[08/02/2021] Certified Information Systems Security Professional, o CISSP, es una certificación avanzada para profesionales de TI que desean demostrar que pueden diseñar, implementar y administrar un programa de ciberseguridad a nivel empresarial. Es ofrecido por el International Information System Security Certification Consortium, o (ISC)2, una organización sin fines de lucro que se enfoca en la certificación y capacitación para profesionales de la ciberseguridad. CISSP es la certificación más conocida de (ISC)2.
Con más de 20 años de historia, la CISSP es una certificación respetada que puede ayudarle a avanzar en su carrera. Para lograr esta certificación, debe demostrar competencia en varias áreas técnicas y de gestión, y también debe acumular experiencia relevante en la industria.
¿Quién debería tener una certificación CISSP? Empleos y trayectoria profesional
Se ha denominado a la CISSP como el "estándar de oro” de las certificaciones de seguridad. Si está buscando trabajos de ciberseguridad, a menudo encontrará que contar con una CISSP es un prerrequisito, o al menos algo muy recomendable. Debido al amplio conocimiento técnico requerido para la certificación CISSP, es la marca de un generalista en seguridad de la información que sería ventajoso en muchos roles.
Dicho esto, la CISSP no es para todos. En particular, la profundidad técnica y la experiencia laboral que requiere indican que no es una certificación para aquellos que están en las etapas iniciales de sus carreras; para ellos podría ser más apropiada una certificación CompTIA Security+. El examen CISSP también cubre habilidades de gestión y conocimientos técnicos -otra razón por la que necesitará algo de experiencia acumulada antes de embarcarse en su viaje CISSP.
CISSP frente a CISM
Debido a que la CISSP cubre algunos materiales relacionados con la administración, es posible que se pregunte cuál es la diferencia entre esta y la Certified Information Security Manager (CISM), otra certificación de seguridad de información popular. En pocas palabras, una certificación CISSP demuestra un conocimiento técnico profundo sobre una amplia gama de campos de seguridad, junto con una comprensión de las responsabilidades de gestión. CISM, por otro lado, está más orientada hacia los gerentes, con énfasis en comprender los incentivos de seguridad de la información desde un punto de vista comercial.
Los campos de la CISSP
El tema que cubre la certificación CISSP se divide en ocho áreas, llamadas campos. Hasta diciembre del 2020, esos campos son los siguientes:
- Gestión de los riesgos y la seguridad
- Seguridad de los activos
- Arquitectura e ingeniería de la seguridad
- Seguridad de las comunicaciones y de las redes
- Gestión de identidades y accesos (IAM)
- Evaluación y prueba de seguridad
- Operaciones de seguridad
- Seguridad de desarrollo de software
El esquema del examen CISSP le da una buena idea del tipo de temas que caen bajo cada campo. Por ejemplo, para demostrar competencia en seguridad de los activos, los candidatos deben saber cómo identificar y clasificar la información y los activos; determinar y mantener la información y la propiedad de los activos; proteger la privacidad; asegurar la retención adecuada de los activos; determinar los controles de seguridad de los datos y establecer los requerimientos para el manejo de la información y los activos.
En estos meses iniciales, el (ISC)2 llevará a cabo una actualización de los campos, se modificará ligeramente un conjunto de campos (que se ponderará de manera ligeramente diferente para la puntuación del examen). Sin embargo, el conjunto general probablemente no cambiará significativamente.
Requerimientos de la CISSP
Existen dos requerimientos principales para recibir una certificación CISSP. El primero -y en el que la mayoría se centrará- es que usted debe aprobar el examen. Discutiremos esto con más detalle en un momento.
Pero primero toquemos el otro requisito: experiencia. Como señalamos anteriormente, la CISSP no es una certificación para principiantes y, en realidad, es un mandato del (ISC)2. Para recibir la certificación CISSP, debe tener cinco años de experiencia laboral, a tiempo completo, en dos de los ocho campos CISSP descritos anteriormente. Existe un cierto margen de maniobra aquí: puede aplicar pasantías y experiencia a tiempo parcial para cumplir con este requisito, y un título universitario u otra certificación aprobada del (ISC)2 puede contar como un año de experiencia. La página web del (ISC)2 tiene los detalles principales.
También existen tarifas, que cubriremos más adelante en este artículo, que deberá pagar para obtener y mantener su certificación CISSP.
Examen CISSP
El examen CISSP cubre todos los campos descritos anteriormente, en proporciones aproximadamente iguales. Puede ver el desglose exacto en el esquema del examen CISSP, junto con algunos detalles más sobre cómo es el examen en la práctica. Consta de dos tipos diferentes de preguntas: opción múltiple y "elementos innovadores avanzados”. Puede que el segundo tipo de preguntas suene más intimidante de lo que realmente son; estas consisten en identificar elementos de diagramas, y arrastrar y soltar respuestas de un lado de la pantalla a cuadros del otro.
La versión en inglés del examen utiliza pruebas adaptativas computarizadas (CAT, por sus siglas en inglés). En esencia, esto significa que realiza el examen en una computadora que realiza un seguimiento de su desempeño y, de acuerdo con éste, ajusta las preguntas que le hace. Esta versión de la prueba dura aproximadamente tres horas y consta de 100 a 150 preguntas. En todos los demás idiomas, la prueba es lineal (es decir, obtiene el mismo conjunto de preguntas sin importar cómo conteste), consta de 250 preguntas y tarda aproximadamente seis horas en completarse. Para ambos tipos de exámenes, la calificación aprobatoria es de 700 de mil puntos.
El (ISC)2 tiene una buena página de recursos con información práctica sobre cómo programar su examen, qué esperar en términos de formatos y cómo es realizar el examen. Si está interesado en obtener informes del mundo real sobre cómo se desarrolló la experiencia de rendir los exámenes, es posible que desee consultar esta publicación de LinkedIn de Dex Yuan, así como informes seudónimos de los foros de la comunidad (ISC)2 y Reddit. Un aspecto bastante útil de la prueba: usted obtiene una puntuación preliminar en el sitio de la prueba, por lo que sabe si aprobó o no.
¿Cuánto tiempo debo estudiar para el CISSP?
Si usted es un profesional de la seguridad informática con mucha experiencia, tendrá una gran cantidad de conocimientos prácticos del mundo real en los que puede basarse para responder las preguntas del examen CISSP. Dicho esto, pocas personas tendrán la misma experiencia en todos los campos de la prueba, y casi todo el mundo necesita un repaso antes de realizar una gran prueba como esta.
La cantidad de tiempo que necesitará dedicar a estudiar para el examen dependerá, por supuesto, de su propia preparación y estilo de estudio. En un ensayo en LinkedIn, el arquitecto de nube, Sujith Prasad, recomienda dedicar la mayor parte de su tiempo libre a estudiar durante unos meses antes del examen. Un contribuyente de los foros comunitarios del (ISC)2 afirmó que dedicaron, en total, alrededor de 150 a 160 horas a prepararse en los meses previos al examen. Saaz Rai, escribiendo en Quora, afirma que aprobó luego de estudiar seis a siete horas al día durante unas tres semanas. Por otro lado, un cartel en los foros comunitarios del Instituto Infosec afirma que aprobaron después de estudiar durante un "par de fines de semana”.
Guía de estudio CISSP
Muchas personas que tomarán el examen desearán una guía para estructurar su preparación. El (ISC)2 publica una guía de estudio oficial para ayudarlo, pero esa no es su única opción. La guía del examen, todo en uno, de la CISSP es muy apreciada y tiene un conjunto complementario de exámenes de práctica. SSI Logic tiene un libro donde puede encontrar mil preguntas de práctica y soluciones detalladas. Y si eso no es suficiente, consulte el blog de Netwrix para tener más opciones de guías de estudio.
Entrenamiento CISSP
Si está buscando una formación más formal, también está disponible. El (ISC)2 tiene un curso oficial de capacitación CISSP a su propio ritmo, así como un instructor autorizado tanto en línea como en aula.
Más allá de eso, existen, por supuesto, numerosos cursos de formación y bootcamps de terceros, demasiado numerosos como para enumerarlos aquí. Con frecuencia, Digital Defynd mantiene una lista actualizada de sus cinco principales cursos CISSP; por el momento, estos incluyen ofertas de Udemy, Infosec Institute y Learning Tree. Mientras tanto, Alpine Security proporciona una guía para averiguar si un curso de capacitación CISSP es adecuado para usted.
Costo del examen CISSP
La mayoría de estas guías de estudio y cursos tienen un costo, por supuesto, y eso es solo el comienzo de sus gastos. Deberá pagar el examen en sí; el registro cuesta 699 dólares en Estados Unidos, y el mismo precio, o un equivalente cercano en moneda local, en cualquier otro lugar.
Costo de la certificación CISSP
Aprobar el examen (y pagarlo) es el mayor desafío para obtener la certificación CISSP, pero existen más pasos que debe seguir -y costos que debe pagar. Primero, deberá aceptar el código de ética del (ISC)2. A continuación, está la cuestión de los requisitos de experiencia laboral que discutimos anteriormente; una vez que haya pasado la prueba, deberá demostrar que ha cumplido con este prerrequisito con el respaldo de sus colegas. De hecho, puede realizar el examen CISSP antes de haber acumulado suficiente experiencia laboral para obtener la certificación; si aprueba, tiene seis años para cumplir con los requisitos de experiencia laboral.
Para mantener su certificación CISSP, debe pagar una tarifa de mantenimiento anual de 124 dólares, que vence en el aniversario de la fecha de su certificación. (Si tiene varias certificaciones (ISC)2, solo debe pagar esa tarifa una vez al año para todas ellas). Si aprobó el examen, pero aún no cumplió con el requisito de experiencia laboral, se le considera un "Asociado de (ISC)2” y paga solo 50 dólares anuales hasta que lo cumpla.
¿Vale la pena la CISSP? El salario CISSP
No todas las certificaciones son iguales, pero la evaluación casi universal es que los costos significativos asociados con la certificación CISSP regresarán en forma de una compensación más alta a quienes estén certificados. Según ZipRecruiter, los que cuentan con CISSP ganan un promedio de 124 mil dólares anuales. The Balance lo consideró una de las siete mejores certificaciones de TI del 2020, y mencionó no solo los altos salarios, sino también la prevalencia de ofertas de trabajo para los que contar con CISSP es un requisito o algo muy sugerido.
Y las recompensas van más allá de lo económico. ¿Un hilo común que encontrará en muchas de las anécdotas personales a las que hemos vinculado aquí? Los titulares de la CISSP sienten que la certificación valida el trabajo arduo de una carrera, demostrando no solo sus conocimientos sino también su experiencia. La CISSP puede ser de gran ayuda, especialmente si está tratando de ingresar al campo de la seguridad de la información partiendo de un campo adyacente en el área de TI.
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú
Puede ver también