insights sobre o csslp

Assuma a liderança para garantir o SDLC
A certificação Certified Secure Software Lifecycle Professional (CSSLP®) é a única no setor criada
para garantir que a segurança seja levada em conta em todo o ciclo de vida de desenvolvimento
do software. Do conceito e planejamento a operações e manutenção e, finalmente, à eliminação, ela
estabelece padrões e práticas recomendadas do setor para a integração de segurança em cada fase.
Sigilo, integridade, disponibilidade, autenticação, autorização e auditoria – os princípios básicos da
segurança – devem se tornar requisitos no ciclo de vida do software. Sem este nível de compromisso, as
informações estão em risco. Incorporar desde cedo a segurança e mantê-la durante todas as fases do ciclo
de vida do software é, comprovadamente, 30 a 100 vezes mais barato e incalculavelmente mais eficiente do
que a metodologia de lançar e corrigir, usada com frequência atualmente.
POR QUE SE TORNAR UM CSSLP
Benefícios do CSSLP para você
• Ser visto como líder em segurança de software
• Superar vulnerabilidades de aplicativos, oferecendo mais valor
para o seu empregador
• Demonstrar um conhecimento funcional sobre segurança
de aplicativos
• Oferecer um diferencial na carreira, com maior credibilidade
e capacidade de negociação, em escala mundial
• Conceder-lhe benefícios exclusivos como membro do (ISC)2®,
incluindo recursos muito úteis como rede de pares e troca de
ideias
Benefícios do CSSLP para o seu empregador
• Romper com a abordagem de teste de invadir e corrigir
• Reduzir o custo de produção, vulnerabilidades e atrasos
nas entregas
• Melhorar a credibilidade da sua organização e sua
equipe de desenvolvimento
• Reduzir perda de receita e reputação devido à violação
resultante de software inseguro
• Garantir a conformidade com regulamentos do governo ou do setor
INSIGHTS
SOBRE O CSSLP
“Ter engenheiros e desenvolvedores com
experiência prática com os domínios do
CSSLP é fundamental para o sucesso da
sua organização.” Richard Tychansky, CSSLP
Estados Unidos
“A necessidade de software seguro é crítica
para a proteção de empresas e consumidores.
Uma principal solução é garantir que os
profissionais de desenvolvimento de software
sejam plenamente versados em conceitos
e práticas recomendadas para software
seguro. Isto é o que torna o CSSLP tão valioso,
e o credenciamento ANSI valida ainda mais
seu valor para informações e organizações.”
Glenn Leifheit, CISSP, CSSLP
Arquiteto-Chefe de Segurança Microsoft – Estados Unidos
“Com a chegada de novos ataques cibernéticos de grande repercussão e furto de dados em grande
escala por meio de aplicativos de software, que todos parecem incapazes de solucionar, a necessidade de
garantir um elevado nível de qualidade baseada em segurança em nosso desenvolvimento de aplicativo
de software é iminente. Hoje, os hackers sabem que temos firewalls, etc., de modo que o foco dos seus
ataques voltou-se para o vulnerável HTML/HTTP, não para o IP de rede. [Precisamos urgentemente
agilizar nossas equipes de segurança, e especialmente nossas equipes de desenvolvimento e qualidade
de software, para que entendam e, assim, combatam esta nova e perigosa ameaça... O CSSLP do
(ISC)2 é a melhor resposta, atualmente.]”
Anthony Lim, CSSLP
Diretor de segurança da IBM para a Ásia-Pacífico - Cingapura
1
QUEM DEVE SE TORNAR UM CSSLP
O CSSLP® é para todas as partes interessadas no ciclo de vida do software
com pelo menos quatro anos de experiência profissional.
Os candidatos ao CSSLP devem possuir um mínimo de quatro anos de experiência profissional
no ciclo de vida de desenvolvimento de software (SDLC) em um ou mais dos sete domínios do
CBK® de CSSLP® da (ISC)2® ou três anos de experiência profissional recente com um diploma
universitário relevante em uma disciplina de TI.
PARTICIPE PARA OBTER EXPERIÊNCIA
Associado do (ISC)2 para CSSLP
Não é preciso passar anos na área para demonstrar sua competência em segurança da informação.
Associe-se ao (ISC)2 e você fará parte de uma organização de renome e credibilidade, conquistando
reconhecimento de empregadores e colegas pelo conhecimento do setor que já adquiriu.
Exigências para a participação
O status de associado do (ISC)2 está disponível para aqueles com conhecimento em áreas-chave de conceitos do setor,
mas que não possuem experiência profissional. Como candidato, você pode prestar o exame para CSSLP e adotar
o Código de Ética do (ISC)2, mas para obter a credencial como CSSLP, terá de conquistar os anos necessários de
experiência profissional exigidos, apresentar provas e ser endossado por um membro do (ISC)2 com afiliação válida.
Se estiver tentando obter esta credencial, você tem um máximo de cinco anos a partir da data de aprovação no
exame para adquirir os cinco anos necessários de experiência profissional. A taxa de manutenção anual (AMF) de
US$35 será cobrada, e 15 créditos de Educação Profissional Continuada (CPE) devem ser conquistados a cada ano,
para manter o status de associado.
Para mais informações para se tornar um associado do (ISC)2, visite www.isc2.org/associate.
2
O CBK DO CSSLP
O CBK® do CSSLP® contém a maior e mais abrangente coleção
de práticas recomendadas, políticas e procedimentos para garantir
uma iniciativa de segurança em todas as fases do desenvolvimento
do aplicativo, independentemente da metodologia.
O Programa de Educação abrangente de CBK para CSSLP do (ISC)2 cobre
os seguintes domínios:
• Conceitos de software seguro – implicações e metodologias de segurança em ambientes
centralizados e descentralizados em todo o desenvolvimento de software nos sistemas
de informática da empresa.
• Confidencialidade, integridade, disponibilidade
• Arquitetura de software
• Autenticação, autorização e auditoria
• Padrões
• Princípios do design de segurança
• Modelos de segurança
• Gerenciamento de riscos
• Computação confiável
• Regulamentos, privacidade, conformidade
• Aquisição
• Requisitos de software seguro – captura de controles de segurança usados durante a fase de
requisitos para integrar a segurança no processo, identificar objetivos-chave de segurança e maximizar
a segurança do software, minimizando ao mesmo tempo a interrupção de planos e cronogramas.
• Decomposição da política
• Identificação e coleta
• Design de software seguro – traduzir requisitos de segurança em elementos de design do aplicativo, incluindo
documentação dos elementos das superfícies de ataque ao software, condução de
modelagem de ameaças e definição de todos os critérios específicos de segurança.
• Processos de design
• Tecnologias
• Considerações de design
• Revisão técnica de design e arquitetura
• Arquitetura
• Implementação/codificação de software seguro – envolve a aplicação de codificação e padrões
de teste, aplicação de ferramentas de teste seguras, incluindo “fuzzing”, ferramentas
de varredura de código de análise estática e condução de revisões do código.
• Vulnerabilidades e precauções comuns de software
• Práticas de codificação defensiva
• Gerenciamento de exceções
• Gerenciamento de configurações
• Análise de código
• Codificação de interface
• Testes de software seguro – teste integrado de controle
de qualidade para funcionalidade da segurança e resiliência a ataques.
• Teste para garantia de qualidade da segurança
• Padrões para garantia de qualidade de software
• Tipos de teste
• Teste de regressão
• Avaliação do impacto e ação corretiva
• Aceitação do software – implicações para a segurança na fase de aceitação do software, incluindo critérios
de conclusão, aceitação e documentação de riscos, critérios comuns e métodos de testes independentes.
• Pré-lançamento ou pré-implantação
• Pós-lançamento
• Implantação do software, manutenção de operações e descarte – problemas de segurança
envolvendo operações de estado estacionário e gerenciamento de software. Medidas
de segurança que devem ser adotadas quando um produto chega ao fim de sua vida.
• Instalação e implantação
• Políticas de fim de vida
• Operações e manutenção
Baixe uma cópia do Boletim de Informações para o Candidato a CSSLP em www.isc2.org/cib.
3
EDUCAÇÃO À SUA MANEIRA
O Programa oficial de Instrução de CBK® para CSSLP® do (ISC)2®
O Programa oficial de instrução é seu modo exclusivo de aprender sobre práticas recomendadas
e padrões no setor para segurança durante o ciclo de vida do software – informações críticas para
o CSSLP. Com este programa, você ganhará conhecimentos e aprenderá como a segurança deve
ser integrada em cada fase do ciclo de vida do software. Ele também detalha medidas de segurança
essenciais que devem ocorrer, começando com a fase de requisitos, passando pela especificação
e design do software, teste do software e, finalmente, seu descarte.
