ISTQB Security Tester. Opinie.

ISTQB Security Tester. Opinie.
ISTQB Security Tester na rynku jest już od jakiegoś czasu. Postanowiliśmy przeanalizować jego zawartość i zapytać ekspertów od bezpieczeństwa, co o nim sądzą.
 

Zanim przejdziemy do oceny wartości merytorycznej, zapoznajmy się z zawartością samego sylabusa. Dokument składa się z dziewięciu rozdziałów, opisujących główne tematy bezpieczeństwa.

Rozdział 1 opisuje podstawy testów bezpieczeństwa, na które składa się rola oceny ryzyka, identyfikacja znaczących aktywów firmy, które mają być chronione oraz ocena poziomu bezpieczeństwa każdego z aktywów. Poruszony został również aspekt polityki i procedur bezpieczeństwa, a także rola audytu bezpieczeństwa w testach. Jest to szeroko pojęta teoria bezpieczeństwa.

Rozdział 2 to cele i strategie testów. Autorzy zwracają uwagę na to, że testy bezpieczeństwa mogą pomóc w identyfikacji zagrożeń i oceny skuteczności istniejących zabezpieczeń, lecz nie zagwarantują, że system lub organizacja będą bezpieczne przed atakiem. Cele testów powinny być zgodne z polityką bezpieczeństwa organizacji. Przeczytamy również o zakresie i pokryciu testów oraz o podejściach do testów. W tym rozdziale mamy do czynienia z wysokopoziomowym podejściem do aspektu bezpieczeństwa.

W rozdziale 3 został nakreślony całkowity przebieg testów bezpieczeństwa, rozpoczynający się od zdefiniowania elementów procesu testowego poprzez planowanie, projektowanie i wykonywanie testów. Rozdział kończy się tematem analizy wyników testów oraz aspektem utrzymania procesu testowego. Prezentowane podejście procesowe jest niespotykane w innych, popularnonaukowych opisach bezpieczeństwa.

Rozdział 4 to opis testowania bezpieczeństwa w kontekście całego cyklu życia oprogramowania. Tematy związane z zapewnieniem bezpieczeństwa aplikacji powinny być omawiane i wdrażane już w początkowych fazach cyklu życia oprogramowania i kontynuowane przez cały cykl. W rozdziale zostały wyszczególnione role testowania bezpieczeństwa w wymaganiach, projektowaniu, wdrożeniu, testach akceptacyjnych oraz utrzymaniu. Po raz kolejny podejście do tematu bezpieczeństwa ma charakter menedżerski.

Rozdział 5 jest najdłuższym pod względem rekomendowanego czasu potrzebnego do nauki (240 minut). Tematem przewodnim rozdziału są mechanizmy testów bezpieczeństwa. Pierwszy podpunkt mówi o systemie Hardening. Jest to proces zabezpieczania systemu polegający na ograniczeniu jego podatności na ataki. Zwykle składa się na to zmiana haseł domyślnych, identyfikacja niepotrzebnych usług i portów sieciowych, weryfikacja komponentów i bibliotek aplikacji pod kątem aktualności (czy nie są przestarzałe i podatne na atak). Ważnym elementem zabezpieczania systemu jest również autoryzacja i uwierzytelnianie wrażliwych zasobów organizacji. W sylabusie zostały również przedstawione mechanizmy szyfrowania, stosowania zapór sieciowych oraz narzędzi wykrywania intruzów i złośliwego oprogramowania (malware). Ostatnie tematy poruszone w rozdziale to maskowanie danych oraz przeprowadzanie szkoleń z bezpieczeństwa. Zwłaszcza ten ostatni temat warty jest uwagi, ponieważ, jak wiadomo, to ludzie są zwykle najsłabszym ogniwem w zapewnieniu bezpieczeństwa. Opisane tutaj zadania testerów mają niewiele wspólnego z testowaniem, a raczej z aspektem organizacyjnym bezpieczeństwa.

Czynnikowi ludzkiemu w testach bezpieczeństwa został poświęcony rozdział 6. Metody ataku to nie tylko wykorzystywanie błędów w kodzie, ale także socjotechniki. Warto więc zwiększać świadomość ludzi w tematach bezpieczeństwa.

Rozdział 7 zwraca uwagę na kwestię oceny testów oraz tworzenie raportu lub raportów z przeprowadzonych testów. Raport powinien być udostępniony uprawnionym osobom. Zaleca się wczesne raportowanie, ponieważ daje to więcej czasu na naprawianie luk w zabezpieczeniach. W rozdziale można zapoznać się ze strukturą raportu, czyli odpowiedzialnością menedżerską.

W rozdziale 8 przedstawiono rolę narzędzi w testach bezpieczeństwa. Narzędzia można podzielić na dynamiczne i statyczne. Testy statyczne mogą być wykonane we wczesnym etapie cyklu tworzenia oprogramowania, co jest niewątpliwie dużą zaletą. Należy jednak pamiętać, że najważniejsze jest użycie narzędzi przez testera.

Rozdział 9 to standardy i trendy występujące w dziedzinie bezpieczeństwa. W rozdziale położono nacisk na zagadnienia dotyczące zrozumienia korzyści ze stosowania standardów. Przedstawiono również przykłady, gdzie można śledzić trendy w dziedzinie bezpieczeństwa. Autorzy zwracają uwagę na to, że ciągły rozwój i zmiany zagrożeń wymagają od testerów bycia na bieżąco poprzez śledzenie trendów oraz stosowanie odpowiednich narzędzi.

Podsumowując sylabus przedstawia tematy, które tester musi poznać, aby dobrze przygotować się do egzaminu ISTQB Security Tester, ale ma to w naszej opinii niewielkie przełożenie na samo testowanie bezpieczeństwa. Oddajmy jednak głos ekspertom.

Pierwszy problem, jaki się pojawił przy próbie zebrania opinii to niechęć do jej wyrażenia. Jest to jednak usprawiedliwione tymi głosami, które ostatecznie udało nam się otrzymać. Są one podane "bez ogródek", zwykle krytykujące zarówno stronę merytoryczną, jak i biznesową. Zdecydowaliśmy się więc nie ujawniać nazwisk autorów. Możemy Was jednak zapewnić, że są to osoby, których publikacje mieliście zapewne okazję czytać lub których prezentacje mieliście okazję oglądać jeśli tylko interesujecie się bezpieczeństwem.

Opinia pierwsza: Jest to certyfikacja nakierowana bardziej na zarządzanie bezpieczeństwem w organizacji IT. Nie jest to co prawda jeszcze CISO (Chief Information Security Officer), ale skręca w tę stronę. Jest to materiał dla lidera testów bezpieczeństwa, który ma część odpowiedzialności w temacie bezpieczeństwa aplikacji albo infrastruktury. W podręczniku nie ma słowa o praktycznym testowaniu, jest za to sporo ogólnej wiedzy o bezpieczeństwie, obszarach, jakich dotyka, modelowaniu zagrożeń, ryzyku, procesie testowania w cyklu rozwoju oprogramowania, itd. Dużo jest definicji i pojęć do zapamiętania, nie ma natomiast nic np. o podatnościach aplikacji webowych i mobilnych.

Szkolenie z tego zakresu ma sens dla osób,:

  • które chcą posiąść/uporządkować ogólną wiedzę o bezpieczeństwie czy testowaniu bezpieczeństwa w organizacji IT,
  • zajmujących się bezpieczeństwem, ale we współpracy z zewnętrznymi firmami wykonującymi testy bezpieczeństwa,
  • które zarządzają już testami w organizacji.

Zwłaszcza ten trzeci punkt jest istotny. Widzimy coraz więcej firm, w których wewnętrzne testowanie bezpieczeństwa jest wykonywane nieskładnie i taka publikacja może im pomóc temat uporządkować. Dzięki temu będą mieć argumenty na realizację swoich działań oraz dowiedzą się, co będą musieli zlecić na zewnątrz.

Niewiele po tym egzaminie jest wiedzy praktycznej. Niewielkim wyjątkiem jest trochę wiedzy o tworzeniu wymagań, modelowaniu zagrożeń i bardzo ogólnym definiowaniu scenariuszy dla bezpieczeństwa.

Opinia druga: Pierwsze wrażenie nie jest dobre. Wygląda to trochę tak, jakby ktoś wrzucił dostępne sylabusy ze szkoleń dla managerów IT sec i dobrze je wymieszał. Głównym problemem jest to, że szkolenie i egzamin nazywa się "ISTQB Security Tester", a sylabus w żadnym stopniu nie pokrywa się z tytułem. Powinno się raczej nazywać "IT security management". Nie ma w nim zbyt dużo ani o testowaniu ani o problemach bezpieczeństwa oprogramowania. Zakładam przy tym, że ISTQB zajmuje się głownie oprogramowaniem, a nie infrastrukturą. Moja obawa polega na tym, że ci, którzy przyjdą na szkolenie będą dość mocno rozczarowani. Nie dlatego, że materiał jest zły, tylko dlatego, że jest nie na temat, a więc rozminie się z ich oczekiwaniami.

Można zauważyć, że certyfikat nie nawiązuje do części swoich celów biznesowych oraz celów nauczania.
 

Materiały omawiane w opiniach:

 

A jakie są Wasze opinie i przemyślenia o certyfikacji ISTQB dla testerów bezpieczeństwa?

 

[aktualizacja 10.07.2017]

Dalsze opinie na temat certyfikatu.

Z LinkedIN.
 

 

Z twittera.

 

7657

Powiązane szkolenia

05-06
czerwca
2023
Jarosław Hryszko
online
Praktyka testowania
1 750PLN
Testowanie aplikacji internetowych
12
Wolnych miejsc
Rezerwuj
06-07
marca
2023
Arnika Hryszko
online
Praktyka testowania
1 770PLN
Testowanie użyteczności
9
Wolnych miejsc
Rezerwuj
20-21
kwietnia
2023
Rafał Stańczak
online
Dobre praktyki testowania
1 700PLN
Testowanie w metodykach Agile
12
Wolnych miejsc
Rezerwuj
23-24
marca
2023
Krzysztof Kołodziejczyk
online
Praktyka testowania
1 770PLN
Testowanie aplikacji mobilnych - Android
9
Wolnych miejsc
Rezerwuj
12-13
czerwca
2023
Krzysztof Skarbiński
online
Automatyzacja testowania
1 800PLN
Testowanie REST API dla początkujących w języku python
10
Wolnych miejsc
Rezerwuj
27-28
lutego
2023
Krzysztof Kołodziejczyk
online
Języki programowania dla testerów
1 800PLN
JavaScript dla testerów oprogramowania
9
Wolnych miejsc
Rezerwuj
24-26
kwietnia
2023
Krzysztof Kołodziejczyk
online
Praktyka testowania
3 000PLN
Tester gier
11
Wolnych miejsc
Rezerwuj
13
marca
2023
-09
kwietnia
2023
Krzysztof Kołodziejczyk
online
Automatyzacja testowania
5 500PLN
Praktyka automatyzacji testowania
5
Wolnych miejsc
Rezerwuj

To powinno Cię zainteresować