Bonjour, je suis Sasha, directrice de la méthodologie, de la cybersécurité et de la gestion des risques, spécialiste certifiée CISSP. Après avoir obtenu la certification, on me pose le plus souvent ces deux questions:
- était-ce difficile de réussir l'examen?
- combien as-tu préparé?
Et donc, répondant encore une fois, j'ai décidé de partager avec vous mon expérience de préparation et de réussite de l'examen. De plus, l'article le plus récent sur le CISSP en russe date de 2018, et pendant cette période, beaucoup de choses ont déjà changé. Dans les meilleures traditions de collègues étrangers, à la fin du poste, j'ai laissé une liste de documents pour lesquels j'ai préparé et reçu le certificat convoité, ainsi qu'un bloc de mes recommandations personnelles.
Pourquoi obtenir un certificat CISSP?
Je ne parlerai pas longtemps de ce qu'est le CISSP et pourquoi il est nécessaire. Puisque vous lisez ceci, vous êtes dans le sujet. Mais si vous doutez encore soudainement si vous devriez même vous impliquer dans cette entreprise, je dirai - vous devriez certainement le faire! La préparation à l'examen lui-même élargit parfaitement vos horizons et pompe vos compétences, en particulier dans les domaines de la sécurité de l'information dans lesquels vous n'avez peut-être pas encore eu à travailler.
En plus de réussir l'examen et d'obtenir un certificat, vous pouvez devenir membre anniversaire! En juillet 2020, il y avait 230 spécialistes CISSP en Russie, alors qu'en 2006 il n'y en avait que 78. Bon, juste à titre de comparaison: aux USA en juillet 2020, 89 880 personnes étaient inscrites au CISSP ...
Bon bonus, que je n'ai découvert qu'après avoir réussi l'examen. Avec le certificat, vous avez également la possibilité de créer un badge électronique. Il peut être partagé via un lien, ajouté aux profils de réseaux sociaux et à une signature électronique.
Cela ressemble à ceci Et le lien lorsque vous cliquez dessus mène au site avec une confirmation:
Quoi de neuf en préparation et en livraison?
Le format de l'examen a changé, mais moi, il ne fait que s'améliorer. Auparavant, il durait 6 heures et consistait en 250 questions. Maintenant, ils ont réduit à la fois le temps de livraison et le volume - en 3 heures, il est nécessaire d'avoir le temps de répondre à 150 questions.
Autre innovation: l'examen est désormais un test adaptatif informatisé, c'est-à-dire que la question suivante dépend de vos réponses aux précédentes. Un tel mécanisme vous permet de terminer l'examen avec une centaine de bonnes réponses.
Si vous prévoyez simplement de recevoir un certificat, il est important de considérer que le poids de certains domaines changera à partir du 1er mai 2021. Pour plus de clarté, j'ai fait un tableau de comparaison:
Portail pratique de l'Association ISC2 et vérification simple
Lorsque j'étais sur le point de passer l'examen, j'étais très inquiète de certaines des exigences obligatoires. Diverses questions tournaient dans ma tête:
- – ?
- , e-mail ?
- CISSP ?
- , , , ?
- CISSP , ?
Mais j'ai rassemblé mes pensées et j'ai juste décidé d'agir en deux étapes:
étape 1. Il est normal de se préparer et de réussir l'examen.
Étape 2. Respirez calmement après l'accouchement et résolvez les questions restantes. Après tout, ils ne seront plus aussi importants si la première étape est réussie!
Pour ceux qui décident néanmoins de recevoir le CISSP, je suggère de faire de même: au début, ne dérangez pas tout le monde d'affilée, mais concentrez-vous sur l'examen lui-même. Mais, à l’avenir, je dirai que la deuxième étape n’a pas été si difficile.
