DESARROLLO SEGURO DE SOFTWARE Y AUDITORÍA

Señale la respuesta correcta. Una prueba específica para entornos de eBanking. A. Autenticación fuerte de usuarios en su acceso a la plataforma. B. Verificación de interfaces existentes con pasarelas de pago bancarias. C. Cifrado de discos duros y de comunicaciones. D. Existencia y aplicabilidad de procedimientos operativos de manejo de la aplicación de eBanking.

Señalar la respuesta correcta. Verificar que se está utilizando sistemas duplicados en los que se requiere muy alta disponibilidad se corresponde al área de la auditoría de un Plan de Recuperación ante Desastres: A. La resiliencia del sistema. B. Copias de seguridad y restauración de datos. C. Verificar la integridad y precisión del DRP. D. Evaluar el desempeño del personal involucrado en el DRP.

Señalar la respuesta correcta. Un tipo de clasificación de controles puede ser: A. Controles Generales (Entrada de Datos, Tratamiento de Datos, Salida de Datos), Controles de Aplicación (Organización y Operación, Desarrollo de Sistemas y Documentación, Hardware y Software de Sistemas) y Controles por área. B. Controles compensatorios y asumibles. C. Controles Generales (Organización y Operación, Desarrollo de Sistemas y Documentación, Hardware y Software de Sistemas), Controles de Aplicación (Entrada de Datos, Tratamiento de Datos, Salida de Datos) y Controles por área. D. Solo existen los controles de productos informáticos y por motivos legales.

Señalar la respuesta correcta. Dentro de Controles Generales, podemos afirmar que NO son Controles de Organización y Operación: A. Seguridad Lógica y Física, controles de procesamiento y Control de Presupuestos. B. Procedimientos, separación de entornos y estándares y nomenclatura. C. Seguridad Lógica y Física, controles de procesamiento y segregación de funciones. D. Metodologías de SDLC, controles de edición y verificación y seguridad Lógica y Física.

Señalar la respuesta correcta. De acuerdo con la metodología “Common Criteria ISO 15408 (CC)” el nivel de confianza se proporciona evidencia en cuanto a que la evaluación coincide con la descrita en la documentación: A. EAL1. B. EAL3. C. EAL4. D. EAL5.

Señalar la respuesta correcta. ¿Cuál es la definición breve de Auditoría de Sistemas de Información?. A. Es la revisión vinculada del control y la evaluación. B. Es la revisión independiente de la auditoría. C. Es la revisión independiente del control interno informático. D. Ninguna de las anteriores.

Señalar la respuesta correcta. El objetivo de la reducción de la superficie de ataque es: A. Minimizar el número de puntos expuestos en la superficie de ataque, que un usuario malintencionado puede descubrir e intentar explotar. B. Minimizar el número de vulnerabilidades presentes en una aplicación. C. Maximizar el número de herramientas de análisis de estático de código utilizadas para analizar la implementación del código fuente de una aplicación. D. Ninguna de las anteriores.

Señalar la respuesta correcta. El desarrollo de software seguro y confiable requiere la adopción de un proceso sistemático o disciplina que aborde la seguridad en cada una de las fases de su ciclo de vida. Se debe integrar en el mismo dos tipos de actividades: A. Seguimiento de unos principios de calidad. B. Una serie de buenas prácticas de diseño. C. Seguimiento de unos principios de diseño seguro y una serie de buenas prácticas de seguridad. D. Ninguna de las anteriores.

Señalar la respuesta incorrecta. El cálculo de código CVSS se realiza en base a tres tipos de métricas: A. Métricas base. B. Métricas estadísticas. C. Métricas temporales. D. Métricas ambientales.

Señalar la respuesta correcta. Un auditor de SI que realiza una revisión de controles de acceso debería estar MENOS preocupado si: A. Las pistas de auditoría no estuvieran habilitadas. B. Los programadores tuvieran acceso al entorno en vivo. C. Los logons de grupo estuvieran siendo utilizados para funciones críticas. D. El mismo usuario pudiera iniciar transacciones y también cambiar los parámetros relacionados.

Señalar la respuesta correcta. ¿En qué consiste el control de organización y operación: separación de entornos?. A. En hacer copias de seguridad de los diferentes entornos/ambientes. B. En tener siempre solo 2 entornos/ambientes: 1 para desarrollo y otro para producción. C. En tener 3 ó 4 entornos/ambientes: desarrollo, testing, preproducción y explotación. D. En tener solo 2 entornos/ambientes donde la información se intercambia indistintamente.

Señalar la respuesta incorrecta. Los requisitos de los servicios de seguridad debe especificar: A. Propiedades que el software debe exhibir. B. Nivel requerido de seguridad y salvaguardas de riesgo de las funciones de seguridad. C. Los controles y normas que rigen los procesos de desarrollo, implementación y operación del software. D. Están orientados hacia la reducción o eliminación de las vulnerabilidades del software, como validación de entradas, comprobación de límites de búfer, ejecución entornos aislados.

4. Señalar respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? struct hostent *hp; struct in_addr myaddr; * tHost ="trustme.com"; myaddr.s_addr =inet_addr(ip_addr_string); hp = gethostbyaddr(( *)&myaddr, sizeof(struct in_addr), AF_INET); if (hp &&!strncmp(hp->h_name, tHost, sizeof(tHost))) { trusted = true; } else { trusted = false;}. A. Validación límites de confianza. B. Buffer overflow. C. Memory leaks. D. Validación de entrada DNS.

Señalar la respuesta incorrecta. Los elementos clave de un proceso de S- SDLC son: A. Sostenimiento seguro. B. Herramientas de apoyo al desarrollo. C. Conocimientos de seguridad de los desarrolladores. D. Gestión de configuración del entorno de desarrollo.

Señalar la respuesta incorrecta. Ejemplo de errores comunes a la hora de aplicar el principio de “Mínimo Privilegio”: A. Aplicación de derechos de administrador. B. Usuarios con derechos de administrador. C. Instalación de aplicaciones y servicios con el usuario de administrador. D. Servicios y procesos con privilegios por tiempo definido.

Señalar la respuesta incorrecta. Los factores principales prácticos que determinan la utilidad de una herramienta de análisis estático son: A. El equilibrio que la herramienta hace entre la extensión del código fuente y el tipo de lenguaje de programación. B. Porcentaje de falsos positivos y falsos negativos de la herramienta. C. El conjunto de errores que la herramienta comprueba. D. Las características de la herramienta para hacerla fácil de usar.

Señalar la respuesta incorrecta. En las pruebas del tipo “Análisis hibrido o Interactive Application Security Testing (IAST)”, se realizan tres tipos de análisis: A. Análisis de cobertura. Pone de manifiesto las interacciones entre las diferentes partes del programa. B. Análisis de inconsistencias, Permite buscar inconsistencia en la aplicación a probar. C. Análisis de patrones. Permite buscar patrones específicos en la ejecución del programa, tales como excepciones no capturadas, omisiones, errores de memoria dinámica y problemas de seguridad. D. Análisis de frecuencia de espectro. Revela las dependencias entre los componentes del programa.

Señalar la respuesta correcta. Apreciar el nivel de entrenamiento y conciencia de los individuos que no forman parte del equipo de recuperación/respuesta se corresponde al área de la auditoría de un Plan de Recuperación ante Desastres: A. La resiliencia del sistema. B. Copias de seguridad y restauración de datos. C. Verificar la integridad y precisión del DRP. D. Evaluar el desempeño del personal involucrado en el DRP.

Señalar la respuesta incorrecta. Para realizar un DRP se debería seguir las siguientes fases: A. Alinearlo con el plan de continuidad de negocio. B. Actualizar y mejorar el plan estratégico. C. Capacitar a los encargados de ponerlo en marcha, concienciar y difundir el plan. D. Realizar pruebas.