Gabarito: E – errado

Tema central da questão:

A questão aborda o gerenciamento de chaves segundo a ABNT NBR ISO/IEC 27002:2022. O foco está em como tratar chaves comprometidas dentro de uma política de segurança da informação.

Resumo teórico:

Gerenciamento de chaves é o conjunto de práticas para criar, armazenar, utilizar, alterar e destruir chaves criptográficas de forma segura. A ISO/IEC 27002 indica que, quando uma chave é comprometida, a organização deve agir rapidamente para interromper seu uso e, se necessário, destruí-la de forma segura.

Essas ações visam prevenir o uso indevido e eliminar riscos decorrentes do comprometimento. O registro e auditoria de atividades são essenciais para rastrear o ciclo de vida das chaves, mas não há recomendação para arquivar chaves comprometidas indefinidamente; ao contrário, elas devem ser removidas do ambiente operacional.

Fonte: ISO/IEC 27002:2022, seção 10.10.

Justificativa da alternativa correta:

A afirmação está errada porque não se deve manter chaves comprometidas arquivadas. Elas devem ser destruídas de maneira segura após o comprometimento, conforme estipula a norma. Guardar chaves comprometidas pode representar um risco adicional de segurança!

Manter registro e auditoria das atividades relacionadas ao gerenciamento de chaves está correto, mas o erro está em jamais destruir chaves comprometidas e apenas arquivá-las.

Dicas de interpretação e pegadinhas:

Palavras como “jamais” e “somente” costumam indicar generalizações perigosas. Sempre desconfie quando a alternativa sugere um procedimento inflexível, especialmente em temas de segurança da informação, que exigem ações rápidas e seguras.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Gab: Errado.

De acordo com as práticas recomendadas na ABNT NBR ISO/IEC 27002:2022, a gestão de chaves é um aspecto crítico da segurança da informação.

Vou separar em três partes:

Parte 01 - É verdade que uma política de gerenciamento de chaves deve estabelecer procedimentos para lidar com chaves comprometidas. A ideia principal é proteger o ambiente de possíveis danos decorrentes de chaves que possam ter sido comprometidas.

Parte 02 - Em relação à afirmação: "o registro e a auditoria das atividades relacionadas ao gerenciamento de chaves", está alinhada com as boas práticas de segurança, permitindo rastrear atividades e identificar potenciais problemas ou violações.

Parte 03 - "a declaração sobre JAMAIS destruir chaves comprometidas e apenas arquivá-las" .

Em alguns casos, a destruição de chaves comprometidas pode ser recomendada como uma medida de segurança adicional para evitar seu uso malicioso. O arquivamento das chaves comprometidas pode ser uma prática útil para referência futura e fins de investigação, contudo, manter essas chaves ativas no ambiente pode representar um risco.

1. A ideia principal é proteger o ambiente de possíveis danos decorrentes de chaves que possam ter sido comprometidas.

2. Em alguns casos, a destruição de chaves comprometidas pode ser recomendada como uma medida de segurança adicional para evitar seu uso malicioso. O arquivamento das chaves comprometidas pode ser uma prática útil para referência futura e fins de investigação, contudo, manter essas chaves ativas no ambiente pode representar um risco.

ERRADO!

Uma política de gerenciamento de chaves deve estabelecer a forma apropriada de lidar com chaves comprometidas: deve-se manter registro e auditoria das atividades que tenham relação com o gerenciamento de chaves e não se deve jamais destruir chaves comprometidas, as quais devem ser somente arquivadas. 

De acordo com a ISO 27002

10.1.2 Gerenciamento de chaves

Controle: Convém que uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, seja desenvolvida e implementada ao longo de todo o seu ciclo de vida.

Diretrizes para implementação

Convém que a política inclua requisitos para o gerenciamento de chaves criptográficas ao longo de todo o seu ciclo de vida incluindo, a geração, armazenagem, arquivo, recuperação, distribuição, retirada e destruição das chaves. 

Colegas, alguém pode me informar onde posso baixar ou adquirir o material completo: ABNT NBR ISO/IEC 27002:2022 ?

Desde já, agradeço quem poder me informar.