NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Melhore o seu desempenho no exame ISACA CRISC com testes de simulação realistas

A obtenção da certificação CRISC (Certified in Risk and Information Systems Control) é um ativo valioso para os profissionais de gestão de riscos. A preparação para o exame CRISC pode ser uma tarefa assustadora, mas com os materiais de estudo e recursos de exame correctos, pode aumentar as suas hipóteses de passar com sucesso. A SPOTO oferece uma coleção abrangente de perguntas e respostas para o exame CRISC, perguntas de teste, exames simulados e recursos de preparação para o exame adaptados aos objectivos do exame CRISC. Estes recursos foram concebidos para simular o ambiente real do exame, proporcionando-lhe uma experiência realista e aumentando a sua confiança. Com as perguntas do exame CRISC da SPOTO, pode identificar as áreas em que precisa de mais estudo e prática, garantindo que possui os conhecimentos e as competências necessárias para melhorar a resiliência empresarial da sua empresa, fornecer valor aos intervenientes e otimizar a gestão de riscos em toda a empresa. Aproveitando estes recursos de exame e praticando com exames simulados, pode preparar-se eficazmente e aumentar as suas hipóteses de passar com êxito no exame de certificação CRISC.
Faça outros exames online
Pergunta #1
Uma organização está a considerar a possibilidade de externalizar os controlos de administração de utilizadores para um sistema crítico. O potencial fornecedor ofereceu-se para efetuar auto-auditorias trimestrais dos seus controlos, em vez de realizar auditorias anuais independentes. Qual das seguintes situações deve ser a que mais preocupa o profissional de risco?
A. O fornecedor não alcançará as melhores práticas
B. O fornecedor não garantirá contra falhas de controlo
C. Os controlos podem não ser devidamente testados
D. Falta de uma abordagem baseada no risco para o controlo do acesso
Ver resposta
Resposta correta: B
Pergunta #2
Você é o gestor de projeto da sua empresa. Identificou a ocorrência de um evento de risco na sua empresa. Planeou previamente as respostas aos riscos. Monitorizou os riscos que ocorreram. Qual é o passo imediato após este processo de monitorização que tem de ser seguido em resposta a eventos de risco?
A. Probabilidade de atingir as estimativas de tempo e custo
B. Lista prioritária de riscos
C. Lista de vigilância dos riscos de baixa prioridade
D. Riscos agrupados por categorias
Ver resposta
Resposta correta: A
Pergunta #3
Qual das seguintes é uma componente essencial de um ambiente de controlo interno sólido?
A. RMIS
B. Segregação de funções
C. Controlo manual
D. Ferramentas automatizadas
Ver resposta
Resposta correta: B
Pergunta #4
Qual dos seguintes é o indicador-chave de desempenho (KPI) MAIS eficaz para a gestão da mudança?
A. Percentagem de alterações bem sucedidas
B. Número de alterações implementadas
C. Percentagem de alterações com um plano de recurso
D. Tempo médio necessário para implementar uma mudança
Ver resposta
Resposta correta: A
Pergunta #5
Qual das seguintes situações poderia levar a alterações nos limiares dos indicadores-chave de risco (KRI)?
A. Alterações na apetência ou tolerância ao risco
B. Alteração das categorias de risco
C. Conhecimento das ameaças novas e emergentes
D. Alterações ao registo de riscos
Ver resposta
Resposta correta: A
Pergunta #6
O objetivo PRIMÁRIO da seleção das opções de resposta ao risco é
A. inimizar o risco residual
B. eduzir os factores de risco
C. eduzir o risco para um nível aceitável
D. dentificar controlos de compensação
Ver resposta
Resposta correta: C
Pergunta #7
Ao desenvolver cenários de risco de TI, é CRÍTICO envolver:
A. Proprietários de processos
B. Gestores de TI
C. auditores internos
D. Direção de topo
Ver resposta
Resposta correta: B
Pergunta #8
O objetivo de exigir o depósito de código-fonte num acordo contratual é
A. arantir que o código-fonte esteja disponível se o fornecedor deixar de existir
B. arantir que o código-fonte está disponível quando ocorrem erros
C. ever o código-fonte para verificar a adequação dos controlos
D. arantir que o código fonte é válido e existe
Ver resposta
Resposta correta: A
Pergunta #9
Qual das seguintes opções representa a falta de controlos adequados?
A. Vulnerabilidade
B. Ameaça
C. tivo
D. Impacto
Ver resposta
Resposta correta: A
Pergunta #10
É o responsável pelo risco na Techmart Inc.. É-lhe pedido que efectue uma avaliação do risco sobre o impacto da perda de um servidor. Para esta avaliação, precisa de calcular o valor monetário do servidor. Em qual das seguintes bases calcula o valor monetário?
A. Custo para obter a substituição
B. Custo original de aquisição
C. Expectativa de perda anual
D. Custo do software armazenado
Ver resposta
Resposta correta: A
Pergunta #11
Qual das seguintes opções é a MAIS importante para manter a eficácia de um registo de riscos de TI?
A. Registar e acompanhar o estado dos planos de resposta aos riscos no âmbito do registo
B. Comunicar o registo às principais partes interessadas
C. Efetuar revisões e actualizações regulares do registo
D. Remoção de entradas do registo depois de o risco ter sido tratado
Ver resposta
Resposta correta: C
Pergunta #12
Qual dos seguintes controlos é um exemplo de controlo não técnico?
A. Controlo de acesso
B. Segurança física
C. Sistema de deteção de intrusões
D. Encriptação
Ver resposta
Resposta correta: B
Pergunta #13
Qual das seguintes é a utilização MAIS importante dos KRIs?
A. Fornecer uma visão retrospetiva dos eventos de risco que ocorreram
B. Fornecer um sinal de alerta precoce
C. Fornecer uma indicação da apetência e tolerância ao risco da empresa
D. Permitir a documentação e a análise das tendências
Ver resposta
Resposta correta: B
Pergunta #14
Do ponto de vista da gestão do risco, o objetivo PRIMÁRIO da utilização de modelos de maturidade é permitir
A. ntrega de soluções
B. linhamento estratégico
C. tilização de recursos
D. Avaliação do desempenho
Ver resposta
Resposta correta: D
Pergunta #15
Qual das seguintes opções seria a MAIS útil para compreender o impacto de um novo sistema tecnológico no atual perfil de risco de uma organização?
A. Efetuar uma análise das lacunas
B. ever os controlos de atenuação do risco existentes
C. Efetuar uma avaliação dos riscos
D. Contratar consultores especializados na nova tecnologia
Ver resposta
Resposta correta: D
Pergunta #16
Qual das seguintes opções NÃO é utilizada para medir os factores críticos de sucesso do projeto?
A. Produtividade
B. Qualidade
C. uantidade
D. Serviço ao cliente
Ver resposta
Resposta correta: C
Pergunta #17
Uma função PRIMÁRIA do registo do risco é fornecer informações de apoio ao desenvolvimento do risco de uma organização:
A. apa
B. rocesso
C. erfil
D. stratégia D
Ver resposta
Resposta correta: C
Pergunta #18
A forma MAIS eficaz de aumentar a probabilidade de as respostas aos riscos serem implementadas é
A. nalisar os relatórios de progresso
B. riar um plano de ação
C. fetuar auditorias regulares
D. tribuir a propriedade
Ver resposta
Resposta correta: D
Pergunta #19
Uma unidade empresarial está a atualizar um registo de riscos com os resultados da avaliação de um projeto-chave. Qual das seguintes opções é a MAIS importante a incluir no registo?
A. Planos de ação para fazer face a cenários de risco que exijam tratamento
B. A equipa que realizou a avaliação dos riscos
C. Um gestor de riscos designado para efetuar a supervisão
D. A metodologia utilizada para efetuar a avaliação dos riscos
Ver resposta
Resposta correta: D
Pergunta #20
A administração de TI solicitou uma visão consolidada do perfil de risco da organização para permitir a priorização de projetos e a alocação de recursos. Qual dos seguintes materiais seria MAIS útil?
A. Lista dos principais indicadores de risco
B. Relatórios de auditoria interna
C. Registo dos riscos informáticos
D. Lista dos projectos aprovados
Ver resposta
Resposta correta: C
Pergunta #21
Qual das seguintes é a razão PRINCIPAL para que o processo de gestão do risco seja revisto por um terceiro?
A. Obter uma visão objetiva das lacunas do processo e dos erros sistémicos
B. Garantir que o perfil de risco seja definido e comunicado
C. alidar o processo de gestão de ameaças
D. Obter uma avaliação objetiva do ambiente de controlo
Ver resposta
Resposta correta: A
Pergunta #22
Qual das seguintes é a MELHOR forma de confirmar se existem controlos automatizados adequados num sistema recentemente implementado?
A. Realizar testes de aceitação do utilizador
B. Efetuar uma revisão pós-implementação
C. Proprietários do processo de entrevista
D. Rever os indicadores-chave de desempenho (KPI)
Ver resposta
Resposta correta: B
Pergunta #23
Qual dos seguintes deve ser o objetivo PRIMÁRIO da promoção de uma cultura consciente dos riscos numa organização?
A. Permitir a tomada de decisões com base no risco
B. Aumentar a eficiência do controlo dos processos
C. Melhor compreensão da apetência pelo risco
D. Melhorar os resultados da auditoria
Ver resposta
Resposta correta: A
Pergunta #24
A principal vantagem da monitorização contínua dos controlos de acesso é a capacidade de identificar.
A. ossíveis actividades não conformes que conduzam à divulgação de dados
B. Indicadores-chave de risco (KRIs) avançados ou atrasados
C. ncoerências entre políticas e procedimentos de segurança
D. Ameaças desconhecidas que minam os controlos de acesso existentes
Ver resposta
Resposta correta: B
Pergunta #25
Um cenário de risco de alta probabilidade identificado que envolve uma função empresarial crítica e proprietária tem um custo anualizado de controlo superior à expetativa de perda anual. Qual das seguintes opções é a MELHOR resposta ao risco?
A. Evitar
B. ransferência
C. ceitar
D. Mitigar
Ver resposta
Resposta correta: D
Pergunta #26
Trabalha como Gestor de Projectos para a www.company.com Inc. Tem de medir a probabilidade, o impacto e a exposição ao risco. Depois, tem de medir a forma como a resposta ao risco selecionada pode afetar a probabilidade e o impacto do evento de risco selecionado. Qual das seguintes ferramentas o ajudará a realizar esta tarefa?
A. Diagramas de rede do projeto
B. Técnica Delphi
C. Análise da árvore de decisão
D. Diagramas de causa e efeito
Ver resposta
Resposta correta: C
Pergunta #27
Quem deve ser PRIMARIAMENTE responsável por estabelecer a cultura de risco de TI de uma organização?
A. Gestão dos riscos
B. Gestão informática
C. Proprietário do processo empresarial
D. Direção executiva
Ver resposta
Resposta correta: D
Pergunta #28
Você é o gestor de um projeto na Bluewell Inc. Você e a sua equipa de projeto identificaram vários riscos do projeto, concluíram a análise de riscos e estão a planear aplicar as respostas aos riscos mais adequadas. Qual das seguintes ferramentas utilizaria para escolher a resposta adequada ao risco?
A. Diagramas de rede do projeto
B. Análise de causa e efeito
C. Análise da árvore de decisão
D. Técnica Delphi
Ver resposta
Resposta correta: C
Pergunta #29
Qual das seguintes opções deve ser um elemento da apetência pelo risco de uma organização?
A. A capacidade da empresa para absorver perdas
B. A eficácia dos controlos de compensação
C. O montante do risco inerente considerado adequado
D. O risco residual afetado pelos controlos preventivos
Ver resposta
Resposta correta: A
Pergunta #30
Você é o gestor de um projeto na Bluewell Inc. Você e a sua equipa de projeto identificaram vários riscos do projeto, concluíram a análise de riscos e estão a planear aplicar as respostas aos riscos mais adequadas. Qual das seguintes ferramentas utilizaria para escolher a resposta adequada ao risco?
A. Diagramas de rede do projeto
B. Análise de causa e efeito
C. Análise da árvore de decisão
D. Técnica Delphi
Ver resposta
Resposta correta: C
Pergunta #31
Qual das seguintes práticas de gestão de risco MELHOR facilita a incorporação de cenários de risco de TI no registo de risco de toda a empresa?
A. Os indicadores-chave de risco (KRI) são desenvolvidos para os principais cenários de risco informático
B. s cenários de risco de TI são desenvolvidos no contexto dos objectivos organizacionais
C. s cenários de risco de TI são avaliados pela equipa de gestão de riscos da empresa
D. Os apetites de risco para cenários de risco de TI são aprovados pelas principais partes interessadas do negócio
Ver resposta
Resposta correta: B
Pergunta #32
Qual das seguintes é a melhor razão para efetuar uma avaliação dos riscos?
A. Determinar o estado atual do risco
B. Analisar o efeito sobre a atividade
C. Para satisfazer os requisitos regulamentares
D. Elaborar um orçamento adequado para a aplicação dos diferentes controlos
Ver resposta
Resposta correta: A
Pergunta #33
Ao analisar um contrato de um fornecedor de serviços em nuvem, descobriu-se que o fornecedor se recusa a aceitar a responsabilidade por uma violação de dados confidenciais. Qual dos seguintes controlos reduzirá MELHOR o risco associado a essa violação de dados?
A. Contratação de um terceiro para validar os controlos operacionais
B. Utilizar o mesmo fornecedor de serviços de computação em nuvem que um concorrente
C. Utilizar a encriptação ao nível do campo com uma chave fornecida pelo fornecedor
D. Garantir que o fornecedor não conhece a chave de encriptação
Ver resposta
Resposta correta: A
Pergunta #34
Você é o gestor de projeto do projeto GHT. Tem de efetuar o processo de análise qualitativa do risco. Quando tiver concluído este processo, produzirá todos os seguintes elementos como parte do resultado da atualização do registo de riscos, exceto qual deles?
A. Risco do projeto
B. Atualização da situação
C. Atualização dos riscos
D. Problema do projeto
Ver resposta
Resposta correta: A
Pergunta #35
Qual das seguintes opções é MAIS útil para garantir controlos de segurança eficazes para um fornecedor de serviços de computação em nuvem?
A. Relatórios de auditoria interna do fornecedor
B. utoavaliação do controlo da B
C. Um relatório de avaliação de segurança de terceiros
D. Monitorização do acordo de nível de serviço
Ver resposta
Resposta correta: C
Pergunta #36
Qual dos seguintes métodos envolve a utilização de uma ferramenta analítica preditiva ou de diagnóstico para expor factores de risco?
A. Análise de cenários
B. Análise de sensibilidade
C. Análise da árvore de falhas
D. Análise de causa e efeito
Ver resposta
Resposta correta: D
Pergunta #37
Uma organização tem registado vários incidentes de interrupções de rede prolongadas que excederam a tolerância. Qual dos seguintes deve ser o PRIMEIRO passo do profissional de risco para resolver esta situação?
A. Recomendar uma análise da causa principal dos incidentes
B. Atualizar o nível de tolerância ao risco para limiares aceitáveis
C. Recomendar controlos adicionais para fazer face ao risco
D. tualizar a tendência dos riscos relacionados com incidentes no registo de riscos
Ver resposta
Resposta correta: C
Pergunta #38
Qual das seguintes opções deve ser o foco PRIMÁRIO de um programa de conscientização de riscos de TI?
A. ultivar a mudança de comportamento a longo prazo
B. Demonstrar a conformidade regulamentar
C. ssegurar o cumprimento das políticas internas da organização
D. Comunicar a política de risco informático aos participantes
Ver resposta
Resposta correta: A
Pergunta #39
Identificou vários riscos no seu projeto. Optou pela atenuação do risco para responder ao risco identificado. Qual das seguintes opções garante que o método de atenuação de riscos que escolheu é eficaz?
A. Controlo da proteção do sistema e das comunicações
B. Auditoria e controlo da responsabilidade
C. Controlo de acesso
D. Controlo da identificação e da autenticação
Ver resposta
Resposta correta: B
Pergunta #40
Você é o gestor de projeto do projeto GHT. Durante o processo de extração de dados, avaliou o número total de transacções por ano multiplicando a média mensal por doze. Este processo de avaliação do número total de transacções é conhecido como?
A. Teste de duplicados
B. Total dos controlos
C. Simplista e ineficaz
D. Teste de razoabilidade
Ver resposta
Resposta correta: D
Pergunta #41
Qual dos seguintes deve ser o PRÓXIMO passo de um profissional de risco ao saber que a organização não está em conformidade com um regulamento legal específico?
