DSSA Test 23-A

Señale la respuesta correcta. Una prueba específica para entornos de eBanking. Autenticación fuerte de usuarios en su acceso a la plataforma. Verificación de interfaces existentes con pasarelas de pago bancarias. Cifrado de discos duros y de comunicaciones. Existencia y aplicabilidad de procedimientos operativos de manejo de la aplicación de eBanking.

Señalar la respuesta correcta. Verificar que se está utilizando sistemas duplicados en los que se requiere muy alta disponibilidad se corresponde al área de la auditoría de un Plan de Recuperación ante Desastres: La resiliencia del sistema. Copias de seguridad y restauración de datos. Verificar la integridad y precisión del DRP. Evaluar el desempeño del personal involucrado en el DRP.

Señalar la respuesta correcta. Un tipo de clasificación de controles puede ser: Controles Generales (Entrada de Datos, Tratamiento de Datos, Salida de Datos), Controles de Aplicación (Organización y Operación, Desarrollo de Sistemas y Documentación, Hardware y Software de Sistemas) y Controles por área. Controles compensatorios y asumibles. Controles Generales (Organización y Operación, Desarrollo de Sistemas y Documentación, Hardware y Software de Sistemas), Controles de Aplicación (Entrada de Datos, Tratamiento de Datos, Salida de Datos) y Controles por área. Solo existen los controles de productos informáticos y por motivos legales.

Señalar la respuesta correcta. Dentro de Controles Generales, podemos afirmar que NO son Controles de Organización y Operación: Seguridad Lógica y Física, controles de procesamiento y Control de Presupuestos. Procedimientos, separación de entornos y estándares y nomenclatura. Seguridad Lógica y Física, controles de procesamiento y segregación de funcione. Metodologías de SDLC, controles de edición y verificación y seguridad Lógica y Física.

Señalar la respuesta correcta. De acuerdo con la metodología “Common Criteria ISO 15408 (CC)” el nivel de confianza se proporciona evidencia en cuanto a que la evaluación coincide con la descrita en la documentación: EAL1. EAL3. EAL4. EAL5.

Señalar la respuesta correcta. ¿Cuál es la definición breve de Auditoría de Sistemas de Información?. Es la revisión vinculada del control y la evaluación. Es la revisión independiente de la auditoría. Es la revisión independiente del control interno informático. Ninguna de las anteriores.

Señalar la respuesta correcta. El objetivo de la reducción de la superficie de ataque es: Minimizar el número de puntos expuestos en la superficie de ataque, que un usuario malintencionado puede descubrir e intentar explotar. Minimizar el número de vulnerabilidades presentes en una aplicación. Maximizar el número de herramientas de análisis de estático de código utilizadas para analizar la implementación del código fuente de una aplicación. Ninguna de las anteriores.

Señalar la respuesta correcta. El desarrollo de software seguro y confiable requiere la adopción de un proceso sistemático o disciplina que aborde la seguridad en cada una de las fases de su ciclo de vida. Se debe integrar en el mismo dos tipos de actividades: Seguimiento de unos principios de calidad. Una serie de buenas prácticas de diseño. Seguimiento de unos principios de diseño seguro y una serie de buenas prácticas de seguridad. Ninguna de las anteriores.

Señalar la respuesta incorrecta. El cálculo de código CVSS se realiza en base a tres tipos de métricas: Métricas base. Métricas estadísticas. Métricas temporales. Métricas ambientales.

1. Escriba y realice un listado y descripción de los siguientes diferentes tipos de controles: a. Cuatro (4) Voluntarios b. Cuatro (4) Obligatorios c. Cuatro (4) Manuales d. Cuatro (4) Automáticos e. Cuatro (4) Generales.

Desarrolle la práctica de seguridad “Revisión de código. Análisis estático.

Explicar qué tipo de vulnerabilidad se comete y como se remedia en este fragmento de código:

Explicar qué tipo de vulnerabilidad se comete y como se remedia en este fragmento de código: