O mercado de trabalho atual das empresas de TI dificilmente pode ser chamado de interessante e diversificado. No entanto, mesmo nele, você pode atender aos requisitos para que os funcionários tenham um certificado CISSP. Essa certificação é o padrão de fato no Ocidente, mas Sergey Polunin, um funcionário de nossa empresa, compartilhou como obter esse certificado na Rússia.
De fato, a decisão de obter o CISSP surgiu em 2017, quando ficou óbvio que os certificados profissionais de grandes fornecedores finalmente deixaram de cumprir sua principal função - confirmar o conhecimento e a experiência de especialistas. Isso ocorre devido à coleta de lixões, ao nível geral de perguntas nos testes, à desonestidade dos centros de teste e a muitos outros fatores objetivos e não muito fatores.
Sempre considerei o processo de obtenção de certificados como uma oportunidade para obter conhecimento sobre o produto ou a tecnologia certos. Porque não há melhor maneira de preencher as lacunas na educação do que seguir as orientações do guru e ler de capa a capa, enquanto faz os exercícios. E assim foi por um tempo, até que os guias oficiais começaram a deslizar para “clicar no botão no canto superior direito para fazê-lo funcionar”, além de publicidade franca. A situação não é melhor na maioria dos centros de treinamento, mas essa é uma história completamente diferente.
O que fazer
Além dos certificados reais dos fornecedores, também existem sistemas de certificação independentes, que recomendo procurar especialistas que não abandonaram a idéia de desenvolvimento independente e crescimento profissional.
Na verdade, eu já tive a experiência de passar em um exame semelhante em 2010, quando passei no CompTIA Security +. Esta é uma opção muito boa para um especialista iniciante avaliar seu nível e até ampliar seus horizontes em alguns assuntos. CompTIA Secuity + é uma blitz de 90 perguntas em 90 minutos. A propósito, o exame é atualizado regularmente já a partir de 2006 e até hoje contém as tendências atuais no campo da segurança da informação.
Então, você decidiu se tornar CISSP
O Certified Information Systems Security Professional é uma certificação de segurança da informação independente do fornecedor de uma organização chamada International Information Systems Security Certifications Consortium (ISC )². Esta é uma organização internacional sem fins lucrativos para testes e certificação de especialistas na área de segurança da informação.
Essa certificação surgiu em 1991 e é destinada a consultores, arquitetos e analistas na área de segurança da informação.
O CISSP, como você pode imaginar, está entre as mais altas certificações no campo da segurança da informação.
Além disso, a propósito, também existem o CISA (auditor de sistemas de informação) e o CISM (gerente de segurança da informação), mas agora não se trata deles.
Assim, tomada a decisão, começamos a procurar materiais para preparação e encontramos várias fontes:
Primeiro, o Guia Oficial de Estudo Oficial do Profissional de Segurança de Sistemas de Informação Certificados CISSP (ISC) 2, James M. Stewart, Mike Chapple, Darril Gibson:
Eu usei este livro em particular. Além disso, há um aplicativo para Android / iOS com um exame prático. Estes não são lixões, mas permitem avaliar e sentir a lógica das perguntas.
Em segundo lugar, o Guia do exame CISSP All-in-One, Shon Harris:
Este é um guia não oficial, mas um pouco mais volumoso e, subjetivamente, mais difícil de ler.
Em terceiro lugar, há um pequeno livro “Décima Primeira Hora CISSP: Guia de Estudo”, Eric Conrad, Joshua Feldman, Seth Misenar:
São pouco mais de 200 páginas, o que seria bom de ler antes do exame para atualizar o que você lê.
Além disso, existem inúmeros mapas mentais, anotações, slides dos revendedores e revendedores.
A principal coisa que um especialista experiente pode aprender com esses livros é restringir os termos. Qual é a diferença entre Preventivo e Deterrent? O que é ALE? Como está relacionado ao ARO e EF? Qual é a diferença entre due diligence e due diligence? Perguntas semelhantes devem desaparecer durante o processo de leitura.
Aqui está a hora de lembrá-lo de que todos os livros, é claro, em inglês e no exame em geral, significam que você tem 5 anos de experiência paga no campo da segurança da informação em dois ou mais domínios (mais sobre eles abaixo). É improvável que você, o nome dessa experiência, não consiga dominar mais de 1000 páginas em inglês.
A propósito, esses cinco anos podem ser reduzidos em 1 ano se você tiver uma educação especializada no campo da segurança da informação ou algum certificado relevante (sim, pelo menos o mesmo CompTIA Security + ou MCSE. Eu tenho os dois, mas eles apenas reduzem o tempo por 1 ano).
Agora sobre os domínios. Todas as perguntas são divididas em oito domínios, ou seja, áreas:
1. Gerenciamento de Segurança e Riscos
Este módulo discute os fundamentos teóricos básicos da segurança da informação: modelos de segurança da informação, Biba / Clark-Wilson ou Bell-LaPadula, "Tríade da segurança da informação", análise e gerenciamento de riscos, abordagens ao gerenciamento da segurança da informação. Ele aborda questões de ética e legislação profissional.
2. Segurança de ativos
Nesse domínio, estamos falando de ativos e, se você já fizer uma pergunta - sobre dados. Principais tópicos: gerenciamento de dados, classificação, proprietários de dados, funções, controle de acesso, armazenamento e destruição de dados.
3. Arquitetura e engenharia de segurança (engenharia e segurança arquitetônica)
Aparentemente, esse é o domínio mais amplo em termos de tópicos, porque aqui há segurança física (alarmes, barreiras, extinção de incêndios etc.), criptografia, soluções técnicas específicas e até recursos arquitetônicos de vários modelos de acesso e sua implementação. .
4. Comunicação e segurança de rede
Provavelmente, o domínio mais prático e compreensível no qual você deve se lembrar de SSL, TLS, HMAC, S-RPC, EAP etc. Se os dados são transmitidos por redes, há uma pergunta sobre isso no domínio especificado.
5. Gerenciamento de identidade e acesso
Aqui estão todas as perguntas sobre os usuários do sistema e suas credenciais. Lembramos como a autorização difere da autenticação e todas elas juntas da identificação. Depois, veremos como é o ciclo de gerenciamento de contas e como a autenticação de dois fatores pode nos ajudar.
6. Avaliação e teste de segurança
Este domínio aborda as questões práticas dos testes de segurança. Por que scanners de segurança? Quem é o OWASP? O que ameaça um protesto sem a sanção do proprietário da informação?
7. Operações de segurança
Esse é o mais chato de todos os domínios em que são investigados os aspectos práticos da rotina diária do departamento de segurança da informação - investigação de incidentes, processamento de aplicativos, rotulagem de mídia, separação de tarefas e poderes, gerenciamento de mudanças etc.
8. Segurança de Desenvolvimento de Software
O domínio parece um pouco estranho, porque considera todo tipo de coisa como SDLC, PERT, Agile e outros modelos de desenvolvimento de software. Mas, de fato, o CISSP deve ter competência em todos os aspectos da segurança da informação, portanto você precisa se aprofundar nisso. Nenhuma habilidade de programação específica é necessária aqui, mas quem sabe o que eles terão que fazer um dia.
Até certo ponto, tive sorte - estou realmente interessado em minha profissão e a maioria dos tópicos não levantou questões adicionais, exceto, talvez, o último domínio. Não há nada difícil, eu simplesmente não me deparei com isso na prática.
Registre-se para o exame
O exame é aprovado no sistema familiar de muitos sistemas de teste Pearson VUE, onde eles fazem os mesmos Cisco ou Microsoft. No entanto, o truque é que nem todos os centros de teste fazem esse exame. Em São Petersburgo, por exemplo, existe apenas um desses centros. O fato é que os centros de teste que fazem o exame CISSP têm requisitos mais rigorosos do que o habitual. Por exemplo, ao se registrar em um centro de testes, a identificação biométrica é necessária de acordo com o padrão das veias da palma da mão; portanto, o centro de testes deve ter o equipamento apropriado.
Você não pode levar nada com você para o exame, exceto os medicamentos necessários e, talvez, algo para comer. Mas não esqueça de levar um documento de identidade com você.
No exame
No dia marcado, chegamos ao centro de testes, passamos pelas formalidades e sentamos no computador. O teste consiste em 250 perguntas em todos os domínios. É dado 6 horas, não há intervalos. Além disso, praticamente não há perguntas sobre o conhecimento de quaisquer conceitos, fatos ou definições. A maioria das perguntas tem como objetivo testar o conhecimento das melhores práticas, metodologias e padrões. I.e. uma pergunta pode ter todas as respostas logicamente corretas, mas apenas uma atende ao padrão. Por exemplo, se entre as respostas houver algo sobre "garantir a segurança física das pessoas", essa resposta estará sempre correta.
