DSSA Test 25-D

Señale la respuesta correcta respecto a los siguientes estándares: El estándar de referencia CoBIT fue impulsado por organismos de estandarización internacionales, aunque fue desarrollado inicialmente en USA. El estándar de referencia ISO 27002 fue impulsado por la industria y los profesionales de la auditoría IT, aunque fue desarrollado inicialmente en USA. El estándar de referencia CoBIT fue impulsado por la industria y los profesionales de la auditoría IT, a nivel internacional. El estándar de referencia ISO 27002 fue impulsado por organismos de estandarización internacionales, con esfuerzo también internacional.

Señalar la respuesta correcta. ¿Cuál de los siguientes controles de seguridad son preventivos?. Generación de logs en los sistemas de información. Autenticación fuerte en accesos de eBanking. Disponibilidad de Plan de Copias. Las opciones a) y b).

Señale la respuesta correcta. ¿Cuál de los controles siguientes es el más típico del ciclo de vida de desarrollo de software?. Separación de entornos de producción y administración. Identificación de usuarios de la aplicación y permisos de acceso asociados a los mismos. Securización de los servidores de desarrollo. Prueba de la aplicación desarrollada frente a estándares de seguridad.

Señale cuál de las siguientes pruebas NO es una prueba de cumplimiento. Verificar los resultados de un war-driving. Verificar la existencia de procedimientos operativos de los sistemas de información auditados. Definición de los perímetros de seguridad física y de los controles de seguridad que deben ser aplicados en los puntos de acceso entre ellos. Verificar la existencia de logs de aplicación de parches.

Señale la respuesta correcta ¿Cuál de las siguientes pruebas de auditoría no es adecuada para verificar la implantación de controles sobre planificación de Seguridad o IT?. Verificar la existencia de un documento titulado “Plan de Seguridad”. Verificar que la función de planificación IT está asignada formalmente a la Directiva de la compañía. La organización está realizando acciones de mejora a largo plazo. Se han definido indicadores de aplicación de aplicación de seguridad.

Señalar la respuesta correcta. ¿Cuál de las siguientes afirmaciones es verdadera en relación a la auditoría informática?. Es el proceso que determinará si un sistema informático lleva a cabo los fines de la organización, entre otros muchos aspectos. Es el proceso exclusivamente técnico de agrupar y evaluar evidencias para determinar si se utilizan de forma eficiente los recursos. Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, utilizando de forma eficiente los recursos independientemente de los fines de la organización. Es el proceso exclusivamente técnico de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, utilizando de forma eficiente los recursos.

Señalar la respuesta correcta. Las implementaciones de recolección de log de seguridad requieren qué mecanismos adicionales de protección para mitigar los ataques de divulgación: Generación e intercambio de identificadores de sesión únicos. Seguridad de la capa de transporte. Gestión de derechos digitales (DRM). Prevención de la pérdida de datos.

Señalar la respuesta correcta. Cual son de forma general las práctica de seguridad del software más aplicada: Pruebas de Penetración. Análisis estático de código fuente. Análisis hibrido. Pruebas de escaneos de bugs.

Señalar la respuesta correcta. A cuál de los elementos clave de un proceso de S-SDLC le corresponde la siguiente actividad “Son correctas suposiciones del desarrollador acerca de todos los cambios de estado posibles en el software”: Integración de forma segura de los módulos y componentes del software. Herramientas de apoyo al desarrollo. Hitos de control en las fases del SDLC. Arquitectura y diseño adecuados.

Señalar la respuesta correcta. El incorporar una característica en la aplicación como “Guardar información en archivos binarios” corresponde al Principio de diseño: Entorno de producción o ejecución inseguro. Fallar de Forma Segura. Diseño de software resistente. La seguridad por oscuridad: error.

Una aplicación guarda los datos de usuario confidenciales de un sistema en un archivo XML. El archivo no puede ser leído por usuarios anónimos, pero puede ser leído por cualquier usuario que esté autenticado en el sistema host. De acuerdo con la documentación de la aplicación, si una organización desea agregar una protección adicional a este archivo, puede cambiar las listas de control de acceso (ACL) del sistema de archivos para que sólo en el contexto de seguridad que se utiliza para iniciar la aplicación y los administradores locales puedan acceder a este archivo. La documentación de la aplicación proporciona además los pasos de configuración manual (aproximadamente 5-7 pasos) necesarios para lograr esto. ¿Justifique qué principio de diseño seguro infringe este escenario y cuáles cumple?.

Defina los cinco factores o parámetros que identifican una vulnerabilidad y describa su ciclo de vida.

Explicar qué tipo de vulnerabilidad se comete y cómo se remedia en este fragmento de código: Código 1 if (auth_sys == KRB5_RECVAUTH_V4) { strcat(cmdbuf, "/v4rcp"); } else { strcat(cmdbuf, "/rcp"); } if (stat((char *)cmdbuf + offst, &s) >= 0) strcat(cmdbuf, cp); else strcpy(cmdbuf, copy);.

Explicar qué tipo de vulnerabilidad se comete y cómo se remedia en este fragmento de código: Código 2 if (tryOperation() == OPERATION_FAILED) { free(ptr); errors++; } ... if (errors > 0) { logError("operation abortada antes de commit", ptr); }.