El mercado laboral actual para las empresas de TI difícilmente puede llamarse interesante y diverso. Sin embargo, incluso en él puede cumplir con los requisitos para que los empleados tengan un certificado CISSP. Esta certificación es el estándar de facto en Occidente, pero Sergey Polunin, un empleado de nuestra empresa, compartió cómo obtener este certificado en Rusia.
De hecho, la decisión de obtener CISSP surgió en 2017, cuando se hizo evidente que los certificados profesionales de grandes proveedores finalmente dejaron de cumplir su función principal: confirmar el conocimiento y la experiencia de los especialistas. Esto se debe a la recolección de vertederos, el nivel general de preguntas en las pruebas, la falta de honradez de los centros de prueba y muchos otros factores objetivos y no muy importantes.
Siempre consideré el proceso de obtención de certificados como una oportunidad para obtener conocimiento sobre el producto o la tecnología adecuados. Porque no hay mejor manera de llenar los vacíos en la educación que tomar la guía del gurú y leer de principio a fin, mientras hace los ejercicios. Y así fue durante un tiempo, hasta que las guías oficiales comenzaron a deslizarse en "haga clic en el botón en la esquina superior derecha para que funcione", así como publicidad franca. La situación no es mejor en la mayoría de los centros de capacitación, pero esta es una historia completamente diferente.
Que hacer
Además de los certificados reales de los proveedores, también hay sistemas de certificación independientes del proveedor, que recomiendo buscar a especialistas que no hayan abandonado la idea del desarrollo independiente y el crecimiento profesional.
De hecho, ya tuve la experiencia de aprobar un examen similar en 2010, cuando pasé CompTIA Security +. Esta es una muy buena opción para que un especialista novato evalúe su nivel e incluso amplíe sus horizontes en algunos asuntos. CompTIA Secuity + es un bombardeo de 90 preguntas en 90 minutos. Por cierto, el examen se actualiza regularmente desde 2006 y hasta el día de hoy contiene las tendencias actuales en el campo de la seguridad de la información.
Entonces, decidiste convertirte en CISSP
Certified Information Systems Security Professional es una certificación de seguridad de la información independiente del proveedor de una organización llamada International Information Systems Security Certifications Consortium (ISC) ². Esta es una organización internacional sin fines de lucro para la prueba y certificación de especialistas en el campo de la seguridad de la información.
Esta certificación apareció en 1991 y está destinada a consultores, arquitectos y analistas en el campo de la seguridad de la información.
CISSP, como puede suponer, se encuentra entre las certificaciones más altas en el campo de la seguridad de la información.
Además, por cierto, también hay CISA (auditor de sistemas de información) y CISM (gerente de seguridad de la información), pero ahora no se trata de ellos.
Entonces, se toma la decisión, comenzamos a buscar materiales para la preparación y encontramos varias fuentes:
Primero, la guía oficial oficial de estudio oficial de seguridad de sistemas de información CISSP (ISC) 2, James M. Stewart, Mike Chapple, Darril Gibson:
Usé este libro en particular. Además de esto, hay una aplicación para Android / iOS con un examen práctico. Estos no son volcados, pero le permiten evaluar y sentir la lógica de las preguntas.
En segundo lugar, la Guía de examen todo en uno CISSP, Shon Harris:
Esta es una guía no oficial, pero un poco más voluminosa y, subjetivamente, más difícil de leer.
En tercer lugar, hay un pequeño libro "Undécima hora CISSP: Guía de estudio", Eric Conrad, Joshua Feldman, Seth Misenar:
Esto es un poco más de 200 páginas, lo que sería bueno leer justo antes del examen para actualizar lo que lees.
Y además de esto, hay mapas mentales interminables, notas, diapositivas de los distribuidores y distribuidores.
Lo principal que un especialista experimentado puede aprender de estos libros es ajustar los términos. ¿Cuál es la diferencia entre preventivo y disuasivo? ¿Qué es el ALE? ¿Cómo se relaciona con ARO y EF? ¿Cuál es la diferencia entre el debido cuidado y la debida diligencia? Preguntas similares deberían desaparecer durante el proceso de lectura.
Este es el momento de recordarle que todos los libros, por supuesto, en inglés y el examen en general, significan que tiene 5 años de experiencia paga en el campo de la seguridad de la información en dos o más dominios (más sobre ellos a continuación). Es poco probable que usted, el nombre de tal experiencia, no pueda dominar más de 1000 páginas en inglés.
Estos cinco años, por cierto, pueden reducirse en 1 año si tiene una educación especializada en el campo de la seguridad de la información, o algún certificado relevante (sí, al menos el mismo CompTIA Security + o MCSE. Tengo ambos, pero solo reducen el tiempo por 1 año).
Ahora sobre los dominios. Todas las preguntas se dividen en ocho dominios, es decir áreas:
1. Seguridad y gestión de riesgos
Este módulo analiza los fundamentos teóricos básicos de la seguridad de la información: modelos de seguridad de la información, Biba / Clark-Wilson o Bell-LaPadula, "Tríada de seguridad de la información", análisis y gestión de riesgos, enfoques para la gestión de la seguridad de la información. Toca temas de ética profesional y legislación.
2. Seguridad de los activos
En este dominio, estamos hablando de activos, y si ya hace una pregunta, sobre datos. Temas principales: gestión de datos, clasificación, propietarios de datos, roles, control de acceso, almacenamiento y destrucción de datos.
3. Arquitectura e ingeniería de seguridad (ingeniería y seguridad arquitectónica)
Aparentemente, este es el dominio más amplio en términos de temas, porque aquí hay seguridad física (alarmas, barreras, extinción de incendios, etc.), y criptografía, y soluciones técnicas específicas, e incluso características arquitectónicas de varios modelos de acceso y su implementación. .
4. Comunicación y seguridad de red
Probablemente el dominio más práctico y comprensible donde debe recordar SSL, TLS, HMAC, S-RPC, EAP, etc. Si los datos se transmiten a través de redes, hay una pregunta al respecto en el dominio especificado.
5. Gestión de identidad y acceso
Aquí están todas las preguntas sobre los usuarios del sistema y sus credenciales. Recordamos cómo la autorización difiere de la autenticación y todas juntas de la identificación. Luego observamos cómo se ve el ciclo de administración de la cuenta y cómo la autenticación de dos factores puede ayudarnos.
6. Evaluación de seguridad y pruebas
Este dominio aborda los problemas prácticos de las pruebas de seguridad. ¿Por qué escáneres de seguridad? Quien es OWASP? ¿Qué amenaza a un pentest sin la sanción del propietario de la información?
7. Operaciones de seguridad
Este es el más aburrido de todos los dominios donde se investigan los aspectos prácticos de la rutina diaria del departamento de seguridad de la información: investigación de incidentes, procesamiento de solicitudes, etiquetado de medios, separación de funciones y poderes, gestión de cambios, etc.
8. Seguridad de desarrollo de software
El dominio parece un poco extraño porque considera todo tipo de cosas como SDLC, PERT, Agile y otros modelos de desarrollo de software. Pero, de hecho, CISSP debe tener competencia en todos los aspectos de la seguridad de la información, por lo que debe profundizar en esto. Aquí no se requieren habilidades de programación específicas, pero quién sabe qué tendrán que hacer algún día.
Hasta cierto punto tuve suerte: estoy realmente interesado en mi profesión, y la mayoría de los temas no plantearon preguntas adicionales, excepto, quizás, el último dominio. No hay nada difícil, simplemente no me encontré con esto en la práctica.
Registrarse para el examen
El examen se aprueba en el conocido sistema de pruebas de Pearson VUE, donde toman los mismos exámenes de Cisco o Microsoft. Sin embargo, el truco es que no todos los centros de examen toman este examen. En San Petersburgo, por ejemplo, solo hay uno de esos centros. La cuestión es que los centros de exámenes que toman el examen CISSP tienen requisitos más estrictos de lo habitual. Por ejemplo, cuando se registra en un centro de pruebas, la identificación biométrica es necesaria de acuerdo con el patrón de las venas de la palma; en consecuencia, el centro de pruebas debe tener el equipo apropiado.
No puede llevar nada al examen, excepto los medicamentos necesarios y, tal vez, algo de comer. Pero no olvide traer un documento de identidad con usted.
En el examen
El día señalado, llegamos al centro de exámenes, hacemos los trámites y nos sentamos en la computadora. La prueba consta de 250 preguntas en todos los dominios. Se da 6 horas, no hay descansos. Además, prácticamente no hay preguntas sobre el conocimiento de ningún concepto, hecho o definición. La mayoría de las preguntas están destinadas a evaluar el conocimiento de las mejores prácticas, metodologías y estándares. Es decir una pregunta puede tener todas las respuestas lógicamente correctas, pero solo una cumple con el estándar. Por ejemplo, si entre las respuestas hay algo sobre "garantizar la seguridad física de las personas", entonces esta respuesta siempre es correcta.
Me las arreglé en 3.5 horas, y esto es muy bueno, porque después de dos horas de arduo trabajo, mi atención se disipa gradualmente, la lógica deja de funcionar. Pero se incluyen el sentido común y la experiencia, lo que nos permite filtrar respuestas obviamente falsas y elegir la más precisa de las restantes.
Entonces, llegamos a la última pregunta, hacemos clic en "Finalizar" y finalmente ... nada, de hecho, sucede. Debe ir al administrador del centro de pruebas, que emitirá una copia impresa con felicitaciones. O con una notificación de que el examen no se ha aprobado y tendrá que pagar $ 699 por otro intento. Al mismo tiempo, si no se aprueba el examen, la impresión indicará cuántos puntos se obtuvieron y cuántos no fueron suficientes.
Pasé la primera vez, a pesar de que me llevó unos tres meses prepararme. Leí historias interminables sobre cómo las personas tomaron este examen 3-4 veces y se prepararon mentalmente para el mismo escenario. Sin embargo, todo resultó ser más simple, aparentemente no es en vano que los requisitos indiquen experiencia laboral real.
Mi decepción con la "complejidad" de este examen fue compartida por varios colegas extranjeros. Además, cada uno por su propia razón: alguien estaba molesto por la simplicidad del examen (pasaban mucho tiempo conociendo el derecho internacional, el RGPD y las enmiendas a la constitución de los EE. UU., Pero solo había 3 preguntas sobre este tema), y alguien estaba aislado de la vida real (ninguno ¡Un trabajo de laboratorio!).
Pero ese no es el punto del examen. Se concibe como "una milla de ancho, pero una pulgada de profundidad". El candidato debe mostrar sus amplios horizontes en el tema, así como comprender qué procesos comerciales están marcados en la configuración de Active Directory y qué políticas implementan las tablas de enrutamiento. CISSP debería amar el enfoque del proceso y comenzar a pensar como gerente en el buen sentido de la palabra.
Que sigue
Entonces, el examen pasó y te convertiste en CISSP (jaja, en realidad, no). Ahora su experiencia debe ser confirmada por alguien del CISSP existente. Puede ser un colega, un amigo o incluso una persona completamente desconocida; en ninguna parte de las reglas se indica qué tipo de relación debe tener con él.
Luego, debe adoptar el Código de Ética (ISC) ² (https://www.isc2.org/Ethics), esperar otra carta de confirmación y finalmente obtener el codiciado estado. De hecho, solo por un año. El hecho es que el estado de CISSP debe confirmarse cada año. No necesita volver a realizar un examen, en su lugar, funciona el mecanismo CPE (Educación profesional continua), es decir, Educación profesional continua. Para no perder el estado de CISSP, es necesario participar en la vida de la comunidad del IB: escribir artículos, participar en eventos, dar conferencias, autoeducarse o, en el peor de los casos, escuchar podcasts temáticos. Por cada tipo de actividad se otorgan puntos. Debe marcar al menos 40 por año. Solo en este caso se ampliará el estado.
Que esta mal
Rápidamente se hace evidente que solo usted y un par de colegas conocen la existencia de CISSP. Estas cartas crípticas no aparecen en los títulos de trabajo, a menos que, por supuesto, sean una empresa extranjera, donde los CISSP son a menudo un requisito previo para una invitación a una entrevista. Esto no es ni bueno ni malo; estas son las realidades del mercado ruso de seguridad de la información. No tenemos nuestras propias certificaciones, y el diploma de educación superior en el campo de la seguridad de la información sigue siendo el único documento relevante.
Sin embargo, el prestigio de la profesión está disminuyendo gradualmente, y los solicitantes prefieren especialidades más avanzadas y socialmente atractivas, y los graduados universitarios que vienen a las entrevistas cada vez más a menudo no pueden formular exactamente lo que han estado haciendo durante los últimos 5 años dentro de los muros de su alma mater.
La paradoja es diferente: el número de CISSP, CISA y CISM certificados en la Federación Rusa está creciendo gradualmente, lo que significa que no todo está perdido.
El blog de Sergey en inglés se puede leer
aquí .