2.6.1 HS/Gestión de identidad

Temas:
Core Tier1

• Identificación y autenticación de personas y dispositivos.
  1. Este tema proporciona una descripción general de varios métodos de control de acceso para demostrar los beneficios y desafíos de cada uno.
  2. Los temas incluyen una descripción general del control de acceso a la red (NAC)
  3. Gestión de acceso a identidades (IAM)
  4. roles
  5. multimétodo
  6. sistemas de identificación y autenticación
  7. sistemas de autenticación biométrica (incluidas cuestiones como precisión/FAR/FRR, resistencia, privacidad, etc.)
  8. usabilidad y tolerabilidad de los métodos.
• Control de activos físicos y lógicos.
  1. cubre varios controles de acceso a activos físicos, incluido hardware del sistema, activos de red, dispositivos de respaldo/almacenamiento, etc. Algunos ejemplos son el control de acceso a la red (NAC), la gestión de acceso a identidades (IAM), el control de acceso basado en reglas (RAC), el control de acceso basado en roles ( RBAC), métodos de seguimiento de inventario y métodos de creación de identidad (qué tipo de ID de usuario ayuda a aumentar la seguridad con el control de acceso, por ejemplo, abc1234, nombre y apellido, inicial del primer nombre y apellido).
• Identidad como servicio (IaaS)
  1. Este tema cubre la gestión de identidades como servicio (por ejemplo, identidad en la nube) y plantea problemas como que el sistema está fuera del control del usuario sin forma de saber qué ha sucedido con la información en el sistema, auditar el acceso, garantizar el cumplimiento y la flexibilidad para revocar permisos rápidamente.
• Servicios de identidad de terceros
  1. Este tema proporciona una descripción general de la infraestructura de autenticación utilizada para crear, alojar y administrar servicios de identidad de terceros.
  2. Los temas incluyen local, nube, servicios de identidad centralizados/herramientas de administración de contraseñas, administración de privilegios de punto final, etc.
• Ataques de control de acceso y medidas de mitigación
  1. Este tema proporciona una descripción general de varios tipos de ataques de control de acceso para robar datos o credenciales de usuario, y medidas de mitigación para combatirlos.
  2. Los temas incluyen contraseñas, diccionario, fuerza bruta y ataques de suplantación de identidad; autenticación multifactor; política de contraseñas seguras; archivos de contraseña seguros; restringir el acceso a los sistemas; etc.

Objetivos de Aprendizaje:
Core-Tier1:

1. Explique la diferencia entre identificación, autenticación y autorización de acceso de personas y dispositivos [Usar]
2. Analice la importancia de los registros de auditoría y de la identificación y autenticación del inicio de sesión [Usar]
3. Demostrar la capacidad de implementar el concepto de privilegio mínimo y segregación de funciones [Usar]
4. Demostrar la comprensión general de los ataques de control de acceso y las medidas de mitigación [Usar]