Tema 3 – Seguridad en desarrollo software

¿Cuál de éstas NO es un riesgo de seguridad en el desarrollo?. Ataques de denegación de servicio. El entorno puede no ser seguro. La lista de ciber amenazas no para de crecer.

¿Cuáles son los objetivos SMART?. Specific (Específico), Mesurable (Medible), Attainable (Alcanzable), Relevant (Relevante), Timely (Tiempo). Specific (Específico), Mesurable (Medible), Adequate (Adecuado), Relevant (Relevante), Tailored (A medida). Specific (Específico), Mesurable (Medible), Attainable (Alcanzable), Relevant (Relevante), Tailored (A medida).

¿Cuáles son las propiedades fundamentales para la protección de la confidencialidad, integridad y disponibilidad?. a) Identificación, autentificación y autorización. b) Identificación, Seguridad Física, Autenticación, Autorización y Responsabilidad. c) Identificación, Autentificación, Autorización y Responsabilidad.

¿Cuál es un paso del proceso de desarrollo de software?. Crear un Modelo. Realizar pruebas. Desplegar. Todas son correctas.

¿Cuáles son los principales tipos de seguridad cuando se habla de seguridad en el desarrollo de software?. a) Nube, Internet, Punto Final, Red. b) Internet, Punto Final, Red. c) Internet, Punto Final, Nube.

¿Vulnerabilidad que podría permitir la ejecución remota de código en servicios web?. DDos. Deserialización insegura. XSS.

¿Cuándo se deben realizar los análisis de código estático y dinámico?. Antes del despliegue a producción. Después del despliegue a producción.

¿Se podría inyectar código malicioso en las queries a las base de datos NoSQL?. Sí. No.

¿Cuándo es el mejor momento para aplicar de medidas de seguridad al software?. El final del ciclo de desarrollo. Al principio del ciclo de desarrollo. A lo largo del ciclo de desarrollo y de vida.

¿Cuáles son los tres métodos de autentificación?. Lo que sabes, lo que habrá y lo que eres. Lo que sabes, lo que tienes y lo que eres. Lo que sabes, lo que tienes y lo que inventas.

Tras la codificación empieza el testeo del programa, este se centra en dos puntos principales, las lógicas internas del software y las funcionalidades externas: True. False.

¿Cuál es la etapa que comienza cuando terminan las pruebas?. Mantenimiento. Despliegue. Ninguna.

Pentest o Ethical Hacking es una simulación de diferentes ataques a los sistemas, redes o aplicaciones de una empresa con el objetivo de encontrar y explotar el mayor número de vulnerabilidades posibles para luego reportarlas y permitir que la empresa las solucione. True. False.

Una buena práctica para mantener la seguridad en el software es tener bien educados a los empleados para minimizar vulnerabilidades. True. False.

Para mantener la integridad el software debe poder proteger a los diferentes componentes que lo integran, evitando cualquier tipo de modificación, eliminación o añadido que no esté autorizada. True. False.

¿En qué etapa se suelen realizar los testeos unitarios?. Codificación. Pruebas. Diseño.

SDL es el acrónimo de Security Development Lifecycle. True. False.

¿Cuáles son los conceptos básicos en la metodología Microsoft SDL?. Formación y responsabilidad. Formación y mejora continua de los procesos. Formación, mejora continua de los procesos y responsabilidad.

¿Qué documento se utiliza para describir las prácticas de seguridad que se aplicarán durante la construcción del software?. Política de calidad. Política de desarrollo seguro. Política de protección de datos.

Una buena práctica para el desarrollo seguro sería especificar cuáles serán las medidas de encriptación de información que se van a utilizar en la app. True. False.

¿Cuál no es una fase del ciclo de vida de la metodología Microsoft SDL?. Entrenamiento. Gobierno. Diseño.

¿La fase de Entrenamiento de la metodología Microsoft SDL consta de 3 procedimientos?. True. False.

¿La metodología OpenSAMM consta de 4 fases de negocio?. True. False.

Un ejemplo de lenguaje de modelado es UML. True. False.

¿Qué dos niveles existen en la especificación de los requisitos dentro de la especificación?. El funcional y el orgánico. El no funcional y el orgánico. El funcional y el no estructurado.

El modelo Interactivo recolecta los requisitos y objetivos creando con ello un prototipo del sistema. True. False.

¿Cuál NO es un tipo principal de seguridad del desarrollo software?. Seguridad en Internet. Seguridad en web mediana. Seguridad de red.

El ciclo de vida del software lo podemos definir como la sucesión de etapas por la que pasa un software, desde que se crea el proyecto hasta que se pone a la venta. True. False.

"Validar la implementación de captcha para evitar ataques de fuzzing y bruteforce sobre el panel de registro" podemos decir que es una práctica de: Validación de entradas y salidas. Manejo de errores. Administración de sesiones. Manejo de autenticaciones.

Cuando se habla de la seguridad del desarrollo de software, ¿Cuál de estas opciones no es uno de los cuatro tipos principales de seguridad?: Seguridad de Red. Seguridad de Memoria. Seguridad de Internet.

Las herramientas que encuentran vulnerabilidades en el código fuente de una aplicación se denominan: SAST. DAST. CAST.

La Evaluación de amenaza es parte de las: Practicas de seguridad de la función de construcción. Prácticas de seguridad de la función de verificación. Prácticas de seguridad de la función de gobernabilidad.

Las prácticas de seguridad de la función de construcción son: Evaluación de amenaza, Requisitos de seguridad y Arquitectura de seguridad. Estrategia y métricas, Política y cumplimiento y Educación y orientación. Administración de vulnerabilidades, Fortalecimiento del ambiente y Habilitación operativa.

En los Niveles de Madurez, el Nivel 3 hace referencia a: Entendimiento inicial y provisión ad hoc de la práctica de seguridad. Dominio amplio de la práctica de seguridad. Punto de inicio, que es donde las actividades en la práctica no se han realizado.

Completa el hueco con el riesgo de seguridad al que pertenece dicha definición: ________ es una vulnerabilidad de app web, que afecta directamente a las bases de datos de la aplicación. La pérdida de autenticación. Entradas XML. Inyección.

¿Cuál de estos no es un método de autentificación?. Lo que sabes. Lo que haces. Lo que tienes.

Para encontrar y explotar el mayor número de vulnerabilidades en sistemas, redes o aplicaciones usamos: Practicas criptográficas. Seguridad de los ambientes. Reporte de pentest o ethical hacking.

Las herramientas SAT encuentran vulnerabilidades y debilidades en la seguridad de una aplicación en ejecución, normalmente en aplicaciones web: True. False.

La metodología OpenSAMM tiene cuatro funciones de negocio: Gobierno, construcción, verificación e implementación. Gobierno, construcción, implementación y mantenimiento. Gobierno, definición, verificación e implementación.

La autorización: Ocurre cuando se demuestra la identidad en la etapa de autentificación a los usuarios y se les asigna los derechos o privilegios que pueden llevar a cabo en el sistema. Se encarga de verificar la autenticidad de la identidad. Las anteriores son correctas.

La metodología SAMM define un marco de trabajo, basado en normas ISO, que ayuda a mejorar la seguridad del software. True. False.

Los cuatro pilares claves de la seguridad informática son la disponibilidad, la confidencialidad, la autenticación y la usabilidad. True. False.

La responsabilidad: Ocurre cuando se demuestra la identidad en la etapa de autentificación a los usuarios y se les asigna los derechos o privilegios que pueden llevar a cabo en el sistema. Todas las acciones o eventos de los usuarios deben rastrearse y almacenarse para poder determinar responsabilidad del usuario en caso de un incidente. A y B son incorrectas.

¿Disponibilidad, confidencialidad, Integridad y agilidad son los 4 pilares claves sobre los que se apoya la seguridad informática?. True. False.

Las cuatro funciones de negocio del modelo SAMM son: Gobierno, Construcción, Verificación, Implementación. Gobierno, Construcción, Validación, Implementación. Gobierno, Codificación, Verificación, Implementación.

Los tipos de herramientas que analizan la seguridad desde el código son las SAST y las MAST. True. False.

¿Qué criterio no pertenece a los objetivos SMART?. Pequeño (Small). Medible (Mesurable). Relevante (Relevant).

Una práctica de desarrollo seguro es: Evitar la documentación para que los hackers tengan más difícil conocer el funcionamiento del software. Reevaluar los privilegios de acceso de los empleados al terminar el proyecto. Realizar tareas de manera manual para comprobar todo con más detenimiento.

¿Cuál de estas NO es una etapa del ciclo de vida de la Metodología Microsoft SDL?. Creación del diseño. Implementación. Creación de la base de datos.

¿A qué hace referencia el termino integridad en seguridad del software?. El software debe poder proteger a los diferentes componentes que lo integran. El software debe encargarse de alejar a las personas no autorizadas. La información del software debe estar accesible en el momento que un usuario o servicio autorizado lo requiera.

¿Cuál no es un paso para la protección de privacidad?. Autorización. Confirmación. Identificación.

Educar a los empleados es una parte importante para garantizar la seguridad del software: True. False.

¿En qué consiste el riesgo llamado Inyección?. Tienen como objetivo el código de una página web que se ejecuta en el navegador del usuario, no en el servidor del sitio web. Consiste en insertar o inyectar código SQL malicioso dentro de código SQL para dañar el funcionamiento normal. Es un ataque a una app web, que analiza la entrada XML.

¿Cuál es un Principal Riesgo de Seguridad?. Entradas XML. Inyección. Perdida de autenticación. Todas las anteriores.

“Encuentran vulnerabilidades de seguridad en el código fuente de la aplicación, es decir, analizan el código cuando éste no se está ejecutando, son de análisis estáticos”. Herramientas FAST. Herramientas DAST. Herramientas SAST.