Simulacro de examen CSSLP

Por: Artiko
csslpisc2seguridadexamensimulacropractica

Simulacro de examen CSSLP

Este simulacro reproduce el estilo y la lógica del examen real: escenarios breves, cuatro opciones plausibles y calificativos que deciden la respuesta (PRIMERO, MEJOR, A CONTINUACIÓN, MÁS probable). No es el examen oficial ni reproduce sus preguntas: es práctica para entrenar la mentalidad ISC2.

Instrucciones

Recuerda la brújula: proceso sobre parche, prevención sobre reacción, lo temprano en el ciclo de vida sobre lo tardío, y la vida humana y la ley por encima de todo.


Dominio 1 — Secure Software Concepts

1. Un equipo va a diseñar un módulo de pagos. El arquitecto propone que la misma persona pueda crear una orden de pago y también aprobarla para agilizar el flujo. ¿Qué principio de diseño seguro se está violando?

2. Una aplicación asigna a todos sus procesos permisos de administrador “por si acaso los necesitan más adelante”. ¿Qué principio de diseño seguro debería aplicarse para corregir esto?

3. Durante el diseño, el equipo debate qué debe ocurrir si el subsistema de autorización falla inesperadamente. Desde la perspectiva de seguridad, ¿cuál es el comportamiento CORRECTO por defecto?

4. Tras un análisis de riesgo, se identifica una amenaza cuyo costo de mitigación supera con creces el impacto esperado. El equipo técnico quiere mitigarla igualmente. ¿Quién debe decidir si el riesgo se acepta?

5. Una nueva app recopilará datos personales de menores de edad. ¿Cuál es el enfoque MÁS apropiado para tratar la privacidad?


Dominio 2 — Secure Software Lifecycle Management

6. Una organización quiere medir de forma objetiva la madurez de sus prácticas de seguridad en el desarrollo y compararse con la industria a lo largo del tiempo. ¿Cuál es la MEJOR herramienta para ello?

7. Un sistema legado que procesaba datos de clientes va a ser retirado. ¿Cuál es la consideración de seguridad MÁS importante durante el decomisionado?

8. El CISO pide un indicador que muestre si el programa de seguridad del SDLC está mejorando trimestre a trimestre. ¿Cuál de los siguientes es la MEJOR métrica de seguridad?

9. Una empresa adopta un marco para integrar prácticas de seguridad en cada fase del ciclo de desarrollo, alineando actividades como modelado de amenazas y revisión de código con las fases correspondientes. ¿Qué referencia describe MEJOR este enfoque?


Dominio 3 — Secure Software Requirements

10. Al levantar requisitos de una app bancaria, el analista de seguridad quiere capturar cómo un atacante podría intentar abusar de la funcionalidad de transferencias. ¿Qué técnica debe usar?

11. El equipo necesita garantizar que cada requisito de seguridad definido pueda rastrearse hasta su implementación y su prueba correspondiente. ¿Qué artefacto cumple ESA función?

12. Antes de definir los controles de protección de la información, el equipo necesita saber qué datos son más sensibles para aplicar controles proporcionales. ¿Cuál es el PRIMER paso?

13. Una aplicación tratará datos de salud de residentes de la Unión Europea y de Estados Unidos. ¿Qué debe reflejar PRIMERO en los requisitos?

14. Un product owner presiona para empezar a codificar de inmediato y “añadir la seguridad después”. Como profesional de seguridad de software, ¿cuál es la MEJOR respuesta?


Dominio 4 — Secure Software Architecture and Design

15. Durante el modelado de amenazas con STRIDE, el equipo identifica que un atacante podría hacerse pasar por otro usuario legítimo del sistema. ¿A qué categoría de STRIDE corresponde esta amenaza?

16. El equipo va a iniciar su primer ejercicio de modelado de amenazas sobre un nuevo servicio. ¿Cuál es el PRIMER paso?

17. Un arquitecto revisa un servicio que expone múltiples endpoints heredados que ya nadie usa pero siguen accesibles. Desde el punto de vista de diseño seguro, ¿cuál es la acción MÁS apropiada?

18. Un sistema cifra datos correctamente, pero almacena la clave de cifrado en el mismo repositorio de código junto a la aplicación. ¿Cuál es la MEJOR forma de corregir el diseño?

19. Un equipo diseña un asistente basado en un LLM que ejecutará acciones (consultar bases de datos, enviar correos) a partir de instrucciones en lenguaje natural del usuario. ¿Cuál es el riesgo de diseño MÁS importante a mitigar?

20. En una arquitectura de microservicios, el equipo quiere evitar que un servicio comprometido pueda acceder libremente a todos los demás. ¿Cuál es el enfoque de diseño MÁS apropiado?


Dominio 5 — Secure Software Implementation

21. Una revisión detecta que una consulta SQL se construye concatenando entrada del usuario directamente en la cadena. ¿Cuál es la MEJOR forma de remediarlo?

22. El equipo quiere detectar vulnerabilidades conocidas en las librerías de terceros que incorpora la aplicación. ¿Qué herramienta es la MÁS adecuada?

23. Durante una auditoría se encuentran credenciales de base de datos escritas directamente en el código fuente del repositorio. ¿Cuál es la MEJOR práctica de implementación?

24. Una aplicación web muestra contenido enviado por usuarios en el navegador de otros. ¿Qué combinación de controles previene MEJOR el cross-site scripting (XSS)?

25. Un pipeline de entrenamiento de un modelo de machine learning se alimenta de datos recogidos de fuentes públicas sin control de integridad. Un atacante podría inyectar muestras maliciosas para sesgar el modelo. ¿Cómo se denomina este ataque y cuál es el control MÁS apropiado?

26. Al capturar una excepción, un desarrollador devuelve al usuario el stack trace completo con rutas de archivos y la versión de la base de datos. ¿Cuál es la MEJOR práctica de manejo de errores?


Dominio 6 — Secure Software Testing

27. El equipo de seguridad quiere encontrar vulnerabilidades como inyección o XSS ejecutando la aplicación ya desplegada y enviándole peticiones maliciosas, sin acceso al código fuente. ¿Qué tipo de prueba es?

28. Un tester quiere descubrir cómo se comporta un parser de archivos ante entradas malformadas, inesperadas o aleatorias que podrían causar fallos o desbordamientos. ¿Qué técnica es la MÁS adecuada?

29. El equipo de QA necesita datos realistas para probar el sistema, pero el conjunto proviene de producción y contiene información personal de clientes reales. ¿Cuál es la MEJOR práctica?

30. Antes del lanzamiento de una plataforma crítica, la dirección quiere una evaluación que simule un ataque real de un adversario contra el sistema completo en ejecución. ¿Qué actividad de prueba deben encargar?

31. Un equipo encuentra decenas de defectos de seguridad de distinta gravedad antes de una entrega. Necesitan decidir cuáles bloquean el lanzamiento. ¿Cuál es el enfoque MÁS apropiado?

32. Antes de poner en producción un chatbot basado en un LLM, el equipo quiere probar sistemáticamente si es posible manipularlo para que revele datos sensibles o ignore sus restricciones. ¿Cuál es la actividad de prueba MÁS apropiada?


Dominio 7 — Secure Software Deployment, Operations, Maintenance

33. Antes de desplegar un servidor a producción, el equipo de operaciones quiere reducir su exposición eliminando servicios innecesarios, cerrando puertos y aplicando una configuración segura de referencia. ¿Cómo se denomina esta práctica?

34. Durante la operación, el SOC detecta actividad anómala que sugiere una intrusión activa en un servicio de producción. ¿Cuál es el PRIMER paso del proceso de respuesta a incidentes?

35. Se publica un parche crítico para una librería usada en varios servicios de producción. ¿Cuál es la MEJOR práctica antes de aplicarlo ampliamente?

36. Tras varios despliegues manuales, distintos servidores de producción tienen configuraciones divergentes y difíciles de auditar. ¿Cuál es la MEJOR práctica para evitarlo?


Dominio 8 — Secure Software Supply Chain

37. Un cliente del sector público exige, como condición contractual, un inventario legible por máquina de todos los componentes y dependencias que incluye el software entregado. ¿Qué artefacto satisface ESTE requisito?

38. Una organización quiere asegurarse de que un componente de terceros proviene de una fuente confiable y no ha sido alterado en tránsito desde su origen hasta el build. ¿Qué conceptos abordan MEJOR esta preocupación?

39. Antes de incorporar un proveedor de software crítico, la empresa quiere evaluar sus prácticas de seguridad y su exposición a riesgos. ¿Cuál es la MEJOR acción como parte de la gestión de riesgo de la cadena de suministro?

40. Una empresa integra un modelo de lenguaje preentrenado descargado de un repositorio público de modelos para incorporarlo en su producto. ¿Cuál es la preocupación de cadena de suministro MÁS importante a mitigar?


Fin del simulacro

Anota tus 40 respuestas antes de continuar. Cuando termines, corrige y analiza cada opción en:

➡️ Respuestas explicadas

Usa la tabla de dominios de ese capítulo para identificar en qué áreas concentrar tu repaso.