Disclaimer: Este artículo sólo es válido si tienes la experiencia necesaria en sistemas y seguridad y crees firmemente que el examen CISSP será un trámite y una forma de ordenar y aclarar algunos conceptos. Así mismo tampoco pretende sustituir a los múltiples cursos preparatorios que se ofertan. Toma este artículo con cautela y bajo tu propia responsabilidad.
Sí te estas pensando sacar la certificación CISSP, tienes años de experiencia en sistemas y Seguridad y no mucho tiempo para prepararla, sigue leyendo. Este artículo es por si a alguien le sirve de algo mi experiencia al preparar el examen para CISSP. CISSP sigue siendo una de las certificaciones más demandadas en el área de Seguridad y requiere de una muy buena preparación para afrontar con éxito el examen. Actualmente en España hay 396 certificados en CISSP. Antes de nada hay que saber que para conseguir el certificado CISSP es necesario:
- Aprobar el examen que consta de 10 dominios principales de Seguridad. Tienes que obtener 700 puntos o más (si apruebas no sabrás cuantos obtuviste, si suspendes sí). El examen es tipo test con cuatro opciones en cada pregunta. Tiene una duración máxima de 6 horas.
- A través de un documento oficial proporcionado por ISC2, otro miembro que ya sea CISSP deberá recomendarte alegando que certifica que cumples con los 5 años de experiencia en 2 o más de los dominios exigidos en Seguridad.
- En el 25% de los casos realizan una auditoría, por lo que en el caso que te toque deberás pasarla para obtener la certificación.
- Una vez que consigas la certificación CISSP necesitarás recertificarte cada 3 años a través CPEs (Continuing Professional Education) que los puedes obtener a través de asistencias a congresos, formación o seminarios.
En mi caso, contaba con 5 años de experiencia en el área de sistemas e implantando proyectos de Seguridad como PKIs, cumplimientos de SGSI, participación en la creación de BCPs y DRPs, gestión de identidades, filtros de contenidos, fortificación de servidores y sistemas biométricos. Además he participado en diversos proyectos Open Source de documentación de Seguridad y nuevas amenazas online. A todo esto le sumaban 2 años de experiencia en el departamento de e-crime de quién me paga la nómina actualmente, y que gracias al plan de carrera interno patrocino mi certificación. En estos dos años gané experiencia en forenses, auditorías, algo de análisis de malware y servicios de protección contra el fraude online. Todo ello me permitía cumplir el primer requisito. Aunque otra opción si no lo cumples es, pasar el examen y cumplirlos posteriormente.
Cuando tuve claro que quería presentarme al examen (el 17 de marzo), busqué en el portal de ISC2 las convocatorias en España. La aplicación mostró sólo una convocatoria, el 30 de abril en Barcelona. Tenía poco más de 1 mes para prepararlo, pero si no lo hacía, tendría que esperar otro año, cosa que no me apetecía (luego me enteré que en Octubre hay otra convocatoria en Madrid, pero todavía no salía en el portal del ISC2). Decidido entonces, empecé a buscar información sobre buena documentación para preparar el examen.
DOCUMENTACIÓN Y METODOLOGÍA
Toda la documentación y tests que he usado para prepararlo fueron en inglés. Existe multitud de documentación para preparar el CISSP, pero de todo ello, el libro de Shon Harris es una de las guías más completas que existen para preparlo. Por un lado me lo compré, siempre está bien tenerlo en la biblioteca para consultar, y por otro lado me lo imprimí para estudiarlo con más comodidad pudiendo subrayar y practicar con los tests que vienen al final de cada capítulo. Puede haber varias versiones del libro, en la última que yo tenía, constaba de 12 capítulos (1149 pags) más una guía de estudiante (847 pags). Como tenía poco tiempo, me centre unicamente en los capítulos de cada dominio:
- Security management
- Access control
- Security architecture
- Physical arquitecture
- Network security
- Cryptography
- BCP
- Legal and investigations
- Application security
- Operations security
En un cálculo rápido, tenía 6 semanas para preparlo, así que me propuse estudiar 2 áreas por semana y la última para repasar y prácticar con diferentes tipos de exámenes.
Cada día invertía entre una y dos horas en una lectura-comprensiva y subrayando las partes que creía eran claves. Al final de cada módulo realizaba el test correspondiente para comprobar el nivel de comprensión de dicho módulo. En cada test que hice, saqué entre 60 y 90% de aciertos, lo que me daba una idea de la preparación. Además en los tests, venía una explicación de cada respuesta, lo que te daba más comprensión en caso de fallo.
La última semana la dedique por completo a realizar exámenes y revisar las respuestas fallidas. Existe multitud de sitios en Internet con preguntas del tipo examen CISSP. En definitiva, si tienes experiencia real en Seguridad de algunos de los dominios exigidos por el CISSP, la lectura del libro de Shon Harris te dará una mayor perspectiva, y si has entendido los conceptos que para tí pueden ser nuevos, has hecho multitud de tests y los resultados de aciertos no bajan del 60%, se podría decir que ya estarías preparado para realizar el examen con altas posibilidades de aprobarlo.
DÍA DEL EXAMEN
El día anterior procura relajarte y no hacer repasos de última hora, descansa un mínimo de 8 horas antes del examen, y acude con tiempo, ya que son estrictos hasta tal punto, que si llegas unos minutos tarde ya no podrás acceder al examen.
Puedes llevar bebida y algo de picar, alguna chocolatina o barrita energética, yo pasé las 5,30h del examen con un botelín de agua y 2 barritas energéticas. Antes me había tomado una pastilla de vitamina de esas que llevan jalea real (tipo apiserum), es una manía que tengo desde la época de exámenes :-)
Para el examen, te dan un librillo con las 250 preguntas y una hoja de respuestas para anotarlas, que es la que entregaras. En el libro, puedes hacer apuntes y borrones, en la hoja de respuestas no. @hacktimes me dio el buen consejo de contestar las preguntas en el libro, y cada 50 pasarlas a la hoja, de esta forma tu mente va descansando.
Luego a esperar unas 4 semanas hasta que te llegue el resultado.
Finalmente comentar que, aprobar el examen CISSP demuestra tu destreza para saber como pasarlo y un conocimiento muy global de la mayoría de aspectos que rodean a la Seguridad de los sistemas. Personalmente opino que existen multitud de vías para medir la experiencia y conocimientos, pero el CISSP es el estándar Internacional para certificar que un individuo ha demostrado una competencia y dominio de las más diversas disciplinas en el campo de la Seguridad.