La certificación CISSP

Al hablar de seguridad siempre la consideramos como un proceso en lugar de como un producto, puesto que cada día aparecen nuevas vulnerabilidades y amenazas. Debido a éste proceso continuo, un aspecto crítico es la formación del personal que gestiona cualquier ambito de la seguridad.

Habitualmente, la formación en materia de seguridad (sin entrar en la autoformación), se lleva a cabo mediante cursos o certificaciones, ya sean técnicas o no. Una de las certificaciones mas valoradas (o al menos más solicitadas) es la certificacion CISSP (Certified Information Systems Security Professional) ofrecida por ISC(2) (International Information Systems Security Certification Consortium).

La certificación CISSP la podemos encontrar a medio camino entre una certificación puramente técnica y una dedicada más a aspectos de gestión. El proceso de certificación consta de 250 preguntas tipo test simples basadas en el Common Body of Knowledge (CBK), el cual está compuesto por los siguientes 10 dominios de seguridad:

1. Seguridad de la Información y Gestión de Riesgos (Information Security and Risk Management)
2. Sistemas y Metodología de Control de Acceso (Access Control Systems and Methodology)
3. Criptografía (Cryptography)
4. Seguridad Física (Physical Security)
5. Arquitectura y Diseño de Seguridad (Security Architecture and Design)
6. Legislación, Regulaciones, Cumplimiento de las mismas e Investigación (Legal, Regulations, Compliance, and Investigation)
7. Seguridad de red y Telecomunicaciones (Telecommunications and Network Security)
8. Planes de continuidad del negocio y de Recuperación Frente a Desastres (Business Continuity and Disaster Recovery Planning)
9. Seguridad de Aplicaciones (Applications Security)
10. Seguridad de Operaciones (Operations Security)

En España hay dos convocatorias, una en Barcelona (abril-mayo) y otra en Madrid (octubre-noviembre), pudiendo elegir el examen en inglés con la ayuda de un diccionario o en doble traducción inglés-español.

Dentro de los problemas que podemos encontrarnos a la hora de preparar esta certificacion destacaría:

  • La duración del examen. El examen dura 6 horas, más el tiempo de registro previo, que suele ser entre 30 minutos y 1 hora.
  • La multitud de documentación existente en el mercado. Existe gran cantidad de libros sobre la certificación, algunos de lectura más comoda que otros, y que, por muchos que leas, siempre te dejarás algo. Cuando piensas que ya te lo sabes, aparece una nueva referencia a un nuevo libro que debes revisar (y así sucesivamente).
  • No todas las preguntas tienen el mismo valor, ni todas puntuan, por lo que vas un poco a ciegas a la hora de hacer cálculos sobre la nota (en este caso, al menos las incorrectas no restan).

Una vez que finalizas el examen, se tarda entre 4 y 6 semanas en obtener el resultado. Si has tenido la suerte de aprobar (tienes que sacar un mínimo de 700 puntos sobre 1000), empieza el proceso de certificación, donde tienes que demostrar detalladamente tu formación y experiencia en seguridad (mínimo 5 años en al menos dos dominios del CBK). También debes adherirte al codigo ético de (ISC)2. Los resultados de este proceso tambien tardan varias semanas en comunicarlos. Si finalizas de forma correcta todo el proceso, deberás acreditar una cierta cantidad minima de CPE (120 cada 3 años) para mantener la certificación, como ya sucede en muchas de las certificaciones existentes en el mercado.

Si están preparando la certificación y tienen alguna duda en la que podamos ayudarles, tienen los comentarios a su disposición.

Comments

  1. ¿Qué ocurre si apruebas pero no tienes el mínimo de 5 años de experiencia?

  2. Hola Curro,

    La experiencia la tienes que indicar como requisito antes de apuntarte al examen y justificarla después en caso de que lo hayas superado. Si no cumples el requisito puedes hacer el examen y ser asociado de ISC2 hasta que tengas la experiencia necesaria para obtener la credencial de CISSP.

    Puedes obtener más información en la url: https://www.isc2.org/uploadedFiles/Credentials_and_Certifcation/Associate_of_(ISC)2/Associate-of-(ISC)2.pdf

  3. Comentar que si te has sacado una carrera superior (o sea, de 5 años) la experiencia necesaria se reduce a 3 años (diría).

  4. Hola Newlog,

    Tal y como bien indicas, se puede reducir un años a la experiencia requerida justificando una carrera superior o una serie de certificaciones (la reducción no es acumulable).

    Un listado de las certificaciones reconocidas son: https://www.isc2.org/credential_waiver/default.aspx

  5. Buenas

    Por si alguien le interesa, el examen en Madrid se realizara el proximo 22 de octubre.

  6. Dónde será el examen?

  7. Hola Mou,

    El examen en Madrid se realizara el proximo 22 de octubre.

  8. Para los lectores que tengan en mente presentarse al examen de certificacion, a partir de enero aparecera una nueva release del CBK, asi que estar atentos.

    Mas informacion: http://www.cccure.org/article1552.html

  9. Hola A Todos,

    Estoy preparandome para el Examen de Certicacion CISSP, y tengo la siguiente duda y no se donde puedo confirmarla en la pagina official del ISC2, o si alguiente puede despejarmela.

    la duda es la siguiente:

    Yo ya tengo experiencia de 4 años en 2 de estos dominios y tambien tengo la profecion de Ingeniero en Telecomunicaciones:

    Seguridad de red y Telecomunicaciones
    Arquitectura y Diseño de Seguridad

    Sin embargo al leer los foros y leer los requisitos

    Quien se encargaría de certificarme que yo tengo efectivamente los 4 áños de experiencia Mi empresa?, otro CISSP?

    En Caso de que sea mi empresa, tendría que manejarlo directamente con mi CEO Gerente General? o que pasos tengo que realizar.

    En Caso de que sea otra persona certificada en CISSP como puedo obtener su evaluación y/o auditoria para adquirir la certificació?.

    Muchas gracias por la ayuda.

  10. Hola,

    Cuando yo me examiné (supongo que no habrá cambiado), uno de los documentos que tenias que enviar para obtener la certificación era el ‘Applicant Endorsement Form’ (www.isc2.org/uploadedFiles/Certification_Programs/endorsement.pdf‎), el cual tiene que venir avalado por un certificado en ISC (CISSP, SSCP,..), que podría ser un compañero de trabajo, un mentor, un profesor, etc (en mi caso un compañero de trabajo).

    Si no tienes nadie certificado que te avale, teóricamente ISC puede hacerlo (https://www.isc2.org/endorsement-form.aspx y https://www.isc2.org/uploadedFiles/Certification_Programs/applicant-endorsement-help-CISSP.pdf).

    Un saludo