ISTQB CT-STE

ISTQB® CT - Security Test Engineer

Descrizione

Un ISTQB® Certified Security Test Engineer può:

  • Comprendere i paradigmi fondamentali della sicurezza e il loro impatto sul security testing.
  • Applicare tecniche di security testing appropriate, riconoscendone punti di forza e limitazioni.
  • Contribuire alla pianificazione, progettazione ed esecuzione dei test di sicurezza.
  • Utilizzare efficacemente gli standard e le best practice di security testing.
  • Adattare le attività di security testing al contesto organizzativo specifico.
  • Allineare il security testing ai diversi metodi di sviluppo e ai cicli di vita del software.
  • Integrare i risultati del security testing in un Information Security Management System (ISMS) per una gestione attiva del rischio.
  • Raccogliere, valutare e consolidare i risultati dei test, producendo un report dettagliato con tutti i risultati e le evidenze.
  • Identificare i requisiti degli strumenti per il security testing e supportare la selezione degli strumenti più appropriati in base all'approccio richiesto.

 

Capitolo 1: Paradigmi di Sicurezza

  • Livelli di sicurezza degli Asset
    • Spiegare i diversi livelli di sicurezza degli asset e il corrispondente livello di protezione.
    • Spiegare la relazione tra la sensibilità delle informazioni e il security testing.
  • Audit di sicurezza
    • Descrivere il ruolo del security testing nel contesto degli audit di sicurezza.
  • Il concetto di Zero Trust
    • Spiegare il concetto di Zero Trust.
    • Applicare il concetto di Zero Trust nel security testing.
  • Software Open-Source
    • Esemplificare il concetto di riutilizzo del Software Open Source (OSS) nello sviluppo software e i suoi impatti sul security testing.

Capitolo 2: Tecniche di Security Testing

  • Applicazione dei tipi di test di sicurezza in base al contesto di test
    • Fornire esempi di tipi di test di sicurezza secondo i contesti black-box, grey-box o white-box.
    • Fornire esempi di tipi di test di sicurezza secondo il security testing dinamico o statico.
  • Applicazione dei tipi di test di sicurezza in base al contesto di progetto e tecnico
    • Applicare i test case di sicurezza, basandosi su un determinato approccio al security testing, insieme ai rischi di sicurezza funzionali e strutturali identificati.
    • Descrivere come eseguire test di ricertificazione e test di riconciliazione per identità e permessi.
    • Descrivere come testare il controllo di gestione delle identità e degli accessi.
    • Descrivere come testare il controllo della protezione dei dati.
    • Descrivere come testare la tecnologia di protezione.

Capitolo 3: Il processo di Security Testing

  • Il processo di Security Testing
    • Spiegare le diverse attività, compiti e responsabilità all'interno di un processo di security testing.
    • Comprendere gli elementi chiave e le caratteristiche di un ambiente di security testing efficace.
  • Progettazione dei test di sicurezza
    • Fornire esempi di test di sicurezza basati su una determinata base di codice a livello di test dei componenti.
    • Fornire esempi di test di sicurezza basati su specifiche di progettazione a livello di integrazione dei componenti.
    • Implementare un test di sicurezza end-to-end che validi uno o più requisiti di sicurezza relativi a uno o più processi aziendali.

Capitolo 4: Standard e Best Practice

  • Introduzione agli standard e alle best practice
    • Spiegare le diverse fonti di standard di test e best practice e la loro applicabilità.
  • Applicazione degli standard e delle best practice necessari per il security testing
    • Applicare i concetti di OWASP, CVE e CVSS e imparare a sfruttarli nel security testing.
  • Sfruttare gli standard e le best practice
    • Spiegare i pro e i contro degli oracoli di test utilizzati per il security testing.
    • Comprendere i pro e i contro dell'uso delle best practice e degli standard di sicurezza.

Capitolo 5: Adattamento al Contesto Organizzativo

  • L'impatto delle strutture organizzative nel contesto del security testing
    • Analizzare un determinato contesto organizzativo e determinare quali aspetti specifici considerare per il security testing.
  • L'impatto delle normative sulle politiche di sicurezza e come testarle.
    • Analizzare l'impatto delle normative sulle politiche di sicurezza e come testarle.
  • Analisi di uno scenario di attacco
    • Analizzare uno scenario di attacco (attacco eseguito e rilevato) e identificare possibili fonti e motivazioni dell'attacco.

Capitolo 6: Adattamento ai Modelli di Ciclo di Vita dello Sviluppo Software

  • Gli effetti dei diversi modelli di ciclo di vita dello sviluppo software
    • Riassumere perché le attività di security testing dovrebbero coprire l'intero ciclo di vita del software.
    • Analizzare come i diversi modelli di sviluppo software influenzano le attività di security testing.
  • Security Testing durante la manutenzione
    • Definire ed eseguire test di regressione e test di conferma della sicurezza in base a una modifica del sistema.
    • Analizzare i risultati del security testing per determinare la natura di una vulnerabilità di sicurezza e il suo potenziale impatto tecnico.

Capitolo 7: Security Testing come Parte di un Information Security Management System

  • Criteri di accettazione per il security testing
    • Comprendere i criteri di accettazione del security testing e come influenzano la selezione degli approcci e delle tecniche di test.
  • Input per un Information Security Management System (ISMS)
    • Comprendere il ruolo del security testing per un sistema efficace di gestione della sicurezza delle informazioni.
  • Miglioramento di un ISMS mediante security testing adattato
    • Valutare la maturità di un ISMS introducendo diversi approcci di test, nuovi oggetti di test o una copertura migliorata.
    • Comprendere la misurabilità all'interno di un ISMS.

Chapter 8: Reporting dei Risultati dei Test

  • Reporting dei test di sicurezza
    • Comprendere la criticità dei risultati del security testing e come questo influisce sulla loro gestione e comunicazione.
  • Identificazione e analisi delle vulnerabilità
    • Valutare i risultati di un determinato test di sicurezza per identificare le vulnerabilità di sicurezza.
  • Chiusura delle vulnerabilità
    • Valutare diverse tecniche per la chiusura delle vulnerabilità identificate.

Capitolo 9: Strumenti di Security Testing

  • Categorizzazione degli strumenti di security testing
    • Analizzare diversi casi d'uso e applicare categorizzazioni per gli strumenti di security testing.
  • Selezione degli strumenti di security testing
  • Comprendere l'uso e i concetti degli strumenti di security testing dinamico.
  • Comprendere l'uso e i concetti degli strumenti di security testing statico.

Pubblico destinatario

Questa certificazione è ideale per i professionisti che desiderano rafforzare le proprie conoscenze sul security testing, migliorare la sicurezza del software e garantire la conformità agli standard del settore.

È particolarmente vantaggiosa per:

  • Software Testers & Test Engineers – che vogliono ampliare la loro esperienza nelle tecniche e metodologie di security testing.
  • Security Testers & Ethical Hackers – che necessitano di un approccio strutturato ai processi, agli standard e alle best practice del security testing.
  • Test Managers & QA Professionals – responsabili dell'integrazione del security testing nelle strategie di test e della garanzia della conformità alle politiche di sicurezza.
  • Software Developers & Architects – che vogliono comprendere le vulnerabilità di sicurezza, implementare pratiche di coding sicuro e collaborare con i tester di sicurezza.
  • DevOps & Security Engineers – che lavorano con pipeline CI/CD, testing di sicurezza automatizzato e mitigazione dei rischi.
  • IT Auditors & Compliance Officers –che necessitano di approfondimenti sul ruolo del security testing negli audit, nelle normative e nell'integrazione con l'ISMS.

Requisiti

  • Aver superato con successo l'esame di certificazione ISTQB® CTFL ed essere in possesso del certificato.
  • Un'esperienza iniziale nel campo della sicurezza è consigliata, ma non obbligatoria.

Scarica i syllabi per questo schema di certificazione oppure gli esami di prova

Vai alle risorse

The global exam price vary depending on the certification and your geographical location.

Prenota un esame di certificazione:

brightest private exams

Brightest Private Exams

Esami elettronici individuali amministrati da un esperto Pearson in tempo reale tramite webcam (ora disponibile anche per ISTQB).

brightest-center-exam

Brightest Center

Exam

In varie lingue presso uno dei 5200+ Test Center, registrarsi è facile tramite la pagina Brightest del sito web Pearson.

Iscriviti ora!
brightest green exam

Brightest Green

Exam

Esame elettronico per gruppi composti da un minimo di 6 persone, disponibile in sei lingue diverse in qualsiasi parte del mondo.

brightest paper exam

Brightest Paper

Exam

Esperienza classica dell'esame cartaceo per gruppi di almeno 6 partecipanti in sempre più lingue disponibili.

Contattaci