DSSA Test 24-B

Señalar la respuesta correcta. El desarrollo de software seguro y confiable requiere la adopción de un proceso sistemático o disciplina que aborde la seguridad en cada una de las fases de su ciclo de vida. Se debe integrar en el mismo dos tipos de actividades: Seguimiento de unos principios de calidad. Una serie de buenas prácticas de diseño. Seguimiento de unos principios de diseño seguro y una serie de buenas prácticas de seguridad. Ninguna de las anteriores.

Señalar la respuesta correcta. Verificar que se está utilizando sistemas duplicados en los que se requiere muy alta disponibilidad se corresponde al área de la auditoría de un Plan de Recuperación ante Desastres: La resiliencia del sistema. Copias de seguridad y restauración de datos. Verificar la integridad y precisión del DRP. Evaluar el desempeño del personal involucrado en el DRP.

Señalar la respuesta correcta. Un activo de sistemas de información es: Cualquier elemento que trate información de manera activa. Todo lo que no sea pasivo dentro de los sistemas de información. Todo aquello que una entidad considera valioso por contener, procesar o generar información necesaria para el negocio de esta. Todas las anteriores son falsas.

Señalar la respuesta incorrecta. El alcance de una auditoria de dispositivos móviles debería comprender: Verificación de política de uso de dispositivos móviles y especificación del tipo de información, los tipos de dispositivos y servicios de información que proporcionan. Control de acceso. Verificar que la sincronización de datos de los dispositivos móviles no esté configurada para acceder a archivos compartidos o unidades de red que contienen datos que están prohibidos por la política para el uso del móvil. Entrevistas al administrador y operadores de red. Capacitación y sensibilización. Verificar que la empresa tenga implementado un programa de concientización que aborde la importancia de asegurar física y lógicamente los dispositivos móviles.

Señalar la respuesta incorrecta. De acuerdo con ISACA (2019), los controles de seguridad física pueden clasificarse de la siguiente forma: Normativa. Administrativos. Técnicos. Físicos.

Señalar la respuesta correcta. Un test de intrusión puede ser una prueba de auditoría adecuada para los siguientes entornos: Continuidad de Negocio. Técnica de Sistemas. Seguridad Lógica. Todas las opciones menos la a.

Señalar la respuesta correcta. Un Sistema de Gestión de Seguridad de la Información - SGSI basado en ISO 27001: Está obsoleto. Hay que usar siempre COBIT. Reordena la seguridad de los sistemas de información. Permite que se reduzcan las emisiones de CO2 a la atmósfera. Ninguna de las anteriores.

¿Qué norma utiliza PDCA?. La ISO 27001 y la ISO 27002. Solo la ISO 27002. La ISO 27001. Ninguna de las anteriores.

Señalar la respuesta correcta. Una herramienta de análisis de código reporta que no existen vulnerabilidades para una aplicación revisada. La aplicación es distribuida y, un mes más tarde, una inyección SQL es anunciada de forma pública y, posteriormente, explotada. ¿Qué tipo de limitación de las herramientas de análisis de código se ha expuesto?. Un falso positivo. Un falso negativo. Una vulnerabilidad específica de un lenguaje de programación. Ninguna de las anteriores.

Señalar la respuesta correcta. Una de las perspectivas de las pruebas de seguridad basadas en el riesgo es la siguiente: Perspectiva atacante. Perspectiva de la gerencia. Perspectiva desarrollador. Perspectiva usuario.

Desarrolle la práctica de seguridad “Revisión de código. Análisis estático”.

Una de las funcionalidades de una aplicación desarrollada para la compañía Librería On-line es la autenticación del usuario. Realice una especificación de este caso de uso de seguridad con respecto a los siguientes puntos: • Identificador. • Nombre. • Descripción. • Precondición. • Post-condición. • Actores. • Secuencia Normal (Paso, Acción). • Secuencia alternativa (Paso, Acción). • Secuencia de error (Paso, Acción) • Importancia.

Explicar qué tipo de vulnerabilidad se comete y como se remedia en estos fragmento de código: publicclass DbUtil { publicstatic Connection getConnection() throws SQLException { return DriverManager.getConnection( "jdbc:mysql://ixne.com/rxsql", "chan", "0uigoT0"); } }.

Explicar qué tipo de vulnerabilidad se comete y como se remedia en estos fragmento de código: char line[512]; gets(line);.