ISC2 CSSLP de 0 a Hero: Índice

Por: Artiko
csslpisc2seguridadsdlcappseccertificacion

ISC2 CSSLP de 0 a Hero

Curso completo de preparación para la certificación Certified Secure Software Lifecycle Professional (CSSLP) de ISC2, la credencial de referencia para profesionales que integran seguridad en todo el ciclo de vida del software: desde los requisitos hasta el retiro, pasando por diseño, implementación, pruebas, despliegue y cadena de suministro.

Basado en el exam outline vigente (refresh del 15 de septiembre de 2023), que incorpora cadena de suministro de software y riesgos de IA/LLM (data poisoning, OWASP Top 10 para LLMs, MLSecOps).


Sobre el examen

AspectoDetalle
EmisorISC2 (la misma organización que CISSP)
Formato125 preguntas de opción múltiple y tipos avanzados
Duración3 horas
Aprobación700/1000 puntos
Costo599 USD (EE.UU.)
Experiencia4 años en ≥1 dominio (3 con título relacionado) o Associate of ISC2
MantenimientoAMF 125 USD/año + 90 CPE cada 3 años
ReconocimientoANSI/ISO/IEC 17024, DoD 8570/8140.03 (IASAE I y II)

Los 8 dominios (pesos del examen)

#DominioPeso
1Secure Software Concepts12%
2Secure Software Lifecycle Management11%
3Secure Software Requirements13%
4Secure Software Architecture and Design15%
5Secure Software Implementation14%
6Secure Software Testing14%
7Secure Software Deployment, Operations, Maintenance11%
8Secure Software Supply Chain10%
flowchart LR
    A[Conceptos] --> B[Ciclo de vida]
    B --> C[Requisitos]
    C --> D[Arquitectura y diseño]
    D --> E[Implementación]
    E --> F[Testing]
    F --> G[Despliegue y operaciones]
    G --> H[Cadena de suministro]
    H -.transversal.-> C

Contenido del curso

Parte I — La certificación

  1. La certificación y el examen — qué es el CSSLP, a quién le sirve, requisitos, proceso de certificación, costos, mantenimiento y valor en el mercado

Parte II — Los 8 dominios

  1. Conceptos de software seguro (D1) — CIA, AAA, principios de diseño seguro, privacidad y gobernanza
  2. Gestión del ciclo de vida seguro (D2) — S-SDLC, metodologías, estándares, métricas, madurez (SAMM/BSIMM) y decomisionado
  3. Requisitos de software seguro (D3) — requisitos de seguridad, cumplimiento, clasificación de datos, privacidad, misuse/abuse cases y SRTM
  4. Modelado de amenazas (D4a) — STRIDE, PASTA, DREAD, attack surface, árboles de ataque y evaluación de riesgos de diseño
  5. Arquitectura y diseño seguros (D4b) — patrones de diseño seguro, criptografía aplicada, cloud, microservicios, IoT y arquitectura operacional
  6. Implementación segura I (D5a) — prácticas de codificación segura, OWASP Top 10, CWE Top 25, validación y manejo de errores
  7. Implementación segura II (D5b) — análisis de código (SAST/SCA), revisión de código, gestión de secretos, componentes de terceros y build seguro
  8. Testing de software seguro (D6) — estrategia de pruebas, DAST/IAST, fuzzing, pentesting, datos de prueba y gestión de defectos
  9. Despliegue, operaciones y mantenimiento (D7) — hardening, gestión de configuración, releases seguras, monitoreo, respuesta a incidentes, parches y continuidad
  10. Cadena de suministro de software (D8) — SCRM, SBOM, pedigree y provenance, análisis de terceros y requisitos contractuales

Parte III — IA y preparación final

  1. Seguridad de IA y LLMs — OWASP Top 10 para LLMs, data poisoning, MLSecOps y el SDLC seguro aplicado a sistemas de IA
  2. Estrategia de examen — la mentalidad ISC2, cómo leer las preguntas, plan de estudio y recursos
  3. Simulacro de examen — banco de preguntas estilo examen cubriendo los 8 dominios
  4. Respuestas explicadas — solucionario del simulacro con justificación de cada opción

¿Para quién es este curso?

Desarrolladores, ingenieros y arquitectos de software, DevSecOps, testers de QA, program managers y especialistas de AppSec. El CSSLP es una credencial de especialista de SDLC: valida que entiendes la seguridad en todo el ciclo de vida, no la remediación de vulnerabilidades a nivel de sintaxis (para eso existen GWEB u OSWE).