A certificação CISSP está em alta demanda na indústria de TI. Geralmente é destinado a profissionais de TI interessados em aprender mais sobre segurança da informação. Aqui está tudo o que você deve saber para se preparar para um exame CISSP, incluindo o custo e os requisitos, com questões práticas.
Requisitos do exame CISSP
Os candidatos devem ter pelo menos cinco anos de experiência profissional direta em segurança em tempo integral em dois ou mais dos domínios (ISC)2 CISSP CBK, OU
Quatro anos de experiência profissional direta em segurança em tempo integral em dois ou mais dos 10 domínios do CISSP CBK, além de um diploma universitário de quatro anos ou uma certificação da lista aprovada pelo (ISC)2, OU
Se você não tem experiência, ainda pode se tornar um Associate of (ISC)2 passando no exame CISSP. Você terá seis anos para adquirir a experiência necessária para se tornar um CISSP.
Deve-se notar que apenas uma isenção de experiência de um ano está disponível para a educação. Além disso, possuir um certificado extra na lista autorizada (ISC)2 dá direito a um ano de remissão do requisito de experiência profissional. A experiência válida compreende o trabalho relacionado à segurança de sistemas de informação conduzido como profissional, auditor, consultor, investigador ou educador que requer e envolve a aplicação direta de especialização em Segurança da Informação. Os cinco anos de experiência devem ser equivalentes ao trabalho real de segurança da informação em tempo integral (não apenas funções de segurança da informação durante um período de cinco anos); no entanto, este critério é cumulativo e pode ser acumulado por um período de tempo consideravelmente mais longo.
Oito domínios CISSP CBK
O CISSP está organizado em oito tópicos ou domínios, que são referidos como o 'Common Body of Knowledge CBK'. Estes são os domínios:
- Gestão de Risco e Segurança
- Proteção de Ativos
- Arquitetura e Engenharia de Segurança
- Segurança de rede e comunicação
- Gestão de Identidade e Acesso
- Avaliação e teste de segurança
- Operações de Segurança
- Segurança no Desenvolvimento de Software
A experiência profissional para CISSPs inclui, mas não está limitada a:
- Trabalho que requer educação particular ou realização intelectual, geralmente incorporando uma educação liberal ou diploma universitário.
- Trabalho que requer a lembrança habitual de um corpus de conhecimento compartilhado com outros que fazem trabalhos comparáveis.
- Gerenciamento de projetos e/ou supervisão de outros funcionários.
- Supervisão do trabalho de outros enquanto trabalha com um mínimo de supervisão de si mesmo.
- Emprego que exige o uso de julgamento, tomada de decisão gerencial e discrição.
- Emprego que exige o uso de julgamento ético (em oposição ao comportamento ético).
- Comunicação oral e escrita criativa.
- Orientar, ensinar, instruir e treinar outros.
- Desenvolvimento e pesquisa.
- Especificação e seleção de controles e mecanismos (ou seja, tecnologia de identificação e autenticação) (não inclui a mera operação desses controles).
Exemplos de cargos apropriados incluem CISO, Diretor, Gerente, Supervisor, Analista, Criptógrafo, Arquiteto Cibernético, Engenheiro de Garantia da Informação, Instrutor, Professor, Palestrante, Investigador, Cientista da Computação, Gerente de Programa, Líder e assim por diante.
Depois de passar no exame CISSP, as credenciais do candidato devem ser endossadas por outro CISSP em situação regular. O endossante confirma as alegações do candidato sobre a experiência profissional. Se você não conseguir localizar um indivíduo credenciado para atuar como endossante, o (ISC)2 o fará em seu nome.
Por que você deve fazer o exame CISSP?
Depois de decidir embarcar em sua jornada de certificação CISSP, certifique-se de ter sucesso. Fazer o teste prático do CISSP várias vezes é uma das 7 etapas comprovadas no Guia de estudo do CISSP para se preparar completamente para o exame de certificação do CISSP. Fazer o exame prático do CISSP permite que você identifique suas falhas e pontos fortes. Você será capaz de determinar em qual domínio do assunto do CISSP você precisa se concentrar mais com a ajuda do exame prático do CISSP. Se você não obtiver mais de 70% em seus exames práticos do CISSP, recomendamos fortemente que você se inscreva e conclua um programa abrangente de treinamento de certificação CISSP.
Perguntas do exame prático do CISSP
As questões do exame prático do CISSP nesta seção cobrem os principais conceitos em cada um dos oito domínios incluídos no exame de certificação CISSP. As perguntas do exame prático do CISSP incluem respostas e justificativas para ajudá-lo a compreender melhor o assunto. Esses exemplos de perguntas do CISSP ajudarão você a se familiarizar com as perguntas do exame CISSP. Eles também permitirão que você reforce seu aprendizado e se prepare para o exame CISSP real, que será lançado em breve.
Pergunta #1
O modelo de segurança “The State Machine Model” determina que um sistema deve ser protegido em todos os seus estados (Inicialização, Função e Desligamento), ou então o sistema não é seguro. Esse requisito exige responder a eventos de segurança para que nenhum comprometimento adicional possa ser bem-sucedido. Esse método de resposta é um exemplo de qual conceito de segurança?
a. Desenho Aberto
b. Projeto Fechado
c. Recuperação confiável
d. Ultimo privilégio
Resposta: C
A Recuperação Confiável é necessária para sistemas de alta segurança e permite que um sistema encerre seus processos de maneira segura. Se um sistema travar, ele deve ser reiniciado em um modo seguro no qual nenhum outro comprometimento da política do sistema possa ocorrer. O princípio do design aberto afirma que a segurança de um mecanismo não deve depender do sigilo de seu design ou implementação. Na programação orientada a objetos, o princípio aberto-fechado afirma que “entidades de software (classes, módulos, funções, etc.) devem ser abertas para extensão, mas fechadas para modificação”; ou seja, tal entidade pode permitir que seu comportamento seja estendido sem modificar seu código-fonte. O menor privilégio é o conceito e a prática de restringir os direitos de acesso de usuários, contas e processos de computação apenas aos recursos absolutamente necessários para executar atividades legítimas e rotineiras.
Pergunta #2
O vírus Heartbleed recentemente comprometeu o OpenSSL porque as versões do OpenSSL eram vulneráveis a tentativas de leitura do conteúdo da memória, o que levou à exposição de informações protegidas, incluindo chaves privadas do provedor de serviços. Muitos praticantes acreditam que o design aberto é melhor do que o design fechado. Qual consideração geralmente é necessária para permitir que um design aberto forneça maior segurança?
a. Revisão por pares
b. Segurança através da obscuridade
c. A complexidade do projeto
d. Hierarquia confiável
Resposta: A
O design aberto geralmente é considerado melhor do que o design fechado, pois a abertura permite a revisão de outras pessoas na comunidade. A ideia é que, se outras pessoas tiverem acesso ao código, elas ajudarão a examinar e revisar o código e, por fim, aprimorá-lo. Infelizmente, esse não foi o caso do OpenSSL. Se o código não for revisado, pode muito bem ser um código fechado. Além disso, em última análise, a qualidade do código determina a segurança, muito mais do que se ele está aberto ou fechado. A segurança por meio da obscuridade é o oposto da revisão por pares e do design aberto e também pode ser referida como a complexidade do design. O modelo hierárquico de confiança é como uma estrutura de árvore invertida, a raiz é o ponto de partida da confiança. Todos os nós do modelo precisam confiar na CA raiz e manter um certificado de chave pública da CA raiz.
Pergunta #3
Ao usar chaves privadas, uma preocupação de segurança é que a chave privada de um usuário pode ser perdida. Para mitigar esse risco, um profissional pode selecionar um agente de recuperação de chaves capaz de fazer backup e recuperar suas chaves. Conceder a um único indivíduo a capacidade de recuperar as chaves privadas dos usuários aumenta o risco de não repúdio porque outra parte tem acesso à chave. Qual escolha de princípio poderia ser implementada para mitigar esse risco?
a. Segregação de deveres
b. Princípio do menor privilégio
c. Controle duplo
d. Precisa saber
Resposta: C
O controle duplo é um princípio de segurança que exige a presença de várias partes para uma tarefa que pode ter graves implicações de segurança. Nesse caso, provavelmente é melhor ter pelo menos dois administradores de rede presentes antes que uma chave privada possa ser recuperada. Um subconjunto de controle duplo é chamado de controle M de N. M e N são variáveis, mas esse controle requer que M de um total de N administradores estejam presentes para recuperar uma chave. Segregação de funções é o conceito de ter mais de uma pessoa necessária para concluir uma tarefa delicada. O princípio do privilégio mínimo (PoLP) refere-se a um conceito de segurança da informação em que um usuário recebe os níveis mínimos de acesso ou permissões necessárias para desempenhar suas funções de trabalho. O princípio da necessidade de saber é que o acesso a dados protegidos deve ser necessário para a condução das funções de trabalho dos usuários
Pergunta #4
Em que fase de desenvolvimento do BCP a Alta Administração deve se comprometer a apoiar, financiar e auxiliar a criação do BCP?
a. Iniciação do projeto
b. Planejamento
c. Implementação
d. Desenvolvimento
Resposta: A
A Iniciação do Projeto é tradicionalmente a fase em que a alta administração garante seu apoio ao projeto. Frequentemente, nesta fase, a administração fornece um termo de abertura do projeto, que é um documento formal por escrito no qual o projeto é oficialmente autorizado, um gerente de projeto é selecionado e nomeado e a administração assume o compromisso de apoiá-lo. O suporte BCP da administração deve continuar durante todo o processo de desenvolvimento e incluir revisão e feedback, bem como recursos para que o BCP seja bem-sucedido.
Pergunta #5
Qual é a maneira mais proativa (e de mínimo esforço) de mitigar o risco de um invasor obter acesso à rede e usar um analisador de protocolo para capturar e visualizar (farejar) o tráfego não criptografado?
a. Implemente uma política que proíba o uso de analisadores/sniffers de pacotes. Monitore a rede com frequência.
b. Verifique a rede periodicamente para determinar se dispositivos não autorizados estão conectados. Se esses dispositivos forem detectados, desconecte-os imediatamente e forneça à gerência um relatório sobre a violação
c. Forneça segurança, como desabilitar portas e filtrar mac nos switches corporativos para impedir que um dispositivo não autorizado se conecte à rede. Implemente políticas de restrição de software para evitar que software não autorizado seja instalado nos sistemas.
d. Instale um software anti-spyware em todos os sistemas da rede.
Resposta: C
Para mitigar significativamente os riscos na rede, precisamos implementar segurança que limite a conectividade à nossa rede a partir de dispositivos externos. Além disso, estamos preocupados com o monitoramento de software instalado em nossos hosts, portanto, queremos limitar a capacidade de instalação desse software. Além disso, queremos garantir que outros requisitos básicos de segurança sejam atendidos, como o uso de senhas fortes, políticas de bloqueio de sistemas, segurança física, etc.
Lembre-se: os dispositivos proativos EVITAM um ataque, em vez de responder a ele. As varreduras de rede geralmente detectam esses dispositivos, mas raramente os impedem. As políticas descrevem as intenções corporativas de alto nível que podem ser implementadas. A instalação de anti-spyware é um controle detetive/corretivo, não proativo/preventivo.
Qual é o custo do exame CISSP?
A taxa de certificação CISSP é dividida em três partes, como segue:
As taxas do curso variam de $ 300 a $ 3200 USD.
O exame custa US$ 699.
Tempo necessário para preparação (custo oculto): 50 a 70 horas
A certificação CISSP é mais técnica e aprofundada do que algumas das outras certificações de segurança da informação disponíveis atualmente. Para citar alguns, ele aborda o gerenciamento de riscos, gerenciamento de segurança de ativos, gerenciamento de acesso, engenharia de segurança, testes de segurança e segurança de rede.
