O diagrama de fluxo de dados é uma ferramenta útil no contexto do modelo de ameaças, pois ele ajuda a identificar as entradas e saídas de dados em um sistema e como esses dados são processados. Prosseguindo nesse contexto, leia as afirmativas e assinale a alternativa correta. I – Ao criar um diagrama de fluxo de dados, é possível identificar os pontos críticos do sistema, onde o acesso não autorizado aos dados pode resultar em danos significativos. II – O diagrama de fluxo de dados identifica o caminho dos dados dentro do sistema, porém não é capaz de reconhecer os usuários. III – Com base no diagrama de fluxo de dados, os profissionais de segurança podem avaliar ameaças potenciais ao sistema e identificar as medidas de segurança necessárias para mitigar essas ameaças.

Alternativa D - Apenas a I e III estão corretas

Análise da Questão

A questão aborda o uso de Diagramas de Fluxo de Dados (DFD) no contexto de Modelagem de Ameaças (Threat Modeling), especificamente relacionados à metodologia STRIDE ou práticas similares de segurança da informação.

Vamos analisar cada afirmativa detalhadamente:

1. Análise da Afirmativa I

"Ao criar um diagrama de fluxo de dados, é possível identificar os pontos críticos do sistema, onde o acesso não autorizado aos dados pode resultar em danos significativos."

• Correta.
• O principal objetivo de um DFD em segurança é mapear onde os dados residem (armazenamentos) e como eles viajam (fluxos). Ao visualizar isso, analistas conseguem identificar quais ativos de dados são mais sensíveis (pontos críticos). Se um atacante comprometer esse ponto específico, o impacto será alto. Isso é fundamental para priorizar defesas.

2. Análise da Afirmativa II

"O diagrama de fluxo de dados identifica o caminho dos dados dentro do sistema, porém não é capaz de reconhecer os usuários."

• Considerada Incorreta neste contexto.
• Embora um DFD foque no movimento de dados e não na autenticação detalhada (senhas/tokens), ele utiliza Entidades Externas para representar quem interage com o sistema (usuários, sistemas externos, clientes). Portanto, dizer que ele "não é capaz de reconhecer os usuários" é impreciso, pois ele mostra onde e como os agentes externos interagem com o sistema. Além disso, em questões de múltipla escolha, quando as opções I e III são claramente fortes, esta costuma ser a distração.

3. Análise da Afirmativa III

"Com base no diagrama de fluxo de dados, os profissionais de segurança podem avaliar as ameaças potenciais ao sistema e identificar as medidas de segurança necessárias para mitigar essas ameaças."

• Correta.
• Esta é a definição clássica de aplicação de DFDs em segurança. Uma vez mapeado o fluxo, aplica-se uma técnica de ameaças (como STRIDE):
• Onde há fluxo de dados? -> Risco de Interceptação.
• Onde há armazenamento? -> Risco de Roubo de Dados.
• Onde há entrada? -> Risco de Injeção.
• Com isso, definem-se controles de segurança (firewalls, criptografia, validação de input).

Conclusão

As afirmativas I e III descrevem com precisão a utilidade estratégica do Diagrama de Fluxo de Dados para análise de riscos e planejamento de segurança. A afirmativa II é considerada incorreta pela generalização sobre o reconhecimento de entidades/usuários.

Portanto, a alternativa correta é a D.