La certificación CISSP – II. Experiencia personal

En la entrada de ayer vimos algunos aspectos generales de la certificación CISSP, que se pueden ampliar en la página oficial de (ISC)2. En esta entrada es donde voy a entrar en detalle en los aspectos no formales, como materiales, consejos y opiniones personales. Empecemos.

¿Es difícil el examen?

Su buscamos en Google, las principales comunidades de usuario relacionadas con (ISC)2 se encuentran en reddit y  y en los foros de (ISC)2 . En ambos hay múltiples entradas relatando opiniones, experiencia con el examen, solicitando y dando consejos, revisando materiales de estudio y otros temas. Sin embargo, mi impresión es que el tono tiende a ser negativo y algo atemorizador, terrorífico incluso en ocasiones. Muchas personas que han hecho el examen lo describen como muy difícil, redactado de forma intencionadamente compleja (tricky wording) y muy oscuro. A eso se suma que no hay preguntas “ejemplo” en Internet, y que las personas que elaboran el material de formación (incluyendo el libro oficial de preguntas) u ofrecen los cursos de formación (bootcamps) no son nunca las mismas que escriben las preguntas del examen. Por tanto, un elemento crítico al gestionar durante la preparación del examen es la incertidumbre.

Al respecto, teniendo presente que no soy un hablante nativo de inglés, la forma de plantear las cuestiones desde el punto lingüístico me pareció bastante correcta. Preguntas de una o dos frases, sin ninguna complicación especial. No recuerdo un abuso de dobles negaciones o estructuras gramaticales complejas. Tampoco desde un punto de vista global las preguntas son tremendamente difíciles, aunque sí es necesario conocer el material y razonar las respuestas, y evitar saltar directamente a la primera que te suene bien. Lo más habitual es que sea sencillo descartar dos de las respuestas, quedando otras dos que parecen ser válidas. Como indico en la parte de los consejos, en ese caso es imprescindible buscar los conceptos clave de la pregunta y las respuestas, leerlas al menos un par veces lentamente y tener en cuenta que la gestión del riesgo es siempre el primer paso para todo.

Al hablar de dificultad, es sin duda relevante tener en cuenta la experiencia de cada persona, que le permitirá responder de manera más natural o menos a las preguntas. En mi caso, soy CISA y CRISC, tengo tres años de experiencia como administrador de sistemas (desde un punto de vista bastante amplio), otros tres años como técnico de seguridad, en aspectos ya más relacionados con la seguridad: gestión de eventos, gestión de vulnerabilidades, monitorización, implementación de controles, etc., y finalmente, doce años como consultor GRC enfocado en el análisis y gestión de riesgos, evaluaciones de seguridad, SGSI, continuidad de negocio, privacidad, políticas y procedimientos, cumplimiento, etc. En total, si exceptuamos partes específicas de algunos dominios  (modelos concretos de seguridad, por ejemplo), mi experiencia me proporcionaba una base adecuada para gran parte de los dominios de seguridad.

Por tanto, ¿es difícil el examen? En mi opinión, tiene un grado de dificultad intermedio, pero eso dependerá mucho de la metodología de estudio de cada persona, sus conocimientos y su experiencia. Pero, en cualquier caso, es un examen que se puede superar con una cantidad de esfuerzo razonable.

¿Refleja el examen la práctica profesional?

Una de las críticas que se le hacen al CISSP así como al CISM, del que hablaré en el próximo post, es que no reflejan la práctica profesional, sino que para aprobar tienes que aplicar la forma de pensar de (ISC)2 o de ISACA, respectivamente. No estoy en absoluto de acuerdo, y aquí es relevante mencionar otra de las cosas que se dicen del CISSP: piensa como un gestor (“think like a manager“). Para el CISSP, tú no eres el administrador de sistemas encargado de parchear un equipo, sino el gestor que se encarga de supervisar que todo el proceso de parcheo se haga correctamente (eso incluye la gestión del cambio). Sí, quizá tus tareas diarias en el mundo real sean parchear equipos, eso es perfecto, pero vas a tener que abstraerte de eso para el CISSP. Pongamos una pregunta ejemplo bastante obvia.

Recientemente se ha descubierto una vulnerabilidad 0-day que afecta a un servidor web crítico de la compañía, y para la que el fabricante todavía no ha emitido un parche. ¿Cuál es la primera acción a adoptar?

a) Parar el servicio y esperar a que el fabricante genere un parche.
b) Evaluar el riesgo asociado a la vulnerabilidad.
c) Cambiar manualmente la versión del servidor web para reducir la posibilidad de un ataque.
d) Llamar al CEO para informarle de la vulnerabilidad.

Para la mayoría de personas, debería ser evidente que la opción correcta es la b). Detener un servicio crítico para el negocio no será, en ningún caso, lo primero que se haga. Quizá posteriormente sí, pero antes habrá que evaluar el riesgo (para lo que hay hablar con el negocio), decidir las opciones de gestión del riesgo y contemplar potenciales medidas compensatorias, si procede. Tampoco cambiar manualmente la versión del servidor es lo primero que se haría, porque eso se salta toda la gestión de la configuración, con implicaciones, por ejemplo, en el caso de una potencial contingencia o para la actualización de versiones. Por último, quizá el CEO quiera estar informado (no lo sabemos, pero es algo que es irrelevante), pero sin haber evaluado cómo de serio es el problema, sería hacerle perder el tiempo. Quizá se trate de un 0-day que solo es posible explotar internamente, o la vulnerabilidad afecte a una funcionalidad no habilitada en nuestro servidor; ¿de verdad vas a informar al CEO sin conocer el impacto?

Como decía antes, quizá detener servicios o cambiar la configuración de un servidor web sea parte de tus tareas cotidianas, pero la cuestión es que para el CISSP tú no ocupas ese rol. Tú eres un gestor, lo que significa básicamente que cualquier acción debe partir de una evaluación del riesgo sobre el negocio, que es el que tiene la última palabra. Eso no implica que en cada situación adversa se deba llevar a cabo un análisis formal de riesgos a lo largo de varios meses y presentar un informe a Dirección. Significa valorar la vulnerabilidad, la exposición, la probabilidad de explotación, el impacto para el negocio, la motivación del atacante, los aspectos legales, las opciones de gestión del riesgo y el coste de mitigación, entre otros. Y entonces decidir qué se hace. Y todo eso se puede decidir en una reunión de media hora entre el personal de TI, el personal de negocio afectado, el CISO y cualquier otro perfil relevante para la decisión (legal, por ejemplo).

También debemos tener en cuenta que el CISSP asume que la organización, excepto si se indica lo contrario, sigue las buenas prácticas de gestión y gobierno de TI y seguridad de la información. Esto implica que en general, se puede asumir que hay implantada una gestión del cambio, gestión de la configuración, un plan de continuidad de negocio, una estructura organizativa de TI definida, etc. Quizá tu actual organización no tenga ese nivel de madurez y seas tú el responsable de evaluar el riesgo y aplicar las medidas técnicas que se estimen necesarias, pero incluso en ese caso, estás implícitamente evaluando el riesgo. Y en fin, si cambias esa versión o paras un servicio crítico sin pensar antes o tener en cuenta el negocio, estás trabajando mal.

Una última cosa. No es cierto que existan dos respuestas válidas para una misma pregunta, ni que las preguntas del examen estén a años luz del material de estudio del CISSP. Quizá la opción correcta sea poco evidente, quizá no sea tan sencillo como sumar 2 + 2, pero existe una única opción correcta.

Los materiales de estudio

Hay infinidad de materiales existentes para prepararse el CISSP, y dedicando el esfuerzo y el tiempo necesario, es difícil no aprobar el examen, ya sea a la primera, segunda o tercera vez. Y si eso te ha sucedido, debes plantearte que quizá estés haciendo algo mal. Quizá no estés entrando al examen con la mentalidad adecuada, quizá te hayas centrado en memorizar los detalles técnicos o las respuestas de los tests que has hecho, quizá no estés gestionando bien el tiempo del examen, etc.

Entre los materiales existentes, podemos destacar algunos. En primer lugar, se encuentra el libro específico del CBK, aunque según opinión mayoritaria, es duro de leer y no aporta nada relevante respecto a otras alternativas con un enfoque más “agradable”. Frente a este tenemos diversos materiales alternativos, como la guía de estudio y de preguntas oficiales, el CISSP All-in-ONE (AIO) de Shon Harris, el Eleventh Hour CISSP Study Guide, los cursos gratuitos de Cybrary por la fantástica Kelly Handerhan , además de múltiples páginas web y aplicaciones para practicar los tests (Boson, CCCure, Skillset, Simplilearn, CISSP Pocket Prep App, etc.) y vídeos de YouTube de preparación para el examen, preguntas ejemplo, etc.

Los materiales que yo utilicé y algunos comentarios al respecto son los siguientes (sobra decir que no tengo absolutamente ninguna relación con los autores):

  • CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide, 8th Edition (9/10). Para mí, este fue el recurso principal de estudio. Aunque se trata de cerca de 1000 páginas, es un texto que está bien escrito y aunque no diría que se hace ameno, se lee con cierta rapidez y facilidad. 
  • Sybex CISSP Official (ISC)2 Practice Tests, 2nd edition (9/10). Como acompañante al anterior, tenemos el material de tests oficial, que contiene ocho tests de aproximadamente 100 preguntas cada uno, uno por cada dominio, más cuatro tests globales de 125 preguntas. En total, vienen a ser en torno a 1300 preguntas.
  • 11th hour CISSP (8/10). Este libro, significativamente más breve que el anterior, es un repaso rápido a todos los conceptos del CISSP, de una manera más concisa y directa. Es un buen libro para dar un repaso rápido, aunque apenas le dediqué tiempo.
  • Boson CISSP tests (10/10). Para mí, los tests de Boson fueron el recurso principal para la preparación del examen, tras haber leído el libro oficial y el 11th hour CISSP. Con cinco exámenes de 150 preguntas cada uno, son en total 750 preguntas, con un enfoque muy similar al que puedes encontrar en el examen, tanto en redacción como en dificultad. Las dos ventajas principales de estos tests es que te permiten entrar en ese “rol de gestión” del que hablaba antes, y proporcionan información muy útil sobre por qué una respuesta es la adecuada y el resto no.
  • Simplilearn CISSP free practice test (8/10). Este examen de prueba, que está disponible libremente en Internet, cuenta con 250 preguntas que, aunque quizá no estén tan cercanas al examen como en el caso de Boson, sí se aproximan y permiten dar un repaso global a toda la materia para detectar puntos débiles. 

Por último, el día antes del examen vi un vídeo de Kelly Handerhan sobre diez aspectos clave a tener en cuenta a la hora de enfrentarse al examen, y que habla de la importancia del riesgo, la prioridad del negocio, el enfoque no técnico o el necesario equilibrio entre protección y valor del activo, entre otros puntos. Es absolutamente recomendable.

Aparte de estos, las opiniones que se pueden leer en los foros es que el CISSP AIO es bueno, pero entra quizá en demasiados detalles técnicos. Un recurso que recibe excelentes críticas son los vídeos de Kelly Handerhan en Cybrary.it, en los que repasa, en 13 horas (si la memoria no me falla), los ocho dominios del CISSP. Ignoro si tiene subtítulos, pero con un nivel intermedio de inglés se puede probablemente seguir sin demasiados problemas. Por otro lado, la aplicación Pocket Prep me fue de mucha utilidad para superar el examen del CISM un par de semanas más tarde, pero no puedo opinar de la versión del CISSP, aunque en general las críticas que he leído son buenas.

Consejos finales

Tras dar un repaso global al examen y la certificación, vamos con los consejos, que proporciono únicamente a título personal:

  • A no ser que tengas muchos problemas con el inglés (en cuyo caso es complicado que hayas podido preparar el examen por la falta de materiales de estudio, al menos en español), escoge la opción en inglés. Un examen de 250 preguntas y seis horas supone un desafío importante, en el que deberás luchar no solo con el examen, sino con tu motivación y el cansancio acumulado durante la preparación y el día del examen (antes del cual previsiblemente habrás dormido poco). Por el contrario, en la versión adaptativa tendrás un máximo de 150 preguntas a responder en tres horas, y si tienes algo de suerte y vas lo suficientemente preparado, en 100 preguntas habrás acabado, como fue mi caso. La versión adaptativa impide retroceder para revisar preguntas anteriores, y eso es algo a tener en cuenta, por lo que tendrás que dedicar algo más de tiempo a cada pregunta. En el peor de los casos, tienes 1m15s por pregunta, más que suficiente.
  • No olvides que no eres un técnico. Eres un gestor y como tal, tu papel está relacionado con la evaluación del riesgo y el funcionamiento del negocio. Y esto es aplicable a CISSP y a CISM. Insisto, la primera acción a adoptar, por lo general, nunca será técnica. Antes de apagar un servidor, cambiar una regla en el firewall, actualizar un servicio, siempre, SIEMPRE, habrá alguien que, al menos en su cabeza, haya valorado el riesgo y las implicaciones para el negocio.
  • Lee la pregunta dos, tres o cuatro veces, despacio. Haz lo mismo con las respuestas. Busca las palabras clave y ten en cuenta si se pregunta por la primera opción, la mejor, la más eficaz, la más eficiente, etc.
  • Controla el tiempo que llevas pero no corras si no es necesario, y no te apresures a dar una respuesta si no estás seguro (e incluso aunque estés seguro tras la primera lectura). Sin embargo, tampoco te desmoralices si no tienes ni idea de la respuesta a una pregunta, ni pierdas quince minutos en ella, especialmente al principio del examen. Razona, opta por la opción que mejor te pareza y avanza.
  • Aunque ya sabes que en el examen del CISSP eres un gestor, no hay que descartar que surja alguna pregunta más directa con detalles ligeramente “técnicos”. En la medida de lo posible, memoriza parte del material (ese para el que no hay otra opción que la memorización) para asegurar esos puntos.
  • Haz muchos tests. Repítelos, incluso aunque te sepas de memoria algunas preguntas. Presta atención a las explicaciones y entiende por qué esa es la respuesta correcta. Aunque ninguna pregunta de esos tests aparezca en el examen, ni siquiera aquellas de los materiales oficiales, te ayudarán enormemente a ver tus errores y aprender, sobre todo, a analizar la pregunta y las respuestas de la manera adecuada. No te obsesiones con sacar un 70% o un 80%, porque en última instancia acabas memorizando las respuestas y el porcentaje acaba subiendo.
  • Aplica el sentido común para descartar opciones. Por ejemplo, quizá no sepas en qué fase de la gestión de ciberincidentes se investiga la causa principal, pero desde luego, no es en la detección, en la que no sabemos ni siquiera si es un incidente real o un falso positivo, ni en l fase de contención, que es cuando estamos más enfocados en contener el impacto.
  • Identifica conceptos en las preguntas y respuestas que te puedan proporcionar información sobre la pregunta correcta. Por ejemplo, quizá en lugar de “VPN” se hable de “acceso remoto seguro”, o no se mencione “firma digital” pero en su lugar mencione “mecanismo de no repudio”.

Para acabar, no te desmoralices por lo que leas en Internet. El CISSP es un examen pasable con un grado de esfuerzo razonable, que en general será inversamente proporcional a la experiencia profesional que poseas en los ocho dominios del CISSP.

En el próximo post hablaré brevemente del CISM, de sus similitudes con el CISSP y algunos consejos básicos para superarlo.

Buena suerte.


[Suscríbete a nuestro canal de Telegram para más posts como este: https://t.me/BlogSecurityArtWork]

Ver también en: