Com base na ABNT NBR ISO/IEC 27002:2022, julgue o item a seg...
No gerenciamento de informações, deve ser evitado o uso de mensagens de correio eletrônico de terceiros para o fornecimento de informações temporárias de autenticação secreta de usuários.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: Alternativa C - certo
A questão aborda um ponto específico da norma ABNT NBR ISO/IEC 27002:2022, que se refere ao gerenciamento de informações e à segurança na autenticação dos usuários.
Para entender melhor este tema, é crucial compreender que a ISO 27002 fornece diretrizes práticas para a implementação de controles de segurança da informação, ajudando a proteger a confidencialidade, integridade e disponibilidade das informações.
Vamos analisar a afirmação da questão e o motivo pelo qual a alternativa correta é "C".
A questão afirma que deve ser evitado o uso de mensagens de correio eletrônico de terceiros para o fornecimento de informações temporárias de autenticação secreta de usuários. Isso está correto, de acordo com a norma ISO 27002, por diversos motivos:
- Segurança e Confidencialidade: Mensagens de e-mail podem ser interceptadas ou podem cair em mãos erradas, comprometendo a informação secreta.
- Integridade: Há um risco considerável de que estas mensagens possam ser alteradas durante a transmissão.
- Autenticidade: É difícil garantir que a mensagem realmente provenha da fonte esperada quando se usa e-mails de terceiros.
Por essas razões, a norma recomenda que métodos mais seguros sejam utilizados para a transmissão de informações sensíveis, como autenticação de dois fatores (2FA), aplicativos dedicados de autenticação ou mensagens criptografadas.
Justificando as alternativas:
Alternativa C: Correta. Está em conformidade com as diretrizes da ISO 27002 para evitar riscos de segurança quando se trata de transmissão de informações sensíveis por e-mail.
Alternativa E: Incorreta. Se marcada, indica que o candidato não reconheceu a importância da segurança e confidencialidade na transmissão de informações sensíveis, conforme recomendado pela ISO 27002.
Para reforçar seu entendimento, lembre-se sempre de que a segurança da informação é sobre gerenciar riscos de forma adequada e proteger as informações contra acessos não autorizados.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Isso ocorre porque as mensagens de correio eletrônico de terceiros são vulneráveis a interceptação, falsificação e adulteração. Um invasor pode interceptar uma mensagem de correio eletrônico contendo uma informação temporária de autenticação secreta e usá-la para assumir o controle da conta de um usuário.
A ABNT NBR ISO/IEC 27002:2022 recomenda que as organizações usem métodos mais seguros para fornecer informações temporárias de autenticação secreta de usuários, como:
- Mensagem de texto para o número de telefone do usuário
- Autenticação de dois fatores (2FA)
- Autenticação baseada em conhecimento (KBA)
Portanto, o item está correto, pois recomenda que as organizações evitem o uso de mensagens de correio eletrônico de terceiros para o fornecimento de informações temporárias de autenticação secreta de usuários.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos