Uma empresa de tecnologia implementa políticas de
segurança para gerenciar o acesso aos seus sistemas
críticos. Ela deseja garantir que: usuários só possam
acessar os recursos necessários para suas funções
(princípio do menor privilégio); a atribuição de
permissões seja centralizada e baseada em funções
organizacionais; e alguns recursos altamente sensíveis
só possam ser acessados por usuários com níveis de
segurança específicos. A abordagem de controle de
acesso que atende corretamente a essas necessidades
é o

Question

Uma empresa de tecnologia implementa políticas de
segurança para gerenciar o acesso aos seus sistemas
críticos. Ela deseja garantir que: usuários só possam
acessar os recursos necessários para suas funções
(princípio do menor privilégio); a atribuição de
permissões seja centralizada e baseada em funções
organizacionais; e alguns recursos altamente sensíveis
só possam ser acessados por usuários com níveis de
segurança específicos. A abordagem de controle de
acesso que atende corretamente a essas necessidades
é o   Alternativa A: controle discricionário (DAC).  Ou Alternativa B: controle baseado em funções (RBAC).  Ou Alternativa C: controle baseado em listas de auditoria (ALC). Ou Alternativa D: controle físico de acesso.  Ou Alternativa E: controle por senha simples.

Qconcursos · Accepted Answer

Alternativa [B] controle baseado em funções (RBAC).  Gabarito: BFundamento decisivo: A expressão 'atribuição de permissões seja centralizada e baseada em funções organizacionais' é o elemento decisivo do enunciado e aponta diretamente para RBAC.Tema central: Modelos de controle de acessoAnálise das alternativasAErradaDAC depende da discricionariedade do proprietário do recurso para conceder acesso. Isso contrasta com a exigência de permissões centralizadas e baseadas em funções organizacionais.BCertaRBAC associa permissões a papéis ou funções organizacionais, de modo que os usuários recebem acesso conforme a função que exercem. Isso corresponde exatamente ao critério centralizado e baseado em funções descrito no enunciado.CErradaListas de auditoria servem para registro e monitoramento, não para estruturar a concessão de acesso por função. Portanto, não resolvem o problema de autorização descrito.DErradaControle físico trata do acesso a ambientes e instalações. A questão cobra controle de acesso lógico a sistemas críticos com base em papéis organizacionais.EErradaSenha simples é mecanismo de autenticação, não modelo de autorização nem forma de centralizar permissões por função. A alternativa confunde autenticação com controle de acesso.Pegadinha da questãoA questão mistura três elementos que podem desviar a leitura: menor privilégio, níveis de segurança e funções organizacionais. O erro seria focar só em 'níveis de segurança específicos' ou confundir senha com controle de acesso, quando o trecho decisivo é 'atribuição de permissões centralizada e baseada em funções organizacionais'.Dica para questões semelhantesSe o enunciado falar em permissões vinculadas a cargos, papéis ou funções, o modelo apontado é RBAC.Diferencie princípio de modelo: menor privilégio orienta a concessão de acesso, mas não identifica sozinho a alternativa.Separe autenticação de autorização: senha comprova identidade; modelo de acesso define o que cada usuário pode fazer.Quando houver mais de um indício teórico no enunciado, priorize o traço que coincide de forma direta com uma alternativa disponível.

Uma empresa de tecnologia implementa políticas de segurança...

Gabarito comentado

Gabarito: B

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas