Descripción
Un Security Test Engineer certificado por ISTQB® puede:
- Comprender los paradigmas fundamentales de seguridad y su impacto en los tests de seguridad.
- Aplicar técnicas adecuadas de test de seguridad, reconociendo sus fortalezas y limitaciones.
- Contribuir a la planificación, diseño y ejecución de tests de seguridad.
- Utilizar estándares y mejores prácticas en test de seguridad de manera efectiva.
- Adaptar las actividades de tests de seguridad al contexto organizacional específico.
- Alinear los tests de seguridad con diferentes métodos de desarrollo y ciclos de vida del desarrollo de software.
- Integrar los resultados de los tests de seguridad en un Sistema de Gestión de Seguridad de la Información (ISMS) para una gestión activa de riesgos.
- Recopilar, evaluar y consolidar resultados de tests, generando un informe detallado con hallazgos y evidencia.
- Identificar requisitos de herramientas para tests de seguridad y ayudar en la selección de herramientas adecuadas según el enfoque requerido.
Capítulo 1: Paradigmas de seguridad
- Niveles de seguridad de activos
- Explicar los diferentes niveles de seguridad de los activos y su nivel de protección correspondiente.
- Explicar la relación entre la sensibilidad de la información y los tests de seguridad.
- Auditorías de seguridad
- Describir el papel de los tests de seguridad en el contexto de las auditorías de seguridad.
- El Concepto de Zero Trust
- Explicar el concepto de Zero Trust.
- Aplicar el concepto de Zero Trust en tests de seguridad.
- Software de código abierto
- Ejemplificar el concepto de reutilización de Software de Código Abierto (OSS) en el desarrollo de software y su impacto en las tests de seguridad.
Capítulo 2: Técnicas de tests de seguridad
- Aplicación de tipos de tests de seguridad según el contexto de test
- Dar ejemplos de tipos de tests de seguridad según el contexto de seguridad de caja negra, caja gris o caja blanca.
- Dar ejemplos de tipos de tests de seguridad según tests de seguridad dinámicas o estáticas.
- Aplicación de tipos de tests de seguridad según el contexto del proyecto y técnico
- Aplicar casos de test de seguridad basados en un enfoque de test de seguridad dado, junto con riesgos funcionales y estructurales identificados.
- Describir cómo realizar tests de recertificación y tests de reconciliación para identidades y permisos.
- Describir cómo probar el control de gestión de identidad y acceso.
- Describir cómo probar el control de protección de datos.
- Describir cómo probar tecnología de protección.
Capítulo 3: El Proceso de tests de seguridad
- El Proceso de tests de seguridad
- Explicar diferentes actividades, tareas y responsabilidades dentro de un proceso de tests de seguridad.
- Comprender los elementos clave y características de un entorno de tests de seguridad efectivo.
- Diseño de tests de seguridad
- Dar ejemplos de tests de seguridad basadas en una base de código en niveles de test de componentes.
- Dar ejemplos de tests de seguridad basadas en especificaciones de diseño en el nivel de integración de componentes.
- Implementar una test de seguridad de extremo a extremo que valide uno o más requisitos de seguridad relacionados con uno o más procesos de negocio.
Capítulo 4: Estándares y mejores prácticas
- Introducción a estándares y mejores prácticas
- Explicar diferentes fuentes de estándares de test y mejores prácticas y su aplicabilidad.
- Aplicación de estándares y mejores prácticas en tests de seguridad
- Aplicar los conceptos de OWASP, CVE y CVSS y aprender a utilizarlos en tests de seguridad.
- Aprovechamiento de Estándares y Mejores Prácticas
- Explicar las ventajas y desventajas de los oráculos de test utilizados para tests de seguridad.
- Comprender las ventajas y desventajas del uso de mejores prácticas y estándares de seguridad.
Capítulo 5: Ajuste al contexto organizacional
- El impacto de las estructuras organizacionales en el contexto de tests de seguridad
- Analizar un contexto organizacional dado y determinar qué aspectos específicos considerar para las tests de seguridad.
- El impacto de las regulaciones en las políticas de seguridad y cómo probarlas
- Analizar el impacto de las regulaciones en las políticas de seguridad y cómo probarlas.
- Análisis de un escenario de ataque
- Analizar un escenario de ataque (ataque realizado y descubierto) e identificar posibles fuentes y motivaciones del ataque.
Capítulo 6: Ajuste a modelos de ciclo de vida de desarrollo de software
- Efectos de diferentes modelos de ciclo de vida de desarrollo de software
- Resumir por qué las actividades de tests de seguridad deben cubrir el ciclo de vida del desarrollo de software.
- Analizar cómo diferentes modelos de desarrollo de sistemas impactan las actividades de tests de seguridad.
- Tests de seguridad durante el mantenimiento
- Definir y realizar tests de regresión y confirmación de seguridad basadas en un cambio del sistema.
- Analizar los resultados de tests de seguridad para determinar la naturaleza de una vulnerabilidad de seguridad y su posible impacto técnico.
Capítulo 7: Tests de seguridad como parte de un sistema de gestión de seguridad de la Información
- Criterios de aceptación para tests de seguridad
- Comprender los criterios de aceptación de las tests de seguridad y cómo influyen en la selección de enfoques y técnicas de test.
- Entrada para un sistema de gestión de seguridad de la Información
- Comprender el papel de las tests de seguridad en un sistema de gestión de seguridad de la información efectivo.
Capítulo 8: Reporte de resultados de tests
- Reporte de tests de seguridad
- Comprender la importancia de los resultados de tests de seguridad y cómo afecta su manejo y comunicación.
Capítulo 9: Herramientas de tests de seguridad
- Categorización de herramientas de tests de seguridad
- Analizar diferentes casos de uso y aplicar categorizaciones para herramientas de tests de seguridad.
- Selección de herramientas de tests de seguridad
- Comprender el uso y los conceptos de las herramientas de tests de seguridad dinámicas.
- Comprender el uso y los conceptos de las herramientas de tests de seguridad estáticas.
Público objetivo
Esta certificación es ideal para profesionales que buscan fortalecer sus conocimientos en tests de seguridad, mejorar la seguridad del software y garantizar el cumplimiento de los estándares de la industria.
Es particularmente beneficiosa para:
- Evaluadores de software e ingenieros de test – que desean ampliar su experiencia en técnicas y metodologías de tests de seguridad.
- Evaluadores de seguridad y hackers éticos – que necesitan un enfoque estructurado para los procesos, estándares y mejores prácticas de tests de seguridad.
- Gerentes de tests y profesionales de aseguramiento de calidad – responsables de incorporar tests de seguridad en las estrategias de test y garantizar el cumplimiento de las políticas de seguridad.
- Desarrolladores de software y arquitectos – que desean comprender las vulnerabilidades de seguridad, implementar prácticas de codificación segura y colaborar con los evaluadores de seguridad.
- Ingenieros de DevOps y seguridad – que trabajan con pipelines de CI/CD, tests de seguridad automatizadas y mitigación de riesgos.
- Auditores de TI y oficiales de cumplimiento – que necesitan información sobre el papel de los tests de seguridad en auditorías, regulaciones e integración en sistemas de gestión de seguridad de la información (ISMS).
Requisitos
- Haber aprobado con éxito el examen de certificación ISTQB® CTFL y contar con el certificado.
- Se recomienda tener experiencia previa en el campo de la seguridad, pero no es requisito.
El precio del examen global varía según la certificación y su ubicación geográfica.
