CISSP ou CISM, qual escolher?

Passado um certo tempo após ter completado meu processo de certificação tanto no CISSP quanto no CISM, resolvi iniciar algumas reflexões sobre o processo, prós e contras de cada um, e uma avaliação do programa de treinamento e de manutenção que vou contar neste artigo.

Importante dizer que não se trata de que por via de regra, CISSP é para um público ou CISM é para outro. Conheci profissionais muito competentes em função de gestão que não possui um CISM, bem como engenheiros e arquitetos também muito competentes que não possuem um CISSP. A certificação não deve ser um fim, mas um meio (opcional) na trajetória de cada um, alinhada com objetivos pessoais. Ter passado no exame não lhe torna um profissional melhor, mas conseguir aplicar os conceitos (independente de ter passado no exame), sim.

Meu roteiro, história a material foram contados em detalhes em Meu roteiro para o CISSP e Meu roteiro para o CISM.

Conteúdo

Aqui começa a primeira grande diferença, que deve estar alinhada com objetivos profissionais de cada um.

CISM

É dividido em 4 domínios com forte foco em gestão de segurança da informação. Muito raramente termos técnicos de tecnologia serão vistos aqui, e quando vistos, apenas para apoiar algum conceito de gestão de segurança.

A distribuição dos domínios se dá conforme abaixo:

1. Information Security Governance
2. Information Risk Management
3. Information Security Program Development and Management
4. Information Security Incident Management

O foco aqui é gerenciamento de segurança da informação. Como desenhar, implementar e monitorar uma estratégia de segurança.

Recomendação: Ler o manual do candidato em http://www.isaca.org/Certification/Documents/Exam-Candidate-Guide-Continuous-Testing.pdf

CISSP

Possui escopo bem mais amplo, cobrindo desde segurança física até tecnologias e claro, passando por gestão.

1. Security and Risk Management
2. Asset Security
3. Security Architecture and Engineering
4. Communication and Network Security
5. Identity and Access Management (IAM)
6. Security Assessment and Testing
7. Security Operations
8. Software Development Security

O interessante do conteúdo do CISSP em minha opinião, é que pelo fato de ser extenso, dará ao candidato a oportunidade de conhecer sobre uma série de assuntos distintos em segurança da informação. Não o tornará especialista em nenhum deles, mas lhe ajudará a se situar em algumas conversas e reuniões.

Recomendação: Ler o CISSP exam outline em https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CISSP-Exam-Outline-121417--Final.ashx

Material

CISM

Apesar de existirem uma série de materiais alternativos como videoaulas e outros bons livros, a recomendação aqui é pura e simples. Prefira o material do ISACA. É tudo que você precisará. Neste caso:

• Livro oficial.
• Simulado oficial. Apesar de mais caro, recomendo fortemente a engine online, ao invés do livro. O motivo é que ela aprende com seus erros e acertos e conduz o andamento das questões em áreas que precisam de maior desenvolvimento.

Um recomendação aqui é, associe-se ao ISACA neste primeiro ano (vamos falar sobre a manutenção da associação mais a frente). Os descontos no material oficial e na prova são expressivos. Apesar do alto custo em ser associado, o investimento total será bem menor.

CISSP

Aqui a história é diferente. Apesar do livro oficial, que pode ser adquirido aqui (e que é muito bom, por sinal), existe um kit básico de livros de outros autores, além de videoaulas. No meu caso usei:

• CISSP Certified Information Systems Security Professional Official Study Guide, Mike Chapple
• CISSP Study Guide, Eric Conrad
• Eleventh Hour CISSP®: Study Guide, Eric Conrad
• Video aula Cybrary, da Kelly Handerhan

E não poderia deixar de falar dos simulados.

• CCCure. Achei o mais próximo do nível da prova. Possui uma boa base de questões, porém desenvolvida por voluntários. Existe uma subscrição mensal a ser paga, em torno de $50. Então deixei para usar este simulado por último, onde teria uma mês para consumir o máximo de questões possíveis.
• App Oficial. Um opção interessante, com questões que fazem o papel importante de reforçar alguns conceitos do livro oficial da Sybex. Paguei em torno de 20 reais no app.
• Simulado McGraw Hill, baseado no clássico All-In-One. Gratuito, disponível em https://www.mhprofessional.com/sites/CISSPExams/exam.php?id=AccessControl.

Tempo de preparação e esforço

Com o CISSP, gastei bastante tempo e esforço na minha preparação. Achei até que não precisava tanto, mas nunca sentia que estava pronto. Fora muitos livros, videoaulas, audio books e aproximadamente 4000 questões respondidas em simulados. Talvez esse período pudesse ter sido um pouco menor.

Entre alguns contratempos pessoais e profissionais, devo ter gasto uns 18 meses em preparação, que só acabaram quando resolvi pagar para ver e marquei a prova.

Já com o CISM, foi bem mais simples. Diria que algo entre 2 e 3 meses, com uma média de 2 a 3 horas diárias de estudo. Iniciei com o livro oficial, mas como ainda estava com o conteúdo do CISSP fresco na memória, o conteúdo do livro me soava familiar demais. Então fui direto para o simulado oficial, e passei usar o livro como apoio para eventuais dúvidas.

Prova

CISSP

Uma das características que tornaram este exame famoso é que além da maratona e livros, existia ainda uma maratona cruel da condução do exame. Cruel porque eram 250 questões a serem respondidas em até 6 horas. E para complicar, cada questão é um caso de uso a ser analisado e respondido, com pouquíssimas resposta decoreba de bate-pronto, do tipo qual o protocolo bla bla bla.

Recentemente o formato mudou para o chamado CAT (Computer Adaptive Testing), onde o candidato tem 3 horas para responder entre 100 e 150 questões. Como assim entre 100 e 150 questões? O exame tem uma espécie de aprendizado de máquina, que encerra sumariamente se entender que o candidato já pode ser considerado aprovado ou reprovado. Por exemplo, pode ser que na questão 103, a engine do exame entenda que o usuário já errou questões o suficiente para não precisar mais seguir em frente, ou pode ser que ainda seja possível que o candidato acerte questões e seja aprovado, podendo prosseguir até um total de 150 questões.

Eu fiz o exame antigo, e achei bastante cansativo. Conheço pessoas que fizeram o CAT e falaram que sentiam que estavam indo bem quando o exame foi encerrado antes das 150 questões com uma não-aprovação.

O vide abaixo tem uma breve explicação sobre o formato do exame, e seu funcionamento.

CISM

O exame para o CISM é similar em conceito. Uma longa prova, 150 questões a serem resolvidas em até 4 horas, e muitas questões com estudos de caso que devem ser respondidas tendo como base o conteúdo aprendido. Diferente do CISSP em que uma ou outra questão cobra alguma decoreba, aqui não existe nada de decoreba, apenas casos de uso. No mais, dois modelos bastante parecidos.

Manutenção da certificação

Ambos os programas de manutenção exigem comprovação de CPE’s, os pontos de educação continuada, uma maneira de provar que o profissional certificado mantém-se ativo na profissão, além de uma taxa de manutenção anual. Porém alguns detalhes relevantes podem fazer a diferença entre ambos.

CISM

Para se manter CISM, você precisa pagar uma taxa anual de $85 para não membros e $45 para membros. O pagamento da taxa de certificação não te dará nenhum benefício adicional além do direito de manter o título ativo. Títulos adicionais do ISACA, como CRISC ou CISA, exigem pagamentos adicionais.

Para ter ser associado ao ISACA e ter acesso à benefícios interessantes como a revista, treinamentos, webinars entre outros, é necessário pagar a taxa de associação, no valor de $135, além de precisar pagar a taxa de um capítulo regional, aqui no Rio custa $20.

Ou seja, para ser associado e manter o título, gasta-se um total de $240 por ano. E como dito, certificações adicionais aumentam esse valor.

Sinceramente, na minha opinião não vale. Pago apenas os $85 anuais para poder manter o título ativo.

CISSP

A política de manutenção mudou recentemente, e havia falado sobre ela aqui. Ficou bom para uns, para outros nem tanto. Antes pagava-se $85 por título. O valor aumentou recentemente para $125, independente do número de títulos. É isso mesmo! Independente se for apenas CISSP, ou se for CISSP CSSLP CCSP, o valor é único.

Além de ter este ponto como justificava para o aumento, outro argumento usado foi o investimento em treinamentos de qualidade.

E isso é um fato. Existem treinamentos de altíssimo nível, webinars, revista bimestral e etc.
E a grande vantagem que vejo no programa do (ISC)2 é que, não existem taxas adicionais. Ao pagar os $125, você tem direito a manter ativos quantos títulos for aprovado(a), tanto quanto ser associado e ter acesso a tudo isso. 

Conclusão

Bem, esta é uma opinião pessoal, baseada no que tenho acompanhado no mercado, além das questões de associação e custos.

Valor agregado - CISSP

O caminho para o CISSP é sem dúvidas bem mais árduo, e este esforço tem seu valor. O CISSP ainda é reconhecido como uma certificação gold standard que dispensa apresentações. Somado a isso, acho o modelo de associação e manutenção do (ISC)2 muito mais interessante, que estimula a consumir o conteúdo que produzem, além de buscar outros títulos, já que não haverá custo adicional além do material de estudo e o custo da prova.

Na minha opinião o CISSP é um vencedor aqui.

Esforço x Benefício - CISM

Antes de mais nada, o CISM também é um título de peso. Nas pequisa salariais recentes, certificados CISM tem salários maiores, mas acredito estar relacionado ao fato de que este título tende a estar mais concentrado em profissionais em cargos de liderança. O conteúdo mais reduzido (porém mais concentrado), somada a quantidade menor de livros e materiais a serem consumidos, faz com que a jornada para o CISM seja bem mais calmo. Pelo menos para mim foi. A desvantagem é que para ter os benefícios da associação e a manutenção do título, o custo será bem mais alto com o ISACA do que com o (ISC)2. Se o objetivo é ter um título extremamente relevante, com um esforço um pouco menor, o CISM é um caminho.

Independente do caminho escolhido, espero que este artigo tenha ajuda de alguma forma na escolha.