A gestão de identidade no processo de garantir a segurança d...
Então,
Não sei exatamente como esta no COBIT, respondi com base apenas do que endendo de gestão de identidade, segue abaixo:
"Quando um colaborador exerce determinada função, ele ganha o privilégio, hierarquicamente falando, de acessar certas partes do negócio.
Com isso são associadas permissões aos dados existentes, como credenciais de login e senha"
GABARITO:B
Alternativa correta: B.
.
.
DS5.3 Gestão de Identidade:
Todos os usuários (internos, externos e temporários) e suas atividades nos sistemas de TI (aplicação de negócio, desenvolvimento, operação e manutenção de sistemas) devem ser identificáveis de modo exclusivo. Os direitos de acesso dos usuários aos sistemas e dados devem estar em conformidade com as necessidades dos negócios e com os requisitos da função definidos e documentados. Os direitos de acesso devem ser solicitados pela gestão de usuários, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança. As identidades e os direitos de acesso dos usuários devem ser mantidos em um repositório central. É necessário implementar e manter atualizadas medidas técnicas e de procedimentos com boa relação custo-benefício para determinar a identificação dos usuários, implementar a devida autenticação e impor direitos de acesso.
A alternativa correta é a B - assegurar a identificação de todos os usuários e suas atividades nos sistemas de modo exclusivo, definindo os seus direitos de acesso aos sistemas e dados, em conformidade com as necessidades dos negócios e com os requisitos da função.
Vamos entender melhor o tema da questão:
O COBIT (Control Objectives for Information and related Technology) é um framework de governança e gestão de TI que proporciona boas práticas para o gerenciamento de TI, com foco em processos de controle e segurança. Na versão 4.1, um dos pontos centrais é a gestão de identidade, crucial para garantir a segurança dos sistemas.
A gestão de identidade envolve identificar usuários e suas atividades, atribuindo-lhes direitos de acesso com base nas necessidades de negócios e nos requisitos de suas funções. Isso permite um controle rigoroso sobre quem pode acessar o quê, reduzindo riscos de segurança.
Justificativa da alternativa correta (B):
A alternativa B está correta porque enfatiza a identificação exclusiva dos usuários e a definição de seus direitos de acesso de acordo com as necessidades do negócio e requisitos funcionais. Esse é o objetivo central da gestão de identidade: garantir que cada usuário seja identificado de forma única e que seus acessos sejam controlados conforme as políticas da organização.
Análise das alternativas incorretas:
A - Esta alternativa está incorreta porque sugere que o controle de acesso de usuários seja realizado sem o envolvimento de proprietários de dados ou sistemas. No COBIT, a participação desses proprietários é essencial para garantir que as políticas de acesso estejam alinhadas com os requisitos específicos de segurança e negócios.
C - Embora a definição e comunicação dos riscos potenciais de segurança sejam importantes, esta alternativa está incorreta porque a gestão de identidade não se limita apenas à criação de políticas baseadas em riscos. O foco principal é a identificação e controle de acessos.
D - Definir tecnologias para identificar usuários é uma parte da gestão de identidade, mas a alternativa está incorreta porque não abrange a definição de direitos de acesso conforme necessidades de negócios. O COBIT 4.1 trata a tecnologia como um meio, mas o foco é o controle dos direitos de acesso.
E - A alternativa E está parcialmente correta ao mencionar a gestão de usuários de acesso privilegiado, mas está incorreta porque a gestão de identidade no COBIT não se limita apenas a esses usuários. Todos os usuários e suas atividades devem ser gerenciados de forma abrangente.
Espero ter esclarecido suas dúvidas sobre a questão e a alternativa correta! Se precisar de mais alguma explicação, estou à disposição!