Guía de estudio – Desarrollo Seguro

1.- Desarrollar el software para monitorear su funcionalidad e informar cuando el

software está inactivo y no puede proporcionar el servicio esperado a la empresa es
una protección para asegurar cuál de las siguientes:
a) Confidencialidad
b) Disponibilidad
c) Integridad
d) Autorización
2.- “Las transacciones financieras procesadas en el sistema deben usar más de un
factor para verificar la identidad que solicita el acceso” ¿Cuál de las siguientes
incluye lo anteriormente descrito?
a) Autorización
b) Autenticación
c) Integridad
d) Disponibilidad
3.- La razón principal para diseñar las capacidades de inicio de sesión único es:
a) Permitir la interoperabilidad entre redes inalámbricas y cableadas
b) Tiene la capacidad de verificar cada solicitud de acceso
c) Aumentar la seguridad de los mecanismos de autenticación
d) Simplifica la autenticación del usuario
4.- Cuando el código fuente se vuelve oscuro utilizando programas especiales para
dificultar la legibilidad del código cuando se divulga, el código también se conoce
como:
a) Código ofuscado
b) Código cifrado
c) Código hash
d) Código objeto
5.- ¿Los Triggers de una base de datos son principalmente útiles para proporcionar
cuál de las siguientes capacidades de aseguramiento del software de detección?
a) Auditoría
b) Disponibilidad
c) Autorización
d) Autenticación
6.- La validación con Checksum puede ser utilizada para satisfacer cuál de los
siguientes requerimientos:
a) Confidencialidad
b) Integridad
c) Disponibilidad
d) Autenticación
7.- ¿Cuál de los siguientes es un mecanismo encubierto que asegura la
confidencialidad?
a) Hashing
b) Enmascaramiendo
c) Estenografía
d) Cifrado
8.- Los bucles infinitos y las llamadas de memoria incorrectas causan amenazas a:
a) Disponibilidad
b) Autenticación
c) Autorización
d) Responsabilidad
9.- Los requisitos que se identifican para proteger contra la destrucción de la
información o del software en sí se denominan comúnmente como:
a) Requisitos de disponibilidad
b) Requisitos de integridad
c) Requisitos de confidencialidad
d) Requisito de autenticación
10.- ¿Cuál de los siguientes tipos de información está exento de los requisitos de
confidencialidad?
a) Información de identificación personal
b) Datos del titular de la tarjeta del usuario
c) Arquitectura de software
d) Información del directorio
11.- ¿Cuál es el Estándar Federal de Procesamiento de Información (FIPS) que
prescribe pautas para la autenticación biométrica?
a) FIPS 201
b) FIPS 140
c) FIPS 197
d) FIPS 186
12.- ¿Cuál es la razón PRINCIPAL por la que los aspectos de disponibilidad del
software deben ser parte de las iniciativas de seguridad del software de la
organización?
a) Los problemas de software pueden provocar tiempo de inactividad en la empresa.
b) Los desarrolladores deben estar capacitados en los procedimientos de continuidad del
negocio.
c) A menudo se ignoran las pruebas de disponibilidad del software y los datos.
d) A los piratas informáticos les gusta realizar ataques de denegación de servicio (DoS,
Denial of Service) contra la organización.
13.- El proceso de combinar funciones, variables y archivos de dependencia y
librerías requeridas para que la máquina corra el programa se conoce como:
a) Interpretación
b) Vinculación (linking)
c) Compilación
d) Instanciación
14.- La principal preocupación de seguridad al implementar aplicaciones en la nube
está relacionada con
a) APIs inseguras
b) Abuso de los recursos informáticos
c) Acceso no autorizado
d) Fuga o pérdida de datos
15.- ¿Cuál de las siguientes es la razón PRINCIPAL para que una aplicación sea
susceptible a un ataque Man-in-the-Middle (MITM)?
a) Gestión inadecuado de la sesión
b) Falta de auditoría
c) Archivado inadecuado
d) Falta de cifrado
16.- La razón PRINCIPAL para incorporar la seguridad en el ciclo de vida del
desarrollo de software es proteger:
a) La divulgación no autorizada de información
b) Contra los piratas informáticos que pretenden hacer un mal uso del software
c) Que los desarrolladores no liberen software con defectos de seguridad
d) La marca corporativa y la reputación
17.- El token que se utiliza PRINCIPALMENTE con fines de autenticación en una
implementación de inicio de sesión único, SSO (Single Sign On) entre dos empresas
diferentes es:
a) Lenguaje de marcado de confirmación de seguridad (SAML)
b) Contraseña de un solo uso (OTP)
c) Kerberos
d) Liberty Alliance ID-FF
18.- ¿Cuál de las siguientes es una actividad que se puede realizar para aclarar los
requisitos con los usuarios de negocio utilizando diagramas que modelan el
comportamiento esperado del software?
