Uma empresa do setor financeiro decidiu revisar seu
modelo de controle de acesso após auditoria interna
identificar inconsistências na concessão de privilégios,
ausência de rastreabilidade adequada em acessos
administrativos e acúmulo de perfis incompatíveis em
determinados usuários. O ambiente tecnológico envolve
diretório centralizado de usuários, aplicações
corporativas integradas via autenticação federada e
banco de dados com informações sensíveis. Durante a
reestruturação, discutiram-se modelos como RBAC,
ABAC e mecanismos de autenticação multifator, além da
necessidade de segregação de funções. Considerando
boas práticas de segurança da informação e governança
de acessos, assinale a alternativa CORRETA.

Question

Uma empresa do setor financeiro decidiu revisar seu
modelo de controle de acesso após auditoria interna
identificar inconsistências na concessão de privilégios,
ausência de rastreabilidade adequada em acessos
administrativos e acúmulo de perfis incompatíveis em
determinados usuários. O ambiente tecnológico envolve
diretório centralizado de usuários, aplicações
corporativas integradas via autenticação federada e
banco de dados com informações sensíveis. Durante a
reestruturação, discutiram-se modelos como RBAC,
ABAC e mecanismos de autenticação multifator, além da
necessidade de segregação de funções. Considerando
boas práticas de segurança da informação e governança
de acessos, assinale a alternativa CORRETA.  Alternativa A: O controle de acesso lógico substitui integralmente a
necessidade de controles físicos, uma vez que a
proteção ocorre no nível do sistema.  Ou Alternativa B: A segregação de funções é princípio aplicável
exclusivamente a sistemas financeiros, não sendo
pertinente a ambientes administrativos ou
operacionais. Ou Alternativa C: A autenticação multifator eleva o nível de confiança
no processo de identificação, combinando fatores
distintos, como algo que o usuário sabe e algo que
possui. Ou Alternativa D: O uso de contas compartilhadas é aceitável em
ambientes corporativos desde que exista senha
complexa e alteração periódica obrigatória.  Ou Alternativa E: No modelo RBAC (Role-Based Access Control), as
permissões são atribuídas diretamente aos usuários
finais, dispensando a criação de papéis
intermediários.

Qconcursos · Accepted Answer

Alternativa [C] A autenticação multifator eleva o nível de confiança
no processo de identificação, combinando fatores
distintos, como algo que o usuário sabe e algo que
possui. Gabarito: CFundamento decisivo: O elemento decisivo era a menção, no enunciado, à autenticação multifator, pois isso direciona a resposta para a alternativa que descreve corretamente esse mecanismo.Tema central: Autenticação multifatorAnálise das alternativasAErradaEstá errada porque afirma substituição integral dos controles físicos pelos lógicos. Pela base, esses controles são complementares e atuam em camadas diferentes de proteção; controle lógico não elimina a necessidade de controle físico.BErradaEstá errada porque limita a segregação de funções aos sistemas financeiros. Pela base, segregação de funções é princípio geral de controle interno, governança e segurança, aplicável também a ambientes administrativos e operacionais.CCertaA alternativa C está correta porque a autenticação multifator combina fatores de categorias distintas de autenticação, como algo que o usuário sabe e algo que possui, elevando a confiança no processo.DErradaEstá errada porque considera aceitáveis contas compartilhadas apenas com senha complexa e troca periódica. Isso confronta diretamente a base, segundo a qual contas compartilhadas comprometem identificação individual, responsabilização e rastreabilidade, especialmente em acessos administrativos.EErradaEstá errada porque descreve o oposto do modelo RBAC. No RBAC, as permissões são associadas a papéis, e os usuários são vinculados a esses papéis; a atribuição direta de permissões aos usuários não é a lógica característica do modelo.Pegadinha da questãoA confusão principal era trocar o conceito de autenticação multifator por qualquer reforço de autenticação e, nas demais opções, aceitar enunciados que negam princípios básicos de governança de acessos, como complementaridade de controles, segregação de funções, rastreabilidade individual e uso de papéis no RBAC.Dica para questões semelhantesQuando a alternativa tratar de MFA, confirme se há combinação de fatores de categorias distintas, e não apenas reforço do mesmo tipo de fator.Em controle de acesso, descarte afirmações de substituição total entre controles físicos e lógicos; a lógica correta é complementaridade.Em questões sobre governança de acessos, segregação de funções é princípio amplo, não restrito ao contexto financeiro.Se a alternativa disser que RBAC atribui permissões diretamente ao usuário como regra do modelo, elimine-a: no RBAC, o vínculo central é usuário-papel-permissão.

Uma empresa do setor financeiro decidiu revisar seu modelo ...

Gabarito comentado

Gabarito: C

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas