ISC2 CSSLP de 0 a Hero: Índice
ISC2 CSSLP de 0 a Hero
Curso completo de preparación para la certificación Certified Secure Software Lifecycle Professional (CSSLP) de ISC2, la credencial de referencia para profesionales que integran seguridad en todo el ciclo de vida del software: desde los requisitos hasta el retiro, pasando por diseño, implementación, pruebas, despliegue y cadena de suministro.
Basado en el exam outline vigente (refresh del 15 de septiembre de 2023), que incorpora cadena de suministro de software y riesgos de IA/LLM (data poisoning, OWASP Top 10 para LLMs, MLSecOps).
Sobre el examen
| Aspecto | Detalle |
|---|---|
| Emisor | ISC2 (la misma organización que CISSP) |
| Formato | 125 preguntas de opción múltiple y tipos avanzados |
| Duración | 3 horas |
| Aprobación | 700/1000 puntos |
| Costo | 599 USD (EE.UU.) |
| Experiencia | 4 años en ≥1 dominio (3 con título relacionado) o Associate of ISC2 |
| Mantenimiento | AMF 125 USD/año + 90 CPE cada 3 años |
| Reconocimiento | ANSI/ISO/IEC 17024, DoD 8570/8140.03 (IASAE I y II) |
Los 8 dominios (pesos del examen)
| # | Dominio | Peso |
|---|---|---|
| 1 | Secure Software Concepts | 12% |
| 2 | Secure Software Lifecycle Management | 11% |
| 3 | Secure Software Requirements | 13% |
| 4 | Secure Software Architecture and Design | 15% |
| 5 | Secure Software Implementation | 14% |
| 6 | Secure Software Testing | 14% |
| 7 | Secure Software Deployment, Operations, Maintenance | 11% |
| 8 | Secure Software Supply Chain | 10% |
flowchart LR
A[Conceptos] --> B[Ciclo de vida]
B --> C[Requisitos]
C --> D[Arquitectura y diseño]
D --> E[Implementación]
E --> F[Testing]
F --> G[Despliegue y operaciones]
G --> H[Cadena de suministro]
H -.transversal.-> C
Contenido del curso
Parte I — La certificación
- La certificación y el examen — qué es el CSSLP, a quién le sirve, requisitos, proceso de certificación, costos, mantenimiento y valor en el mercado
Parte II — Los 8 dominios
- Conceptos de software seguro (D1) — CIA, AAA, principios de diseño seguro, privacidad y gobernanza
- Gestión del ciclo de vida seguro (D2) — S-SDLC, metodologías, estándares, métricas, madurez (SAMM/BSIMM) y decomisionado
- Requisitos de software seguro (D3) — requisitos de seguridad, cumplimiento, clasificación de datos, privacidad, misuse/abuse cases y SRTM
- Modelado de amenazas (D4a) — STRIDE, PASTA, DREAD, attack surface, árboles de ataque y evaluación de riesgos de diseño
- Arquitectura y diseño seguros (D4b) — patrones de diseño seguro, criptografía aplicada, cloud, microservicios, IoT y arquitectura operacional
- Implementación segura I (D5a) — prácticas de codificación segura, OWASP Top 10, CWE Top 25, validación y manejo de errores
- Implementación segura II (D5b) — análisis de código (SAST/SCA), revisión de código, gestión de secretos, componentes de terceros y build seguro
- Testing de software seguro (D6) — estrategia de pruebas, DAST/IAST, fuzzing, pentesting, datos de prueba y gestión de defectos
- Despliegue, operaciones y mantenimiento (D7) — hardening, gestión de configuración, releases seguras, monitoreo, respuesta a incidentes, parches y continuidad
- Cadena de suministro de software (D8) — SCRM, SBOM, pedigree y provenance, análisis de terceros y requisitos contractuales
Parte III — IA y preparación final
- Seguridad de IA y LLMs — OWASP Top 10 para LLMs, data poisoning, MLSecOps y el SDLC seguro aplicado a sistemas de IA
- Estrategia de examen — la mentalidad ISC2, cómo leer las preguntas, plan de estudio y recursos
- Simulacro de examen — banco de preguntas estilo examen cubriendo los 8 dominios
- Respuestas explicadas — solucionario del simulacro con justificación de cada opción
¿Para quién es este curso?
Desarrolladores, ingenieros y arquitectos de software, DevSecOps, testers de QA, program managers y especialistas de AppSec. El CSSLP es una credencial de especialista de SDLC: valida que entiendes la seguridad en todo el ciclo de vida, no la remediación de vulnerabilidades a nivel de sintaxis (para eso existen GWEB u OSWE).