Desarrollo seguro de software y Auditoría

Indica cuál de las siguientes respuestas no es una causa de aparición de vulnerabilidades en el software: No realización de pruebas de seguridad basadas en riesgo. Cambios de requisitos del proyecto durante la etapa de especificación. Mezcla de código proveniente de varios orígenes. Tamaño excesivo y complejidad de las aplicaciones.

Indica la respuesta incorrecta respecto al ataque a las aplicaciones durante las diferentes fases de su ciclo de vida: Distribución e instalación. Ocurre cuando el instalador del software bastiona la plataforma en la que lo instala. Desarrollo. Un desarrollador puede alterar de forma intencionada o no el software bajo desarrollo. Operación. Cualquier software que se ejecuta en una plataforma conectada a la red tiene sus vulnerabilidades expuestas durante su funcionamiento. El nivel de exposición variará dependiendo de si la red es privada o pública, conectada o no a Internet, y si el entorno de ejecución del software ha sido configurado para minimizar sus vulnerabilidades. Mantenimiento o sostenimiento. No publicación de parches de las vulnerabilidades detectadas en el momento oportuno o incluso introducción de código malicioso por el personal de mantenimiento en las versiones actualizadas del código.

Señala la respuesta incorrecta. Las fuentes de las vulnerabilidades se deben a: Fallos provenientes de la codificación de los diseños del software realizados. Fallos provenientes de la cadena de distribución del software. Los sistemas hardware o software contienen frecuentemente fallos de diseño que pueden ser utilizados para realizar un ataque. La instalación de software por defecto implica, por lo general, la instalación de servicios que no se usan, pero que pueden presentar debilidades que comprometan la máquina.

Señala la respuesta incorrecta. Entre las técnicas y mecanismos para salvaguardar la integridad tenemos, por ejemplo: Identificación del modo de trasmisión y procesado de los datos por la aplicación. Uso de arquitecturas de alta disponibilidad, con diferentes tipos de redundancias. Uso de firma digital. Estricta gestión de sesiones.

Señala la respuesta incorrecta. Algunas de las opciones específicas de diseño del software que lo simplifican son: Favorecer procesos deterministas sobre los no deterministas. Limitar el número de estados posibles en el software. El uso de técnicas de interrupciones en lugar de sondeo. Desacoplar los componentes y procesos para minimizar las interdependencias entre ellos.

Para conseguir que el desarrollo de una aplicación posea las propiedades y principios de diseño del software seguro, se necesita que el personal de diseño y desarrollo lleve a cabo: Perspectiva administrador. Perspectiva defensor. Perspectiva usuario. Perspectiva atacante.

¿Cómo se define la resiliencia?. Capacidad de resistencia y tolerancia a los ataques realizados por los agentes maliciosos (malware, hackers, etc.). Capacidad que garantiza la posibilidad de imputar las acciones relacionadas en un software a la persona, entidad o proceso que la ha originado. Capacidad del software para aislar, contener y limitar los daños ocasionados por fallos causados por ataques de vulnerabilidades explotable del mismo, recuperarse lo más rápido posible de ellos y reanudar su operación en o por encima de cierto nivel mínimo predefinido de servicio aceptable en un tiempo oportuno. Capacidad del software para «tolerar» los errores y fallos que resultan de ataques con éxito y seguir funcionando como si los ataques no se hubieran producido.

¿A qué principio de diseño le corresponde la siguiente afirmación? «Estrategia de protección consistente en introducir múltiples capas de seguridad, que permitan reducir la probabilidad de compromiso en caso de que una de las capas falle y en el peor de los casos minimizar el impacto». Seguridad por defecto. Separación de privilegios. Separación de dominios. Defensa en profundidad.

Señalar la respuesta incorrecta. Los elementos clave de un proceso de S-SDLC son: Gestión de configuración versiones. Pruebas de seguridad. Hitos de control en las fases del SDLC. Despliegue y distribución.

Señala la respuesta incorrecta. El cálculo de código CVSS se realiza en base a tres tipos de métricas ambientales: Métricas estadísticas. Métricas base. Métricas temporales. Métricas ambientales.

Señala la respuesta correcta. ¿Qué incluye la seguridad del software?. Patrones de codificación. Principios de diseño seguro. Casos de uso. Buenas prácticas de seguridad.

