dos clientes de um banco. Qual dos seguintes controlos é MAIS importante para o auditor confirmar que está implementado?
A. As configurações predefinidas foram alteradas
B. Todas as tabelas da base de dados estão normalizadas
C. A porta de serviço utilizada pelo servidor da base de dados foi alterada
D. A conta de administração predefinida é utilizada após a alteração da palavra-passe da conta
Ver resposta
Resposta correta: A
Pergunta #137
Qual das seguintes opções é o MELHOR controlo para mitigar ataques que redireccionam o tráfego da Internet para um site não autorizado?
A. Utilizar uma firewall baseada em rede
B. Realizar formação regular de sensibilização dos utilizadores para a segurança
C. Efetuar o reforço da segurança do servidor do sistema de nomes de domínio (DNS)
D. Aplicar uma política de palavra-passe forte que cumpra os requisitos de complexidade
Ver resposta
Resposta correta: C
Pergunta #138
Um código de programa malicioso foi encontrado numa aplicação e corrigido antes de ser colocado em produção. Após o lançamento, o mesmo problema foi reportado. Qual das seguintes é a MELHOR recomendação do auditor de SI?
A. Assegurar que o código do programa corrigido é compilado num servidor dedicado
B. Assegurar que os relatórios de gestão da mudança são revistos de forma independente
C. Garantir que os programadores não possam aceder ao código após a conclusão das edições do programa
D. Garantir que a empresa assina os resultados do teste de aceitação do utilizador (UAT) de ponta a ponta
Ver resposta
Resposta correta: A
Pergunta #139
Qual dos seguintes controlos MELHOR assegura uma separação adequada de funções num departamento de contas a pagar?
A. Restringir a funcionalidade do programa de acordo com os perfis de segurança do utilizador
B. Restringir o acesso aos programas de atualização apenas ao pessoal das contas a pagar
C. Incluir o ID de utilizador dos criadores como um campo em cada registo de transação criado
D. Assegurar a existência de pistas de auditoria para as transacções
Ver resposta
Resposta correta: A
Pergunta #140
O que é MAIS importante verificar durante uma avaliação externa da vulnerabilidade da rede?
A. Atualização das regras de gestão de eventos de informação de segurança (SIEM)
B. Revisão regular da política de segurança da rede
C. Exaustividade do inventário dos activos de rede
D. Localização dos sistemas de deteção de intrusões (IDS)
Ver resposta
Resposta correta: C
Pergunta #141
Qual das seguintes opções é um controlo de deteção?
A. Controlos de edição programados para a introdução de dados
B. Procedimentos de salvaguarda
C. Utilização de cartões de acesso para aceder a instalações físicas
D. Verificação dos totais de hash
Ver resposta
Resposta correta: D
Pergunta #142
Um retalhista em linha está a receber queixas de clientes sobre a receção de artigos diferentes dos que encomendaram no sítio Web da organização. A causa principal foi atribuída à má qualidade dos dados. Apesar dos esforços para limpar dados erróneos do sistema, continuam a ocorrer vários problemas de qualidade dos dados. Qual das seguintes recomendações seria a MELHOR forma de reduzir a probabilidade de ocorrências futuras?
A. Atribuir responsabilidades para melhorar a qualidade dos dados
B. Investir na formação adicional dos funcionários para a introdução de dados
C. Externalizar as actividades de limpeza de dados a terceiros fiáveis
D. Implementar regras comerciais para validar a entrada de dados dos funcionários
Ver resposta
Resposta correta: D
Pergunta #143
Quando uma auditoria de SI revela que uma firewall não foi capaz de reconhecer uma série de tentativas de ataque, a MELHOR recomendação do auditor é colocar um sistema de deteção de intrusão (IDS) entre a firewall e:
A. o servidor Web da organização
B. A zona desmilitarizada (DMZ)
C. a rede da organização
D. a Internet
Ver resposta
Resposta correta: C
Pergunta #144
Um auditor de SI que avalie os controlos de um centro de atendimento recém-implementado deve Primeiro
A. recolher informações junto dos clientes sobre os tempos de resposta e a qualidade do serviço
B. Analisar os controlos manuais e automáticos no centro de atendimento telefónico
C. testar a infraestrutura técnica do centro de atendimento
D. avaliar o risco operacional associado ao call center
Ver resposta
Resposta correta: D
Pergunta #145
A direção recebe informações que indicam um elevado nível de risco associado a potenciais inundações perto do centro de dados da organização nos próximos anos. Como resultado, foi tomada a decisão de transferir as operações do centro de dados para outra instalação em terreno mais elevado
A. Evitar o risco
B. Transferência de riscos
C. Aceitação dos riscos
D. Redução dos riscos
Ver resposta
Resposta correta: A
Pergunta #146
Qual das seguintes opções seria a MELHOR para determinar se uma revisão pós-implementação (PIR) realizada pelo gabinete de gestão de projectos (PMO) foi eficaz?
A. As lições aprendidas foram implementadas
B. A Direção aprovou o relatório PIR
C. A revisão foi efectuada por um prestador de serviços externo
D. Os resultados do projeto foram alcançados
Ver resposta
Resposta correta: D
Pergunta #147
Qual das seguintes opções é o MELHOR indicador da eficácia dos sistemas de deteção de intrusões baseados em assinaturas (lDS)?
A. Um aumento do número de falsos positivos identificados
B. Um aumento do número de incidentes detectados não identificados anteriormente
C. Um aumento do número de fontes desconhecidas de intrusos
D. Um aumento do número de incidentes críticos comunicados internamente
Ver resposta
Resposta correta: B
Pergunta #148
Uma auditoria identificou que um sistema informático não está a atribuir números de ordem de compra sequenciais aos pedidos de encomenda. O auditor de SI está a realizar um acompanhamento de auditoria para determinar se a administração reservou esta descoberta. Qual das duas opções seguintes é o procedimento de acompanhamento MAIS fiável?
A. Rever a documentação das alterações de recantamento para implementar a numeração sequencial de ordem
B. Pergunte à administração se o sistema foi configurado e testado para gerar números de ordem sequenciais
C. Inspecionar as definições do sistema e os registos de transacções para determinar se são gerados números de ordem sequenciais
D. Examinar uma amostra de pedidos de compra gerados pelo sistema, obtidos da administração
Ver resposta
Resposta correta: C
Pergunta #149
Qual é a descoberta mais crítica quando se analisa a gestão da segurança da informação de uma organização?
A. Nenhum agente de segurança específico
B. Ausência de um quadro oficial para o sistema de gestão da segurança da informação
C. Não há avaliações periódicas para identificar ameaças e vulnerabilidades
D. Ausência de um programa de formação e educação para a sensibilização dos trabalhadores
Ver resposta
Resposta correta: D
Pergunta #150
Qual das seguintes opções é a MAIS importante a assegurar ao planear um teste de penetração de caixa negra?
A. A direção da organização cliente tem conhecimento dos testes
B. Os resultados dos testes serão documentados e comunicados à direção
C. O ambiente e o âmbito do teste de penetração foram determinados
D. Estão disponíveis diagramas da arquitetura de rede da organização
Ver resposta
Resposta correta: A
Pergunta #151
Antes de um trabalho de acompanhamento, um auditor de SI toma conhecimento de que a direção decidiu aceitar um nível de risco residual relacionado com uma descoberta de auditoria sem correção. O auditor IS está preocupado com a decisão da gerência. Qual das seguintes deve ser a próxima ação do auditor IS?
A. Aceitar a decisão da direção e continuar o acompanhamento
B. Comunicar o problema à direção de auditoria dos SI
C. Comunicar o desacordo ao Conselho de Administração
D. Apresentar a questão à direção executiva
Ver resposta
Resposta correta: B
Pergunta #152
Qual das seguintes é a MELHOR forma de atenuar o impacto dos ataques de ransomware?
A. Invocação do plano de recuperação de desastres (DRP)
B. Efetuar frequentemente cópias de segurança dos dados
C. Pagamento do resgate
D. Exigir alterações de palavra-passe para contas administrativas
Ver resposta
Resposta correta: B
Pergunta #153
Qual é o MELHOR método para determinar se as despesas com recursos de TI estão alinhadas com as despesas planeadas do projeto?
A. Análise do valor acrescentado (EVA)
B. Análise do retorno do investimento (ROI)
C. Gráfico de Gantt
D. Análise do caminho crítico
Ver resposta
Resposta correta: A

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.