CISSP - jak zdobyć najbardziej pożądany certyfikat bezpieczeństwa

Naznaczeni piętnem

Mając na względzie ogrom materiału (każda godna uwagi książka niezbędna do egzaminu to minimum 500 - 600 stron), przygotowania należy rozpocząć w miarę wcześnie, to znaczy na co najmniej 6 - 8 tygodni przed, przy wygospodarowaniu 3 godzin dziennie w całości poświęconych nauce. Z pewnością nie zaszkodzi więcej, ale wiadomo, że nawWał spraw zawodowych i rodzinnych nie pozwala na bardziej intensywną naukę. Okresem, który sprawdził się w przypadku autora niniejszych zapisków, były 4 tygodnie, z których ostatni tydzień oznaczał adaptację urlopu wypoczynkowego do celów naukowych. Szczerze nie polecam takiego podejścia. Jedno z psychologicznych praw uczenia się mówi, że najwięcej zapomina się bezpośrednio po nauczeniu. Dlatego w optymalnej sytuacji ostatni tydzień powinien być poświęcony jedynie na powtórki. Kolejna strategia to mądry podział materiału. Osobiście preferuję metodę podziału zagadnień na trudne i łatwe. Podczas nauki przeplatałem na zmianę te trudne łatwymi tak, aby nie zamęczyć i tak przeciążonego mózgu.

Na dzień przed egzaminem absolutnie nie wolno zaglądać do książek - ten dzień to czas na regenerację sił. Skoro już mowa o książkach. Na rynku jest kilka pozycji, które warto przeczytać. Na pewno należy zajrzeć do wydawanego przez ISC2 podręcznika - "Official ISC2 Guide to the CISSP CBK" - ponad 1000 stron!), który można kupić za ok. 80 USD. Często wymienianym źródłem są również książki: "CISSP All-in-one" (Shon Harris), "The CISSP Prep Guide" ( Ronald Krutz, Russel Vines). Pojawiła się również całkiem niezła książka "CISSP For Dummies" (interesująca pomimo tego, że pochodzi z serii ... For Dummies, czyli dla opornych).

Ale książki to nie wszystko. Jak zwykle nieocenionym źródłem informacji pozostaje internet. W serwisie SearchSecurity.com możemy obejrzeć wykłady prowadzone przez panią Shon Harris, obejmujące wszystkie 10 domen. Istną kopalnią wiedzy jest także poświęcony w dużej mierze CISSP-owi portal CCCure.org. Warto zaglądać na prowadzone w jego ramach forum, gdzie kandydaci - ale też i posiadacze tytułu - dzielą się swoimi spostrzeżeniami. Jest tam także test, który polecam każdemu. Nie dlatego, że pytania w nim zawarte powtórzą się na egzaminie - na to jest nikła szansa. Pozwalają jednak na poczucie ducha egzaminu i zapoznanie się ze sposobem formułowania myśli. Dysponując jednym wolnym dniem, można tak skonfigurować test na CCCure, żeby zasymulował właściwy egzamin.

Poza internetem mamy jeszcze kilka innych źródeł wiedzy. Po pierwsze, będąc członkiem ISSA Polska (http://www.issa.org.pl ), możemy brać udział w organizowanych cyklicznie spotkaniach, na których są poruszane tematy poszczególnych domen CISSP. Po drugie, nie zaszkodzi wziąć udział w pięciodniowym seminarium przygotowującym do egzaminu. Seminaria takie od pewnego czasu dostępne są również w Polsce. Obecnie organizuje je centrum szkoleniowe Clico. Nie są jednak tanie - ok. 2000 euro.

Bez względu na to, z jakich źródeł będziemy się uczyli, to na kilka dni przed egzaminem pojawi się przekonanie, że nic nie umiemy (mało tego - po egzaminie to przekonanie będzie się pogłębiać!). Spokojnie. Jak mówi doświadczony przyjaciel (wieloletni CISSP-owiec) - Tak ma być. I kropka.

Nadszedł dzień egzaminu

Egzamin ma formę tradycyjnego, rozwiązywanego na papierze testu jednokrotnego wyboru. Musimy udzielić odpowiedzi na 250 pytań i mamy na to "tylko" 6 godzin. To na pozór proste zadanie przeradza się w udrękę, która zaczyna się już po 100 pytaniu. Nie marzy się wtedy o niczym innym, jak o najszybszym wyjściu z sali, a nawet nie ma co liczyć na przerwę. Po 150 pytaniu wszystko zaczyna się mieszać i nie jesteśmy pewni sporej części udzielonych do tej pory odpowiedzi. Wracamy więc szybko i wszystko sprawdzamy od początku - jest to najgorsza rzecz, jaką możemy zrobić. Trzeba powstrzymać się przed robieniem poprawek - w większości przypadków poprawiamy odpowiedzi dobre na złe. Nie należy też poświęcać zbyt dużo czasu na każde z pytań. Wiadomo, pytania trzeba czytać ze zrozumieniem, ale pamiętajmy, że średnio na zapoznanie się z jednym i udzielenie odpowiedzi mamy ok. 70 sekund. To dużo i mało, bo pytania mogą być różne - od jednozdaniowych, po krótkie opowiadania. Dlatego, jeżeli nie znamy odpowiedzi, najlepiej przejść do następnego pytania, zapisując jego numer, a następnie wrócić po udzieleniu odpowiedzi na pozostałe.

Zdałem... i co teraz?

Po napisaniu egzaminu zapewne będziemy mieć wrażenie całkowitej porażki. Będziemy też przekonani, że wszystko pomieszaliśmy, a połowa odpowiedzi była na "chybił-trafił", bo pytania były zagmatwane (to eufemizm). I jeszcze to oczekiwanie na wynik... Po dwóch tygodniach życia w niepewności wysłałem e-maila z zapytaniem o wynik. Jakież było moje zaskoczenie, kiedy w odpowiedzi dostałem informację, że w związku z procedurami itd., itp., przyjdzie mi być może czekać jeszcze kilka tygodni! Zaskoczenie było jeszcze większe, kiedy dwa dni później otrzymałem upragnioną informację: Congratulations.

Zdanie egzaminu to nie wszystko. Trzeba jeszcze uzyskać pisemne poręczenie wystawione przez osobę z aktualnym tytułem CISSP - dobrze więc zawczasu zorientować się, czy znamy kogoś, kto po pierwsze ma CISSP-a, a po drugie zdecyduje się za nas poręczyć. Jeżeli pozytywnie przejdziemy weryfikację, a przesłane przez nas informacje nie wzbudzą podejrzeń ISC2, to oficjalnie (na papierze) otrzymamy upragniony tytuł. Zachowamy go przez rok, jeśli stale będziemy zdobywać CPE, czyli punkty za określoną działalność w zakresie bezpieczeństwa (np. udział w konferencjach) oraz, jeżeli nie zapomnimy uiszczać corocznie ustalanej opłaty członkowskiej. Czy tytuł CISSP faktycznie przełoży się na poprawę naszej sytuacji zawodowej? No to już zależy tylko od nas...