Meu roteiro para o CISM

Antes de tentar detalhar para tentar ajudar futuros candidatos sobre minha preparação, é muito importante deixar um ponto esclarecido. Eu não resolvi me preparar para o CISM, tracei uma estratégia e fui segui-la. Na verdade, eu tinha acabado de vir de uma maratona intensiva de preparação para outro desafio grande, o CISSP.

Na verdade eu fiz a prova para o CISM em um ano após ter feito a prova para o CISSP. Porém vinha observando em fóruns e conversas com amigos que existe um monte de overlapping de conteúdo entre os dois exames, e que na verdade o CISSP já seria um bom preparatório para o CISM. Fiz alguns simulados aleatórios para ter uma ideia do nível da prova, e senti que dava para seguir em frente.

O que é o CISM?

Uma certificação muito parecida com o CISSP em termos conceituais, pois ambas são:

• Vendor-neutral.
• Mantidas por uma instituição independente (neste caso o ISACA), orientada para desenvolvimento de profissionais.
• Requerem tanto comprovação de experiência, bem como passar pelo processo de validação.
• Passar por uma prova-maratona de 150 questões e 4 horas (meu exame do CISSP teve 250 questões e 6 horas!!!).

A rotina de aprovação também é parecida:

• Marque a prova
• Seja aprovado no exame
• Tenha (e comprove) o tempo de experiência requerido
• Submeta os requisitos para avaliação.
• Receba a aprovação final, e seja um profissional certificado CISM.

E assim como no CISSP, é necessária uma taxa de manutenção atual, além da submissão dos CPE’s para atestar que o certificado é um profissional atuante na profissão. Particularmente prefiro muito mais este modelo do que ter que ficar refazendo exames de tempos em tempos.

Mais detalhes sobre o exame podem ser encontrados na página oficial:
https://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx

Caso a decisão de iniciar a preparação para o exame seja tomada, recomendo fortemente ler o manual do candidato em http://www.isaca.org/Certification/Documents/Exam-Candidate-Guide-Continuous-Testing.pdf

Material

Posso dizer que minha preparação foi bem mais simples do que no CISSP. O conteúdo cobrado pelo CISSP é extremamente massivo, e esse é um grande diferencial desta prova. Ela aborda em profundidade suficiente diversos temas extremamente importantes para um profissional sênior de cybersecurity. Quando comecei a fazer algumas questões do simulado oficial do CISM para avaliar, senti que estava bastante familiarizado com tudo e pouquíssimas perguntas me traziam algum assunto novo.

Meu material de apoio basicamente foi:

• Livro oficial do ISACA.
  • Apesar de existirem uma série de materiais alternativos e vídeo-aulas, na minha opinião o livro oficial é o único material teórico necessário, apesar da didática não ser das melhores.
• Base de questões do ISACA
  • Usei o simulado online. É mais caro que o livro, mas o software é muito bom. Ele usa um conceito adaptativo onde nas primeiras rodadas ele identifica os seus pontos fracos e vai adaptando as perguntas conforme o seu desenvolvimento.

Honestamente, como há estava bem familiarizado com o conteúdo, onde gastei boa tarde do meu tempo foi nos simulados. Apesar de ter dar dado uma passada muito geral no livro, usei--o mais para tirar dúvidas em questões que errei.

Recomendação: associe-se ao ISACA

Nem que seja no primeiro ano. Os descontos no material são expressivos, e se for considerar o kit básico para a prova que inclui livro e simulado oficial, além da taxa do exame, a economia será grande.

No meu caso paguei a associação apenas no primeiro ano e depois deixei de pagar, do contrário teria que pagar uma taxa anual de associação ao ISACA, mas uma taxa de manutenção para cada titulo, o que para mim não faz sentido nenhum. Particularmente gosto bastante do modelo do (ISC)2, onde você paga a associação e estão inclusos:

• Materiais
• Revista do (ISC)2
• Excelentes treinamentos
• Custo de manutenção de todas as certificações, independente da quantidade de títulos.

Roteiro

Aí que está a grande surpresa. Apesar de só ter passado o olho no livro oficial, senti que estava tão suficientemente preparado e familiarizado com os assuntos que a única coisa que fiz foi o simulado. E quando tinha alguma dúvida, usava o livro. Mas foi muito, muito raro.

No começo errei bastante,tirei em torno de 60%. Mas quando lia a explicação das perguntas, a reposta fazia total sentido, e ai comecei a perceber que na verdade não era que eu não sabia o tema, mas eu precisa adaptar meu estilo de pensar ao do ISACA. A partir daí as notas no simulado foram subindo constantemente, até o momento que senti que estava pronto, tirando em torno de 95%.

Foram pouco mais de 2 meses resolvendo questões do simulado, aproximadamente uma hora por dia, sem muita maratona, até que minha média geral estava em 95% e senti que meu mindset estava muito próximo ao do exame.

A grande vantagem é que o simulado usa design responsivo, o quer dizer que funciona perfeitamente em celulares.

O exame

Bem, é inevitável comparar. O exame do CISM é bem pesado, 150 questões de cenários, mas o CISSP é muito mais pesado, porquê:

• No CISSP você tem que dominar não só gestão de segurança (o tema base do CISM), mas temas técnicos ou específicos como criptografia, network security, application security, assessment e testing, legislação internacional e etc.
• No CISSP foram 6 horas e 250 questões ao invés de 4 horas e 150 questões.
• No CISSP você terá questões de cenário com drag-and-drop, questões com duas ou mais opções de escolha e outras complicações que dão poucas margens para chutes. No CISM também são questões de cenário, uma pergunta, 4 possíveis escolhas, 1 correta. Ponto.

Não estou dizendo que a prova a preparação do CISM é fácil, de maneira nenhuma. Mas no meu caso, é como se tivesse acabado de correr numa maratona de 40 km, e depois de um breve descanso corresse uma de 20 km.

O conteúdo do CISM também é bastante extenso Apesar de ser focado em gestão de segurança e risco, ele vai muito mais no conceito e no detalhe.

Sobre aplicabilidade no dia a dia, eu diria que o CISM tem uma quantidade maior de conteúdo útil (como gestão de risco, custo-beneficio, analise de controles, métricas e processos), do que o CISSP que aborda conteúdos teóricos importantes para construção de uma base sólida de conhecimento, mas raramento visto em ambientes corporativos.

Convenhamos, não está no dia a dia de um profissional de Cybersecurity se preocupar com tipos de extintores, cadeados, e etc.

O resultado e o processo de certificação

Quando você termina e o exame e clica em submeter, você irá ver o loading mais longo da sua vida. Não que seja demorado, ele é bem rápido, mas você estará muito ansioso. Logo a seguir vem o resultado na tela.

Você será comunicado se passou ou não. Ao contrário do CISSP, não haverá resultado impresso para postar nas redes sociais, pois o ISACA revisa as suas respostas a fim de identificar possíveis fraudes antes de lhe comunicar o resultado final junto com seu score. O SLA desta revisão é de 10 dias, mas termina antes.

Basicamente a minha time line do processo de certificação foi (em atualização até o fim do processo, o que incluir receber o certificado em casa):

• 02/5/2019 - Fui aprovado no exame
• 13/5/2019 - O ISACA aceitou o resultado do meu exame e enviou um e-mail com o resultado
• 13/5/2019 - Aplicação para o processo de certificação (taxa + envio da documentação.
• 16/6/2019 - Recebi um retorno do ISACA, pedindo a confirmação do meu CISSP ativo. Eu usei a certificação como acumulador de tempo de experiência. Retornei logo em seguida enviando a foto do meu certificado. Pouco depois tive retornando me parabenizando por ter atendido a todos os requisitos do CISM e que meu processo de aplicação estaria indo para a etapa final, que me pareceu ser alguma burocracia interna.
• 23/5/2019 - O status no site mudou de Complete-Under Review para Approved.
• 24/5/2019 - Enfim recebi um e-mail de boas vindas e no site o status certified. Na mesma hora foi possível emitir meu digital badge pelo próprio portal.
• 4/7/2019 — Recebi meu certificado impresso em casa (abaixo).

Resumindo

Não consigo dizer como seria a preparação a partir do zero. Mas o que posso dizer é que a preparação do CISSP é tão completa, que prepara também para o CISM.

O que posso dizer é, se você passou recentemente pela preparação do CISSP, recomendo fortemente comprar a subscrição do simulado oficial eletrônico e se preparar para o CISM.