NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Melhore a sua preparação para o exame ISACA com os testes práticos CISM

Obter a certificação Certified Information Security Manager (CISM) é crucial no panorama atual de ameaças à segurança e violações de dados em constante evolução. No entanto, a preparação para o exame CISM pode ser uma tarefa difícil. É aí que entram em jogo as perguntas e os recursos do exame CISM da SPOTO. A SPOTO oferece uma coleção abrangente de perguntas e respostas para o exame CISM, perguntas de teste, exames simulados e materiais de estudo adaptados aos objectivos do exame CISM. Estes recursos de preparação para o exame são concebidos para simular o ambiente real do exame, proporcionando-lhe uma experiência realista e aumentando a sua confiança. Com as perguntas do exame CISM da SPOTO, pode identificar as áreas em que precisa de mais estudo e prática, garantindo que possui os conhecimentos e as competências necessárias para avaliar os riscos, implementar uma governação eficaz e responder proactivamente a incidentes de segurança. Ao utilizar estes recursos de exame e praticar com exames simulados, pode preparar-se eficazmente e aumentar as suas hipóteses de passar com êxito no exame de certificação CISM. As violações de dados, os ataques de ransomware e outras ameaças de segurança em constante evolução são as principais preocupações dos profissionais de TI actuais. Com uma certificação Certified Information Security Manager® (CISM®), aprenderá a avaliar os riscos, a implementar uma governação eficaz e a responder proactivamente a incidentes.
Faça outros exames online
Pergunta #1
Qual das seguintes é a tarefa MAIS essencial para um diretor de segurança da informação (CISO)?
A. Atualizar as definições de segurança ao nível da plataforma
B. Realizar exercícios de teste de recuperação de desastres
C. Aprovar o acesso a sistemas financeiros críticos
D. Desenvolver um documento de estratégia de segurança da informação
Ver resposta
Resposta correta: D
Pergunta #2
Quem deve decidir em que medida uma organização cumprirá os novos requisitos regulamentares em matéria de cibersegurança?
A. Quadros superiores
B. Comité diretor de TI
C. Assessoria jurídica
D. Gestor da segurança da informação
Ver resposta
Resposta correta: A
Pergunta #3
Qual das seguintes é a função PRIMÁRIA do gestor de segurança da informação no processo de classificação dos activos de informação?
A. Atribuição da propriedade dos activos
B. Atribuição do nível de classificação do ativo
C. Garantir os activos de acordo com a sua classificação
D. Desenvolvimento de um modelo de classificação de activos
Ver resposta
Resposta correta: D
Pergunta #4
Se o risco inerente a uma atividade empresarial for superior ao nível de risco aceitável, o gestor da segurança da informação deve FIRST:
A. implementar controlos para atenuar o risco para um nível aceitável
B. recomendar que a administração evite a atividade comercial
C. avaliar a diferença entre o nível de risco atual e o nível aceitável
D. transferir o risco para um terceiro para evitar o custo do impacto
Ver resposta
Resposta correta: C
Pergunta #5
Os cenários de risco simplificam o processo de avaliação de riscos:
A. reduzindo a necessidade de uma avaliação de risco subsequente
B. centrar-se nos riscos importantes e relevantes
C. assegurar que o risco comercial é mitigado
D. Cobrir toda a gama de riscos possíveis
Ver resposta
Resposta correta: B
Pergunta #6
Uma empresa comprou uma organização rival e está a tentar integrar estratégias de segurança. Qual das seguintes opções é a MAIOR questão a considerar?
A. As organizações têm diferentes apetências pelo risco
B. Diferentes tecnologias de segurança
C. Diferentes competências de segurança dentro das organizações
D. Podem ser divulgadas informações confidenciais
Ver resposta
Resposta correta: A
Pergunta #7
Qual das seguintes opções é a consideração MAIS importante num programa "traga o seu próprio dispositivo" (BYOD) para proteger os dados da empresa em caso de perda?
A. A capacidade de localizar dispositivos à distância
B. A capacidade de gerir dispositivos de forma centralizada
C. A capacidade de restringir as aplicações não aprovadas
D. A capacidade de classificar tipos de dispositivos
Ver resposta
Resposta correta: B
Pergunta #8
Uma organização está a passar por um processo de transformação digital, que coloca a organização de TI num cenário de risco desconhecido. O diretor de segurança da informação foi incumbido de liderar o processo de gestão dos riscos de TI. Qual das seguintes opções deve ter a prioridade MAIS ALTA?
A. Identificação do risco
B. Conceção dos indicadores-chave de risco (KRI)
C. Análise das lacunas de controlo
D. Seleção das opções de tratamento de risco
Ver resposta
Resposta correta: A
Pergunta #9
Para um utilizador de software comercial descarregado da Internet, qual dos seguintes é o meio MAIS eficaz de garantir a autenticidade?
A. Assinaturas digitais
B. Certificados digitais
C. Assinatura digital de código
D. Esteganografia
Ver resposta
Resposta correta: C
Pergunta #10
Qual dos seguintes seria o objetivo MAIS importante de um programa de governação da segurança da informação?
A. Revisão dos mecanismos de controlo interno
B. Participação efectiva na tomada de decisões empresariais
C. Eliminação total dos factores de risco
D. Garantir a confiança nos dados
Ver resposta
Resposta correta: D
Pergunta #11
A MELHOR maneira de incentivar boas práticas de segurança é:
A. Programar auditorias de conformidade periódicas
B. disciplinar aqueles que não cumprem a política de segurança
C. Reconhecer o comportamento de segurança adequado dos indivíduos
D. publicar a política de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #12
Após uma alteração significativa do código subjacente de uma aplicação, é MUITO importante que o gestor da segurança da informação
A. informar os quadros superiores
B. atualizar a avaliação dos riscos
C. validar o teste de aceitação do utilizador (UAT)
D. modificar os principais indicadores de risco (KRI)
Ver resposta
Resposta correta: A
Pergunta #13
Qual dos seguintes resultados do processo de avaliação do risco seria o MELHOR para ajudar na tomada de decisões de gestão do risco?
A. Risco de controlo
B. Risco inerente
C. Exposição ao risco
D. Risco residual
Ver resposta
Resposta correta: D
Pergunta #14
Ao implementar controlos de segurança, um gestor de segurança da informação deve concentrar-se PRIMARIAMENTE em:
A. Minimização dos impactos operacionais
B. eliminando todas as vulnerabilidades
C. utilização por organizações semelhantes
D. certificação de um terceiro
Ver resposta
Resposta correta: A
Pergunta #15
Qual dos seguintes itens é o MAIS importante a considerar ao avaliar produtos para monitorizar a segurança em toda a empresa?
A. Facilidade de instalação
B. Documentação do produto
C. Apoio disponível
D. Custos gerais do sistema
Ver resposta
Resposta correta: D
Pergunta #16
Para compreender a postura de segurança de uma organização, é MAIS importante que a liderança sénior de uma organização
A. assegurar que as métricas de segurança estabelecidas são comunicadas
B. analisar o número de incidentes de segurança comunicados
C. avaliar a evolução dos esforços de atenuação dos riscos
D. avaliar os resultados do teste de resposta a incidentes mais recente
Ver resposta
Resposta correta: A
Pergunta #17
Qual dos seguintes tipos de informação o gestor de segurança da informação esperaria que tivesse o MENOR nível de proteção de segurança numa grande empresa multinacional?
A. Plano estratégico de actividades
B. Próximos resultados financeiros
C. Informações pessoais do cliente
D. Resultados financeiros anteriores
Ver resposta
Resposta correta: D
Pergunta #18
Um gestor de segurança da informação pesquisou várias opções para lidar com problemas de segurança actuais e vai apresentar essas soluções aos gestores de empresas. Qual das seguintes opções MELHOR permitirá que os gestores de empresas tomem uma decisão informada?
A. Análise do impacto nas empresas (BIA)
B. Análise custo-benefício
C. Análise de risco
D. Análise das lacunas
Ver resposta
Resposta correta: A
Pergunta #19
Um gestor de segurança da informação descobriu que uma unidade de negócio está a planear implementar uma nova aplicação e não envolveu ninguém do departamento de segurança da informação. Qual das seguintes opções é a MELHOR forma de atuação?
A. Recomendar o envolvimento com o gestor da mudança
B. Bloquear a entrada em produção da aplicação
C. Discutir a questão com a direção
D. Rever e atualizar o processo de gestão da mudança
Ver resposta
Resposta correta: A
Pergunta #20
Qual das seguintes abordagens é a MELHOR para selecionar controlos para minimizar os riscos de segurança da informação?
A. Análise custo-benefício
B. Controlo-eficácia
C. Avaliação dos riscos
D. Melhores práticas do sector
Ver resposta
Resposta correta: C
Pergunta #21
A PRINCIPAL razão para um gestor de segurança da informação monitorizar as mudanças a nível da indústria na empresa e nas TI é
A. Avaliar o efeito das alterações nos níveis de risco residual
B. identificar alterações no ambiente de risco
C. atualizar as políticas de segurança da informação de acordo com as alterações
D. alterar os objectivos comerciais com base no impacto potencial
Ver resposta
Resposta correta: B
Pergunta #22
Uma abordagem de gestão de riscos à proteção da informação é:
A. Gerir os riscos a um nível aceitável, compatível com as metas e os objectivos
B. Aceitar a postura de segurança proporcionada pelos produtos de segurança comerciais
C. implementar um programa de formação para educar as pessoas sobre a proteção e os riscos da informação
D. gerir as ferramentas de risco para garantir que estas avaliam todas as vulnerabilidades da proteção da informação
Ver resposta
Resposta correta: A
Pergunta #23
Ao efetuar uma análise de risco quantitativa, qual das seguintes opções é a MAIS importante para estimar a perda potencial?
A. Avaliar as perdas de produtividade
B. Avaliar o impacto da divulgação de dados confidenciais
C. Calcular o valor da informação ou do ativo
D. Medir a probabilidade de ocorrência de cada ameaça
Ver resposta
Resposta correta: C
Pergunta #24
As avaliações dos riscos de segurança devem abranger apenas os activos de informação que
A. são classificados e etiquetados
B. estão dentro da organização
C. apoiar os processos empresariais
D. ter um valor tangível
Ver resposta
Resposta correta: A
Pergunta #25
Qual dos seguintes dispositivos, quando colocado numa zona desmilitarizada (DMZ), seria considerado a exposição MAIS significativa?
A. Servidor proxy
B. Servidor de retransmissão de correio eletrónico
C. Servidor de aplicações
D. Servidor de base de dados
Ver resposta
Resposta correta: D
Pergunta #26
Qual das seguintes opções é caraterística da gestão centralizada da segurança da informação?
A. A administração é mais dispendiosa
B. Melhor adesão às políticas
C. Mais alinhado com as necessidades da unidade de negócios
D. Maior rapidez na resposta aos pedidos
Ver resposta
Resposta correta: B
Pergunta #27
Para compreender claramente o impacto que um novo requisito regulamentar terá nos controlos de segurança da informação de uma organização, um gestor de segurança da informação deve PRIMEIRO:
A. fetuar uma análise custo-benefício
B. fetuar uma avaliação dos riscos
C. ntrevistar os quadros superiores
D. fetuar uma análise das lacunas
Ver resposta
Resposta correta: D
Pergunta #28
Numa organização com uma gestão eficaz dos riscos informáticos, a principal razão para estabelecer indicadores-chave de risco (KRIs) é
A. fornecer informações para remediar eventos de risco
B. demonstrar o alinhamento dos esforços de gestão do risco
C. mapear o risco potencial para as principais iniciativas estratégicas da organização
D. Accionadores de identidade que excedem os limiares de risco
Ver resposta
Resposta correta: C
Pergunta #29
O servidor de correio principal de uma instituição financeira foi comprometido ao nível do superutilizador; a única forma de garantir a segurança do sistema seria:
A. alterar a palavra-passe de raiz do sistema
B. implementar a autenticação multifactor
C. reconstruir o sistema a partir do suporte de instalação original
D. Desligar o servidor de correio eletrónico da rede
Ver resposta
Resposta correta: C
Pergunta #30
Qual das seguintes opções é a MAIS adequada para ser incluída numa estratégia de segurança da informação?
A. Controlos empresariais designados como controlos-chave
B. Processos, métodos, instrumentos e técnicas de segurança
C. Conjuntos de regras de firewall, predefinições de rede e definições do sistema de deteção de intrusões (IDS)
D. Estimativas orçamentais para a aquisição de ferramentas de segurança específicas
Ver resposta
Resposta correta: B
Pergunta #31
Qual das seguintes métricas seria a MAIS útil para medir a forma como a segurança da informação está a monitorizar os registos de violação?
A. Tentativas de penetração investigadas
B. Relatórios de registo de violações produzidos
C. Entradas do registo de violações
D. Frequência das medidas correctivas tomadas
Ver resposta
Resposta correta: A
Pergunta #32
Qual das seguintes actividades de segurança deve ser implementada no processo de gestão de alterações para identificar as principais vulnerabilidades introduzidas pelas alterações?
A. Análise do impacto nas empresas (BIA)
B. Testes de penetração
C. Auditoria e revisão
D. Análise de ameaças
Ver resposta
Resposta correta: B
Pergunta #33
Qual dos seguintes é o risco de segurança MAIS significativo na gestão de activos de TI?
A. Os bens informáticos podem ser utilizados pelo pessoal para fins privados
B. Os activos informáticos não registados não podem ser suportados
C. Os activos informáticos não registados não podem ser incluídos na documentação de segurança
D. Os activos informáticos não registados podem não estar configurados corretamente
Ver resposta
Resposta correta: A
Pergunta #34
O objetivo PRIMÁRIO da monitorização contínua dos controlos de segurança é garantir:
A. disponibilidade do sistema
B. as lacunas de controlo são minimizadas
C. eficácia dos controlos
D. alinhamento com os requisitos de conformidade
Ver resposta
Resposta correta: C
Pergunta #35
Qual das seguintes opções é a MAIS eficaz na proteção contra a técnica de ataque conhecida como phishing?
A. Regras de bloqueio da firewall
B. Ficheiros de assinatura actualizados
C. Formação de sensibilização para a segurança
D. Monitorização da deteção de intrusões
Ver resposta
Resposta correta: C
Pergunta #36
Os ataques bem sucedidos de engenharia social podem ser evitados da melhor forma possível:
A. rastreio antes da contratação
B. monitorização rigorosa dos padrões de acesso dos utilizadores
C. formação periódica de sensibilização
D. Procedimentos de rescisão eficientes
Ver resposta
Resposta correta: C
Pergunta #37
Qual das seguintes entidades é responsável pela responsabilidade legal e regulamentar?
A. Responsável principal pela segurança (CSO)
B. Consultor jurídico principal (CLC)
C. Conselho de Administração e direção
D. Grupo diretor de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #38
Um gestor de segurança da informação foi incumbido de implementar controlos preventivos mais restritivos. Ao fazê-lo, o efeito líquido será reduzir PRIMARIAMENTE o..:
A. ameaça
B. perda
C. vulnerabilidade
D. probabilidade
Ver resposta
Resposta correta: C
Pergunta #39
Qual das seguintes opções é a MAIS útil para integrar a governação da segurança da informação na governação empresarial?
A. Atribuir a implementação da governação da segurança da informação ao comité diretor
B. Inclusão dos processos de segurança da informação nos processos operacionais e de gestão
C. Apresentar ao Conselho de Administração relatórios independentes sobre a eficiência e eficácia da segurança da informação
D. Alinhar a governação da segurança da informação com um quadro globalmente aceite
Ver resposta
Resposta correta: B
Pergunta #40
Qual das seguintes é a MELHOR forma de determinar se o risco atual de uma organização está dentro da apetência pelo risco?
A. Realização de uma análise de impacto comercial (BIA)
B. Implementação de indicadores-chave de desempenho (KPIs)
C. Implementação de indicadores-chave de risco (KRIs)
D. Desenvolvimento de controlos adicionais de atenuação
Ver resposta
Resposta correta: C
Pergunta #41
As normas mínimas para a segurança da infraestrutura técnica devem ser definidas num plano de segurança:
A. estratégia
B. orientações
C. modelo
D. arquitetura
Ver resposta
Resposta correta: D
Pergunta #42
Quando ocorre uma violação significativa da segurança, o que deve ser comunicado PRIMEIRO à direção?
A. Um resumo dos registos de segurança que ilustra a sequência de eventos
B. An do incidente e das medidas correctivas tomadas
C. Uma análise do impacto de ataques semelhantes noutras organizações
D. Um caso comercial para implementar controlos de acesso lógico mais fortes
Ver resposta
Resposta correta: B
Pergunta #43
Qual das seguintes opções seria a MAIS eficaz para implementar com êxito políticas de palavra-passe restritivas?
A. Auditorias regulares às palavras-passe
B. Sistema de início de sessão único
C. Programa de sensibilização para a segurança
D. Sanções por incumprimento
Ver resposta
Resposta correta: C
Pergunta #44
Qual das seguintes opções é a MELHOR forma de atuação para um gestor de segurança da informação alinhar os objectivos de segurança e de negócio?
A. Definição de indicadores-chave de desempenho (KPIs)
B. Envolver ativamente as partes interessadas
C. Revisão da estratégia empresarial
D. Realização de uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: D
Pergunta #45
Uma organização com uma política rigorosa de acesso à informação "need-to-know" está prestes a lançar uma intranet de gestão do conhecimento. Qual das seguintes actividades é a MAIS importante para garantir a conformidade com as políticas de segurança existentes?
A. Desenvolver um procedimento de controlo para verificar o conteúdo antes da sua publicação
B. Alterar a política da organização para permitir uma maior utilização do novo sítio Web
C. Assegurar que o acesso ao sítio Web seja limitado aos quadros superiores e ao conselho de administração
D. Proteger com palavra-passe os documentos que contêm informações confidenciais
Ver resposta
Resposta correta: A
Pergunta #46
Uma grande organização está a desenvolver o seu programa de segurança da informação que envolve o trabalho com várias funções organizacionais complexas. Qual das seguintes opções MELHOR permitirá a implementação bem sucedida deste programa?
A. Governação da segurança
B. Política de segurança
C. Métricas de segurança
D. Orientações de segurança
Ver resposta
Resposta correta: A
Pergunta #47
Os investimentos em tecnologias de segurança da informação devem basear-se em:
A. Avaliações de vulnerabilidade
B. análise de valor
C. clima empresarial
D. recomendações de auditoria
Ver resposta
Resposta correta: B
Pergunta #48
Uma organização adoptou várias políticas de segurança da informação para satisfazer requisitos regulamentares. Qual das seguintes situações é mais suscetível de aumentar a probabilidade de não conformidade com estes requisitos?
A. Inadequada adesão dos proprietários de sistemas para apoiar as políticas
B. Disponibilidade dos documentos da política de segurança num sítio Web público
C. Falta de formação dos utilizadores finais sobre as políticas de segurança
D. Falta de um quadro de governação da segurança da informação
Ver resposta
Resposta correta: A
Pergunta #49
Uma organização está a adotar uma tecnologia de mensagens de chat empresarial padronizada para ajudar a facilitar a comunicação entre as unidades empresariais. Qual das seguintes é uma tarefa ESSENCIAL associada a esta iniciativa?
A. Aumentar o pessoal de segurança e operacional para apoiar a tecnologia
B. Restringir a utilização da tecnologia nos serviços com informações sensíveis
C. Revisão das políticas organizacionais existentes relativamente à nova tecnologia
D. Aplicação da encriptação das comunicações via chat
Ver resposta
Resposta correta: C
Pergunta #50
Qual das seguintes opções é a MAIS importante para o sucesso de um programa de segurança da informação?
A. Formação de sensibilização para a segurança
B. Metas e objectivos alcançáveis
C. Patrocínio dos quadros superiores
D. Orçamento de arranque e pessoal adequados
Ver resposta
Resposta correta: C
Pergunta #51
Um gestor de segurança da informação recém-contratado descobre que a limpeza de contas de funcionários demitidos ocorre apenas uma vez por ano. Qual das seguintes deve ser a PRIMEIRA ação do gestor de segurança da informação?
A. Conceber e documentar um novo processo
B. Atualizar a política de segurança
C. Efetuar uma avaliação dos riscos
D. Comunicar o problema à direção
Ver resposta
Resposta correta: C
Pergunta #52
Qual das seguintes opções é a MAIS importante para um gestor de segurança da informação garantir ao avaliar os pedidos de alteração?
A. Os pedidos são aprovados pelos proprietários dos processos
B. Os pedidos acrescentam valor à atividade
C. O risco residual está dentro da tolerância ao risco
D. Foram criados planos de contingência
Ver resposta
Resposta correta: D
Pergunta #53
Qual das seguintes é a solução MAIS eficaz para impedir que os utilizadores internos modifiquem informações sensíveis e classificadas?
A. Normas de segurança de base
B. Registos de violações de acesso ao sistema
C. Controlos de acesso baseados em funções
D. Rotinas de saída
Ver resposta
Resposta correta: C
Pergunta #54
Qual das seguintes funções é PRIMARIAMENTE responsável pela determinação dos níveis de classificação da informação para um determinado ativo de informação?
A. Gestor
B. Depositário
C. Utilizador
D. Proprietário
Ver resposta
Resposta correta: D
Pergunta #55
Um grupo diretor de segurança da informação deve
A. Fornecer supervisão e orientação gerais
B. desenvolver políticas de segurança da informação
C. estabelecer linhas de base de segurança da informação
D. supervisionar as operações diárias do programa de segurança
Ver resposta
Resposta correta: A
Pergunta #56
Qual das seguintes é a MELHOR forma de demonstrar à administração sénior que as práticas de segurança da organização estão em conformidade com as normas do sector?
A. Resultados de uma avaliação independente
B. Documentação actualizada sobre políticas e procedimentos
C. Um relatório sobre a maturidade dos controlos
D. Existência de um quadro aceite pelo sector
Ver resposta
Resposta correta: A
Pergunta #57
No processo de implementação de um novo sistema de correio eletrónico, um gestor de segurança da informação gostaria de garantir a confidencialidade das mensagens enquanto estão em trânsito. Qual das seguintes opções é o método MAIS adequado para garantir a confidencialidade dos dados numa implementação de um novo sistema de correio eletrónico?
A. Encriptação
B. Certificado digital
C. Assinatura digital
D. Algoritmo de amarração
Ver resposta
Resposta correta: A
Pergunta #58
A eficácia de um quadro de governação da segurança da informação será melhorada se
A. Os auditores SI estão habilitados a avaliar as actividades de governação
B. a gestão do risco está integrada nas actividades operacionais e estratégicas
C. uma cultura de conformidade legal e regulamentar é promovida pela direção
D. Os consultores analisam o quadro de governação da segurança da informação
Ver resposta
Resposta correta: D
Pergunta #59
Os proprietários dos dados devem proporcionar um ambiente seguro e protegido para garantir a confidencialidade, a integridade e a disponibilidade da transação. Este é um exemplo de segurança da informação:
A. linha de base
B. estratégia
C. procedimento
D. política
Ver resposta
Resposta correta: D
Pergunta #60
Uma organização planeia implementar uma solução de colaboração de documentos para permitir que os funcionários partilhem informações da empresa. Qual dos seguintes é o controlo MAIS importante para mitigar o risco associado à nova solução?
A. Atribuir acesso de escrita aos proprietários dos dados
B. Permitir um número mínimo de acessos de utilizadores à solução
C. Fazer com que os proprietários dos dados efectuem revisões regulares do acesso dos utilizadores
D. Permitir apenas informações não-sensíveis na solução
Ver resposta
Resposta correta: C
Pergunta #61
Qual das seguintes opções MELHORaria a segurança da firewall?
A. Colocar a firewall numa sub-rede protegida
B. Registo de eventos de segurança
C. Implementação de práticas de controlo da mudança
D. Fornecer atribuição dinâmica de endereços
Ver resposta
Resposta correta: B
Pergunta #62
Quando o risco residual é minimizado:
A. é provável que exista um risco aceitável
B. o risco transferido é aceitável
C. O risco de controlo é reduzido
D. O risco é transferível
Ver resposta
Resposta correta: A
Pergunta #63
Quando um sistema recém-instalado para sincronizar senhas em vários sistemas e plataformas termina anormalmente sem aviso, qual das seguintes opções deve ocorrer automaticamente PRIMEIRO?
A. A firewall deve bloquear todo o tráfego de entrada durante a interrupção
B. Todos os sistemas devem bloquear novos logins até que o problema seja corrigido
C. O controlo de acesso deve voltar ao modo não sincronizado
D. Os registos do sistema devem registar toda a atividade do utilizador para análise posterior
Ver resposta
Resposta correta: C
Pergunta #64
A aceitação do risco é uma componente de qual das seguintes opções?
A. Avaliação
B. Mitigação
C. Avaliação
D. Controlo
Ver resposta
Resposta correta: B
Pergunta #65
Quem é o responsável final pela informação da organização?
A. Responsável pela custódia dos dados
B. Diretor de segurança da informação (CISO)
C. Conselho de Administração
D. Diretor de informação (CIO)
Ver resposta
Resposta correta: C
Pergunta #66
Qual das seguintes opções é a PRIMEIRA tarefa ao determinar o perfil de segurança da informação de uma organização?
A. Criar um inventário de activos
B. Listar os privilégios administrativos
C. Estabelecer normas de segurança
D. Completar uma avaliação da ameaça
Ver resposta
Resposta correta: C
Pergunta #67
Qual dos seguintes é o MELHOR método para determinar se um programa de segurança da informação cumpre os objectivos comerciais de uma organização?
A. Implementar medidas de desempenho
B. Análise em função das normas internacionais de segurança
C. Efetuar uma análise de impacto comercial (BIA)
D. Efetuar uma avaliação anual da segurança em toda a empresa
Ver resposta
Resposta correta: A
Pergunta #68
Qual dos seguintes riscos seria MELHOR avaliado utilizando técnicas quantitativas de avaliação de riscos?
A. Roubos de dados de clientes
B. Uma falha de energia eléctrica
C. Um sítio Web danificado por piratas informáticos
D. Perda da equipa de desenvolvimento de software
Ver resposta
Resposta correta: B
Pergunta #69
Qual das seguintes opções é a MAIS importante para um gestor de segurança da informação informar regularmente a direção?
A. Resultados dos testes de penetração
B. Relatórios de auditoria
C. Impacto dos riscos não remediados
D. Relatórios de análise de ameaças
Ver resposta
Resposta correta: C
Pergunta #70
O objetivo PRIMÁRIO de uma estratégia de resposta aos riscos deve ser:
A. redução da ameaça
B. conformidade regulamentar
C. adesão dos quadros superiores
D. seleção adequada do controlo
Ver resposta
Resposta correta: A
Pergunta #71
O objetivo PRIMÁRIO da criação de um quadro de governação da segurança da informação deve ser o seguinte
A. alinhar a estratégia e os investimentos em segurança da informação para apoiar as actividades organizacionais
B. alinhar a governação, as actividades e os investimentos da empresa com os objectivos da segurança da informação
C. estabelecer o caso de negócio para a integração estratégica da segurança da informação nos esforços organizacionais
D. documentar e comunicar como o programa de segurança da informação funciona dentro da organização
Ver resposta
Resposta correta: A
Pergunta #72
Qual dos seguintes controlos é MAIS eficaz para fornecer uma garantia razoável de conformidade de acesso físico a uma sala de servidores não vigiada controlada com dispositivos biométricos?
A. Revisão regular das listas de controlo de acesso
B. Escolta de visitantes por guardas de segurança
C. Registo de visitantes à porta
D. Uma biometria associada a um PIN
Ver resposta
Resposta correta: A
Pergunta #73
Qual das seguintes opções é a MAIS importante a considerar ao desenvolver um plano de recuperação de desastres?
A. Plano de continuidade das actividades (PCN)
B. Análise do impacto nas empresas (BIA)
C. Análise custo-benefício
D. Avaliação da viabilidade
Ver resposta
Resposta correta: B
Pergunta #74
A MELHOR métrica para avaliar a eficácia de uma firewall é a:
A. Número de ataques bloqueados
B. número de pacotes descartados
C. taxa de transferência média
D. número de regras de firewall
Ver resposta
Resposta correta: A
Pergunta #75
Qual das seguintes opções MELHOR facilita a monitorização do risco numa organização?
A. Testes de penetração
B. Indicadores-chave de risco (KRIs)
C. Avaliação das ameaças
D. Tendências da apetência pelo risco
Ver resposta
Resposta correta: B
Pergunta #76
Qual dos seguintes é o MELHOR critério a utilizar na classificação de activos?
A. O valor de mercado dos activos
B. Expectativa anual de perdas (ALE)
C. Valor dos activos em relação à organização
D. Objetivo do tempo de recuperação (RTO)
Ver resposta
Resposta correta: C
Pergunta #77
Qual das seguintes é a abordagem MAIS eficaz para integrar a segurança no desenvolvimento de aplicações?
A. Definição dos requisitos de segurança
B. Efetuar análises de vulnerabilidades
C. Incluir a segurança na assinatura do teste de aceitação do utilizador
D. Desenvolvimento de modelos de segurança em paralelo
Ver resposta
Resposta correta: A
Pergunta #78
Qual das seguintes opções forneceria à direção a MELHOR informação para compreender melhor o perfil de risco de segurança da informação da organização?
A. Cenários que afectam as operações comerciais
B. Cenários que perturbam os serviços aos clientes
C. Cenários com impacto nos objectivos comerciais
D. Cenários que têm um impacto monetário
Ver resposta
Resposta correta: C
Pergunta #79
Qual das seguintes opções é a MELHOR indicação de que a segurança da informação está integrada na governação empresarial?
A. As novas vulnerabilidades são comunicadas diretamente ao gestor de segurança
B. Os incidentes significativos são encaminhados para a direção executiva
C. Os documentos relativos à política de segurança são revistos periodicamente
D. O pessoal administrativo recebe formação sobre temas actuais de segurança da informação
Ver resposta
Resposta correta: D
Pergunta #80
As principais orientações sobre o impacto da conformidade com os novos requisitos regulamentares que podem levar a alterações importantes do sistema de aplicações devem ser obtidas junto do:
A. auditor interno da empresa
B. Programadores/analistas de sistemas
C. principais proprietários de processos empresariais
D. consultor jurídico da empresa
Ver resposta
Resposta correta: C
Pergunta #81
A MELHOR razão para uma organização ter duas firewalls discretas ligadas diretamente à Internet e à mesma DMZ seria para:
A. fornecer uma defesa aprofundada
B. Separar o ensaio e a produção
C. permitir o balanceamento da carga de tráfego
D. impedir um ataque de negação de serviço
Ver resposta
Resposta correta: C
Pergunta #82
Qual dos seguintes processos pode ser utilizado para remediar as vulnerabilidades técnicas identificadas?
A. Execução das configurações de base
B. Realização de uma avaliação de riscos
C. Efetuar uma análise de impacto comercial (BIA)
D. Executar scanners automáticos
Ver resposta
Resposta correta: B
Pergunta #83
A equipa de segurança da informação determinou que é necessária uma solução de segurança adicional para melhorar a postura de segurança da organização. O que é que o gestor de segurança da informação deve fazer a seguir para avançar com esta iniciativa?
A. Avaliar os produtos disponíveis
B. Criar um caso de negócio
C. Proceder à seleção do fornecedor
D. Iniciar a diligência devida do fornecedor
Ver resposta
Resposta correta: B
Pergunta #84
Uma organização tem de cumprir os requisitos regulamentares do sector recentemente publicados - conformidade que tem potencialmente custos de implementação elevados. O que é que o gestor de segurança da informação deve fazer PRIMEIRO?
A. Implementar um comité de segurança
B. Efetuar uma análise das lacunas
C. Implementar controlos de compensação
D. Exigir o cumprimento imediato
Ver resposta
Resposta correta: B
Pergunta #85
Qual é o risco PRINCIPAL quando não há representação da gestão dos utilizadores no Comité Diretor de Segurança da Informação?
A. Os requisitos funcionais não são tidos em conta de forma adequada
B. Os programas de formação dos utilizadores podem ser inadequados
C. Os orçamentos afectados às unidades empresariais não são adequados
D. Os planos de segurança da informação não estão alinhados com os requisitos da empresa
Ver resposta
Resposta correta: D
Pergunta #86
Qual das seguintes é a forma MAIS eficaz de garantir que as políticas de segurança são relevantes para as práticas comerciais da organização?
A. Integrar as melhores práticas do sector
B. Obter a aprovação dos quadros superiores
C. Efetuar uma auditoria de segurança a toda a organização
D. Aproveitar a contribuição do comité diretor de segurança
Ver resposta
Resposta correta: D
Pergunta #87
Após a conclusão de uma avaliação completa dos riscos informáticos, quem pode decidir MELHOR quais os controlos de atenuação a implementar?
A. Quadros superiores
B. Gestor de negócios
C. Diretor de auditoria informática
D. Responsável pela segurança da informação (ISO)
Ver resposta
Resposta correta: B
Pergunta #88
Um diretor executivo solicita acesso a documentos da empresa a partir de um dispositivo móvel que não está em conformidade com a política da organização. O diretor de segurança da informação deve PRIMEIRO:
A. avaliar uma solução de terceiros
B. implementar controlos de segurança adicionais
C. avaliar o risco comercial
D. iniciar um processo de aprovação de exceção
Ver resposta
Resposta correta: C
Pergunta #89
É MUITO importante que um gestor de segurança da informação garanta a realização de avaliações dos riscos de segurança:
A. de forma consistente em toda a empresa
B. durante uma análise da causa raiz
C. como parte do caso de negócios de segurança
D. em resposta ao cenário de ameaça
Ver resposta
Resposta correta: A
Pergunta #90
A vantagem PRIMÁRIA de envolver os utilizadores finais no planeamento da continuidade é que eles:
A. são mais objectivas do que a gestão da segurança da informação
B. pode equilibrar os riscos técnicos e comerciais
C. compreendem melhor as necessidades específicas das empresas
D. pode ver o impacto global no negócio
Ver resposta
Resposta correta: B
Pergunta #91
Qual dos seguintes deve ser o PRÓXIMO passo do gestor de segurança da informação após a aprovação da estratégia de segurança da informação pela direção?
A. Desenvolver uma política de segurança
B. Elaborar um orçamento
C. Efetuar uma análise das lacunas
D. Formar um comité diretor
Ver resposta
Resposta correta: A
Pergunta #92
Qual das seguintes opções seria MAIS útil para obter apoio para um caso de negócio para uma iniciativa de segurança da informação?
A. Demonstrar o alinhamento organizacional
B. Enfatizar as ameaças à organização
C. Referência a deficiências de controlo
D. Apresentação de uma matriz de comparação de soluções
Ver resposta
Resposta correta: A
Pergunta #93
Qual das seguintes opções deve ser o foco PRIMÁRIO de um gestor de segurança da informação durante o desenvolvimento de um sistema crítico que armazena dados altamente confidenciais?
A. Garantir que o montante do risco residual é aceitável
B. Reduzir o número de vulnerabilidades detectadas
C. Evitar as ameaças identificadas ao sistema
D. Cumprir os requisitos regulamentares
Ver resposta
Resposta correta: D
Pergunta #94
Qual das seguintes situações seria a que MAIS inibiria a implementação efectiva da governação da segurança?
A. A complexidade da tecnologia
B. Restrições orçamentais
C. Prioridades comerciais contraditórias
D. Patrocínio de alto nível
Ver resposta
Resposta correta: D
Pergunta #95
Qual das seguintes é a MELHOR forma de integrar a segurança da informação na governação empresarial?
A. Envolver consultores de segurança externos em iniciativas de segurança
B. Efetuar uma formação completa em gestão da segurança da informação para os principais interessados
C. Assegurar que os processos de segurança da informação fazem parte dos processos de gestão existentes
D. Exigir a realização periódica de avaliações de risco de segurança
Ver resposta
Resposta correta: C
Pergunta #96
Qual das seguintes abordagens é mais suscetível de garantir a integração da gestão do risco nos processos do ciclo de vida da atividade?
A. Realização de avaliações periódicas dos riscos
B. Integrar o risco de segurança na gestão do risco empresarial
C. Integrar a gestão de riscos no ciclo de vida do desenvolvimento de software
D. Compreender a tolerância ao risco da direção da empresa
Ver resposta
Resposta correta: B
Pergunta #97
Qual dos seguintes é o MELHOR método para assegurar a eficácia global de um programa de gestão do risco?
A. Avaliações das alterações pelos utilizadores
B. Comparação dos resultados do programa com as normas do sector
C. Atribuição de riscos dentro da organização
D. Participação de todos os membros da organização
Ver resposta
Resposta correta: D
Pergunta #98
Qual das seguintes prioridades deve ser dada para garantir a implementação efectiva da governação da segurança da informação?
A. Consulta
B. Negociação
C. Facilitação
D. Planeamento
Ver resposta
Resposta correta: D
Pergunta #99
Ao avaliar o grau em que uma organização pode ser afetada pela nova legislação sobre privacidade, a gestão da segurança da informação deve PRIMEIRO:
A. Desenvolver um plano operacional para assegurar o cumprimento da legislação
B. Identificar sistemas e processos que contenham componentes de privacidade
C. restringir a recolha de informações pessoais até estar em conformidade
D. identificar legislação sobre privacidade noutros países que possa conter requisitos semelhantes
Ver resposta
Resposta correta: B
Pergunta #100
Qual dos seguintes é o fator de risco MAIS relevante para uma organização quando os empregados utilizam as redes sociais?
A. As redes sociais podem ser acedidas a partir de vários locais
B. As redes sociais oferecem uma plataforma que pode acolher ciberataques
C. As redes sociais podem ser utilizadas para recolher informações para ataques
D. Os media sociais aumentam a velocidade do risco e a capacidade de ameaça
Ver resposta
Resposta correta: C
Pergunta #101
Qual das seguintes é a MELHOR forma de um gestor de segurança da informação se proteger contra um ataque de dia zero?
A. Efetuar uma análise de impacto comercial (BIA)
B. Realizar análises de vulnerabilidades diariamente
C. Configurar execuções diárias do software de proteção contra vírus
D. Implementar ferramentas de monitorização baseadas na heurística
Ver resposta
Resposta correta: D
Pergunta #102
A administração está a questionar a necessidade de vários itens na proposta de orçamento de segurança da informação. Qual das seguintes opções teria sido MAIS útil antes da apresentação do orçamento?
A. Avaliação comparativa dos esforços de segurança da informação dos concorrentes do sector
B. Obter melhores preços dos fornecedores de serviços de segurança da informação
C. Apresentar um relatório das ameaças actuais à organização
D. Educar a direção sobre as melhores práticas de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #103
Qual das seguintes opções é MAIS importante considerar ao priorizar as ameaças durante o processo de avaliação de riscos?
A. O carácter crítico dos sistemas ameaçados
B. A gravidade das vulnerabilidades exploradas
C. O impacto potencial nas operações
D. A capacidade dos actores da ameaça
Ver resposta
Resposta correta: A
Pergunta #104
Qual das seguintes opções é a MAIS importante a considerar ao determinar a eficácia do programa de governação da segurança da informação?
A. Indicadores-chave de desempenho (KPIs)
B. Indicadores-chave de risco (KRIs)
C. Modelos de maturidade
D. Níveis de tolerância ao risco
Ver resposta
Resposta correta: A
Pergunta #105
Que elemento do programa deve ser implementado PRIMEIRO na classificação e controlo de activos?
A. Avaliação dos riscos
B. Classificação
C. Avaliação
D. Atenuação dos riscos
Ver resposta
Resposta correta: C
Pergunta #106
A não-repudiação pode ser garantida da melhor forma possível através da utilização de:
A. palavras-passe fortes
B. um hash digital
C. encriptação simétrica
D. assinaturas digitais
Ver resposta
Resposta correta: D
Pergunta #107
Qual das seguintes opções deve ser a entrada PRIMÁRIA ao definir o estado desejado da segurança numa organização?
A. Nível de risco aceitável
B. Previsão de perdas anuais
C. Resultados da auditoria externa
D. Nível de impacto nos negócios
Ver resposta
Resposta correta: D
Pergunta #108
Qual das seguintes opções identifica um desvio no processo de gestão da segurança da informação em relação às normas de boas práticas geralmente aceites?
A. Avaliação dos riscos
B. Análise do impacto nas empresas (BIA)
C. Testes de penetração
D. Análise das lacunas
Ver resposta
Resposta correta: D
Pergunta #109
Qual das seguintes é a responsabilidade PRIMÁRIA do comité diretor de segurança da informação?
A. Desenvolver políticas de segurança alinhadas com as estratégias empresariais e de TI
B. Revisão de casos de negócios em que os benefícios não foram realizados
C. Identificação dos riscos associados a novas iniciativas de segurança
D. Desenvolver e apresentar casos de negócios para iniciativas de segurança
Ver resposta
Resposta correta: A
Pergunta #110
Uma instituição bancária em linha está preocupada com o facto de a violação das informações pessoais dos clientes ter um impacto financeiro significativo devido à necessidade de notificar e compensar os clientes cujas informações pessoais possam ter sido comprometidas. A instituição determina que o risco residual será sempre demasiado elevado e decide:
A. atenuar o impacto através da aquisição de um seguro
B. implementar uma firewall ao nível do circuito para proteger a rede
C. aumentar a resiliência das medidas de segurança em vigor
D. implementar um sistema de deteção de intrusões em tempo real
Ver resposta
Resposta correta: A
Pergunta #111
Depois de adotar uma estrutura de segurança da informação, um gestor de segurança da informação está a trabalhar com a gestão de topo para mudar a perceção de toda a organização de que a segurança da informação é apenas da responsabilidade do departamento de segurança da informação. Para atingir este objetivo, qual deve ser a PRIMEIRA iniciativa do gestor de segurança da informação?
A. Desenvolver um plano operacional que forneça as melhores práticas para projectos de segurança da informação
B. Desenvolver uma campanha de sensibilização para a segurança da informação com o apoio da direção
C. Documentar e publicar as responsabilidades do departamento de segurança da informação
D. Implementar um processo formal para efetuar análises periódicas da conformidade
Ver resposta
Resposta correta: B
Pergunta #112
Uma aplicação comercial baseada na Web está a ser migrada do teste para a produção. Qual das seguintes opções é a aprovação de gestão MAIS importante para esta migração?
A. Utilizador
B. Rede
C. Operações
D. Base de dados
Ver resposta
Resposta correta: A
Pergunta #113
O compromisso e o apoio da direção para com a segurança da informação serão MELHOR alcançados por um gestor de segurança da informação se este der ênfase ao seguinte
A. risco organizacional
B. métricas a nível da organização
C. necessidades de segurança
D. as responsabilidades das unidades organizacionais
Ver resposta
Resposta correta: A
Pergunta #114
Um gestor de segurança da informação utiliza métricas de segurança para medir o..:
A. desempenho do programa de segurança da informação
B. desempenho da linha de base da segurança
C. eficácia da análise dos riscos de segurança
D. eficácia da equipa de resposta a incidentes
Ver resposta
Resposta correta: A
Pergunta #115
Num cenário de engenharia social, qual das seguintes opções MAIS provavelmente reduzirá a probabilidade de um indivíduo não autorizado obter acesso a recursos informáticos?
A. Implementação da máscara de palavras-passe no ecrã
B. Realização de programas periódicos de sensibilização para a segurança
C. Aumentar a frequência das alterações da palavra-passe
D. Exigir que as palavras-passe sejam mantidas estritamente confidenciais
Ver resposta
Resposta correta: B
Pergunta #116
Qual das seguintes opções seria a MELHOR para resolver o risco de fuga de dados?
A. Procedimentos de cópia de segurança dos ficheiros
B. Verificações de integridade da base de dados
C. Políticas de utilização aceitável
D. Procedimentos de resposta a incidentes
Ver resposta
Resposta correta: C
Pergunta #117
Uma avaliação de risco e uma análise de impacto no negócio (BIA) foram concluídas para uma proposta de compra importante e um novo processo para uma organização. Existe um desacordo entre o gestor de segurança da informação e o gestor do departamento comercial que será o proprietário do processo relativamente aos resultados e ao risco atribuído. Qual das seguintes seria a MELHOR abordagem do gestor de segurança da informação?
A. Aceitação da decisão do diretor comercial sobre o risco para a empresa
B. Aceitação da decisão do gestor de segurança da informação sobre o risco para a empresa
C. Revisão da avaliação com a direção executiva para obter um contributo final
D. É necessária uma nova avaliação de risco e uma análise de impacto ambiental para resolver o desacordo
Ver resposta
Resposta correta: C
Pergunta #118
Qual das seguintes opções é a MAIS importante a avaliar após a conclusão de um plano de ação em matéria de riscos?
A. Perfil da ameaça
B. Risco inerente
C. Risco residual
D. Panorama de vulnerabilidade
Ver resposta
Resposta correta: A
Pergunta #119
A análise quantitativa do risco é MAIS adequada quando os dados de avaliação:
A. incluem as percepções dos clientes
B. contêm estimativas percentuais
C. não contêm pormenores específicos
D. conter informações subjectivas
Ver resposta
Resposta correta: B
Pergunta #120
Qual das seguintes opções protegerá a BEST contra actividades maliciosas de um antigo funcionário?
A. Rastreio antes da contratação
B. Acompanhamento rigoroso dos utilizadores
C. Formação periódica de sensibilização
D. Procedimentos de rescisão eficazes
Ver resposta
Resposta correta: D
Pergunta #121
Um gestor de segurança da informação está a planear adquirir um sistema de gestão de dispositivos móveis (MDM) para gerir os dispositivos pessoais utilizados pelos funcionários para aceder ao correio eletrónico da empresa. Qual das seguintes opções é a MAIS importante a incluir no caso de negócio?
A. Análise custo-benefício
B. Riscos identificados e controlos atenuantes
C. Resultados da avaliação comparativa das melhores práticas do sector
D. Métricas relacionadas com a segurança da informação
Ver resposta
Resposta correta: A
Pergunta #122
Qual das seguintes é a vantagem PRIMÁRIA de ter uma estrutura de governação da segurança da informação estabelecida quando uma organização está a adotar tecnologias emergentes?
A. Existe uma estratégia para as tecnologias emergentes
B. É estabelecido um processo eficaz de gestão dos riscos de segurança
C. A aceitação das tecnologias emergentes pelos utilizadores finais é estabelecida
D. Um processo de análise custo-benefício é mais fácil de efetuar
Ver resposta
Resposta correta: B
Pergunta #123
Qual das seguintes opções é a MAIS provável de ser incluída numa política de segurança empresarial?
A. Definições de responsabilidades
B. Calendários de conservação
C. Especificações de acesso ao sistema
D. Risco organizacional
Ver resposta
Resposta correta: A
Pergunta #124
Ao desenvolver uma nova aplicação, qual das seguintes é a MELHOR abordagem para garantir a conformidade com os requisitos de segurança?
A. Fornecer formação em matéria de segurança aos programadores
B. Preparar critérios de aceitação pormenorizados
C. Aderir aos processos de gestão da mudança
D. Efetuar uma análise das lacunas de segurança
Ver resposta
Resposta correta: B
Pergunta #125
Qual das seguintes é a MELHOR forma de abordar o risco associado à utilização de um fornecedor de serviços tecnológicos subcontratados?
A. Rever o seguro de responsabilidade civil cibernética
B. Implementar um programa de gestão de fornecedores
C. Exigir a aprovação da direção para a seleção do fornecedor
D. Efetuar as devidas diligências sobre o prestador de serviços na altura do contrato
Ver resposta
Resposta correta: B
Pergunta #126
Qual das seguintes é a MELHOR forma de alinhar as estratégias de segurança e de negócio?
A. Incluir o risco de segurança como parte da gestão de riscos da empresa
B. Desenvolver um balanced scorecard para a segurança
C. Estabelecer indicadores-chave de desempenho (KPIs) para as empresas através de processos de segurança
D. Integrar a governação da segurança da informação na governação empresarial
Ver resposta
Resposta correta: C
Pergunta #127
Qual das seguintes opções é a MAIS importante para um gestor de segurança da informação comunicar à direção relativamente ao programa de segurança?
A. Riscos e exposições potenciais
B. Resultados da análise de impacto
C. Alterações na arquitetura de segurança
D. Funções e responsabilidades do utilizador
Ver resposta
Resposta correta: B
Pergunta #128
Qual das seguintes é a MAIOR vantagem da integração de uma solução de gestão de eventos e informações de segurança (SIEM) com ferramentas de segurança tradicionais, como IDS, anti-malware e soluções de rastreio de correio eletrónico?
