Normativas

Por qué es crucial asegurar la sincronización horaria (Time Sync) por temas de resiliencia?. Por qué es crucial asegurar la sincronización horaria (Time Sync) por temas de resiliencia?. Porque es un requisito para que las aplicaciones puedan mostrar la hora correcta al usuario final. Utilizar creaciones criptográficas personales, para que solo el desarrollador tenga la clave. Porque permite correlacionar los logs de diferentes sistemas para reconstruir la secuencia de un ataque durante una investigación forense.

. ¿Cuál de las siguientes afirmaciones sobre la relación entre CVT(Checklist de validación técnica) y los CRQs (Change Requests)-(Gestión de cambios) es correcta?. El CVT ha reemplazado por completo el uso de CRQs en la organización. Se debe generar un único CVT que agrupe a todos los CRQs Técnicos asociados a un mismo objetivo de negocio para la liberación. Los CRQs para cambios de infraestructura y los CVTs para cambios de software. Se debe crear un CVT por cada CRQ técnico, sin excepción.

¿Cuáles son los controles obligatorios en el procedimiento del CVT?. ¿Cuáles son los controles obligatorios en el procedimiento del CVT?. Diseño funcional y técnico, Plan de pruebas integrales (previas y posteriores), Deployment Quality, Cierre de cambio. Diseño de Solución de negocio, Control IA, Ready for Operation, Control automático, Cierre del cambio. Diseño de Mantenimiento, Control Manual, Control IA, Control de código, Cierre de cambio.

Principio fundamental de seguridad física: Establecer perímetros de seguridad y control de acceso físico. Los desarrolladores deben tener acceso físico ilimitado a los centros de datos. La seguridad física es responsabilidad exclusiva del área de facilities. Los servidores pueden ubicarse en cualquier oficina por conveniencia.

La 'Norma de Gestión de Incidencias TI' se enfoca en minimizar el MTTR. ¿Qué significa MTTR?. Mainframe Technology Transfer Rate(Tasa de Transferencia de Tecnología Mainframe). Mean Time To Recovery (Tiempo Medio para Recuperación). Maximun Time To React (Tiempo Máximo para Reaccionar). Minimun Technical Requirement(Requisito Técnico Mínimo).

Ejemplo correcto de alta disponibilidad: Backups mensuales. Cluster de servidores activos detrás de balanceador. Un único servidor muy potente. Sesión almacenada en memoria local.

Según el modelo de Gobierno de Engineering, ¿cuál es tu rol principal?. Definir las políticas de seguridad del banco. Gestionar el inventario de activos del banco y los centros de datos. Responsable de las pruebas unitarias y la calidad del código. Auditar el cumplimiento normativo de otros equipos.

¿Para qué se hace el procedimiento de homologación?. Para cumplir con trámites administrativos internos. Para reducir costos de operación. Para certificar a los desarrolladores del equipo. Evaluar capacidades técnicas antes de trabajar.

¿Qué te exige la norma 'Adquisición, desarrollo y mantenimiento de sistemas TIC' al diseñar una nueva aplicación?. Priorizar la velocidad de desarrollo por encima de la documentación de diseño. Elegir siempre la tecnología más nueva y de moda para asegurar la innovación. Realizar un análisis de riesgo tecnológico y adherirse a la arquitectura de referencia y las tecnologías autorizadas por el banco. Comprar siempre software de terceros en lugar de desarrollarlo internamente.

Si tu proyecto realiza el procedimiento del CVT de la forma tradicional, ¿Dónde debes informar el folio CUC y anexar la liga del CVT documentado?. En la base de datos de JIRA. En el formato de Delegación al BEx. En los campos de texto y en el anexo de documentos en HELIX.

Selecciona la definición correcta de deuda técnica. Son peticiones adicionales de nuevas funcionalidades que solicita un usuario o el negocio sin declarar cambio de alcance. El costo implícito del retrabajo, causado por proyectos con soluciones limitadas para salir a tiempo, dejando riesgos y gaps tecnológicos/operativos. Son actividades de optimización, depuración y monitoreo que desempeñan los Reliability Teams.

¿Cuál es el valor mínimo aprobatorio del Riesgo Mitigado por Pruebas?. 0.85. 0.8. 0.7. 0.75.

¿Cuál de estas afirmaciones es un principio fundamental de la 'Norma de Seguridad Física'?. La seguridad física es la primera capa de defensa de la resiliencia tecnológica. La política de escritorio limpio es una recomendación, no una obligación. Los desarrolladores deben tener acceso físico a los centros de datos para poder resolver incidencias rápidamente. Los servidores de producción deben ubicarse en las oficinas generales para que sean más accesibles.

¿En qué repositorio debe almacenarse la documentación técnica y funcional, como el Diseño de arquitectura o el Diseño Técnico?. En JIRA, ligado al sprint donde se realizó. En el repositorio de código Git. En el correo electrónico de aprobación del Arquitecto. Centro Único de Conocimiento (CUC).

¿Cuál es el objetivo principal del equipo de RCS IT (Segunda Línea) al realizar sus pruebas de control?. Proporcionar una "seguridad razonable" de que los riesgos se gestionan eficazmente e identificar debilidades en los procesos para fortalecerlos. Escribir las normativas técnicas que la Primera Línea debe cumplir. Aprobar cada cambio técnico antes de que pase a producción. Encontrar "culpables" de los errores para asignar responsabilidades individuales.

¿Cuándo se inicia el proceso de creación de un CVT (Checklist de Validación Técnica)?. Siempre que se vaya a realizar un despliegue en el entorno productivo. Al finalizar el año fiscal, para auditar todos los cambios realizados. Sólo si ocurre un incidente en producción para analizar las causas. Inicio del proyecto, junto con el análisis de requisitos.

Un desarrollador está trabajando en un proyecto en donde debe cuidar el cumplimiento de varias regulaciones como la CUB y la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). ¿Qué afirmación es correcta?. Si cumple con la CUB, automáticamente está cumpliendo con la LFPDPPP, ya que es más estricta. Debe cumplir ambas; regulan aspectos distintos pero complementarios. La LFPDPPP es una ley federal y la CUB es una regulación interna del banco, por lo que la ley prevalece. Sólo necesita cumplir con la LFPDPPP, ya que los datos del cliente son lo más importante.

La “Norma de gestión de servicios prestados por terceros” exige un proceso de homologación. ¿Qué es lo que debemos asegurar?. Es responsable de realizar la auditoría de seguridad completa al proveedor. Puede integrar cualquier librería o API de un tercero y luego notificarlo. No puede usar ningún software de un tercero, todo debe ser desarrollado internamente. Asegurar que el proveedor pasó evaluación de seguridad.

Para un proyecto que sigue el Nuevo Proceso de Creación y Flujo Contínuo E2E, ¿dónde se documenta principalmente la evidencia de la ejecución de pruebas y gestión de defectos?. En el código fuente de la aplicación como comentarios. En el consolidado contable de la SDA. En las historias de usuario, tareas y bugs de JIRA. En las carpetas de la etapa de Diseño del proyecto.

En cada pase a producción del desarrollo o instalación que se atienda, ¿se deben resguardar todos los soportes documentales de cada CRQ?. Verdadero. Falso.

Pablo es miembro de Systems, en la culminación de sus pruebas en ambientes previos no ha logrado alcanzar el RMP mínimo de aceptación, ¿qué acción debería llevar a cabo Pablo?. En todos los casos debe solicitar la autorización del Scrum Master responsable del servicio y añadir su justificación dentro de los controles del CVT. Debe cancelar el pase a producción y volver a realizar todas las pruebas. n todos los casos debe solicitar la autorización del App Owner responsable del servicio y añadir su justificación dentro de los controles del CVT. Excepcionalmente debe solicitar la autorización del Service Owner responsable del servicio y añadir su justificación dentro de los controles del CVT.

Última línea de defensa de la información: El software antivirus instalado en los portátiles. El firewall perimetral de la red. Unas copias de seguridad (Backups) íntegras, aisladas y probadas. La alta disponibilidad de los servidores.

¿Qué exige la Normativa de Seguridad en cuanto al uso de medios extraíbles?. Que imprima todo el código fuente como una copia de respaldo física. Que todos los backups se almacenen en discos duros externos guardados en su escritorio. Que utilice su USB personal para mover código entre su portátil y los servidores. Que se evite el uso de medios extraíbles y solamente se utilicen los canales seguros corporativos para transferir información.

Si un desarrollador tiene una duda sobre la revisión correcta de un procedimiento, ¿Qué debe hacer?. Preguntar al compañero con más experiencia. Revisar la documentación en el Site de Regulación Interna. Buscar en el disco duro la última que hizo. Enviar un correo al área de auditoría.

¿Cuál es la responsabilidad principal de un desarrollador según la “Norma de Monitorización de Seguridad” para el registro de actividad (Logging)”?. Deshabilitar el logging en producción para mejorar el rendimiento de la aplicación. Generar la menor cantidad de logs posibles para no llenar los discos. Registrar información sensible en los logs, como contraseñas o datos de clientes, para facilitar la depuración. Asegurarse de que su aplicación genere logs de alta calidad, con detalle y en formato estándar, sin datos sensibles.

Segmentación de red aporta resiliencia porque: Limita propagación de ataques dentro de la red. Permite a los desarrolladores crear sus propias redes privadas sin supervisión. Facilita que todas las aplicaciones puedan comunicarse con todas las bases de datos libremente.

¿Qué organismo establece los lineamientos que se deben considerar al desarrollar una nueva aplicación que maneja datos personales de clientes, para asegurar el cumplimiento normativo en su tratamiento?. El Banco de México (Banxico), porque regula los sistemas de pago. Transparencia para el Pueblo que depende de la nueva Secretaría Anticorrupción y Buen Gobierno. La CONDUSEF, porque protege a los usuarios de servicios financieros.

Según la 'Norma de Capacidad TI', ¿Cómo puede una mala gestión de la capacidad causar una incidencia de resiliencia?. Actualizar el software de los servidores con demasiada frecuencia. Utilizar servidores de una marca no autorizada por el banco. Comprar demasiados servidores, malgastando el presupuesto. Provocar una caída del servicio durante un pico de demanda por falta de recursos (CPU, memoria, etc).

¿Qué es el 'Expediente Técnico Básico' en el contexto del CVT?. El currículum de los desarrolladores que participaron en el proyecto. El presupuesto detallado del proyecto. Un resumen ejecutivo del proyecto. La colección de evidencias documentales (diseños, pruebas, reportes de seguridad) que sustentan el checklist.

¿Cuál es la consecuencia directa de que el nuevo microservicio no se registre en la CMDB, según la 'Norma de Gestión de Activos de Información'?. La aplicación funcionará más rápido al no tener que reportar su estado. El activo será invisible para los escaneos de vulnerabilidades y la monitorización de seguridad. El equipo de desarrollo recibirá una felicitación por su agilidad. El coste del proyecto se reducirá al no tener que pagar la licencia de la CMDB.

Que significa CMDB por sus siglas en inglés, Bases de Datos de Gestión de la Configuración. Command Management DataBase. Citrix Mainframe DataBase. Central Management DataBase. Common Manual DataBase.

Selecciona la opción que describe MEJOR la relación entre la regulación externa (ej. CUB) y la regulación interna (ej. Normas de Engineering). La regulación interna interpreta y específica cómo BBVA debe de cumplir con lineamientos establecidos por la regulación externa. La regulación interna reemplaza a la regulación externa, simplificando para los desarrolladores. La regulación interna es opcional, mientras que la regulación externa es obligatoria. La regulación externa aplica a los directivos y la regulación externa aplica a los desarrolladores.

Según el Modelo de las Tres Líneas, ¿Cuál es la diferencia principal entre la responsabilidad de la Primera Línea (equipos de desarrollo) y la Segunda Línea (RCS IT)?. La Primera Línea ejecuta y es dueña del riesgo diario, mientras que la Segunda Línea establece el marco de control y verifica de forma independiente. La Primera Línea solo usa el Checklist de Validación Técnica (CVT) y la segunda Línea es la responsable de crear los Planes de Acción. La Primera Línea realiza auditorías periódicas y la Segunda Línea reporta directamente a la alta dirección. La Primera Línea define las reglas (marco de control) y la Segunda Línea es la que desarrolla el software.

Según la 'Norma de Gestión de Activos TI', ¿para qué es fundamental tener un mapeo preciso de dependencias en la CMDB?. Para decidir qué color usar en la interfaz de la aplicación. Para identificar rápidamente la causa raíz y el impacto completo de una incidencia. Para generar organigramas del área de Engineering. Para calcular el bonus de los equipos de desarrollo.

Beneficio de aplicar la norma de gestión de vulnerabilidades. Elimina la necesidad de realizar auditorías externas. Reduce los costos de desarrollo al evitar pruebas de seguridad. Si se detecta una vulnerabilidad crítica, su corrección es prioridad máxima. Permite retrasar las correcciones de seguridad hasta el siguiente sprint.

El concepto de 'Shift Left' en la 'Norma de Seguridad en el SDLC' significa: Integrar la seguridad en las fases más tempranas del ciclo de vida (diseño, codificación), en lugar de tratarla como una ocurrencia tardía. Desplazar el código hacía la izquierda en el editor para mejorar su legibilidad. Asignar toda la responsabilidad de la seguridad al equipo de QA. Mover todas las pruebas de seguridad al final del ciclo, justo antes de salir de producción.

Según el Modelo de las Tres Líneas, ¿Cuál es la diferencia principal entre la responsabilidad de la Primera Línea (equipo de desarrollo) y la segunda Línea (RCS IT)?. La Primera Línea define las reglas (marco de control) y la Segunda Línea es la que desarrolla el software. La Primera Línea solo usa el Checklist de Validación Técnica (CTV) y la Segunda Línea es la responsable de crear los Planes de Acción. La Primera Línea realiza auditorías periódicas y la Segunda Línea reporta directamente a la alta dirección. La Primera Línea ejecuta y es dueña del riesgo diario, mientras que la Segunda Línea establece el marco de control y verifica de forma dependiente.

¿Cuál regulador tiene un enfoque principal en el buen funcionamiento y resiliencia de los sistemas de pago en México?. SHCP. Banco de México (Banxico). CNBV. INAI.

Rol del desarrollador en norma de Incidentes de Seguridad: Apagar inmediatamente el servidor si detectas una actividad sospechosa. Intentar solucionar cualquier problema de seguridad por tu cuenta antes de notificarlo. Decidir si un incidente debe ser comunicado a los clientes o no. Asegurar que mis aplicaciones generen logs de alta calidad que permitan una investigación forense eficaz.

. El “Checklist de Validación Técnica (CVT)” es una herramienta de control que pertenece a: La Primera Línea de Defensa (el propio equipo de desarrollo). La Segunda Línea de Defensa (RCS IT). El regulador externo (ej. CNBV). La Tercera Línea de Defensa (Auditoría Interna).

¿Por qué el CVT es considerado una herramienta de empoderamiento para la Primera Línea de Defensa?. Porque permite a los desarrolladores evaluar el desempeño de sus gerentes. Porque les da la autoridad para detener un pase a producción si los controles no se cumplen, actuando como los dueños de riesgo. Porque les permite solicitar aumentos de sueldo basados en el número de CVTs completados. Porque elimina la necesidad de que la Segunda Línea (RCS IT) realice revisiones.

¿Cuál es el objetivo principal de la "Norma para la gestión de obsolescencia de activos hardware y software"?. Garantizar la alta disponibilidad de los servidores. Evitar los riesgos que surgen cuando el hardware/software se vuelven obsoletos. Permitir enumerar casos atípicos en las pruebas previas a la instalación. Transformar la operación de TI en un proceso predecible y automatizado para reducir los errores humanos.

Controles necesarios en un CVT: Diseño funcional y técnico, Plan de pruebas integrales (previas y posteriores), Deployment Quality, Cierre de cambio. Diseño de Mantenimiento, Control Manual, Control IA, Control de código, Cierre de cambio. Diseño funcional y técnico, Gestión de respaldos, Deployment Quality, Cierre del cambio. Diseño de Solución de negocio, Control IA, Ready for Operation, Control automático, Cierre del cambio.

Según el procedimiento, ¿Quién es el responsable final de la correcta cumplimentación y entrega del CVT?. Todo el equipo. Product Owner. Change Lead de la instalación. Gerente de Auditoría.

Indicador único de valoración – opción correcta. PRM - Pruebas de Riesgo Manual. RPM - Riesgo Protegido por Matrices. MRP - Medición de Resultados de Pruebas. RMP – Riesgo Mitigado por Pruebas.

¿Cuál es el objetivo principal del Checklist de Validación Técnica (CVT)?. Es un control realizado por Auditoría Interna para evaluar el desempeño de los desarrolladores. Es el último punto de control de la Primera Línea para asegurar que un cambio cumple los estándares de calidad y seguridad antes de pasar a producción. Es una formalidad opcional que se rellena si el proyecto tiene tiempo suficiente. Es un documento para solicitar presupuesto para nuevas herramientas de desarrollo.

Última línea de defensa en respaldos: El software antivirus instalado en los portátiles. La alta disponibilidad de los servidores. Unas copias de seguridad (Backups) íntegras, aisladas y probadas. El firewall perimetral de la red.

Ante el hallazgo de una vulnerabilidad crítica en tu aplicación, la “Norma de Gestión de Vulnerabilidades” establece que: La corrección debe planificarse para el siguiente trimestre para no afectar las entregas actuales. Su corrección es prioridad máxima y debe resolverse lo antes posible. Se debe aceptar el riesgo, ya que explotar una vulnerabilidad es muy difíci. Sólo es necesario corregirla si el equipo de Ethical Hacking logra explotarla.

El 'Procedimiento de Ethical Hacking' es una prueba de resiliencia porque: Genera un informe que se envía directamente al regulador sin que el equipo de desarrollo lo vea. Garantizar que una aplicación nunca tendrá más vulnerabilidades. Permite a los desarrolladores practicar sus habilidades de hacking en un entorno seguro. Valida que las defensas de seguridad funcionan como se espera en un escenario de ataque realista.

¿Qué función principal tiene la 'Protección Perimetral' según la Norma de Seguridad de Redes de Comunicaciones?. Asegurar nuestras fronteras contra ataques externos. Nos indica los niveles de contención. Genera castillos fuertes para los muros. Proporciona los datos de entrada a los servidores.

Además del Plan de Puesta en Producción, ¿Qué otro plan crucial debe de estar documentado para garantizar un despliegue seguro?. El Plan de Retorno (reversión del cambio). El Plan de Vacaciones del Equipo. El Plan de Formación para los desarrolladores. El Plan de Comunicación a medios de prensa.

Evidencia clave de Validación de Pruebas. La Matriz de Pruebas (C204) con los resultados y la aprobación del responsable técnico (SRL o Service Owner). El Diseño de Detalle de instalaciones pendientes. El reporte de la herramienta SAST. El Plan de Puesta en Producción.

¿Cuál es el propósito principal del Site de Regulación Interna?. Ser un repositorio histórico de normativas antiguas que ya no están vigentes. Actuar como la 'fuente única de verdad' para consultar el contenido completo y actualizado de todas las normativas internas. Ser una plataforma de formación para que los desarrolladores se certifiquen en las normativas. Ser un blog donde los directivos publican sus opiniones sobre la regulación del sector financiero.

Según la 'Norma de Tratamiento de la Información durante el ciclo de vida según Confidencialidad', ¿Cuáles son los tipos de datos por su estado?. Básico, crítico y configurado. Sólido, líquido y gaseoso. En tránsito, en reposo y en uso. Contencioso, redefinido y Ágile.

Consecuencia de CVT incompleto: Se inicia un proceso de excepción a la normativa de forma automática. Se detiene el pase a producción. Se notifica al líder del equipo para que lo tenga en cuenta en la evaluación de desempeño. El cambio se aprueba igualmente, pero se añade una nota en el expediente.

¿Qué estrategia tiene el Plan de Pruebas de la Norma de Testing?. Permite enumerar casos atípicos en las pruebas previas a la instalación. Nos da tiempo para conocer a los equipos de pruebas. La correcta funcionalidad de los aplicativos con los entes externos. Definir alcance, tipos de prueba, entornos, datos y criterios de aceptación.

¿Cuál es el rol de un desarrollador en el proceso de la 'Norma de Monitorización TI'?. Configurar umbrales de alerta para todas las aplicaciones del banco. Exponer las métricas de negocio y técnicas de su aplicación para que puedan ser recogidas por las herramientas de monitorización. Desarrollar la herramienta de monitorización corporativa desde cero. Ignorar las alertas, ya que son responsabilidad exclusiva del equipo de operadores.

¿Qué significan las siglas RTO y RPO, mencionadas en la 'Norma de Continuidad de Negocios'?. RTO: Tiempo de Operación Real, RPO: Proceso de Operación Real. RTO: Requerimiento Técnico Obligatorio, RPO: Punto de Revisión Obligatorio. RTO: Riesgo Técnico Operacional, RPO: Proceso de Riesgo Operacional. RTO: Tiempo Objetivo de Recuperación, RPO: Punto Objetivo de Recuperación.

¿Qué es el “Chaos Engineering”, mencionado en la “Norma de pruebas de resiliencia operativa digital"?. Un tipo de ciberataque que busca crear el máximo caos posible en una organización. El proceso de introducir cambios en producción sin ningún tipo de prueba. Una metodología de desarrollo de software donde no existe ningún tipo de planificación. Inyectar fallos controlados para mejorar resiliencia.

¿Qué es el CVT?. Un tipo de ciberataque que busca crear el máximo caos posible en una organización. Inyectar fallos controlados para mejorar resiliencia. Es el Checklist de Validación Técnica.

¿Para qué se utiliza el control 1 del CVT?. Configurar umbrales de alerta para todas las aplicaciones del banco. Establecer perímetros de seguridad y control de acceso físico. Modelo de solución de arquitectura (antes MSA o diseño de solución) o documento de definición de petición o diseño técnico y funcional. Diseño de proyecto.

¿Qué regula el Banco de México?. se enfoca en el buen funcionamiento de los sistemas de pago y emite regulaciones sobre ciberseguridad e infraestructura tecnológica para garantizar la resiliencia del sistema financiero. Supervisa y regula a las entidades financieras para procurar su estabilidad y correcto funcionamiento. . Es la emisora de la Circular Única de Bancos (CUB), la normativa más importante que consolida las disposiciones sobre riesgo operacional.

¿Qué regula la CNBV?. banco central. Supervisa y regula a las entidades financieras para procurar su estabilidad y correcto funcionamiento. Es la emisora de la Circular Única de Bancos (CUB), la normativa más importante que consolida las disposiciones sobre riesgo operacional, tecnológico, seguridad de la información y continuidad del negocio. se enfoca en el buen funcionamiento de los sistemas de pago y emite regulaciones sobre ciberseguridad e infraestructura tecnológica para garantizar la resiliencia del sistema financiero.

. La norma de seguridad física impacta directamente al desarrollador porque. Lo obliga a trabajar en un ambiente seguro y restringido. Se le sugiere usar sistemas Linux. Plan de vacaciones.

¿Cuál es el organismo regulador del sistema financiero mexicano, y cuál es su normativa más extensa y fundamental para los bancos?. El banco de México (Banxico) y la ley de instituciones de crédito. La comisión Nacional Bancaria y de valores (CNBV) y la Circular Única de Bancos (CUB). El INAI y la ley Federal de protección de datos personales (LFPDPPP).

Pruebas de Diseño (TOD - Test of Design): En esta fase, RCS IT evalúa si el control, tal como está definido en la normativa, es adecuado para mitigar el riesgo. Es una revisión teórica. Es una revisión teórica. adecuado para mitigar el riesgo.

Quién dá el Vo. Bo. de las Pruebas E2E?. La Primera Línea de Defensa (el propio equipo de desarrollo). El Service Owner. QA.

¿Cuál es el umbral de cobertura para pruebas unitarias?. A. 70%. B. 100%. C. 80%.