Muitos têm me perguntado qual o caminho para se chegar a uma das certificações que acredito seja uma das mais valorizadas atualmente na área de tecnologia, o CISSP (Certified Information Systems Security Professional). Por isso resolvi deixar aqui a minha contribuição para ajudar os futuros candidatos. Como existem pouquíssimos cursos preparatórios atualmente no Brasil e questiono seu grau de eficácia, seguem algumas dicas para quem vai se preparar individualmente ou em grupos de estudo.

Em primeiro lugar, é fundamental que se tenha um plano de estudos, considerando todos os domínios do CISSP, quando se deseja realizar a prova e qual o tempo que poderá ser disponibilizado para estudo.

Acredito que dependendo da experiência do profissional em determinados domínios, esse tempo deverá ser maior ou menor. Uma sugestão é a divisão dos domínios por mês, da seguintes forma:

1o mês
 Telecomunications & Network
 
 
 Architeture and Models
 
2o mês
 Access Controls
 
 
 Systems Development
 
3o mês
 Operations security
 
 
 Security Management
 
4o mês
 Continuity Planning
 
 
 Physical Security
 
5o mês
 Criptography
 
 
 Law & Forensics
 
6o mês
 Revisão e Simulados
 

Sobre o material a ser utilizado como referência, indico o CISSP Examination Textbooks de S. Rao Vallabhaneni, dois volumes, um teórico e outros práticos, que apesar de estarem um pouco desatualizadas (2002), ainda são ótimas fonte de estudo.

Demais referências que não podem ficar de fora de uma adequada preparação:

Secrets and Lies, Bruce Schneier – Livro de cabeceira de todo profissional de segurança, com conceitos em linguagem bastante acessível;

ISC2 Oficial Guide – Guia da própria organização responsável pelo CISSP (www.isc2.org);

Information Security Management Handbook, Tipton and Krause – caráter mais de gestão da segurança;

The CISSP Prep Guide Gold Edition, Ronald Krutz and Russell Dean Vines

CISSP All-in-One Exam Guide, Second Edition, Shon Harris 

Um site com muito material sobre cada um dos domínios é o www.cccure.org, que também apresenta um simulado muito útil, que pode ser utilizado para avaliar a evolução do candidato no período de estudos e quais assuntos deverão ter esforços concentrados.

O período final deve ser focado para simulados e revisões, para isso indico os simulados do BOSON, que apesar de não refletirem o grau de dificuldade da prova, com certeza algumas questões estarão lá. Durante os simulados recomendo que as respostas das questões erradas sejam anotadas e separadas em um documento que possa ser revisado posteriormente.

E finalmente, calma e segurança são fundamentais (a última, em todos os sentidos!), não deve-se levar material para revisões em cima da hora, que vão mais confundir que ajudar.

Logo no início da prova, fazer um pequeno resumo de conceitos e fórmulas no verso da folha (Ex.: A: Verified Protection, B: Mandatory Protection, C: Discretionary Protection, D: Minimal Security, ALE = SLE x ARO, etc), será muito útil depois de 4 horas de prova (lembrando que a prova tem um total de 6 horas e 250 questões).

A técnica do “pega-varetas” pode ser utilizada, ou seja, realizar as questões mais fáceis primeiramente para não perder tempo, deixando o número das demais e uma palavra-chave no verso da folha, como “lembrete” do conteúdo da questão.

Na maioria das questões se consegue eliminar duas alternativas já na primeira leitura, restando outras duas que procuram induzir ao erro devido à sua semelhança.

Procure guardar algum tempo para respirar um pouco e restabelecer as idéias, haverá um espaço na sala para isso. E também para preencher o gabarito, que deve levar, no mínimo 30 minutos.

Aliado a isso e a uma boa dose de experiência, não tenho dúvida que será só aguardar o certificado!

Boa sorte!

Wellington F. Bezerra, CISSP

Analista Segurança da Informação Sr.