A. Eliminação das detecções de falsos positivos
B. Uma redução dos custos operacionais
C. Aumento da visibilidade dos padrões de potenciais ameaças
D. A consolidação de ferramentas numa única consola
Ver resposta
Resposta correta: D
Pergunta #129
Qual das seguintes actividades é MAIS suscetível de aumentar a dificuldade de erradicar totalmente o código malicioso que não é imediatamente detectado?
A. Aplicação de patches
B. Alterar as regras de acesso
C. Atualização do hardware
D. Fazer cópias de segurança de ficheiros
Ver resposta
Resposta correta: D
Pergunta #130
Um gestor de segurança da informação está a rever o business case de um projeto de segurança que está a entrar na fase de desenvolvimento. É determinado que o custo estimado dos controlos é agora maior do que o risco a ser mitigado. A MELHOR recomendação do gestor de segurança da informação seria
A. Eliminar alguns dos controlos do âmbito do projeto
B. interromper o projeto para libertar fundos para outros esforços
C. prosseguir o projeto até que os benefícios cubram os custos
D. abrandar o ritmo do projeto para distribuir os custos por um período mais longo
Ver resposta
Resposta correta: A
Pergunta #131
Qual das seguintes opções é a MAIS importante para a promoção bem sucedida de boas práticas de gestão da segurança?
A. Métricas de segurança
B. Linhas de base de segurança
C. Apoio à gestão
D. Formação periódica
Ver resposta
Resposta correta: C
Pergunta #132
Qual das seguintes opções seria a MELHOR defesa contra o "sniffing"?
A. Proteger os ficheiros com palavra-passe
B. Implementar um esquema de endereços IP dinâmicos
C. Encriptar os dados que estão a ser transmitidos
D. Definir endereços de controlo de acesso obrigatório (MAC) estáticos
Ver resposta
Resposta correta: C
Pergunta #133
Qual das seguintes opções representa o PRINCIPAL objetivo da regulamentação em matéria de privacidade?
A. Extração de dados sem restrições
B. Roubo de identidade
C. Proteção dos direitos humanos
D. Dados pessoais identificáveis
Ver resposta
Resposta correta: D
Pergunta #134
Qual das seguintes é uma área-chave da estrutura ISO 27001?
A. Avaliação do risco operacional
B. Indicadores da criminalidade financeira
C. Gestão das capacidades
D. Gestão da continuidade das actividades
Ver resposta
Resposta correta: D
Pergunta #135
Qual dos seguintes é o elemento MAIS importante de uma estratégia de segurança da informação?
A. Objectivos definidos
B. Prazos de entrega
C. Adoção de um quadro de controlo
D. Políticas completas
Ver resposta
Resposta correta: A
Pergunta #136
Qual das seguintes é a razão MAIS importante para monitorizar o risco da informação numa base contínua?
A. O perfil de risco pode alterar-se ao longo do tempo
B. A eficácia dos controlos pode ser verificada
C. O custo dos controlos pode ser minimizado
D. Podem ser identificados erros na avaliação dos riscos
Ver resposta
Resposta correta: A
Pergunta #137
Se os dados dos clientes tiverem sido comprometidos, a organização deve contactar as autoridades responsáveis pela aplicação da lei:
A. Se o ataque for de origem internacional
B. quando orientado pelo diretor de segurança da informação
C. se houver um impacto potencial para a organização
D. em conformidade com a política de comunicação da empresa
Ver resposta
Resposta correta: D
Pergunta #138
É pedido a um gestor de segurança da informação que forneça provas de que a organização está a cumprir a sua obrigação legal de proteger informações pessoalmente identificáveis (PII)
A. Métricas relacionadas com a eficácia do programa
B. Políticas e normas escritas
C. Formação de sensibilização para a privacidade
D. Avaliações de risco das aplicações relacionadas com a privacidade
Ver resposta
Resposta correta: A
Pergunta #139
Qual das seguintes opções é a MAIS importante para ajudar a garantir que o programa de cibersegurança de uma organização satisfaz as necessidades da empresa?
A. Formação de sensibilização para a segurança da informação
B. Métricas de segurança da informação
C. Programa de avaliação de riscos
D. Governação da segurança da informação
Ver resposta
Resposta correta: D
Pergunta #140
Na avaliação de riscos, após a identificação das ameaças aos activos da organização, o gestor da segurança da informação deve
A. Avaliar os controlos atualmente em vigor
B. implementar controlos para atingir os níveis de risco pretendidos
C. solicitar financiamento para o programa de segurança
D. determinar as ameaças que devem ser comunicadas à direção superior
Ver resposta
Resposta correta: A
Pergunta #141
Um gestor de segurança que cumpra os requisitos do fluxo internacional de dados pessoais terá de garantir
A. um acordo de tratamento de dados
B. um registo de proteção de dados
C. o acordo das pessoas em causa
D. Procedimentos de acesso de sujeitos
Ver resposta
Resposta correta: C
Pergunta #142
Qual dos seguintes locais seria o MAIS adequado no caso de um objetivo de tempo de recuperação (RTO) muito curto?
A. Quente
B. Redundante
C. Partilhada
D. Móvel
Ver resposta
Resposta correta: A
Pergunta #143
Qual dos seguintes é o pré-requisito MAIS importante para estabelecer a gestão da segurança da informação numa organização?
A. Compromisso dos quadros superiores
B. Quadro de segurança da informação
C. Estrutura organizacional da segurança da informação
D. Política de segurança da informação
Ver resposta
Resposta correta: A
Pergunta #144
Qual das seguintes opções seria a MAIS útil para desenvolver uma série de objectivos de tempo de recuperação (RTO)?
A. Análise das lacunas
B. Análise de regressão
C. Análise de risco
D. Análise do impacto nas empresas
Ver resposta
Resposta correta: D
Pergunta #145
Qual das seguintes opções permite a conformidade com um requisito de política de não repúdio para transacções electrónicas?
A. Certificados digitais
B. Assinaturas digitais
C. Palavras-passe encriptadas
D. Palavras-passe de uso único
Ver resposta
Resposta correta: B
Pergunta #146
Qual das seguintes opções permite o não-repúdio de transacções electrónicas?
A. Autenticação de dois factores
B. Reacreditação periódica
C. Certificados de terceiros
D. Aviso de receção
Ver resposta
Resposta correta: C
Pergunta #147
A razão MAIS importante para efetuar avaliações periódicas dos riscos é a seguinte
A. As avaliações de risco nem sempre são exactas
B. Os riscos de segurança estão sujeitos a alterações frequentes
C. Os revisores podem otimizar e reduzir o custo dos controlos
D. Demonstra à direção que a função de segurança pode acrescentar valor
Ver resposta
Resposta correta: B
Pergunta #148
Ao efetuar uma análise de risco da informação, um gestor de segurança da informação deve PRIMEIRO:
A. estabelecer a propriedade dos activos
B. avaliar os riscos para os activos
C. fazer um inventário de activos
D. categorizar os activos
Ver resposta
Resposta correta: C
Pergunta #149
Que mecanismos são utilizados para identificar as deficiências que podem dar aos atacantes a oportunidade de comprometer um sistema informático?
A. Análises de impacto nas empresas
B. Análises das lacunas de segurança
C. Métricas de desempenho do sistema
D. Processos de resposta a incidentes
Ver resposta
Resposta correta: B
Pergunta #150
Um programa de segurança da informação deve ser patrocinado por:
A. Gestão de infra-estruturas
B. o departamento de auditoria da empresa
C. principais proprietários de processos empresariais
D. Gestão da segurança da informação
Ver resposta
Resposta correta: C
Pergunta #151
Qual das seguintes áreas é MAIS suscetível à introdução de falhas de segurança?
A. Gestão de bases de dados
B. Gestão de cópias de segurança em fita
C. Gestão da configuração
D. Gestão da resposta a incidentes
Ver resposta
Resposta correta: C
Pergunta #152
Quem pode defender da melhor forma o desenvolvimento e garantir o êxito de um programa de segurança da informação?
A. Auditor interno
B. Diretor de operações (COO)
C. Comité de direção
D. Gestão de TI
Ver resposta
Resposta correta: C
Pergunta #153
Ao implementar a governação da segurança da informação, o gestor da segurança da informação é primordialmente responsável por
A. desenvolver a estratégia de segurança
B. rever a estratégia de segurança
C. Comunicar a estratégia de segurança
D. aprovar a estratégia de segurança
Ver resposta
Resposta correta: A
Pergunta #154
O controlo de acesso a uma aplicação intranet sensível por parte de utilizadores móveis pode ser implementado da melhor forma possível:
A. encriptação de dados
B. assinaturas digitais
C. palavras-passe fortes
D. autenticação de dois factores
Ver resposta
Resposta correta: D
Pergunta #155
Devido a restrições orçamentais, uma aplicação interna de TI não inclui os controlos necessários para cumprir um acordo de nível de serviço (SLA) de um cliente. Qual das seguintes opções é a MELHOR opção para o gestor de segurança da informação?
A. Informar o departamento jurídico da deficiência
B. Analisar e comunicar o problema à direção
C. Exigir que o proprietário da aplicação implemente os controlos
D. Avaliar e apresentar os riscos ao proprietário da aplicação
Ver resposta
Resposta correta: D
Pergunta #156
Qual das seguintes opções é a MELHOR defesa contra um ataque de força bruta?
A. Controlo de acesso discricionário
B. Bloqueio da deteção de intrusão
C. Restrições relativas ao período do dia
D. Controlo de acesso obrigatório
Ver resposta
Resposta correta: C
Pergunta #157
O MELHOR protocolo para garantir a confidencialidade das transmissões numa aplicação web financeira empresa-cliente (B2C) é:
A. Secure Sockets Layer (SSL)
B. Secure Shell (SSH)
C. Segurança IP (IPSec)
D. Extensões de correio eletrónico seguro/de finalidade múltipla (S/MIME )
Ver resposta
Resposta correta: A
Pergunta #158
Qual das seguintes opções é a MAIS importante a ter em conta quando se avalia o valor da informação?
A. O prejuízo financeiro potencial
B. O custo de recriar a informação
C. O custo da cobertura do seguro
D. Exigências regulamentares
Ver resposta
Resposta correta: A
Pergunta #159
Quando uma organização contrata um novo gestor de segurança da informação, qual dos seguintes objectivos deve ser o PRIMEIRO a ser atingido?
A. Desenvolver uma arquitetura de segurança
B. Estabelecer uma boa comunicação com os membros do comité diretor
C. Reunir uma equipa experiente
D. Comparar organizações congéneres
Ver resposta
Resposta correta: B
Pergunta #160
Uma vantagem dos esquemas de software antivírus baseados na deteção de alterações é o facto de terem:
A. uma possibilidade de detetar as estirpes virais actuais e futuras
B. um diretório mais flexível de assinaturas virais
C. ser atualizado com menos frequência do que os monitores de atividade
D. a maior probabilidade de evitar falsos alarmes
Ver resposta
Resposta correta: A
Pergunta #161
Qual das seguintes opções deve ser incluída PRIMARIAMENTE num programa de formação em segurança para proprietários de processos empresariais?
A. Impacto dos riscos de segurança
B. Vulnerabilidades das aplicações
C. Tempo de recuperação da aplicação
D. Lista dos incidentes de segurança comunicados
Ver resposta
Resposta correta: A
Pergunta #162
Qual das seguintes é a MELHOR abordagem para identificar problemas de não-conformidade com requisitos legais, regulamentares e contratuais?
A. Avaliação dos riscos
B. Análise do impacto nas empresas (BIA)
C. Avaliação da vulnerabilidade
D. Análise das lacunas
Ver resposta
Resposta correta: D
Pergunta #163
Durante uma revisão para aprovar um plano de teste de penetração, qual das seguintes deve ser a preocupação PRIMÁRIA de um gestor de segurança da informação?
A. Desvio do âmbito da equipa de testes de penetração
B. Acesso não autorizado aos serviços administrativos
C. Alarmes falsos positivos para o pessoal operacional
D. Impacto nos sistemas de produção
Ver resposta
Resposta correta: D
Pergunta #164
Qual das seguintes informações seria a MAIS importante a incluir num caso de negócio para um projeto de segurança da informação numa indústria altamente regulamentada?
A. Avaliação do risco de conformidade
B. Constatações críticas da auditoria
C. Análise comparativa do sector
D. Número de incidentes de segurança comunicados
Ver resposta
Resposta correta: A
Pergunta #165
Qual das seguintes é a MELHOR métrica para avaliar a eficácia de um mecanismo de deteção de intrusões?
A. Número de ataques detectados
B. Número de ataques bem sucedidos
C. Rácio de falsos positivos e falsos negativos
D. Rácio entre ataques bem sucedidos e mal sucedidos
Ver resposta
Resposta correta: C
Pergunta #166
Uma organização está a desenvolver um plano de recuperação de desastres para um centro de dados que aloja várias aplicações. A sequência de recuperação de aplicações seria MELHOR ser determinada através de uma análise de:
A. Indicadores-chave de desempenho (KPIs)
B. Objectivos de tempo de recuperação (RTO)
C. Objectivos do ponto de recuperação (RPO)
D. O esquema de classificação dos dados
Ver resposta
Resposta correta: B
Pergunta #167
Qual das seguintes opções é a PRIMEIRA etapa no desenvolvimento de um plano de continuidade de negócios (BCP)?
A. Identificar as aplicações com os objectivos de tempo de recuperação (RTOs) mais curtos
B. Determinar a estratégia de recuperação da atividade
C. Identificar processos empresariais críticos
D. Determinar os recursos disponíveis
Ver resposta
Resposta correta: C
Pergunta #168
Qual das seguintes seria a MELHOR forma de uma empresa reduzir o risco de perda de dados resultante do acesso ao sistema de correio eletrónico empresarial por parte de dispositivos pertencentes a funcionários?
A. Ligar a política de "traga o seu próprio dispositivo" (BYOD) à atual política disciplinar do pessoal
B. Exigir que os funcionários recebam formação antes de permitir o acesso ao serviço de correio eletrónico da empresa
C. Exigir que os funcionários instalem uma solução antivírus móvel de boa reputação nos seus dispositivos pessoais
D. Utilizar uma solução de gestão de dispositivos móveis (MDM) para isolar o armazenamento local de correio eletrónico empresarial
Ver resposta
Resposta correta: D
Pergunta #169
As tecnologias de segurança devem ser seleccionadas PRIMARIAMENTE com base nas suas características:
A. capacidade de atenuar os riscos comerciais
B. Avaliações em publicações comerciais
C. Utilização de tecnologias novas e emergentes
D. benefícios em comparação com os seus custos
Ver resposta
Resposta correta: A
Pergunta #170
Qual das seguintes opções MELHOR ajudaria a garantir que o programa de segurança de uma organização está alinhado com os objectivos comerciais?
A. As políticas de segurança são revistas e aprovadas pelo diretor de informação
B. A estratégia de segurança é revista e aprovada pelo comité executivo da organização
C. O conselho de administração da organização inclui um especialista dedicado à segurança da informação
D. Os gestores de projectos recebem formação anual de sensibilização para a segurança da informação
Ver resposta
Resposta correta: B
Pergunta #171
Qual dos seguintes é o MELHOR indicador de uma intrusão externa bem sucedida em sistemas informáticos?
A. Uso inesperado de protocolos dentro da DMZ
B. Aumento inesperado de URLs malformados
C. Diminuição do número de falhas de login
D. Picos no número de falhas de login
Ver resposta
Resposta correta: A
Pergunta #172
Qual das seguintes opções um gestor de segurança da informação deve estabelecer PRIMEIRO para garantir que as actividades relacionadas com a segurança são adequadamente monitorizadas?
A. Canais de comunicação internos
B. Responsabilização pelas funções de segurança
C. Avaliações de segurança programadas
D. Revisões regulares dos registos do sistema informático
Ver resposta
Resposta correta: A
Pergunta #173
A função MAIS importante de um programa de gestão de riscos é:
A. quantificar o risco global
B. minimizar o risco residual
C. eliminar o risco inerente
D. maximizar a soma de todas as expectativas de perda anualizadas (ALEs)
Ver resposta
Resposta correta: B
Pergunta #174
Ao determinar um nível de risco aceitável, qual das seguintes opções é a consideração MAIS importante?
A. Factores críticos do sistema
B. Pontuações de vulnerabilidade
C. Matrizes de risco
D. Perfis de ameaça
Ver resposta
Resposta correta: A
Pergunta #175
Quem estaria na MELHOR posição para determinar o objetivo do ponto de recuperação (RPO) para as aplicações empresariais?
