Publicada la versión 3.0 del estándar “PCI PIN Security Requirements and Testing Procedures”

En Agosto de 2018 el PCI SSC publicó la versión 3.0 del estándar "PIN Security Requirements and Testing Procedures". Este documento hace parte de la familia de estándares PCI PIN Transaction Security (PTS) en donde también se encuentran PCI HSM (Hardware Security Module) y PCI POI (Point of Interaction), orientados a la protección del PIN (Personal Identification Number) en transacciones presenciales (“card present”) en cajeros electrónicos y terminales de punto de venta (TPV) atendidas y desatendidas. La primera versión de PCI PIN (1.0) fue publicada en el año 2011 y la versión 2.0 fue publicada en 2014, con lo que este estándar ya acumula 7 años de implementaciones a nivel mundial. Para esta nueva versión (3.0), el PCI SSC ha optado por combinar los requerimientos de seguridad (“PIN Security Requirements”) y los procedimientos de prueba (“Test Procedures”) en un único documento, ya que en versiones anteriores se habían mantenido documentos separados.

El listado de cambios entre la versión 2.0 y 3.0 se puede encontrar en el documento "PIN Security Requirements Modifications and Testing Procedures: Summary of Changes".

Los objetivos de este estándar son:
  • Identificar los requerimientos mínimos de seguridad para transacciones de intercambio basadas en PIN.
  • Describir los requisitos mínimos aceptables para asegurar el dato del PIN y las claves de encriptación.
  • Asistir a todos los participantes del sistema de pago minorista en el establecimiento de garantías de que los datos del PIN de los titulares de tarjetas no se vean comprometidos.
El estándar PCI PIN es de obligatorio cumplimiento para todas las instituciones adquirientes y agentes responsables del procesamiento de transacciones con PIN de las tarjetas de las marcas del PCI SSC (VISA, MasterCard, AMEX, Discover y JCB) incluyendo servicios de inyección de claves y gestión de certificados y debe ser usado en conjunción con otros estándares aplicables de la industria (PCI DSS, PCI P2PE, etc.).

Respecto a esta nueva versión, uno de los cambios más representativos está en la reorganización de los requerimientos en tres grandes grupos, cada uno subdividido a su vez en “objetivos de control” (“Control Objective”):
  1. Transaction Processing Operations: Anteriormente denominados “PIN Security Requirements”, este grupo de controles aplican a cualquier entidad relacionada con procesos de adquiriencia y/o procesamiento de transacciones basadas en PIN.
  2. Normative Annex A – Symmetric Key Distribution using Asymmetric Keys: Requerimientos específicos para entidades adquirientes involucradas en la implementación de procesos de distribución de claves simétricas usando claves asimétricas (distribución remota de claves) o para aquellas entidades que ofrecen servicios de operación de autoridades de certificación (Certification Authorities – CA) empleadas para dichos propósitos. Su aplicación depende de las tareas realizadas por la entidad afectada:
    • Si se trata de una entidad adquiriente que también realiza funciones de distribución remota de claves, le aplicarán los controles del grupo “Transaction Processing Operations” y los controles del anexo A.
    • Si se trata de proveedores de servicio o de fabricantes de dispositivos de punto de interacción (POI) o de HSM que operen sistemas de distribución de claves actuando en nombre de una entidad adquiriente, deben cumplir la totalidad de los controles del anexo A.
  3. Normative Annex B – Key-Injection Facilities: Requerimientos para entidades que operan servicios de inyeccion de claves de adquiriente en dispositivos empleados para la captura del dato de PIN.
Dependiendo de las tareas realizadas, cada entidad puede estar sujeta a la aplicabilidad de requerimientos de diferentes secciones o al estándar completo. El apéndice A del estándar incluye una nueva matriz en la cual se indica la aplicabilidad de cada requerimiento en función de las labores desarrolladas.
Figura 1. Aplicabilidad de requerimientos de PCI PIN en función de las labores realizadas

