Aseguramiento de la calidad y seguridad de software

Ordene el concepto con su respectiva definición: ISO 12207. Calidad de Software. Ingeniería de Software.

Seleccione la razón por la que se diría que el proceso de SQA es un reto dentro de proyectos de Software: SQA es únicamente aplicable a partir del cierre del ciclo de vida del software. SQA considera únicamente aspectos de gestión sin enfocarse mucho en los técnicos. SQA tiene una alta dependencia con la satisfacción de los usuarios.

¿Cuál de los siguientes enunciados NO es un proceso del ciclo de vida del software?. De Acuerdo. Gestión Técnica. Gestión. Organizacionales.

La ejecución de acciones correctivas y preventivas dentro del aseguramiento de la calidad forma parte que del estándar ______________. ISO/IEEE 12207. IEEE 12307. IEEE 730.

El concepto de Calidad Total introducido por Ishikawa se enfoca en una política de cero errores. Verdadero. Falso.

Mantener la competitividad depende de la capacidad de adaptación a los requerimientos cambiantes de los potenciales clientes. Verdadero. Falso.

Relacione el enunciado con el correspondiente modelo de SQA: McCall-Boehm. Dromei. FURPS.

Seleccione la opción que NO es un resultado de aplicación de procesos de QA: Garantía de producto. Aseguramiento del producto. Implementación del proceso. Aseguramiento de proceso.

Empareje la defición con el resultado de SQA correspondiente: Adherencia de procesos y actividades a los estándares aplicables. Se desarrolla una estrategia para realizar SQA. Se evalúa la adherencia de los productos a los requisitos establecidos.

Empareje las subactividades con las respectivas actividades de SQA. Documentar el plan de SQA. Evaluar la conformidad con el entorno. Evaluar aceptabilidad.

Relacione la definición con el correspondiente concepto: La correspondencia bidireccional entre requerimientos de calidad y componentes de un sistema de información. Priorización y selección de requerimientos de calidad para cada entidad objetivo. El desglose de requerimientos de calidad desde necesidades de entidades de alto hasta necesidades de entidades de bajo nivel.

Relacione los requerimientos de calidad con su respectivo modelo: DQRs. PQRs. QIURs.

___________________ son representaciones de potenciales acciones maliciosas que podrían comprometer un sistema. Modelo de ataque. Casos de mal uso. Modelo de amenaza.

El modelo de sistema es: Una abstracción de un escenario potencialmente vulnerable que relaciona actores, perfiles y acciones maliciosas. Una representación gráfica de una arquitectura para identificar amenazas. Una abstracción de la arquitectura base sobre la que se defien los supuestos de operación de un sistema.

Un modelo de ataque es: Una abstracción de un escenario potencialmente vulnerable que relaciona actores, perfiles y acciones maliciosas. Una abstracción de la arquitectura base sobre la que se defien los supuestos de operación de un sistema. Una representación gráfica de una arquitectura para identificar amenazas.

Decisiones acerca de cambios en el alcance del proyecto son apoyadas por medio de revisiones de gestión de calidad. Verdadero. Falso.

Todos los aspectos del producto o proceso de software tienen que ser cubiertos en las reuniones de revisión. Verdadero. Falso.

Asocie el rol con su respectiva responsabilidad de revisión de gestión: Líder de revisión. Personal técnico. Registrador.

La declaración de objetivos para la revisión de gestión es: Procedimiento. Salida. Entrada.

Un resumen de los procedimientos de revisión de gestión es: Entrada. Procesamiento. Salida.

Presentar evidencia de revisión de objetivos de gestión es: Salida. Procedimiento. Entrada.

Relacione el modelo referencial con los respectivos estándares de SQuaRE: Marco de medición. Definición de modelos de calidad. Línea base, planificación y gestión.

Es obligatorio que el responsable de decisiones de gestión designe un representante de stakeholders. Verdadero. Falso.

Decisiones acerca de cambios en el alcance del proyecto son apoyadas por medio de revisiones de gestión de calidad. Verdadero. Falso.