A. Coordenador da continuidade das actividades
B. Diretor de operações (COO)
C. Gestor da segurança da informação
D. Auditoria interna
Ver resposta
Resposta correta: B
Pergunta #176
Ao criar um plano de continuidade de negócio a nível empresarial, descobre-se que existem duas linhas separadas de sistemas empresariais que podem ser afectadas pela mesma ameaça. Qual das seguintes opções é o MELHOR método para determinar a prioridade da recuperação do sistema em caso de desastre?
A. Avaliar o custo associado à interrupção de cada sistema
B. Revisão dos planos de actividades de cada departamento
C. Comparação dos objectivos do ponto de recuperação (RPO)
D. Revisão dos indicadores-chave de desempenho (KPI) de cada sistema
Ver resposta
Resposta correta: A
Pergunta #177
Qual é a MELHOR forma de garantir que os programadores contratados cumprem as políticas de segurança da organização?
A. Fazer referência explícita aos contratantes nas normas de segurança
B. Fazer com que os contratantes reconheçam por escrito as políticas de segurança
C. Prever sanções em caso de incumprimento na convenção de contratação
D. Efetuar revisões periódicas da segurança dos contratantes
Ver resposta
Resposta correta: D
Pergunta #178
Qual das seguintes opções é a MELHOR forma de criar uma cultura consciente dos riscos?
A. lterar periodicamente as mensagens de sensibilização para os riscos
B. Assegurar que as ameaças são comunicadas a toda a organização de forma atempada
C. estar periodicamente a conformidade com os controlos de segurança e publicar os resultados
D. Estabelecer incentivos e um canal para que o pessoal comunique os riscos
Ver resposta
Resposta correta: C
Pergunta #179
Um gestor de segurança da informação está a desenvolver uma nova estratégia de segurança da informação. Qual das seguintes funções serviria como o MELHOR recurso para rever a estratégia e fornecer orientações para o alinhamento do negócio?
A. Auditoria interna
B. O comité diretor
C. O serviço jurídico
D. O conselho de administração
Ver resposta
Resposta correta: B
Pergunta #180
Ao desenvolver um plano de teste de mesa para testes de resposta a incidentes, o objetivo PRIMÁRIO do cenário deve ser
A. dar à empresa uma medida do grau de preparação geral da organização
B. proporcionar aos participantes situações que garantam a compreensão dos seus papéis
C. medir o envolvimento da gestão como parte de uma equipa de resposta a incidentes
D. desafiar a equipa de resposta a incidentes a resolver o problema sob pressão
Ver resposta
Resposta correta: C
Pergunta #181
Um programa de segurança da informação deve ser estabelecido PRIMARIAMENTE com base em:
A. a estratégia de segurança da informação aprovada
B. a abordagem de gestão de riscos aprovada
C. requisitos regulamentares em matéria de segurança dos dados
D. contributo dos quadros superiores
Ver resposta
Resposta correta: A
Pergunta #182
Qual dos seguintes passos na realização de uma avaliação de riscos deve ser realizado PRIMEIRO?
A. Identidade dos activos da empresa
B. Identificar os riscos da atividade
C. Avaliar as vulnerabilidades
D. Avaliar os controlos-chave
Ver resposta
Resposta correta: A
Pergunta #183
A auditoria interna comunicou uma série de problemas de segurança da informação que não estão em conformidade com os requisitos regulamentares. O que é que o gestor da segurança da informação deve fazer PRIMEIRO?
A. Criar uma exceção de segurança
B. Efetuar uma avaliação da vulnerabilidade
C. Efetuar uma análise das lacunas para determinar os recursos necessários
D. Avaliar o risco para as operações comerciais
Ver resposta
Resposta correta: C
Pergunta #184
O risco aceitável é atingido quando
A. o risco residual é minimizado
B. o risco transferido é minimizado
C. O risco de controlo é minimizado
D. O risco inerente é minimizado
Ver resposta
Resposta correta: A
Pergunta #185
Qual das seguintes é a MELHOR forma de determinar se um programa de segurança da informação está alinhado com a governação empresarial?
A. Avaliar o financiamento das iniciativas de segurança
B. Inquérito aos utilizadores finais sobre o governo das sociedades
C. Rever as políticas de segurança da informação
D. Rever o balanced scorecard
Ver resposta
Resposta correta: C
Pergunta #186
Ao avaliar os fornecedores para o processamento de dados sensíveis, qual das seguintes opções deve ser o PRIMEIRO passo para garantir o nível correto de segurança da informação?
A. Incluir cláusulas de segurança da informação no contrato do fornecedor
B. Analisar relatórios de terceiros sobre potenciais fornecedores
C. Incluir critérios de segurança da informação como parte da seleção do fornecedor
D. Desenvolver métricas para o desempenho do fornecedor
Ver resposta
Resposta correta: C
Pergunta #187
Qual das seguintes opções seria a MELHOR para garantir o sucesso da governação da segurança da informação numa organização?
A. Comités de direção aprovam projectos de segurança
B. Formação sobre política de segurança ministrada a todos os gestores
C. Formação em matéria de segurança disponível para todos os empregados na intranet
D. Os comités de direção asseguram o cumprimento das leis e regulamentos
Ver resposta
Resposta correta: A
Pergunta #188
Ao identificar as questões legais e regulamentares que afectam a segurança da informação, qual das seguintes opções representa a MELHOR abordagem para desenvolver políticas de segurança da informação?
A. Criar políticas separadas para abordar cada regulamento
B. Desenvolver políticas que cumpram todos os requisitos obrigatórios
C. Incorporar as declarações políticas fornecidas pelas entidades reguladoras
D. Desenvolver uma avaliação do risco de conformidade
Ver resposta
Resposta correta: B
Pergunta #189
Para garantir o controlo adequado das informações tratadas nos sistemas informáticos, as salvaguardas de segurança devem basear-se PRINCIPALMENTE em:
A. orientações estabelecidas
B. critérios coerentes com os níveis de classificação
C. Considerações sobre o processamento técnico eficiente
D. capacidade global de TI e restrições operacionais
Ver resposta
Resposta correta: A
Pergunta #190
Uma organização tem um programa aprovado de trazer o seu próprio dispositivo (BYOD). Qual das seguintes opções é o método MAIS eficaz para impor o controlo de aplicações em dispositivos pessoais?
A. Estabelecer uma política de utilização aceitável de dispositivos móveis
B. Implementar uma solução de gestão de dispositivos móveis
C. Informar os utilizadores sobre a utilização de aplicações aprovadas
D. Implementar uma firewall de aplicação Web
Ver resposta
Resposta correta: B
Pergunta #191
Um servidor Web de processamento de encomendas de comércio eletrónico deve, geralmente, ser colocado em qual das seguintes opções?
A. Rede interna
B. Zona Desmilitarizada (DMZ)
C. Servidor de base de dados
D. Controlador de domínio
Ver resposta
Resposta correta: B
Pergunta #192
Qual seria a MELHOR forma de agir de um gestor de segurança da informação quando é notificado de que a implementação de alguns controlos de segurança está a ser adiada devido a restrições orçamentais?
A. Dar prioridade aos controlos de segurança com base no risco
B. Solicitar uma exceção orçamental para os controlos de segurança
C. Iniciar o processo de aceitação do risco
D. Sugerir controlos de segurança alternativos menos dispendiosos
Ver resposta
Resposta correta: A
Pergunta #193
Pede-se a um gestor de segurança da informação que faça uma breve apresentação sobre a atual postura de risco de TI da organização ao conselho de administração. Qual das seguintes opções seria a MAIS eficaz para incluir nesta apresentação?
A. Mapa de calor dos riscos
B. Resultados da análise das lacunas
C. Resultados da avaliação das ameaças
D. Registo de riscos
Ver resposta
Resposta correta: A
Pergunta #194
Ao efetuar uma análise de risco qualitativa, qual das seguintes opções MELHOR produzirá resultados fiáveis?
A. Estimativa das perdas de produtividade
B. Cenários possíveis com ameaças e impactos
C. Valor dos activos de informação
D. Avaliação da vulnerabilidade
Ver resposta
Resposta correta: B
Pergunta #195
Qual das seguintes é a MELHOR forma de um gestor de segurança da informação identificar a conformidade com as políticas de segurança da informação numa organização?
A. Analisar os registos do sistema
B. Realizar testes de sensibilização para a segurança
C. Efetuar avaliações de vulnerabilidade
D. Efetuar auditorias periódicas
Ver resposta
Resposta correta: D
Pergunta #196
Ao falar com o departamento de recursos humanos de uma organização sobre segurança da informação, um gestor de segurança da informação deve centrar-se na necessidade de:
A. Um orçamento adequado para o programa de segurança
B. recrutamento de pessoal técnico de TI
C. avaliações periódicas dos riscos
D. formação de sensibilização para a segurança para os funcionários
Ver resposta
Resposta correta: D
Pergunta #197
Qual das seguintes opções representa uma área PRIMÁRIA de interesse ao realizar um teste de penetração?
A. Extração de dados
B. Mapeamento da rede
C. Sistema de deteção de intrusões (IDS)
D. Dados do cliente
Ver resposta
Resposta correta: B
Pergunta #198
Numa organização, a segurança dos sistemas de informação é da responsabilidade de:
A. todo o pessoal
B. pessoal dos sistemas de informação
C. pessoal de segurança dos sistemas de informação
D. pessoal funcional
Ver resposta
Resposta correta: A
Pergunta #199
Qual das seguintes características é MAIS importante para um banco num sistema de transacções financeiras em linha de elevado valor?
A. Identificação
B. Confidencialidade
C. Autenticação
D. Controlo de auditoria
Ver resposta
Resposta correta: B
Pergunta #200
Um gestor de segurança da informação toma conhecimento de uma nova norma internacional relacionada com a segurança da informação. Qual das seguintes opções seria a MELHOR linha de ação?
A. Analisar as respostas dos seus pares do sector à nova norma
B. Consultar um consultor jurídico sobre a aplicabilidade da norma aos regulamentos
C. Determinar se a organização pode beneficiar da adoção da nova norma
D. Efetuar uma análise das lacunas entre a nova norma e as práticas existentes
Ver resposta
Resposta correta: C
Pergunta #201
Quando as mensagens são encriptadas e assinadas digitalmente para proteger documentos transferidos entre parceiros comerciais, a maior preocupação é que:
A. Os parceiros comerciais podem repudiar a transmissão de mensagens
B. Os hackers podem escutar as mensagens
C. Os parceiros comerciais podem repudiar a receção de mensagens
D. Os hackers podem introduzir mensagens falsificadas
Ver resposta
Resposta correta: D
Pergunta #202
Qual das seguintes mensagens seria a MAIS eficaz para obter o empenho da direção na gestão da segurança da informação?
A. A segurança efectiva elimina os riscos para a empresa
B. Adotar um quadro reconhecido com métricas
C. A segurança é um produto comercial e não um processo
D. A segurança apoia e protege a atividade
Ver resposta
Resposta correta: A
Pergunta #203
O acordo de nível de serviço (SLA) para uma função informática subcontratada não reflecte um nível de proteção adequado. Nesta situação, o gestor da segurança da informação deve
A. garantir que o prestador de serviços seja responsabilizado pelas perdas
B. recomendar a não renovação do contrato no seu termo
C. recomendar a rescisão imediata do contrato
D. determinar o nível atual de segurança
Ver resposta
Resposta correta: D
Pergunta #204
Ao avaliar o risco, é essencial
A. Proporcionar uma cobertura igual para todos os tipos de activos
B. utilizar dados de benchmarking de organizações semelhantes
C. considerar tanto o valor monetário como a probabilidade de perda
D. centram-se principalmente em ameaças e perdas comerciais recentes
Ver resposta
Resposta correta: C
Pergunta #205
O PRIMEIRO passo no desenvolvimento de um programa de gestão da segurança da informação é:
A. identificar os riscos empresariais que afectam a organização
B. clarificar o objetivo organizacional para a criação do programa
C. atribuir responsabilidades pelo programa
D. avaliar a adequação dos controlos para atenuar os riscos empresariais
Ver resposta
Resposta correta: B
Pergunta #206
Qual das seguintes é a MELHOR forma de a liderança sénior demonstrar empenho numa estratégia eficaz de segurança da informação?
A. Nomeação de um responsável máximo pela segurança da informação que responda perante o Diretor Executivo
B. Comunicar a apetência e a tolerância ao risco organizacional
C. Aprovação de um programa global de gestão de riscos
D. Atribuição de recursos adequados para a segurança da informação
Ver resposta
Resposta correta: D
Pergunta #207
Um responsável pela segurança da informação tomou conhecimento de um novo regulamento relativo à proteção das informações processadas por um tipo específico de transação. O responsável deve PRIMEIRO:
A. reunir-se com as partes interessadas para decidir como cumprir
B. analisar os principais riscos no processo de conformidade
C. avaliar se os controlos existentes cumprem o regulamento
D. atualizar a política de segurança/privacidade existente
Ver resposta
Resposta correta: C
Pergunta #208
Do ponto de vista da segurança da informação, as informações que já não servem o objetivo principal da empresa devem ser eliminadas:
A. analisadas no âmbito da política de retenção
B. protegidas pela política de classificação da informação
C. analisadas no âmbito da política de backup
D. protegidos ao abrigo da análise de impacto nas empresas (BIA)
Ver resposta
Resposta correta: A
Pergunta #209
Qual dos seguintes requisitos teria o nível mais baixo de prioridade na segurança da informação?
A. Técnica
B. Regulamentação
C. Privacidade
D. Negócios
Ver resposta
Resposta correta: A
Pergunta #210
Para qual das seguintes opções é MAIS importante que os administradores de sistemas estejam limitados ao acesso só de leitura?
A. Perfis de utilizador administrador
B. Opções de registo do sistema
C. Ficheiros de registo de acesso do utilizador
D. Ficheiros de registo do administrador
Ver resposta
Resposta correta: D
Pergunta #211
O componente MAIS importante de uma política de privacidade é:
A. notificações
B. GARANTIAS
C. responsabilidades
D. cobertura geográfica
Ver resposta
Resposta correta: A
Pergunta #212
Qual das seguintes medidas seria a MAIS eficaz contra as ameaças internas a informações confidenciais?
A. Controlo de acesso baseado em funções
B. Monitorização da pista de auditoria
C. Política de privacidade
D. Defesa em profundidade
Ver resposta
Resposta correta: A
Pergunta #213
Qual das seguintes é uma responsabilidade PRIMÁRIA de um comité diretor de segurança da informação?
A. Revisão da estratégia de segurança da informação
B. Aprovar a estratégia de formação de sensibilização para a segurança da informação
C. Analisar as revisões de conformidade da política de segurança da informação
D. Aprovar a aquisição de tecnologias de segurança da informação
Ver resposta
Resposta correta: A
Pergunta #214
Qual seria a MELHOR recomendação de um gestor de segurança da informação ao saber que um contrato existente com um terceiro não identifica claramente os requisitos de proteção dos dados críticos da organização?
A. Criar uma adenda ao contrato existente
B. Anular o contrato de externalização
C. Transferir o risco para o prestador
D. Iniciar uma auditoria externa do centro de dados do fornecedor
Ver resposta
Resposta correta: A
Pergunta #215
Antes de pedir a um terceiro que efectue um teste de ataque e penetração contra uma organização, a ação MAIS importante é garantir que:
A. o terceiro faz uma demonstração num sistema de teste
B. As metas e os objectivos estão claramente definidos
C. o pessoal técnico foi informado do que se espera
D. são efectuados backups especiais dos servidores de produção
Ver resposta
Resposta correta: B
Pergunta #216
Qual das seguintes é a vantagem PRIMÁRIA da verificação documental de um plano de continuidade da atividade (PCN)?
A. Avalia a disponibilidade e compatibilidade de um hardware de backup
B. Permite uma maior participação da direção e do departamento de TI
C. Assegura a realização de um trabalho de acompanhamento adequado das questões detectadas
D. Fornece um método de baixo custo para avaliar a integridade do BCP
Ver resposta
Resposta correta: C
Pergunta #217
A formação de sensibilização para a segurança é MAIS suscetível de conduzir a qual das seguintes situações?
