Internet Security Auditors miembro de grupo de Asesores Ejecutivos Global del PCI SSC


El PCI SSC lanzó hace unos meses una nueva iniciativa para contar con un grupo de expertos a nivel global de empresas abriendo la presentación de candidaturas a todas las empresas que participan como asesores en todo el mundo, que superan las 450. Internet Security Auditors presentó la candidatura con la representación su Director de Consultoría y socio, Miguel A. Domínguez.

Tras dos meses de revisión de las candidaturas, que debían cumplir con amplios requerimientos a nivel de compañía y representante, el PCI SSC confirmó que la nuestra había sido seleccionada para formar parte de un exclusivo grupo de 20 empresas a nivel mundial.

El grupo de Asesores Ejecutivos del PCI SSC pretende servir los próximos dos años como un canal directo para la comunicación entre el liderazgo superior de los asesores de seguridad de pagos y el liderazgo senior de PCI SSC.

Los asesores serán responsables de proporcionar asesoramiento, comentarios y orientación al PCI SSC; proporcionar aportes tanto abiertos como expertos tanto desde el punto de vista comercial como técnico; representar los puntos de vista e intereses del evaluador PCI y las comunidades evaluadas; y estar disponible y dispuesto a participar en proyectos especiales PCI SSC.

Este es un importante hito para Internet Security Auditors porqué nos sitúa con la responsabilidad de ser la única empresa de origen iberoamericana, con el interés de representar a países que representan a más de 800 millones de habitantes, y que nos permitirá aportar la experiencia de la compañía en países que el PCI SSC considera claves en sus iniciativas de la seguridad de los Medios de Pago además de situar a la compañía entre el Top20 de empresas del mundo PCI.

Preguntas y Respuestas sobre el nuevo tipo de examen de CISSP CAT (Computerized Adaptive Testing)

Estos últimos meses se han presentado muchas inquietudes por el cambio del modelo de examen que ha adoptado el (ISC)2, y que viene siendo una tendencia entre muchas organizaciones, para la realización de los exámenes de CISSP. Este nuevo modelo de examen, en el que el examinado debe ir respondiendo preguntas y, en base a sus respuestas, las preguntas se adaptan y definen, tiene como objetivo reducir el tiempo y cantidad de preguntas y, se pretende, evaluar de forma más efectiva el conocimiento del examinado ante las materias en las que se examina.

Pero esto modelo también ha hecho que surjan dudas. En base a la experiencia de uno de nuestros compañeros del equipo consultor de Internet Security Auditors, y sin pretender ser un P/R “oficial” ni encuesta, hemos planteado algunas preguntas y respuestas que, no han sido respondidas por el (ISC)2.

1. ¿Es verdad que si se responde bien a las preguntas de CISSP solo se respondería de 100 a 110?  y si le va mal responde las 150 preguntas totales del examen?
En principio, el número de preguntas oscila entre el mínimo de 100 y el máximo de 150. De acuerdo con el (ISC)2, el examen finaliza cuando el sistema puede determinar con una confianza del 95%, que el candidato se encuentra por encima o por debajo del estándar para pasar el examen. En mi caso, respondí 148 preguntas agotando el tiempo máximo de 3h de examen, encontrándome finalmente por encima del estándar para pasar el examen.

2. ¿Como es el nuevo criterio de evaluación para las preguntas del examen CISSP, tiene alguna pregunta mayor valor que las restantes?
En principio, el valor de las preguntas depende de la actual ponderación de los dominios (actualizada a Abril de 2018). No ha habido cambios significativos, pero conviene tenerlos en cuenta para dedicar más esfuerzos en aquellas áreas con más peso (y especialmente, en aquellas que se tengan menos conocimientos/experiencia).

3. ¿Se requiere experiencia en todos los dominios del CISSP o estudiando términos y definiciones es suficiente para pasar el examen de certificación?
No es estrictamente necesario tener experiencia en todos los dominios. Aprendiendo por conocimiento, estudiando los materiales disponibles y practicando el examen es posible pasarlo (como es mi caso). Sin embargo, una vez aprobado, para poder solicitar el certificado es necesario demostrar que se tiene experiencia en al menos 2 dominios.

