NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Prepare-se para o exame CISM Perguntas e Testes Práticos, Certified Information Security Manager | SPOTO

Prepare-se cuidadosamente para o exame Certified Information Security Manager (CISM) com os recursos abrangentes da SPOTO. As nossas perguntas de exame e testes práticos, elaborados por especialistas, abrangem todos os tópicos essenciais, incluindo governação da segurança da informação, gestão de riscos, gestão de incidentes e conformidade regulamentar. Aceda a uma variedade de ferramentas de preparação para o exame, incluindo exemplos de perguntas e exames simulados, para melhorar a sua compreensão e aumentar a sua confiança. Diga adeus às fontes não fiáveis e adopte uma prática de exame fiável com o SPOTO. Utilize o nosso simulador de exames para reproduzir o ambiente do exame e aperfeiçoar as suas estratégias de exame de forma eficaz. Quer necessite de materiais de exame ou de perguntas de exame online, o SPOTO fornece os recursos essenciais para o sucesso. Comece hoje mesmo a sua jornada de preparação para o exame com o nosso teste gratuito e garanta que está totalmente preparado para passar no exame CISM.
Faça outros exames online
Pergunta #1
Nas organizações em que a disponibilidade é uma preocupação primordial, o fator de sucesso MAIS crítico do procedimento de gestão de patches seria a:
A. janela de tempo de teste antes da implantação
B. competências técnicas da equipa responsável
C. certificação de validade para a implantação
D. implantação automatizada em todos os servidores
Ver resposta
Resposta correta: A
Pergunta #2
Qual das seguintes opções é a MAIS importante para medir a eficácia de um programa de sensibilização para a segurança?
A. Redução do número de relatórios de violações de segurança
B. Uma avaliação quantitativa para garantir a compreensão do utilizador
C. Aumento do interesse dos grupos de reflexão sobre questões de segurança
D. Aumento do número de relatórios de violação de segurança
Ver resposta
Resposta correta: B
Pergunta #3
A separação de funções é um controlo de segurança utilizado PRIMARIAMENTE para:
A. estabelecer um duplo controlo
B. estabelecer a hierarquia
C. limitar o comportamento malicioso
D. descentralizar as operações
Ver resposta
Resposta correta: C
Pergunta #4
Uma organização implementou um programa obrigatório de formação de sensibilização para a segurança da informação há um ano. Qual é a MELHOR forma de determinar a sua eficácia?
A. Analisar as conclusões de relatórios de auditoria anteriores
B. Analisar os resultados dos relatórios de conclusão da formação
C. Analisar os resultados de um teste de engenharia social
D. Analisar as respostas de um inquérito aos empregados sobre a satisfação com a formação
Ver resposta
Resposta correta: C
Pergunta #5
Qual é o MELHOR método para confirmar que todas as regras de firewall e definições de configuração do router são adequadas?
A. Revisão periódica da configuração da rede
B. Analisar os registos do sistema de deteção de intrusões (IDS) para obter provas de ataques
C. Efetuar periodicamente testes de penetração
D. Análise diária dos registos do servidor para detetar indícios de atividade de hackers
Ver resposta
Resposta correta: C
Pergunta #6
Um gestor de segurança da informação está preocupado com o facto de a direção executiva não apoiar as iniciativas de segurança da informação. Qual das seguintes opções é a MELHOR forma de resolver esta situação?
A. Comunicar à direção o risco e o estado do programa de segurança da informação
B. Rever a estratégia de segurança da informação para satisfazer as expectativas da direção executiva
C. Encaminhar os problemas de não conformidade para o diretor de auditoria interna
D. Demonstrar o alinhamento da função de segurança da informação com as necessidades da empresa
Ver resposta
Resposta correta: D
Pergunta #7
Qual das seguintes situações pode ser detectada por um sistema de deteção de intrusão de rede (IDS)?
A. Portos abertos não documentados
B. Alteração não autorizada de ficheiros
C. Ataques gerados internamente
D. Anexos de vírus enviados por correio eletrónico
Ver resposta
Resposta correta: A
Pergunta #8
Um gestor de segurança da informação suspeita que a organização foi vítima de um ataque de ransomware. O que deve ser feito PRIMEIRO?
A. Notificar os quadros superiores
B. Alertar os funcionários sobre o ataque
C. Confirmar a infeção
D. Isolar os sistemas afectados
Ver resposta
Resposta correta: C
Pergunta #9
Qual das seguintes actividades seria a MELHOR para incorporar a segurança no ciclo de vida de desenvolvimento de software (SDLC)?
A. Minimizar a utilização de software de fonte aberta
B. Incluir formação em segurança para a equipa de desenvolvimento
C. Analisar os sistemas operativos para detetar vulnerabilidades
D. Testar as aplicações antes do arranque
Ver resposta
Resposta correta: D
Pergunta #10
A principal vantagem da integração das actividades de segurança da informação nos processos de gestão da mudança é a seguinte
A. assegurar que os controlos necessários são incluídos nas alterações
B. proteger a organização contra alterações não autorizadas
C. proporcionar uma maior responsabilização pelas alterações relacionadas com a segurança na empresa
D. proteger a empresa de ameaças de conluio e de conformidade
Ver resposta
Resposta correta: A
Pergunta #11
Qual das seguintes análises identificará MELHOR as influências externas na segurança da informação de uma organização?
A. Análise das lacunas
B. Análise do impacto nas empresas
C. Análise de ameaças
D. Análise de vulnerabilidade
Ver resposta
Resposta correta: C
Pergunta #12
Uma organização lançou recentemente um novo programa de aquisições que não inclui quaisquer requisitos de segurança. Qual das seguintes acções deve o gestor de segurança da informação realizar PRIMEIRO?
A. Efetuar avaliações de segurança dos fornecedores com base no valor das despesas anuais com cada fornecedor
B. Reunir-se com o chefe de compras para discutir o alinhamento da segurança com os objectivos operacionais da organização
C. Pedir à auditoria interna para realizar uma avaliação do estado atual dos controlos de segurança de terceiros
D. Encaminhar as lacunas do programa de aquisições para o departamento de conformidade em caso de problemas de não conformidade
Ver resposta
Resposta correta: B
Pergunta #13
Uma organização permite o armazenamento e a utilização das suas informações críticas e sensíveis em smartphones pertencentes a funcionários. Qual dos seguintes é o MELHOR controlo de segurança?
A. Exigir a cópia de segurança dos dados da organização pelo utilizador
B. Estabelecer a autoridade para a limpeza remota
C. Monitorizar a frequência com que o smartphone é utilizado
D. Desenvolver formação de sensibilização para a segurança
Ver resposta
Resposta correta: D
Pergunta #14
Qual das seguintes opções seria a MELHOR para ajudar um gestor de SI a obter o apoio estratégico da direção executiva?
A. Relatório anual de incidentes de segurança na organização
B. Investigação sobre as tendências mundiais em matéria de violações da segurança da informação
C. Classificação da segurança da organização, com base em normas internacionais
D. Análise de risco específica para a organização
Ver resposta
Resposta correta: D
Pergunta #15
Uma organização estabeleceu políticas de segurança da informação, mas o gestor de segurança da informação notou um grande número de pedidos de exceção. Qual das seguintes é a razão mais provável para esta situação?
A. A organização está a operar num sector altamente regulamentado
B. O programa de segurança da informação não é financiado de forma adequada
C. As políticas de segurança da informação não estão alinhadas com os objectivos da empresa
D. As políticas de segurança da informação não são comunicadas a toda a organização
Ver resposta
Resposta correta: C
Pergunta #16
A administração sénior expressou preocupação pelo facto de o sistema de prevenção de intrusões da organização poder perturbar repetidamente as operações comerciais. Qual das seguintes opções MELHOR indica que o gestor de segurança da informação ajustou o sistema para responder a esta preocupação?
A. Diminuir os falsos positivos
B. Diminuir os falsos negativos
C. Aumento dos falsos positivos
D. Aumento dos falsos negativos
Ver resposta
Resposta correta: A
Pergunta #17
De entre os seguintes, quem deve ter a responsabilidade PRIMÁRIA pela avaliação do risco de segurança associado a um contrato de fornecedor de serviços de computação em nuvem externalizado?
A. Gestor da segurança da informação
B. Gestor de conformidade
C. Diretor de informação
D. Gestor da prestação de serviços
Ver resposta
Resposta correta: D
Pergunta #18
Qual dos seguintes é o método MAIS eficaz para evitar uma injeção de SQL num portal de funcionários?
A. Reconfigurar o esquema da base de dados
B. Aplicar a integridade referencial na base de dados
C. Realizar revisões de código
D. Efetuar testes de penetração da rede
Ver resposta
Resposta correta: B
Pergunta #19
O servidor de correio principal de uma instituição financeira foi comprometido ao nível do superutilizador; a única forma de garantir a segurança do sistema seria:
A. alterar a palavra-passe de raiz do sistema
B. implementar a autenticação multifactor
C. reconstruir o sistema a partir do suporte de instalação original
D. Desligar o servidor de correio eletrónico da rede
Ver resposta
Resposta correta: C
Pergunta #20
A vantagem PRIMÁRIA da integração do risco de segurança da informação na gestão do risco empresarial é a seguinte
A. assegurar a atenuação atempada dos riscos
B. justificar o orçamento para a segurança da informação
C. obter o empenhamento dos quadros superiores
D. proporcionar uma visão holística do risco
Ver resposta
Resposta correta: D
Pergunta #21
A direção da empresa aprovou uma política abrangente de segurança da informação. Qual das seguintes opções a organização deve fazer a seguir?
A. Promover a sensibilização dos empregados para esta política
B. Procurar obter a adesão das partes interessadas da empresa
C. Implementar um sistema de autenticação e autorização
D. Identificar os quadros de segurança da informação relevantes para adoção
Ver resposta
Resposta correta: B
Pergunta #22
A principal razão para definir as funções e responsabilidades de segurança da informação do pessoal de uma organização é
A. Reforçar a necessidade de formação
B. aumentar a responsabilidade das empresas
C. cumprir a política de segurança
D. impor a responsabilidade individual
Ver resposta
Resposta correta: C
Pergunta #23
Qual das seguintes opções seria a MAIS eficaz para justificar o custo de adicionar controlos de segurança a uma aplicação Web existente?
A. Relatórios de auditoria interna
B. Política de segurança das aplicações
C. Resultados da avaliação da vulnerabilidade
D. Um caso de negócio
Ver resposta
Resposta correta: D
Pergunta #24
Qual dos seguintes é um indicador potencial de utilização inadequada da Internet pelo pessoal?
A. Aumento das chamadas para o serviço de assistência para reposição de palavras-passe
B. Redução do número de pings nas firewalls
C. Aumento dos relatos de desempenho lento do sistema
D. Aumento do número de pontos fracos das análises de vulnerabilidades
Ver resposta
Resposta correta: C
Pergunta #25
Qual dos seguintes é o objetivo PRIMÁRIO da comunicação de métricas de segurança às partes interessadas?
A. Identificar os principais controlos na organização
B. Prestar apoio às actividades de auditoria de segurança
C. Comunicar a eficácia do programa de segurança
D. Demonstrar o alinhamento com a estratégia empresarial
Ver resposta
Resposta correta: D
Pergunta #26
A principal razão para utilizar métricas para avaliar a segurança da informação é
A. identificar os pontos fracos da segurança
B. justificar as despesas orçamentais
C. permitir uma melhoria constante
D. aumentar a sensibilização para as questões de segurança
Ver resposta
Resposta correta: C
Pergunta #27
De que forma pode um gestor de segurança da informação garantir que os controlos de segurança são adequados para apoiar as metas e objectivos da empresa?
A. Análise dos resultados da auditoria externa anual da empresa
B. Adoção de controlos internacionalmente aceites
C. Aplicação de procedimentos disciplinares rigorosos em caso de incumprimento
D. Utilizar o processo de gestão do risco
Ver resposta
Resposta correta: D
Pergunta #28
Qual dos seguintes dispositivos, quando colocados numa zona desmilitarizada (DMZ), seria considerado a exposição MAIS significativa?
A. Servidor proxy
B. Servidor de retransmissão de correio eletrónico
C. Servidor de aplicações
D. Servidor de base de dados
Ver resposta
Resposta correta: D
Pergunta #29
Um dispositivo crítico é fornecido com um único utilizador e uma palavra-passe que tem de ser partilhada para que vários utilizadores possam aceder ao dispositivo. Um gestor de segurança da informação foi incumbido de garantir que todo o acesso ao dispositivo é autorizado. Qual das seguintes opções seria a forma MAIS eficiente de o fazer?
A. Permitir o acesso através de um dispositivo separado que exija uma autenticação adequada
B. Implementar procedimentos manuais que exijam a alteração da palavra-passe após cada utilização
C. Solicitar ao fornecedor que adicione vários IDs de utilizador
D. Analisar os registos para detetar acessos não autorizados
Ver resposta
Resposta correta: A
Pergunta #30
Qual das seguintes opções representa a MAIOR ameaça à segurança de um sistema de planeamento de recursos empresariais (ERP)?
A. Os relatórios ad hoc do utilizador não são registados
B. O tráfego de rede passa por um único comutador
C. Os patches de segurança do sistema operativo (SO) não foram aplicados
D. A segurança da base de dados é predefinida para as definições do ERP
Ver resposta
Resposta correta: C
Pergunta #31
Uma organização está MAIS em risco de um novo worm ser introduzido através da intranet quando:
A. Os ficheiros de definição de vírus do ambiente de trabalho não estão actualizados
B. O software do sistema não é submetido a controlos de integridade
C. Os anfitriões têm endereços IP estáticos
D. o código executável é executado a partir do interior da firewall
Ver resposta
Resposta correta: A
Pergunta #32
Garantir que as actividades realizadas pelos prestadores de serviços de subcontratação cumprem as políticas de segurança da informação pode ser a MELHOR forma de o conseguir através da utilização de:
A. acordos de nível de serviço
B. auditorias independentes
C. linguagem contratual explícita
D. regulamentos locais
Ver resposta
Resposta correta: B
Pergunta #33
Qual das seguintes é a MELHOR forma de aumentar a visibilidade da segurança da informação na cultura de uma organização?
A. Exigir formação multifuncional em matéria de segurança da informação
B. Implementar campanhas de sensibilização dos utilizadores para toda a empresa
C. Publicar uma política de utilização aceitável
D. Estabelecer políticas de segurança baseadas em normas da indústria
Ver resposta
Resposta correta: A
Pergunta #34
Qual das seguintes opções seria MAIS útil para obter apoio para um caso de negócio para uma iniciativa de segurança da informação?
A. Demonstrar o alinhamento organizacional
B. Enfatizar as ameaças à organização
C. Referência a deficiências de controlo
D. Apresentação de uma matriz de comparação de soluções
Ver resposta
Resposta correta: A
Pergunta #35
Qual dos seguintes seria o desafio PRIMÁRIO de um gestor de segurança da informação ao implementar um programa móvel "Bring Your Own Device" (BYOD) numa empresa?
A. Aceitação pelo utilizador final
B. Gestão da configuração
C. Controlo das aplicações móveis
D. Segurança de dispositivos distintos
Ver resposta
Resposta correta: C
Pergunta #36
Qual das seguintes opções é o controlo de perda de dados MAIS eficaz quando se liga um dispositivo móvel pessoal ao sistema de correio eletrónico da empresa?
A. O correio eletrónico deve ser armazenado num formato encriptado no dispositivo móvel
B. A sincronização de correio eletrónico deve ser impedida quando se está ligado a um ponto de acesso Wi-Fi público
C. Um gestor sénior tem de aprovar cada ligação
D. Os utilizadores têm de concordar em permitir que o dispositivo móvel seja apagado em caso de perda
Ver resposta
Resposta correta: D
Pergunta #37
Depois de iniciar sessão numa aplicação Web, são necessárias credenciais de palavra-passe adicionais em vários pontos da aplicação. Qual das seguintes é a razão PRIMÁRIA para esta abordagem?
A. Para garantir que o acesso é concedido à pessoa autorizada
B. Para aplicar uma autenticação forte de dois factores
C. Para garantir que as variáveis de gestão da sessão são seguras
D. Para implementar o início de sessão único
Ver resposta
Resposta correta: A
Pergunta #38
Qual dos seguintes factores é o MAIS importante para determinar a frequência da reavaliação da segurança da informação?
A. Prioridade do risco
B. Métricas de risco
C. Constatações de auditoria
D. Controlos atenuantes
Ver resposta
Resposta correta: B
Pergunta #39
Ao definir responsabilidades com um fornecedor de computação em nuvem, qual das seguintes opções deve ser considerada uma responsabilidade partilhada entre o utilizador e o fornecedor?
A. Propriedade dos dados
B. Revisão do registo de acesso
C. Registo de aplicações
D. Resposta a incidentes
Ver resposta
Resposta correta: A
Pergunta #40
O cálculo do objetivo de tempo de recuperação (RTO) é necessário para determinar o tempo de recuperação:
A. tempo necessário para restaurar ficheiros
B. prioridade da restauração
C. ponto de sincronização
D. expetativa de perda anual (ALE)
Ver resposta
Resposta correta: B
Pergunta #41
Para ajudar a garantir que o pessoal do contrato não obtém acesso não autorizado a informações sensíveis, o gestor da segurança da informação deve PRIMEIRAMENTE
A. definem as suas contas para expirarem em seis meses ou menos
B. evitar conceder funções de administração do sistema
C. garantir que são aprovados nos controlos de antecedentes
D. garantir que o seu acesso é aprovado pelo proprietário dos dados
Ver resposta
Resposta correta: B
Pergunta #42
O departamento de RH de uma organização gostaria de externalizar o seu sistema de empregados para uma solução alojada na nuvem devido às funcionalidades e à poupança de custos oferecidas. A direção identificou esta solução como uma necessidade comercial e pretende avançar. Qual deve ser o papel PRIMÁRIO da segurança da informação neste esforço?
A. Explicar à direção as questões de segurança associadas à solução
B. Determinar como implementar a solução de forma segura
C. Assegurar que o prestador de serviços possui as certificações adequadas
D. Assegurar que é efectuada uma auditoria de segurança ao fornecedor de serviços
Ver resposta
Resposta correta: B
Pergunta #43
Qual das seguintes opções MELHOR ajudaria a garantir a conformidade com os requisitos de segurança da informação de uma organização por parte de um fornecedor de serviços de TI?
A. Exigir uma auditoria de segurança externa ao prestador de serviços informáticos
B. Definição dos requisitos de segurança da informação com as TI internas
C. Exigir relatórios periódicos do prestador de serviços informáticos
D. Definir o plano de recuperação de negócios com o fornecedor de serviços de TI
Ver resposta
Resposta correta: A
Pergunta #44
Um gestor de segurança da informação analisou as listas de controlo de acesso e observou que foi concedido acesso privilegiado a todo um departamento. Qual das seguintes opções o gerente de segurança da informação deve fazer PRIMEIRO?
A. Rever os procedimentos de concessão de acesso
B. Estabelecer procedimentos para a concessão de acesso de emergência
C. Reunir-se com os proprietários dos dados para compreender as necessidades da empresa
D. Redefinir e implementar direitos de acesso adequados
Ver resposta
Resposta correta: C
Pergunta #45
Uma equipa de segurança da informação está a investigar uma alegada violação da rede de uma organização. Qual das seguintes opções seria a MELHOR fonte única de provas a analisar?
A. Sistema de deteção de intrusões
B. Ferramenta SIEM
C. Software antivírus
D. Software de monitorização da integridade dos ficheiros
Ver resposta
Resposta correta: B
Pergunta #46
Uma organização vai subcontratar processos de missão crítica. Qual das seguintes opções é a MAIS importante a verificar antes de assinar o acordo de nível de serviço (SLA)?
A. O fornecedor implementou as tecnologias mais recentes
B. O pessoal técnico do prestador é avaliado anualmente
C. O fornecedor é amplamente conhecido no sector da organização
D. O prestador foi objeto de uma auditoria por uma empresa de auditoria reconhecida
Ver resposta
Resposta correta: D
Pergunta #47
Um sistema de aplicação de processamento de salários aceita IDs de início de sessão de utilizadores individuais e, em seguida, liga-se à sua base de dados utilizando um único ID de aplicação. O maior ponto fraco desta arquitetura de sistema é que:
A. os utilizadores podem obter acesso direto ao ID da aplicação e contornar os controlos de dados
B. Quando várias sessões com o mesmo ID de aplicação colidem, a base de dados bloqueia
C. A base de dados fica indisponível se a palavra-passe do ID da aplicação expirar
D. um incidente que envolva acesso não autorizado a dados não pode ser associado a um utilizador específico
Ver resposta
Resposta correta: D
Pergunta #48
Qual das seguintes ferramentas demonstra MELHOR a eficácia do programa de segurança da informação?
A. Principais indicadores de risco (KRIs)
B. Inquéritos de satisfação dos gestores
C. Mapa de calor dos riscos
D. Um balanced scorecard de segurança
Ver resposta
Resposta correta: D
Pergunta #49
Qual das seguintes opções é um exemplo de uma vulnerabilidade?
A. Catástrofes naturais
B. Software defeituoso
C. Ransomware
D. Utilizadores não autorizados
Ver resposta
Resposta correta: B
Pergunta #50
Qual das seguintes situações apresentaria a MAIOR necessidade de rever as políticas de segurança da informação?
A. Uma fusão com uma empresa concorrente
B. Aumento do número de incidentes registados
C. Implementação de uma nova firewall
D. Alterações nas normas e procedimentos
Ver resposta
Resposta correta: A
Pergunta #51
A MELHOR forma de informar a direção sobre a eficácia do programa de segurança da informação é apresentar:
A. um painel de controlo que ilustra os principais indicadores de desempenho
B. referências do sector com grupos de pares
C. um resumo das conclusões da auditoria mais recente
D. um relatório de poupanças de custos resultantes de melhorias de processos
Ver resposta
Resposta correta: A
Pergunta #52
Uma vantagem dos esquemas de software antivírus baseados na deteção de alterações é o facto de terem:
A. uma possibilidade de detetar as estirpes virais actuais e futuras
B. um diretório mais flexível de assinaturas virais
C. ser atualizado com menos frequência do que os monitores de atividade
D. a maior probabilidade de evitar falsos alarmes
Ver resposta
Resposta correta: A
Pergunta #53
Qual das seguintes opções é a MAIS importante quando o gestor da segurança da informação procura obter o compromisso dos quadros superiores?
A. Custos de segurança
B. Vulnerabilidades técnicas
C. Requisitos tecnológicos de segurança
D. Tarefas de implementação
Ver resposta
Resposta correta: C
Pergunta #54
Foi lançada uma correção validada para resolver uma nova vulnerabilidade que pode afetar um servidor de missão crítica. O que deve ser feito imediatamente?
A. Adicionar controlos de atenuação
B. Verificar a segurança do servidor e instalar a correção
C. Efetuar uma análise de impacto
D. Desligar o servidor e instalar o patch
Ver resposta
Resposta correta: C
Pergunta #55
O que é MAIS importante quando se contrata uma entidade externa para efetuar um teste de penetração?
A. Fornecer documentação sobre a rede
B. Obter a aprovação da direção de TI
C. Definir o âmbito do projeto
D. Aumentar a frequência das revisões dos registos
Ver resposta
Resposta correta: B
Pergunta #56
Qual das seguintes actividades deve ocorrer PRIMEIRO quando um patch de segurança para software da Internet é recebido de um fornecedor?
A. O patch deve ser validado utilizando um algoritmo de hash
B. A correção deve ser aplicada aos sistemas críticos
C. A correção deve ser implementada rapidamente nos sistemas que são vulneráveis
D. A correção deve ser avaliada num ambiente de teste
Ver resposta
Resposta correta: A
Pergunta #57
Durante uma revisão para aprovar um plano de teste de penetração, qual das seguintes deve ser a preocupação PRIMÁRIA de um gestor de segurança da informação?