a) Modelado de amenazas
b) Modelado de casos de uso
c) Modelado de casos de uso indebido
d) Modelado de datos
19.- ¿Cuál de los siguientes es un estándar de seguridad multifacético que se utiliza
para regular las organizaciones que recopilan, procesan y/o almacenan datos de
titulares de tarjetas como parte de sus operaciones comerciales?
a) FIPS 201
b) NIST SP 800-64
c) ISO/IEC 15408
d) PCI DSS
20.- Durante un ejercicio de modelado de amenazas (Threat Modeling Exercise), se
revisa la arquitectura del software para identificar
a) Atacantes
b) Impacto empresarial
c) Activos críticos
d) Puntos de entrada
21.- Es una práctica de estafa en la que se instala código malicioso en un sistema o
servidor que desvía a los usuarios a sitios web fraudulentos sin el conocimiento o
consentimiento del usuario.
a) Phishing
b) Pharming
c) Spoofing
d) Vishing
22.- La forma predominante de malware que afecta dispositivos móviles es:
a) Virus
b) Ransomware
c) Worm
d) Spyware
23.- Cuando el software es diseñado utilizando la arquitectura REST, ¿Cuál de las
siguientes buenas prácticas de programación promueve?
a) Alta cohesión
b) Baja cohesión
c) Bajo acoplamiento
d) Alto acoplamiento
24.- ¿Qué técnica se puede usar para prevenir el relleno automatizado de las
credenciales, la fuerza bruta y los ataques de reutilización de credenciales robadas?
a) Autenticación multifactorial
b) Validación de entrada
c) Cifrado
d) Hashing
25.- Usar la autenticación multifactorial es efectiva mitigando cuál de los siguientes
riesgos de ataque:
a) Injection flaws
b) Man-in-the-Middle
c) Buffer overflow
d) Cross-Site Scripting
26.- Los mensajes de error detallados y las excepciones no controladas pueden dar
lugar a cuál de las siguientes amenazas de seguridad de software.
a) Manipulación
b) Spoofing
c) Repudio
d) Divulgación de información
27.- ¿Cuál de las siguientes es una característica de los sistemas operativos (SO)
más recientes que dificulta que un atacante adivine la dirección de memoria del
programa, ya que hace que la dirección de memoria sea diferente cada vez que se
ejecuta el programa?
a) Aleatorización de la disposición del espacio de direcciones (ASLR)
b) Prevención de ejecución de datos (DEP)
c) Protección del espacio ejecutable
d) Controlador de excepciones de seguridad
28.- ¿Cuál de las siguientes técnicas de canal lateral para detectar vulnerabilidades
de inyección utiliza un atacante cuando hace uso de mensajes de error retrasados
entre consultas exitosas y no exitosas?
a) Observación distante
b) Sincronización (Timing)
c) Arranque en frío
d) Análisis de energía
29.- ¿Por qué la mayoría de los sistemas de control de supervisión y adquisición de
datos (SCADA) son susceptibles a ataques de software?
a) No se implementaron inicialmente teniendo en cuenta la seguridad
b) Las habilidades de los hackers han aumentado significativamente
c) Los datos que recopilan son de clasificación de alto secreto
d) Se han violado los firewalls que están instalados frente a estos dispositivos.
30.- ¿Cuál de los siguientes componentes de la arquitectura Java es el principal
responsable de garantizar la coherencia de los tipos, la seguridad y la garantía de
que no hay instrucciones maliciosas en el código?
a) Recolector de basura
b) Cargador de clases
c) Verificador de código de bytes
d) Administración de seguridad de Java
31.- Se utiliza para comunicar y hacer cumplir los requisitos de disponibilidad de la
empresa o cliente:
a) Acuerdo de no divulgación (NDA)
b) Contrato corporativo
c) Acuerdos de nivel de servicio (SLA)
d) Modelo de amenazas
32.- ¿Cómo se conoce el número aceptable de errores de usuario que las
organizaciones a menudo predeterminan antes de registrarlos como violaciones de
seguridad?
a) Nivel de recorte.
b) Error conocido.
c) Línea de base mínima de seguridad.
d) Máximo tiempo de inactividad tolerable.
33.- ¿Qué podemos utilizar para proteger el funcionamiento interno y la estructura
interna de las bases de datos back-end contra la divulgación (disclosure)?
a) Desencadenantes (Triggers)
b) Normalización
c) Vistas
d) Cifrado
34.- ¿CUÁL ES LA ORGANIZACIÓN QUE PUBLICA LOS DIEZ RIESGOS DE
SEGURIDAD DE APLICACIONES WEB MÁS CRÍTICOS (TOP TEN)?
a) Equipo de respuesta a emergencias informáticas (CERT).
b) Consorcio de seguridad de aplicaciones web (WASC).
c) Proyecto de seguridad de aplicaciones web abiertas (OWASP).
d) Foros para equipos de seguridad y respuesta a incidentes (FIRST)