NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Últimas perguntas do exame ISACA CISM para uma preparação eficaz do exame

Desbloqueie o poder das perguntas do exame ISACA CISM da SPOTO para impulsionar a sua jornada de certificação Certified Information Security Manager (CISM). Mergulhe nas perguntas e respostas abrangentes do exame, concebidas para melhorar a sua compreensão da avaliação de riscos, da implementação da governação e das estratégias de resposta a incidentes. Com as perguntas de teste e os materiais de preparação para o exame da SPOTO, obterá uma vantagem competitiva ao lidar com violações de dados, ataques de ransomware e outras ameaças de segurança em evolução. Aceda a materiais de estudo valiosos e a recursos de exame concebidos para o ajudar a passar com êxito. Participe em exames simulados realistas para simular o ambiente do exame e aumentar a sua confiança. Prepare-se com a SPOTO e torne-se um Gestor de Segurança da Informação Certificado, equipado para enfrentar os desafios actuais da cibersegurança com experiência e confiança.
Faça outros exames online
Pergunta #1
A governação eficaz das TI é assegurada da seguinte forma
A. utilizando uma abordagem ascendente
B. gestão pelo departamento de TI
C. remeter o assunto para o departamento jurídico da organização
D. utilizando uma abordagem de cima para baixo
Ver resposta
Resposta correta: D
Pergunta #2
Para melhorar o alinhamento dos objectivos de segurança da informação numa organização, o responsável pela segurança da informação (CISO) deve
A. Rever o programa de segurança da informação
B. Avaliar um balanced business scorecard
C. realizar sessões regulares de sensibilização dos utilizadores
D. realizar testes de penetração
Ver resposta
Resposta correta: B
Pergunta #3
Um gestor de segurança da informação descobre que os utilizadores de uma aplicação estão frequentemente a utilizar privilégios de acesso elevado de emergência para processar transacções
A. Solicitar a justificação dos responsáveis do utilizador para o acesso de emergência
B. Solicitar ao administrador da aplicação que bloqueie todos os perfis de acesso de emergência
C. Atualizar a frequência e a utilização do perfil de acesso de emergência na política
D. Rever a arquitetura de segurança da aplicação e recomendar alterações
Ver resposta
Resposta correta: D
Pergunta #4
Qual das seguintes situações é a que MAIS provavelmente exigiria a invocação de um plano de continuidade da atividade?
A. Um visitante não autorizado descoberto no centro de dados
B. Um ataque distribuído de negação de serviço a um servidor de correio eletrónico
C. Uma epidemia que impede o pessoal de desempenhar as suas funções
D. Um hacker que tem como reféns informações de identificação pessoal
Ver resposta
Resposta correta: B
Pergunta #5
Qual das seguintes opções deve ser determinada PRIMEIRO ao preparar um plano de comunicação de riscos?
A. Público-alvo
B. Canal de comunicação
C. Conteúdo dos relatórios
D. Frequência dos relatórios
Ver resposta
Resposta correta: A
Pergunta #6
Uma organização planeia utilizar plataformas de redes sociais populares para promover os seus produtos e serviços. Qual das seguintes opções é a MELHOR linha de ação para o gestor de segurança da informação apoiar esta iniciativa?
A. Desenvolver controlos de segurança para a utilização das redes sociais
B. Avaliar o risco de segurança associado à utilização das redes sociais
C. Estabelecer processos para publicar conteúdos nas redes sociais
D. Efetuar avaliações de vulnerabilidade nas plataformas de redes sociais
Ver resposta
Resposta correta: C
Pergunta #7
Um departamento de TI planeia migrar uma aplicação para a nuvem pública. Qual das seguintes é a ação MAIS importante do gestor de segurança da informação para apoiar esta iniciativa?
A. Calcular os custos de implementação da segurança
B. Avaliar os acordos de nível de serviço (SLAs)
C. Fornecer requisitos de segurança da nuvem
D. Analisar os relatórios de avaliação independente do fornecedor de serviços de computação em nuvem
Ver resposta
Resposta correta: B
Pergunta #8
Qual das seguintes opções MELHOR permite a implementação de uma segurança consistente em todas as sucursais internacionais de uma organização multinacional?
A. Maturidade dos processos de segurança
B. Correção das constatações de auditoria
C. Descentralização da governação da segurança
D. Estabelecimento da governação da segurança
Ver resposta
Resposta correta: D
Pergunta #9
Para garantir a segurança da informação dos serviços de TI externalizados, qual das seguintes é a atividade de diligência devida MAIS crítica?
A. Analisar amostras de relatórios de nível de serviço do prestador de serviços
B. Avaliar o nível de sensibilização para a segurança do fornecedor de serviços
C. Solicitar que o prestador de serviços cumpra a política de segurança da informação
D. Rever o estado de segurança do fornecedor de serviços
Ver resposta
Resposta correta: C
Pergunta #10
Qual das seguintes é a razão PRINCIPAL para efetuar avaliações periódicas do impacto nas empresas?
A. Melhorar os resultados da última avaliação do impacto nas empresas
B. Atualizar os objectivos de recuperação com base nos novos riscos
C. Diminuir os tempos de recuperação
D. Satisfazer as necessidades da política de continuidade do negócio
Ver resposta
Resposta correta: B
Pergunta #11
É mais provável que os objectivos contraditórios comprometam a eficácia do processo de segurança da informação quando a gestão da segurança da informação é:
A. que responde perante o gestor da infraestrutura de rede
B. fora das tecnologias da informação
C. com pessoal parcialmente composto por consultores de segurança externos
D. combinada com a função de gestão da mudança
Ver resposta
Resposta correta: D
Pergunta #12
A PRINCIPAL vantagem da implementação da sincronização automática de palavras-passe é que:
A. reduz a carga de trabalho administrativo global
B. Aumenta a segurança entre sistemas multicamadas
C. permite que as palavras-passe sejam alteradas com menos frequência
D. reduz a necessidade de autenticação de dois factores
Ver resposta
Resposta correta: A
Pergunta #13
A forma MAIS eficaz de garantir que os utilizadores da rede estão conscientes das suas responsabilidades no cumprimento dos requisitos de segurança de uma organização é:
A. mensagens apresentadas em cada início de sessão
B. mensagens de correio eletrónico periódicas relacionadas com a segurança
C. um sítio Web da Intranet para a segurança da informação
D. divulgar a política de segurança da informação
Ver resposta
Resposta correta: A
Pergunta #14
O firewall terceirizado de uma organização foi mal configurado e permitiu acesso não autorizado que resultou em tempo de inatividade de 48 horas. Qual das seguintes opções deve ser a próxima ação do gerente de segurança da informação?
A. Reconfigurar a firewall de acordo com as melhores práticas
B. Obter provas de que o problema foi corrigido
C. Rever o contrato e melhorar a responsabilização do prestador de serviços
D. Pedir uma indemnização ao prestador de serviços
Ver resposta
Resposta correta: B
Pergunta #15
Uma organização está MAIS em risco de um novo worm ser introduzido através da intranet quando:
A. Os ficheiros de definição de vírus do ambiente de trabalho não estão actualizados
B. O software do sistema não é submetido a controlos de integridade
C. Os anfitriões têm endereços IP estáticos
D. o código executável é executado a partir do interior da firewall
Ver resposta
Resposta correta: A
Pergunta #16
A direção anunciou a aquisição de uma nova empresa. O gestor de segurança da informação da empresa-mãe está preocupado com o facto de os direitos de acesso contraditórios poderem expor informações críticas durante a integração das duas empresas:
A. comunicar à direção a preocupação com direitos de acesso contraditórios
B. Aplicar normas de controlo de acesso coerentes
C. rever os direitos de acesso à medida que ocorre a integração da aquisição
D. efetuar uma avaliação dos riscos dos direitos de acesso
Ver resposta
Resposta correta: B
Pergunta #17
Uma análise interna de um sistema de aplicação baseado na Web descobre a capacidade de obter acesso às contas de todos os funcionários alterando o ID do funcionário no URL utilizado para aceder à conta. A vulnerabilidade identificada é:
A. autenticação quebrada
B. entrada não validada
C. scripting entre sítios
D. Injeção de linguagem de consulta estruturada (SQL)
Ver resposta
Resposta correta: A
Pergunta #18
Qual é a MELHOR forma de uma organização monitorizar o risco de segurança?
A. Análise dos indicadores-chave de desempenho (KPI)
B. Utilização de serviços externos de informação sobre riscos
C. Utilizar um painel de controlo para avaliar as vulnerabilidades
D. Análise dos principais indicadores de risco (KRIs)
Ver resposta
Resposta correta: D
Pergunta #19
A direção atribuiu fundos a cada uma das divisões da organização para resolver as vulnerabilidades da segurança da informação. O financiamento baseia-se no orçamento de tecnologia de cada divisão do ano fiscal anterior. Qual das seguintes situações deve ser a MAIOR preocupação para o diretor de segurança da informação?
A. As zonas de maior risco podem não ser adequadamente consideradas prioritárias para tratamento
B. Podem ser implementados controlos redundantes entre divisões
C. A governação da segurança da informação pode ser descentralizada por divisão
D. O retorno do investimento pode ser comunicado de forma incoerente aos quadros superiores
Ver resposta
Resposta correta: A
Pergunta #20
No caso de não ser possível implementar uma política de palavras-passe para uma aplicação antiga, qual das seguintes opções é a MELHOR forma de atuação?
A. Atualizar a política de segurança da aplicação
B. Implementar o controlo de compensação
C. Apresentar uma isenção para o pedido de legado
D. Efetuar uma avaliação da segurança das aplicações
Ver resposta
Resposta correta: B
Pergunta #21
A vantagem PRIMÁRIA da integração do risco de segurança da informação na gestão do risco empresarial é a seguinte
A. assegurar a atenuação atempada dos riscos
B. justificar o orçamento para a segurança da informação
C. obter o empenhamento dos quadros superiores
D. proporcionar uma visão holística do risco
Ver resposta
Resposta correta: D
Pergunta #22
Qual das seguintes opções tem o MAIOR impacto nos esforços para melhorar a postura de segurança de uma organização?
A. Tom de apoio da direção de topo em relação à segurança
B. Políticas e procedimentos de segurança bem documentados
C. Apresentação regular de relatórios aos quadros superiores
D. Automatização dos controlos de segurança
Ver resposta
Resposta correta: A
Pergunta #23
Qual das seguintes opções é a MELHOR para garantir que a direção se apropria do processo de tomada de decisões em matéria de segurança da informação?
A. Políticas e procedimentos de segurança
B. Autoavaliação anual pela direção
C. Comités de direção da segurança
D. Campanhas de sensibilização para a segurança
Ver resposta
Resposta correta: C
Pergunta #24
Qual das seguintes deve ser a expetativa PRIMÁRIA da administração quando uma organização introduz uma estrutura de governação da segurança da informação?
A. Otimização dos recursos de segurança da informação
B. Execução coerente da estratégia de segurança da informação
C. Melhoria da responsabilização perante os accionistas
D. Maior influência da gestão da segurança
Ver resposta
Resposta correta: B
Pergunta #25
Uma mensagem* que tenha sido encriptada pela chave privada do remetente e novamente pela chave pública do destinatário atinge
A. autenticação e autorização
B. confidencialidade e integridade
C. confidencialidade e não repúdio
D. autenticação e não-repúdio
Ver resposta
Resposta correta: C
Pergunta #26
Qual das seguintes é a forma MAIS eficaz de proteger a autenticidade dos dados em trânsito?
A. Valor de hash
B. Assinatura digital
C. Chave pública
D. Chave privada
Ver resposta
Resposta correta: B
Pergunta #27
Qual das seguintes opções é MAIS útil para garantir o financiamento de uma ferramenta comercial de avaliação da vulnerabilidade?
A. Explicar o valor comercial da correção de vulnerabilidades
B. Identificação dos requisitos legais e regulamentares aplicáveis
C. Apresentar um relatório de análise de vulnerabilidades dos actuais sistemas empresariais
D. Desenvolver métricas de segurança ligadas a objectivos comerciais
Ver resposta
Resposta correta: A
Pergunta #28
Depois de efetuar uma avaliação da segurança de um sistema de produção, é MAIS provável que o gestor da segurança da informação
A. informar o proprietário do sistema de quaisquer riscos residuais e propor medidas para os reduzir
B. informar a equipa de desenvolvimento de quaisquer riscos residuais e, em conjunto, formular medidas de redução dos riscos
C. informar o gestor informático dos riscos residuais e propor medidas para os reduzir
D. estabelecer um programa global de segurança que minimize os riscos residuais desse sistema de produção
Ver resposta
Resposta correta: A
Pergunta #29
A aplicação da política de segurança da informação é da responsabilidade do:
A. Comité diretor de segurança
B. diretor de informação (CIO)
C. diretor de segurança da informação (CISO)
D. diretor de conformidade (CCO)
Ver resposta
Resposta correta: C
Pergunta #30
A razão PRIMÁRIA pela qual uma organização exigiria que os utilizadores assinassem uma confirmação das suas responsabilidades de acesso ao sistema é para:
A. manter um registo exato dos direitos de acesso dos utilizadores
B. Servem como prova de formação de sensibilização para a segurança
C. manter a conformidade com as melhores práticas do sector
D. atribuir a responsabilidade pelas transacções efectuadas com o I do utilizador
Ver resposta
Resposta correta: A
Pergunta #31
A direção de uma organização está a incentivar os funcionários a utilizar as redes sociais para fins promocionais. Qual das seguintes opções deve ser o PRIMEIRO passo do gestor de segurança da informação para apoiar esta estratégia?
A. Incorporar as redes sociais no programa de sensibilização para a segurança
B. Elaborar uma diretriz sobre a utilização aceitável das redes sociais
C. Desenvolver um caso comercial para uma solução de prevenção de perda de dados (DLP)
D. Empregar a utilização de uma solução de filtragem de conteúdos Web
Ver resposta
Resposta correta: B
Pergunta #32
Uma organização está preocupada com uma potencial ameaça persistente avançada (APT). Para garantir que o risco associado a esta ameaça é gerido de forma adequada, qual deve ser a PRIMEIRA ação da organização?
A. Apresentar relatórios aos quadros superiores
B. Iniciar processos de resposta a incidentes
C. Implementar controlos adicionais
D. Efetuar uma análise de impacto
Ver resposta
Resposta correta: D
Pergunta #33
Qual dos seguintes é o MELHOR método para a administração obter garantias de conformidade com a sua política de segurança?
A. Rever os registos de incidentes de segurança
B. Formar o pessoal sobre as suas responsabilidades em matéria de conformidade
C. Efetuar regularmente revisões independentes
D. Interrogar o pessoal sobre as suas funções de segurança
Ver resposta
Resposta correta: C
Pergunta #34
Qual dos seguintes dispositivos deve ser colocado numa DMZ?
A. Router
B. Firewall
C. Retransmissão de correio eletrónico
D. Servidor de autenticação
Ver resposta
Resposta correta: C
Pergunta #35
Qual dos seguintes mecanismos de segurança é MAIS eficaz na proteção de dados classificados que foram encriptados para impedir a divulgação e a transmissão fora da rede da organização?
A. Configuração de firewalls
B. Força dos algoritmos de cifragem
C. Autenticação na aplicação
D. Salvaguardas sobre as chaves
Ver resposta
Resposta correta: D
Pergunta #36
Um gestor de segurança da informação numa organização global que está sujeita a regulamentação por várias jurisdições governamentais com requisitos diferentes deve:
A. Colocar todos os locais em conformidade com os requisitos agregados de todas as jurisdições governamentais
B. Estabelecer normas de base para todos os locais e acrescentar normas suplementares, se necessário
C. colocar todos os locais em conformidade com um conjunto geralmente aceite de melhores práticas da indústria
D. Estabelecer uma norma de base que inclua os requisitos que todas as jurisdições têm em comum
Ver resposta
Resposta correta: B
Pergunta #37
Para além do custo, qual é o MELHOR critério para selecionar as contramedidas após uma avaliação dos riscos?
