ISTQB CT-STE

Descrição

Um Engenheiro Certificado em Testes de Segurança pelo ISTQB® pode:

• Compreender os paradigmas fundamentais de segurança e seu impacto nos testes de segurança.
• Aplicar técnicas apropriadas de teste de segurança, reconhecendo suas forças e limitações.
• Contribuir para o planejamento, o design e a execução de testes de segurança.
• Utilizar padrões e melhores práticas de teste de segurança de forma eficaz.
• Adaptar as atividades de teste de segurança ao contexto organizacional específico.
• Alinhar os testes de segurança com diferentes métodos de desenvolvimento e ciclos de vida de desenvolvimento de software.
• Integrar os resultados dos testes de segurança a um Sistema de Gestão de Segurança da Informação (SGSI) para uma gestão ativa de riscos.
• Coletar, avaliar e consolidar os resultados dos testes, produzindo um relatório detalhado com todas as descobertas e evidências.
• Identificar os requisitos de ferramentas para testes de segurança e auxiliar na seleção das ferramentas adequadas com base na abordagem necessária.

Capítulo 1: Parâdigmas de Segurança

• Níveis de Segurança dos Ativos
  • Explicar os diferentes níveis de segurança dos ativos e seus respectivos níveis de proteção.
  • Explicar a relação entre a sensibilidade da informação e os testes de segurança.
• Auditorias de Segurança
  • Descrever o papel dos testes de segurança no contexto das auditorias de segurança.
• O Conceito de Zero Trust
  • Explicar o conceito de Zero Trust.
  • Aplicar o conceito de Zero Trust nos testes de segurança.
• Software de Código Aberto
  • Exemplificar o conceito de reutilização de Software de Código Aberto (OSS) no desenvolvimento de software e seus impactos nos testes de segurança.

Capítulo 2: Técnicas de Teste de Segurança

• Aplicação dos tipos de teste de Segurança de acordo com o contexto do teste
  • Fornecer exemplos de tipos de teste de segurança nos contextos caixa-preta, caixa-cinza ou caixa-branca.
  • Fornecer exemplos de tipos de teste de segurança nos contextos de testes de segurança dinâmicos ou estáticos.
• Aplicação dos tipos de teste de segurança de ccordo com o contexto do projeto e técnico
  • Aplicar casos de teste de segurança com base em uma abordagem de teste de segurança definida, considerando riscos funcionais e estruturais identificados.
  • Descrever como realizar testes de recertificação e testes de reconciliação para identidades e permissões.
  • Descrever como testar o controle de identidade e gerenciamento de acesso.
  • Descrever como testar o controle de proteção de dados.
  • Descrever como testar tecnologias de proteção.

Capítulo 3: O Processo de Teste de Segurança

• O Processo de Teste de Segurança
  • Explicar as diferentes atividades, tarefas e responsabilidades dentro de um processo de teste de segurança.
  • Compreender os principais elementos e características de um ambiente de teste de segurança eficaz.
• Design de Testes de Segurança
  • Fornecer exemplos de testes de segurança baseados em um código-fonte em níveis de teste de componentes.
  • Fornecer exemplos de testes de segurança baseados em especificações de design no nível de integração de componentes.
  • Implementar um teste de segurança de ponta a ponta que valide um ou mais requisitos de segurança relacionados a um ou mais processos de negócios.

Capítulo 4: Padrões e Melhores Práticas

• Introdução a padrões e melhores práticas
  • Explicar diferentes fontes de padrões de teste e melhores práticas e sua aplicabilidade.
• Aplicação de padrões e melhores práticas em testes de segurança
  • Aplicar os conceitos de OWASP, CVE e CVSS e aprender como utilizá-los em testes de segurança.
• Aproveitando padrões e melhores práticas
  • Explicar os prós e contras dos oráculos de teste utilizados para testes de segurança.
  • Compreender os prós e contras do uso de melhores práticas e padrões de segurança.

Capítulo 5: Ajustando-se ao contexto organizacional

• O Impacto das estruturas organizacionais no contexto dos testes de segurança
  • Analisar um determinado contexto organizacional e determinar quais aspectos específicos considerar para os testes de segurança.
• O Impacto das regulamentações nas políticas de segurança e como testá-las
  • Analisar o impacto das regulamentações nas políticas de segurança e como testá-las.
• Análise de um cenário de ataque
  • Analisar um cenário de ataque (ataque realizado e descoberto) e identificar possíveis fontes e motivações do ataque.

Capítulo 6: Ajustando-se aos modelos de ciclo de vida do desenvolvimento de software

• Os efeitos dos diferentes modelos de ciclo de vida do desenvolvimento de software
  • Resumir por que as atividades de teste de segurança devem abranger o ciclo de vida do desenvolvimento de software.
  • Analisar como diferentes modelos de desenvolvimento de sistemas impactam as atividades de teste de segurança.
• Teste de segurança durante a manutenção
  • Definir e realizar testes de regressão de segurança e testes de confirmação com base em mudanças no sistema.
  • Analisar os resultados dos testes de segurança para determinar a natureza de uma vulnerabilidade de segurança e seu impacto técnico potencial.

Capítulo 7: Testes de segurança como parte de um Sistema de Gestão de Segurança da Informação (SGSI)

• Critérios de aceite para testes de segurança
  • Compreender os critérios de aceite dos testes de segurança e como eles influenciam a seleção de abordagens e técnicas de teste.
• Entrada para um Sistema de Gestão de Segurança da Informação (SGSI)
  • Compreender o papel dos testes de segurança para um sistema de gestão de segurança da informação eficaz.
• Melhoria de um SGSI por meio de Testes de Segurança Ajustados
  • Avaliar a maturidade do SGSI, trazendo diferentes abordagens de teste, novos objetos de teste ou melhor cobertura.
  • Compreender a mensurabilidade dentro de um SGSI.

Capítulo 8: Relatórios de Resultados dos Testes

• Relatórios de Teste de Segurança
  • Compreender a criticidade dos resultados dos testes de segurança e como isso afeta seu manuseio e comunicação.
• Identificação e Análise de Vulnerabilidades
  • Avaliar os resultados de um teste de segurança para identificar vulnerabilidades de segurança.
• Correção de Vulnerabilidades
  • Avaliar diferentes técnicas para corrigir vulnerabilidades identificadas.

Capítulo 9: Ferramentas de Teste de Segurança

• Categorização das ferramentas de teste de segurança
  • Analisar diferentes casos de uso e aplicar categorizações para ferramentas de teste de segurança.
• Seleção de Ferramentas de Teste de Segurança
• Compreender o uso e os conceitos das ferramentas de teste de segurança dinâmico.
• Compreender o uso e os conceitos das ferramentas de teste de segurança estático.