In questo corso di 5 giorni analizzeremo e discuteremo gli argomenti testati negli esami CISSP
Questo corso è rivolto a coloro che intendono conseguire la certificazione CISSP.
- Sicurezza e gestione del rischio
- Sicurezza patrimoniale
- Architettura e ingegneria della sicurezza
- Comunicazioni e sicurezza delle reti
- Gestione dell'identità e degli accessi
- Valutazione e test della sicurezza
- Operazioni di sicurezza
- Sicurezza dello sviluppo del software
Prima di seguire questo corso, lo studente dovrebbe avere le seguenti conoscenze acquisite svolgendo i seguenti ruoli:
• Responsabile delle informazioni Officer
• Responsabile della Sicurezza delle Informazioni Officer
• Direttore tecnico
• Responsabile/Responsabile della conformità
• Direttore della Sicurezza
• L'architetto dell'informazione
• Responsabile delle informazioni/Responsabile del rischio informativo o consulente
• Specialista/Direttore/Manager IT
• Amministratore di rete/sistema
• Amministratore della sicurezza
• Architetto della sicurezza/Analista della sicurezza
• Consulente per la sicurezza
• Manager della sicurezza
• Ingegnere dei sistemi di sicurezza/Ingegnere della sicurezza
Modulo 1: SICUREZZA E GESTIONE DEI RISCHI
Obiettivi formativi:
• Giustificare un codice etico organizzativo.
• Mettere in relazione la riservatezza, l'integrità, la disponibilità, il non ripudio, l'autenticità, la privacy e la sicurezza con la dovuta cura e due diligence.
• Mettere in relazione la governance della sicurezza delle informazioni con le strategie, gli scopi, le missioni e gli obiettivi aziendali dell'organizzazione.
• Applicare i concetti di criminalità informatica alle violazioni dei dati e ad altre compromissioni della sicurezza delle informazioni.
• Collegare i requisiti legali, contrattuali e normativi per la privacy e la protezione dei dati agli obiettivi di sicurezza delle informazioni.
• Collegare le questioni legate al movimento transfrontaliero dei dati e all'import-export con la protezione dei dati, la privacy e la protezione della proprietà intellettuale.
Modulo 2: SICUREZZA DEL PATRIMONIO INFORMATIVO
Obiettivi formativi:
• Collegare i modelli di gestione delle risorse IT e del ciclo di vita della sicurezza dei dati alla sicurezza delle informazioni.
• Spiegare l'uso della classificazione e categorizzazione delle informazioni, come due processi separati ma correlati.
• Descrivere i diversi stati dei dati e le relative considerazioni sulla sicurezza delle informazioni.
• Descrivere i diversi ruoli coinvolti nell'uso delle informazioni e le considerazioni sulla sicurezza per questi ruoli.
• Descrivere i diversi tipi e categorie di controlli sulla sicurezza delle informazioni e il loro utilizzo.
• Selezionare gli standard di sicurezza dei dati per soddisfare i requisiti di conformità dell'organizzazione.
Modulo 3: GESTIONE DELL'IDENTITÀ E DEGLI ACCESSI (IAM)
Obiettivi formativi:
• Spiegare il ciclo di vita dell'identità così come si applica agli utenti umani e non umani.
• Confrontare e contrapporre modelli, meccanismi e concetti di controllo degli accessi.
• Spiegare il ruolo dell'autenticazione, dell'autorizzazione e della contabilità nel raggiungimento degli scopi e degli obiettivi di sicurezza delle informazioni.
• Spiegare come le implementazioni IAM devono proteggere le risorse fisiche e logiche.
• Descrivere il ruolo delle credenziali e dell'archivio identità nei sistemi IAM.
Modulo 4: ARCHITETTURA E INGEGNERIA DELLA SICUREZZA
Obiettivi formativi:
• Descrivere i principali componenti degli standard di ingegneria della sicurezza.
• Spiegare i principali modelli architettonici per la sicurezza delle informazioni.
• Spiegare le funzionalità di sicurezza implementate nell'hardware e nel firmware.
• Applicare i principi di sicurezza alle diverse architetture dei sistemi informativi e ai loro ambienti.
• Determinare la migliore applicazione degli approcci crittografici per risolvere le esigenze di sicurezza delle informazioni dell'organizzazione.
• Gestire l'uso di certificati e firme digitali per soddisfare le esigenze di sicurezza delle informazioni dell'organizzazione.
• Scoprire le implicazioni del mancato utilizzo di tecniche crittografiche per proteggere la catena di fornitura.
• Applicare diverse soluzioni di gestione crittografica per soddisfare le esigenze di sicurezza delle informazioni dell'organizzazione.
• Verificare che le soluzioni crittografiche funzionino e affrontino la minaccia in evoluzione del mondo reale.
• Descrivere le difese contro i comuni attacchi crittografici.
