3.5.2 Módulo 3 – Prueba de control de acceso respuestas

Última actualización: mayo 8, 2025

3.5.2 Módulo 3 – Prueba de control de acceso Respuestas Español

1. ¿Cuáles son los tres procesos que representan ejemplos de controles de acceso lógico? (Elija tres opciones).

  • Firewalls para supervisar el tráfico
  • Protección para supervisar las pantallas de seguridad
  • Tarjetas de deslizamiento para permitir el acceso a un área restringida
  • Biométrica para validar las características físicas
  • Sistema de detección de intrusiones (IDS) para detectar actividades de red sospechosas
  • Cercas para proteger el perímetro de un edificio
Explicación: Los controles de acceso lógico incluyen, entre otros, los siguientes:

  • Cifrado
  • Tarjetas inteligentes
  • Contraseñas
  • Biometría
  • Listas de control de acceso (ACL)
  • Protocolos
  • Firewalls
  • Sistema de detección de intrusiones (IDS)

2. Una el tipo de autenticación de varios factores con la descripción.

Explicación: Coloque las opciones en el siguiente orden:

Algo que conoces Una contraseña
Algo que tienes Un llavero de seguridad
Algo que eres Un escáner de huellas dactilares

3. Una organización planea implementar la capacitación en seguridad para capacitar a los empleados sobre las políticas de seguridad. ¿Qué tipo de control de acceso intenta implementar la organización?

  • Administrativo
  • Lógico
  • Tecnológico
  • Físico
Explicación: El control de acceso impide que el usuario no autorizado tenga acceso a los datos confidenciales y a los sistemas de red. Existen varias tecnologías utilizadas para implementar estrategias eficaces de control de acceso.

4. Cuando se realiza una auditoría de seguridad en una empresa, el auditor informa que los usuarios nuevos tienen acceso a los recursos de red más allá de sus tareas habituales. Además, los usuarios que pasan a puestos diferentes conservan sus permisos anteriores. ¿Qué tipo de violación se produce?

  • Política de red
  • Menor privilegio
  • Contraseña
  • Auditoría
Explicación: Los usuarios deben tener acceso a la información cuando sea estrictamente necesario. Cuando un usuario pasa de un puesto a otro, se aplica el mismo concepto.

5. ¿Qué modelo de control de acceso asigna privilegios de seguridad en basado en la posición, responsabilidades o clasificación de puestos de un individuo o grupo dentro de una organización?

  • Discrecional
  • Obligatorio
  • Basado en reglas
  • Basado en roles
Explicación: Los modelos de control de acceso basados en roles asignan privilegios en función de la posición, las responsabilidades o la clasificación de puestos. Los usuarios y grupos con las mismas responsabilidades o clasificación de puestos comparten los mismos privilegios asignados. Este tipo de control de acceso también se conoce como control de acceso no discrecional.

6. ¿Qué tipo de control de acceso aplica el control de acceso más estricto y se utiliza comúnmente en aplicaciones militares o fundamentales para la misión?

  • Control de acceso no discrecional
  • Control de acceso basado en atributos (ABAC)
  • Control de acceso obligatorio (MAC)
  • Control de acceso discrecional (DAC)
Explicación: Los modelos de control de acceso se utilizan para definir los controles de acceso implementados para proteger los recursos de TI corporativos. Estos son los distintos tipos de modelos de control de acceso:

  • Control de acceso obligatorio (MAC): el control de acceso más estricto que se utiliza normalmente en aplicaciones militares o esenciales.
  • Control de acceso discrecional (DAC): permite que los usuarios controlen el acceso a sus datos como dueños de esos datos. Pueden utilizarse listas de control de acceso (ACL) u otras medidas de seguridad para especificar quién puede tener acceso a la información.
  • Control de acceso no discrecional: también conocido como control de acceso basado en roles (RBAC). Permite el acceso según el rol y las responsabilidades del individuo dentro de la organización.
  • Control de acceso basado en atributos (ABAC): permite el acceso basado en los atributos del recurso al que se accederá, del usuario que accede al recurso y de los factores del entorno, como el momento del día.

7. ¿Qué componente es un pilar del enfoque de seguridad zero trust que se centra en el acceso seguro de dispositivos, como servidores, impresoras y otros dispositivos finales, incluidos los dispositivos conectados a IoT?

  • Flujos de trabajo
  • Cargas de trabajo
  • Fuerza laboral
  • Lugar de trabajo
Explicación: El pilar del lugar de trabajo se centra en el acceso seguro para todos y cada uno de los dispositivos, incluidos los dispositivos en el Internet de las cosas (IoT), que se conectan a redes empresariales, como puntos terminales de usuario, servidores físicos y virtuales, impresoras, cámaras, sistemas HVAC, quioscos, bombas de infusión, sistemas de control industrial y mucho más.

8. Se le ha pedido a un usuario que implemente IPsec para conexiones externas entrantes. El usuario planea utilizar SHA-1 como parte de la implementación. El usuario desea garantizar la integridad y la autenticidad de la conexión. ¿Qué herramienta de seguridad puede utilizar el usuario?

  • SHA256
  • ISAKMP
  • MD5
  • HMAC
Explicación: HMAC proporciona la función adicional de una clave secreta para garantizar la integridad y autenticación.​

9. Después de una auditoría de seguridad de una organización, se encontró que varias cuentas tenían acceso con privilegios a los sistemas y a los dispositivos. ¿Cuáles son las tres mejores prácticas de protección de cuentas con privilegios que deberían incluirse en el informe de auditoría? (Elija tres opciones).

  • Reduzca la cantidad de cuentas con privilegios.
  • Proteja el almacenamiento de contraseña.
  • Aplique el principio de menor privilegio.
  • Nadie debe tener acceso con privilegios.
  • Solo el CIO debe tener acceso con privilegios.
  • Solo los gerentes deben tener acceso con privilegios.
Explicación: Las mejores prácticas implican otorgar al usuario solo lo necesario para realizar el trabajo. Cualquier privilegio adicional debería rastrearse y auditarse.

10. ¿Qué utilidad de Windows debe utilizarse para configurar las reglas de contraseña y las política de bloqueo de cuenta en un sistema que no es parte de un dominio?

  • Administración de equipos
  • Herramienta de política de seguridad local
  • Herramienta de seguridad de Active Directory
  • Registro de seguridad del visor de eventos
Explicación: Un especialista en ciberseguridad debe conocer las tecnologías y las medidas que se utilizan como contramedidas para proteger a la organización de las amenazas y vulnerabilidades. Política de seguridad local, Visor de eventos y Administración de computadoras son utilidades de Windows que se utilizan en la ecuación de seguridad.

11. ¿Cuál es el propósito de la función de contabilidad de seguridad de red?

  • Proporcionar preguntas de desafío y respuesta.
  • No perder de vista las acciones de los usuarios.
  • Determinar a qué recursos puede acceder un usuario.
  • Requerir que los usuarios prueben quiénes son.
Explicación: La autenticación, la autorización y el registro son servicios de red que, en conjunto, se conocen como AAA. La autenticación requiere que los usuarios prueben quiénes son. La autorización determina a qué recursos puede acceder un usuario. El registro hace un seguimiento de las acciones del usuario.

12. Debido a los controles de seguridad implementados, un usuario solo puede acceder a un servidor con FTP. ¿Qué componente de AAA logra esto?

  • Autorización
  • Autenticación
  • Registro
  • Auditoría
  • Accesibilidad
Explicación: Uno de los componentes de AAA es la Autorización. Una vez que se autentica usuario a través de AAA, los servicios de autorización determinan a qué recursos puede acceder el usuario y qué operaciones tiene permitido realizar.

13. ¿Qué se utiliza para escanear un dispositivo BYOD con el fin de verificar que cumple con las políticas de seguridad de la empresa antes de permitir que el dispositivo acceda a la red?

  • ACL
  • NAC
  • IDS
  • Servidor proxy
  • Reconocimiento
Explicación: One of the goals of NAC is to evaluate device compliance with security policies by user type, device type, and operating system prior to permitting network access. NAC system automation features make network access of BYOD and IoT devices practical.

14. ¿Qué componente de AAA puede establecerse utilizando tokens?

  • Autorización
  • Autenticación
  • Contabilidad
  • Auditoría
Explicación: El componente de autenticación de AAA se establece utilizando combinaciones de nombre de usuario y contraseña, desafío y respuesta, tokens. El componente de autorización de AAA determina a qué recursos puede acceder el usuario y qué operaciones tiene permitido realizar. El componente de registro y auditoría de AAA realiza un seguimiento de cómo se utilizan los recursos de la red.

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax