Desarrollo de Software

Señalar la respuesta correcta. ¿Cuáles son los atributos claves de una metodología?. A. Sistemática. B. Disciplina. C. Objetividad. D. Todas las anteriores.

Señalar la respuesta correcta. ¿Qué metodología de auditoria se adapta mejor a las compañías?. A. Cualquiera que tenga relación con los sistemas de información. B. La metodología marcada por entidades reconocidas como IAI, ISACA,... C. La que sea completa y este adecuada las necesidades de la compañía. D. Ninguna de las anteriores.

3.Señalar la respuesta correcta. ¿Qué conjunto de amenazas típicas pueden poner en riesgo una compañía?. A.       Del entorno, defectos de las aplicaciones, causadas por las personas de forma accidental y causadas por las personas de forma deliberada. B.       De origen natural, del entorno, defectos de las aplicaciones, causadas por las personas de forma accidental y causadas por las personas de forma deliberada. C.       De origen natural, del entorno, defectos de las aplicaciones y causadas por las personas de forma deliberada. D.       De origen natural, del entorno, defectos de las aplicaciones y causadas por las personas de forma accidental.

4. Señalar la respuesta correcta. La finalidad de un objetivo de control es: A.       Aglutinar un número de controles. B.       Controlar los riesgos a los que está expuesto una compañía. C.       El objetivo de control está encaminado a prevenir, mitigar o transferir el riesgo. D.       Realizar un plan de pruebas completo.

5. Señalar la respuesta correcta. Un objetivo de control puede estar cubierto por: A.       Varios controles. B.       Varios riesgos. C.       Varias pruebas. D.       Varias amenazas.

6.Señalar la respuesta correcta. El objetivo de todo control es la reducción de riesgo: A. Reduciendo su probabilidad de ocurrencia o bien mitigando su impacto. B. Un control solo reduce su probabilidad de ocurrencia. C. Un control solo mitiga el impacto. D. Un control no reduce el riesgo, solo lo realiza el objetivo de control.

7.Señalar la respuesta correcta. Qué nivel de importancia se le da a: Riesgo vs. Control vs. Coste. A. Siempre tiene que prevalecer el riesgo, con independencia del control y coste. B. Siempre prevalece el control, con independencia del riesgo y el coste. C. Siempre prevalece el coste, con independencia del riesgo y el control. D. Es esencial que estén equilibrados los tres términos.

8.Señalar la respuesta correcta. Para realizar una planificación de las auditorias, es importante recursos y tiempo: A. Los recursos sí, pero el tiempo no es importante para esta fase. B. Depende del tipo de auditoría. C. Son dos términos a tener en cuenta. D. Solo el tiempo, con independencia de los recursos.

9.Señalar la respuesta correcta. Una diferencia que pude hacerse entre una prueba de cumplimiento y una sustantiva es que la prueba de cumplimiento: A. Detalla, mientras que la prueba sustantiva prueba procedimientos. B. Controla, mientras la prueba sustantiva prueba los detalles. C. Planea, mientras que la prueba sustantiva prueba procedimientos. D. Para los requerimientos regulatorios, mientras que la prueba sustantiva prueba las validaciones.

10.Señalar la respuesta correcta. ¿Cuál de las siguientes pruebas está un auditor realizando cuando una muestra de programas es seleccionada para determinar si las versiones del código fuente y versiones del código objeto son las mismas?. A. Una prueba de controles de biblioteca de programas. B. Una prueba de cumplimiento de controles de biblioteca de programas. C. Una prueba de cumplimiento de los controles del área de operación. D. Una prueba sustantiva de los controles del compilador de programas.

12.Señalar la respuesta correcta. La finalidad de una auditoría de seguridad perimetral: A. Evaluar el grado de cumplimiento de una norma de seguridad. B. Evaluar los riesgos a los que está expuesto una organización. C. Evaluar el nivel de seguridad de las LAN corporativas de carácter interno de una organización. D. Analiza la protección que proporciona una red de seguridad perimetral desde el exterior.

