> **Examen: Gestión de Identidades y Control de Accesos (IAM)** # Bloque 1: Tipo Test con Justificación *Instrucciones: Marca la correcta y justifica brevemente las demás.* ## 1. Qué é No proceso de control de acceso, a fase na que se determinan os privilexios ou permisos que ten un usuario xa recoñecido polo sistema denomínase: - a) Identificación. - b) Autenticación. - c) Autorización. - d) Trazabilidade (Accounting). ### Resposta É a **c**, Autorización. - a) A identificación faise para saber a quén tes ahí. - b) A autenticación é o acceso ó sitio por parte do usuario. - c) A autorización é qué lle permites facer. - d) A trazabilidade só serve para ter un seguimento dalgo xa sexa a actividade dalgún usuario ou dun proceso, entre outros > **Anotacións**: De memoria... B-) ### Corrección - **¡CORRECTO!** - Has clavado la diferencia. **Autorización** es el "qué puedes hacer". Un truco para el TDAH: *Identificación (¿Quién eres?) -> Autenticación (Demuéstralo) -> Autorización (¿Tienes permiso?) -> Accounting/Trazabilidad (¿Qué hiciste?)*. ## 2. Cuál es ¿Cuál de los siguientes modelos de control de acceso se basa en "etiquetas de seguridad" (como Confidencial o Secreto) y es el más rígido, utilizado habitualmente en entornos militares o de alta seguridad? - a) DAC (Discretionary Access Control). - b) MAC (Mandatory Access Control). - c) RBAC (Role-Based Access Control). - d) ABAC (Attribute-Based Access Control). ### Respuesta Aquí diría que es la **d**, ABAC. sin embargo, busqué, porque no lo tenía muy claro y zasca. ¡Jajajaja! Es la **b**, MAC. - a) DAC permite asignar permisos concretos a los recursos, como los permisos de Linux. - b) MAC permite, desde un entorno central, establecer permisos por niveles de seguridad. - c) RBAC permite asignar roles y agrupar los permisos con etiquetas, como en los foros PHPBB. - d) ABAC permite asignar permisos dinámicos sobre los atributos como la hora, acceso, etc. ### Corrección - **¡CORRECTO!** (Tras la rectificación) - Efectivamente, es **MAC**. En el **MAC**, el usuario no es dueño de sus permisos; el sistema (administrador) decide según el nivel de seguridad del objeto. El **ABAC** es el futuro (más complejo), pero el **MAC** es el clásico "militar". # Bloque 2: Respuesta Corta (Definición Técnica) *Máximo 2-3 líneas.* ## 3. Explica Explica a diferenza entre un "Factor de Posesión" e un "Factor de Inherencia" na autenticación multifactor. ### Resposta Realmente hai 3, pero como diferenza das dúas concretamente, só coa súa etiqueta diferéncianse totalmente: algo que tes fronte a al que é consecutivamente. A diferencia radica no método de acceso: dispositivos en pertenza fronte a rasgos biométricos consecutivamente. > **Anotacións**: Este tiven que atopalo por mor de non sabelo, pola contra, xa o tocáramos nunha explicación do tema anterior de seguridade. ### Corrección - **¡CORRECTO!** - **Posesión**: Algo que tienes (Token, móvil, tarjeta). - **Inherencia**: Algo que eres/formas parte de ti (Huella, iris, ADN). - **Nota**: Te faltó el de Conocimiento (Algo que sabes: PIN, password). ## 4. Qué es ¿Qué es el "Principio de Menor Privilegio" y por qué es vital en la gestión de identidades? ### Respuesta Este principio es una base fundamental de la seguridad del acceso. Los usuarios, cuanto más limitados estén, mayor será la seguridad y la confidencialidad de la información. A mayor libertad se le da al usuario, más riesgos expone el mismo, simplemente por desconocimiento o simple acción humana sin ser éste a propósito. > **Anotaciones**: De memoria B-) . ### Corrección - **¡CORRECTO!** - Excelente explicación. El objetivo es minimizar la **superficie de ataque**. Si un administrativo solo necesita Word, no le des permisos de Administrador de Base de Datos. # Bloque 3: Desarrollo (Lógica de Gestión) 5. Ciclo de Vida de la Identidad: Imagina que entra un nuevo empleado en tu oficina de la Xunta. Explica brevemente qué tres pasos básicos (Provisionamento, Mantemento e Desprovisionamento) deberías seguir para gestionar su identidad digital de forma segura desde que entra hasta que se jubila o se va. ## Respuesta - **Provisionamiento**: Darle los recursos y los accesos correspondientes a dichos recursos, así como garantizarle un perfil de empleado. - **Mantenimiento**: Hacer los cambios necesarios en el tiempo, como gestionar los cambios del empleado o las actualizaciones del sistema sobre el mismo. - **Desprovisionamiento**: Limitar o revocar los accesos y los recursos una vez se termina la relación con la persona. > **Anotaciones**: Fue totalmente a ciegas... ¡Jajajaja! ## Correción - **¡MUY BIEN!** - A pesar de ir "a ciegas", has definido perfectamente el flujo. - **Apunta este detalle legal**: En el **Desprovisionamiento**, es vital el concepto de "Revocación inmediata" para evitar las **Cuentas Zombi** (empleados que se van pero su usuario sigue activo, siendo un coladero de seguridad). # Bloque 4: La "Pregunta Trampa" (Cuidado aquí...) 6. Se implementamos un sistema de Single Sign-On (SSO) nunha organización, cal destas afirmacións é CORRECTA? - a) O SSO aumenta a seguridade por si mesmo porque as contrinais son máis longas. - b) O SSO permite que o usuario acceda a todos os recursos sen necesidade de estar autorizado previamente. - c) O SSO mellora a experiencia de usuario, pero crea un "punto único de fallo" (Single Point of Failure). - d) O SSO obriga ao usuario a introducir a súa contrinal cada vez que cambia de aplicación dentro da mesma sesión. ## Resposta Mirándoo a pechas, au diría que a **c**. - a) Non afecta a lonxitude das contrasinais por mor de seren políticas que se implementan, pero non son parte dos sistemas de acceso. - b) O usuario queda permanentemente logueado, polo que non corresponde con esta liña. - c) O usuario non ten que iniciar sesión por cada elemento distinto no que interactúa, axilizando a súa experiencia, pero por outra banda, a sesión non é máis que unha Cookie ou espazo reservado de memoria que identifica dita sesión. Se se rouba dito elemento, queda exposta a sesión, motivo do Single Point of Failure, a diferenza de estaren a loguearse constantemente en cada elemento. - d) Esta liña describe un No-SSO. ## Correcto - **¡CORRECTO!** (Matrícula de Honor en razonamiento) - Efectivamente es la c. - Tu análisis del **Single Point of Failure** es impecable. Si el servidor de autenticación central (el que da el "ticket" de entrada) se cae, nadie entra en ninguna aplicación. Y si roban las credenciales maestras, entran en todo.