DSSAC 2025

Señalar la respuesta correcta. Un auditor de SI que realiza una revisión de controles de acceso debería estar MENOS preocupado si. Las pistas de auditoría no estuvieran habilitadas. Los programadores tuvieran acceso al entorno en vivo. Los logons de grupo estuvieran siendo utilizados para funciones críticas. El mismo usuario pudiera iniciar transacciones y también cambiar los parámetros relacionados.

Señalar la respuesta correcta. ¿En qué consiste el control de organización y operación: separación de entornos?. En hacer copias de seguridad de los diferentes entornos/ambientes. En tener siempre solo 2 entornos/ambientes: 1 para desarrollo y otro para producción. En tener 3 ó 4 entornos/ambientes: desarrollo, testing, preproducción y explotación. En tener solo 2 entornos/ambientes donde la información se intercambia indistintamente.

Señalar la respuesta incorrecta. Los requisitos de los servicios de seguridad debe especificar. Propiedades que el software debe exhibir. Nivel requerido de seguridad y salvaguardas de riesgo de las funciones de seguridad. Los controles y normas que rigen los procesos de desarrollo, implementación y operación del software. Están orientados hacia la reducción o eliminación de las vulnerabilidades del software, como validación de entradas, comprobación de límites de búfer, ejecución entornos aislados.

Señalar respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? struct hostent *hp; struct in_addr myaddr; tHost ="trustme.com"; myaddr.s_addr =inet_addr(ip_addr_string); hp = gethostbyaddr(( *)&myaddr, sizeof(struct in_addr), AF_INET); if (hp &&!strncmp(hp->h_name, tHost, sizeof(tHost))) { trusted = true; } else { trusted = false;}. Validación límites de confianza. Buffer overflow. Memory leaks. Validación de entrada DNS.

Señalar la respuesta incorrecta. Los elementos clave de un proceso de S- SDLC son. Sostenimiento seguro. Herramientas de apoyo al desarrollo. Conocimientos de seguridad de los desarrolladores. Gestión de configuración del entorno de desarrollo.

Señalar la respuesta incorrecta. Ejemplo de errores comunes a la hora de aplicar el principio de “Mínimo Privilegio”. Aplicación de derechos de administrador. Usuarios con derechos de administrador. Instalación de aplicaciones y servicios con el usuario de administrador. Servicios y procesos con privilegios por tiempo definido.

Señalar la respuesta incorrecta. Los factores principales prácticos que determinan la utilidad de una herramienta de análisis estático son. El equilibrio que la herramienta hace entre la extensión del código fuente y el tipo de lenguaje de programación. Porcentaje de falsos positivos y falsos negativos de la herramienta. El conjunto de errores que la herramienta comprueba. Las características de la herramienta para hacerla fácil de usar.

Señalar la respuesta incorrecta. En las pruebas del tipo “Análisis hibrido o Interactive Application Security Testing (IAST)”, se realizan tres tipos de análisis. Análisis de cobertura. Pone de manifiesto las interacciones entre las diferentes partes del programa. Análisis de inconsistencias, Permite buscar inconsistencia en la aplicación a probar. Análisis de patrones. Permite buscar patrones específicos en la ejecución del programa, tales como excepciones no capturadas, omisiones, errores de memoria dinámica y problemas de seguridad. Análisis de frecuencia de espectro. Revela las dependencias entre los componentes del programa.

Señalar la respuesta correcta. Apreciar el nivel de entrenamiento y conciencia de los individuos que no forman parte del equipo de recuperación/respuesta se corresponde al área de la auditoría de un Plan de Recuperación ante Desastres. La resiliencia del sistema. Copias de seguridad y restauración de datos. Verificar la integridad y precisión del DRP. Evaluar el desempeño del personal involucrado en el DRP.

Señalar la respuesta incorrecta. Para realizar un DRP se debería seguir las siguientes fases. Alinearlo con el plan de continuidad de negocio. Actualizar y mejorar el plan estratégico. Capacitar a los encargados de ponerlo en marcha, concienciar y difundir el plan. Realizar pruebas.

Señale la respuesta correcta. Una prueba específica para entornos de eBanking. Autenticación fuerte de usuarios en su acceso a la plataforma. Verificación de interfaces existentes con pasarelas de pago bancarias. Cifrado de discos duros y de comunicaciones. Existencia y aplicabilidad de procedimientos operativos de manejo de la aplicación de eBanking.

Señalar la respuesta correcta. Verificar que se está utilizando sistemas duplicados en los que se requiere muy alta disponibilidad se corresponde al área de la auditoría de un Plan de Recuperación ante Desastres. La resiliencia del sistema. Copias de seguridad y restauración de datos. Verificar la integridad y precisión del DRP. Evaluar el desempeño del personal involucrado en el DRP.

Señalar la respuesta correcta. Un tipo de clasificación de controles puede ser. Controles Generales (Entrada de Datos, Tratamiento de Datos, Salida de Datos), Controles de Aplicación (Organización y Operación, Desarrollo de Sistemas y Documentación, Hardware y Software de Sistemas) y Controles por área. Controles compensatorios y asumibles. Controles Generales (Organización y Operación, Desarrollo de Sistemas y Documentación, Hardware y Software de Sistemas), Controles de Aplicación (Entrada de Datos, Tratamiento de Datos, Salida de Datos) y Controles por área. Solo existen los controles de productos informáticos y por motivos legales.

Señalar la respuesta correcta. Dentro de Controles Generales, podemos afirmar que NO son Controles de Organización y Operación. Seguridad Lógica y Física, controles de procesamiento y Control de Presupuestos. Procedimientos, separación de entornos y estándares y nomenclatura. Seguridad Lógica y Física, controles de procesamiento y segregación de funciones. Metodologías de SDLC, controles de edición y verificación y seguridad Lógica y Física.

Señalar la respuesta correcta. De acuerdo con la metodología “Common Criteria ISO 15408 (CC)” el nivel de confianza se proporciona evidencia en cuanto a que la evaluación coincide con la descrita en la documentación. EAL1. EAL3. EAL4. EAL5.

Señalar la respuesta correcta. ¿Cuál es la definición breve de Auditoría de Sistemas de Información?. Es la revisión vinculada del control y la evaluación. Es la revisión independiente de la auditoría. Es la revisión independiente del control interno informático. Ninguna de las anteriores.

Señalar la respuesta correcta. El objetivo de la reducción de la superficie de ataque es. Minimizar el número de puntos expuestos en la superficie de ataque, que un usuario malintencionado puede descubrir e intentar explotar. Minimizar el número de vulnerabilidades presentes en una aplicación. Maximizar el número de herramientas de análisis de estático de código utilizadas para analizar la implementación del código fuente de una aplicación. Ninguna de las anteriores.

Señalar la respuesta correcta. El desarrollo de software seguro y confiable requiere la adopción de un proceso sistemático o disciplina que aborde la seguridad en cada una de las fases de su ciclo de vida. Se debe integrar en el mismo dos tipos de actividades. Seguimiento de unos principios de calidad. Una serie de buenas prácticas de diseño. Seguimiento de unos principios de diseño seguro y una serie de buenas prácticas de seguridad. Ninguna de las anteriores.

Señalar la respuesta incorrecta. El cálculo de código CVSS se realiza en base a tres tipos de métricas: Métricas base. Métricas estadísticas. Métricas temporales. Métricas ambientales.

Señalar la respuesta incorrecta. Unas pruebas de seguridad son consideradas “Open Source Security Testing Methodology. Manual (OSSTMM)” si es. Válido más allá del período de tiempo «actual». Basado en el mérito del testador y analista, y no en marcas comerciales. Exhaustivo. Concordante con leyes internacionales.

Señalar la respuesta incorrecta. Entre los tipos de auditorías técnicas de seguridad tenemos. Auditorias de seguridad internas. Auditorías de redes WIFI. Auditorias de aplicaciones Web. Ninguna de las anteriores.

Señalar la respuesta correcta. Una distinción que puede hacerse entre prueba de cumplimiento y prueba sustantiva es que la prueba de cumplimiento prueba. Detalla, mientras que la prueba sustantiva prueba los procedimientos. Controla, mientras que la prueba sustantiva prueba los detalles. Planea, mientras que la prueba sustantiva prueba procedimientos. Para los requerimientos regulatorios, mientras que la prueba sustantiva prueba las validaciones.

