המטרה: הסמכת CISSP
פרק זמן: חודשיים וחצי
האמצעים: כשרים
רקע כללי:
אז למה לי CISSP עכשיו…
בשנת 2014 הייתי בתעשיית אבטחת המידע מעל 10 שנים שכללו הרבה גלגולים… התחלתי את דרכי בצבא, התגלגלתי להיות Account manager. הבנתי מהר שעולם המכירות הוא לא בשבילי ועברתי להיות Presale. נהניתי מאוד, אבל זה לא היה "זה". חיפשתי משהו מאתגר, עם המשכיות (לא לבוא, לאפיין פתרון ולהעלם…) ומצאתי את עצמי בעולם הייעוץ.
מאז 2010 אני עוסקת בייעוץ. במסגרת תפקידי אני מלווה ארגונים שונים במענה לרגולציות, כתיבת והטמעת מדיניות, נהלים ובקרות, עריכת סקרים והערכות סיכונים ועוד.
אז אחרי שראיתי את הדרישה חוזרת ועולה במכרזים שונים, החלטתי שהגיע הזמן לאתגר את עצמי ולגשת לבחינת הCISSP.
בחודשים שלפני ההרשמה לקורס, כמו אשת מודיעין טובה (שמעולם לא הייתי) אספתי מל"מ (מודיעין למבצע).
אמנם היו לי כמה הסמכות ברזומה (מייקרוסופט, צ'ק פוינט, סיסקו), ושני תארים (ביולוגיה וניהול וMBA) אבל די מהר הבנתי שכאן מדובר בסיפור אחר.
דיברתי עם אנשים שעשו את הבחינה, (ותודה מיוחדת לאיליה פוגרב ואורן בן שלום) – חיפשתי חומרים באינטרנט, חרשתי את הבלוג של דודו ברודה (תודה ), התייעצתי עם גורמים שונים בתעשייה והתחלתי להבין למה אני נכנסת…
אזהרה: כדי לקבל את ההסמכה הנכספת לא מספיק ללמוד ולעבור את בחינת הסיוט, צריך גם להשלים את תהליך האישור (endorsement). הניסיון הנדרש הוא 5 שנות ניסיון בלפחות 2 מ10 הדומיינים (בשנת 2014, מאז השינוי בבחינה ב2015 – מדובר ב8 דומיינים) – או לפחות זה מה ש-(ISC)2 טוענים.
בואו נעשה את זה פשוט. אם אין לכם 5 שנות ניסיון בלפחות 4 מהדומיינים, חבל על הזמן שלכם.
חכו, תשתפשפו ואז תלמדו. כמויות החומר לבחינה הן אדירות. אמנם אומרים על הבחינה שהיא a mile wide an inch deep, אבל זה רק חצי מדויק… היא בהחלט a mile wide, אבל לפחות 5 inch deep.
הסיכויים של מישהו שלא חי את העולם הזה בשוטף לעבור הם בעיני קלושים. (לפחות ברמת השקעה סבירה, אני לא אעצור אתכם אם תחליטו להקדיש 24/7 לנושא במשך חצי שנה…)
הבהרה: אחרי מעל 10 שנים בתחום אבטחת מידע, ועיסוק יומיומי ב7 מהדומיינים, (ונגיעה בשלושת הדומיינים הנוספים) עדיין נדרשתי ללא מעט השקעה.
אז אחרי שהפחדתי אתכם – כמה מילות הרגעה…
כן, כל מה שסיפרו לכם על הבחינה הזו נכון. היא ארוכה, היא מתישה, היא מעצבנת, היא קטנונית, היא באה להכשיל, היא לא מתאימה למציאות (בטח לא המציאות הישראלית שאנחנו מכירים). מצד שני היא לגמרי אפשרית, זה בעיקר עניין של החלטה.
בהנחה שאתם בעלי הניסיון הנדרש, הדבר העיקרי שאתם צריכים כדי לעבור הוא ללמוד. אין כאן קיצורי דרך, החומר לא קשה להבנה, רק עניין של תרגול והבנה איך (ISC)2חושבים (כן, איך (ISC)2 חושבים, לא איך העולם מתנהל בפועל…).
בבלוג של דודו יש רשימת מכולת מסודרת של חומרים שניתן להשתמש בהם, כמויות החומר הן אדירות, הנה רשימה של החומרים שאני השתמשתי בהם:
ספר ההכנה הרשמי של (ISC)2– מי שנרשם לקורס הרשמי מקבל את הספר הרשמי. בעבר הספר היה מאוד יבש, אולם הגרסא המעודכנת שלו (2018) יחסית טובה מאוד אם כי לא מספיק מעמיקה בעיני. הוא יכול להיות הספר המוביל עם השלמות ממקורות נוספים.
הספר CISSP All In One Exam Guide של שון האריס ז"ל – בעיני זה ה-ספר. קודם כל הכתיבה של שון משעשעת ביותר (בעיקר לגיקים, והיי, אם אתם קוראים את הבלוג הזה ועוסקים באבטחת מידע, כנראה שאתם גיקים), מעבר לזה שההסברים שלה (ברוב הנושאים) מצוינים. כן, חד משמעית היא מעמיקה מידי. יש נושאים שהיא חופרת וחופרת, מצד שני, מי שקורא את הספר שלה מבין את החומר ומבין אותו לעומק.
אישית קראתי את כל ה1,472 עמודים (כן. את כולם!) ולי זה עבד, יכול להיות שאפשר להסתפק בקריאה של הספר הרשמי ולהשלים מAIO, בעיקר מפאת אורך הספר, אבל שוב לא ניסיתי… (למרות מותה של האריס, יש סופר שממשיך לעדכן אותם.)
רישום לאתרי שאלות – כמה שיותר יותר טוב, כמו שהבנתם לי לא היה הרבה זמן אז הרשימה פה היא חלקית ומתבססת על חוסר הזמן…
אפליקציית Total tester – אפליקציה מאוד נוחה – ניתן להריץ שאלות מדומיינים נבחרים, לעשות סימולציות בדרגות קושי שונות, כמות שאלות משתנה, עם / בלי הגבלת זמן, עם / בלי רמזים ותשובות נכונות. עבורי זה היה הכלי העיקרי והמועיל ביותר. המון שאלות (יש מעל 1,000 שאלות במאגר)
אגב אני לא ממליצה לקנות את ספר הבחינות של שון. אלו אותן שאלות כמו בסיום כל דומיין ובאתר.
500 השאלות של אריק קונארד – מאגר חובה בעיני. לפחות לעשות פעם אחת את הבחינות. רמה גבוהה יותר משון האריס.
פורומים – יש המון פורומים וקבוצות, בלינקדאין ובפייסבוק. אני אהבתי להיכנס ולראות שאלות ולדגום את עצמי לאורך חודשי הלימוד. ממליצה במיוחד על קבוצת CISSP Exam Preparation – Study Notes and Theory בפייסבוק.
בפרק הבא – איך מתכוננים (ועוברים) את הבחינה בחודשיים וחצי
Comentarios