Questões de Segurança da Informação para Concurso

Em uma empresa hipotética, o departamento de TI está realizando uma força tarefa com o objetivo de instalar um programa de criptografia em todos as pastas de documentos dos computadores de seus colaboradores.
De modo a informar suas atividades, o departamento de TI coloca em todos os setores da empresa um gráfico de tendência relacionando a proporção de máquinas concluídas.
De acordo com a NBR ISO 27004, da ABNT, o descritor da informação empregado pela equipe de TI por meio dos gráficos é 

Uma empresa está se preparando para uma licitação e por isso, todos os seus empregados estão trabalhando para elaborar a proposta a ser apresentada.
Ao iniciar mais um dia de trabalho, os empregados constataram que os servidores estavam inacessíveis, impossibilitando-os de trabalhar na proposta.
Após ser notificada do fato, a equipe de TI analisou a situação e chegou à conclusão que a empresa sofreu um ataque do tipo Distributed Denial of Service (DDoS).
De acordo a NBR ISO/IEC 27005, da ABNT, o objetivo alvo dos atacantes era 

As empresas enfrentam desafios ao decidir sobre a adoção de procedimentos relacionados à segurança de computadores. Isso envolve equilibrar a necessidade de proteger dados confidenciais e sistemas contra ameaças cibernéticas, enquanto garante a eficiência operacional e a acessibilidade para os usuários. A sociedade depende cada vez mais de redes de computadores e sistemas de informação disponíveis e seguros. As ameaças são as mais diversas, e alguns princípios de segurança da informação são utilizados pelos desenvolvedores de sistemas e gerentes de TI para minimizá-las.

Dentre esses princípios, um dos mais importantes é o da irretratabilidade, que tem por objetivo 

Um gestor de TI enfrenta desafios complexos ao decidir sobre os procedimentos de segurança relacionados à autenticação e ao controle de acesso aos sistemas. Essas escolhas impactam diretamente a integridade dos dados e a proteção contra ameaças cibernéticas. A seleção de métodos de autenticação adequados requer a compreensão das necessidades específicas da organização e das vulnerabilidades potenciais e uma análise criteriosa das funções dos usuários e dos recursos críticos do sistema. Ao enfrentar esses desafios com uma estratégia abrangente e sólida, o gestor pode garantir uma proteção consistente contra ameaças cibernéticas e manter a integridade dos sistemas da organização.

O gestor de TI, em reunião com seus auxiliares e considerando a importância da autenticação e do controle de acesso, solicita sugestões e opiniões com corretas e relevantes justificativas sobre o emprego de tecnologias seguras para aplicações empresariais sensíveis.

Qual sugestão o gestor de TI implementará?

O Analista Legislativo Tecnologia da Câmara Municipal de Poços de Caldas foi designado para organizar a gestão de acesso privilegiado no ambiente computacional que fica sob controle do departamento. Para aplicar uma política adequada ao cenário, o profissional baseou seus estudos no documento de Orientação de segurança da informação e cibernética. Como medida inicial, foi aplicado o princípio do privilégio mínimo (PoLP) que preconiza ações como:
I. Remover os direitos de administrador nos endpoints, pois, para a maioria dos usuários, não há justificativa para ter acesso de administrador em uma máquina local.
II. Aplicar regras de acesso com privilégios mínimos por meio do controle de aplicativos, bem como outras estratégias e tecnologias para remover privilégios desnecessários.
III. Limitar a associação de uma conta privilegiada ao menor número possível de pessoas e minimizar o número de direitos para cada conta privilegiada.
Está correto o que se afirma apenas em