Señala la respuesta correcta. Los patrones de ataque en la fase de diseño y arquitectura: Ayudan a definir el comportamiento del sistema para prevenir o reaccionar ante otros ataques. Específicas debilidades no aprovechadas por los ataques, orientando que técnicas o prácticas de seguridad de desarrollo que evitan estas deficiencias. Proporcionan el contexto de las amenazas al que el software se va a enfrentar. Proporcionan ejemplos de ataques que no aprovechan las vulnerabilidades de la arquitectura elegida.

Señala la respuesta correcta. Respecto a los casos de uso de seguridad: Analizan y especifican los requisitos de seguridad funcionales. Analizan y especifican las amenazas a la seguridad. Análisis de vulnerabilidades de activos y amenazas. Análisis forense de las actividades maliciosas.

Respecto a la ingeniería de requisitos de seguridad, esta NO incluye: Requisitos de software seguro. Requisitos que afectan directamente a la probabilidad de que el software sea seguro. Requisitos servicios de seguridad. Los requerimientos no funcionales de seguridad deben especificar: propiedades que el software debe exhibir. Los requerimientos no funcionales de seguridad deben especificar: los controles y normas que rigen los procesos de desarrollo, implementación y operación del software.

¿Cuál de estas opciones NO forma parte de los tres pasos básicos del análisis de riesgo arquitectónico?. Análisis de ambigüedad. Análisis de resistencia al ataque. Análisis de robustez. Análisis de debilidad.

¿Cuál de las siguientes respuestas es una de las perspectivas que el equipo de desarrollo tiene que adoptar a la hora de diseñar unas pruebas de seguridad basadas en el riesgo?: Perspectiva gerencia. Perspectiva atacante. Perspectiva usuario. Perspectiva del analista.

¿Cuál de estas opciones NO es una razón principal para añadir prácticas de seguridad en el SDLC?. Mayor probabilidad de capturar adecuadamente los requisitos. Mayor probabilidad de tomar decisiones de diseño correctas y no cometer errores involuntarios de codificación. Dificultad de los agentes maliciosos para explotar vulnerabilidades y debilidades del software. Mayor probabilidad de que el software funcione correctamente.

Señala la respuesta correcta. Un método sistemático para caracterizar la seguridad de un sistema, basado en la combinación y dependencias de las vulnerabilidades de este, que un atacante puede aprovechar para comprometerlo. Método de ataque. Patrones de ataque. Árboles de ataque. Modelo de ataque.

Señalar la respuesta incorrecta sobre los casos de abuso. Los casos de abuso constituyen unas buenas prácticas para la obtención de los requisitos funcionales de una aplicación, referidos a actividades que debería realizar el sistema. Un caso de abuso es la inversa de un caso de uso, es decir, una función que el sistema no debe permitir o una secuencia completa de acciones que resulta en una pérdida para la organización. Los casos de abuso, o casos de mal uso, son un instrumento que puede ayudar a pensar de la misma forma que lo hacen los atacantes. Establecen la base para otros casos de uso de seguridad que proporcionan los medios para contrarrestar o mitigar las amenazas capturadas en los mismos y una manera altamente reutilizable de organizar, analizar y especificar los requisitos de seguridad.

Indica en qué fase del ciclo de vida de desarrollo del software NO es aplicable el análisis de riesgo arquitectónico. Especificación de requisitos. Diseño del sistema. Codificación. Operación.

Señala la respuesta correcta. Las perspectivas de las pruebas de seguridad basadas en el riesgo son las siguientes: Perspectiva gerencia. Perspectiva atacante. Perspectiva usuario. Perspectiva del analista.

Señala la respuesta correcta. El principal problema de las herramientas de análisis estático es: Falsos negativos que produce. Gran cantidad de defectos que encuentra. Reglas de la herramienta. Falsos positivos que produce.

Señala la respuesta incorrecta. Las herramientas de análisis estático realizan varios tipos de análisis: Taint Propagation. Análisis puntual. Model checking. Análisis de flujo de datos.

Señala la respuesta correcta. Los tests de penetración: Demuestran que ningún defecto existe. Revisan el código. El entendimiento del ambiente de ejecución y de los problemas de configuración es el mejor resultado de cualquier prueba de penetración. Las conclusiones de seguridad son repetibles a través de equipos diferentes y varían extensamente dependiendo de la habilidad y la experiencia de los probadores.

