27 abr. 2015

Cambios a la certificación CISSP 2015

Cuando un examen de certificación sufre una modificación tan importante como la actual (ISC)2 CISSP, puede ser un dolor de cabeza, sobre todo si alguien está en la etapa de planificación y estudio para luego rendir el examen. A principios de 2012 esto ya pasó cuando se pusieron en marcha los primeros cambios y ensayos para llegar al actual programa de estudios, generalmente conocido cuerpo de conocimiento (CBK) de CISSP.

El 15 de abril pasado, (ISC)2 (International Information Systems seguridad certificación Consortium) dió a conocer "una mejora a los dominios y cuerpo de conocimiento (CBK) que cubren la certificación CISSP (Certified Information Systems Security Professional)". Si alguien está planeando tomar el examen actual, debería conocer de qué se tratan estos cambios: son muchos y muy variados.

La certificación CISSP está diseñada para brindar conocimiento sobre un conjunto muy amplio de habilidades, pero no una profundización en todos los temas particulares. De allí que se la conoce como "La certificación de una milla de largo y 2 pulgadas de profundidad".

Para entender qué implica esta actualización, primero es necesario entender lo que cubría hasta el momento, para luego acercarse a los cambios. Dado que la certificación CISSP requiere tener una gran cantidad de experiencia en los temas dados, se cree que la persona ya ha estado en situaciones que requieren un conocimiento más profundo del alcance de lo que pide un dominio particular.

CISSP 2012 vs CISSP 2015

Nuevos dominios CISSP 2015
Dominios CISSP 2012
1-Security and Risk Management Information Security Governance & Risk Management
BCP & DRP
Legal, Regulation, Compliance and Investigation
2-Asset Security Physical Security
3-Security Engineering Security Architecture and Design
Cryptography
4-Communications &  Network Security Telecommunication & Network Security
Cryptography
5-Identity and Access Management Access Control
6-Security Assessment and Testing Security Architecture and Design
7-Security Operations Operations Security
8-Software Development Security Application Development Security

Información sobre CISSP 2015

Aquí residen la mayor cantidad de cambios. La cantidad de dominios se ha reducido de 10 a 8 pero todavía hay una cantidad enorme de información que es cubierta por el CISSP (incluso quizás más). Cada dominio se ha reorganizado y se ha mejorado con contenido adicional.
Hay algunos recursos oficiales disponibles que ayudan a responder muchas preguntas adicionales:
La actualización CISSP 2015 aporta nuevos puntos de vista sobre todos los dominios. Con muy pocas excepciones, los dominios antiguos han desaparecido. No así la información cubierta, que sigue siendo la misma, pero ha cambiado la perspectiva.

La certificación CISSP siempre ha sido una certificación de nivel gerencial que requiere comprensión de muchos temas a través de una amplia gama de requerimientos. Con esta nueva actualización, CISSP ya es una de las certificaciones que cubre la mayor cantidad de información sobre seguridad y, ahora supuestamente cada dominio es un poco más fácil de administrar y un poco más fácil de entender.

Examen CISSP 2015

En esencia, el examen continúa igual: se permite hasta 6 horas para completar el examen de 250 preguntas de las cuales 25 están clasificadas como experimentales y por lo tanto no se evalúan. El puntaje de aprobación es 700 puntos sobre 1000 sin respuestas que sumen negativo.
La certificación CISSP es válida por tres años más 120 créditos de educación continua (CPE) que deben lograrse en el ciclo de 3 años. Se deben obtener al menos 20 CPE por año.
Para tomar el examen, el candidado debe tener al menos 5 años de experiencia en 2 dominios pero, en el caso de tener título universitario, la experiencia requerida es de 4 años.

Según mencionan en CCCure, lo estudiado para la certificación anterior, debería alcanzar para rendir el nuevo examen si se tiene la experiencia debida en cada dominio.

Dominios CISSP 2015

Como ya adelanté, la cantidad de dominios actual es de 8. Todos ellos se han reordenado y reescrito totalmente. Aquí hay una revisión de los mismos.

