Buenas,
Ya me véis. Hincando los codos de nuevo 
Aprovechando que el plan de carrera de quien me tiene en nónima incluye la obtención y mantenimiento de certificaciones relacionadas con la Auditoría de Sistemas y Seguridad de la Información, he empezado hoy un intensivo hasta el viernes, en el que revisaré los contenidos preparatorios básicos para el examen de certificación del próximo 20 de octubre.
El curso lo organiza Internet Security Auditors, y lo imparte un formador de (ISC)2. El intensivo se da en lengua inglesa, y el material también está en inglés. Al examen me he matriculado en castellano, una opción interesante, ya que todas las cuestiones aparecen en castellano e inglés, lo que evita errores al leer traducciones horripilantes, que más de una vez se ven por ahí.
Por lo que he podido ver en el material de estudio, parece interesante, y lo que es mejor: muy centrado en la seguridad. El examen de certificación dura 6 horitas, nada más ni nada menos, y en él se cuestiona al candidato sobre 10 CBK (Common Body of Knowledge), o si lo preferimos, dominios de conocimiento:
1. Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías:
* Conceptos y objetivos
* Gestión del riesgo
* Procedimientos y políticas.
* Clasificación de la información
* Responsabilidades y roles en la seguridad de la información
* Concienciación en la seguridad de la información2. Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad:
* Conceptos de control y seguridad
* Modelos de seguridad
* Criterios de evaluación
* Seguridad en entornos cliente/servidor y host
* Seguridad y arquitectura de redes
* Arquitectura de la seguridad IP3. Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información:
* Conceptos y tópicos
* Identificación y autenticación
* Equipo de e-security.
* Single sign-on
* Acceso centralizado / descentralizado / distribuido
* Metodologías de control
* Monitorización y tecnologías de control de acceso4. Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información:
* Definiciones
* Amenazas y metas de seguridad
* Ciclo de vida
* Arquitecturas seguras
* Control de cambios
* Medidas de seguridad y desarrollo de aplicaciones
* Bases de datos y data warehousing
* Knowledge-based systems5. Seguridad de las Operaciones: Usado para identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso:
* Recursos
* Privilegios
* Mecanismos de control
* Abusos potenciales
* Controles apropiados
* Principios6. Criptografía: Los principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad:
* Historia y definiciones
* Aplicaciones y usos de la criptografía
* Protocolos y estándares
* Tecnologías básicas
* Sistemas de encriptación
* Criptografía simétrica / asimétrica
* Firma digital
* Seguridad en el correo electrónico e Internet empleando encriptación
* Gestión de claves
* Public key infrastructure (PKI)
* Ataques y criptoanálisis
* Cuestiones legales en la exportación de criptografía7. Seguridad Física: Técnicas de protección de instalaciones, incluyendo los recursos de los sistemas de información:
* Gestión de las instalaciones
* Seguridad del personal
* Defensa en profundidad
* Controles físicos
8. Seguridad en Internet, Redes y Telecomunicaciones: Incluye los dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación:* Gestión de la seguridad en la comunicaciones:
* Protocolos de red
* Identificación y autenticación
* Comunicación de datos
* Seguridad de Internet y Web
* Métodos de ataque
* Seguridad en Multimedia9. Recuperación ante Desastres y Planificación de la Continuidad del Negocio: Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones:
* Conceptos de recuperación ante desastres y de negocio
* Procesos de planificación de la recuperación
* Gestión del software
* Análisis de Vulnerabilidades
* Desarrollo, mantenimiento y testing de planes
* Prevención de desastres10. Leyes, investigaciones y Ética: Engloba las leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos:
* Leyes y regulaciones
* Gestión de incidentes
* Gestión de la respuesta ante incidentes
* Conducción de investigaciones
* Ética en la seguridad de la información
* Código ético del (ISC)²
En España existen en la actualidad 235 CISSPs, y si hacemos el recuento mundial, el número de certificados es de 48.598
¿Algún lector se ha certificado como CISSP y quiere contarnos cual es el nivel exigido en el examen? Se rumorea que dan bastante caña. Ya os contaré que tal
Ahí está Sergio, tú sigue sacando títulos para poder fardar de amigo (jejeje)
Bueno, ya nos contarás qué tal te va.
Suerte amigo.
Comentario Autor: Antonio J. Caba — 2 Octubre 2007 @ 12:01 am
¿Qué requisitios piden para ser certificarse en CISSP? ¿Eso de los 4 años currando de “experto en seguridad” es cierto? ¿Cómo se demuestra?
Comentario Autor: mojonvolador — 2 Octubre 2007 @ 8:08 am
Antonio
Un saludo campeón !!!
mojonvolador (vaya nick
)
Pues si que es cierto, uno de esos años es canjeable por el CISA.
Pero ojo, hay que acreditar 5 años de experiencia en AL MENOS uno de los 10 dominios. Esta experiencia, al igual que pasa con otras certificaciones, te la tiene que extender y corroborar “una entidad/persona solvente”, lo que ya no te sé decir es si debe firmarte esa experienca otro CISSP.
Habitualmente es tradición que tu superior sea el que te firme la experiencia y de fé de que es cierto que la tienes.
Un saludo,
Comentario Autor: Sergio Hernando — 2 Octubre 2007 @ 10:08 pm
Me alegra saber que sigues haciendo acopio de certificaciones
Francamente, el nivel exigido no es nada del otro mundo, o al menos no lo fue el año pasado. Y lo dice uno que se quedó en 654 puntos; para los que no se hayan presentado recuerdo que hay que obtener 700 de 1000.
El tema del seminario previo imagino que estará bien, aunque mi recomendación para el que tenga intención de hacer el examen es usar la misma técnica que para el carné de conducir: lectura comprensiva y miles de tests.
Están bastante bien los de http://www.cccure.org
Nos vemos el 20, a ver si a la segunda (en mi caso) va la vencida.
Saludos.
Comentario Autor: Ricardo — 3 Octubre 2007 @ 2:23 pm
Se me olvidó comentarlo antes. Un título superior universitario también es (lo era el año pasado) canjeable por un año de experiencia.
Comentario Autor: Ricardo — 3 Octubre 2007 @ 2:31 pm
Ricardo,
Gracias por la información. Muy útil.
Entiendo que el título universitario debe guardar relación con la función, no se yo si canjearán Licenciaturas en Farmacia o Filología Árabe por un año de experiencia
Lamentablemente, tengo muy poco (o nada) de tiempo de hacer tests, así que iré al examen con lo que sé.
Un saludo, y suerte para tí también
Comentario Autor: Sergio Hernando — 3 Octubre 2007 @ 7:05 pm
Como dice un amigo mío… ¡demasiao pa’la mente del obrero!.
En serio, ánimo porque, aunque que sea feo y egoista decirlo, alungos aprendemos mucho de ti (por lo menos lo intentamos), para luego traducirlo a nivel usuario.
Un saludo.
Comentario Autor: Miguel Angel Caballero — 5 Octubre 2007 @ 7:08 pm
Miguel Ángel,
Pues entonces el proceso de aprendizaje es mutuo, ya que yo también aprendo mucho (muchísimo) de las aportaciones que hacéis todos aquí.
Seguiremos en esa línea.
Un saludo, y bienvenido
Comentario Autor: Sergio Hernando — 5 Octubre 2007 @ 8:21 pm
Que tal,
En mayo del 2008 esta previsto que se haga el examen en Barcelona i estoy pensando en presentarme. No creo que mi empresa sea tan generosa como la tuya, con lo que seguramente me tocara estudiar por libre y pagarme el examen. Escribiras algun post de como te fue, dificultad de la prueba, etc. Para los que nos lo estamos pensando seria de gran ayuda.
Gracias.
Comentario Autor: Sr.M0k0 — 15 Noviembre 2007 @ 5:33 pm
Sr.M0k0,
No creo que escriba un post, porque el tema tampoco da para tanto.
El resumen que te puedo hacer es
- Muy largo (hasta 6 horas de examen)
- Complicado (preguntas del tipo cual es la mejor, el peor, lo primero, etc)
- Lo abarcan absolutamente todo (no te dejes nada sin mirar)
- Temario largo (no tengo el libro oficial, solo la guía de examen, pero el libro oficial son más de 1000 páginas)
Te recomiendo pidas el examen en castellano, ya que se suministra con versión inglesa en paralelo (en cada página, ambas versiones). En general las traducciones son buenas, y para cuando no lo sean, está la versión en inglés.
Y poco más que decirte tengo.
Comentario Autor: Sergio Hernando — 17 Noviembre 2007 @ 12:35 am
Gracias por la contestacion, me pondre en ello ya y haber si hay suerte. ;).
Comentario Autor: Sr.M0k0 — 19 Noviembre 2007 @ 12:58 pm
Yo tambien me presente a ese examen, 20 oct en Madrid, por fin llego el resultado:
Congratulations! We are pleased to inform you that you have passed the Certified Information Systems Security Professional (CISSP®) examination - the first step in becoming certified as a CISSP.
Tenia mis dudas, por que aunque lo llevaba bien preparado(lo estudie por mi cuenta, con el temario de ISC2 y con varios libros mas), al salir del examen tienes tal grado de cansancio mental que no eres capaz de decir si lo has hecho bien o mal.
Comentario Autor: AnonymousSpook — 1 Diciembre 2007 @ 12:40 pm
AnonymousSpook,
Yo también he aprobado. He visto el mail hace unas horas
Enhorabuena a los premiados !!!
Comentario Autor: Sergio Hernando — 1 Diciembre 2007 @ 6:01 pm
[...] He recibido hoy mismo los resultados del CISSP (Certified Information Systems Security Professional) del que me examiné no hará mucho. [...]
Pingback Autor: Sergio Hernando » Más sobre certificaciones. Proyectos personales de formación para 2008 — 1 Diciembre 2007 @ 6:36 pm
¿Sabeis cuando se hara el proximo examen en Madrid?
He mirado en la pagina de ISC2 y no veo fechas ni para Madrid ni para BCN. solo en la pagina de Internet Security Auditors viene lo del 10 de Mayo.
Comentario Autor: Bender — 7 Diciembre 2007 @ 11:56 am
Bender,
Normalmente Internet Security Auditors hace dos formaciones anuales: una en BCN y otra en Madrid. Como norma general, la de abril es en BCN, y en octubre se hace en Madrid.
En la URL https://webportal.isc2.org/Custom/ExamsSearch.aspx puedes buscar las localizaciones para el examen CISSP, que de momento, parece que no han sido negociadas. Normalmente, se hace en Madrid.
Un saludo,
Comentario Autor: Sergio Hernando — 7 Diciembre 2007 @ 2:16 pm
Gente consultas complementarias
- Hay algun material en español o todo esta en ingles?
- Si una da el test y no pasa porque no llego a los 700 puntos, HY QUE PAGAR NUEVAMENTE EL EXAMEN a ISC2 ??? o el pago anterior te permite otro test?
ALguien tien algun resumen o similar para ayudar al entrenameinto?
Gracias
Comentario Autor: Gustavo — 13 Julio 2008 @ 6:38 pm