Com base na ABNT NBR ISO/IEC 27002:2022, julgue o item a seg...

Alternativa Correta: Errado

Vamos analisar detalhadamente por que a alternativa está errada e entender os conceitos envolvidos na questão referida à ABNT NBR ISO/IEC 27002:2022.

Tema da Questão:

A questão aborda o gerenciamento de chaves criptográficas, um tema crucial em segurança da informação. A ISO/IEC 27002:2022 fornece diretrizes para a implementação de controles de segurança, incluindo a gestão de chaves criptográficas, que são essenciais para proteger a integridade, confidencialidade e autenticidade das informações.

Explicação da Alternativa Correta:

A afirmativa sugere que chaves comprometidas devem ser "somente arquivadas" e "jamais destruídas". No entanto, segundo a prática recomendada pela ISO/IEC 27002:2022, chaves criptográficas que foram comprometidas DEVEM ser destruídas para evitar qualquer uso não autorizado ou risco adicional à organização.

Vamos detalhar algumas razões para isso:

• Integridade e Confidencialidade: Manter chaves comprometidas arquivadas pode comprometer a integridade e a confidencialidade dos dados, já que essas chaves podem ser reutilizadas indevidamente.
• Redução de Riscos: A destruição de chaves comprometidas diminui os riscos de ataques futuros que poderiam explorar essas chaves.
• Conformidade: Boa parte das normas de segurança da informação, incluindo a ISO/IEC 27002, recomendam explicitamente a destruição de chaves comprometidas como uma prática de gestão de risco.

Sobre o Registro e Auditoria:

Ela afirma corretamente que devem ser mantidos registros e auditorias das atividades relacionadas ao gerenciamento de chaves. Isso é importante para garantir a transparência e responsabilidade no manejo dessas chaves.

Conclusão:

Portanto, a alternativa é ERRADA porque a prática recomendada pela ISO/IEC 27002:2022 é que chaves comprometidas sejam destruídas, e não apenas arquivadas.

Gab: Errado.

De acordo com as práticas recomendadas na ABNT NBR ISO/IEC 27002:2022, a gestão de chaves é um aspecto crítico da segurança da informação.

Vou separar em três partes:

Parte 01 - É verdade que uma política de gerenciamento de chaves deve estabelecer procedimentos para lidar com chaves comprometidas. A ideia principal é proteger o ambiente de possíveis danos decorrentes de chaves que possam ter sido comprometidas.

Parte 02 - Em relação à afirmação: "o registro e a auditoria das atividades relacionadas ao gerenciamento de chaves", está alinhada com as boas práticas de segurança, permitindo rastrear atividades e identificar potenciais problemas ou violações.

Parte 03 - "a declaração sobre JAMAIS destruir chaves comprometidas e apenas arquivá-las" .

Em alguns casos, a destruição de chaves comprometidas pode ser recomendada como uma medida de segurança adicional para evitar seu uso malicioso. O arquivamento das chaves comprometidas pode ser uma prática útil para referência futura e fins de investigação, contudo, manter essas chaves ativas no ambiente pode representar um risco.

1. A ideia principal é proteger o ambiente de possíveis danos decorrentes de chaves que possam ter sido comprometidas.

2. Em alguns casos, a destruição de chaves comprometidas pode ser recomendada como uma medida de segurança adicional para evitar seu uso malicioso. O arquivamento das chaves comprometidas pode ser uma prática útil para referência futura e fins de investigação, contudo, manter essas chaves ativas no ambiente pode representar um risco.

ERRADO!

Uma política de gerenciamento de chaves deve estabelecer a forma apropriada de lidar com chaves comprometidas: deve-se manter registro e auditoria das atividades que tenham relação com o gerenciamento de chaves e não se deve jamais destruir chaves comprometidas, as quais devem ser somente arquivadas. 

De acordo com a ISO 27002

10.1.2 Gerenciamento de chaves

Controle: Convém que uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, seja desenvolvida e implementada ao longo de todo o seu ciclo de vida.

Diretrizes para implementação

Convém que a política inclua requisitos para o gerenciamento de chaves criptográficas ao longo de todo o seu ciclo de vida incluindo, a geração, armazenagem, arquivo, recuperação, distribuição, retirada e destruição das chaves.