Sur le site officiel isc2.orgvous pouvez décrire votre expérience de travail dans un format libre (bien sûr, en anglais). Le système vous demandera alors de saisir le nom et le numéro d'identification du membre actuel qui vérifie votre profil. Après cela, l'organisation vérifie l'exhaustivité et la conformité de l'expérience de travail spécifiée avec celle requise dans un délai de 4 à 6 semaines. C'est tout! J'étais très content d'une procédure aussi simple! Et je n'ai même pas eu besoin de trouver un langage commun avec un expert d'Asie.
Le plus précieux: les sources
J'ai commencé à préparer l'examen en avril 2018. Au total, il m'a fallu 2 ans entre le début de la préparation et la réussite de l'examen. Pourquoi cela prend-il si longtemps, demandez-vous? La réponse est simple: j'ai pris des pauses, je suis parti de longues vacances, j'étais distrait par des affaires de famille, des problèmes de travail urgents ... et, bien sûr, j'étais paresseux. Mais à la fin, il s'est ressaisi et a terminé ce qu'il avait commencé.
Vous trouverez ci-dessous toutes les sources que j'ai utilisées lors de la préparation de l'examen. Pour plus de commodité, je les ai classés par importance et j'ai commencé par les plus utiles.
Guide d'étude officiel »(ISC) 2. Certified Information Systems Security Professional "(auteurs - Mike Chapple, James Michael Stewart, Darril Gibson)
Le livre est volumineux, au format électronique, près de 1500 pages en anglais. Les informations contenues dans les chapitres (il y en a jusqu'à 21 dans le livre!) Peuvent concerner plusieurs domaines à la fois. Par conséquent, pour que les lecteurs ne soient pas confus, au début de chaque chapitre, il est immédiatement indiqué de quoi il s'agit.
Par exemple, le chapitre 6, «Cryptographie et algorithmes de clé symétrique», contient des informations sur les deuxième et troisième domaines - «Sécurité des actifs» et «Architecture et ingénierie de la sécurité». D'après ma propre expérience, je peux dire qu'en utilisant uniquement ce manuel, vous pouvez vous préparer à l'examen d'environ 65%.
Décrochez simplement une question importante: non, je n'ai pas lu le livre de Shon Harris, qui est souvent mentionné dans les messages d'autres experts certifiés. La pratique montre que vous pouvez vous préparer qualitativement à l'examen à l'aide du manuel officiel du consortium :)
Plan du guide d'étude
J'ai non seulement étudié le livre d'une couverture à l'autre, mais j'ai également fait un résumé de 140 feuilles A4. Ce n'est pas nécessaire, je viens de mieux apprendre le matériel.
Pendant les deux années que j'ai consacrées à la préparation de l'examen, j'ai relu complètement mes notes 4 à 5 fois. Je pourrais toujours mettre à jour dans ma tête les informations sur la méthodologie de calcul quantitatif des risques (ARO, SLE, EV, etc.) ou la séquence des niveaux dans le modèle de maturité des processus de développement SW-CMM. Il n'était pas nécessaire de consulter le manuel à chaque fois, de rechercher la section nécessaire et de la relire. Je vous conseille!
Guide de test officiel «(ISC) 2. Professionnel certifié de la sécurité des systèmes d'information. Essais pratiques officiels "par Mike Chapple et David Seidl
Il contient environ 1300 questions réparties par domaines. Un énorme avantage est qu'il dispose de 4 tests complets qui sont aussi proches que possible d'un véritable examen. Et à la fin du livre, il y a des réponses à toutes les questions avec des explications détaillées. Cela permet de consolider les principaux points du livre dans votre tête.
D'autres tests sur Internet sur le sujet
J'ai moi-même trouvé environ 1000 questions supplémentaires. Au fil des ans, ils ont été postés sur le réseau d'entreprises qui préparent des spécialistes à l'examen CISSP. Avec l'aide de ces tests, j'ai découvert quelles étaient les tâches des tests des dernières années et je les ai résolues. J'ai donc eu une charge optionnelle supplémentaire, ce qui est allé à mon avantage.
"Le Palais de la Mémoire - Un rappel rapide pour votre examen CISSP!" (par Prashant Mohan)
Un petit synopsis (seulement 125 pages!) mais informatif, à l'aide duquel vous pouvez rapidement faire le point sur le contenu principal des domaines. Principal avantage: flux de matière structuré. Toutes les informations suivent la séquence des domaines, il n'y a donc pas de confusion comme le manuel officiel.
Livre "Eleventh Hour CISSP" (par Eric Conrad, Seth Misenar, Joshua Feldman)
J'ai lu ce livre dans les dernières semaines avant l'examen, quand j'étais fatigué de répéter les matériaux précédents. Plus les livres, comme dans la source précédente, - les chapitres correspondent aux numéros de domaine et sont présentés dans l'ordre.
Brochure de synthèse CISSP (par Maarten de Frankrijker)
Cette brochure résume le plus important du guide officiel d'étude. Les principaux avantages sont qu'il ne contient que 36 feuilles et que tout le matériel est collecté sous forme de cartes. Ce petit livre pratique vous aidera à rafraîchir vos connaissances et à consolider les concepts de base en peu de temps. Une excellente option pour réviser le matériel à la veille de l'examen.
Forum spécialisé sur reddit.com
Quand j'avais besoin de motivation supplémentaire, j'ai commencé à lire les articles publiés sur ce forum, en particulier ici: www.reddit.com/r/cissp . Les utilisateurs y racontent leurs réussites, conseillent ce qu'il faut rechercher, recommandent des sources de préparation. Chaque fois, j'ai été inspiré et je suis retourné étudier les livres.
Youtube
Le canal le plus utile était ITDojo . Dans de courtes vidéos de 6 à 10 minutes, deux questions aléatoires provenant de domaines différents sont triées et une explication détaillée est donnée pourquoi une seule des quatre bonnes réponses est correcte pour un cas particulier. Pour être honnête, il n'était pas toujours possible de percevoir le discours de l'auteur à l'oreille, j'ai donc activé les sous-titres.
Recommandations personnelles
Si vous pensez que vous n'êtes pas assez fort en anglais, ne vous inquiétez pas. C'était le principal obstacle qui m'empêchait de commencer à me préparer à l'examen: à ce moment-là, je pouvais facilement confondre le sens des mots dissuasion et détection ... Une lecture régulière en anglais vous aidera . Par exemple, j'ai commencé à lire 7 pages par jour et dans les trois mois j'ai augmenté leur nombre à 12.
Assurez-vous de résoudre les tests . Et plus il y en a, mieux c'est. Cela fera d'une pierre trois coups:
- arrêter de confondre les concepts de diminution et d'augmentation, ainsi que le plus et le moins;
- améliorer la vitesse de réponse aux questions. J'ai déjà dit que le test est adaptatif et que vous pouvez le résoudre en répondant aux 100 premiers éléments. Mais si cela ne fonctionne pas, vous devrez tout répondre, tandis que le temps alloué à l'examen restera le même. Mon objectif était de 1,5 minute par question;
- . , – : , , . . , , .
Apprenez des concepts avec lesquels vous n'avez jamais travaillé, que vous ne connaissiez pas ou que vous avez l'habitude de les utiliser différemment. Par exemple, l'ordre des actions en cas d'incident dans différentes entreprises peut différer, mais il faut répondre à l'examen exactement dans l'ordre indiqué dans leur base méthodologique: détection, intervention, atténuation, reporting, récupération, remédiation, leçons apprises. Mais je m'empresse de vous rassurer - il y a peu de tels moments.
C'est tout. Si vous avez des questions sur cet article ou sur la préparation de l'examen, je serai ravi de vous aider! Bonne chance!
Alexander Larichev,
directeur de la méthodologie, du contrôle et de la gestion des risques de la cybersécurité, Rambler Group