Evaluaciones de Seguridad

Questions and Answers

¿Qué proceso simula ataques en una red a solicitud del propietario?

Prueba de penetración (correct)

Prueba de vulnerabilidades

Revisión de código

Auditoría

¿Cuál es la característica principal de la prueba de caja negra?

El sistema es totalmente opaco para el auditor. (correct)

Se basa en datos internos conocidos por el personal de seguridad.

El auditor tiene información parcial sobre el sistema.

El auditor tiene acceso completo al código fuente del sistema.

¿Cuál de las siguientes opciones describe mejor una revisión de registros?

Es una evaluación de las vulnerabilidades de un sistema.

Es la revisión de código realizada por el autor del software.

Es la simulación de ataques dirigidos a un sistema.

Es la revisión de archivos de registro del sistema para detectar eventos de seguridad. (correct)

¿Qué tipo de prueba utiliza datos disponibles públicamente y notifica al personal de seguridad?

Prueba ciega

¿Qué es un caso de uso indebido?

Un caso de uso que incluye actores de amenaza y sus objetivos.

¿Cuál es el propósito principal de las simulaciones de ataque y brechas (BAS)?

Generar informes sobre ataques simulados en un entorno objetivo.

¿Qué tipo de prueba proporciona al auditor información parcial sobre el sistema?

Prueba gris

¿Cuál de las siguientes afirmaciones sobre la cobertura de pruebas es correcta?

Mide cuánto de un sistema se examina mediante pruebas específicas.

¿Cuál es el propósito de las auditorías internas?

Asegurarse de que los controles de seguridad se implementen como se espera.

¿Qué característica distingue a las auditorías externas de las auditorías internas?

Pueden ser requeridas por contratos con cláusulas de seguridad.

¿Qué ventaja principal tienen los auditores externos sobre los internos?

Poseen un conocimiento que podría ser inalcanzable para la organización.

¿Qué aspecto se considera al realizar auditorías de cumplimiento?

La confirmación de que los controles de seguridad se están aplicando correctamente.

¿Cuál de los siguientes es un inconveniente de las auditorías internas?

Los auditores pueden carecer de una visión externa sobre las amenazas.

¿Qué actividad no forma parte del proceso de auditoría de seguridad?

Publicar los hallazgos en línea.

¿Cuál es una consideración crítica al planear una auditoría de seguridad?

La disponibilidad de recursos humanos y tecnológicos.

¿Qué aspecto no se considera un beneficio de las auditorías realizadas por terceros?

Tienen un menor costo en comparación con las auditorías internas.

Study Notes

Security Assessments

• An audit is a systematic evaluation of an information system's security controls.
• Clear goals are crucial for planning a security audit.
• Vulnerability testing identifies, defines, and ranks vulnerabilities in a system.
• Penetration testing simulates attacks on a network, requested by the owner.
• Red teaming emulates specific threat actors with defined objectives.
• Black box testing treats the system as unknown.
• White box testing provides complete system knowledge to the auditor.
• Gray box testing provides partial system knowledge to the auditor.
• Blind testing uses only publicly available data.
• Double-blind testing keeps network staff uninformed.
• Breach and attack simulations (BAS) automate simulated attacks.
• Log review examines system logs for security events or control effectiveness.
• Synthetic transactions mimic user behavior for service testing.
• Code review examines software code by someone other than the author.
• Misuse cases describe threat actor actions.
• Test coverage measures the system's tested areas.

Internal Audits

• Internal audits are preferable when organic expertise is lacking.
• Regulatory requirements might dictate external audits.
• Limited budgets can influence audit choices.

Third-Party Audits

• Third-party audits provide a broader range of experience, but can be costly.

Description

Este cuestionario explora diferentes aspectos de las evaluaciones de seguridad, incluyendo auditorías de sistemas de información, pruebas de vulnerabilidad y simulaciones de ataques. Los tipos de pruebas, como las pruebas de caja negra y caja blanca, se discutirán en detalle. Desafía tu conocimiento sobre las prácticas de seguridad cibernética esenciales.