54 - Certificación CISSP - 14/10/2006
Autor: Lic. Cristian F. Borghello
http://www.segu-info.com.ar
Para comenzar realizaré un breve resumen de las características
básicas de esta Certificación Internacional que reúne alrededor de
30.000 profesionales en el mundo.
La Certificación CISSP es entregada por (ISC)2, una organización sin
fines de lucro dedicada a aspectos de seguridad de la información y que
ha provisto Certificaciones Internacionales a profesionales desde 1992.
(ISC)2 fue formada en 1998 por la unión de organizaciones de seguridad
en IT.
- Es la Certificación de mayor reconocimiento internacional como
Profesional Integral en InfoSec, con el mismo valor académico y
profesional en cualquier lugar del mundo.
- Es una de las pocas Certificaciones que ha logrado el Estándar
ISO/IEC 17024 como "General requirements for bodies operating
certification of persons."
- Consta de 10 dominios de estudio (conocidos como CBK - Base Común de
Conocimiento) que cubren gran parte del conocimiento y experiencia
actual en seguridad de la información.
- Lograr esta Certificación es un aval de Conocimiento, Credibilidad
y Calidad.
- Para certificar se requieren 4 años de experiencia en cualquiera de
los dominios o bien 3 años de experiencia y un título de grado. Se
puede rendir y aprobar el examen pero se logrará la Certificación
cuando se cumplan los requisitos de experiencia.
- El proceso de Certificación consta de tres etapas:
- Examination (rendir un exámen)
- Certification (verificar experiencia y código de ética)
- Audit (revisión de antecendentes en forma aleatoria)
- Rendir tiene un costo de 499 U$S
- El exámen consta de 250 preguntas múltiple choice 4 opciones
posibles y una sola correcta. Si la pregunta se responde
incorrectamente no se suma puntaje y tampoco se resta. De estas
preguntas 25 no suman ni restan puntos y sólo son de prueba. El
examinado no conoce cuales son estas preguntas por lo que deberá
contestar las 250.
- El participante dispone de 6 hs para realizar el exámen.
- Los lugares de examinación son informados un mes y medio antes de
la fecha y pueden variar según la cantidad de interesados en cada país.
- El examen puede solicitarse en varios idiomas (incluido el
español) pero siempre se recibirá además en original en inglés para
evitar inconvenientes y dudas propias de la traducción.
- Se aprueba el examen con 70% y cuando se lo hace no se informa al
participante su puntaje, sólo se informa su aprobación y se lo
felicita. Esto es así para lograr que todos los certificados sean
igualmente CISSP sin importar el puntaje obtenido. En caso de no
aprobar, sí se notifica el puntaje obtenido y el dominio en cual debe
reforzar los estudios.
- Posterior a rendir el examen se debe acordar con el código de ética
y un superior u otro CISSP deberá corroborar (firmar) la hoja de vida
del interesado y su experiencia.
- Posterior a esto y antes de obtener la Certificación puede
(aleatóriamente) realizarse una auditoría al candidato. Luego de ello
el candidato recibe su credencial de CISSP.
- Para revalidar se debe demostrar actualización permanente. En este
caso se debe sumar 120 puntos cada 3 periodos anuales.
- Las formas de estudio suelen ser:
- Persona independiente con las guías de estudio
- Toma de Bootcamps en grupos y dictados por otros CISSP
- Grupos de estudio independientes
- Cualquier combinación anterior
- Las guías (libros de 1000 hojas) de estudios más comúnmente
utilizados son:
- CISSP All-in-One Exam Guide, Third Edition by Shon Harris
(McGraw-Hill Osborne Media) ISBN: 007225712
- Official (ISC)2 Guide to the CISSP Exam By Susan Hansche
(AUERBACH) ISBN: 084931707X
- The CISSP Prep Guide: Gold Edition By Ronald L. Krutz, Russell
Dean Vines (Wiley) ISBN: 047126802X
- Advanced CISSP Prep Guide: Exam Q&A By Ronald L. Krutz, Russell
Dean Vines (Wiley) ISBN: 0471236632
- CISSP Certification Training Guide By Roberta Bragg (Que) ISBN: 078972801X
- Information Security Management Handbook, Fifth Edition By Harold
F. Tipton, Micki Krause (Que) ISBN: 0849319978
- CISSP: Certified Information Systems Security Profesional Study
Guide Third Edition By James M. Stewart, Ed Tittel, Mike Chapple
(Sybex) ISBN: 0782144438
- Preguntas y respuestas de prueba online:
http://www.boson.com/
http://www.boson.com/
http://www.testking.com/
Como nota al margen respondo una pregunta ampliamente realizada: si
bien los libros mencionados pueden conseguirse en Internet y redes
P2P, es muy recomendado adquirirlos en cualquier librería. Esto es
debido a que, como se vio, una certificación de este tipo cumple con
un código de ética que sería conveniente seguir. Además poseer libros
de este volumen en nuestra biblioteca, sin duda, realza la misma.
A continuación dejo un breve resumen realizado por el CISSP Ezequiel
Sallis (a cargo del intensivo mencionado) en donde se explican las
diferencias con otras Certificaciones como CISA.
Las dos Certificación CISSP y CISA, están orientadas para diferentes
perfiles. En caso de CISSP esta orientado a un CISO (con un perfil más
técnico que funcional) y en el otro caso esta pura y exclusivamente
orientado a un perfil de Auditor. No está de más tener las dos o las
tres si mencionamos CISM (fuertemente orientada al Management de la
seguridad de la información).
Creo que el punto en este caso es ver cual es el objetivo de cada
persona y certificar el conocimiento adecuado.
A continuación dejo algunos puntos a considerar para "Certificar o no
Certificar".
Certificar o No Certificar
- Las Certificaciones son en gran parte, un indicador acerca del nivel de
conocimiento.
- Sin embargo, la mayoría de las Certificación no implican la existencia
de experiencia practica.
- No tener una Certificación NO se traduce en no tener conocimientos
El correcto entorno de una Certificación debe tener
- Un claro cuerpo del conocimiento
- Un estándar de conducta
- Una clara estructura que defina que significa la Certificación y cuales
son los pasos para obtenerla
Tipos de Certificaciones de seguridad existentes
- Over All Scope (sin vendor especificado)
- Especificas:
. Vendor Independent
. Vendor Dependent
Motivo de una Certificación
- ¿En realidad la quiero?
- Dos consideraciones a tener en cuenta:
. Area de conocimiento en el que deseo la Certificación
. La Certificación debe mostrar conocimientos específicos o mas
bien prefiero que demuestre conocimientos generales
Manteniendo las Certificaciones al día
- Generalmente se requiere del pago de un fee anual para el mantenimiento
- Pueden tener un periodo de validez
- La re-Certificación puede requerir rendir nuevamente el examen
- Algo interesante son aquellas Certificaciones en las que para
re-certificar, hay que acreditar la actualización permanente(CPE). Por
ejemplo CISSP
Algunas Certificaciones
- Certified Information System Security Professional CISSP
- Certified Information Security Manager CISM
- GIAC Security Essentials Certification GSEC
- Certified Information System Auditor CISA
- Microsoft Certified System Administrator + Security MCSA
- Cisco Certified Security Professional CCSP
- Certified Ethical Hacker CEH
- OSSTMM Professional Security Tester OPST
- Muchas otras
Consideraciones Finales
- Son un diferencial a la hora de postularse a un trabajo
- Otras veces se cree que es un error tipográfico al lado de nuestro
nombre en el CV (Juan Perez CRZX/HTSE/JS$#@)
- Una Certificación, generalmente, no abarca valores intangibles que son
importantes como:
. Inteligencia
. Sentido Común
. Ética Laboral
Más Información:
Sitio de ISC2
El placer de ser CISSP
Acabando con los mitos de CISSP (Shon Harris)
Buenos Aires, 14 de octubre de 2006