DSSA Test 25-B

Señalar la respuesta incorrecta. Los datos concretos a proteger según las normas PCI DSS son los siguientes: Datos del titular de la tarjeta. Datos de la entidad a la que se realiza el pago. Datos confidenciales de autenticación. Contenido completo de la pista (datos de la banda magnética o datos equivalentes que están en un chip).

Señalar la respuesta correcta. Un objetivo de control puede estar cubierto por: Varios controles. Varios riesgos. Varias pruebas. Varias amenazas.

Señalar la respuesta correcta. Un departamento de auditoría interna, ¿de dónde tendría que colgar en el organigrama?. De presidencia. De seguridad. De Informática. De cualquier rama con tal de que se pueda demostrar su independencia en su trabajo y resultados.

Señalar la respuesta correcta. ¿Tienen los empleados responsabilidad sobre las acciones de auditoría interna?. Sí, pero solo para cuando exista una incidencia grave. Sí, en todo momento se tendrían que poner a disposición de auditoría y facilitarles lo que requieran. No. A y B son correctas.

Señalar la respuesta correcta. La auditoría de la seguridad operativa/técnica abarca los conceptos de: Seguridad física, lógica y procedimental. Seguridad de la infraestructura, lógica y las operaciones. Seguridad física, lógica y las operaciones. Todas las anteriores.

Señalar la respuesta correcta. El objetivo de la reducción de la superficie de ataque es: Minimizar el número de puntos expuestos en la superficie de ataque, que un usuario malintencionado puede descubrir e intentar explotar. Minimizar el número de vulnerabilidades presentes en una aplicación. Maximizar el número de herramientas de análisis de estático de código utilizadas para analizar la implementación del código fuente de una aplicación. Ninguna de las anteriores.

Señalar la respuesta correcta. La propiedad de las aplicaciones para resistir a los ataques que intentan modificar o alterar los datos de manera no autorizada se denomina: Confidencialidad. Integridad. Disponibilidad. Autorización.

Señalar la respuesta correcta. La validación de un Checksum puede utilizarse para satisfacer los siguientes requisitos: Confidencialidad. Integridad. Disponibilidad. Autenticación.

Señalar la respuesta correcta. Los controles pueden NO estar por escrito. Efectivamente, los controles no documentados son los más rápidos. No. Los controles deben estar documentados por escrito en su correspondiente procedimiento de control. No importa que no estén por escrito. Un alto porcentaje de controles ni se conocen ni se documentan. Los controles manuales son los únicos que no están por escrito.

Señalar la respuesta correcta. La validación de un Checksum puede utilizarse para satisfacer los siguientes requisitos: Confidencialidad. Integridad. Disponibilidad. Autenticación.

Identifica qué principios de seguridad software cumple, y cuáles vulnera el siguiente supuesto: Se va a construir una aplicación web para analizar datos de la bolsa. Para ello, se ha contratado un experto desarrollador que trabaja en VIM, y así no es necesario pagar licencias de IDE. La API de la que se obtienen los datos de bolsa es de total confianza, por lo que centraremos los esfuerzos de desarrollo en mejorar la interfaz gráfica. Semanalmente se enviará al desarrollador una lista con nuevos módulos a incluir en el sistema, si se detecta alguna oportunidad de mejora. Finalmente, entregará una imagen de docker con la siguiente estructura, para que se pueda desplegar rápidamente: app/ ├── [-rw-rw---- root root ] config.yml ├── [-rwxrw-rw- root root ] entrypoint.sh └── [-rw-rw-r-- root root ] web.py.

En el marco de una auditoría de seguridad, escriba y realice un listado y descripción de 5 controles preventivos, 5 controles detectivos y 5 controles correctivos de seguridad.

Explique el fallo de seguridad cometido al programar y la forma de remediarlo, del siguiente ejemplo de código: Código 1 String val = request.getParameter("val"); try { int value = Integer.parseInt(val); } catch (NumberFormatException) { log.info("Failed to parse val = " + val); }.

Explique el fallo de seguridad cometido al programar y la forma de remediarlo, del siguiente ejemplos de código: Código 2 int * ab = (int*)malloc (SIZE); ... if (c == 'EOF') { free(ab); } ... free(ab);.