Meu roteiro para o CISSP

Após divulgar o resultado do meu exame, algumas pessoas me perguntaram como foi minha jornada, material, tempo gasto e como passei na primeira tentativa. Então resolvi criar este super-post para tentar ajudar outros candidatos. Apesar de algumas surpresas no caminho que comprometeram bastante meu plano inicial, espero que minha experiência consiga ajudar outros candidatos.

O que é o CISSP?

Basicamente é uma certificação de segurança da informação conceitual e “vendor neutral”, ou seja, mantida por uma instituição independente e não está relacionada com nenhum fabricante em específico.

E o que faz o CISSP ser tão procurado?

• O conteúdo da prova envolve 8 domínios de segurança da informação. Todos os conceitos são cobertos, desde governança, passando por segurança de redes, tecnologia e desenvolvimento, até mesmo segurança física (portas, cadeados, muros, câmeras e etc).
• A prova possui 250 questões. Em sua maior parte são questões de cenários, que devem ser concluídos em até 6 horas. Uma verdadeira maratona!!
• Não basta ser aprovado pela prova. É preciso ter 5 anos de experiência em segurança, além de um CISSP para lhe endossar
• O exame é aprovado em nível 3 pelo DoD nas categorias técnico (IAT Level III) e gerencial (IAM Level III).

Começando

Buscar este título era um desejo antigo. Algumas vezes comecei a estudar e parei logo no primeiro domínio. O material é pesado, conteúdo extenso e a unica opção disponível de livro didático confiável era o pesado (nos dois sentidos) All-In-One da Shon Harris. Se não tiver em estado de espírito para começar, as responsabilidades naturais da vida (trabalho, família e etc) podem se tornar um convite para desistir.

Porém de um tempo para cá, senti que precisava dar uma “chancelada” na minha carreira, e veio o chamado: percebi que o momento de encarar a maratona havia chegado. Certificações de segurança conceituais, ou “vendor neutral” (CISSP, CISM, SANS, CompTIA e etc) já são uma realidade em lugares como nos EUA e alguns países da Europa por exemplo e aqui no Brasil este cenário começou a se desenhar também. Vejam bem, não acho que certificações fazem profissionais melhores ou piores, mas acredito que são um excelente caminho estruturado de aprendizado com direito a um troféu no final.

Então atendi ao meu chamado. Sabia que dali para frente, minha vida seria viver e respirar CISSP.

O material

Livros

• CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide – O livro oficial, super bem escrito e organizado.
• CISSP Study Guide, Third Edition. O autor (Eric Conrad) é instrutor oficial do bootcamp CISSP do SANS. O seu livro tem uma proposta de ir direto ao ponto.
• Eleventh Hour CISSP®, Third Edition: Study Guide – Também do Eric Conrad, com uma proposta de ser o super resumo do livro acima.
• The-Sunflower-CISSP-Cram-Study-Guide-2017: Um resumo do resumo matador (e completo) de 37 páginas. Ideal para aquele desespero do fim de semana de véspera.

Videoaulas

• Cybrary – Ótimas aulas, sem enrolação, direto ao ponto. Não acho que deve ser o único material a ser estudado, até porquê senti falta de alguns tópicos, mas ainda assim recomendo: http://cybrary.it/course/cissp/
• CISSP Cert Prep do LinkedIn Learning. Aula conduzida pelo autor do livro oficial (Mike Chapple). Conteúdo completo (porém resumido), linguagem super fácil, com um inglês extremamente fácil de entender, com direito a closed captions. Comece nesse link abaixo e vá seguindo os outros domínios: https://www.linkedin.com/learning/cissp-cert-prep-1-security-and-risk-management-2015/business-continuity-controls.

Audiobooks

Basicamente coloquei as aulas acima rolando apenas o áudio no carro e vez ou outra ia escutando no caminho entre a casa e o trabalho.

Simulados

Fiz um total aproximado de 3000 questões dos simulados abaixo:

• CCCure: Bastante famoso, achei mais próximo da prova. Muitas questões de cenário, com tomada de decisão com mindset de gestor de SI. Achei o mais parecido com a prova. http://cccure.education
• Simulado do livro oficial e o app da Sybex, pode ser comprado aqui. Achei tanto o site com as questões quanto o app muito parecidos. Quem tem um, tem outro. A vantagem do app é que dá pra fazer questões em qualquer lugar.
• Simulado do famoso livro All-In-One. Achei que as perguntas vão numa profundidade e nível de detalhamento muito maior do que o exigido pela prova. http://professional.com/sites/CISSPExams/exam.php?id=AccessControl

Planejamento

Essa é um ponto "diferente" da história. Comecei com um planejamento definido, com datas e marcos. Tinha um bootcamp marcado e minha ideia era entrar em sala de aula conhecendo o assunto para debater com o instrutor. Planejei a primeira leitura do livro de modo que encerraria antes do bootcamp. O livro escolhido para começar foi o do Eric Conrad, pois achei que pelo fato do livro oficial por ter mais conteúdo, não daria tempo de terminá-lo antes do bootcamp. Consegui ler o livro do Eric todo antes do simulado e consegui entrar no bootcamp sem estar perdido e poder tirar dúvidas com o instrutor.

Fiz o bootcamp com o lendário Jaime Orts Y Lugo da Teknobank. Foi uma turma do trabalho, fizemos em 5 sábados, cada um com 8 horas. Foi bastante pesado. Apesar do Jaime ter uma excelente didática e dominar o assunto de uma maneira que faz parecer ser fácil, o conteúdo por si só é extenso e pesado. Na maioria dos sábados passamos das 8 horas diárias.
ps: Recomendo fortemente o bootcamp da Teknobank. O custo-beneficio é muito bom e o Jaime realmente conhece o CISSP.

Quando encerramos o bootcamp, iniciei a leitura do livro oficial. Deixei para depois do simulado pois por ser mais longo, não daria tempo de termina-lo antes do bootcamp, conforme disse acima. Apesar do livro oficial oficial ter mais conteúdo, achei mais didático e com uma linguagem mais fácil que do Eric Conrad. Se for para ter um único livro, escolha o oficial da Sybex, escrito pelo Mike Chapple. Em seguida emendei na videoaula da Cybrary.

Durante este os estudos, tive duas situações inesperadas: a primeira foi uma oportunidade de emprego que exigiu bastante da minha dedicação e logo em seguida, um sério problema de saúde. Acredito que pausei os estudos por uns 9 a 10 meses.

Apesar de ter começado com um planejamento definido, estudando aproximadamente 3 horas por dia e com tempo entre o inicio e o fim ter sido de aproximadamente 18 meses, acredito que o tempo útil de estudo foram uns 8 meses. Durante os períodos que estava estudando, me mantive na média de 3 horas diárias.

Estudava, estudava, estudava e nunca achava que estava pronto. Foi ai que em fevereiro de 2018, tomei conhecimento que a prova iria mudar novamente e então percebi que não podia postergar mais. Marquei a prova para uma data próxima a mudança do exame, assim conseguiria mais tempo para estudar. Depois que agendei a prova veio o desespero, achava que não estava preparado. Faltavam um pouco menos de 2 meses.

Utilizei este pouco tempo que faltava para me dedicar exclusivamente a simulados. Fiquei em média 3 horas por dia, incluindo alguns finais de semana fazendo simulados. Fiz todas as questões do site da Sybex, fiz muitas questões do aplicativo, fiz muitas também do CCCure e ais algumas do site do All-in-One. Minhas impressões: as questões do AIO são extremamente aprofundadas em um nível que não será cobrado na prova. O da Sybex é legal, mas muito focado em questões técnicas e conceitos. O do CCCure foi o que achei mais próximo. Questões de cenário que te fazem pensar numa solução para um determinado problema.

Parti então para a prova.

A prova

Enfim chegou o grande dia!!!! Minha prova estava agendada para 10:30, e sabia que seria aproximadamente 250 questões para serem resolvidas em 6 horas. Mas e o formato CAT de 150 questões?? Optei por fazer a prova em português para poder fazer no método clássico e linear. Você sabe que tem que resolver 250 questões em 6 horas e ponto final. Sem surpresas (além do resultado final, claro).

Fiz na Infnet. cheguei com 40 minutos de antecedência. Como sabia que podia fazer pausas, fui preparado com biscoitos. Faltando 5 min, fiz a admissão: foto, assinatura, digitais, sentei na minha posição e comecei.

Basicamente a prova é constituída de questões que te põe para pensar. Não espere muitas questões técnicas ou conceituais, perguntando por exemplo quais os modos do 3DES. Você irá ler um cenário e terá que escolher a melhor resposta. Algumas vezes precisar escolher uma resposta correta entre três erradas, mas em outros casos escolher a melhor resposta dentro quatro corretas.

Uma observação: além do fator CAT, optei pela prova em português pois sabia que poderia virar para inglês. Não gostei da tradução, muita coisa traduzida ao pé da letra. Então fiz a prova toda usando as questões em inglês.

Sobre o conteúdo: tirando algumas questões dos outros domínios, caiu bastante (quase que integralmente): Gestão de Segurança e risco, BCP/DRP e Controle de acesso. Nem o temido assunto Criptografia caiu muito.

Lá para a questão 100, já está ficando cansado. Fiz uma pausa de 5 min e voltei. Nas ultimas 50 questões já estava mentalmente esgotado. E o grande desafio da prova é isso: É uma maratona mental, e você deve estar descansado e bem de estado. Fiz apenas uma pausa, estava ansioso demais e queria chegar logo no final para saber o resultado.

Minhas impressões sobre a prova: vá com o mindset de um gestor ou um tomador de decisões. A maneira mais tecnicamente bonita nem sempre é a melhor reposta. As vezes a melhor resposta é a mais "limpa", ou que a resolve o problema de maneira mais efetiva. E prepare-se para analisar muitos, mas muitos cenários onde não há a resposta correta dentre três erradas, e sim a melhor decisão dentre quatro corretas!

Quando cliquei na ultima questão, aquele delay do processo do resultado e uma mensagem, algo como: "você concluiu o exame, favor retirar o resultado impresso". A tela do computador não te diz se passou ou não. Me dirigi ao balcão, aguardei o resultado e para minha felicidade fui aprovado!

Quando você é aprovado, você não sabe quanto tirou, nem os domínios que se saiu melhor. Você simplesmente é aprovado. Depois recebi um e-mail convidando a iniciar o processo de endorsement e validação da sua experiência.

A impressão que salvou meu dia:

Após a aprovação você recebe um e-mail convidando para iniciar o processo. Descreve todo o seu background, e para cada experiência, informa em quais dos 8 domínios aquela experiência está relacionada, além do contato do gestor direto (para o caso de ser auditado). Tive algumas experiências que acabei não colocando pois não tinha mais o contato do meu gestor da época.

Meu processo de endorsement durou exatos 31 dias. Ao final, recebi e-mail de boas vindas e um mundo de membro do (ISC)2 se abriu com materiais e webinars de qualidade, acesso às comunidades além da revista eletrônica.

A experiência ajuda?

Sim, e muito! Minha escola é Network Security (Firewalls, IPS, TCP/IP, NAT pra cá, rota pra lá, debugar pcap e etc), então achei que este domínio não seria um problema (e realmente não foi) e não dediquei muito tempo para ele. Dediquei bastante esforço no capitulo de criptografia, o mais temido de todos, além de segurança física, um assunto que apesar de interessante, quase ninguém de Cybersecurity usa no dia a dia. Gestão de segurança e risco era um domínio que me sentia confortável e a minha experiência de developer se fim de semana me ajudou bastante no domínio Application Security. O capítulo de Security Testing também foi mais leve, dado minha experiência com testes de segurança. De resto, não teve jeito.

Estudar, e muito!

Conclusão

Já fiz algumas provas de certificação, mas nada foi tão complexo e pesado. Desde a preparação, a quantidade de material, a dedicação necessária e finalmente a maratona que é a prova. Durante este período eu vivi isso. Lia praticamente todas as noites, escutava audiobooks e podcasts no carro, assistia as vídeo aulas, participava de grupos e tirava cada 10 min que tinha disponível para resolver algumas questões. O esforço e o tempo valeram, consegui passar na primeira tentativa.

As principais dicas que posso dar são:

• Não decore, entenda.
• Tente absorver a maior quantidade de informação possível. Misturar fontes de informações de várias mídias (livros, audio, video) me ajudou muito. O fato de viver isso, faz o conteúdo fazer parte da sua vida.
• Conheça a experiência de outros candidatos, quais materiais usaram, sua rotina de estudos.
• Tente manter um planejamento, por mais que a vida tente te tirar dele.
• Não vá para a prova esperando responder decoreba. A prova geralmente é de tomada de decisão.
• Participe de grupos de estudo (vale WhatsApp e Telegram) e fóruns.
• Simplesmente marque sua prova.

Bem, é isso. Espero conseguir ajudar outros candidatos compartilhando minha experiência.

Boa sorte e não desista!!!