Alternativa A - Associa um conjunto de privilégios mínimos aos perfis dos usuários
O controle de acesso é um mecanismo fundamental na segurança da informação que visa garantir que apenas entidades autorizadas tenham permissão para acessar recursos específicos. Para ser eficaz em softwares seguros, ele deve seguir princípios rigorosos de gestão de permissões.
O conceito central aqui é o Princípio do Privilégio Mínimo. Este princípio estabelece que qualquer usuário ou processo deve ter apenas os privilégios estritamente necessários para desempenhar suas funções, e nada mais. Isso minimiza o impacto caso uma conta seja comprometida por um atacante.
Análise das Alternativas
- Alternativa A (Correta): Descreve exatamente o Princípio do Privilégio Mínimo, associando privilégios mínimos aos perfis. Isso reduz a superfície de ataque e limita danos potenciais.
- Alternativa B: Embora a revisão periódica seja uma boa prática administrativa, ela não define o mecanismo básico de controle de acesso. O foco está na concessão inicial adequada, não apenas na renovação.
- Alternativa C: O controle de acesso relaciona-se tanto ao usuário quanto ao recurso (objeto) protegido e à ação permitida. Dizer que está apenas "relacionado a um usuário" é incompleto e vago.
- Alternativa D: Refere-se à Criptografia, que protege a confidencialidade dos dados durante armazenamento ou transmissão, mas não gerencia quem pode entrar no sistema.
- Alternativa E: É incorreto afirmar que elimina todas as vulnerabilidades. O controle de acesso mitiga riscos, mas falhas de código, lógica ou engenharia social podem persistir mesmo com restrições de acesso.
Em resumo, a segurança defensiva depende fortemente de limitar o poder concedido a cada entidade dentro do sistema.
Portanto, a opção correta é a Alternativa A.