Hai, saya Sasha, Direktur Metodologi, Keamanan Siber, dan Manajemen Risiko, Spesialis Bersertifikat CISSP. Setelah mendapatkan sertifikasi, saya paling sering ditanyai dua pertanyaan ini:
- apakah sulit untuk lulus ujian?
- berapa banyak yang kamu persiapkan?
Maka, menjawab sekali lagi, saya memutuskan untuk berbagi dengan Anda pengalaman saya dalam mempersiapkan dan lulus ujian. Selain itu, artikel terbaru tentang CISSP dalam bahasa Rusia tertanggal tahun 2018, dan selama ini banyak yang telah berubah. Dalam tradisi terbaik kolega asing, di akhir posting, saya meninggalkan daftar materi yang telah saya siapkan dan terima sertifikat yang didambakan, serta satu blok rekomendasi pribadi saya.
Mengapa mendapatkan sertifikat CISSP?
Saya tidak akan berbicara lama tentang apa itu CISSP dan mengapa itu dibutuhkan. Karena Anda membaca ini, maka Anda termasuk dalam subjek. Tetapi jika Anda tiba-tiba masih ragu apakah Anda harus terlibat dalam bisnis ini sama sekali, saya akan mengatakan - Anda pasti harus! Persiapan ujian itu sendiri memperluas wawasan Anda dengan sempurna dan memompa keterampilan Anda, terutama di bidang keamanan informasi di mana Anda mungkin belum perlu bekerja.
Selain berhasil lulus ujian dan mendapatkan sertifikat, Anda juga bisa menjadi anggota anniversary! Pada Juli 2020 ada 230 dokter spesialis CISSP di Rusia, sedangkan pada 2006 hanya 78. Nah, sebagai perbandingan saja: di USA pada Juli 2020, 89.880 orang terdaftar di CISSP ...
Bonus bagus, yang saya temukan hanya setelah lulus ujian. Bersama dengan sertifikat, Anda juga mendapatkan kesempatan untuk membuat lencana elektronik. Itu dapat dibagikan melalui tautan, ditambahkan ke profil media sosial dan tanda tangan email.
Ini terlihat seperti ini Dan tautan ketika Anda mengkliknya mengarah ke situs dengan konfirmasi:
Apa yang baru dalam persiapan dan pengiriman?
Format ujiannya telah berubah, tetapi bagi saya, itu hanya menjadi lebih baik. Sebelumnya, berlangsung selama 6 jam dan terdiri dari 250 pertanyaan. Sekarang mereka telah mengurangi waktu pengiriman dan volume - dalam 3 jam Anda perlu memiliki waktu untuk menjawab 150 pertanyaan.
Inovasi lain: ujian sekarang merupakan pengujian adaptif terkomputerisasi, yaitu, pertanyaan berikutnya bergantung pada jawaban Anda untuk pertanyaan sebelumnya. Mekanisme seperti itu memungkinkan Anda menyelesaikan ujian dengan seratus jawaban yang benar.
Jika Anda hanya berencana untuk menerima sertifikat, penting untuk mempertimbangkan bahwa bobot beberapa domain akan berubah mulai 1 Mei 2021. Untuk kejelasan, saya membuat tabel perbandingan:
Portal nyaman dari Asosiasi ISC2 dan verifikasi sederhana
Ketika saya baru akan mengikuti ujian, saya sangat khawatir tentang beberapa persyaratan wajib. Berbagai pertanyaan berputar di kepala saya:
- – ?
- , e-mail ?
- CISSP ?
- , , , ?
- CISSP , ?
Tapi saya mengumpulkan pikiran saya dan memutuskan untuk bertindak dalam dua tahap:
tahap 1. Adalah normal untuk mempersiapkan dan lulus ujian.
Tahap 2. Bernapaslah dengan tenang setelah melahirkan dan pilah pertanyaan yang tersisa. Bagaimanapun, mereka tidak akan menjadi begitu signifikan jika tahap pertama diselesaikan dengan sukses!
Bagi mereka yang memutuskan untuk menerima CISSP, saya sarankan untuk melakukan hal yang sama: pada awalnya, jangan ganggu semua orang secara berturut-turut, tetapi berkonsentrasilah pada ujian itu sendiri. Tapi, melihat ke depan, saya akan mengatakan bahwa tahap kedua tidak terlalu sulit.
