Safe deployment

Señalar la respuesta correcta. El objetivo final que tiene el auditor de sistemas es. Dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. Generar un informe de auditoría. Conseguir el máximo de hallazgos posible. Hablar con toda la organización para conseguir cuantas más evidencias mejor.

Indicar la respuesta incorrecta. Un acercamiento a un prototipo de análisis y gestión de riesgo arquitectónico en una aplicación implica varias actividades principales que a menudo incluyen un número de actividades básicas: Probar el software si ya existe algún prototipo y discutir las posibles modificaciones o parches para corregir vulnerabilidad. Estudiar el código y otros componentes de software incluyendo el empleo de herramientas de análisis de código. Identificar vulnerabilidades posibles, aprovechando el uso de herramientas y documentación sobre vulnerabilidades comunes. Identificar las amenazas y las fuentes relevantes de ataque. Esta tarea se deriva fácilmente si se ha hecho previamente la obtención de datos del funcionamiento del software en la fase operación.

Señalar la respuesta correcta. Los errores de desbordamiento buffer están muy extendidos y normalmente dan a un atacante un control alto del código vulnerable. Se pueden provocar como consecuencia: Manipulación de números enteros. Falsificación de logs. Manipulación de rutas. Manejo correcto de cadenas de caracteres.

Señalar la respuesta correcta. A qué tipo de auditoría se corresponde la siguiente afirmación "Son auditorías que verifican el cumplimiento de un determinado estándar o políticas y procedimientos internos de seguridad de la organización de seguridad (p. ej.: PCI o DSS)". Auditoría de seguridad operativa/técnica. Auditoría de cumplimiento de la seguridad de la información. Auditoria de seguridad de sistemas. Auditoría de seguridad de procedimientos.

Señalar la respuesta correcta. para realizar una planificación de las auditorias, es importante recursos y tiempo: Los recursos sí, pero el tiempo no es importante para esta fase. Depende del tipo de auditoría. Son dos términos a tener en cuenta. Solo el tiempo, con independencia de los recursos.

Señalar la práctica de seguridad a la que corresponde la siguiente afirmación. "Son soluciones generales repetibles a un problema de ingeniería de software recurrente, destinadas a obtener un software menos vulnerable y un diseño más resistente y tolerante a los ataques, normalmente se limitan a funciones y controles de seguridad a nivel del sistema, comunicaciones e información". Test de penetración. Revisión de código. Casos de abuso. Patrones de diseño.

Señala la respuesta correcta. El principal problema de las herramientas de análisis estático: Falsos negativos que produce. Gran cantidad de defectos que encuentra. Reglas de la herramienta. Falsos positivos que produce.

Señalar la respuesta correcta. ¿Cuándo se da lugar, de forma general, un ataque de desbordamiento de búfer?. Cuando se escribe en la memoria apuntada por un puntero que no ha sido liberada. Cuando copia un búfer de la pila al heap. Cuando un puntero es usado para acceder a memoria no apuntada por él. Cuando el programa detecta que el búfer está lleno.

Señalar la respuesta correcta. La principal misión de las pruebas de penetración es: Revisar estáticamente el código del sistema. Comprobar las vulnerabilidades del software. Verificar cómo el software se comporta y resiste ante diferentes tipos de ataque. Probar la seguridad de la arquitectura del software.

Señalar la respuesta correcta. Las excepciones tienen dos versiones, la diferencia tiene que ver con si el compilador usará análisis estático para asegurar que la excepción es manejada: Controladas y no controladas. Comprobadas y no comprobadas. Valores de retorno. Ningunas de las anteriores.

Señalar la respuesta correcta. El CITI (Control Interno de Tecnologías de Información) garantiza: Que las auditorías que se realicen, tengan un 95 % de éxito, y no se detecten debilidades y deficiencias importantes. Que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requisitos legales. Que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática. Que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática. así como los requisitos legales. Su establecimiento entre otros.

Señalar la respuesta correcta. El criterio de auditoría responde a: políticas, practicas, procedimientos o requerimientos contra los que el auditor compara la información recopilada. Vulnerabilidades que pueden existir en los sistemas. Simplemente a temas financieros. Se basa en temas medioambientales.

Señalar la respuesta correcta. ¿Cuál de los siguientes son controles de Organización y Operación?. Acuerdos de confidencialidad y antivirus. Plan de backups y control de licencias. Control de acceso y plan de backups. Separación de entornos y segregación de funciones.

Señalar la respuesta correcta. Recomendaciones de buenas prácticas de implementación: Manejo de los datos con precaución. Confiar en software de terceros en operaciones críticas. Usar listas de errores. Usar en el código nombres relativos de ficheros.

Señalar la respuesta correcta. Como se define Resiliencia: Capacidad de resistencia y tolerancia a los ataques realizados por los agentes maliciosos (malware, hackers, etc.). Capacidad que garantiza la posibilidad de imputar las acciones relacionadas en un software a la persona, entidad o proceso que la ha originado. Capacidad del software de para aislar, contener y limitar los daños ocasionados por fallos causados por ataques de vulnerabilidades explotable del mismo, recuperarse lo más rápido posible de ellos y reanudar su operación en o por encima de cierto nivel mínimo predefinido de servicio aceptable en un tiempo oportuno. Capacidad del software para "tolerar" los errores y fallos que resultan de ataques con éxito y seguir funcionando como si los ataques no se hubieran producido.

Señalar la respuesta correcta. ¿Sería necesario auditar los controles de un CPD?. Solo si se ha sufrido un incidente. Si, de manera periódica según el plan de auditoría. Si, con auditarlo una vez cada 3 años es suficiente. Solo si mi empresa pertenece a un sector regulado.

Señalar la respuesta incorrecta. El análisis de riesgo arquitectónico implica tres pasos básicos: Análisis de ambigüedad. Análisis de resistencia al ataque. Análisis de robustez. Análisis de debilidad.

Señalar la respuesta correcta. ¿Qué amenaza, según el modelo STRIDE, representa un problema de confidencialidad?. Spoofing. Tampering. Information Disclosure. Elevation of privilege.

Indicar la respuesta incorrecta. Normalmente se suele asignar un usuario general con conjunto de privilegios que le permitirá realizar todas las tareas, incluidas las no necesarias. Ejemplos de errores comunes son: Instalación de aplicaciones y servicios con el usuario de administrador. Aplicación de derechos normales. Usuarios con derechos normales. Servicios y procesos con privilegios por tiempo definido.

Señalar la respuesta Correcta. El plan TIC de una Organización, debe: Dar respuesta a las necesidades del negocio expuestas en el plan estratégico de la organización y ser coherente con este. Estar siempre a la última en aplicaciones (software). Estar siempre a la última en dispositivos (hardware). Ahorrar todo lo posible y enfocar ese presupuesto en seguridad y auditoria.