Estoy estudiando para el CISSP y me estoy quedando colgado de alguna terminología. Específicamente, estoy confundido sobre la diferencia entre agregación de acceso y fluencia de autorización .
En ambos casos, me parece que los usuarios individuales están obteniendo más acceso a más sistemas. ¿Se considera aceptable la agregación de acceso pero no la autorización de autorización?
Agregación es una condición de muchos sistemas y diseños de seguridad y no es un problema inherente. Pero es algo que los administradores deben tener en cuenta para evitar el arrastre .
Creep ocurre involuntariamente y puede resultar en violaciones en el acceso autorizado como resultado de la agregación .
No estoy seguro de si esto es correcto específicamente para CISSP, pero donde trabajo, los términos significan lo siguiente:
Agregación de acceso Los usuarios que obtienen más acceso a través de más sistemas, esto puede ser intencional como resultado de algo como la implementación de capacidades de inicio de sesión único o no intencional donde se les otorga nuevos derechos de acceso sin considerar los derechos que ya tienen.
Autorización de arrastre Aquí es donde hay un poco de superposición con la agregación de acceso, es cuando a los usuarios se les otorgan derechos nuevos o más amplios sin que se les revoquen sus derechos anteriores.
Lea otras preguntas en las etiquetas cissp