A. Esforço de implementação
B. Requisitos de competências para a aplicação
C. Eficácia de cada opção
D. Requisitos de manutenção
Ver resposta
Resposta correta: C
Pergunta #38
O compromisso e o apoio dos quadros superiores serão MAIS prováveis quando o valor da governação da segurança da informação for apresentado a partir de um ponto de vista:
A. perspetiva da ameaça
B. perspetiva de conformidade
C. perspetiva de risco
D. perspetiva política
Ver resposta
Resposta correta: D
Pergunta #39
Uma organização está a considerar a adoção de fornecedores de serviços na nuvem para as suas operações comerciais globais em expansão. Qual das seguintes opções é a MAIS importante para o gestor de segurança da informação analisar no que diz respeito à proteção de dados?
A. Política de privacidade dos dados
B. Política e normas de segurança
C. Requisitos organizacionais
D. Legislação e regulamentação local
Ver resposta
Resposta correta: A
Pergunta #40
Para uma organização com uma infraestrutura de TI grande e complexa, qual dos seguintes elementos de um serviço de recuperação de desastres no local exigirá a monitorização mais próxima?
A. Acesso dos trabalhadores
B. Direitos de auditoria
C. Configurações dos sistemas
D. Número de subscritores
Ver resposta
Resposta correta: C
Pergunta #41
Um gestor de segurança da informação é avisado por contactos na aplicação da lei de que existem provas de que a sua empresa está a ser alvo de um grupo de piratas informáticos que utiliza uma variedade de técnicas, incluindo engenharia social e penetração na rede. O PRIMEIRO passo que o gestor de segurança deve dar é:
A. efetuar uma avaliação exaustiva da exposição da organização às técnicas do hacker
B. iniciar uma formação de sensibilização para combater a engenharia social
C. informar imediatamente a direção do risco elevado
D. aumentar as actividades de monitorização para permitir a deteção precoce de intrusões
Ver resposta
Resposta correta: C
Pergunta #42
A probabilidade de um ataque bem sucedido é uma função de:
A. incentivo e capacidade do intruso
B. oportunidade e valor dos activos
C. níveis de ameaça e vulnerabilidade
D. valor e conveniência para o intruso
Ver resposta
Resposta correta: A
Pergunta #43
Qual das seguintes acções deve ser realizada PRIMEIRO ao estabelecer medidas de segurança para os dados pessoais armazenados e tratados num sistema de gestão de recursos humanos?
A. Efetuar uma avaliação do impacto na privacidade (PIA)
B. Avaliar as tecnologias de encriptação de dados
C. Mover o sistema para uma rede separada
D. Efetuar uma avaliação da vulnerabilidade
Ver resposta
Resposta correta: A
Pergunta #44
Qual das seguintes métricas é o MELHOR indicador de um abuso do processo de gestão de alterações que pode comprometer a segurança da informação?
A. Pequeno número de pedidos de alteração
B. Grande diminuição percentual dos pedidos de alteração mensais
C. Percentagem de alterações que incluem complementos suplementares pós-aprovação
D. Elevado rácio de linhas de código alteradas em relação ao total de linhas de código
Ver resposta
Resposta correta: B
Pergunta #45
É importante desenvolver uma base de segurança da informação porque ajuda a definir:
A. recursos de informação crítica que necessitam de proteção
B. uma política de segurança para toda a organização
C. a segurança mínima aceitável a ser implementada
D. controlos de acesso físico e lógico necessários
Ver resposta
Resposta correta: C
Pergunta #46
Qual das seguintes é a MELHOR forma de garantir que as políticas de segurança organizacionais cumprem os requisitos regulamentares de segurança de dados?
A. Obter a aprovação anual da direção executiva
B. Alinhar as políticas com os regulamentos globais mais rigorosos
C. Externalizar as actividades de conformidade
D. Enviar as políticas às partes interessadas para análise
Ver resposta
Resposta correta: C
Pergunta #47
Qual das seguintes deve ser a consideração PRIMÁRIA para um gestor de segurança da informação ao conceber controlos de segurança para uma aplicação comercial recentemente adquirida?
A. Vulnerabilidades conhecidas na aplicação
B. O quadro da arquitetura de segurança informática
C. Análise custo-benefício dos controlos actuais
D. Processos empresariais suportados pela aplicação
Ver resposta
Resposta correta: C
Pergunta #48
Uma empresa aceitou previamente o risco associado a uma vulnerabilidade de dia zero. A mesma vulnerabilidade foi recentemente explorada num ataque de alto nível a outra organização do mesmo sector. Qual das seguintes opções deve ser a PRIMEIRA linha de ação do gestor de segurança da informação?
A. Reavaliar o risco em termos de probabilidade e impacto
B. Desenvolver os melhores e os piores cenários
C. Comunicar a violação da outra organização à direção
D. Avaliar o custo da correção da vulnerabilidade
Ver resposta
Resposta correta: A
Pergunta #49
Ao criar um programa de governação da segurança da informação, qual das seguintes opções MELHOR permitirá à organização cumprir os requisitos de conformidade regulamentar?
A. Directrizes para processos e procedimentos
B. Um quadro de controlo da segurança
C. Um plano de estratégia de segurança aprovado
D. Contributos do comité diretor de segurança
Ver resposta
Resposta correta: A
Pergunta #50
Uma organização identificou uma ameaça crescente de ataques externos de força bruta no seu ambiente. Qual das seguintes opções é a forma MAIS eficaz de mitigar este risco para os sistemas críticos da organização?
A. Aumentar a sensibilidade dos sistemas de deteção de intrusões
B. Implementar a autenticação multi-fator (MFA)
C. Implementar um sistema de gestão de eventos e informações de segurança (SIEM)
D. Aumentar a frequência da monitorização e análise dos registos
Ver resposta
Resposta correta: B
Pergunta #51
Qual das seguintes opções garante de forma mais eficiente a instalação correcta de uma política de firewall que restringe o acesso de um pequeno grupo de endereços IP internos à Internet?
A. Um teste de conetividade a partir do anfitrião restrito
B. Um ataque simulado de negação de serviço contra a firewall
C. Um scan de portas da firewall a partir de uma fonte externa
D. Uma revisão da configuração atual da firewall
Ver resposta
Resposta correta: A
Pergunta #52
Em que fase do ciclo de vida do desenvolvimento de software (SDLC) devem ser abordados PRIMEIRO os controlos de segurança das aplicações?
A. Desenvolvimento de código de software
B. Gestão da configuração
C. Conceção do sistema de aplicação
D. Recolha de requisitos
Ver resposta
Resposta correta: D
Pergunta #53
O PRIMEIRO passo para criar uma cultura interna centrada na segurança da informação é..:
A. implementar controlos mais rigorosos
B. realizar periodicamente acções de formação de sensibilização
C. acompanhar ativamente as operações
D. obter o aval da direção executiva
Ver resposta
Resposta correta: D
Pergunta #54
Qual dos seguintes é o MELHOR método para fornecer a um novo utilizador a sua palavra-passe inicial para acesso ao sistema de correio eletrónico?
A. Entre em funções uma palavra-passe complexa gerada pelo sistema com 30 dias de validade
B. Fornecer uma palavra-passe fictícia por telefone para expiração imediata
C. Não exigir nenhuma palavra-passe, mas obrigar o utilizador a definir a sua própria palavra-passe no prazo de 10 dias
D. Definir a palavra-passe inicial igual ao ID de utilizador com expiração em 30 dias
Ver resposta
Resposta correta: B
Pergunta #55
Qual é a MELHOR forma de determinar o nível de risco associado aos activos de informação processados por uma aplicação informática?
A. Avaliar o valor potencial da informação para um atacante
B. Calcular o valor comercial dos activos de informação
C. Rever o custo de aquisição dos activos de informação para a empresa
D. Requisitos de conformidade da investigação associados às informações
Ver resposta
Resposta correta: B
Pergunta #56
Qual das seguintes opções deve ser estabelecida PRIMEIRO ao implementar uma estrutura de governação da segurança da informação?
A. Equipa de gestão de incidentes de segurança
B. Programa de formação de sensibilização para a segurança
C. Arquitetura de segurança
D. Políticas de segurança
Ver resposta
Resposta correta: D
Pergunta #57
Qual das seguintes opções é a MAIS importante para um gestor de segurança da informação verificar antes de efetuar um teste de continuidade funcional completo?
A. A aceitação do risco pela empresa foi documentada
B. Os planos de resposta a incidentes e de recuperação estão documentados numa linguagem simples
C. Foram identificadas as equipas e as pessoas responsáveis pela recuperação
D. As cópias dos planos de recuperação e de resposta a incidentes são mantidas fora do local
Ver resposta
Resposta correta: C
Pergunta #58
O MAIOR benefício resultante de procedimentos de segurança da informação bem documentados é que eles:
A. garantir que as políticas de segurança sejam aplicadas de forma consistente
B. garantir que os processos críticos possam ser seguidos pelo pessoal temporário
C. facilitar a formação em matéria de segurança do novo pessoal
D. fornecer uma base para a auditoria das práticas de segurança
Ver resposta
Resposta correta: A
Pergunta #59
Qual dos seguintes processos é o PRIMEIRO passo para estabelecer uma política de segurança da informação?
A. Avaliação dos controlos de segurança
B. Auditoria à segurança da informação
C. Revisão das normas mundiais actuais
D. Avaliação do risco comercial
Ver resposta
Resposta correta: D
Pergunta #60
Qual dos seguintes mecanismos é a forma MAIS segura de implementar uma rede sem fios segura?
A. Filtrar endereços de controlo de acesso aos meios (MAC)
B. Utilizar um protocolo de acesso Wi-Fi protegido (WPA2)
C. Utilizar uma chave WEP (Wired Equivalent Privacy)
D. Autenticação baseada na Web
Ver resposta
Resposta correta: B
Pergunta #61
O objetivo de um controlo corretivo é
A. reduzir os acontecimentos adversos
B. indicar um compromisso
C. atenuar o impacto
D. garantir a conformidade
Ver resposta
Resposta correta: C
Pergunta #62
A direção pede ao gestor de segurança da informação uma justificação antes de aprovar a aquisição de um novo sistema de deteção de intrusões (IDS). A MELHOR forma de atuar é fornecer:
A. melhores práticas documentadas do sector
B. uma análise das lacunas em relação aos novos controlos IDS
C. um caso de negócio
D. uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: C
Pergunta #63
Qual das seguintes opções MELHOR protege contra ataques de phishing?
A. Lista branca de aplicações
B. Encriptação da rede
C. Filtragem de correio eletrónico
D. Formação em estratégia de segurança
Ver resposta
Resposta correta: C
Pergunta #64
Qual das seguintes opções é a MAIS importante a ter em conta no tratamento de provas digitais durante a investigação forense de um cibercrime?
A. Estratégias empresariais
B. Melhores práticas do sector
C. Normas globais
D. Regulamentação local
Ver resposta
Resposta correta: D
Pergunta #65
Qual dos seguintes deve ser o PRIMEIRO passo no desenvolvimento de um plano de segurança da informação?
A. Efetuar uma avaliação das vulnerabilidades técnicas
B. Analisar a estratégia comercial atual
C. Efetuar uma análise do impacto comercial
D. Avaliar os níveis actuais de sensibilização para a segurança
Ver resposta
Resposta correta: B
Pergunta #66
Qual das seguintes opções seria a MAIS útil num relatório para a direção para avaliar as alterações na posição de risco da segurança da informação da organização?
A. Registo de riscos
B. Análise de tendências
C. Referências do sector
D. Plano de ação de gestão
Ver resposta
Resposta correta: A
Pergunta #67
Qual das seguintes opções oferece a MAIOR garantia de que a segurança da informação é abordada na gestão da mudança?
A. Efetuar uma auditoria de segurança às alterações
B. Prestação de formação em matéria de segurança ao comité consultivo para a mudança
C. Exigir a aprovação da gestão da mudança pelos quadros superiores
D. Revisão das alterações numa perspetiva de segurança
Ver resposta
Resposta correta: D
Pergunta #68
Qual das seguintes é a forma MAIS eficaz de garantir que as unidades empresariais cumprem uma estrutura de governação da segurança da informação?
A. Integração dos requisitos de segurança nos processos
B. Efetuar avaliações de segurança e análises de lacunas
C. Realização de uma análise de impacto comercial (BIA)
D. Realização de acções de formação de sensibilização para a segurança da informação
Ver resposta
Resposta correta: B
Pergunta #69
Qual das seguintes opções MELHOR facilitará o desenvolvimento de procedimentos adequados de resposta a incidentes?
A. Realização de testes de cenários
B. Efetuar avaliações de vulnerabilidade
C. Análise dos principais indicadores de risco (KRI)
D. Avaliar a maturidade das capacidades
Ver resposta
Resposta correta: A
Pergunta #70
Qual dos seguintes é o método MAIS eficaz para determinar as prioridades de segurança?
A. Análise de impacto
B. Avaliação da ameaça
C. Avaliação da vulnerabilidade
D. Análise das lacunas
Ver resposta
Resposta correta: A
Pergunta #71
Numa organização que implemente um programa de classificação de dados, a responsabilidade final pelos dados no servidor de base de dados cabe ao utilizador:
A. Gestor da segurança da informação
B. Diretor de unidade de negócios
C. administrador de base de dados (DBA)
D. Gestor de tecnologias da informação:
Ver resposta
Resposta correta: A
Pergunta #72
A razão PRIMÁRIA para classificar os activos de informação deve ser garantir:
A. controlo de acesso adequado
B. adesão dos quadros superiores
C. A avaliação do seguro é adequada
D. A propriedade correcta é estabelecida
Ver resposta
Resposta correta: D
Pergunta #73
O departamento de marketing de uma organização solicitou acesso a sítios de colaboração baseados na nuvem para trocar ficheiros multimédia com empresas de marketing externas. Como resultado, foi pedido ao diretor de segurança da informação que efectuasse uma avaliação dos riscos. Qual das seguintes opções deve ser a consideração MAIS importante?
A. As informações a trocar
B. Métodos de transferência da informação
C. Reputação das empresas de marketing externo
D. A segurança do fornecedor de serviços de computação em nuvem de terceiros
Ver resposta
Resposta correta: B
Pergunta #74
Qual das seguintes opções é um passo para estabelecer uma política de segurança?
A. Desenvolvimento de linhas de base de segurança a nível da plataforma
B. Criar uma matriz RACI
C. Implementação de um processo de desenvolvimento e manutenção da política
D. Desenvolver parâmetros de configuração para a rede
Ver resposta
Resposta correta: C
Pergunta #75
Quando uma norma de segurança entra em conflito com um objetivo comercial, a situação deve ser resolvida da seguinte forma
A. alterar a norma de segurança
B. alterar o objetivo comercial
C. efetuar uma análise de risco
D. autorizar a aceitação do risco
Ver resposta
Resposta correta: C
Pergunta #76
Qual das seguintes situações deve ser corrigida PRIMEIRO para garantir o sucesso da governação da segurança da informação numa organização?
A. O serviço de segurança da informação tem dificuldade em preencher as vagas
B. O diretor de informação (CIO) aprova as alterações à política de segurança
C. O Comité de Supervisão da Segurança da Informação reúne-se apenas trimestralmente
D. O gerente do centro de dados tem a aprovação final de todos os projetos de segurança
Ver resposta
Resposta correta: D
Pergunta #77
O PRIMEIRO passo para estabelecer um programa de segurança da informação é:
A. definir políticas e normas que mitiguem os riscos da organização
B. assegurar o empenhamento e o apoio da organização
C. avaliar a conformidade da organização com os requisitos regulamentares
D. determinar o nível de risco que é aceitável para a direção
Ver resposta
Resposta correta: B
Pergunta #78
Qual das seguintes é a razão PRINCIPAL para que a direção executiva se envolva no estabelecimento da estrutura de gestão da segurança de uma empresa?
