Introdução
Nos últimos anos, poucas regras têm sido mais aplicadas do que a “Lei da oferta e da procura” e poucas certificações têm sido mais cobiçados do que o CISSP, ou Certified Information Systems Security Professional, certificado internacional emitido pelo International Information Systems Security Certification Consortium, ou (ISC)². Por trás dessa sopa de letrinhas está o mais respeitado certificado na área de Segurança da Informação.
Apesar de cobiçado, o CISSP é uma certificação muito pouco comum no Brasil. Segundo o site do (ISC)², há no Brasil apenas 33 profissionais certificados (dado de 2002. Em 2008 o número alterou para 200), o que reforça ainda mais o mito em torno desse certificado.
Pré-requisitos
Além, é claro, de passar na prova, para se certificar, o candidato deve atender aos seguintes pré-requisitos:
Concordar e assinar o Código de Ética do (ISC)²;
Ter, no mínimo, três anos de experiência profissional em alguns dos 10 domínios de conhecimento em segurança da informação testados pela prova de certificação;
Ser indicado por outro CISSP, empregador ou outra fonte digna de confiança;
O último item é uma novidade inserida em 1º de julho deste ano (2002). O endosso é feito após o candidato ter passado na prova e é obrigatório. Sem ele, não é possível tornar-se CISSP. A mudança tem como objetivo preservar a certificação, e diferenciá-la ainda mais das demais certificações na área de Segurança da Informação. Não é exagero afirmar que o consórcio responsável pelo CISSP compreende e valoriza o status que a certificação tem.
A prova da CISSP é feita com base no que o (ISC)² chama de CBK, ou Common Body of Knowledge, composto por:
Sistemas de controle de acesso e metodologias;
Desenvolvimento de aplicações e sistemas;
Plano de continuidade de negócios;
Criptografia;
Leis, investigação e ética;
Segurança de operações;
Segurança física;
Arquitetura de segurança e metodologias;
Práticas de gestão de segurança;
Segurança de telecomunicações, redes e Internet
O CBK, deixa claro que, ao contrário da maioria das certificações, a CISSP não só busca do candidato uma forte base teórica dos mais diferentes aspectos da Segurança da Informação, como também cobra dele conhecimento em tecnologias pouco conhecidas por profissionais em geral.
A fórmula para passar é simples: calma, bons livros, estudo e bom senso na hora de fazer a prova. Como toda certificação, a CISSP baseia-se muito em uma pergunta que costuma deixar profissionais com grande experiência com uma pulga atrás da orelha: O que é melhor?
Um candidato CISSP vai ler essa pergunta durante seus estudos e durante a prova. O problema é que, para muitas pessoas, a resposta para essa pergunta é “depende…”. Ao estudar e fazer a prova, é preciso compreender que não há “depende” para o processo de certificação. Na dúvida, marque a opção que lhe parecer mais próxima da opinião comum do mercado.
Qual livro comprar?
Durante meu processo de certificação tive a oportunidade de conhecer três livros: CISSP Examination Textbooks 1st Ed. da SRV Books; CISSP Prep Guide da John Wiley & Sons; Information Security Management Handbook, Fourth Edition, Volume 1 da CRC Press.
Minha opinião é que, se eu pudesse comprar apenas um desses livros, teria comprado o segundo, por ser mais objetivo e didático. Mas devo confessar que não conheço a segunda edição do primeiro livro e considero o terceiro da lista um ótima leitura como material auxiliar para os que desejam reforçar seus conhecimentos para a prova.
Consulte outros livros mais recentes aqui (viewtopic.php?f=20&t=11).
O idioma
É fácil notar que os três títulos recomendados são em inglês, assim como toda a prova. A fluência em inglês não é um pré-requisito, mas dominar esta língua certamente tornará as coisas menos difíceis para o candidato. É preciso lembrar que os temas abordados nas provas são complexos por si só e apesar do uso de dicionários inglês/português ser permitido, dificilmente eles terão verbetes sobre leis e informática.
O que estudar
Muitos candidatos querem saber que domínios do CBK são mais cobrados pelo exame de certificação. Na opinião daqueles que fizeram as provas, todos os domínios são cobrados, mas essa cobrança varia de prova para prova. Enquanto no Chile alguns profissionais dizem ter feito provas mais técnicas e com poucas questões sobre legislação, em território americano, outros profissionais afirmam que suas provas tinham poucas perguntas técnicas e muita teoria. O fato é: um bom CISSP deve dominar o máximo possível do CBK.
Os testes simulados
Um item muito notado por candidatos durante o processo de estudo é o fato de que muitas das questões de teste presentes nos livros estão erradas ou ultrapassadas. Assuntos como criptografia, que constantemente envolvem o PGP em seus exemplos, tendem a estar desatualizados. É necessário tomar cuidado com esses erros e tentar verificar as respostas em outras fontes.
O site CCCure é uma boa dica para a preparação para o exame da CCISSP. Nele, o candidato pode tirar dúvidas, estudar através de material gratuito e compartilhar experiências com outros candidatos de todo o mundo.
Outro bom caminho é participar da lista de mensagem CISSP Brasil, um fórum em português para a discussão e preparação de candidatos ao CISSP no endereço http://br.groups.yahoo.com/group/cisspbrasil/
A prova, quanto custa, onde fazer?
Ao contrário das principais certificações do mercado, a CISSP não é encontrada em centros de treinamento. Além dos US$ 450 da prova, o candidato brasileiro ainda precisa arcar com os custos de viagem para o local de prova. São mais de 120 provas ao ano, sendo que até o final de 2002 Brasil, Chile e Peru serão sedes de provas. No site do (ISC)² é possível conferir os locais de prova.
Finalmente, a prova
Com 250 perguntas e até seis horas de duração, a prova é muito cansativa e merece atenção. Dentre os fatores que podem atrapalhar o candidato está o lanche – sim há comida e água na sala de prova. Se o candidato quiser relaxar, tomando água ou comendo uns biscoitos, pode fazê-lo, mas é importante ressaltar que o tempo da prova continua correndo. E, dependendo do nível de preparo do candidato, não só a perda de tempo, mas a de concentração podem prejudicar seu desempenho no exame.
Outro fator que, se não for bem utilizado, pode prejudicar é um recurso oferecido pelo (ISC)² para candidatos que desejam questionar perguntas da prova. Caso deseje questionar uma questão, faça-o, mas deixe para o final da prova.
Recertificação
Superado o desafio da prova, o CISSP exige do profissional certificado um novo esforço. O (ISC)² acredita que passar na prova não é tudo, por isso, exige que todos os profissionais certificados desenvolvam um mecanismo de educação continuada, através do Continuing Professional Education (CPE), ou façam as provas a cada três anos.
Na prática, o CPE é um programa bem acessível à maior parte dos profissionais de segurança e funciona de forma semelhante a um “programa de milhagens”. Ganha-se pontos que ao final de três anos isentam o profissional da necessidade de fazer uma nova prova. Entre as atividades que valem pontos estão a participação em eventos sobre segurança, participação de associações, treinamentos, entre outras.
A experiência de muitos candidatos mostra que, apesar de difícil, um profissional experiente e bem preparado não terá problemas para se certificar. No mais, é preparar as malas e organizar tudo com antecedência para não perder a prova por conta de um imprevisto de viagem. Calma, muito estudo e bom senso!
Fonte: http://www.timaster.com.br/revista/artigos/main_artigo.asp?codigo=657&pag=1