Como resultado, você pode esperar ser contratado como consultor de segurança, auditor de segurança, consultor de segurança ou engenheiro de sistema de segurança após obter seu CISSP. Como CISSP, você criará políticas e processos para proteger as redes de segurança da informação no trabalho. Você estará integrando os processos necessários para proteger ativos de ameaças externas em redes de TI.
Na realidade, o CISSP é uma certificação valiosa e empolgante para profissionais de TI. Depois de obtê-lo, você terá certeza de que conquistou a credibilidade e a aprovação necessárias para o gerenciamento bem-sucedido da segurança da informação. Como resultado, você poderá se desenvolver em seu trabalho e ganhar mais dinheiro.
Mas, a certificação não é gratuita. A palavra “despesa de trabalho” pode não ser a mais apropriada. Você estará investindo em algo que lhe proporcionará novas e melhores perspectivas de trabalho.
Uma visão geral abrangente do custo do exame CISSP
Custo da Certificação CISSP: Taxa do Curso
Vamos começar com a taxa do curso, que está incluída no preço do CISSP.
O primeiro passo para buscar sua certificação CISSP é se inscrever em um curso de certificação CISSP. O autoestudo não é recomendado nem eficiente para passar no exame CISSP, portanto, você deve concluir o curso.
O conteúdo do curso CISSP é único em comparação com muitas outras certificações de TI. Abrange assuntos que raramente são discutidos ou tratados no dia-a-dia das operações de TI.
Como resultado, você deve se inscrever em um curso de certificação CISSP completo. Ou seja, o curso deve abranger de forma abrangente todos os tópicos especificados. Você também deve ter acesso a materiais práticos, como testes práticos do CISSP e outras informações úteis, para ajudá-lo a se preparar para o exame.
Os custos do curso de certificação CISSP variam por país e, em determinadas situações, por cidade. Mesmo se você pesquisar os preços dos cursos CISSP em sua área, descobrirá que existem vários provedores de treinamento com faixas de preços variadas.
Investigamos o custo do curso de certificação CISSP em vários países e os resultados são mostrados abaixo. A tabela abaixo compara taxas de cursos CISSP baixas e altas em vários países.
Cursos presenciais CISSP
- Estados Unidos e Canadá: US$ 2000 – US$ 2800
- Paquistão / Índia: US$ 300 – US$ 600
- UE: US$ 2600 – US$ 3200
- Arábia Saudita / Emirados Árabes Unidos: US$ 800 – US$ 1300
- Austrália e Nova Zelândia: US$ 2000 – US$ 2600
Se você deseja aprender em sala de aula, existem vários provedores de treinamento CISSP em sua área. Eles podem oferecer treinamento CISSP regularmente, e alguns também podem fornecer educação individual especializada.
Você pode conversar com eles sobre suas alternativas e escolher a melhor para você. Infelizmente, o treinamento CISSP em sala de aula é proibitivamente caro. Essa forma de treinamento é muito mais cara do que as opções de aprendizado online ao vivo e individualizado. Como resultado, esse tipo de treinamento pode aumentar as taxas totais do exame CISSP.
Aprendizado on-line individualizado
Além do treinamento em sala de aula, as aulas do CISSP estão disponíveis online para aprendizado individualizado. Esta é uma ótima opção para pessoas que têm disponibilidade diurna limitada e uma agenda de trabalho agitada. Com o aprendizado on-line individualizado, você pode assistir a cursos em vídeo sempre que quiser. Você também não é obrigado a frequentar o centro de treinamento. Oferecemos Treinamento de Certificação CISSP.
O custo do treinamento CISSP on-line individualizado varia substancialmente. Um curso CISSP custa US$ 300, embora às vezes seja oferecido por US$ 900.
Você notou a mudança de preço? Como os cursos individualizados on-line são mais baratos do que o treinamento presencial e até mesmo on-line ao vivo, a escolha dessa opção resultará em um custo geral mais barato do exame de certificação CISSP. Portanto, se você acredita que esse método de aprendizado é perfeito para você, também vale a pena.
Treinamento on-line ao vivo
Várias instituições educacionais também oferecem cursos CISSP. Em um curso ao vivo, você pode ser o único na sala ou pode ter outros alunos online com você. Será uma sessão interativa onde você poderá fazer perguntas e receber respostas rápidas.
O custo das aulas online ao vivo também varia substancialmente. Um curso de treinamento online do CISSP pode custar entre US$ 600 e US$ 1500.
Taxa do exame de certificação CISSP
A taxa do exame é o segundo componente da taxa de certificação CISSP. Atualmente, o exame CISSP custa US$ 699. Este preço mudará em 1º de maio de 2022. A nova taxa do exame CISSP aumentará de US$ 699 para US$ 749 após esta data.
Independentemente de onde você se inscrever para o exame, a taxa será a mesma. PearsonVue, um centro de testes ISC2 autorizado, fornece todos os exames ISC2. Para se inscrever para o exame, você pode pagar a PearsonVUE on-line ou em uma de suas lojas franqueadas em sua área.
Custo do exame de certificação CISSP: tempo de preparação
A quantidade de tempo gasto estudando para o exame CISSP não está incluída na taxa de certificação CISSP. O tempo que você gasta estudando para o exame, por outro lado, custará dinheiro.
Tempo é dinheiro e você pode precisar de até 70 horas para estudar totalmente para o exame CISSP. Um profissional de TI pode precisar de 50 a 60 horas para se preparar para o exame, mas alguém sem muita experiência em TI pode precisar de 60 a 70 horas.
Quanto tempo levará para concluir o planejamento? É um risco! Tudo depende de quanto tempo você tem disponível a cada dia ou semana para estudar para o exame CISSP. Os indivíduos concluíram sua preparação em menos de um mês e até seis meses.
Critérios adicionais, como experiência de trabalho anterior, nível de habilidade e o desejo de obter a certificação o mais rápido possível, determinam quanto tempo leva para concluir seus cursos.
Como resultado, você dedicará muito tempo à preparação para o exame CISSP. Considere esse tempo para fazer parte do custo da certificação CISSP.
O CISSP é um exame difícil?
É um exame desafiador. Embora as taxas de aprovação do CISSP não sejam divulgadas, acredita-se que elas estejam significativamente abaixo de 50%.
Posso passar no CISSP em 3 meses?
Se você deseja passar no exame CISSP em 3 meses, pode optar pelo Extended Way (3 meses ou mais, 2 horas por dia, com foco nos finais de semana). Não perca nenhum material quando estiver estudando porque pode estar omitindo algo que precisará saber mais tarde.
O CISSP é para iniciantes?
O CISSP não é para iniciantes. O CISSP foi criado para especialistas em segurança que trabalham há algum tempo na área, atualmente trabalham em uma função que envolve segurança da informação e desejam aprender sobre liderança e operações de segurança cibernética.
Por quantos anos o CISSP é válido?
A certificação CISSP é válida por três anos.
Em conclusão,
O CISSP é uma certificação reconhecida mundialmente em segurança da informação. No mundo moderno de hoje, os profissionais com uma compreensão completa e profunda de como proteger ativos de TI, aplicativos e informações contra ataques são muito procurados. Os CISSPs são os profissionais mais qualificados para lidar com questões de segurança da informação.
Nesta postagem, foram discutidos os três componentes da taxa de certificação CISSP: a taxa do curso CISSP, o custo do exame CISSP e o tempo de preparação.
Você terá um plano financeiro claro e um cronograma de estudos para sua futura profissão se tiver um custo previsto para obter sua certificação. Muitas felicidades!
Artigos Relacionados
- Os despejos de exame são sua melhor ferramenta de preparação para o Certbolt Cisco 300-420 ENSLD?
- EMPRESAS DE MARKETING DE REDE: As Melhores Empresas (Atualizado)
- COMO SE TORNAR UM CONTADOR DE GESTÃO CERTIFICADO: Guia Detalhado
- Lista de verificação de seguro de vida: o que você precisará para obter cobertura em 2023
- CERTIFICAÇÃO GOOGLE ADS: Visão geral detalhada
Referências