Todos los aspectos del producto o proceso de software tienen que ser cubiertos en las reuniones de revisión. Verdadero. Falso.

Asocie el rol con su respectiva responsabilidad de revisión de gestión: Líder de revisión. Personal técnico. Registrador.

La declaración de objetivos para la revisión de gestión es. Procedimiento. Salida. Entrada.

Un resumen de los procedimientos de revisión de gestión es: Entrada. Procedimiento. Salida.

Presentar evidencia de revisión de objetivos de gestión es:. Salida. Procedimiento. Entrada.

Relacione el modelo referencial con los respectivos estándares de SQuaRE: Marco de medición. Definición de modelos de calidad. Línea base, planificación y gestión.

Es obligatorio que el responsable de decisiones de gestión designe un representante de stakeholders. Verdadero. Falso.

Ordene la frase correctamente: evaluar personal calificado_para discrepancias un Una_revisión_técnica_consiste_en y determinar producto de_software_por especificaciones su_idoneidad_para_el_uso con previsto;_e_identificar estándares.

Asocie el rol con su responsabilidad: Revisor técnico. Responsable de decisiones. Registrador.

Durante las revisiones técnicas, se requiere necesariamente la presencia de un representante de los stakeholders. Verdadero. Falso.

La declaración de objetivos es una: Entrada. Salida. Procedimiento.

La verificación del cierre de todos los elementos de acción es una actividad de: Seguimiento. Preparación. Planificación.

Las salidas de la revisión técnica pueden tener problemas no resueltos: Sí, siempre y cuando sean anomalías y vengan acompañadas de las recomendaciones para su solución. Sí, siempre y cuando sean elementos de acción y tengan estado 'abierto'. No, ya que todos los elementos de acción deben ser cerrados.

Asocie los elementos relacionados con QMs y QMEs: Número de fallas. Número de fallas / período. Tiempo medio entre fallas.

Un examen sistémico de verificación de un producto de software se conoce como: Walkthrough. Inspección. Verificación.

Empareje el alcance de medición con el correspondiente estándar de medición de calidad. Define métricas para evaluar cuantitativamente la calidad de datos de un software o sistema. Define métricas para evaluar cuantitativamente la calidad en uso de un software o sistema. Define métricas para evaluar cuantitativamente la calidad funcionalidad de un software o sistema.

Una verificación sistemática para informar y educar a una audiencia acerca de un software se conoce como: Walkthrough. Evaluación. Inspección.

Seleccione el rol común encargado de presentar el software y contribuir con su conocimiento durante inspecciones y verificaciones: Inspector. Miembro del equipo. Autor.

Durante las inspecciones, un autor puede actuar como inspector y lector. Verdadero. Falso.

El estándar de medición de calidad en uso debe utilizarse en conjunto con cuál estándar: ISO 25012. ISO 25014. ISO 25010.

Seleccione todas las salidas deben producirse tanto en inspecciones como en verificaciones: Los miembros del equipo. Lista de anomalías. Objetivos y cumplimiento. El producto de software bajo escrutinio. Lista de recomendaciones.

El proceso de evaluación de calidad de un software y/o sistema se especifica en el estándar: ISO 25041. ISO 25045. ISO 25030. ISO 25040.

Seleccione dos afirmación correctas con respecto a seguridad de información: Engloba medidas de seguridad aplicadas a cualquier tipo de información, almacenada en medios electrónicos, o en tránsito. Asegura el cumplimiento de objetivos de seguridad y de negocio de la organización. Preserva la información que utiliza una infraestructura informática y de comunicaciones para ser almacenada o transmitida.

Empareje el concepto con su respectiva definición: Seguridad Lógica. Seguridad Pasiva. Seguridad activa.

Empareje las definiciones con sus respectivos conceptos: Previene que la información esté disponible o sea divulgada a personas, entidades o procesos no autorizados. Protege la precisión y completitud de la información. Garantiza que lo que una entidad afirma ser es correcta.

