Em uma empresa de médio porte que armazena dados
de clientes em servidores próprios, o setor de TI
identificou acessos não autorizados em horários fora do
expediente. O analista responsável foi orientado a
revisar as políticas de segurança, os controles de acesso
e os procedimentos de autenticação. Considerando boas
práticas de Segurança da Informação, assinale a
alternativa correta:

Question

Em uma empresa de médio porte que armazena dados
de clientes em servidores próprios, o setor de TI
identificou acessos não autorizados em horários fora do
expediente. O analista responsável foi orientado a
revisar as políticas de segurança, os controles de acesso
e os procedimentos de autenticação. Considerando boas
práticas de Segurança da Informação, assinale a
alternativa correta: Alternativa A: A atualização de sistemas deve ser feita apenas
quando surgirem falhas graves conhecidas, evitando
instabilidade causada por atualizações frequentes. Ou Alternativa B: O compartilhamento de credenciais entre usuários de
um mesmo setor é aceitável quando há confiança
entre os membros da equipe e controle físico do
ambiente. Ou Alternativa C: O uso de senhas complexas é suficiente para
garantir a segurança de acesso, tornando
dispensável o monitoramento de logs e auditorias. Ou Alternativa D: A autenticação multifator (MFA) reduz o risco de
invasão, pois combina ao menos dois elementos
distintos de verificação, como senha e código
temporário.

Qconcursos · Accepted Answer

Alternativa [D] A autenticação multifator (MFA) reduz o risco de
invasão, pois combina ao menos dois elementos
distintos de verificação, como senha e código
temporário. Gabarito: DFundamento decisivo: O elemento decisivo era identificar a alternativa que descreve uma boa prática de autenticação compatível com a revisão dos controles de acesso: a MFA, que usa dois ou mais fatores distintos de verificação.Tema central: Autenticação multifatorAnálise das alternativasAErradaEstá errada porque trata atualização de sistemas como medida apenas reativa a falhas graves conhecidas. A base afirma que gestão de patches é medida preventiva, portanto boa prática de segurança não restringe atualização a incidentes graves já identificados.BErradaEstá errada porque admite compartilhamento de credenciais entre usuários. Isso viola a exigência de credencial individual e intransferível, comprometendo identificação do usuário, rastreabilidade, responsabilização e controle de acesso.CErradaEstá errada porque atribui suficiência às senhas complexas e dispensa logs e auditorias. A base é expressa em que senha forte não substitui monitoramento, registro e auditoria, pois controles preventivos e detectivos são complementares.DCertaA alternativa D está correta porque descreve a autenticação multifator como o uso de ao menos dois elementos distintos de verificação, como senha e código temporário. Esse é o conceito consolidado de MFA, cuja função é reforçar o controle de acesso e reduzir o risco de invasão.Pegadinha da questãoA armadilha era confundir uma medida de segurança isolada com suficiência total: atualizar só após falha grave, compartilhar credenciais por confiança interna ou achar que senha forte dispensa monitoramento.Dica para questões semelhantesEm questões sobre autenticação, valide primeiro se a alternativa descreve corretamente os fatores de verificação e sua finalidade.Rejeite alternativas que substituem prevenção por reação, como atualizar sistemas apenas depois de falhas graves.Elimine opções que negam a individualização da credencial, porque autenticação e auditoria dependem de identificação pessoal.Considere controles de acesso, senhas, logs e auditoria como camadas complementares, não como mecanismos excludentes.

Em uma empresa de médio porte que armazena dados de cliente...

Gabarito comentado

Gabarito: D

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas