54 - Certificación CISSP - 14/10/2006


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Para comenzar realizaré un breve resumen de las características básicas de esta Certificación Internacional que reúne alrededor de 30.000 profesionales en el mundo.

La Certificación CISSP es entregada por (ISC)2, una organización sin fines de lucro dedicada a aspectos de seguridad de la información y que ha provisto Certificaciones Internacionales a profesionales desde 1992.
(ISC)2 fue formada en 1998 por la unión de organizaciones de seguridad en IT.

  • Es la Certificación de mayor reconocimiento internacional como Profesional Integral en InfoSec, con el mismo valor académico y profesional en cualquier lugar del mundo.
  • Es una de las pocas Certificaciones que ha logrado el Estándar ISO/IEC 17024 como "General requirements for bodies operating certification of persons."
  • Consta de 10 dominios de estudio (conocidos como CBK - Base Común de Conocimiento) que cubren gran parte del conocimiento y experiencia actual en seguridad de la información.
  • Lograr esta Certificación es un aval de Conocimiento, Credibilidad y Calidad.
  • Para certificar se requieren 4 años de experiencia en cualquiera de los dominios o bien 3 años de experiencia y un título de grado. Se puede rendir y aprobar el examen pero se logrará la Certificación cuando se cumplan los requisitos de experiencia.
  • El proceso de Certificación consta de tres etapas:

    1. Examination (rendir un exámen)
    2. Certification (verificar experiencia y código de ética)
    3. Audit (revisión de antecendentes en forma aleatoria)
  • Rendir tiene un costo de 499 U$S
  • El exámen consta de 250 preguntas múltiple choice 4 opciones posibles y una sola correcta. Si la pregunta se responde incorrectamente no se suma puntaje y tampoco se resta. De estas preguntas 25 no suman ni restan puntos y sólo son de prueba. El examinado no conoce cuales son estas preguntas por lo que deberá contestar las 250.
  • El participante dispone de 6 hs para realizar el exámen.
  • Los lugares de examinación son informados un mes y medio antes de la fecha y pueden variar según la cantidad de interesados en cada país.
  • El examen puede solicitarse en varios idiomas (incluido el español) pero siempre se recibirá además en original en inglés para evitar inconvenientes y dudas propias de la traducción.
  • Se aprueba el examen con 70% y cuando se lo hace no se informa al participante su puntaje, sólo se informa su aprobación y se lo felicita. Esto es así para lograr que todos los certificados sean igualmente CISSP sin importar el puntaje obtenido. En caso de no aprobar, sí se notifica el puntaje obtenido y el dominio en cual debe reforzar los estudios.
  • Posterior a rendir el examen se debe acordar con el código de ética y un superior u otro CISSP deberá corroborar (firmar) la hoja de vida del interesado y su experiencia.
  • Posterior a esto y antes de obtener la Certificación puede (aleatóriamente) realizarse una auditoría al candidato. Luego de ello el candidato recibe su credencial de CISSP.
  • Para revalidar se debe demostrar actualización permanente. En este caso se debe sumar 120 puntos cada 3 periodos anuales.
  • Las formas de estudio suelen ser:

    • Persona independiente con las guías de estudio
    • Toma de Bootcamps en grupos y dictados por otros CISSP
    • Grupos de estudio independientes
    • Cualquier combinación anterior
  • Las guías (libros de 1000 hojas) de estudios más comúnmente utilizados son:

    1. CISSP All-in-One Exam Guide, Third Edition by Shon Harris (McGraw-Hill Osborne Media) ISBN: 007225712
    2. Official (ISC)2 Guide to the CISSP Exam By Susan Hansche (AUERBACH) ISBN: 084931707X
    3. The CISSP Prep Guide: Gold Edition By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
    4. Advanced CISSP Prep Guide: Exam Q&A By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
    5. CISSP Certification Training Guide By Roberta Bragg (Que) ISBN: 078972801X
    6. Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978
    7. CISSP: Certified Information Systems Security Profesional Study Guide Third Edition By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
    8. Preguntas y respuestas de prueba online:
      http://www.boson.com/
      http://www.boson.com/
      http://www.testking.com/

Como nota al margen respondo una pregunta ampliamente realizada: si bien los libros mencionados pueden conseguirse en Internet y redes P2P, es muy recomendado adquirirlos en cualquier librería. Esto es debido a que, como se vio, una certificación de este tipo cumple con un código de ética que sería conveniente seguir. Además poseer libros de este volumen en nuestra biblioteca, sin duda, realza la misma.

A continuación dejo un breve resumen realizado por el CISSP Ezequiel Sallis (a cargo del intensivo mencionado) en donde se explican las diferencias con otras Certificaciones como CISA.

Las dos Certificación CISSP y CISA, están orientadas para diferentes perfiles. En caso de CISSP esta orientado a un CISO (con un perfil más técnico que funcional) y en el otro caso esta pura y exclusivamente orientado a un perfil de Auditor. No está de más tener las dos o las tres si mencionamos CISM (fuertemente orientada al Management de la seguridad de la información). Creo que el punto en este caso es ver cual es el objetivo de cada persona y certificar el conocimiento adecuado.

A continuación dejo algunos puntos a considerar para "Certificar o no Certificar".

Certificar o No Certificar

  • Las Certificaciones son en gran parte, un indicador acerca del nivel de conocimiento.
  • Sin embargo, la mayoría de las Certificación no implican la existencia de experiencia practica.
  • No tener una Certificación NO se traduce en no tener conocimientos

El correcto entorno de una Certificación debe tener

  • Un claro cuerpo del conocimiento
  • Un estándar de conducta
  • Una clara estructura que defina que significa la Certificación y cuales son los pasos para obtenerla

Tipos de Certificaciones de seguridad existentes

  • Over All Scope (sin vendor especificado)
  • Especificas:
    . Vendor Independent
    . Vendor Dependent

Motivo de una Certificación

  • ¿En realidad la quiero?
  • Dos consideraciones a tener en cuenta:
    . Area de conocimiento en el que deseo la Certificación . La Certificación debe mostrar conocimientos específicos o mas bien prefiero que demuestre conocimientos generales

Manteniendo las Certificaciones al día

  • Generalmente se requiere del pago de un fee anual para el mantenimiento
  • Pueden tener un periodo de validez
  • La re-Certificación puede requerir rendir nuevamente el examen
  • Algo interesante son aquellas Certificaciones en las que para re-certificar, hay que acreditar la actualización permanente(CPE). Por ejemplo CISSP

Algunas Certificaciones

  • Certified Information System Security Professional CISSP
  • Certified Information Security Manager CISM
  • GIAC Security Essentials Certification GSEC
  • Certified Information System Auditor CISA
  • Microsoft Certified System Administrator + Security MCSA
  • Cisco Certified Security Professional CCSP
  • Certified Ethical Hacker CEH
  • OSSTMM Professional Security Tester OPST
  • Muchas otras

Consideraciones Finales

  • Son un diferencial a la hora de postularse a un trabajo
  • Otras veces se cree que es un error tipográfico al lado de nuestro nombre en el CV (Juan Perez CRZX/HTSE/JS$#@)
  • Una Certificación, generalmente, no abarca valores intangibles que son importantes como:
    . Inteligencia
    . Sentido Común
    . Ética Laboral

Más Información:
Sitio de ISC2
El placer de ser CISSP
Acabando con los mitos de CISSP (Shon Harris)

Buenos Aires, 14 de octubre de 2006

Con más de 19 años de experiencia compartiendo la mejor información de Seguridad

Contacto