• Sviluppare una lista di controllo di gestione per determinare lo stato crittografico di integrità e preparazione dell'organizzazione.
Modulo 5: COMUNICAZIONE E SICUREZZA DELLA RETE
Obiettivi formativi:
• Descrivere le caratteristiche dell'architettura, le tecnologie rilevanti, i protocolli e le considerazioni sulla sicurezza di ciascuno dei livelli del modello OSI.
• Spiegare l'applicazione di pratiche di progettazione sicura nello sviluppo dell'infrastruttura di rete.
• Descrivere l'evoluzione dei metodi per proteggere i protocolli di comunicazione IP.
• Spiegare le implicazioni sulla sicurezza degli ambienti di rete collegati (cavo e fibra) e non collegati (wireless).
• Descrivere l'evoluzione e le implicazioni sulla sicurezza dei principali dispositivi di rete.
• Valutare e contrastare i problemi di sicurezza delle comunicazioni vocali nelle infrastrutture tradizionali e VoIP.
• Descrivere e confrontare le considerazioni sulla sicurezza per le principali tecnologie di accesso remoto.
• Spiegare le implicazioni sulla sicurezza delle reti definite dal software (SDN) e delle tecnologie di virtualizzazione della rete.
Modulo 6: SICUREZZA DELLO SVILUPPO SOFTWARE
Obiettivi formativi:
• Riconoscere i numerosi elementi software che possono mettere a rischio la sicurezza dei sistemi informativi.
• Identificare e illustrare le principali cause delle debolezze della sicurezza nel codice sorgente.
• Illustrate le principali cause di debolezza della sicurezza in database e sistemi di data warehouse.
• Spiegare l'applicabilità del framework OWASP a varie architetture web.
• Selezionare strategie di mitigazione del malware adeguate alle esigenze di sicurezza delle informazioni dell'organizzazione.
• Confrontare i modi in cui le diverse metodologie, framework e linee guida di sviluppo software contribuiscono alla sicurezza dei sistemi.
• Spiegare l'implementazione dei controlli di sicurezza per gli ecosistemi di sviluppo software.
• Scegliere un mix appropriato di test di sicurezza, valutazione, controlli e metodi di gestione per diversi sistemi e ambienti applicativi
Modulo 7: VALUTAZIONE E TEST DELLA SICUREZZA
Obiettivi formativi:
• Descrivere lo scopo, il processo e gli obiettivi della valutazione e dei test di sicurezza formali e informali.
• Applicare l'etica professionale e organizzativa alla valutazione e ai test della sicurezza.
• Spiegare la valutazione e i test interni, esterni e di terze parti.
• Spiegare le questioni di gestione e governance relative alla pianificazione e alla conduzione delle valutazioni della sicurezza.
• Spiegare il ruolo della valutazione nel processo decisionale sulla sicurezza basato sui dati.
Modulo 8: OPERAZIONI DI SICUREZZA
Obiettivi formativi:
• Mostrare come raccogliere e valutare in modo efficiente ed efficace i dati sulla sicurezza.
• Spiegare i vantaggi in termini di sicurezza derivanti da una gestione e un controllo efficaci delle modifiche.
• Sviluppare politiche e piani di risposta agli incidenti.
• Collegare la risposta agli incidenti alle esigenze di controlli di sicurezza e al loro utilizzo operativo.
• Collegare i controlli di sicurezza al miglioramento e al raggiungimento della necessaria disponibilità delle risorse e dei sistemi informativi.
• Comprendere le ramificazioni in materia di sicurezza e protezione di varie strutture, sistemi e caratteristiche dell'infrastruttura.
I candidati devono avere un minimo di 5 anni di esperienza lavorativa retribuita cumulativa a tempo pieno in 2 o più delle 8 aree del CISSP CBK. Il conseguimento di una laurea quadriennale o equivalente regionale o di credenziali aggiuntive dall'elenco approvato (ISC)² soddisferà 4 anno di esperienza richiesta. Il credito formativo soddisferà solo 1 anno di esperienza.
Un candidato che non ha l'esperienza per diventare un CISSP può diventare un associato di (ISC)² superando con successo l'esame CISSP. L'Associato (ISC)² avrà quindi 6 anni per acquisire i 5 anni di esperienza richiesti.
Accreditamento
CISSP è stato il primo accreditamento sulla sicurezza delle informazioni a soddisfare i severi requisiti dello standard ANSI/ISO/IEC 17024.
Informazioni sull'esame CISSP CAT
Durata dell'esame: 3 ore
Numero di domande: 100 – 150
Formato delle domande: domande a scelta multipla e domande innovative avanzate
Voto minimo: 700 punti su 1000
Disponibilità lingua d'esame: inglese
Centro test: (ISC)2 Centri test PPC e PVTC autorizzati Seleziona Pearson VUE
Campo di addestramento CISSP
