El pasado mes de Diciembre aprobé el examen de CISSP y en Febrero de este año recibí la certificación después de pasar el proceso de validación de requisitos. Desde entonces cada vez más gente se pone en contacto conmigo para que le cuente mi experiencia con esta certificación. Por ello he decidido escribir esta entrada donde resumo los puntos que suelo contar.
Índice de contenidos
Qué es el CISSP
Empezamos por la definición, CISSP son las siglas de Certified Information Systems Security Professional, una certificación de ISC2 (Consorcio internacional de Certificación de Seguridad de Sistemas de Información), que no es más que una fundación sin ánimo de lucro de EEUU. Es muy importante saber esto por el tipo de contenido que luego nos encontraremos en la certificación. Por ejemplo, legislación americana o estructura de su administración pública. Y para ser sin ánimo de lucro ISC2 tampoco es barata precisamente.
Que es para mi el CISSP, una certificación de carácter teórico y transversal sobre ciberseguridad. Para mi es similar a un Máster de ciberseguridad general. Ya sé que ahora hay una gran variedad de Másters de ciberseguridad especializados en sus diferentes ramas, pero esta certificación tiene gran similitud con el Máster Universitario que hice en Seguridad de Tecnologías de la Información y de las Comunicaciones en la Universidad Europea de Madrid.
Por qué hacer el CISSP
Primero porque aprendes. Esta certificación da una visión global del mundo de la ciberseguridad. Está claro que no está todo ni se puede profundizar lo deseado en una sola certificación, pero el libro son 779 páginas repartidas en 8 dominios de la ciberseguridad con un alcance bastante completo. Además en el propio libro hacen referencia e invitan a consultar otras guías como las NIST SP, normativas como las ISO, frameworks de terceros, etc. Y también caen en el examen.
Segundo porque es una certificación muy bien valorada y reconocida. Quizás más en EEUU o el mundo anglosajón que en España. También están sus detractores o «haters», te dirán ejemplos como «por qué necesitas saber qué altura deber tener una alambrada en seguridad física o para que necesitas saber legislación americana». Es cierto que pueden haber cosas que nunca vayas a usar en la vida pero nunca estará de más saber que están ahí.
Uno de los motivos de por qué está bien valorada es porque no es fácil obtenerla, el examen no es fácil de aprobar, no apruebas descargando brain dumps de tests y trucos de Internet como en otras certificaciones. Además tienes que justificar 5 años de experiencia en el sector y demostrar formación continua para mantenerla. Si no cumples con los requisitos de experiencia también la puedes hacer pero sólo serás asociado hasta que cumplas el resto de requisitos.
Este es el security certification progression chart de 2020. Este diagrama ordena muchas de las certificaciones de ciberseguridad según el ámbito al que pertenecen y su experiencia recomendada (de abajo a arriba). CISSP cubre Security Management, Security Architecture y Security Analysis para perfiles con experiencia.
Los perfiles que tienen esta certificación por lo general están bien pagados. Hay multitud de encuestas en Internet sobre el salario medio de la gente que tiene la certificación. La última encuesta de Global Knowledge de Febrero de este año la sitúa en la sexta mejor pagada con un salario medio de 141,452 dólares. Vuelvo a repetir que no es el caso de España. Por cierto, las primeras son las de arquitecto Cloud que darían para otra publicación.
https://www.globalknowledge.com/us-en/resources/resource-library/articles/top-paying-certifications/
Por último porque te pueden abrir oportunidades laborales. En muchas ofertas de trabajo es una certificación exigida o por lo menos recomendada.
Cómo preparar el CISSP
Base de la que partes
Creo que el punto más importante para planificar cómo abordar la certificación consiste en averiguar tu nivel de conocimiento actual. Como he dicho anteriormente exigen 5 años de experiencia pero no es lo mismo que esos años de experiencia los hayas dedicado exclusivamente a hacer pentesting para una consultora, cumplimiento normativo en una asesoría, temas de redes en un CPD, a que hayas por ejemplo trabajado en un SOC o una agencia de ciberseguridad, como es mi caso, dónde cuentas ya con una visión más transversal o más dominios del CISSP. Y si además llevas un Máster u otras certificaciones, mucho más tendrás ganado.
Es importante tener en cuenta esto porque si empiezas a buscar información en foros como Reddit, a preguntar a gente o visitar publicaciones cómo ésta sólo conseguirás asustarte o confiarte demasiado. En definitiva estar más desinformado todavía. En Reddit llegué a leer que eran necesarios entre 6 meses y un año a tiempo completo para preparar la certificación. Imagino que la persona que decía esto no había tocado ciberseguridad en su vida. En mi caso me tomó un mes a tiempo parcial y dos semanas a tiempo completo que comentaré a continuación.
Curso oficial
Hay un curso oficial, el Certified Information Systems Security Professional Training (CISSP – CBK), que lo puedes hacer presencialmente y online. Yo lo hice presencial porque lo pagaba mi empresa, no es barato. Cuesta casi 3.000€ o 2.400€ con inscripción anticipada. En mi caso lo hice a través de ISEC Auditors. El curso no es imprescindible pero ayuda. Es como sacarse el carnet de conducir, la teoría la puedes estudiar al margen de la autoescuela si quieres. Pero el curso te ayudará a resumir los dominios y saber qué es lo más importante. Además que los profesores te darán algunos consejos y recomendaciones de cara al examen. Con el curso te dan el libro oficial y algunas preguntas de test. El curso se sustenta en unas presentaciones también oficiales, material que no recibes luego.
El curso oficial me supuso la primera semana de tiempo completo para la certificación.
En la actualidad debido a la crisis sanitaria están ofreciendo el curso online de forma gratuita en el siguiente enlace: Curso oficial online CISSP
Mapas mentales
A continuación, durante un mes estuve repasando el libro de nuevo junto con los apuntes que había tomado en el curso para hacer mapas mentales. Un mapa mental por cada dominio. Este mes lo compaginé con el trabajo y otras actividades, por lo que no dedicaba más de una hora u hora y media al día.
Hay gente que me ha pedido los mapas mentales pero al final creo que es mejor hacerlos uno mismo. Realmente aprendes o memorizas cuando haces el proceso de crear el mapa mental. También me podrían penalizar por publicarlos al estar compartiendo material con derechos de autor.
No obstante comparto uno ofuscado por lo menos para enseñar el nivel de detalle al que llegaba yo con el número de ramas. Para los mapas mentales utilizo la aplicación XMind en su versión Zen.
Test
Por último solicité una semana de vacaciones para hacer test y repasar la documentación anterior. Primero hice los test del libro que aparecen al final de cada dominio y luego los test del libro oficial editado por Sybex.
En este libro aparecen 100 preguntas de test por cada dominio y dos test finales con 250 preguntas en cada test de preguntas de todos los dominios. Es decir, el libro de test contiene 1.300 preguntas. Más las 80 preguntas que hay en el libro con el temario hice 1.380 preguntas de test en total. Digo estos números porque de nuevo, buscando información en Reddit, encontré a gente recomendando cómo mínimo hacer 4.000 preguntas de test o más.
Sobre las preguntas falladas, las repasaba y hacía de nuevo test.
Examen
El día previo al examen estuve apunto de aplazarlo por las cosas que leía en el foro Reddit y que he ido contando hasta ahora. Leía que necesitabas 6 meses de preparación, más de 4.000 preguntas de test, etc. Lo que me hizo pensar que quizás no lo había preparado del todo bien. Al final decidí presentarme, quizás también empujado por lo complicado que es aplazar el examen en España. El examen cuesta casi 800€ y se hace en un centro Pearson Vue.
Antiguamente el examen duraba más de 3 horas y hacías varios cientos de preguntas. Ahora hacen exámenes tipo test adaptativo. La dificultad de las preguntas cambian en función de la respuesta a la pregunta anterior. Cuanto más preguntas aciertes más difíciles serán las siguientes y cuánto más falles más fáciles pero si llegas a las 170 preguntas o paras mucho antes entonces significa que estás suspendido. En mi caso paré en la pregunta número 100, apenas llevaba una hora de examen. Me sorprendió bastante lo corto que se me hizo, llegué a pensar que quizás había suspendido. Y en apenas una hora ya había despachado el examen. Tienes que acertar un 70% de las preguntas como mínimo.
El examen lo puedes hacer en inglés o en castellano. Aunque recomiendan hacerlo en inglés porque las traducciones en castellano no suelen ser del todo buenas. Y si tienes dudas siempre en el examen puedes traducir a tu idioma nativo desde la propia aplicación.
Una cosa que tengo que decir es que las preguntas del examen me parecieron bastante diferentes a las preguntas del libro de test oficial. También dicen que el examen tiene una base de datos de unas 15.000 preguntas que van actualizando por las 1.300 preguntas del libro oficial de test.
Proceso de validación de requisitos
Aprobar el examen no es el final. Después de esto necesitas alguien que ya tenga la certificación para que te «apadrine», tienes que justificar los años de experiencia en al menos dos dominios estudiados durante la certificación. Para esta parte yo les envié los contratos laborales de las empresas por las que he pasado. También piden una persona de contacto en cada una de estas empresas por si tienen que corroborar la información. Este proceso duró prácticamente 3 meses.
Mantenimiento de la certificación
Una vez tienes la certificación tienes que demostrar una formación continua y pagar una cuota de unos 130€ cada año. Conozco a gente que una vez conseguida la certificación ha decidido no mantenerla. Si no te duele el dinero de la cuota el demostrar la formación continua no es tan complicado si te lo montas bien. Tienes que justificar 120 créditos cada 3 años, es decir 40 créditos al año. Créditos similares a la universidad. Yo para este cometido me dejé otras certificaciones que me gustaban más para hacer ahora. Por ejemplo, ahora estoy estudiando el OSCP que suponen 40 créditos. Cubriría ya 2020. Pero también puedes imputar créditos con la asistencia a congresos como RootedCON, FIRST, Blackhat, asistiendo a Workshops, realizando reuniones con fabricantes o incluso escribiendo este blog. Ciertas cosas que haces en tu día a día se pueden aprovechar para demostrar la formación continua.
ISC2 también te ofrece cursos propios de formación por ser miembro.
Otros consejos
Al final he contado aquí mi estrategia para afrontar la certificación pero cada persona es un mundo. Conozco a gente que en vez de hacer los test del libro los ha hecho en formato digital, ha comprado cursos o guías en plataformas como Udemy, ha utilizado sistemas de tarjetas para estudiar, etc. Al final la clave creo que es tener un buena base y hacer preguntas de test para saber cuál es la dinámica. Habrá veces que todas las respuestas te sonaran correctas pero siempre hay una que es la «más correcta».
Si necesitas más detalle de alguno de estos apartados no dudes en dejar un comentario o ponerte en contacto conmigo.