Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 20 de julio de 2011

Como preparar el examen para la certificación de Seguridad CISSP (en poco tiempo)

Disclaimer: Este artículo sólo es válido si tienes la experiencia necesaria en sistemas y seguridad y crees firmemente que el examen CISSP será un trámite y una forma de ordenar y aclarar algunos conceptos. Así mismo tampoco pretende sustituir a los múltiples cursos preparatorios que se ofertan. Toma este artículo con cautela y bajo tu propia responsabilidad.

Sí te estas pensando sacar la certificación CISSP, tienes años de experiencia en sistemas y Seguridad y no mucho tiempo para prepararla, sigue leyendo. Este artículo es por si a alguien le sirve de algo mi experiencia al preparar el examen para CISSP. CISSP sigue siendo una de las certificaciones más demandadas en el área de Seguridad y requiere de una muy buena preparación para afrontar con éxito el examen. Actualmente en España hay 396 certificados en CISSP.  Antes de nada hay que saber que para conseguir el certificado CISSP es necesario:
  1. Aprobar el examen que consta de 10 dominios principales de Seguridad. Tienes que obtener 700 puntos o más (si apruebas no sabrás cuantos obtuviste, si suspendes sí). El examen es tipo test con cuatro opciones en cada pregunta. Tiene una duración máxima de 6 horas.
  2. A través de un documento oficial proporcionado por ISC2, otro miembro que ya sea CISSP deberá recomendarte alegando que certifica que cumples con los 5 años de experiencia en 2 o más de los dominios exigidos en Seguridad.
  3. En el 25% de los casos realizan una auditoría, por lo que en el caso que te toque deberás pasarla para obtener la certificación.
  4. Una vez que consigas la certificación CISSP necesitarás recertificarte cada 3 años a través CPEs (Continuing Professional Education) que los puedes obtener a través de asistencias a congresos, formación o seminarios.
En mi caso, contaba con 5 años de experiencia en el área de sistemas e implantando proyectos de Seguridad como PKIs, cumplimientos de SGSI, participación en la creación de BCPs y DRPs, gestión de identidades, filtros de contenidos, fortificación de servidores y sistemas biométricos. Además he participado en diversos proyectos Open Source de documentación de Seguridad y nuevas amenazas online. A todo esto le sumaban 2 años de experiencia en el departamento de e-crime de quién me paga la nómina actualmente, y que gracias al plan de carrera interno patrocino mi certificación. En estos dos años gané experiencia en forenses, auditorías, algo de análisis de malware y servicios de protección contra el fraude online. Todo ello me permitía cumplir el primer requisito. Aunque otra opción si no lo cumples es, pasar el examen y cumplirlos posteriormente.

Cuando tuve claro que quería presentarme al examen (el 17 de marzo), busqué en el portal de ISC2 las convocatorias en España. La aplicación mostró sólo una convocatoria, el 30 de abril en Barcelona. Tenía poco más de 1 mes para prepararlo, pero si no lo hacía, tendría que esperar otro año, cosa que no me apetecía (luego me enteré que en Octubre hay otra convocatoria en Madrid, pero todavía no salía en el portal del ISC2). Decidido entonces, empecé a buscar información sobre buena documentación para preparar el examen. 


DOCUMENTACIÓN Y METODOLOGÍA

Toda la documentación y tests que he usado para prepararlo fueron en inglés. Existe multitud de documentación para preparar el CISSP, pero de todo ello, el libro de Shon Harris es una de las guías más completas que existen para preparlo. Por un lado me lo compré, siempre está bien tenerlo en la biblioteca para consultar, y por otro lado me lo imprimí para estudiarlo con más comodidad pudiendo subrayar y practicar con los tests que vienen al final de cada capítulo. Puede haber varias versiones del libro, en la última que yo tenía, constaba de 12 capítulos (1149 pags) más una guía de estudiante (847 pags). Como tenía poco tiempo, me centre unicamente en los capítulos de cada dominio:
  • Security management
  • Access control
  • Security architecture
  • Physical arquitecture
  • Network security
  • Cryptography
  • BCP
  • Legal and investigations
  • Application security
  • Operations security
En un cálculo rápido, tenía 6 semanas para preparlo, así que me propuse estudiar 2 áreas por semana y la última para repasar y prácticar con diferentes tipos de exámenes.

Cada día invertía entre una y dos horas en una lectura-comprensiva y subrayando las partes que creía eran claves. Al final de cada módulo realizaba el test correspondiente para comprobar el nivel de comprensión de dicho módulo. En cada test que hice, saqué entre 60 y 90% de aciertos, lo que me daba una idea de la preparación. Además en los tests, venía una explicación de cada respuesta, lo que te daba más comprensión en caso de fallo.

La última semana la dedique por completo a realizar exámenes y revisar las respuestas fallidas. Existe multitud de sitios en Internet con preguntas del tipo examen CISSP. En definitiva, si tienes experiencia real en Seguridad de algunos de los dominios exigidos por el CISSP, la lectura del libro de Shon Harris te dará una mayor perspectiva, y si has entendido los conceptos que para tí pueden ser nuevos, has hecho multitud de tests y los resultados de aciertos no bajan del 60%, se podría decir que ya estarías preparado para realizar el examen con altas posibilidades de aprobarlo.

DÍA DEL EXAMEN

El día anterior procura relajarte y no hacer repasos de última hora, descansa un mínimo de 8 horas antes del examen, y acude con tiempo, ya que son estrictos hasta tal punto, que si llegas unos minutos tarde ya no podrás acceder al examen.

Puedes llevar bebida y algo de picar, alguna chocolatina o barrita energética, yo pasé las 5,30h del examen con un botelín de agua y 2 barritas energéticas. Antes me había tomado una pastilla de vitamina de esas que llevan jalea real (tipo apiserum), es una manía que tengo desde la época de exámenes :-)

Para el examen, te dan un librillo con las 250 preguntas y una hoja de respuestas para anotarlas, que es la que entregaras. En el libro, puedes hacer apuntes y borrones, en la hoja de respuestas no. @hacktimes me dio el buen consejo de contestar las preguntas en el libro, y cada 50 pasarlas a la hoja, de esta forma tu mente va descansando. 

Luego a esperar unas 4 semanas hasta que te llegue el resultado.
Finalmente comentar que, aprobar el examen CISSP demuestra tu destreza para saber como pasarlo y un conocimiento muy global de la mayoría de aspectos que rodean a la Seguridad de los sistemas. Personalmente opino que existen multitud de vías para medir la experiencia y conocimientos, pero el CISSP es el estándar Internacional para certificar que un individuo ha demostrado una competencia y dominio de las más diversas disciplinas en el campo de la Seguridad.

11 comentarios:

  1. Interesante! Muchas gracias
    Donde se pueden encontrar las fechas de examenes CISSP? No las encunetro por la web del ISC2 :-/

    ResponderEliminar
  2. #Anónimo gracias!

    Aquí puedes hacer la búsqueda que buscas:
    https://webportal.isc2.org/Custom/ExamsSearch.aspx

    El próximo examen en Madrid es:
    October 22, 2011 (ISC)2 Examination - Madrid Madrid, Spain

    Saludos

    ResponderEliminar
  3. muchas gracias emilio! justo ahora estaba buscando información :)

    ResponderEliminar
  4. A tí Sergio!, mucha suerte en la preparación!! :-)

    ResponderEliminar
  5. Hola Emilio, donde puedo conseguir el número de CISSPs que existen actualmente en España? (u otro país)

    Gracias!

    ResponderEliminar
  6. @Cotufín, en la página del ISC2 (tienes que ser miembro) hay un apartado donde se puede consultar ese dato, el numero de CISSPs por país.

    Saludos

    ResponderEliminar
  7. Hola Emilio, y si no tengo experiencia alguna en el sector de seguridad? ¿podría alguna empresa contratarme? solo si apruebo el CISSP(¿te dan alguna constancia de haberlo aprobado?). Como me dedicaría a la seguridad desde cero.

    gracias por tu respuesta, saludos.

    ResponderEliminar
  8. @anónimo, sí apruebas el examen CISSP puedes demostrarlo, pero no te servirá de mucho si no cumples con los requisitos para conseguir la certificación; alegar experiencia en dicho campo entre los otros requisitos. Para dedicarte a la seguridad desde cero, te tiene que gustar mucho y ser muy curioso, tú pensamiento debe ir más allá. Empezar en sistemas puede ser un buen camino para ir especializándote en el campo de la seguridad Informática.

    Gracias!

    ResponderEliminar
  9. Hola Emilio, sólo una pregunta que no he conseguido resolver a través de la web de ICS. Una vez obtenida la certificación, el mantenimiento de los créditos CPE cómo lo puedo hacer. Quiero decir, en mi empresa, con la crisis, han destinado 0€ de recursos para cursos. Todo nos lo comemos por nuestra cuenta. Con ese panorama, ¿merece la pena un título que te va a costar mantener un buen dinero? Sé que parte de los créditos se puede mantener haciendo artículos y demás, pero lo veo algo limitado. Lo de ir a conferencias, con los despidos que ha habido, estamos los justos, con lo que tampoco es viable. Ahora mismo nos quieres sólo centrados en nuestros clientes.

    Una última cuestión... ¿A quién puedo encontrar, si decidiera hacer el exámen, que sea de ICS y que me avale? ¿Hay que buscarlo con jamón bajo el brazo y tinto del duero?

    Saludos.

    ResponderEliminar
  10. #LorZ, respecto a tu primera cuestión estoy totalmente de acuerdo contigo, de hecho ahora me veo en esa tesitura :-)

    En cuanto a tu segunda cuestión, generalmente alguien de tu entorno de trabajo te podría hacer el Endorsement, y si no es así ya tendrías que tirar de un buen Cinco Jotas para encontrar a alguien, como bien dices.

    Gracias

    ResponderEliminar
  11. Emilio, reabriendo el tema, a cambiado el proceso? Gracias por la información detallada que das.

    ResponderEliminar

Trata a los demás como te gustaría ser tratado.