Di situs resmi isc2.orgAnda dapat menggambarkan pengalaman kerja Anda dalam format bebas (tentu saja, dalam bahasa Inggris). Sistem kemudian akan meminta Anda untuk memasukkan nama belakang dan nomor ID dari anggota saat ini yang memverifikasi profil Anda. Setelah itu, rumah sakit memeriksa kelengkapan dan kepatuhan pengalaman kerja yang ditentukan dengan yang dibutuhkan dalam waktu 4-6 minggu. Itu saja! Saya sangat senang dengan prosedur sederhana ini! Dan saya bahkan tidak perlu menemukan bahasa yang sama dengan seorang ahli dari Asia.
Paling Berharga: Sumber
Saya mulai mempersiapkan ujian pada April 2018. Secara total, saya membutuhkan waktu 2 tahun dari awal persiapan hingga lulus ujian. Kenapa lama sekali, Anda bertanya? Jawabannya sederhana: Saya istirahat, pergi berlibur panjang, terganggu oleh urusan keluarga, masalah pekerjaan yang mendesak ... dan, tentu saja, saya dulu malas. Tapi pada akhirnya dia menenangkan diri dan menyelesaikan apa yang dia mulai.
Di bawah ini adalah semua sumber yang saya gunakan saat mempersiapkan ujian. Untuk kenyamanan, saya memberi peringkat berdasarkan kepentingan dan memulai dengan yang paling berguna.
Panduan Studi Resmi “(ISC) 2. Profesional Keamanan Sistem Informasi Bersertifikat "(penulis - Mike Chapple, James Michael Stewart, Darril Gibson)
Buku ini sangat banyak, dalam format elektronik, hampir 1500 halaman dalam bahasa Inggris. Informasi di bab-bab (ada sebanyak 21 di buku!) Mungkin berhubungan dengan beberapa domain sekaligus. Oleh karena itu, agar pembaca tidak bingung, di awal setiap bab langsung ditunjukkan tentang apa itu.
Misalnya, Bab 6 "Kriptografi dan Algoritma Kunci Simetris" berisi informasi tentang domain kedua dan ketiga - "Keamanan Aset" dan "Teknik dan Arsitektur Keamanan". Dari pengalaman saya sendiri, saya dapat mengatakan bahwa hanya dengan menggunakan manual ini, Anda dapat mempersiapkan ujian sekitar 65%.
Lepaskan saja pertanyaan penting: tidak, saya belum membaca buku Shon Harris, yang sering disebutkan dalam postingan pakar bersertifikat lainnya. Latihan menunjukkan bahwa Anda dapat mempersiapkan ujian secara kualitatif dengan bantuan manual resmi dari konsorsium :)
Garis besar panduan studi
Saya tidak hanya mempelajari buku dari sampul ke sampul, tetapi juga membuat ringkasan 140 lembar A4. Ini tidak perlu, saya hanya mempelajari materi dengan lebih baik.
Selama dua tahun yang saya curahkan untuk mempersiapkan ujian, saya membaca ulang sepenuhnya catatan saya 4-5 kali. Saya selalu dapat memperbarui di kepala saya informasi tentang metodologi perhitungan risiko kuantitatif (ARO, SLE, EV, dll.) Atau urutan level dalam model kematangan proses pengembangan SW-CMM. Tidak perlu setiap kali membuka manual, mencari bagian yang diperlukan dan membacanya kembali. Saya menyarankan!
Panduan tes resmi “(ISC) 2. Profesional Keamanan Sistem Informasi Bersertifikat. Tes latihan resmi "oleh Mike Chapple dan David Seidl
Ini berisi sekitar 1.300 pertanyaan yang dibagi berdasarkan domain. Nilai tambah yang besar adalah ia memiliki 4 tes lengkap yang sedekat mungkin dengan ujian nyata. Dan di bagian akhir buku terdapat jawaban atas semua pertanyaan dengan penjelasan yang detail. Ini membantu mengkonsolidasikan poin-poin utama buku di kepala Anda.
Tes lain dari Internet tentang topik
Saya sendiri menemukan sekitar 1000 pertanyaan lagi. Selama bertahun-tahun, mereka telah diposting di jaringan perusahaan yang mempersiapkan spesialis untuk ujian CISSP. Dengan bantuan tes ini, saya menemukan tugas apa yang ada di tes beberapa tahun terakhir, dan menyelesaikannya. Jadi saya mendapat beban opsional tambahan, yang menguntungkan saya.
"Istana Memori - Penyegaran Cepat Untuk Ujian CISSP Anda!" (oleh Prashant Mohan)
Sebuah sinopsis kecil (hanya 125 halaman!) tapi informatif, yang dengannya Anda dapat dengan cepat memoles konten utama domain. Keuntungan utama: aliran material terstruktur. Semua informasi mengikuti urutan domain, jadi tidak ada kebingungan seperti manual resmi.
Buku "Eleventh Hour CISSP" (oleh Eric Conrad, Seth Misenar, Joshua Feldman)
Saya membaca buku ini pada minggu-minggu terakhir sebelum ujian, ketika saya bosan mengulang materi sebelumnya. Ditambah buku, seperti pada sumber sebelumnya, - bab sesuai dengan nomor domain dan disajikan secara berurutan.
Brosur ringkasan CISSP (oleh Maarten de Frankrijker)
Brosur ini merangkum yang terpenting dari panduan resmi belajar. Keunggulan utamanya adalah hanya terdapat 36 lembar di dalamnya, dan semua materi dikumpulkan dalam bentuk kartu. Buku kecil namun praktis ini akan membantu Anda menyegarkan pengetahuan dan mengkonsolidasikan konsep dasar dalam waktu singkat. Pilihan bagus untuk meninjau materi pada malam sebelum ujian.
Forum khusus di reddit.com
Ketika saya membutuhkan motivasi tambahan, saya mulai membaca posting yang dipublikasikan di forum ini, khususnya, di sini: www.reddit.com/r/cissp . Pengguna menceritakan kisah sukses mereka di sana, menyarankan apa yang harus dicari, merekomendasikan sumber untuk persiapan. Setiap kali saya terinspirasi dan pergi lagi untuk mempelajari buku.
Youtube
Saluran yang paling berguna adalah ITDojo . Dalam video pendek 6-10 menit, dua pertanyaan acak dari domain berbeda dipilah dan penjelasan rinci diberikan mengapa hanya satu dari empat jawaban yang benar untuk kasus tertentu. Sejujurnya, tidak selalu mungkin untuk memahami pidato penulis dengan telinga, jadi saya mengaktifkan subtitle.
Rekomendasi pribadi
Jika Anda merasa tidak cukup kuat dalam bahasa Inggris, jangan khawatir. Ini adalah kendala utama yang mencegah saya untuk mulai mempersiapkan ujian: pada saat itu saya dapat dengan mudah mengacaukan arti kata deterrent dan detection ... Membaca secara teratur dalam bahasa Inggris akan membantu Anda . Misalnya, saya mulai membaca 7 halaman setiap hari dan dalam tiga bulan menambah jumlahnya menjadi 12.
Pastikan untuk menyelesaikan tes . Dan semakin banyak, semakin baik. Ini akan membunuh tiga burung dengan satu batu:
- berhenti membingungkan konsep penurunan dan peningkatan, serta sebagian besar dan sedikit;
- meningkatkan kecepatan menjawab pertanyaan. Saya sudah mengatakan bahwa tes ini adaptif dan Anda dapat menyelesaikannya dengan menjawab 100 pertanyaan pertama. Tetapi jika tidak berhasil, Anda harus menjawab semuanya, sementara waktu yang dialokasikan untuk ujian akan tetap sama. Target saya adalah 1,5 menit per pertanyaan;
- . , – : , , . . , , .
Pelajari konsep - konsep yang belum pernah Anda kerjakan sebelumnya, tidak Anda ketahui, atau digunakan untuk menggunakannya dengan cara yang berbeda. Misalnya, urutan tindakan ketika suatu insiden terjadi di perusahaan yang berbeda mungkin berbeda, tetapi pada ujian perlu dijawab dengan tepat dalam urutan yang ditunjukkan dalam basis metodologis mereka: deteksi, respons, mitigasi, pelaporan, pemulihan, remediasi, pembelajaran. Tetapi saya segera meyakinkan Anda - hanya ada sedikit momen seperti itu.
Itu saja. Jika Anda memiliki pertanyaan tentang artikel ini atau mempersiapkan ujian, saya akan dengan senang hati membantu! Semoga berhasil!
Alexander Larichev,
Direktur Metodologi, Kontrol Keamanan Siber dan Manajemen Risiko, Rambler Group