Evaluaciones de Seguridad

Questions and Answers

¿Qué tipo de prueba simula ataques en una red a solicitud del propietario?

Red teaming

Penetration testing (correct)

Prueba de vulnerabilidades

Revisión de logs

La revisión de logs implica examinar archivos de registro del sistema para verificar la efectividad de los controles de seguridad.

True (A)

Define qué es un test de caja negra.

Es un tipo de prueba que trata al sistema como completamente opaco.

La simulación de ataques y generación de informes se conoce como ______.

Breach and attack simulations (BAS)

¿Cuál de las siguientes opciones describe mejor una prueba de doble ciego?

El personal de seguridad no sabe que la prueba se llevará a cabo. (C)

Relaciona los tipos de pruebas con su descripción adecuada:

Prueba de vulnerabilidades = Identificación y clasificación de vulnerabilidades Red teaming = Emulación de un actor de amenaza específico Prueba de caja blanca = Conocimiento completo del sistema antes de la prueba Revisión de código = Examen sistemático del software por un auditor externo

Las transacciones sintéticas imitan el comportamiento de usuarios reales.

True (A)

¿Qué es un caso de uso de abuso?

Es un caso de uso que incluye actores de amenaza y las tareas que quieren realizar en el sistema.

Las auditorías externas siempre son menos costosas que las internas.

False (B)

¿Cuál es uno de los beneficios de realizar auditorías internas?

Familiaridad con los sistemas

La auditoría de _________ se realiza cuando las organizaciones tienen un contrato que incluye disposiciones de seguridad.

especialistas externos

Relaciona el tipo de auditoría con su característica principal:

Auditoría interna = Conocimiento de los sistemas por parte de los auditores Auditoría externa = Costos más altos debido a experiencia externa Auditoría de terceros = Proporciona conocimientos frescos y experiencias Auditoría de cumplimiento = Verificaciones puntuales de controles de seguridad

¿Cuál es una ventaja de utilizar auditores de terceros?

Conocimiento especializado que la organización no puede aprovechar (C)

Las auditorías internas son siempre más efectivas que las auditorías externas.

False (B)

Menciona un paso que no forma parte del proceso de auditoría de seguridad.

Preparar un informe final

Flashcards

Auditoría de seguridad

Una evaluación sistemática de los controles de seguridad de un sistema de información.

Prueba de vulnerabilidades

Un examen de un sistema para identificar, definir y clasificar sus vulnerabilidades.

Pruebas de penetración

Simular ataques a una red y sus sistemas a solicitud del propietario.

Pruebas ciegas

Los evaluadores solo tienen datos públicos disponibles y el equipo de seguridad de la red es consciente de que se realizará la prueba.

Pruebas de doble ciego

Una prueba ciega en la que el personal de seguridad de la red no se notifica que la prueba ocurrirá.

Revisión de código

Examen sistemático de las instrucciones que componen un software, realizado por alguien que no sea el autor del código.

Caso de uso de abuso

Un caso de uso que incluye actores de amenazas y las tareas que desean realizar en el sistema.

Cobertura de prueba

Una medida de cuánta parte de un sistema es examinada por una prueba específica (o grupo de pruebas).

Auditoria Interna

Es una evaluación de la implementación y desempeño de los controles de seguridad, beneficiándose del conocimiento profundo de los sistemas por parte de los auditores.

Auditoria Externa

Evaluación de seguridad llevada a cabo como resultado de un contrato que incluye provisiones de seguridad, para verificar que se cumplen.

Auditoria de Terceros

Una evaluación realizada por un ente externo, proporciona perspectivas frescas, pero puede tener un costo elevado.

Pruebas de Interfaz

Evaluación sistemática de los puntos de intercambio de datos entre sistemas y/o usuarios.

Verificaciones de cumplimiento

Son verificaciones puntuales de la implementación y correcto funcionamiento de los controles de seguridad.

Ventajas de la Auditoría de Terceros

Ofrece conocimientos y experiencia no disponibles internamente, pero con un costo más elevado.

Pasos de la Auditoría de Seguridad

Documentar los resultados, establecer un análisis gerencial, involucrando líderes de negocios relevantes y definir el alcance.

Cuándo elegir la Auditoría Interna

Cuando la organización tiene experiencia interna para realizar una evaluación adecuada y evitar la divulgación de información confidencial, y no existe un requisito regulatorio por un tercero.

Study Notes

Security Assessments

• An audit systematically assesses an information system's security controls.
• Setting clear goals is crucial for security audit planning.
• Vulnerability tests identify, define, and rank system vulnerabilities.
• Penetration testing simulates attacks on a network, per owner request.
• Red teaming emulates specific threat actors.
• Black box testing treats the system as unknown, while white box testing provides full system knowledge prior to evaluation.
• Gray box testing provides partial system knowledge.
• Blind tests assess security without explicit notification to staff.
• Double-blind tests are blind tests without notification to network staff.
• Breach and attack simulations (BAS) automate simulated attacks, generating reports.
• Log reviews analyze system logs to detect and verify security events.
• Synthetic transactions mimic user behavior to evaluate service performance.
• Code reviews assess software code execution.
• Misuse cases detail attacker actions and system targets.
• Test coverage measures the extent of a system examined by a test.

Internal Audits

• Internal audits are preferred when external expertise is lacking.
• Audits should involve relevant business units.
• Internal audits should examine the entire system.

Third-Party Audits

• Third-party audits provide external experience and insights for audits.

Description

Este cuestionario se centra en las diferentes técnicas utilizadas para evaluar la seguridad de los sistemas de información. Explora conceptos fundamentales como auditoría, pruebas de vulnerabilidad y simulaciones de ataques. También aborda enfoques de pruebas como black box, white box y gray box, proporcionando una visión integral de la seguridad informática.