Eu consegui em algum lugar em 3,5 horas, e isso é muito bom, porque depois de duas horas de trabalho duro, minha atenção está gradualmente se dissipando, a lógica para de funcionar. Mas o senso comum e a experiência estão incluídos, o que nos permite filtrar respostas obviamente falsas e escolher a mais precisa dentre as demais.
Então, chegamos à última pergunta, clique em "Concluir" e finalmente ... nada, de fato, acontece. Você precisa ir ao administrador do centro de testes, que emitirá uma impressão com parabéns. Ou com uma notificação de que o exame não foi aprovado e você terá que pagar um novo $ 699 por outra tentativa. Ao mesmo tempo, se o exame não for aprovado, a impressão indicará quantos pontos foram marcados e quantos não foram suficientes.
Passei pela primeira vez, apesar de levar cerca de três meses para me preparar. Li histórias intermináveis sobre como as pessoas fizeram esse exame de 3 a 4 vezes e me preparei mentalmente para o mesmo cenário. No entanto, tudo acabou sendo mais simples, aparentemente não é em vão que os requisitos indiquem uma experiência de trabalho real.
Minha decepção com a "complexidade" deste exame foi compartilhada por vários colegas estrangeiros. Além disso, cada um por sua própria razão: alguém ficou chateado com a simplicidade do exame (eles gastaram tanto tempo conhecendo direito internacional, GDPR e emendas à constituição dos EUA, mas havia apenas três perguntas sobre esse tópico) e alguém foi isolado da vida real (nem um trabalho de laboratório!).
Mas esse não é o objetivo do exame. É concebido para ser "uma milha de largura, mas uma polegada de profundidade". O candidato deve mostrar seus amplos horizontes no assunto, bem como entender quais processos de negócios estão marcados nas configurações do Active Directory e quais políticas implementam tabelas de roteamento. O CISSP deve adorar a abordagem do processo e começar a pensar como gerente no bom sentido da palavra.
O que vem a seguir
Então, o exame passou e você se tornou o CISSP (haha, na verdade, não). Agora sua experiência deve ser confirmada por alguém do CISSP existente. Pode ser um colega, amigo ou até mesmo uma pessoa completamente desconhecida - em nenhuma parte das regras indica que tipo de relacionamento você deve ter com ele.
Em seguida, você precisa adotar o Código de Ética (ISC) ² (https://www.isc2.org/Ethics), aguardar outra carta de confirmação e finalmente obter o status desejado. De fato, apenas por um ano. O fato é que o status do CISSP deve ser confirmado a cada ano. Você não precisa fazer um exame novamente. Em vez disso, o mecanismo CPE (educação profissional continuada) funciona, ou seja, educação profissional continuada. Para não perder o status do CISSP, você deve participar da vida da comunidade IB: escrever artigos, participar de eventos, dar palestras, auto-educar ou, na pior das hipóteses, ouvir podcasts temáticos. Para cada tipo de atividade são atribuídos pontos. Você deve discar pelo menos 40 por ano, apenas neste caso o status será estendido.
O que está errado?
Logo fica claro que apenas você e alguns colegas sabem da existência do CISSP. Essas cartas enigmáticas não aparecem nos cargos, a menos que, é claro, sejam uma empresa estrangeira, onde os CISSPs são frequentemente um pré-requisito para um convite para uma entrevista. Isso não é bom nem ruim: essas são as realidades do mercado russo de segurança da informação. Não possuímos nossas próprias certificações, e o diploma de ensino superior no campo da segurança da informação continua sendo o único documento relevante.
No entanto, o prestígio da profissão está diminuindo gradualmente, e os candidatos preferem especialidades mais avançadas e socialmente atraentes, e os graduados das universidades que vêm às entrevistas com mais frequência não conseguem formular o que exatamente estão fazendo nos últimos 5 anos dentro dos muros de sua alma mater.
O paradoxo é diferente - o número de CISSP, CISA e CISM certificados na Federação Russa está crescendo gradualmente, o que significa que nem tudo está perdido.
O blog de Sergey em inglês pode ser lido
aqui .