En este momento estás viendo ¡Tenemos nuevo examen de certificación! ISTQB CT-STE

¡Tenemos nuevo examen de certificación! ISTQB CT-STE

  • Autor de la entrada:
  • Categoría de la entrada:Seguridad

Desde la página de Brightest en LinkedIn podrás acceder a toda la información y por supuesto desde mi parte, como Embajador de Brightest, también puedo ayudarte .

Podrás descarga el temario y modelo de examen a través de la página web de ISTQB ó a través de la página de recursos de Brightest.

A partir de este mes comenzaré a publicar síntesis del contenido del programa de estudios que vaya estudiando ya que para este año tengo el objetivo de rendir el examen y obtener una nueva certificación.

Si en tu área entienden la importancia que tiene esta práctica actualmente, y si tienes un equipo de testers que necesiten adquirir este conocimiento puedes ponerte en contacto con Emilie Potin-Suau quien podrá ayudarte y acompañarte en todo el proceso administrativo.

Visión General

La certificación ISTQB® Certified Tester Security Test Engineer (CT-SEC) se centra en cómo se deben realizar las pruebas de seguridad, presentando metodologías, estándares, técnicas, procesos y herramientas de seguridad. A medida que los ciberataques crecen en frecuencia y sofisticación, un enfoque sólido centrado en la ingeniería para probar la seguridad es más crítico que nunca. Si las pruebas de seguridad no se ajustan a los niveles de riesgo específicos de un sistema informático, las vulnerabilidades pueden explotarse, posiblemente durante la producción, con consecuencias devastadoras. La certificación CT-STE pretende cubrir este tipo de situaciones y/o escenarios, garantizando que los profesionales que se ocupan de desarrollar software puedan crear de forma proactiva la máxima transparencia sobre la exposición efectiva a los riesgos de seguridad para proteger los sistemas frente a las amenazas emergentes.

Audiencia

El Ingeniero de Pruebas de Seguridad Certified Tester está dirigido a cualquier persona involucrada en las pruebas de sistemas basados en TI para la seguridad. Esto incluye a las personas en funciones tales como testers, analistas de pruebas, administradores de pruebas, e incluso los desarrolladores de software, ya que todo el mundo en un equipo debe preocuparse por la seguridad. Esta certificación también es adecuada para cualquier persona que desee una comprensión básica de la ejecución de actividades de pruebas de seguridad, tales como gerentes ó líderes de proyectos, líderes técnicos de calidad, líderes técnicos de desarrollo de software, analistas de negocio, miembros del equipo de operaciones, directores de TI y consultores de gestión.

Contenido del Programa de Estudios

Estructura del examen

  • Nº de preguntas: 40
  • Puntuación mínima: 28
  • Puntos totales: 43
  • Duración del examen (min): 75 (+25% Lengua no materna)

Resultados de Negocio

El candidato que ha logrado la certificación Certified Tester Security Test Engineer debe ser capaz de:

  • Entender los paradigmas fundamentales de seguridad, y su impacto en las pruebas de seguridad.
  • Utilizar y aplicar técnicas apropiadas de pruebas de seguridad y conocer sus fortalezas y limitaciones.
  • Contribuir a la planificación, diseño y ejecución de pruebas de seguridad.
  • Entender cómo los estándares de pruebas de seguridad y las mejores prácticas de seguridad pueden ser utilizados para las pruebas de seguridad.
  • Ajustar y realizar actividades de pruebas de seguridad de acuerdo con el contexto específico de la organización.
  • Ajustar y realizar actividades de pruebas de seguridad de acuerdo con métodos específicos de desarrollo y ciclos de vida de desarrollo de software.
  • Alimentar los resultados de las pruebas de seguridad en un sistema de gestión de seguridad de la información (SGSI) para una gestión activa de los riesgos de seguridad.
  • Recoger, evaluar y agregar los resultados de las pruebas, redactar un informe detallado de las pruebas con todas las pruebas y conclusiones.
  • Basándose en un enfoque de pruebas de seguridad necesario, identificar los requisitos adecuados para las herramientas y ayudar en la selección de herramientas de pruebas de seguridad.

CAPÍTULOS

  • Capítulo 1: Paradigmas de seguridad
    • Niveles de seguridad de los activos
      • Explicar los diferentes niveles de seguridad de los activos y su correspondiente nivel de protección.
      • Explicar la relación entre la sensibilidad de la información y las pruebas de seguridad.
    • Auditorías de seguridad
      • Describir el papel de las pruebas de seguridad en el contexto de las auditorías de seguridad.
    • El concepto de confianza cero
      • Explicar el concepto de confianza cero.
      • Aplicar el concepto de confianza cero en las pruebas de seguridad.
    • Software de código abierto
      • Ejemplificar el concepto de reutilización del software de código abierto (OSS) en el desarrollo de software y sus repercusiones en las pruebas de seguridad.
  • Capítulo 2: Técnicas de pruebas de seguridad
    • Aplicar tipos de pruebas de seguridad según un contexto de pruebas
      • Dar ejemplos de tipos de pruebas de seguridad según el contexto de seguridad de caja negra, caja gris o caja blanca.
      • Dar ejemplos de tipos de pruebas de seguridad según pruebas de seguridad dinámicas o pruebas de seguridad estáticas.
    • Aplicar tipos de pruebas de seguridad según un proyecto y un contexto técnico
      • Aplicar casos de pruebas de seguridad, basados en un enfoque de pruebas de seguridad determinado, junto con los riesgos de seguridad funcionales y estructurales identificados.
      • Describir cómo realizar pruebas de recertificación y pruebas de reconciliación de identidades y permisos.
      • Describir cómo realizar pruebas de control de gestión de identidades y accesos.
      • Describir cómo realizar pruebas de control de protección de datos.
      • Describir cómo realizar pruebas de tecnología de protección.
  • Capítulo 3: El proceso de prueba de seguridad
    • El proceso de prueba de seguridad
      • Explicar las diferentes actividades, tareas y responsabilidades dentro de un proceso de prueba de seguridad.
      • Comprender los elementos clave y las características de un entorno de prueba de seguridad eficaz.
    • Diseñar pruebas de seguridad
      • Dar ejemplos de pruebas de seguridad basadas en una base de código dada en los niveles de prueba de componentes.
      • Dar ejemplos de pruebas de seguridad basadas en especificaciones de diseño en el nivel de integración de componentes.
      • Implementar una prueba de seguridad de extremo a extremo que valide uno o más requisitos de seguridad relacionados con uno o más procesos de negocio.
  • Capítulo 4: Estándares y mejores prácticas
    • Introducción a los estándares y las mejores prácticas
      • Explicar las diferentes fuentes de estándares y mejores prácticas de pruebas y su aplicabilidad.
    • Aplicar los estándares y las mejores prácticas necesarios para las pruebas de seguridad
      • Aplicar los conceptos de OWASP, CVE y CVSS y aprender a aprovecharlos para las pruebas de seguridad.
    • Aprovechar los estándares y las mejores prácticas
      • Explicar los pros y los contras de los oráculos de pruebas utilizados para las pruebas de seguridad.
      • Comprender los pros y los contras del uso de estándares y mejores prácticas de seguridad.
  • Capítulo 5: Adaptación al contexto organizativo
    • El impacto de las estructuras organizativas en el contexto de las pruebas de seguridad
      • Analizar un contexto organizativo dado y determinar qué aspectos específicos deben tenerse en cuenta para las pruebas de seguridad.
    • El impacto de las normativas en las políticas de seguridad y cómo probarlas
      • Analizar el impacto de las normativas en las políticas de seguridad y cómo probarlas
    • Analizar un escenario de ataque
      • Analizar un escenario de ataque (ataque realizado y descubierto) e identificar las posibles fuentes y motivaciones del ataque.
  • Capítulo 6: Adaptación a los modelos de ciclo de vida de desarrollo de software
    • Efectos de los diferentes modelos de ciclo de vida de desarrollo de software
      • Resuma por qué las actividades de pruebas de seguridad deben abarcar el ciclo de vida de desarrollo de software.
      • Analice cómo los diferentes modelos de desarrollo de sistemas afectan a las actividades de pruebas de seguridad.
    • Pruebas de seguridad durante el mantenimiento
      • Defina y realice pruebas de regresión de seguridad y pruebas de confirmación basadas en el cambio de un sistema.
      • Analice los resultados de las pruebas de seguridad para determinar la naturaleza de una vulnerabilidad de seguridad y su posible impacto técnico.
  • Capítulo 7: Pruebas de Seguridad como Parte de un Sistema de Gestión de Seguridad de la Información
    • Criterios de Aceptación para Pruebas de Seguridad
      • Entender los criterios de aceptación de pruebas de seguridad y cómo influyen en la selección de enfoques de pruebas de seguridad y técnicas de prueba.
    • Aportes para un Sistema de Gestión de Seguridad de la Información
      • Entender el papel de las pruebas de seguridad para un sistema de gestión de seguridad de la información eficaz.
    • Mejora de un SGSI mediante Pruebas de Seguridad Ajustadas
      • Evaluar la madurez de un SGSI mediante la introducción de diferentes enfoques de prueba, nuevos objetos de prueba, o una cobertura mejorada.
      • Entender la mensurabilidad dentro de un SGSI.
  • Capítulo 8: Notificación de los resultados de las pruebas
    • Notificación de las pruebas de seguridad
      • Comprender el carácter crítico de los resultados de las pruebas de seguridad y cómo esto afecta a su manejo y comunicación.
    • Identificar y analizar vulnerabilidades
      • Evaluar los resultados de una prueba de seguridad determinada para identificar vulnerabilidades de seguridad.
    • Cerrar vulnerabilidades
      • Evaluar diferentes técnicas para cerrar las vulnerabilidades identificadas.
  • Capítulo 9: Herramientas de pruebas de seguridad
    • Categorización de las herramientas de pruebas de seguridad
      • Analizar diferentes casos de uso y aplicar categorizaciones para las herramientas de pruebas de seguridad.
    • Selección de herramientas de pruebas de seguridad
    • Comprender el uso y los conceptos de las herramientas de pruebas de seguridad dinámicas.
    • Comprender el uso y los conceptos de las herramientas de pruebas de seguridad estáticas.

Punto para reflexionar: ¿Podré aplicar determinados frameworks y/o prompts (IAGen) para ayudarme durante el estudio del programa? ¿Podré desarrollar prompts para aplicarlos a determinadas prácticas que se vayan proponiendo en el programa? ¿Podré desarrollar toda una estructura de prompts que sirvan para las diversas instancias en el proceso del testing de seguridad? Trabajaré en ello durante este año y la síntesis la iré compartiendo. Gracias por seguirme.

Fuentes de inspiración: Las páginas oficiales de ISTQB CT-SET y Brightest.

Gus Terrera

Apasionado por el agile testing y la ia.