Dominio 1: Security and Risk Management (Security, Risk, Compliance, Law, Regulations, and Business Continuity)
  • Confidentiality, integrity, and availability concepts
  • Security governance principles
  • Compliance
  • Legal and regulatory issues
  • Professional ethic
  • Security policies, standards, procedures and guidelines
Los cambios de este dominio con respecto a la versión anterior, se pueden ver en este gráfico:
    Dominio 2: Asset Security (Protecting Security of Assets)
    • Information and asset classification
    • Ownership (e.g. data owners, system owners)
    • Protect privacy
    • Appropriate retention
    • Data security controls
    • Handling requirements (e.g. markings, labels, storage)
    Dominio 3: Security Engineering (Engineering and Management of Security)
    • Engineering processes using secure design principles
    • Security models fundamental concepts
    • Security evaluation models
    • Security capabilities of information systems
    • Security architectures, designs, and solution elements vulnerabilities
    • Web-based systems vulnerabilities
    • Mobile systems vulnerabilities
    • Embedded devices and cyber-physical systems vulnerabilities
    • Cryptography
    • Site and facility design secure principles
    • Physical security
    Dominio 4: Communication and Network Security (Designing and Protecting Network Security)
    • Secure network architecture design (e.g. IP & non-IP protocols, segmentation)
    • Secure network components
    • Secure communication channels
    • Network attacks
    Dominio 5: Identity and Access Management (Controlling Access and Managing Identity)
    • Physical and logical assets control
    • Identification and authentication of people and devices
    • Identity as a service (e.g. cloud identity)
    • Third-party identity services (e.g. on-premise)
    • Access control attacks
    • Identity and access provisioning lifecycle (e.g. provisioning review)
    Dominio 6: Security Assessment and Testing (Designing, Performing, and Analyzing Security Testing)
    • Assessment and test strategies
    • Security process data (e.g. management and operational controls)
    • Security control testing
    • Test outputs (e.g. automated, manual)
    • Security architectures vulnerabilities
    Dominio 7: Security Operations (Foundational Concepts, Investigations, Incident Management, and Disaster Recovery)
    • Investigations support and requirements
    • Logging and monitoring activities
    • Provisioning of resources
    • Foundational security operations concepts
    • Resource protection techniques
    • Incident management
    • Preventative measures
    • Patch and vulnerability management
    • Change management processes
    • Recovery strategies
    • Disaster recovery processes and plans
    • Business continuity planning and exercises
    • Physical security
    • Personnel safety concerns
    Dominio 8: Software Development Security (Understanding, Applying, and Enforcing Software Security)
    • Security in the software development lifecycle
    • Development environment security controls
    • Software security effectiveness
    • Acquired software security impact

    Nuevo contenido en CISSP 2015

    El contenido que se ha agregado al ya existente es el siguiente:
    1. Security and Risk Management
    • Compliance
    • Data Breaches
    • Conducting a Business Impact Analysis (BIA)
    • Implementation
    • Continuous improvement
    • Threat Modeling
    • Determining potential attacks
    • Performing a Reduction Analysis
    • Technologies and processes used to remediate threats
    • Integrating security risk considerations into acquisitions strategy and
    • practice
    • Third-Party assessments
    • Minimum security requirements
    • Service-Level requirements
    • Appropriate levels of awareness, training, and education within an
    • organization
    • Periodic reviews for content relevancy
    2. Asset Security
    • Data owners
    • Data processes
    • Data Remanence
    • Baselines
    • Scoping and tailoring
    • Standards selection
    3. Security Engineering
    • Implementing and managing an engineering lifecycle using security
    • design principles
    • Large scale parallel data systems
    • Cryptographic systems
    • Assessing and mitigating vulnerabilities in mobile systems
    • Embedded devices and cyber-physical systems
    • Data Rights Management (DRM)
    • Designing and implementing facility security
    • Wiring closets
    4. Communications and Network Security
    • Converged protocols
    • Software defined networks
    • Content distribution networks
    • Physical devices
    • Virtualized networks
    5. Identity and Access Management
    • Controlling physical and logical access to assets
    • Registration and proof of identity
    • Credential management systems
    • Integrating Identity as a Service
    • Integrating third-party identity services
    • Preventing or mitigating access control attacks
    6. Security Assessment and Testing
    • Assessment and testing strategies
    • Security control testing
    • Log reviews
    • Code review and testing
    • Negative testing
    • Misuse case testing
    • Test coverage analysis
    • Interface testing
    • Collecting security process data
    • Account management
    • Management review
    • Key performance and risk indicators
    • Analyzing and reporting test output
    7. Security Operations
    • Understanding the requirements for various investigation types
    • Operational
    • Criminal
    • Civil
    • Regulatory
    • Electronic Discovery (eDiscovery)
    • Continuous monitoring
    • Egress monitoring
    • Securing the provisioning of resources
    • Configuration Management
    • Physical assets
    • Virtual assets
    • Cloud assets
    • Application provisioning
    • Service Level Agreements (SLA)
    • Hardware and Software asset management
    • Mitigation
    • Lessons learned
    • Whitelisting/Blacklisting
    • Third-Party security services
    • Sandboxing
    • Honeypots/Honeynets
    • Antimalware
    • Testing a Disaster Recovery Plan
    • Read through
    • Walk through
    • Simulation
    • Parallel
    • Full interruption
    8. Software Development Security
    • Integrated product teams
    • Code repositories
    • Application Program Interfaces (APIs)
    • Acceptance testing
    • Assessing software acquisition security
    CCCure ha publicado una pequeña guía de estudio para profundizar en los cambios y con referencias a cada uno de los temas que se han agregado al cuerpo de estudio. Aquí hay mucha más información y también ya se encuentra disponible el libro CISSP CBK 2015 - 4th Edition.