A. Desvio do âmbito da equipa de testes de penetração
B. Acesso não autorizado aos serviços administrativos
C. Alarmes falsos positivos para o pessoal operacional
D. Impacto nos sistemas de produção
Ver resposta
Resposta correta: D
Pergunta #58
A falsificação deve ser evitada porque pode ser utilizada para:
A. reunir informações, acompanhar o tráfego e identificar vulnerabilidades da rede
B. prever para que lado um programa irá ramificar quando uma opção é apresentada
C. obter acesso ilegal a um sistema seguro, falsificando o endereço do remetente
D. capturar informações como senhas que trafegam pela rede
Ver resposta
Resposta correta: C
Pergunta #59
Qual das seguintes é a MELHOR forma de demonstrar à administração sénior que as práticas de segurança da organização estão em conformidade com as normas do sector?
A. Resultados de uma avaliação independente
B. Documentação actualizada sobre políticas e procedimentos
C. Um relatório sobre a maturidade dos controlos
D. Existência de um quadro aceite pelo sector
Ver resposta
Resposta correta: A
Pergunta #60
A maior parte das vulnerabilidades de segurança do software surgem porque:
A. as características de segurança não são testadas adequadamente
B. O software tem características não documentadas
C. a segurança não está corretamente concebida
D. O software é desenvolvido sem respeitar as normas
Ver resposta
Resposta correta: D
Pergunta #61
Para evitar que os computadores da rede corporativa sejam usados como parte de um ataque distribuído de negação de serviço, o gerente de segurança da informação deve usar:
A. filtragem do tráfego de entrada
B. filtragem do tráfego de saída
C. Divulgação da política de segurança informática
D. limitação da taxa
Ver resposta
Resposta correta: B
Pergunta #62
Qual das seguintes é a MELHOR abordagem quando se utilizam dados sensíveis de clientes durante a fase de teste de um projeto de desenvolvimento de sistemas?
A. Estabelecer o ambiente de teste numa rede separada
B. Limpar os dados dos clientes
C. Monitorizar o ambiente de teste quanto à perda de dados
D. Implementar controlos equivalentes aos do sistema de origem
Ver resposta
Resposta correta: B
Pergunta #63
Depois de um conjunto de controlos de segurança ter sido implementado com sucesso para as unidades empresariais de uma organização, é MAIS importante para o gestor de segurança da informação
A. assegurar que os controlos são regularmente testados para verificar a sua eficácia contínua
B. entregar os controlos aos proprietários das empresas em causa
C. preparar a adaptação dos controlos para futuras actualizações do sistema
D. realizar testes para comparar o desempenho do controlo com os níveis da indústria
Ver resposta
Resposta correta: A
Pergunta #64
Qual das seguintes opções é a PRIMEIRA tarefa ao determinar o perfil de segurança da informação de uma organização?
A. Criar um inventário de activos
B. Listar os privilégios administrativos
C. Estabelecer normas de segurança
D. Completar uma avaliação da ameaça
Ver resposta
Resposta correta: C
Pergunta #65
Está a ser realizada uma análise de risco para um novo sistema. Para qual das seguintes situações o conhecimento do negócio é mais importante do que o conhecimento de TI?
A. Análise de vulnerabilidade
B. Balanced scorecard
C. Análise custo-benefício
D. Análise de impacto
Ver resposta
Resposta correta: B
Pergunta #66
Devido a restrições orçamentais, uma aplicação de TI interna não inclui os controlos necessários para cumprir um acordo de nível de serviço (SLA) do cliente. Qual das seguintes opções é a MELHOR linha de ação para o gestor de segurança da informação?
A. Informar o departamento jurídico da deficiência
B. Analisar e comunicar o problema à direção
C. Exigir que o proprietário da aplicação implemente os controlos
D. Avaliar e apresentar os riscos ao proprietário da aplicação
Ver resposta
Resposta correta: D
Pergunta #67
Num programa de segurança com recursos limitados, qual das seguintes abordagens proporcionará a MELHOR utilização dos recursos limitados?