13.Señalar la respuesta correcta. La finalidad de una auditoría de cumplimiento: A. Evaluar el grado de cumplimiento de una norma de seguridad. B. Análisis del código estático del código de aplicaciones en busca de vulnerabilidades, tanto de aplicaciones del tipo web como de cualquier tipo de aplicación. C. Evaluar el nivel de seguridad de las LAN corporativas de carácter interno de una organización. D. Analiza la protección que proporciona una red de seguridad perimetral desde el exterior.

14.Señalar la respuesta correcta. De acuerdo con el concepto de visibilidad las auditorias de seguridad se clasifican en: A. Pruebas de caja blanca, negra y gris. B. Pruebas de caja blanca y negra. C. Pruebas de caja blanca, negra e inversas. D. Ninguna de las anteriores.

15.Señalar la respuesta correcta. Las auditorias de cumplimiento son del tipo: A. Caja blanca. B. Caja negra. C. Caja Gris. D. Ninguna de las anteriores.

16.Señalar la respuesta correcta. ¿Cuál de las siguientes afirmaciones es incorrecta?. A. La revisión por la dirección permitirá realinear los esfuerzos de implantación del SGSI para asegurar su eficiencia y eficacia. B. La mejora continua del SGSI se desempeña por cualquiera de los recursos de la organización. C. La revisión de la dirección debe realizarse a intervalos planificados y como mínimo 1 vez al año. D. Ninguna de las anteriores.

17.Señalar la respuesta correcta. ¿Quién clasifica los activos del sistema de información?. A. La autoridad nacional de seguridad. B. Una empresa auditora. C. Una empresa consultora. D. La propia organización.

18.Señalar la respuesta incorrecta. El RGPD no limita el ámbito y periodicidad de las auditorías, sino que pueden entenderse amplias e imprescindibles. En el marco de este reglamento, la auditoría estaría compuesta de las dos siguientes partes: A. Auditoría de seguridad: Seguridad y violaciones de seguridad (artículos 32 a 34). B. Auditoría de seguridad: Seguridad de la DMZ (artículos 50 y 51). C. Auditoría de seguridad Seguridad del procesamiento (artículo 32). D. Auditoría de cumplimiento: Derechos del interesado (artículos 12 a 23, y 26).

19.Señalar la respuesta correcta. ¿Cuáles son los activos de Sistemas de Información más habituales?. A. Solo datos. B. Cualquiera que tenga valor para la empresa menos las personas. C. Todos aquellos que aporten conocimiento/sabiduría a la organización. D. Personas, Datos ó Información, Software, Hardware, Telecomunicaciones, Infraestructura.

20.Señalar la respuesta correcta. Principalmente, si en un portal web somos capaces de ver su estructura de directorios, esto se debe a: A. No se realiza en javascript validación de datos de entrada. B. Una mala configuración del servidor web que permite esta acción. C. Una mala configuración en la subversión (control de versiones). D. Ninguna de las anteriores.

21. Señalar la respuesta correcta. Las normas PCI DSS de aplica obligatoriamente: A. Solo a los bancos. B. Al sector del comercio en general. C. A las empresas que almacenan, procesan o transmiten datos de tarjetas de pago. D. Ninguna de las anteriores.

22 Señalar la respuesta correcta. La réplica de datos en espejo (mirroring) se debe implementar como estrategia de recuperación cuando: A. El RPO sea alto. B. El RTO sea alto. C. La tolerancia a desastres sea alta. D. El RPO sea bajo.

23.Señalar la respuesta correcta. Para sistemas críticos que tienen una baja tolerancia a las interrupciones y un alto coste de recuperación, ¿Cuál de las siguientes opciones de recuperación debe recomendar, en principio, el auditor de Sistemas de Información?. A. Cold site. B. Warm site. C. Hot site. D. Sitio móvil.

24.Señalar la respuesta incorrecta. Con respecto a la lista de verificación de los controles que auditar acorde a la guía de la Agencia Española de Protección de Datos tenemos: A. Evaluar la capacidad de recuperación de los registros vitales. B. Derechos del interesado. Derecho de rectificación. C. Tratamiento de categorías comunes de datos. D. Derechos del interesado. Derecho a la portabilidad de los datos.

4.Señalar la respuesta correcta. El CITI (Control Interno de Tecnologías de Información) garantiza: A. Que las auditorías que se realicen, tengan un 95% de éxito, y no se detecten debilidades y deficiencias importantes. B. Que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requisitos legales. C. Que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática. D. Que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización V/o Dirección de Informática. así como los requisitos legales. Su establecimiento evita la realización de auditorías internas y externas.

5. Señalar la respuesta correcta. El criterio de auditoría responde a: A. Políticas, practicas, procedimientos o requerimientos contra los que el auditor compara la información recopilada. B. Vulnerabilidades que pueden existir en los sistemas. C. Simplemente a temas financieros. D. Se basa en temas medioambientales.

6. Señalar la respuesta correcta. ¿Cuál de los siguientes son controles de Organización y Operación?. A. Acuerdos de confidencialidad y antivirus. B. Plan de backups y control de licencias. C. Control de acceso y plan de backups. D. Separación de entornos y segregación de funciones.

7. Señalar la respuesta correcta. Recomendaciones de buenas prácticas de implementación. A. Manejo de los datos con precaución. B. Confiar en software de terceros en operaciones críticas. C. Usar listas de errores. D. Usar en el código nombres relativos de ficheros.

8. Señalar la respuesta correcta. Como se define Resiliencia: A. Capacidad de resistencia y tolerancia a los ataques realizados por los agentes maliciosos (malware, hackers, etc.). B. Capacidad que garantiza la posibilidad de imputar las acciones relacionadas en un software a la persona, entidad o proceso que la ha originado. C. Capacidad del software para aislar, contener y limitar los daños ocasionados por fallos causados por ataques de vulnerabilidades explotables del mismo, recuperarse lo más rápido posible de ellos y reanudar su operación en o por encima de cierto nivel mínimo predefinido de servicio aceptable en un tiempo oportuno. D.Capacidad del software para "tolerar" los errores y fallos que resultan de ataques con éxito y seguir funcionando como si los ataques no se hubieran producido.

9. Señalar la respuesta correcta. ¿Sería necesario auditar los controles de un CPD?. A. Solo si se ha sufrido un incidente. B. Si, de manera periódica según el plan de auditoría. C. Si, con auditarlo una vez cada 3 años es suficiente. D.Solo si mi empresa pertenece a un sector regulado.

10. Señalar la respuesta incorrecta. El análisis de riesgo arquitectónico implica tres pasos básicos: A. Análisis de ambigüedad. C. Análisis de resistencia al ataque. C. Análisis de robustez. D. Análisis de debilidad.

11. Señalar la respuesta correcta. ¿Qué amenaza, según el modelo STRIDE, representa un problema de confidencialidad?. A.Spoofing. B.Tampering. C. Information Disclosure. D.Elevation of Privilege.

12.Indicar la respuesta incorrecta. Normalmente se suele asignar un usuario general con conjunto de privilegios que le permitirá realizar todas las tareas, incluidas las no necesarias. Ejemplos de errores comunes son: A.Instalación de aplicaciones y servicios con el usuario de administrador. B.Aplicación de derechos normales. C.Usuarios con derechos normales. C.Servicios y procesos con privilegios por tiempo definido.

13.Señalar la respuesta correcta. El plan TIC de una organización, debe: A. Dar respuesta a las necesidades del negocio expuestas en el plan estratégico de la organización y ser coherente con este. B.Estar siempre a la última en aplicaciones (software). C.Estar siempre a la última en dispositivos (hardware). D.Ahorrar todo lo posible y enfocar ese presupuesto en seguridad y auditoria.

14 Señalar la respuesta correcta. Según Ron Weber, la auditoría de sistemas de información es: A.Es la revisión independiente de los test de intrusión. B. Ron Weber estableció las bases del control interno informático. No definió nunca la auditoría informática o de sistemas de información. C. La auditoría de Sistemas de Información es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los recursos. D Todas las anteriores.

15 Señalar la respuesta correcta. Indique cuál de los controles siguientes es el más típico del ciclo de vida de desarrollo de software: A. Separación de entornos de producción y administración. B. Identificación de usuarios de la aplicación y permisos de acceso asociados a los mismos. C. Securización de los servidores de desarrollo. D. Prueba de la aplicación desarrollada frente a estándares de seguridad.

16.Señalar la respuesta correcta. Las auditorias de dispositivos móviles son del tipo: A.       Caja blanca si se audita la configuración del móvil. B.       Caja negra. C.       Caja Gris. D.       Todas las anteriores.

17.Señalar la respuesta correcta. ¿Qué metodología se enfoca en "Criterios de Evaluación"?. A. The Open Source Security Testing Methodology Manual (OSSTMM). B. The Information System Security Assessment Framework (ISSA. C. Technical Guide to Information Security Testing and Assessment (NIST 800-115). D. The Penetration Testing Execution Standard (PTES).

18.Señalar la respuesta incorrecta. La fase de la metodología “Information System Security Assessment Framework (ISSAF)” son: A. Evaluación. B. Planeación y preparación. C. Acuerdo con la organización auditada. D. Presentación de informes, limpieza y destrucción de artefactos.

Señalar la respuesta correcta. ¿Cuál de las siguientes afirmaciones es incorrecta?. A. La revisión por la dirección permitirá realinear los esfuerzos de implantación del SGSI para asegurar su eficiencia y eficacia. B. La mejora continua del SGSI se desempeña por cualquiera de los recursos de la organización. C. La revisión de la dirección debe realizarse a intervalos planificados y como mínimo 1 vez al año. D. Ninguna de las anteriores.

Señalar la respuesta correcta. Según Ron Weber, la auditoría de sistemas de información es: A. Es la revisión independiente de los test de intrusión. B. Ron Weber estableció las bases del control interno informático. No definió nunca la auditoría informática o de sistemas de información. C. La auditoría de Sistemas de Información es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los recursos. D Todas las anteriores.

Señalar la respuesta incorrecta. Con respecto a la lista de verificación de los controles que auditar acorde a la guía de la Agencia Española de Protección de Datos tenemos: A. Evaluar la capacidad de recuperación de los registros vitales. B. Derechos del interesado. Derecho de rectificación. C. Tratamiento de categorías comunes de datos. D. Derechos del interesado. Derecho a la portabilidad de los datos.

Señalar la respuesta correcta. ¿Cuáles son los activos de Sistemas de Información más habituales?. A. Solo datos. B. Cualquiera que tenga valor para la empresa menos las personas. C. Todos aquellos que aporten conocimiento/sabiduría a la organización. D. Personas, Datos ó Información, Software, Hardware, Telecomunicaciones, Infraestructura.

Señalar la respuesta correcta. Indique cuál de los controles siguientes es el más típico del ciclo de vida de desarrollo de software: A. Separación de entornos de producción y administración. B. Identificación de usuarios de la aplicación y permisos de acceso asociados a los mismos. C. Securización de los servidores de desarrollo. D. Prueba de la aplicación desarrollada frente a estándares de seguridad.

Señalar la respuesta correcta. Principalmente, si en un portal web somos capaces de ver su estructura de directorios, esto se debe a: A. No se realiza en javascript validación de datos de entrada. B. Una mala configuración del servidor web que permite esta acción. C. Una mala configuración en la subversión (control de versiones). D. Ninguna de las anteriores.

Señalar la respuesta correcta. ¿Qué conjunto de amenazas típicas pueden poner en riesgo una compañía? . A. Del entorno, defectos de las aplicaciones, causadas por las personas de forma accidental y causadas por las personas de forma deliberada. B. De origen natural, del entorno, defectos de las aplicaciones, causadas por las personas de forma accidental y causadas por las personas de forma deliberada. C. De origen natural, del entorno, defectos de las aplicaciones y causadas por las personas de forma deliberada. D. De origen natural, del entorno, defectos de las aplicaciones y causadas por las personas de forma accidental.

Señalar la respuesta correcta. La finalidad de una auditoría de seguridad perimetral: A. Evaluar el grado de cumplimiento de una norma de seguridad. B. Evaluar los riesgos a los que está expuesto una organización. C. Evaluar el nivel de seguridad de las LAN corporativas de carácter interno de una organización. D Analiza la protección que proporciona una red de seguridad perimetral desde el exterior.

Señalar la respuesta correcta. La finalidad de una auditoría de cumplimiento: A. Evaluar el grado de cumplimiento de una norma de seguridad. B. Análisis del código estático del código de aplicaciones en busca de vulnerabilidades, tanto de aplicaciones del tipo web como de cualquier tipo de aplicación. C. Evaluar el nivel de seguridad de las LAN corporativas de carácter interno de una organización. D. Analiza la protección que proporciona una red de seguridad perimetral desde el exterior.

Señalar la respuesta correcta. Las auditorias de cumplimiento son del tipo: A. Caja blanca. B. Caja negra. C. Caja Gris. D. Ninguna de las anteriores.

Señalar la respuesta correcta. Las auditorias de dispositivos móviles son del tipo: A. Caja blanca si se audita la configuración del móvil. B. Caja negra. C. Caja Gris. D. Todas las anteriores.

Señalar la respuesta correcta. ¿Qué metodología se enfoca en “Criterios de Evaluación”?. A. The Open Source Security Testing Methodology. Manual (OSSTMM). B. The Information System Security Assessment Framework (ISSAF). C. Technical Guide to Information Security Testing and Assessment (NIST 800-115). D. The Penetration Testing Execution Standard (PTES).

Señalar la respuesta incorrecta. La fase de la metodología “Information System Security Assessment Framework (ISSAF)” son: A. Evaluación. B. Planeación y preparación. C. Acuerdo con la organización auditada. D. Presentación de informes, limpieza y destrucción de artefactos.

Señalar la respuesta incorrecta. Entre los tipos de pruebas conforme a la “Security Testing Methodology Manual (OSSTMM)” tenemos: A. Pruebas de seguridad y su equivalente militar (Posture Assessment). Evaluación de riesgo de los sistemas y redes a través de la aplicación de escaneos de seguridad, donde la intrusión se usa generalmente para confirmar los falsos positivos y los falsos negativos, dentro del tiempo permitido de duración del proyecto. B. Evaluación de riesgo. Análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye el cumplimiento de los objetivos negocios, normativa legal y específica de la industria o la administración. C. Escaneo de seguridad. Búsquedas de vulnerabilidades que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles de la red y análisis profesional individualizado. D. Ninguna de las anteriores.

Señalar la respuesta correcta. Cuando se revisa la seguridad de acceso lógico de una organización ¿Cuál se los siguientes sería de más preocupación para el auditor de seguridad?. A. Las contraseñas no son compartidas. B. Los archivos de contraseña están encriptados. C. Los logon IDs redundantes son eliminados. D. La asignación de logon IDs está controlada.

Señalar la respuesta correcta. A qué tipo de auditoría se corresponde la siguiente afirmación “Son auditorías que verifican el cumplimiento de un determinado estándar o políticas y procedimientos internos de seguridad de la organización de seguridad (p. ej.: PCI o DSS)”. A. Auditoría de seguridad operativa/técnica. B. Auditoría de cumplimiento de la seguridad de la información. C. Auditoría de seguridad de sistemas. D. Auditoría de seguridad de procedimientos.

30. Señalar la respuesta correcta. ¿Es el código es correcto? if (path != null && path.length() >0 && path.length() <= MAXPATH) fileOperation(path);. a. Es correcto. b. Es incorrecto. c. No se puede determinar. d. Ninguna de las anteriores.

29. Señalar la respuesta incorrecta. La información utilizada durante un proceso de modelado de amenazas de una aplicación incluye: a. Patrones de ataque. b. El tipo de vulnerabilidades que se tienen. c. Resultados de pruebas. d. La naturaleza de las amenazas al software.

28. Señalar la respuesta correcta. Aplicar el principio de defensa en profundidad significa: a. Diseñar una aplicación con un único punto de defensa, situado en el perímetro de la aplicación (sockets de red, API's externas, etc.). b. Diseñar una aplicación con un único punto de defensa, situado en los puntos de consumo de datos externos. c. Diseñar una aplicación con múltiples capas de defensa, de esta manera, si una capa falla, otro nivel puede proveer protección. d. Ninguna de las anteriores.

27. Señalar la respuesta correcta. ¿Cuál de estos elementos no entran dentro de los objetivos específicos de la auditoria de sistemas?. a. Cumplimiento de la metodología. b. Identificar faltas del personal a su puesto de trabajo. c. Opinión de la utilización de los recursos informáticos. d. Auditoría de las bases de datos.

25.Generar los nombres de archivo temporales que sean difíciles de adivinar usando un generador de números para crear un elemento en cada nombre del archivo temporal. Esto puede ser: a. El buffer de destino se desborda porque el límite depende del tamaño de los datos de la fuente, más bien que del tamaño del buffer de destino. b. El buffer de destino se desborda porque su límite se especifica como el tamaño total del buffer más bien que como el espacio restante. c. El buffer de destino se deia sin un terminador nulo. d. El programa escribe a una posición arbitraria en la memoria porque el buffer de destino se termina con el carácter nulo.

25. Señalar la respuesta correcta. Las auditorias de cumplimiento son del tipo: a. Caja blanca. b. Caja negra. c. Caja gris. d. Ninguna.

24. Señalar la respuesta correcta. ¿Cuál es el control más importante para el CIO (Chief Information Officer - Director de Informática)?. a. El plan de seguridad alineado con el plan de medioambiente. b. El plan estratégico de empresa alineado con el plan de TIC. c. El plan de TIC no se alinea nunca con el plan estratégico de empresa. d. El plan económico-financiero alineado con los periodos vacacionales.

23. Señalar la respuesta correcta. En un pen-test de caja blanca el scanner de puertos corresponde a: a.Auditoría de seguridad de sistemas. b.Auditoría de seguridad de redes. c.Auditoría de seguridad en internet. d.Auditoría de seguridad en dispositivos móviles.

¿Qué tipo de evaluación de riesgos realiza el auditor de un sistema de información como primer paso?. A. Evaluación de riesgos inherentes. B. Evaluación de riesgos de control. C.Evaluación de riesgo de fraude. D.Ninguna de las anteriores.

9. Señalar la respuesta correcta. El sistema de Gestión de la Seguridad de la. A. Información-SGSI. ¿Cuál tiene PDCA?. B. La ISO 27001 y la ISO 27002. B. Solo la ISO 27002. C. La ISO 27001. D. Ninguna de las anteriores.

8. Señalar la respuesta correcta. En relación a la clasificación de controles internos, según su naturaleza podemos afirmar que. A. Los controles Detectivos, actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia. B. Los controles Preventivos, se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o automáticos. C. Las opciones a y b son correctas. D. Las opciones a y b son incorrectas.

7. Señalar la respuesta correcta. Con relación a la clasificación de controles internos, según su naturaleza podemos afirmar que: A. Son normalmente Detectivos, Correctivos y Preventivos. En ocasiones se incluyen los controles alternativos. B. Voluntarios, obligatorios, manuales y automáticos. C. Voluntarios, obligatorios, manuales, automáticos, preventivos, detectivos y correctivos.(Los controles internos pueden clasificarse según su naturaleza en estas categorías.). D. Controles generales, de aplicación, de área y legales.

6. Señalar la respuesta correcta. Indicar la utilidad de los Patrones de Ataque en la etapa de Especificación de requisitos. A. Proporciona ejemplos de ataques que aprovechan las vulnerabilidades de la arquitectura elegida. B. Pueden ser utilizados para orientar las pruebas de seguridad del software en un contexto práctico y realista identificando debilidades concretas para generar casos de prueba para cada componente. C. Permitirá la selección de políticas de seguridad y configuraciones acordes a las amenazas obtenidas de los patrones de ataque. D. Ayuda a definir el comportamiento del sistema para prevenir o reaccionar ante un tipo específico de ataque probable.

5. Señala la respuesta correcta. La siguiente función acepta como parámetro una cadena “EmployeeNumber” y dinámicamente crea una petición SQL utilizando los datos no confiables. ¿Contiene la siguiente función una vulnerabilidad de Inyección SQL? public void InsertAccountNumber(String EmployeeNumber) { // Create a dynamic SQL statement String sqlQuery = “SELECT * FROM HrTable WHERE Num = @pENum”; SqlParameter pENum = new SqlParamater(“@pENum”,SqlDbType.,150); pENum.Value = EmployeeNumber; SqlComand sqlCmd = new SqlCommand(sqlQuery, new SqlConnection(connectionString)); sqlCmd.Parameters.Add(pENum); // Execute the sql command …}. A. La función no contiene una vulnerabilidad de inyección de comandos.(El uso de parámetros parametrizados (@pENum) evita la inyección SQL, ya que los datos no se insertan directamente en la consulta.). B. La función contiene una vulnerabilidad de inyección SQL porqué la longitud del parámetro “EmployeeNumber” puede exceder el tamaño de 150 caracteres. C. La función contiene una vulnerabilidad de inyección SQL porqué el parámetro“EmployeeNumber” es insertado directamente en la petición SQL sin validarlo. D Ninguna de las anteriore.

4. Señala la respuesta correcta. El principal problema de las herramienta de análisis estático: A. Falsos negativos que produce. B. Gran cantidad de defectos que encuentra. C. Reglas de la herramienta. D. Falsos positivos que produce.

3. Señalar la respuesta correcta. ¿Cuál es la siguiente propiedad de seguridad: “capacidad que garantiza la posibilidad de imputar las acciones relacionadas en un software a la persona, entidad o proceso que la ha originado”?. A. Robustez. B. Resiliencia. C. Autenticación. D. Trazabilidad.

2. Señalar la respuesta correcta. ¿Qué es un caso de abuso?. A. Un escenario que ilustra de manera gráfica y textual potenciales fallos de seguridad ante específicas circunstancias. B. Una base de datos del MITRE. C. Un escenario que ilustra de manera gráfica y textual funcionalidades de seguridad del software ante específicas circunstancias. D. Un patrón de diseño para un desarrollador.

1. Señalar la respuesta correcta. ¿Qué incluye la seguridad del software?. A. Patrones de codificación. B. Principios de diseño seguro. C. Casos de uso. D. Buenas prácticas de codificación.

10. Señalar la respuesta correcta. En relación al Control General / Controles de Hardware y Software de Sistemas – Seguridad Lógica y Física. A. Los controles preservan las tres dimensiones de la información. Confidencialidad, Disponibilidad y Seguridad. B. Los controles preservan las tres dimensiones de la información. Fiabilidad, Disponibilidad y Confidencialidad. C. Los controles preservan dos de las tres dimensiones de la información. Integridad, Disponibilidad y Confidencialidad. D. Ninguna de las anteriores es cierta.