NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Perguntas mais recentes do exame CSA CCAK para uma preparação abrangente

As perguntas práticas do CCAK da SPOTO são a chave definitiva para passar no exame Certificate of Cloud Auditing Knowledge. Essas perguntas e respostas abrangentes do exame cobrem todos os tópicos essenciais, fornecendo perguntas práticas realistas e exames simulados para simular o ambiente de teste real. Utilize estes valiosos materiais de estudo de preparação para o exame e recursos de exame para identificar lacunas de conhecimento e reforçar a sua compreensão. Com as questões práticas de CCAK da SPOTO, ganhará confiança e as competências necessárias para passar com êxito. Esses recursos de exame oferecem uma coleção meticulosamente elaborada de perguntas de exame, garantindo que você esteja totalmente preparado para os desafios de auditoria de nuvem que estão por vir.
Faça outros exames online
Pergunta #1
Quais das seguintes alterações terão MAIS probabilidade de influenciar a expansão ou redução dos controlos necessários para remediar o risco decorrente de alterações no fornecedor de SaaS de uma organização?
A. Política de excepções ao risco
B. Requisitos contratuais
C. Apetite pelo risco
D. Supervisão do Conselho de Administração
Ver resposta
Resposta correta: C
Pergunta #2
Um CSP contrata a realização de um teste de penetração nas suas infra-estruturas. O auditor envolve o alvo sem conhecimento prévio das suas defesas, activos ou canais. O centro de operações de segurança do CSP não é notificado antecipadamente sobre o âmbito da auditoria e os vectores de teste. Que modo é selecionado pelo CSP?
A. Caixa cinzenta dupla
B. Tandem
C. Reversão
D. Duplo cego
Ver resposta
Resposta correta: D
Pergunta #3
Devido a restrições de recursos da equipa de auditoria da nuvem, um plano de auditoria inicialmente aprovado não pode ser concluído. Supondo que a situação seja comunicada no relatório de auditoria da nuvem, qual curso de ação é MAIS relevante?
A. Concentrar-se na auditoria de áreas de alto risco
B. Testar a adequação da conceção dos controlos na nuvem
C. Confiar nos testes de gestão dos controlos na nuvem
D. Testar a eficácia operacional dos controlos na nuvem
Ver resposta
Resposta correta: A
Pergunta #4
Numa organização, qual é a maior probabilidade de ocorrerem violações de políticas?
A. Por acidente
B. Deliberadamente pelo FSI
C. Deliberadamente
D. Deliberadamente pelo fornecedor de serviços de computação em nuvem
Ver resposta
Resposta correta: A
Pergunta #5
Qual das seguintes é a MELHOR ferramenta para realizar auditorias de controlo de segurança na nuvem?
A. Regulamento Geral sobre a Proteção de Dados (RGPD)
B. ISO 27001
C. Norma Federal de Processamento de Informação (FIPS) 140-2
D. SA Matriz de Controlo da Nuvem (CCM)
Ver resposta
Resposta correta: D
Pergunta #6
Quais das seguintes alterações terão MAIS probabilidade de influenciar a expansão ou redução dos controlos necessários para remediar o risco decorrente de alterações no fornecedor de SaaS de uma organização?
A. Política de excepções ao risco
B. Requisitos contratuais
C. Apetite pelo risco
D. Supervisão do Conselho de Administração
Ver resposta
Resposta correta: C
Pergunta #7
Um CSP contrata a realização de um teste de penetração nas suas infra-estruturas. O auditor envolve o alvo sem conhecimento prévio das suas defesas, activos ou canais. O centro de operações de segurança do CSP não é notificado antecipadamente sobre o âmbito da auditoria e os vectores de teste. Que modo é selecionado pelo CSP?
A. Caixa cinzenta dupla
B. Tandem
C. Reversão
D. Duplo cego
Ver resposta
Resposta correta: D
Pergunta #8
Devido a restrições de recursos da equipa de auditoria da nuvem, um plano de auditoria inicialmente aprovado não pode ser concluído. Supondo que a situação seja comunicada no relatório de auditoria da nuvem, qual curso de ação é MAIS relevante?
A. Concentrar-se na auditoria de áreas de alto risco
B. Testar a adequação da conceção dos controlos na nuvem
C. Confiar nos testes de gestão dos controlos na nuvem
D. Testar a eficácia operacional dos controlos na nuvem
Ver resposta
Resposta correta: A
Pergunta #9
Numa organização, qual é a maior probabilidade de ocorrerem violações de políticas?
A. Por acidente
B. Deliberadamente pelo FSI
C. Deliberadamente
D. Deliberadamente pelo fornecedor de serviços de computação em nuvem
Ver resposta
Resposta correta: A
Pergunta #10
Qual das seguintes é a MELHOR ferramenta para realizar auditorias de controlo de segurança na nuvem?
A. Regulamento Geral sobre a Proteção de Dados (RGPD)
B. ISO 27001
C. Norma Federal de Processamento de Informação (FIPS) 140-2
D. SA Matriz de Controlo da Nuvem (CCM)
Ver resposta
Resposta correta: D
Pergunta #11
Os ambientes de rede e as instâncias virtuais devem ser concebidos e configurados para restringir e monitorizar o tráfego entre ligações fiáveis e não fiáveis. Estas configurações devem ser revistas pelo menos uma vez por ano e apoiadas por uma justificação documentada para a utilização de todos os serviços, protocolos e portas permitidos e por controlos de compensação. Qual dos seguintes controlos corresponde MELHOR a esta descrição de controlo?
A. Segurança da rede
B. Deteção de alterações
C. Reforço da Instância Virtual e do SO
D. Gestão da vulnerabilidade da rede
Ver resposta
Resposta correta: A
Pergunta #12
Depois de encontrar uma vulnerabilidade num servidor de uma organização ligado à Internet, um criminoso da cibersegurança consegue aceder a um sistema de ficheiros encriptados e consegue substituir parte de alguns ficheiros por dados aleatórios. Em referência à metodologia de análise das principais ameaças, como classificaria o impacto técnico deste incidente?
A. Como uma violação da integridade
B. Como violação de controlo
C. Como uma violação de disponibilidade
D. Como uma violação da confidencialidade
Ver resposta
Resposta correta: B
Pergunta #13
As organizações mantêm mapeamentos entre os diferentes quadros de controlo que adoptam:
A. judar a identificar controlos com um estatuto de avaliação comum
B. vitar a duplicação de trabalho aquando da avaliação da conformidade
C. judar a identificar controlos com diferentes estatutos de avaliação
D. niciar uma avaliação de conformidade utilizando a avaliação mais recente
Ver resposta
Resposta correta: C
Pergunta #14
O teste SAST é efectuado por:
A. nalisando o código-fonte da aplicação
B. Verificar a interface da aplicação
C. nalisar todos os componentes da infraestrutura
D. Executar acções manuais para obter o controlo da aplicação
Ver resposta
Resposta correta: A
Pergunta #15
Quando o processo comercial de um cliente muda, o SLA do PSC deve:
A. er revisto, mas o SLA não pode ser atualizado
B. ão deve ser revisto, mas o contrato de computação em nuvem deve ser cancelado imediatamente
C. ão ser revisto porque o SLA não pode ser atualizado
D. er revistas e actualizadas, se necessário
Ver resposta
Resposta correta: D
Pergunta #16
O objetivo PRIMÁRIO de uma reunião de início de auditoria com um cliente de auditoria da nuvem é
A. elecionar a metodologia da auditoria
B. Analisar as provas solicitadas fornecidas pelo cliente da revisão de contas
C. iscutir o âmbito da auditoria à nuvem
D. dentificar os requisitos de recursos da auditoria na nuvem
Ver resposta
Resposta correta: C
Pergunta #17
Devem ser estabelecidas políticas e procedimentos, e implementados processos empresariais e medidas técnicas de apoio, para a manutenção de vários itens, garantindo a continuidade e a disponibilidade das operações e do pessoal de apoio. Qual dos seguintes controlos corresponde MELHOR a esta descrição de controlo?
A. Manutenção das operações
B. Manutenção do desenvolvimento do sistema
C. Manutenção do equipamento
D. Manutenção do sistema
Ver resposta
Resposta correta: A
Pergunta #18
Um auditor identifica que um CSP recebeu vários pedidos de informação e RFPs de clientes durante o último mês. Qual das seguintes deve ser a MELHOR recomendação para reduzir a carga do CSP?
A. SP pode partilhar todos os relatórios de segurança com os clientes para simplificar o processo
B. O CSP pode agendar uma chamada com cada cliente
C. O CSP pode responder a cada cliente individualmente
D. D
Ver resposta
Resposta correta: D
Pergunta #19
Qual das seguintes abordagens engloba a engenharia social do pessoal, a ultrapassagem dos controlos de acesso físico e os testes de penetração?
A. Equipa azul
B. Caixa branca
C. aixa cinzenta
D. Equipa vermelha
Ver resposta
Resposta correta: B
Pergunta #20
Ao aplicar a metodologia da Análise das Principais Ameaças na sequência de um incidente, qual é o âmbito da etapa de identificação do impacto técnico?
A. eterminar o impacto sobre os controlos que foram seleccionados pela organização para responder aos riscos identificados
B. Determinar o impacto na confidencialidade, integridade e disponibilidade do sistema de informação
C. Determinar o impacto sobre as finanças, as operações, a conformidade e a reputação da organização
D. eterminar o impacto na segurança física e ambiental da organização, excluindo os activos informáticos
Ver resposta
Resposta correta: D
Pergunta #21
Ao efetuar auditorias relacionadas com a estratégia de gestão da continuidade das actividades e de resiliência operacional, qual seria o aspeto MAIS crítico a auditar em relação à estratégia do cliente da nuvem que deve ser formulada em conjunto com o fornecedor de serviços de nuvem?
A. alidar se a estratégia cobre a indisponibilidade de todos os componentes necessários para operar o negócio como de costume ou em modo de interrupção, em partes ou no total, quando afetado por uma interrupção
B. alidar se a estratégia abrange todos os aspectos do planeamento da continuidade das actividades e da resiliência, com base no impacto e nos riscos avaliados, para considerar as actividades antes, durante e após uma perturbação
C. alidar se a estratégia abrange todas as actividades necessárias para continuar e recuperar as actividades prioritárias dentro dos prazos identificados e da capacidade acordada, alinhada com a apetência pelo risco da organização, incluindo a invocação de planos de continuidade e capacidades de gestão de crises
D. Validar se a estratégia é desenvolvida tanto pelos fornecedores de serviços de computação em nuvem como pelos consumidores de serviços de computação em nuvem dentro dos limites aceitáveis da sua apetência pelo risco
Ver resposta
Resposta correta: B
Pergunta #22
Quais das seguintes métricas são frequentemente imaturas?
A. Métricas relativas a ambientes de rede e armazenamento de Infraestrutura como Serviço (IaaS)
B. Métricas em torno dos ambientes de desenvolvimento da plataforma como serviço (PaaS)
C. Métricas relativas a ambientes informáticos de Infraestrutura como Serviço (IaaS)
D. Métricas relativas a serviços específicos de aplicações de Software como Serviço (SaaS)
Ver resposta
Resposta correta: A
Pergunta #23
A principal diferença entre a Matriz de Controlo da Nuvem (CCM) e o Questionário de Iniciativa de Avaliação por Consenso (CAIQ) é que:
A. CM avalia a presença de controlos, enquanto o CAIQ avalia a segurança global de um serviço
B. O CCM tem um conjunto de perguntas de segurança, enquanto o CAIQ tem um conjunto de controlos de segurança
C. CM tem 14 domínios e CAIQ tem 16 domínios
D. D
Ver resposta
Resposta correta: D
Pergunta #24
Qual das seguintes opções é um exemplo de impacto comercial financeiro?
A. Um pirata informático que utiliza uma identidade de administrador roubada faz cair os sistemas de vendas e marketing SaaS, resultando na incapacidade de processar encomendas de clientes ou de gerir relações com clientes
B. Embora a violação tenha sido comunicada atempadamente ao CEO, o CFO e o CISO acusaram-se mutuamente em público, o que resultou numa perda de confiança pública que levou o conselho de administração a substituir os três
C. Um ataque DDoS torna a nuvem do cliente inacessível durante 24 horas, resultando na perda de milhões em vendas
D. O fornecedor de serviços de computação em nuvem não comunica uma violação de dados pessoais de um cliente a partir de um servidor não seguro, o que resulta em coimas do RGPD de 10 milhões de euros
Ver resposta
Resposta correta: C
Pergunta #25
Do ponto de vista de um profissional sénior de auditoria de segurança na nuvem numa organização com um programa de segurança maduro com adoção da nuvem, qual das seguintes afirmações descreve MELHOR o conceito DevSecOps?
A. Processo de integração da segurança utilizando a automatização no desenvolvimento de software
B. Normas de desenvolvimento para abordar questões de integração, ensaio e implantação
C. Estrutura operacional que promove a consistência do software através da automatização
D. Tornar o desenvolvimento de software mais simples, mais rápido e mais fácil utilizando a automatização
Ver resposta
Resposta correta: B
Pergunta #26
Qual das seguintes opções é a MAIS importante a considerar ao desenvolver um modelo de ameaça eficaz durante a introdução de um novo serviço SaaS na arquitetura de uma organização cliente? O modelo de ameaça:
A. econhece a responsabilidade partilhada pela gestão do risco entre o cliente e o PSC
B. proveita os modelos de ameaças SaaS desenvolvidos por organizações congéneres
C. desenvolvido por um terceiro independente com experiência no sector industrial da organização
D. onsidera a perda de visibilidade e controlo da transição para a nuvem
Ver resposta
Resposta correta: A
Pergunta #27
Durante a realização da auditoria, o auditor descobriu que um conjunto de armazenamento de objectos que continha informações pessoais pessoais podia ser acedido por qualquer pessoa na Internet. Tendo em conta esta descoberta, qual deve ser a ação mais adequada a realizar pelo auditor?
A. Destacar a lacuna para o promotor da auditoria o mais cedo possível
B. Pedir ao administrador da nuvem da organização para colmatar imediatamente a lacuna, actualizando as definições de configuração e tornando o balde de armazenamento de objectos privado e, por conseguinte, inacessível a partir da Internet
C. ocumentar as conclusões no relatório de auditoria e partilhar as lacunas com as partes interessadas relevantes
D. Informar imediatamente o diretor de auditoria interna da organização sobre a lacuna
Ver resposta
Resposta correta: C
Pergunta #28
Para se qualificar para a certificação CSA STAR para um determinado sistema de nuvem, o relatório SOC 2 deve abranger
A. CONTROLOS ISO/I?? 27001: 2013 controlos
B. ritérios do modelo de maturidade
C. odos os controlos da Matriz de Controlo da Nuvem (CCM) e os princípios de segurança do TSPC
D. Matriz de controlo da computação em nuvem (CCM) e controlos ISO/IEC 27001:2013
Ver resposta
Resposta correta: C
Pergunta #29
Qual das seguintes opções é a MAIS importante a considerar quando uma organização está a criar um programa de conformidade para a nuvem?
A. A rápida evolução da carteira de serviços e da arquitetura da nuvem
B. Os fornecedores de serviços de computação em nuvem não devem fazer parte do programa de conformidade
C. A natureza relativamente estática da carteira de serviços e da arquitetura da nuvem
D. A nuvem é semelhante ao ambiente no local em termos de conformidade
Ver resposta
Resposta correta: A
Pergunta #30
Ao desenvolver um programa de conformidade com a nuvem, qual é a razão PRINCIPAL para um cliente de nuvem analisar quais serviços de nuvem serão implantados?
A. Determinar a forma como esses serviços se enquadram nas suas políticas e procedimentos
B. Determinar o custo total dos serviços de computação em nuvem a serem implantados
C. Para confirmar qual o fornecedor a selecionar com base na conformidade com os requisitos de segurança
D. Para confirmar se os controlos de compensação implementados são suficientes para a nuvem
Ver resposta
Resposta correta: A
Pergunta #31
Qual dos seguintes atestados permite a adoção imediata da Matriz de Controlo da Nuvem (CCM) como critério adicional aos Critérios de Serviços de Confiança do AICPA e proporciona a flexibilidade para atualizar os critérios à medida que a tecnologia e os requisitos do mercado mudam?
A. C-IDSS
B. ertificação CSA STAR
C. TCS
D. Critérios BSI Catálogo C5
Ver resposta
Resposta correta: B
Pergunta #32
Para garantir que os recursos de auditoria na nuvem oferecem o melhor valor para a organização, o passo PRIMÁRIO seria:
A. Desenvolver um plano de auditoria à nuvem com base numa avaliação pormenorizada dos riscos
B. rogramar as auditorias e controlar o tempo gasto em cada auditoria
C. ormar o pessoal de auditoria da nuvem sobre a tecnologia atual utilizada na organização
D. Acompanhar a evolução das auditorias e tomar medidas de controlo dos custos
Ver resposta
Resposta correta: A
Pergunta #33
Qual das seguintes opções é um exemplo de impacto técnico da integridade?
A. O fornecedor de serviços de computação em nuvem comunica uma violação de dados pessoais de clientes a partir de um servidor não seguro
B. Um hacker que utiliza uma identidade de administrador roubada alerta para a percentagem de desconto na base de dados de produtos
C. Um ataque DDoS torna a nuvem do cliente inacessível durante 24 horas
D. Um administrador clicou inadvertidamente num Phish bait, expondo a sua empresa a um ataque de ransomware
Ver resposta
Resposta correta: D
Pergunta #34
Qual é o sinal de uma organização que adoptou um conceito shift-left de ciclos de lançamento de código?
A. Um modelo em cascata para mover os recursos através das fases de desenvolvimento e lançamento
B. Incorporação da automatização para identificar e resolver problemas de código de software numa fase precoce
C. Maturidade das entidades em fase de arranque com elevada iteração e baixo volume de commits de código
D. Grandes entidades com cadências de lançamento mais lentas e sistemas geograficamente dispersos
Ver resposta
Resposta correta: B
Pergunta #35
Os controlos da Matriz de Controlo da Nuvem (CCM) podem ser utilizados pelos clientes da nuvem para:
A. Desenvolver novas bases de segurança para o sector
B. Definir diferentes quadros de controlo para diferentes fornecedores de serviços de computação em nuvem
C. acilitar a comunicação com o seu departamento jurídico
D. riar um programa de gestão do risco operacional da nuvem
Ver resposta
Resposta correta: B
Pergunta #36
Dentro de uma organização, qual das seguintes funções deve ser responsável pela definição da abordagem de adoção da nuvem?
A. Comité de auditoria
B. Gestor de conformidade
C. Gestor de TI
D. Direção de topo
Ver resposta
Resposta correta: D

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.