DSSA Test 24-A

Señale la respuesta correcta. Una prueba específica para entornos de eBanking. Autenticación fuerte de usuarios en su acceso a la plataforma. Verificación de interfaces existentes con pasarelas de pago bancarias. Cifrado de discos duros y de comunicaciones. Existencia y aplicabilidad de procedimientos operativos de manejo de la aplicación de eBanking.

Señalar la respuesta correcta. Dentro de Controles Generales, podemos afirmar que NO son Controles de Organización y Operación: Seguridad Lógica y Física, controles de procesamiento y Control de Presupuestos. Procedimientos, separación de entornos y estándares y nomenclatura. Seguridad Lógica y Física, controles de procesamiento y segregación de funciones. Metodologías de SDLC, controles de edición y verificación y seguridad Lógica y Física.

Señalar la respuesta correcta. El objetivo de la reducción de la superficie de ataque es: Minimizar el número de puntos expuestos en la superficie de ataque, que un usuario malintencionado puede descubrir e intentar explotar. Minimizar el número de vulnerabilidades presentes en una aplicación. Maximizar el número de herramientas de análisis de estático de código utilizadas para analizar la implementación del código fuente de una aplicación. Ninguna de las anteriores.

Señalar la respuesta correcta. El desarrollo de software seguro y confiable requiere la adopción de un proceso sistemático o disciplina que aborde la seguridad en cada una de las fases de su ciclo de vida. Se debe integrar en el mismo dos tipos de actividades: Seguimiento de unos principios de calidad. Una serie de buenas prácticas de diseño. Seguimiento de unos principios de diseño seguro y una serie de buenas prácticas de seguridad. Ninguna de las anteriores.

Señalar la respuesta incorrecta. El cálculo de código CVSS se realiza en base a tres tipos de métricas: Métricas base. Métricas estadísticas. Métricas temporales. Métricas ambientales.

Señalar la respuesta correcta. ¿Qué es el Riesgo Inherente?. Cuando un error material no se pueda evitar que suceda porque no existen controles compensatorios relacionados que se puedan establecer. Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. Ninguna de las anteriores.

Señalar la respuesta correcta. De acuerdo con la metodología “Common Criteria ISO 15408 (CC)” el nivel de confianza se proporciona evidencia en cuanto a que la evaluación coincide con la descrita en la documentación: EAL1. EAL3. EAL4. EAL5.

1. Escriba y realice un listado y descripción de los siguientes diferentes tipos de controles: a. Cuatro (4) Voluntarios b. Cuatro (4) Obligatorios c. Cuatro (4) Manuales d. Cuatro (4) Automáticos e. Cuatro (4) Generales.

Defina los cinco factores o parámetros que identifican una vulnerabilidad y describa su ciclo de vida.

Explicar qué tipo de vulnerabilidad se comete y como se remedia en estos fragmento de código: Código 1 int (*cmp)(char*,char*); int *p = (int*)malloc(sizeof(int)); *p = 1; cmp = (int (*)(char*,char*))p; cmp(“hola”,”adios”); // El programa realiza un crash.

Explicar qué tipo de vulnerabilidad se comete y como se remedia en estos fragmento de código: Código 2 chroot("/var/ftproot"); if (fgets(filename, sizeof(filename), network) != NULL) { if (filename[strlen(filename) - 1] == '\n') { filename[strlen(filename) - 1] = '\0'; } localfile = fopen(filename, "r"); while ((len = fread(buf, 1, sizeof(buf), localfile)) != EOF) { (void)fwrite(buf, 1, len, network); } }.