A certificação ISTQB® Certified Tester Security Test Engineer (CT-STE) é para quem quer profundidade em testes de segurança, atuando de forma mais técnica e especializada. Você aprende a analisar e mitigar vulnerabilidades por meio de abordagens avançadas de teste, conectando ameaças, controles e evidências para decisões de risco. O impacto na carreira é aumentar autoridade e empregabilidade em áreas onde segurança é requisito central.
Benefícios diretos: capacidade de executar testes mais sofisticados, apoiar conformidade e auditorias, melhorar a postura de segurança do produto e se diferenciar como especialista — um perfil cada vez mais buscado em ambientes corporativos e digitais.
Valores da Certificação
É esperado que a pessoa com esta certificação esteja apta a:
- Compreender os paradigmas fundamentais de segurança e seu impacto nos testes de segurança;
- Usar e aplicar técnicas apropriadas de teste de segurança e conhecer seus pontos fortes e limitações;
- Contribuir para o planejamento, a criação e a execução de testes de segurança;
- Compreender como os padrões e as práticas recomendadas de segurança podem ser utilizados para o teste de segurança;
- Ajustar e executar atividades de teste de segurança de acordo com o contexto específico da organização;
- Ajustar e executar atividades de teste de segurança de acordo com métodos de desenvolvimento e ciclos de vida de desenvolvimento de software específicos;
- Alimentar os resultados dos testes de segurança em um sistema de gerenciamento de segurança da informação (ISMS) para um gerenciamento ativo dos riscos de segurança;
- Coletar, avaliar e agregar os resultados dos testes, redigir um relatório de teste detalhado com todas as evidências e descobertas;
- Com base em uma abordagem de teste de segurança necessária, identificar os requisitos adequados para ferramentas e auxiliar na seleção de ferramentas de teste de segurança.
Glossário de Termos de TesteFicha do Exame
Pré-requisitos: certificação CTFL
Idioma: Português-BR
Número de questões: 40
Tipo de questões: múltipla escolha
Tempo de Exame*: 75 min (estrangeiros: +25%)
Pontuação: 43 pontos (1 a 2 pontos por questão pela complexidade)
Aprovação: mínimo de 28 pontos (65%)
Distribuição das questões e pontuações:
| Capítulo | Questões | Pontuação |
| 1 | 6 | 6 |
| 2 | 7 | 7 |
| 3 | 5 | 5 |
| 4 | 4 | 4 |
| 5 | 4 | 6 |
| 6 | 4 | 5 |
| 7 | 4 | 4 |
| 8 | 3 | 3 |
| 9 | 3 | 3 |
(*) Ao final da prova, o candidato terá 10 minutos para transferir suas respostas para o gabarito.
Objetivos de Aprendizagem (LO)
- Paradigmas de segurança:
- Níveis de segurança de ativos: STE-1.1.1 (K2) Explicar os diferentes níveis de segurança dos ativos e seu nível de proteção correspondente. STE-1.1.2 (K2) Explicar a relação entre a sensibilidade das informações e segurança.
- Auditorias de segurança: STE-1.2.1 (K2) Descrever a função dos testes de segurança no contexto das auditorias de segurança.
- O conceito de confiança zero: STE-1.3.1 (K2) Explicar o conceito de confiança zero. STE-1.3.2 (K3) Aplicar a confiança zero na segurança.
- Software de código aberto: STE-1.4.1 (K2) Exemplificar o conceito de reutilização de software de código aberto no desenvolvimento de software e seu impacto nos testes de segurança.
- Técnicas de teste de segurança:
- Aplicação de tipos de teste de segurança de acordo com um contexto de teste: STE-2.1.1 (K2) Exemplificar os tipos de teste de segurança de acordo com um contexto de segurança caixa preta, caixa-branca e caixa-cinza. STE-2.1.2 (K2) Exemplificar os tipos de testes de segurança de acordo com testes de segurança estáticos ou dinâmicos.
- Aplicação de tipos de teste de segurança de acordo com um projeto e um contexto técnico: STE-2.2.1 (K3) Aplicar casos de teste de segurança, com base em uma determinada abordagem de teste de segurança, juntamente com os riscos de segurança funcionais e estruturais identificados. STE-2.2.2 (K2) Descrever como testar a reconciliação e a recertificação de identidades e permissões. STE-2.2.3 (K2) Descrever como testar o controle do gerenciamento de identidade e acesso. STE-2.2.4 (K2) Descrever como testar o controle de proteção de dados. STE-2.2.5 (K2) Descrever como testar as tecnologias de proteção.
- O processo de teste de segurança:
- O processo de teste de segurança: STE-3.1.1 (K2) Explicar as diferentes atividades, tarefas e responsabilidades em um processo de teste de segurança. STE-3.1.2 (K2) Compreender os principais elementos e características de um ambiente de teste de segurança eficaz
- Criação de testes de segurança para níveis de teste: STE-3.2.1 (K2) Exemplificar os testes de segurança no nível de teste de componentes com base em uma determinada base de código. STE-3.2.2 (K2) Exemplificar os testes de segurança no nível de integração de componentes com base em uma determinada especificação de projeto. STE-3.2.3 (K3) Implementar um teste de segurança de ponta a ponta que valide um ou mais requisitos de segurança relacionados a um ou mais processos de negócio.
- Padrões e práticas recomendadas de teste de segurança:
- Introdução aos padrões e práticas recomendadas de segurança: STE-4.1.1 (K3) Explicar as diferentes fontes de padrões e melhores práticas e sua aplicabilidade.
- Aplicar padrões importantes e práticas recomendadas de segurança: STE-4.2.1 (K3) Aplicar o conceito do Open Web Application Security Project, Common Vulnerability Enumeration, Common Weakness Enumeration, Common Vulnerability Scoring System e Common Weakness Scoring System e como aproveitá-los para testes de segurança.
- Aproveitamento dos padrões e das práticas recomendadas de teste de segurança: STE-4.3.1 (K2) Explicar as vantagens e desvantagens dos oráculos de teste usados para testes de segurança. STE-4.3.2 (K3) Compreender as vantagens e desvantagens do uso dos melhores padrões e práticas de segurança.
- Ajustando o teste de segurança ao contexto organizacional:
- O impacto das estruturas organizacionais no contexto do teste de segurança: STE-5.1.1 (K3) Analisar um determinado contexto organizacional e determinar quais aspectos específicos devem ser considerados nos testes de segurança
- O impacto das regulamentações nas políticas de segurança e como testá-las: STE-5.2.1 (K3) Analisar o impacto das regulamentações sobre as políticas de segurança e como testá-las.
- Analisar um cenário de ataque: STE-5.3.1 (K4) Analisar um cenário de ataque e identificar possíveis fontes e motivações do ataque.
- Ajustando o teste de segurança aos modelos de ciclo de vida de desenvolvimento de software:
- Os efeitos de diferentes modelos de ciclo de vida de desenvolvimento de software no teste de segurança: STE-6.1.1 (K2) Resumir por que as atividades de teste de segurança devem abranger o ciclo de vida do desenvolvimento de software. STE-6.1.2 (K4) Analisar como as atividades de teste de segurança são afetadas por diferentes modelos de ciclo de vida de desenvolvimento de software.
- Teste de segurança durante a manutenção: STE-6.2.1 (K3) Definir e executar testes de regressão de segurança e testes de confirmação com base em uma alteração em um sistema . STE-6.2.2 (K2) Analisar os resultados dos testes de segurança para determinar a natureza de uma vulnerabilidade e seu possível impacto técnico.
- Teste de segurança como parte de um sistema de gerenciamento de segurança da informação:
- Critérios de aceite para testes de segurança: STE-7.1.1 (K2) Compreender os critérios de aceite dos testes de segurança e como eles influenciam a seleção de abordagens e técnicas de teste de segurança.
- Entrada para um sistema de gerenciamento de segurança da informação: STE-7.2.1 (K2) Compreender o papel dos testes de segurança para um sistema eficaz de gerenciamento de segurança da informação.
- Aprimoramento de um sistema de gerenciamento de segurança da informação por meio do ajuste dos testes de segurança: STE-7.3.1 (K3) Avaliar a maturidade do sistema de gerenciamento da segurança da informação, introduzindo diferentes abordagens de teste, novos objetos de teste ou cobertura aprimorada. STE-7.3.2 (K2) Compreender a mensurabilidade em um sistema de gestão de segurança da informação.
- Relatório dos resultados dos testes de segurança:
- Relatório de teste de segurança: STE-8.1.1 (K2) Compreender a importância dos resultados dos testes de segurança e como isso afeta seu manuseio e comunicação
- Identificação e análise: STE-8.2.1 (K3) Avaliar os resultados de um determinado teste de segurança para identificar vulnerabilidades
- Fechar vulnerabilidades: STE-8.3.1 (K3) Avaliar diferentes técnicas para eliminar as vulnerabilidades identificadas
- Ferramentas de teste de segurança:
- Categorização das ferramentas de teste de segurança: STE-9.1.1 (K3) Analisar diferentes casos de uso e aplicar categorizações para ferramentas de teste de segurança
- Seleção de teste de segurança: STE-9.2.1 (K2) Compreender o uso e os conceitos das ferramentas de teste de segurança dinâmica. STE-9.2.2 (K2) Compreender o uso e os conceitos das ferramentas de teste de segurança estática
