Hace ya unos cuantos años (2011), nuestro compañero José Luis Villalón nos hablaba de la certificación CISSP, de (ISC)2. Como las cosas han cambiado algo desde entonces, y aprovechando que aprobé recientemente el examen, vamos a echar un vistazo a esta certificación, a los cambios que ha sufrido y (en el siguiente post) a algunos consejos que personalmente me han servido para superar el examen.
Introducción
La certificación CISSP (Certified Information Systems Security Professional) de (ISC)2 es en la actualidad una de las principales certificaciones (básica para mí, aunque eso depende de la experiencia y recorrido profesional de cada persona) en materia de seguridad de la información, aunque tiene una mayor difusión en EEUU que en el resto de países, si echamos un vistazo al número de certificados por país. Mientras que a 31 de diciembre de 2018 EEUU contaba con cerca de 84500 certificados, entre Alemania (2100), Francia (1000), Italia (400) y España (650) sumaban poco más de 3000. Esto es probablemente debido a que muchos departamentos de Recursos Humanos en EEUU lo consideran un prerrequisito básico en el ámbito de la ciberseguridad, además de la significativa mayor aceptación que los certificados de (ISC)2 tienen en el mercado estadounidense.
Contenido
Suele decirse del CISSP que es “a mile width and an inch deep“, lo que quiere decir que abarca una gran cantidad de conceptos de seguridad en múltiples ámbitos, pero no profundiza en ellos. Dicha definición es bastante adecuada; el material en el que está basada la certificación cubre (por ejemplo) desde aspectos de gestión del riesgo hasta metodologías de desarrollo de software, pasando por modelos de seguridad o algoritmos de cifrado, pero siempre desde un punto de vista de alto nivel.
Aún así, para enfrentarse al examen es recomendable estar al tanto de algunos detalles específicos, como las longitudes de clave de los principales algoritmos criptográficos, los niveles de CMMI o qué protocolo de IPSec proporciona capacidades de no repudio. En este sentido, a pesar de esos detalles que sí es necesario memorizar, se trata de una certificación principalmente de comprensión de conceptos.
El material del CISSP está basado en el CBK o Common Body of Knowledge, que podríamos considerarlo como el conjunto de conocimientos básicos que se deben tener para obtener certificación. Este CBK se actualiza de manera periódica, y cubre los siguientes ocho dominios principales (en contraste con los diez que había hasta 2015):
- Seguridad y gestión de riesgos (Security and Risk Management).
- Seguridad de activos (Asset Security).
- Arquitectura de seguridad e ingeniería (Security Engineering and Architecture).
- Comunicación y seguridad de red (Communications & Network Security).
- Gestión de identidad y acceso (IAM) (Identity & Access Management).
- Evaluación de seguridad y pruebas (Security Assessment & Testing).
- Operaciones de seguridad (Security Operations).
- Seguridad de desarrollo de software (Software Development Security).
Al respecto, hay que tener en cuenta que al tratarse de una certificación muy relacionada con el mercado estadounidense, hay referencias abundantes a documentación del NIST y a detalles específicos del sector militar americano, como los niveles de clasificación.
No obstante, donde más se nota este aspecto es el contenido sobre legislación, en la que aparecen referencias específicas a leyes en materia de ciberseguridad como la Patriot Act o la Computer Fraud and Abuse Act (CFAA). Aunque no se puede descartar que una pregunta sobre estos temas aparezca en el examen (no he encontrado ningún lugar donde (ISC)2 se pronuncie sobre qué papel tiene la legislación americana cuando el examen se realiza, por ejemplo, en España) y es importante conocerlas, tampoco es probablemente necesario conocer en detalle todas las enmiendas que por ejemplo ha sufrido la CFAA durante estos pasados años, aunque esa es únicamente mi opinión.
Prerrequisitos y mantenimiento
Como es habitual en muchas otras certificaciones, para conseguir la certificación no es solo necesario haber pasado el examen, sino también disponer de cierta experiencia acreditable. En este caso, se debe contar con al menos cinco años de experiencia en dos o más de los dominios del CBK, que puede reducirse a cuatro si se cuenta con alguna otra certificación reconocida como CISA o ciertos requerimientos educativos.
Tras superar el examen, el candidato debe ser avalado por una persona que esté en posesión de la certificación, o si no dispone de ningún contacto, solicitar a (ISC)2 que actúe como valedor. Si todo va bien, en la actualidad el tiempo estimado para la obtención del candidato tras proporcionar la experiencia necesaria es de ocho semanas.
Asimismo, también como es habitual, para mantener la certificación se deben acreditar 120 horas de formación profesional continuada (Continuing Professional Education, CPE) en un periodo de tres años. De no hacerlo, es necesario volver a repetir el examen, como por ejemplo sucede con otras certificaciones de ISACA.
Examen
El formato y duración del examen es probablemente el elemento que mayores cambios ha sufrido en estos años recientes, si nos centramos en la versión en inglés (el resto de versiones no parecen haber cambiado). En cualquier caso, dado que toda la documentación disponible se encuentra en inglés, recomiendo fervientemente hacer el examen en ese idioma, para no encontrarse con problemas de nomenclatura, traducciones dudosas, acrónimos traducidos, etc. Además, como indico a continuación, la extensión del examen (en preguntas y duración) en ese caso es significativamente menor.
En tal caso, de un examen de 250 preguntas tipo test y una duración de 6 horas en el pasado, se ha pasado en la actualidad a un examen adaptativo que consta de 100 a 150 preguntas a cumplimentar en un máximo de 3 horas, entre las que se incluyen 25 preguntas pre-test que no son valoradas (pero que, no obstante, son indistinguibles de las preguntas que computan para el resultado).
El hecho de que sea adaptativo implica que:
- La dificultad de las preguntas va incrementándose a medida que el candidato contesta correctamente a respuestas anteriores.
- No es posible revisar las respuestas dadas a preguntas anteriores.
- Con únicamente 100 preguntas contestadas (de las cuales únicamente cuentan 75, aunque no es posible saber cuáles son) el test puede determinar basándose en criterios estadísticos si el candidato ha aprobado o suspendido el examen, por lo que el cansancio deja de ser un factor relevante, como probablemente lo era hasta ahora. En el caso de que con 100 preguntas el test no pueda determinar de manera fiable si se aprueba o se suspende, continúa hasta que pueda determinarlo, se alcancen las 150 preguntas o se agote el tiempo.
En cualquier caso, información detallada sobre este tipo de test puede encontrarse en la página oficial de (ISC)2.
Aunque existen otros aspectos que cualquier candidato debería revisar antes de plantearse sacarse la certificación (precio del examen, calendario de examen, valedor, código ético, etc.), esos son algunos de los principales aspectos a tener en cuenta.
En el próximo post hablaré de mi experiencia personal y daré algunos consejos concretos y recursos útiles, de acuerdo a mi experiencia, para aquellas personas que estén pensando en sacarse este certificado, al que podría aplicarse aquello de que no es tan bravo el león como lo pintan.
[Suscríbete a nuestro canal de Telegram para más posts como este: https://t.me/BlogSecurityArtWork]