NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Últimos testes práticos CISA e lixeiras de exame 2024, Auditor certificado de sistemas de informação | SPOTO

Os testes de simulação são um componente crucial da preparação para o último exame de certificação CISA, oferecendo várias vantagens importantes. Estes testes práticos simulam o ambiente real do exame, permitindo que os candidatos se familiarizem com o formato, o tempo e o nível de dificuldade das perguntas reais do exame. Ao praticar com testes de simulação, os candidatos podem identificar os seus pontos fortes e fracos, permitindo-lhes concentrar os seus esforços de estudo de forma mais eficaz. Os testes de simulação também ajudam a melhorar as competências de gestão do tempo, uma vez que os candidatos aprendem a atribuir a quantidade de tempo adequada a cada pergunta. Além disso, os testes de simulação fornecem feedback imediato sobre o desempenho, destacando as áreas que requerem mais atenção e orientando os esforços de estudo em curso. Com acesso aos mais recentes testes práticos CISA da SPOTO' e dumps de exame para 2024, os candidatos podem melhorar sua preparação para o exame e aumentar suas chances de sucesso.

Faça outros exames online
Pergunta #1
Qual das seguintes é a MELHOR solução de segurança física para conceder e restringir o acesso a indivíduos com base nas suas necessidades de acesso específicas?
A. Fechaduras de portas com parafusos
B. Bloqueios de cifra
C. Circuito fechado de televisão (CCTV)
D. Sistema de cartões electrónicos
Ver resposta
Resposta correta: D
Pergunta #2
Qual dos seguintes controlos melhor garantirá que o conselho de administração recebe informações suficientes sobre as TI?
A. O CIO informa atempadamente sobre o desempenho e as acções correctivas
B. São realizadas reuniões regulares entre a direção, o CIO e um comité de tecnologia
C. O CIO envia regularmente relatórios de tendências de TI à direção
D. Os membros do Conselho de Administração têm conhecimentos de TI e o CIO é consultado sobre questões de TI
Ver resposta
Resposta correta: A
Pergunta #3
Foi instalada uma firewall no servidor Web da empresa. Qual é a preocupação que a firewall resolve?
A. Disponibilidade das informações
B. Modificação não autorizada de informações por utilizadores internos
C. Acesso à informação pelo mundo exterior
D. Conectividade com a Internet
Ver resposta
Resposta correta: A
Pergunta #4
Uma das vantagens de gerir todo um conjunto de projectos como uma carteira é o facto de realçar a necessidade de:
A. identificar as dependências entre projectos
B. informar os utilizadores sobre todos os projectos em curso
C. gerir o risco de cada projeto individual
D. gerir a qualidade de cada projeto
Ver resposta
Resposta correta: D
Pergunta #5
Qual dos seguintes é o risco PRIMÁRIO quando as unidades empresariais adquirem activos informáticos sem o envolvimento das TI?
A. As normas de aquisição da empresa não são respeitadas
B. As unidades empresariais querem que a TI seja responsável pelos custos de manutenção
C. Os requisitos de segurança dos dados não são tidos em conta
D. O inventário do sistema torna-se impreciso
Ver resposta
Resposta correta: C
Pergunta #6
Uma equipa de auditoria externa está a decidir se deve confiar no trabalho da auditoria interna para uma auditoria de conformidade anual. Qual das seguintes opções é a MAIOR consideração ao tomar esta decisão?
A. Independência do serviço de auditoria interna relativamente à influência da direção
B. Certificações profissionais detidas pelos membros da equipa de auditoria interna
C. Anos de experiência de cada um dos auditores internos na realização de auditorias de conformidade
D. O nível de documentação mantido pela auditoria interna e os métodos utilizados para recolher provas
Ver resposta
Resposta correta: C
Pergunta #7
Qual dos seguintes níveis de uma arquitetura de fluxo de dados empresariais representa subconjuntos de informação do armazém de dados principal?
A. Camada de apresentação
B. Camada de acesso ao ambiente de trabalho
C. Camada Data Mart
D. Camada de acesso aos dados
Ver resposta
Resposta correta: C
Pergunta #8
Uma organização está a decidir se vai permitir um programa de trazer o seu próprio dispositivo (BYOD). Se for aprovado, qual dos seguintes deve ser o PRIMEIRO controlo exigido antes da implementação?
A. Configurações de base do dispositivo
B. Registo do dispositivo
C. Uma política de utilização aceitável
D. Um programa de sensibilização
Ver resposta
Resposta correta: C
Pergunta #9
Qual das seguintes constatações deve ser a MAIOR preocupação para um auditor de SI ao auditar a eficácia de um teste de simulação de phishing administrado aos membros do pessoal?
A. Os membros do pessoal não foram previamente informados do teste
B. Os resultados dos testes não foram comunicados aos membros do pessoal
C. Os membros do pessoal que não passaram no teste não receberam formação de acompanhamento
Ver resposta
Resposta correta: C
Pergunta #10
Os protectores contra sobretensões eléctricas BEST protegem contra o impacto de:
A. Interferência electromagnética
B. falhas de energia
C. picos e picos
D. tensão reduzida
Ver resposta
Resposta correta: C
Pergunta #11
Qual dos seguintes tipos de testes tem duas categorias principais: QAT e UAT?
A. Ensaios de interface
B. Testes unitários
C. Teste do sistema
D. Ensaios de receção final
Ver resposta
Resposta correta: B
Pergunta #12
Um auditor de SI descobre um problema recorrente no processo de controlo de software que afecta gravemente a eficiência de um processo comercial crítico. Qual das seguintes é a MELHOR recomendação?
A. Substituir o sistema avariado
B. Determinar os controlos de compensação
C. Identificar outros processos afectados
Ver resposta
Resposta correta: C
Pergunta #13
Uma organização subcontratou muitas actividades de desenvolvimento de aplicações a um terceiro que utiliza extensivamente programadores contratados. Qual das seguintes opções forneceria a MELHOR garantia de que os programadores contratados do terceiro cumprem as políticas de segurança da organização?
A. Efetuar avaliações periódicas da segurança das actividades dos contratantes
B. Efetuar análises periódicas das vulnerabilidades da aplicação
C. Incluir sanções em caso de incumprimento na convenção de contratação
D. Exigir acordos anuais assinados de adesão às políticas de segurança
Ver resposta
Resposta correta: A
Pergunta #14
Qual das seguintes opções é a forma MAIS eficaz de conseguir a integração da governação da segurança da informação na governação empresarial?
A. Garantir que a segurança da informação esteja alinhada com a estratégia de TI
B. Fornecer periodicamente quadros de resultados equilibrados de TI à gestão de topo
C. Alinhar os pedidos de orçamento para a segurança da informação com os objectivos organizacionais
D. Garantir que os esforços de segurança da informação apoiam os objectivos comerciais
Ver resposta
Resposta correta: D
Pergunta #15
Uma pequena organização está a passar por um rápido crescimento e planeia criar uma nova política de segurança da informação. Qual das seguintes opções é a MAIS relevante para a criação da política?
A. Normas do sector
B. A análise de impacto nas actividades (AIE)
C. Os objectivos da empresa
D. Recomendações de auditoria anteriores
Ver resposta
Resposta correta: D
Pergunta #16
Durante uma revisão pós-incidente. a sequência e a correlação das acções devem ser analisadas PRIMARIAMENTE com base em:
A. entrevistas com o pessoal B
B.
C.
Ver resposta
Resposta correta: C
Pergunta #17
Qual das seguintes opções ajudará MAIS eficazmente a gerir os desafios associados aos sistemas de aplicações desenvolvidos pelo utilizador final?
A. Desenvolvimento de classificações com base no risco
B. Introdução de capacidade de suporte redundante
C. Proibir a criação de ficheiros executáveis
D. Aplicação de práticas de controlo utilizadas pelas TI
Ver resposta
Resposta correta: C
Pergunta #18
Qual das seguintes linguagens de quarta geração depende de sistemas de gestão de bases de dados autónomos?
A. Gerador de consultas e relatórios
B. Bases de dados incorporadas 4GL
C. Base de dados relacional 4GL
D. Geradores de aplicações
Ver resposta
Resposta correta: B
Pergunta #19
Um gestor de segurança da informação está preocupado com o facto de a direção executiva não apoiar as iniciativas de segurança da informação. Qual das seguintes opções é a MELHOR forma de resolver esta situação?
A. Demonstrar o alinhamento da função de segurança da informação com as necessidades do negócio
B.
C.
Ver resposta
Resposta correta: D
Pergunta #20
Um auditor de SI descobriu que uma aplicação baseada na nuvem não estava incluída num inventário de aplicações que foi utilizado para confirmar o âmbito de uma auditoria. O proprietário do processo de negócio explicou que a aplicação será auditada por um terceiro no próximo ano. A PRÓXIMA etapa do auditor deve ser:
A. avaliar o impacto da aplicação de nuvem no âmbito da auditoria
B. rever o âmbito da auditoria para incluir a aplicação baseada na nuvem
C. analisar o relatório de auditoria quando realizado por terceiros D
Ver resposta
Resposta correta: D
Pergunta #21
Qual dos seguintes é o MAIOR risco resultante da realização de análises periódicas das TI ao longo de vários anos com base no mesmo programa de auditoria?