    Con todo, muchos profesionales echarán en falta la ayuda de Shon Harris ya que, antes de su muerte a finales del año pasado, su guía de estudio era considerada como la mejor guía de estudio.

    Tengo el placer de invitarlos a participar de nuestro próximo Bootcamp Certificación CISSP 2015, el cual estaremos brindando quien escribe Cristian Borghello, Director de Segu-Info, y Ezequiel Sallis, Director de Root-Secure.

    Cristian de la Redacción de Segu-Info

    7 comentarios:

    1. Hola, tengo una consulta...

      Como acreditas "Para tomar el examen, el candidado debe tener al menos 5 años de experiencia en 2 dominios pero, en el caso de tener título universitario, la experiencia requerida es de 4 años.".

      Te exigen algún documento antes de rendir el examen?, posterior?..

      Tu respuesta seria de gran ayuda, ya que, quiero comenzar a preparar este examen y ya cuento con otras certificaciones.

      Saludos!

      ResponderEliminar
      Respuestas
      1. Efectivamente, luego de aprobado el examen te solicitan los comprobantes y documentación que avale tus títulos y experiencia. Te recomiendo esta lectura donde explico todo el proceso: http://segu.info/faqc

        Eliminar
    2. Entonces si me queda claro... rindes el examen y posterior a eso debes cumplir con esto:

      "La certificación y credencial se mantienen por tres años abonando a (ISC)² una cuota anual y sumando puntos Continuing Professional Education (CPEs). Luego de ese tiempo la certificación no es necesario volver a rendir."

      La pregunta es, porque se hace mención al menos contar con 5 años de experiencia, o eso se mide mientras sumas puntos al CPEs?.

      ResponderEliminar
      Respuestas
      1. Pasos:
        1. Estudias y rindes. Solo si apruebas te piden lo siguiente.
        2. Te piden la doc. sobre tu experiencia y títulos
        3. Si tienes todo OK, recién te entregan la certificación.
        4. Luego de certificado, sumas puntos CPE con tu trabajo. Esto nada tiene que ver la experiencia previa y tu título
        5. Si sumas los 120 CPE durante los tres años, mantienes la certificación. Este paso nunca es problema.

        Eliminar
    3. Hola, muchas gracias por la info. Tengo una pregunta se consiguen estos libros y guías de estudio en idioma español para obtener la certificación.

      ResponderEliminar
      Respuestas
      1. Hay poco y nada de documentación en español. Te sugiero que mires nuestro Bootcamp CISSP aquí: http://segu.info/cissp

        Cristian

        Eliminar
    4. Hola, muchas gracias por la info. Tengo una pregunta se consiguen estos libros y guías de estudio en idioma español para obtener la certificación.

      ResponderEliminar

    Gracias por dejar un comentario en Segu-Info
    Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

    Gracias por comentar!