Acerca de problemas e soluções possivelmente presentes no ...
No controle de acessos, tanto físico quanto lógico, às instalações prediais e aos sistemas de computação do ministério, deve ser considerado o uso de autenticação por múltiplos fatores, pois esse é procedimento descrito na norma NBR 27001, no seu guia de implementação de vários controles, entre eles os relacionados ao objetivo Controle de Acesso à Rede.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é: E - errado.
Vamos entender o porquê.
A questão aborda o tema de políticas de segurança da informação, especificamente no contexto de controle de acessos. Esse controle é uma medida essencial para proteger tanto o acesso físico (aos prédios e instalações) quanto o acesso lógico (aos sistemas de computação).
O enunciado menciona a norma NBR 27001, que realmente é amplamente conhecida por fornecer uma estrutura para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). No entanto, a questão afirma que o uso de autenticação por múltiplos fatores (MFA) é um procedimento descrito nesta norma.
A NBR 27001 aborda uma série de controles e medidas que devem ser implementados para proteger a informação, mas ela não prescreve de maneira específica o uso de autenticação por múltiplos fatores em todos os contextos de controle de acessos. O objetivo da norma é fornecer uma estrutura flexível que pode ser adaptada às necessidades específicas de uma organização. Portanto, sugerir que a norma obriga o uso de MFA para controle de acesso à rede é uma interpretação incorreta.
No contexto do controle de acesso à rede, a NBR 27001 lista várias medidas que podem ser adotadas, incluindo o controle de acesso baseado em funções, o uso de senhas fortes, e a gestão adequada das credenciais de acesso. No entanto, a implementação de autenticação por múltiplos fatores é uma recomendação que pode ser adotada como uma boa prática, mas não é um requisito obrigatório da norma.
Portanto, a alternativa correta é E - errado porque a afirmação de que a NBR 27001 prescreve de maneira obrigatória o uso de autenticação por múltiplos fatores para controle de acesso à rede não é verdadeira.
Espero que esta explicação tenha ajudado a entender o motivo pelo qual a alternativa é incorreta. Caso tenha qualquer outra dúvida sobre o tema, estarei à disposição para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Isto está descrito na NBR ISO/IEC 27002:2013 (Código de Prática para controles de segurança da informação)
11.1.2 Controles de entrada física
Controle
Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido.
Diretrizes para implementação
Convém que sejam levadas em consideração as seguintes diretrizes:
b) convém que o acesso às áreas em que são processadas ou armazenadas informações sensíveis seja restrito apenas ao pessoal autorizado pela implementação de controles de acesso apropriados, por exemplo, mecanismos de autenticação de dois fatores, como, cartões de controle de acesso e PIN (personal identification number);
Fonte: NBR ISO/IEC 27002:2013
Erro sutil: múltiplos fatores --> dois fatores.
27001 - Requisitos
27002 - Controles e objetivos de controles.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos