OpoTests/Public/md/gemini/021.iam.md

Examen: Gestión de Identidades y Control de Accesos (IAM)

Bloque 1: Tipo Test con Justificación

Instrucciones: Marca la correcta y justifica brevemente las demás.

1. Qué é

No proceso de control de acceso, a fase na que se determinan os privilexios ou permisos que ten un usuario xa recoñecido polo sistema denomínase:

• a) Identificación.
• b) Autenticación.
• c) Autorización.
• d) Trazabilidade (Accounting).

Resposta

É a c, Autorización.

• a) A identificación faise para saber a quén tes ahí.
• b) A autenticación é o acceso ó sitio por parte do usuario.
• c) A autorización é qué lle permites facer.
• d) A trazabilidade só serve para ter un seguimento dalgo xa sexa a actividade dalgún usuario ou dun proceso, entre outros

Anotacións: De memoria... B-)

Corrección

• ¡CORRECTO!
• Has clavado la diferencia. Autorización es el "qué puedes hacer". Un truco para el TDAH: Identificación (¿Quién eres?) -> Autenticación (Demuéstralo) -> Autorización (¿Tienes permiso?) -> Accounting/Trazabilidad (¿Qué hiciste?).

2. Cuál es

¿Cuál de los siguientes modelos de control de acceso se basa en "etiquetas de seguridad" (como Confidencial o Secreto) y es el más rígido, utilizado habitualmente en entornos militares o de alta seguridad?

• a) DAC (Discretionary Access Control).
• b) MAC (Mandatory Access Control).
• c) RBAC (Role-Based Access Control).
• d) ABAC (Attribute-Based Access Control).

Respuesta

Aquí diría que es la d, ABAC. sin embargo, busqué, porque no lo tenía muy claro y zasca. ¡Jajajaja! Es la b, MAC.

• a) DAC permite asignar permisos concretos a los recursos, como los permisos de Linux.
• b) MAC permite, desde un entorno central, establecer permisos por niveles de seguridad.
• c) RBAC permite asignar roles y agrupar los permisos con etiquetas, como en los foros PHPBB.
• d) ABAC permite asignar permisos dinámicos sobre los atributos como la hora, acceso, etc.

Corrección

• ¡CORRECTO! (Tras la rectificación)
• Efectivamente, es MAC. En el MAC, el usuario no es dueño de sus permisos; el sistema (administrador) decide según el nivel de seguridad del objeto. El ABAC es el futuro (más complejo), pero el MAC es el clásico "militar".

Bloque 2: Respuesta Corta (Definición Técnica)

Máximo 2-3 líneas.

3. Explica

Explica a diferenza entre un "Factor de Posesión" e un "Factor de Inherencia" na autenticación multifactor.

Resposta

Realmente hai 3, pero como diferenza das dúas concretamente, só coa súa etiqueta diferéncianse totalmente: algo que tes fronte a al que é consecutivamente. A diferencia radica no método de acceso: dispositivos en pertenza fronte a rasgos biométricos consecutivamente.

Anotacións: Este tiven que atopalo por mor de non sabelo, pola contra, xa o tocáramos nunha explicación do tema anterior de seguridade.

Corrección

• ¡CORRECTO!
• Posesión: Algo que tienes (Token, móvil, tarjeta).
• Inherencia: Algo que eres/formas parte de ti (Huella, iris, ADN).
• Nota: Te faltó el de Conocimiento (Algo que sabes: PIN, password).

4. Qué es

¿Qué es el "Principio de Menor Privilegio" y por qué es vital en la gestión de identidades?

Respuesta

Este principio es una base fundamental de la seguridad del acceso. Los usuarios, cuanto más limitados estén, mayor será la seguridad y la confidencialidad de la información. A mayor libertad se le da al usuario, más riesgos expone el mismo, simplemente por desconocimiento o simple acción humana sin ser éste a propósito.

Anotaciones: De memoria B-) .

Corrección

• ¡CORRECTO!
• Excelente explicación. El objetivo es minimizar la superficie de ataque. Si un administrativo solo necesita Word, no le des permisos de Administrador de Base de Datos.

Bloque 3: Desarrollo (Lógica de Gestión)

5. Ciclo de Vida de la Identidad:

Imagina que entra un nuevo empleado en tu oficina de la Xunta. Explica brevemente qué tres pasos básicos (Provisionamento, Mantemento e Desprovisionamento) deberías seguir para gestionar su identidad digital de forma segura desde que entra hasta que se jubila o se va.

Respuesta

• Provisionamiento: Darle los recursos y los accesos correspondientes a dichos recursos, así como garantizarle un perfil de empleado.
• Mantenimiento: Hacer los cambios necesarios en el tiempo, como gestionar los cambios del empleado o las actualizaciones del sistema sobre el mismo.
• Desprovisionamiento: Limitar o revocar los accesos y los recursos una vez se termina la relación con la persona.

Anotaciones: Fue totalmente a ciegas... ¡Jajajaja!

Correción

• ¡MUY BIEN!
• A pesar de ir "a ciegas", has definido perfectamente el flujo.
• Apunta este detalle legal: En el Desprovisionamiento, es vital el concepto de "Revocación inmediata" para evitar las Cuentas Zombi (empleados que se van pero su usuario sigue activo, siendo un coladero de seguridad).

Bloque 4: La "Pregunta Trampa" (Cuidado aquí...)

6. Se implementamos un sistema de Single Sign-On (SSO) nunha organización, cal destas afirmacións é CORRECTA?

• a) O SSO aumenta a seguridade por si mesmo porque as contrinais son máis longas.
• b) O SSO permite que o usuario acceda a todos os recursos sen necesidade de estar autorizado previamente.
• c) O SSO mellora a experiencia de usuario, pero crea un "punto único de fallo" (Single Point of Failure).
• d) O SSO obriga ao usuario a introducir a súa contrinal cada vez que cambia de aplicación dentro da mesma sesión.

Resposta

Mirándoo a pechas, au diría que a c.

• a) Non afecta a lonxitude das contrasinais por mor de seren políticas que se implementan, pero non son parte dos sistemas de acceso.
• b) O usuario queda permanentemente logueado, polo que non corresponde con esta liña.
• c) O usuario non ten que iniciar sesión por cada elemento distinto no que interactúa, axilizando a súa experiencia, pero por outra banda, a sesión non é máis que unha Cookie ou espazo reservado de memoria que identifica dita sesión. Se se rouba dito elemento, queda exposta a sesión, motivo do Single Point of Failure, a diferenza de estaren a loguearse constantemente en cada elemento.
• d) Esta liña describe un No-SSO.

Correcto

• ¡CORRECTO! (Matrícula de Honor en razonamiento)
• Efectivamente es la c.
• Tu análisis del Single Point of Failure es impecable. Si el servidor de autenticación central (el que da el "ticket" de entrada) se cae, nadie entra en ninguna aplicación. Y si roban las credenciales maestras, entran en todo.