Cómo aprobar el examen CISSP (certificación de seguridad de la información)

¿Qué es el CISSP?

Es la certificación Certified Information Systems Security Professional. Por lo general, es la certificación más amplia y reconocida dentro de la seguridad de la información. Esencialmente tiene una pulgada de profundidad y una milla de ancho, una ENORME cantidad de información agrupada en 8 dominios:

  • Dominio 1. Seguridad y gestión de riesgos (15%)
  • Dominio 2. Seguridad de los activos (10%)
  • Dominio 3. Arquitectura e ingeniería de seguridad (13%)
  • Dominio 4. Comunicación y seguridad de la red (14%)
  • Dominio 5. Gestión de identidades y accesos (IAM) (13%)
  • Dominio 6. Evaluación y pruebas de seguridad (12%)
  • Dominio 7. Operaciones de seguridad (13%)
  • Dominio 8. Seguridad del desarrollo de software (10%)

Si solo va a obtener una certificación de seguridad de la información, esta es la indicada. Es, con mucho, el más aceptado y reconocido.

¿Deberías conseguirlo?

....tal vez. Depende de lo que quieras. En general, las certificaciones son útiles para las personas de nivel de entrada que buscan entrar en la puerta o comprender el léxico y el marco con el que la gente habla sobre seguridad.

También pueden ser útiles para que su currículum pase una evaluación inicial, se vean impresionantes para los futuros empleadores y potencialmente agreguen credibilidad a su experiencia (¡incluso mejor si no tiene mucha experiencia!).

No significa que sea un experto en 'ciberseguridad' y la mayoría de la gente no lo verá así. Esta certificación en particular está dirigida más a los gerentes que a las personas que practican el teclado. Esta prueba no le enseñará cómo operar como analista práctico del SOC (centro de operaciones de seguridad) del teclado. Pero le dará algo de exposición a una amplia lista de conceptos básicos.

¿Interesado en leer más sobre certificaciones? Mira estas publicaciones.

Hablemos de detalles.

Para obtener la certificación, necesita al menos 5 años de experiencia laboral en dos o más de los dominios. Puede sustituir un título universitario de cuatro años o ciertas certificaciones de ISC2 por un año de experiencia laboral (detalles aquí).

Si no tiene los años requeridos de experiencia laboral, aún puede tomar el examen y convertirse en asociado de ISC2. Luego tiene 6 años para obtener los 5 años de experiencia laboral requeridos.

La versión en inglés de la prueba es un examen de 'prueba adaptativa por computadora', lo que significa que puede recibir de 100 a 150 preguntas durante la prueba según su desempeño. La prueba de prueba adaptativa por computadora (CAT) significa que la prueba ajusta automáticamente las preguntas en función de su desempeño.

Entonces, por ejemplo, si obtiene una pregunta incorrecta, la computadora le dará una pregunta un poco más fácil. Si responde bien una pregunta, la siguiente probablemente será más difícil. La computadora continuará dándole preguntas hasta que pueda evaluar con seguridad su nivel de conocimiento y finalizar la prueba. Por lo tanto, este tipo de prueba requiere menos preguntas para evaluar con seguridad su nivel de conocimiento.

La versión que no está en inglés es fija y tiene 250 preguntas. Obtienes un máximo de 3 horas para la prueba de inglés (y 6 horas para la versión que no está en inglés).

La prueba está disponible en inglés, francés, alemán, portugués de Brasil, español, japonés, chino simplificado, coreano y deficientes visuales. El examen lo ofrece Pearson VUE y lo administran sus supervisores.

El costo es de $ 699 y necesita 700/1000 para aprobar el examen. Puede registrarse para el examen en el sitio web de Pearson VUE aquí.

Después de aprobar el examen, tiene 9 meses para completar el 'proceso de aprobación' (a menos que esté solicitando un 'asociado de ISC2) que implica obtener a alguien que sea un profesional certificado por ISC2 permanente y puede dar fe de su experiencia profesional) para certificar que sus afirmaciones de experiencia profesional son verdaderas.

Si no conoce a alguien que se ajuste a esta categoría, puede pedirle a ISC2 que actúe como su "patrocinador". Entonces, su certificación es válida de por vida, siempre que pague una tarifa de mantenimiento anual (actualmente establecida en $ 125 para los titulares de certificados y $ 50 para los asociados) y complete los créditos de educación profesional continua (CPE) requeridos.

Los titulares de la certificación CISSP deben presentar 120 créditos, mientras que los asociados deben presentar 15 cada año.

Puede obtener créditos CPE para una variedad de actividades, como tomar un curso académico (1 hora de instrucción en un dominio = 1 CPE, hasta 40), leer un libro (5 CPE por libro, con una descripción de 250 palabras), revista (5 CPE por número de revista, con una descripción de 250 palabras), o documento técnico (1 CPE con una descripción de 250 palabras), o asistir a eventos y seminarios web de ISC ^ 2.

Puede encontrar más detalles sobre el proceso de CPE aquí.

Cual fue mi experiencia?

La prueba me tomó unos 80 minutos y pasé por 100 preguntas antes de aprobar.  

Para prepararme, hice lo siguiente durante un período de aproximadamente 2 años o más. Estudiaría durante una semana más o menos, luego me olvidaría de eso durante unos meses y luego volvería a hacerlo cuando tuviera tiempo.

Probablemente solo estudié intensamente durante aproximadamente un mes (lo que significa que pasaba un par de horas estudiando de lunes a viernes y más cerca de 6 horas los fines de semana). Tampoco sabía casi nada (y no tenía título ni experiencia) cuando comencé a estudiar. Inicialmente comencé a estudiar con la esperanza de que me ayudara a darme un marco para comprender la seguridad corporativa, lo cual sucedió (aunque no estoy seguro de que fuera la mejor opción para eso).

Si tiene varios años de experiencia trabajando en seguridad de la información, probablemente podría leer el libro de la undécima hora un par de semanas antes del examen, repasar temas desconocidos, probar algunas preguntas de práctica y realizar el examen. Califiqué los recursos que utilicé entre 10 según su utilidad en la preparación.

  1. Lea la Guía de estudio oficial de ISC2 (sí, toda la información. Probablemente no haga eso. Definitivamente es más información de la que realmente necesita saber).
  2. Videos de Kelly Handerhan (vi los viejos, luego, cuando publicó contenido actualizado, vi los nuevos. Son sólidos, aunque no son tan profundos como puede ser el examen).
  3. Guía CISSP de 11 horas (como tres veces). 8/10
  4. IT Dojo Daily CISSP Question Videos (los vi todos. Algunos de ellos más de una vez. El tipo que dirige la serie tiene una gran manera de explicar conceptos complicados, pero no creo que las preguntas reflejen las preguntas del examen .) 6/10
  5. Hice un millón (probablemente alrededor de 1000) tarjetas didácticas cada vez que me equivocaba en una pregunta o me encontraba con conceptos difíciles. Los estudié. Hice más (cada vez que me encontraba con algo que no sabía). Los estudié de nuevo. 10/10
  6. Usé el libro de Shon Harris para investigar temas específicos que no entendía. Y preguntó a otras personas, buscó en Google los temas, leyó blogs, vio videos de YouTube, etc. 9/10
  7. Vi este video, este video y este video sobre la prueba de la mentalidad. Varias veces. 10/10
  8. Respondió todas las preguntas de práctica en el libro de prueba de práctica ISC2 (dos veces, el mismo enlace que la guía de estudio). Las preguntas eran buenas, pero no reflejaban necesariamente el aspecto de las preguntas del examen. 7/10
  9. Tomó todas las Q de práctica de Boson. Los volví a tomar y leí todas las explicaciones. Estos fueron el recurso más útil. Las explicaciones fueron geniales, aunque las preguntas fueron más técnicas que el examen. 10/10

Ninguna de las preguntas de práctica era una representación perfecta de la prueba, pero Boson parecía la más cercana.

El mejor consejo que recibí antes de tomarlo fue mirar las respuestas, y si alguna de las respuestas me decía que hiciera algo (sacar un sistema de la red, cambiar una contraseña, realizar un bloqueo de cuenta, etc.), omitirlo en favor de una respuesta que implique documentar, instruir a otra persona, etc.

Entrar en la mentalidad 'CISSP' es clave para pasar la prueba. Imagine, para cada pregunta, que está dirigiendo el equipo de seguridad mientras maneja la situación descrita en la pregunta.

¿Qué harías (o qué le dirías a tu equipo que haga)? Resulta que estaba muy, muy, muy preparado para los conceptos técnicos (¡aunque todavía estaba (en su mayoría) contento de haber aprendido la información!).

Eventualmente, solo necesita reservar la prueba; no creo que nadie se sienta listo cuando se está preparando (¡y definitivamente no cuando está tomando la prueba!), Pero en algún momento debe aceptar que lo ha hecho. tanto como puedas. ¡Feliz estudiando!