Señalar la respuesta correcta. A la hora de realizar la distribución y despliegue del software desarrollado es recomendable el realizar las siguientes buenas prácticas: Distribuir el software con una configuración por defecto segura y lo más restrictiva posible. Proporcionar una herramienta de instalación automática. Cambio los valores de configuración predeterminados durante el desarrollo. Todas las anteriores.

Señala la respuesta incorrecta. Los objetivos de las pruebas de seguridad basadas en el riesgo son: Verificar la operación del software bajo en su entorno de producción. Verificar la capacidad de supervivencia del software ante la aparición de anomalías, errores y su manejo de estas mediante excepciones que minimicen el alcance e impacto de los daños que puedan resultar de los ataques. Verificar la falta de defectos y debilidades explotables. Verificar la fiabilidad del software, en términos de comportamiento seguro y cambios de estado confiables.

Señalar la respuesta incorrecta. El análisis estático de código fuente es adecuado para identificar problemas de seguridad por ciertas razones: Las herramientas de análisis estático comprueban el código a fondo y coherentemente, sin ninguna tendencia, que a veces los programadores según su criterio podrían tener sobre algunas partes del código que pudieran ser más «interesantes» desde una perspectiva de seguridad o partes del código que pudieran ser más fáciles para realizar las pruebas dinámicas. Examinando el código en sí mismo, las herramientas de análisis estático a menudo pueden indicar la causa de origen de un problema de seguridad, no solamente uno de sus síntomas. Cuando un investigador de seguridad descubre una nueva variedad de ataque, las herramientas de análisis estático no ayudan a comprobar de nuevo una gran cantidad de código para ver dónde el nuevo ataque podría tener éxito. El análisis estático puede encontrar errores tempranamente en el desarrollo, aún antes de que el programa sea ejecutado por primera vez.

Señalar la respuesta correcta. La principal misión de los tests de penetración es: Revisar estáticamente el código del sistema. Comprobar las vulnerabilidades del software. Verificar cómo el software se comporta y resiste ante diferentes tipos de ataque. Probar la seguridad de la arquitectura del software.

Indicar la respuesta incorrecta. Los factores principales prácticos que determinan la utilidad de una herramienta de análisis estático son: El equilibrio que la herramienta hace entre la precisión, la profundidad y la escalabilidad. Porcentaje de falsos positivos de la herramienta. Las características de la herramienta para hacerla fácil de usar. La capacidad de la herramienta para comprender el programa que se analiza.

Señalar la respuesta correcta. Una herramienta de análisis de código reporta que existe una vulnerabilidad de inyección SQL. Sin embargo, después de la correspondiente verificación, se comprueba que en realidad no existe tal vulnerabilidad. ¿Qué tipo de limitación de las herramientas de análisis de código se ha expuesto?. Un falso positivo. Un falso negativo. Una vulnerabilidad específica de un lenguaje de programación. Ninguna de las anteriores.

Señala la respuesta correcta. En los apuntes de la asignatura se presentan una serie de recomendaciones de buenas prácticas: Manejo de los datos con precaución. Confiar en software de terceros en operaciones críticas. Usar listas de errores. Usar en el código nombres relativos de ficheros.

Señala la respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? String user_state = "Unknown"; try { HttpSession user_session = Init.sessions.get(tmpUser.getUser()); user_state = user_session == null ? "Unknown" : (String)user_session.getAttribute("USER_STATUS"); user_state = user_state == null ? "Available" : user_state; } ... %> <%=user_state %>. Integer overflows. Desbordamiento de buffer. Uso de datos invalidados. Use after free.

Señala la respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? char *stringcopy(char *str1, char *str2) { while (*str2) *str1++ = *str2++; return str2; } main(int argc, char **argv) { char *buffer = (char *)malloc(16 * sizeof(char)); stringcopy(buffer, argv[1]); printf("%s\n", buffer); }. Integer overflows. Desbordamiento de buffer. Format string. Use after free.

Señala la respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? struct hostent *hp; struct in_addr myaddr; char* tHost = "trustme.com"; myaddr.s_addr = inet_addr(ip_addr_string); hp = gethostbyaddr((char *) &myaddr, sizeof(struct in_addr), AF_INET); if (hp && !strncmp(hp->h_name, tHost, sizeof(tHost))) { trusted = true; } else { trusted = false; }. Buffer overflow. Validación límites de confianza. Validación de entrada DNS. Memory leaks.

Señala la respuesta correcta. ¿Es el siguiente código correcto? if (path != null && path.length() > 0 && path.length() <= MAXPATH) { fileOperation(path); }. Es correcto. Es incorrecto. No se puede determinar. Ninguna de las anteriores.

Señala la respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? u_int nresp; nresp = packet_get_int(); if (nresp > 0) { response = xmalloc(nresp*sizeof(char*)); for (i = 0; i < nresp; i++) response[i] = packet_get_string(NULL); }. Integer overflows. Desbordamiento de buffer. Format string. Use after free.

Señala la respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? while (fgets(buf, sizeof buf, f)) { lreply(200, buf); ... } void lreply(int n, char *fmt, ...) { char buf[BUFSIZ]; ... vsnprintf(buf, sizeof buf, fmt, ap); ... }. Integer overflows. Desbordamiento de buffer. Format string. Use after free.

Señala la respuesta correcta. Al realizar una buena validación de entrada por defecto, una mejora con API de seguridad aumenta la capacidad de hacer lo siguiente: Entender y mantener la lógica de validación de entrada. Actualizar y modificar el intento de introducir la validación coherentemente. Aplicar una validación de entrada sensible a contexto coherentemente a toda la entrada. Descentralizar la lógica de validación.

Señalar la respuesta incorrecta. En el desarrollo de aplicaciones seguras y confiables se requiere el seguimiento de unas buenas prácticas: Insistir en el proceso de revisión de código. Formación continua. Invocar programas en los que no se confía desde otros en los que se confía. Manejo de los datos con precaución.

Señala la respuesta correcta. ¿Cuál es la mejor forma de prevenir ataques de desbordamiento de buffer?. Tener precauciones al realizar conversiones de tipo. Utilizar un lenguaje de programación que fuerce la comprobación de tipos y de memoria. Comprobar los límites de memoria. Comprobar las longitudes del buffer.

Señala la respuesta correcta. Con respecto a los errores y excepciones: Si un método declara que lanza una excepción checked, todos los objetos que lo utilizan deben manejar la excepción o declarar que lo lanzan también. Los compiladores de Java no hacen cumplir las reglas en cuanto a excepciones checked. Todas las excepciones en C++ son checked. Las excepciones unchecked no tienen que ser declaradas o manejadas.

Señala la o las respuestas correctas. ¿Qué tipo de vulnerabilidad se comete en este código? public ResultSet execSQL(Connection conn, String sql) { Statement stmt = null; ResultSet rs = null; try { stmt = conn.createStatement(); rs = stmt.executeQuery(sql); } catch (SQLException sqe) { logger.log(Level.WARNING, "error executing: " + sql, sqe); } finally { close(stmt); } return rs; }. Integer overflows. Desbordamiento de buffer. Format string. Manipulación de información privada.

Señala la o las respuestas correctas. Se tienen dos opciones para crear archivos temporales de forma segura: Generar los nombres de archivo temporales que sean difíciles de adivinar, usando un generador de números criptográficamente seguros pseudo-aleatorios (PRNG) para crear un elemento aleatorio en cada nombre del archivo temporal. Almacenar los archivos temporales bajo un directorio que no es públicamente accesible, eliminando así toda la discusión con respecto a ataques. Almacenar los archivos temporales bajo un directorio que es públicamente accesible, eliminando así toda la discusión con respecto a ataques. Generar los nombres de archivo temporales que sean difíciles de adivinar usando un generador de números para crear un elemento en cada nombre del archivo temporal.

Señala la respuesta incorrecta. Métodos para detectar y prevenir intergers overflows: Usar tipos sin signo. Verificar el tipo de los buffers. Restringir la entrada numérica de usuario. Entender las reglas de conversión entre enteros.

Señala la respuesta incorrecta. Los ataques de escalada de privilegios pueden tener como objetivo cualquier variedad de vulnerabilidades de software, que son principalmente un riesgo en programas privilegiados: Archivos de sistema. Condiciones de carrera de acceso a archivos. Inyección de comandos. Mal uso de descriptores de archivo estándar.

Señala la respuesta correcta. Consideraciones sobre potenciales vulnerabilidades de Java: Seguridad de tipos. Los campos que son declarados privados o protegidos, o que tienen protección, por defecto, deberían ser públicamente accesibles. Campos públicos. Un campo que es declarado público directamente puede no ser accedido por cualquier parte de un programa Java y puede ser modificado por las mismas (a no ser que el campo sea declarado como final). Serialización. Esta facilidad posibilita que el estado del programa sea capturado y convertido en un byte stream que puede ser restaurado por la operación inversa, que es la deserialización. JVM. La JVM, en sí misma, a menudo está escrita en C para una plataforma dada. Esto quiere decir que, sin la atención cuidadosa a detalles de puesta en práctica, la JVM en sí misma no susceptible a problemas de desbordamiento.

Señala la respuesta correcta. Revisando el programa ¿cuál de las siguientes preguntas describe mejor lo que está haciendo la función? void aFunction(char *buf) { static char BANNED_CHARACTERS[] = {'>', '<', '!', '*'}; int l = strlen(buf); int i; for(i = 0; i < l; i++) { int j; int k = sizeof(BANNED_CHARACTERS) / sizeof(char); for(j = 0; j < k; j++) { if(buf[i] == BANNED_CHARACTERS[j]) buf[i] = ' '; } } }. Asegurar la no violabilidad espacial de la memoria. Validar la entrada mediante lista blanca. Asegurar la no violabilidad temporal de la memoria. Validar la entrada mediante lista negra.

Señala la incorrecta. Las funciones de strings limitadas son más seguras que las funciones ilimitadas, pero hay todavía mucho margen para el error. Los fallos de programación más comunes que se pueden cometer con las funciones de string limitadas: El buffer de destino se desborda porque el límite depende del tamaño de los datos de la fuente, más bien que del tamaño del buffer de destino. El buffer de destino se desborda porque su límite se especifica como el tamaño total del buffer, más bien que como el espacio restante. El buffer de destino se deja sin un terminador nulo. El programa escribe a una posición arbitraria en la memoria porque el buffer de destino se termina con el carácter nulo.

Señalar la respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? #include <stdio.h> #include <stdlib.h> #include <unistd.h> #define MY_TMP_FILE "/tmp/file.tmp" int main(int argc, char* argv[]) { FILE * f; if (!access(MY_TMP_FILE, F_OK)) { printf ("File exists!\n"); return EXIT_FAILURE; } tmpFile = fopen(MY_TMP_FILE, "w"); if (tmpFile == NULL) { return EXIT_FAILURE; } fputs("Some text...\n", tmpFile); fclose(tmpFile); return EXIT_SUCCESS; }. Integer overflows. Desbordamiento de buffer. Condiciones de carrera. Use after free.

Señala la respuesta correcta. ¿Cuándo ocurre un ataque de integer overflow?. Al realizar una operación de una resta. Un entero es usado como si fuera un puntero. Un entero es usado para acceder a un buffer fuera de sus límites. No hay más espacio en el programa para almacenar un entero.

¿Cuál es uno de los pilares fundamentales de la definición de auditoría?. Proceso objetivo. Proceso subjetivo. Calculo el riesgo tecnológico. Calculo el riesgo operacional.

El objetivo final de la auditoría es: Generar un proceso subjetivo. Dar recomendaciones a la alta dirección. Entregar un informe. Comunicar los resultados de manera correcta.

Cualquier sistema informático utilizado por las compañías debe: Salvaguardar la propiedad de la información. Mantener la integridad de los datos. Asegurar la confidencialidad de la información. Todas las anteriores.

¿Cuál de las siguientes afirmaciones es cierta?. No hace falta un alineamiento entre el plan estratégico y el plan de las TIC al tratarse de taxonomías de planes totalmente diferentes. Las organizaciones con consideración a las TI tienen mayor retorno de inversión a medio y largo plazo que aquellas que no lo consideran ante los mismos objetivos estratégicos, de tal forma que con la madurez tecnológica se llegue a un estado de mayor retorno. El plan informático de TI se tiene que corresponder con el plan estratégico de la empresa. Ninguna afirmación es cierta.

La auditoría del CPD, ¿corresponde con una auditoria de sistemas o de seguridad física?. Al estar los sistemas dentro del CPD, se corresponde en exclusiva con una auditoria de sistemas. Al ser una ubicación física, estas auditorías están centradas en las auditorias de seguridad física. Es una auditoria de sistemas porque no existen las auditorias de seguridad física. Pueden ser las dos, dependiendo de los objetivos de la auditoria.

Cuáles son las diferencias más relevantes entre auditoría y control internos. Realizan la misma función, por lo que la diferencias simplemente es en la nomenclatura que se le dé en cada empresa. El control interno tiene mucho más peso que la auditoria interna. La auditoría interna tiene mucho más peso que control interno. La periodicidad y frecuencia de sus actuaciones.

Las auditorias de seguridad solo engloban: Los temas tecnológicos. Los temas físicos. Los temas operacionales. Todas las anteriores.

Cuál es uno de los objetivos principales del auditor: Elaborar un informe de situación y entregarlo. Evaluar y comprobar, en determinados momentos, los controles y procedimientos informáticos. Pedir evidencias y analizarlas. Ninguna de las anteriores.

Se denomina auditoria informática porque: Se utilizan muchos sistemas informáticos para encontrar los resultados. Solo pueden realizarse por personas con unos estudios relacionados con la Informática. El objeto auditado son los sistemas de información. Ninguna de las anteriores.

Cuando se encuentran hallazgos en la auditoria: Se notifica de manera inmediata cualquier hallazgo a la Alta Dirección. Se notifica de manera inmediata cualquier hallazgo a nuestro interlocutor. Se documentan formalmente y ya se notificarán. Ninguna de las anteriores.

Es fundamental que un auditor de sistemas de información: Tenga conocimiento de la legislación aplicable en la compañía. Tenga conocimiento de los objetivos de la compañía. Tenga conocimiento de los sistemas de información. Todas las anteriores.

¿Dónde se debe situar un departamento de auditoría interna dentro de una compañía?. Su situación no es relevante. Siempre depende de Tecnología. Depende de la empresa, pero lo más recomendable es que dependa de Seguridad. En una ubicación jerárquica en la que pueda realizar sus actuaciones de manera independiente.

En relación con la clasificación de controles internos, según su naturaleza, podemos afirmar que: Son normalmente detectivos, correctivos y preventivos. En ocasiones, se incluyen los controles alternativos. Son voluntarios, obligatorios, manuales y automáticos. Son voluntarios, obligatorios, manuales, automáticos, preventivos, detectivos y correctivos. Son controles generales, de aplicación, de área y legales.

En relación con la clasificación de controles internos, según su naturaleza, podemos afirmar que: Los controles detectivos actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia. Los controles preventivos se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o automáticos. Las opciones A y B son correctas. Las opciones A y B son incorrectas.

Los controles generales se clasifican en: Controles de organización y operación, controles de tratamiento de datos, así como controles de hardware y software de sistemas. Controles de entrada de datos, controles de tratamiento de datos y controles de salida de datos. Controles de organización y operación, controles de desarrollo de sistemas y documentación, así como controles de hardware y software de sistemas. Ninguna de las anteriores es cierta.

¿Se puede considerar un control como señuelo?. No, un control siempre debe tener un objetivo claro. No, los controles tienen que ser reales. Sí, se utilizan para desviar la atención de un potencial atacante. Ninguna de las respuestas anteriores es correcta.

Dentro de controles generales, podemos afirmar que no son controles de organización y operación: Seguridad lógica y física, controles de procesamiento y control de presupuestos. Procedimientos, separación de entornos y estándares y nomenclatura. Controles de segregación de funciones. Todos los anteriores son controles de organización y operación.

Los controles deben: Estar implantados. Cubrir los objetivos por los que fueron implantados. Ser efectivos. Todas las anteriores.

En relación con los controles de organización y operación, para una segregación de funciones adecuada: Una misma persona no puede realizar funciones determinadas en un mismo entorno. Una misma persona no puede realizar funciones determinadas en un entorno y en otro. Las opciones A y B son correctas. Las opciones A y B son incorrectas.

Los controles de hardware y software de sistemas: Preservan las tres dimensiones de la información: confidencialidad, disponibilidad y seguridad. Preservan las tres dimensiones de la información: fiabilidad, disponibilidad y confidencialidad. Preservan dos de las tres dimensiones de la información: integridad, disponibilidad y confidencialidad. Ninguna de las anteriores es correcta. Los controles de hardware y software de sistemas, entre los que destacan los controles de seguridad lógica y de seguridad física, se caracterizan por ser controles que preservan tres dimensiones de seguridad (confidencialidad, integridad y disponibilidad).

¿Qué acciones son fundamentales en la planificación de una auditoría?. Comprensión del negocio. Posibles riesgos. Metodología que se debe utilizar. Todas las anteriores.

¿Cuál es la finalidad de un estándar de auditoría?. Es una metodología utilizada por cada una de las empresas auditoras. Los estándares definen los requerimientos obligatorios para la auditoría de sistemas y la generación de informe. Es una guía y se tiene que seguir de manera exacta. Ninguna de anteriores.

¿Cuántos organismos de auditoría existen?. Solo uno, ISACA. Solo uno, IIA. Dos, ISACA e IIA. Existen mucho más que dos organismos.

¿Para qué se usan las herramientas de auditoría?. Para verificar de una manera clara los medios técnicos. Para valorar registros, planes, presupuestos, programas, controles y otros aspectos que afectan a la administración y control de una organización o las áreas que la integran. Para industrializar el proceso o actuación de auditoría. No existen herramientas de auditoría como tal.

¿Un conjunto de preguntas que deben ser contestadas oralmente por el interlocutor constituye una herramienta de auditoría?. Sí. No. Depende del conjunto de preguntas. Ninguna de las anteriores.

¿Una herramienta de auditoría es lo mismo que una herramienta de evaluación de seguridad?. Sí. No. Depende de la herramienta. Ninguna de las anteriores.

La metodología de auditoría debería ser establecida y aprobada por: El departamento de auditoría interna de la compañía. El grupo de seguridad de la compañía. La gerencia de auditoría. Es un documento interno y por modificaciones no es conveniente que esté aprobada.

Los objetivos de auditoría se centran a menudo en: Entregar un informe de resultados. Cumplir con los requerimientos legales o regulatorios. Validar que existen controles internos para minimizar los riesgos del negocio. Ninguna de las anteriores.

Una evidencia puede ser: Un documento Word. Un registro de un sistema. Una conversación con un interlocutor. Todas las anteriores.

El informe final de auditoría: Contiene el informe final. Contiene el informe preliminar. Las respuestas A y B son correctas. Ninguna de las respuestas anteriores es correcta.

Una prueba de intrusión es: Solo un análisis de vulnerabilidades. Un tipo de hacking ético. Habitualmente de caja blanca, gris y negra. No es un pen test.

¿Qué fases habitualmente se utilizan en una auditoría técnica de seguridad (test de intrusión)?. La recopilación de información del sistema por auditar, análisis de vulnerabilidades, explotación/ataque de las vulnerabilidades detectadas y realización de informe técnico y ejecutivo. La recopilación de información del sistema por auditar, explotación/ataque de las vulnerabilidades detectadas. Nunca se realiza informe. Explotación/ataque de las vulnerabilidades detectadas y realización de informe técnico. La recopilación de información del sistema por auditar y realización de informe técnico y ejecutivo.

Las pruebas de fuerza bruta se basan en: Utilización de ficheros con palabras en diferentes idiomas para averiguar por ensayo/error los usuarios y/o contraseña en las pantallas de log in. Utilización de todas las combinaciones posibles con un set de caracteres definido y una longitud. Lo que se denominan rainbow tables. Ninguna de las respuestas anteriores es correcta.

¿Qué es el sniffing de paquetes de red?. Es la técnica para inyectar paquetes en redes inalámbricas. Es la técnica pasiva que permite la captura de datos (paquetes de datos) que se distribuyen en una red. Es la técnica por la que se intercepta y modifica la información en una red. Es la técnica por la que consigues el control de administración en las máquinas servidoras.

¿A qué tipo de pruebas de penetración pertenece la siguiente afirmación? «Se simulan ataques reales, pero conociendo de antemano gran parte de la información técnica. Se tiene un conocimiento limitado de los activos y las defensas que los protegen». Caja blanca. Caja negra. Reversal. Caja gris.

Las auditorías técnicas de seguridad tienen como objetivo: Analizar la funcionalidad de los sistemas de información de una organización y sus servicios realizando una batería de pruebas planificadas. Analizar la seguridad implantada en los sistemas de información y telecomunicaciones de una organización y sus servicios realizando una batería de pruebas planificadas que simulen el comportamiento de un atacante. Verificar los sistemas de información de una organización y sus servicios realizando una batería de pruebas planificadas. Todas las anteriores.

¿Cuál de la siguientes es un tipo de auditoría técnica de seguridad?. Auditoría de seguridad de sistemas. Auditoría de redes wifi. Auditoría de aplicaciones web. Todas las anteriores son auditorías técnicas de seguridad.

¿Qué conjunto de amenazas típicas pueden poner en riesgo una compañía?. Del entorno, defectos de las aplicaciones, causadas por las personas de forma accidental y causadas por las personas de forma deliberada. De origen natural, del entorno, defectos de las aplicaciones, causadas por las personas de forma accidental y causadas por las personas de forma deliberada. De origen natural, del entorno, defectos de las aplicaciones y causadas por las personas de forma deliberada. De origen natural, del entorno, defectos de las aplicaciones y causadas por las personas de forma accidental.

¿Qué define un hacking ético de tipo gris?. Se conoce toda información, como direcciones IP, pero no de la infraestructura. No se conoce nada de información. Se conoce alguna información, como direcciones IP, pero no de la infraestructura. Todas las anteriores.

Los informes de auditorías técnicas de seguridad: Incluyen como anexo el informe ejecutivo. Describen con detalle técnico las fases de la auditoría de seguridad que realizan. No necesitan definir el objetivo y el alcance de la auditoría. Ninguna de las anteriores.

La finalidad de una auditoría de cumplimiento es: Evaluar el grado de cumplimiento de una norma de seguridad. Analizar el código estático del código de aplicaciones para buscar vulnerabilidades, tanto de aplicaciones del tipo web como de cualquier tipo de aplicación. Evaluar el nivel de seguridad de las LAN corporativas de carácter interno de una organización. Analizar la protección que proporciona una red de seguridad perimetral desde el exterior.

Las auditorías de cumplimiento son del tipo: Caja blanca. Caja negra. Caja gris. Ninguna de las anteriores.

Señala la respuesta incorrecta. Una metodología tiene que proporcionar finalmente un proceso sencillo y estructurado de pruebas que sea: Válido para siempre. Coherente con las leyes individuales y locales y el derecho a la privacidad. Basado en el mérito y esfuerzo de los probadores y analistas. Consistente y repetible.

¿Cuál de las siguientes metodologías se considera un marco de trabajo?. Open Source Security Testing Methodology Manual (OSSTMM). Penetration Testing Execution Standard (PTES). Technical Guide to Information Security Testing and Assessment (NIST 800-115). Information System Security Assessment Framework (ISSAF).

¿Qué metodología se enfoca en criterios de evaluación?. The Open Source Security Testing Methodology. Manual (OSSTMM). The Information System Security Assessment Framework (ISSAF). Technical Guide to Information Security Testing and Assessment (NIST 800-115). The Penetration Testing Execution Standard (PTES).

¿Cuál no es una metodología de pruebas de penetración?. PTES. ISSAF. OSSTMM. PMBOK.

Dentro de la metodología OSSTMM se definen una serie de pruebas, ¿cuál de las siguientes no lo es?. Búsqueda de vulnerabilidades. Escaneo de la seguridad. Test de intrusión. Auditoría de informática.

¿En qué metodología se testea la seguridad desde un entorno no privilegiado hacia un entorno privilegiado para evadir los componentes de seguridad, procesos y alarmas, y ganar acceso privilegiado?. ITIL. PMBOK. ISSAF. OSSTMM.

¿Cuál no es un control de la metodología Open Web Application Security Project (OWASP)?. Autorización. Gestión de sesiones. Información clasificada. Manejo de errores.

Señala la respuesta incorrecta. De acuerdo con la metodología Common Criteria ISO 15408 (CC), el proceso de evaluación comienza mediante el envío al laboratorio acreditado por parte del proveedor del producto de una serie de documentos: Protection profile (PP). Identifica los requisitos y especificaciones de seguridad que debe cumplir una familia de productos TIC por evaluar. Target of evaluation (TOE). Es el producto TIC que pretende validar con respecto a las características de seguridad y su funcionamiento. Security target (ST). Especifica los requisitos funcionales de seguridad que se solicitan evaluar en el TOE, con respecto a su PP tomado como referencia. System design (SD). Incluye el diseño detallado de la familia de productos TIC por evaluar.