A. Diminuição dos incidentes de intrusão
B. Aumento dos incidentes comunicados
C. Diminuição das alterações da política de segurança
D. Aumento das violações das regras de acesso
Ver resposta
Resposta correta: B
Pergunta #218
As políticas eficazes de segurança da informação devem ser desenvolvidas PRIMARIAMENTE com base em:
A. melhores práticas do sector
B. o custo de implementação
C. o perfil de risco da organização
D. a facilidade de aplicação
Ver resposta
Resposta correta: C
Pergunta #219
Qual das seguintes é a razão MAIS importante para efetuar uma análise da segurança da informação dos contratos? Para ajudar a garantir que:
A. as partes do acordo podem cumprir
B. os dados confidenciais não estão incluídos no acordo
C. são incluídos controlos adequados
D. O direito de auditoria é um requisito
Ver resposta
Resposta correta: C
Pergunta #220
Qual das seguintes opções é o MELHOR método ou técnica para garantir a implementação efectiva de um programa de segurança da informação?
A. Obter o apoio do conselho de administração
B. Melhorar o conteúdo do programa de sensibilização para a segurança da informação
C. Melhorar o conhecimento dos funcionários sobre as políticas de segurança
D. Implementar controlos de acesso lógico aos sistemas de informação
Ver resposta
Resposta correta: A
Pergunta #221
Qual das seguintes opções é o resultado MAIS utilizável de uma análise de risco de segurança da informação?
A. Relatório da análise de impacto nas empresas (BIA)
B. Lista de acções para atenuar o risco
C. Atribuição de riscos a proprietários de processos
D. Quantificação do risco organizacional
Ver resposta
Resposta correta: B
Pergunta #222
Ao conceber um relatório trimestral de segurança da informação para a direção, o elemento MAIS importante a considerar deve ser o:
A. métricas de segurança da informação
B. conhecimentos necessários para analisar cada questão
C. ligação aos objectivos da área de negócio
D. linha de base em relação à qual as métricas são avaliadas
Ver resposta
Resposta correta: C
Pergunta #223
Qual das seguintes opções é o método MAIS eficaz para avaliar a eficácia de um programa de sensibilização para a segurança?
A. Revisão pós-incidente
B. Teste de engenharia social
C. Análise de vulnerabilidades
D. Teste de mesa
Ver resposta
Resposta correta: B
Pergunta #224
Uma empresa desenvolveu recentemente uma tecnologia inovadora. Uma vez que esta tecnologia pode dar a esta empresa uma vantagem competitiva significativa, qual das seguintes opções PRIMEIRAMENTE regerá a forma como esta informação deve ser protegida?
A. Política de controlo de acesso
B. Política de classificação de dados
C. Normas de cifragem
D. Política de utilização aceitável
Ver resposta
Resposta correta: B
Pergunta #225
Qual das seguintes é uma responsabilidade PRIMÁRIA de um comité de governação da segurança da informação?
A. Análise das revisões de conformidade da política de segurança da informação
B. Aprovar a aquisição de tecnologias de segurança da informação
C. Revisão da estratégia de segurança da informação
D. Aprovar a estratégia de formação de sensibilização para a segurança da informação
Ver resposta
Resposta correta: C
Pergunta #226
Qual das seguintes opções é a MAIS eficaz para proteger redes sem fios como ponto de entrada numa rede empresarial?
A. Router de fronteira
B. Encriptação forte
C. Firewall virada para a Internet
D. Sistema de deteção de intrusões (IDS)
Ver resposta
Resposta correta: B
Pergunta #227
Foi identificado um problema de conformidade regulamentar numa aplicação comercial crítica, mas a correção do problema teria um impacto significativo nas operações comerciais. Que informação MELHOR permitiria à gestão sénior tomar uma decisão informada?
A. Análise de impacto e opções de tratamento
B. Custos associados aos controlos de compensação
C. Referências e melhores práticas do sector
D. Resultados e recomendações da avaliação de riscos
Ver resposta
Resposta correta: A
Pergunta #228
Qual das seguintes opções demonstra MELHOR que os objectivos de uma estrutura de governação da segurança da informação estão a ser cumpridos?
A. Painel de controlo dos riscos
B. Indicadores-chave de desempenho (KPIs)
C. Resultados dos ensaios de penetração
D. Balanced scorecard
Ver resposta
Resposta correta: D
Pergunta #229
Qual das seguintes é a MELHOR justificação para convencer a administração a investir num programa de segurança da informação?
A. Redução de custos
B. Conformidade com as políticas da empresa
C. Proteção dos activos da empresa
D. Aumento do valor comercial
Ver resposta
Resposta correta: D
Pergunta #230
Durante o restauro de vários servidores, um processo crítico que serve clientes externos foi restaurado tardiamente devido a uma falha, resultando em perda de receitas. Qual das seguintes opções MELHOR ajudaria a evitar esta ocorrência?
A. Validação da tolerância ao risco dos quadros superiores
B. Actualizações da análise de impacto nas empresas (BIA)
C. Testes mais eficazes do plano de recuperação de desastres (DRP)
D. Melhoria dos métodos de identificação de incidentes
Ver resposta
Resposta correta: D
Pergunta #231
Quando a direção altera a estratégia empresarial, qual dos seguintes processos deve ser utilizado para avaliar os controlos de segurança da informação existentes, bem como para selecionar novos controlos de segurança da informação?
A. Gestão dos riscos
B. Gestão da mudança
C. Gestão do controlo de acesso
D. Gestão da configuração
Ver resposta
Resposta correta: A
Pergunta #232
A contribuição do objetivo do ponto de recuperação (RPO) para a recuperação de desastres é a seguinte
A. definir a estratégia de backup
B. eliminar pontos únicos de falha
C. Reduzir o tempo médio entre falhas (MTBF)
D. minimizar o período de interrupção
Ver resposta
Resposta correta: D
Pergunta #233
Qual das seguintes deve ser a PRIMEIRA linha de ação de um gestor de segurança da informação após a decisão de implementar uma nova tecnologia?
A. Determinar os controlos de segurança necessários para suportar a nova tecnologia
B. Efetuar uma análise de impacto comercial (BIA) sobre a nova tecnologia
C. Efetuar uma análise do retorno do investimento (ROI) para a nova tecnologia
D. Determinar se a nova tecnologia cumprirá os requisitos regulamentares
Ver resposta
Resposta correta: B
Pergunta #234
Quando a direção altera a estratégia comercial da empresa, qual dos seguintes processos deve ser utilizado para avaliar os controlos de segurança da informação existentes e para selecionar novos controlos de segurança da informação?
A. Gestão do controlo de acesso
B. Gestão da mudança
C. Gestão da configuração
D. Gestão de riscos
Ver resposta
Resposta correta: D
Pergunta #235
Qual das seguintes é a forma MAIS eficaz de uma organização garantir que os seus fornecedores de serviços terceiros estão cientes dos requisitos e expectativas de segurança da informação?
A. Auditoria da prestação de serviços de fornecedores terceiros
B. Inclusão de cláusulas de segurança da informação nos contratos
C. Prestar formação em matéria de segurança da informação ao pessoal de terceiros
D. Exigir que terceiros assinem acordos de confidencialidade
Ver resposta
Resposta correta: B
Pergunta #236
Qual é o item MAIS importante a ser incluído numa política de segurança da informação?
A. A definição de papéis e responsabilidades
B. Âmbito do programa de segurança
C. Os principais objectivos do programa de segurança
D. Referência aos procedimentos e normas do programa de segurança
Ver resposta
Resposta correta: C
Pergunta #237
Na sequência de uma aquisição recente, foi solicitado a um gestor de segurança da informação que abordasse o risco pendente comunicado no início do processo de aquisição. Qual das seguintes opções seria a MELHOR linha de ação para o gestor?
A. Adicionar o risco pendente ao registo de riscos da organização adquirente
B. Reavaliar o risco pendente da empresa adquirida
C. Reavaliar o plano de tratamento do risco para o risco pendente
D. Efetuar uma avaliação da vulnerabilidade da infraestrutura da empresa adquirida
Ver resposta
Resposta correta: B
Pergunta #238
A responsabilidade de segurança dos responsáveis pela custódia dos dados numa organização inclui
A. assumindo a proteção global dos activos de informação
B. determinar os níveis de classificação dos dados
C. implementar controlos de segurança nos produtos que instalam
D. garantir que as medidas de segurança são coerentes com a política
Ver resposta
Resposta correta: D
Pergunta #239
Quando uma organização está a estabelecer uma relação com um fornecedor de serviços de TI externo, qual dos seguintes tópicos é um dos MAIS importantes a incluir no contrato do ponto de vista da segurança?
A. Conformidade com as normas internacionais de segurança
B. Utilização de um sistema de autenticação de dois factores
C. Existência de um hot site alternativo em caso de interrupção da atividade
D. Conformidade com os requisitos de segurança da informação da organização
Ver resposta
Resposta correta: D
Pergunta #240
Qual das seguintes opções define os requisitos mínimos de segurança que um sistema específico deve cumprir?
A. Política de segurança
B. Directrizes de segurança
C. Procedimento de segurança
D. Linha de base da segurança
Ver resposta
Resposta correta: A
Pergunta #241
Qual das seguintes é a forma MAIS eficaz de garantir que o processo de concessão de acesso a novos funcionários é padronizado e cumpre os requisitos de segurança da organização?
A. Conceder autorização a sistemas individuais, conforme necessário, com a aprovação da gestão da segurança da informação
B. Exigir que os gestores das novas contratações sejam responsáveis pela configuração e acesso à conta durante a orientação dos funcionários
C. Incorporar a autorização e a criação de contas nos procedimentos de integração dos RH
D. Adotar um modelo normalizado de níveis de acesso para todos os empregados, a ser aplicado no momento da contratação
Ver resposta
Resposta correta: C
Pergunta #242
Qual das seguintes opções é a que MAIS contribui para a implementação efectiva de uma estratégia de segurança da informação?
A. Comunicação de métricas de segurança
B. Formação regular de sensibilização para a segurança
C. Aprovação pela direção
D. Aplicação de normas de segurança
Ver resposta
Resposta correta: C
Pergunta #243
Qual dos seguintes deve ser o PRIMEIRO passo para garantir que um programa de segurança da informação cumpre os requisitos dos novos regulamentos?
A. Validar o esquema de classificação de activos
B. Integrar a conformidade no processo de gestão do risco
C. Avaliar os controlos de segurança organizacionais
D. Efetuar uma análise das lacunas para determinar as alterações necessárias
Ver resposta
Resposta correta: B
Pergunta #244
Qual das seguintes opções protegerá MELHOR os dados confidenciais ao ligar grandes redes sem fios a uma infraestrutura de rede com fios existente?
A. Filtragem obrigatória de endereços de controlo de acesso (MAC)
B. Palavras-passe fortes
C. Rede privada virtual (VPN)
D. Firewall
Ver resposta
Resposta correta: A
Pergunta #245
Qual dos seguintes é o indicador MAIS FORTE de um alinhamento efetivo entre a governação empresarial e a governação da segurança da informação?
A. A direção superior patrocina os esforços de segurança da informação
B. A administração superior solicita actualizações periódicas da segurança da informação
C. Os indicadores-chave de desempenho (KPI) para os controlos apresentam uma tendência positiva
D. As iniciativas de segurança da informação cumprem o âmbito, o calendário e o orçamento
Ver resposta
Resposta correta: C
Pergunta #246
Uma organização global processa e armazena grandes volumes de dados pessoais. Qual dos seguintes seria o atributo MAIS importante na criação de uma política de acesso aos dados?
A. Disponibilidade
B. Integridade
C. Fiabilidade
D. Confidencialidade
Ver resposta
Resposta correta: D
Pergunta #247
Ao desenvolver uma estrutura de governação da segurança da informação, qual das seguintes opções teria o PRINCIPAL impacto se não houvesse envolvimento dos quadros superiores?
A. A responsabilidade pelo tratamento dos riscos não está claramente definida
B. As responsabilidades em matéria de segurança da informação não são comunicadas de forma eficaz
C. As necessidades em termos de recursos não são tidas em conta de forma adequada
D. Os planos de segurança da informação não suportam os requisitos do negócio
Ver resposta
Resposta correta: C
Pergunta #248
Um gestor de segurança da informação está a ajudar no desenvolvimento do pedido de proposta (RFP) para um novo serviço subcontratado. Este serviço exigirá que o terceiro tenha acesso a informações comerciais críticas. O gestor de segurança deve concentrar-se PRIMARIAMENTE na definição:
A. métricas de segurança
B. Acordos de nível de serviço (SLA)
C. metodologias de comunicação de riscos
D. requisitos de segurança para o processo que está a ser externalizado
Ver resposta
Resposta correta: A
Pergunta #249
Depois de avaliar e atenuar os riscos de uma aplicação Web, quem deve decidir sobre a aceitação dos riscos residuais da aplicação?
A. Responsável pela segurança da informação
B. Diretor de informação (CIO)
C. Empresário
D. Diretor executivo (CFO)
Ver resposta
Resposta correta: C
Pergunta #250
Qual das seguintes opções define os accionadores de um plano de continuidade da atividade (PCN)?
A. Plano de recuperação de desastres
B. Necessidades da organização
C. Análise das lacunas
D. Política de segurança da informação
Ver resposta
Resposta correta: A
Pergunta #251
Qual das seguintes opções seria a MAIS relevante para incluir numa análise custo-benefício de um sistema de autenticação de dois factores?
A. Expectativa de perda anual (ALE) de incidentes
B. Frequência dos incidentes
C. Custo total de propriedade (TCO)
D. Orçamento aprovado para o projeto
Ver resposta
Resposta correta: C
Pergunta #252
Qual dos seguintes riscos está representado na apetência pelo risco de uma organização?
A. Controlo
B. Inerente
C. Residual
D. Auditoria
Ver resposta
Resposta correta: C
Pergunta #253
Quando a equipa de resposta a incidentes informáticos (CIRT) encontra provas claras de que um pirata informático penetrou na rede da empresa e modificou as informações dos clientes, o gestor da segurança das informações deve notificar PRIMEIRO:
A. O comité diretor da segurança da informação
B. clientes que podem ser afectados
C. proprietários de dados que podem ser afectados
D. Regulamentação - agências que supervisionam a privacidade
Ver resposta
Resposta correta: C
Pergunta #254
Qual dos seguintes é o objetivo PRIMÁRIO de um programa de gestão de riscos?
A. Implementar controlos preventivos contra ameaças
B. Gerir o impacto comercial dos riscos inerentes
C. Gerir o cumprimento das políticas organizacionais
D. Reduzir o apetite de risco da organização
Ver resposta
Resposta correta: B
Pergunta #255
Um programa de gestão de riscos será MAIS eficaz quando:
A. a apetência pelo risco é mantida durante um longo período
B. as avaliações de risco são repetidas periodicamente
C. as avaliações de risco são efectuadas por um terceiro
D. As unidades de negócio estão envolvidas nas avaliações de risco
Ver resposta
Resposta correta: D
Pergunta #256
Ao preparar um plano de tratamento de riscos, qual das seguintes é a consideração MAIS importante ao analisar as opções para atenuar os riscos?
A. Análise custo-benefício
B. Aceitação do utilizador
C. Análise do impacto nas empresas (BIA)
D. Identificação do controlo
Ver resposta
Resposta correta: A
Pergunta #257
Um fornecedor subcontratado trata os dados críticos para o negócio de uma organização. Qual das seguintes é a forma MAIS eficaz de a organização cliente obter garantias sobre as práticas de segurança do fornecedor?
A. Verificação das certificações de segurança detidas pelo vendedor
B. Revisão dos relatórios de auditoria de segurança do fornecedor
C. Exigir revisões periódicas por terceiros independentes
D. Exigir ao fornecedor planos de continuidade das actividades (BCP)
Ver resposta
Resposta correta: C
Pergunta #258
A avaliação dos activos informáticos deve ser efectuada por:
A. um gestor de segurança de TI
B. um consultor de segurança independente
C. o diretor financeiro (CFO)
D. o proprietário da informação
Ver resposta
Resposta correta: D
Pergunta #259
Qual das seguintes opções, utilizando criptografia de chave pública, garante a autenticação, a confidencialidade e o não repúdio de uma mensagem?
A. Encriptar primeiro com a chave privada do recetor e depois com a chave pública do emissor
B. Encriptar primeiro com a chave privada do emissor e depois com a chave pública do recetor
C. Encriptação em primeiro lugar pela chave privada do remetente e desencriptação em segundo lugar pela chave pública do remetente
D. Encriptar primeiro com a chave pública do emissor e depois com a chave privada do recetor
Ver resposta
Resposta correta: B
Pergunta #260
Uma auditoria de controlo interno revelou uma deficiência de controlo relacionada com um sistema antigo em que os controlos de compensação já não parecem ser eficazes. Qual das seguintes opções MELHOR ajudaria o gestor de segurança da informação a determinar os requisitos de segurança para resolver a deficiência de controlo?
A. Avaliação dos riscos
B. Análise das lacunas
C. Análise custo-benefício
D. Caso de negócio
Ver resposta
Resposta correta: B
Pergunta #261
Uma organização já está certificada segundo uma norma de segurança internacional. Qual o mecanismo que MELHOR ajudaria a alinhar a organização com outros requisitos regulamentares de segurança de dados de acordo com as novas necessidades da empresa?
A. Indicadores-chave de desempenho (KPIs)
B. Análise do impacto nas empresas (BIA)
C. Análise das lacunas
D. Avaliação da vulnerabilidade técnica
Ver resposta
Resposta correta: C
Pergunta #262
Qual das seguintes opções é MAIS útil para a administração determinar se os riscos estão dentro do nível de tolerância de uma organização?
A. Constatações de auditoria
B. Mapa de calor
C. Resultados dos ensaios de penetração
D. Nível de maturidade
Ver resposta
Resposta correta: B
Pergunta #263
Qual dos seguintes dispositivos deve ser colocado numa zona desmilitarizada (DMZ)?
A. Comutador de rede
B. Servidor Web
C. Servidor de base de dados
D. Servidor de ficheiros/impressão
Ver resposta
Resposta correta: B
Pergunta #264
Qual dos seguintes é o pré-requisito PRIMÁRIO para implementar a classificação de dados numa organização?
A. Definição de funções
B. Efetuar uma avaliação dos riscos
C. Identificação dos proprietários dos dados
D. Estabelecer políticas de retenção de dados
Ver resposta
Resposta correta: C
Pergunta #265
Dos seguintes, o MELHOR método para garantir que os empregados temporários não recebem direitos de acesso excessivos é:
A. controlos de acesso obrigatórios
B. controlos de acesso discricionários
C. controlos de acesso baseados em grelha
D. controlos de acesso baseados em funções
Ver resposta
Resposta correta: D
Pergunta #266
Os níveis aceitáveis de risco para a segurança da informação devem ser determinados por:
A. aconselhamento jurídico
B. gestão da segurança
C. auditores externos
D. morrer comité diretor
Ver resposta
Resposta correta: D
Pergunta #267
Qual dos seguintes controlos MELHOR evitaria o encerramento acidental do sistema a partir da consola ou da área de operações?
A. Fontes de alimentação redundantes
B. Tampas de proteção dos interruptores
C. Alarmes de paragem
D. Leitores biométricos
Ver resposta
Resposta correta: B
Pergunta #268
Um gestor de SI decidiu implementar um sistema de segurança para monitorizar o acesso à Internet e impedir o acesso a vários sítios. Imediatamente após a instalação, os empregados contactam o helpdesk de TI com queixas de não conseguirem executar funções profissionais em sítios da Internet. Este é um exemplo de:
A. conflitos entre os controlos de segurança e as necessidades organizacionais
B. forte proteção dos recursos de informação
C. Implementar controlos adequados para reduzir o risco
D. provar as capacidades de proteção da segurança da informação
Ver resposta
Resposta correta: A
Pergunta #269
O objetivo PRIMÁRIO da sensibilização para a segurança é
A. garantir que as políticas de segurança sejam compreendidas
B. influenciar o comportamento dos empregados
C. assegurar a conformidade legal e regulamentar
D. Notificação das acções por incumprimento
Ver resposta
Resposta correta: B
Pergunta #270
A utilização MAIS eficaz de um registo de riscos é a seguinte
A. Identificar os riscos e atribuir funções e responsabilidades para a sua mitigação
B. identificar ameaças e probabilidades
C. facilitar uma revisão exaustiva de todos os riscos relacionados com as TI numa base periódica
D. registar o montante financeiro anualizado das perdas esperadas devido a riscos
Ver resposta
Resposta correta: C
Pergunta #271
Qual das seguintes tendências seria a MAIS preocupante quando se analisa o desempenho dos sistemas de deteção de intrusão (IDS) de uma organização?
A. Diminuição dos falsos negativos
B. Aumento dos falsos positivos
C. Diminuição dos falsos positivos
D. Aumento de falsos negativos
Ver resposta
Resposta correta: D
Pergunta #272
O cumprimento de qual dos seguintes objectivos de segurança MELHOR garante que as informações estão protegidas contra a divulgação não autorizada?
A. Autenticidade
B. Confidencialidade
C. Não repúdio
D. Integridade
Ver resposta
Resposta correta: B
Pergunta #273
No desenvolvimento de uma estratégia de segurança da informação, os objectivos de tempo de recuperação (RTO) servirão como indicadores de:
A. apoio da direção
B. vulnerabilidades abertas
C. tolerâncias ao risco
D. níveis de maturidade
Ver resposta
Resposta correta: C
Pergunta #274
Qual das seguintes opções é caraterística da gestão descentralizada da segurança da informação numa organização geograficamente dispersa?
A. Maior uniformidade na qualidade do serviço
B. Melhor adesão às políticas
C. Melhor alinhamento com as necessidades da unidade de negócio
D. Mais poupanças nos custos totais de funcionamento
Ver resposta
Resposta correta: C
Pergunta #275
Qual das seguintes opções MELHOR demonstra o valor acrescentado de um programa de segurança da informação?
A. Linhas de base da segurança
B. Uma análise SWOT
C. Uma análise das lacunas
D. Um balanced scorecard
Ver resposta
Resposta correta: B
Pergunta #276
Uma organização multinacional desenvolveu uma política de trazer o seu próprio dispositivo (BYOD) que exige a instalação de software de gestão de dispositivos móveis (MDM) em dispositivos pessoais. Qual das seguintes opções representa o MAIOR desafio para a implementação da política?
A. Diferentes direitos de privacidade dos dados dos trabalhadores
B. Tradução e comunicação da política
C. Diferenças nas plataformas dos sistemas operativos móveis
D. Diferenças nas culturas empresariais
Ver resposta
Resposta correta: C
Pergunta #277
Qual das seguintes é a posição MAIS adequada para patrocinar a conceção e implementação de uma nova infraestrutura de segurança numa grande empresa global?
A. Responsável principal pela segurança (CSO)
B. Diretor de operações (COO)
C. Responsável pela proteção da privacidade (CPO)
D. Consultor jurídico principal (CLC)
Ver resposta
Resposta correta: B
Pergunta #278
Qual é o fator MAIS importante na implementação bem sucedida de um programa de segurança da informação a nível empresarial?
A. Estimativas orçamentais realistas
B. Sensibilização para a segurança
C. Apoio dos quadros superiores
D. Novo cálculo do fator trabalho
Ver resposta
Resposta correta: C
Pergunta #279
Qual dos seguintes aspectos DEVE ser estabelecido antes de implementar um sistema de prevenção de perda de dados (DLP)?
A. Avaliação do impacto na privacidade
B. Uma política de cópia de segurança dos dados
C. Classificação dos dados
D. Uma política de recuperação de dados
Ver resposta
Resposta correta: C
Pergunta #280
Qual das seguintes opções é a MAIS importante a considerar na definição dos objectivos de controlo?
A. O atual nível de risco residual
B. Os objectivos estratégicos da organização
C. Recomendações de controlo de uma auditoria recente
D. A apetência pelo risco da organização
Ver resposta
Resposta correta: B
Pergunta #281
O diretor de segurança da informação (CISO) desenvolveu uma estratégia de segurança da informação, mas está a ter dificuldades em obter o compromisso da gestão de topo para os fundos de implementação da estratégia
A. A estratégia não inclui uma análise custo-benefício
B. O CISO reporta ao CIO
C. Houve uma falta de envolvimento com a empresa durante o desenvolvimento
D. A estratégia não está em conformidade com as normas de segurança
Ver resposta
Resposta correta: A
Pergunta #282
Um patch não crítico do sistema operativo (SO) para melhorar a segurança do sistema não pode ser aplicado porque uma aplicação crítica não é compatível com a alteração. Qual das seguintes opções é a MELHOR solução?
A. Reescrever a aplicação para estar em conformidade com o sistema operativo atualizado
B. Compensar a não instalação da correção com controlos de atenuação
C. Alterar o patch para permitir que a aplicação seja executada num estado privilegiado
D. Executar a aplicação numa plataforma de teste; ajustar a produção para permitir o patch e a aplicação
Ver resposta
Resposta correta: B
Pergunta #283
Quando um patch de segurança de emergência é recebido por correio eletrónico, o patch deve PRIMEIRO ser:
A. carregado numa máquina de ensaio isolada
B. descompilado para verificar a existência de código malicioso
C. validado para garantir a sua autenticidade
D. copiados para suportes de gravação para evitar adulterações
Ver resposta
Resposta correta: C
Pergunta #284
Depois de avaliar o risco, a decisão de o tratar deve basear-se PRIMARIAMENTE em
A. disponibilidade de recursos financeiros
B. se o nível de risco excede a apetência pelo risco
C. se o nível de risco excede o risco inerente
D. a criticidade do risco
Ver resposta
Resposta correta: B
Pergunta #285
Um gestor de segurança da informação foi informado de uma nova vulnerabilidade numa aplicação bancária em linha e espera-se que seja lançada uma correção para resolver este problema nas próximas 72 horas. A ação MAIS importante do gestor de segurança da informação deve ser
A. avaliar o risco e aconselhar os quadros superiores
B. Identificar e aplicar controlos de atenuação
C. executar o sistema de aplicação em modo offline
D. efetuar uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: A
Pergunta #286
Com base nas informações fornecidas, qual das seguintes situações apresenta o MAIOR risco de segurança da informação para uma organização com vários, mas pequenos, locais de processamento doméstico?
A. Os procedimentos de funcionamento dos sistemas não são aplicados
B. Os procedimentos de gestão da mudança são deficientes
C. O desenvolvimento de sistemas é externalizado
D. A gestão da capacidade dos sistemas não é efectuada
Ver resposta
Resposta correta: B
Pergunta #287
A pessoa MAIS adequada para determinar o nível de segurança da informação necessário para uma aplicação comercial específica é o:
A. programador de sistemas
B. gestor de segurança da informação
C. Comité de direção
D. proprietário dos dados do sistema
Ver resposta
Resposta correta: D
Pergunta #288
Um gestor de segurança da informação inexperiente está a confiar no seu departamento de auditoria interna para conceber e implementar os principais controlos de segurança. Qual das seguintes opções representa o MAIOR risco?
A. Implementação inadequada dos controlos
B. Conflito de interesses
C. Violação da carta de auditoria
D. Competências de auditoria inadequadas
Ver resposta
Resposta correta: B
Pergunta #289
Um gestor de segurança da informação suspeita que a organização foi vítima de um ataque de ransomware. O que deve ser feito PRIMEIRO?
A. Notificar os quadros superiores
B. Alertar os funcionários sobre o ataque
C. Confirmar a infeção
D. Isolar os sistemas afectados
Ver resposta
Resposta correta: C
Pergunta #290
Qual das seguintes opções é a consideração MAIS importante ao implementar um sistema de deteção de intrusão (IDS)?
A. Afinação
B. Patching
C. Encriptação
D. Filtragem de pacotes
Ver resposta
Resposta correta: A
Pergunta #291
Qual das seguintes opções MELHOR ajudaria a garantir o alinhamento entre a segurança da informação e as funções empresariais?
A. Desenvolvimento de políticas de segurança da informação
B. Criação de um comité de governação da segurança da informação
C. Estabelecer um programa de sensibilização para a segurança
D. Financiamento dos esforços de segurança da informação
Ver resposta
Resposta correta: B
Pergunta #292
Ao implementar a governação da segurança da informação, uma organização deve PRIMEIRO:
A. adotar normas de segurança
B. determinar linhas de base de segurança
C. definir a estratégia de segurança
D. estabelecer políticas de segurança
Ver resposta
Resposta correta: C
Pergunta #293
Qual das seguintes situações é a MAIS provável de conduzir a uma atualização da estratégia de segurança da informação?
A. Um teste de penetração recente revelou uma falha de controlo
B. Uma importante aplicação comercial foi actualizada
C. A direção decidiu implementar uma tecnologia emergente
D. Foi contratado um novo diretor de tecnologia
Ver resposta
Resposta correta: C
Pergunta #294
A razão PRIMÁRIA para estabelecer um esquema de classificação de dados é identificar:
A. propriedade dos dados
B. estratégia de retenção de dados
C. controlos adequados
D. prioridades de recuperação
Ver resposta
Resposta correta: C
Pergunta #295
Qual das seguintes opções é a MAIS útil para manter a coesão dentro dos recursos de segurança da informação de uma organização?
A. Arquitetura da segurança da informação
B. Análise das lacunas de segurança
C. Análise do impacto nas empresas
D. Comité diretor da segurança da informação
Ver resposta
Resposta correta: A
Pergunta #296
Qual das seguintes opções reduzirá MAIS provavelmente as hipóteses de um indivíduo não autorizado obter acesso a recursos informáticos fingindo ser um indivíduo autorizado que necessita de redefinir a sua palavra-passe?
A. Realização de revisões das reposições de palavras-passe
B. Realização de programas de sensibilização para a segurança
C. Aumentar a frequência das alterações da palavra-passe
D. Implementar a verificação automática da sintaxe da palavra-passe
Ver resposta
Resposta correta: B
Pergunta #297
Qual das seguintes opções é o controlo de perda de dados MAIS eficaz quando se liga um dispositivo móvel pessoal ao sistema de correio eletrónico da empresa?
A. O correio eletrónico deve ser armazenado num formato encriptado no dispositivo móvel
B. A sincronização de correio eletrónico deve ser impedida quando se está ligado a um ponto de acesso Wi-Fi público
C. Um gestor sénior tem de aprovar cada ligação
D. Os utilizadores têm de concordar em permitir que o dispositivo móvel seja apagado em caso de perda
Ver resposta
Resposta correta: D
Pergunta #298
Qual das seguintes opções deve ser incluída num orçamento anual de segurança da informação que é apresentado para aprovação da direção?
A. Uma análise custo-benefício dos recursos orçamentados
B. Todos os recursos recomendados pela empresa
C. Custo total de propriedade (TCO)
D. Comparações de base
Ver resposta
Resposta correta: A
Pergunta #299
Qual das seguintes opções seria a MAIS importante a considerar ao implementar definições de segurança para um novo sistema?
A. Resultados das auditorias internas e externas
B. Regulamentos governamentais e sanções conexas
C. Objectivos comerciais e riscos informáticos conexos
D. Melhores práticas do sector aplicáveis à atividade
Ver resposta
Resposta correta: C
Pergunta #300
Os mecanismos de controlo da segurança devem, PRIMEIRAMENTE:
A. centrar-se em informações críticas para o negócio
B. ajudar os proprietários a gerir os riscos de controlo
C. centram-se na deteção de intrusões na rede
D. Registar todas as violações de segurança
Ver resposta
Resposta correta: A
Pergunta #301
Qual das seguintes opções é a MAIS importante na condução de uma investigação forense?
A. Documentação das etapas da análise
B. Captura de imagens completas do sistema
C. Manutenção de uma cadeia de custódia
D. Analisar a memória do sistema
Ver resposta
Resposta correta: C
Pergunta #302
Qual das seguintes tarefas deve ser realizada depois de um plano de recuperação de desastres ter sido desenvolvido?
A. Analisar o impacto comercial
B. Definir as funções da equipa de resposta
C. Desenvolver o plano de teste
D. Identificar os objectivos de tempo de recuperação (RTO)
Ver resposta
Resposta correta: B
Pergunta #303
Quando os controlos preventivos para atenuar adequadamente o risco não são viáveis, qual das seguintes acções é a MAIS importante para o gestor da segurança da informação?
A. Avaliar as vulnerabilidades
B. Gerir o impacto
C. Avaliar as ameaças potenciais
D. Identificar níveis de risco inaceitáveis
Ver resposta
Resposta correta: D
Pergunta #304
Ao desenvolver um plano de recuperação de desastres, qual das seguintes opções seria MAIS útil para priorizar a ordem em que os sistemas devem ser recuperados?
A. Efetuar uma análise de impacto nas empresas (BIA)
B. Medir o volume de dados em cada sistema
C. Revisão da política de segurança da informação
D. Revisão da estratégia empresarial
Ver resposta
Resposta correta: A
Pergunta #305
A implementação bem sucedida da governação da segurança da informação exigirá PRIMEIRO:
A. Formação de sensibilização para a segurança
B. políticas de segurança actualizadas
C. uma equipa de gestão de incidentes informáticos
D. uma arquitetura de segurança
Ver resposta
Resposta correta: B
Pergunta #306
Uma organização envolvida em actividades de comércio eletrónico que opera a partir do seu país de origem abriu um novo escritório noutro país com leis de segurança rigorosas. Neste cenário, a estratégia global de segurança deve basear-se em:
A. Resultados da avaliação dos riscos
B. normas internacionais de segurança
C. os requisitos mais rigorosos
D. a estrutura da organização da segurança
Ver resposta
Resposta correta: D
Pergunta #307
Um exercício de avaliação dos riscos de segurança deve ser repetido a intervalos regulares porque:
A. As ameaças comerciais estão em constante mudança
B. As omissões em avaliações anteriores podem ser colmatadas
C. As avaliações repetitivas permitem várias metodologias
D. ajudam a aumentar a sensibilização para a segurança na empresa
Ver resposta
Resposta correta: A
Pergunta #308
De entre os seguintes, quem deve ter a responsabilidade PRIMÁRIA pela avaliação do risco de segurança associado a um contrato de fornecedor de serviços de computação em nuvem externalizado?
A. Gestor da segurança da informação
B. Gestor de conformidade
C. Diretor de informação
D. Gestor da prestação de serviços
Ver resposta
Resposta correta: D
Pergunta #309
Qual das seguintes é a MELHOR opção para abordar regulamentos que afectarão negativamente a atribuição de recursos do programa de segurança da informação?
A. Dar prioridade aos esforços de conformidade com base na probabilidade
B. Determinar os níveis de conformidade das organizações congéneres
C. Atrasar a implementação das actividades de conformidade
D. Efetuar avaliações para as decisões de gestão
Ver resposta
Resposta correta: D
Pergunta #310
Qual das seguintes é a MELHOR abordagem para determinar o nível de maturidade de um programa de segurança da informação?
A. Avaliar os indicadores-chave de desempenho (KPI)
B. Recorrer a uma revisão por terceiros
C. Analisar os resultados da auditoria interna
D. Efetuar uma autoavaliação
Ver resposta
Resposta correta: A
Pergunta #311
A fim de realçar à direção a importância da segurança da rede, o gestor de segurança deve PRIMEIRO:
A. desenvolver uma arquitetura de segurança
B. instalar um sistema de deteção de intrusões na rede (NIDS) e preparar uma lista de ataques
C. desenvolver uma política de segurança de rede
D. efetuar uma avaliação dos riscos
Ver resposta
Resposta correta: D
Pergunta #312
Qual das seguintes opções MELHOR permite a um gestor de segurança da informação determinar a abrangência da estratégia de segurança da informação de uma organização?
A. Análise do impacto nas empresas
B. Apetência pelo risco organizacional
C. Auditoria de segurança independente
D. Avaliação dos riscos de segurança
Ver resposta
Resposta correta: A
Pergunta #313
A razão MAIS importante para que os sistemas de deteção de intrusões baseados em anomalias estatísticas (slat IDSs) sejam menos utilizados do que os IDSs baseados em assinaturas é que os stat IDSs:
A. criam mais sobrecarga do que os IDSs baseados em assinaturas
B. causam falsos positivos devido a pequenas alterações nas variáveis do sistema
C. geram falsos alarmes devido a acções variáveis do utilizador ou do sistema
D. não consegue detetar novos tipos de ataques
Ver resposta
Resposta correta: C
Pergunta #314
Para ajudar a garantir que o pessoal do contrato não obtém acesso não autorizado a informações sensíveis, o gestor da segurança da informação deve PRIMEIRAMENTE
A. definem as suas contas para expirarem em seis meses ou menos
B. evitar conceder funções de administração do sistema
C. garantir que são aprovados nos controlos de antecedentes
D. garantir que o seu acesso é aprovado pelo proprietário dos dados
Ver resposta
Resposta correta: B
Pergunta #315
Ao utilizar uma infraestrutura de gestão de eventos e informações de segurança (SIEM) recentemente implementada, qual das seguintes opções deve ser considerada PRIMEIRA?
A. Retenção
B. Afinação
C. Encriptação
D. Distribuição do relatório
Ver resposta
Resposta correta: D
Pergunta #316
Uma organização detectou um risco potencial decorrente do não cumprimento de novos regulamentos no seu sector. Qual das seguintes é a razão MAIS importante para comunicar esta situação à direção?
A. O perfil de risco tem de ser atualizado
B. É necessário efetuar uma análise externa do risco
C. Devem ser implementados controlos de acompanhamento específicos
D. É necessário efetuar uma análise de referência
Ver resposta
Resposta correta: A
Pergunta #317
Qual das seguintes é a forma MAIS eficaz de abordar as preocupações de segurança de uma organização durante as negociações de contratos com terceiros?
A. ever o contrato de terceiros com o departamento jurídico da organização
B. Comunicar a política de segurança ao fornecedor terceiro
C. Garantir que a segurança seja envolvida no processo de aquisição
D. Efetuar uma auditoria à segurança das informações do fornecedor externo
Ver resposta
Resposta correta: B
Pergunta #318
Qual das seguintes opções é o resultado MAIS provável da implementação de uma estrutura de governação da segurança?
A. Maior disponibilidade de sistemas de informação
B. Conformidade com as normas internacionais
C. Valor comercial realizado a partir de iniciativas de segurança da informação
D. Redução dos custos das iniciativas de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #319
Qual seria a MELHOR recomendação de um gestor de segurança da informação ao saber que um contrato existente com um terceiro não identifica claramente os requisitos de proteção dos dados críticos da organização?
A. Cancelar o contrato de externalização
B. Transferir o risco para o prestador de serviços
C. Criar uma adenda ao contrato existente
D. niciar uma auditoria externa do centro de dados do fornecedor
Ver resposta
Resposta correta: C
Pergunta #320
Quando se contrata uma empresa externa para prestar serviços de administração de segurança, o elemento contratual MAIS importante é o:
A. cláusula de direito de rescisão
B. limitações de responsabilidade
C. Acordo de nível de serviço (SLA)
D. cláusula de sanções financeiras
Ver resposta
Resposta correta: C
Pergunta #321
Uma empresa está a considerar um novo sistema automatizado que requer a implementação de dispositivos sem fios para a captura de dados. Embora a tecnologia sem fios não seja aprovada, a direção aceitou o risco e aprovou uma Prova de Conceito (POC) para avaliar a tecnologia e a solução proposta. Qual das seguintes opções é a MELHOR linha de ação do gestor de segurança da informação?
A. Testar a solução proposta
B. Fornecer ao pessoal formação sobre segurança sem fios
C. Implementar um sistema de deteção de intrusões sem fios (IDS)
D. Desenvolver normas sem fios empresariais
Ver resposta
Resposta correta: A
Pergunta #322
Um sistema de missão crítica foi identificado como tendo uma conta de sistema administrativo com atributos que impedem o bloqueio e a alteração de privilégios e nome. Qual seria a MELHOR abordagem para impedir o sucesso do brute forcing da conta?
A. Impedir que o sistema seja acedido remotamente
B. Criar uma palavra-passe forte e aleatória
C. Pedir uma correção do fornecedor
D. Controlar a utilização da conta através de pistas de auditoria
Ver resposta
Resposta correta: B
Pergunta #323
Quem, numa organização, tem a responsabilidade de classificar a informação?
A. Responsável pela custódia dos dados
B. Administrador de bases de dados
C. Responsável pela segurança da informação
D. Proprietário dos dados
Ver resposta
Resposta correta: D
Pergunta #324
Um gestor de segurança da informação deve compreender a relação entre a segurança da informação e as operações comerciais, a fim de
A. apoiar os objectivos organizacionais
B. Determinar as áreas prováveis de não conformidade
C. avaliar os possíveis impactos do compromisso
D. compreender as ameaças ao negócio
Ver resposta
Resposta correta: A
Pergunta #325
Deve ser colocado um servidor extranet:
A. fora da firewall
B. no servidor de firewall
C. numa sub-rede protegida
D. no router externo
Ver resposta
Resposta correta: C
Pergunta #326
Um gestor de projeto está a desenvolver um portal para programadores e solicita que o gestor de segurança atribua um endereço IP público para que possa ser acedido pelo pessoal interno e por consultores externos fora da rede local (LAN) da organização. O que é que o gestor de segurança deve fazer PRIMEIRO?
A. Compreender os requisitos comerciais do portal do programador
B. Efetuar uma avaliação da vulnerabilidade do portal do programador
C. Instalar um sistema de deteção de intrusões (IDS)
D. Obter um acordo de confidencialidade (NDA) assinado pelos consultores externos antes de permitir o acesso externo ao servidor
Ver resposta
Resposta correta: A
Pergunta #327
Ao desenvolver processos de segurança para o tratamento de dados de cartões de crédito no sistema de informação da unidade de negócio, o gestor de segurança da informação deve PRIMEIRO:
A. rever as políticas da empresa relativamente a informações sobre cartões de crédito
B. implementar os requisitos de segurança das empresas de cartões de crédito
C. garantir que os sistemas que lidam com dados de cartões de crédito são segmentados
D. analisar as melhores práticas do sector para o tratamento de pagamentos seguros
Ver resposta
Resposta correta: A
Pergunta #328
Qual das seguintes opções MELHOR ajudaria um gestor de segurança da informação a dar prioridade às actividades de correção para cumprir os requisitos regulamentares?
A. Uma matriz do modelo de maturidade das capacidades
B. Expectativa de perda anual (ALE) de incumprimento
C. Custo dos controlos associados
D. Alinhamento com a estratégia de TI
Ver resposta
Resposta correta: D
Pergunta #329
Qual das seguintes situações teria geralmente o MAIOR impacto negativo numa organização?
A. Furto de programas informáticos
B. Interrupção dos serviços de utilidade pública
C. Perda de confiança dos clientes
D. Fraude interna que resulta em perdas monetárias
Ver resposta
Resposta correta: C
Pergunta #330
Uma instituição financeira global decidiu não tomar mais nenhuma medida em relação a um risco de negação de serviço (DoS) encontrado pela equipa de avaliação de riscos. A razão MAIS provável para essa decisão é que:
A. Existem salvaguardas suficientes para evitar que este risco ocorra
B. A contramedida necessária é demasiado complicada para ser aplicada
C. o custo da contramedida é superior ao valor do ativo e à perda potencial
D. A probabilidade de ocorrência do risco é desconhecida
Ver resposta
Resposta correta: C
Pergunta #331
A caraterística MAIS importante de boas políticas de segurança é que elas:
A. Expectativas do Estado em relação à gestão das TI
B. Indicar apenas um mandato geral de segurança
C. estão alinhados com os objectivos organizacionais
D. regem a criação de procedimentos e directrizes
Ver resposta
Resposta correta: C
Pergunta #332
Quando se constata que a segurança ao nível das aplicações controlada pelos proprietários dos processos empresariais é mal gerida, qual das seguintes opções poderia melhorar as práticas actuais?
A. Centralizar a gestão da segurança
B. Aplicação de sanções em caso de incumprimento
C. Aplicação das políticas pela direção de TI
D. Revisões periódicas da conformidade
Ver resposta
Resposta correta: A
Pergunta #333
Um programa de sensibilização para a segurança deve:
A. apresentar a perspetiva da gestão de topo
B. abordar pormenores sobre explorações específicas
C. dirigem-se a grupos e funções específicos
D. promover os procedimentos do departamento de segurança
Ver resposta
Resposta correta: C
Pergunta #334
Qual das seguintes deve ser a função PRIMÁRIA de um gestor de segurança da informação quando uma organização inicia um processo de classificação de dados?
A. Verificar se os activos foram adequadamente classificados
B. Aplicar a segurança de acordo com a classificação específica
C. Definir a estrutura de classificação a implementar
D. Atribuir o nível de classificação do ativo
Ver resposta
Resposta correta: C
Pergunta #335
Qual das seguintes opções é a MAIS importante a incluir nos relatórios mensais de segurança da informação a apresentar à Direção-Geral?
A. Análise de tendências dos indicadores de segurança
B. Informação sobre ameaças
C. Análise das causas profundas dos incidentes de segurança
D. Resultados da avaliação dos riscos
Ver resposta
Resposta correta: A
Pergunta #336
A governação da segurança da informação é primordialmente orientada por:
A. restrições tecnológicas
B. requisitos regulamentares
C. potencial de litígio
D. estratégia empresarial
Ver resposta
Resposta correta: D
Pergunta #337
Qual dos seguintes é o controlo MAIS prático que uma organização pode implementar para impedir a transferência não autorizada de dados para dispositivos de armazenamento USB (Universal Serial Bus)?
A. Autenticação de dois factores
B. Restringir a utilização da unidade
C. Encriptação forte
D. Ação disciplinar
Ver resposta
Resposta correta: B
Pergunta #338
Uma organização está a considerar mover uma das suas aplicações empresariais críticas para um serviço de alojamento na nuvem. O provedor de nuvem pode não fornecer o mesmo nível de segurança para esse aplicativo que a organização. Qual das seguintes opções fornecerá as MELHORES informações para ajudar a manter a postura de segurança?
A. Avaliação dos riscos
B. Estratégia de segurança da nuvem
C. Avaliação da vulnerabilidade
D. Quadro de governação do risco
Ver resposta
Resposta correta: A
Pergunta #339
Um gestor de segurança da informação está a avaliar os principais indicadores de risco (KRIs) para o programa de segurança da informação de uma organização. Qual das seguintes opções seria a MAIOR preocupação do gestor de segurança da informação?
A. Limiares indefinidos para acionar alertas
B. Múltiplos KRIs para um único processo de controlo
C. Utilização de medidas qualitativas
D. Falta de aprovação formal do KRI pela direção de TI
Ver resposta
Resposta correta: A
Pergunta #340
A implementação de uma política de palavras-passe fortes faz parte da estratégia de segurança da informação de uma organização para este ano. Uma unidade de negócios acredita que a estratégia pode afetar negativamente a adoção por parte de um cliente de uma aplicação móvel recentemente desenvolvida e decidiu não implementar a política. Qual das seguintes opções é a MELHOR linha de ação do gestor de segurança da informação?
A. Analisar o risco e o impacto da não aplicação da política
B. Desenvolver e implementar uma política de palavras-passe para a aplicação móvel
C. Encaminhar a não aplicação da política para a direção
D. Comparar com aplicações móveis semelhantes para identificar lacunas
Ver resposta
Resposta correta: C
Pergunta #341
Qual dos seguintes critérios deve ser o MAIS importante na definição de políticas de retenção de dados?
A. Requisitos de capacidade
B. Constatações de auditoria
C. Requisitos regulamentares
D. Melhores práticas do sector
Ver resposta
Resposta correta: C
Pergunta #342
Um gestor de segurança da informação está a desenvolver um caso de negócio para um investimento num controlo de segurança da informação. O PRIMEIRO passo deve ser:
A. pesquisar os preços dos fornecedores para mostrar a eficiência dos custos
B. avaliar o potencial impacto para a organização
C. demonstrar o aumento da produtividade do pessoal de segurança
D. obter a adesão da auditoria ao controlo de segurança
Ver resposta
Resposta correta: B
Pergunta #343
Qual das seguintes é a MELHOR abordagem para um gestor de segurança da informação quando desenvolve novas políticas de segurança da informação?
A. Criar um mapa das partes interessadas
B. Fazer referência a uma norma do sector
C. Criar um comité de governação da segurança da informação
D. Descarregar um modelo de política
Ver resposta
Resposta correta: C
Pergunta #344
Qual deve ser a base PRIMÁRIA para estabelecer um objetivo de tempo de recuperação (RTO) para uma aplicação comercial crítica?
A. Resultados da análise de impacto nas empresas (BIA)
B. Indicadores de referência relacionados com a atividade
C. Resultados da avaliação dos riscos
D. Requisitos legais e regulamentares
Ver resposta
Resposta correta: A

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.