Este programa intensivo fornece uma divisão detalhada dos domínios do CSSLP, enquanto
identifica áreas-chave para estudo, incluindo:
•Material 100% atualizado
•Contribuições de CSSLPs, instrutores autorizados do (ISC)2 e especialistas no assunto
•Uma visão geral do escopo de segurança
O Programa oficial de Instrução para CBK do CSSLP é oferecido nos
seguintes formatos:
“Por muitos anos, a segurança foi considerada um aspecto secundário. É difícil mudar
velhos hábitos. Este curso foi muito útil
para tentar mudar velhos hábitos, ao revisar
o SDLC para que entendêssemos onde
e como é possível oferecer segurança.” David Lindberg, CISSP
Blue Cross Blue Shield de Minnesota
• Realizado em sala de aula, com duração de vários dias. O material do
curso concentra-se em cobrir os sete domínios do CSSLP. Disponível em todo o
mundo, em instalações do (ISC)2 e em parceiros de educação autorizados do (ISC)2.
• Privado, no local - realize seu próprio seminário de CBK para CSSLP dentro ou fora
da sua empresa. Disponível para grupos maiores, esta opção geralmente poupa tempo
e despesas de viagem para funcionários. Preços para grupos também estão disponíveis
para organizações com 15 ou mais funcionários que planejam prestar o exame.
• Live Online - Obtenha sua instrução recorrendo à conveniência do seu
computador. O Live OnLine lhe traz o mesmo conteúdo do premiado curso
oferecido em sala de aula ou em seminários privados no local de trabalho
e o benefício de um instrutor autorizado do (ISC)2.
Visite www.isc2.org/csslpedu para mais informações ou para se inscrever.
“O curso para o CSSLP foi muito
abrangente. Mesmo depois de mais
de 20 anos no desenvolvimento de
aplicativos e gerenciamento de projetos,
o material cobriu muitos tópicos onde as
novas estratégias podem ser aplicadas,
para ajudar minha organização a
alcançar níveis superiores de maturidade
em segurança de aplicativos, protegendo
assim nossos ativos e nossa reputação.” Susan Croely
Spectra Energy
PARCEIROS PARA INSTRUÇÃO
Os Seminários Oficiais de Revisão de CBK do (ISC)2 estão disponíveis em todo
o mundo, em instalações do (ISC)2 e em parceiros de educação autorizados do (ISC)2.
Seminários oficiais de revisão do CBK do (ISC)2 são conduzidos apenas por instrutores
autorizados do (ISC)2, especialistas em suas áreas e com comprovada maestria nos
domínios cobertos.
Tenha cuidado com cursos de treinamento não autorizados pelo (ISC)2. Certifiquese de que a instituição de ensino traz o logotipo “(ISC)2 Authorized Provider”, para
garantir que terá os melhores e mais atualizados programas disponíveis.
Vencedor do Prêmio da SC Magazine 2011 – Melhor Programa de Formação
Profissional, Educação para o (ISC)2
4
FERRAMENTAS DE ESTUDO
Boletim de Informações para
o Candidato - gratuito
Seu principal recurso de estudos para se tornar um
CSSLP®. O CIB (Boletim de Informações para o Candidato)
contém um roteiro do exame, que apresenta tópicos
e subtópicos importantes dentro dos domínios, uma lista de
materiais de referência para estudo adicional, informações sobre
o exame e políticas e instruções para o registro/administração.
www.isc2.org/cib
Guia oficial do (ISC)2® para o CBK® do CSSLP
Escrito por Mano Paul, Consultor de Software Seguro do (ISC)2, ele
fornece uma análise profunda sobre o CBK do CSSLP. Com numerosas
ilustrações, ele facilita o entendimento e a implementação de conceitos
complexos de segurança. www.isc2.org/store
Autoavaliação studISCope
Secure Software Concepts
Tenha a experiência mais completa possível do exame de certificação
para CSSLP antes de realmente prestá-lo.
Cada studISCope de
100 questões é exatamente igual ao exame real, e identifica os
domínios que precisam ser mais estudados.
Você ainda receberá um
plano de estudo personalizado. www.isc2.org/studiscope
Visualizações do Domínio do CBK – Canal de webcast gratuito
Visualize uma série de breves webcasts que fornecem uma visão geral
detalhada de cada domínio do CSSLP, o valor da certificação e como estudar
para o exame. www.isc2.org/previews
5
LISTA DE VERIFICAÇÃO PARA A CERTIFICAÇÃO
Obter a experiência necessária - Comprove que você possui no mínimo quatro anos de experiência profissional no ciclo
de vida de desenvolvimento de software (SDLC) em um ou mais dos sete domínios do CBK® de CSSLP® do (ISC)2® ou três anos
de experiência profissional recente com um diploma universitário relevante em uma disciplina de TI. Se você não tiver a experiência
exigida, ainda pode prestar o exame e se tornar um associado do (ISC)2 até adquirir a experiência necessária.
Estude para o exame - Utilize essas ferramentas didáticas opcionais para aprender sobre o CBK do CSSLP.
• Visite www.isc2.org/certification-register-now para marcar
uma data para o exame
• Envie a taxa de pagamento do exame
Seja aprovado no exame - Passe no exame para CSSLP com
uma pontuação em uma escala de 700 pontos ou mais. Leia as
perguntas mais frequentes da pontuação no Exame
em www.isc2.org/exam-scoring-faqs.
Conclua o processo de endosso (endorsement)- Ao ser
avisado de que passou no exame, você terá nove meses a partir da
data em que prestou o exame para concluir o seguinte processo de
endosso:
• Preencha um Formulário de Endosso de Inscrição
• Adote o Código de Ética do (ISC)2
• Peça para um membro do (ISC)2 endossar seu formulário
A credencial pode ser concedida após a conclusão das etapas
acima e após o envio do seu formulário. * Obtenha as diretrizes
e formulário em www.isc2.org/endorsement.
Mantenha sua certificação - A recertificação é exigida a cada
três anos, com requisitos contínuos para manter suas credenciais
válidas. Isto é feito basicamente ganhando 90 créditos em Educação
Profissional Continuada (CPE) a cada três anos, com a obtenção de no
mínimo 15 CPEs a cada ano após a certificação. Se os requisitos de CPE
não forem cumpridos, os CSSLPs precisam prestar novamente o exame
para manterem a certificação. Os CSSLPs também devem pagar a taxa
de manutenção anual (AMF) de US$100.
GRATUITO:
Série de Liderança em Segurança
Iniciativas do setor
Verificação da certificação
Programa do Capítulo
Oportunidades de recepções/formação
de rede de contatos do (ISC)2
Programa Global de Recompensas do (ISC)2
Fórum on-line
e-Symposium
ThinkTANK
Estudo global da força de trabalho em
segurança da informação
Revista InfoSecurity Professional
SecurityTalk
Oportunidades de voluntariado para o Safe and
Secure Online
Ferramentas de carreira
InterSeC
Grupos de Mídia Social de Elite
COM DESCONTO:
Conferências do setor
O (ISC)2 Journal
Mantenha a certificação com CPEs e AMF requeridos
Para mais informações sobre o CSSLP, visite www.isc2.org/brcsslprs
*Aviso sobre auditorias – Candidatos aprovados passarão por seleção aleatória e serão submetidos à auditoria pelo (ISC)2, antes da emissão de qualquer
certificado. Múltiplas certificações poderão resultar em várias auditorias no mesmo candidato.
O (ISC)2 é a maior entidade de afiliação sem fins lucrativos de profissionais credenciados em segurança da informação
do mundo, com mais de 80.000 membros em mais de 135 países. Com reconhecimento global como Padrão da
Indústria, o (ISC)2 emite o Certified Information Systems Security Professional (CISSP)® e concentrações relacionadas,
assim como credenciais de Certified Secure Software Lifecycle Professional (CSSLP®), Certified Authorization Professional
(CAP®) e Systems Security Certified Practitioner (SSCP®) para candidatos qualificados. As credenciais do (ISC)2 foram
uma das primeiras credenciais em segurança da informação a atender aos rígidos requisitos da Norma ISO/IEC 17024,
um padrão global para avaliação e credenciamento de pessoal. O (ISC)2 também oferece programas de formação
e serviços baseados em seu CBK, um compêndio de tópicos em segurança da informação. Informações adicionais estão
disponíveis em www.isc2.org.
6
© 2012 International Information Systems Security Certification Consortium, Inc. Todos os direitos reservados.
Inscreva-se para o exame
BENEFÍCIOS AOS MEMBROS
Isto inclui:
• Boletim de Informações para o Candidato
• Webcasts de visualização do domínio do CBK
• Livro oficial
• Autoavaliação studISCope
• Programa oficial de instrução
CSS.1
(03/12)