Em um ambiente de Tecnologia da Informação, o princípio da ...

Próximas questões
Com base no mesmo assunto
Q3885132 Segurança da Informação
Em um ambiente de Tecnologia da Informação, o princípio da Segregação de Funções (SoD - Separation of Duties) é rigorosamente aplicado. Um Analista de Sistemas é designado para desenvolver e testar novas funcionalidades em um sistema de missão crítica. Conforme a política de segurança, esse mesmo analista não possui permissão para realizar a implementação (deployment) do código final no ambiente de produção.
O seguinte risco ou ameaça de segurança e governança o princípio da Segregação de Funções é projetado primariamente para mitigar o problema nesse cenário específico:
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: C

Fundamento decisivo: O conceito decisivo é que a Segregação de Funções distribui etapas críticas entre pessoas distintas para evitar que um único agente concentre poder sobre um processo sensível. Como o enunciado separa desenvolver/testar de implantar em produção, isso aponta para a mitigação primária de risco interno de fraude e conluio.

Tema central: Segregação de Funções
Análise das alternativas
A
Errada
Está errada porque phishing e engenharia social são ameaças externas ou comportamentais mitigadas principalmente por conscientização, autenticação e controles de comunicação. A segregação entre desenvolvimento e deployment é um controle de responsabilidades internas, não um mecanismo primário contra esse tipo de ataque.
B
Errada
Está errada porque ataques de DoS afetam disponibilidade e são tratados por arquitetura, capacidade, filtragem e proteção de rede. O cenário trata de autorização interna sobre mudança em produção, não de tráfego malicioso ou exaustão de serviço.
C
Certa
A alternativa C está certa porque a finalidade primária da Segregação de Funções é evitar acúmulo de funções incompatíveis em processos sensíveis. No caso, impedir que a mesma pessoa desenvolva, teste e faça o deployment em produção reduz oportunidade de abuso de privilégio, fraude interna e ações não detectadas por um único agente. Trata-se de controle preventivo de governança interna voltado à distribuição de responsabilidades críticas.
D
Errada
Está errada porque falha de hardware é risco de infraestrutura e continuidade, mitigado por redundância, manutenção e contingência. A Segregação de Funções atua sobre pessoas e processos, não sobre defeito físico de equipamento.
E
Errada
Está errada porque vulnerabilidades zero-day são enfrentadas por gestão de vulnerabilidades, defesa em profundidade e resposta a incidentes. O controle descrito limita concentração de poder interno sobre mudanças, mas não é o controle primário para impedir surgimento ou exploração técnica de falhas desconhecidas.
Pegadinha da questão
A confusão explorada foi tratar a Segregação de Funções como se fosse um controle técnico geral contra ameaças externas ou de disponibilidade, quando seu objetivo primário é reduzir fraude, abuso e ações não supervisionadas em processos internos sensíveis.
Dica para questões semelhantes
  • Quando a questão mencionar separar desenvolvimento, teste, aprovação ou implantação, pense primeiro em funções incompatíveis e risco interno de abuso ou fraude.
  • Distingua controle de governança interna de controle técnico: SoD distribui responsabilidades entre pessoas, não bloqueia diretamente phishing, DoS, falha de hardware ou zero-day.
  • Se o foco do enunciado for impedir que uma única pessoa execute todas as etapas críticas, a finalidade primária do controle é reduzir oportunidade de irregularidade não detectada.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

O princípio de Segregação de Funções (SoD – Separation of Duties) existe para evitar que uma única pessoa tenha controle total sobre um processo crítico. Em TI, isso significa que quem desenvolve/testa o código não deve ser o mesmo que implanta o código em produção.

Isso reduz o risco de que alguém:

  • introduza uma funcionalidade maliciosa de propósito,
  • modifique o sistema para benefício próprio,
  • ou manipule dados/procedimentos sem detecção.

Ao exigir que etapas diferentes sejam executadas por pessoas distintas, a organização cria um mecanismo de dupla verificação, que é justamente o que impede fraude interna ou conluio. (Fonte: IA)

ABSURDO ISSO AQUI ! NÃO TEM PROFESSOR PRA COMENTAR ! SENHORES E SENHORAS CONCURSEIRAS, VAMOS PEDIR COMENTÁRIO DO PROFESSOR, POR OBSÉQUIO !!

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo