prueba-05-E

Una IA mantiene datos personales de clientes 10 años después de que se usaron para su propósito inicial. Mejora la trazabilidad. Reduce el sesgo. Viola la limitación de retención de datos. Es correcto si están cifrados.

Una estrategia común al momento de trabajar con bases de datos relacionales es usar un esquema primario-secundario / maestro-esclavo. En ese sentido, ¿qué se busca lograr con esta estrategia?. Confidencialidad. Disponibilidad. Integridad. Elasticidad. Desempeño. Seguridad.

Durante una auditoría de ciberseguridad, se detecta que la API que maneja datos personales sensibles no cuenta con medidas específicas frente a registro y monitoreo seguro. Ante esta situación, ¿qué acción debe iniciar el equipo para alinearse con las mejores prácticas y normativas internacionales?. Aplicar reglas genéricas de firewall sin personalización para registro y monitoreo seguro. Confiar únicamente en la configuración por defecto del servidor para manejar registro y monitoreo seguro, sin revisiones posteriores. Basar la protección de registro y monitoreo seguro únicamente en ofuscación del código. Implementar medidas para registro y monitoreo seguro solo en entornos productivos, omitiendo las etapas de desarrollo y pruebas. Delegar completamente la gestión de registro y monitoreo seguro a un tercero sin auditar su cumplimiento. Reducir el alcance de registro y monitoreo seguro limitando endpoints, pero sin controles de autenticación ni validación de datos. Registro y monitoreo seguro, incorporando validaciones estrictas, monitoreo en tiempo real, y revisiones periódicas de seguridad para detectar y bloquear actividad maliciosa antes de que cause daño.

En un despliegue de producción, el diseño efectúa una intervención orientada a mantener la eficiencia (operabilidad) y seguridad en ambientes en el entorno en el ciclo de vida aplicado previamente. ¿Qué medida de responsabilidad es la que efectúa el proveedor?. Delegar la responsabilidad de auditorías para detectar y administrar de amenazas. Implementar una solución integral para el monitoreo de amenazas con mecanismos de detección avanzadas y seguimiento de eventos. Aplicar periódicamente parches del sistema para mitigar debilidades y exposición a ataques. Usar como priorización principal y planificación de estrategias de seguridad contínua (con mecanismos de mitigación tempranos) para fortalecer el sistema frente a ataques y amenazas. Limpiar internamente el ambiente de interfaz para efectos de revisión antes de despliegues. Aplicar un parche manual sólo por ambientes de pruebas sin más impactos. Reducir la funcionalidad afectada por aislamiento de interfaces y/o red parcial.

Un desarrollador web se encuentra en proceso de migrar una aplicación existente al entorno móvil. Sin embargo, ha identificado que el dispositivo destino posee una capacidad de memoria limitada, lo que podría afectar el rendimiento y la experiencia. ¿Qué estrategias o ajustes debería implementar el desarrollador?. Limitar la compatibilidad de la aplicación a dispositivos con características técnicas superiores, excluyendo aquellos con menor capacidad de hardware o versiones antiguas del sistema operativo. Incrementar la capacidad de almacenamiento del dispositivo, ya sea mediante expansión física (como tarjetas SD) o liberando espacio interno para permitir un mejor desempeño de la aplicación. El desarrollador debe rediseñar la aplicación priorizando solo las funciones esenciales, eliminando características secundarias que consuman recursos. Implementar solo APIs orientadas a entornos de escritorio, dejando de lado aquellas específicas para dispositivos móviles o plataformas híbridas.

¿Cuál no es una de las mejores prácticas para asegurar una base de datos?. No aplicar cifrado a los datos. Proteger todas las claves con cifrado. Utilizar la versión más segura del software. Limitar la exposición de datos sensibles.

¿Por qué resulta fundamental implementar mecanismos sólidos de autenticación en las interfaces de programación de aplicaciones (APIs)?. Contribuye a que las solicitudes se procesen de forma eficiente y sin retrasos innecesarios, optimizando la comunicación entre clientes y servidores. Asegura que cada solicitud enviada a la API sea originada por una fuente legítima y autorizada, evitando accesos no permitidos. Cuando la autenticación es deficiente o inexistente, facilita que atacantes obtengan acceso a recursos internos protegidos. No tiene impacto en la seguridad.

Un equipo debe monitorear los componentes utilizados en una solución móvil y revisar boletines periódicos de sus vendors. ¿Qué tipo de amenaza está dirigiendo?. Componentes vulnerables y defectuosos. Malfunción de servicios. Accesos no autorizados. Fuerzas criptográficas.

Una aplicación móvil muestra información personal del usuario donde el usuario únicamente posee acceso local. ¿Qué vulnerabilidad se está presentando?. Criptografía insuficiente. Autorización/Autenticación insegura. Comunicación insegura. Controles de privacidad inadecuados.

En el contexto de un proceso de integración continua (CI), ¿qué etapa evita la posibilidad de que las verificaciones de seguridad se apliquen en la pipeline? ¿Cuál sería el impacto de esta omisión?. El proceso de integración se omite. Los controles de autenticación son débiles. El sistema operativo se actualiza automáticamente. Aumento de los riesgos de seguridad por errores humanos.

En un escenario donde una organización ofrece servicios críticos a través de una API pública y privada, y se detecta un patrón de tráfico anómalo que podría estar relacionado con detección de anomalías, ¿cuál de las siguientes estrategias sería la más efectiva para garantizar la continuidad operativa y la seguridad de los datos?. Aplicar reglas genéricas de firewall sin personalización para detección de anomalías. Detección de anomalías, incorporando validaciones estrictas, monitoreo en tiempo real, y revisiones periódicas de seguridad para detectar y bloquear actividad maliciosa antes de que cause daño. Confiar únicamente en la configuración por defecto del servidor para manejar detección de anomalías, sin revisiones posteriores. Basar la protección de detección de anomalías únicamente en ofuscación del código. Implementar medidas para detección de anomalías solo en entornos productivos, omitiendo las etapas de desarrollo y pruebas. Reducir el alcance de detección de anomalías limitando endpoints, pero sin controles de autenticación ni validación de datos. Delegar completamente la gestión de detección de anomalías a un tercero sin auditar su cumplimiento.auditar su cumplimiento.

Un sistema de IA recupera información de clientes con datos médicos para el manejo por un tercero del proceso de reclamaciones. ¿Qué implica para el manejo?. Es correcto si no hay una venta. Esto impacta la protección del modelo. Esto es aceptable porque hay interés. Esto viola el principio de limitación de intención en los objetivos.

Si no se gestiona de forma adecuada, un cliente de la API puede acceder a recursos que deberían estar restringidos, incrementando el riesgo de fuga de datos y comprometiendo la confidencialidad de la información. ¿Qué característica de seguridad se ve comprometida?. Disponibilidad. Autenticación. Monitoreo. Logging. Autorización. Confidencialidad.

En una Auditoría de seguridad, se observa que un sistema enviará una vulnerabilidad detectada para corrección antes ¿Cómo se llama esta acción?. Probabilidad. Afectación. Mitigación. Explotación.

En el contexto de una arquitectura basada en microservicios que se comunica a través de APIs internas y externas, y ante la posibilidad de un ataque sofisticado relacionado con uso de API Gateway, ¿cuál sería la respuesta técnica más adecuada para minimizar la superficie de ataque sin comprometer el rendimiento?. Basar la protección de uso de API Gateway únicamente en ofuscación del código. Confiar únicamente en la configuración por defecto del servidor para manejar uso de API Gateway, sin revisiones posteriores. Reducir el alcance de uso de API Gateway limitando endpoints, pero sin controles de autenticación ni validación de datos. Aplicar reglas genéricas de firewall sin personalización para uso de API Gateway. Delegar completamente la gestión de uso de API Gateway a un tercero sin auditar su cumplimiento. Uso de API Gateway, incorporando validaciones estrictas, monitoreo en tiempo real, y revisiones periódicas de seguridad para detectar y bloquear actividad maliciosa antes de que cause daño. Implementar medidas para uso de API Gateway solo en entornos productivos, omitiendo las etapas de desarrollo y pruebas.

¿Qué control de seguridad se encarga de asegurar que los datos confidenciales no se filtren de forma involuntaria a través de mecanismos como capturas de pantalla automáticas, grabaciones de pantalla o divulgaciones accidentales durante la ejecución de la aplicación?. MASVS-NETWORK. MASVS-DEVOPS. MASVS-STORAGE. MASVS-AUTH. MASVS-PLATFORM. MASVS-CRYPTO.

Un ataque compromete todos los usuarios del sistema, ¿qué letra de “DREAD” se debe usar para este análisis?. D. E. DI. A.

¿Qué se debe hacer con las copias de seguridad de la base de datos?. Guardarlas sin cifrado. Almacenar solo las copias de seguridad críticas. No almacenarlas en servidores externos. Protegerlas con los mismos controles de seguridad que la base de datos.

Una API expone peticiones SOAP sin autenticar entradas externas. ¿Qué ataque puede involucrar?. DOS. Manipulación de datos. Encubrimiento de clave. Fuerza de puertas locales.

¿Qué tipo de prueba ayuda a identificar errores de seguridad inesperados por entradas no comunes?. Sniffing. Enumeration. Fuzzing. Brute force.