A. A quantidade de erros aumentará porque a rotina de trabalho promove a desatenção
B. O risco de deteção é aumentado porque as pessoas auditadas já conhecem o programa de auditoria
C. O risco de auditoria é aumentado porque os programas podem não estar adaptados à situação atual da organização
D. A rotação do pessoal no departamento de auditoria aumentará porque o trabalho no terreno se tornará menos interessante
Ver resposta
Resposta correta: C
Pergunta #22
Qual dos seguintes é o método MAIS eficaz para destruir dados sensíveis armazenados em suportes electrónicos?
A. Destruição física
B. Desmagnetização
C. Substituição aleatória de caracteres
D. Formatação de baixo nível
Ver resposta
Resposta correta: A
Pergunta #23
A política de segurança de TI de uma organização exige uma formação anual de sensibilização para a segurança para todos os funcionários. Qual das seguintes opções constituiria a MELHOR prova da eficácia da formação?
A. Resultados de um teste de engenharia social
B. Entrevistas com os trabalhadores
C. Diminuição das chamadas para a equipa de resposta a incidentes
D. Inquéritos preenchidos por trabalhadores seleccionados aleatoriamente
Ver resposta
Resposta correta: D
Pergunta #24
Um auditor de SI observa uma ferramenta de monitorização do desempenho do sistema que afirma que um servidor crítico para a organização tem uma utilização média elevada da CPU num cluster de quatro servidores virtuais durante o período de auditoria. Para determinar se é necessária uma investigação mais aprofundada, um auditor de SI deve analisar:
A. O registo de actividades do processo do sistema
B. linhas de base do sistema
C. o número de CPUs atribuídas a cada máquina virtual
D. objectivos organizacionais
Ver resposta
Resposta correta: C
Pergunta #25
Deve saber a diferença entre um exploit e uma vulnerabilidade. Qual das seguintes opções se refere a um ponto fraco do sistema?
A. Explorar
B. vulnerabilidade
C. ambos
Ver resposta
Resposta correta: B
Pergunta #26
Qual das seguintes opções é um passo para estabelecer uma política de segurança?
A. Desenvolvimento de linhas de base de segurança a nível da plataforma
B. Desenvolvimento de parâmetros de configuração da rede,
C. Implementação de um processo de desenvolvimento e manutenção da política
D. Criar uma matriz RACI
Ver resposta
Resposta correta: A
Pergunta #27
Durante uma revisão de acesso privilegiado, um auditor de SI observa que muitos funcionários do help desk têm privilégios em sistemas que não são necessários para as suas funções. A implementação de qual das seguintes opções teria evitado essa situação?
A. Separação de funções
B. Autenticação multi-factorC
C.
Ver resposta
Resposta correta: C
Pergunta #28
Se as transacções de atualização simultâneas para uma conta não forem processadas corretamente, qual das seguintes opções será afetada?
A. Integridade
B. Confidencialidade
C. Disponibilidade
D. Responsabilidade
Ver resposta
Resposta correta: A
Pergunta #29
Durante a implementação de um novo sistema, um auditor de SI deve avaliar se determinados cálculos automatizados estão em conformidade com os requisitos regulamentares. Qual das seguintes é a MELHOR forma de obter esta garantia?
A. Inspecionar os resultados dos testes de aceitação pelo utilizador
B. Efetuar novamente o cálculo com o software de auditoria
C. Rever a documentação de aprovação
D. Rever o código-fonte relacionado com o cálculo
Ver resposta
Resposta correta: D
Pergunta #30
Qual das seguintes opções deve ser a MAIOR preocupação para um auditor de SI que esteja a realizar uma auditoria aos processos de cópia de segurança de uma organização?
A. Não está disponível uma política de cópias de segurança por escrito
B. As falhas de cópia de segurança não são resolvidas atempadamente
C. O processo de restauro é lento devido a problemas de conetividade
D. Os níveis de serviço não são atingidos
Ver resposta
Resposta correta: D
Pergunta #31
Um auditor de SI descobre que a propriedade intelectual não está a ser protegida ao nível especificado na política de classificação e proteção de dados da organização. O proprietário da empresa está ciente deste problema e opta por aceitar o risco. Qual das seguintes opções é a MELHOR forma de atuação do auditor?
A. Registar a constatação e solicitar a sua aceitação formal
B. Incluir a constatação na auditoria de acompanhamento
C. Alterar a política de classificação de dados
D. Formar um comité e investigar melhor a questão
Ver resposta
Resposta correta: A
Pergunta #32
Um auditor de SI descobre que, devido a restrições de recursos, um administrador de base de dados (DBA) é responsável pelo desenvolvimento e execução de alterações no ambiente de produção. Qual das seguintes acções deve o auditor realizar PRIMEIRO?
A. Identificar se existem controlos de compensação
B. Comunicar uma potencial violação da segregação de funções (SoD)
C. Determinar se outro administrador da base de dados pode efetuar as alterações
D. Assegurar que é seguido um processo de gestão da mudança antes da implementação
Ver resposta
Resposta correta: C
Pergunta #33
Um auditor de SI descobre que não estão a ser efectuadas revisões periódicas dos utilizadores só de leitura de um sistema de relatórios. Qual das seguintes opções deve ser a próxima ação do auditor de SI?
A. Obter uma confirmação verbal da TI para esta isenção
B. Rever a lista de utilizadores finais e avaliar a autorização
C. Verificar a aprovação da direção para esta isenção
D. Comunicar esta deficiência do processo de controlo à direção
Ver resposta
Resposta correta: A
Pergunta #34
Qual dos seguintes tipos de spyware foi originalmente concebido para determinar as fontes de erro ou para medir a produtividade do pessoal?
A. Palavras-chave: abate de árvores
B. Registo de teclas
C. Registo de directórios
D. Registo de palavras-passe
E. Nenhuma das opções
Ver resposta
Resposta correta: B
Pergunta #35
Qual das seguintes é a caraterística MAIS importante do software de controlo de acesso?
A. Autenticação
B. Comunicação de infracções
C. Não-repúdio
D. Identificação
Ver resposta
Resposta correta: D
Pergunta #36
Qual das seguintes opções é um método para impedir a divulgação de documentos confidenciais impressos numa impressora partilhada?
A. Exigir a introdução de um código-chave na impressora para produzir uma cópia em papel
B. Produzir uma página de cabeçalho com nível de classificação para documentos impressos
C. Encriptar o fluxo de dados entre o computador do utilizador e a impressora
D. Utilizar palavras-passe para permitir que utilizadores autorizados enviem documentos para a impressora
Ver resposta
Resposta correta: D
Pergunta #37
Em qual dos seguintes modelos de base de dados os dados são representados em termos de tulhas e agrupados em relações?
A. Modelo de base de dados hierárquica
B. Modelo de base de dados em rede
C. Modelo de base de dados relacional D
Ver resposta
Resposta correta: D
Pergunta #38
Qual dos seguintes níveis ISO/OSI efectua transformações nos dados para fornecer uma interface de aplicação normalizada e para fornecer serviços de comunicação comuns, como a encriptação?
A. Camada de aplicação
B. Camada de sessão
C. Camada de apresentação
D. Camada de transporte
Ver resposta
Resposta correta: D
Pergunta #39
Qual dos seguintes não é um método comum de multiplexagem de dados?
A. Multiplexagem analítica
B. Multiplexagem por divisão do tempo
C. Multiplexagem assíncrona por divisão do tempo D
Ver resposta
Resposta correta: A
Pergunta #40
Em qual dos seguintes modelos de serviços de computação em nuvem as aplicações são alojadas pelo fornecedor de serviços e disponibilizadas aos clientes através de uma rede? A. Software como um serviço
A.
B.
C.
Ver resposta
Resposta correta: A
Pergunta #41
Qual das seguintes é a MELHOR forma de demonstrar à administração sénior que as práticas de segurança da organização estão em conformidade com as normas do sector?
A. Um relatório sobre a maturidade dos controlos
B. Documentação actualizada sobre políticas e procedimentos
C. Existência de um quadro aceite pelo sector
D. Resultados de uma avaliação independente
Ver resposta
Resposta correta: A
Pergunta #42
Um retalhista em linha está a receber queixas de clientes sobre a receção de artigos diferentes dos que encomendaram no sítio Web da organização. A causa principal foi atribuída à má qualidade dos dados. Apesar dos esforços para limpar dados erróneos do sistema, continuam a ocorrer vários problemas de qualidade dos dados. Qual das seguintes recomendações seria a MELHOR maneira de reduzir a probabilidade de ocorrências futuras?
A. Implementar regras de negócio para validar a introdução de dados dos empregados
B. Investir na formação adicional dos funcionários para a introdução de dados
C. Atribuir responsabilidades para melhorar a qualidade dos dados
D. Externalizar as actividades de limpeza de dados a terceiros fiáveis
Ver resposta
Resposta correta: B
Pergunta #43
Qual das seguintes opções deve ser a MAIS preocupante para um auditor de SI que analisa os controlos de um processo contínuo de lançamento de software?
A. A documentação da versão não é actualizada para refletir uma implementação bem sucedida
B. As bibliotecas de teste não são revistas há mais de seis meses
C. Os programadores podem aprovar as suas próprias versões
D. A documentação de teste não é anexada às versões de produção
Ver resposta
Resposta correta: D
Pergunta #44
Numa organização multinacional, os regulamentos de segurança locais devem ser implementados em detrimento da política de segurança global porque:
A. As políticas de segurança globais incluem controlos desnecessários para as empresas locais
B. os objectivos comerciais são definidos pelos gestores das unidades comerciais locais
C. Os requisitos da regulamentação local têm precedência
D. A sensibilização para a regulamentação local é mais prática do que para a política global
Ver resposta
Resposta correta: B
Pergunta #45
Ao consolidar várias aplicações de dois servidores desactualizados para um novo servidor, qual das seguintes é a MAIOR preocupação?
A. Aumento do custo de licenciamento de software
B. A manutenção requer mais coordenação
C. Diminuição da utilização da capacidade
D. Aumento do tráfego de rede Explicação/Referência:
Ver resposta
Resposta correta: C
Pergunta #46
Qual dos seguintes é o requisito MAIS importante a avaliar por um auditor de SI ao analisar uma transmissão de informações de identificação pessoal (PII) entre duas organizações?
A. Exaustividade
B. Atualidade
C. Necessidade
D. Exatidão
Ver resposta
Resposta correta: C
Pergunta #47
Qual das seguintes opções fornece a um auditor de SI a MAIOR garantia de que uma organização está em conformidade com os requisitos legais e regulamentares?
A. O gestor de TI é responsável pela conformidade da organização com os requisitos legais e regulamentares
B. Os controlos associados aos requisitos legais e regulamentares foram identificados e testados
C.
Ver resposta
Resposta correta: D
Pergunta #48
Uma organização pretende testar a continuidade do negócio utilizando um cenário em que existem muitos trabalhadores remotos a tentar aceder aos dados de produção ao mesmo tempo. Qual dos seguintes é o MELHOR método de teste nesta situação?
A. Teste de failover de aplicações
B. Teste de esforço da rede
C. Ensaios em locais alternativos
D. Testes de penetração de rede
Ver resposta
Resposta correta: A
Pergunta #49
Uma aplicação Web é desenvolvida internamente por uma organização. Qual das seguintes opções forneceria a MELHOR evidência a um auditor de SI de que a aplicação está segura contra ataques externos?
A. Resultados dos ensaios de penetração
B. Registos de monitorização de aplicações de bases de dados C
C.
Ver resposta
Resposta correta: S
Pergunta #50
Um auditor de SI planeia analisar todas as tentativas de acesso a uma sala de comunicações monitorizada por vídeo e controlada por cartões de proximidade. Qual das seguintes opções seria a MAIS útil para o auditor?
A. Registo eletrónico do sistema
B. Registo de incidentes de segurança
C. Registo manual de entrada e saída
D. Sistema de alarme com CCTV
Ver resposta
Resposta correta: A
Pergunta #51
Qual dos seguintes níveis de uma arquitetura de fluxo de dados empresariais é responsável pela cópia de dados, transformação em formato de Data Warehouse (DW) e controlo de qualidade? A. Camada de qualidade e preparação de dados
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #52
Quando estão a ser implementados sistemas de monitorização contínua, um auditor SI deve PRIMEIRO identificar:
A. a localização e o formato dos ficheiros de saída
B. aplicações que apresentam o maior risco financeiro
C. áreas de alto risco dentro da organização
D. os controlos em que se deve concentrar
Ver resposta
Resposta correta: D
Pergunta #53
Qual dos seguintes é o meio de ligação de rede MAIS fiável num ambiente com fortes interferências electromagnéticas?
A. Cabo coaxial
B. Cabo de fibra ótica
C. Cabo de par entrançado blindado
D. Ligação sem fios
Ver resposta
Resposta correta: A
Pergunta #54
Qual das seguintes opções deve ser a base PRIMÁRIA para dar prioridade às auditorias de acompanhamento?
A. Complexidade dos planos de ação da direção
B. Recomendação da direção executiva
C. Ciclo de auditoria definido no plano de auditoria
D. Risco residual decorrente das conclusões de auditorias anteriores
Ver resposta
Resposta correta: D
Pergunta #55
Uma organização multinacional está a integrar o seu atual sistema de processamento de salários com um sistema de informação de recursos humanos. Qual das seguintes situações deve ser a que mais preocupa o auditor de SI?
A. Documentação do sistema
B. Conversão de moeda Explicação/Referência:
C. Interfaces de aplicação
D. Desvio do âmbito
Ver resposta
Resposta correta: B
Pergunta #56
Uma grande companhia de seguros está prestes a substituir uma importante aplicação financeira. Qual das seguintes opções é o foco PRIMÁRIO do auditor de SI ao conduzir a revisão pré-implementação? A. Actualizações de procedimentos
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #57
Qual dos seguintes é o documento MAIS adequado para conceder autoridade a um auditor externo de SI num compromisso de auditoria com uma organização cliente?
A. Declaração de trabalho aprovada
B. Carta de auditoria formalmente aprovada
C. Um memorando interno para todas as partes interessadas
D. Pedido de proposta para serviços de auditoria
Ver resposta
Resposta correta: D
Pergunta #58
Qual dos seguintes processos é o PRIMEIRO passo para estabelecer uma política de segurança da informação?
A. Avaliação dos controlos de segurança
B. Avaliação do risco empresarial
C. Revisão das normas mundiais actuais
D. Auditoria de segurança da informação
Ver resposta
Resposta correta: B
Pergunta #59
As revisões de garantia de qualidade (QA) do software são planeadas como parte do desenvolvimento do sistema. Em que fase do processo de desenvolvimento deve ser iniciada a primeira revisão?
A. No planeamento da pré-implementação
B. Como parte da definição dos requisitos do utilizador
C. Imediatamente antes dos testes de aceitação pelo utilizador
D. Durante o estudo de viabilidade
Ver resposta
Resposta correta: A
Pergunta #60
A política de segurança de TI de uma organização estabelece que os IDs de utilizador devem identificar exclusivamente os indivíduos e que os utilizadores não devem divulgar as suas palavras-passe. Um auditor de SI descobre que estão a ser utilizados vários IDs de utilizador genéricos. Qual das seguintes opções é a ação MAIS adequada para o auditor?
A. Investigar o incumprimento
B. Incluir a constatação no relatório final da auditoria
C. Recomendar medidas disciplinares
D. Recomendar uma alteração na política de segurança
Ver resposta
Resposta correta: D
Pergunta #61
Durante a execução das actividades de acompanhamento, um auditor de SI está preocupado com o facto de a direção ter implementado medidas correctivas diferentes das inicialmente discutidas e acordadas com a função de auditoria. A fim de resolver a situação, a MELHOR forma de atuação do auditor de SI seria
A. determinar se os controlos alternativos atenuam suficientemente o risco e registar os resultados
B. rejeitar os controlos alternativos e redefinir a prioridade da questão original como sendo de alto risco
C. adiar as actividades de acompanhamento e transferir os controlos alternativos para a direção de auditoria
D. agendar outra auditoria devido à implementação de controlos alternativos
Ver resposta
Resposta correta: D
Pergunta #62
Uma organização permite que os seus funcionários utilizem dispositivos móveis pessoais para trabalhar. Qual das seguintes opções melhoraria a segurança das informações sem comprometer a privacidade dos funcionários?
A. Separação entre o ambiente de trabalho e o espaço pessoal nos dispositivos
B. Impedir que os utilizadores adicionem aplicações
C. Restringir a utilização de dispositivos para fins pessoais durante o horário de trabalho
D. Instalação de software de segurança nos dispositivos
Ver resposta
Resposta correta: C
Pergunta #63
A razão MAIS significativa para utilizar indicadores-chave de desempenho (KPI) para acompanhar o progresso dos projectos de TI em relação aos objectivos iniciais é que eles: A. influenciam as decisões de gestão para externalizar projectos de TI
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #64
Qual das seguintes opções é a MAIS importante para um auditor de SI avaliar ao determinar a eficácia de um programa de segurança da informação?
A. Percentagem de utilizadores conscientes dos objectivos do programa de segurança
B. Percentagem de excepções à política que foram aprovadas com justificação
C. Percentagem de objectivos de controlo desejados alcançados
D. Percentagem de incidentes de segurança comunicados Explicação/Referência:
Ver resposta
Resposta correta: A
Pergunta #65
Ao planear uma auditoria para avaliar os controlos de aplicação de um sistema baseado na nuvem, é MUITO importante que o auditor de SI compreenda o seguinte
A. políticas e procedimentos da área de negócios que está a ser auditada
B. processo comercial suportado pelo sistema
C. relatórios de disponibilidade associados ao sistema baseado na nuvem
D. arquitetura e ambiente de nuvem do sistema
Ver resposta
Resposta correta: A
Pergunta #66
Durante uma auditoria de SI a um centro de dados, verificou-se que os programadores estão autorizados a efetuar correcções de emergência a programas operacionais. Qual das seguintes deve ser a recomendação PRIMÁRIA do auditor de SI?
A. Devem ser implementados procedimentos de identificação da utilização de bypass para garantir que as alterações são objeto de aprovação e de testes após o evento
B. A capacidade de efetuar reparações de emergência deve ser limitada a pessoal-chave selecionado
C. Os programadores só devem ser autorizados a implementar correcções de emergência depois de obterem o acordo verbal do proprietário da aplicação
D. As alterações de emergência ao programa devem ser sujeitas a procedimentos de migração e teste do programa antes de serem aplicadas aos sistemas operacionais
Ver resposta
Resposta correta: B
Pergunta #67
Qual dos seguintes locais seria o MAIS adequado no caso de um objetivo de tempo de recuperação (RTO) muito curto?
A. Móvel
B. Redundante
C. Partilhada
D. Quente
Ver resposta
Resposta correta: A
Pergunta #68
Durante uma revisão anual de segurança dos servidores de uma organização, verificou-se que o servidor de ficheiros da equipa de apoio ao cliente, que contém dados sensíveis dos clientes, está acessível a todos os IDs de utilizador da organização. Qual das seguintes acções deve o gestor de segurança da informação realizar PRIMEIRO?
A. Comunicar a situação ao proprietário dos dados
B. Remover os privilégios de acesso à pasta que contém os dados
C. Dar formação à equipa de apoio ao cliente sobre o controlo adequado das permissões de ficheiros
D. Isolar o servidor da rede
Ver resposta
Resposta correta: C
Pergunta #69
Qual das seguintes é a função PRIMÁRIA de um auditor de SI no que respeita à privacidade dos dados?
A. Garantir a conformidade com a legislação relativa à privacidade dos dados
B. Comunicar os requisitos de privacidade dos dados à organização
C. Redação da política de privacidade de dados da organização
D. Verificar se as práticas de privacidade correspondem às declarações de privacidade
Ver resposta
Resposta correta: B
Pergunta #70
Qual das seguintes é a razão MAIS provável para uma organização utilizar a Plataforma como um Serviço (PaaS)?
A. Para operar aplicações alojadas por terceiros
B. Instalar e gerir sistemas operativos C
C.
Ver resposta
Resposta correta: C
Pergunta #71
Qual das seguintes é uma caraterística distintiva do nível mais elevado de um modelo de maturidade?
A. Existem normas e procedimentos formais
B. Os projectos são controlados com supervisão da gestão
C. É aplicado um processo de melhoria contínua
D. Os processos são monitorizados continuamente
Ver resposta
Resposta correta: C
Pergunta #72
Qual dos seguintes aspectos deve ser revisto PRIMEIRO ao avaliar a eficácia dos procedimentos e controlos de segurança de rede de uma organização?
A. Capacidade de recuperação de dados
B. Inventário dos dispositivos autorizados
C. Correção de vulnerabilidades
D. Defesas contra malware
Ver resposta
Resposta correta: A
Pergunta #73
Qual das seguintes opções deve ser incluída PRIMARIAMENTE num programa de formação em segurança para proprietários de processos empresariais?
A. Vulnerabilidades das aplicações
B. Lista dos incidentes de segurança comunicados
C. Tempo de recuperação da aplicação
D. Impacto dos riscos de segurança
Ver resposta
Resposta correta: D
Pergunta #74
Uma organização está a implementar a utilização de dispositivos móveis que irão ligar-se a aplicações empresariais sensíveis. Qual das seguintes é a MELHOR recomendação para mitigar o risco de fuga de dados?
A. Eliminação remota de dados
B. Software de localização GPS
C. Etiquetas RFID encriptadas
D. Encriptação de dados
Ver resposta
Resposta correta: C
Pergunta #75
O risco de falha de comunicação num ambiente de comércio eletrónico é MELHOR minimizado através da utilização de:
A. encaminhamento alternativo ou diversificado
B. software de compressão para minimizar a duração da transmissão
C. uma firewall de filtragem de pacotes para reencaminhar mensagens
D. confirmações funcionais ou de mensagens
Ver resposta
Resposta correta: D
Pergunta #76
Qual dos seguintes aspectos deve ser revisto PRIMEIRO ao planear uma auditoria aos SI?
A. Informações financeiras recentes
B. Orçamento anual da unidade empresarial
C. Normas de auditoria SI
D. O ambiente empresarial
Ver resposta
Resposta correta: C
Pergunta #77
Qual das seguintes opções demonstraria MELHOR que existe um plano de recuperação de desastres (DRP) eficaz?
A. Avaliação periódica dos riscos
B. Teste operacional completo C
C.
Ver resposta
Resposta correta: C
Pergunta #78
O Wi-Fi Protected Access implementa a maior parte de qual norma IEEE?
A. 802
B. 802
C. 802
D. 802
E. Nenhuma das opções
Ver resposta
Resposta correta: A
Pergunta #79
Uma organização multinacional está a introduzir uma estrutura de governação da segurança. A preocupação do diretor de segurança da informação é que as práticas de segurança regionais são diferentes. Qual das seguintes opções deve ser avaliada PRIMEIRO?
A. Requisitos regulamentares locais
B. Requisitos informáticos locais
C. Mobilidade transfronteiriça de dados
D. Objectivos de segurança da empresa
Ver resposta
Resposta correta: C
Pergunta #80
Durante a análise de um projeto de reengenharia de processos empresariais, a preocupação PRIMÁRIA de um auditor de SI é determinar se o novo modelo empresarial:
A. está alinhado com as melhores práticas do sector
B. está alinhado com os objectivos organizacionais
C. aproveita os resultados da avaliação comparativa
D. cumpre as suas principais medidas de desempenho
Ver resposta
Resposta correta: B
Pergunta #81
Um auditor de SI está a analisar o sistema de vendas e compras de uma organização devido a problemas contínuos de qualidade dos dados. Uma análise de qual dos seguintes elementos forneceria as informações MAIS úteis para determinar a perda de receitas?
A. Correlação entre o número de problemas e o tempo médio de inatividade
B. Custo da implementação de controlos de validação de dados no sistema
C. Comparação do custo de aquisição de dados e da perda de receitas de vendas
D. Correlação entre erros de dados e perda de valor das transacções
Ver resposta
Resposta correta: C
Pergunta #82
A ISO 9126 é uma norma que ajuda a avaliar a qualidade de um produto. Qual das seguintes opções é definida como um conjunto de atributos que se relacionam com a existência de um conjunto de funções e as suas propriedades especificadas? A. Fiabilidade
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #83
Qual é a principal vantagem da prototipagem como método de desenvolvimento de sistemas?
A. Reduz a necessidade de efetuar ensaios
B. Minimiza o tempo que o auditor de SI tem para analisar o sistema
C. Aumenta a probabilidade de satisfação do utilizador
D. Elimina a necessidade de documentação
Ver resposta
Resposta correta: D
Pergunta #84
Faz parte da equipa de segurança de um banco altamente lucrativo e, todos os dias, todo o tráfego na rede é registado para análise posterior. Todas as sextas-feiras, quando são efectuados grandes depósitos, vê uma série de bits colocados no campo "Urgent Pointer" de um pacote TCP. São apenas 16 bits, o que não é muito, mas preocupa-o porque:
A. Este facto pode ser um sinal de canalização secreta nas comunicações da rede bancária e deve ser investigado
B. Pode ser um sinal de que o problema está a ser causado por um cabo de rede danificado
C. Pode ser um sintoma de mau funcionamento da placa de rede ou dos controladores e o sistema de origem deve ser verificado para detetar o problema
D. Trata-se de um tráfego normal porque, por vezes, o valor da soma de controlo de 16 bits dos campos anteriores pode ultrapassar o campo de 16 bits do ponteiro urgente, causando esta situação
Ver resposta
Resposta correta: A
Pergunta #85
Qual é a vantagem PRIMÁRIA da prototipagem como parte do desenvolvimento de sistemas?
A. Maximiza a satisfação do utilizador
B. Elimina a necessidade de controlos internos
C. Aumenta a exatidão dos relatórios
D. Reduz a necessidade de testes de conformidade A Qual é a MELHOR população a selecionar ao testar se os programas são migrados para a produção com a aprovação adequada?
E.
F.
G.
D. Alterar as actas das reuniões do conselho consultivo
Ver resposta
Resposta correta: A
Pergunta #86
A função MAIS importante de um plano de continuidade de negócios é:
A. garantir que as funções críticas da empresa possam ser recuperadas
B. prever procedimentos de avaliação dos testes do plano de continuidade das actividades
C. fornecer um calendário dos eventos que têm de ocorrer em caso de catástrofe
D. garantir que todas as funções comerciais sejam restauradas
Ver resposta
Resposta correta: D
Pergunta #87
Qual das seguintes não é uma boa tática para utilizar contra os hackers?
A. Aliciamento
B. Armadilha
Ver resposta
Resposta correta: B
Pergunta #88
Durante uma análise das práticas de gestão de incidentes de TI de uma organização, o auditor de SI constata que a qualidade da documentação de resolução de incidentes é fraca. Qual das seguintes é a MELHOR recomendação para ajudar a resolver este problema?
A. Fazer com que o pessoal do service desk crie a documentação escolhendo entre respostas pré-seleccionadas na ferramenta de gestão de serviços
B. Exigir que o pessoal do serviço de assistência abra bilhetes de incidentes apenas quando dispuser de informações suficientes
C. Rever os procedimentos de resolução de incidentes e dar formação ao pessoal do service desk sobre as actualizações aplicáveis
Ver resposta
Resposta correta: A
Pergunta #89
Em qual das seguintes fases do SDLC o auditor de SI esperaria encontrar controlos incorporados nas especificações do sistema? A. Desenvolvimento
A.
B.
C.
Ver resposta
Resposta correta: B
Pergunta #90
Qual dos seguintes procedimentos de auditoria seria MAIS conclusivo na avaliação da eficácia da rotina de edição de um sistema de aplicação de comércio eletrónico?
A. Entrevistas com utilizadores experientes
B. Utilização de transacções de teste
C. Revisão do código-fonte
D. Revisão da documentação do programa
Ver resposta
Resposta correta: S
Pergunta #91
Qual dos seguintes procedimentos deve ser implementado antes da eliminação de equipamento informático excedente aos empregados?
A. Utilizar os comandos do sistema operativo para eliminar todos os ficheiros do disco rígido
B. Fazer com que o empregado que recebe a máquina assine um acordo de não divulgação
C. Utilizar os comandos de eliminação da aplicação para remover ficheiros
D. Substituir o disco rígido por dados aleatórios
Ver resposta
Resposta correta: B
Pergunta #92
Um auditor está a criar um programa de auditoria em que o objetivo é estabelecer a adequação dos controlos de privacidade dos dados pessoais num processo de processamento de salários. Qual das seguintes opções seria a MAIS importante a incluir?
A. Aprovação das alterações de dados
B. Registo de auditoria da atividade do utilizador administrativo
C. Controlos da separação de funções
D. Provisionamento do acesso do utilizador C Durante a revisão de um hot site, o auditor de SI descobre que um tipo de plataforma de hardware não está instalado
E.
F.
G.
D. estabelecer o prazo de entrega de uma nova máquina
Ver resposta
Resposta correta: C
Pergunta #93
Qual das seguintes deve ser a preocupação PRIMÁRIA de um auditor de SI ao avaliar as políticas, procedimentos e controlos de segurança da informação de uma organização para fornecedores terceiros?
A. Os fornecedores terceiros têm os seus próprios requisitos de segurança da informação
B. A organização continua a ser responsável pela proteção dos dados
C. O incumprimento é facilmente detectado
D. São utilizados os mesmos procedimentos e controlos para todos os fornecedores terceiros
Ver resposta
Resposta correta: D
Pergunta #94
Uma organização planeia implementar uma estratégia de virtualização que permite vários sistemas operativos num único anfitrião. Qual das seguintes opções deve ser a MAIOR preocupação com essa estratégia?
A. Espaço de armazenamento adequado
B. Complexidade da gestão
C. Largura de banda da rede
D. Desempenho da aplicação
Ver resposta
Resposta correta: B
Pergunta #95
Qual das seguintes opções se refere a uma cifra de chave simétrica que opera em grupos de bits de comprimento fixo com uma transformação invariável?
A. cifra de fluxo
B. cifra de bloco
C. cifra de controlo
D. cifra de cadeia
E. Nenhuma das opções
Ver resposta
Resposta correta: B
Pergunta #96
Na sequência de uma auditoria aos SI, qual dos seguintes tipos de risco seria MAIS importante comunicar às principais partes interessadas?
A. Controlo
B. Residual
C. Auditoria
D. Inerente
Ver resposta
Resposta correta: S
Pergunta #97
Ao determinar as especificações de um servidor que suporta uma aplicação em linha que utiliza mais de uma centena de pontos finais, qual dos seguintes factores é o MAIS importante a considerar?
A. Elevada disponibilidade de diferentes sistemas
B. Comparação custo-benefício entre os sistemas disponíveis
C. Reputação dos vendedores e da sua base de clientes
D. Estimativa do volume de transacções durante os períodos de ponta
Ver resposta
Resposta correta: A
Pergunta #98
Qual das seguintes opções é a MELHOR forma de atuação para um gestor de segurança da informação alinhar os objectivos de segurança e de negócio?
A. Revisão da estratégia empresarial
B. Envolver ativamente as partes interessadas
C. Realização de uma análise de impacto comercial
D. Definição de indicadores-chave de desempenho
Ver resposta
Resposta correta: A
Pergunta #99
Qual das seguintes é a MELHOR razão para uma organização desenvolver um plano de continuidade do negócio?
A. Desenvolver uma descrição pormenorizada dos sistemas e processos de informação
B. Identificar os utilizadores dos sistemas e processos de informação
C. Evitar os custos resultantes da falha de sistemas e processos-chave
D. Estabelecer a prioridade dos sistemas, projectos e estratégias da unidade empresarial
Ver resposta
Resposta correta: C
Pergunta #100
Etiquetagem da informação de acordo com a sua classificação de segurança:
A. reduz a necessidade de identificar controlos de base para cada classificação
B. reduz o número e o tipo de contramedidas necessárias
C. Aumenta a probabilidade de as pessoas tratarem as informações de forma segura
D. afecta as consequências do tratamento inseguro da informação
Ver resposta
Resposta correta: D
Pergunta #101
O MAIOR risco ao realizar a normalização de dados é:
A. o aumento da complexidade do modelo de dados
B. duplicação dos registos de auditoria
C. redução da redundância de dados D
Ver resposta
Resposta correta: B
Pergunta #102
Qual das seguintes opções é a MAIS importante para um auditor de SI determinar ao avaliar uma base de dados quanto a riscos relacionados com a privacidade? A. Se as cópias dos dados de produção são mascaradas
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #103
Qual das seguintes observações um auditor de SI consideraria o MAIOR risco ao efetuar uma auditoria a um parque de servidores virtuais para potenciais vulnerabilidades de software?
A. O hipervisor é atualizado trimestralmente
B. Os sistemas operativos convidados são actualizados mensalmente
C. O software antivírus foi implementado apenas no sistema operativo convidado
D. Uma variedade de sistemas operativos convidados opera num servidor virtual
E.
F.
G.
D. Validação dos dados de entrada
Ver resposta
Resposta correta: D
Pergunta #104
Qual das seguintes funções, combinada com a função de um administrador de base de dados (DBA), criará um conflito de separação de funções?
A. Garantia de qualidade
B. Analista de sistemas
C. Utilizador final da aplicação
D. Administrador de segurança
Ver resposta
Resposta correta: D
Pergunta #105
As Normas Federais de Processamento de Informação (FIPS) foram desenvolvidas por:
A. o governo federal dos Estados Unidos
B. ANSI
C. ISO
D. IEEE
E. IANA
F. Nenhuma das opções
Ver resposta
Resposta correta: A
Pergunta #106
Um auditor observa que o ID de utilizador administrador é partilhado entre três gestores financeiros para efetuar actualizações no final do mês. Qual das seguintes é a MELHOR recomendação para garantir que o ID de administrador no sistema financeiro é controlado eficazmente?
A. Implementar a utilização de fichas de software individuais B
B.
C.
Ver resposta
Resposta correta: C
Pergunta #107
Qual dos seguintes é o benefício PRIMÁRIO para uma organização que utiliza uma solução de monitorização de eventos automatizada?
A. Análise forense melhorada
B. Melhoria do tempo de resposta a incidentes C
C.
Ver resposta
Resposta correta: D
Pergunta #108
Qual dos seguintes é o MELHOR indicador-chave de desempenho (KPI) para determinar até que ponto a política de TI está alinhada com os requisitos comerciais?
A. Número de excepções aprovadas à política
B. Custo total das infracções às apólices
C. Custo total para apoiar a política
D. Número de pedidos de informação sobre a política
Ver resposta
Resposta correta: A
Pergunta #109
Ao analisar os resultados do teste do plano de continuidade de negócios (PCN), é MAIS importante para o auditor de SI determinar se o teste:
A. verifica a capacidade de retomar as principais operações comerciais
B. considera as alterações no ambiente dos sistemas
C. avalia a capacidade de recuperar registos vitais
D. acompanha as actividades que ocorreram desde o teste anterior
Ver resposta
Resposta correta: D
Pergunta #110
Um fornecedor de serviços na nuvem não consegue fornecer uma avaliação independente dos controlos. Qual das seguintes é a MELHOR forma de obter garantias de que o fornecedor pode proteger adequadamente as informações da organização?
A. Verificar as referências fornecidas por outros clientes do fornecedor
B. Invocar o direito de auditoria previsto no contrato
C. Rever a política de segurança da informação do fornecedor
D. Rever a autoavaliação do prestador
Ver resposta
Resposta correta: B
Pergunta #111
Qual das seguintes opções é a MAIS importante para um auditor de SI considerar ao avaliar um acordo de Software como Serviço (SaaS)?
A. Custo total de propriedade
B. Frequência das actualizações de software
C. Segurança física
D. Disponibilidade de software
Ver resposta
Resposta correta: S
Pergunta #112
Durante a análise de um sistema de aplicação, um auditor de SI identifica controlos automatizados concebidos para impedir a introdução de transacções duplicadas. Qual é a MELHOR forma de verificar se os controlos funcionam como previsto?
A. Implementar reconciliações periódicas
B. Rever os resultados dos testes de garantia de qualidade (QA)
Ver resposta
Resposta correta: A
Pergunta #113
Qual das seguintes opções seria a MAIS útil para determinar se os objectivos de TI estão alinhados com os objectivos da organização?
A. Balanced scorecard
B. Arquitetura empresarial
C. Indicadores-chave de desempenho
D. Painel de controlo da empresa
Ver resposta
Resposta correta: C
Pergunta #114
Ao analisar a monitorização da capacidade, um auditor de SI repara em vários incidentes em que os limites da capacidade de armazenamento foram atingidos, enquanto a utilização média foi inferior a 30%. Qual das seguintes opções o auditor de SI MAIS provavelmente identificaria como a causa principal?
A. A resposta das TI aos alertas foi demasiado lenta
B. A quantidade de dados produzidos era inaceitável para as operações
C. O espaço de armazenamento deveria ter sido aumentado atempadamente
D. A dinâmica da utilização não foi devidamente tida em conta
Ver resposta
Resposta correta: D
Pergunta #115
Durante uma auditoria de acompanhamento, um auditor de SI conclui que um problema previamente identificado não foi adequadamente corrigido. A entidade auditada insiste que o risco foi tratado. O auditor deve:
A. recomendar uma avaliação independente efectuada por um terceiro
B. comunicar o desacordo de acordo com os procedimentos estabelecidos
C. acompanhamento das conclusões no próximo ano
D. aceitar a posição da entidade auditada e encerrar a descoberta A Uma organização permite que os funcionários utilizem dispositivos móveis pessoais para o correio eletrónico empresarial
E.
F.
G.
D. O serviço de assistência não é capaz de suportar totalmente os diferentes tipos de dispositivos privados
Ver resposta
Resposta correta: S
Pergunta #116
Um servidor crítico para um hospital foi encriptado por ransomware. O hospital não consegue funcionar eficazmente sem este servidor. Qual das seguintes opções seria a MAIS eficaz para permitir que o hospital evitasse o pagamento do resgate? A. Um processo contínuo de replicação do servidor
A.
B.
C.
Ver resposta
Resposta correta: B
Pergunta #117
C. D. Qual das seguintes opções é a MAIS importante para um auditor de SI fazer durante uma reunião de saída com uma pessoa auditada?
A. Certificar-se de que os factos apresentados no relatório são correctos
B. Especificar as datas de aplicação das recomendações
C. Solicitar a participação na determinação das medidas correctivas
D. Comunicar as recomendações à direção
Ver resposta
Resposta correta: C
Pergunta #118
Qual das seguintes opções é a MAIS importante para o sucesso de um programa de segurança da informação?
A. Integração da segurança comercial e da informação
B. Alinhamento da segurança da informação com os objectivos informáticos
C. O empenhamento da direção na segurança da informação
D. Responsabilidade do utilizador pela segurança da informação
Ver resposta
Resposta correta: A
Pergunta #119
A consideração PRINCIPAL ao conceber um plano de escalonamento de incidentes deve ser garantir que
A. Os activos de informação são classificados
B. as partes interessadas adequadas estão envolvidas
C. foram identificados riscos de alto impacto
D. Os requisitos abrangem a análise forense
Ver resposta
Resposta correta: C
Pergunta #120
Qual é a MELHOR forma de atuação de um auditor de SI quando lhe é fornecida uma atualização de estado que indica que as recomendações de auditoria relacionadas com a separação de funções do pessoal financeiro foram implementadas?
A. Verificar se existem controlos suficientes da segregação de funções
B. Solicitar documentação sobre a política e os procedimentos de separação de funções
C. Registar a resposta do serviço nos documentos e registos de auditoria
D. Confirmar com a empresa que as recomendações foram implementadas
Ver resposta
Resposta correta: D
Pergunta #121
Qual dos seguintes controlos de validação de dados valida os dados de entrada em relação a valores de intervalo predefinidos?
A. Verificação do alcance
B. Pesquisas em tabelas C
C.
Ver resposta
Resposta correta: C
Pergunta #122
Um auditor de SI descobre que os servidores de aplicações tinham configurações inconsistentes, o que conduzia a potenciais vulnerabilidades de segurança. Qual das seguintes opções o auditor deve recomendar PRIMEIRO?
A. Aplicar as normas de base do servidor
B. Melhorar os processos de gestão de alterações utilizando uma ferramenta de fluxo de trabalho
C. Responsabilizar o proprietário da aplicação pela monitorização das métricas
D. Utilizar um único fornecedor para os servidores de aplicações
Ver resposta
Resposta correta: A
Pergunta #123
Qual das seguintes é a responsabilidade MAIS adequada de um auditor de SI envolvido num projeto de renovação de um centro de dados?
A. Realização de análises independentes das partes responsáveis envolvidas no projeto
B. Assegurar que o projeto progride como previsto e que as etapas são atingidas
C. Realização de actividades quotidianas para assegurar a boa execução do projeto
D. Fornecer a aprovação da conceção dos controlos para o centro de dados
Ver resposta
Resposta correta: C
Pergunta #124
Qual das seguintes opções é a MAIS importante para um auditor de SI considerar durante uma análise da governação de TI de uma organização?
A. Dotações de financiamento
B. Metodologia de gestão dos riscos
C. Níveis de serviço definidos
D. Responsabilidades de tomada de decisão
Ver resposta
Resposta correta: B
Pergunta #125
Após o lançamento de um sistema de aplicação, um auditor de SI pretende verificar se o sistema está a fornecer valor à organização. A MELHOR forma de atuação do auditor seria:
A. Analisar os resultados dos testes de conformidade
B. quantificar as melhorias na satisfação do cliente
C. confirmar que o risco diminuiu desde o lançamento do sistema de aplicação
D. efetuar uma análise das lacunas em relação aos benefícios definidos no business case
Ver resposta
Resposta correta: C
Pergunta #126
Um auditor de SI efectua uma análise dos relatórios de indicadores-chave de desempenho (KPI) de um fornecedor externo. Qual das seguintes constatações deve ser a MAIS preocupante para o auditor?
A. Alguns indicadores-chave de desempenho não estão documentados
B. Os KPI nunca foram actualizados
C. Os dados dos KPIs não estão a ser analisados
D. Os KPIs não estão claramente definidos
Ver resposta
Resposta correta: D
Pergunta #127
Qual das seguintes é a principal razão para um auditor de SI utilizar técnicas de auditoria assistida por computador (CAAT)?
A. Para testar eficazmente uma população inteira
B. Realizar ensaios directos dos dados de produção
C. Efetuar a amostragem automatizada para testes
D. Para permitir um acesso mais rápido à informação
Ver resposta
Resposta correta: S
Pergunta #128
Ao analisar a eficácia das operações do centro de dados, o auditor de SI estabelecerá PRIMEIRO que o desempenho do sistema:
A. é monitorizada e comunicada em função dos níveis de serviço acordados
B. reflecte os níveis de utilização esperados estabelecidos na implementação
C. cumpre os objectivos esperados especificados pelo fabricante
D. está dentro dos níveis de fiabilidade geralmente aceites para esse sistema
Ver resposta
Resposta correta: C
Pergunta #129
Uma organização que sofreu um ataque informático está a efetuar uma análise forense dos computadores dos utilizadores afectados. Qual dos seguintes aspectos deve ser a MAIOR preocupação para o auditor de SI que está a analisar este processo?
A. A cadeia de custódia não foi documentada
B. O serviço jurídico não foi contactado
C. Foi utilizado um processo de imagiologia para obter uma cópia dos dados de cada computador
D. A auditoria só esteve envolvida durante a extração das informações
Ver resposta
Resposta correta: B
Pergunta #130
Para avaliar MELHOR a eficácia de um plano de recuperação de desastres, o auditor de SI deve analisar os seguintes aspectos
A. Plano de ensaio e resultados de ensaios anteriores
B. planos e procedimentos do plano de continuidade das actividades
C. Capacidade das instalações de reserva
D. inventário de hardware e software
Ver resposta
Resposta correta: D
Pergunta #131
Muitos sistemas WEP requerem uma chave num formato relativamente inseguro. Que formato é esse?
A. formato binário
B. Formato hexadecimal
C. formato de 128 bits
D. formato de 256 bits
E. Nenhuma das opções
Ver resposta
Resposta correta: B
Pergunta #132
Qual das seguintes opções protegerá MELHOR uma organização contra spear phishing?
A. Filtragem de conteúdos de correio eletrónico B
B.
C.
Ver resposta
Resposta correta: B
Pergunta #133
Qual das seguintes é a responsabilidade da organização cliente num ambiente de Software como Serviço (SaaS)?
A. Deteção de acesso não autorizado
B. Garantir que os utilizadores estão devidamente autorizados
C. Garantir que os dados estejam disponíveis quando necessário
D. Impedir a inserção de código malicioso
Ver resposta
Resposta correta: A
Pergunta #134
Uma organização subcontratou alguns dos seus subprocessos a um prestador de serviços. Ao definir o âmbito da auditoria ao prestador de serviços, o auditor interno da organização deve PRIMEIRO:
A. avaliar os controlos operacionais do prestador
B. discutir os objectivos da auditoria com o prestador de serviços
C. analisar os relatórios de auditoria interna do prestador
D. rever o contrato com o prestador de serviços
Ver resposta
Resposta correta: B
Pergunta #135
Um auditor de SI está a rever o processo seguido na identificação e priorização dos processos críticos do negócio. Este processo faz parte do:
A. balanced scorecard
B. Análise do impacto nas empresas (BIA)
C. componente de operações do plano de continuidade das actividades (PCN)
D. Plano de gestão de riscos da empresa
Ver resposta
Resposta correta: D
Pergunta #136
Um auditor de SI que efectua uma auditoria aos procedimentos de cópia de segurança observa que as cassetes de cópia de segurança são recolhidas semanalmente e armazenadas fora do local, numa instalação de alojamento de terceiros. Qual das seguintes recomendações seria a MELHOR forma de proteger os dados nas fitas de backup?
A. Assegurar que os dados são encriptados antes de saírem das instalações
B. Assegurar que a empresa de transportes obtenha assinaturas para todas as expedições
C. Confirmar que os dados são transportados em contentores invioláveis fechados à chave
D. Confirmar que as transferências de dados são registadas e gravadas
Ver resposta
Resposta correta: A
Pergunta #137
Qual das seguintes técnicas de amostragem é normalmente utilizada na deteção de fraudes quando a taxa de ocorrência prevista é pequena e os controlos específicos são críticos?
A. Amostragem para descoberta
B. Amostragem por unidade monetária
C. Amostragem stop-or-go
D. Amostragem aleatória
Ver resposta
Resposta correta: D
Pergunta #138
Qual das seguintes opções é a MAIS importante para o auditor de SI verificar ao analisar o processo de desenvolvimento de uma política de segurança?
A. Provas da participação ativa dos principais interessados
B. Resultados do sistema de gestão de riscos da empresa
C. Identificação do quadro de controlo
D. Prova da aprovação da direção
Ver resposta
Resposta correta: D
Pergunta #139
Qual das seguintes opções pode ser determinada pelo diagrama entidade-relacionamento?
A. Ligações entre objectos de dados
B. Como o sistema se comporta em consequência de acontecimentos externos
C. Como os dados são transformados à medida que passam pelo sistema
D. Modos de comportamento dos objectos de dados
Ver resposta
Resposta correta: A
Pergunta #140
Um auditor de SI observou lacunas nos dados disponíveis para a organização para a deteção de incidentes. Qual das seguintes seria a MELHOR recomendação para melhorar a capacidade de resposta a incidentes de segurança da organização?
A. Documentar os procedimentos de encaminhamento de incidentes
B. Documentar os procedimentos de classificação de incidentes
Ver resposta
Resposta correta: C
Pergunta #141
Qual é o MELHOR indicador de uma implementação bem sucedida da política de segurança da informação de uma organização?
A. Redução do número de incidentes de phishing bem sucedidos
B. Redução do número de chamadas para o serviço de assistência
C. Redução do número de sanções por incumprimento incorridas
D. Redução do número de eventos de segurança falso-positivos
Ver resposta
Resposta correta: B
Pergunta #142
Qual das seguintes opções seria a MAIS importante a atualizar depois de ter sido tomada a decisão de externalizar uma aplicação crítica para um fornecedor de serviços na nuvem?
A. Carteira de projectos
B. Plano de recursos informáticos
C. Orçamento TI
D. Análise do impacto nas empresas (BIA)
Ver resposta
Resposta correta: B
Pergunta #143
Qual das seguintes actividades permitiria a um auditor de SI manter a independência enquanto facilita uma autoavaliação do controlo (CSA)? Desenvolver o questionário CSA
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #144
Uma alteração ao âmbito de um projeto de TI foi formalmente apresentada ao gestor de projeto. O que deve o gestor de projeto fazer a seguir?
A. Atualizar o plano do projeto para refletir a alteração do âmbito
B. Discutir a alteração com a equipa do projeto e determinar se deve ser aprovada
C. Encaminhar a alteração para o comité consultivo para aprovação
D. Determinar como a alteração afectará o calendário e o orçamento
Ver resposta
Resposta correta: B
Pergunta #145
Uma organização enfrenta multas e penalizações graves se não estiver em conformidade com os requisitos regulamentares locais dentro de um prazo estabelecido. A direção pediu ao gestor de segurança da informação que preparasse um plano de ação para atingir a conformidade. Qual das seguintes opções forneceria a informação MAIS útil para efeitos de planeamento?
A. Resultados de uma análise de impacto comercial B
B.
C.
Ver resposta
Resposta correta: D
Pergunta #146
Uma organização tem um programa aprovado de trazer o seu próprio dispositivo (BYOD). Qual das seguintes opções é o método MAIS eficaz para impor o controlo de aplicações em dispositivos pessoais?
A. Implementar uma solução de gestão de dispositivos móveis
B. Estabelecer uma política de utilização aceitável de dispositivos móveis
C. Implementar uma firewall de aplicação Web
D. Informar os utilizadores sobre a utilização de aplicações aprovadas
Ver resposta
Resposta correta: D
Pergunta #147
Um auditor de SI está a analisar os processos e procedimentos de gestão de incidentes de uma organização. Qual das seguintes observações deve ser a MAIOR preocupação do auditor?
A. Classificação ineficaz dos incidentes
B. Priorização ineficaz de incidentes
C. Deteção ineficaz de incidentes
D. Análise ineficaz pós-incidente
Ver resposta
Resposta correta: D
Pergunta #148
Qual das seguintes opções constituiria a MAIOR preocupação para um auditor de SI que analisa um acordo de externalização de TI? Explicação/Referência: A. Vários funcionários de TI executam as mesmas funções que o fornecedor.
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #149
Foi efectuada uma alteração de emergência a um sistema informático na sequência de uma falha. Qual das seguintes situações deve ser a que mais preocupa o diretor de segurança da informação da organização?
A. A equipa de operações implementou a alteração sem efetuar testes de regressão
B. A alteração não incluiu uma avaliação correcta dos riscos
C. A documentação da mudança foi feita após a implementação
D. O diretor de segurança da informação não reviu a alteração antes da implementação
Ver resposta
Resposta correta: S
Pergunta #150
Durante uma auditoria, descobre-se que vários fornecedores com ordens permanentes foram eliminados do ficheiro mestre de fornecedores. Qual dos seguintes controlos teria evitado melhor esta ocorrência?
A. Verificação da relação lógica
B. Controlo de existência
C. Consulta de tabelas
D. Integridade referencial
Ver resposta
Resposta correta: A
Pergunta #151
Qual das seguintes opções MELHOR indica a necessidade de rever a política de segurança da informação de uma organização?
A. Conclusão da avaliação anual dos riscos informáticos
B. Aumento da complexidade das transacções comerciais
C. Aumento das excepções aprovadas pela direção
D. Elevado número de constatações de baixo risco no relatório de auditoria
Ver resposta
Resposta correta: A
Pergunta #152
Qual das seguintes opções é a MAIS importante para a gestão eficaz de uma aplicação desenvolvida pelo utilizador final?
A. Implementação de estruturas de pastas com as melhores práticas
B. Monitorização contínua para facilitar a rápida resolução de problemas
C. Atribuição de classificações de risco com base na probabilidade e no impacto
D. Testes de esforço da aplicação através da utilização de dados anómalos
Ver resposta
Resposta correta: D
Pergunta #153
Uma unidade de negócio central depende de um sistema legado eficaz que não cumpre as normas de segurança actuais e ameaça a rede da empresa. Qual das seguintes opções é a MELHOR forma de agir para resolver a situação?
A. Exigir a implementação de novos sistemas que possam cumprir as normas
B. Documentar as deficiências no registo de riscos
C. Desenvolver processos para compensar as deficiências
D. Desconectar o sistema legado do resto da rede
Ver resposta
Resposta correta: A
Pergunta #154
Qual das seguintes é a razão PRINCIPAL para um auditor de SI emitir um relatório de auditoria intercalar?
A. Para evitar a emissão de um relatório final de auditoria
B. Permitir que o auditor conclua o trabalho de forma atempada
C. Fornecer informações à entidade auditada para que esta as corrija atempadamente
D. Proporcionar uma oportunidade de acompanhamento durante a auditoria
Ver resposta
Resposta correta: B
Pergunta #155
Qual das seguintes opções é a MAIS importante para determinar a viabilidade de um projeto?
A. O principal concorrente da organização iniciou um projeto semelhante
B. O comité diretor de TI aprova o projeto
C. É estabelecida uma metodologia de gestão de projectos
D. O valor do projeto é estabelecido num caso de negócio aprovado
Ver resposta
Resposta correta: D
Pergunta #156
Um auditor de SI analisou o caso de negócio de um investimento proposto para virtualizar a infraestrutura de servidores de uma organização. Qual das seguintes opções é a MAIS provável de ser incluída entre os benefícios da proposta de projeto?
A. Menos licenças de sistemas operativos
B. Melhor eficiência dos recursos lógicos C
C.
Ver resposta
Resposta correta: D
Pergunta #157
Qual das seguintes opções é o controlo de perda de dados MAIS eficaz quando se liga um dispositivo móvel pessoal ao sistema de correio eletrónico da empresa?
A. Um gestor sénior tem de aprovar cada nova ligação
B. A sincronização de correio eletrónico deve ser impedida quando se está ligado a um ponto de acesso Wi-Fi público
C. O correio eletrónico tem de ser armazenado num formato encriptado no dispositivo móvel
Ver resposta
Resposta correta: A
Pergunta #158
Uma análise da segurança da Internet revelou que os utilizadores têm contas de utilizador individuais com os fornecedores de serviços Internet (ISP) e utilizam essas contas para descarregar dados empresariais. A organização pretende garantir que apenas é utilizada a rede empresarial. A organização deve PRIMEIRO:
A. utilizar um servidor proxy para filtrar os sítios da Internet que não devem ser acedidos
B. manter um registo manual dos acessos internos
C. monitorizar as actividades de acesso remoto
D. incluir uma declaração na sua política de segurança sobre a utilização da Internet
Ver resposta
Resposta correta: C
Pergunta #159
Qual das seguintes é a MELHOR metodologia a utilizar para estimar a complexidade do desenvolvimento de uma grande aplicação empresarial?
A. Análise de pontos de função
B. Estimativa do custo do software
C. Estrutura analítica do trabalho
D. Análise do caminho crítico A Uma organização está a considerar a possibilidade de permitir que os utilizadores liguem dispositivos pessoais à rede empresarial
E.
F.
G.
D. Realizar formação de sensibilização para a segurança
Ver resposta
Resposta correta: A
Pergunta #160
Um administrador de base de dados (DBA) extrai uma listagem de utilizadores para um auditor como prova de teste. Qual das seguintes opções fornecerá a MAIOR garantia de que a listagem de utilizadores é fiável?
A. Pedir uma consulta que devolva a contagem dos utilizadores
B. Pedir uma cópia da consulta que gerou a listagem de utilizadores
C. Obter a assinatura do DBA para atestar que a lista está completa
D. Testemunhar o DBA executando a consulta pessoalmente
Ver resposta
Resposta correta: C
Pergunta #161
A amostragem estatística NÃO se baseia em qual das seguintes técnicas de amostragem de auditoria?
A. Amostragem casual B
B.
C.
Ver resposta
Resposta correta: A
Pergunta #162
Qual das seguintes opções MELHOR fornece disponibilidade contínua de largura de banda de rede para serviços de aplicações críticas?
A. Gestão da configuração
B. Computação em nuvem
C. Gestão de problemas
D. Qualidade do serviço (QoS)
Ver resposta
Resposta correta: C
Pergunta #163
Qual das seguintes opções é a MAIS importante quando se avalia o período de retenção das cópias de segurança dos dados dos clientes de um fornecedor de serviços de computação em nuvem?
A. Custo do armazenamento de dados
B. Compromissos contratuais
C. Recomendações de auditoria anteriores
D. Melhores práticas do sector
Ver resposta
Resposta correta: A
Pergunta #164
Um auditor de SI está a efetuar uma revisão dos sistemas de informação de uma organização e descobre dados que já não são necessários para as aplicações empresariais. Qual das seguintes seria a MELHOR recomendação do auditor de SI?
A. Peça ao responsável pela custódia dos dados para os remover após confirmação do utilizador empresarial
B. Avaliar os dados de acordo com a política de retenção
C. Efetuar cópias de segurança dos dados para suportes amovíveis e guardá-los numa área segura
D. Manter os dados e protegê-los utilizando uma política de classificação de dados
Ver resposta
Resposta correta: B
Pergunta #165
Qual das seguintes é a MELHOR forma de atuação de um auditor de SI ao saber que os controlos preventivos foram substituídos por controlos correctivos e de deteção?
A. Comunicar o problema à direção, uma vez que o nível de risco aumentou
B. Recomendar a aplicação de controlos preventivos para além dos outros controlos
C. Verificar se os controlos revistos aumentam a eficiência dos processos empresariais relacionados
D. Avaliar se os novos controlos gerem o risco a um nível aceitável
Ver resposta
Resposta correta: A
Pergunta #166
Qual das seguintes recomendações de auditoria de SI seria a MELHOR forma de garantir a atenuação adequada das deficiências de controlo identificadas durante uma auditoria? Atribuir acções ao pessoal responsável e dar-lhes seguimento.
A.
B.
C.
Ver resposta
Resposta correta: B
Pergunta #167
Qual das seguintes constatações deve ser a MAIS preocupante para um auditor de SI ao avaliar a governação da segurança da informação numa organização?
A. O gestor do centro de dados tem a aprovação final dos projectos de segurança
B. O Comité de Supervisão da Segurança da Informação reúne-se trimestralmente
C. O departamento de segurança da informação tem dificuldade em preencher as vagas
D. As políticas de segurança da informação foram actualizadas pela última vez há dois anos
Ver resposta
Resposta correta: B
Pergunta #168
Uma auditoria de SI revela que uma organização não está a abordar proactivamente as vulnerabilidades conhecidas. Qual das seguintes opções o auditor de SI deve recomendar que a organização faça PRIMEIRO?
A. Verificar se o plano de recuperação de desastres (DRP) foi testado
B. Assegurar que o sistema de prevenção de intrusões (IPS) é eficaz
C. Confirmar que a equipa de resposta a incidentes compreende o problema
D. Avaliar os riscos de segurança para o negócio
E.
F.
G.
D. Os operadores estão a atuar como bibliotecários de cassetes em turnos alternados
Ver resposta
Resposta correta: B
Pergunta #169
Uma empresa em fase de arranque que está a adquirir servidores para o seu sistema de receção de encomendas não consegue prever o volume de transacções. Qual das seguintes opções é a MAIS importante para a empresa considerar?
A. Escalabilidade
B. Configuração
C. Otimização
D. Compatibilidade
Ver resposta
Resposta correta: B
Pergunta #170
Qual é a MELHOR recomendação de um auditor de SI para a administração se uma avaliação da vulnerabilidade da rede confirmar que não foram aplicados patches críticos desde a última avaliação?
A. Implementar um processo para testar e aplicar as correcções adequadas
B. Aplicar os patches disponíveis e continuar a monitorização periódica
C. Configurar os servidores para aplicar automaticamente os patches disponíveis
D. Remover dispositivos não corrigidos da rede
Ver resposta
Resposta correta: A
Pergunta #171
Qual das seguintes deve ser a MELHOR recomendação de um auditor de SI para evitar a instalação de software não licenciado nos dispositivos fornecidos pela empresa aos funcionários?
A. Impor o registo de auditoria das actividades de instalação de software
B. Restringir a autoridade de instalação de software apenas a utilizadores administrativos
C. Implementar listas negras de software
D. Remover software não licenciado dos dispositivos dos utilizadores finais
Ver resposta
Resposta correta: A
Pergunta #172
Uma organização pretende reutilizar os smartphones fornecidos pela empresa recolhidos dos funcionários que deixam a organização. Qual das seguintes seria a MELHOR recomendação?
A. Os cartões de memória dos smartphones devem ser substituídos
B. Os telemóveis inteligentes não devem ser reutilizados, mas sim destruídos fisicamente
C. Os dados devem ser eliminados de forma segura dos smartphones
D. O cartão SIM e o número de telefone devem ser alterados
Ver resposta
Resposta correta: C
Pergunta #173
A direção decidiu aceitar o risco residual de uma constatação de auditoria e não tomar as medidas recomendadas. A equipa de auditoria interna considera que a aceitação é inadequada e discutiu a situação com a direção executiva. Após essa discussão, ainda há discordância em relação à decisão. Qual das seguintes opções é o MELHOR curso de ação da auditoria interna?
A. Comunicar este assunto ao comité de auditoria sem notificar a direção executiva
B. Documentar no relatório de auditoria que a direção aceitou o risco residual e não tomou quaisquer outras medidas
C. Comunicar a questão ao comité de auditoria numa reunião conjunta com a direção executiva para resolução
D. Marcar outra reunião com a direção executiva para a convencer a tomar as medidas recomendadas
Ver resposta
Resposta correta: D
Pergunta #174
A comunicação de qual das seguintes opções MELHOR encorajaria a gestão a iniciar acções adequadas após a receção das conclusões do relatório? A. Implicações de risco das observações
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #175
Para ajudar a garantir a exatidão e a integridade dos resultados de computação do utilizador final, é MAIS importante incluir fortes: A. controlos de reconciliação.
A.
B.
C.
Ver resposta
Resposta correta: A
Pergunta #176
Qual das seguintes opções MELHOR ajudaria a garantir a conformidade com os requisitos de segurança da informação de uma organização por parte de um fornecedor de serviços de TI?
A. Definir o plano de recuperação de negócios com o fornecedor de serviços de TI
B. Exigir auditorias de segurança externas ao prestador de serviços informáticos
C. Definição dos requisitos de segurança da informação com as TI internas
D. Exigir relatórios regulares do fornecedor de serviços informáticos
Ver resposta
Resposta correta: D
Pergunta #177
A razão MAIS importante para documentar todos os aspectos de uma investigação forense digital é que a documentação:
A. fornece rastreabilidade para investigação independente por terceiros
B. assegura a conformidade com as políticas empresariais de resposta a incidentes
C. garante que o processo será repetível em investigações futuras
D. cumpre as normas de documentação de auditoria de TI
Ver resposta
Resposta correta: B
Pergunta #178
Qual das seguintes opções é a MAIS provável de ser incluída nos procedimentos operacionais de um computador num grande centro de dados?
A. Instruções para a programação de tarefas
B. Procedimentos de re-sequenciação do código-fonte
C. Procedimentos para a configuração dos serviços públicos
D. Orientações sobre a definição de parâmetros de segurança
Ver resposta
Resposta correta: B

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.