Hola, soy Sasha, Directora de Metodología, Ciberseguridad y Gestión de Riesgos, Especialista Certificado CISSP. Después de obtener la certificación, me hacen estas dos preguntas con mayor frecuencia:
- ¿Fue difícil aprobar el examen?
- cuanto preparaste
Entonces, respondiendo una vez más, decidí compartir con ustedes mi experiencia de preparación y aprobación del examen. Además, el artículo más reciente sobre CISSP en ruso se remonta a 2018, y durante este tiempo ya han cambiado muchas cosas. En las mejores tradiciones de los compañeros extranjeros, al final del post, dejé una lista de materiales para los que preparé y recibí el codiciado certificado, así como un bloque de mis recomendaciones personales.
¿Por qué obtener un certificado CISSP?
No hablaré durante mucho tiempo sobre qué es CISSP y por qué es necesario. Ya que estás leyendo esto, estás en el tema. Pero si de repente todavía duda si debería involucrarse en este negocio, le diré: ¡definitivamente debería hacerlo! La preparación para el examen en sí amplía perfectamente sus horizontes e impulsa sus habilidades, especialmente en aquellas áreas de seguridad de la información en las que es posible que aún no haya tenido que trabajar.
Además de aprobar el examen y obtener un certificado, ¡puede convertirse en miembro de aniversario! En julio de 2020, había 230 especialistas de CISSP en Rusia, mientras que en 2006 solo había 78. Bueno, solo para comparar: en los EE. UU. En julio de 2020, 89,880 personas estaban registradas en CISSP ...
Bonito bono, que descubrí solo después de aprobar el examen. Junto con el certificado, también tiene la oportunidad de crear una credencial electrónica. Se puede compartir a través de un enlace, agregar a perfiles de redes sociales y firmas de correo electrónico.
Se ve así Y el enlace cuando hace clic en él conduce al sitio con una confirmación:
¿Qué hay de nuevo en preparación y entrega?
El formato del examen ha cambiado, pero en cuanto a mí, solo mejoró. Anteriormente, tenía una duración de 6 horas y constaba de 250 preguntas. Ahora han reducido tanto el tiempo de entrega como el volumen - en 3 horas es necesario tener tiempo para responder 150 preguntas.
Otra innovación: el examen ahora es una prueba adaptativa computarizada, es decir, la siguiente pregunta depende de tus respuestas a las anteriores. Tal mecanismo le permite completar el examen con cien respuestas correctas.
Si solo está planeando recibir un certificado, entonces es importante considerar que el peso de algunos dominios cambiará a partir del 1 de mayo de 2021. Para mayor claridad, hice una tabla de comparación:
Portal conveniente de la Asociación ISC2 y verificación simple
Cuando estaba a punto de realizar el examen, estaba muy preocupado por algunos de los requisitos obligatorios. Varias preguntas daban vueltas en mi cabeza:
- – ?
- , e-mail ?
- CISSP ?
- , , , ?
- CISSP , ?
Pero reuní mis pensamientos y simplemente decidí actuar en dos etapas:
etapa 1. Es normal preparar y aprobar el examen.
Etapa 2. Respire con calma después del parto y resuelva las preguntas restantes. Después de todo, ¡ya no serán tan importantes si la primera etapa se completa con éxito!
Para aquellos que, sin embargo, deciden recibir CISSP, les sugiero que hagan lo mismo: al principio, no molesten a todos en una fila, sino que se concentren en el examen en sí. Pero, de cara al futuro, diré que la segunda etapa no fue tan difícil.
En el sitio web oficial isc2.orgpuede describir su experiencia laboral en un formato libre (por supuesto, en inglés). El sistema le pedirá que ingrese el apellido y el número de identificación del miembro actual que verifica su perfil. Después de eso, la organización dentro de 4-6 semanas verifica la integridad y el cumplimiento de la experiencia laboral especificada con lo requerido. ¡Eso es todo! ¡Estaba muy feliz con un procedimiento tan simple! Y ni siquiera tuve que encontrar un idioma común con un experto de Asia.
Más valioso: fuentes
Comencé a prepararme para el examen en abril de 2018. En total, me tomó 2 años desde el inicio de la preparación hasta aprobar el examen. ¿Por qué está tardando tanto? La respuesta es simple: tomé descansos, me fui de vacaciones largas, me distrajeron asuntos familiares, asuntos urgentes del trabajo ... y, por supuesto, solía ser vago. Pero al final se recompuso y terminó lo que comenzó.
A continuación se muestran todas las fuentes que utilicé mientras me preparaba para el examen. Por conveniencia, los clasifiqué por importancia y comencé con los más útiles.
Guía oficial de estudios “(ISC) 2. Profesional certificado en seguridad de sistemas de información "(autores: Mike Chapple, James Michael Stewart, Darril Gibson)
El libro es voluminoso, en formato electrónico, casi 1500 páginas en inglés. La información de los capítulos (¡hay hasta 21 en el libro!) Puede estar relacionada con varios dominios a la vez. Por tanto, para que los lectores no se confundan, al inicio de cada capítulo se indica inmediatamente de qué se tratará.
Por ejemplo, el Capítulo 6 "Criptografía y algoritmos de claves simétricas" contiene información sobre el segundo y tercer dominio: "Seguridad de activos" y "Arquitectura e ingeniería de seguridad". Por mi propia experiencia, puedo decir que usando solo este manual, puede prepararse para el examen en aproximadamente un 65%.
Simplemente haga una pregunta importante: no, no he leído el libro de Shon Harris, que a menudo se menciona en las publicaciones de otros expertos certificados. La práctica demuestra que puede prepararse cualitativamente para el examen con la ayuda del manual oficial del consorcio :)
Esquema de la guía de estudio
No solo estudié el libro de cabo a rabo, sino que también hice un resumen de 140 hojas A4. Esto no es necesario, solo aprendí mejor el material.
Durante los dos años que dediqué a prepararme para el examen, releí completamente mis notas 4-5 veces. Siempre pude actualizar en mi cabeza la información sobre la metodología de cálculo del riesgo cuantitativo (ARO, SLE, EV, etc.) o la secuencia de niveles en el modelo de madurez de los procesos de desarrollo SW-CMM. No había necesidad de ir al manual cada vez, buscar la sección necesaria y volver a leerla. ¡Yo aconsejo!
Guía oficial de pruebas “(ISC) 2. Profesional certificado en seguridad de sistemas de información. Pruebas de práctica oficiales "por Mike Chapple y David Seidl
Contiene alrededor de 1300 preguntas divididas por dominios. Una gran ventaja es que tiene 4 pruebas completas que se acercan lo más posible a un examen real. Y al final del libro hay respuestas a todas las preguntas con explicaciones detalladas. Esto ayuda a consolidar los puntos principales del libro en su cabeza.
Otras pruebas de Internet sobre el tema
Yo mismo encontré alrededor de 1000 preguntas más. A lo largo de los años, se han publicado en la red de empresas que preparan especialistas para el examen CISSP. Con la ayuda de estas pruebas, descubrí qué tareas estaban en las pruebas de los últimos años y las resolví. Así que obtuve una carga opcional adicional, que fue a mi favor.
"El Palacio de la Memoria - ¡Un repaso rápido para su examen CISSP!" (por Prashant Mohan)
Sinopsis pequeña (¡solo 125 páginas!) pero informativa, con la que puede repasar rápidamente el contenido principal de los dominios Ventaja principal: flujo de material estructurado. Toda la información sigue la secuencia de dominios, por lo que no hay confusión como el manual oficial.
Libro "Onceava Hora CISSP" (de Eric Conrad, Seth Misenar, Joshua Feldman)
Leí este libro en las últimas semanas antes del examen, cuando me cansé de repetir materiales anteriores. Además de los libros, como en la fuente anterior, los capítulos corresponden a los números de dominio y se presentan en orden.
Folleto resumen de CISSP (por Maarten de Frankrijker)
Este folleto resume lo más importante de la guía de estudio oficial. Las principales ventajas son que solo contiene 36 hojas y todo el material se recolecta en forma de tarjetas. Este pequeño pero práctico libro le ayudará a refrescar sus conocimientos y consolidar conceptos básicos en poco tiempo. Una gran opción para revisar material la víspera del examen.
Foro especializado en reddit.com
Cuando necesité motivación adicional, comencé a leer las publicaciones publicadas en este foro, en particular, aquí: www.reddit.com/r/cissp . Los usuarios cuentan sus historias de éxito allí, aconsejan qué buscar, recomiendan fuentes para la preparación. Cada vez me sentí inspirado y fui a estudiar los libros nuevamente.
Youtube
El canal más útil fue ITDojo . En videos cortos de 6 a 10 minutos, se clasifican dos preguntas aleatorias de diferentes dominios y se brinda una explicación detallada de por qué solo una de las cuatro respuestas correctas es correcta para un caso particular. Para ser honesto, no siempre era posible percibir de oído el discurso del autor, así que encendí los subtítulos.
Recomendaciones personales
Si crees que no eres lo suficientemente fuerte en inglés, no te preocupes. Este fue el principal obstáculo que me impidió comenzar a prepararme para el examen: en ese momento podía confundir fácilmente el significado de las palabras disuasión y detección ... La lectura regular en inglés te ayudará . Por ejemplo, comencé a leer 7 páginas diarias y en tres meses aumenté su número a 12.
Asegúrate de resolver las pruebas . Y cuanto más haya, mejor. Esto matará tres pájaros de un tiro:
- dejar de confundir los conceptos de disminución y aumento, así como de mayor y menor;
- mejorar la velocidad de respuesta a las preguntas. Ya dije que la prueba es adaptativa y la puedes resolver respondiendo las primeras 100 preguntas. Pero si no funciona, tendrás que contestar todo, mientras que el tiempo asignado para el examen seguirá siendo el mismo. Mi objetivo era de 1,5 minutos por pregunta;
- . , – : , , . . , , .
Aprenda conceptos con los que no ha trabajado antes, que no conocía o que está acostumbrado a usarlos de manera diferente. Por ejemplo, el orden de acciones ante un incidente en diferentes empresas puede diferir, pero el examen debe ser respondido exactamente en la secuencia indicada en su base metodológica: detección, respuesta, mitigación, reporte, recuperación, remediación, lecciones aprendidas. Pero me apresuro a tranquilizarlos: hay pocos momentos así.
Eso es todo. Si tiene alguna pregunta sobre este artículo o sobre la preparación para el examen, ¡estaré encantado de ayudarle! ¡Buena suerte!
Alexander Larichev,
Director de Metodología, Control de Ciberseguridad y Gestión de Riesgos, Rambler Group