A. Para determinar o estado desejado da segurança da empresa
B. Estabelecer o nível mínimo de controlos necessários
C. Para satisfazer as recomendações dos auditores em matéria de segurança da empresa
D. Para garantir que são seguidas as melhores práticas do sector em matéria de segurança empresarial
Ver resposta
Resposta correta: A
Pergunta #79
Qual é o MELHOR método para verificar se todos os patches de segurança aplicados aos servidores foram devidamente documentados?
A. Rastrear os pedidos de controlo de alterações nos registos de patches do sistema operativo (SO)
B. Rastrear os registos de patches do SO até à documentação de atualização do fornecedor do SO
C. Rastrear os registos de patches do SO até aos pedidos de controlo de alterações
D. Rever a documentação de controlo de alterações dos servidores principais
Ver resposta
Resposta correta: C
Pergunta #80
Foi lançada uma correção validada para resolver uma nova vulnerabilidade que pode afetar um servidor de missão crítica. O que deve ser feito imediatamente?
A. Adicionar controlos de atenuação
B. Desligue o servidor e instale o patch
C. Verificar a segurança do servidor e instalar a correção
D. Efetuar uma análise de impacto
Ver resposta
Resposta correta: D
Pergunta #81
Um CEO exige que a gestão de riscos de segurança da informação seja praticada a nível organizacional através de um registo central de riscos. Qual das seguintes é a razão MAIS importante para comunicar um resumo deste registo de riscos à direção?
A. Facilitar o alinhamento entre a gestão do risco e os objectivos organizacionais
B. Assegurar a disponibilidade de financiamento adequado para a gestão e atenuação dos riscos
C. Cumprir os requisitos regulamentares e legais da organização
D. Para garantir o alinhamento com as normas e tendências do sector
Ver resposta
Resposta correta: A
Pergunta #82
Do ponto de vista empresarial, a função MAIS importante da segurança da informação é apoiar:
A. operações previsíveis
B. normas internacionais
C. sensibilização para a segurança
D. política empresarial
Ver resposta
Resposta correta: D
Pergunta #83
Qual dos seguintes riscos seria MELHOR avaliado utilizando técnicas qualitativas de avaliação de riscos?
A. Roubo de software adquirido
B. Falta de eletricidade durante 24 horas
C. Diminuição permanente da confiança dos clientes
D. Perda temporária de correio eletrónico devido a um ataque de vírus
Ver resposta
Resposta correta: C
Pergunta #84
Uma organização reguladora envia uma mensagem de correio eletrónico a um gestor de segurança da informação alertando para um ciberataque iminente. O gestor de segurança da informação deve FIRST:
A. validar a autenticidade da indicação
B. determinar se o ataque está em curso
C. alertar o centro de operações da rede
D. responder pedindo mais pormenores
Ver resposta
Resposta correta: A
Pergunta #85
Qual das seguintes opções deve ser feita PRIMEIRO ao selecionar métricas de desempenho para relatar o processo de gestão do risco do fornecedor?
A. Rever os requisitos de confidencialidade
B. Identificar o proprietário dos dados
C. Seleccione a fonte de dados
D. Identificar o público-alvo
Ver resposta
Resposta correta: B
Pergunta #86
Sem aprovação prévia, um departamento de formação inscreveu a empresa num sítio de colaboração gratuito baseado na nuvem e convidou os funcionários a utilizá-lo. Qual das seguintes é a MELHOR resposta do diretor de segurança da informação?
A. Efetuar uma avaliação dos riscos e desenvolver uma análise de impacto
B. Atualizar o registo de riscos e rever a estratégia de segurança da informação
C. Comunicar a atividade aos quadros superiores
D. Permitir a utilização temporária do sítio e controlar a fuga de dados
Ver resposta
Resposta correta: C
Pergunta #87
Qual das seguintes situações pode ser detectada por um sistema de deteção de intrusão de rede (IDS)?
A. Portos abertos não documentados
B. Alteração não autorizada de ficheiros
C. Ataques gerados internamente
D. Anexos de vírus enviados por correio eletrónico
Ver resposta
Resposta correta: A
Pergunta #88
Qual das seguintes opções é a MELHOR a incluir num caso de negócio quando o retorno do investimento (ROI) de uma iniciativa de segurança da informação é difícil de calcular?
A. Estimativa da redução do risco
B. Estimativa do aumento da eficiência
C. Custos projectados ao longo do tempo
D. Aumento projetado do nível de maturidade
Ver resposta
Resposta correta: A
Pergunta #89
Qual das seguintes opções constituiria a MELHOR justificação para um novo investimento em segurança da informação?
A. Resultados de uma análise exaustiva das ameaças
B. Redução projectada do risco
C. Participação dos quadros superiores na definição das prioridades dos projectos
D. Definição de indicadores-chave de desempenho (KPI)
Ver resposta
Resposta correta: A
Pergunta #90
Um risco foi identificado durante uma avaliação de riscos. O proprietário do processo empresarial optou por aceitar o risco porque o custo da correção é superior ao custo projetado para o pior cenário possível. Qual deve ser a próxima ação do gestor de segurança da informação?
A. Determinar uma abordagem de menor custo para a remediação
B. Documentar e agendar uma data para voltar a abordar a questão
C. Encerrar a aplicação empresarial
D. Documentar e transmitir à direção
Ver resposta
Resposta correta: D
Pergunta #91
Quando um gestor de segurança da informação está a desenvolver um plano estratégico para a segurança da informação, o calendário para o plano deve ser:
A. alinhado com o plano estratégico de TI
B. Com base na atual taxa de evolução tecnológica
C. três a cinco anos, tanto para o hardware como para o software
D. alinhado com a estratégia empresarial
Ver resposta
Resposta correta: D
Pergunta #92
Qual dos seguintes dispositivos pode potencialmente impedir um ataque de injeção de SQL (Structured Query Language)?
A. Um sistema de prevenção de intrusões (IPS)
B. Um sistema de deteção de intrusões (IDS)
C. Um sistema de deteção de intrusões baseado no anfitrião (HIDS)
D. Uma firewall baseada no anfitrião
Ver resposta
Resposta correta: A
Pergunta #93
Qual deve ser o objetivo PRIMÁRIO da realização de entrevistas com gestores de unidades empresariais quando se desenvolve uma estratégia de segurança da informação?
A. Determinar os tipos de informação
B. Obter informações sobre os objectivos dos serviços
C. Identificar a propriedade dos dados e do sistema
D. Classificar os activos de informação
Ver resposta
Resposta correta: B
Pergunta #94
Uma organização está a planear abrir um novo escritório noutro país. Dados sensíveis serão enviados rotineiramente entre os dois escritórios. Qual deve ser a PRIMEIRA linha de ação do gestor de segurança da informação?
A. Identificar os requisitos regulamentares aplicáveis para estabelecer políticas de segurança
B. Atualizar as políticas de privacidade para incluir as leis e regulamentos do outro país
C. Aplicar as actuais políticas de segurança da empresa ao novo escritório
D. Encriptar os dados para transferência para a sede com base na aprovação do gestor de segurança
Ver resposta
Resposta correta: A
Pergunta #95
Qual é a MELHOR forma de atuar quando um gestor de segurança da informação descobre que um prestador de serviços externo não implementou controlos adequados para proteger os dados críticos da organização?
A. Avaliar o impacto da lacuna de controlo
B. Iniciar a renegociação dos contratos
C. Adquirir um seguro adicional
D. Realizar uma auditoria aos controlos do fornecedor
Ver resposta
Resposta correta: A
Pergunta #96
Assegurar que as actividades realizadas pelos prestadores de serviços de externalização cumprem as políticas de segurança da informação pode ser melhor conseguido através da utilização de:
A. acordos de nível de serviço
B. auditorias independentes
C. linguagem contratual explícita
D. regulamentos locais
Ver resposta
Resposta correta: B
Pergunta #97
Uma organização adoptou uma prática de rotação regular do pessoal para minimizar o risco de fraude e incentivar a formação cruzada. Qual o melhor tipo de política de autorização para esta prática?
A. Multinível
B. Baseado em funções
C. Discricionário
D. Baseado em atributos
Ver resposta
Resposta correta: B
Pergunta #98
Um gestor de segurança da informação desenvolveu uma estratégia para lidar com os novos riscos de segurança da informação resultantes de mudanças recentes na empresa. Qual das seguintes opções seria a MAIS importante a incluir na apresentação da estratégia à direção?
A. Os custos associados às alterações dos processos empresariais
B. Resultados da avaliação comparativa com os pares do sector
C. O impacto das mudanças organizacionais no perfil de risco de segurança
D. Controlos de segurança necessários para a atenuação do risco
Ver resposta
Resposta correta: C
Pergunta #99
Qual das seguintes opções descreve MELHOR o âmbito da análise de risco?
A. Principais sistemas financeiros
B. Actividades organizacionais
C. Principais sistemas e infra-estruturas
D. Sistemas sujeitos a conformidade regulamentar
Ver resposta
Resposta correta: B
Pergunta #100
Qual dos seguintes métodos deve ser o MAIS preocupante na deteção de novas ameaças utilizando IDS?
A. Reconhecimento estatístico de padrões
B. Assinaturas de ataque
C. Análise heurística
D. Análise do tráfego
Ver resposta
Resposta correta: B
Pergunta #101
Que métrica é o MELHOR indicador de que uma atualização da estratégia de sensibilização para a segurança da informação de uma organização é eficaz?
A. Diminuição do número de incidentes comunicados pelo pessoal
B. Uma diminuição no número de vírus de correio eletrónico detectados
C. Um aumento do número de vírus de correio eletrónico detectados
D. Um aumento do número de incidentes comunicados pelo pessoal
Ver resposta
Resposta correta: A
Pergunta #102
Uma unidade de negócio central depende de um sistema legado eficaz que não cumpre as normas de segurança actuais e ameaça a rede da empresa. Qual das seguintes opções é a MELHOR forma de agir para resolver a situação?
A. Documentar as deficiências no registo de riscos
B. Desconectar o sistema legado do resto da rede
C. Exigir a implementação de novos sistemas que possam cumprir as normas
D. Desenvolver processos para compensar as deficiências
Ver resposta
Resposta correta: A
Pergunta #103
Uma assinatura digital que utilize uma infraestrutura de chave pública (PKI) irá:
A. não garantir a integridade de uma mensagem
B. dependem da medida em que a autoridade de certificação (CA) é fiável
C. requerem duas partes para a troca de mensagens
D. proporcionar um elevado nível de confidencialidade
Ver resposta
Resposta correta: B
Pergunta #104
Uma organização está a considerar uma solução de autosserviço para a implementação de servidores de desenvolvimento virtualizados. Qual das seguintes opções deve ser a preocupação PRIMÁRIA do gerente de segurança da informação?
A. Capacidade para manter a base de segurança do servidor
B. Capacidade de se manter atualizado com os patches
C. Geração de registos de eventos de segurança excessivos
D. Segregação de servidores do ambiente de produção
Ver resposta
Resposta correta: D
Pergunta #105
Qual das seguintes medidas é a MAIS eficaz para minimizar a possibilidade de divulgação inadvertida de informações confidenciais?
A. Seguindo o princípio do menor privilégio
B. Restringir a utilização de suportes amovíveis
C. Aplicação de regras de classificação de dados
D. Aplicação de sanções por violações da política de segurança
Ver resposta
Resposta correta: C
Pergunta #106
Ao desenvolver uma estrutura de governação da segurança da informação, qual das seguintes opções deve ser a PRIMEIRA?
A. Integrar a segurança no processo de desenvolvimento do ciclo de vida do sistema
B. Alinhar o programa de segurança da informação com as outras actividades de risco e controlo da organização
C. Desenvolver políticas e procedimentos para apoiar o quadro
D. Desenvolver medidas de resposta para detetar e garantir o encerramento das violações de segurança
Ver resposta
Resposta correta: B
Pergunta #107
Qual das seguintes opções seria a MELHOR forma de garantir que as normas de segurança das aplicações estão em vigor?
A. Ensaios funcionais
B. Realização de uma revisão de código
C. Publicação de normas de codificação de software
D. Testes de penetração
Ver resposta
Resposta correta: D
Pergunta #108
Qual das seguintes é a função MAIS importante da segurança da informação?
A. Gerir o risco para a organização
B. Reduzir o impacto financeiro das violações da segurança
C. Identificação das vulnerabilidades do sistema
D. Prevenção de incidentes de segurança
Ver resposta
Resposta correta: A
Pergunta #109
O objetivo PRIMÁRIO da governação da segurança da informação para uma organização é:
A. alinhar-se com os processos empresariais
B. alinhar-se com os objectivos da empresa
C. estabelecer uma estratégia de segurança
D. gerir os custos de segurança
Ver resposta
Resposta correta: B
Pergunta #110
Ao estabelecer uma estrutura de governação da segurança da informação, é MAIS importante para um gestor de segurança da informação compreender:
A. o ambiente regulamentar
B. melhores práticas de segurança da informação
C. a cultura da empresa
D. técnicas de gestão do risco
Ver resposta
Resposta correta: A
Pergunta #111
Qual das seguintes opções deve um gestor de segurança da informação efetuar PRIMEIRO quando o risco residual de uma organização tiver aumentado?
A. Aplicar medidas de segurança para reduzir o risco
B. Comunicar as informações aos quadros superiores
C. Transferir o risco para terceiros
D. Avaliar o impacto comercial
Ver resposta
Resposta correta: D
Pergunta #112
Uma organização lançou recentemente um novo programa de aquisições que não inclui quaisquer requisitos de segurança. Qual das seguintes acções deve o gestor de segurança da informação realizar PRIMEIRO?
A. Efetuar avaliações de segurança dos fornecedores com base no valor das despesas anuais com cada fornecedor
B. Reunir-se com o chefe de compras para discutir o alinhamento da segurança com os objectivos operacionais da organização
C. Pedir à auditoria interna para realizar uma avaliação do estado atual dos controlos de segurança de terceiros
D. Encaminhar as lacunas do programa de aquisições para o departamento de conformidade em caso de problemas de não conformidade
Ver resposta
Resposta correta: B
Pergunta #113
Qual das seguintes é uma responsabilidade PRIMÁRIA da função de governação da segurança da informação?
A. Definição de estratégias de segurança para apoiar programas organizacionais
B. Garantir um apoio adequado às soluções que utilizam tecnologias emergentes
C. Promover uma cultura consciente dos riscos para reforçar o programa de segurança da informação
D. Aconselhar os quadros superiores sobre os níveis óptimos de apetência e tolerância ao risco
Ver resposta
Resposta correta: A
Pergunta #114
A eficácia do processo de segurança da informação é reduzida quando uma organização subcontratada:
A. é responsável pelas actividades de governação da segurança da informação
B. recebe receitas adicionais quando os níveis de serviço de segurança são atingidos
C. incorre em sanções por incumprimento dos acordos de nível de serviço de segurança
D. normaliza um único produto de software de controlo de acessos
Ver resposta
Resposta correta: A
Pergunta #115
Qual das seguintes ferramentas é a MAIS adequada para avaliar se os objectivos da governação da segurança da informação estão a ser cumpridos?
A. Análise SWOT
B. Gráfico em cascata
C. Análise das lacunas
D. Balanced scorecard
Ver resposta
Resposta correta: D
Pergunta #116
A direção da empresa aprovou uma política abrangente de segurança da informação. Qual das seguintes opções a organização deve fazer a seguir?
A. Promover a sensibilização dos empregados para esta política
B. Procurar obter a adesão das partes interessadas da empresa
C. Implementar um sistema de autenticação e autorização
D. Identificar os quadros de segurança da informação relevantes para adoção
Ver resposta
Resposta correta: B
Pergunta #117
A desvantagem PRIMÁRIA da utilização de uma instalação de recuperação em local frio é o facto de ser:
A. indisponível para testes durante as horas normais de expediente
B. apenas disponível se não estiver a ser utilizado pelo inquilino principal
C. não é possível reservar antecipadamente as datas dos testes
D. não é rentável para testar aplicações críticas no local
Ver resposta
Resposta correta: A
Pergunta #118
Quando um sistema departamental continua a não estar em conformidade com os requisitos de força da palavra-passe de uma política de segurança da informação, a MELHOR ação a tomar é
A. Apresentar a questão ao comité diretor
B. efetuar uma análise de impacto para quantificar os riscos
C. isolar o sistema do resto da rede
D. solicitar uma aceitação do risco à direção
Ver resposta
Resposta correta: B
Pergunta #119
Uma organização implementou um programa "traga o seu próprio dispositivo" (BYOD). Qual das seguintes opções representa o MAIOR risco para a organização?
