-
Discordo do texto que diz: "sua utilização inadequada é considerada fator de vulnerabilidade"
Para mim, a utilização inadequada é uma ameaça, isto é, uma causa potencial de dano, não uma fraqueza inerente do ativo.
-
Discordo do gabarito, pois o enunciado da questão informa que o privilégio permite ao usuário sobrepor controles do sistema ou aplicação, mas não é verdade. Por exemplo, o usuário pode receber um privilégio somente de leitura, onde ele não vai sobrepor controle algum..
-
Se ele receber acesso de leitura, terá superado o controle que não lhe permitia ler.
-
Da onde eles tiraram essa definição de privilégio?
O uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas.
Mas, na minha opinião, a questão generalizou "privilégio" de maneira inadequada ele só sobrepõe os controles quando é administrador (e.g. no linux quando o usuário é root as permissões não são checadas).
-
Eu queria entender de onde o Cespe retirou a seguinte afirmativa:
"Privilégio é qualquer característica ou facilidade de um sistema de
informação multiusuário que permita ao usuário sobrepor controles do
sistema ou aplicação."
-
Questão estranha. O ideal era ter vindo algo assim ,"Uso inapropriado de Privilégio é qualquer característica ou facilidade (...)"
Segundo a ISO 27002:2013,"
9.2.3Gerenciamento de direitos de acesso privilegiados
Uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas."
-
Concordo com que acha que privilégio por si só não resulta nessas consequências. Para esta questão estar correta ele deveria começar com "A elevação de privilégios...". Aí sim o comando estaria completamente correto.