ISTQB® CT - Security Tester

Descripción

La certificación ISTQB® CT - Security Tester está dirigida a profesionales de software que ya tienen el certificado ISTQB® Foundation y buscan un entendimiento más profundo de las pruebas de software para convertirse en un Security Tester.

La cualificación de Security Tester está dirigida a personas que ya han alcanzado un nivel avanzado en sus carreras en pruebas de software y desean desarrollar aún más su experiencia en pruebas de automatización.

Capítulo 1: Los fundamentos de las pruebas de seguridad

Capítulo 2: Propósitos, objetivos y estrategias de las pruebas de seguridad

Capítulo 3: Procesos de pruebas de seguridad

Capítulo 4: Pruebas de seguridad a lo largo del ciclo de vida del software

Capítulo 5: Pruebas de los mecanismos de seguridad

Capítulo 6: Factores humanos en las pruebas de seguridad

Capítulo 7: Evaluación y reporte de las pruebas de seguridad

Capítulo 8: Herramientas para las pruebas de seguridad

Capítulo 9: Normas y tendencias de la industria

Resultados comerciales

Aprobar este nivel demuestra que los candidatos pueden:

• Entender el papel de la evaluación de riesgos en la provisión de información para la planificación y diseño de pruebas de seguridad y alinear las pruebas de seguridad con las necesidades empresariales.
• Identificar los activos significativos a proteger, el valor de cada activo y los datos requeridos para evaluar el nivel de seguridad necesario para cada activo.
• Analizar el uso efectivo de las técnicas de evaluación de riesgos en una situación dada para identificar las amenazas de seguridad actuales y futuras.
• Entender el concepto de políticas y procedimientos de seguridad y cómo se aplican en los sistemas de información.
• Analizar un conjunto dado de políticas y procedimientos de seguridad junto con los resultados de las pruebas de seguridad para determinar su efectividad.
• Entender el propósito de una auditoría de seguridad.
• Entender por qué se necesitan las pruebas de seguridad en una organización, incluidos los beneficios para la organización, como la reducción de riesgos y mayores niveles de confianza.
• Entender cómo las realidades del proyecto, las restricciones empresariales, el ciclo de vida del desarrollo de software y otras consideraciones afectan la misión del equipo de pruebas de seguridad.
• Explicar por qué los objetivos y metas de las pruebas de seguridad deben alinearse con la política de seguridad de la organización y otros objetivos de pruebas dentro de la organización.
• Para un escenario de proyecto dado, demostrar la capacidad para identificar los objetivos de pruebas de seguridad basados en la funcionalidad, los atributos tecnológicos y las vulnerabilidades conocidas.
• Entender la relación entre la seguridad de la información y las pruebas de seguridad.
• Para un proyecto dado, demostrar la capacidad para definir la relación entre los objetivos de las pruebas de seguridad y la necesidad de la integridad de activos digitales y físicos sensibles.
• Analizar una situación dada y determinar qué enfoques de pruebas de seguridad tienen más probabilidades de tener éxito.
• Analizar una situación en la que falló un enfoque de pruebas de seguridad dado, identificando las causas probables del fallo.
• Para un escenario dado, demostrar la capacidad para identificar los diferentes interesados e ilustrar los beneficios de las pruebas de seguridad para cada grupo de interesados.
• Analizar los KPIs (indicadores clave de desempeño) para identificar prácticas de pruebas de seguridad que necesiten mejora y elementos que no necesiten mejora.
• Para un proyecto dado, demostrar la capacidad para definir los elementos de un proceso efectivo de pruebas de seguridad.
• Analizar un plan de pruebas de seguridad dado, proporcionando retroalimentación sobre las fortalezas y debilidades del plan.
• Para un proyecto dado, implementar pruebas de seguridad conceptuales (abstractas), basadas en un enfoque de pruebas de seguridad dado, junto con los riesgos funcionales y estructurales de seguridad identificados.
• Implementar casos de prueba para validar políticas y procedimientos de seguridad.
• Entender los elementos clave y características de un entorno efectivo de pruebas de seguridad.
• Entender la importancia de planificar y obtener aprobaciones antes de realizar cualquier prueba de seguridad.
• Analizar los resultados de las pruebas de seguridad para determinar lo siguiente:
  • La naturaleza de la vulnerabilidad de seguridad
  • La extensión de la vulnerabilidad de seguridad
  • El impacto potencial de la vulnerabilidad de seguridad
  • La remediación sugerida
• Entender la importancia de mantener los procesos de pruebas de seguridad dados los cambios en la tecnología y las amenazas.
• Explicar por qué la seguridad se logra mejor dentro de un proceso de ciclo de vida.
• Implementar las actividades relacionadas con la seguridad adecuadas para un ciclo de vida de software dado (por ejemplo, iterativo, secuencial).
• Analizar un conjunto dado de requisitos desde la perspectiva de seguridad para identificar deficiencias.
• Analizar un documento de diseño dado desde la perspectiva de seguridad para identificar deficiencias.
• Entender el papel de las pruebas de seguridad durante las pruebas de componentes.
• Implementar pruebas de seguridad a nivel de componente (abstractas) dadas unas especificaciones de codificación definidas.
• Analizar los resultados de una prueba de componente dada para determinar la adecuación del código desde la perspectiva de seguridad.
• Entender el papel de las pruebas de seguridad durante las pruebas de integración de componentes.
• Implementar pruebas de seguridad de integración de componentes (abstractas) dadas unas especificaciones del sistema definidas.
• Implementar un escenario de prueba de extremo a extremo para pruebas de seguridad que verifique uno o más requisitos de seguridad dados y pruebe un proceso funcional descrito.
• Demostrar la capacidad para definir un conjunto de criterios de aceptación para los aspectos de seguridad de una prueba de aceptación dada.
• Implementar un enfoque de retest/regresión de seguridad de extremo a extremo basado en un escenario dado.
• Entender el concepto de endurecimiento del sistema y su papel en el fortalecimiento de la seguridad.
• Entender la relación entre autenticación y autorización y cómo se aplican para asegurar los sistemas de información.
• Demostrar cómo probar la efectividad de los mecanismos comunes de autenticación y autorización.
• Entender el concepto de encriptación y cómo se aplica para asegurar los sistemas de información.
• Demostrar cómo probar la efectividad de los mecanismos comunes de encriptación.
• Entender el concepto de cortafuegos y el uso de zonas de red y cómo se aplican para asegurar los sistemas de información.
• Demostrar cómo probar la efectividad de las implementaciones existentes de cortafuegos y zonas de red.
• Entender el concepto de herramientas de detección de intrusiones y cómo se aplican para asegurar los sistemas de información.
• Demostrar cómo probar la efectividad de las implementaciones existentes de herramientas de detección de intrusiones.
• Entender el concepto de herramientas de escaneo de malware y cómo se aplican para asegurar los sistemas de información.
• Demostrar cómo probar la efectividad de las implementaciones existentes de herramientas de escaneo de malware.
• Entender el concepto de herramientas de ofuscación de datos y cómo se aplican para asegurar los sistemas de información.
• Demostrar cómo probar la efectividad de los enfoques de ofuscación de datos.
• Entender el concepto de capacitación en seguridad como una actividad del ciclo de vida del software y por qué es necesaria para asegurar los sistemas de información.
• Demostrar cómo probar la efectividad de la capacitación en seguridad.
• Explicar cómo el comportamiento humano puede conducir a riesgos de seguridad y cómo impacta en la efectividad de las pruebas de seguridad.
• Para un escenario dado, demostrar la capacidad para identificar formas en las que un atacante podría descubrir información clave sobre un objetivo y aplicar medidas para proteger el entorno.
• Explicar las motivaciones comunes y las fuentes para realizar ataques a sistemas informáticos.
• Explicar cómo las defensas de seguridad pueden ser comprometidas por ingeniería social.
• Entender la importancia de la concientización sobre seguridad en toda la organización.
• Dado ciertos resultados de prueba, aplicar acciones adecuadas para aumentar la concientización sobre seguridad.
• Entender la necesidad de revisar las expectativas de seguridad y los criterios de aceptación a medida que evolucionan el alcance y los objetivos de un proyecto.
• Entender la importancia de mantener los resultados de las pruebas de seguridad confidenciales y seguros.
• Entender la necesidad de crear controles adecuados y mecanismos de recopilación de datos para proporcionar los datos fuente para los informes de estado de las pruebas de seguridad de manera oportuna, precisa y exacta (por ejemplo, un panel de control de pruebas de seguridad).
• Analizar un informe de estado interino de pruebas de seguridad para determinar el nivel de precisión, comprensión y adecuación para los interesados.
• Explicar el papel de las herramientas de análisis estático y dinámico en las pruebas de seguridad.
• Analizar y documentar las necesidades de pruebas de seguridad que deben ser abordadas por una o más herramientas.
• Entender la necesidad de evaluar las capacidades del proveedor para actualizar herramientas con frecuencia para mantenerse al día con las amenazas de seguridad.