Uma empresa de desenvolvimento de softwares adota, em seus ...

Alternativa correta: D - economia de mecanismo.

Na segurança da informação, existem diversos princípios que são aplicados com o objetivo de aumentar a proteção e a resistência de sistemas contra variados tipos de ameaças. O princípio da economia de mecanismo enfatiza que sistemas devem ser projetados de forma simples, clara e direta, evitando complexidades desnecessárias que poderiam introduzir falhas de segurança devido à dificuldade de entender e manter o sistema.

A simplicidade no design de um sistema reduz a quantidade de pontos que podem conter vulnerabilidades. Além disso, facilita o processo de revisão e auditoria, permitindo que desenvolvedores e especialistas em segurança identifiquem mais facilmente pontos críticos e possíveis falhas. Quando um sistema é inflado com excesso de funcionalidades e componentes, aumentam as chances de surgirem problemas de segurança derivados de erros de implementação ou configuração.

É importante entender que a questão menciona explicitamente a redução de complexidade e o fato de que o sistema se torna mais difícil de conter erros. A resposta correta está em harmonia com esse contexto, pois a economia de mecanismo está intrinsecamente ligada à ideia de que menos é mais no que tange à segurança de sistemas.

As outras opções apresentam princípios relevantes em segurança da informação, mas não se alinham diretamente com a ideia de simplicidade e redução de complexidade do design de sistemas para garantir segurança. Por exemplo, design aberto refere-se à transparência e revisão pública de um sistema, privilégio mínimo diz respeito à concessão da menor quantidade de privilégios necessários para realizar uma ação, mediação completa envolve a verificação de todas as acessos a todos os recursos, e separação de privilégios é sobre a divisão de permissões entre diferentes usuários ou sistemas para limitar o impacto de uma falha ou ataque.

com o principio da economia de mecanismos a organização implementar soluções de segurança eficazes, porém de uma forma que não seja complexa.

Mediação completa Todos os acessos a recursos são avaliados pelos mecanismos de segurança, sendo impossível contorná-los. Exemplo: verificações nas syscalls de acesso a arquivos.

Economia de mecanismo O projeto de um sistema de proteção deve ser pequeno e simples, fácil de analisar, testar e validar. Exemplo: kernel de sistema operacional L4.

Compartilhamento mínimo Mecanismos compartilhados são fontes de problemas de segurança, devido à possibilidade de fluxos de informação imprevistos. Exemplo: operação implementada como syscall ou como libcall.

Projeto aberto O projeto deve ser público e aberto, dependendo somente do segredo de poucos itens, como listas de senhas ou chaves, para ser avaliado por terceiros independentes. Exemplo: algoritmos de criptografia RSA e AES

Privilégio mínimo Usuários e programas devem operar com o mínimo possível de permissões de acesso, para minimizar danos. Contra-exemplo: serviços de rede executando como root.

Separação de privilégios Sistemas de proteção baseados em mais de um controle; se o atacante burlar um dos controles, ainda não terá acesso. Exemplo: autorização de dois gerentes em um sistema bancário.

https://wiki.inf.ufpr.br/maziero/lib/exe/fetch.php?media=sc:seg-slides-01.pdf