A. Ausência de não-repúdio
B. Incompatibilidade de dispositivos
C. Roubo de dispositivos
D. Fuga de dados
Ver resposta
Resposta correta: D
Pergunta #120
Qual das seguintes opções é a MAIS importante para a implementação bem-sucedida de uma estrutura de governação da segurança da informação em toda a organização?
A. Controlos de segurança organizacionais implementados em conformidade com a regulamentação
B. Processos de gestão da segurança alinhados com os objectivos de segurança
C. A cultura de segurança organizacional existente
D. Políticas de segurança que aderem às melhores práticas do sector
Ver resposta
Resposta correta: B
Pergunta #121
Um gestor de segurança da informação descobre que uma aplicação em linha a ser implementada em breve aumentará o risco para além dos níveis aceitáveis e que os controlos necessários não foram incluídos. Qual das seguintes opções é a MELHOR linha de ação para o gestor de segurança da informação?
A. Apresentar um caso de negócio para controlos adicionais à gestão de topo
B. Instruir a TI para implementar controlos com base em necessidades comerciais urgentes
C. Solicitar propostas para produtos de controlo de compensação
D. Recomendar uma aplicação diferente
Ver resposta
Resposta correta: A
Pergunta #122
Qual das seguintes opções é um indicador de melhoria na capacidade de identificar riscos de segurança?
A. Aumento do número de incidentes de segurança comunicados
B. Diminuição do número de efectivos que necessitam de formação em matéria de segurança da informação
C. Diminuição do número de avaliações de risco de segurança da informação
D. Aumento do número de questões de auditoria de segurança resolvidas
Ver resposta
Resposta correta: D
Pergunta #123
O registo é um exemplo de que tipo de defesa contra o comprometimento de sistemas?
A. Contenção
B. Deteção
C. Reação
D. Recuperação
Ver resposta
Resposta correta: B
Pergunta #124
O elemento MAIS importante para conseguir o compromisso dos executivos com um programa de governação da segurança da informação é:
A. Um quadro de segurança definido
B. identificou os factores económicos
C. estratégias de segurança estabelecidas
D. um modelo de melhoria de processos
Ver resposta
Resposta correta: B
Pergunta #125
Qual dos seguintes é o indivíduo MAIS adequado para implementar e manter o nível de segurança da informação necessário para uma aplicação comercial específica?
A. Analista de sistemas
B. Gestor do controlo de qualidade
C. Proprietário do processo
D. Gestor da segurança da informação
Ver resposta
Resposta correta: C
Pergunta #126
Qual das seguintes opções MELHOR protege contra ataques entre domínios baseados na Web?
A. Reforço da base de dados
B. Controlos das aplicações
C. Esquema de endereçamento da rede
D. Controlos de encriptação
Ver resposta
Resposta correta: B
Pergunta #127
Qual das seguintes opções é a MAIS eficaz para evitar a introdução de pontos fracos nos sistemas de produção existentes?
A. Gestão de correcções
B. Gestão da mudança
C. Linhas de base de segurança
D. Deteção de vírus
Ver resposta
Resposta correta: B
Pergunta #128
Qual deve ser a principal preocupação de uma organização ao avaliar um modelo de computação em nuvem de Infraestrutura como Serviço (IaaS) para uma aplicação de comércio eletrónico?
A. Disponibilidade dos serviços do prestador
B. Requisitos de auditoria interna
C. Onde reside a aplicação
D. Propriedade da aplicação
Ver resposta
Resposta correta: A
Pergunta #129
Qual das seguintes opções MAIS eficazmente ajuda uma organização a alinhar a governação da segurança da informação com a governação empresarial?
A. Promover a segurança como um meio para atingir os objectivos comerciais
B. Dar prioridade às iniciativas de segurança com base na estratégia de TI
C. Adoção de normas de segurança globais para atingir os objectivos comerciais
D. Desenvolvimento de métricas de desempenho de segurança
Ver resposta
Resposta correta: A
Pergunta #130
A MELHOR forma de justificar a implementação de um produto de início de sessão único (SSO) é utilizar:
A. retorno do investimento (ROD)
B. uma avaliação da vulnerabilidade
C. Expectativa de perda anual (ALE)
D. um caso de negócio
Ver resposta
Resposta correta: D
Pergunta #131
A avaliação de riscos deve ser integrada em qual das seguintes fases de desenvolvimento de sistemas para garantir que os riscos são abordados num projeto de desenvolvimento?
A. Programação
B. Especificação
C. Testes com utilizadores
D. Viabilidade
Ver resposta
Resposta correta: D
Pergunta #132
Qual das seguintes opções prepararia MELHOR um gestor de segurança da informação para as revisões regulamentares?
A. Designar um administrador de segurança da informação como contacto regulamentar
B. Efetuar auto-avaliações utilizando orientações e relatórios regulamentares
C. Avaliar os relatórios regulamentares anteriores com o contributo dos proprietários dos processos
D. Assegurar que todos os inquéritos regulamentares são sancionados pelo departamento jurídico
Ver resposta
Resposta correta: B
Pergunta #133
Um gestor de segurança da informação concluiu uma avaliação de riscos e determinou o risco residual. Qual dos seguintes passos deve ser o PRÓXIMO?
A. Realizar uma avaliação dos controlos
B. Determinar se o risco está dentro da apetência pelo risco
C. Aplicar contramedidas para atenuar os riscos
D. Classificar todos os riscos identificados
Ver resposta
Resposta correta: B
Pergunta #134
Um router de fronteira deve ser colocado em qual dos seguintes pontos?
A. Servidor Web
B. Servidor IDS
C. Sub-rede rastreada
D. Limite de domínio
Ver resposta
Resposta correta: D
Pergunta #135
Qual das seguintes é a razão MAIS importante para uma organização desenvolver um programa de governação da segurança da informação?
A. Estabelecimento da responsabilidade
B. Conformidade com os requisitos de auditoria
C. Controlo dos incidentes de segurança
D. Criação de soluções tácticas
Ver resposta
Resposta correta: B
Pergunta #136
Qual das seguintes opções é a MAIS essencial para que um programa de gestão do risco seja eficaz?
A. Orçamento flexível de segurança
B. Base de risco sólida
C. Deteção de novos riscos
D. Comunicação exacta dos riscos
Ver resposta
Resposta correta: C
Pergunta #137
Os atacantes que exploram as vulnerabilidades de scripting entre sítios tiram partido de:
A. falta de controlos de validação de entrada adequados
B. controlos de autenticação fracos na camada de aplicação Web
C. implementações de camada de sockets seguros (SSL) criptográficos com falhas e comprimentos de chave curtos
D. relações de confiança implícitas nas aplicações Web
Ver resposta
Resposta correta: A
Pergunta #138
Qual das seguintes opções forneceria o resultado de segurança MAIS eficaz no processo de gestão de contratos de uma organização?
A. Alargamento da avaliação da segurança para incluir testes de penetração aleatórios
B. Alargamento da avaliação da segurança de modo a abranger a alienação de activos aquando da rescisão do contrato
C. Efetuar análises de referência da segurança dos fornecedores na fase de pedido de proposta (RFP)
D. Garantir que os requisitos de segurança sejam definidos na fase de pedido de proposta (RFP)
Ver resposta
Resposta correta: C
Pergunta #139
Qual das seguintes opções MELHOR ajudaria a identificar vulnerabilidades introduzidas por alterações na infraestrutura técnica de uma organização?
A. Um sistema de deteção de intrusões
B. Linhas de base de segurança estabelecidas
C. Testes de penetração
D. Agregação e correlação de registos
Ver resposta
Resposta correta: C
Pergunta #140
O que deve o gestor de segurança da informação recomendar para apoiar o desenvolvimento de uma nova aplicação Web que permitirá aos clientes de retalho ver o inventário e encomendar produtos?
A. Construção de uma matriz de controlo de acesso
B. Solicitar aos clientes que cumpram as normas de segurança de base
C. Acesso através de uma rede privada virtual (VPN)
D. Implementação de protocolos de transmissão segura
Ver resposta
Resposta correta: D
Pergunta #141
O que é que um gestor de segurança utiliza PRIMARIAMENTE quando propõe a implementação de uma solução de segurança?
A. Relatório de avaliação dos riscos
B. Relatório de avaliação técnica
C. Caso de negócio
D. Requisitos orçamentais
Ver resposta
Resposta correta: C
Pergunta #142
Uma análise de impacto comercial deve ser executada periodicamente, PRIMARIAMENTE para:
A. validar as vulnerabilidades relativamente às alterações ambientais
B. analisar a importância dos activos
C. verificar a eficácia dos controlos
D. verificar a conformidade com os regulamentos
Ver resposta
Resposta correta: A
Pergunta #143
Qual dos seguintes é o pré-requisito MAIS importante para efetuar uma avaliação dos riscos de segurança da informação?
A. Classificação dos activos
B. Determinação da tolerância ao risco
C. Revisão da análise de impacto comercial
D. Avaliação das ameaças e vulnerabilidades
Ver resposta
Resposta correta: D
Pergunta #144
Ao apoiar o conselho de administração de uma grande empresa no desenvolvimento da governação, qual das seguintes é a função PRIMÁRIA do gestor de segurança da informação?
A. Obter o empenhamento dos quadros superiores
B. Preparação do orçamento de segurança
C. Prestação de aconselhamento e orientação
D. Desenvolvimento de um balanced scorecard
Ver resposta
Resposta correta: C
Pergunta #145
Quem é responsável por garantir que as informações são classificadas e que são tomadas medidas de proteção específicas?
A. O agente de segurança
B. Quadros superiores
C. O utilizador final
D. O depositário
Ver resposta
Resposta correta: B
Pergunta #146
Qual das seguintes é a forma MAIS eficaz de a gestão de topo apoiar a integração da governação da segurança da informação na governação empresarial?
A. Desenvolver a estratégia de segurança da informação com base na estratégia da empresa
B. Nomear um diretor comercial como responsável pela segurança da informação
C. Promover campanhas de sensibilização para a segurança da informação em toda a organização
D. Criar um comité diretor com representação de toda a organização
Ver resposta
Resposta correta: A
Pergunta #147
As relações entre as tecnologias de segurança são MELHOR definidas através de qual das seguintes opções?
A. Métricas de segurança
B. Topologia da rede
C. Arquitetura de segurança
D. Modelos de melhoria de processos
Ver resposta
Resposta correta: C
Pergunta #148
Qual dos seguintes é o requisito MAIS importante para uma implementação bem sucedida da governação da segurança?
A. Implementação de um balanced scorecard de segurança
B. Efetuar uma avaliação do risco a nível da empresa
C. Mapeamento para estratégias organizacionais
D. Alinhamento por um quadro de segurança internacional
Ver resposta
Resposta correta: C
Pergunta #149
Como parte de um plano de expansão internacional, uma organização adquiriu uma empresa localizada noutra jurisdição. Qual das seguintes seria a MELHOR forma de manter um programa de segurança da informação eficaz?
A. Garantir que a segurança da informação seja incluída em todos os esforços de controlo de alterações
B. Fundir os dois programas de segurança da informação para estabelecer a continuidade
C. Determinar novos factores que possam influenciar a estratégia de segurança da informação
D. Implementar o atual programa de segurança da informação na empresa adquirida
Ver resposta
Resposta correta: C
Pergunta #150
Um gestor de segurança da informação está a recomendar um investimento numa nova iniciativa de segurança para fazer face a ameaças recentemente publicadas. Qual das seguintes opções seria a MAIS importante a incluir no caso de negócio?
A. Impacto comercial se as ameaças se concretizarem
B. Disponibilidade de fundos não utilizados no orçamento de segurança
C. Informações sobre ameaças provenientes de fontes idóneas
D. Alinhamento da nova iniciativa com a estratégia empresarial aprovada
Ver resposta
Resposta correta: A
Pergunta #151
Qual das seguintes opções é a consideração MAIS importante ao selecionar membros para um comité diretor de segurança da informação?
A. Composição multifuncional
B. Competências em matéria de segurança da informação
C. Tempo de serviço na organização
D. Experiência empresarial
Ver resposta
Resposta correta: A
Pergunta #152
Ao implementar a arquitetura de segurança, um gestor de segurança da informação DEVE garantir que os controlos de segurança:
A. formar barreiras múltiplas contra as ameaças
B. são transparentes
C. são os mais baratos
D. são comunicados através de políticas de segurança
Ver resposta
Resposta correta: A
Pergunta #153
Qual das seguintes é a componente MAIS importante de um perfil de risco?
A. Quadro de gestão do risco
B. Resultados da classificação dos dados
C. Resultados dos ensaios de penetração
D. Metodologia de avaliação dos riscos
Ver resposta
Resposta correta: A
Pergunta #154
Qual das seguintes opções é a MAIS importante para estabelecer uma estrutura de governação da segurança da informação bem sucedida?
A. Seleção dos membros do comité diretor da segurança da informação
B. Desenvolver uma estratégia de segurança da informação
C. Determinação dos parâmetros do balanced scorecard para a segurança da informação
D. Identificação de cenários de risco para a segurança da informação
Ver resposta
Resposta correta: B
Pergunta #155
Qual é a razão MAIS importante para realizar programas de sensibilização para a segurança numa organização?
A. Reduzir o risco humano
B. Manter provas dos registos de formação para garantir a conformidade
C. Informar as unidades empresariais sobre a estratégia de segurança
D. Formação do pessoal em matéria de resposta a incidentes de segurança
Ver resposta
Resposta correta: A
Pergunta #156
Qual das seguintes opções seria a MAIS eficaz para evitar que o malware fosse lançado através de um anexo de correio eletrónico?
A. Políticas de segurança actualizadas
B. Colocar o servidor de correio eletrónico numa sub-rede protegida
C. Formação de sensibilização para a segurança
D. Um sistema de deteção de intrusões na rede (NIDS)
Ver resposta
Resposta correta: C
Pergunta #157
Qual das seguintes opções é MAIS suscetível de ser discricionária?
A. Políticas
B. Procedimentos
C. Directrizes
D. Normas
Ver resposta
Resposta correta: C
Pergunta #158
Depois de um caso de negócio de segurança da informação ter sido aprovado pela direção, deve ser:
A. utilizado para conceber os requisitos funcionais da solução
B. Utilizado como base para uma avaliação de riscos
C. referenciados para construir projectos de arquitetura para a solução
D. revisto em intervalos importantes para garantir os resultados pretendidos
Ver resposta
Resposta correta: D
Pergunta #159
Num ambiente bem controlado, qual das seguintes actividades é MAIS suscetível de conduzir à introdução de pontos fracos no software de segurança?
A. Aplicação de patches
B. Alterar as regras de acesso
C. Atualização do hardware
D. Fazer cópias de segurança de ficheiros
Ver resposta
Resposta correta: B
Pergunta #160
Qual dos seguintes é o método MAIS eficaz para evitar uma injeção de SQL num portal de funcionários?
A. Reconfigurar o esquema da base de dados
B. Aplicar a integridade referencial na base de dados
C. Realizar revisões de código
D. Efetuar testes de penetração da rede
Ver resposta
Resposta correta: B
Pergunta #161
Qual das seguintes opções demonstra MELHOR que uma organização apoia a governação da segurança da informação?
A. Os funcionários participam numa formação anual de segurança para toda a organização
B. As políticas de segurança da informação estão prontamente disponíveis para os funcionários
C. O plano de resposta a incidentes é documentado e testado regularmente
D. As reuniões do comité diretor de segurança da informação são realizadas regularmente
Ver resposta
Resposta correta: D
Pergunta #162
Na ausência de controlos técnicos, qual seria a MELHOR forma de reduzir as mensagens de texto não autorizadas nos dispositivos móveis fornecidos pela empresa?
A. Efetuar uma análise de impacto comercial (BIA) e apresentar o relatório à direção
B. Atualizar a política de utilização de telemóveis da empresa para proibir o envio de mensagens de texto
C. Deixar de fornecer dispositivos móveis até a organização conseguir implementar controlos
D. Incluir o tópico das mensagens de texto proibidas na formação de sensibilização para a segurança
Ver resposta
Resposta correta: D
Pergunta #163
Um gestor de segurança da informação numa organização global tem de garantir que o programa de segurança da informação local assegurará inicialmente a conformidade com a..:
A. política de privacidade de dados da empresa
B. política de privacidade dos dados onde os dados são recolhidos
C. política de privacidade dos dados do país da sede
D. Diretiva relativa à privacidade dos dados aplicável a nível mundial
Ver resposta
Resposta correta: B
Pergunta #164
Qual é o benefício PRIMÁRIO para a direção executiva quando as funções de auditoria, risco e segurança estão alinhadas?
A. Redução do número de relatórios de garantia
B. Tomada de decisões mais eficaz
C. Relatórios de risco mais atempados
D. Tratamento mais eficiente dos incidentes
Ver resposta
Resposta correta: B
Pergunta #165
O acompanhamento contínuo dos esforços de correção para mitigar os riscos identificados pode ser realizado da MELHOR forma possível através da utilização de qual das seguintes opções?
A. Diagramas de árvore
B. Diagramas de Venn
C. Gráficos de calor
D. Gráficos de barras
Ver resposta
Resposta correta: C
Pergunta #166
Qual das seguintes é a frequência MAIS adequada para atualizar ficheiros de assinatura antivírus para software antivírus em servidores de produção?
A. Diário
B. Semanal
C. Em simultâneo com as actualizações de patches do sistema operativo
D. Durante as actualizações programadas do controlo de alterações
Ver resposta
Resposta correta: A
Pergunta #167
Qual das seguintes opções protegerá MELHOR uma organização contra ataques à segurança interna?
A. Endereçamento IP estático
B. Tradução interna de endereços
C. Controlo dos antecedentes dos futuros empregados
D. Programa de certificação da consciencialização dos trabalhadores
Ver resposta
Resposta correta: C
Pergunta #168
Quais dos seguintes são os ingredientes essenciais de uma análise de impacto comercial (B1A)?
A. Tolerância ao tempo de inatividade, recursos e criticalidade
B. Custo das interrupções de serviço num ano como fator do orçamento de segurança
C. Metodologia de teste de continuidade das actividades que está a ser implementada
D. Estrutura da equipa de gestão de crises
Ver resposta
Resposta correta: A
Pergunta #169
Em que fase do processo de desenvolvimento de aplicações é que a gestão da chave de encriptação deve ser inicialmente abordada?
A. Desenvolvimento de requisitos
B. Implantação
C. Ensaio de sistemas
D. Revisões de código
Ver resposta
Resposta correta: A
Pergunta #170
Ao considerar a adoção do BYOD (Bring Your Own Device), é MUITO importante que o gestor da segurança da informação garanta que:
A. Os líderes empresariais têm uma compreensão dos riscos de segurança
B. os utilizadores leram e assinaram acordos de utilização aceitável
C. Os controlos de segurança são aplicados a cada dispositivo quando este entra na rede
D. As aplicações são testadas antes da implementação
Ver resposta
Resposta correta: A
Pergunta #171
O proprietário MAIS adequado dos dados dos clientes armazenados numa base de dados central, utilizada apenas pelo departamento de vendas de uma organização, seria o:
A. departamento de vendas
B. administrador da base de dados
C. Diretor de Informação (CIO)
D. chefe do departamento de vendas
Ver resposta
Resposta correta: D
Pergunta #172
Qual das seguintes opções seria de MAIOR importância para o gestor de segurança para determinar se deve aceitar o risco residual?
A. Custo histórico do ativo
B. Nível aceitável de potenciais impactos nas empresas
C. Custo versus benefício de controlos adicionais de atenuação
D. Expectativa de perda anualizada (ALE)
Ver resposta
Resposta correta: C
Pergunta #173
Qual das seguintes é a MELHOR métrica para avaliar a eficácia da formação de sensibilização para a segurança? O número de:
A. Reposição da palavra-passe
B. incidentes comunicados
C. incidentes resolvidos
D. violações das regras de acesso
Ver resposta
Resposta correta: B
Pergunta #174
A forma MAIS útil de descrever os objectivos da estratégia de segurança da informação é através de:
A. atributos e características do \"estado desejado\"
B. objectivos gerais de controlo do programa de segurança
C. mapeamento dos sistemas de TI para os principais processos comerciais
D. Cálculo das expectativas de perdas anuais
Ver resposta
Resposta correta: A
Pergunta #175
Qual das seguintes é a utilização MAIS adequada da análise de lacunas?
A. Avaliar uma análise de impacto nas empresas (BIA)
B. Desenvolver um balanced business scorecard
C. Demonstrar a relação entre os controlos
D. Medição do estado atual vs
Ver resposta
Resposta correta: D
Pergunta #176
Para implementar uma estrutura de segurança, um gestor de segurança da informação deve PRIMEIRO desenvolver:
A. normas de segurança
B. Procedimentos de segurança
C. uma política de segurança
D. directrizes de segurança
Ver resposta
Resposta correta: D
Pergunta #177
Uma organização enfrenta multas e penalizações graves se não estiver em conformidade com os requisitos regulamentares locais dentro de um prazo estabelecido. A direção pediu ao gestor de segurança da informação que preparasse um plano de ação para atingir a conformidade. Qual das seguintes opções forneceria a informação MAIS útil para efeitos de planeamento?
A. Resultados de uma análise das lacunas
B. Resultados de uma análise de impacto comercial
C. Prazos e sanções por incumprimento
D. Um inventário dos controlos de segurança atualmente em vigor
Ver resposta
Resposta correta: D
Pergunta #178
Qual dos seguintes é o objetivo PRIMÁRIO da comunicação de métricas de segurança às partes interessadas?
A. Identificar os principais controlos na organização
B. Prestar apoio às actividades de auditoria de segurança
C. Comunicar a eficácia do programa de segurança
D. Demonstrar o alinhamento com a estratégia empresarial
Ver resposta
Resposta correta: D
Pergunta #179
Qual das seguintes opções é a MELHOR para permitir um processo eficaz de classificação de activos de informação?
A. Revisão dos requisitos do objetivo de tempo de recuperação (RTO) do ativo
B. Análise dos resultados da auditoria
C. Inclusão de requisitos de segurança no processo de classificação
D. Atribuição de propriedade
Ver resposta
Resposta correta: C
Pergunta #180
Qual dos seguintes ataques é MELHOR atenuado pela utilização de palavras-passe fortes?
A. Ataque "man-in-the-middle
B. Ataque de força bruta
C. Sobrecarga remota da memória intermédia
D. Kit de raiz
Ver resposta
Resposta correta: B
Pergunta #181
Qual das seguintes opções MELHOR apoia o alinhamento da segurança da informação com as funções empresariais?
A. Criação de um comité diretor de segurança
B. Apoio da gestão informática às avaliações de segurança
C. Participação da direção da empresa em testes de penetração de segurança
D. Um enfoque no risco de segurança tecnológica nos processos empresariais
Ver resposta
Resposta correta: A
Pergunta #182
Para uma empresa que opera num mercado em linha competitivo e em evolução, é MUITO importante que uma política de segurança se concentre no seguinte:
A. definição de políticas para as novas tecnologias
B. permitir a adoção de novas tecnologias
C. exigir a acreditação das novas tecnologias
D. Gestão dos riscos das novas tecnologias
Ver resposta
Resposta correta: D
Pergunta #183
Qual das seguintes funcionalidades está normalmente ausente quando se utiliza Secure Sockets Layer (SSL) num navegador Web?
A. Autenticação baseada em certificados do cliente Web
B. Autenticação do servidor Web com base em certificados
C. Confidencialidade dos dados entre o cliente e o servidor Web
D. Algoritmos de cifragem múltipla
Ver resposta
Resposta correta: A
Pergunta #184
O phishing é MELHOR atenuado por qual dos seguintes factores?
A. Software de monitorização da segurança
B. Encriptação
C. Autenticação de dois factores
D. Sensibilização dos utilizadores
Ver resposta
Resposta correta: D
Pergunta #185
Um resultado da governação eficaz da segurança é:
A. avaliação da dependência das empresas
B. alinhamento estratégico
C. Avaliação dos riscos
D. Planeamento
Ver resposta
Resposta correta: B
Pergunta #186
A MELHOR altura para garantir que uma empresa adquire produtos de software seguros quando subcontrata o desenvolvimento de software é durante:
A. revisões de segurança corporativa
B. auditorias de execução dos contratos
C. negociação de contratos
D. desenvolvimento de políticas de segurança
Ver resposta
Resposta correta: C
Pergunta #187
Quando um utilizador utiliza um certificado digital do lado do cliente para se autenticar num servidor Web através de Secure Socket Layer (SSL), a confidencialidade é MAIS vulnerável a qual das seguintes situações?
A. Falsificação de IP
B. Ataque "man-in-the-middle
C. Repúdio
D. Troiano
Ver resposta
Resposta correta: D
Pergunta #188
Qual das seguintes opções é a consideração MAIS importante na conceção da arquitetura de segurança da informação?
A. São definidos parâmetros de gestão de risco para a organização
B. A arquitetura da segurança da informação está alinhada com as normas da indústria
C. O nível de segurança suportado baseia-se em decisões comerciais
D. O cenário de ameaças existente é monitorizado
Ver resposta
Resposta correta: C
Pergunta #189
Qual das seguintes opções MELHOR permite uma governação eficaz da segurança da informação?
A. Avaliações periódicas da vulnerabilidade
B. Métricas de segurança da informação estabelecidas
C. Tecnologias avançadas de segurança
D. Cultura empresarial consciente da segurança
Ver resposta
Resposta correta: D
Pergunta #190
É publicada uma nova versão de um regulamento de segurança da informação que exige a conformidade de uma organização. O gestor de segurança da informação deve PRIMEIRO:
A. efetuar uma auditoria com base na nova versão do regulamento
B. efetuar uma avaliação dos riscos para determinar o risco de incumprimento
C. realizar benchmarking com organizações semelhantes
D. efetuar uma análise das lacunas em relação ao novo regulamento
Ver resposta
Resposta correta: D
Pergunta #191
O investimento em tecnologia e processos de segurança deve basear-se em:
A. alinhamento claro com as metas e objectivos da organização
B. casos de sucesso que tenham sido experimentados em projectos anteriores
C. melhores práticas comerciais
D. salvaguardas que são inerentes à tecnologia existente
Ver resposta
Resposta correta: A
Pergunta #192
A razão PRIMÁRIA para atribuir classes de sensibilidade e criticidade aos recursos de informação é fornecer uma base para:
A. Determinar o âmbito para inclusão num programa de segurança da informação
B. definir o nível dos controlos de acesso
C. Justificar os custos dos recursos de informação
D. Determinar o orçamento global de um programa de segurança da informação
Ver resposta
Resposta correta: B
Pergunta #193
Qual das seguintes opções MELHOR contribui para o desenvolvimento de uma estrutura de governação da segurança que suporta o conceito de modelo de maturidade?
A. Análise, monitorização e feedback contínuos
B. Acompanhamento contínuo do retorno do investimento em segurança (ROSD)
C. Redução contínua dos riscos
D. Configuração do indicador-chave de risco (KRD) para os processos de gestão da segurança
Ver resposta
Resposta correta: A
Pergunta #194
Um gestor de segurança da informação descobre que a palavra-passe de raiz de um servidor FTP externo pode estar sujeita a ataques de força bruta. Qual das seguintes opções seria a forma MAIS adequada de reduzir a probabilidade de um ataque bem sucedido?
A. Bloquear o endereço IP de origem do atacante
B. Bloquear o início de sessão remoto após várias tentativas falhadas
C. Desativar o acesso ao servidor virado para o exterior
D. Instalar um sistema de deteção de intrusão (IDS)
Ver resposta
Resposta correta: B
Pergunta #195
Qual das seguintes é a estratégia de atenuação MAIS eficaz para proteger informações confidenciais contra ameaças internas?
A. Realização de um processo de revisão do direito
B. Implementação de mecanismos de autenticação
C. Definição de separação de funções
D. Estabelecimento de controlos de autorização
Ver resposta
Resposta correta: D
Pergunta #196
Qual é a MELHOR forma de garantir que um intruso que consiga penetrar numa rede seja detectado antes de causar danos significativos?
A. Efetuar testes de penetração periódicos
B. Estabelecer linhas de base mínimas de segurança
C. Implementar as predefinições do fornecedor
D. Instalar um honeypot na rede
Ver resposta
Resposta correta: D
Pergunta #197
Qual das seguintes opções valida MELHOR a implementação de controlos de segurança num novo processo empresarial?
A. Avaliar o processo de acordo com a política de segurança da informação
B. Comparar o processo com as práticas do sector
C. Verificar a utilização de um quadro de controlo reconhecido
D. Analisar a conformidade do processo com as melhores práticas de segurança da informação
Ver resposta
Resposta correta: A
Pergunta #198
No âmbito da tríade confidencialidade, integridade e disponibilidade (CIA), qual das seguintes actividades apoia MELHOR o conceito de integridade?
A. Aplicação dos acordos de nível de serviço
B. Implementação de um esquema de classificação de dados
C. Garantir a encriptação dos dados em trânsito
D. Utilizar um processo formal de gestão da mudança
Ver resposta
Resposta correta: D
Pergunta #199
Qual das seguintes é a MELHOR vantagem de uma estrutura organizacional de segurança da informação centralizada?
A. Permite um nível comum de garantia em toda a empresa
B. É mais fácil gerir e controlar as equipas de segurança das unidades empresariais
C. É mais reativo às necessidades das unidades empresariais
D. Proporciona uma resposta mais rápida aos pedidos de isenção de segurança
Ver resposta
Resposta correta: B
Pergunta #200
Qual das seguintes é a informação MAIS importante a incluir numa norma de segurança da informação?
A. Data de criação
B. Nome do autor
C. Data de aprovação do projeto inicial
D. Data da última revisão
Ver resposta
Resposta correta: D
Pergunta #201
Quem é que a BEST pode aprovar os planos de implementação de uma estrutura de governação da segurança da informação?
A. Auditor interno
B. Gestão da segurança da informação
C. Comité de direção
D. Gestão de infra-estruturas
Ver resposta
Resposta correta: C
Pergunta #202
O sistema de classificação da informação deve:
A. considerar o possível impacto de uma violação de segurança
B. classificar as informações pessoais em formato eletrónico
C. ser efectuada pelo gestor da segurança da informação
D. classificar os sistemas de acordo com os dados processados
Ver resposta
Resposta correta: A
Pergunta #203
Qual das seguintes é a forma MAIS eficaz de comunicar o risco de segurança da informação à direção?
A. Análise do impacto nas empresas
B. Balanced scorecard
C. Indicadores-chave de desempenho (KPIs)
D. Mapa de calor
Ver resposta
Resposta correta: A
Pergunta #204
Qual das seguintes opções é a MAIS útil para incluir num relatório a apresentar regularmente à direção para demonstrar a eficácia do programa de segurança da informação?
A. Principais indicadores de risco (KRIs)
B. Modelos de maturidade das capacidades
C. Factores críticos de sucesso (CSF)
D. Indicadores-chave de desempenho (KPIs)
Ver resposta
Resposta correta: A
Pergunta #205
É implementado um programa de sensibilização para reduzir o risco de infecções introduzidas através da utilização das redes sociais. Qual das seguintes opções MELHOR determinará a eficácia do programa de sensibilização?
A. Um inquérito após o programa de sensibilização
B. Um questionário baseado nos materiais do programa de sensibilização
C. Simulação de um ataque de engenharia social
D. Taxa de participação dos trabalhadores no programa de sensibilização
Ver resposta
Resposta correta: C
Pergunta #206
Qual das seguintes é a forma MAIS eficaz de um gestor de segurança da informação garantir que a segurança é incorporada nos processos de desenvolvimento de projectos de uma organização?
A. Efetuar revisões de segurança durante a conceção, os ensaios e a implementação
B. Integrar os requisitos de segurança da organização na gestão do projeto
C. Desenvolver uma boa comunicação com o gabinete de gestão do projeto
D. Participar na iniciação, aprovação e financiamento dos projectos
Ver resposta
Resposta correta: A
Pergunta #207
Qual das seguintes opções é a MAIS importante para o sucesso da implementação da segurança da informação numa organização?
A. O gestor da segurança da informação é responsável pela definição da política de segurança da informação
B. Existem fortes competências de gestão de riscos no grupo de segurança da informação
C. O orçamento é afetado a ferramentas de segurança da informação
D. A segurança é efetivamente promovida junto de todos os gestores e trabalhadores
Ver resposta
Resposta correta: D
Pergunta #208
Qual das seguintes deve ser a consideração PRIMÁRIA ao selecionar um local de recuperação?
A. Requisitos regulamentares
B. Objetivo do tempo de recuperação
C. Localização geográfica
D. Objetivo do ponto de recuperação
Ver resposta
Resposta correta: B
Pergunta #209
No sítio Web de comércio eletrónico de uma empresa, uma boa declaração legal relativa à privacidade dos dados deve incluir:
A. uma declaração sobre o que a empresa fará com as informações que recolhe
B. uma declaração de exoneração de responsabilidade quanto à exatidão das informações contidas no seu sítio Web
C. informações técnicas sobre a forma como as informações são protegidas
D. uma declaração sobre o local onde a informação está a ser alojada
Ver resposta
Resposta correta: A
Pergunta #210
Uma boa declaração de privacidade deve incluir:
A. Notificação da responsabilidade pela exatidão das informações
B. notificação de que as informações serão encriptadas
C. o que a empresa fará com as informações que recolhe
D. uma descrição do processo de classificação da informação
Ver resposta
Resposta correta: C
Pergunta #211
Qual das seguintes práticas impede completamente um ataque man-in-the-middle (MitM) entre dois anfitriões?
A. Utilizar tokens de segurança para autenticação
B. Ligar através de uma VPN IPSec
C. Utilizar https com um certificado do lado do servidor
D. Aplicar endereços de controlo de acesso aos meios (MAC) estáticos
Ver resposta
Resposta correta: B
Pergunta #212
Numa grande organização, a definição dos objectivos de tempo de recuperação (RTOs) é PRIMARIAMENTE da responsabilidade de:
A. o gestor de TI
B. o diretor de segurança da informação
C. o diretor da unidade de negócios
D. Gestor sénior
Ver resposta
Resposta correta: D
Pergunta #213
O risco de integridade dos dados da aplicação seria mais diretamente abordado por uma conceção que incluísse
A. tecnologias de controlo de acesso, tais como direitos baseados em funções
B. aplicação rigorosa de um dicionário de dados autorizado
C. requisitos de registo de aplicações, tais como pistas de auditoria ao nível do campo e registos de atividade do utilizador
D. rotinas de reconciliação, tais como somas de verificação, totais de hash e contagens de registos
Ver resposta
Resposta correta: D
Pergunta #214
Quem é responsável por garantir que as informações são classificadas?
A. Quadros superiores
B. Gestor de segurança
C. Proprietário dos dados
D. Depositário
Ver resposta
Resposta correta: C
Pergunta #215
Qual das seguintes é a MELHOR forma de manter o interesse dos funcionários na consciencialização da informação numa organização?
A. Assegurar um programa comum de sensibilização para a segurança para todo o pessoal
B. Relacionar os programas de sensibilização para a segurança com as políticas de segurança
C. Assegurar a participação de todo o pessoal
D. Utilizar uma variedade de métodos de entrega
Ver resposta
Resposta correta: D
Pergunta #216
A desativação temporária de alguns processos de monitorização, mesmo que apoiada por uma aceitação do risco operacional, pode não ser aceitável para o gestor da segurança da informação se
A. implica riscos de conformidade
B. O impacto a curto prazo não pode ser determinado
C. viola as práticas de segurança do sector
D. as alterações na matriz de funções não podem ser detectadas
Ver resposta
Resposta correta: A
Pergunta #217
O objetivo da gestão do risco é reduzir o risco para o nível mínimo possível:
A. Em conformidade com as políticas de segurança
B. práticas, tendo em conta o contexto industrial e regulamentar
C. realizáveis do ponto de vista técnico e financeiro
D. aceitável, dada a preferência da organização
Ver resposta
Resposta correta: A
Pergunta #218
Qual das seguintes opções é a MAIS importante quando o gestor da segurança da informação procura obter o compromisso dos quadros superiores?
A. Custos de segurança
B. Vulnerabilidades técnicas
C. Requisitos tecnológicos de segurança
D. Tarefas de implementação
Ver resposta
Resposta correta: C
Pergunta #219
A forma MAIS eficaz de incorporar práticas de gestão de riscos nos sistemas de produção existentes é através de:
A. desenvolvimento de políticas
B. gestão da mudança
C. formação de sensibilização
D. controlo regular
Ver resposta
Resposta correta: B
Pergunta #220
A atenuação dos riscos tecnológicos para níveis aceitáveis deve basear-se PRIMARIAMENTE em:
A. reengenharia de processos empresariais
B. requisito do processo empresarial
C. requisitos legais e regulamentares
D. orçamento de segurança da informação
Ver resposta
Resposta correta: B
Pergunta #221
A MELHOR maneira de identificar a criticidade dos sistemas para a empresa é através da:
A. uma avaliação da ameaça
B. uma classificação de activos
C. uma avaliação de vulnerabilidade
D. uma avaliação de impacto
Ver resposta
Resposta correta: B
Pergunta #222
A gestão dos riscos é a mais rentável:
A. Quando efectuada de forma contínua
B. ao desenvolver o caso de negócios para o programa de segurança
C. No início do desenvolvimento do programa de segurança
D. quando integrado noutras funções de garantia da empresa
Ver resposta
Resposta correta: D
Pergunta #223
Ao preparar um caso de negócio para a implementação de um sistema de gestão de eventos e informações de segurança (SIEM), qual das seguintes opções deve ser um fator PRIMÁRIO no estudo de viabilidade?
A. Custo do software
B. Análise custo-benefício
C. Calendário de aplicação
D. Referências do sector
Ver resposta
Resposta correta: B
Pergunta #224
Qual dos seguintes é o método MAIS eficaz para evitar violações deliberadas da segurança interna?
A. Seleção de candidatos a emprego
B. Sistema de firewall bem concebido
C. Sistema de deteção de intrusões (IDS) bem concebido
D. Controlo de acesso por segurança biométrica
Ver resposta
Resposta correta: B
Pergunta #225
O administrador de sistemas não notificou imediatamente o responsável pela segurança sobre um ataque malicioso. Um gestor de segurança da informação poderia evitar esta situação
A. Testar periodicamente os planos de resposta a incidentes
B. Testar regularmente o sistema de deteção de intrusões (IDS)
C. Estabelecer a formação obrigatória de todo o pessoal
D. Rever periodicamente os procedimentos de resposta a incidentes
Ver resposta
Resposta correta: A
Pergunta #226
Qual das seguintes opções é a defesa MAIS eficaz contra ataques de spear phishing?
A. Gestão unificada de ameaças
B. Filtragem da Web
C. Soluções anti-spam
D. Formação de sensibilização dos utilizadores
Ver resposta
Resposta correta: D
Pergunta #227
Qual das seguintes é a responsabilidade PRIMÁRIA de um gestor de segurança da informação numa organização que está a implementar a utilização de dispositivos móveis da empresa nas suas operações?
A. Exigir capacidades de limpeza remota dos dispositivos
B. Aplicar palavras-passe e encriptação de dados nos dispositivos
C. Realizar acções de formação de sensibilização para a segurança
D. Rever e atualizar as políticas de segurança existentes
Ver resposta
Resposta correta: D
Pergunta #228
Quando as informações pessoais são transmitidas através de redes, DEVEM existir controlos adequados:
A. gestão da mudança
B. proteção da privacidade
C. consentimento para a transferência de dados
D. dispositivos de encriptação
Ver resposta
Resposta correta: B
Pergunta #229
Qual das seguintes práticas é a MELHOR para remover o acesso ao sistema de contratantes e outros utilizadores temporários quando este já não é necessário?
A. Registar toda a utilização da conta e enviá-la ao seu gestor
B. Estabelecer datas de expiração automáticas pré-determinadas
C. Exigir que os gestores enviem uma mensagem de segurança por correio eletrónico quando o utilizador sai
D. Certificar-se de que cada indivíduo assinou uma declaração de segurança
Ver resposta
Resposta correta: B
Pergunta #230
Durante uma avaliação de segurança, um gestor de segurança da informação descobre que uma série de patches de segurança não foram instalados num servidor que aloja uma aplicação comercial crítica. O proprietário da aplicação não aprovou a instalação do patch para evitar a interrupção da aplicação. Qual das seguintes opções deve ser a PRIMEIRA ação do gestor de segurança da informação?
A. Escalar o risco para a gestão sénior
B. Comunicar o potencial impacto ao proprietário da aplicação
C. Comunicar o risco ao comité diretor de segurança da informação
D. Determinar opções de atenuação com a gestão de TI
Ver resposta
Resposta correta: D
Pergunta #231
Uma organização com um grande número de utilizadores considera necessário melhorar as aplicações de controlo de acesso. Qual das seguintes opções MELHOR ajudaria a impedir o acesso não autorizado de utilizadores a redes e aplicações?
A. Início de sessão único
B. Sistemas biométricos
C. Senhas de utilizador complexas
D. Listas de controlo de acesso
Ver resposta
Resposta correta: D
Pergunta #232
O objetivo PRIMÁRIO das avaliações de vulnerabilidade é
A. Determinar o impacto de potenciais ameaças
B. Testar os sistemas de deteção de intrusões (IDS) e os procedimentos de resposta
C. fornecer provas claras de que o sistema é suficientemente seguro
D. detetar deficiências que possam levar a um comprometimento do sistema
Ver resposta
Resposta correta: D
Pergunta #233
Ao desenvolver um programa de segurança da informação, qual é a fonte de informação MAIS útil para determinar os recursos disponíveis?
A. Teste de proficiência
B. Descrições de funções
C. Organigrama
D. Inventário de competências
Ver resposta
Resposta correta: D
Pergunta #234
Para uma organização com operações em diferentes partes do mundo, a MELHOR abordagem para garantir que as políticas de segurança não entram em conflito com as leis e regulamentos locais é:
A. remeter para uma norma global externa para evitar qualquer conflito regional
B. elaborar políticas a um nível suficientemente elevado, para que sejam aplicáveis a nível mundial
C. adotar políticas uniformes
D. estabelecer uma hierarquia de políticas globais e locais
Ver resposta
Resposta correta: D
Pergunta #235
Depois de um conjunto de controlos de segurança ter sido implementado com êxito nas unidades empresariais de uma organização, é muito importante que o gestor da segurança da informação
A. assegurar que os controlos são regularmente testados para verificar a sua eficácia contínua
B. entregar os controlos aos proprietários das empresas em causa
C. preparar a adaptação dos controlos para futuras actualizações do sistema
D. realizar testes para comparar o desempenho do controlo com os níveis da indústria
Ver resposta
Resposta correta: A
Pergunta #236
A MAIOR vantagem de escolher uma nuvem privada em vez de uma nuvem pública seria:
A. proteção do servidor
B. recolha de dados forenses
C. disponibilidade de serviços em linha
D. contenção dos dados dos clientes
Ver resposta
Resposta correta: A
Pergunta #237
O objetivo PRIMÁRIO da utilização da análise de risco num programa de segurança é
A. Justificar as despesas de segurança
B. ajudar as empresas a definir as prioridades dos activos a proteger
C. informar a direção executiva do valor do risco residual
D. Avaliar as exposições e planear as medidas de correção
Ver resposta
Resposta correta: D
Pergunta #238
Foram identificados vários riscos significativos após a compilação e definição de prioridades de um registo de riscos centralizado. A ação mais importante do gestor de segurança da informação é:
A. fornecer aos quadros superiores opções de tratamento dos riscos
B. conceber e aplicar controlos para reduzir o risco
C. consultar terceiros externos sobre a forma de tratar o risco
D. garantir que os funcionários estejam cientes do risco
Ver resposta
Resposta correta: A
Pergunta #239
Qual das seguintes opções é a MAIS importante a incluir no desenvolvimento de um business case para recursos de segurança da informação?
A. Contribuição dos quadros superiores
B. Análise das lacunas
C. Análise custo-benefício
D. Avaliação dos riscos
Ver resposta
Resposta correta: C
Pergunta #240
Qual das seguintes opções deve ser determinada aquando da definição das estratégias de gestão do risco?
A. Critérios de avaliação dos riscos
B. Objectivos organizacionais e apetência pelo risco
C. Complexidade da arquitetura TI
D. Planos de recuperação de desastres empresariais
Ver resposta
Resposta correta: B
Pergunta #241
A identificação e a priorização do risco empresarial permitem aos gestores de projectos
A. Estabelecer marcos de implementação
B. reduzir a quantidade total de tempo livre
C. abordar as áreas mais importantes
D. acelerar a conclusão dos caminhos críticos
Ver resposta
Resposta correta: C
Pergunta #242
A organização A oferece serviços de comércio eletrónico e utiliza o protocolo de transporte seguro para proteger a comunicação na Internet. Para confirmar a comunicação com a Organização A, qual das seguintes opções seria a MELHOR para um cliente verificar?
A. O certificado do servidor de comércio eletrónico
B. A indicação do navegador sobre a utilização do SSL
C. O endereço IP do servidor de comércio eletrónico
D. O URL do servidor de comércio eletrónico
Ver resposta
Resposta correta: A
Pergunta #243
Um documento de estratégia de segurança da informação que inclua ligações específicas às actividades comerciais de uma organização é, PRIMEIRAMENTE, um indicador de:
A. Medição do desempenho
B. integração
C. alinhamento
D. entrega de valor
Ver resposta
Resposta correta: C
Pergunta #244
Vários riscos identificados foram atenuados para um nível aceitável com controlos adequados. Qual das seguintes actividades MELHOR ajudaria a manter níveis de risco aceitáveis?
A. Avaliações frequentes dos riscos inerentes
B. Revisões periódicas das alterações do ambiente
C. Análises periódicas de custo-benefício dos controlos implementados
D. Avaliações frequentes dos planos de ação de risco
Ver resposta
Resposta correta: A
Pergunta #245
Num programa de segurança com recursos limitados, qual das seguintes abordagens proporcionará a MELHOR utilização dos recursos limitados?
A. Formação cruzada
B. Evitar o risco
C. Priorização dos riscos
D. Gestão de ameaças
Ver resposta
Resposta correta: C
Pergunta #246
Uma análise de risco para a segurança da informação (BEST) ajuda uma organização a garantir que:
A. infraestrutura tem o nível adequado de controlo de acesso
B. ão tomadas decisões eficazes em termos de custos relativamente aos activos que necessitam de proteção
C. É aplicado um nível adequado de financiamento aos processos de segurança
D. A organização implementa tecnologias de segurança adequadas
Ver resposta
Resposta correta: B
Pergunta #247
A autorização pode ser realizada da melhor forma possível através do estabelecimento:
A. a propriedade dos dados
B. o que os utilizadores podem fazer quando lhes é concedido acesso ao sistema
C. se os utilizadores são quem dizem ser
D. A forma como os utilizadores se identificam perante os sistemas de informação
Ver resposta
Resposta correta: B
Pergunta #248
O que deve o gestor de segurança da informação fazer PRIMEIRO quando os utilizadores finais expressam que os novos controlos de segurança são demasiado restritivos?
A. Efetuar uma análise de impacto comercial (BIA)
B. Obter a adesão do proprietário do processo para remover os controlos
C. Efetuar uma avaliação de risco sobre a alteração do ambiente de controlo
D. Efetuar uma análise custo-benefício da alteração do ambiente de controlo
Ver resposta
Resposta correta: C
Pergunta #249
Qual dos seguintes factores seria o MAIS relevante na definição da política de classificação da informação?
A. Quantidade de informação
B. Infra-estruturas informáticas disponíveis
C. Avaliação comparativa
D. Requisitos dos proprietários de dados
Ver resposta
Resposta correta: D
Pergunta #250
A forma MAIS eficaz de comunicar o nível de impacto dos riscos de segurança da informação nos objectivos organizacionais é apresentar:
A. Resultados da análise do impacto nas empresas (BIA)
B. resultados pormenorizados da análise de ameaças
C. opções de tratamento de risco
D. um mapa de calor de risco
Ver resposta
Resposta correta: D
Pergunta #251
Qual das seguintes opções deve constituir a justificação PRIMÁRIA para aprovar a implementação de um local de recuperação de desastres (DR) com base na recomendação de um relatório de auditoria externa?
A. Análise custo-benefício
B. Objectivos de tempo de recuperação (RTO)
C. Controlos de segurança no local de recuperação de desastres
D. Requisitos regulamentares
Ver resposta
Resposta correta: A
Pergunta #252
Qual dos seguintes itens é o MAIS importante a incluir na elaboração de contratos de alojamento Web com fornecedores terceiros?
A. Condições de cessação
B. Limites de responsabilidade
C. Níveis de serviço
D. Restrições de privacidade
Ver resposta
Resposta correta: C
Pergunta #253
A principal razão pela qual a classificação de activos é importante para um programa de segurança da informação bem sucedido é porque a classificação determina:
A. a prioridade e a extensão dos esforços de atenuação dos riscos
B. o montante do seguro necessário em caso de sinistro
C. o nível adequado de proteção do ativo
D. como os níveis de proteção se comparam aos das organizações congéneres
Ver resposta
Resposta correta: C
Pergunta #254
Uma organização pretende integrar a segurança da informação nos seus processos de gestão de recursos humanos. Qual das seguintes opções deve ser o PRIMEIRO passo?
A. Avaliar o custo da integração da segurança da informação
B. Avaliar os objectivos comerciais dos processos
C. Identificar os riscos de segurança da informação associados aos processos
D. Comparar os processos com as melhores práticas para identificar lacunas
Ver resposta
Resposta correta: B
Pergunta #255
Qual dos seguintes passos deve ser realizado PRIMEIRO no processo de avaliação do risco?
A. Entrevistas com o pessoal
B. Identificação da ameaça
C. Identificação e avaliação de activos
D. Determinação da probabilidade de ocorrência dos riscos identificados
Ver resposta
Resposta correta: C
Pergunta #256
Qual das seguintes opções MELHOR permitiria a uma organização monitorizar eficazmente a implementação de configurações normalizadas?
A. Implementar um sistema de acompanhamento de alterações separado para registar as alterações às configurações
B. Efetuar auditorias periódicas para detetar configurações não conformes
C. Desenvolver políticas que exijam a utilização dos parâmetros de referência estabelecidos
D. Implementar a verificação automatizada em relação aos parâmetros de referência estabelecidos
Ver resposta
Resposta correta: D
Pergunta #257
Os gestores de segurança da informação devem utilizar técnicas de avaliação de riscos para:
A. Justificar a seleção de estratégias de atenuação dos riscos
B. maximizar o retorno do investimento (ROD)
C. fornecer documentação para auditores e reguladores
D. quantificar riscos que, de outra forma, seriam subjectivos
Ver resposta
Resposta correta: A
Pergunta #258
O objetivo do ponto de recuperação (RPO) requer qual das seguintes opções?
A. Declaração de catástrofe
B. Restauro antes da imagem
C. Restauração do sistema
D. Processamento pós-imagem
Ver resposta
Resposta correta: B
Pergunta #259
Um gestor de segurança está a preparar um relatório para obter o compromisso da direção executiva com um programa de segurança. A inclusão de qual das seguintes opções seria de MAIOR valor?
A. Exemplos de incidentes reais em organizações semelhantes
B. Declaração das melhores práticas geralmente aceites
C. Associar ameaças realistas aos objectivos da empresa
D. Análise das actuais exposições tecnológicas
Ver resposta
Resposta correta: C
Pergunta #260
A segurança da informação deve ser:
A. centrado na eliminação de todos os riscos
B. um equilíbrio entre os requisitos técnicos e comerciais
C. impulsionado por requisitos regulamentares
D. definido pelo conselho de administração
Ver resposta
Resposta correta: B
Pergunta #261
Qual das seguintes seria a MELHOR opção para melhorar a responsabilização de um administrador de sistemas com funções de segurança?
A. Incluir responsabilidades de segurança na descrição de funções
B. Exigir que o administrador obtenha uma certificação de segurança
C. Formar o administrador do sistema em testes de penetração e avaliação de vulnerabilidades
D. Formar o administrador do sistema na avaliação de riscos
Ver resposta
Resposta correta: A
Pergunta #262
A decisão sobre se os novos riscos devem ser objeto de um relatório periódico ou de um relatório baseado em eventos deve basear-se em qual dos seguintes elementos?
A. Controlos atenuantes
B. Visibilidade do impacto
C. Probabilidade de ocorrência
D. Frequência dos incidentes
Ver resposta
Resposta correta: B
Pergunta #263
Qual das seguintes opções deve ser a base PRIMÁRIA de uma estratégia de segurança da informação?
A. A visão e a missão da organização
B. Políticas de segurança da informação
C. Resultados de uma análise exaustiva das lacunas
D. Requisitos regulamentares e de auditoria
Ver resposta
Resposta correta: A
Pergunta #264
Para além do alinhamento empresarial e da propriedade da segurança, qual das seguintes opções é a MAIS importante para a governação da segurança da informação?
A. Auditabilidade dos sistemas
B. Conformidade com as políticas
C. Comunicação de métricas de segurança
D. Patrocínio executivo
Ver resposta
Resposta correta: A
Pergunta #265
Qual das seguintes é a MELHOR abordagem para incentivar as unidades de negócio a assumirem as suas funções e responsabilidades num programa de segurança da informação?
A. Efetuar uma avaliação dos riscos
B. Realizar um programa de sensibilização
C. Efetuar uma auditoria de segurança
D. Desenvolver controlos e contramedidas
Ver resposta
Resposta correta: B
Pergunta #266
Qual das seguintes é a razão MAIS importante para efetuar uma análise de risco?
A. Atribuição do nível de proteção adequado
B. Identificação dos activos de informação críticos
C. Identificação e eliminação de ameaças
D. Promover uma maior sensibilização para a segurança na organização
Ver resposta
Resposta correta: A
Pergunta #267
Qual das seguintes actividades deve ocorrer PRIMEIRO quando um patch de segurança para software da Internet é recebido de um fornecedor?
A. O patch deve ser validado utilizando um algoritmo de hash
B. A correção deve ser aplicada aos sistemas críticos
C. A correção deve ser implementada rapidamente nos sistemas que são vulneráveis
D. A correção deve ser avaliada num ambiente de teste
Ver resposta
Resposta correta: A
Pergunta #268
Qual dos seguintes é o MELHOR método para transferir uma mensagem de forma segura?
A. Suportes amovíveis protegidos por palavra-passe
B. Transmissão de fac-símile numa sala segura
C. Utilizar a encriptação da infraestrutura de chave pública (PKI)
D. Esteganografia
Ver resposta
Resposta correta: C
Pergunta #269
Os programas de gestão de riscos são concebidos para reduzir os riscos para:
A. Um nível que é demasiado pequeno para ser mensurável
B. o ponto em que o benefício excede a despesa
C. um nível que a organização está disposta a aceitar
D. uma taxa de rendibilidade igual ao custo atual do capital
Ver resposta
Resposta correta: C
Pergunta #270
Qual das seguintes é a consideração MAIS importante quando se trata de proteger os dados do cartão de crédito do cliente adquiridos por uma caixa registadora de ponto de venda (POS)?
A. Autenticação
B. Endurecimento
C. Encriptação
D. Não repúdio
Ver resposta
Resposta correta: C
Pergunta #271
Qual das seguintes opções MELHOR demonstra o alinhamento entre a governação da segurança da informação e a governação empresarial?
A. Número médio de incidentes de segurança nas unidades de negócio
B. Justificações do projeto de segurança apresentadas em termos de valor comercial
C. Número de vulnerabilidades identificadas para activos de informação de alto risco
D. Tempo médio para resolução de incidentes de segurança em toda a empresa
Ver resposta
Resposta correta: B
Pergunta #272
Qual dos seguintes é o tipo de controlo de acesso MAIS eficaz?
A. Centralizado
B. Baseado em funções
C. Descentralizada
D. Discricionário
Ver resposta
Resposta correta: B
Pergunta #273
Qual das seguintes é a MELHOR abordagem para tomar decisões estratégicas de segurança da informação?
A. Criar um comité diretor de segurança da informação
B. Estabelecer reuniões periódicas com os quadros superiores
C. Elaborar relatórios periódicos sobre o estado da segurança da informação
D. Criar grupos de trabalho de segurança para as unidades de negócio
Ver resposta
Resposta correta: D
Pergunta #274
Para justificar a necessidade de investir numa ferramenta de análise forense, um gestor de segurança da informação deve PRIMEIRO:
A. Analisar as funcionalidades e os requisitos de implementação da solução
B. analisar relatórios de comparação da implementação de ferramentas em empresas congéneres
C. Dar exemplos de situações em que uma ferramenta deste tipo seria útil
D. fundamentar o investimento na satisfação das necessidades organizacionais
Ver resposta
Resposta correta: D
Pergunta #275
Numa organização multinacional, os regulamentos de segurança locais devem ser implementados em detrimento da política de segurança global porque:
A. A sensibilização para a regulamentação local é mais prática do que para a política global
B. as políticas de segurança global incluem controlos desnecessários para as empresas locais
C. Os objectivos comerciais são definidos pelos gestores das unidades comerciais locais
D. Os requisitos dos regulamentos locais têm precedência
Ver resposta
Resposta correta: D
Pergunta #276
Qual das seguintes opções MELHOR permitiria a um gestor de segurança da informação identificar o risco associado às soluções baseadas na nuvem?
A. Avaliar as soluções em relação às políticas de segurança da organização
B. Rever a adesão do fornecedor aos acordos de nível de serviço (SLAs)
C. Revisão de auditorias efectuadas por terceiros a fornecedores de serviços de computação em nuvem
D. Avaliação comparativa com organizações congéneres que utilizam soluções de nuvem
Ver resposta
Resposta correta: C
Pergunta #277
Os proprietários de dados são PRIMARIAMENTE responsáveis pela criação de métodos de atenuação do risco para abordar qual das seguintes áreas?
A. Segurança da plataforma
B. Alterações dos direitos
C. Deteção de intrusões
D. Controlos antivírus
Ver resposta
Resposta correta: B
Pergunta #278
Qual das seguintes opções é mais frequentemente abrangida pelo âmbito de um comité diretor de governação da segurança da informação?
A. Entrevistar candidatos a lugares de especialista em segurança da informação
B. Desenvolvimento de conteúdos para programas de sensibilização para a segurança
C. Dar prioridade às iniciativas de segurança da informação
D. Aprovação do acesso a sistemas financeiros críticos
Ver resposta
Resposta correta: C
Pergunta #279
O objetivo PRINCIPAL de um plano estratégico de segurança da informação é
A. Desenvolver um plano de avaliação de riscos
B. desenvolver um plano de proteção de dados
C. proteger os activos e recursos de informação
D. estabelecer a governação da segurança
Ver resposta
Resposta correta: C
Pergunta #280
A MELHOR maneira de estabelecer um objetivo de tempo de recuperação (RTO) que equilibre o custo com um período de tempo de recuperação realista é:
A. efetuar uma análise de impacto comercial (BIA)
B. determinar o custo diário do tempo de inatividade
C. analisar as métricas de custos
D. efetuar uma avaliação dos riscos
Ver resposta
Resposta correta: A
Pergunta #281
O requisito MAIS básico para um programa de governação da segurança da informação é
A. Estar alinhado com a estratégia empresarial da empresa
B. basear-se numa abordagem sólida de gestão dos riscos
C. garantir a conformidade regulamentar adequada
D. fornecer as melhores práticas para iniciativas de segurança
Ver resposta
Resposta correta: A
Pergunta #282
As actividades de identificação, análise e atenuação dos riscos podem ser melhor integradas nos processos do ciclo de vida da empresa, associando-as a
A. Ensaios de conformidade
B. gestão da configuração
C. planeamento da continuidade
D. gestão da mudança
Ver resposta
Resposta correta: B
Pergunta #283
Qual das seguintes opções é a MAIS importante a considerar ao desenvolver um caso de negócio para apoiar o investimento num programa de segurança da informação?
A. Apoio dos quadros superiores
B. Resultados de uma análise custo-benefício
C. Resultados de uma avaliação de riscos
D. Impacto no perfil de risco
Ver resposta
Resposta correta: D
Pergunta #284
Qual das seguintes é a solução MAIS eficaz para impedir que indivíduos externos à organização modifiquem informações confidenciais numa base de dados empresarial?
A. Sub-redes rastreadas
B. Políticas e procedimentos de classificação da informação
C. Controlos de acesso baseados em funções
D. Sistema de deteção de intrusões (IDS)
Ver resposta
Resposta correta: A
Pergunta #285
Foi lançada uma correção validada para resolver uma nova vulnerabilidade que pode afetar um servidor de missão crítica. O que deve ser feito imediatamente?
A. Adicionar controlos de atenuação
B. Verificar a segurança do servidor e instalar a correção
C. Efetuar uma análise de impacto
D. Desligar o servidor e instalar o patch
Ver resposta
Resposta correta: C
Pergunta #286
Qual das seguintes é a MELHOR razão para efetuar uma análise de impacto comercial (BIA)?
A. Para ajudar a determinar o estado atual do risco
B. Orçamentar adequadamente os controlos necessários
C. Para satisfazer os requisitos regulamentares
D. Analisar o efeito na atividade
Ver resposta
Resposta correta: A
Pergunta #287
Para ajudar os utilizadores a aplicar controlos adequados relacionados com a regulamentação da privacidade dos dados, o que é MAIS importante comunicar aos utilizadores?
A. Características dos produtos de proteção de dados
B. Procedimentos de armazenamento de dados
C. Resultados dos testes de penetração
D. Política de classificação de dados
Ver resposta
Resposta correta: B
Pergunta #288
Quando uma organização está a implementar um programa de governação da segurança da informação, o seu conselho de administração deve ser responsável por:
A. elaborar políticas de segurança da informação
B. Revisão dos programas de formação e sensibilização
C. definir a direção estratégica do programa
D. Auditoria de conformidade
Ver resposta
Resposta correta: C
Pergunta #289
Qual das seguintes opções é a ação MAIS adequada quando a taxa de ocorrência do risco é baixa mas o impacto é elevado?
A. Transferência de riscos
B. Aceitação dos riscos
C. Atenuação dos riscos
D. Evitar o risco
Ver resposta
Resposta correta: A
Pergunta #290
Ao considerar o valor dos activos, qual das seguintes opções daria ao gestor da segurança da informação a base MAIS objetiva para a medição da entrega de valor na governação da segurança da informação?
A. Número de controlos
B. Custo da realização dos objectivos de controlo
C. Eficácia dos controlos
D. Resultados dos testes dos controlos
Ver resposta
Resposta correta: B
Pergunta #291
Uma organização multinacional que opera em quinze países está a considerar a implementação de um programa de segurança da informação. Qual o fator que MAIS influenciará a conceção do programa de segurança da informação?
A. Representação dos líderes empresariais regionais
B. Composição do Conselho de Administração
C. Culturas dos diferentes países
D. Competências de segurança informática
Ver resposta
Resposta correta: C
Pergunta #292
Uma organização adquiriu uma ferramenta de gestão de eventos e informações de segurança (SIEM). Qual das seguintes opções é a MAIS importante a considerar antes da implementação?
A. Controlos a controlar
B. Capacidades de elaboração de relatórios
C. O contrato com o fornecedor do SIEM
D. Suporte técnico disponível
Ver resposta
Resposta correta: A
Pergunta #293
Qual das seguintes opções deve ser estabelecida entre um prestador de serviços de TI e os seus clientes para MELHOR permitir a continuidade adequada do serviço na preparação para uma interrupção?
A. Políticas de conservação de dados
B. Planos de manutenção do servidor
C. Objectivos de tempo de recuperação
D. Acordo de sítio recíproco
Ver resposta
Resposta correta: C
Pergunta #294
A MELHOR forma de determinar se um sistema de deteção de intrusões (IDS) baseado em anomalias está corretamente instalado é:
A. Simular um ataque e analisar o desempenho do IDS
B. utilizar um honeypot para verificar se existe atividade invulgar
C. auditar a configuração do IDS
D. comparar o IDS com um sítio semelhante
Ver resposta
Resposta correta: A
Pergunta #295
Qual dos seguintes factores é um impulsionador PRIMÁRIO da governação da segurança da informação que não necessita de qualquer outra justificação?
A. Alinhamento com as melhores práticas do sector
B. Investimento na continuidade das actividades
C. Benefícios para as empresas
D. Cumprimento da regulamentação
Ver resposta
Resposta correta: D
Pergunta #296
Qual das seguintes opções descreve MELHOR o papel de um gestor de segurança da informação numa equipa multidisciplinar que irá abordar um novo requisito regulamentar relativo ao risco operacional?
A. Assegurar a identificação de todos os riscos informáticos
B. Avaliar o impacto dos riscos de segurança da informação
C. Demonstrar que existem controlos de atenuação de TI
D. Sugerir novos controlos de TI para atenuar o risco operacional
Ver resposta
Resposta correta: B
Pergunta #297
No âmbito de uma estrutura de governação da segurança, qual das seguintes é a caraterística MAIS importante do comité de segurança da informação? O comité:
A. efectua revisões frequentes da política de segurança
B. estabeleceu relações com profissionais externos
C. tem uma carta e protocolos de reunião claramente definidos
D. inclui uma mistura de membros de todos os níveis de gestão
Ver resposta
Resposta correta: D
Pergunta #298
Ao desenvolver uma estratégia de proteção para aplicações externalizadas, o gestor da segurança da informação DEVE certificar-se de que
A. Os acordos de garantia estão em vigor
B. os requisitos de segurança estão incluídos no acordo de nível de serviço (SLA)
C. a responsabilidade pela segurança é transferida no acordo de nível de serviço (SLA)
D. o contrato contém cláusulas de não divulgação
Ver resposta
Resposta correta: B
Pergunta #299
Qual é a consideração MAIS importante a ter em conta quando se estabelecem métricas para reportar ao comité de estratégia de segurança da informação?
A. Chegar a acordo sobre os valores de referência para os indicadores
B. Desenvolvimento de um painel de controlo para comunicar as métricas
C. Fornecer informações em tempo real sobre a postura de segurança da organização
D. Aferição do valor esperado das métricas em relação às normas do sector
Ver resposta
Resposta correta: A
Pergunta #300
Uma organização contrata um fornecedor externo para monitorizar e apoiar uma aplicação financeira que está a ser analisada pelas entidades reguladoras. A manutenção da integridade e confidencialidade rigorosas dos dados desta aplicação é fundamental para a empresa. Qual dos seguintes controlos seria o mais eficaz para gerir o risco para a organização?
A. Implementação da separação de funções entre sistemas e dados
B. Ativação do acesso e do registo de dados
C. Desativar o acesso do fornecedor e só voltar a activá-lo quando o acesso for necessário
D. Implementação de revisões periódicas do acesso dos empregados dos fornecedores
Ver resposta
Resposta correta: B
Pergunta #301
O objetivo PRIMÁRIO de um programa de gestão de riscos é
A. minimizar o risco inerente
B. eliminar o risco comercial
C. implementar controlos eficazes
D. minimizar o risco residual
Ver resposta
Resposta correta: D
Pergunta #302
Após uma avaliação do risco, é determinado que o custo para mitigar o risco é muito maior do que o benefício a ser obtido. O gestor da segurança da informação deve recomendar à direção da empresa que o risco seja mitigado:
A. transferido
B. tratado
C. aceite
D. terminado
Ver resposta
Resposta correta: C
Pergunta #303
Qual das seguintes opções deve um gestor de segurança da informação fazer PRIMEIRO quando uma aplicação antiga não está em conformidade com um requisito regulamentar, mas a unidade empresarial não tem orçamento para a correção?
A. esenvolver um caso de negócio para financiar os esforços de correção
B. Aconselhar os quadros superiores a aceitarem o risco de incumprimento
C. Notificar o departamento jurídico e a auditoria interna da aplicação antiga não conforme
D. Avaliar as consequências da não conformidade em relação ao custo da correção
Ver resposta
Resposta correta: D
Pergunta #304
Os principais sistemas necessários para as operações da sucursal residem na sede da empresa. A sucursal A está a negociar com um terceiro para fornecer instalações de recuperação de desastres. Qual dos seguintes termos do contrato seria a preocupação MAIS significativa?
A. O hot site da sucursal poderá ter de ser partilhado
B. A conetividade não é fornecida do hot site para a sede da empresa
C. As cláusulas de penalização por incumprimento não estão incluídas no contrato
D. O direito de efetuar uma auditoria ao hot site não está previsto no contrato
Ver resposta
Resposta correta: B
Pergunta #305
Qual dos seguintes factores seria o MAIS importante a considerar na perda de equipamento móvel com dados não encriptados?
A. Divulgação de informações de carácter pessoal
B. Cobertura suficiente da apólice de seguro para perdas acidentais
C. Valor intrínseco dos dados armazenados no equipamento
D. Custo de substituição do equipamento
Ver resposta
Resposta correta: C
Pergunta #306
Qual das seguintes opções é uma vantagem da governação da segurança da informação?
A. Redução do potencial de responsabilidade civil ou jurídica
B. Questionar a confiança nas relações com os fornecedores
C. Aumentar o risco de decisões baseadas em informações de gestão incompletas
D. Participação direta dos quadros superiores no desenvolvimento dos processos de controlo
Ver resposta
Resposta correta: A
Pergunta #307
Qual das seguintes é a etapa MAIS importante na classificação dos riscos?
A. Avaliação do impacto
B. Custos de atenuação
C. Avaliação da ameaça
D. Análise de vulnerabilidade
Ver resposta
Resposta correta: A
Pergunta #308
Uma unidade de negócio pretende implementar uma nova tecnologia de uma forma que a coloca em violação das normas de segurança da informação existentes. Que ação imediata deve tomar um gestor de segurança da informação?
A. Aplicar a norma de segurança existente
B. Alterar a norma para permitir a implantação
C. Efetuar uma análise de risco para quantificar o risco
D. Efetuar investigação para propor a utilização de uma tecnologia melhor
Ver resposta
Resposta correta: C
Pergunta #309
Ao tomar uma decisão de externalização, qual das seguintes funções é MAIS importante manter dentro da organização?
A. Gestão da segurança
B. Resposta a incidentes
C. Avaliação dos riscos
D. Governação da segurança
Ver resposta
Resposta correta: D
Pergunta #310
Ao selecionar métricas para monitorizar os riscos associados a um programa de segurança da informação, é MAIS importante para um gestor de segurança da informação
A. alavancar os padrões de referência do sector
B. considerar a estratégia de negócios da organização
C. identificar os riscos do programa e os controlos de compensação
D. considerar os objectivos estratégicos do programa
Ver resposta
Resposta correta: B
Pergunta #311
Qual das seguintes opções é a MAIS eficaz para evitar a introdução de vulnerabilidades que possam perturbar a disponibilidade de uma aplicação comercial crítica?
A. Um processo de gestão de correcções
B. Controlos da gestão das alterações
C. Controlos de acesso lógico
D. Controlo de versões
Ver resposta
Resposta correta: B
Pergunta #312
Ao apoiar o responsável pela privacidade de uma organização, qual das seguintes é a função PRINCIPAL do gestor de segurança da informação relativamente aos requisitos de primazia?
A. Controlo da transferência de dados privados
B. Realização de programas de sensibilização para a privacidade
C. Garantir a existência de controlos adequados
D. Determinação da classificação dos dados
Ver resposta
Resposta correta: C
Pergunta #313
O departamento de marketing de uma organização pretende utilizar um serviço de colaboração em linha que não está em conformidade com a política de segurança da informação. É efectuada uma avaliação do risco e a aceitação do risco está a ser procurada. A aprovação da aceitação do risco deve ser fornecida por:
A. o diretor de segurança da informação
B. direção de empresas
C. o diretor de riscos
D. o responsável pela conformidade
Ver resposta
Resposta correta: B
Pergunta #314
Qual dos seguintes factores é o MAIS importante para determinar a frequência da reavaliação da segurança da informação?
A. Prioridade do risco
B. Métricas de risco
C. Constatações de auditoria
D. Controlos atenuantes
Ver resposta
Resposta correta: B
Pergunta #315
Qual das seguintes é a atividade a nível do conselho de administração MAIS adequada para a governação da segurança da informação?
A. Estabelecer a propriedade da segurança e da continuidade
B. Desenvolver cenários hipotéticos sobre incidentes
C. Estabelecer medidas para linhas de base de segurança
D. Incluir a segurança na avaliação do desempenho profissional
Ver resposta
Resposta correta: A
Pergunta #316
A recente avaliação de risco de uma organização identificou muitas áreas de risco de segurança e a direção pediu uma visão geral de cinco minutos dos resultados da avaliação. Qual das seguintes opções é a MELHOR opção do diretor de segurança da informação para apresentar esta informação?
A. Registo de riscos
B. Mapa de calor dos riscos
C. Diagrama de aranha
D. Balanced scorecard
Ver resposta
Resposta correta: B
Pergunta #317
Qual das seguintes é a MELHOR evidência de que a estrutura de governação da segurança da informação de uma organização é eficaz?
A. As ameaças à organização diminuíram
B. O registo de riscos é revisto anualmente
C. O quadro centra-se principalmente nos controlos técnicos
D. A estrutura pode adaptar-se às mudanças organizacionais
Ver resposta
Resposta correta: A
Pergunta #318
Para garantir uma preparação adequada para catástrofes por parte do pessoal das infra-estruturas de TI, é MUITO importante
A. Fazer com que o pessoal mais experiente participe nos testes de recuperação
B. Incluir o pessoal do utilizador final em cada teste de recuperação
C. atribuir tarefas específicas ao pessoal no plano de recuperação
D. rodar periodicamente os participantes nos testes de recuperação
Ver resposta
Resposta correta: D
Pergunta #319
Após um estudo de avaliação de risco, um banco com operações globais decidiu continuar a fazer negócios em certas regiões do mundo onde a usurpação de identidade é galopante. O diretor de segurança da informação deve incentivar a empresa a:
A. aumentar os seus esforços de sensibilização dos clientes nessas regiões
B. Aplicar técnicas de controlo para detetar e reagir a potenciais fraudes
C. subcontratar o processamento de cartões de crédito a um terceiro
D. responsabilizar o cliente por perdas se não seguir os conselhos do banco
Ver resposta
Resposta correta: B
Pergunta #320
Qual das seguintes opções MELHOR indica o apoio da administração sénior a um programa de segurança da informação?
A. São estabelecidas e regularmente revistas políticas pormenorizadas de segurança da informação
B. O diretor de segurança da informação reúne-se regularmente com as linhas de negócio
C. Os indicadores-chave de desempenho (KPIs) são definidos para o programa de segurança da informação
D. As avaliações de risco são realizadas frequentemente pela equipa de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #321
Qual das seguintes situações é MAIS suscetível de reduzir a eficácia de um sistema de deteção de intrusões (IDS) baseado em assinaturas?
A. As actividades que estão a ser monitorizadas desviam-se do que é considerado normal
B. As informações relativas às actividades controladas tornam-se obsoletas
C. O padrão de comportamento normal muda rápida e dramaticamente
D. O ambiente é complexo
Ver resposta
Resposta correta: D
Pergunta #322
Qual é a MELHOR defesa contra um ataque de injeção de SQL (Structured Query Language)?
A. Ficheiros de assinatura actualizados regularmente
B. Uma firewall corretamente configurada
C. Um sistema de deteção de intrusões
D. Controlos rigorosos dos campos de entrada
Ver resposta
Resposta correta: D
Pergunta #323
Qual das seguintes é a MELHOR estratégia para implementar uma postura de segurança operacional eficaz?
A. Gestão de ameaças
B. Defesa em profundidade
C. Maior sensibilização para a segurança
D. Gestão de vulnerabilidades
Ver resposta
Resposta correta: B
Pergunta #324
Uma organização celebrou um contrato com um fornecedor de comércio eletrónico externo. Qual das seguintes opções é a MAIS importante para o gestor de segurança da informação examinar durante o período subsequente de análise da conformidade?
A. Alterações aos controlos e à infraestrutura do prestador
B. Provisões financeiras e despesas de manutenção
C. Cumprimento do acordo de nível de serviço
D. Disposições do contrato relativas ao direito de auditoria
Ver resposta
Resposta correta: A
Pergunta #325
A principal razão para que o Comité Diretor de Segurança da Informação analise um novo plano de implementação de controlos de segurança é garantir que:
A. o plano está alinhado com o plano de negócios da organização
B. os orçamentos dos serviços são afectados de forma adequada para pagar o plano
C. Os requisitos de supervisão regulamentar são cumpridos
D. O impacto do plano nas unidades empresariais é reduzido
Ver resposta
Resposta correta: A
Pergunta #326
Para justificar o seu orçamento de segurança permanente, qual das seguintes opções seria MAIS útil para o departamento de "segurança da informação"?
A. Frequência das violações da segurança
B. Expectativa de perda anualizada (ALE)
C. Análise custo-benefício
D. Comparação entre pares
Ver resposta
Resposta correta: C
Pergunta #327
A implementação de um plano de capacidade evitaria:
A. sobrecarga do sistema de ficheiros resultante de ataques distribuídos de negação de serviço
B. tempo de inatividade do sistema para manutenção de segurança programada
C. Falhas de software resultantes da exploração de vulnerabilidades de capacidade de memória intermédia
D. falhas nas aplicações resultantes de recursos de hardware insuficientes
Ver resposta
Resposta correta: D
Pergunta #328
Para compreender claramente o impacto que um novo requisito regulamentar terá nos controlos de segurança da informação de uma organização, um gestor de segurança da informação deve PRIMEIRO:
A. entrevistar os quadros superiores
B. efetuar uma avaliação dos riscos
C. efetuar uma análise custo-benefício
D. efetuar uma análise das lacunas
Ver resposta
Resposta correta: D
Pergunta #329
Os processos de segurança da informação de uma organização são atualmente definidos como ad hoc. Ao procurar melhorar o seu nível de desempenho, o próximo passo para a organização deve ser:
A. garantir que os processos de segurança sejam consistentes em toda a organização
B. impor níveis de segurança de base em toda a organização
C. garantir que os processos de segurança sejam totalmente documentados
D. implementar a monitorização de indicadores-chave de desempenho para processos de segurança
Ver resposta
Resposta correta: A
Pergunta #330
A direção decidiu aceitar um risco significativo no âmbito de um plano de correção de segurança. Qual das seguintes opções é a MELHOR linha de ação do gestor de segurança da informação?
A. Corrigir o risco e documentar a justificação
B. Atualizar o registo de riscos com a aceitação do risco
C. Comunicar o plano de correção ao conselho de administração
D. Comunicar a aceitação do risco às agências reguladoras
Ver resposta
Resposta correta: C

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.