ISTQB CT-SEC

Descrizione

Descrizione

La certificazione ISTQB® CT - come Security Tester è indirizzata a quei professionisti del software che sono già in possesso di una certificazione  ISTQB® di livello 'Foundation' e desiderano approfondire la materia del software testing, più precisamente  per divenire Tester di Sicurezza.

La qualificazione come Security Tester  è rivolta a quelle persone che hanno già raggiunto una posizione ragguardevole nella loro carriera professionale in ambito software testing e ora desiderano accrescere la loro competenza nell'ambito del testing di sicurezza.

Risultati di business

I candidati che conseguono quello livello dimostrano di:

• Comprendere il ruolo della valutazione del rischio nel fornire informazioni per la pianificazione e la progettazione di test di sicurezza, accordando il testing della sicurezza con i bisogni del mercato.
• Identificare quali attività vadano protette, Il valore di ogni attività e i dati necessari per garantire il livello di sicurezza necessario ad ogni attività.

• Analizzare l'uso effettivo delle tecniche di valutazione del rischio in una determinata situazione al fine di individuare le minacce attuali e future per la sicurezza.
• Comprendere il concetto delle normative e delle procedure di sicurezza e di come vengano applicate ai sistemi d'informazione.
• Analizzare un determinato insieme di normative e procedure di sicurezza, insieme ai risulati dei test di sicurezza per determinare l'efficacia. 
• Comprendere lo scopo dell'audit di sicurezza.
• Comprendere perchè il testing di sicurezza sia necessario ad una organizzazione, e comporti benefici per quest'ultima, come per esempio, la riduzione del rischio e un alto livello di sicurezza e fiducia.
• Comprendere come le realtà di progetto, i vincoli commerciali, i cicli di vita dello sviluppo software e altri fattori influenzino la missione del Team di Tester di Sicurezza.
• Spiegare perché gli obiettivi del testing di sicurezza debbano essere conformi con l'organizzazione delle normative di sicurezza e con gli altri obiettivi stabiliti nella organizzazione.
• Per un determinato scenario di progetto, dimostrare la capacità di identificare obiettivi di test di sicurezza basati su funzionalità, attributi tecnologici e carenze già note.
• Comprendere il rapporrto tra assicurazione dell'informazione e testing di sicurezza.
• Dimostrare in un determinato progetto l'abilità di saper definire la relazione tra gli obiettivi del test di sicurezza e la necessità di forzare l'integrità dei beni digitali e fisici sensibili.
• Analizzare una determinata situazione, al fine di stabilire quale approccio di test di sicurezza abbia le maggiori chances di successo.
• Analizzare una situazione nella quale un determinato di test di sicurezza non va a buon fine, individuando le potenziali cause del fallimento.
• Dimostrare la capacità, in un determinato scenario, di individuare i vari interlocutori e mostrare i vantaggi del testing di sicurezza ad ogni interlocutore.
• Analizzare i KPIs (key performance indicators)  per identificare quali pratiche di sicurezza del testing necessitino miglioramento e quali no
• In un progetto determinato, dimostrare l'abilità di definire elementi per un processo effettivo di test di sicurezza.
• Analizzare un piano determinato di test di sicurezza, fornendo feedback sui punti forti e sulle debolezze dello stesso.
• Per un determinato progetto, implementare test di sicurezza concettuali (astratti), basati su un determinato approccio di test di sicurezza, insieme ai rischi di sicurezza funzionali e strutturali identificati.
• Implementare la casistica di test per validare la normativa di sicurezza e le sue procedure.
• Comprendere gli elementi chiave e le caratteristiche per creare un ambiente di effettiva sicurezza di test.
• Analizzare i risultati del test di sicurezza per determinare :
  • La natura  della vulnerabilità di sicurezza.
  • L'estensione della vulnerabilità della sicurezza.
  • L'impatto potenziale sulla vulnerabilità della sicurezza.
• Rimedio consigliato.
• Comprendere l'importanza del mantenimento dei determinati processi di sicurezza di testing, determinata dalla natura stessa in costante evoluzione della tecnologia e delle minacce.
• Spiegare perché la sicurezza venga raggiunta al meglio all'interno del ciclo di vita del processo.
• Implementare le attività in materia di sicurezza appropriate al determinato ciclo di vita del software (ad es. iterativo, sequenziale).
• Analizzare un determinato insieme di requisiti dal punto di vista della sicurezza per individuarne le carenze.
• Analizzare un determinato documento di progettazione dal punto di vista della sicurezza per individuarne le carenze.
• Comprendere il ruolo del testing della sicurezza durante il testing dei componenti.
• Implementare i test di sicurezza a livello di componente (astratti) data una specificazione di programmazione definita.  
• Analizzare i risultati di un test a livello di componente per determinare l'adeguatezza del codice di programmazione dal punto di vista della sicurezza.
• Comprendere il ruolo del testing di sicurezza durante il testing di integrazione della componente.
• Implementare test di sicurezza per l'integrazione dei componenti (abstract) in base a una specificazione di sistema definita.
• - Implementare uno scenario di test end-to-end per i test di sicurezza che verifichi uno o più requisiti di sicurezza dati e controlli un processo funzionale descritto.
• Dimostare l'abilità di definire un insieme di criteri di accettabilità per gli aspetti di sicurezza di un determinato test di sicurezza.
• Implementare un approccio di test di tipo ' end-to-end security retest/regression per uno scenario determinato.
• Comprendere il concetto dell'indurimento del sistema (system hardening) e Il suo ruolo nel potenziamento della sicurezza AS-5.1.2 (K3). Dimostreare come verificare l'effettivitá dei meccanismi comuni di indurimento.
• Comprendere la relazione tra autentificazione e autorizzazione e come queste vengano applicate nella messa in sicurezza dei sistemi informativi
• Dimostrare come verificare l'effettività dei meccanismi di autentificazione e autorizzazione comuni.
• Comprendere il concetto di crittografia e come questa venga applicata nella messa in sicurezza dei sistemi informativi
• Dimostare come verificare l'effettività dei più comuni meccanismi crittografici.
• Comprendere il concetto di 'firewalls' e dell'utilizzo di zone di rete, come queste vengano applicate nella messa in sicurezza dei sistemi informativi.
• Dimostrare come verificare l'efficacia dell'implementazione dei 'firewalls' esistenti e delle zone di rete.
• Comprendere il principio degli strumenti di rilevamento delle intrusioni e come vengono applicati nella messa in sicurezza dei sistemi informativi.
• Dimostrare come verificare l'efficacia delle Implementazioni esistenti di strumenti di rilevamento delle intrusioni.
• Comprendere il concetto degli strumenti di scansione 'malware' e come questi vengano applicati alla messa in sicurezza  dei sistemi informativi.
• Dimostrare come verificare l'effettività dei malware esistenti, scansionando le implementazioni degli strumenti.
• Comprendere il concetto degli Strumenti di Offuscamento Dati e come questi vengano apllicati alla messa in sicurezza dei sistemi informativi.
• Dimostrare come testare l'effettività degli approcci di offuscamento dati.
• Comprendere il concetto del training di sicurezza inteso come attività del ciclo di vita del software e del perchè questo sia così necessasrio nella messa in sicurezza dei sistemi informativi.
• Dimostrare come testare l'effettività del training di sicurezza.
• Spiegare come il comportamento umano possa condurre a dei rischi di sicurezza e come questo abbia un impatto sulla affettività del testing di sicurezza.
• In un determinato scenario, dimostrare l'abilità di individuare i modi in cui un aggressore potrebbe accedere a informazioni salienti riguardanti un determinato obiettivo e applicare misure di sicurezza per prottegerne l'ambiente.
• Spiegare le motivazioni comuni e le fonti per eseguire attachi al sistema Informatico (K4). Analizzare un esempio di aggressione (esecuzione dell'attacco e scoperta) e individuare le possibili fonti e motivazioni dell'attacco.
• Spiegare come la protezione della sicurezza possa essere compromessa dalla social engineering.
• Comprendere l'importanza della consapevolezza della sicurezza all'interno di tutta l'organizzazion.
• Prendendo determinati risultati di test, intervenire in maniera appropriata al fine di aumentare la consapevolezza della sicurezza.
• Comprendere il bisogno di rivedere le aspettative della sicurezza e i criteri di accettabilità, mn manoa che l'ambito e gli obiettivi di un progetto si evolvono.
• Comprendere l'importanza di  mantenere riservati e sicuri i risultati dei test di sicurezza.
• Comprendere la necessità di creare controlli adatti e meccanismi di raccolta dati per fornire i dati di origine per i rapporti sullo stato dei test di sicurezza in modo tempestivo, accurato e preciso (ad esempio, un quadro di controllo per la sicurezza).
• Analizzare  lo stato di un determinato test di sicurezza provvisorio per determinare Il livello di accuratezza, comprensibilità e l'appropraiatezza degli Interlocutori.
• Spiegare il ruolo degli strumenti di analisi statici e dinamici nel testing di sicurezza.
• Analizzare e documentare le necessità per Il testing di sicurezza di dover essere affronato con uno o più strumenti (K2). Compredere I problemi relativi agli strumenti open-source. 
• Comprendere la necessità di  valutare le capacità del fornitore di aggiornare gli strumenti frequentemente al fine di far fronte alle minacce di sicurezza correnti.