El auditor de SI revisa los logs de un día y descubre un caso en el cual el inicio de sesión en un servidor falló con el resultado de que no se puedo confirmar los reinicios de la copia de respaldo. ¿Qué debería hacer el auditor?. Emitir un hallazgo de auditoría. Solicitar una explicación de la gerencia de SI. Revisar las clasificaciones de datos guardados en el servidor. Ampliar la muestra de logs revisados.

Señalar la respuesta correcta. Según Ron Weber, la auditoría de sistemas de información es. Es la revisión independiente de los test de intrusión. Ron Weber estableció las bases del control interno informático. No definió nunca la auditoría informática o de sistemas de información. La auditoria de Sistemas de Información es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los recursos. Todas las anteriores.

Señalar la respuesta correcta. En materia de Planes de Contingencia, y la auditoría de controles de seguridad en esta área, pueden considerarse como controles adecuados. La existencia de un Plan de Copias. La realización periódica de pruebas de contingencia. La documentación de un procedimiento de actuación ante crisis. Todas las anteriores afirmaciones son ciertas.

Señalar la respuesta correcta. Cuando el software es capaz de resistir los ataques de los agentes maliciosos recuperándose hasta un mínimo nivel de servicio preestablecido y no viola la política de seguridad, se dice que exhibe. Fiabilidad. Resiliencia. Recuperación. Robustez.

Señalar la respuesta correcta. ¿Cuándo se da lugar, de forma general, un ataque de desbordamiento de búfer?. Cuando copia un búfer de la pila al heap. Cuando se escribe en la memoria apuntada por un puntero que no ha sido liberada. Cuando el programa detecta que el búfer no está lleno. Cuando un puntero es usado para acceder a memoria no apuntada por él.

Señalar la respuesta incorrecta. El cálculo de código CVSS se realiza en base a tres tipos de métricas. Métricas base. Métricas estadísticas. Métricas temporales. Métricas ambientales.

Señalar la respuesta correcta. ¿Qué es el Riesgo Inherente?. Cuando un error material no se pueda evitar que suceda porque no existen controles compensatorios relacionados que se puedan establecer. Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. Ninguna de las anteriores.

Señalar la respuesta correcta. Un activo de sistemas de información es. Cualquier elemento que trate información de manera activa. Todo lo que no sea pasivo dentro de los sistemas de información. Todo aquello que una entidad considera valioso por contener, procesar o generar información necesaria para el negocio de esta. Todas las anteriores son falsas.

Señalar la respuesta incorrecta. El alcance de una auditoria de dispositivos móviles debería comprender. Verificación de política de uso de dispositivos móviles y especificación del tipo de información, los tipos de dispositivos y servicios de información que proporcionan. Control de acceso. Verificar que la sincronización de datos de los dispositivos móviles no esté configurada para acceder a archivos compartidos o unidades de red que contienen datos que están prohibidos por la política para el uso del móvil. Entrevistas al administrador y operadores de red. Capacitación y sensibilización. Verificar que la empresa tenga implementado un programa de concientización que aborde la importancia de asegurar física y lógicamente los dispositivos móviles.

Señalar la respuesta incorrecta. De acuerdo con ISACA (2019), los controles de seguridad física pueden clasificarse de la siguiente forma. Normativa. Administrativos. Técnicos. Físicos.

Señalar la respuesta correcta. Un test de intrusión puede ser una prueba de auditoría adecuada para los siguientes entornos. Continuidad de Negocio. Técnica de Sistemas. Seguridad Lógica. Todas las opciones menos la a.

Señalar la respuesta correcta. Un Sistema de Gestión de Seguridad de la Información - SGSI basado en ISO 27001. Está obsoleto. Hay que usar siempre COBIT. Reordena la seguridad de los sistemas de información. Permite que se reduzcan las emisiones de CO2 a la atmósfera. Ninguna de las anteriores.

Señalar la respuesta correcta. El sistema de Gestión de la Seguridad de la Información-SGSI. ¿Cuál tiene PDCA?. La ISO 27001 y la ISO 27002. Solo la ISO 27002. La ISO 27001. Ninguna de las anteriores.

Señalar la respuesta correcta. Una herramienta de análisis de código reporta que no existen vulnerabilidades para una aplicación revisada. La aplicación es distribuida y, un mes más tarde, una inyección SQL es anunciada de forma pública y, posteriormente, explotada. ¿Qué tipo de limitación de las herramientas de análisis de código se ha expuesto?. Un falso positivo. Un falso negativo. Una vulnerabilidad específica de un lenguaje de programación. Ninguna de las anteriores.

Señalar la respuesta correcta. Una de las perspectivas de las pruebas de seguridad basadas en el riesgo es la siguiente. Perspectiva atacante. Perspectiva de la gerencia. Perspectiva desarrollador. Perspectiva usuario.

Señalar la respuesta correcta. Indicar la utilidad de los Patrones de Ataque en la etapa de Especificación de requisitos. Proporciona ejemplos de ataques que aprovechan las vulnerabilidades de la arquitectura elegida. Pueden ser utilizados para orientar las pruebas de seguridad del software en un contexto práctico y realista identificando debilidades concretas para generar casos de prueba para cada componente. Permitirá la selección de políticas de seguridad y configuraciones acordes a las amenazas obtenidas de los patrones de ataque. Ayuda a definir el comportamiento del sistema para prevenir o reaccionar ante un tipo específico de ataque probable.

Señalar la respuesta correcta. El incorporar una característica en la aplicación como “Guardar información en archivos binarios” corresponde al Principio de diseño. Entorno de producción o ejecución inseguro. Fallar de Forma Segura. Diseño de software resistente. La seguridad por oscuridad: error.

Señalar la respuesta correcta. En relación a las metodologías de auditoría, podemos afirmar que. Realmente solo existe una y es basada en Riesgos o Risk Oriented Approach. Cada firma (empresa) de auditoría puede desarrollar la suya propia, siendo la más difundida la basada en riesgos EDR (ROA). La basada en cuestionarios o checklist es utilizada por auditores con experiencia pues se la envían por correo electrónico al cliente para que la complete. Ninguna de las anteriores.

Señalar la respuesta correcta. ¿Qué metodología de auditoria se adapta mejor a las compañías?. Cualquiera que tenga relación con los sistemas de información. La metodología marcada por entidades reconocidas como IAI, ISACA,…. La que sea completa y este adecuada las necesidades de la compañía. Ninguna de las anteriores.

Señalar la respuesta correcta. ¿Por qué es necesario disponer de procedimientos de operación de las plataformas?. Porque es necesario tener documentadas estas actividades para poder hacer pruebas de cumplimiento en los mismos. Para que las tareas de administración puedan ser realizadas por todos los administradores, incluso para las nuevas incorporaciones o personal de menor experiencia. Para que cualquier persona pueda realizar las funciones de administración de sistemas, siempre que encuentre los procedimientos que custodian los administradores. Las opciones b y c son correctas.

Señalar la respuesta incorrecta. Se puede definir la seguridad del software como. El conjunto de principios de diseño y buenas prácticas a implantar, para detectar, prevenir y corregir los defectos de seguridad en el desarrollo y adquisición de sistemas. La confianza que el software, hardware y servicios funcionan conforme a los estándares. Ninguna de las anteriores. El nivel de confianza de que el software funciona según lo previsto y está libre de vulnerabilidades, ya sea intencionada o no diseñada o insertada en el marco de la software.

Señalar la respuesta correcta. ¿Cuál de los estándares de clasificación y gestión de vulnerabilidades incluye “Bases de datos con listas de comprobación de configuraciones de seguridad de productos”. CVRF. CVSS. NVD. CVE.

Señalar la respuesta incorrecta. Cuando se realiza una auditoría de infraestructura de red, deben tenerse en cuenta los siguientes aspectos. Revisión de la instalación de los servidores. Revisión de planes de seguridad. Revisar la documentación de seguridad del software de sistema. Entrevistas al administrador y operadores de red.

Señalar la respuesta incorrecta. Unas pruebas de seguridad son consideradas “Open Source Security Testing Methodology. Manual (OSSTMM)” si es. Válido más allá del período de tiempo «actual». Basado en el mérito del testador y analista, y no en marcas comerciales. Exhaustivo. Concordante con leyes internacionales.

Señalar la respuesta correcta. Un auditor de SI está realizando una auditoria a un servidor de copias de respaldo administrado desde una ubicación remota. El auditor de SI revisa los logs de un día y descubre un caso en el cual el inicio de sesión en un servidor falló con el resultado de que no se puedo confirmar los reinicios de la copia de respaldo. ¿Qué debería hacer el auditor?. Emitir un hallazgo de auditoría. Solicitar una explicación de la gerencia de SI. Revisar las clasificaciones de datos guardados en el servidor. Ampliar la muestra de logs revisados.

Señalar la respuesta incorrecta. Los datos concretos aproteger según las normas PCI DSS son los siguientes. Datos del titular de la tarjeta. Datos de la entidad a la que se realiza el pago. Datos confidenciales de autenticación. Contenido completo de la pista (datos de la banda magnética o datos equivalentes que están en un chip).

Señalar la respuesta correcta. Un objetivo de control puede estar cubierto por. Varios controles. Varios riesgos. Varias pruebas. Varias amenazas.

Señalar la respuesta correcta. Un departamento de auditoria interna, ¿de dónde tendría que colgar en el organigrama?. De presidencia. De seguridad. De Informática. De cualquier rama con tal de que se pueda demostrar su independencia en su trabajo y resultados.

Señalar la respuesta correcta. Tienen los empleados responsabilidad sobre las acciones de auditoria interna. Sí, pero solo para cuando exista una incidencia grave. Si, en todo momento se tendrían que poner a disposición de auditoria y facilitarles lo que requieran. No. A y B son correctas.

Señalar la respuesta correcta. La auditoría de la seguridad operativa/técnica abarca los conceptos de. Seguridad física, lógica y procedimental. Seguridad de la infraestructura, lógica y las operaciones. Seguridad física, lógica y las operaciones. Todas la anteriores.

Señalar la respuesta correcta. La propiedad de las aplicaciones para resistir a los ataques que intentan modificar o alterar los datos de manera no autorizada se denomina. Confidencialidad. Integridad. Disponibilidad. Autorización.

Señalar la respuesta correcta. La validación de un Checksum puede utilizarse para satisfacer los siguientes requisitos. Confidencialidad. Integridad. Disponibilidad. Autenticación.

Señalar la respuesta correcta. Los controles pueden NO estar por escrito. Efectivamente, los controles no documentados son los más rápidos. No. Lo controles deben estar documentados por escrito en su correspondiente procedimiento de control. No importa que no estén por escrito. Un alto porcentaje de controles ni se conocen ni se documentan. Los controles manuales son los únicos que no están por escrito.

Señalar la respuesta correcta. Durante la auditoría de un plan de continuidad del negocio, un auditor de SI encontró que, a pesar de que todos los departamentos están alojados en el mismo edificio, cada departamento tenía un plan separado de continuidad del negocio. El auditor de SI recomendó que se reconciliaran los planes de continuidad del negocio. ¿Cuál de las áreas siguientes debería reconciliarse PRIMERO?. Plan de evacuación. Prioridades de recuperación. Almacenamientos de backup. Árbol de llamadas.

Señalar la respuesta correcta. ¿Cuál es el control más importante para el CIO (Chief Information Officer - Director de Informática)?. El plan de seguridad alineado con el plan de medioambiente. El plan estratégico de empresa alineado con el plan de TICs. El plan de TICs no se alinea nunca con el plan estratégico de empresa. El plan económico-financiero alineado con los periodos vacacionales.

Señalar la respuesta incorrecta. Los objetivos de las pruebas de seguridad basadas en el riesgo. Verificar la capacidad de supervivencia del software ante la aparición de anomalías, errores y su manejo de las mismas mediante excepciones que minimicen el alcance e impacto de los daños que puedan resultar de los ataques. Verificar la operación del software bajo en su entorno de producción. Verificar la fiabilidad del software, en términos de comportamiento seguro y cambios de estado confiables. Verificar la falta de defectos y debilidades explotables.

Señalar la respuesta correcta. ¿Qué tipo de vulnerabilidad se comete en este código? main(int argc, char **argv) { char *buffer = (char *)malloc(101); int i; for (i = 0; i < 10; i++) strncat(buffer, argv[i], 10); }. Format String. Buffer Overflows. Integer Overflow. Use after free.

Señalar la respuesta incorrecta. Consideraciones sobre potenciales vulnerabilidades de Java. Seguridad de tipos. Los campos que son declarados privados o protegidos, o que tienen protección, por defecto, deberían ser públicamente accesibles. Campos públicos. Un campo que es declarado público directamente puede ser accedido por cualquier parte de un programa Java y puede ser modificado por las mismas (a no ser que el campo sea declarado como final). Serialización. Esta facilidad posibilita que el estado del programa sea capturado y convertido en un byte stream que puede ser restaurado por la operación inversa, que es la deserialización. La JVM en sí misma a menudo está escrita en C para una plataforma dada. Esto quiere decir que sin la atención cuidadosa a detalles de puesta en práctica, la JVM en sí misma no susceptible a problemas de desbordamiento.

Señale la respuesta correcta respecto a los siguientes estándares. El estándar de referencia CoBIT fue impulsado por organismos de estandarización internacionales, aunque fue desarrollado inicialmente en USA. El estándar de referencia ISO 27002 fue impulsado por la industria y los profesionales de la auditoría IT, aunque fue desarrollado inicialmente en USA. El estándar de referencia CoBIT fue impulsado por la industria y los profesionales de la auditoría IT, a nivel internacional. El estándar de referencia ISO 27002 fue impulsado por organismos de estandarización internacionales, con esfuerzo también internacional.

Señalar la respuesta correcta. ¿Cuál de los siguientes controles de seguridad son preventivos?. Generación de logs en los sistemas de información. Autenticación fuerte en accesos de eBanking. Disponibilidad de Plan de Copias. Las opciones a) y b).

Señale la respuesta correcta. ¿Cuál de los controles siguientes es el más típico del ciclo de vida de desarrollo de software?. Separación de entornos de producción y administración. Identificación de usuarios de la aplicación y permisos de acceso asociados a los mismos. Securización de los servidores de desarrollo. Prueba de la aplicación desarrollada frente a estándares de seguridad.

Señale cuál de las siguientes pruebas NO es una prueba de cumplimiento. Verificar los resultados de un war-driving. Verificar la existencia de procedimientos operativos de los sistemas de información auditados. Definición de los perímetros de seguridad física y de los controles de seguridad que deben ser aplicados en los puntos de acceso entre ellos. Verificar la existencia de logs de aplicación de parches.

Señale la respuesta correcta ¿Cuál de las siguientes pruebas de auditoría no es adecuada para verificar la implantación de controles sobre planificación de Seguridad o IT?. Verificar la existencia de un documento titulado “Plan de Seguridad”. Verificar que la función de planificación IT está asignada formalmente a la Directiva de la compañía. La organización está realizando acciones de mejora a largo plazo. Se han definido indicadores de aplicación de aplicación de seguridad.

Señalar la respuesta correcta. ¿Cuál de las siguientes afirmaciones es verdadera en relación a la auditoría informática?. Es el proceso que determinará si un sistema informático lleva a cabo los fines de la organización, entre otros muchos aspectos. Es el proceso exclusivamente técnico de agrupar y evaluar evidencias para determinar si se utilizan de forma eficiente los recursos. Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, utilizando de forma eficiente los recursos independientemente de los fines de la organización. Es el proceso exclusivamente técnico de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, utilizando de forma eficiente los recursos.

Señalar la respuesta correcta. Las implementaciones de recolección de log de seguridad requieren qué mecanismos adicionales de protección para mitigar los ataques de divulgación. Generación e intercambio de identificadores de sesión únicos. Seguridad de la capa de transporte. Gestión de derechos digitales (DRM). Prevención de la pérdida de datos.

Señalar la respuesta correcta. Cual son de forma general las prácticas de seguridad del software más aplicada. Pruebas de Penetración. Análisis estático de código fuente. Análisis hibrido. Pruebas de escaneos de bugs.

Señalar la respuesta correcta. A cuál de los elementos clave de un proceso de S-SDLC le corresponde la siguiente actividad “Son correctas suposiciones del desarrollador acerca de todos los cambios de estado posibles en el software”. Integración de forma segura de los módulos y componentes del software. Herramientas de apoyo al desarrollo. Hitos de control en las fases del SDLC. Arquitectura y diseño adecuados.

Señalar la respuesta correcta. ¿Qué incluye la seguridad del software?. Patrones de codificación. Principios de diseño seguro. Casos de uso. Buenas prácticas de codificación.

Señalar la respuesta correcta. ¿Qué es un caso de abuso?. Un escenario que ilustra de manera gráfica y textual potenciales fallos de seguridad ante específicas circunstancias. Una base de datos del MITRE. Un escenario que ilustra de manera gráfica y textual funcionalidades de seguridad del software ante específicas circunstancias. Un patrón de diseño para un desarrollador.

Señalar la respuesta correcta. ¿Cuál es la siguiente propiedad de seguridad: "capacidad que garantiza la posibilidad de imputar las acciones relacionadas en un software a la persona, entidad o proceso que la ha originado"?. Robustez. Resiliencia. Autenticación. Trazabilidad.

Señala la respuesta correcta. El principal problema de las herramienta de análisis estático. Falsos negativos que produce. Gran cantidad de defectos que encuentra. Reglas de la herramienta. Falsos positivos que produce.

Señala la respuesta correcta. La siguiente función acepta como parámetro una cadena "EmployeeNumber" y dinámicamente crea una petición SQL utilizando los datos no confiables. ¿Contiene la siguiente función una vulnerabilidad de Inyección SQL? public void InsertAccountNumber(String EmployeeNumber) { // Create a dynamic SQL statement String sqlQuery = "SELECT * FROM HrTable WHERE Num = @pENum"; SqlParameter pENum = new SqlParamater("@pENum",SqlDbType.,150); PENum.Value = EmployeeNumber; SqlComand sqlCmd = new SqlCommand(sqlQuery, new SqlConnection(connectionString)); sqlCmd.Parameters.Add(pENum); // Execute the sql command ...}. La función no contiene una vulnerabilidad de inyección de comandos. La función contiene una vulnerabilidad de inyección SQL porqué la longitud del parámetro "EmployeeNumber" puede exceder el tamaño de 150 caracteres. La función contiene una vulnerabilidad de inyección SQL porqué el parámetro "EmployeeNumber" es insertado directamente en la petición SQL sin validarlo. Ninguna de las anteriores.

Señalar la respuesta correcta. Indicar la utilidad de los Patrones de Ataque en la etapa de Especificación de requisitos. Proporciona ejemplos de ataques que aprovechan las vulnerabilidades de la arquitectura elegida.arquitectura elegida. Pueden ser utilizados para orientar las pruebas de seguridad del software en un contexto práctico y realista identificando debilidades concretas para generar casos de prueba para cada componente. Permitirá la selección de políticas de seguridad y configuraciones acordes a las amenazas obtenidas de los patrones de ataque. Ayuda a definir el comportamiento del sistema para prevenir o reaccionar ante un tipo específico de ataque probable.

Señalar la respuesta correcta. Con relación a la clasificación de controles internos, según su naturaleza podemos afirmar que. Son normalmente Detectivos, Correctivos y Preventivos. En ocasiones se incluyen los controles alternativos. Voluntarios, obligatorios, manuales y automáticos. Voluntarios, obligatorios, manuales, automáticos, preventivos, detectivos y correctivos. Controles generales, de aplicación, de área y legales.

Señalar la respuesta correcta. En relación a la clasificación de controles internos, según su naturaleza podemos afirmar que. Los controles Detectivos, actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia. Los controles Preventivos, se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o automáticos. Las opciones a y b son correctas. Las opciones a y b son incorrectas.

Señalar la respuesta correcta. Al realizar una auditoría basada en el riesgo, ¿Qué tipo de evaluación de riesgos realiza el auditor de un sistema de información como primer paso?. Evaluación de riesgos inherentes. Evaluación de riesgos de control. Evaluación de riesgo de fraude. Ninguna de las anteriores.