A principios de año obtuve el CISSP en el primer intento. Este es otro de los muchos artículos que existen sobre cómo aprobar el examen y obtener una de las certificaciones más prestigiosas de (ICS)2. En base a mi experiencia leer esta clase de artículos es bastante útil, sobre todo los días antes de realizar el examen.
Para empezar, comencemos describiendo la certificación CCSP. Esta certificación requiere que el candidato tenga cierta experiencia:
- 5 o más años de experiencia trabajando en tecnologías de la información, de los cuales 2 debe ser en uno de los dominios del CISSP CBK.
- Es posible sustituir uno de los años de experiencia si tienes un grado universitario o si has obtenido una de las certificaciones reconocidas.
No obstante, si no se posee la experiencia requerida es posible realizar el examen y convertirse en asociado, teniendo desde ese momento seis años para cumplir con los requisitos y obtener el certificado.
No es una certificación básica, sino que está pensada para aquellas personas con experiencia que quieran orientar su carrera hacia el liderazgo de equipos dedicados a la seguridad de las tecnologías de información. En su página web puedes ver el temario, pero básicamente incluye los conceptos, arquitectura y diseño de la seguridad informática en una empresa, la seguridad de los datos, de las distintas plataformas, de la infraestructura, de las aplicaciones y de las operaciones, y los riesgos y el cumplimiento de la ley para estas tecnologías.
Es una certificación muy reconocida que abre muchas puertas a puestos directivos o de management, tengas o no una base técnica.
Mi Background
Si no me conoces, te voy contar que conocimientos previos tenía antes de obtener la certificación. Puedes saber más sobre mí en este enlace, pero a modo de resumen te diré que estudié el grado de Ingeniería Informática en la UAM (Madrid) y el máster en Seguridad de las TIC en la UOC (Barcelona).
Cuando estaba en último curso del grado empecé a trabajar en GMV, y allí pasé dos años en el departamento de ciberseguridad como Pentester Junior. Allí me saqué la certificación CompTIA Security +.
Después emigré a Irlanda y aquí trabajé dos años como Security Analyst para Global Payments, donde obtuve las certificaciones OSCP, CCSP y finalmente CISSP.
Actualmente trabajo como Security Consultant para BSI, donde me estoy especializando en Red Team Operations.
De momento pretendo continuar en un perfil puramente técnico, pero he decidido prepararme esta certificación porque no descarto pasarme al management a medio-largo plazo, y me pareció buena idea dedicarle un poco de tiempo ahora que tengo un muy buen hábito de estudio.
Material para Estudiar
Aunque (ICS)2 ofrece un curso para preparar el examen, yo decidí estudiarlo por mi cuenta. Para ello, me compré el libro «CISSP Official Study Guide» novena edición de Mike Chapple, James Michael Stewart y Darril Gibson, así como el «CISSP Official Practice Tests» de los mismos autores.
Aunque en el propio libro los autores dice que esa fuente no es suficiente para conseguir los conocimientos necesarios para aprobar el examen, yo considero que sí que cubre fácilmente el 80-90% del temario.
Mi modus operandi fue el mismo que cuando me preparé el CCSP:
Al final de cada tema del primer libro hay 20 preguntas sobre el tema. Yo los fui haciendo según me leía los temas. Solía tener 3 o 4 fallos en cada tema de media.
Después de esto pase a los del libro de tests, que son algo más difíciles y en mi opinión los que más se aproximan a los tests del examen.
Por último realicé los cuatro assessment tests que aparecen en ambos libros.
Recomiendo estos libros porque puedes registrarlos en una página web y realizar los tests tanto en el ordenador como en una aplicación móvil, con la posibilidad de realizar un test con todas las preguntas contestadas erróneamente, algo realmente útil para reforzar las áreas de conocimiento más débiles.
En total calculo que contesté unas 2000 preguntas antes de realizar el examen.
Otros Recursos
Hay un canal de discord donde los usuarios comparten preguntas y apuntes. Me pareció muy útil ya que muchos usuarios comparten notas, definiciones y conceptos resumidos. También tienen lugar debates sobre algunas preguntas y sus posibles respuestas.
También realicé los tests de udemy «HARD CISSP practice questions» de Thor Pedersen. Me los habían recomendado mucho, y aproveché que tenía el udemy for business para hacer también los tests EASY/MEDIUM. Pero en mi opinión no es necesario y yo no pagaría por ellos.
Las preguntas difíciles son realmente difíciles, bastante más que las del examen. Pero su dificultad se basa en que son muy enrevesadas y van a pillar. No son como las preguntas del examen, y en general lo encontré menos útil que las preguntas del Official Study Guide. Pero sí que considero que puede servir para lidiar con la sensación de que parece que vas a suspender al estar ante un examen imposible en el que no tienes ni idea de nada. Esa sensación la tendrás durante el examen así que es bueno sentir esa tensión antes para saber lo que se siente e intentar controlar los nervios.
El examen
El examen varía en función de si lo realizas en inglés o en español. Desde el 1 de junio de 2022 estas son las normas:
– En inglés. De 125 a 175 preguntas, de las cuales 50 no puntúan. Duración de 4 horas. Sistema de corrección mediante Computerized Adaptive Testing. Este sistema emplea una inteligencia artificial que te evalúa según vayas respondiendo cada pregunta, personalizando el examen y añadiendo preguntas sobre ciertos temas en función de tus respuestas anteriores, de forma que si fallas varias preguntas de un dominio, aparecerán más preguntas de ese dominio. Al menos eso es lo que han deducido la mayoría de usuarios que han realizado el examen, porque no hay información pública sobre cómo funciona el algoritmo que emplea. Cuando llegas a la pregunta 125, el sistema comprueba el porcentaje de acierto que llevas en ese momento. Si es igual o superior al 70%, el examen finaliza y has aprobado. Si es inferior, el sistema continúa haciendo preguntas hasta que alcances ese 70%. Si al llegar a la pregunta 175 no lo has alcanzado, entonces suspendes. Así mismo, si llegas a la pregunta 125 con un porcentaje bajo (pongamos, 50% de aciertos) y el sistema determina que no puedes llegar al 70% requerido para aprobar ni aunque contestes bien las 50 preguntas restantes, entonces el examen termina y suspendes. Esta estimación la hace en cada pregunta a partir de la 125, con lo cual tu examen puede terminar en la pregunta 130, 149 o 174, por ejemplo, y solo sabrás si has aprobado o suspendido cuando se imprima la hoja de resultados.
– En español. Se utiliza el sistema tradicional lineal sin IA. Son 250 preguntas y tienes 6 horas para responder. Apruebas con el 70% acertadas.
Yo realicé el examen cuando había de 100 a 150 preguntas, de las cuales 25 no puntúan (ahora han añadido otras 25 de las que no puntúan, por eso ahora hay de 125 a 175 preguntas) con un máximo de 3 horas. Mi examen terminó en la pregunta 103, y salí totalmente convencido de que había suspendido. Cuando me dieron el aprobado mi cara fue un poema. El examen te destroza la moral y te va hundiendo cada pregunta. Pero si entrenas y eres capaz de calmarte, tienes lo más difícil hecho.
Yo te recomiendo que si tienes un nivel básico de inglés compres los libros y hagas el examen en inglés, por dos motivos. Primero, las traduciones muchas veces no son ideales y menos en conceptos de IT. En segundo lugar, con el método de la inteligencia artificial tienes un examen mucho más corto. Es cierto que el hecho de que la IA determine las siguientes preguntas en base a tus respuestas previas puede hacer el examen más difícil, pero también puedes llegar a aprobar sin tener que responder todas las preguntas. Cuando pasas tres horas en un examen así, acabas extremadamente cansado. No imagino como debe ser estar seis horas.
No es un examen complicado a nivel práctico como pueda ser el OSCP, pero es importante entender en profundidad todos los temas y saber cómo aplicarlas a la vida real, pues la mayoría de preguntas plantean casos específicos en los que se ha de elegir cuál es la manera correcta de actuar en base a lo expuesto en el CISSP CBK. Por tanto es necesario tanto haber adquirido los conocimientos como saber aplicar el sentido común. Además, cabe destacar que es un examen focalizado a cómo alguien debe dirigir la seguridad de una empresa. Por tanto el factor management es clave y tus respuestas deben reflejarlo. Tienes que pensar como lo haría un CISO, y quizá esa es la parte más complicada de entender: no has de buscar la solución más óptima sino la que mejor se adapta a cada situación.
Esta es la metodología que yo he seguido para preparar la certificación y a mí me ha funcionado, espero que esta información pueda serte de utilidad a ti también.
Lethani.