Experiencias con el CISSP

  

Buenas a tod@s,  llevaba ya una temporada sin escribir y es que estos meses he andado con lio preparando la certificación CISSP del (ISC)² .

Por ello que mejor forma de volver, que escribiendo un artículo sobre mi experiencia durante estos meses en la preparación y realización del examen.

Empezaremos comentando que es el CISSP

El CISSP es una prestigiosa certificación de Ciberseguridad mundialmente reconocida y avalada por la Norma ISO/IEC 17024, y que acreditará que dispones de profundos conocimientos a nivel técnico y de gestión, así como experiencia real en el campo de la seguridad de la información.

Contenido del CISSP

La actual versión del CISSP se divide en 8 dominios con las siguientes temáticas:

• Dominio 1: Security and Risk Management.
• Dominio 2: Asset Security.
• Dominio 3: Security Engineering.
• Dominio 4: Communication and Network Security.
• Dominio 5: Identity and Access Management.
• Dominio 6: Security Assessment and Testing.
• Dominio 7: Security Operations.
• Dominio 8: Software Development Security.

Si, lo has acertado, aunque puedes elegir el idioma del examen, y está disponible en castellano, mi recomendación es que lo hagas en inglés, en general las traducciones de palabras técnicas al castellano no suelen ser muy finas y pueden crearte confusión en el examen y seguramente el inglés será tu lenguaje  habitual en el trabajo si te dedicas a este mundo, por lo que en mi opinión hacer el examen en inglés te facilitará el reto de superar el examen.

Que deberías tener en cuenta antes de valorar si realizar el examen.

Lo primero de todo es que antes de plantearte la idea de realizar el examen tengas en cuenta lo siguiente:

• Necesitas un mínimo de 5 de años de experiencia en al menos dos de los dominios o temas de los que consta el CISSP para poder obtener la certificación.

• Y ademas (ISC)² exige que acredites y que proporciones documentación válida sobre esa experiencia, incluso puede darse el caso que el (ISC)² audite tu experiencia.

La experiencia no es solo un requerimiento exigido por el (ISC)² para obtener la certificación, en mi opinión, vas a necesitar experiencia real si quieres tener opciones de superar el examen.

También debes tener en cuenta que necesitaras sacar tiempo para estudiar, mi recomendación es 4 horas, 6 días a la semana durante un mes y medio o dos meses e incrementando el ritmo conforme se acerca la fecha del examen.

Creo que es suficiente y alargar más el estudio puede ser contraproducente, en cualquier caso esto dependerá de otros factores como la experiencia que tengas en alguno de los dominios.

Material de estudio recomendado

Este apartado podría contener un listado interminable de referencias.

Creo que es importante que sepáis que CISSP modifico su formato de certificación en 2015, pasando de 10 dominios a los 8 dominios actuales, no quiere decir que hayan eliminado materia, sino que la han estructurado de otra forma.

Esto implica que encontraréis muchos recursos que hacen referencia a la antigua versión del CISSP basada en los 10 dominios, tener esto en cuanta cuando busquéis y seleccionéis vuestro material de referencia.

Mi recomendación es que os centréis en dos, máximo tres referencias de calidad.

En mi caso he utilizado el formato vídeo libro porque a mi me resulta más ameno, didáctico y sobre todo cómodo dada mi disponibilidad de tiempo.

En mi opinión, el formato visual y la posibilidad de escuchar la explicación de un tema  te permite entender mejor la materia, y esto es importante porque aprenderte las cosas de memoria no será suficiente, tendrás que saber el porque de las cosas y entenderlas para ser capaz de responder de forma correcta a las preguntas. 

Las dos referencias que utilice son:

• Learning Path: CISSP , Sari Green, 2016, editorial Pearson IT Certification. 
  
  
• CISSP Prep Exam, de la autora Sari Green y editorial Pearson IT Certification, 2016.

Antes de llegar a estas dos referencias, por supuesto busque en foros y centros de formación para conocer otras experiencias, libros recomendados, enlaces y recursos, por lo que os paso la lista de lo más interesante que fui recopilando por si también queréis echar un ojo:

• https://www.itmasters.edu.au/free-short-course-cissp-security/
• https://www.isc2.org/Certifications 
• http://opensecuritytraining.info/CISSP-Main.html

Libros oficiales

• Official(ISC)²® Guide to the CISSP® CBK®, Fourth Edition 
• CISSPAll-in-One Exam Guide, Seventh Edition 7th Edition  
• CISSP Practice Exams, Fourth Edition 4th Edition

También, si tenéis la oportunidad disponéis de centros de formación de prestigio como:

• http://blog.isecauditors.com/2014/09/cissp-hoja-ruta.html

El plan de estudio

Vuestro plan de estudio dependerá de las horas al día que dispongas para estudiar, y de la experiencia que puedas contar en algún tema concreto, lo cual te permitirá comprender y avanzar más rápido en ese tema.

Creo que en este punto, es importante tener en cuenta el peso que tiene cada tema en el examen, de forma que puedas centrar tú atención en aquellos temas con más peso:

Dominio 1: Security and Risk Management: 16%.

Dominio 2: Asset Security: 10%.

Dominio 3: Security Engineering: 12%.

Dominio 4: Communication and Network Security: 12%

Dominio 5: Identity and Access Management: 13%.

Dominio 6: Security Assessment and Testing: 11%.

Dominio 7: Security Operations: 16%.

Dominio 8: Software Development Security: 10%.

En mi caso mi plan de estudio fue el siguiente:

Registrarse en el examen

Bueno, tengo la experiencia que me requiere el ISC en las materias de la certificación, tengo mis referencias de estudio ya preparadas y he preparado mi plan de estudio, es la hora de plantearme el reto de superar el examen de certificación.

En este link tenéis toda la información con respecto al registro: 

• https://www.isc2.org/Register-for-Exam

Mi estrategia suele ser la siguiente, primero me impongo el reto, y me fijo una fecha para realizar el examen con un margen de dos meses al menos para estudiar, es decir si estamos a 20 de julio, me registro en el examen para el 30 de septiembre.

Las tasas del examen son de unos 500€, y esto ya es una extra motivación para empezar a estudiar con ganas, ya no hay vuelta atrás, obtener el CISSP es un reto en sí mismo, serán dos meses que habrá que darlo todo, cierto es que podrías volver a solicitar una nueva fecha si no estás preparado, que implica el pago de una tasa.

Mi recomendación es que sino estás preparado, creo que merece la pena retrasarlo e ir al examen con seguridad.

Suspender el examen implicará volver a estudiar y el reto posiblemente se volverá más complejo ya que la moral y posiblemente la predisposición para el estudio puede que no sea la misma, por lo tanto, concienciate en que tienes que ir a por todas y a la primera. 

Pero tampoco te presiones, porque el (ISC)² te dá más oportunidades para superar el examen.

Y el examen

El examen tiene un total de 250 preguntas y dispones de 6 horas para contestarlas.

Necesitas obtener al menos 700 puntos de un total de 1000 para superar el examen.

Tienes que presentarte al examen con media hora de antelación y debidamente identificado, necesitas dos elementos diferentes para que se te identifique, por ejemplo el DNI y el carnet de conducir, ambos deben disponer de tu firma, y uno de ellos al menos con tu fotografía.

Deberás firmar los correspondientes acuerdos de confidencialidad y código ético y después de ello es la hora de realizar el examen y responder a todas las preguntas.

Ciertamente es un examen largo, en el cual tienes que detenerte a leer con calma la pregunta, comprenderla y responderla, mi estrategia en este caso fue:

Realizar 125 preguntas, descansar 10 minutos, unas cuantas galletas, dos tragos de agua, visita al servicio y a por las 125 siguientes.

Haz el descanso, te lo recomiendo, volverás al examen renovado y cargado de nuevo con energía para seguir con el resto de preguntas, aun así el final se hace duro y puede ser que otro pequeño descanso hubiera venido bien.

Y una vez terminado que..

Terminas el examen y el centro examinador te entregará la hoja con el resultado, y si has superado el examen:

Congratulations …......

Experiencia

Pero esto no acaba aquí y el proceso para obtener la certificación continua, el siguiente paso es acreditar ante el (ISC)² que tienes la experiencia requerida.

A través de una aplicación Web podrás añadir la experiencia acumulada durante tu vida profesional en los dominios de los que consta la certificación.

La aplicación te solicitará que subas alguna documentación que acredite esa experiencia, así como contactos en las empresas en las que has conseguido esa experiencia.

Adicionalmente si tienes un colega CISSP y miembro del (ISC)² puede avalarte, pero no es obligatorio.

Una vez introducida la experiencia y las pruebas que lo acreditan, el (ISC)² te pedirá 6 semanas de plazo para verificar tu experiencia y decidir si cumples o no con los criterios que exige la certificación en cuanto a la experiencia.

Si los cumples, finalmente te llegará un correo de confirmación

Congratulations! It gives me great pleasure to be the first to address you with the Certified Information Systems Security Professional (CISSP®) designation!........

Espero que os pueda ser de utilidad esta  experiencia.

Hasta la próxima....