Olá, sou Sasha, Diretor de Metodologia, Segurança Cibernética e Gerenciamento de Risco, Especialista Certificado pelo CISSP. Depois de obter a certificação, recebo essas duas perguntas com mais frequência:
- foi difícil passar no exame?
- quanto você preparou?
E assim, respondendo mais uma vez, resolvi compartilhar com vocês minha experiência de preparação e aprovação no exame. Além disso, o artigo mais recente sobre o CISSP em russo data de 2018 e, durante esse tempo, muita coisa mudou. Na melhor tradição dos colegas estrangeiros, no final da postagem deixei uma lista de materiais para os quais preparei e recebi o cobiçado certificado, bem como um bloco de minhas recomendações pessoais.
Por que obter um certificado CISSP?
Não vou falar por muito tempo sobre o que é CISSP e por que é necessário. Já que você está lendo isso, você está no assunto. Mas se de repente você ainda tiver dúvidas se deve ao menos se envolver nesse negócio, eu direi - você definitivamente deveria! A preparação para o exame em si expande perfeitamente os horizontes e as habilidades de bombeamento, especialmente nas áreas de segurança da informação nas quais você pode não ter trabalhado ainda.
Além de passar no exame e obter um certificado, você pode se tornar um membro de aniversário! Em julho de 2020, havia 230 especialistas do CISSP na Rússia, enquanto em 2006 eram apenas 78. Bem, só para comparação: nos EUA em julho de 2020, 89.880 pessoas estavam registradas no CISSP ...
Um belo bônus, que só descobri depois de passar no exame. Junto com o certificado, você também terá a oportunidade de criar um crachá eletrônico. Ele pode ser compartilhado por meio de um link, adicionado a perfis de mídia social e a uma assinatura de e-mail.
Tem a seguinte aparência E o link quando você clica leva ao site com uma confirmação:
O que há de novo na preparação e entrega?
O formato do exame mudou, mas, quanto a mim, só ficou melhor. Anteriormente, durava 6 horas e consistia em 250 perguntas. Agora eles reduziram o tempo de entrega e o volume - em 3 horas é necessário ter tempo para responder 150 perguntas.
Outra inovação: o exame passou a ser um teste adaptativo informatizado, ou seja, a próxima pergunta depende de suas respostas às anteriores. Esse mecanismo permite que você conclua o exame com uma centena de respostas corretas.
Se você está planejando apenas receber um certificado, é importante considerar que o peso de alguns domínios mudará a partir de 1º de maio de 2021. Para maior clareza, fiz uma tabela de comparação:
Portal conveniente da Associação ISC2 e verificação simples
Quando eu estava prestes a fazer o exame, fiquei muito preocupado com alguns dos requisitos obrigatórios. Várias perguntas giravam em minha cabeça:
- – ?
- , e-mail ?
- CISSP ?
- , , , ?
- CISSP , ?
Mas juntei meus pensamentos e decidi atuar em duas etapas:
etapa 1. É normal se preparar e passar no exame.
Etapa 2. Respire calmamente após o parto e resolva as questões restantes. Afinal, eles não serão mais tão significativos se a primeira etapa for concluída com sucesso!
Para quem ainda assim decide receber o CISSP, sugiro que faça o mesmo: no início, não incomode todo mundo, mas concentre-se no exame em si. Mas, olhando para o futuro, direi que a segunda etapa não foi tão difícil.
No site oficial isc2.orgvocê pode descrever sua experiência de trabalho em um formato livre (é claro, em inglês). O sistema então solicitará que você insira o sobrenome e o número de identificação do membro atual que verifica o seu perfil. Depois disso, a organização em 4 a 6 semanas verifica a integridade e conformidade da experiência de trabalho especificada com o exigido. Isso é tudo! Fiquei muito feliz com um procedimento tão simples! E nem precisei encontrar uma linguagem comum com um especialista da Ásia.
Mais valiosos: Fontes
Comecei a me preparar para o exame em abril de 2018. No total, demorei 2 anos desde o início da preparação até a aprovação no exame. Por que está demorando tanto, você pergunta? A resposta é simples: fiz intervalos, tirei férias prolongadas, me distraí com assuntos de família, questões urgentes de trabalho ... e, claro, era preguiçoso. Mas no final ele se recompôs e terminou o que começou.
Abaixo estão todas as fontes que usei durante a preparação para o exame. Por conveniência, classifiquei-os por importância e comecei com os mais úteis.
Guia de estudo oficial “(ISC) 2. Profissional certificado em segurança de sistemas de informação "(autores - Mike Chapple, James Michael Stewart, Darril Gibson)
O livro é volumoso, em formato eletrônico, quase 1.500 páginas em inglês. As informações nos capítulos (há até 21 no livro!) Podem se relacionar a vários domínios ao mesmo tempo. Portanto, para que o leitor não se confunda, no início de cada capítulo é imediatamente indicado do que se trata.
Por exemplo, o Capítulo 6, "Criptografia e algoritmos de chave simétrica", contém informações sobre o segundo e o terceiro domínios - "Segurança de ativos" e "Arquitetura e engenharia de segurança". Por experiência própria, posso dizer que usando apenas este manual, você pode se preparar para o exame em cerca de 65%.
Apenas tire uma pergunta importante: não, eu não li o livro de Shon Harris, que é frequentemente mencionado nas postagens de outros especialistas certificados. A prática mostra que você pode se preparar qualitativamente para o exame com a ajuda do manual oficial do consórcio :)
Esboço do guia de estudo
Não apenas estudei o livro de capa a capa, mas também fiz um resumo de 140 folhas A4. Isso não é necessário, apenas aprendi melhor o material.
Durante os dois anos que dediquei à preparação para o exame, reli completamente minhas anotações de 4 a 5 vezes. Sempre pude atualizar na minha cabeça as informações sobre a metodologia de cálculo de risco quantitativo (ARO, SLE, EV, etc.) ou a sequência de níveis no modelo de maturidade dos processos de desenvolvimento SW-CMM. Não houve necessidade de consultar o manual todas as vezes, procurar a seção necessária e relê-la novamente. Eu aconselho!
Guia de teste oficial “(ISC) 2. Profissional certificado em segurança de sistemas de informação. Testes práticos oficiais "por Mike Chapple e David Seidl
Ele contém cerca de 1300 questões divididas por domínios. Uma grande vantagem é que ele tem 4 testes completos que são o mais próximo possível de um exame real. E no final do livro há respostas para todas as perguntas com explicações detalhadas. Isso ajuda a consolidar os pontos principais do livro em sua cabeça.
Outros testes da Internet sobre o tema
Eu mesmo encontrei cerca de 1000 perguntas a mais. Ao longo dos anos, eles foram postados na rede de empresas que preparam especialistas para o exame do CISSP. Com a ajuda desses testes, descobri quais tarefas estavam nos testes dos anos anteriores e as resolvi. Portanto, recebi uma carga adicional opcional, que foi a meu favor.
"The Memory Palace - uma atualização rápida para seu exame CISSP!" (por Prashant Mohan)
Uma sinopse pequena (apenas 125 páginas!), mas informativa, com a ajuda da qual você poderá atualizar rapidamente o conteúdo principal dos domínios. Vantagem principal: fluxo de material estruturado. Todas as informações seguem a seqüência de domínios, portanto, não há confusão como o manual oficial.
Livro "Eleventh Hour CISSP" (por Eric Conrad, Seth Misenar, Joshua Feldman)
Li este livro nas últimas semanas antes do exame, quando me cansei de repetir materiais anteriores. Além dos livros, como na fonte anterior, - os capítulos correspondem aos números de domínio e são apresentados em ordem.
Brochura resumida do CISSP por Maarten de Frankrijker
Esta brochura resume o mais importante do manual oficial de treinamento. As principais vantagens são que contém apenas 36 folhas, e todo o material é coletado em forma de cartões. Este livro pequeno, mas prático, o ajudará a atualizar seus conhecimentos e consolidar conceitos básicos em um curto espaço de tempo. Ótima opção para revisão de material na véspera do exame.
Fórum especializado em reddit.com
Quando precisei de motivação adicional, comecei a ler os posts publicados neste fórum, em particular, aqui: www.reddit.com/r/cissp . Os usuários contam suas histórias de sucesso, aconselham o que procurar e recomendam fontes de preparação. Todas as vezes, fui inspirado e fui estudar os livros.
Youtube
O canal mais útil foi o ITDojo . Em vídeos curtos de 6 a 10 minutos, duas perguntas aleatórias de diferentes domínios são classificadas e uma explicação detalhada é fornecida porque apenas uma das quatro respostas corretas é a correta para um caso específico. Para ser sincero, nem sempre era possível perceber a fala do autor de ouvido, então liguei a legenda.
Recomendações pessoais
Se você acha que não é forte o suficiente em inglês, não se preocupe. Esse foi o principal obstáculo que me impediu de começar a me preparar para o exame: naquela época eu poderia facilmente confundir o significado das palavras dissuasão e detecção ... A leitura regular em inglês vai te ajudar . Por exemplo, comecei a ler 7 páginas diariamente e em três meses aumentei o número para 12.
Certifique-se de resolver os testes . E quanto mais houver, melhor. Isso vai matar três coelhos com uma cajadada:
- pare de confundir os conceitos de diminuição e aumento, bem como o máximo e o mínimo;
- melhorar a velocidade de resposta às perguntas. Eu já disse que o teste é adaptativo e você pode resolvê-lo respondendo às 100 primeiras questões. Mas se não der certo, você terá que responder tudo, enquanto o tempo alocado para o exame permanecerá o mesmo. Minha meta era de 1,5 minutos por pergunta;
- . , – : , , . . , , .
Aprenda conceitos com os quais não trabalhou antes, ou não conhecia, ou está acostumado a usá-los de uma maneira diferente. Por exemplo, a ordem das ações quando ocorre um incidente em diferentes empresas pode ser diferente, mas no exame é necessário responder exatamente na sequência indicada em sua base metodológica: detecção, resposta, mitigação, reporte, recuperação, remediação, lições aprendidas. Mas apresso-me em tranquilizá-lo - existem poucos momentos assim.
Isso é tudo. Se você tiver alguma dúvida sobre este artigo ou sobre a preparação para o exame, será um prazer ajudar! Boa sorte!
Alexander Larichev,
Diretor de Metodologia, Controle de Cibersegurança e Gerenciamento de Risco, Rambler Group