NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Melhore o seu desempenho no exame ISACA CISM com testes de simulação realistas

Desbloqueie o poder das perguntas do exame ISACA CISM da SPOTO para impulsionar a sua jornada de certificação Certified Information Security Manager (CISM). Mergulhe nas perguntas e respostas abrangentes do exame, concebidas para melhorar a sua compreensão da avaliação de riscos, da implementação da governação e das estratégias de resposta a incidentes. Com as perguntas de teste e os materiais de preparação para o exame da SPOTO, obterá uma vantagem competitiva ao lidar com violações de dados, ataques de ransomware e outras ameaças de segurança em evolução. Aceda a materiais de estudo valiosos e a recursos de exame concebidos para o ajudar a passar com êxito. Participe em exames simulados realistas para simular o ambiente do exame e aumentar a sua confiança. Prepare-se com a SPOTO e torne-se um Gestor de Segurança da Informação Certificado, equipado para enfrentar os desafios actuais da cibersegurança com experiência e confiança.
Faça outros exames online
Pergunta #1
A razão mais provável para utilizar avaliações qualitativas dos riscos de segurança em vez de métodos quantitativos é quando:
A. Uma organização fornece serviços em vez de bens materiais
B. um programa de segurança requer uma expressão independente dos riscos
C. Os dados disponíveis são demasiado subjectivos
D. existe um programa de segurança maduro
Ver resposta
Resposta correta: A
Pergunta #2
Qual das seguintes opções MELHOR fornece integridade de mensagens, autenticação da identidade do remetente e não repúdio?
A. Criptografia simétrica
B. Infraestrutura de chave pública (PKI)
C. Hash de mensagens
D. Código de autenticação de mensagem
Ver resposta
Resposta correta: B
Pergunta #3
As políticas de segurança da informação devem refletir PRIMEIRAMENTE:
A. requisitos de conformidade
B. melhores práticas do sector
C. normas de segurança dos dados
D. intenção dos quadros superiores
Ver resposta
Resposta correta: D
Pergunta #4
A não inclusão dos requisitos de segurança da informação na decisão de construção/compra resultaria, muito provavelmente, na necessidade de
A. Controlos de compensação no ambiente operacional
B. Conformidade dos produtos comerciais com as normas da empresa
C. normas de programação de fontes mais rigorosas
D. controlo de segurança das plataformas operacionais
Ver resposta
Resposta correta: A
Pergunta #5
A vantagem da ligação em túnel da Rede Privada Virtual (VPN) para utilizadores remotos é que:
A. ajuda a garantir que as comunicações são seguras
B. Aumenta a segurança entre sistemas multicamadas
C. permite que as palavras-passe sejam alteradas com menos frequência
D. elimina a necessidade de autenticação secundária
Ver resposta
Resposta correta: A
Pergunta #6
Qual dos seguintes factores é o MAIS importante na conceção da arquitetura de segurança da informação?
A. Interfaces técnicas da plataforma
B. Escalabilidade da rede
C. Metodologias de desenvolvimento
D. Requisitos das partes interessadas
Ver resposta
Resposta correta: D
Pergunta #7
Qual das seguintes é a principal razão pela qual as redes sociais se tornaram um alvo popular para ataques?
A. A prevalência do perímetro forte
B. A reduzida eficácia dos controlos de acesso
C. O elemento de confiança criado pelas redes sociais
D. A acessibilidade das redes sociais a partir de vários locais
Ver resposta
Resposta correta: D
Pergunta #8
Qual das seguintes é a MELHOR linha de ação para o gestor de segurança da informação quando o risco residual está acima do nível de risco aceitável?
A. Efetuar uma análise custo-benefício
B. Recomendar controlos adicionais
C. Efetuar uma avaliação dos riscos
D. Remeter para a gestão empresarial
Ver resposta
Resposta correta: B
Pergunta #9
Qual das seguintes opções é a que MELHOR indica uma prática de gestão do risco bem sucedida?
A. O risco global é quantificado
B. O risco inerente é eliminado
C. O risco residual é minimizado
D. O risco de controlo está ligado às unidades empresariais
Ver resposta
Resposta correta: C
Pergunta #10
Qual das seguintes opções é a MAIS provável de ser incluída numa política de segurança da informação de uma empresa?
A. Estratégia de controlo da segurança
B. Requisitos de revisão da pista de auditoria
C. Requisitos de composição da palavra-passe
D. Consequências do incumprimento
Ver resposta
Resposta correta: D
Pergunta #11
A análise de vulnerabilidades detectou um risco crítico numa aplicação comercial vital. Qual das seguintes acções deve o gestor de segurança da informação realizar PRIMEIRO?
A. Comunicar o risco comercial à direção
B. Confirmar o risco com o proprietário da empresa
C. Atualizar o registo de riscos
D. Criar um pedido de modificação de emergência
Ver resposta
Resposta correta: B
Pergunta #12
Deve ser instalado um sistema de deteção de intrusão:
A. fora da firewall
B. no servidor de firewall
C. numa sub-rede protegida
D. no router externo
Ver resposta
Resposta correta: C
Pergunta #13
Uma organização anunciou novas iniciativas para criar uma plataforma de grandes volumes de dados e desenvolver aplicações móveis. Qual é a PRIMEIRA etapa na definição dos novos requisitos de recursos humanos?
A. Solicitar um financiamento adicional para o recrutamento e a formação
B. Analisar as competências necessárias para apoiar as novas iniciativas
C. Comparar com um par do sector
D. Determinar os requisitos tecnológicos de segurança para as iniciativas
Ver resposta
Resposta correta: B
Pergunta #14
O responsável pela segurança da informação (CISO) deve, idealmente, ter uma relação direta com o diretor:
A. Chefe da auditoria interna
B. Diretor de operações (COO)
C. Diretor de Tecnologia (CTO)
D. Assessoria jurídica
Ver resposta
Resposta correta: B
Pergunta #15
A direção expressou a sua preocupação pelo facto de não ser mantida totalmente informada sobre os principais riscos de segurança da informação associados à organização. Qual das seguintes acções deve ser realizada PRIMEIRO para responder a esta preocupação?
A. Preparar uma apresentação sobre iniciativas de segurança da informação para a direção
B. Fornecer um relatório sobre as tendências e os parâmetros de referência do sector da segurança da informação
C. Determinar os indicadores desejados e desenvolver um calendário de apresentação de relatórios
D. Desenvolver um programa de formação permanente de sensibilização para os riscos e a segurança para a direção
Ver resposta
Resposta correta: C
Pergunta #16
Qual das seguintes opções é a MAIS útil para alinhar as operações de segurança com a estrutura de governação de TI?
A. Política de segurança da informação
B. Avaliação dos riscos de segurança
C. Programa de operações de segurança
D. Análise do impacto nas empresas (BIA)
Ver resposta
Resposta correta: A
Pergunta #17
O conselho de administração de uma organização tomou conhecimento de uma legislação recente que exige que as organizações do sector adoptem medidas de segurança específicas para proteger as informações confidenciais dos clientes. Que acções deve a direção tomar a seguir?
A. Direcionar a segurança da informação para o que deve ser feito
B. Pesquisar soluções para determinar as soluções adequadas
C. Exigir que a direção apresente um relatório sobre o cumprimento
D. Nada; a segurança da informação não responde perante o Conselho de Administração
Ver resposta
Resposta correta: C
Pergunta #18
Um gestor de segurança da informação que mapeia uma descrição de funções para tipos de acesso a dados tem MAIOR probabilidade de aderir a qual dos seguintes princípios de segurança da informação?
A. Ética
B. Proporcionalidade
C. Integração
D. Responsabilidade
Ver resposta
Resposta correta: B
Pergunta #19
Qual das seguintes é a diretriz MAIS importante quando se utiliza software para analisar exposições de segurança numa rede empresarial?
A. Nunca utilizar ferramentas de código aberto
B. Concentrar-se apenas nos servidores de produção
C. Seguir um processo linear para os ataques
D. Não interromper os processos de produção
Ver resposta
Resposta correta: D
Pergunta #20
Quando uma proposta de alteração de um sistema viola uma norma de segurança existente, o conflito pode ser resolvido da melhor forma:
A. calcular o risco residual
B. Aplicação da norma de segurança
C. redesenhar a mudança do sistema
D. implementação de controlos de atenuação
Ver resposta
Resposta correta: D
Pergunta #21
As políticas de segurança da informação devem:
A. abordar as vulnerabilidades da rede empresarial
B. abordar o processo de comunicação de uma infração
C. ser simples e fácil de compreender
D. ser personalizados para grupos e funções específicos
Ver resposta
Resposta correta: C
Pergunta #22
Existe um intervalo de tempo entre o momento em que uma vulnerabilidade de segurança é publicada pela primeira vez e o momento em que um patch é entregue. Qual das seguintes acções deve ser realizada PRIMEIRO para mitigar o risco durante este período de tempo?
A. Identificar os sistemas vulneráveis e aplicar controlos de compensação
B. Minimizar a utilização de sistemas vulneráveis
C. Comunicar a vulnerabilidade aos utilizadores do sistema
D. Atualizar a base de dados de assinaturas do sistema de deteção de intrusões (IDS)
Ver resposta
Resposta correta: A
Pergunta #23
Uma organização global desenvolveu uma estratégia para partilhar uma base de dados de informações de clientes entre escritórios em dois países. Nesta situação, é MUITO importante garantir:
A. A partilha de dados está em conformidade com as leis e regulamentos locais em ambos os locais
B. Os dados são encriptados em trânsito e em repouso
C. é assinado um acordo de confidencialidade
D. A cobertura do risco é dividida entre os dois locais que partilham dados
Ver resposta
Resposta correta: A
Pergunta #24
A MELHOR estratégia para a gestão do risco é:
A. alcançar um equilíbrio entre o risco e os objectivos organizacionais
B. reduzir o risco para um nível aceitável
C. garantir que o desenvolvimento de políticas considere adequadamente os riscos organizacionais
D. assegurar que todos os riscos não mitigados são aceites pela gestão
Ver resposta
Resposta correta: B
Pergunta #25
Qual das seguintes seria a MELHOR linha de ação do gestor de segurança da informação para obter a aprovação do investimento num controlo técnico?
A. Efetuar uma análise custo-benefício
B. Efetuar uma avaliação dos riscos
C. Calcular o fator de exposição
D. Efetuar uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: D
Pergunta #26
As políticas de segurança devem estar mais alinhadas com:
A. melhores práticas do sector
B. necessidades organizacionais
C. normas geralmente aceites
D. leis e regulamentos locais
Ver resposta
Resposta correta: B
Pergunta #27
Do ponto de vista de um gestor de segurança da informação, qual é o benefício imediato de funções e responsabilidades claramente definidas?
A. Cumprimento reforçado das políticas
B. Fluxos de procedimentos melhorados
C. Segregação de funções
D. Melhor responsabilização
Ver resposta
Resposta correta: D
Pergunta #28
O principal motivo para obter recursos externos para executar o programa de segurança da informação é que os recursos externos podem:
A. contribuir com conhecimentos especializados rentáveis não disponíveis internamente
B. ser responsabilizado pelo cumprimento dos requisitos do programa de segurança
C. substituir a dependência dos recursos internos
D. fornecer mais eficazmente devido aos seus conhecimentos
Ver resposta
Resposta correta: A
Pergunta #29
Um risco foi formalmente aceite e documentado. Qual das seguintes acções é a MAIS importante para um gestor de segurança da informação?
A. Atualizar os níveis de tolerância ao risco
B. Notificar a direção e o conselho de administração
C. Monitorizar o ambiente para detetar alterações
D. Reavaliar o apetite de risco da organização
Ver resposta
Resposta correta: D
Pergunta #30
Qual das seguintes opções ajudaria a mudar a cultura de segurança de uma organização?
A. Desenvolver procedimentos para aplicar a política de segurança da informação
B. Obter um forte apoio da direção
C. Implementar controlos técnicos de segurança rigorosos
D. Auditar periodicamente o cumprimento da política de segurança da informação
Ver resposta
Resposta correta: B
Pergunta #31
A conservação dos registos comerciais deve basear-se PRINCIPALMENTE em:
A. estratégia e direção empresarial
B. requisitos regulamentares e legais
C. Capacidade de armazenamento e longevidade
D. facilidade comercial e análise de valor
Ver resposta
Resposta correta: B
Pergunta #32
Os projectos de segurança da informação devem ser considerados prioritários com base em
A. Tempo necessário para a implementação
B. impacto na organização
C. custo total de implementação
D. combinação de recursos necessários
Ver resposta
Resposta correta: B
Pergunta #33
Qual das seguintes actividades de gestão da mudança seria um indicador claro de que os procedimentos operacionais normais necessitam de ser examinados? Uma percentagem elevada de:
A. pedidos de alteração semelhantes
B. Adiamentos de pedidos de alteração
C. pedidos de alteração cancelados
D. pedidos de alteração de emergência
Ver resposta
Resposta correta: D
Pergunta #34
Qual das seguintes opções MELHOR promove a responsabilização das partes interessadas na gestão dos riscos de segurança da informação?
A. Procedimentos de segurança específicos
B. Estabelecimento da propriedade da informação
C. Estabelecimento de linhas de base de segurança
D. Revisões regulares para detetar incumprimentos
Ver resposta
Resposta correta: B
Pergunta #35
Foi pedido a um gestor de segurança da informação que criasse uma estratégia para proteger a informação da organização contra uma variedade de vectores de ameaças. Qual das seguintes acções deve ser realizada PRIMEIRO?
A. Efetuar um exercício de modelação de ameaças
B. Desenvolver um perfil de risco
C. Conceber processos de gestão do risco
D. Selecionar um quadro de governação
Ver resposta
Resposta correta: B
Pergunta #36
Qual das seguintes opções deve ser a consideração PRIMÁRIA ao desenvolver uma estrutura de governação de segurança para uma empresa?
A. Compreensão da atual estratégia empresarial
B. Avaliação da atual arquitetura de segurança
C. Resultados de uma análise de impacto comercial (BIA)
D. Avaliação comparativa com as melhores práticas do sector
Ver resposta
Resposta correta: A
Pergunta #37
Qual das seguintes opções seria a MAIS importante a incluir num caso de negócio para ajudar a obter o compromisso da administração sénior para um investimento em segurança da informação?
A. Resultados de uma auditoria independente
B. Melhores práticas do sector
C. Valor comercial projetado
D. Referência a políticas empresariais
Ver resposta
Resposta correta: C
Pergunta #38
Qual das seguintes é a informação MAIS importante a incluir num plano estratégico para a segurança da informação?
A. Requisitos de pessoal para a segurança da informação
B. Estado atual e estado futuro desejado
C. Necessidades de investimento de capital em TI
D. declaração de missão da segurança da informação
Ver resposta
Resposta correta: B
Pergunta #39
Qual das seguintes deve ser a base PRIMÁRIA para determinar a apetência pelo risco?
A. Objectivos organizacionais
B. Contribuição dos quadros superiores
C. Referências do sector
D. Resultados da auditoria independente
Ver resposta
Resposta correta: A
Pergunta #40
Qual seria a principal razão para uma organização efetuar um ataque de phishing simulado aos seus funcionários como parte de uma avaliação de engenharia social?
A. Medir a eficácia da formação de sensibilização para a segurança
B. Identificar a necessidade de controlos de segurança atenuantes
C. Medir a eficácia da solução anti-spam
D. Testar a eficácia do plano de resposta a incidentes
Ver resposta
Resposta correta: A
Pergunta #41
A razão MAIS importante para manter indicadores-chave de risco (KRIs) é que:
A. As ameaças e vulnerabilidades evoluem continuamente
B. são necessários para verificar o cumprimento das leis e regulamentos
C. ajudam a avaliar o desempenho do programa de segurança
D. A direção utiliza-os para tomar decisões comerciais informadas
Ver resposta
Resposta correta: A
Pergunta #42
O objetivo PRIMÁRIO de um programa de gestão do risco empresarial é assegurar que a organização:
A. Os activos de TI nas principais funções empresariais estão protegidos
B. Os riscos empresariais são tratados através de controlos preventivos
C. os objectivos declarados são realizáveis
D. As instalações e os sistemas informáticos estão sempre disponíveis
Ver resposta
Resposta correta: C
Pergunta #43
Um gestor de segurança da informação foi incumbido de implementar um programa de formação de sensibilização para a segurança. Qual das seguintes opções terá a MAIOR influência na eficácia deste programa?
A. Obter a adesão dos quadros superiores
B. Adaptar a formação ao ambiente da organização
C. Obter a adesão dos utilizadores finais
D. Basear o programa de formação nas melhores práticas do sector
Ver resposta
Resposta correta: C
Pergunta #44
Devido à sua importância para o negócio, uma organização pretende implementar rapidamente uma solução técnica que se desvie das políticas da empresa. Um gestor de segurança da informação deve:
A. efetuar uma avaliação dos riscos e autorizar ou não autorizar com base no resultado
B. recomendar uma avaliação dos riscos e a sua aplicação apenas se os riscos residuais forem aceites
C. recomendar contra a implementação porque viola as políticas da empresa
D. recomendar a revisão da política atual
Ver resposta
Resposta correta: B
Pergunta #45
Numa organização multinacional, os regulamentos de segurança locais devem ser implementados em detrimento da política de segurança global porque:
A. Os objectivos comerciais são definidos pelos gestores das unidades comerciais locais
B. A sensibilização para a regulamentação local é mais prática do que para a política global
C. As políticas de segurança globais incluem controlos desnecessários para as empresas locais
D. Os requisitos da regulamentação local têm precedência
Ver resposta
Resposta correta: D
Pergunta #46
Qual das seguintes é a MELHOR razão para desenvolver políticas abrangentes de segurança da informação?
A. Cumprir os regulamentos externos do sector e do governo
B. Apoiar o desenvolvimento de indicadores de risco eficazes
C. Alinhar o programa de segurança da informação com a estratégia organizacional
D. Para obter o apoio da direção para o programa de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #47
Qual dos seguintes ambientes representa o MAIOR risco para a segurança organizacional?
A. Servidor de ficheiros gerido localmente
B. Armazém de dados da empresa
C. Cluster de servidores Web com balanceamento de carga
D. Comutador de dados gerido centralmente
Ver resposta
Resposta correta: A
Pergunta #48
A administração sénior expressou preocupação pelo facto de o sistema de prevenção de intrusões da organização poder perturbar repetidamente as operações comerciais. Qual das seguintes opções MELHOR indica que o gestor de segurança da informação ajustou o sistema para responder a esta preocupação?
A. Diminuir os falsos positivos
B. Diminuir os falsos negativos
C. Aumento dos falsos positivos
D. Aumento dos falsos negativos
Ver resposta
Resposta correta: A
Pergunta #49
A decisão sobre se um risco foi reduzido para um nível aceitável deve ser determinada por
A. requisitos organizacionais
B. requisitos dos sistemas de informação
C. requisitos de segurança da informação
D. normas internacionais
Ver resposta
Resposta correta: A
Pergunta #50
A PRINCIPAL razão para implementar uma infraestrutura de chave pública (PKI) ao implementar um programa de segurança da informação é:
A. Assegurar a confidencialidade do material sensível
B. Proporcionar uma elevada garantia de identidade
C. permitir a implementação do diretório ativo
D. implementar a encriptação SSL (secure sockets layer)
Ver resposta
Resposta correta: B
Pergunta #51
O objetivo PRIMÁRIO do desenvolvimento de uma estratégia de segurança da informação é
A. estabelecer métricas de segurança e monitorização do desempenho
B. educar os proprietários de processos empresariais relativamente às suas funções
C. assegurar o cumprimento dos requisitos legais e regulamentares
D. apoiar os objectivos comerciais da organização
Ver resposta
Resposta correta: D
Pergunta #52
Das seguintes pessoas, qual é o contributo mais importante para o desenvolvimento de uma estratégia de segurança da informação?
A. Utilizadores finais
B. Auditores de empresas
C. Proprietários do processo
D. Arquitectos de segurança
Ver resposta
Resposta correta: D
Pergunta #53
O cumprimento de qual dos seguintes objectivos de segurança MELHOR garante que as informações estão protegidas contra modificações não autorizadas?
A. Autenticidade
B. Disponibilidade
C. Confidencialidade
D. Integridade
Ver resposta
Resposta correta: D
Pergunta #54
Qual das seguintes opções é a MAIS importante no desenvolvimento de uma estratégia de segurança?
A. Criar um ambiente de segurança empresarial positivo
B. Compreender os principais objectivos comerciais
C. Ter um canal de comunicação com os quadros superiores
D. Atribuição de recursos suficientes à segurança da informação
Ver resposta
Resposta correta: B
Pergunta #55
Ao definir o âmbito de uma avaliação de riscos, os activos devem ser classificados por
A. Probabilidade e impacto
B. sensibilidade e criticalidade
C. ameaças e oportunidades
D. redundância e capacidade de recuperação
Ver resposta
Resposta correta: B
Pergunta #56
Qual das seguintes vulnerabilidades apresenta o MAIOR risco de hackers externos obterem acesso à rede empresarial?
A. Anfitriões internos que executam serviços desnecessários
B. Registo inadequado
C. Direitos administrativos excessivos numa base de dados interna
D. Patches em falta numa estação de trabalho
Ver resposta
Resposta correta: C
Pergunta #57
Uma organização sem qualquer programa formal de segurança da informação que tenha decidido implementar as melhores práticas de segurança da informação deve PRIMEIRO:
A. Convidar um consultor externo para criar a estratégia de segurança
B. afetar o orçamento com base nas melhores práticas
C. fazer referência a organizações semelhantes
D. definir requisitos de segurança empresarial de alto nível
Ver resposta
Resposta correta: D
Pergunta #58
Qual dos seguintes factores é o MAIS importante para garantir que a segurança da informação cumpre os objectivos da organização?
A. Participação da auditoria interna no processo de segurança
B. Aplicação de um processo de autoavaliação dos controlos
C. Estabelecimento de limiares de risco aceitáveis
D. Implementação de um programa de sensibilização para a segurança
Ver resposta
Resposta correta: C
Pergunta #59
Um plano de teste para validar os controlos de segurança de um novo sistema deve ser desenvolvido durante que fase do projeto?
A. Ensaios
B. Iniciação
C. Conceção
D. Desenvolvimento
Ver resposta
Resposta correta: C
Pergunta #60
Qual das seguintes opções deve ser a consideração MAIS importante ao comunicar informações sensíveis relacionadas com o risco às partes interessadas?
A. Garantir o não-repúdio da comunicação
B. Consultar o diretor de relações públicas
C. Transmitir a comunicação interna de forma segura
D. Personalizar a comunicação para o público
Ver resposta
Resposta correta: C
Pergunta #61
Qual dos seguintes é o MAIOR benefício da integração dos requisitos do programa de segurança da informação na gestão de fornecedores?
A. A capacidade de reduzir os riscos na cadeia de abastecimento
B. A capacidade de cumprir os requisitos de conformidade do sector
C. A capacidade de definir acordos de nível de serviço (SLAs)
D. A capacidade de melhorar o desempenho do fornecedor
Ver resposta
Resposta correta: A
Pergunta #62
O que é que uma avaliação da vulnerabilidade da rede pretende identificar?
A. vulnerabilidades de dia zero
B. Software malicioso e spyware
C. Falhas de conceção da segurança
D. Má configuração e actualizações em falta
Ver resposta
Resposta correta: D
Pergunta #63
Para o acesso da rede privada virtual (VPN) à rede empresarial, o gestor de segurança da informação está a exigir uma autenticação forte. Qual dos seguintes é o método mais forte para garantir que o início de sessão na rede é seguro?
A. Biometria
B. Chaves de cifragem simétricas
C. Autenticação baseada em Secure Sockets Layer (SSL)
D. Autenticação de dois factores
Ver resposta
Resposta correta: D
Pergunta #64
Qual das seguintes técnicas seria o MELHOR teste da eficácia da segurança?
A. Realização de um teste de penetração externa
B. Revisão das políticas e normas de segurança
C. Revisão dos registos de segurança
D. Analisar as práticas de segurança técnica
Ver resposta
Resposta correta: B
Pergunta #65
Em qual dos seguintes sistemas deve ser colocada uma firewall?
A. Servidor Web
B. Servidor do sistema de deteção de intrusões (IDS)
C. Sub-rede rastreada
D. Limite de domínio
Ver resposta
Resposta correta: D
Pergunta #66
Um dos principais objectivos da criação de políticas de segurança é:
A. implementar a estratégia de governação da administração
B. Estabelecer a forma como as tarefas de segurança devem ser executadas
C. comunicar as expectativas de segurança da direção
D. definir os limites de segurança permitidos
Ver resposta
Resposta correta: B
Pergunta #67
O objetivo de tempo de recuperação (RTO) é atingido em qual das seguintes etapas?
A. Declaração de catástrofe
B. Recuperação das cópias de segurança
C. Restauração do sistema
D. Regresso à atividade normal de processamento
Ver resposta
Resposta correta: C
Pergunta #68
Em que fase do processo de desenvolvimento de aplicações deve o departamento de segurança envolver-se inicialmente?
A. Quando solicitado
B. Nos testes
C. Na programação
D. Requisitos de pormenor
Ver resposta
Resposta correta: D
Pergunta #69
O objetivo MAIS importante da monitorização dos indicadores-chave de risco (KRI) relacionados com a segurança da informação é
A. Identificar alterações nas exposições de segurança
B. reduzir os custos de gestão do risco
C. cumprir os requisitos de conformidade regulamentar
D. minimizar as perdas decorrentes de incidentes de segurança
Ver resposta
Resposta correta: A
Pergunta #70
Qual dos seguintes é o MELHOR método para garantir a conformidade com as normas de palavras-passe?
A. Implementação de software de sincronização de palavras-passe
B. Um programa de sensibilização do utilizador
C. Aplicação automatizada das regras de sintaxe da palavra-passe
D. Utilizar software de quebra de palavras-passe
Ver resposta
Resposta correta: C
Pergunta #71
A abordagem MAIS eficaz para resolver os problemas que surgem entre a gestão de TI, as unidades de negócio e a gestão da segurança quando se implementa uma nova estratégia de segurança é que o gestor da segurança da informação
A. Encaminhar os problemas para um terceiro externo para resolução
B. Assegurar que a direção de topo dê autoridade à segurança para resolver os problemas
C. insistir para que os gestores ou unidades que não concordam com a solução de segurança aceitem o risco
D. remeter as questões para a direção, juntamente com quaisquer recomendações de segurança
Ver resposta
Resposta correta: D
Pergunta #72
Depois de obter o compromisso da administração sénior, qual das seguintes opções deve ser concluída PRÓXIMA ao estabelecer um programa de segurança da informação?
A. Definir métricas de segurança
B. Efetuar uma avaliação dos riscos
C. Efetuar uma análise das lacunas
D. Adquirir ferramentas de segurança
Ver resposta
Resposta correta: B
Pergunta #73
Qual das seguintes opções seria a MAIS útil para ilustrar à direção o estado de uma estrutura de governação da segurança da informação recentemente implementada?
A. Uma avaliação dos riscos
B. Uma avaliação da ameaça
C. Um modelo de maturidade
D. Resultados dos ensaios periódicos
Ver resposta
Resposta correta: C
Pergunta #74
A principal razão para definir as funções e responsabilidades de segurança da informação do pessoal de uma organização é
A. Reforçar a necessidade de formação
B. aumentar a responsabilidade das empresas
C. cumprir a política de segurança
D. impor a responsabilidade individual
Ver resposta
Resposta correta: C
Pergunta #75
Qual das seguintes actividades seria a MELHOR para incorporar a segurança no ciclo de vida de desenvolvimento de software (SDLC)?
A. Minimizar a utilização de software de fonte aberta
B. Incluir formação em segurança para a equipa de desenvolvimento
C. Analisar os sistemas operativos para detetar vulnerabilidades
D. Testar as aplicações antes do arranque
Ver resposta
Resposta correta: D
Pergunta #76
Qual é a função PRIMÁRIA do programa de segurança da informação?
A. Desenvolver e aplicar um conjunto de políticas de segurança alinhadas com o negócio
B. Educar as partes interessadas relativamente aos requisitos de segurança da informação
C. Efetuar periodicamente avaliações de risco e análises de impacto nas actividades (BIA)
D. Fornecer orientações para a gestão do risco de segurança organizacional
Ver resposta
Resposta correta: A
Pergunta #77
Qual das seguintes opções MELHOR garante que as modificações efectuadas em aplicações empresariais desenvolvidas internamente não introduzem novas exposições de segurança?
A. Testes de esforço
B. Gestão de correcções
C. Gestão da mudança
D. Linhas de base de segurança
Ver resposta
Resposta correta: C
Pergunta #78
Qual das seguintes opções é um exemplo de uma vulnerabilidade?
A. Catástrofes naturais
B. Software defeituoso
C. Ransomware
D. Utilizadores não autorizados
Ver resposta
Resposta correta: B
Pergunta #79
Um gestor de segurança da informação está a implementar um programa "traga o seu próprio dispositivo" (BYOD). Qual das seguintes opções seria a MELHOR forma de garantir que os utilizadores cumprem as normas de segurança?
A. Monitorizar as actividades dos utilizadores na rede
B. Publicar as normas na página de destino da intranet
C. Estabelecer uma política de utilização aceitável
D. Implementar uma solução de gestão de dispositivos
Ver resposta
Resposta correta: D
Pergunta #80
Para efeitos de gestão do risco, o valor de um ativo deve basear-se em
A. custo original
B. fluxo de caixa líquido
C. valor atual líquido
D. custo de substituição
Ver resposta
Resposta correta: D
Pergunta #81
Qual das seguintes é a forma MAIS eficaz de tratar um risco, como uma catástrofe natural, que tem uma probabilidade baixa e um nível de impacto elevado?
A. Aplicar contramedidas
B. Eliminar o risco
C. Transferir o risco
D. Aceitar o risco
Ver resposta
Resposta correta: C
Pergunta #82
Qual dos seguintes é o requisito MAIS importante para a criação de uma infraestrutura de segurança da informação para um novo sistema?
A. Efetuar uma análise de impacto nas empresas (BIA)
B. Considerar os dispositivos de informação pessoal como parte integrante da política de segurança
C. Iniciar a formação e a familiarização com a segurança informática
D. Basear a infraestrutura de segurança da informação na avaliação dos riscos
Ver resposta
Resposta correta: D
Pergunta #83
Quais dos seguintes elementos raramente são alterados em resposta às mudanças tecnológicas?
A. Normas
B. Procedimentos
C. Políticas
D. Directrizes
Ver resposta
Resposta correta: C
Pergunta #84
Qual das seguintes opções ajudaria a gerência a determinar os recursos necessários para mitigar um risco para a organização?
A. Processo de análise de risco
B. Análise do impacto nas empresas (BIA)
C. Quadro de controlo equilibrado da gestão dos riscos
D. Programa de auditoria baseado no risco
Ver resposta
Resposta correta: B
Pergunta #85
Uma forma de determinar a eficácia do controlo é através da determinação:
A. Se é preventiva, detetiva ou compensatória
B. A capacidade de fornecer notificação de falha
C. os resultados dos testes dos objectivos pretendidos
D. a avaliação e a análise da fiabilidade
Ver resposta
Resposta correta: C
Pergunta #86
Uma auditoria interna identificou grandes deficiências no processamento de TI. Qual das seguintes opções deve um gestor de segurança da informação utilizar para transmitir um sentido de urgência à direção?
A. Relatórios de métricas de segurança
B. Relatórios de avaliação dos riscos
C. Análise do impacto nas empresas (BIA)
D. Relatório sobre o retorno do investimento em segurança
Ver resposta
Resposta correta: B
Pergunta #87
Um programa de gestão de segurança da informação bem-sucedido deve usar qual das seguintes opções para determinar a quantidade de recursos dedicados à mitigação de exposições?
A. Resultados da análise de risco
B. Constatações do relatório de auditoria
C. Resultados dos ensaios de penetração
D. Montante do orçamento de TI disponível
Ver resposta
Resposta correta: A
Pergunta #88
Qual das seguintes opções seria a MELHOR para garantir que a avaliação dos riscos de segurança é integrada no ciclo de vida dos principais projectos de TI?
A. Integrar a avaliação do risco no programa de auditoria interna
B. Aplicação de normas de segurança globais aos projectos informáticos
C. Formação dos gestores de projectos em matéria de avaliação dos riscos
D. Ter o gestor da segurança da informação a participar nos comités de definição do projeto
Ver resposta
Resposta correta: B
Pergunta #89
Um CIO pediu ao gerente de segurança da informação da organização para fornecer planos de um ano e de cinco anos para o programa de segurança da informação. Qual é o objetivo PRIMÁRIO do plano a longo prazo?
A. Criar requisitos formais para satisfazer as necessidades de segurança projectadas para o futuro
B. Criar e documentar uma progressão consistente das capacidades de segurança
C. Dar prioridade aos riscos numa escala mais longa do que o plano de um ano
D. Para facilitar a melhoria contínua da organização de TI
Ver resposta
Resposta correta: D
Pergunta #90
Qual das seguintes opções é a aprovação de gestão MAIS importante para a migração de um sistema de processamento de encomendas de um ambiente de teste para um ambiente de produção?
A. Utilizador
B. Segurança
C. Operações
D. Base de dados
Ver resposta
Resposta correta: A
Pergunta #91
Um gestor de segurança da informação recém-contratado que esteja a analisar um plano de investimento em segurança existente tem MAIOR probabilidade de ficar preocupado quando o plano:
A. baseia-se unicamente numa análise das ameaças à segurança e das vulnerabilidades dos sistemas informáticos existentes
B. identifica os potenciais impactos que a implementação pode ter nos processos empresariais
C. centra-se no cumprimento de normas de segurança internacionais comuns
D. resumiu os custos de TI para a implementação em vez de fornecer pormenores
Ver resposta
Resposta correta: A
Pergunta #92
Qual deve ser a PRIMEIRA linha de ação de um gestor de segurança da informação quando uma organização está sujeita a um novo requisito regulamentar?
A. Efetuar uma análise das lacunas
B. Completar uma avaliação do controlo
C. Apresentar um caso de negócios para apoiar a conformidade
D. Atualizar o registo de riscos
Ver resposta
Resposta correta: A
Pergunta #93
A estratégia de segurança da informação de uma organização deve basear-se em:
A. Gerir o risco em relação aos objectivos comerciais
B. Gerir o risco a um nível zero e minimizar os prémios de seguro
C. evitar a ocorrência de riscos para que o seguro não seja necessário
D. Transferir a maior parte dos riscos para as seguradoras e poupar nos custos de controlo
Ver resposta
Resposta correta: A
Pergunta #94
A revisão de qual das seguintes opções seria a MELHOR forma de garantir que os controlos de segurança são eficazes?
A. Políticas de avaliação de riscos
B. Rendimento do investimento em segurança
C. Métricas de segurança
D. Direitos de acesso do utilizador
Ver resposta
Resposta correta: C
Pergunta #95
Decidir o nível de proteção que deve ser dado a um determinado ativo no BEST é determinado por
A. uma avaliação da ameaça
B. uma avaliação da vulnerabilidade
C. uma análise de risco
D. a apetência empresarial pelo risco
Ver resposta
Resposta correta: C
Pergunta #96
Qual das seguintes é a razão PRIMÁRIA para implementar um programa de gestão de riscos?
A. Permite que a organização elimine o risco
B. É uma parte necessária da diligência devida da direção
C. Satisfaz os requisitos regulamentares e de auditoria
D. Ajuda a aumentar o retorno do investimento (ROD
Ver resposta
Resposta correta: B
Pergunta #97
Ao desenvolver uma estratégia de segurança da informação, o requisito MAIS importante é que:
A. As normas captam a intenção da direção
B. É elaborado um calendário para atingir os objectivos
C. O resultado desejado é conhecido
D. são desenvolvidos factores críticos de sucesso (CSFs)
Ver resposta
Resposta correta: A
Pergunta #98
Durante a análise de segurança de uma aplicação comercial antiga, descobriu-se que os dados sensíveis dos clientes não são encriptados no armazenamento, o que não está em conformidade com a política de segurança da informação da organização. Qual das seguintes opções seria a MELHOR ação do gestor de segurança da informação?
A. Implementar encriptação nos dados do cliente
B. Comunicar o incumprimento à direção
C. Analisar os controlos de compensação e avaliar o risco associado
D. Determinar o custo da encriptação e discutir com o proprietário da aplicação
Ver resposta
Resposta correta: C
Pergunta #99
Ao tentar integrar a segurança da informação numa organização, o objetivo MAIS importante de um órgão de gestão deve ser garantir:
A. Os recursos utilizados nos projectos de segurança da informação são reduzidos ao mínimo
B. A segurança da informação é tratada como uma questão crítica para o negócio
C. O financiamento é aprovado para os projectos de segurança da informação solicitados
D. são efectuadas auditorias periódicas à segurança da informação
Ver resposta
Resposta correta: B
Pergunta #100
Depois de um risco ter sido mitigado, qual das seguintes é a MELHOR forma de ajudar a garantir que o risco residual se mantém dentro da tolerância ao risco estabelecida pela organização?
A. Introduzir novos cenários de risco para testar a eficácia do programa
B. Monitorizar o ambiente de segurança para detetar alterações no risco
C. Realizar programas para promover a sensibilização dos utilizadores para os riscos
D. Efetuar uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: A
Pergunta #101
Qual das seguintes opções MELHOR mitigaria as vulnerabilidades identificadas de forma atempada?
A. Ferramenta de monitorização contínua de vulnerabilidades
B. Categorização das vulnerabilidades com base na criticidade do sistema
C. Controlo dos principais indicadores de risco (KRI)
D. Plano de ação com responsabilidades e prazos
Ver resposta
Resposta correta: C
Pergunta #102
O resultado MAIS importante da governação da segurança da informação é:
A. evitar o risco comercial
B. tomada de decisões informadas
C. alinhamento com os objectivos comerciais
D. alinhamento com os requisitos de conformidade
Ver resposta
Resposta correta: C
Pergunta #103
Qual das seguintes é a vantagem MAIS significativa do desenvolvimento de uma estratégia de segurança da informação bem definida?
A. Apoio à adesão dos funcionários da organização
B. Afetação de recursos às prioridades mais elevadas
C. Prevenção de desvios dos limiares de tolerância ao risco
D. Aumento da maturidade dos processos de resposta a incidentes
Ver resposta
Resposta correta: C
Pergunta #104
Qual dos seguintes é um critério importante para desenvolver indicadores-chave de risco (KRIs) eficazes para monitorizar o risco de segurança da informação?
A. O indicador deve ter uma correlação elevada com um risco específico e ser medido regularmente
B. O indicador deve centrar-se nas TI e representar com exatidão as variações de risco
C. O indicador deve estar alinhado com os indicadores-chave de desempenho e medir as causas profundas dos problemas de desempenho do processo
D. O indicador deve fornecer uma visão retrospetiva dos impactos dos riscos e ser medido anualmente
Ver resposta
Resposta correta: A
Pergunta #105
Ao selecionar as opções de resposta ao risco para o gerir, o gestor da segurança da informação deve centrar-se principalmente na redução:
A. exposição para satisfazer os níveis de tolerância ao risco
B. a probabilidade de ameaça
C. perdas financeiras através da transferência de riscos
D. o número de vulnerabilidades de segurança
Ver resposta
Resposta correta: A
Pergunta #106
A determinação do risco de um determinado par ameaça/vulnerabilidade antes da aplicação dos controlos pode ser expressa da seguinte forma
A. a probabilidade de uma determinada ameaça tentar explorar uma vulnerabilidade
B. uma função da probabilidade e do impacto, caso uma ameaça explore uma vulnerabilidade
C. a magnitude do impacto, caso uma ameaça explore uma vulnerabilidade
D. uma função do custo e da eficácia dos controlos sobre uma vulnerabilidade
Ver resposta
Resposta correta: B
Pergunta #107
O empenhamento e o apoio dos quadros superiores à segurança da informação podem ser melhorados através de
A. uma política de segurança formal patrocinada pelo diretor executivo (CEO)
B. Formação regular de sensibilização para a segurança para os empregados
C. revisão periódica do alinhamento com os objectivos de gestão da empresa
D. aprovação da estratégia de segurança da informação pela direção
Ver resposta
Resposta correta: C
Pergunta #108
Qual das seguintes opções é a MAIS útil para dar prioridade à recuperação de activos de TI durante uma catástrofe?
A. Análise do impacto nas empresas (BIA)
B. Avaliação dos riscos
C. Avaliação da vulnerabilidade
D. Análise custo-benefício
Ver resposta
Resposta correta: A
Pergunta #109
Qual dos seguintes deve ser o objetivo PRIMÁRIO ao estabelecer um novo programa de segurança da informação?
A. Execução da estratégia de segurança
B. Otimização dos recursos
C. Facilitar a segurança operacional
D. Alcançar a conformidade regulamentar
Ver resposta
Resposta correta: A
Pergunta #110
Um estudo de avaliação de riscos efectuado por uma organização constatou que não existe segmentação da rede local (LAN). A segmentação da rede reduziria o impacto potencial de qual das seguintes situações?
A. Ataques de negação de serviço (DoS)
B. Deteção de tráfego
C. Infecções virais
D. Falsificação de endereços IP
Ver resposta
Resposta correta: B
Pergunta #111
Um relatório de mitigação de riscos incluiria recomendações para:
A. avaliação
B. aceitação
C. avaliação
D. quantificação
Ver resposta
Resposta correta: B
Pergunta #112
O papel mais adequado para a gestão de topo no apoio à segurança da informação é o seguinte
A. avaliação dos fornecedores de produtos de segurança
B. avaliação dos riscos para a organização
C. aprovação das declarações políticas e do financiamento
D. controlo do cumprimento dos requisitos regulamentares
Ver resposta
Resposta correta: C
Pergunta #113
Qual das seguintes é a forma MAIS eficaz de mitigar o risco de fuga de dados confidenciais para partes interessadas não autorizadas?
A. Implementar controlos de acesso baseados em funções
B. Criar uma política de classificação de dados
C. Exigir a utilização de credenciais e palavras-passe de início de sessão
D. Realizar formação de sensibilização para a segurança da informação
Ver resposta
Resposta correta: A
Pergunta #114
Um gestor de segurança da informação descobre que a nova política de segurança da informação da organização não está a ser seguida em todos os departamentos. Qual das seguintes situações deve ser a MAIS preocupante para o gestor de segurança da informação?
A. Podem ser necessários diferentes métodos de comunicação para cada unidade de negócio
B. A direção da unidade de negócio não enfatizou a importância da nova política
C. Os controlos correspondentes são considerados proibitivos para as operações comerciais
D. A redação da política não está adaptada ao público
Ver resposta
Resposta correta: C
Pergunta #115
Qual das seguintes opções é a etapa MAIS importante para estabelecer directrizes para a utilização de sítios de redes sociais numa organização?
A. Estabelecer acções disciplinares em caso de incumprimento
B. Definir informações aceitáveis para lançamento
C. Identificar sítios seguros de redes sociais
D. Efetuar uma avaliação de vulnerabilidades
Ver resposta
Resposta correta: D
Pergunta #116
Uma organização determina que um utilizador final clicou numa ligação maliciosa. Qual das seguintes opções evitaria de forma mais eficaz que situações semelhantes se repetissem?
A. Formação dos utilizadores finais
B. Proteção contra vírus
C. Controlo do acesso do utilizador final
D. Políticas de segurança actualizadas
Ver resposta
Resposta correta: A
Pergunta #117
Qual dos seguintes é o MELHOR controlo para minimizar o risco associado à perda de informações como resultado de ransomware que explora uma vulnerabilidade de dia zero?
A. Um centro de operações de segurança
B. Um processo de gestão de patches
C. Uma infraestrutura de chave pública
D. Um processo de recuperação de dados
Ver resposta
Resposta correta: D
Pergunta #118
Durante que fase do desenvolvimento é MAIS adequado começar a avaliar o risco de um novo sistema de aplicações?
A. Viabilidade
B. Conceção
C. Desenvolvimento
D. Ensaios
Ver resposta
Resposta correta: A
Pergunta #119
A principal razão para a certificação interna de aplicações comerciais baseadas na Web é garantir:
A. Conformidade com as normas do sector
B. são identificadas alterações ao quadro de políticas organizacionais
C. Está a ser utilizada tecnologia Web actualizada
D. conformidade com as políticas organizacionais
Ver resposta
Resposta correta: D
Pergunta #120
A função TI declarou que, ao colocar uma nova aplicação em produção, não é necessário atualizar a análise de impacto nas actividades (BIA) porque não produz alterações nos processos empresariais. O diretor da segurança da informação deve
A. verificar a decisão com as unidades empresariais
B. verificar a análise de risco do sistema
C. recomendar a atualização após a revisão pós-implementação
D. solicitar uma revisão de auditoria
Ver resposta
Resposta correta: A
Pergunta #121
Qual seria uma das MELHORES métricas que um gestor de segurança da informação pode empregar para avaliar eficazmente os resultados de um programa de segurança?
A. Número de controlos implementados
B. Percentagem de objectivos de controlo cumpridos
C. Percentagem de conformidade com a política de segurança
D. Redução do número de incidentes de segurança comunicados
Ver resposta
Resposta correta: B
Pergunta #122
Qual das seguintes é a consideração MAIS importante para a conceção de uma estrutura eficaz de governação da segurança da informação?
A. Métricas de segurança definidas
B. Ciclo de auditoria contínua
C. Disposições da política de segurança
D. Automatização dos controlos de segurança
Ver resposta
Resposta correta: A
Pergunta #123
Para determinar a seleção dos controlos necessários para cumprir os objectivos comerciais, um gestor de segurança da informação deve
A. dar prioridade à utilização de controlos de acesso baseados em funções
B. concentrar-se nos controlos-chave
C. restringir os controlos apenas às aplicações críticas
D. centrar-se nos controlos automatizados
Ver resposta
Resposta correta: B
Pergunta #124
Um programa de gestão de riscos deverá
A. eliminar todos os riscos inerentes
B. manter o risco residual a um nível aceitável
C. implementar controlos preventivos para cada ameaça
D. reduzir o risco de controlo para zero
Ver resposta
Resposta correta: B
Pergunta #125
Qual das seguintes opções é geralmente utilizada para garantir que as informações transmitidas através da Internet são autênticas e efetivamente transmitidas pelo remetente nomeado?
A. Autenticação biométrica
B. Esteganografia incorporada
C. Autenticação de dois factores
D. Assinatura digital incorporada
Ver resposta
Resposta correta: D
Pergunta #126
Antes da aceitação final do risco residual, qual é a MELHOR forma de um gestor de segurança da informação abordar os factores de risco determinados como sendo inferiores aos níveis de risco aceitáveis?
A. Avaliar se está a ser aplicado um nível excessivo de controlo
B. Pedir à direção para aumentar os níveis de risco aceitáveis
C. Aplicar contramedidas mais rigorosas
D. Pedir à direção para baixar os níveis de risco aceitáveis
Ver resposta
Resposta correta: A
Pergunta #127
Como é que um gestor de segurança da informação pode equilibrar os requisitos potencialmente contraditórios das normas de segurança de uma organização internacional e da regulamentação local?
A. Dar preferência às normas da organização em relação aos regulamentos locais
B. Respeitar apenas os regulamentos locais
C. Informar a organização sobre as normas em que os regulamentos locais causam conflitos
D. Negociar uma versão local das normas da organização
Ver resposta
Resposta correta: D
Pergunta #128
A principal razão para iniciar um processo de exceção de política é quando:
A. as operações estão demasiado ocupadas para cumprir
B. o risco é justificado pelo benefício
C. O cumprimento das políticas seria difícil de aplicar
D. Os utilizadores podem ser inicialmente incomodados
Ver resposta
Resposta correta: B
Pergunta #129
O servidor de correio de uma empresa permite o acesso anónimo ao protocolo de transferência de ficheiros (FTP), que pode ser explorado. Que processo deve o gestor de segurança da informação implementar para determinar a necessidade de medidas correctivas?
A. Um teste de penetração
B. Uma revisão da base de segurança
C. Uma avaliação dos riscos
D. Uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: C
Pergunta #130
O objetivo do ponto de recuperação (RPO) é necessário em qual das seguintes situações?
A. Plano de segurança da informação
B. Plano de resposta a incidentes
C. Plano de continuidade das actividades
D. Plano de recuperação de desastres
Ver resposta
Resposta correta: C
Pergunta #131
Qual das seguintes é a MELHOR forma de identificar o potencial impacto de um ataque bem sucedido às aplicações de missão crítica de uma organização?
A. Efetuar testes de penetração
B. Executar análises regulares de vulnerabilidades
C. Efetuar uma revisão independente do código
D. Efetuar uma análise da vulnerabilidade da aplicação
Ver resposta
Resposta correta: A
Pergunta #132
Um fornecedor de software anunciou uma vulnerabilidade de dia zero que expõe os sistemas empresariais críticos de uma organização. Qual deve ser a preocupação PRIMÁRIA do gestor de segurança da informação?
A. Tolerância da empresa ao tempo de inatividade
B. Adequação do plano de resposta a incidentes
C. Disponibilidade de recursos para implementar os controlos
D. Capacidade de testar os patches antes da implementação
Ver resposta
Resposta correta: C
Pergunta #133
Qual das seguintes é a vantagem PRIMÁRIA da utilização de soluções de segurança de terminais sem agente?
A. Diminuição da utilização da largura de banda da rede
B. Diminuição da administração
C. Aumento da resiliência
D. Resultados de informação mais completos
Ver resposta
Resposta correta: B
Pergunta #134
O desenvolvimento de uma argumentação comercial bem sucedida para a aquisição de produtos de software de segurança da informação pode ser auxiliado por
A. Avaliação da frequência dos incidentes
B. quantificar o custo das falhas de controlo
C. calcular as projecções de retorno do investimento (ROI)
D. comparar as despesas com organizações semelhantes
Ver resposta
Resposta correta: C
Pergunta #135
Qual das seguintes opções MELHOR reduz a probabilidade de fuga de informações privadas por correio eletrónico?
A. Encriptação de correio eletrónico
B. Formação de sensibilização dos utilizadores
C. Protocolos de autenticação forte do utilizador
D. Proibição da utilização pessoal do correio eletrónico
Ver resposta
Resposta correta: D
Pergunta #136
Uma mensagem está a ser enviada com um hash. O risco de um atacante alterar a mensagem e gerar um valor de hash autêntico pode ser atenuado:
A. Utilizando uma chave secreta em conjunto com o algoritmo de hash
B. exigir que o destinatário utilize um algoritmo de hash diferente
C. utilizando a chave pública do remetente para encriptar a mensagem
D. gerar um resultado de hash com o mesmo tamanho da mensagem original
Ver resposta
Resposta correta: A
Pergunta #137
Qual das seguintes opções é a MAIS relevante para um gestor de segurança da informação comunicar às operações de TI?
A. O nível de risco inerente
B. Avaliações de vulnerabilidade
C. Avaliação das ameaças
D. O nível de exposição
Ver resposta
Resposta correta: B
Pergunta #138
Etiquetagem da informação de acordo com a sua classificação de segurança:
A. Aumenta a probabilidade de as pessoas tratarem as informações de forma segura
B. reduz o número e o tipo de contramedidas necessárias
C. reduz a necessidade de identificar controlos de base para cada classificação
D. afecta as consequências do tratamento inseguro da informação
Ver resposta
Resposta correta: D
Pergunta #139
Numa grande organização que solicita serviços subcontratados, qual das seguintes cláusulas contratuais é MAIS importante para o gestor de segurança da informação?
A. Conformidade com os requisitos de segurança
B. Frequência da comunicação do estado
C. Cláusula de não divulgação
D. Propriedade intelectual (PI)
Ver resposta
Resposta correta: A
Pergunta #140
Está a ser realizada uma análise de risco para um novo sistema. Para qual das seguintes opções o conhecimento do negócio é mais importante do que o conhecimento de TI?
A. Análise de vulnerabilidade
B. Balanced scorecard
C. Análise custo-benefício
D. Análise de impacto
Ver resposta
Resposta correta: B
Pergunta #141
Qual é o papel do gestor de segurança da informação na finalização das negociações contratuais com os prestadores de serviços?
A. Atualizar as normas de segurança para o processo externalizado
B. Assegurar a inclusão de cláusulas relativas a auditorias periódicas
C. Para obter uma certificação da norma de segurança do fornecedor
D. Efetuar uma análise de risco do processo de externalização
Ver resposta
Resposta correta: A
Pergunta #142
Qual das seguintes opções é a MAIS importante para orientar o desenvolvimento e a gestão de um programa abrangente de segurança da informação?
A. Adoção das melhores práticas de gestão de programas de segurança da informação
B. Implementação de políticas e procedimentos para abordar a estratégia de segurança da informação
C. Estabelecer e manter um quadro de governação da segurança da informação
D. Alinhar os objectivos comerciais da organização com os objectivos de TI
Ver resposta
Resposta correta: C
Pergunta #143
Ao desenvolver procedimentos de resposta a incidentes que envolvam servidores que alojam aplicações críticas, qual das seguintes entidades deve ser a PRIMEIRA a ser notificada?
A. Gestão de empresas
B. Diretor de operações
C. Gestor da segurança da informação
D. Utilizadores do sistema
Ver resposta
Resposta correta: C
Pergunta #144
O objetivo PRIMÁRIO do alinhamento da segurança da informação com os objectivos de governação empresarial é o seguinte
A. criar capacidades para melhorar os processos de segurança
B. gerir de forma consistente as áreas de risco significativas
C. identificar a tolerância ao risco de uma organização
D. Alinhar novamente as funções e responsabilidades
Ver resposta
Resposta correta: A
Pergunta #145
O objetivo PRINCIPAL da documentação das directrizes de segurança da informação para utilização numa grande organização internacional é
A. garantir que todas as unidades de negócio têm os mesmos objectivos estratégicos de segurança
B. fornecer provas aos auditores de que as práticas de segurança são adequadas
C. explicar as práticas preferenciais de segurança da organização
D. garantir que todas as unidades de negócio implementem procedimentos de segurança idênticos
Ver resposta
Resposta correta: A
Pergunta #146
Qual das seguintes opções seria a MAIS útil para determinar a capacidade atual de uma organização para atenuar os riscos?
A. Modelo de maturidade das capacidades
B. Análise do impacto nas empresas
C. Risco e exposição à segurança informática
D. Avaliação da vulnerabilidade
Ver resposta
Resposta correta: A
Pergunta #147
Qual é a MELHOR técnica para determinar quais os controlos de segurança a implementar com um orçamento limitado?
A. Análise de risco
B. Cálculos de expetativa de perda anualizada (ALE)
C. Análise custo-benefício
D. Análise de impacto
Ver resposta
Resposta correta: C
Pergunta #148
Um servidor de intranet deve geralmente ser colocado no:
A. rede interna
B. servidor de firewall
C. router externo
D. controlador de domínio primário
Ver resposta
Resposta correta: A
Pergunta #149
As políticas de segurança da informação devem ser concebidas PRIMARIAMENTE com base em:
A. exigências comerciais
B. riscos inerentes
C. normas internacionais
D. riscos comerciais
Ver resposta
Resposta correta: D
Pergunta #150
O objetivo PRIMÁRIO de um gestor de segurança da informação ao apresentar os principais riscos ao conselho de administração é
A. cumprir os requisitos de conformidade da segurança da informação
B. garantir uma governação adequada da segurança da informação
C. riscos quantitativos para a reputação
D. reavaliar a apetência pelo risco
Ver resposta
Resposta correta: B
Pergunta #151
Qual é a função PRIMÁRIA do gestor de segurança da informação no processo de classificação da informação numa organização?
A. Definir e ratificar a estrutura de classificação dos activos de informação
B. Decidir os níveis de classificação aplicados aos activos de informação da organização
C. Proteger os activos de informação de acordo com a sua classificação
D. Verificar se os activos de informação foram classificados corretamente
Ver resposta
Resposta correta: A
Pergunta #152
Qual das seguintes opções é o fator MAIS importante no desenvolvimento de uma estratégia eficaz de segurança da informação?
A. Normas de segurança da informação
B. Requisitos de conformidade
C. Relatórios de avaliação comparativa
D. Relatórios de auditoria de segurança
Ver resposta
Resposta correta: A
Pergunta #153
A eficácia do software de deteção de vírus é MAIS dependente de qual das seguintes opções?
A. Filtragem de pacotes
B. Deteção de intrusões
C. Actualizações de software
D. Quadros de definição
Ver resposta
Resposta correta: D
Pergunta #154
Uma organização subcontrata o processamento dos seus salários. Qual dos seguintes seria o MELHOR indicador de risco chave para monitorizar a segurança da informação do prestador de serviços?
A. Número de incidentes de segurança por gravidade
B. Número de correcções de segurança críticas
C. Percentagem de tempo de funcionamento da aplicação
D. Número de ajustamentos manuais dos salários
Ver resposta
Resposta correta: A
Pergunta #155
O caso comercial MAIS completo para soluções de segurança é aquele que.
A. inclui uma justificação adequada
B. explica o perfil de risco atual
C. pormenoriza os requisitos regulamentares
D. identifica os incidentes e as perdas
Ver resposta
Resposta correta: A
Pergunta #156
O fator de sucesso MAIS importante para conceber um programa eficaz de sensibilização para a segurança das TI é
A. personalizar o conteúdo para o público-alvo
B. assegurar que os quadros superiores estejam representados
C. assegurar a formação de todo o pessoal
D. evitar conteúdos técnicos, mas dar exemplos concretos
Ver resposta
Resposta correta: A
Pergunta #157
Qual dos seguintes é o risco MAIS importante associado ao middleware num ambiente cliente-servidor?
A. A aplicação de patches no servidor pode ser impedida
B. As cópias de segurança do sistema podem estar incompletas
C. A integridade do sistema pode ser afetada
D. As sessões do utilizador final podem ser desviadas
Ver resposta
Resposta correta: C
Pergunta #158
Qual das seguintes opções é a MELHOR indicação do alinhamento da estratégia de segurança da informação com o negócio?
A. Número de objectivos comerciais diretamente apoiados por iniciativas de segurança da informação
B. Percentagem do orçamento da empresa afetado a iniciativas de segurança da informação
C. Número de executivos de empresas que participaram em sessões de sensibilização para a segurança da informação
D. Percentagem de incidentes de segurança da informação resolvidos dentro dos acordos de nível de serviço definidos
Ver resposta
Resposta correta: A
Pergunta #159
Um programa de gestão de riscos deve reduzir os riscos para:
A. zero
B. um nível aceitável
C. uma percentagem aceitável das receitas
D. uma probabilidade de ocorrência aceitável
Ver resposta
Resposta correta: B
Pergunta #160
Qual das seguintes opções é a MELHOR executada pelo departamento de segurança?
A. Aprovação de normas de acesso ao sistema operativo
B. Registo do acesso não autorizado ao sistema operativo
C. Gerir perfis de utilizador para aceder ao sistema operativo
D. Provisionamento de utilizadores para acederem ao sistema operativo
Ver resposta
Resposta correta: B
Pergunta #161
Qual das seguintes é a ação MAIS importante quando se utiliza uma aplicação Web que tem vulnerabilidades reconhecidas?
A. Implementar uma firewall de aplicação
B. Implementar a deteção de intrusão baseada no anfitrião
C. Instalar software anti-spyware
D. Monitorizar os registos ao nível da aplicação
Ver resposta
Resposta correta: A
Pergunta #162
Um fornecedor de serviços externo está a desenvolver uma aplicação móvel para os clientes de uma organização. Qual das seguintes questões deve preocupar MAIS o gestor de segurança da informação?
A. A garantia de software não é abordada no contrato
B. O contrato não exige práticas de desenvolvimento seguras
C. Os programadores da aplicação móvel são todos contratados offshore
D. Os SLAs após a implantação não estão claramente definidos
Ver resposta
Resposta correta: B
Pergunta #163
A preocupação PRIMÁRIA de um gestor de segurança da informação ao documentar uma política formal de retenção de dados seria:
A. melhores práticas do sector geralmente aceites
B. requisitos comerciais
C. requisitos legislativos e regulamentares
D. disponibilidade de armazenamento
Ver resposta
Resposta correta: B
Pergunta #164
Qual dos seguintes é o MELHOR método para proteger as informações privadas dos consumidores num sítio Web público em linha?
A. Encriptar os dados do consumidor em trânsito e em repouso
B. Aplicar uma política de mascaramento aos dados do consumidor
C. Utilizar uma camada de transporte encriptada segura
D. Aplicar uma autenticação forte às contas em linha
Ver resposta
Resposta correta: A
Pergunta #165
Qual dos seguintes seria o PRIMEIRO passo para estabelecer um programa de segurança da informação?
A. Desenvolver a política de segurança
B. Desenvolver procedimentos operacionais de segurança
C. Desenvolver o plano de segurança
D. Realizar um estudo dos controlos de segurança
Ver resposta
Resposta correta: C
Pergunta #166
O valor dos activos de informação é MELHOR determinado por:
A. gestores de empresas individuais
B. analistas de sistemas empresariais
C. Gestão da segurança da informação
D. avaliação comparativa das médias do sector
Ver resposta
Resposta correta: A
Pergunta #167
O fator MAIS importante no planeamento da conservação a longo prazo de registos comerciais armazenados eletronicamente é ter em conta as potenciais alterações:
A. Capacidade de armazenamento e prazo de validade
B. requisitos regulamentares e legais
C. estratégia e direção empresarial
D. Sistemas e meios de aplicação
Ver resposta
Resposta correta: D
Pergunta #168
Qual das seguintes opções garante MELHOR a confidencialidade das informações transmitidas pela Internet?
A. Rede privada virtual (VPN)
B. Firewalls e routers
C. Autenticação biométrica
D. Autenticação de dois factores
Ver resposta
Resposta correta: A
Pergunta #169
Quando uma organização e o seu fornecedor de serviços de alojamento de TI estão a estabelecer um contrato entre si, é muito importante que o contrato inclua:
A. pormenores sobre os parâmetros de segurança previstos
B. As responsabilidades de segurança de cada parte
C. sanções por incumprimento da política de segurança
D. objectivos de tempo de recuperação (RTOs)
Ver resposta
Resposta correta: B
Pergunta #170
Qual das seguintes opções é a MAIS importante para dar prioridade às acções de um plano de continuidade das actividades (PCN)?
A. Análise do impacto nas empresas (BIA)
B. Avaliação dos riscos
C. Classificação dos activos
D. Mapeamento de processos empresariais
Ver resposta
Resposta correta: A
Pergunta #171
A forma MAIS eficaz de garantir que os prestadores de serviços subcontratados cumprem a política de segurança da informação da organização seria:
A. Monitorização do nível de serviço
B. testes de penetração
C. auditoria periódica
D. formação de sensibilização para a segurança
Ver resposta
Resposta correta: C
Pergunta #172
A MELHOR forma de isolar os dados empresariais armazenados em dispositivos móveis pertencentes a funcionários seria implementar:
A. um ambiente sandbox
B. encriptação de dispositivos
C. autenticação de dois factores
D. uma política de palavra-passe forte
Ver resposta
Resposta correta: A
Pergunta #173
A avaliação dos riscos deve ser efectuada de forma contínua porque:
A. os controlos mudam numa base contínua
B. O número de incidentes de pirataria informática está a aumentar
C. A direção deve ser actualizada sobre as alterações do risco
D. factores que afectam a mudança na segurança da informação
Ver resposta
Resposta correta: A
Pergunta #174
Qual das seguintes opções MELHOR determina a classificação de um ativo de informação?
A. Directivas do proprietário dos dados
B. Criticidade para um processo comercial
C. Custo de produção do ativo de informação
D. Valor do ativo de informação para os concorrentes
Ver resposta
Resposta correta: B
Pergunta #175
Ao efetuar uma avaliação de risco sobre o impacto da perda de um servidor, o valor do servidor deve ser calculado utilizando o
A. custo original de aquisição
B. custo do software armazenado
C. Expectativa de perda anualizada (ALE)
D. custo para obter uma substituição
Ver resposta
Resposta correta: D
Pergunta #176
Qual das seguintes opções MELHOR ajudará a garantir que a segurança é abordada ao desenvolver uma aplicação personalizada?
A. Realização de acções de formação em matéria de segurança para o pessoal de desenvolvimento
B. Integração dos requisitos de segurança no processo de desenvolvimento
C. Exigir uma avaliação de segurança antes da implementação
D. Integrar uma auditoria de segurança em todo o processo de desenvolvimento
Ver resposta
Resposta correta: B
Pergunta #177
Qual das seguintes opções seria a MAIS útil para identificar atempadamente os incidentes de segurança?
A. Implementar um sistema de emissão de bilhetes para o serviço de assistência
B. Exigir que o pessoal de segurança participe em acções de formação
C. Desenvolver um programa de sensibilização dos utilizadores
D. Efetuar testes de penetração regulares
Ver resposta
Resposta correta: C
Pergunta #178
Qual dos seguintes indivíduos estaria na MELHOR posição para patrocinar a criação de um grupo diretor de segurança da informação?
A. Gestor da segurança da informação
B. Diretor de operações (COO)
C. Auditor interno
D. Assessoria jurídica
Ver resposta
Resposta correta: B
Pergunta #179
Qual das seguintes é a principal razão pela qual uma estratégia de segurança da informação deve ser implementada numa organização?
A. Para garantir que a empresa cumpre as normas de segurança
B. Para garantir que a intenção da direção se reflecte nas actividades de segurança
C. Assegurar que os empregados cumprem as normas de segurança
D. Garantir a adoção das melhores práticas do sector em matéria de segurança
Ver resposta
Resposta correta: A
Pergunta #180
Qual das seguintes opções é a MAIS importante para um programa de segurança da informação bem-sucedido?
A. Formação adequada em tecnologias de segurança emergentes
B. Comunicação aberta com os principais responsáveis pelos processos
C. Políticas, normas e procedimentos adequados
D. Compromisso da direção executiva
Ver resposta
Resposta correta: D
Pergunta #181
Qual das seguintes opções é a MAIS eficaz para evitar falhas de segurança nos sistemas operativos?
A. Gestão de correcções
B. Gestão da mudança
C. Linhas de base de segurança
D. Gestão da configuração
Ver resposta
Resposta correta: A
Pergunta #182
Uma organização está no processo de adoção de uma infraestrutura de dados híbrida, transferindo todas as aplicações não essenciais para fornecedores de serviços na nuvem e mantendo todas as funções empresariais essenciais internamente. O gerente de segurança da informação determinou que uma estratégia de defesa em profundidade deve ser usada. Qual das seguintes opções descreve MELHOR essa estratégia?
A. Requisitos de início de sessão multifactor para aplicações de serviços em nuvem, tempos limite e palavras-passe complexas
B. Implantação de firewalls aninhadas na infraestrutura
C. Controlos de segurança separados para aplicações, plataformas, programas e pontos finais
D. Aplicação rigorosa do controlo de acesso baseado em funções (RBAC)
Ver resposta
Resposta correta: C
Pergunta #183
O retorno do investimento em segurança da informação pode ser avaliado através de qual das seguintes opções?
A. Apoio aos objectivos comerciais
B. Métricas de segurança
C. Prestações de serviços de segurança
D. Modelos de melhoria de processos
Ver resposta
Resposta correta: A
Pergunta #184
Qual das seguintes opções melhor justificaria a despesa com um controlo de compensação?
A. Análise da ameaça
B. Análise de risco
C. Avaliação comparativa entre pares
D. Análise de vulnerabilidade
Ver resposta
Resposta correta: B
Pergunta #185
Qual das seguintes funções é PRIMARIAMENTE responsável pelo desenvolvimento de uma estrutura de classificação da informação baseada nas necessidades da empresa?
A. Quadros superiores
B. Comité diretor da segurança da informação
C. Proprietário da informação
D. Gestor da segurança da informação
Ver resposta
Resposta correta: C
Pergunta #186
Uma análise de risco deve:
A. incluir uma referência de empresas semelhantes no seu âmbito de aplicação
B. assumir um grau de proteção igual para todos os activos
C. abordar a dimensão potencial e a probabilidade de perda
D. dar mais peso à probabilidade do que à dimensão da perda
Ver resposta
Resposta correta: C
Pergunta #187
Qual das seguintes funções representaria um conflito de interesses para um gestor de segurança da informação?
A. Avaliação dos terceiros que solicitam a conetividade
B. Avaliação da adequação dos planos de recuperação de desastres
C. Aprovação final das políticas de segurança da informação
D. Monitorização da adesão aos controlos de segurança física
Ver resposta
Resposta correta: C
Pergunta #188
Qual das seguintes técnicas indica MAIS claramente se devem ser implementados controlos específicos de redução do risco?
A. Análise custo-benefício das contramedidas
B. Testes de penetração
C. Programas de avaliação frequente dos riscos
D. Cálculo da esperança de perda anual (ALE)
Ver resposta
Resposta correta: A
Pergunta #189
Qual das seguintes opções é a MAIS importante a ter em conta na elaboração de um plano de continuidade das actividades (PCN)?
A. Plano de recuperação de desastres (DRP)
B. Análise do impacto nas empresas (BIA)
C. Requisitos de gestão de incidentes
D. Plano de comunicação empresarial
Ver resposta
Resposta correta: B
Pergunta #190
Qual das seguintes tecnologias é utilizada para garantir que um indivíduo que se liga a uma rede interna da empresa através da Internet não é um intruso mascarado como um utilizador autorizado?
A. Sistema de deteção de intrusões (IDS)
B. Filtragem de pacotes de endereços IP
C. Autenticação de dois factores
D. Assinatura digital incorporada
Ver resposta
Resposta correta: C
Pergunta #191
Qual das seguintes opções é suscetível de ser actualizada com maior frequência?
A. Procedimentos para reforçar os servidores de bases de dados
B. Normas para o comprimento e complexidade da palavra-passe
C. Políticas relativas à governação da segurança da informação
D. Normas para a conservação e destruição de documentos
Ver resposta
Resposta correta: A
Pergunta #192
Qual das seguintes opções MELHOR permitiria a integração da governação da segurança da informação na governação empresarial?
A. Garantir uma representação adequada das empresas no comité diretor da segurança da informação
B. Utilizar um balanced scorecard para medir o desempenho da estratégia de segurança da informação
C. Implementação de painéis de controlo da governação, do risco e da conformidade das TI (IT GRC)
D. Ter o CIO a presidir ao comité diretor da segurança da informação
Ver resposta
Resposta correta: C
Pergunta #193
Na governação da segurança da informação, o papel PRIMÁRIO do conselho de administração é garantir:
A. aprovação das políticas e normas pertinentes
B. comunicação da postura de segurança às partes interessadas
C. Conformidade com a regulamentação e as melhores práticas
D. alinhamento com os objectivos estratégicos da organização
Ver resposta
Resposta correta: D
Pergunta #194
Um gestor de segurança da informação está a analisar o impacto de um regulamento no sistema de recursos humanos da organização. A PRÓXIMA linha de ação deve ser:
A. efetuar uma análise das lacunas dos requisitos de conformidade
B. avaliar as sanções por incumprimento
C. analisar o relatório de auditoria mais recente da organização
D. determinar o custo da conformidade
Ver resposta
Resposta correta: A
Pergunta #195
Uma aplicação antiga não está em conformidade com os novos requisitos regulamentares para encriptar dados sensíveis em repouso e a resolução deste problema exigiria um investimento significativo. O que é que o gestor de segurança da informação deve fazer PRIMEIRO?
A. Investigar opções alternativas para remediar a não conformidade
B. Avaliar o impacto comercial para a organização
C. Apresentar o risco de não conformidade à direção
D. Determinar o custo para remediar a não conformidade
Ver resposta
Resposta correta: B
Pergunta #196
Qual das seguintes opções é a MAIS importante a compreender quando se desenvolve uma estratégia de segurança da informação significativa?
A. Enquadramento regulamentar
B. Normas internacionais de segurança
C. Riscos organizacionais
D. Objectivos organizacionais
Ver resposta
Resposta correta: D
Pergunta #197
Qual das seguintes opções é a MAIS importante para um gestor de segurança da informação considerar ao identificar os requisitos de recursos de segurança da informação?
A. Incidentes de segurança da informação
B. Estratégia de segurança da informação
C. Níveis actuais de recursos
D. Disponibilidade de recursos potenciais
Ver resposta
Resposta correta: B
Pergunta #198
Para gerir eficazmente o risco de segurança da informação de uma organização, é MUITO importante
A. Identificar e corrigir periodicamente as vulnerabilidades dos novos sistemas
B. atribuir a responsabilidade pela gestão do risco aos utilizadores finais
C. comparar os cenários de risco com os das organizações congéneres
D. estabelecer e comunicar a tolerância ao risco
Ver resposta
Resposta correta: A
Pergunta #199
Qual das seguintes opções é a MAIS provável para mudar a cultura de uma organização para uma mais consciente da segurança?
A. Políticas e procedimentos de segurança adequados
B. Revisões periódicas da conformidade
C. Comités directores de segurança
D. Campanhas de sensibilização para a segurança
Ver resposta
Resposta correta: D
Pergunta #200
Qual dos seguintes é o objetivo PRIMÁRIO da gestão da continuidade das actividades?
A. Estabelecer procedimentos de resposta a incidentes
B. Avaliar o impacto nos processos empresariais
C. Aumentar a capacidade de sobrevivência da organização
D. Implementar controlos para evitar desastres
Ver resposta
Resposta correta: C
Pergunta #201
O custo de implementação de um controlo de segurança não deve exceder o custo de um controlo de segurança:
A. Expectativa de perda anualizada
B. custo de um incidente
C. valor do ativo
D. custos de oportunidade de implementação
Ver resposta
Resposta correta: C
Pergunta #202
Os novos funcionários devem receber formação de sensibilização para a segurança:
A. numa base de necessidade
B. durante a formação dos utilizadores do sistema
C. antes de terem acesso aos dados
D. com o pessoal do serviço
Ver resposta
Resposta correta: C
Pergunta #203
Ao implementar uma governação de segurança eficaz no âmbito dos requisitos da estratégia de segurança da empresa, qual dos seguintes factores é o MAIS importante a considerar?
A. Preservação da confidencialidade dos dados sensíveis
B. Estabelecimento de normas internacionais de segurança para a partilha de dados
C. Cumprir as normas de privacidade da empresa
D. Estabelecer a responsabilidade do gestor do sistema pela segurança da informação
Ver resposta
Resposta correta: A
Pergunta #204
Qual das seguintes opções ilustra MELHOR o risco residual numa organização?
A. Quadro de gestão do risco
B. Registo de riscos
C. Análise do impacto nas empresas
D. Mapa de calor
Ver resposta
Resposta correta: A
Pergunta #205
Qual das seguintes seria a MELHOR métrica para o processo de gestão de riscos de TI?
A. Número de planos de ação de gestão do risco
B. Percentagem de activos críticos com medidas de correção orçamentadas
C. Percentagem de exposições ao risco não resolvidas
D. Número de incidentes de segurança identificados
Ver resposta
Resposta correta: B
Pergunta #206
O objetivo PRIMÁRIO de uma política de utilização da Internet é prevenir:
A. acesso a sítios inadequados
B. descarregamento de código malicioso
C. violação das leis de direitos de autor
D. interrupção do acesso à Internet
Ver resposta
Resposta correta: D
Pergunta #207
Qual dos seguintes é o objetivo PRIMÁRIO de uma análise de impacto comercial (BIA)?
A. Analisar as vulnerabilidades
B. Determinar as prioridades de recuperação
C. Confirmar a eficácia do controlo
D. Definir o objetivo do ponto de recuperação (RPO)
Ver resposta
Resposta correta: D
Pergunta #208
Ao desenvolver um plano de resposta a incidentes, o gestor da segurança da informação deve
A. incluir cenários de resposta que tenham sido previamente aprovados pela direção da empresa
B. determinar os objectivos de tempo de recuperação (RTOs)
C. permitir que as TI decidam quais os sistemas que podem ser retirados da infraestrutura
D. exigir que as TI invoquem o plano de continuidade das actividades
Ver resposta
Resposta correta: B
Pergunta #209
A utilização de um business case para obter financiamento para um investimento em segurança da informação é MAIS eficaz quando o business case:
A. traduz as políticas e normas de segurança da informação em requisitos comerciais
B. relaciona o investimento com o plano estratégico da organização
C. realinha os objectivos de segurança da informação com a estratégia organizacional
D. articula as intenções da direção e as directivas de segurança da informação numa linguagem clara
Ver resposta
Resposta correta: B
Pergunta #210
A MELHOR maneira de garantir que um prestador de serviços externo cumpra as políticas de segurança da organização é:
A. Incluir explicitamente o fornecedor de serviços nas políticas de segurança
B. Receber uma confirmação por escrito de que o prestador de serviços leu todas as políticas
C. Referência cruzada às políticas do acordo de nível de serviço
D. Efetuar revisões periódicas do prestador de serviços
Ver resposta
Resposta correta: D
Pergunta #211
Uma organização decidiu implementar controlos de segurança adicionais para tratar os riscos de um novo processo. Este é um exemplo de:
A. Eliminando o risco
B. transferir o risco
C. atenuando o risco
D. aceitar o risco
Ver resposta
Resposta correta: C
Pergunta #212
As unidades de negócios de uma organização são resistentes às mudanças propostas para o programa de segurança da informação. Qual das seguintes opções é a MELHOR maneira de resolver esse problema?
A. Implementação de formação adicional de sensibilização para a segurança
B. Comunicação dos resultados da avaliação dos riscos críticos aos gestores das unidades de negócio
C. Incluir a representação das unidades empresariais no comité diretor de segurança
D. Publicação de políticas de segurança da informação actualizadas
Ver resposta
Resposta correta: B
Pergunta #213
Qual das seguintes é a MELHOR forma de facilitar o alinhamento entre o programa de segurança da informação de uma organização e os objectivos comerciais?
A. A segurança da informação é considerada na fase de viabilidade de todos os projectos de TI
B. O comité de governação da segurança da informação inclui representantes das principais áreas de negócio
C. O diretor executivo revê e aprova o programa de segurança da informação
D. O programa de segurança da informação é auditado pelo departamento de auditoria interna
Ver resposta
Resposta correta: B
Pergunta #214
O que terá o MAIOR impacto nos modelos padrão de governação da segurança da informação?
A. Número de trabalhadores
B. Distância entre localizações físicas
C. Complexidade da estrutura organizacional
D. Orçamento da organização
Ver resposta
Resposta correta: C
Pergunta #215
Qual das seguintes opções apresenta o MAIOR desafio no cálculo do retorno do investimento (ROI) no ambiente de segurança?
A. O número de incidentes não pode ser pré-determinado
B. Não se podem prever derrapagens nos custos do projeto
C. O custo das ferramentas de segurança é difícil de estimar
D. Os custos dos incidentes de segurança não podem ser estimados
Ver resposta
Resposta correta: A
Pergunta #216
Qual das seguintes opções é MAIS importante determinar antes de desenvolver as métricas do programa de segurança da informação?
A. Como serão recolhidos os dados
B. Quem utilizará as métricas
C. Como será comunicado o desempenho
D. A quem pertencerão as métricas
Ver resposta
Resposta correta: D
Pergunta #217
Qual das seguintes opções seria a MAIS eficaz para reduzir o risco de perda de dados no caso de um portátil roubado?
A. Fornecer formação de sensibilização aos utilizadores finais sobre viagens com computadores portáteis
B. Implementação de software de prevenção de perda de dados de ponto final no portátil
C. Encriptar o disco rígido
D. Utilizar uma palavra-passe forte
Ver resposta
Resposta correta: C
Pergunta #218
Uma organização tem um processo em vigor que envolve a utilização de um fornecedor. Uma avaliação de risco foi concluída durante o desenvolvimento do processo. Um ano após a implementação, foi tomada uma decisão monetária para utilizar um fornecedor diferente. O que deve acontecer, se é que deve acontecer alguma coisa?
A. Nada, uma vez que foi efectuada uma avaliação dos riscos durante o desenvolvimento
B. Deve ser efectuada uma avaliação da vulnerabilidade
C. Deve ser efectuada uma nova avaliação dos riscos
D. O relatório SAS 70 tipo II do novo fornecedor deve ser revisto
Ver resposta
Resposta correta: C
Pergunta #219
Qual das seguintes opções garante que os pontos fracos de segurança recentemente identificados num sistema operativo são atenuados atempadamente?
A. Gestão de correcções
B. Gestão da mudança
C. Linhas de base de segurança
D. Gestão de aquisições
Ver resposta
Resposta correta: A
Pergunta #220
As excepções a uma política de segurança devem ser aprovadas com base, PRIMEIRAMENTE, em:
A. Apetite pelo risco
B. a probabilidade de ameaça externa
C. resultados de uma análise de impacto comercial (BIA)
D. o número de incidentes de segurança
Ver resposta
Resposta correta: C
Pergunta #221
Ao configurar um sistema de controlo de acesso biométrico que protege um centro de dados de alta segurança, deve ser definido o nível de sensibilidade do sistema:
A. a uma taxa de falsa rejeição (FRR) mais elevada
B. a uma taxa de erro de cruzamento inferior
C. a uma taxa de falsa aceitação (FAR) mais elevada
D. exatamente à taxa de erro de cruzamento
Ver resposta
Resposta correta: A
Pergunta #222
Uma organização vai subcontratar processos de missão crítica. Qual das seguintes opções é MAIS importante verificar antes de assinar o acordo de nível de serviço (SLA)?
A. O fornecedor implementou as tecnologias mais recentes
B. O pessoal técnico do prestador é avaliado anualmente
C. O fornecedor é amplamente conhecido no sector da organização
D. O prestador foi objeto de uma auditoria por uma empresa de auditoria reconhecida
Ver resposta
Resposta correta: D
Pergunta #223
Qual dos seguintes é o MELHOR método de defesa contra ataques de engenharia social?
A. Efetuar periodicamente análises antivírus para identificar malware
B. Comunicar directrizes para limitar as informações publicadas em sítios públicos
C. Utilizar uma solução de filtragem de conteúdos da Web
D. Monitorizar as tentativas de acesso não autorizado e os logins falhados
Ver resposta
Resposta correta: C
Pergunta #224
Qual dos seguintes tipos de controlos seria MAIS importante implementar ao digitalizar registos de recursos humanos (RH)?
A. Controlos de gestão do acesso
B. Controlos da gestão de projectos
C. Controlos do desenvolvimento de software
D. Controlos de gestão de alterações
Ver resposta
Resposta correta: A
Pergunta #225
Uma organização adquiriu uma empresa num país estrangeiro para obter uma vantagem num novo mercado. Qual das seguintes opções é o PRIMEIRO passo que o diretor de segurança da informação deve dar?
A. Fundir os dois programas de segurança da informação existentes
B. Determinar quais os regulamentos de segurança da informação do país que serão utilizados
C. Aplicar o programa de segurança da informação existente à empresa adquirida
D. Avaliar as leis de segurança da informação que se aplicam à empresa adquirida
Ver resposta
Resposta correta: D
Pergunta #226
Qual das seguintes opções seria a MAIS útil para conseguir o alinhamento entre a segurança da informação e os objectivos da organização?
A. Monitorização do controlo das chaves
B. Um programa sólido de sensibilização para a segurança
C. Um programa de segurança que permite actividades comerciais
D. Uma arquitetura de segurança eficaz
Ver resposta
Resposta correta: C
Pergunta #227
Para evitar que os computadores da rede corporativa sejam usados como parte de um ataque distribuído de negação de serviço, o gerente de segurança da informação deve usar:
A. filtragem do tráfego de entrada
B. filtragem do tráfego de saída
C. Divulgação da política de segurança informática
D. limitação da taxa
Ver resposta
Resposta correta: B
Pergunta #228
Qual das seguintes opções seria a MAIS importante a incluir numa política de "trazer o seu próprio dispositivo" (BYOD) no que respeita a dispositivos perdidos ou roubados? A necessidade de os funcionários:
A. iniciar o processo de comunicação de incidentes da empresa
B. procurar aconselhamento junto do fornecedor de serviços móveis
C. notificar as autoridades policiais locais
D. solicitar uma limpeza remota do dispositivo
Ver resposta
Resposta correta: D
Pergunta #229
Obter o apoio da direção para a criação de um sítio quente pode ser conseguido da melhor forma:
A. Estabelecer uma avaliação periódica dos riscos
B. promover os requisitos regulamentares
C. desenvolver um caso de negócio
D. desenvolver métricas eficazes
Ver resposta
Resposta correta: C
Pergunta #230
Todas as actividades de gestão de riscos são PRIMARIAMENTE concebidas para reduzir os impactos sobre
A. um nível definido pelo gestor de segurança
B. um nível aceitável baseado na tolerância ao risco organizacional
C. um nível mínimo compatível com os requisitos regulamentares
D. o nível mínimo possível
Ver resposta
Resposta correta: B
Pergunta #231
Qual das seguintes é a razão PRINCIPAL para efetuar regularmente uma análise do panorama de ameaças?
A. Determinar a base para propor um aumento dos orçamentos de segurança
B. Determinar se os planos de continuidade das actividades existentes são adequados
C. Para determinar se as vulnerabilidades existentes representam um risco
D. Determinar informações críticas para a gestão executiva
Ver resposta
Resposta correta: C
Pergunta #232
Qual das seguintes é a forma MAIS eficaz de identificar alterações num ambiente de segurança da informação?
A. Controlo contínuo
B. Base de segurança
C. Avaliações anuais dos riscos
D. Análise do impacto nas empresas
Ver resposta
Resposta correta: A
Pergunta #233
Um programa de gestão de riscos bem sucedido deve conduzir a:
A. otimização dos esforços de redução dos riscos em função dos custos
B. contenção das perdas para um montante anual orçamentado
C. Identificação e eliminação de todas as ameaças de origem humana
D. eliminação ou transferência de todos os riscos organizacionais
Ver resposta
Resposta correta: A
Pergunta #234
Qual das seguintes é a MELHOR forma de resolver as lacunas identificadas durante o processo de seleção de um fornecedor subcontratado e de negociação de um contrato?
A. Responsabilizar o fornecedor pela segurança e conformidade
B. Efetuar avaliações contínuas das lacunas
C. Incluir direitos de auditoria no acordo de nível de serviço (SLA)
D. Implementar controlos de compensação
Ver resposta
Resposta correta: D
Pergunta #235
Pouco depois da instalação, um sistema de deteção de intrusões (IDS) comunica uma violação. Qual das seguintes opções é a mais provável?
A. A violação é um falso positivo
B. Ocorreu um carregamento de rotina do ficheiro de registo IDS
C. Ocorreu um download de rotina do ficheiro de assinatura IDS
D. Ocorreu uma intrusão
Ver resposta
Resposta correta: A
Pergunta #236
O compromisso e o apoio da direção para com a segurança da informação podem ser obtidos da melhor forma através de apresentações que:
A. Utilizar exemplos ilustrativos de ataques bem sucedidos
B. explicar os riscos técnicos para a organização
C. avaliar a organização em relação às melhores práticas de segurança
D. associar os riscos de segurança aos principais objectivos comerciais
Ver resposta
Resposta correta: D
Pergunta #237
Um perfil de risco apoia decisões de segurança eficazes PRINCIPALMENTE porque:
A. define a melhor forma de atenuar os riscos futuros
B. identifica as prioridades para a redução dos riscos
C. permite a comparação com as melhores práticas do sector
D. descreve as ameaças à segurança
Ver resposta
Resposta correta: B
Pergunta #238
Quando o risco inerente a uma atividade empresarial é inferior ao nível de risco aceitável, a MELHOR forma de agir seria
A. monitorizar as mudanças na atividade
B. rever o nível de risco residual
C. comunicar a conformidade à direção
D. implementar controlos para mitigar o risco
Ver resposta
Resposta correta: B
Pergunta #239
Um gestor empresarial decidiu não implementar um controlo com base na avaliação de risco de uma aplicação empresarial de missão crítica devido ao seu impacto no desempenho. Qual é a MELHOR linha de ação do gestor de segurança da informação?
A. Instruir o gestor de negócios para implementar o controlo de mitigação
B. Atualizar o perfil de risco da organização
C. Recomendar possíveis controlos de compensação
D. Encaminhar a questão para a direção para uma decisão final
Ver resposta
Resposta correta: C
Pergunta #240
A MELHOR forma de garantir que as definições de segurança em cada plataforma estão em conformidade com as políticas e procedimentos de segurança das informações é:
A. realizar testes de penetração
B. estabelecer linhas de base de segurança
C. implementar as predefinições do fornecedor
D. ligar as políticas a uma norma independente
Ver resposta
Resposta correta: B
Pergunta #241
Antes de efetuar uma avaliação formal dos riscos dos recursos de informação de uma organização, um gestor de segurança da informação deve PRIMEIRO:
A. identificar as principais ameaças aos objectivos empresariais
B. analisar as fontes disponíveis de informação sobre os riscos
C. Identificar o valor dos activos críticos
D. determinar o impacto financeiro se as ameaças se concretizarem
Ver resposta
Resposta correta: A
Pergunta #242
Para conseguir um alinhamento estratégico eficaz das iniciativas de segurança, é importante que
A. A liderança do comité de direção será selecionada por rotação
B. Obtenção de contributos e obtenção de consenso entre as principais unidades organizacionais
C. A estratégia empresarial deve ser actualizada periodicamente
D. Os procedimentos e normas devem ser aprovados por todos os chefes de departamento
Ver resposta
Resposta correta: B
Pergunta #243
Um gestor de segurança da informação foi recentemente notificado de potenciais riscos de segurança associados a um fornecedor de serviços externo. O que é que deve ser feito no futuro para responder a esta preocupação?
A. Efetuar uma análise de risco
B. Encaminhar para o diretor de riscos
C. Efetuar uma análise de vulnerabilidade
D. Determinar os controlos de compensação
Ver resposta
Resposta correta: A
Pergunta #244
Qual é a MELHOR forma de um cliente autenticar um vendedor de comércio eletrónico?
A. Utilizar um protocolo de comunicações seguro para a ligação
B. Verificar o certificado do fornecedor com uma autoridade de certificação
C. Solicitar a verificação da encomenda por correio eletrónico
D. Encriptar a encomenda utilizando a chave privada do fornecedor
Ver resposta
Resposta correta: B
Pergunta #245
A revisão dos objectivos de segurança e a garantia da integração da segurança em todas as unidades de negócio é primordialmente o foco da..:
A. Direção executiva
B. diretor de segurança da informação (CISO)
C. Conselho de Administração
D. Comité de direção
Ver resposta
Resposta correta: B
Pergunta #246
Qual dos seguintes seria o MELHOR indicador de que uma organização está a gerir adequadamente o risco?
A. O número de incidentes de segurança comunicados pelo pessoal aumentou
B. Os resultados da avaliação de riscos estão dentro dos limites de tolerância
C. Um teste de penetração não identifica quaisquer vulnerabilidades de alto risco do sistema
D. O número de eventos comunicados pelo sistema de deteção de intrusões diminuiu
Ver resposta
Resposta correta: B
Pergunta #247
Os objectivos de tempo de recuperação (RTO) são um resultado de qual das seguintes opções?
A. Plano de continuidade das actividades
B. Plano de recuperação de desastres
C. Acordo de nível de serviço (SLA)
D. Análise do impacto nas empresas (BIA)
Ver resposta
Resposta correta: B
Pergunta #248
Qual das seguintes ferramentas é a MAIS adequada para determinar quanto tempo demorará um projeto de segurança a ser implementado?
A. Diagrama de Gantt
B. Gráfico em cascata
C. Percurso crítico
D. Desenvolvimento rápido de aplicações (RAD)
Ver resposta
Resposta correta: C
Pergunta #249
A governação da segurança está MAIS associada a qual das seguintes componentes da infraestrutura de TI?
A. Rede
B. Aplicação
C. Plataforma
D. Processo
Ver resposta
Resposta correta: D
Pergunta #250
O impacto da perda de conetividade da rede de retransmissão de quadros durante 18-24 horas deve ser calculado utilizando o
A. Taxa de faturação horária cobrada pela transportadora
B. valor dos dados transmitidos através da rede
C. compensação agregada de todos os utilizadores profissionais afectados
D. perdas financeiras incorridas pelas unidades de negócio afectadas
Ver resposta
Resposta correta: D
Pergunta #251
Uma grande organização está a considerar uma política que permita aos funcionários trazerem os seus próprios smartphones para o ambiente organizacional. A preocupação MAIS importante para o gestor de segurança da informação deve ser a:
A. custos mais elevados de apoio aos utilizadores finais
B. Impacto na capacidade da rede
C. diminuição da produtividade do utilizador final
D. falta de uma solução de gestão de dispositivos
Ver resposta
Resposta correta: D
Pergunta #252
A não-repudiação pode ser assegurada da melhor forma possível através da utilização de:
A. rastreio do percurso de entrega
B. tradução de pesquisa inversa
C. canais fora de mão
D. assinaturas digitais
Ver resposta
Resposta correta: D
Pergunta #253
Qual dos seguintes é o MELHOR método para garantir que os procedimentos e directrizes de segurança são conhecidos e compreendidos?
A. Reuniões periódicas de grupos de reflexão
B. Revisões periódicas da conformidade
C. Formação para a certificação por computador (CBT)
D. Confirmação assinada pelo trabalhador
Ver resposta
Resposta correta: C
Pergunta #254
Qual das seguintes é a forma MAIS eficaz de conseguir a integração da governação da segurança da informação na governação empresarial?
A. Alinhar os pedidos de orçamento para a segurança da informação com os objectivos organizacionais
B. Garantir que os esforços de segurança da informação apoiam os objectivos comerciais
C. Fornecer periodicamente à direção sénior os quadros de avaliação das TI
D. Assegurar que a segurança da informação está alinhada com a estratégia de TI
Ver resposta
Resposta correta: A
Pergunta #255
Qual dos seguintes é o método MAIS eficaz para categorizar a criticidade do sistema e dos dados durante o processo de avaliação de riscos?
A. Entrevistar os quadros superiores
B. Entrevistar os responsáveis pela custódia dos dados
C. Entrevistar os membros do Conselho de Administração
D. Entrevistar os proprietários dos activos
Ver resposta
Resposta correta: D
Pergunta #256
O risco de um tratamento incorreto dos alertas identificados por um sistema de deteção de intrusões (IDS) seria MAIOR quando:
A. Os procedimentos operacionais normalizados não estão formalizados
B. a infraestrutura de TI é diversificada
C. Os sensores IDS estão mal configurados
D. As operações e a monitorização são geridas por equipas diferentes
Ver resposta
Resposta correta: A
Pergunta #257
Qual dos seguintes aspectos deve ser a MAIOR preocupação de um gestor de segurança da informação ao estabelecer um conjunto de indicadores-chave de risco (KRI)?
A. O impacto do risco de segurança nos objectivos organizacionais não é bem compreendido
B. Os níveis de tolerância ao risco ainda não foram estabelecidos
C. Várias funções empresariais foram subcontratadas a fornecedores terceiros
D. A organização não possui dados históricos sobre eventos de segurança anteriores
Ver resposta
Resposta correta: B
Pergunta #258
É MAIS importante que a arquitetura da segurança da informação esteja alinhada com qual das seguintes opções?
A. Melhores práticas do sector
B. Planos de tecnologias da informação
C. Melhores práticas de segurança da informação
D. Objectivos e metas empresariais
Ver resposta
Resposta correta: D
Pergunta #259
Qual dos seguintes é o MAIOR risco do início de sessão único?
A. É um ponto único de falha para um processo de controlo de acesso empresarial
B. A falta de cuidado com a palavra-passe por parte de um utilizador pode tornar vulnerável toda a infraestrutura
C. A integração do início de sessão único com o resto da infraestrutura é complicada
D. Um administrador mantém as soluções de início de sessão único sem segregação de funções
Ver resposta
Resposta correta: A
Pergunta #260
Qual é a frequência adequada para atualizar os patches do sistema operativo (SO) nos servidores de produção?
A. Durante as implementações programadas de novas aplicações
B. De acordo com um calendário fixo de gestão de patches de segurança
C. Em simultâneo com a manutenção trimestral do hardware
D. Sempre que são lançados patches de segurança importantes
Ver resposta
Resposta correta: D
Pergunta #261
Qual das seguintes é a MELHOR abordagem para reduzir a duplicação desnecessária de actividades de conformidade?
A. Automatização dos controlos
B. Documentação dos procedimentos de controlo
C. Integração dos esforços de garantia
D. Normalização dos requisitos de conformidade
Ver resposta
Resposta correta: D
Pergunta #262
Qual dos seguintes deve ser o objetivo PRIMÁRIO de um gestor de segurança da informação ao conceber políticas de segurança da informação?
A. Reduzir o risco de segurança organizacional
B. Melhorar a proteção da informação
C. Minimizar o custo dos controlos de segurança
D. Atingir os objectivos organizacionais
Ver resposta
Resposta correta: D
Pergunta #263
Qual dos seguintes é o MELHOR método para determinar se existem novos riscos em aplicações antigas?
A. Avaliações de risco regularmente programadas
B. Análises automatizadas de vulnerabilidades
C. Testes de penetração efectuados por terceiros
D. Actualizações frequentes do registo de riscos
Ver resposta
Resposta correta: A
Pergunta #264
A MELHOR forma de informar a direção sobre a eficácia do programa de segurança da informação é apresentar:
A. um painel de controlo que ilustra os principais indicadores de desempenho
B. referências do sector com grupos de pares
C. um resumo das conclusões da auditoria mais recente
D. um relatório de poupanças de custos resultantes de melhorias de processos
Ver resposta
Resposta correta: A
Pergunta #265
O PRIMEIRO passo para estabelecer um programa de governação da segurança é:
A. efetuar uma avaliação dos riscos
B. realizar um workshop para todos os utilizadores finais
C. preparar um orçamento de segurança
D. obter um patrocínio de alto nível
Ver resposta
Resposta correta: D
Pergunta #266
Qual das seguintes opções garante que os dados de um ficheiro não foram alterados?
A. Inspecionar a data de modificação do ficheiro
B. Encriptar o ficheiro com encriptação simétrica
C. Utilizar um controlo de acesso rigoroso para impedir o acesso não autorizado
D. Criar um hash do ficheiro e, em seguida, comparar os hashes dos ficheiros
Ver resposta
Resposta correta: D
Pergunta #267
Qual das seguintes é a função PRIMÁRIA do gestor de segurança da informação no desenvolvimento de aplicações? Garantir:
A. são implementados controlos de segurança empresarial
B. Conformidade com as melhores práticas do sector
C. Os procedimentos de controlo abordam o risco empresarial
D. A segurança é integrada no ciclo de vida de desenvolvimento do sistema (SDLC)
Ver resposta
Resposta correta: A
Pergunta #268
Qual das seguintes métricas forneceria à gestão a informação MAIS útil sobre o progresso de um programa de sensibilização para a segurança?
A. Aumento do número de descarregamentos da política de segurança da organização
B. Aumento do número de incidentes de segurança registados
C. Taxa de conclusão da formação de sensibilização dos utilizadores em cada unidade de negócio
D. Diminuição do número de incidentes de segurança
Ver resposta
Resposta correta: D
Pergunta #269
Qual é o objetivo PRIMÁRIO da atribuição de classificações aos activos de informação?
A. Identificar os níveis de proteção adequados
B. Identificar os proprietários das empresas e os responsáveis pela custódia da informação
C. Demonstrar a conformidade com os requisitos regulamentares
D. Manter um inventário exato dos activos de TI
Ver resposta
Resposta correta: A
Pergunta #270
Ao implementar a segurança da informação em projectos de desenvolvimento de sistemas, qual das seguintes é a abordagem MAIS eficaz para um gestor de segurança da informação com recursos limitados?
A. Integrar um representante em projectos empresariais
B. Atribuição de recursos com base no impacto comercial
C. Apresentação dos requisitos de segurança durante o planeamento do projeto
D. Revisão dos requisitos de segurança antes do desenvolvimento
Ver resposta
Resposta correta: B
Pergunta #271
Qual das seguintes opções seria a MAIS útil para ajudar a direção a compreender o estado da conformidade da segurança da informação?
A. Referências do sector
B. Resultados da avaliação dos riscos
C. Resultados da análise de impacto nas empresas (BIA)
D. Indicadores-chave de desempenho (KPIs)
Ver resposta
Resposta correta: D
Pergunta #272
Qual das seguintes opções é a MAIS importante para uma estrutura eficaz de governação da segurança da informação?
A. Os membros da Direção estão empenhados no programa de segurança da informação
B. As políticas de segurança da informação são revistas regularmente
C. O programa de segurança da informação é continuamente monitorizado
D. O CIO é responsável pelo programa de segurança da informação
Ver resposta
Resposta correta: A
Pergunta #273
Qual das seguintes opções é a MAIS importante quando se efectua um exame forense de um computador portátil para determinar o envolvimento de um funcionário numa fraude?
A. O acesso do funcionário à rede deve ser suspenso
B. O computador portátil não deve ser retirado das instalações da empresa
C. Um representante dos RH deve estar presente durante o exame do computador portátil
D. A investigação deve ser efectuada numa imagem da unidade de disco original
Ver resposta
Resposta correta: D
Pergunta #274
Qual dos seguintes é o MELHOR indicador de que a formação de sensibilização para a segurança foi eficaz?
A. Os empregados assinam para reconhecer a política de segurança
B. Estão a ser comunicados mais incidentes
C. A maioria dos empregados completou a formação
D. Não foram registados quaisquer incidentes nos últimos três meses
Ver resposta
Resposta correta: B
Pergunta #275
Qual dos seguintes aspectos deve ter MAIS influência para um gestor de segurança da informação quando desenvolve políticas de segurança de TI?
A. Ameaças passadas e actuais
B. Quadro de segurança informática
C. Cumprimento da regulamentação
D. Estratégia empresarial
Ver resposta
Resposta correta: D
Pergunta #276
Um gestor de segurança da informação identificou e implementou controlos de atenuação de acordo com as melhores práticas da indústria. Qual dos seguintes é o MAIOR risco associado a esta abordagem?
A. O custo da implementação do controlo pode ser demasiado elevado
B. O programa de segurança pode não estar alinhado com os objectivos organizacionais
C. As medidas de atenuação podem não ser actualizadas em tempo útil
D. Os controlos de segurança importantes podem não ser efectuados sem o contributo da gestão de topo
Ver resposta
Resposta correta: B
Pergunta #277
Ao criar um plano de resposta a incidentes, o benefício PRIMÁRIO de estabelecer uma definição clara de um incidente de segurança é que isso ajuda a:
A. comunicar o processo de resposta a incidentes às partes interessadas
B. desenvolver procedimentos eficazes de escalonamento e resposta
C. tornar os testes de mesa mais eficazes
D. Equipar e formar adequadamente as equipas de resposta a incidentes
Ver resposta
Resposta correta: B
Pergunta #278
Qual das seguintes é a PRINCIPAL razão para efetuar uma avaliação de riscos numa base contínua?
A. A justificação do orçamento de segurança deve ser feita de forma contínua
B. Todos os dias são descobertas novas vulnerabilidades
C. O ambiente de risco está em constante mudança
D. A direção precisa de ser continuamente informada sobre os riscos emergentes
Ver resposta
Resposta correta: C
Pergunta #279
Qual das seguintes opções melhoraria a deteção de danos maliciosos resultantes de uma ameaça interna?
A. Lista de controlo de acesso
B. Encriptação
C. Formação de sensibilização para a fraude
D. Rotação de funções
Ver resposta
Resposta correta: D
Pergunta #280
Qual das seguintes opções é a MAIS importante para criar um programa de segurança da informação eficaz?
A. Arquitetura da segurança da informação para aumentar as actividades de monitorização
B. Apoio da direção à segurança da informação
C. Conteúdo relevante e oportuno incluído nos programas de sensibilização
D. Controlos de acesso lógico aos sistemas de informação
Ver resposta
Resposta correta: B
Pergunta #281
A MELHOR maneira de garantir que as políticas de segurança da informação são seguidas é:
A. Distribuir cópias impressas a todos os empregados
B. Efetuar revisões periódicas de conformidade
C. incluir sanções crescentes em caso de incumprimento
D. criar uma linha direta anónima para denunciar abusos de políticas
Ver resposta
Resposta correta: B
Pergunta #282
Quem deve ser responsável pela aplicação dos direitos de acesso aos dados da aplicação?
A. Proprietários dos dados
B. Proprietários de processos empresariais
C. O comité diretor de segurança
D. Administradores de segurança
Ver resposta
Resposta correta: D
Pergunta #283
Qual dos seguintes métodos de autenticação impede a repetição da autenticação?
A. Implementação do hash da palavra-passe
B. Mecanismo de desafio/resposta
C. Utilização da encriptação WEP (Wired Equivalent Privacy)
D. Autenticação básica HTTP
Ver resposta
Resposta correta: B
Pergunta #284
Uma pequena organização tem um contrato com um fornecedor multinacional de computação em nuvem. Qual das seguintes opções apresentaria a MAIOR preocupação para um gestor de segurança da informação se fosse omitida no contrato?
A. Autoridade do assinante para aprovar o acesso aos seus dados
B. Direito do assinante de efetuar auditorias no local ao vendedor
C. Garantia do código de software com condições de libertação do código
D. Mistura de dados de assinantes no mesmo servidor físico
Ver resposta
Resposta correta: D
Pergunta #285
Uma preocupação comum com aplicações Web mal escritas é o facto de poderem permitir a um atacante:
A. ganhar controlo através de um buffer overflow
B. realizar um ataque distribuído de negação de serviço (DoS)
C. abusar de uma condição de corrida
D. injetar instruções de linguagem de consulta estruturada (SQL)
Ver resposta
Resposta correta: D
Pergunta #286
As decisões de gestão relativas aos investimentos em segurança da informação serão MAIS eficazes quando se basearem em:
A. uma expetativa de perda anual (ALE) determinada a partir do histórico de eventos de segurança
B. a aceitação formalizada da análise de risco pela gerência
C. a comunicação de avaliações consistentes e periódicas dos riscos
D. um processo para identificar e analisar ameaças e vulnerabilidades
Ver resposta
Resposta correta: C
Pergunta #287
A reavaliação do risco é MAIS crítica quando existe:
A. uma mudança na política de segurança
B. resistência à implementação de controlos de atenuação
C. uma mudança no cenário de ameaças
D. um pedido de gestão para relatórios de segurança actualizados
Ver resposta
Resposta correta: C
Pergunta #288
Uma análise de impacto comercial (BIA) é a MELHOR ferramenta para calcular:
A. custo total de propriedade
B. prioridade do restauro
C. Expectativa de perda anualizada (ALE)
D. risco residual
Ver resposta
Resposta correta: B
Pergunta #289
Qual das seguintes características é MAIS importante quando se analisam os potenciais candidatos ao cargo de diretor de segurança da informação (CISO)?
A. Conhecimento das plataformas informáticas, das redes e das metodologias de desenvolvimento
B. Capacidade de compreender e mapear as necessidades organizacionais para as tecnologias de segurança
C. Conhecimento do ambiente regulamentar e das técnicas de gestão de projectos
D. Capacidade de gerir um grupo diversificado de indivíduos e recursos numa organização
Ver resposta
Resposta correta: B
Pergunta #290
Depois de implementar uma estrutura de governação da segurança da informação, qual das seguintes opções forneceria as MELHORES informações para desenvolver um plano de projeto de segurança da informação?
A. Mapa de calor dos riscos
B. Resultados de auditorias recentes
C. Balanced scorecard
D. Análise das lacunas
Ver resposta
Resposta correta: C
Pergunta #291
Ao efetuar uma avaliação de risco, a consideração MAIS importante é que:
A. A gestão apoia os esforços de mitigação de riscos
B. As expectativas de perdas anuais (ALE) foram calculadas para os activos críticos
C. Os activos foram identificados e adequadamente avaliados
D. compreender os motivos, os meios e as oportunidades do ataque
Ver resposta
Resposta correta: C
Pergunta #292
Qual das seguintes é a MELHOR razão para iniciar uma reavaliação do risco atual?
A. Seguimento de um relatório de auditoria
B. Um incidente de segurança recente
C. Requisitos de certificação
D. Alterações no pessoal de segurança
Ver resposta
Resposta correta: B
Pergunta #293
Qual das seguintes opções tem o maior impacto direto na usabilidade do programa de classificação de activos de uma organização?
A. A granularidade das classificações na hierarquia
B. A frequência das actualizações do registo de riscos da organização
C. Os objectivos comerciais da organização
D. O apoio dos quadros superiores ao sistema de classificação
Ver resposta
Resposta correta: A
Pergunta #294
Qual das seguintes opções MELHOR protegeria os dados confidenciais de uma organização armazenados num computador portátil contra o acesso não autorizado?
A. Autenticação forte por palavra-passe
B. Discos rígidos encriptados
C. Procedimentos de autenticação multifactor
D. Cópia de segurança de dados baseada em rede
Ver resposta
Resposta correta: B
Pergunta #295
Qual das seguintes opções é o resultado MAIS importante da análise de vulnerabilidades?
A. Priorização dos riscos
B. Informações sobre os passos necessários para piratear o sistema
C. Identificação das portas traseiras
D. Verificação de que os sistemas estão corretamente configurados
Ver resposta
Resposta correta: D
Pergunta #296
Uma organização planeia permitir que os funcionários utilizem os seus próprios dispositivos na rede da organização. Qual das seguintes opções é a MELHOR linha de ação do gestor de segurança da informação?
A. Implementar software automatizado
B. Avaliar o risco associado
C. Realizar acções de formação de sensibilização
D. Atualizar a política de segurança
Ver resposta
Resposta correta: B
Pergunta #297
Quais seriam os riscos de segurança MAIS significativos quando se utiliza a tecnologia de rede local sem fios (LAN)?
A. Ataque "man-in-the-middle
B. Falsificação de pacotes de dados
C. Ponto de acesso não autorizado
D. Sequestro de sessão
Ver resposta
Resposta correta: C
Pergunta #298
A utilização segura de uma aplicação de comércio eletrónico pelo cliente pode ser realizada da melhor forma possível:
A. encriptação de dados
B. assinaturas digitais
C. palavras-passe fortes
D. autenticação de dois factores
Ver resposta
Resposta correta: A
Pergunta #299
Qual das seguintes opções descreve MELHOR um estouro de buffer?
A. Um programa contém uma função oculta e não intencional que apresenta um risco de segurança
B. Um tipo de canal secreto que capta dados
C. Código malicioso concebido para interferir com as operações normais
D. Uma função é executada com mais dados do que a função pode tratar
Ver resposta
Resposta correta: D
Pergunta #300
Qual das seguintes opções representa a MAIOR ameaça à segurança de um sistema de planeamento de recursos empresariais (ERP)?
A. Os relatórios ad hoc do utilizador não são registados
B. O tráfego de rede passa por um único comutador
C. Os patches de segurança do sistema operativo (SO) não foram aplicados
D. A segurança da base de dados é predefinida para as definições do ERP
Ver resposta
Resposta correta: C
Pergunta #301
Ao integrar os requisitos de segurança da informação no desenvolvimento de software, qual das seguintes práticas deve ser a PRIMEIRA no ciclo de vida do desenvolvimento?
A. Testes de penetração
B. Análise dinâmica do código
C. Modelação de ameaças
D. Revisão do código-fonte
Ver resposta
Resposta correta: C
Pergunta #302
Qual das seguintes é a razão MAIS importante pela qual devem ser definidos objectivos de segurança da informação?
A. Instrumento de medição da eficácia
B. Compreensão geral dos objectivos
C. Coerência com as normas aplicáveis
D. Iniciativas de aprovação e apoio da direção
Ver resposta
Resposta correta: A
Pergunta #303
A estratégia de segurança da informação de uma organização para o próximo ano enfatiza a redução do risco de ransomware. Qual das seguintes opções seria MAIS útil para apoiar esta estratégia?
A. Prestar formação relevante a todo o pessoal
B. Criar um plano de testes de penetração
C. Efetuar uma análise das lacunas de controlo
D. Reforçar os controlos de segurança para o ambiente de TI
Ver resposta
Resposta correta: A
Pergunta #304
Durante o estabelecimento de um acordo de nível de serviço (SLA) com um fornecedor de serviços na nuvem, é MUITO importante que o gestor da segurança da informação
A. atualizar a política de segurança para refletir os termos de serviço do fornecedor
B. garantir que os requisitos de segurança sejam contratualmente aplicáveis
C. estabelecer vias de comunicação adequadas com o fornecedor
D. compreender a arquitetura de armazenamento em nuvem utilizada para determinar o risco de segurança
Ver resposta
Resposta correta: B
Pergunta #305
Qual das seguintes opções melhorará a prevenção de ataques externos à segurança?
A. Endereçamento IP estático
B. Tradução de endereços de rede
C. Controlo dos antecedentes dos trabalhadores temporários
D. Proteger e analisar os registos de acesso ao sistema
Ver resposta
Resposta correta: B
Pergunta #306
Um gestor de segurança da informação está a preparar uma apresentação para obter apoio para uma iniciativa de segurança. Qual das seguintes opções seria a MELHOR forma de obter o compromisso da direção para com a iniciativa?
A. Incluir dados históricos dos incidentes comunicados
B. Fornecer o retorno estimado do investimento
C. Fornecer uma análise das actuais exposições ao risco
D. Incluir comparações de benchmarking do sector
Ver resposta
Resposta correta: C
Pergunta #307
O planeamento da implementação de um programa de segurança da informação é MAIS eficaz quando:
A. utiliza árvores de decisão para dar prioridade a projectos de segurança
B. aplica a análise de lacunas aos planos comerciais actuais e futuros
C. utiliza a análise baseada no risco para projectos de segurança
D. aplica soluções tecnológicas às necessidades identificadas
Ver resposta
Resposta correta: C
Pergunta #308
Uma organização de segurança da informação deve PRIMARIAMENTE:
A. Apoiar os objectivos comerciais da empresa, prestando serviços de apoio relacionados com a segurança
B. Ser responsável por definir e documentar as responsabilidades dos membros da equipa de segurança da informação em matéria de segurança da informação
C. assegurar que as políticas de segurança da informação da empresa estão em conformidade com as melhores práticas e normas mundiais
D. garantir que as expectativas de segurança da informação sejam transmitidas aos funcionários
Ver resposta
Resposta correta: A
Pergunta #309
Para garantir que os sistemas de processamento de salários continuam a funcionar na eventualidade de um furacão atingir um centro de dados, qual seria o passo crucial que um gestor de segurança da informação tomaria para garantir o planeamento da continuidade da atividade?
A. Realização de uma análise de risco qualitativa e quantitativa
B. Atribuição de valor aos activos
C. Ponderar o custo da implementação do plano versus a perda financeira
D. Realização de uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: D
Pergunta #310
A organização decidiu subcontratar a maior parte do departamento de TI a um fornecedor que aloja servidores num país estrangeiro. Das seguintes opções, qual é a consideração de segurança MAIS crítica?
A. As leis e regulamentos do país de origem podem não ser aplicáveis no país estrangeiro
B. A notificação de uma violação de segurança pode sofrer atrasos devido à diferença horária
C. Devem ser instalados sensores adicionais de deteção de intrusão na rede, o que implica um custo adicional
D. A empresa pode perder o controlo físico do servidor e não conseguir monitorizar a postura de segurança física dos servidores
Ver resposta
Resposta correta: A
Pergunta #311
Quais são os dois componentes que PRIMARIAMENTE devem ser avaliados numa análise de risco eficaz?
A. Visibilidade e duração
B. Probabilidade e impacto
C. Probabilidade e frequência
D. Impacto financeiro e duração
Ver resposta
Resposta correta: B
Pergunta #312
O risco previamente aceite deve ser:
A. reavaliado periodicamente, uma vez que o risco pode aumentar para um nível inaceitável devido à revisão das condições
B. aceite permanentemente, uma vez que a gestão já gastou recursos (tempo e trabalho) para concluir que o nível de risco é aceitável
C. evitado da próxima vez, uma vez que a prevenção de riscos proporciona a melhor proteção para a empresa
D. removido do registo de riscos depois de ser aceite
Ver resposta
Resposta correta: A
Pergunta #313
Qual das seguintes é a MELHOR maneira de um gestor de segurança da informação justificar o investimento contínuo no programa de segurança da informação quando a organização está a enfrentar cortes orçamentais significativos?
A. Demonstrar que o programa permite actividades comerciais
B. Demonstrar um aumento dos ataques de ransomware dirigidos a organizações congéneres
C. Demonstrar que os controlos do programa implementados são eficazes
D. Demonstrar a prontidão dos planos de continuidade das actividades
Ver resposta
Resposta correta: A
Pergunta #314
Qual das seguintes opções deve ser feita PRIMEIRO ao estabelecer um novo programa de proteção de dados que deve cumprir os regulamentos de privacidade de dados aplicáveis?
A. Criar um inventário dos sistemas onde são armazenados dados pessoais
B. Encriptar todos os dados pessoais armazenados em sistemas e redes
C. Avaliar as tecnologias de privacidade necessárias para a proteção de dados
D. Atualizar os processos disciplinares para fazer face às violações da privacidade
Ver resposta
Resposta correta: C
Pergunta #315
A avaliação de riscos é MAIS eficaz quando é efectuada:
A. No início do desenvolvimento do programa de segurança
B. de forma contínua
C. enquanto desenvolve o caso de negócios para o programa de segurança
D. durante o processo de mudança de negócio
Ver resposta
Resposta correta: B
Pergunta #316
Uma das principais vantagens de envolver a gestão empresarial na avaliação e gestão dos riscos de segurança da informação é que
A. compreender melhor os riscos organizacionais
B. consegue equilibrar os riscos técnicos e comerciais
C. são mais objectivas do que a gestão da segurança
D. compreender melhor a arquitetura de segurança
Ver resposta
Resposta correta: B
Pergunta #317
Os programas de sensibilização para a segurança da informação são MAIS eficazes quando são:
A. personalizados para cada público-alvo
B. patrocinado pela direção
C. reforçada por uma formação baseada em computador
D. realizado na orientação dos empregados
Ver resposta
Resposta correta: A
Pergunta #318
Qual das seguintes opções é o PRIMEIRO passo no desenvolvimento de um plano de recuperação de desastres (DRP)?
A. Efetuar uma análise de impacto comercial (BIA)
B. Identificar potenciais prestadores de serviços a terceiros
C. Definir um objetivo de tempo de recuperação (RTO)
D. Definir um objetivo de ponto de recuperação (RPO)
Ver resposta
Resposta correta: A
Pergunta #319
Uma organização teve recentemente acesso não autorizado a dispositivos na sua rede. Para gerir proactivamente o problema e mitigar este risco, o MELHOR controlo preventivo seria
A. manter um inventário dos endereços de rede e de hardware de todos os sistemas ligados à rede
B. Instalar uma firewall de inspeção com estado para impedir o tráfego de rede não autorizado
C. implementar a autenticação e o início de sessão a nível da rede para regular o acesso dos dispositivos à rede
D. implementar uma ferramenta automatizada de descoberta de inventário de activos para identificar os dispositivos que acedem à rede
Ver resposta
Resposta correta: C
Pergunta #320
Qual é a MELHOR política para proteger dados em unidades USB (Universal Serial Bus) móveis?
A. Autenticação
B. Encriptação
C. Proibir os funcionários de copiarem dados para dispositivos USB
D. Limitar a utilização de dispositivos USB
Ver resposta
Resposta correta: B
Pergunta #321
Qual das seguintes opções um gestor de segurança estabeleceria para determinar o objetivo da restauração do processamento normal?
A. Objetivo do tempo de recuperação (RTO)
B. Interrupção máxima tolerável (MTO)
C. Objectivos do ponto de recuperação (RPO)
D. Objectivos de prestação de serviços (OPS)
Ver resposta
Resposta correta: A
Pergunta #322
Qual das seguintes opções deve ser a consideração MAIS importante ao implementar uma estrutura de segurança da informação?
A. Requisitos de conformidade
B. Constatações de auditoria
C. Apetência pelo risco
D. Capacidades técnicas
Ver resposta
Resposta correta: A
Pergunta #323
Qual das seguintes opções é a MAIS importante a analisar quando se prepara para externalizar um repositório de dados para uma solução baseada na nuvem?
A. Plano de recuperação de desastres
B. Gestão da identidade e do acesso
C. Política de segurança da informação do fornecedor
D. Uma avaliação dos riscos
Ver resposta
Resposta correta: C
Pergunta #324
É importante classificar e determinar a sensibilidade relativa dos activos para garantir que:
A. O custo da proteção é proporcional à sensibilidade
B. os activos altamente sensíveis são protegidos
C. O custo dos controlos é minimizado
D. As contramedidas são proporcionais ao risco
Ver resposta
Resposta correta: D
Pergunta #325
Uma organização pretende ativar a análise forense digital para uma aplicação crítica para a empresa. Qual das seguintes opções ajudará MELHOR a apoiar este objetivo?
A. Instalar um controlo de acesso biométrico
B. Desenvolver um plano de resposta a incidentes
C. Definir critérios de retenção de dados
D. Ativar o registo de actividades
Ver resposta
Resposta correta: D
Pergunta #326
Quem deve conduzir a análise de risco de uma organização?
A. Quadros superiores
B. Gestor de segurança
C. Gestor da qualidade
D. Departamento jurídico
Ver resposta
Resposta correta: B
Pergunta #327
Qual das seguintes opções seria MAIS útil para o gestor de segurança da informação encarregado de aplicar normas melhoradas de palavras-passe?
A. Realização de testes de força da palavra-passe
B. Reeducar os utilizadores finais sobre a criação de palavras-passe complexas e fortes
C. Implementação de um sistema centralizado de gestão da identidade
D. Implementação de controlos técnicos de palavras-passe para incluir uma forte complexidade
Ver resposta
Resposta correta: C
Pergunta #328
A razão PRIMÁRIA para classificar os activos é a seguinte
A. equilibrar o valor dos activos e as medidas de proteção
B. identificar activos de baixo valor com controlos insuficientes
C. Estabelecer linhas claras de autoridade e propriedade para o ativo
D. informar a gestão de topo sobre a postura de risco da organização
Ver resposta
Resposta correta: A
Pergunta #329
Qual das seguintes é a MELHOR abordagem para um gestor de segurança da informação gerir eficazmente o risco de terceiros?
A. Assegurar a implementação de controlos para fazer face a alterações no risco
B. Assegurar que a direção tenha aprovado a relação com o fornecedor
C. Assegurar que os esforços de gestão do risco são proporcionais à exposição ao risco
D. Garantir que os controlos de governação do fornecedor estão em vigor
Ver resposta
Resposta correta: D
Pergunta #330
Ao subcontratar o desenvolvimento de aplicações a terceiros, qual das seguintes é a MELHOR forma de garantir que os requisitos de segurança da organização são cumpridos?
A. Incluir no contrato o direito de efetuar auditorias ao ciclo de vida de desenvolvimento do sistema
B. Fornecer formação em codificação segura de aplicações ao pessoal de terceiros
C. Efetuar testes de segurança independentes das aplicações desenvolvidas
D. Exigir que o fornecedor terceiro documente a sua metodologia de segurança
Ver resposta
Resposta correta: C
Pergunta #331
O objetivo PRIMÁRIO de um grupo diretor de segurança é o seguinte
A. garantir que a segurança da informação abrange todas as funções empresariais
B. garantir que a segurança da informação está alinhada com os objectivos comerciais
C. aumentar a sensibilização para a segurança da informação em toda a organização
D. implementar todas as decisões sobre a gestão da segurança em toda a organização
Ver resposta
Resposta correta: B
Pergunta #332
Ao redigir a declaração de privacidade da empresa para um sítio Web público, qual das seguintes opções DEVE ser incluída?
A. Requisitos de controlo do acesso
B. Cláusula de responsabilidade limitada
C. Requisitos de cifragem da informação
D. de utilização da informação
Ver resposta
Resposta correta: C
Pergunta #333
O objetivo PRIMÁRIO da implementação de métricas de governação da segurança da informação é
A. medir o alinhamento com as melhores práticas
B. Avaliar os indicadores operacionais e do programa
C. Aperfeiçoar as operações de controlo,
D. orientar a segurança para o estado desejado
Ver resposta
Resposta correta: D
Pergunta #334
Numa análise de impacto comercial, o valor de um sistema de informação deve basear-se no custo global:
A. de recuperação
B. recriar
C. se não estiver disponível
D. das operações de emergência
Ver resposta
Resposta correta: C
Pergunta #335
Uma organização multinacional pretende garantir que o seu programa de privacidade aborda adequadamente o risco de privacidade em todas as suas operações. Qual das seguintes opções seria a MAIS preocupante para a direção?
A. A organização utiliza uma estrutura descentralizada de governação da privacidade
B. As políticas de privacidade são revistas apenas anualmente
C. A organização não tem um responsável pela proteção da privacidade
D. O programa de privacidade não inclui uma componente de formação formal
Ver resposta
Resposta correta: D
Pergunta #336
Qual das seguintes opções é a MAIS importante para um gestor de segurança da informação garantir que é incluída numa justificação comercial para um novo sistema de segurança?
A. Eficácia dos controlos
B. Redução dos riscos associados ao sistema
C. Capacidades de registo de auditoria
D. Resultados da avaliação comparativa
Ver resposta
Resposta correta: B
Pergunta #337
Qual dos seguintes dispositivos, quando colocados numa zona desmilitarizada (DMZ), seria considerado uma exposição significativa?
A. Servidor de autenticação
B. Servidor Web
C. Servidor proxy
D. Servidor de deteção de intrusões
Ver resposta
Resposta correta: A
Pergunta #338
O benefício PRIMÁRIO da realização de uma classificação de activos de informação é
A. associar os requisitos de segurança aos objectivos comerciais
B. identificar controlos proporcionais ao risco
C. definir direitos de acesso
D. estabelecer a propriedade
Ver resposta
Resposta correta: B
Pergunta #339
Para proteger uma rede contra conexões externas não autorizadas aos sistemas corporativos, o gerente de segurança da informação deve implementar o BEST:
A. uma autenticação forte
B. Filtragem IP antispoofing
C. Protocolo de encriptação de rede
D. listas de acesso de dispositivos fiáveis
Ver resposta
Resposta correta: A
Pergunta #340
O que é MAIS importante identificar ao desenvolver uma estratégia eficaz de segurança da informação?
A. Activos da empresa a garantir
B. Potenciais poupanças resultantes da governação da segurança
C. Requisitos de conformidade
D. Lacunas de controlo que exigem correção
Ver resposta
Resposta correta: A
Pergunta #341
Qual das seguintes opções deve um gestor de segurança da informação fazer PRIMEIRO depois de tomar conhecimento de um novo regulamento que afecta a organização?
A. Avaliar as alterações com aconselhamento jurídico
B. Notificar as unidades de negócio afectadas
C. Avaliar o risco de incumprimento
D. Informar os quadros superiores sobre o novo regulamento
Ver resposta
Resposta correta: A
Pergunta #342
Deve ser efectuada uma avaliação dos riscos:
A. Uma vez por ano para cada processo e subprocesso empresarial
B. de três em três ou de seis em seis meses para os processos empresariais críticos
C. por entidades externas para manter a objetividade
D. anualmente ou sempre que se registe uma alteração significativa
Ver resposta
Resposta correta: D
Pergunta #343
Qual das seguintes características de segurança é MAIS importante para a proteção dos dados dos clientes num sistema de transacções em linha?
A. Disponibilidade
B. Separação de dados
C. Controlo das auditorias
D. Autenticação
Ver resposta
Resposta correta: D
Pergunta #344
Um prestador de serviços subcontratado tem de tratar informações sensíveis de clientes. Qual das seguintes opções é a MAIS importante para um gestor de segurança da informação?
A. Segurança no armazenamento e transmissão de dados sensíveis
B. Nível de conformidade do prestador de serviços com as normas do sector
C. Tecnologias de segurança existentes na instalação
D. Resultados da última análise de segurança independente
Ver resposta
Resposta correta: A
Pergunta #345
Para garantir a separação de tarefas, qual das seguintes actividades é MELHOR executada por alguém que não seja o administrador do sistema?
A. Eliminar os registos do sistema
B. Utilizar os utilitários do sistema
C. Controlo da utilização do sistema
D. Definição dos procedimentos de recuperação do sistema
Ver resposta
Resposta correta: A
Pergunta #346
Qual das seguintes opções é a MAIS importante ao selecionar um centro de operações de segurança de terceiros?
A. Cláusulas de indemnização
B. Avaliação dos controlos independentes
C. Planos de resposta a incidentes
D. Planos de continuidade das actividades
Ver resposta
Resposta correta: B
Pergunta #347
A fim de realçar à direção a importância de integrar a segurança da informação nos processos empresariais, um responsável pela segurança da informação recém-contratado deve FIRST:
A. preparar um orçamento de segurança
B. efetuar uma avaliação dos riscos
C. desenvolver uma política de segurança da informação
D. obter informações de benchmarking
Ver resposta
Resposta correta: B
Pergunta #348
Qual dos seguintes dispositivos deve ser colocado numa DMZ?
A. Servidor proxy
B. Servidor de aplicações
C. Servidor departamental
D. Servidor de armazém de dados
Ver resposta
Resposta correta: B
Pergunta #349
Uma organização com um programa de resposta a incidentes maduro realiza revisões pós-incidente para todos os principais incidentes de segurança da informação. O objetivo PRIMÁRIO destas análises deve ser:
A. documentar e comunicar a causa principal dos incidentes à direção
B. identificar as lacunas do programa de segurança ou as deficiências sistémicas que devem ser corrigidas
C. preparar notificações devidamente avaliadas sobre os incidentes para as partes externas
D. identificar quem deve ser responsabilizado pelos incidentes de segurança
Ver resposta
Resposta correta: A
Pergunta #350
A MELHOR altura para efetuar um teste de penetração é depois:
A. ocorreu uma tentativa de penetração
B. uma auditoria comunicou deficiências nos controlos de segurança
C. são efectuadas várias alterações às infra-estruturas
D. uma elevada rotação do pessoal dos sistemas
Ver resposta
Resposta correta: C
Pergunta #351
Qual das seguintes opções deve ser a MAIS preocupante para um gestor de segurança da informação que está a analisar o programa de classificação de dados de uma organização?
A. O programa permite a concessão de excepções
B. A rotulagem não é consistente em toda a organização
C. Os requisitos de conservação de dados não estão definidos
D. As classificações não seguem as melhores práticas do sector
Ver resposta
Resposta correta: B
Pergunta #352
Qual dos seguintes grupos estaria na MELHOR posição para efetuar uma análise de risco para uma empresa?
A. Auditores externos
B. Um grupo de pares numa empresa semelhante
C. Proprietários do processo
D. Um consultor de gestão especializado
Ver resposta
Resposta correta: C
Pergunta #353
Os requisitos de acesso aos dados para uma aplicação devem ser determinados pelo:
A. departamento jurídico
B. Responsável pela conformidade
C. Gestor da segurança da informação
D. proprietário de uma empresa
Ver resposta
Resposta correta: D
Pergunta #354
Qual das seguintes opções MELHOR forneceria às partes interessadas informações para determinar a resposta adequada a uma catástrofe?
A. Avaliação dos riscos
B. Avaliação da vulnerabilidade
C. Análise do impacto nas empresas
D. Análise SWOT
Ver resposta
Resposta correta: C
Pergunta #355
O carácter crítico e sensível dos activos de informação é determinado com base nos seguintes elementos
A. Avaliação da ameaça
B. Avaliação da vulnerabilidade
C. avaliação da dependência de recursos
D. Avaliação do impacto
Ver resposta
Resposta correta: D
Pergunta #356
O fator MAIS importante para garantir o sucesso de um programa de segurança da informação é a eficácia:
A. Comunicação dos requisitos de segurança da informação a todos os utilizadores da organização
B. Formulação de políticas e procedimentos para a segurança da informação
C. alinhamento com as metas e objectivos organizacionais
D. Controlo da conformidade com as políticas e procedimentos de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #357
Qual das seguintes é a MELHOR forma de aumentar a visibilidade da segurança da informação na cultura de uma organização?
A. Exigir formação multifuncional em matéria de segurança da informação
B. Implementar campanhas de sensibilização dos utilizadores para toda a empresa
C. Publicar uma política de utilização aceitável
D. Estabelecer políticas de segurança baseadas em normas da indústria
Ver resposta
Resposta correta: A
Pergunta #358
Uma organização está preocupada com o risco de fuga de informações causada pela utilização incorrecta de dispositivos inteligentes pessoais por parte dos funcionários. Qual é a MELHOR forma de o gestor de segurança da informação mitigar o risco associado?
A. Exigir que os funcionários assinem um acordo de não divulgação (NDA)
B. Implementar uma solução de gestão de dispositivos móveis (MDM)
C. Documentar uma política de trazer o seu próprio dispositivo (BYOD)
Ver resposta
Resposta correta: B
Pergunta #359
As avaliações de ameaças e vulnerabilidades são importantes PRINCIPALMENTE porque o são:
A. necessário para estimar o risco
B. a base para a definição dos objectivos de controlo
C. elementos da postura de segurança da organização
D. utilizado para estabelecer investimentos em segurança
Ver resposta
Resposta correta: A
Pergunta #360
Qual das seguintes é a métrica MAIS relevante a incluir num relatório trimestral de segurança da informação para o comité executivo?
A. Relatório de tendências dos servidores conformes com a segurança
B. Percentagem de servidores conformes com a segurança
C. Número de correcções de segurança aplicadas
D. Relatório de tendências de patches de segurança aplicados
Ver resposta
Resposta correta: A

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.