Para resolver esta questão, o tema central é a autenticação forte em um sistema de controle de acesso lógico baseado no modelo de RBAC (Role-Based Access Control).

O RBAC é um modelo que gerencia permissões com base em papéis (ou funções) atribuídos aos usuários. O objetivo é garantir que somente os usuários corretos acessem os recursos apropriados. Na situação descrita, foi observado que usuários administrativos estavam acessando recursos sem a devida autenticação forte, o que representa um risco de segurança importante.

A autenticação forte geralmente envolve múltiplos fatores de verificação, como senhas e tokens, e é crucial para proteger informações sensíveis. Conforme a auditoria interna apontou a ausência dessa prática, é necessário corrigir essa falha para proteger os dados críticos do sistema.

Alternativa Correta: C - Configurar regras de autorização para que os administradores também estejam sujeitos ao controle de autenticação forte, sem exceções.

Justificativa: A alternativa C trata diretamente do problema identificado na auditoria. Ao configurar regras de autorização que exijam autenticação forte para todos, incluindo administradores, garantimos que ninguém tenha acesso indevido aos recursos críticos sem passar por verificações de segurança adequadas. Isso se alinha com práticas recomendadas em segurança da informação.

Análise das Alternativas Incorretas:

A: Implementar um log de auditoria mais robusto é importante, mas não resolve imediatamente o problema de acesso sem autenticação forte. O log é uma ferramenta de monitoramento, não de bloqueio ou controle de acesso.

B: Redefinir senhas dos usuários administrativos pode ser uma medida temporária, mas não garante que a autenticação forte seja implementada. Além disso, novas senhas podem ser comprometidas novamente se não forem acompanhadas de outros fatores de autenticação.

D: Configurar um timeout para encerrar sessões inativas é uma boa prática de segurança, mas não impede que usuários acessem o sistema sem autenticação forte inicialmente.

E: Adotar uma solução de Single Sign-On (SSO) facilita a gestão de autenticações, mas não necessariamente implementa autenticação forte para acessar recursos críticos.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Errei a questão, mas acho que a letra C pode levar ao erro (que foi o meu) quando fala em "administradores". No contexto da questão entendi que "usuários com funções administrativas" eram usuários do setor administrativo do Tribunal e não usuários com perfil de "adminstradores" que foi o termo usado na letra C. Usuários administrativos e usuários administradores podem significar coisas diferentes num contexto de um Tribunal onde "administrativo" é um perfil de carreira. Se eu errasse nesta prova entraria com recurso.

Aplicar autenticação forte é crucial para proteger recursos críticos, especialmente para usuários com privilégios elevados, como administradores.

O RBAC é um modelo no qual permissões são atribuídas com base em papéis (roles), e cada usuário assume um ou mais papéis para acessar recursos.

Exemplo de papéis:

• Leitor
• Editor
• Administrador

Cada papel deve estar vinculado a políticas de autenticação e autorização específicas, especialmente em sistemas com dados sensíveis ou críticos, como os de um tribunal.

Portanto, ítem C é o correto

c-

no caso qual modelo esta sendo usado, RBAC1 (hierarquias) ou RBAC2 (restrições), parece RBAC2, porque o conceito separation of duties esta alinhado ao restringir administradores aos mesmos controles.

In cybersecurity, Separation of Duties (SoD) is a principle that prevents any single individual from having complete control over a critical task, process, or system by dividing responsibilities among multiple people.

https://csrc.nist.gov/glossary/term/separation_of_duty

Gabarito C

A questão apresenta um problema clássico de configuração incorreta de privilégios. No modelo RBAC (Role-Based Access Control), o acesso é concedido com base nas funções (papéis) dos usuários. O erro identificado na auditoria foi que o papel de "administrador" estava herdando uma exceção ou contornando a política de segurança que exige autenticação forte (como MFA) para dados críticos.

Para corrigir uma falha de conformidade onde uma política existe, mas não está sendo aplicada a um grupo específico, a ação direta deve ser o ajuste das regras de política:

1. Eliminação de Exceções: Administradores possuem os maiores privilégios; portanto, são os alvos mais visados. Eles devem ser os primeiros a usar autenticação forte, nunca os últimos.
2. Princípio da Defesa em Profundidade: A configuração garante que o controle lógico de acesso seja aplicado uniformemente, fechando a lacuna que permitia o acesso apenas com autenticação simples (apenas senha).

Retroceder Nunca Render-se Jamais !

Força e Fé !

Fortuna Audaces Sequitur ! 

O que me levou a acertar essa questão marcando a letra C foi lembrar que a FCC gosta da Zero Trust Architecture e tem o hábito de cobrar assuntos relacionados, mesmo que implícitamente.