Questão Q853996

Considere, por hipótese, que no ambiente do Tribunal Superior do Trabalho − TST foram detectados os seguintes problemas:

− Fraudes devido a excesso de privilégios de funcionários.

− Violações ou tentativas de violação de dados sensíveis por funcionários com diferentes perfis de acesso.

− Funcionários com elevado número de transações em sistemas, acima de 5 mil por mês.

A equipe de analistas do TST, frente a estes problemas, ponderou que algo deveria ser feito para que houvesse o mapeamento e redução de riscos em acessos elevados, com diminuição de conflitos de privilégios e implementação de políticas de prevenção de fraudes e proteção de informações sensíveis.

Para chegar ao resultado desejado, um Analista de Sistemas propôs que

Alternativas

fosse convocada uma reunião da alta direção com a equipe de Analistas de TI para tratarem do alinhamento estratégico entre áreas de TI e negócios.

a responsabilidade do Gestor de Compliance, com base nas práticas da ITIL v3 edição 2011, fosse ajustada, pois a ele caberia cuidar da confidencialidade, integridade e disponibilidade das informações sensíveis e controlar os privilégios de acesso às informações, dados e sistemas do TST.

o controle de Perfil por Função já implantado fosse substituído por um método diferente e já consagrado, como Imperative Access Control − IAC ou Voluntary Access Control − VAC.

o PETI fosse revisto e ampliado, de forma que o mapa estratégico passasse a contemplar, na perspectiva de Resultados, o objetivo de garantir que as funções de TI atendam aos privilégios acordados e sejam medidos pelo indicador de número de transações em sistemas.

o log de acessos dos usuários a sistemas e aplicações fosse avaliado, identificando conflitos de função, principalmente em atividades críticas e informações sensíveis da empresa, aplicando Role Based Access Control-RBAC com Segregation of Duties − SoD, dentre outras providências.

Comentários

Letra E

Role Based Access Control-RBAC

Controle de acesso de acesso baseado em papéis

Implantado para atributir os privilégios necessários aos usuários, permitindo executar seus papéis.

É aconselhável considerar controles administrativos, como a "separação de funções", ao definir procedimentos de data centers.

A separação clara das funções assegura que nenhum indivíduo único possa especificar uma ação e executá-la.

Exemplo: A pessoa que autoriza a criação de contas administrativas não deve ser a mesma que usa essas contas.

4 (quarto) componentes básicos
- usuários
- papéis
- permissões
- sessões

Armazenamento e Gerenciamento de Informações:

Somasundaram
Deveriam implementar a Segregation of Duties − SoD no Congresso e na Câmara.
Pq não pode ser A?

SóProvas

Continue usando...

O que está incluso