Descrição
A certificação ISTQB® CT - Security Tester certification destina-se a profissionais de software que já possuem o certificado ISTQB® Foundation e que buscam uma compreensão mais profunda dos testes de software para se tornarem um Security Tester.
A qualificação Security Tester destina-se a pessoas que já alcançaram um ponto avançado em suas carreiras em testes de software e desejam desenvolver ainda mais seus conhecimentos em testes de automação.
Capítulo 1: A base do Teste de Segurança
Capítulo 2: Objetivos, Metas e Estratégias do teste de segurança
Capítulo 3: Processos de Teste de Segurança
Capítulo 4: Teste de Segurança em todo o Ciclo de Vida do Software
Capítulo 5: Teste de Mecanismos de Segurança
Capítulo 6: Fatores humanos em Testes de Segurança
Capítulo 7: Avaliação e Relatórios de Testes de Segurança
Capítulo 8: Ferramentas de Teste de Segurança
Capítulo 9: Normas e Tendências do setor
Resultados de negócios
A aprovação nesse nível demonstra que os candidatos podem:
- Entenda a função da avaliação de riscos no fornecimento de informações para o planejamento e o projeto de testes de segurança e no alinhamento dos testes de segurança com as necessidades do negócio.
- Identificar os ativos significativos a serem protegidos, o valor de cada ativo e os dados necessários para avaliar o nível de segurança necessário para cada ativo.
- Analisar o uso eficaz de técnicas de avaliação de risco em uma determinada situação para identificar ameaças de segurança atuais e futuras.
- Compreender o conceito de políticas e procedimentos de segurança e como eles são aplicados nos sistemas de informação.
- Analisar um determinado conjunto de políticas e procedimentos de segurança, juntamente com os resultados dos testes de segurança, para determinar a eficácia.
- Compreender a finalidade de uma auditoria de segurança.
- Entender por que os testes de segurança são necessários em uma organização, incluindo os benefícios para a organização, como a redução de riscos e níveis mais altos de confiança e segurança.
- Entender como as realidades do projeto, as restrições comerciais, o ciclo de vida do desenvolvimento de software e outras considerações afetam a missão da equipe de testes de segurança.
- Explique por que as metas e os objetivos dos testes de segurança devem estar alinhados à política de segurança da organização e a outros objetivos de teste da organização.
- Em um determinado cenário de projeto, demonstrar a capacidade de identificar objetivos de teste de segurança com base na funcionalidade, nos atributos da tecnologia e nas vulnerabilidades conhecidas.
- Compreender a relação entre garantia de informações e testes de segurança.
- Em um determinado projeto, demonstre a capacidade de definir a relação entre os objetivos dos testes de segurança e a necessidade de reforçar a integridade de ativos digitais e físicos confidenciais.
- Analisar uma determinada situação e determinar quais abordagens de teste de segurança têm maior probabilidade de sucesso.
- Analisar uma situação em que uma determinada abordagem de teste de segurança falhou, identificando as causas prováveis da falha.
- Em um determinado cenário, demonstrar a capacidade de identificar as várias partes interessadas e ilustrar os benefícios dos testes de segurança para cada grupo de partes interessadas.
- Analisar KPIs (indicadores-chave de desempenho) para identificar práticas de testes de segurança que precisam ser aprimoradas e elementos que não precisam ser aprimorados.
- Para um determinado projeto, demonstrar a capacidade de definir os elementos de um processo de teste de segurança eficaz.
- Analisar um determinado plano de teste de segurança, fornecendo feedback sobre os pontos fortes e fracos do plano.
- Para um determinado projeto, implementar testes de segurança conceituais (abstratos), com base em uma determinada abordagem de teste de segurança, juntamente com os riscos de segurança funcionais e estruturais identificados.
- Implementar casos de teste para validar políticas e procedimentos de segurança.
- Compreender os principais elementos e características de um ambiente de teste de segurança eficaz.
- Compreender a importância de planejar e obter aprovações antes de realizar qualquer teste de segurança.
- Analise os resultados dos testes de segurança para determinar o seguinte:
- Natureza da vulnerabilidade de segurança/li>
- Extensão da vulnerabilidade de segurança
- Impacto potencial da vulnerabilidade de segurança
- Sugestão de correção
- Compreender a importância de manter os processos de teste de segurança, dada a natureza evolutiva da tecnologia e das ameaças.
- Explicar por que a segurança é melhor obtida em um processo de ciclo de vida.
- Implementar as atividades apropriadas relacionadas à segurança para um determinado ciclo de vida do software (por exemplo, iterativo, sequencial).
- Analisar um determinado conjunto de requisitos sob a perspectiva da segurança para identificar deficiências.
- Analisar um determinado documento de projeto do ponto de vista da segurança para identificar deficiências.
- Compreender a função dos testes de segurança durante os testes de componentes.
- Implementar testes de segurança em nível de componente (abstrato) com base em uma especificação de codificação definida.
- Analisar os resultados de um determinado teste em nível de componente para determinar a adequação do código sob a perspectiva da segurança.
- Compreender a função dos testes de segurança durante os testes de integração de componentes.
- Implementar testes de segurança de integração de componentes (resumo) com base em uma especificação de sistema definida.
- Implementar um cenário de teste de ponta a ponta para testes de segurança que verifique um ou mais requisitos de segurança e teste um processo funcional descrito.
- Demonstrar a capacidade de definir um conjunto de critérios de aceitação para os aspectos de segurança de um determinado teste de aceitação.
- Implementar uma abordagem de teste de regressão/reteste de segurança de ponta a ponta com base em um determinado cenário.
- Compreender o conceito de fortalecimento do sistema e sua função no aumento da segurança AS-5.1.2 (K3) Demonstrar como testar a eficácia dos mecanismos comuns de fortalecimento do sistema.
- Compreender a relação entre autenticação e autorização e como elas são aplicadas na proteção dos sistemas de informação.
- Demonstrar como testar a eficácia dos mecanismos comuns de autenticação e autorização.
- Compreender o conceito de criptografia e como ele é aplicado na proteção de sistemas de informação.
- Demonstrar como testar a eficácia dos mecanismos comuns de criptografia.
- Compreender o conceito de firewalls e o uso de zonas de rede e como eles são aplicados na proteção de sistemas de informação.
- Demonstrar como testar a eficácia das implementações de firewall e das zonas de rede existentes.
- Compreender o conceito de ferramentas de detecção de intrusão e como elas são aplicadas na proteção dos sistemas de informação.
- Demonstrar como testar a eficácia das implementações de ferramentas de detecção de intrusão existentes.
- Compreender o conceito de ferramentas de verificação de malware e como elas são aplicadas na proteção de sistemas de informação.
- Demonstrar como testar a eficácia das implementações de ferramentas de escaneamento de malware existentes.
- Compreender o conceito de ferramentas de ofuscação de dados e como elas são aplicadas na proteção de sistemas de informação.
- Demonstrar como testar a eficácia das abordagens de ofuscação de dados.
- Compreender o conceito de treinamento de segurança como uma atividade do ciclo de vida do software e por que ele é necessário para proteger os sistemas de informação.
- Demonstrar como testar a eficácia do treinamento de segurança.
- Explicar como o comportamento humano pode levar a riscos de segurança e como isso afeta a eficácia dos testes de segurança.
- Em um determinado cenário, demonstrar a capacidade de identificar maneiras pelas quais um invasor poderia descobrir informações importantes sobre um alvo e aplicar medidas para proteger o ambiente.
- Explicar as motivações e fontes comuns para a realização de ataques a sistemas de computador (K4) Analisar um cenário de ataque (ataque realizado e descoberto) e identificar possíveis fontes e motivações para o ataque.
- Explicar como as defesas de segurança podem ser comprometidas pela engenharia social.
- Compreender a importância da conscientização sobre segurança em toda a organização.
- Com base em determinados resultados de testes, aplicar as ações apropriadas para aumentar a conscientização sobre a segurança.
- Compreender a necessidade de revisar as expectativas de segurança e os critérios de aceitação à medida que o escopo e as metas de um projeto evoluem.
- Compreender a importância de manter os resultados dos testes de segurança confidenciais e seguros.
- Compreender a necessidade de criar controles adequados e mecanismos de coleta de dados para fornecer os dados de origem para os relatórios de status dos testes de segurança de forma oportuna, precisa e exata (por exemplo, um painel de testes de segurança).
- Analisar um determinado relatório provisório de status de teste de segurança para determinar o nível de precisão, compreensibilidade e adequação das partes interessadas.
- Explicar a função das ferramentas de análise estática e dinâmica nos testes de segurança.
- Analisar e documentar as necessidades de teste de segurança a serem atendidas por uma ou mais ferramentas (K2) Compreender os problemas com ferramentas de código aberto.
- Compreender a necessidade de avaliar os recursos do fornecedor para atualizar as ferramentas com frequência, a fim de manter-se atualizado com as ameaças à segurança.
- Compreender a importância de manter os resultados dos testes de segurança confidenciais e seguros.
- Compreender a necessidade de criar controles adequados e mecanismos de coleta de dados para fornecer os dados de origem para os relatórios de status dos testes de segurança de forma oportuna, precisa e exata (por exemplo, um painel de testes de segurança).
- Analisar um determinado relatório provisório de status de teste de segurança para determinar o nível de precisão, compreensibilidade e adequação das partes interessadas.
- Explicar a função das ferramentas de análise estática e dinâmica nos testes de segurança.
- Analisar e documentar as necessidades de testes de segurança a serem atendidas por uma ou mais ferramentas (K2).
- Compreender a necessidade de avaliar os recursos do fornecedor para atualizar as ferramentas com frequência para se manter atualizado com as ameaças à segurança.