Skip to content

CISSP-ISSAP

22 de agosto de 2009

Desde que anunciei que havia sido aprovado na prova de certificação CISSP-ISSAP, da ISC2, diversos colegas me perguntaram sobre o grau de dificuldade da prova e sobre o material utilizado para estudo. Resolvi compilar aqui algumas respostas que tenho passado para os amigos, com objetivo de ajudar a todos que quiserem se preparar para a prova.

1) Porque fazer essa certificação:

Recentemente, quando completei meus 3 anos como CISSP, parei para pensar o quanto eu tinha aprendido desde que fizera a prova. É verdade, quando eu passei na prova de CISSP não entendia bem os assuntos dos CBK com a profundidade que compreendo hoje. Digamos que eu sabia, mas não entendia com total clareza os assuntos. Senti que se hoje eu conhecia muito mais sobre os domínios do CISSP do que quando fiz a prova, precisava de um novo desafio para me testar novamente.

O ISSAP é uma certificação para quem já é CISSP, e tem um conhecimento em Arquitetura de segurança, ou seja, desenho de soluções tecnológicas de segurança. Acho que quem estiver trabalhando mais exclusivamente com a parte de gestão de dar uma olhada no ISSMP (Só tem um no Brasil, não sei quem é mas não acredito que tenha feito a prova para poder compartilhar suas impressões conosco).

2) Me preparei para os domínios abordados pelo ISSAP da seguinte forma:

a) Controle de Acesso: Acho que esse é uma das que mais praticamos e nos atualizamos, lado a lado com Redes e comunicações. Para esses dois domínios as aulas de MCSO II me ajudaram muito, pois a cada curso eu encontrava um especialista em algo diferente dentro de sala de aula, e sabendo discutir e dar o espaço para que esse conhecimento fosse compartilhado com os alunos, aprendi muito com todos estes especialistas.

b)  Redes e Comunicações: Aborda alguns temas mais atuais como segurança em Voip. Convém que (esse trecho tirei da 27002) você esteja trabalhando de alguma forma com esses conceitos, porque constituíram boa parte de meu exame.

c) Criptografia: Para esse exame não basta conhecer criptografia, como no CISSP, tem que entender. As perguntas são mais aprofundadas do que na prova de CISSP, e eu só me senti preparado porque para poder ministrar as aulas de criptografia no MCSO II eu tive que “entender” criptografia, para poder simplificar e entregar em 8 horas um conhecimento que o aluno fosse para casa com uma compreensão real de como ela funcionava, e não somente com um monte de nome de algoritmos.  Tive também alunos que trabalhavam em grandes estruturas de certificação digital, e me ensinaram muito sobre esse aspecto.

d) Security Architecture Analisys: Aqui sim, vemos um pouco de análise de riscos, 27002, PCI, Common Criteria, SEI-CMM, etc. Essa parte testa se você está antenado com os padrões de segurança do mercado. Bem bacana. As leituras do ISSA Journal, Antebellum e os ISSA Days me ajudaram bastante nessa parte.

e) Business Continuity and Disaster Recovery: Nos últimos anos dei muita aula de GCN no MCSO I, fiz um curso no BCI, revisei o material do curso de GCN da Módulo e acompanhei uma certificação de BS 25999. Realmente essa área de continuidade é fascinante. Pretendo me focar mais nela nos próximos anos. Aqui o exame te cobra também um conhecimento sobre as tecnologias de continuidade e recuperação, no exame de ISSMP a ISC2 cobra mais a gestão da GCN.

f) Phisical Security: Aqui novamente me valeram as aulas de MCSO I, onde sempre aprendo algo novo com os alunos e também discutimos diversas soluções adotadas nas empresas. O Foco fica na no controle de acesso e monitoração.

3) Como e por quanto tempo estudei:

Na realidade a prova coincidiu com um dos períodos mais intensos de trabalho no ano, dessa forma só tive tempo para ler um pouco sobre o que eu não lidava no dia-a-dia (Common Criteria, PCI)  e fazer alguns simulados no cccure. Se puder recomendar algo, diria para selecionar um por um esses domínios no site e fazer todas as questões de cada um deles, ou pelo menos as com grau de dificuldade maior ou igual a 3. Apesar do foco das questões do cccure ser o CISSP, ele ajuda muito no ISSAP.

Quando encontrei com o Anderson Ramos no GTS, ele me falou sobre o Candidate Information Bulletin. Um PDF que fica “escondido” no site da ISC2 e que passei todos esses anos desconhecendo (assim como todo mundo com quem conversei). Coloquei o link para obter o CIB, como dica final deste post, mas você tem que preencher um form para receber uma senha…nada complexo, só chatinho🙂

https://www.isc2.org/CIBForm.aspx

Finalmente respondendo à pergunta de todos sobre a dificuldade da prova, tenho que dizer que para mim não foi nada de outro mundo, foi uma prova difícil mas eu estava bem no assunto. Saí com a sensação de que as chances eram 50/50, mas devo essa preparação ao destino, que como vocês viram me colocou nos projetos que propiciaram esse entendimento, e a todos meus alunos e colegas, que me ajudaram em cada pergunta ou discussão a alcançar essa certificação.

Encerro esse post com uma frase lindíssima da grande poetisa brasileira Cora Coralina: “Feliz aquele que transfere o que sabe e aprende o que ensina”

From → Carreira, Infosec

2 Comentários
  1. Fabio Ferrao permalink

    Excelente post Fernando. Só faltou o link para o pdf “escondido” do ISC2.

    Abraços.

    • Obrigado Fábio!

      Atualizei o post com o link. Na mesma página dá para solicitar o CIB de todas as certificações da ISC2.

      Abraços,

      Fernando

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: