Evaluaciones de Seguridad

Questions and Answers

¿Qué proceso simula ataques en una red a solicitud del propietario?

Prueba de penetración (correct)

Prueba de vulnerabilidades

Revisión de código

Auditoría

¿Cuál es la característica principal de la prueba de caja negra?

El sistema es totalmente opaco para el auditor. (correct)

Se basa en datos internos conocidos por el personal de seguridad.

El auditor tiene información parcial sobre el sistema.

El auditor tiene acceso completo al código fuente del sistema.

¿Cuál de las siguientes opciones describe mejor una revisión de registros?

Es una evaluación de las vulnerabilidades de un sistema.

Es la revisión de código realizada por el autor del software.

Es la simulación de ataques dirigidos a un sistema.

Es la revisión de archivos de registro del sistema para detectar eventos de seguridad. (correct)

¿Qué tipo de prueba utiliza datos disponibles públicamente y notifica al personal de seguridad?

Prueba ciega (D)

¿Qué es un caso de uso indebido?

Un caso de uso que incluye actores de amenaza y sus objetivos. (A)

¿Cuál es el propósito principal de las simulaciones de ataque y brechas (BAS)?

Generar informes sobre ataques simulados en un entorno objetivo. (C)

¿Qué tipo de prueba proporciona al auditor información parcial sobre el sistema?

Prueba gris (C)

¿Cuál de las siguientes afirmaciones sobre la cobertura de pruebas es correcta?

Mide cuánto de un sistema se examina mediante pruebas específicas. (A)

¿Cuál es el propósito de las auditorías internas?

Asegurarse de que los controles de seguridad se implementen como se espera. (D)

¿Qué característica distingue a las auditorías externas de las auditorías internas?

Pueden ser requeridas por contratos con cláusulas de seguridad. (C)

¿Qué ventaja principal tienen los auditores externos sobre los internos?

Poseen un conocimiento que podría ser inalcanzable para la organización. (D)

¿Qué aspecto se considera al realizar auditorías de cumplimiento?

La confirmación de que los controles de seguridad se están aplicando correctamente. (A)

¿Cuál de los siguientes es un inconveniente de las auditorías internas?

Los auditores pueden carecer de una visión externa sobre las amenazas. (A)

¿Qué actividad no forma parte del proceso de auditoría de seguridad?

Publicar los hallazgos en línea. (B)

¿Cuál es una consideración crítica al planear una auditoría de seguridad?

La disponibilidad de recursos humanos y tecnológicos. (D)

¿Qué aspecto no se considera un beneficio de las auditorías realizadas por terceros?

Tienen un menor costo en comparación con las auditorías internas. (D)

Flashcards

¿Qué es una auditoría de seguridad?

Una evaluación sistemática de los controles de seguridad de un sistema de información.

¿Qué es una prueba de vulnerabilidad?

Un examen de un sistema para identificar, definir y clasificar sus vulnerabilidades.

¿Qué es una prueba de penetración?

La simulación de ataques a una red y sus sistemas, solicitada por el propietario.

¿Qué es una prueba ciega?

Evaluación donde los evaluadores solo tienen datos públicos, y el personal de seguridad de la red está al tanto de la prueba.

¿Qué es un análisis de código?

Un examen sistemático de las instrucciones que componen un software, realizado por alguien que no es el autor del código.

¿Qué es un caso de uso incorrecto?

Un caso de uso que incluye actores de amenazas y las tareas que desean realizar en el sistema.

¿Qué es la revisión de registros?

Examen de archivos de registro del sistema para detectar eventos de seguridad o verificar la efectividad de los controles de seguridad.

¿Qué son las transacciones sintéticas?

Eventos programados que imitan el comportamiento de usuarios reales, para probar el rendimiento de servicios críticos.

¿Cuándo son preferibles las auditorías internas?

Las auditorías internas son preferibles cuando la organización posee la experiencia necesaria para realizarlas, y no existen preocupaciones sobre la divulgación de información confidencial.

Pasos de una auditoría de seguridad

Los pasos incluyen la definición del alcance, la participación de líderes de negocios, la documentación de los resultados y las revisiones de gestión.

Ventajas de usar auditores externos (terceros)

Las ventajas incluyen la obtención de una perspectiva diferente, gracias a la experiencia de terceros no involucrados en la organización que puede proporcionar nuevas percepciones.

Prueba de interfaz

Evaluación sistemática de los puntos de intercambio de datos entre sistemas y usuarios.

Verificación de cumplimiento

Comprobaciones puntuales de la implementación y el correcto funcionamiento de controles de seguridad.

Auditorías externas

Auditorías que se realizan cuando existe un contrato que incluye provisiones de seguridad, donde la parte contratante puede exigir la auditoría del contratista.

Auditorías de terceros

Proporcionan experiencia amplia, pero pueden ser costosas.

Ventajas de los auditores de terceros

Una ventaja es su conocimiento y experiencia adicional que la organización no poseería directamente, lo que conduce a análisis más completos.

Study Notes

Security Assessments

• An audit is a systematic evaluation of an information system's security controls.
• Clear goals are crucial for planning a security audit.
• Vulnerability testing identifies, defines, and ranks vulnerabilities in a system.
• Penetration testing simulates attacks on a network, requested by the owner.
• Red teaming emulates specific threat actors with defined objectives.
• Black box testing treats the system as unknown.
• White box testing provides complete system knowledge to the auditor.
• Gray box testing provides partial system knowledge to the auditor.
• Blind testing uses only publicly available data.
• Double-blind testing keeps network staff uninformed.
• Breach and attack simulations (BAS) automate simulated attacks.
• Log review examines system logs for security events or control effectiveness.
• Synthetic transactions mimic user behavior for service testing.
• Code review examines software code by someone other than the author.
• Misuse cases describe threat actor actions.
• Test coverage measures the system's tested areas.

Internal Audits

• Internal audits are preferable when organic expertise is lacking.
• Regulatory requirements might dictate external audits.
• Limited budgets can influence audit choices.

Third-Party Audits

• Third-party audits provide a broader range of experience, but can be costly.

Description

Este cuestionario explora diferentes aspectos de las evaluaciones de seguridad, incluyendo auditorías de sistemas de información, pruebas de vulnerabilidad y simulaciones de ataques. Los tipos de pruebas, como las pruebas de caja negra y caja blanca, se discutirán en detalle. Desafía tu conocimiento sobre las prácticas de seguridad cibernética esenciales.