Por otro lado, se han estipulado los siguientes plazos para el uso de claves fijas de 3DES (TDES) empleadas para la encriptación de PIN y el uso del formato 4 de bloque de PIN (ISO PIN block format 4):
  • A partir del 1 de enero de 2023 todas las claves fijas de 3DES (TDES) empleadas para la encriptación de PIN en puntos de interacción (POI) y conexiones host-to-host no serán permitidas.
  • A partir del 1 de enero de 2023 todos los hosts deben soportar la desencriptación del formato 4 de bloque de PIN.
  • A partir del 1 de enero de 2025 todos los hosts deben soportar la encriptación del formato 4 de bloque de PIN.
En este punto, hay que resaltar que el estándar PCI PIN especifica los controles sobre las claves vinculadas a procesos que afecten al PIN. Cualquier clave empleada para la protección de otros datos de la tarjeta (PAN, por ejemplo) o que se use para funcionalidades de MAC está fuera del ámbito del documento.

Finalmente, se han establecido los siguientes criterios adicionales:
  • Todas las entidades afectadas por el estándar deben mantener un inventario de todas las claves criptográficas empleadas en el entorno, incluyendo su nombre, su uso, el algoritmo usado y su longitud. De igual forma, se debe mantener un diagrama de flujo red esquemático que facilite la revisión de los requerimientos de seguridad.
  • En relación con el uso de determinados modelos o actualizaciones de dispositivos POI, serán las propias marcas de pago las que definan los criterios de despliegue y periodos de expiración y remplazo de estos equipos en campo de acuerdo con el estándar PCI PTS.
  • Es importante aclarar que son las marcas (y no el PCI SSC) las responsables de la definición y la gestión de los programas de cumplimiento asociados a este estándar, por lo que cada marca estipulará las fechas de cumplimiento, multas y forma mediante la cual se realizará el reporte de cumplimiento, así como los listados de empresas que pueden auditar.


Autor: David Eduardo Acosta CISSP|I, CISM, CISA, CRISC, C|EH, C|HFI Instructor, OPST, PCI SSC QSA for DSS/P2PE/3DS/TSP Dpto. Consultoría

Breve introducción al estándar PCI 3D-Secure (PCI 3DS)



Introducción
En octubre de 2017, el PCI SSC anunció el PCI 3D-Secure (PCI 3DS), un nuevo estándar de seguridad aplicable en entornos de pago no presencial, dónde se utiliza 3D-Secure, un protocolo que mejora la seguridad en la autenticación de los clientes en las compras online. Dicho protocolo permite a los consumidores autenticarse a través de un valor de un solo uso (one-time password), como puede ser número contenido en una tarjeta de coordenadas, un token criptográfico, una contraseña, un código enviado vía SMS/correo electrónico, etc. Dicho valor debe ser introducido por el cliente en el sitio web del banco emisor, lo cual puede requerir la redirección del browser del usuario (vía iFrame, por ejemplo) desde el sitio web del comercio en el cual se realiza la transacción. Este paso se realiza para garantizar que el comercio no tendrá acceso en ningún momento a este valor de autenticación, optimizando los niveles de protección contra el fraude.

En este artículo revisaremos las características más destacadas de este nuevo estándar de seguridad.

Entorno de aplicación
El estándar PCI 3DS debe ser aplicado por parte de las entidades que realizan o proporcionan alguna de las siguientes funciones en los procesos de autenticación 3DS:
  • Servidor de control de acceso 3DS (ACS): Servidor que contiene las reglas de autenticación (reglas que identifican/autentican a los usuarios en sus accesos al entorno), y que es controlado por la entidad emisora. Dicho servidor comprueba si la autenticación es válida utilizando la tarjeta y el equipo de acceso utilizados por el usuario, y en dicho caso, autentica al usuario en las transacciones bancarias relacionadas.
  • Servidor Directorio Activo 3DS (DS): Servidor que mantiene listados de los rangos de números de tarjeta aplicables, y coordina las comunicaciones entre el 3DSS, que en el siguiente párrafo se explica, y el ACS, para determinar si la autenticación 3D-Secure está disponible para una tarjeta concreta y un dispositivo de acceso concreto.
  • Servidor 3DS (3DSS): Proporciona la interfaz funcional entre el entorno de solicitud de la autenticación 3DS y el DS
Además, dicho estándar aplica también a todos los elementos que proporcionen funcionalidades adicionales a los comentados, como elementos de red, dispositivos de seguridad, aplicaciones, otros elementos secundarios conectados al entorno de cumplimiento, etc.

Requerimientos de seguridad
Los requerimientos de seguridad del estándar PCI 3DS están divididos en dos grupos:
  • Parte 1. Requerimientos de seguridad base: Requerimientos técnicos y procedimentales básicos de seguridad para proteger el entorno 3DS.
  • Parte 2. Requerimientos de seguridad 3DS: Requerimientos de seguridad para la protección de los datos y procesos 3DS.
A continuación, procedemos a comentar los requerimientos más destacados:

Parte 1. Requerimientos de seguridad base:
  1. Mantenimiento de políticas de seguridad para el personal:
    • La entidad debe generar y mantener actualizada una política de seguridad, que tenga en cuenta el tratamiento de los riesgos identificados. El personal debe leer y aceptar dichas políticas en su incorporación y como mínimo de manera anual.
    • Anualmente o ante cambios significativos, se deberán realizar análisis de riesgos sobre el entorno.
    • Deben realizarse formaciones de seguridad para el personal de manera periódica (periodicidad definida según la criticidad de cada usuario en el entorno), que cubran todos los aspectos contenidos en las políticas de seguridad y que deban ser tenidos en cuenta por los empleados.
    • Antes de la de la incorporación del personal en los procesos del entorno de cumplimiento PCI 3DS, deberán realizarse comprobaciones de antecedentes.
  2. Conectividad segura de red:
    • Debe restringirse el tráfico de entrada/salida del entorno PCI 3DS al mínimo imprescindible. Los sistemas del entorno deben segmentarse de manera adecuada de las redes externas, y deben generarse y mantenerse actualizados diagramas de red del entorno, dónde también se incluyan los flujos de datos.
    • Se debe monitorizar el tráfico del entorno, así como establecer procedimientos de respuesta y actuación en caso de que se detecte algún posible ataque de red.
  3. Desarrollo y mantenimiento de sistemas y aplicaciones:
    • En base a las mejores prácticas existentes en la industria se deben definir los procedimientos de desarrollo seguro de aplicaciones. Dichas prácticas de desarrollo seguro deben incluir técnicas para proteger las aplicaciones ante las vulnerabilidades típicas existentes.
    • Los programadores deben recibir formaciones de desarrollo seguro orientadas al lenguaje de programación que utilicen en el desarrollo de las aplicaciones del entorno PCI 3DS.
    • Deben mantenerse inventarios actualizados de todas las tecnologías implicadas en el entorno PCI 3DS, además de definirse (y aplicarse) guías de bastionado o configuración segura para todos los dispositivos implicados en dicho entorno.
    • Se deberán definir procedimientos de gestión de cambios en el entorno, los cuales incluyan revisiones de seguridad, procedimientos de autorización y aprobación de cambios, así como procedimientos de testeo, para verificar que la introducción de los cambios no supone una disminución de la seguridad del entorno.
  4. Gestión de vulnerabilidades:
    • Deben instalarse herramientas antimalware actualizadas en los sistemas y equipos involucrados en el entorno de cumplimiento PCI 3DS, para prevenir posibles ataques de malware, y para responder a ellos en caso de se lleven a cabo.
    • Deben llevarse a cabo escaneos trimestrales internos y externos en el entorno de cumplimiento. Los escaneos externos deben ser realizados por parte de una entidad homologada por el PCI SSC como PCI ASV.
    • Con periodicidad anual se deben llevar a cabo pruebas de penetración, así como definirse estrategias para solucionar las vulnerabilidades críticas identificadas en el plazo máximo de un mes.
  5. Gestión de accesos:
    • Los accesos al entorno de cumplimiento PCI 3DS deben requerir siempre una autenticación por parte de los usuarios, y deben asignarse siguiendo la regla de Need-to-know, en la que los empleados tengan solo los accesos mínimos imprescindibles para su trabajo diario. Además, deben establecerse procedimiento de autorización antes de asignar el acceso de un usuario al entorno de cumplimiento.
    • Deben asignarse ID’s únicas a todos los usuarios con acceso lógico al entorno de cumplimiento, evitándose así el uso de usuarios genéricos o compartidos.
  6. Seguridad física:
    • Deben establecerse procedimientos para garantizar la seguridad física de las instalaciones, sistemas y medios físicos que formen parte del entorno de cumplimiento, aunque el estándar no especifica las medidas de seguridad mínimas que deben ser aplicadas, si no que dependerá de cada entidad las medidas que considere oportunas para conseguir dicha protección óptima.
    • Deben implementarse procedimientos para gestionar de manera adecuada las visitas que se realicen al entorno de cumplimiento del estándar PCI 3DS.
  7. Preparación de respuesta a incidentes:
    • Deben establecerse procedimientos de actuación y respuesta en caso de identificación de incidentes de seguridad, que garanticen una respuesta adecuada por parte de todas las partes implicadas en dichos casos.
    • Además, deben almacenarse durante un año logs o registros de auditoría en las acciones llevadas a cabo por los usuarios en aplicativos y sistemas del entorno PCI 3DS.
Parte 2: Requerimientos de seguridad 3DS:
  1. Validación de entorno de cumplimiento:
    • Es necesario identificar y documentar los límites del entorno de cumplimiento PCI 3DS, especificando las medidas de segmentación necesarias para su separación de otras redes externas. Además, deben identificarse todas las redes y/o entidades conectadas a dicho entorno.
  2. Gobierno de seguridad:
    • Para asegurar que cada empleado es responsable de llevar a cabo las actividades periódicas, se deberán definir de manera clara los roles y responsabilidades en materia de seguridad de la información y gobierno corporativo de la entidad.
    • Además, deben definirse estrategias de gestión de riesgos para mitigar los riesgos identificados en el análisis anual realizado en el entorno de cumplimiento.
    • Deben establecerse procedimientos de gestión de proveedores o terceras partes adecuados, de manera que se identifique con antelación los requisitos de seguridad que es necesario solicitar a los mismos. Además, deben mantenerse acuerdos escritos con dichos proveedores, de manera que queden claras las responsabilidades de cada actor en los procedimientos de seguridad implementados en el entorno de cumplimiento PCI 3DS.
  3. Protección de sistemas y aplicaciones:
    • Se deben proteger los programas/aplicaciones del entorno de cumplimiento ante modificaciones no autorizadas.
    • Para verificar que se encuentran securizadas ante posibles ataques, se deben proteger y probar las API’s de acceso al entorno de cumplimiento.
    • Deben cifrarse todos los canales de comunicación web con protocolos HTTPS, estando prohibido el uso de HTTP para dicho uso.
    • También deben protegerse las interfaces de acceso público de la web ante los ataques más comunes existentes, como son ataques XSS, inyecciones de código o ataques CSRF.
  4. Protección de accesos lógicos:
    • Los accesos del entorno habilitados a los comercios deben restringirse con métodos de autenticación de doble factor, y debe revisarse la asignación de dichos accesos como mínimo de manera trimestral, para verificar que siguen siendo necesarios.
  5. Protección de datos:
    • Deben establecerse periodos de retención de datos en la entidad, que aseguren que la información sensible no será almacenada más tiempo del necesario.
    • Debe implementarse criptografía en todos los envíos de datos en el entorno de cumplimiento PCI 3DS, utilizando por ejemplo versiones actualizadas del protocolo TLS.
    • También debe implementarse criptografía robusta en todos los almacenamientos de datos sensibles del entorno.
  6. Criptografía y gestión de claves:
    • Deben implementarse unos adecuados procedimientos de generación y mantenimiento de claves de cifrado, que aseguren la seguridad de éstas en todo su ciclo de vida.
    • Todas las claves criptográficas utilizadas en la solución deben ser generadas en dispositivos HSM homologados o bien como FIPS 140-2 level3 o como PCI PTS HSM.
  7. Seguridad física:
    • El entorno físico que contenga datos sensibles de autenticación 3DS debe ser protegido mediante medidas de seguridad robustas, como son los controles de acceso electrónicos, las cabinas de acceso (mantrap doors), las barreras o tornos de acceso giratorios o los circuitos de cámaras de videovigilancia.


Autor: Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona

Cumplimiento PCI DSS, consejos básicos del PCI SSC para pequeños comercios


Recientemente, el PCI SSC ha publicado unas “píldoras” formativas, llamadas “Payment data security essentials”, para ayudar a los pequeños comercios online a cumplir con los requerimientos del estándar de seguridad PCI DSS. Dichas píldoras, indican recomendaciones o buenas prácticas de seguridad a cumplir, con los requerimientos que dicta dicho estándar. Además, van acompañadas de material adicional que complementa dichas formaciones, como son guías y videos adicionales explicativos.

En la fecha de elaboración de este artículo, el PCI SSC ha puesto a disposición del público las siguientes píldoras formativas:
Siendo algunas de las características más destacadas de las mismas las siguientes:

Contraseñas robustas
  • Deben generarse contraseñas aleatorias difíciles de deducir por parte de un posible atacante externo en todos los accesos lógicos al entorno de cumplimiento, que contengan al menos caracteres alfabéticos, caracteres especiales y dígitos numéricos. Además, dichas contraseñas no deben ser formadas por palabras comunes, que un atacante podría deducir con un ataque de diccionario.
  • Tanto el ID de los usuarios como las contraseñas de acceso al entorno PCI DSS deben ser únicas e intransferibles, y nunca deben compartirse con otras personas o terceras partes. Deben evitarse también las cuentas/contraseñas compartidas entre varios miembros de un mismo departamento en todos los accesos al entorno, ya san accesos administrativos o accesos a nivel de negocio.
  • Las contraseñas deben ser cambiadas como máximo cada 3 meses (90 días), o antes, si se tienen indicios de que éstas han podido ser comprometidas por parte de un atacante.
Securización de accesos remotos
  • El primer consejo para disminuir el riesgo de recibir un ataque remoto en un comercio es el de minimizar los canales o vías de entrada remotas al entorno. Por lo tanto, será necesario partir de un principio de Need-to-have, en el que solo se deberán habilitar los accesos remotos de los empleados o terceras partes que lo necesiten para el desarrollo de sus tareas diarias.

    Además, deberá revisarse de manera periódica que los accesos remotos habilitados en su día por una necesidad concreta siguen siendo necesarios, de manera que se verifique que la justificación que se dio en su día para la tramitación de dichos accesos sigue siendo vigente. En caso de que se identifique en una de estas revisiones que alguno de estos accesos ha dejado de ser necesario, dicho acceso deberá darse de baja con la mayor celeridad posible.
  • Deben habilitarse credenciales únicas de autenticación en todos los accesos remotos al entorno PCI DSS, tanto los realizados por personal interno como los realizados por terceras partes. Esto incluye tanto ID’s de usuarios como contraseñas de acceso.
  • Por último, hay que tener en cuenta que todos los accesos remotos al entorno PCI DSS deberán realizarse mediante una autenticación de múltiple factor, en la que, típicamente, el usuario se autentique con una contraseña y un factor externo asociado a un dispositivo individual poseído por el usuario, como por ejemplo una tarjeta de coordenadas, un token criptográfico o un SMS recibido en su teléfono móvil, entre otros.
Instalación de parches de seguridad
  • El aspecto más importante a considerar por parte de los comercios para implementar una política correcta de gestión de parches de seguridad en la entidad es la necesidad de identificar las responsabilidades de los proveedores de mantenimiento de tecnologías/aplicaciones en este aspecto, de manera que quede claramente definido quien es el responsable de dicha instalación de parches. Es importante no olvidar los entornos de hosting web en ecommerce, que también deben estar sujetos a una correcta política de gestión de parches por parte de las compañías que hospedan dichas webs.

    En caso de duda sobre las preguntas concretas que deben realizarse a nuestros proveedores de servicio para identificar sus responsabilidades en estos y otros aspectos de seguridad, puede seguirse el cuestionario de evaluación para comercios emitido por el PCI SSC para este fin.
  • Una vez claras las responsabilidades en este sentido, es necesario que los parches críticos de seguridad se instalen en un plazo máximo de un mes des de su emisión. Para otros parches no tan críticos, deberá evaluarse el riesgo tanto por parte de los administradores del entorno como por parte de los responsables de la entidad, para definir la fecha óptima de instalación de los mismos.

Autor: Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona

Internet Security Auditors miembro de grupo de Asesores Ejecutivos Global del PCI SSC


El PCI SSC lanzó hace unos meses una nueva iniciativa para contar con un grupo de expertos a nivel global de empresas abriendo la presentación de candidaturas a todas las empresas que participan como asesores en todo el mundo, que superan las 450. Internet Security Auditors presentó la candidatura con la representación su Director de Consultoría y socio, Miguel A. Domínguez.

Tras dos meses de revisión de las candidaturas, que debían cumplir con amplios requerimientos a nivel de compañía y representante, el PCI SSC confirmó que la nuestra había sido seleccionada para formar parte de un exclusivo grupo de 20 empresas a nivel mundial.

El grupo de Asesores Ejecutivos del PCI SSC pretende servir los próximos dos años como un canal directo para la comunicación entre el liderazgo superior de los asesores de seguridad de pagos y el liderazgo senior de PCI SSC.

Los asesores serán responsables de proporcionar asesoramiento, comentarios y orientación al PCI SSC; proporcionar aportes tanto abiertos como expertos tanto desde el punto de vista comercial como técnico; representar los puntos de vista e intereses del evaluador PCI y las comunidades evaluadas; y estar disponible y dispuesto a participar en proyectos especiales PCI SSC.

Este es un importante hito para Internet Security Auditors porqué nos sitúa con la responsabilidad de ser la única empresa de origen iberoamericana, con el interés de representar a países que representan a más de 800 millones de habitantes, y que nos permitirá aportar la experiencia de la compañía en países que el PCI SSC considera claves en sus iniciativas de la seguridad de los Medios de Pago además de situar a la compañía entre el Top20 de empresas del mundo PCI.

Preguntas y Respuestas sobre el nuevo tipo de examen de CISSP CAT (Computerized Adaptive Testing)

Estos últimos meses se han presentado muchas inquietudes por el cambio del modelo de examen que ha adoptado el (ISC)2, y que viene siendo una tendencia entre muchas organizaciones, para la realización de los exámenes de CISSP. Este nuevo modelo de examen, en el que el examinado debe ir respondiendo preguntas y, en base a sus respuestas, las preguntas se adaptan y definen, tiene como objetivo reducir el tiempo y cantidad de preguntas y, se pretende, evaluar de forma más efectiva el conocimiento del examinado ante las materias en las que se examina.

Pero esto modelo también ha hecho que surjan dudas. En base a la experiencia de uno de nuestros compañeros del equipo consultor de Internet Security Auditors, y sin pretender ser un P/R “oficial” ni encuesta, hemos planteado algunas preguntas y respuestas que, no han sido respondidas por el (ISC)2.

1. ¿Es verdad que si se responde bien a las preguntas de CISSP solo se respondería de 100 a 110?  y si le va mal responde las 150 preguntas totales del examen?
En principio, el número de preguntas oscila entre el mínimo de 100 y el máximo de 150. De acuerdo con el (ISC)2, el examen finaliza cuando el sistema puede determinar con una confianza del 95%, que el candidato se encuentra por encima o por debajo del estándar para pasar el examen. En mi caso, respondí 148 preguntas agotando el tiempo máximo de 3h de examen, encontrándome finalmente por encima del estándar para pasar el examen.

2. ¿Como es el nuevo criterio de evaluación para las preguntas del examen CISSP, tiene alguna pregunta mayor valor que las restantes?
En principio, el valor de las preguntas depende de la actual ponderación de los dominios (actualizada a Abril de 2018). No ha habido cambios significativos, pero conviene tenerlos en cuenta para dedicar más esfuerzos en aquellas áreas con más peso (y especialmente, en aquellas que se tengan menos conocimientos/experiencia).

3. ¿Se requiere experiencia en todos los dominios del CISSP o estudiando términos y definiciones es suficiente para pasar el examen de certificación?
No es estrictamente necesario tener experiencia en todos los dominios. Aprendiendo por conocimiento, estudiando los materiales disponibles y practicando el examen es posible pasarlo (como es mi caso). Sin embargo, una vez aprobado, para poder solicitar el certificado es necesario demostrar que se tiene experiencia en al menos 2 dominios.

4. ¿El tipo de preguntas de opción múltiple en la anterior versión del examen CISSP, es la misma que en el actual modelo de examen de certificación de ISC2 para el examen CISSP?
En principio, el tipo de preguntas de opción múltiple es el mismo. Es importante fijarse bien en cual es el criterio para responder, este suele verse claramente en mayúsculas en el enunciado (“el MEJOR método”, “el MAS seguro”, etc). Por otro lado, el examen también incluye preguntas innovadoras avanzadas (en mi caso fueron tan solo unas pocas), del estilo drag&drop que consisten en ordenar todas las respuestas en base a un criterio dado.

5. ¿Para la nueva versión del examen, es posible poder retornar y revisar las preguntas contestadas o no del examen?
En el modelo CAT, durante el examen no es posible revisar ni cambiar las respuestas a las preguntas que ya han sido respondidas. Es importante tenerlo en cuenta.

6. Para el actual examen de certificación de CISSP, ¿sigue el mismo concepto para responder las preguntas de 'pensar como administrador' CIO/CISO? ¿o ahora es más técnico el examen?
En base a mi experiencia, no sentí la necesidad de tener que situarme mentalmente más en un nivel de gestión, o bien, más en un nivel técnico, para poder responder las preguntas. Sin embargo, sí que conforme sentía que respondía correctamente más preguntas, las siguientes trataban aspectos más específicos y concretos, incluidos detalles técnicos particulares de ciertas tecnologías/protocolos/etc.

7. ¿Qué documento, guía y/o recurso de estudio crees que pueda recomendar como referencia de estudio para en el examen CISSP?
Personalmente, he utilizado la Official Study Guide de Sybex y el CISSP CBK. Considero que la Official Study Guide es un recurso básico, para poder obtener una visión completa de todos los dominios, en un primer nivel de profundidad. Respecto al CISSP CBK, considero que es un recurso complementario especialmente recomendable para las personas que no dispongan de suficiente experiencia en todos los dominios. Permite alcanzar un segundo nivel de profundidad, que puede permitir acabar de entender y clarificar determinados conceptos sobre los que se pueden tener dudas, o que se habían entendido de forma diferente.

8. ¿Cuánto tiempo hay para realizar el nuevo examen de certificación CISSP, dado que ya son solo 150 preguntas máximo?
El tiempo máximo disponible es de 3h, no habiendo un límite de tiempo mínimo.

9. ¿Cuál de estos dos factores crees que es el principal para pasar con éxito el examen de certificación, experiencia o saber interpretar correctamente las preguntas?
Creo que el factor principal es entender correctamente cada uno de los conceptos, aclarando las dudas más importantes que se tengan, y revisando que nos cuadren nuestras respuestas con las justificaciones oficiales (en ocasiones uno está convencido de haber entendido un concepto correctamente, sin embargo, puede haberse entendido de forma diferente, llevándonos a error a la hora de responder). Por otro lado, creo que la experiencia ayuda, permite diferenciar aquellos conceptos/aspectos esenciales de aquellos que son importantes (que son muchos), y nos permite tener un grado de confianza respecto a unos dominios que a su vez nos permite centrarnos en aquellos en los que cojeamos más.  

10. ¿Las guías de estudio oficiales de ISC2 para la certificación CISSP aún son válidas para esta nueva versión de examen?
La nueva revisión de 2018 de la Official Study Guide de Sybex ya está actualizada a la versión actual del examen. Si es posible, recomendaría hacerse con ella pues incorpora los cambios en los dominios que se han producido desde la revisión de 2015. En mi caso, no me fue posible adquirir y revisar la revisión de 2018, sin embargo, utilizando la de 2015, buscando en Internet el resumen de los cambios entre revisiones, y estando un poco al día de los actuales paradigmas y tecnologías (Cloud computing, generadores de códigos de 2FA -ej. Google Authenticator-, etc) fue suficiente.


Carlos Sans García - CISSP, CISA, ISO 27001 LA, ISO22301 LA
Depto. de Consultoría