Acesso Físico e Lógico: Em relação à segurança da informação e aos controles de acesso físico e lógico, considere: I. Se um usuário não mais faz parte da lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes. II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto. III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number). Está correto o que se afirma em
Em relação à segurança da informação e aos controles de acesso físico e lógico, considere: I. Se um usuário não mais faz parte da lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes. II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto. III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number). Está correto o que se afirma em
A) I e II, apenas.
B) I, II e III.
C) I e III, apenas.
D) II e III, apenas.
E) III, apenas.
Vamos analisar cada assertiva à luz de boas práticas de segurança da informação (controles de acesso físico e lógico):
I. Se um usuário sai de um grupo de acesso, não é “certo” nem necessário extinguir o grupo e criar outro apenas com os remanescentes. O controle adequado é atualizar a associação do usuário ao grupo (remover o usuário do grupo), mantendo o grupo se ele ainda fizer sentido. Extinguir e recriar grupo é medida excepcional, não uma regra. Portanto, I é falsa.
II. Em movimentações internas (mudança de função/projeto) ou desligamentos, direitos de acesso que não forem aprovados para o novo trabalho devem ser removidos ou ajustados, incluindo credenciais físicas (chaves, crachás, cartões) e identificações/credenciais lógicas. Isso está alinhado ao princípio do menor privilégio e ao processo de revogação/ajuste de acessos. Portanto, II é verdadeira.
III. Áreas com processamento/armazenamento de informações sensíveis devem ter acesso controlado e restrito a pessoas autorizadas, preferencialmente com autenticação forte (ex.: cartão + PIN, ou seja, múltiplos fatores). Isso é prática padrão em controles de acesso físico. Portanto, III é verdadeira.
Conclusão: estão corretas II e III.
Alternativa correta: (D).