A. valiar a probabilidade e a magnitude do risco associado
B. dentificar as actividades de atenuação e os controlos de compensação
C. Notificar os executivos seniores de conformidade sobre o risco associado
D. Determinar as sanções a aplicar em caso de incumprimento
Ver resposta
Resposta correta: A
Pergunta #42
Você é o gestor de projeto da BlueWell Inc. Reparou que o nível de risco no seu projeto aumenta acima do nível de tolerância ao risco da sua empresa. Aplicou várias respostas ao risco. Agora tem de atualizar o registo de riscos de acordo com o processo de resposta ao risco. Todos os itens seguintes estão incluídos no registo de riscos, exceto qual?
A. Accionadores de risco
B. Estratégias de resposta acordadas
C. Análise do diagrama de rede das actividades do caminho crítico
D. Proprietários do risco e suas responsabilidades
Ver resposta
Resposta correta: C
Pergunta #43
É o gestor de projeto de um projeto HGT que terminou recentemente o processo de compilação final. O cliente do projeto assinou a conclusão do projeto e você tem de realizar algumas actividades administrativas de encerramento. No projeto, havia vários riscos importantes que poderiam ter destruído o projeto, mas você e a sua equipa de projeto encontraram novos métodos para resolver os riscos sem afetar os custos ou a data de conclusão do projeto. O que deve fazer com as respostas aos riscos que identificou?
A. Incluir as respostas no plano de gestão do projeto
B. Incluir as respostas aos riscos no plano de gestão de riscos
C. ncluir as respostas aos riscos na base de dados de lições aprendidas da organização
D. ada
Ver resposta
Resposta correta: C
Pergunta #44
Qual é o passo IMEDIATO após a definição de um conjunto de cenários de risco?
A. Atenuação dos riscos
B. Controlo dos riscos
C. Gestão dos riscos
D. Análise de risco
Ver resposta
Resposta correta: D
Pergunta #45
Qual das seguintes é a MAIOR vantagem da implementação de um programa de gestão do risco?
A. Promoção de uma cultura consciente dos riscos
B. Melhorar a governação da segurança
C. Permitir decisões conscientes dos riscos
D. Redução do risco residual
Ver resposta
Resposta correta: A
Pergunta #46
Qual das seguintes opções é a MAIS importante na conceção dos controlos?
A. Envolvimento do proprietário do processo
B. Participação da auditoria interna
C. dentificação dos principais indicadores de risco
D. Impacto quantitativo do risco
Ver resposta
Resposta correta: D
Pergunta #47
Uma organização delega o seu processamento de dados na equipa interna de TI para gerir a informação através das suas aplicações. Qual das seguintes é a função da equipa interna de TI nesta situação?
A. Proprietários dos dados
B. esponsáveis pela custódia dos dados
C. Responsáveis pelo tratamento de dados
D. Processadores de dados
Ver resposta
Resposta correta: B
Pergunta #48
Qual dos seguintes testes é o MELHOR a mapear para confirmar a eficácia do processo de gestão de acesso ao sistema?
A. ontas de utilizador para registos de recursos humanos (RH)
B. ontas de utilizador para aceder a pedidos
C. base de dados do fornecedor para contas de utilizador
D. edidos de acesso a contas de utilizadores
Ver resposta
Resposta correta: B
Pergunta #49
Uma auditoria de segurança externa comunicou várias conclusões relacionadas com a não conformidade dos controlos. Qual das seguintes opções seria a MAIS importante para o profissional de riscos comunicar à direção?
A. Planos para atenuar o risco associado
B. Sugestões para melhorar a formação em matéria de sensibilização para os riscos
C. ma recomendação para a validação da auditoria interna
D. O impacto no perfil de risco da organização
Ver resposta
Resposta correta: C
Pergunta #50
Qual das seguintes opções é a MAIS útil para alinhar o risco de TI com os objectivos empresariais?
A. Efetuar uma análise do impacto nas empresas (BIA)
B. Integração dos resultados das análises de cenários de risco do topo para a base
C. ntroduzir um quadro de governação de TI aprovado
D. Implementação de um sistema de classificação de riscos
Ver resposta
Resposta correta: C
Pergunta #51
Qual das seguintes seria a MELHOR recomendação de um profissional de riscos para evitar a ciberinvasão?
A. Implementar ferramentas de prevenção de perda de dados (DLP)
B. Implementar a segregação da rede
C. stabelecer um plano de resposta cibernética
D. Reforçar os esforços de correção das vulnerabilidades
Ver resposta
Resposta correta: A
Pergunta #52
Qual das seguintes é a MELHOR forma de identificar alterações no panorama de risco?
A. Revisões de acesso
B. Análise da causa raiz
C. Relatórios de auditoria interna
D. Modelação de ameaças
Ver resposta
Resposta correta: D
Pergunta #53
Qual dos seguintes é o método MAIS adequado para avaliar o potencial impacto dos requisitos legais, regulamentares e contratuais nos objectivos empresariais?
A. Comunicação com os intervenientes no processo empresarial
B. Análise de impacto comercial orientada para a conformidade
C. Análise de lacunas orientada para a conformidade
D. apeamento dos requisitos de conformidade para políticas e procedimentos
Ver resposta
Resposta correta: B
Pergunta #54
Que secção da Lei Sarbanes-Oxley especifica que "os relatórios financeiros periódicos devem ser certificados pelo CEO e pelo CFO"?
A. Secção 302
B. ecção 404
C. ecção 203
D. Secção 409
Ver resposta
Resposta correta: A
Pergunta #55
Qual das seguintes seria a MELHOR recomendação de um profissional de risco para ajudar a garantir que o risco cibernético é avaliado e refletido no perfil de risco a nível da empresa?
A. Realizar formação de sensibilização para o risco cibernético especificamente destinada aos quadros superiores
B. Implementar um programa de risco cibernético baseado nas melhores práticas do sector
C. erir o risco cibernético de acordo com o quadro de gestão do risco da organização
D. efinir funções e responsabilidades cibernéticas em toda a organização
Ver resposta
Resposta correta: C
Pergunta #56
Qual é a razão PRINCIPAL para categorizar os cenários de risco por processo empresarial?
A. Determinar os níveis de risco agregados por proprietário do risco
B. Identificar situações que resultam em excesso de controlo
C. Permitir que a gestão implemente uma atenuação dos riscos com uma boa relação custo-eficácia
D. Para mostrar as deficiências da atividade empresarial que precisam de ser melhoradas
Ver resposta
Resposta correta: C
Pergunta #57
O objetivo principal da realização de uma autoavaliação do controlo (CSA) é o seguinte
A. eduzir a dependência de auditorias externas
B. ompreender melhor o risco na organização
C. ompreender melhor a eficácia do controlo na organização
D. justar os controlos antes de uma auditoria externa
Ver resposta
Resposta correta: C
Pergunta #58
A MELHOR indicação de que a gestão do risco é eficaz é quando o risco foi reduzido ao mínimo:
A. Apetite pelo risco
B. Capacidade de risco
C. Níveis de risco
D. rçamentos de risco
Ver resposta
Resposta correta: A
Pergunta #59
Qual das seguintes funções seria MAIS útil para fornecer uma visão de alto nível do risco relacionado com a perda de dados do cliente?
A. Gestor da base de dados de clientes
B. Comité de auditoria
C. Responsável pela proteção da privacidade dos dados
D. Responsável pela custódia dos dados do cliente
Ver resposta
Resposta correta: D
Pergunta #60
Ao determinar quais as deficiências de controlo mais significativas, qual das seguintes opções forneceria as informações MAIS úteis?
A. Política de tratamento de excepções
B. Avaliações comparativas
C. Resultados da avaliação da vulnerabilidade
D. Resultados da análise de risco
Ver resposta
Resposta correta: D
Pergunta #61
Qual das seguintes é a MELHOR forma de garantir que os prestadores de serviços subcontratados cumprem a política de segurança da informação da empresa?
A. Testes de penetração
B. Controlo do nível de serviço
C. Formação de sensibilização para a segurança
D. Auditorias periódicas
Ver resposta
Resposta correta: D
Pergunta #62
Qual dos seguintes processos aborda os riscos de acordo com as suas prioridades, calendariza o plano de gestão do projeto conforme necessário e insere recursos e actividades no orçamento?
A. Monitorizar e controlar o risco
B. lanear a resposta ao risco
C. dentificar os riscos
D. Análise de risco qualitativa
Ver resposta
Resposta correta: B
Pergunta #63
Que tipo de política é que uma organização utilizaria para proibir os seus funcionários de utilizarem o correio eletrónico da organização para uso pessoal?
A. Política anti-assédio
B. Política de utilização aceitável
C. Política de propriedade intelectual
D. Política de privacidade
Ver resposta
Resposta correta: B
Pergunta #64
Numa organização dependente da análise de dados para orientar a tomada de decisões, qual das seguintes opções MELHOR ajudaria a minimizar o risco associado a dados incorrectos?
A. Avaliação de cada uma das fontes de dados para detetar vulnerabilidades
B. Estabelecer um acordo de propriedade intelectual
C. Avaliação comparativa com as melhores práticas do sector
D. Revisão periódica das estratégias de megadados
Ver resposta
Resposta correta: A
Pergunta #65
A Sammy é a gestora de projectos da sua organização. Ela gostaria de classificar cada risco com base na sua probabilidade e no seu efeito no tempo, no custo e no âmbito. Harry, um membro da equipa do projeto, nunca fez isto antes e pensa que a Sammy está errada ao tentar esta abordagem. O Harry diz que deve ser criada uma pontuação de risco acumulada e não três pontuações de risco separadas. Quem está correto neste cenário?
A. Sammy está correcta, porque é a gestora do projeto
B. ammy está correto, porque as organizações podem criar pontuações de risco para cada objetivo do projeto
C. arry está correto, a matriz de probabilidade e impacto do risco é a única abordagem à avaliação do risco
D. arry está correto, porque a probabilidade e o impacto do risco consideram todos os objectivos do projeto
Ver resposta
Resposta correta: B
Pergunta #66
Ao utilizar um terceiro para efetuar testes de penetração, qual dos seguintes é o controlo MAIS importante para minimizar o impacto operacional?
A. Exigir que o vendedor tenha um seguro de responsabilidade civil
B. Efetuar um inquérito sobre os antecedentes do vendedor
C. Exigir que o fornecedor assine um acordo de não divulgação
D. efinir claramente o âmbito do projeto
Ver resposta
Resposta correta: D
Pergunta #67
Qual é o processo de seleção e implementação de medidas com impacto sobre o risco chamado?
A. Tratamento dos riscos
B. Controlo
C. Avaliação dos riscos
D. Gestão do risco
Ver resposta
Resposta correta: A
Pergunta #68
Você é o gestor de projeto do projeto GHT. O seu fornecedor de hardware deixou-lhe uma mensagem de voz a dizer que a entrega do equipamento que encomendou não chegaria a tempo. Ele queria avisá-lo e pediu-lhe que respondesse à chamada. Qual das seguintes afirmações é VERDADEIRA?
A. Trata-se de um risco residual
B. Isto é um gatilho
C. Trata-se de um plano de emergência
D. Trata-se de um risco secundário
Ver resposta
Resposta correta: B
Pergunta #69
Qual das seguintes opções indica MELHOR que uma organização implementou requisitos de desempenho de TI?
A. Referências do fornecedor
B. Matriz de responsabilização
C. Dados de avaliação comparativa
D. Acordos de nível de serviço
Ver resposta
Resposta correta: C
Pergunta #70
Qual das seguintes opções é a que MAIS provavelmente exigiria que um técnico de riscos actualizasse o registo de riscos?
A. Um alerta que está a ser comunicado pelo centro de operações de segurança
B. Desenvolvimento de um calendário de projeto para a implementação de uma resposta ao risco
C. Contratação de um terceiro para efetuar uma análise de vulnerabilidades
D. Conclusão de um projeto de implementação de um novo controlo
Ver resposta
Resposta correta: D
Pergunta #71
Foi pedido a um profissional de riscos que aconselhasse a administração a desenvolver uma estratégia de recolha e correlação de registos. Qual das seguintes opções deve ser a consideração MAIS importante ao desenvolver essa estratégia?
A. Garantir a inclusão de todos os recursos informáticos como fontes de registo
B. Garantir a sincronização temporal das fontes de registo
C. Garantir o acesso de leitura-escrita a todas as fontes de registo
D. Garantir a inclusão de fontes de registo de informações sobre ameaças externas
Ver resposta
Resposta correta: B
Pergunta #72
Qual dos seguintes é o inibidor MAIS eficaz de uma comunicação relevante e eficiente?
A. Um falso sentimento de confiança no topo sobre o grau de exposição real relacionado com as TI e a falta de uma direção bem compreendida para a gestão do risco a partir do topo
B. A perceção de que a empresa está a tentar esconder das partes interessadas um risco conhecido
C. Existência de uma cultura de culpa
D. Desalinhamento entre a apetência real pelo risco e a tradução em políticas
Ver resposta
Resposta correta: C
Pergunta #73
Qual é a PRIMEIRA fase do processo de monitorização e manutenção dos SI?
A. Análise da causa raiz
B. Técnicas de diagrama de influência
C. Análise SWOT
D. Análise dos pressupostos
Ver resposta
Resposta correta: B
Pergunta #74
Ao desenvolver um plano de continuidade de negócios (BCP), é MAIS importante
A. esenvolver um plano de comunicação multi-canal
B. riorizar os serviços críticos a serem restaurados
C. dentificar um local de recuperação de desastres geograficamente disperso
D. dentificar um local alternativo para acolher as operações
Ver resposta
Resposta correta: C
Pergunta #75
Qual das seguintes opções NÃO é verdadeira para os indicadores-chave de risco?
A. São seleccionados como os principais indicadores de acompanhamento da empresa
B. Ajudam a evitar a necessidade de gerir e comunicar um número excessivamente elevado de indicadores de risco
C. O conjunto completo de KRI deve também equilibrar os indicadores de risco, as causas profundas e o impacto na atividade
D. São controlados anualmente
Ver resposta
Resposta correta: D
Pergunta #76
Qual das seguintes é a MAIOR preocupação associada a dados redundantes no sistema de inventário de uma organização?
A. Incoerência de dados
B. Utilização desnecessária do armazenamento de dados
C. Fraco controlo de acesso
D. Custos desnecessários das alterações ao programa
Ver resposta
Resposta correta: C
Pergunta #77
Qual das seguintes é a consideração MAIS importante ao determinar se deve aceitar o risco residual após a implementação de controlos de segurança num sistema crítico?
A. Custo do sistema de controlo da informação
B. Custo versus benefício de controlos adicionais de atenuação
C. Expectativa de perda anualizada (ALE) para o sistema
D. Frequência do impacto nos negócios
Ver resposta
Resposta correta: C
Pergunta #78
É o gestor de projeto de um projeto SGT. Tem estado a comunicar e a trabalhar ativamente com as partes interessadas do projeto. Um dos resultados do processo "gerir as expectativas das partes interessadas" pode, na verdade, criar novos eventos de risco para o seu projeto. Que resultado do processo "Gerir as expectativas das partes interessadas" pode criar riscos?
A. Fonte fiável
B. eguro
C. istinto
D. Independente
Ver resposta
Resposta correta: C
Pergunta #79
Após as recentes actualizações do registo de riscos, a gestão solicitou que o nível global de risco residual fosse reduzido. Qual das seguintes opções é a MELHOR linha de ação para o profissional de riscos?
A. ar prioridade aos planos de correção
B. Recomendar a aceitação de riscos de baixo nível
C. esenvolver novos planos de ação em matéria de riscos com os proprietários dos riscos
D. Implementar controlos adicionais
Ver resposta
Resposta correta: D
Pergunta #80
Uma parte de um projeto diz respeito ao trabalho de hardware. Como gestor de projeto, decidiu contratar uma empresa para tratar de todo o trabalho de hardware do projeto. Que tipo de resposta ao risco é esta?
A. Transferência
B. Mitigação
C. Evitar
D. Explorar
Ver resposta
Resposta correta: A
Pergunta #81
As melhorias na conceção e implementação de um controlo resultarão, muito provavelmente, numa atualização do mesmo:
A. olerância ao risco
B. Apetite pelo risco
C. isco inerente
D. isco residual
Ver resposta
Resposta correta: D
Pergunta #82
Qual das seguintes opções é a MELHOR forma de validar os resultados de uma avaliação de vulnerabilidades?
A. Realizar um teste de penetração
B. Efetuar uma análise da causa principal
C. Realizar uma análise de ameaças
D. Rever os registos de segurança
Ver resposta
Resposta correta: A
Pergunta #83
Qual das seguintes técnicas seria utilizada durante uma avaliação de riscos para demonstrar às partes interessadas que todas as alternativas conhecidas foram avaliadas?
A. Carta de controlo
B. Análise de tendências
C. Análise de sensibilidade
D. Árvore de decisão
Ver resposta
Resposta correta: A
Pergunta #84
Durante qual dos seguintes processos é preparada a matriz de probabilidade e impacto?
A. Melhorar
B. Explorar
C. ceitar
D. Partilhar
Ver resposta
Resposta correta: D
Pergunta #85
É o gestor de projeto do projeto HGT. Identificou os riscos do projeto e aplicou a resposta adequada para a sua mitigação. Notou um risco gerado como resultado da aplicação da resposta. Qual é o nome desse risco resultante?
A. Risco puro
B. Risco secundário
C. Risco de resposta
D. Risco elevado
Ver resposta
Resposta correta: B
Pergunta #86
O PRIMEIRO passo para uma empresa em fase de arranque ao desenvolver um plano de recuperação de desastres deve ser identificar:
A. ulnerabilidades actuais
B. m local alternativo adequado
C. bjectivos de tempo de recuperação
D. rocessos empresariais críticos
Ver resposta
Resposta correta: D
Pergunta #87
Qual das seguintes opções seria MAIS útil para uma equipa de gestão da segurança da informação na atribuição de recursos para atenuar as exposições?
A. Conclusões da auditoria interna
B. Estudos de casos de risco relevantes
C. Resultados da avaliação dos riscos
D. Resultados dos testes de penetração
Ver resposta
Resposta correta: C
Pergunta #88
A MELHOR métrica para monitorizar o risco associado às alterações implementadas na produção é a percentagem de:
A. Alterações que não exigem testes de aceitação do utilizador
B. udanças que causam incidentes
C. lterações devido a emergências
D. essoal que tem direitos para efetuar alterações na produção
Ver resposta
Resposta correta: B
Pergunta #89
Qual das seguintes é a consideração MAIS importante quando vários profissionais do risco captam cenários de risco num único registo de risco?
A. Utilização de um método coerente de avaliação dos riscos
B. esenvolver procedimentos de escalonamento e comunicação de riscos
C. Manutenção de planos de tratamento de risco actualizados
D. Alinhamento da propriedade do risco e da propriedade do controlo
Ver resposta
Resposta correta: A
Pergunta #90
Qual dos seguintes tipos de risco pode resultar em falência?
A. Marginal
B. egligenciável
C. rítico
D. Catastrófico
Ver resposta
Resposta correta: D
Pergunta #91
Qual dos seguintes riscos é o risco que acontece com um parceiro de negócios importante e afecta um grande grupo de empresas numa área ou indústria?
A. Risco de contágio
B. Risco de comunicação
C. Risco operacional
D. Risco sistémico
Ver resposta
Resposta correta: D
Pergunta #92
Qual das seguintes é a consideração MAIS importante quando se partilham actualizações da gestão do risco com a gestão executiva?
A. Utilizar uma visão agregada do risco organizacional
B. asear-se em dados de indicadores-chave de risco (KRI)
C. ssegurar a relevância para os objectivos organizacionais
D. Incluindo a análise de tendências dos indicadores de risco
Ver resposta
Resposta correta: C
Pergunta #93
Qual das seguintes é a MELHOR indicação de que uma organização está a seguir um processo de gestão do risco maduro?
A. A direção executiva recebe formação periódica de sensibilização para os riscos
B. s atributos de cada cenário de risco foram documentados no registo de riscos
C. O registo de riscos é frequentemente utilizado para a tomada de decisões
D. Foi desenvolvido um painel de controlo para a gestão de topo para fornecer valores de risco em tempo real
Ver resposta
Resposta correta: D
Pergunta #94
Qual das seguintes funções forneceria o contributo MAIS importante para a identificação de cenários de risco informático?
A. Gestores de riscos operacionais
B. Auditores internos
C. Gestores de segurança da informação
D. Proprietários de processos empresariais
Ver resposta
Resposta correta: D
Pergunta #95
Quem deve ser responsável pela implementação e manutenção dos controlos de segurança?
A. Responsável pela custódia dos dados
B. Auditor interno
C. Proprietário dos dados
D. Utilizador final
Ver resposta
Resposta correta: A
Pergunta #96
O MELHOR indicador-chave de desempenho (KPI) para medir a eficácia de um programa de correção de vulnerabilidades é o número de:
A. ovas vulnerabilidades identificadas
B. ulnerabilidades recorrentes
C. ulnerabilidades corrigidas
D. nálises de vulnerabilidades
Ver resposta
Resposta correta: B
Pergunta #97
Qual dos seguintes riscos está associado ao facto de as pessoas certas não receberem as informações correctas no momento certo, de modo a permitir que sejam tomadas as medidas correctas?
A. Registo de riscos e resultados da análise de riscos
B. Registo dos riscos e plano de resposta aos riscos
C. Registo dos riscos e poder para atribuir respostas aos riscos
D. Registo dos riscos e plano de gestão dos riscos
Ver resposta
Resposta correta: A
Pergunta #98
Você é o gestor do projeto RFT. Identificou o risco de o sistema informático e o panorama de aplicações da empresa serem tão complexos que, dentro de alguns anos, será difícil aumentar a capacidade e a manutenção do software tornar-se-á muito dispendiosa. Para ultrapassar este risco, a resposta adoptada é a reformulação da arquitetura do sistema existente e a aquisição de um novo sistema integrado. Em qual das seguintes opções de priorização de riscos este caso seria classificado?
A. Diferimentos
B. anho rápido
C. Caso de negócio a apresentar
D. Risco de contágio
Ver resposta
Resposta correta: C
Pergunta #99
A Wendy está prestes a realizar uma análise de risco qualitativa dos riscos identificados no seu projeto. Qual das seguintes opções NÃO ajudará a Wendy a realizar esta atividade de gestão de projectos?
A. Plano de gestão dos riscos
B. Declaração do âmbito do projeto
C. Registo dos riscos
D. Registo das partes interessadas
Ver resposta
Resposta correta: D
Pergunta #100
Qual das seguintes opções deve ser PRIMARIAMENTE considerada na conceção dos controlos dos sistemas de informação?
A. O plano estratégico de TI
B. O ambiente informático existente
C. O plano estratégico da organização
D. O atual orçamento de TI
Ver resposta
Resposta correta: C
Pergunta #101
Qual das seguintes opções MELHOR mede a eficiência de um processo de resposta a incidentes?
A. úmero de incidentes sem resposta
B. Número de incidentes encaminhados para a direção
C. Tempo médio entre alterações e atualização da matriz de escalonamento
D. Diferença média entre os tempos de resposta efetivo e acordado
Ver resposta
Resposta correta: D
Pergunta #102
Qual das seguintes funções é a MELHOR adequada para ajudar um profissional de riscos a compreender o impacto dos eventos relacionados com as TI nos objectivos empresariais?
A. Proprietários do processo
B. Gestão informática
C. Quadros superiores
D. Auditoria interna
Ver resposta
Resposta correta: A
Pergunta #103
Uma organização concedeu a um fornecedor acesso aos seus dados para analisar o comportamento dos clientes. Qual dos seguintes seria o controlo MAIS eficaz para mitigar o risco de fuga de dados dos clientes?
A. Restringir o acesso aos dados dos clientes com base na "necessidade de conhecer"
B. Aplicar o controlo dos antecedentes criminais
C. ascarar os campos de dados do cliente
D. Exigir que o fornecedor assine um acordo de confidencialidade
Ver resposta
Resposta correta: A
Pergunta #104
O utilizador é o gestor de produtos da sua empresa. Identificou que novas tecnologias, produtos e serviços são introduzidos na sua empresa de tempos a tempos. O que deve ser feito para evitar que a eficiência e a eficácia dos controlos sejam afectadas por estas alterações?
A. eceber feedback atempado das avaliações de risco e através dos principais indicadores de risco, e atualizar os controlos
B. Adicionar mais controlos
C. fetuar a análise do impacto nas empresas (BIA)
D. ada, a eficiência e a eficácia dos controlos não são afectadas por estas alterações
Ver resposta
Resposta correta: A
Pergunta #105
Qual das seguintes opções é a consideração PRIMÁRIA ao estabelecer a metodologia de gestão de riscos de uma organização?
A. Nível de tolerância ao risco
B. Informações sobre a avaliação comparativa
C. Recursos necessários
D. Contexto empresarial
Ver resposta
Resposta correta: D
Pergunta #106
Uma organização subcontratou uma aplicação a um fornecedor de Software como Serviço (SaaS). O risco associado à utilização deste serviço deve ser detido pela organização:
A. Gestor de TI do fornecedor de serviços
B. Gestor de riscos do prestador de serviços
C. Gestor do processo empresarial da organização
D. estor de fornecedores da organização
Ver resposta
Resposta correta: C
Pergunta #107
Qual das seguintes opções é MAIS útil para identificar novas exposições ao risco devido a alterações no ambiente empresarial?
A. Avaliação comparativa do sector
B. Procedimentos operacionais normalizados
C. Análise das lacunas de controlo
D. Análise SWOT
Ver resposta
Resposta correta: D
Pergunta #108
Um técnico de riscos descobre que vários documentos importantes que detalham a conceção de um produto atualmente em desenvolvimento foram publicados na Internet. Qual deve ser a PRIMEIRA linha de ação do profissional de riscos?
A. Efetuar uma análise da causa principal
B. Efetuar uma avaliação imediata dos riscos
C. Invocar o plano de resposta a incidentes estabelecido
D. Informar a auditoria interna
Ver resposta
Resposta correta: D
Pergunta #109
O NIST SP 800-53 identifica os controlos em três classes principais. Quais são elas?
A. Técnica, administrativa e ambiental
B. Preventivas, de deteção e correctivas
C. écnica, operacional e de gestão
D. Administrativos, técnicos e operacionais
Ver resposta
Resposta correta: C
Pergunta #110
A Maria identificou um evento de risco no seu projeto que terá uma probabilidade elevada e um impacto elevado. Com base nos requisitos do projeto, a Judy pediu para alterar o âmbito do projeto de modo a eliminar o requisito e o risco associados. Que tipo de resposta ao risco é esta?
A. Explorar
B. Não é uma resposta ao risco, mas um pedido de alteração
C. Evitar
D. Transferência
Ver resposta
Resposta correta: C
Pergunta #111
Uma auditoria revela que várias contas de funcionários que cessaram funções mantêm o acesso. Qual dos seguintes deve ser o PRIMEIRO passo para resolver o risco?
A. Efetuar uma avaliação dos riscos
B. esativar o acesso do utilizador
C. Efetuar uma análise da causa principal
D. esenvolver uma política de controlo de acesso
Ver resposta
Resposta correta: D
Pergunta #112
Qual das seguintes opções é MAIS importante atualizar quando a apetência pelo risco de uma organização muda?
A. Principais indicadores de risco (KRIs)
B. Taxonomia do risco
C. Indicadores-chave de desempenho (KPIs)
D. Metodologia de comunicação de riscos
Ver resposta
Resposta correta: A
Pergunta #113
Qual das seguintes opções ajuda a garantir a conformidade com um requisito de política de não repúdio para transacções electrónicas?
A. Assinaturas digitais
B. Certificados digitais
C. Senhas de uso único
D. Palavras-passe encriptadas
Ver resposta
Resposta correta: A
Pergunta #114
Qual dos seguintes é o inibidor MAIS eficaz de uma comunicação relevante e eficiente?
A. Um falso sentimento de confiança no topo sobre o grau de exposição real relacionado com as TI e a falta de uma direção bem compreendida para a gestão do risco a partir do topo
B. A perceção de que a empresa está a tentar esconder das partes interessadas um risco conhecido
C. Existência de uma cultura de culpa
D. Desalinhamento entre a apetência real pelo risco e a tradução em políticas
Ver resposta
Resposta correta: C
Pergunta #115
Qual das seguintes é a MELHOR defesa contra ataques de phishing bem sucedidos?
A. Sistema de deteção de intrusões
B. Endurecimento por aplicação
C. Sensibilização do utilizador final
D. Filtros de spam
Ver resposta
Resposta correta: C
Pergunta #116
O objetivo PRIMÁRIO de um programa de gestão de riscos é:
A. acilitar a disponibilidade de recursos
B. alvaguardar os activos da empresa
C. judar a garantir o cumprimento dos objectivos
D. judar a evitar perdas operacionais
Ver resposta
Resposta correta: B
Pergunta #117
O Henrique é o gestor de projeto do Projeto QBG da sua empresa. Este projeto tem um orçamento de $4.576.900 e prevê-se que dure 18 meses a concluir. O CIO, uma parte interessada no projeto, introduziu um pedido de alteração de âmbito para entregas adicionais como parte do trabalho do projeto. Que componente do sistema de controlo de alterações analisaria o impacto das alterações propostas nas características e funções do produto do projeto?
A. A análise de risco deve pressupor um grau de proteção igual para todos os activos
B. A análise de risco deve dar mais peso à probabilidade do que à dimensão da perda
C. análise de risco deve limitar o âmbito de aplicação a um parâmetro de referência de empresas semelhantes
D. A análise de risco deve abordar a dimensão potencial e a probabilidade de perda
Ver resposta
Resposta correta: B
Pergunta #118
Qual dos seguintes componentes garante que os riscos são examinados para todos os novos pedidos de alteração propostos no sistema de controlo de alterações?
A. Gestão da configuração
B. Controlo da alteração do âmbito
C. companhamento e controlo dos riscos
D. Controlo integrado de alterações
Ver resposta
Resposta correta: D
Pergunta #119
Uma organização que tem sido alvo de vários ataques de engenharia social está a desenvolver um programa de sensibilização para os riscos. O objetivo PRIMÁRIO deste programa deve ser:
A. omunicar as consequências das infracções
B. mplementar as melhores práticas do sector
C. eduzir a apetência pelo risco da organização
D. eduzir o risco para um nível aceitável
Ver resposta
Resposta correta: D
Pergunta #120
Um profissional de riscos está a rever o estado de um plano de ação para mitigar um risco emergente de TI e verifica que o nível de risco aumentou. O MELHOR curso de ação seria:
A. Avaliar se os controlos seleccionados continuam a ser adequados
B. mplementar os controlos planeados e aceitar o risco remanescente
C. uspender o plano de ação em curso para reavaliar o risco
D. ever o plano de ação para incluir controlos adicionais de atenuação
Ver resposta
Resposta correta: A
Pergunta #121
Uma prática empresarial prudente exige que a apetência pelo risco não exceda:
A. apacidade de risco
B. isco inerente
C. olerância ao risco
D. isco residual
Ver resposta
Resposta correta: A
Pergunta #122
Qual dos seguintes elementos é o MAIS crítico para maximizar o potencial de uma implementação de segurança bem sucedida?
A. Ferramentas de segurança líderes do sector
B. A cultura da organização
C. Facilidade de aplicação
D. O conhecimento da organização
Ver resposta
Resposta correta: B
Pergunta #123
Qual das seguintes é uma medida de desempenho que é utilizada para avaliar a eficiência de um investimento ou para comparar a eficiência de vários investimentos diferentes?
A. Retorno do investimento em segurança
B. Custo total de propriedade
C. Retorno do investimento
D. Matriz redundante de discos económicos
Ver resposta
Resposta correta: C
Pergunta #124
Qual das seguintes questões deve ser a MAIOR preocupação ao avaliar os controlos existentes durante uma avaliação do risco?
A. Existem controlos de compensação redundantes
B. Os depositários dos activos são responsáveis pela definição dos controlos em vez dos proprietários dos activos
C. xiste um elevado número de excepções aprovadas com controlos de compensação
D. Avaliações sucessivas têm as mesmas vulnerabilidades recorrentes
Ver resposta
Resposta correta: D
Pergunta #125
Durante uma análise do controlo, o proprietário do controlo afirma que um controlo existente se deteriorou com o tempo. Qual é a MELHOR recomendação para o proprietário do controlo?
A. Encaminhar o problema para a direção
B. Discutir as opções de atenuação do risco com o proprietário do risco
C. Certificar o controlo depois de documentar o problema
D. Implementar controlos de compensação para reduzir o risco residual
Ver resposta
Resposta correta: D
Pergunta #126
Qual das seguintes opções deve ser a consideração PRIMÁRIA da gerência ao aprovar planos de ação de resposta a riscos?
A. Definição de prioridades para a execução dos planos de ação
B. Capacidade dos planos de ação para abordar múltiplos cenários de risco
C. Facilidade de implementação da solução de tratamento de riscos
D. Alterações no risco residual após a implementação dos planos
Ver resposta
Resposta correta: A
Pergunta #127
Uma aplicação executa uma tarefa agendada que compila dados financeiros de vários sistemas empresariais e actualiza o sistema de relatórios financeiros. Se essa tarefa for executada por muito tempo, ela pode atrasar os relatórios financeiros. Qual das seguintes é a MELHOR recomendação do profissional de risco?
A. mplementar a atividade da base de dados e a monitorização da capacidade
B. Considerar o fornecimento de recursos adicionais do sistema para este trabalho
C. ssegurar que a empresa dispõe de um processo para detetar tais situações
D. Assegurar que a empresa está ciente do risco
Ver resposta
Resposta correta: C
Pergunta #128
Qual das seguintes funções é responsável pela análise de riscos, manutenção do perfil de risco e decisões conscientes do risco?
A. Probabilidades
B. Ameaças
C. Vulnerabilidades
D. Impactos
Ver resposta
Resposta correta: D
Pergunta #129
Qual dos seguintes processos aborda os riscos de acordo com as suas prioridades, calendariza o plano de gestão do projeto conforme necessário e insere recursos e actividades no orçamento?
A. Monitorizar e controlar o risco
B. lanear a resposta ao risco
C. dentificar os riscos
D. Análise de risco qualitativa
Ver resposta
Resposta correta: B
Pergunta #130
Qual das seguintes opções é a MAIS importante quando se discute o risco numa organização?
A. Adoção de uma taxonomia comum dos riscos
B. Criar uma política de comunicação de riscos
C. Utilizar indicadores-chave de desempenho (KPI)
D. Utilizar indicadores-chave de risco (KRIs)
Ver resposta
Resposta correta: D
Pergunta #131
Qual das seguintes opções MELHOR mitigará o risco associado ao desalinhamento entre as TI e as empresas?
A. Introduzir um quadro estabelecido para a arquitetura de TI
B. Estabelecer indicadores-chave de desempenho da empresa (KPIs)
C. Envolver o proprietário do processo empresarial na estratégia de TI
D. Estabelecimento de indicadores-chave de risco (KRIs)
Ver resposta
Resposta correta: A
Pergunta #132
Qual das seguintes é a PRINCIPAL vantagem de envolver as partes interessadas na seleção dos principais indicadores de risco (KRI)?
A. Tirar partido das métricas existentes
B. Otimização das decisões de tratamento do risco
C. bter a adesão dos proprietários do risco
D. Melhorar a sensibilização para os riscos
Ver resposta
Resposta correta: C
Pergunta #133
A principal vantagem da implementação de uma estrutura de gestão de riscos de TI é a seguinte
A. Alinhamento dos objectivos comerciais com os objectivos de TI
B. elhoria dos controlos na organização e minimização das perdas
C. Cumprimento dos requisitos legais e regulamentares aplicáveis
D. Estabelecimento de uma base fiável para a tomada de decisões conscientes dos riscos
Ver resposta
Resposta correta: B
Pergunta #134
Henry é o patrocinador do projeto JQ e Nancy é a gestora do projeto. Henry pediu a Nancy que iniciasse o processo de identificação dos riscos do projeto, mas Nancy insiste que a equipa do projeto esteja envolvida no processo. Por que razão deve a equipa do projeto ser envolvida na identificação dos riscos?
A. Enquadramento
B. Requisitos legais
C. Padrão
D. Práticas
Ver resposta
Resposta correta: A
Pergunta #135
Uma organização está a considerar permitir que os utilizadores acedam aos dados da empresa a partir dos seus dispositivos pessoais. Qual dos seguintes factores é o MAIS importante na avaliação do risco?
A. Classificação dos dados
B. Tipo de dispositivo
C. Capacidades de gestão remota
D. Volume de dados
Ver resposta
Resposta correta: C
Pergunta #136
Qual das seguintes é a MELHOR ação para reduzir o impacto do risco?
A. riar uma política de segurança informática
B. Implementar controlos de deteção
C. Aplicar medidas correctivas
D. Tirar partido da tecnologia existente
Ver resposta
Resposta correta: C
Pergunta #137
É o gestor de projeto de um grande projeto de construção. Este projeto terá a duração de 18 meses e custará $750.000 para ser concluído. Está a trabalhar com a sua equipa de projeto, peritos e partes interessadas para identificar os riscos do projeto antes do início dos trabalhos. A administração quer saber por que razão agendou tantas reuniões de identificação de riscos ao longo do projeto, em vez de apenas inicialmente, durante o planeamento do projeto. Qual é a melhor razão para a duplicação das sessões de identificação de riscos?
A. As reuniões iterativas permitem que todas as partes interessadas participem nos processos de identificação dos riscos ao longo das fases do projeto
B. s reuniões iterativas permitem ao gestor de projeto discutir os eventos de risco que passaram pelo projeto e que não aconteceram
C. As reuniões iterativas permitem que o gestor do projeto e os participantes na identificação dos riscos identifiquem os novos eventos de risco descobertos ao longo do projeto
D. s reuniões iterativas permitem ao gestor de projeto comunicar os riscos pendentes durante a execução do projeto
Ver resposta
Resposta correta: C
Pergunta #138
Trabalha como gestor de projeto para a Bluewell Inc. Houve um atraso no seu trabalho de projeto que está a afetar negativamente o calendário do projeto. Decide, com a aprovação das partes interessadas, acelerar o trabalho do projeto para que este seja concluído mais rapidamente. Quando se acelera o projeto, o que é provável que aumente?
A. Necessidades de recursos humanos
B. Preocupações com o controlo da qualidade
C. ustos
D. Riscos
Ver resposta
Resposta correta: D
Pergunta #139
Qual dos seguintes é o MELHOR indicador-chave de desempenho (KPI) para medir a capacidade de fornecer serviços de TI ininterruptos?
A. Tempo médio entre falhas
B. Tempo de inatividade não planeado
C. Tempo médio de recuperação
D. Tempo de inatividade planeado
Ver resposta
Resposta correta: A
Pergunta #140
Qual das seguintes é a indicação MAIS FORTE de que os controlos implementados como parte de um plano de ação em matéria de riscos não são eficazes?
A. Ocorre uma violação de segurança
B. A auditoria interna identifica excepções recorrentes
C. As alterações são colocadas em produção sem a aprovação da direção
D. É utilizada uma amostra para validar o plano de ação
Ver resposta
Resposta correta: B
Pergunta #141
É o gestor de projeto do projeto ABS. O projeto consiste em criar uma rede informática nas instalações de uma escola. Durante a execução do projeto, a direção da escola pede para ativar o Wi-Fi no campus. Sabe que isso pode ter um impacto negativo no projeto. Discutiu o pedido de alteração com outras partes interessadas. Qual será o seu próximo passo?
A. tualizar o plano de gestão do projeto
B. Emitir um pedido de modificação
C. Analisar o impacto
D. Atualizar o plano de gestão dos riscos
Ver resposta
Resposta correta: C
Pergunta #142
Você é o gestor do projeto AFD da sua empresa. Está a trabalhar com a equipa do projeto para reavaliar os eventos de risco existentes e para identificar eventos de risco que não aconteceram e cuja relevância para o projeto já passou. O que deve fazer com estes eventos que não aconteceram e que não aconteceriam agora no projeto?
A. Adicionar o risco ao registo de problemas
B. Encerrar os riscos desactualizados
C. Adicionar os riscos ao registo de riscos
D. Adicionar os riscos a uma lista de vigilância de baixa prioridade
Ver resposta
Resposta correta: B
Pergunta #143
Você é o responsável pelo risco da sua empresa. A sua empresa toma decisões importantes sem considerar as informações sobre as credenciais de risco e também não tem conhecimento dos requisitos externos para a gestão do risco e a integração com a gestão do risco empresarial. Em qual dos seguintes níveis de maturidade da capacidade de gestão de riscos sua empresa se encontra?
A. Nível 1
B. ível 0
C. ível 5
D. Nível 4
Ver resposta
Resposta correta: B
Pergunta #144
É o profissional de risco da sua empresa. Precisa de calcular a potencial perda de receitas se ocorrer um determinado risco. A sua empresa tem um sítio Web eletrónico (comércio eletrónico) que gera receitas de 1 milhão de dólares por dia. Se ocorrer um ataque de negação de serviço (DoS) que dure meio dia, qual será a perda?
A. Análise dos dados
B. Validação de dados
C. Recolha de dados
D. Acesso aos dados
Ver resposta
Resposta correta: B
Pergunta #145
Onde estão documentados todos os riscos e respostas aos riscos à medida que o projeto avança?
A. Plano de gestão dos riscos
B. Plano de gestão do projeto
C. Plano de resposta aos riscos
D. Registo de riscos
Ver resposta
Resposta correta: D
Pergunta #146
Uma equipa de gestão está numa missão agressiva de lançamento de um novo produto para penetrar em novos mercados e ignora os factores de risco, as ameaças e as vulnerabilidades das TI. Este cenário demonstra MELHOR o risco de uma organização:
A. estão
B. nálise
C. ultura
D. olerância D
Ver resposta
Resposta correta: C
Pergunta #147
Uma organização deixou caducar o seu seguro contra riscos cibernéticos enquanto procurava um novo prestador de seguros. O profissional de riscos deve informar a direção de que o risco foi..:
A. ceite
B. tenuado
C. ransferido
D. vitado
Ver resposta
Resposta correta: A
Pergunta #148
Qual das seguintes situações é MAIS importante comunicar à gestão de topo durante a implementação inicial de um programa de gestão do risco?
A. Propriedade do risco
B. Melhores práticas
C. Nível de risco desejado
D. Conformidade regulamentar
Ver resposta
Resposta correta: A
Pergunta #149
Está a trabalhar num projeto numa empresa. Uma parte do seu projeto requer comércio eletrónico, mas a sua empresa optou por não o fazer. Este cenário está a demonstrar qual das seguintes formas?
A. Evitar o risco
B. ratamento de risco
C. ceitação do risco
D. ransferência de riscos
Ver resposta
Resposta correta: A
Pergunta #150
Qual das seguintes acções garante à gestão que os objectivos da organização estão protegidos da ocorrência de eventos de risco?
A. Controlo interno
B. Gestão dos riscos
C. Cobertura de riscos
D. Avaliação dos riscos
Ver resposta
Resposta correta: A
Pergunta #151
O objetivo PRIMÁRIO de exigir uma análise independente do processo de gestão dos riscos informáticos de uma organização deve ser o seguinte
A. Assegurar que a gestão do risco de TI se concentra na atenuação do risco potencial
B. Confirmar que os resultados da avaliação dos riscos informáticos são expressos em termos de impacto comercial
C. Avaliar as lacunas nas operações de gestão dos riscos informáticos e na orientação estratégica
D. erificar os controlos implementados para reduzir a probabilidade de materialização da ameaça
Ver resposta
Resposta correta: C
Pergunta #152
Uma organização foi notificada de que um administrador de TI demitido e mal-humorado tentou invadir a rede corporativa. Qual das seguintes descobertas deve ser a maior preocupação da organização?
A. Foi detectado um ataque de força bruta
B. Foi detectada uma verificação de vulnerabilidade externa
C. Foi observado um aumento dos pedidos de apoio
D. s registos de autenticação foram desactivados
Ver resposta
Resposta correta: D
Pergunta #153
Harry é o gestor de projeto do projeto HDW. Ele identificou um risco que poderia ferir os membros da equipa do projeto. Ele não quer aceitar qualquer risco de alguém se ferir neste projeto, pelo que contrata um fornecedor profissional para concluir esta parte do trabalho do projeto. Que tipo de resposta ao risco Harry está implementando?
A. São os indivíduos que mais provavelmente causarão e responderão aos eventos de risco
B. ão as pessoas que terão as melhores respostas para os eventos de risco identificados no projeto
C. São os indivíduos mais afectados pelos eventos de risco
D. São as pessoas que necessitam de um sentido de propriedade e de responsabilidade pelos eventos de risco
Ver resposta
Resposta correta: A
Pergunta #154
É o profissional de risco da sua empresa. Efectuou uma análise de custos e benefícios do controlo que adoptou. Quais são os benefícios de realizar uma análise de custos e benefícios do controlo? Cada resposta correcta representa uma solução completa. Escolha três.
A. O projeto está concluído e o sistema está em produção há um período de tempo suficiente
B. Durante o projeto
C. Imediatamente após a conclusão do projeto
D. O projeto está prestes a ser concluído
Ver resposta
Resposta correta: ACD
Pergunta #155
A avaliação qualitativa do risco utiliza qual dos seguintes termos para avaliar o nível de risco? Cada resposta correcta representa uma parte da solução. Escolha duas.
A. Cobertura de riscos
B. Aversão
C. Apetite
D. Tolerância
Ver resposta
Resposta correta: AC
Pergunta #156
Qual dos seguintes é o objetivo PRIMÁRIO de fornecer uma visão agregada do risco de TI à gestão empresarial?
A. Fornecer uma terminologia coerente e clara
B. Permitir uma análise adequada da tolerância ao risco
C. Identificar as dependências para a comunicação dos riscos
D. Permitir a obtenção de dados coerentes sobre o risco
Ver resposta
Resposta correta: B
Pergunta #157
De entre várias respostas ao risco, qual das seguintes respostas é utilizada para eventos de risco negativos?
A. artilhar
B. Melhorar
C. Explorar
D. Aceitar
Ver resposta
Resposta correta: D
Pergunta #158
Uma organização global está a considerar a aquisição de um concorrente. A direção solicitou uma análise do perfil de risco global da organização visada. Qual dos seguintes componentes desta análise forneceria as informações MAIS úteis?
A. Declaração de apetência pelo risco
B. Políticas de gestão do risco
C. Registo dos riscos
D. Quadro de gestão do risco empresarial
Ver resposta
Resposta correta: D
Pergunta #159
De entre várias respostas ao risco, qual das seguintes respostas é utilizada para eventos de risco negativos?
A. artilhar
B. Melhorar
C. Explorar
D. Aceitar
Ver resposta
Resposta correta: D
Pergunta #160
Qual é o valor do fator de exposição se o ativo se perder completamente?
A. Melhorar
B. Positivo
C. Oportunista
D. Explorar
Ver resposta
Resposta correta: A
Pergunta #161
O Adrian é gestor de um novo projeto que utiliza uma tecnologia que foi lançada recentemente e sobre a qual existe relativamente pouca informação. Os testes iniciais da tecnologia fazem com que a sua utilização pareça promissora, mas ainda há incerteza quanto à longevidade e fiabilidade da tecnologia. A Adrian quer considerar os factores tecnológicos como um risco para o seu projeto. Onde é que ela deve documentar os riscos associados a esta tecnologia para poder acompanhar o estado e as respostas aos riscos?
A. Declaração do âmbito do projeto
B. Carta do projeto
C. ista de vigilância de baixo nível de risco
D. Registo de riscos
Ver resposta
Resposta correta: D
Pergunta #162
O objetivo PRIMÁRIO da comunicação do estado do controlo informático é o seguinte
A. Assistir a auditoria interna na avaliação e no início dos esforços de correção
B. arantir a conformidade com a estratégia de governação das TI
C. acilitar a comparação entre o estado atual e o estado desejado
D. Comparar os controlos de TI com as normas da indústria
Ver resposta
Resposta correta: C
Pergunta #163
Qual das seguintes afirmações NÃO é verdadeira relativamente ao plano de gestão de riscos?
A. plano de gestão de riscos é um resultado do processo de Gestão de Riscos do Plano
B. O plano de gestão do risco é um contributo para todos os restantes processos de planeamento do risco
C. plano de gestão de riscos inclui uma descrição das respostas e dos factores de desencadeamento dos riscos
D. O plano de gestão de riscos inclui limiares, métodos de pontuação e interpretação, partes responsáveis e orçamentos
Ver resposta
Resposta correta: C
Pergunta #164
Qual dos seguintes é o MAIOR risco associado à utilização de dados não mascarados para fins de teste?
A. Confidencialidade
B. Integridade
C. isponibilidade
D. Responsabilidade
Ver resposta
Resposta correta: A
Pergunta #165
Qual das seguintes é a MELHOR abordagem a utilizar para criar um conjunto abrangente de cenários de risco de TI?
A. eunir cenários da direção
B. erivar cenários de políticas e normas de risco de TI
C. Cenários de referência em relação aos seus pares do sector
D. apear cenários para um quadro de gestão de risco reconhecido
Ver resposta
Resposta correta: D
Pergunta #166
Qual das seguintes é a caraterística MAIS importante de um programa de gestão de riscos eficaz?
A. Os planos de resposta aos riscos estão documentados
B. ão definidos indicadores-chave de risco
C. propriedade do risco é atribuída
D. Os controlos são mapeados para os principais cenários de risco
Ver resposta
Resposta correta: D
Pergunta #167
Uma organização determinou que um cenário de risco está fora do nível de tolerância ao risco definido. Qual deve ser o próximo passo?
A. Desenvolver um controlo de compensação
B. Identificar as respostas aos riscos
C. Atribuir recursos de correção
D. Efetuar uma análise custo-benefício
Ver resposta
Resposta correta: A
Pergunta #168
Qual das seguintes é a MAIOR preocupação quando se utiliza um conjunto genérico de cenários de risco informático para a análise de risco?
A. O risco inerente pode não ser considerado
B. Os custos de implementação podem aumentar
C. s factores de risco podem não ser relevantes para a organização
D. A análise quantitativa pode não ser possível
Ver resposta
Resposta correta: C
Pergunta #169
Foi nomeado gestor de projeto para um novo projeto que envolve o desenvolvimento de uma nova interface para o sistema de gestão de tempo existente. Concluiu a identificação de todos os riscos possíveis, juntamente com as partes interessadas e a equipa, e calculou a probabilidade e o impacto desses riscos. Qual das seguintes opções é necessária para o ajudar a dar prioridade aos riscos?
A. Diagrama de afinidade
B. Regras de notação de risco
C. Diagrama de rede do projeto
D. Categorias de risco
Ver resposta
Resposta correta: B
Pergunta #170
Você é o gestor do projeto PFO. Está a trabalhar com os membros da sua equipa de projeto e dois especialistas na matéria para avaliar os eventos de risco identificados no projeto. Qual das seguintes abordagens é a melhor para avaliar os eventos de risco no projeto?
A. Entrevistas ou reuniões
B. Determinação do custo real do acontecimento de risco
C. Matriz de probabilidade e impacto
D. Análise da causa raiz
Ver resposta
Resposta correta: A
Pergunta #171
Qual dos seguintes é o fator PRIMÁRIO na determinação de um objetivo de tempo de recuperação (RTO)?
A. Tempo de resposta do plano de ação de emergência
B. Custo do tempo de inatividade devido a uma catástrofe
C. Custo das instalações de cópia de segurança fora do local
D. Custo do teste do plano de continuidade da atividade
Ver resposta
Resposta correta: B
Pergunta #172
A Shelly é a gestora do projeto BUF da sua empresa. Neste projeto, a Shelly precisa de estabelecer algumas regras para reduzir a influência do enviesamento do risco durante o processo de análise qualitativa do risco. Que método pode a Shelly adotar para melhor reduzir a influência do enviesamento do risco?
A. Estabelecer limites de risco
B. grupar as partes interessadas de acordo com as partes interessadas positivas e negativas e, em seguida, concluir a análise de risco
C. eterminar a causa raiz do risco e não a pessoa que identifica os eventos de risco
D. stabelecer definições do nível de probabilidade e do impacto do evento de risco
Ver resposta
Resposta correta: D
Pergunta #173
Um gestor de riscos determinou que existe um risco excessivo numa determinada tecnologia. Quem é a MELHOR pessoa para assumir o risco não mitigado da tecnologia?
A. Proprietário do processo empresarial
B. Diretor financeiro
C. Responsável pelo risco
D. Proprietário do sistema informático
Ver resposta
Resposta correta: D
Pergunta #174
É o gestor de projeto da Bluewell Inc. O seu projeto tem vários riscos que irão afetar os requisitos de várias partes interessadas. Que plano de gestão do projeto definirá quem estará disponível para partilhar informações sobre os riscos do projeto?
A. Plano de gestão dos recursos
B. Plano de gestão dos riscos
C. Estratégia de gestão das partes interessadas
D. Plano de gestão das comunicações
Ver resposta
Resposta correta: D
Pergunta #175
O controlo de compensação que MAIS eficazmente resolve o risco associado à entrada numa área restrita sem uma porta de homem-morto é:
A. tilizando a autenticação de dois factores
B. Utilizar fechaduras biométricas nas portas
C. xigir que os empregados usem crachás de identificação
D. Formação de sensibilização para a segurança
Ver resposta
Resposta correta: D
Pergunta #176
Um indicador-chave de risco (KRI) é comunicado periodicamente à direção como tendo excedido os limites, mas de cada vez a direção decidiu não tomar qualquer medida para reduzir o risco. Qual das seguintes é a razão MAIS provável para a resposta da direção?
A. A fonte de dados subjacente ao KRI utiliza dados inexactos e deve ser corrigida
B. O limiar do KRI deve ser revisto para melhor se alinhar com a apetência pelo risco da organização
C. Os quadros superiores não compreendem o KRI e devem receber formação sobre o risco
D. O KRI não está a fornecer informações úteis e deve ser retirado do inventário KRI
Ver resposta
Resposta correta: B
Pergunta #177
Marie identificou um evento de risco no seu projeto que necessita de uma resposta de mitigação. Na verdade, a sua resposta cria um novo evento de risco que deve agora ser analisado e planeado. Que termo é dado a este novo evento de risco criado?
A. Risco residual
B. Risco secundário
C. Risco infinitivo
D. Risco populacional
Ver resposta
Resposta correta: B
Pergunta #178
Uma organização subcontratou as suas operações de segurança informática a um terceiro. Quem é ULTIMATAMENTE responsável pelo risco associado às operações subcontratadas?
A. O gabinete de gestão de fornecedores da organização
B. A direção da organização
C. Os operadores de controlo do terceiro
D. A gestão do terceiro
Ver resposta
Resposta correta: B
Pergunta #179
Para apoiar eficazmente as decisões empresariais, é necessário um registo dos riscos informáticos:
A. Refletir os resultados das avaliações de risco
B. poiar efetivamente um modelo de maturidade empresarial
C. Estar disponível para grupos operacionais
D. er analisados pelo comité diretor de TI
Ver resposta
Resposta correta: B
Pergunta #180
Qual das seguintes seria a MELHOR forma de ajudar a garantir a eficácia de um controlo de prevenção de perda de dados (DLP) que tenha sido implementado para evitar a perda de dados de cartões de crédito?
A. Revisão de registos para transferências de dados não autorizadas
B. Configurar o controlo DLP para bloquear números de cartões de crédito
C. Testar a transmissão de números de cartões de crédito
D. estar o processo de controlo de alterações de regras DLP
Ver resposta
Resposta correta: A
Pergunta #181
Um profissional de riscos descobriu recentemente que os dados confidenciais do ambiente de produção são necessários para fins de teste em ambientes que não são de produção. Qual das seguintes é a MELHOR recomendação para resolver esta situação?
A. Mascarar os dados antes de serem transferidos para o ambiente de teste
B. Implementar segurança equivalente no ambiente de teste
C. tivar a encriptação de dados no ambiente de teste
D. mpedir a utilização de dados de produção para fins de teste
Ver resposta
Resposta correta: B
Pergunta #182
Qual das seguintes é a PRINCIPAL razão para documentar o desempenho dos controlos?
A. Justificar o retorno do investimento
B. Demonstração de uma atenuação eficaz dos riscos
C. Fornecer relatórios de risco exactos
D. Obter a aprovação da direção
Ver resposta
Resposta correta: B
Pergunta #183
Qual das seguintes é a MELHOR forma de um profissional do risco ajudar a administração a priorizar a resposta ao risco?
A. Avaliar o risco em função dos objectivos comerciais
B. mplementar uma taxonomia de risco específica da organização
C. linhar os objectivos empresariais com o perfil de risco
D. Explicar os pormenores do risco à direção
Ver resposta
Resposta correta: C
Pergunta #184
Você é o gestor de projectos da sua empresa. Identificou novas ameaças e, em seguida, avaliou a capacidade dos controlos existentes para mitigar o risco associado às novas ameaças. Verificou que o controlo existente não é eficiente na mitigação destes novos riscos. Quais são as várias medidas que poderia tomar neste caso? Cada resposta correcta representa uma solução completa. (Escolha três.)
A. Risco de relevância
B. Risco de integridade
C. Risco de disponibilidade
D. Risco de acesso
Ver resposta
Resposta correta: ABC
Pergunta #185
Qual das seguintes opções é a MELHOR forma de atuar quando se verifica que o risco está acima do apetite de risco aceitável?
A. Executar o plano de resposta ao risco
B. Analisar a eficácia dos controlos
C. anter os controlos actuais
D. Rever os níveis de tolerância ao risco
Ver resposta
Resposta correta: B
Pergunta #186
Qual das seguintes opções é o PRIMEIRO passo para gerir o risco associado à fuga de dados confidenciais?
A. onduzir um programa de sensibilização para proprietários e utilizadores de dados
B. anter e rever o inventário de dados classificados
C. Implementar a encriptação obrigatória dos dados
D. Definir e implementar uma política de classificação de dados
Ver resposta
Resposta correta: A
Pergunta #187
A Della trabalha como gestora de projectos na Tech Perfect Inc. Ela está a estudar a documentação de planeamento de um projeto. A documentação indica que existem vinte e oito partes interessadas no projeto. Qual será o número de canais de comunicação para o projeto?
A. 50
B. 8
C. 78
D. 00
Ver resposta
Resposta correta: C
Pergunta #188
Foi eleito gestor de projeto do projeto GHT. Tem de iniciar o projeto. O seu documento de pedido de projeto foi aprovado e agora tem de começar a trabalhar no projeto. Qual é o PRIMEIRO passo que deve dar para iniciar o projeto?
A. Realizar um estudo de viabilidade
B. dquirir software
C. efinir os requisitos do projeto
D. Planear a gestão do projeto
Ver resposta
Resposta correta: A
Pergunta #189
Você é o gestor de um projeto para um cliente. O cliente prometeu à sua empresa um bónus, se o projeto for concluído mais cedo. Depois de estudar o trabalho do projeto, opta por interromper o projeto para cumprir a data de conclusão antecipada. Este é um exemplo de que tipo de resposta ao risco?
A. Reação negativa ao risco, porque o colapso irá aumentar os riscos
B. Resposta positiva ao risco, uma vez que o despiste é um exemplo de reforço
C. Resposta positiva ao risco, uma vez que o crashing é um exemplo de exploração
D. Reação negativa ao risco, porque o colapso irá aumentar os custos
Ver resposta
Resposta correta: B
Pergunta #190
Você é o profissional de risco da sua empresa. A sua empresa introduziu novos sistemas em muitos departamentos. Os requisitos comerciais que deveriam ser atendidos pelo novo sistema ainda não foram atendidos e o processo tem sido um desperdício de recursos. Mesmo que o sistema seja implementado, o mais provável é que seja subutilizado e não seja mantido, tornando-se obsoleto num curto espaço de tempo. Que tipo de risco é este?
A. Risco inerente
B. Risco comercial
C. Risco do projeto
D. Risco residual
Ver resposta
Resposta correta: B
Pergunta #191
Você é o gestor do projeto KJH e está a trabalhar com a sua equipa de projeto para planear as respostas aos riscos. Considere que seu projeto tem um orçamento de $500.000 e deve durar seis meses. No Projeto KJH, você identificou um evento de risco que tem uma probabilidade de 0,70 e um impacto de custo de $350.000. Quando se trata de criar uma resposta ao risco para esse evento, qual é a exposição ao risco do evento que deve ser considerada para o custo da resposta ao risco?
A. A exposição ao risco do evento é de $350
B. A exposição ao risco do evento é de $500
C. A exposição ao risco do evento é de $850
D. A exposição ao risco do evento é de $245
Ver resposta
Resposta correta: D
Pergunta #192
Qual dos seguintes é o MELHOR método para descobrir tipos de risco de elevado impacto?
A. Análise qualitativa dos riscos
B. Técnica Delphi
C. Análise dos modos de falha e dos efeitos
D. Análise quantitativa do risco
Ver resposta
Resposta correta: C
Pergunta #193
Uma organização identificou uma exposição ao risco devido a controlos técnicos fracos num sistema de RH recentemente implementado. O responsável pelo risco está a documentar o risco no registo de riscos. O risco deve ser propriedade do:
A. roprietário do processo empresarial
B. iretor de informação
C. estor de projeto
D. iretor de riscos
Ver resposta
Resposta correta: A
Pergunta #194
Depois de efetuar uma avaliação dos riscos de um sistema de produção, a ação MAIS adequada é o gestor de riscos
A. nformar o gestor informático das preocupações e propor medidas para as reduzir
B. nformar o proprietário do processo das preocupações e propor medidas para as reduzir
C. nformar a equipa de desenvolvimento das preocupações e, em conjunto, formular medidas de redução dos riscos
D. ecomendar um programa que minimize as preocupações desse sistema de produção
Ver resposta
Resposta correta: A
Pergunta #195
Qual das seguintes opções indica MELHOR uma gestão eficaz de incidentes de segurança da informação?
A. Frequência dos ensaios do plano de resposta a incidentes de segurança da informação
B. Percentagem de incidentes de segurança de alto risco
C. volução mensal dos incidentes relacionados com a segurança da informação
D. Tempo médio para identificar incidentes críticos de segurança da informação
Ver resposta
Resposta correta: D
Pergunta #196
Qual dos seguintes é o objetivo MAIS importante do controlo do sistema de informação?
A. Os objectivos empresariais são alcançados e os eventos de risco indesejados são detectados e corrigidos
B. Garantir a eficácia e a eficiência das operações
C. Desenvolver planos de continuidade das actividades e de recuperação de desastres
D. Salvaguarda dos activos
Ver resposta
Resposta correta: A
Pergunta #197
Um profissional de risco está a resumir os resultados de uma avaliação de risco de alto nível patrocinada pela gestão de topo. A MELHOR maneira de apoiar as decisões baseadas no risco pela gerência sênior seria:
A. uantificar os principais indicadores de risco (KRI)
B. ecomendar limiares de tolerância ao risco
C. ornecer uma análise pormenorizada quantificada
D. elacionar os resultados com os objectivos
Ver resposta
Resposta correta: D
Pergunta #198
Qual dos seguintes riscos se refere à probabilidade de o retorno efetivo de um investimento ser inferior às expectativas do investidor?
A. Risco de integridade
B. Risco de propriedade do projeto
C. Risco de relevância
D. Risco de despesas
Ver resposta
Resposta correta: D
Pergunta #199
Qual dos seguintes elementos de um registo de riscos é MAIS suscetível de ser alterado em resultado de uma alteração da apetência pelo risco por parte da gestão?
A. Probabilidade e impacto do risco
B. Velocidade do risco
C. Risco inerente
D. Limiares dos indicadores-chave de risco (KRI)
Ver resposta
Resposta correta: D
Pergunta #200
Uma análise dos controlos de uma organização determinou que o seu sistema de prevenção de perda de dados (DLP) não consegue detetar e-mails de saída que contêm dados de cartões de crédito
A. Apetite pelo risco
B. Risco residual
C. Principais indicadores de risco (KRIs)
D. Risco inerente
Ver resposta
Resposta correta: B
Pergunta #201
Depois de mapear os cenários de risco genéricos para as políticas de segurança da organização, o próximo passo deve ser:
A. egistar os cenários de risco no registo de riscos para análise
B. alidar os cenários de risco quanto à aplicabilidade comercial
C. Reduzir o número de cenários de risco para um conjunto gerível
D. fetuar uma análise de risco sobre os cenários de risco
Ver resposta
Resposta correta: B
Pergunta #202
Uma organização opera num ambiente em que a redução do tempo de colocação no mercado de novos produtos de software é uma das principais prioridades da empresa. Qual das seguintes opções deve ser a MAIOR preocupação do profissional de risco?
A. A infraestrutura de correio eletrónico não tem planos de reversão adequados
B. Não são atribuídos recursos suficientes aos projectos de desenvolvimento informático
C. O sistema de correio eletrónico da empresa não identifica nem armazena os e-mails de phishing
D. O pessoal do serviço de apoio ao cliente não tem formação adequada
Ver resposta
Resposta correta: B
Pergunta #203
Qual das seguintes seria a MAIOR preocupação de um profissional do risco relacionada com a monitorização dos principais indicadores de risco (KRI)?
A. Os registos são conservados por um período mais longo do que o exigido pela política de conservação de dados
B. Os registos são encriptados durante a transmissão do sistema para as ferramentas de análise
C. Os registos são modificados antes da realização da análise
D. Os registos são recolhidos de um pequeno número de sistemas
Ver resposta
Resposta correta: D
Pergunta #204
Qual das seguintes opções é a MAIS importante a assegurar quando se monitoriza continuamente o desempenho de uma aplicação virada para o cliente?
A. As informações de desempenho no registo são encriptadas
B. Os proprietários do controlo aprovam as alterações de controlo
C. s objectivos são confirmados com o proprietário da empresa
D. Foram realizados testes de aceitação pelo utilizador final
Ver resposta
Resposta correta: D
Pergunta #205
Qual das seguintes opções fornece a uma organização MAIS informações sobre a prontidão operacional associada ao risco?
A. Resultados da avaliação da maturidade das capacidades
B. Actas das reuniões do Comité de Risco da Empresa
C. Avaliação comparativa com as normas do sector
D. Autoavaliação das capacidades
Ver resposta
Resposta correta: D
Pergunta #206
A direção exigiu uma formação de sensibilização para a segurança da informação para reduzir o risco associado ao comprometimento de credenciais. Qual é a MELHOR forma de avaliar a eficácia da formação?
A. Efetuar testes de engenharia social
B. Efetuar uma avaliação de vulnerabilidades
C. Auditar os materiais de formação de sensibilização para a segurança
D. Administrar um questionário de fim de formação
Ver resposta
Resposta correta: A
Pergunta #207
Qual das seguintes opções MELHOR ajudaria a garantir a identificação de actividades de rede suspeitas?
A. Analisar os registos do servidor
B. Coordenar os eventos com os organismos competentes
C. Analisar os registos do sistema de deteção de intrusões (IDS)
D. Utilizar um fornecedor de monitorização externo
Ver resposta
Resposta correta: C
Pergunta #208
Você é o gestor do projeto NHH. Está a trabalhar com a equipa do projeto para criar um plano que documente os procedimentos de gestão de riscos ao longo do projeto. Este documento definirá como os riscos serão identificados e quantificados. Que documento é que você e a sua equipa estão a criar neste cenário?
A. Plano do projeto
B. Plano de gestão dos recursos
C. Plano de gestão do projeto
D. Plano de gestão dos riscos
Ver resposta
Resposta correta: D
Pergunta #209
Qual das seguintes opções é a MAIS importante para avaliar a eficácia operacional de um controlo recentemente implementado?
A. São utilizadas técnicas de auditoria contínua para assegurar o acompanhamento permanente do controlo
B. s proprietários dos controlos efectuam um acompanhamento e uma comunicação atempados dos resultados dos controlos
C. Os dados de base utilizados para o desempenho do controlo são exactos e completos
D. Os resultados dos testes de autoavaliação são regularmente verificados por testes de controlo independentes
Ver resposta
Resposta correta: A
Pergunta #210
Está a trabalhar numa empresa. A sua empresa está disposta a aceitar um determinado nível de risco. Como se chama esse risco?
A. Gestão da configuração
B. Gestão das comunicações
C. ealizar um processo integrado de controlo das alterações
D. Processo de controlo das alterações do projeto
Ver resposta
Resposta correta: C
Pergunta #211
Qual dos seguintes indicadores-chave de risco (KRIs) é MAIS eficaz para monitorizar o risco relacionado com um programa BYOD (Bring Your Own Device)?
A. Número de incidentes com origem em dispositivos BYOD
B. Orçamento atribuído aos controlos de segurança do programa BYOD
C. Número de dispositivos inscritos no programa BYOD
D. Número de utilizadores que assinaram uma política de utilização aceitável de BYOD
Ver resposta
Resposta correta: A
Pergunta #212
Os participantes num workshop sobre riscos concentraram-se no custo financeiro para mitigar o risco, em vez de escolherem a resposta mais adequada. Qual das seguintes é a MELHOR forma de abordar este tipo de problema a longo prazo?
A. ever o registo de riscos e os cenários de risco
B. Calcular a expetativa de perda anualizada dos cenários de risco
C. umentar a maturidade da gestão do risco organizacional
D. Efetuar uma análise do retorno do investimento
Ver resposta
Resposta correta: B
Pergunta #213
Qual das seguintes afirmações NÃO é verdadeira para a governação do risco?
A. A governação dos riscos baseia-se nos princípios da cooperação, participação, atenuação e sustentabilidade, e é adoptada para conseguir uma gestão mais eficaz dos riscos
B. A governação do risco exige a apresentação de relatórios uma vez por ano
C. A governação do risco procura reduzir a exposição ao risco e a vulnerabilidade, colmatando as lacunas da política de risco
D. A governação do risco é uma abordagem sistémica dos processos de tomada de decisão associados aos riscos naturais e tecnológicos
Ver resposta
Resposta correta: B
Pergunta #214
A que nível o risco deve ser reduzido para atingir o objetivo da gestão do risco?
A. Para um nível em que o ALE é inferior ao SLE
B. Para um nível em que a ARO seja igual à SLE
C. A um nível que uma organização possa aceitar
D. A um nível que uma organização possa atenuar
Ver resposta
Resposta correta: C
Pergunta #215
Em qual das seguintes condições as unidades empresariais tendem a apontar o dedo às TI quando os projectos não são entregues a tempo?
A. Identificação de ameaças no projeto
B. Falha do sistema
C. Desalinhamento entre a apetência real pelo risco e a tradução em políticas
D. Existência de uma cultura de culpa
Ver resposta
Resposta correta: D
Pergunta #216
Qual das seguintes opções deve ser considerada para garantir que as respostas ao risco adoptadas são rentáveis e estão alinhadas com os objectivos empresariais? Cada resposta correcta representa uma parte da solução. Escolha três.
A. Plano de gestão do projeto
B. Plano de comunicação do projeto
C. Relação contratual do projeto com o fornecedor
D. Declaração do âmbito do projeto
Ver resposta
Resposta correta: ABD
Pergunta #217
Qual das seguintes pessoas é responsável pela identificação dos requisitos do processo, pela aprovação da conceção do processo e pela gestão do desempenho do processo?
A. Proprietário do processo empresarial
B. Proprietário do risco
C. Diretor financeiro
D. Diretor de informação
Ver resposta
Resposta correta: A
Pergunta #218
Várias contas de utilizador de rede foram recentemente criadas sem as aprovações de gestão necessárias. Qual das seguintes seria a MELHOR recomendação do profissional de risco para resolver esta situação?
A. Investigar a causa principal da não conformidade
B. Declarar uma violação da segurança e informar a direção
C. esenvolver um procedimento de resposta a incidentes por incumprimento
D. Efetuar uma análise exaustiva da conformidade
Ver resposta
Resposta correta: A
Pergunta #219
É o gestor de projeto de um projeto HGT que terminou recentemente o processo de compilação final. O cliente do projeto assinou a conclusão do projeto e você tem de realizar algumas actividades administrativas de encerramento. No projeto, havia vários riscos importantes que poderiam ter destruído o projeto, mas você e a sua equipa de projeto encontraram novos métodos para resolver os riscos sem afetar os custos ou a data de conclusão do projeto. O que deve fazer com as respostas aos riscos que identificou?
A. Incluir as respostas no plano de gestão do projeto
B. Incluir as respostas aos riscos no plano de gestão de riscos
C. ncluir as respostas aos riscos na base de dados de lições aprendidas da organização
D. ada
Ver resposta
Resposta correta: C
Pergunta #220
Qual das seguintes opções MELHOR ajudará uma organização a avaliar o ambiente de controlo de vários fornecedores terceiros?
A. Analisar os indicadores de desempenho dos fornecedores relativamente à qualidade e à entrega dos processos
B. Analisar as avaliações de risco internas dos fornecedores que abrangem os principais riscos e controlos
C. Obter relatórios de controlo independentes de fornecedores de alto risco
D. bter referências de fornecedores de terceiros
Ver resposta
Resposta correta: A
Pergunta #221
As avaliações dos riscos informáticos podem ser utilizadas da melhor forma pela direção:
A. ara medir o sucesso organizacional
B. omo contributo para a tomada de decisões
C. omo base para a análise custo-benefício
D. ara o cumprimento das leis e regulamentos
Ver resposta
Resposta correta: B
Pergunta #222
É MAIS importante para um profissional de risco ter consciência dos processos de uma organização para
A. fetuar uma análise de impacto comercial
B. stabelecer directrizes de risco
C. ompreender a conceção do controlo
D. dentificar potenciais fontes de risco
Ver resposta
Resposta correta: D
Pergunta #223
Você é o gestor de projeto do projeto HWD. Este projeto requer a instalação de algumas máquinas eléctricas. Você e a equipa do projeto decidiram contratar um eletricista, uma vez que o trabalho elétrico pode ser demasiado perigoso. Que tipo de resposta ao risco está a seguir?
A. Evitar
B. Transferência
C. Mitigação
D. Aceitação
Ver resposta
Resposta correta: B
Pergunta #224
É o gestor de projeto de um grande projeto de rede. Durante a fase de execução, o cliente solicita uma alteração ao plano de projeto existente. Qual será a sua ação imediata?
A. tualizar o registo de riscos
B. Pedir um pedido formal de alteração
C. Ignorar o pedido, uma vez que o projeto se encontra na fase de execução
D. Recusar o pedido de modificação
Ver resposta
Resposta correta: B
Pergunta #225
Foram perdidos dados sensíveis depois de um funcionário ter inadvertidamente removido um ficheiro das instalações, violando a política da organização. Qual dos seguintes controlos é mais provável ter falhado?
A. Controlo dos antecedentes
B. Formação de sensibilização
C. Acesso do utilizador
D. Gestão de políticas
Ver resposta
Resposta correta: B
Pergunta #226
Em resposta à ameaça de ransomware, uma organização implementou actividades de sensibilização para a cibersegurança. A MELHOR recomendação do profissional de risco para reduzir ainda mais o impacto dos ataques de ransomware seria implementar:
A. ncriptação para dados em repouso
B. ncriptação de dados em movimento
C. utenticação de dois factores
D. ontrolos contínuos de cópia de segurança de dados
Ver resposta
Resposta correta: D
Pergunta #227
Durante uma sessão de análise de cenários de risco de TI, os executivos questionam por que razão lhes foi atribuída a responsabilidade pelos cenários de risco relacionados com as TI. Eles acham que o risco de TI é de natureza técnica e, portanto, deve ser de propriedade da TI. Qual das alternativas a seguir é a MELHOR maneira de o profissional de risco abordar essas preocupações?
A. ecomendar a formação de um conselho de risco executivo para supervisionar o risco informático
B. Fornecer uma estimativa do tempo de inatividade do sistema informático se o risco informático se concretizar
C. escrever os cenários de risco informático em termos de risco empresarial
D. ducar os executivos de negócios sobre os conceitos de risco de TI
Ver resposta
Resposta correta: C
Pergunta #228
Qual dos seguintes factores é o MAIS importante quando se decide sobre um controlo para atenuar a exposição ao risco?
A. Comparação com as melhores práticas
B. Relevância para o processo comercial
C. Requisitos de conformidade regulamentar
D. Análise custo-benefício
Ver resposta
Resposta correta: B
Pergunta #229
A administração reparou que os custos de armazenamento aumentaram exponencialmente nos últimos 10 anos porque a maioria dos utilizadores não elimina os seus e-mails. Qual das seguintes opções pode ser a MELHOR para aliviar este problema sem sacrificar a segurança?
A. Estabelecer a descoberta eletrónica e a prevenção da perda de dados (DLP)
B. nvio de notificações quando a quota de armazenamento está próxima
C. Implementação de ferramentas e técnicas de conservação de registos
D. Implementação de uma política de "trazer o seu próprio dispositivo" (BYOD)
Ver resposta
Resposta correta: B
Pergunta #230
Você é o gestor do projeto NGQQ da sua empresa. Para o ajudar a comunicar o estado do projeto às partes interessadas, vai criar um registo das partes interessadas. Todas as informações seguintes devem ser incluídas no registo das partes interessadas, exceto qual delas?
A. Estratégia de gestão das partes interessadas
B. Informações sobre a avaliação dos principais requisitos, expectativas e potencial influência das partes interessadas
C. Informações de identificação de cada parte interessada
D. Classificação das partes interessadas quanto ao seu papel no projeto
Ver resposta
Resposta correta: A
Pergunta #231
Está a preparar-se para concluir o processo de análise de risco quantitativo com a sua equipa de projeto e vários especialistas na matéria. Reúne os dados necessários, incluindo o plano de gestão de custos do projeto. Por que razão é necessário incluir o plano de gestão de custos do projeto na preparação do processo de análise quantitativa dos riscos?
A. plano de gestão de custos do projeto fornece um controlo que pode ajudar a determinar a estrutura para a análise quantitativa do orçamento
B. O plano de gestão dos custos do projeto pode ajudar a determinar o custo total do projeto
C. plano de gestão de custos do projeto fornece orientações sobre a forma como os custos podem ser alterados devido a riscos identificados
D. O plano de gestão dos custos do projeto não é um contributo para o processo de análise quantitativa dos riscos
Ver resposta
Resposta correta: A
Pergunta #232
Trabalha como gestor de projectos na TechSoft Inc. Está a trabalhar com as partes interessadas do projeto no processo de análise qualitativa dos riscos do seu projeto. Utilizou todas as ferramentas para o processo de análise qualitativa do risco no seu projeto. Qual das seguintes técnicas NÃO é utilizada como ferramenta no processo de análise qualitativa do risco?
A. Avaliação da urgência do risco
B. Reavaliação dos riscos
C. valiação da qualidade dos dados de risco
D. Categorização do risco
Ver resposta
Resposta correta: B
Pergunta #233
Um profissional de riscos observou que existe uma tendência crescente para os utilizadores enviarem informações sensíveis por correio eletrónico sem utilizarem encriptação. Qual das seguintes opções seria a abordagem MAIS eficaz para mitigar o risco associado à perda de dados?
A. mplementar uma ferramenta para criar e distribuir relatórios de violação
B. loquear mensagens de correio eletrónico de saída não encriptadas que contenham dados sensíveis
C. Implementar um processo disciplinar progressivo para as violações do correio eletrónico
D. Sensibilizar para os requisitos de encriptação de dados sensíveis
Ver resposta
Resposta correta: B
Pergunta #234
Qual das seguintes opções deve ser o foco PRIMÁRIO de um proprietário do risco, uma vez tomada a decisão de mitigar um risco?
A. Determinação dos processos de monitorização da eficácia dos controlos
B. Confirmar à gestão que os controlos reduzem a probabilidade do risco
C. Atualização do registo dos riscos para incluir o plano de atenuação dos riscos
D. Garantir que a conceção do controlo reduz o risco para um nível aceitável
Ver resposta
Resposta correta: D
Pergunta #235
Qual dos seguintes indicadores-chave de risco (KRI) de TI fornece à administração o MELHOR feedback sobre a capacidade de TI?
A. Tendências na utilização de recursos de TI
B. Maior disponibilidade de recursos
C. Tendências nos custos de manutenção de TI
D. umento do número de incidentes
Ver resposta
Resposta correta: D
Pergunta #236
Trabalha como gestor de projeto na Bluewell Inc.. Está a aproximar-se da fase final da execução do projeto e a preparar as actividades finais de monitorização e controlo dos riscos. Para os arquivos do seu projeto, qual dos seguintes elementos é um resultado da monitorização e controlo dos riscos?
A. Análise qualitativa dos riscos
B. Auditorias de risco
C. Análise quantitativa dos riscos
D. Alterações solicitadas
Ver resposta
Resposta correta: D
Pergunta #237
Quais das seguintes directrizes devem ser seguidas para uma gestão de riscos eficaz? Cada resposta correcta representa uma solução completa. Escolha três.
A. Sistema de gestão da configuração
B. Controlo integrado das alterações
C. Registo de alterações
D. Sistema de controlo das alterações do âmbito
Ver resposta
Resposta correta: BCD
Pergunta #238
Quais são as funções da auditoria e do controlo da responsabilidade? Cada resposta correcta representa uma solução completa. (Escolha três.)
A. O nível de risco aumenta acima da apetência pelo risco
B. Aumento do nível de risco acima da tolerância ao risco
C. O nível de risco equivale à apetência pelo risco
D. O nível de risco equivale à tolerância ao risco
Ver resposta
Resposta correta: ACD
Pergunta #239
Que tolerância ao risco é mais importante quando se toma uma decisão de risco?
A. Clientes que seriam afectados por uma violação
B. O gestor da segurança da informação
C. O proprietário do processo empresarial dos activos expostos
D. Auditores, reguladores e organizações de normas
Ver resposta
Resposta correta: D
Pergunta #240
Qual dos seguintes nós da análise da árvore de decisão representa o ponto de partida da árvore de decisão?
A. Nó de decisão
B. Nó final
C. Nó de evento
D. Nó raiz
Ver resposta
Resposta correta: D
Pergunta #241
Qual das seguintes opções descreve MELHOR a utilidade de um risco?
A. O incentivo financeiro subjacente ao risco
B. A oportunidade potencial do risco
C. A mecânica do funcionamento de um risco
D. A utilidade do risco para indivíduos ou grupos
Ver resposta
Resposta correta: D
Pergunta #242
Na fase de iniciação do projeto do ciclo de vida do desenvolvimento do sistema, existem informações sobre o projeto iniciadas por qual dos seguintes intervenientes?
A. RO
B. Patrocinador
C. Gestão de empresas
D. IO
Ver resposta
Resposta correta: B
Pergunta #243
Qual das seguintes opções é um resultado CHAVE da propriedade do risco?
A. As informações relativas aos riscos são comunicadas
B. As responsabilidades pelos riscos são abordadas
C. São definidas tarefas orientadas para o risco
D. O risco do processo empresarial é analisado
Ver resposta
Resposta correta: B
Pergunta #244
Qual das seguintes opções seria a MELHOR forma de garantir que os cenários de risco identificados são abordados?
A. Monitorização em tempo real das ameaças
B. riar um registo de riscos separado para as principais unidades de negócio
C. Realização de auto-avaliações regulares do controlo dos riscos
D. Revisão da implementação da resposta ao risco
Ver resposta
Resposta correta: D
Pergunta #245
Quais das seguintes opções são componentes de risco da estrutura COSO ERM? Cada resposta correcta representa uma solução completa. Escolha três.
A. Listagem das respostas aos riscos
B. Matriz de classificação dos riscos
C. Listagem dos riscos prioritários
D. Resultados da análise qualitativa
Ver resposta
Resposta correta: ABD
Pergunta #246
Uma revisão por pares de uma avaliação de risco descobre que uma comunidade de ameaças relevante não foi incluída. A mitigação do risco exigirá alterações substanciais a uma aplicação de software. Qual das seguintes opções é a MELHOR linha de ação?
A. Pedir à empresa que efectue um pedido de orçamento para resolver o problema
B. Pesquisar os tipos de ataques que a ameaça pode apresentar
C. eterminar o impacto da ameaça em falta
D. Criar um caso comercial para corrigir a correção
Ver resposta
Resposta correta: C
Pergunta #247
Qual das seguintes abordagens à prestação de serviços BYOD (Bring Your Own Device) oferece a MELHOR proteção contra a perda de dados?
A. Testes de penetração e tempos limite de sessão
B. Implementar monitorização remota
C. Aplicar palavras-passe fortes e encriptação de dados
D. tivar capacidades de limpeza de dados
Ver resposta
Resposta correta: B
Pergunta #248
Qual das seguintes afirmações é verdadeira para o nível 3 de maturidade da capacidade de gestão de riscos da empresa?
A. Probabilidades
B. Ameaças
C. Vulnerabilidades
D. Impactos
Ver resposta
Resposta correta: ABD
Pergunta #249
Qual dos seguintes riscos operacionais garante que o fornecimento de um produto de qualidade não é ofuscado pelos custos de produção desse produto?
A. Riscos para a segurança da informação
B. Riscos contratuais e de responsabilidade pelos produtos
C. Riscos da atividade do projeto
D. Riscos operacionais de rentabilidade
Ver resposta
Resposta correta: D
Pergunta #250
Stephen é o gestor de projeto do projeto GBB. Ele trabalhou com dois especialistas no assunto e com a sua equipa de projeto para completar a técnica de avaliação de riscos. Existem aproximadamente 47 riscos que têm uma baixa probabilidade e um baixo impacto no projeto. Qual das seguintes respostas descreve melhor o que Stephen deve fazer com esses eventos de risco?
A. or serem de baixa probabilidade e baixo impacto, Stephen deve aceitar os riscos
B. Os riscos de baixa probabilidade e de baixo impacto devem ser acrescentados a uma lista de observação para acompanhamento futuro
C. Por serem de baixa probabilidade e baixo impacto, os riscos podem ser descartados
D. Os riscos de baixa probabilidade e de baixo impacto devem ser acrescentados ao registo de riscos
Ver resposta
Resposta correta: B
Pergunta #251
Qual das seguintes é a vantagem MAIS importante dos indicadores-chave de risco (KRIs)?
A. Ajudar a otimizar continuamente a governação do risco
B. Fornecer um alerta precoce para tomar medidas proactivas
C. Permitir a documentação e a análise das tendências
D. Garantir a conformidade com os requisitos regulamentares
Ver resposta
Resposta correta: A
Pergunta #252
Qual dos seguintes é o MELHOR indicador-chave de desempenho (KPI) para medir a maturidade do processo de tratamento de incidentes de segurança de uma organização?
A. O número de incidentes de segurança resolvidos
B. O número de incidentes de segurança comunicados à direção
C. O número de incidentes de segurança recentemente identificados
D. O número de incidentes de segurança recorrentes
Ver resposta
Resposta correta: D
Pergunta #253
Qual das seguintes opções NÃO é utilizada para medir os factores críticos de sucesso do projeto?
A. Produtividade
B. Qualidade
C. uantidade
D. Serviço ao cliente
Ver resposta
Resposta correta: C
Pergunta #254
Quem é o proprietário MAIS adequado para o risco informático recentemente identificado?
A. O gestor responsável pelas operações de TI que apoiarão os esforços de atenuação do risco
B. A pessoa com mais conhecimentos sobre o assunto relacionado com o risco informático
C. O indivíduo com autoridade para afetar recursos organizacionais para mitigar o risco
D. Um gestor de projeto capaz de dar prioridade aos esforços de correção dos riscos
Ver resposta
Resposta correta: B
Pergunta #255
É um gestor de projectos experiente a quem foi confiado um projeto de desenvolvimento de uma máquina que produz componentes para automóveis. Marcou reuniões com a equipa do projeto e as principais partes interessadas para identificar os riscos do projeto. Qual das seguintes opções é um resultado fundamental deste processo?
A. Registo de riscos
B. Plano de gestão dos riscos
C. Estrutura de repartição dos riscos
D. Categorias de risco
Ver resposta
Resposta correta: A
Pergunta #256
Uma empresa identificou eventos de risco num projeto. Ao responder a estes eventos de risco identificados, qual das seguintes partes interessadas é MAIS importante para rever as opções de resposta a um risco informático.
A. Gestores de segurança da informação
B. Auditores internos
C. Membros da equipa de resposta a incidentes
D. Gestores de empresas
Ver resposta
Resposta correta: D
Pergunta #257
Qual das seguintes opções seria MAIS útil para um técnico de riscos ao assegurar que o risco atenuado se mantém dentro de limites aceitáveis?
A. Implementação de um processo de monitorização contínua da eficácia do controlo
B. onceber um processo para que os proprietários do risco revejam periodicamente o risco identificado
C. Assegurar que os proprietários do risco participam num processo de teste de controlo periódico
D. onstruir um perfil de risco organizacional depois de atualizar o registo de riscos
Ver resposta
Resposta correta: A
Pergunta #258
Qual das seguintes situações é MELHOR descrita pela definição que se segue? "São grandes influenciadores da probabilidade e do impacto dos cenários de risco e devem ser tidos em conta em todas as análises de risco, quando a probabilidade e o impacto são avaliados."
A. Risco obscuro
B. Factores de risco
C. Análise de risco
D. Evento de risco
Ver resposta
Resposta correta: B
Pergunta #259
Quais das seguintes opções fazem parte da classe de controlos de gestão? Cada resposta correcta representa uma solução completa. (Escolha duas.)
A. Aceitação
B. Evitar
C. Explorar
D. Melhorar
Ver resposta
Resposta correta: AC
Pergunta #260
Qual das seguintes é a MAIOR vantagem para uma organização quando as actualizações do registo do risco são feitas imediatamente após a conclusão de uma avaliação do risco?
A. Melhoria da comunicação com os quadros superiores
B. Maior sensibilização para a gestão dos riscos
C. Decisões de tratamento de risco optimizadas
D. Melhoria da colaboração entre profissionais de risco
Ver resposta
Resposta correta: B
Pergunta #261
Uma organização implementou um controlo preventivo para bloquear contas de utilizadores após três tentativas de início de sessão sem sucesso. Esta prática provou ser improdutiva e foi recomendada uma alteração do valor do limiar de controlo. Quem deve autorizar a alteração deste limiar?
A. Proprietário do controlo
B. Gestor de segurança informática
C. Proprietário do risco
D. Proprietário do sistema informático
Ver resposta
Resposta correta: A
Pergunta #262
Qual das seguintes técnicas examina o grau em que os pontos fortes da organização compensam as ameaças e oportunidades que podem servir para superar os pontos fracos?
A. Análise SWOT
B. Delphi
C. Brainstorming
D. Parecer de peritos
Ver resposta
Resposta correta: A
Pergunta #263
Qual dos seguintes processos SI fornece informações indirectas? Cada resposta correcta representa uma solução completa. Escolha três.
A. Perda de 250 000 dólares americanos
B. erda de 500 000 dólares americanos
C. erda de 1 milhão de dólares americanos
D. Perda de 100 000 dólares americanos
Ver resposta
Resposta correta: ABC
Pergunta #264
O MELHOR controlo para atenuar o risco associado ao desfasamento do âmbito do projeto é
A. onsultar regularmente os quadros superiores
B. plicar procedimentos de gestão da mudança
C. ssegurar uma ampla participação dos utilizadores
D. Utilizar ferramentas CASE no desenvolvimento de software
Ver resposta
Resposta correta: A
Pergunta #265
Qual das seguintes opções MELHOR ajudaria a minimizar o risco associado às ameaças de engenharia social?
A. ever a apetência pelo risco da organização
B. Aplicação de sanções aos trabalhadores
C. Aplicação da separação de funções
D. Realização de exercícios de phishing
Ver resposta
Resposta correta: D
Pergunta #266
Um fornecedor de serviços de terceiros de confiança determinou que o risco de os sistemas de um cliente serem pirateados é baixo. Qual das seguintes opções seria a MELHOR forma de atuação do cliente?
A. Efetuar uma auditoria independente ao terceiro
B. Aceitar o risco com base na avaliação de risco do terceiro
C. Efetuar a sua própria avaliação dos riscos
D. Implementar controlos adicionais para fazer face ao risco
Ver resposta
Resposta correta: A
Pergunta #267
Uma organização global está a planear recolher dados sobre o comportamento dos clientes através de publicidade nas redes sociais. Qual dos seguintes é o risco empresarial MAIS importante a considerar?
A. Os requisitos regulamentares podem ser diferentes em cada país
B. A publicidade das empresas terá de ser adaptada a cada país
C. A análise dos dados pode ser ineficaz para atingir os objectivos
D. A amostragem de dados pode ser afetada por várias restrições do sector
Ver resposta
Resposta correta: A
Pergunta #268
Em qual dos seguintes níveis de maturidade da capacidade de gestão do risco o apetite e a tolerância ao risco são aplicados apenas durante as avaliações episódicas do risco?
A. Nível 3
B. Nível 2
C. ível 4
D. Nível 1
Ver resposta
Resposta correta: D
Pergunta #269
A realização de uma verificação dos antecedentes de um candidato a novo empregado antes da contratação é um exemplo de que tipo de controlo?
A. Compensação
B. Preventiva
C. Detetive
D. Correctiva
Ver resposta
Resposta correta: B
Pergunta #270
Quem deve ser responsável pela monitorização do ambiente de controlo para garantir que os controlos são eficazes?
A. Proprietário do risco
B. Operações de controlo de segurança
C. Proprietário dos dados afectados
D. Proprietário do sistema
Ver resposta
Resposta correta: B
Pergunta #271
Qual das seguintes afirmações é verdadeira para o Índice de Desempenho de Custos (IPC)?
A. e o IPC > 1, indica um desempenho melhor do que o esperado do projeto
B. PC = Valor de Ganho (EV) * Custo Real (AC)
C. É utilizado para medir o desempenho do calendário
D. e o IPC = 1, indica um mau desempenho do projeto
Ver resposta
Resposta correta: A
Pergunta #272
Qual dos seguintes é o indicador MAIS útil para medir a eficiência de um processo de gestão de identidades e acessos?
A. Tempo médio para aprovisionar contas de utilizador
B. Volume de reposição de senhas por mês
C. úmero de tickers para provisionamento de novas contas
D. Tempo médio de bloqueio de conta
Ver resposta
Resposta correta: A
Pergunta #273
Qual das seguintes opções é um controlo administrativo?
A. Deteção de água
B. Controlo da razoabilidade
C. Programa de prevenção de perda de dados
D. empo limite da sessão
Ver resposta
Resposta correta: C
Pergunta #274
Um especialista em riscos apercebeu-se de que estão a ser utilizados dados de produção num ambiente de teste. Qual das seguintes deve ser a preocupação PRIMÁRIA do profissional?
A. Segurança do ambiente de teste
B. Legibilidade dos dados de ensaio
C. Sensibilidade dos dados
D. Disponibilidade dos dados para o pessoal autorizado
Ver resposta
Resposta correta: C
Pergunta #275
Qual dos seguintes controlos de TI é MAIS útil para atenuar o risco associado a dados inexactos?
A. Pistas de auditoria para actualizações e eliminações
B. Armazenamento encriptado de dados
C. Ligações para os dados de origem
D. erificar os totais nos registos e campos de dados
Ver resposta
Resposta correta: A
Pergunta #276
Foi identificada uma lacuna no controlo das TI num processo-chave. Quem seria o responsável MAIS adequado pelo risco associado a esta lacuna?
A. Proprietário do processo empresarial
B. Responsável pela segurança da informação
C. Gestor do risco operacional
D. Proprietário do controlo de chaves
Ver resposta
Resposta correta: A
Pergunta #277
Qual dos seguintes aspectos é o MAIS importante para garantir a manutenção de um registo de riscos preciso?
A. ublicar o registo de riscos numa plataforma de gestão de conhecimentos com características de fluxo de trabalho que contacta e sonda periodicamente os avaliadores de riscos para garantir a exatidão do conteúdo
B. Realizar auditorias regulares pelo pessoal de auditoria e manter o registo de riscos
C. Apresentar o registo de riscos aos proprietários dos processos empresariais para revisão e atualização
D. onitorizar os principais indicadores de risco e registar as conclusões no registo de riscos
Ver resposta
Resposta correta: A
Pergunta #278
Uma organização contratou um terceiro para fornecer um serviço de encriptação de gateway de Internet que protege os dados sensíveis carregados para um serviço na nuvem. Este é um exemplo de risco:
A. ransferência
B. ceitação
C. tenuação
D. Evitar
Ver resposta
Resposta correta: A
Pergunta #279
Qual das seguintes é a utilização MAIS importante dos KRIs?
A. Fornecer uma visão retrospetiva dos eventos de risco que ocorreram
B. Fornecer um sinal de alerta precoce
C. Fornecer uma indicação da apetência e tolerância ao risco da empresa
D. Permitir a documentação e a análise das tendências
Ver resposta
Resposta correta: B
Pergunta #280
Qual das seguintes opções é MAIS importante compreender ao determinar uma abordagem de avaliação de risco adequada?
A. Ameaças e vulnerabilidades
B. Valor dos activos de informação
C. Complexidade da infraestrutura informática
D. Cultura de gestão
Ver resposta
Resposta correta: B
Pergunta #281
Qual das seguintes opções pode ser utilizada para atribuir um valor monetário ao risco?
A. Expectativa de perda anual (ALE)
B. Análise do impacto nas empresas
C. Análise custo-benefício
D. Vulnerabilidades inerentes
Ver resposta
Resposta correta: A
Pergunta #282
Você é o gestor de projeto do projeto GHT. A sua equipa de projeto está a identificar os riscos do seu projeto atual. A equipa tem a opção de utilizar todas as ferramentas e técnicas seguintes para diagramar alguns destes riscos potenciais, exceto qual?
A. Fluxograma do processo
B. Diagrama de Ishikawa
C. Diagrama de influência
D. Diagrama de árvore de decisão
Ver resposta
Resposta correta: D
Pergunta #283
Qual das seguintes é a MELHOR forma de garantir que os prestadores de serviços subcontratados cumprem a política de segurança da informação da empresa?
A. Testes de penetração
B. Controlo do nível de serviço
C. Formação de sensibilização para a segurança
D. Auditorias periódicas
Ver resposta
Resposta correta: D
Pergunta #284
Você é o gestor de projeto do projeto GHT. Implementou uma ferramenta automatizada para analisar e elaborar relatórios sobre os registos de controlo de acesso com base na gravidade. Esta ferramenta gera uma quantidade excessivamente grande de resultados. Efectuou uma avaliação de riscos e decidiu configurar a ferramenta de monitorização para apresentar relatórios apenas quando os alertas são marcados como "críticos". O que deve fazer para o conseguir?
A. plicar a resposta ao risco
B. timizar o indicador-chave de risco
C. tualizar o registo de riscos
D. Efetuar uma análise quantitativa dos riscos
Ver resposta
Resposta correta: B
Pergunta #285
Qual das seguintes opções é a MELHOR métrica para demonstrar a eficácia do processo de gestão de mudanças de uma organização?
A. Tempo médio para concluir as alterações
B. Aumento do número de mudanças de emergência
C. Percentagem de alterações não autorizadas
D. Aumento da frequência das mudanças
Ver resposta
Resposta correta: A
Pergunta #286
Qual das seguintes componentes dos cenários de risco tem o potencial de gerar ameaças internas ou externas a uma empresa?
A. Dimensão temporal
B. Eventos
C. ctivos
D. Actores
Ver resposta
Resposta correta: D
Pergunta #287
Em qual dos seguintes níveis de maturidade da capacidade de gestão do risco a empresa toma as principais decisões de negócio tendo em conta a probabilidade de perda e a probabilidade de recompensa? Cada resposta correcta representa uma solução completa. Escolha duas.
A. Para que a equipa do projeto possa desenvolver um sentido de propriedade dos riscos e das responsabilidades associadas aos riscos
B. Para que o gestor do projeto possa identificar os proprietários dos riscos no âmbito do projeto e as respostas necessárias aos riscos
C. Para que o gestor do projeto não seja a única pessoa a identificar os eventos de risco no âmbito do projeto
D. Para que a equipa do projeto e o gestor do projeto possam trabalhar em conjunto para atribuir a responsabilidade pelo risco
Ver resposta
Resposta correta: CD
Pergunta #288
Qual dos seguintes é o elemento fundamental MAIS importante de um modelo eficaz de três linhas de defesa para uma organização?
A. Um comité de gestão de riscos bem estabelecido
B. Um conjunto sólido de ferramentas de agregação de riscos
C. rocedimentos de escalonamento bem documentados e comunicados
D. Funções e responsabilidades claramente definidas
Ver resposta
Resposta correta: D
Pergunta #289
David é o gestor de projeto do projeto HRC. Ele identificou um risco no projeto, que pode provocar o seu atraso. David não quer que este evento de risco aconteça, pelo que toma algumas medidas para garantir que o evento de risco não aconteça. No entanto, estas medidas adicionais custam ao projeto mais $10.000. Que tipo de resposta ao risco adoptou David?
A. Evitar
B. Mitigação
C. Aceitação
D. Transferência
Ver resposta
Resposta correta: B
Pergunta #290
Qual dos seguintes elementos actua como acionador do processo de resposta ao risco?
A.
B. Infinito
C. 0
D.
Ver resposta
Resposta correta: B
Pergunta #291
Quando é que o processo de Identificação de Riscos tem lugar num projeto?
A. Na fase de planeamento
B. Na fase de execução
C. Na fase de iniciação
D. Durante todo o ciclo de vida do projeto
Ver resposta
Resposta correta: D
Pergunta #292
Está a concluir o processo de análise qualitativa do risco com a sua equipa de projeto e está a basear-se no plano de gestão do risco para o ajudar a determinar o orçamento, o calendário para a gestão do risco e as categorias de risco. Descobre que as categorias de risco não foram criadas. Quando é que as categorias de risco deveriam ter sido criadas?
A. Definir o processo de âmbito
B. Processo de identificação de riscos
C. lanear o processo de gestão do risco
D. Criar um processo de estrutura analítica do trabalho
Ver resposta
Resposta correta: C
Pergunta #293
Jenny é a gestora de projeto dos projectos NBT. Ela está a trabalhar com a equipa do projeto e vários especialistas na matéria para realizar o processo de análise quantitativa de riscos. Durante este processo, ela e a equipa do projeto descobrem vários eventos de risco que não tinham sido previamente identificados. O que Jenny deve fazer com esses eventos de risco?
A. Os eventos devem ser registados na análise de risco qualitativa
B. s eventos devem ser determinados se precisam de ser aceites ou respondidos
C. Os eventos devem ser inscritos no registo de riscos
D. Os eventos devem continuar com a análise quantitativa dos riscos
Ver resposta
Resposta correta: C
Pergunta #294
O risco associado a um ativo antes da aplicação dos controlos pode ser expresso da seguinte forma
A. probabilidade de uma determinada ameaça
B. magnitude de um impacto
C. ma função da probabilidade e do impacto
D. Uma função do custo e da eficácia dos controlos
Ver resposta
Resposta correta: C
Pergunta #295
É o gestor de projeto do projeto GHT. Este projeto terá uma duração de 18 meses e um orçamento de 567.000 dólares. O Robert, um dos seus intervenientes, introduziu um pedido de alteração do âmbito que terá provavelmente um impacto nos custos e no calendário do projeto. O Robert garante-lhe que pagará o tempo e os custos adicionais associados ao evento de risco. Identificou que o pedido de alteração pode também afetar outras áreas do projeto, para além do tempo e dos custos. Que componente da gestão do projeto é re
A. Gestão da configuração
B. Controlo integrado das alterações
C. Análise de risco
D. Sistema de controlo das alterações do projeto
Ver resposta
Resposta correta: B
Pergunta #296
O chefe de um departamento de operações comerciais pede para rever todo o registo de riscos de TI. Qual das seguintes seria a MELHOR abordagem do gestor de riscos a este pedido antes de partilhar o registo?
A. eterminar o objetivo do pedido
B. Exigir um acordo de confidencialidade
C. Higienizar partes do registo
D. Encaminhar para os quadros superiores
Ver resposta
Resposta correta: A
Pergunta #297
Qual das seguintes acções deve ser realizada PRIMEIRO quando é identificado um novo cenário de risco?
A. valiar o programa de sensibilização para os riscos
B. Avaliar o programa de formação em matéria de riscos
C. dentificar o proprietário do risco
D. Estimar o risco residual
Ver resposta
Resposta correta: A
Pergunta #298
Você é o profissional de risco na Bluewell Inc. É identificado um risco e a empresa pretende implementar rapidamente o controlo através da aplicação de uma solução técnica que se desvia das políticas da empresa. O que é que deve fazer?
A. Recomendar a não implementação porque viola as políticas da empresa
B. Recomendar a revisão da política atual
C. ecomendar uma avaliação dos riscos e a subsequente implementação apenas se o risco residual for aceite
D. Efetuar uma avaliação dos riscos e autorizar ou não autorizar com base nos resultados
Ver resposta
Resposta correta: C
Pergunta #299
Um processo de gestão da mudança foi recentemente atualizado com novos procedimentos de teste. O próximo passo é:
A. omunicar aos que testam e promovem as mudanças
B. valiar a maturidade do processo de gestão da mudança
C. ealizar uma análise custo-benefício para justificar o custo do controlo
D. onitorizar os processos para garantir que as actualizações recentes estão a ser seguidas
Ver resposta
Resposta correta: A
Pergunta #300
Qual das seguintes é a MELHOR forma de validar se os controlos foram implementados de acordo com o plano de ação de redução do risco?
A. mplementar indicadores-chave de risco (KRIs)
B. Testar a conceção do controlo
C. estar o ambiente de controlo
D. mplementar indicadores-chave de desempenho (KPIs)
Ver resposta
Resposta correta: A
Pergunta #301
Qual das seguintes actividades deve ser realizada PRIMEIRO ao estabelecer processos de gestão do risco informático?
A. Efetuar uma avaliação de risco de alto nível com base na natureza da atividade
B. ecolher dados sobre incidentes anteriores e lições aprendidas
C. dentificar a apetência pelo risco da organização
D. valiar os objectivos e a cultura da organização
Ver resposta
Resposta correta: D
Pergunta #302
Você é o gestor de projectos da BlueWell Inc. O seu projeto atual é um projeto de alta prioridade e de grande visibilidade na sua organização. Pretende identificar os intervenientes no projeto que terão mais poder em relação ao seu interesse no projeto. Isto irá ajudá-lo a planear os riscos do projeto, a gestão das partes interessadas e a comunicação contínua com as principais partes interessadas no seu projeto. Neste processo de análise das partes interessadas, que tipo de grelha ou modelo deve ser criado com base nestas condições?
A. Rede de poder/interesses das partes interessadas
B. Registo das partes interessadas
C. Grelha de influência/impacto
D. Modelo de saliência
Ver resposta
Resposta correta: A
Pergunta #303
Um acordo de trabalho em equipa é um exemplo de que tipo de resposta ao risco?
A. Aceitação
B. Mitigação
C. ransferência
D. Partilhar
Ver resposta
Resposta correta: D
Pergunta #304
Uma organização está a implementar a encriptação para dados em repouso para reduzir o risco associado ao acesso não autorizado. Qual das seguintes opções DEVE ser considerada para avaliar o risco residual?
A. Requisitos de destruição de dados
B. Arquitetura do armazenamento em nuvem
C. Requisitos de conservação de dados
D. Gestão de chaves
Ver resposta
Resposta correta: D
Pergunta #305
O facto de os resultados da análise de risco deverem ser apresentados em termos quantitativos ou qualitativos deve basear-se PRINCIPALMENTE nos seguintes factores
A. stá a ser utilizado um quadro de análise de risco específico
B. Resultados da avaliação dos riscos
C. equisitos de gestão
D. olerância ao risco organizacional
Ver resposta
Resposta correta: A
Pergunta #306
Qual das seguintes é a forma MAIS económica de testar um plano de continuidade das actividades?
A. Realizar um exercício de mesa
B. Realizar entrevistas com as principais partes interessadas
C. Realizar um exercício de recuperação de desastres
D. Realizar um exercício funcional completo
Ver resposta
Resposta correta: A
Pergunta #307
É o responsável pelo risco na Bluewell Inc. Existem alguns riscos que estão a ameaçar a sua empresa. Está a medir a exposição desses factores de risco, que têm o potencial mais elevado, examinando em que medida a incerteza de cada elemento afecta o objeto em consideração quando todos os outros elementos incertos são mantidos nos seus valores de referência. Que tipo de análise está a efetuar?
A. Análise de sensibilidade
B. Análise da árvore de falhas
C. Análise de causa e efeito
D. Análise de cenários
Ver resposta
Resposta correta: A
Pergunta #308
Ao preparar um relatório sobre o estado do risco para análise periódica pela direção, é MUITO importante garantir que o relatório inclua
A. recomendações de um avaliador de riscos independente
B. m resumo dos incidentes que afectaram a organização
C. Uma visão pormenorizada das exposições individuais ao risco
D. xposição ao risco em termos comerciais
Ver resposta
Resposta correta: C
Pergunta #309
Um relatório de auditoria interna revela que nem todas as bases de dados de aplicações informáticas têm encriptação. Qual das seguintes informações seria a MAIS importante para avaliar o impacto do risco?
A. A razão pela qual algumas bases de dados não foram encriptadas
B. Uma lista de bases de dados não encriptadas que contêm dados sensíveis
C. O custo necessário para aplicar a encriptação
D. O número de utilizadores que podem aceder a dados sensíveis
Ver resposta
Resposta correta: A
Pergunta #310
Qual dos seguintes é um método aceitável para lidar com o risco positivo do projeto?
A. Identificação dos riscos
B. Acionamento do risco
C. Evento de risco
D. Resposta ao risco
Ver resposta
Resposta correta: A
Pergunta #311
Qual das seguintes é a PRINCIPAL razão para um profissional do risco utilizar normas globais relacionadas com a gestão do risco?
A. Melhorar continuamente os processos de gestão dos riscos
B. Criar uma cultura organizacional consciente dos riscos
C. ara cumprir os requisitos legais e regulamentares
D. Identificar lacunas nas práticas de gestão do risco
Ver resposta
Resposta correta: A
Pergunta #312
Qual dos seguintes é o MELHOR método para avaliar a eficácia do controlo?
A. Relatórios ad hoc
B. Análise preditiva
C. Controlo contínuo
D. Autoavaliação do controlo
Ver resposta
Resposta correta: B
Pergunta #313
Um técnico de riscos recém-contratado descobre que o registo de riscos não foi atualizado no último ano. Qual é a MELHOR forma de atuação do profissional de riscos?
A. mplementar uma melhoria do processo e substituir o antigo registo de riscos
B. Externalizar o processo de atualização do registo de riscos
C. dentificar alterações nos factores de risco e iniciar revisões de risco
D. Contratar um consultor externo para reformular o processo de gestão do risco
Ver resposta
Resposta correta: C
Pergunta #314
Uma organização introduziu a propriedade do risco para estabelecer uma responsabilidade clara por cada processo. Para assegurar uma efectiva propriedade do risco, é MUITO importante que:
A. Os proprietários do risco têm autoridade para tomar decisões
B. Os quadros superiores supervisionam o processo
C. Existe uma segregação de funções entre os proprietários dos riscos e dos processos
D. propriedade do processo está alinhada com a propriedade do sistema de TI
Ver resposta
Resposta correta: C
Pergunta #315
Qual das seguintes é a MAIOR vantagem de incorporar cenários de risco de TI no registo de riscos da empresa?
A. São estabelecidos protocolos corporativos de encaminhamento de incidentes
B. O orçamento de controlo a nível da organização é alargado
C. exposição é integrada no perfil de risco da organização
D. A apetência pelo risco é transmitida em cascata à gestão da unidade de negócio
Ver resposta
Resposta correta: A
Pergunta #316
Uma organização foi recentemente afetada por malware. A maneira MAIS eficaz de resolver essa situação e definir um plano abrangente de tratamento de riscos seria executar:
A. ma avaliação da vulnerabilidade
B. ma análise da causa raiz
C. ma avaliação de impacto
D. ma análise das lacunas
Ver resposta
Resposta correta: B
Pergunta #317
Ao definir os limiares para os indicadores-chave de desempenho (KPI) de controlo, é MUITO útil alinhar:
A. Principais indicadores de risco (KRIs) com apetência pelo risco da empresa
B. s indicadores-chave de desempenho (KPI) do controlo com as conclusões da auditoria
C. ontrolar o desempenho com a tolerância ao risco dos proprietários de empresas
D. valiações do risco de informação com avaliações do risco da empresa
Ver resposta
Resposta correta: B
Pergunta #318
Mike é o gestor de projeto do Projeto NNP da sua organização. Ele está a trabalhar com a sua equipa de projeto para planear as respostas aos riscos do Projeto NNP. O Mike gostaria que a equipa de projeto trabalhasse em conjunto para estabelecer limiares de risco no projeto. Qual é o objetivo do estabelecimento de limites de risco?
A. É um estudo da tolerância ao risco da organização
B. É um sinal de aviso de que um evento de risco vai acontecer
C. um limite dos fundos que podem ser afectados a eventos de risco
D. Ajuda a identificar os riscos para os quais são necessárias respostas específicas
Ver resposta
Resposta correta: D
Pergunta #319
Quais das seguintes opções são subcategorias de ameaças? Cada resposta correcta representa uma solução completa. Escolha três.
A. Avaliação comparativa
B. Análise custo-benefício
C. Custo da conformidade com a qualidade
D. Desenvolvimento de equipas
Ver resposta
Resposta correta: CDE
Pergunta #320
Um contrato associado a um fornecedor de serviços de computação em nuvem DEVE incluir:
A. m plano de recuperação de empresas
B. Apropriação das responsabilidades
C. disposição relativa à garantia do código-fonte
D. s demonstrações financeiras do prestador
Ver resposta
Resposta correta: B
Pergunta #321
Você é o gestor de projeto da sua empresa. Identificou um risco que é uma falha notória que ameaça o sucesso de determinados objectivos da sua empresa. Em qual dos seguintes níveis existe este risco identificado?
A. Risco moderado
B. isco elevado
C. Risco extremamente elevado
D. aixo risco
Ver resposta
Resposta correta: A
Pergunta #322
Tom trabalha como gestor de projectos para a BlueWell Inc. Ele está a determinar quais os riscos que podem afetar o projeto. Qual das seguintes entradas do processo de identificação de riscos é útil na identificação de riscos e fornece uma avaliação quantitativa do custo provável para concluir as actividades programadas?
A. Estimativas da duração da atividade
B. Plano de gestão dos riscos
C. Plano de gestão dos custos
D. Estimativas do custo da atividade
Ver resposta
Resposta correta: D
Pergunta #323
Você e a sua equipa de projeto estão a identificar os riscos que podem existir no seu projeto. Alguns dos riscos são pequenos riscos que não afectarão muito o seu projeto se acontecerem. O que deve fazer com estes eventos de risco identificados?
A. Estes riscos podem ser afastados
B. Estes riscos podem ser aceites
C. Estes riscos podem ser acrescentados a uma lista de riscos de baixa prioridade
D. Todos os riscos devem ter uma resposta ao risco válida e documentada
Ver resposta
Resposta correta: C
Pergunta #324
Qual das seguintes opções é MAIS útil para desenvolver limiares de indicadores-chave de risco?
A. Informação sobre a expetativa de perda
B. Acordos de nível de serviço de TI
C. Resultados do desempenho do controlo
D. Progresso da atividade de reparação
Ver resposta
Resposta correta: A
Pergunta #325
Qual dos seguintes é o tópico MAIS importante a abordar num programa de formação de sensibilização para os riscos destinado a todo o pessoal?
A. As funções e responsabilidades do departamento de riscos
B. Requisitos de conformidade com a política e processo de excepções
C. O perfil de risco de segurança da informação da organização
D. Incidentes internos e externos de segurança da informação
Ver resposta
Resposta correta: B
Pergunta #326
Qual das seguintes opções fornece as informações MAIS actualizadas sobre a eficácia do ambiente geral de controlo de TI de uma organização?
A. Testes de penetração periódicos
B. Indicadores-chave de desempenho (KPIs)
C. Conclusões da auditoria interna
D. Mapas de calor de risco
Ver resposta
Resposta correta: D
Pergunta #327
Antes de implementar o serviço de mensagens instantâneas numa organização utilizando uma solução pública, qual das seguintes opções deve ser implementada para reduzir o risco de fuga de dados?
A. Uma lista de controlo de acesso
B. Uma política de utilização aceitável
C. Um sistema de deteção de intrusões (IDS)
D. Uma ferramenta de extração de dados
Ver resposta
Resposta correta: B

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.