DSSA Test 24-F

Señalar la respuesta correcta. Indicar la utilidad de los Patrones de Ataque en la etapa de Especificación de requisitos. Proporciona ejemplos de ataques que aprovechan las vulnerabilidades de la arquitectura elegida. Pueden ser utilizados para orientar las pruebas de seguridad del software en un contexto práctico y realista identificando debilidades concretas para generar casos de prueba para cada componente. Permitirá la selección de políticas de seguridad y configuraciones acordes a las amenazas obtenidas de los patrones de ataque. Ayuda a definir el comportamiento del sistema para prevenir o reaccionar ante un tipo específico de ataque probable.

Señalar la respuesta correcta. El incorporar una característica en la aplicación como “Guardar información en archivos binarios” corresponde al Principio de diseño: Entorno de producción o ejecución inseguro. Fallar de Forma Segura. Diseño de software resistente. La seguridad por oscuridad: error.

Señalar la respuesta correcta. En relación a las metodologías de auditoría, podemos afirmar que: Realmente solo existe una y es basada en Riesgos o Risk Oriented Approach. Cada firma (empresa) de auditoría puede desarrollar la suya propia, siendo la más difundida la basada en riesgos EDR (ROA). La basada en cuestionarios o checklist es utilizada por auditores con experiencia pues se la envían por correo electrónico al cliente para que la complete. Ninguna de las anteriores.

Señalar la respuesta correcta. De acuerdo con la metodología “Common Criteria ISO 15408 (CC)” el nivel de confianza se proporciona evidencia en cuanto a que la evaluación coincide con la descrita en la documentación: EAL1. EAL3. EAL4. EAL5.

Señalar la respuesta correcta. ¿Qué metodología de auditoria se adapta mejor a las compañías?. Cualquiera que tenga relación con los sistemas de información. La metodología marcada por entidades reconocidas como IAI, ISACA,…. La que sea completa y este adecuada las necesidades de la compañía. Ninguna de las anteriores.

Señalar la respuesta correcta. ¿Por qué es necesario disponer de procedimientos de operación de las plataformas?. Porque es necesario tener documentadas estas actividades para poder hacer pruebas de cumplimiento en los mismos. Para que las tareas de administración puedan ser realizadas por todos los administradores, incluso para las nuevas incorporaciones o personal de menor experiencia. Para que cualquier persona pueda realizar las funciones de administración de sistemas, siempre que encuentre los procedimientos que custodian los administradores. Las opciones b y c son correctas.

Señalar la respuesta incorrecta. Se puede definir la seguridad del software como: El conjunto de principios de diseño y buenas prácticas a implantar, para detectar, prevenir y corregir los defectos de seguridad en el desarrollo y adquisición de sistemas. La confianza que el software, hardware y servicios funcionan conforme a los estándares. Ninguna de las anteriores. El nivel de confianza de que el software funciona según lo previsto y está libre de vulnerabilidades, ya sea intencionada o no diseñada o insertada en el marco de la software.

Señalar la respuesta correcta. ¿Cuál de los estándares de clasificación y gestión de vulnerabilidades incluye “Bases de datos con listas de comprobación de configuraciones de seguridad de productos”. CVRF. CVSS. NVD. CVE.

Señalar la respuesta incorrecta. Cuando se realiza una auditoría de infraestructura de red, deben tenerse en cuenta los siguientes aspectos: Revisión de la instalación de los servidores. Revisión de planes de seguridad. Revisar la documentación de seguridad del software de sistema. Entrevistas al administrador y operadores de red.

Señalar la respuesta correcta. Un tipo de clasificación de controles puede ser: Controles Generales (Entrada de Datos, Tratamiento de Datos, Salida de Datos), Controles de Aplicación (Organización y Operación, Desarrollo de Sistemas y Documentación, Hardware y Software de Sistemas) y Controles por área. Controles compensatorios y asumibles. Controles Generales (Organización y Operación, Desarrollo de Sistemas y Documentación, Hardware y Software de Sistemas), Controles de Aplicación (Entrada de Datos, Tratamiento de Datos, Salida de Datos) y Controles por área. Solo existen los controles de productos informáticos y por motivos legales.

Desarrolle el tema “auditorías de cumplimiento de Protección de datos”.

2. Conteste y desarrolle los siguientes puntos: a. Gestión de la función de auditoría. b. Auditoría técnica de seguridad del control del Acceso Lógico.

Explicar qué fallo de programación se comete y cómo se remedia en este fragmento de código: Código 1 String rName = request.getParameter("reportName"); File rFile = new File("/usr/local/apfr/reports/" + rName); rFile.();.

Explicar qué fallo de programación se comete y cómo se remedia en este fragmento de código: Código 2 if (auth_sys == KRB5_RECVAUTH_V4) { strcat(cmdbuf, "/v4rcp"); } else { strcat(cmdbuf, "/rcp"); } if (stat(( *)cmdbuf + offst, &s) >= 0) strcat(cmdbuf, cp); else strcpy(cmdbuf, copy);.