4. ¿El tipo de preguntas de opción múltiple en la anterior versión del examen CISSP, es la misma que en el actual modelo de examen de certificación de ISC2 para el examen CISSP?
En principio, el tipo de preguntas de opción múltiple es el mismo. Es importante fijarse bien en cual es el criterio para responder, este suele verse claramente en mayúsculas en el enunciado (“el MEJOR método”, “el MAS seguro”, etc). Por otro lado, el examen también incluye preguntas innovadoras avanzadas (en mi caso fueron tan solo unas pocas), del estilo drag&drop que consisten en ordenar todas las respuestas en base a un criterio dado.

5. ¿Para la nueva versión del examen, es posible poder retornar y revisar las preguntas contestadas o no del examen?
En el modelo CAT, durante el examen no es posible revisar ni cambiar las respuestas a las preguntas que ya han sido respondidas. Es importante tenerlo en cuenta.

6. Para el actual examen de certificación de CISSP, ¿sigue el mismo concepto para responder las preguntas de 'pensar como administrador' CIO/CISO? ¿o ahora es más técnico el examen?
En base a mi experiencia, no sentí la necesidad de tener que situarme mentalmente más en un nivel de gestión, o bien, más en un nivel técnico, para poder responder las preguntas. Sin embargo, sí que conforme sentía que respondía correctamente más preguntas, las siguientes trataban aspectos más específicos y concretos, incluidos detalles técnicos particulares de ciertas tecnologías/protocolos/etc.

7. ¿Qué documento, guía y/o recurso de estudio crees que pueda recomendar como referencia de estudio para en el examen CISSP?
Personalmente, he utilizado la Official Study Guide de Sybex y el CISSP CBK. Considero que la Official Study Guide es un recurso básico, para poder obtener una visión completa de todos los dominios, en un primer nivel de profundidad. Respecto al CISSP CBK, considero que es un recurso complementario especialmente recomendable para las personas que no dispongan de suficiente experiencia en todos los dominios. Permite alcanzar un segundo nivel de profundidad, que puede permitir acabar de entender y clarificar determinados conceptos sobre los que se pueden tener dudas, o que se habían entendido de forma diferente.

8. ¿Cuánto tiempo hay para realizar el nuevo examen de certificación CISSP, dado que ya son solo 150 preguntas máximo?
El tiempo máximo disponible es de 3h, no habiendo un límite de tiempo mínimo.

9. ¿Cuál de estos dos factores crees que es el principal para pasar con éxito el examen de certificación, experiencia o saber interpretar correctamente las preguntas?
Creo que el factor principal es entender correctamente cada uno de los conceptos, aclarando las dudas más importantes que se tengan, y revisando que nos cuadren nuestras respuestas con las justificaciones oficiales (en ocasiones uno está convencido de haber entendido un concepto correctamente, sin embargo, puede haberse entendido de forma diferente, llevándonos a error a la hora de responder). Por otro lado, creo que la experiencia ayuda, permite diferenciar aquellos conceptos/aspectos esenciales de aquellos que son importantes (que son muchos), y nos permite tener un grado de confianza respecto a unos dominios que a su vez nos permite centrarnos en aquellos en los que cojeamos más.  

10. ¿Las guías de estudio oficiales de ISC2 para la certificación CISSP aún son válidas para esta nueva versión de examen?
La nueva revisión de 2018 de la Official Study Guide de Sybex ya está actualizada a la versión actual del examen. Si es posible, recomendaría hacerse con ella pues incorpora los cambios en los dominios que se han producido desde la revisión de 2015. En mi caso, no me fue posible adquirir y revisar la revisión de 2018, sin embargo, utilizando la de 2015, buscando en Internet el resumen de los cambios entre revisiones, y estando un poco al día de los actuales paradigmas y tecnologías (Cloud computing, generadores de códigos de 2FA -ej. Google Authenticator-, etc) fue suficiente.


Carlos Sans García - CISSP, CISA, ISO 27001 LA, ISO22301 LA
Depto. de Consultoría