A. Formação cruzada
B. Evitar o risco
C. Priorização dos riscos
D. Gestão de ameaças
Ver resposta
Resposta correta: C
Pergunta #68
A principal razão para a certificação interna de aplicações comerciais baseadas na Web é garantir:
A. Conformidade com as normas do sector
B. são identificadas alterações ao quadro de políticas organizacionais
C. Está a ser utilizada tecnologia Web actualizada
D. conformidade com as políticas organizacionais
Ver resposta
Resposta correta: D
Pergunta #69
Ao recomendar um controlo preventivo contra o cross-site scripting em aplicações Web, é MAIS provável que um gestor de segurança da informação sugira
A. Utilizar https em vez de http
B. normas de codificação e revisão do código
C. Consolidação de vários sítios num único portal
D. Reforço do sistema operativo do servidor Web
Ver resposta
Resposta correta: B
Pergunta #70
Qual das seguintes opções seria a MAIS importante a incluir numa política de "trazer o seu próprio dispositivo" (BYOD) no que respeita a dispositivos perdidos ou roubados? A necessidade de os funcionários:
A. iniciar o processo de comunicação de incidentes da empresa
B. procurar aconselhamento junto do fornecedor de serviços móveis
C. notificar as autoridades policiais locais
D. solicitar uma limpeza remota do dispositivo
Ver resposta
Resposta correta: D
Pergunta #71
Uma organização está a considerar uma solução de autosserviço para a implementação de servidores de desenvolvimento virtualizados. Qual das seguintes opções deve ser a preocupação PRIMÁRIA do gerente de segurança da informação?
A. Capacidade para manter a base de segurança do servidor
B. Capacidade de se manter atualizado com os patches
C. Geração de registos de eventos de segurança excessivos
D. Segregação de servidores do ambiente de produção
Ver resposta
Resposta correta: D
Pergunta #72
Qual das seguintes opções deve ser a consideração MAIS importante ao implementar uma estrutura de segurança da informação?
A. Requisitos de conformidade
B. Constatações de auditoria
C. Apetência pelo risco
D. Capacidades técnicas
Ver resposta
Resposta correta: A
Pergunta #73
Qual das seguintes opções MELHOR reduz a probabilidade de fuga de informações privadas por correio eletrónico?
A. Encriptação de correio eletrónico
B. Formação de sensibilização dos utilizadores
C. Protocolos de autenticação forte do utilizador
D. Proibição da utilização pessoal do correio eletrónico
Ver resposta
Resposta correta: D
Pergunta #74
Durante uma revisão anual de segurança dos servidores de uma organização, verificou-se que o servidor de ficheiros da equipa de apoio ao cliente, que contém dados sensíveis dos clientes, está acessível a todos os IDs de utilizador da organização. Qual das seguintes acções deve o gestor de segurança da informação realizar PRIMEIRO?
A. Comunicar a situação ao proprietário dos dados
B. Remover os privilégios de acesso à pasta que contém os dados
C. Isolar o servidor da rede
D. Dar formação à equipa de apoio ao cliente sobre o controlo adequado das permissões de ficheiros
Ver resposta
Resposta correta: A
Pergunta #75
Uma auditoria de controlo interno revelou uma deficiência de controlo relacionada com um sistema antigo em que os controlos de compensação já não parecem ser eficazes. Qual das seguintes opções MELHOR ajudaria o gestor de segurança da informação a determinar os requisitos de segurança para resolver a deficiência de controlo?
A. Avaliação dos riscos
B. Análise das lacunas
C. Análise custo-benefício
D. Caso de negócio
Ver resposta
Resposta correta: B
Pergunta #76
Qual dos seguintes é o fator MAIS importante na seleção de um indicador-chave de risco (KRI) por parte de uma organização?
A. Rendimento do investimento
B. Cultura organizacional
C. Requisitos de conformidade
D. Criticidade da informação
Ver resposta
Resposta correta: D
Pergunta #77
Qual dos seguintes é o objetivo PRIMÁRIO de uma análise de impacto comercial (BIA)?
A. Analisar as vulnerabilidades
B. Determinar as prioridades de recuperação
C. Confirmar a eficácia do controlo
D. Definir o objetivo do ponto de recuperação (RPO)
Ver resposta
Resposta correta: D

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.