NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Prepare-se estrategicamente para o exame CSA CCAK com testes práticos

As perguntas práticas do CSA CCAK da SPOTO são um recurso valioso para quem se prepara para o exame Certificate of Cloud Auditing Knowledge (CCAK). Estes testes práticos oferecem perguntas e respostas abrangentes, reflectindo de perto o formato do exame real. Ao utilizarem regularmente as perguntas práticas da SPOTO, os candidatos podem simular as condições do exame, identificar áreas a melhorar e ganhar confiança nos seus conhecimentos. Os exames de simulação da SPOTO, juntamente com os seus extensos recursos de preparação para exames e materiais de estudo, fornecem uma base sólida para o sucesso. Com os recursos de exame da SPOTO, os candidatos podem preparar-se eficazmente e aumentar as suas hipóteses de passar com êxito no exame CCAK.
Faça outros exames online
Pergunta #1
Um contratante independente está a avaliar a maturidade da segurança de uma empresa de SaaS em relação às normas do sector. A empresa de SaaS desenvolveu e hospedou todos os seus produtos usando os serviços de nuvem fornecidos por um provedor de serviços de nuvem (CSP) terceirizado. Qual é o mecanismo ideal e mais eficiente para avaliar os controlos pelos quais o CSP é responsável?
A. Analisar os relatórios de auditoria de terceiros
B. Analisar os questionários publicados pelo CSP
C. Auditar diretamente o PSC
D. nviar o questionário do fornecedor ao CSP
Ver resposta
Resposta correta: B
Pergunta #2
Que áreas devem ser analisadas ao auditar uma nuvem pública?
A. Correção de erros, revisões do código fonte, hipervisor, controlos de acesso
B. Gestão da identidade e do acesso, proteção de dados
C. Correção de erros, configuração, hipervisor, cópias de segurança
D. Gestão de vulnerabilidades, análises de cibersegurança, aplicação de correcções
Ver resposta
Resposta correta: B
Pergunta #3
Qual dos seguintes intervenientes principais deve ser identificado o mais cedo possível quando uma organização está a conceber um programa de conformidade com a nuvem?
A. Proprietários de processos na nuvem
B. Função de controlo interno
C. Funções jurídicas
D. Proprietários de estratégias de nuvem
Ver resposta
Resposta correta: A
Pergunta #4
Qual das seguintes actividades do CSP requer a aprovação do cliente?
A. liminar a conta de convidado ou as contas de teste
B. liminar a conta principal ou as contas do proprietário da subscrição
C. liminar a conta de convidado ou destruir os dados de teste
D. liminar as contas de teste ou destruir os dados de teste
Ver resposta
Resposta correta: D
Pergunta #5
Um fornecedor de serviços de nuvem não permite auditorias que utilizem ferramentas automatizadas, uma vez que estas ferramentas podem ser consideradas técnicas destrutivas para o ambiente de nuvem. Qual dos seguintes aspectos da auditoria será restringido?
A. Objetivo
B. Objectivos
C. Natureza da relação
D. Âmbito de aplicação
Ver resposta
Resposta correta: B
Pergunta #6
Uma organização tem um SGSI implementado, seguindo a norma ISO 27001 e os controlos do Anexo A. O CIO gostaria de migrar algumas das infra-estruturas para a nuvem. Qual das seguintes normas seria a MELHOR ajuda para identificar os controlos a considerar para esta migração?
A. SO/IEC 27701
B. SO/IEC 22301
C. SO/IEC 27002
D. SO/IEC 27017
Ver resposta
Resposta correta: D
Pergunta #7
Uma organização está nas fases iniciais da adoção da nuvem. Não tem muito conhecimento sobre a segurança na nuvem e os modelos de responsabilidade partilhada na nuvem. Qual das seguintes abordagens é a MELHOR adequada para essa organização avaliar sua segurança na nuvem?
A. Utilização de uma norma/regulamento estabelecido para identificar os controlos e utilizá-los como critérios de auditoria
B. Por razões de eficiência, utilização dos critérios de auditoria dos seus sistemas locais para auditar o ambiente de computação em nuvem
C. Como esta é a fase inicial, o certificado ISO/IEC 27001 partilhado pelo fornecedor de serviços de computação em nuvem é suficiente para fins de auditoria e conformidade
D. Desenvolvimento dos critérios de auditoria da segurança da computação em nuvem com base nos seus próprios planos de testes de auditoria interna para garantir uma cobertura adequada
Ver resposta
Resposta correta: A
Pergunta #8
Qual das seguintes estruturas de controlo deve o cliente da nuvem utilizar para avaliar o risco global de segurança de um fornecedor de serviços de computação em nuvem?
A. OC3 - Tipo2
B. Matriz de controlo da computação em nuvem (CCM)
C. OC2 - Tipo1
D. OC1 - Tipo1
Ver resposta
Resposta correta: C
Pergunta #9
Qual dos seguintes aspectos da gestão do risco envolve a identificação do potencial dano à reputação e/ou do dano financeiro quando ocorre um incidente?
A. Mitigações
B. Risco residual
C. Probabilidade
D. Análise de impacto
Ver resposta
Resposta correta: D
Pergunta #10
Quando se utiliza uma solução SaaS, quem é responsável pela segurança da aplicação?
A. Apenas o fornecedor de serviços de computação em nuvem
B. Apenas o consumidor do serviço de computação em nuvem
C. Tanto o consumidor da nuvem como a empresa
D. Tanto o fornecedor de serviços de computação em nuvem como o consumidor
Ver resposta
Resposta correta: A
Pergunta #11
Qual dos seguintes seria o MAIOR desafio de governação para uma organização em que a produção está alojada numa nuvem pública e as cópias de segurança são mantidas nas instalações?
A. Alinhar a prestação de serviços na nuvem com o objetivo da organização
B. Alinhando o SLA do provedor de nuvem com a política da organização
C. Alinhamento das responsabilidades partilhadas entre o fornecedor e o cliente
D. Alinhar a atividade da organização com a política do fornecedor de serviços na nuvem
Ver resposta
Resposta correta: A
Pergunta #12
Que aspectos da funcionalidade e das operações de SaaS seriam da responsabilidade do cliente da nuvem e deveriam ser objeto de auditoria?
A. Controlos de acesso
B. Gestão de vulnerabilidades
C. Revisões do código fonte
D. Remendos
Ver resposta
Resposta correta: A
Pergunta #13
O Quadro de Certificação Aberta está estruturado em três níveis de confiança. Esses três níveis de confiança são:
A. SA Autoavaliação STAR, Certificação e atestação STAR (avaliação por terceiros), Conformidade STAR
B. SA Auditoria STAR, Certificação e atestação STAR (avaliação por terceiros), STAR Contínua
C. SA Autoavaliação STAR, Certificação e atestação STAR (avaliação por terceiros), Monitorização e controlo STAR
D. SA Autoavaliação STAR, Certificação e Atestação STAR (Avaliação por Terceiros), STAR Contínua
Ver resposta
Resposta correta: D
Pergunta #14
Qual dos seguintes é um conceito fundamental do FedRAMP que pretende poupar custos, tempo e pessoal na realização de avaliações de segurança supérfluas da agência?
A. sar frequentemente, fornecer muitas vezes
B. Ser económico, agir deliberadamente
C. Utilizar o existente, fornecer muitas vezes
D. Fazer uma vez, usar muitas vezes
Ver resposta
Resposta correta: D
Pergunta #15
Qual dos seguintes é o risco associado ao armazenamento de dados numa nuvem que atravessa jurisdições?
A. Risco de conformidade
B. Risco de administração do fornecedor
C. Risco de auditoria
D. Risco de virtualização
Ver resposta
Resposta correta: A
Pergunta #16
Uma vez que a CCM permite que os clientes de serviços de computação em nuvem elaborem uma lista pormenorizada de requisitos e controlos a implementar pelo PSC como parte do seu programa global de gestão de riscos e de aquisições de terceiros, será a CCM, por si só, suficiente para definir todos os elementos a ter em conta na operação/utilização de serviços de computação em nuvem?
A. ão
B. im
C. im
D. ão
Ver resposta
Resposta correta: C
Pergunta #17
Durante uma auditoria, foi identificado que uma aplicação crítica alojada numa nuvem fora das instalações não faz parte do DRP (Plano de Recuperação de Desastres) da organização. A gerência declarou que é responsável por garantir que o provedor de serviços de nuvem (CSP) tenha um plano que seja testado anualmente. Qual deve ser o próximo curso de ação do auditor?
A. nalisar os relatórios de auditoria do PEC
B. Analisar o livro branco de segurança do PSC
C. ever o contrato e a capacidade de RD
D. lanear uma auditoria do CSP
Ver resposta
Resposta correta: B
Pergunta #18
Qual das seguintes é a MELHOR recomendação a oferecer ao departamento de RH de uma organização que está a planear adotar uma nova aplicação SaaS pública para facilitar o processo de recrutamento?
A. ssegurar a conformidade com a HIPAA
B. Implementar um corretor de segurança de acesso à nuvem
C. Consultar o serviço jurídico
D. Não permitir que os dados estejam em cleratext
Ver resposta
Resposta correta: B
Pergunta #19
Em que controlo deve um fornecedor de serviços de computação em nuvem, mediante pedido, informar os clientes sobre o impacto e o risco da conformidade, especialmente se os dados dos clientes forem utilizados como parte dos serviços?
A. Controlo do fornecedor de serviços
B. Impacto e controlo dos riscos
C. ontrolo do inventário de dados
D. Controlo da conformidade
Ver resposta
Resposta correta: A
Pergunta #20
Qual é a vantagem de utilizar o teste dinâmico de segurança das aplicações (DAST) em relação à metodologia de teste estático de segurança das aplicações (SAST)?
A. Ao contrário do SAST, o DAST é uma caixa negra e não depende da linguagem de programação
B. DAST pode integrar-se dinamicamente com a maioria das ferramentas de CI/CD
C. O DAST dá mais falsos positivos do que o SAST
D. AST é mais lento mas completo
Ver resposta
Resposta correta: A
Pergunta #21
Qual das seguintes é uma vantagem direta do mapeamento da Matriz de Controlo da Nuvem (CCM) para outras normas e regulamentos internacionais?
A. mapeamento A
B. mapeamento B
C. cartografia da C
D. mapeamento D
Ver resposta
Resposta correta: B
Pergunta #22
Os critérios para limitar os serviços, permitindo que serviços não críticos ou serviços que exigem alta disponibilidade e resiliência sejam transferidos para a nuvem, são uma consideração importante que deve ser incluída PRIMARIAMENTE na:
A. Política de gestão de riscos
B. olítica de nuvem
C. lano de continuidade das actividades
D. Norma de segurança da informação para tecnologias de computação em nuvem
Ver resposta
Resposta correta: C
Pergunta #23
Qual dos seguintes deve ser o PRIMEIRO passo para estabelecer um programa de garantia da nuvem durante uma migração para a nuvem?
A. Conceção
B. Identificação das partes interessadas
C. esenvolvimento
D. Avaliação dos riscos
Ver resposta
Resposta correta: C
Pergunta #24
A interface de gestão de clientes, se for comprometida através da Internet pública, pode dar origem a:
A. Compromisso dos dados e da informática do cliente
B. cesso à RAM do computador de nuvem vizinho
C. acilidade de aquisição de serviços de computação em nuvem
D. impeza incompleta dos dados
Ver resposta
Resposta correta: A
Pergunta #25
Para ajudar uma organização a planear uma estratégia de migração para a nuvem até à execução, um auditor deve recomendar a utilização de:
A. rquitetura orientada para os objectos
B. rquitetura de software
C. rquitetura orientada para os serviços
D. rquitetura empresarial
Ver resposta
Resposta correta: C
Pergunta #26
Como é que os controlos devem ser concebidos por uma organização?
A. Pela equipa de auditoria interna
B. Utilizar o quadro ISO27001
C. Pelo fornecedor de serviços de computação em nuvem
D. Utilizar o quadro de gestão do risco da organização
Ver resposta
Resposta correta: A
Pergunta #27
Qual das seguintes medidas quantitativas é CHAVE para um auditor analisar ao avaliar a implementação da auditoria contínua do desempenho num sistema de nuvem?
A. Objetivo de nível de serviço (SLO)
B. Objectivos do ponto de recuperação (RPO)
C. Acordo de nível de serviço (SLA)
D. Objectivos de tempo de recuperação (RTO)
Ver resposta
Resposta correta: C
Pergunta #28
A sua empresa está a comprar uma aplicação a um fornecedor. Este não o autoriza a efetuar uma auditoria no local ao seu sistema de informação. No entanto, dizem que fornecerão o certificado de auditoria de terceiros sobre a conceção adequada do controlo no seu ambiente. Que relatório é que o fornecedor lhe está a fornecer?
A. OC 3
B. OC 2, TIPO 2
C. OC 1
D. OC 2, TIPO 1
Ver resposta
Resposta correta: B
Pergunta #29
Quais das seguintes actividades fazem parte da fase de implementação de um programa de garantia da nuvem durante uma migração para a nuvem?
A. Desenvolvimento dos objectivos e requisitos de monitorização
B. dentificação de processos, funções e sistemas
C. Identificação das leis, regulamentos e normas pertinentes
D. Identificação das funções e responsabilidades
Ver resposta
Resposta correta: B
Pergunta #30
Qual dos seguintes seria considerado um fator de confiança num fornecedor de serviços de computação em nuvem?
A. O nível de exposição da informação ao público
B. O nível de competências técnicas comprovadas
C. O nível de vontade de cooperar
D. O nível de provas de fonte aberta disponíveis
Ver resposta
Resposta correta: C
Pergunta #31
Ao migrar para um ambiente de nuvem, qual das seguintes opções deve ser o principal motivador para a utilização da encriptação?
A. Capacidades de encriptação do fornecedor de serviços em nuvem
B. A presença de informações pessoais
C. Políticas de segurança organizacionais
D. Análise custo-benefício
Ver resposta
Resposta correta: A
Pergunta #32
Um objetivo de certificação ajuda na formação de um quadro de certificação contínuo, incorporando:
A. Certificação CSA STAR de nível 2
B. Objetivo do nível de serviço e objetivo qualitativo do serviço
C. requência de avaliação dos atributos de segurança
D. escrição do âmbito e atributos de segurança a testar
Ver resposta
Resposta correta: B
Pergunta #33
Nos três modelos de implantação na nuvem (IaaS, PaaS e SaaS), quem é responsável pela aplicação de patches na camada do hipervisor?
A. Cliente do serviço de nuvem
B. Responsabilidade partilhada
C. Fornecedor de serviços em nuvem
D. Não é necessário aplicar patches na camada do hipervisor
Ver resposta
Resposta correta: A
Pergunta #34
Os acordos da cadeia de fornecimento entre os CSP e os clientes de computação em nuvem devem, no mínimo, incluir:
A. Organigrama do CSP
B. Políticas e procedimentos do cliente da nuvem
C. Auditorias, avaliações e verificação independente das certificações de conformidade com os termos do acordo
D. Directrizes regulamentares que afectam o cliente da nuvem
Ver resposta
Resposta correta: C
Pergunta #35
Qual das seguintes condições contratuais é necessária para satisfazer o requisito de uma empresa que precisa de mover dados de um CSP para outro?
A. Arrastar e largar
B. Levantar e deslocar
C. Flexibilidade de movimentos
D. ransição e portabilidade dos dados
Ver resposta
Resposta correta: D
Pergunta #36
Qual das seguintes é uma solução nativa da nuvem concebida para combater ameaças que não existem na empresa?
A. Controlo de acesso baseado em políticas
B. Controlo de acesso baseado em atributos
C. Controlo de acesso baseado em regras
D. Controlo de acesso baseado em funções
Ver resposta
Resposta correta: C
Pergunta #37
O modelo Cloud Octagon foi desenvolvido para apoiar as organizações:
A. Metodologia de avaliação de riscos
B. Metodologia de tratamento de riscos
C. etodologia de resposta a incidentes
D. Metodologia de deteção de incidentes
Ver resposta
Resposta correta: A

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.