domingo, 11 de julio de 2010

Lee Esto y Pasa el CISSP.


Seamos sinceros, no porque leas esta entrada vas a pasar el examen de certificación CISSP. Así es que dejando de lado el hecho de que el título de este post haya sido un vil gancho para que leas el resto del texto, te puedo decir que sí vamos a abordar algunos tips que pueden ayudar a pasar el ¿temido? examen para alcanzar el CISSP.

CISSP significa Certified Information Systems Security Professional y la responsable de esta certificación es la ISC2 (International Information Systems Security Certification Consortium). Pienso que a nivel mundial es de las más reconocidas en el tema de seguridad de la información.

CISSP nos debe de interesar ya sea porque la deseamos obtener o porque como empleadores la podemos exigir, así es que no está de más conocerla y saber que la podemos presumir al pedir un trabajo (relacionado con seguridad) o bien, pedir como empleadores (si buscamos a alguien que llene una vacante de SegInfo).

CISSP maneja el llamado CBK (Common Body of Knowledge) que consta de 10 dominios como por ejemplo Control de Acceso, Criptografía o Seguridad Física.

El examen consta de 250 preguntas, cada una con cuatro posibles respuestas (opción múltiple). Uno tiene 6 horas para contestar y acabar el examen (más o menos hay que completar 41 respuestas por hora).

Al pasar el examen de certificación, el poseedor del CISSP demuestra que tiene conocimientos y experiencia en el ramo de seguridad de la información. Y sí, el examen intenta salirse del esquema “apréndetelo-de-memoria”, ya que por ejemplo, es común que nos provea de dos respuestas correctas, pero una de ellas es “más correcta” y hay que saber seleccionarla (todavía tengo pesadillas con eso del “choose the best answer”).

Existen opciones donde uno puede ir a un curso presencial o hasta en línea con duración de semanas o meses (depende del esquema); la idea es que preparen al estudiante en los temas que se estarán viendo en el examen. No voy a hablar de estas opciones porque yo no tomé ningún curso (desconozco qué tan efectivos son). Llámenle flojera, pero prefiero estudiar bajo mis condiciones de tiempo y espacio, así como resolver yo mismo mis dudas. Cada quien debe de ver qué camino le conviene más.

Ahora bien, para estudiar uno mismo, es necesario –creo- comprar un libro. En Amazon hay varias opciones (busquen “CISSP”), aunque el que yo recomiendo es el de Shon Harris: All In One CISSP Certification. Está choncho, pero tiene la letra grande y para mi gusto está muy bien explicado (a diferencia del texto del autor Krutz). No sobra decir que en mi opinión, leyendo cualquier libro o resolviendo mil preguntas-tipo no es suficiente para pasar el examen. Tienen trucos para dejar fuera a los virtuosos de la memoria, y esos trucos tratan de evaluar si el estudiante ha tenido contacto con “el mundo” de seguridad de la información.

Cuando agarras tu libro y te pones a estudiar, obviamente tienes que apartar tiempo. ¿Cuánto? Yo le dediqué unas tres horas semanales por un periodo de aproximadamente 6 meses donde leí varios libros y resolví no pocas preguntas que encontré en dichos libros y algunas en línea. Tomen en cuenta que soy de lento aprendizaje; estoy seguro que hay gente que le dedica menos tiempo y es exitosa en el CISSP.

Las preguntas “tipo” que encontré en línea, la verdad no fueron parecidas a las del examen. Me ayudaron a cronometrarme y ejercitar el ambiente para cuando llegara el momento de la verdad. Desconozco si actualmente existen preguntas más parecidas en línea (yo hice el examen hace ya 5 años, sin embargo actualmente hay libros que prometen).

Aunque algunas personas me han dicho que es un hábito irrespetuoso y hasta cobarde (¿WTF?), yo acostumbro subrayar las partes que me parecen más interesantes de un libro o que creo que debo de repasar en un futuro. Es lo que hice con el libro All In One de Harris, sin mencionar que realicé apuntes para explicarme conceptos que no tenía claros (y que busqué en otros libros o en línea).

Asimismo, hice resúmenes de cada dominio y eran portables (los podía sacar en pequeños tiempos muertos como la fila del súper, transporte público, antes de dormir, etc.). Lo anterior significa que si bien le dedicaba 3 horas dedicadas semanales al CISSP, realmente estaba repasando varias veces al día los conceptos más apremiantes.

Aunque al final –en mi caso- las preguntas tipo no serían muy parecidas a las del examen, resolví preguntas del libro de Harris, del de Krutz y del Official ISC2 Guide To The CISSP Exam. Es importante para entrar en el ritmo de preguntas-respuestas y ver que efectivamente podamos resolver 250 preguntas en 6 horas.

La misma autora Shon Harris publicó un curso por medio de un video, y aunque no lo he visto, si estuviera por hacer el examen definitivamente me lo compraría (como ven, me encantó su libro).

Ya por último y un poco fuera de tema, hablemos de algunas críticas hacia la certificación CISSP. Unos dicen que una certificación no demuestra que realmente sabes; y para ese caso, lo mismo podemos decir de un título universitario y perdón, pero los empleadores se fijan definitivamente en estos papelitos (nos guste o no).

Otra crítica es que el CISSP es teórico y que puedes pasarlo sin saber configurar un firewall o limpiar manualmente un gusano de una computadora. En eso estoy de acuerdo, aunque precisamente ese es el enfoque de la certificación. Yo aquí sugeriría complementarlo con otras certificaciones –mucho- más “prácticas” como por ejemplo las que ofrece el SANS con sus GIAC o el EC Council con su Certified Ethical Hacker.

He escuchado quejas relacionadas al hecho de que hay que pagar un mantenimiento para conservar el CISSP. Es un pago anual de 85 dólares. ¿Qué puedo decir? Así está la cosa, si no quieres pagarlo y lo consideras injusto, simplemente, no lo hagas y ya, no?

Conclusión: yo no tengo “la verdad” para obtener el CISSP (¿quién sí?). Otros que lo hayan conseguido les podrán decir otras sugerencias tal vez mejores que las que yo expuse aquí. Les podrán hablar probablemente de los cursos de preparación que hay en México y otras opiniones y recursos de información de valor. Contacten a estos CISSP si los conocen en persona o busquen por ejemplo a los CISSP que tienen Twitter/LinkedIn y pregunten por recomendaciones. Por cierto, échenme un tweet si los puedo ayudar en algo: @FaustoCepeda.

4 comentarios:

Unknown dijo...

Hola, cual es el precio para presentar este examen ¿? y supongo eres de México, el examen es presencial ¿? o se hace online, agredezco tus respuesta, acabo de encontrar tu blog y me agrado bastante, espero sigas escribiendo y asi leerte.

Fausto Cepeda dijo...

Hola Carlos. El precio está en el sitio de la ISC2. En México el examen es presencial. Saludos.

Unknown dijo...

Hola Fausto, muy buen articulo, pero la verdad no he podido encontrar en ningún lado el costo del examen. hace cuanto que obtuviste la certificación.

Fausto Cepeda dijo...

Roger Smith: encontré el precio del examen en menos de 3 minutos usando Google, por favor realiza un esfuerzo y encuéntralo.