La norma ISO 27001 contiene la guía de buenas prácticas para la implementación de un SGSI. Verdadero. Falso.

Empareje el concepto con su definición: Casos de mal uso. Modelo de amenazas. Modelo de sistema.

Aunque es recomendable hacer revisiones de seguridad al realizar el despliegue de un sistema, es correcto decir que un experto de seguridad puede o no ser miembro activo del consejo asesor de cambios. Verdadero. Falso.

La revisión del diseño de seguridad de un sistema es una técnica de análisis estático. Verdadero. Falso.

Seleccione TODOS los ítems que considera que forman parte de un examen de funcionalidad como parte del modelo de amenazas en MS Threat Modelling tool: Flujo de datos. Adversarios. Riesgos. Trust boundaries.

Empareje la definición con la respectiva categoría STRIDE: Exposición de información a personas que se supone que no deben tener acceso a ella Respuesta 1. Manipulación maliciosa de datos. Obtener autorización usando las credenciales de autenticación de otro usuario. Ataques dirigidos a desabilitar un servicio. Negación de acciones ilícitas asociadas con usuarios. Permite obtener privilegios para obtener acceso no autorizado.

Empareje la técnica de identificación de riesgos con su definición. Consiste en recolectar información mediante equipos cuyos miembros aportan con sus ideas en sesiones de participación abierta. Consiste en recolectar información mediante rondas de validación de información. Implica la utlización de conocimiento experto previo para su diseño y utilización.

Es un método para reducir los escenarios probables de un árbol de ataque mediante eliminación de nodos hoja. Vectoring. Branching. Pruning.

Ordene la frase correctamente: activo_y_su impacto probabilidad cualitativa potencial sobre_un La_evaluación que_asocia_el de_riesgo_utiliza_una de_materialización. matriz.

Asocie la definición con su respectiva opción de control de riesgos: Aplicable solo si los costos de tratamiento superan el costo de materialización de la amenaza. Selección de controles de seguridad. Su aplicación no implica la eximción de responsabilidades si es que una amenaza se materializara. Puede implicar interrumpir una actividad comercial o un proceso si es que el costo de mitigación es mayor que la ganancia.

La capacidad de mantener operaciones esenciales del negocio en circunstancias adversas está relacionada con: Incidencias. Contingencias. Continuidad del negocio.

Seleccione todas las opciones que permitan mantener el nivel de resiliencia de TI: Utilizar controles disuasivos. Independencia de aspectos contractuales y regulatorios. Aplicar controles preventivos y detectivos para reducir la probabilidad de interrupción. Aplicar controles correctivos para mitigar las potenciales consecuencias.

La identificación y evaluación de potenciales escenarios de amenaza a la seguridad de información, están relacionados directamente con qué procesos (seleccione todos los que aplican): Continuidad del negocio. Gestión de configuraciones. Gestión de incidentes de servicio. Gestión de incidentes de seguridad. Gestión de problemas.

La gestión de continuidad del negocio y la evaluación de la recuperabilidad conciden en qué aspectos (seleccione los que aplican): Una buena implementación de controles correctivos para la continudad del negocio debería ser independiente de intervención humana. La inserción de perturbaciones para evaluar el impacto y probabilidad de eventos disruptivos. La estrategia de continuidad del negocio en aspectos de recuperabilidad debería partir de los resultados de evaluación de riesgos. La inserción de perturbaciones debería realizarse en la fase de verificación de recuperabilidad.

Asocie las actividades con la correspondiente fase de gestión de incidentes de seguridad: Asignación de responsabilidades, la capacitación y la práctica de las capacidades de respuesta. Monitoreo de actividad anormal mediante sistemas de seguridad de información y gestión de eventos (SIEMS). Modelado de amenazas, evaluaciones de riesgos.

Un equipo de respuesta a incidentes (CSIRT) puede estar compuesto por personal de distintas áreas profesionales. Verdadero. Falso.

Seleccione los cuantificadores de niveles de incidencia de servicio: Urgencia. Impacto. Amenaza. Probabilidad.