הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

CISSP

השלמת את תהליך ה-ENDORSEMENT בהצלחה. אתה יכול להתגאות בהסמכה באופן רשמי. כל הכבוד! (ואנחנו באמת גאים, לא היה פשוט) ! 🙂

עכשיו צריך לשמור על ההסמכה על ידי תחזוקה שוטפת. מלבד התשלום השנתי , עליך להוכיח שאתה מעדכן את רמת הידע שלך בתחום אבטחת המידע.

אבל אין דאגה, תהליך התחזוקה קל יותר מהמבחן (תודה באמת!). מטרת מאמר זה הינו סיוע במציאת הדרך הטובה והיעילה לתחזק את ההסמכה בלי לבזבז זמן וכסף.

הערה חשובה: שימו לב, בתחילת 2015 עודכנה מדיניות הדיווח CPE's. נדרש דיווח של 40 יחידות שנתיות לכל הפחות (במקום 20 בעבר). אין שינוי בדרישה התלת שנתית (עדיין 120 לכל הפחות ב-3 שנים).

 מאמר זה נכתב ע"י מקסים פרנקל, CISSP.

עדכון אחרון לכתבה : 03/09/16 (עדכון קישורים + שינוי מדיניות CPE's)

 

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

 

תהליך תחזוקת ההסמכה (2 חלופות):

מאז קבלת ההסמכה, אנו מתחילים את תהליך התחזוקה על בסיס מחזורים של 3 שנים.

דרישות התחזוקה מתייחסות גם לתנאי סף ברמת מחזור (3 שנים) וגם לתנאי סף ברמה השנתית.

  1. חלופה א'
  • תשלום שנתי שוטף (AMF – הסבר בהמשך)
  • עמידה בדרישות CPE’s (הסבר בהמשך)
  • שמירה על הקוד האתי של ISC2 (ראו התייחסות במאמרים הקודמים)

 

  1. חלופה ב' (רלוונטי גם אם מוסמך "איבד" את ההסמכה)
  • ביצוע מבחן מלא מחדש (כן, כן … מותר 🙂 )

 

תשלום שנתי שוטף או AMF) Annual Maintenance Fees)

יש לזכור ש-ISC2 הינו ארגון ללא מטרת רווח.

התשלום הינו שנתי והוא חובה.

הסכום עומד על 85$ לשנה אחת, כמובן שניתן לשלם מראש 255$ עבור שלוש שנים.

 

אז מה זה בכלל CPE?

נקודת CPE (קיצור של Continuing Professional Education) הינה יחידת מידה השוות ערך ליחידת מידה אחת של לימודים (ברור, לא? 🙂 ).
ניתן להשיג CPEs במגוון רחב מאוד של דרכים (פעילויות לימודיות כגון קורסים או קריאת חומרים מקצועיים, נוכחות או העברת הרצאות, נוכחות בכנסים, כתיבת מאמרים ועוד).
חישוב דיווח ה-CPEs מתבצע בהתאם למדריך המפורסם באתר של ISC2.
חשוב להבדיל בין שני סוגי CPEs: Group A ו-Group B.

 

מה ההבדל בין Group A & B?

• Group A CPE’s – מדובר בפעילויות הקשורות באופן ישיר לתחומי הלימוד של המבחן (לפחות לתחום אחד)
נקודות מסוג A הינם יחידות חובה לכל מחזור שנתי, זאת אומרת שבכל שנה אנחנו מחויבים לצבור לפחות 40 נק' כתנאי סף לתחזוקת ההסמכה (עד 2014, הדרישה הייתה 20 CPE's בשנה לפחות).

• Group B CPE’s – מדובר בפעילויות הלא קשורות באופן ישיר לתחומי הלימוד של המבחן אך מוכרות ע"י Isc2 כחיוניות לביצוע התפקידים הניהוליים בתחום אבטחת המידע. דוגמא לפעילויות: קורסים בתחום הניהול באופן כללי, בניהול פרויקטים, ניהול משאבי אינוש, ניהול כספים וכו.

 

כמה נקודות אני צריך לאסוף בשלוש שנים?

• במחזור (שלוש שנים) עלינו לצבור סך הכל של 120 CPEs
• בכל שנה עלינו לצבור מינימום של 30 CPE’s מסוג Group A ומינימום כללי של 40 CPE's
• במחזור (שלוש שנים) עלינו לאסוף מינימום של 80 CPE’s מסוג Group A
• בשלוש שנים ניתן לאסוף עד 40 נק' CPE Group B אך לא חובה. ניתן להשלים עם CPE’s מסוג Group A (לדוגמא: ניתן לצבור את כל 120 CPE’s מסוג Group A)

 

הסבר על הפעילויות המקנות זכות ל-CPEs:

• כנסים – על כל שעת נוכחות בכנס ניתן לדווח על CPE 1,חשוב מאוד לבקש הוכחה בכתב על הנוכחות בכנס (יש לפנות לגוף האחראי על הכנס). מומלץ לשמור את ההזמנות לכנס במייל ולא למחוק, אין חוכמות מול ISC2
• קריאת המגזין של ISC (InfoSecurity Professional Magazine) אשר מתפרסם פעם בחודש, לאחר הקריאה ניתן לזכות ב-CPEs לאחר ביצוע בוחן קצר
• WEBINARS/WEBCASTS/COURSES -או כל מדית לימודים אינטרטית אשר תחזק את הצד המקצועי שלכם כל שעת הרצאה/לימודים מזכה אתכם ב-CPE אחד
• הכנת מצגת או כתיבת הרצאה הקשורה לאחד הדומיינים של מבחן ה-cissp. פירוט הזכאות ל-CPEs בהתאם לזמן ההכנה ולא בהתאם לזמן ביצוע ההרצאות (ראו פירוט במדריך של ISC2)
• כתיבת מאמרים (לדוגמא: מאמר זה 🙂 ). כל מאמר עד חמישה עמודים מזכה ב-5 CPEs. כל מאמר גדול מחמישה עמודים מזכה ב-10 CPEs
• הרשמה ל-Journal של ISC2 אומנם הרישום הוא בתשלום סימלי של 45 דולר לבעלי ההסמכה, לאחר ההרשמה ניתן לקבל 5 cpe
• פגישות מועדון ("Chapters"). כיום אין עדיין מועדון בישראל
• כתיבת השאלות למבחן ניתן לשלוח בקשה במייל. במידה ותבחרו לכתוב שאלות למבחן, תקבלו זכאות לעוד CPE’s
• ביצוע פעילויות התנדבותיות – מזכות ב-CPE’s בהתאם לכמות השעות של הפעילויות
• ועוד הרבה דרכים לקבל CPE’s

 

בדיקת CPEs ומדיניות בקרה

דיווח ה-CPE’s מתבצע באופן אישי במערכת הדיווח של ISC2 (קבלת שם משתמש + סיסמא לאחר קבלת ההסמכה).

לאחר דיווח הפעילות, יתכן ותקבלו ביקורת (Audit) ואז תאלצו להוכיח את ביצוע הפעילות בכתב.

כל מוסמך מחויב לשמור הוכחות בכתב עד 12 חודשים לאחר סיום המחזור (ובמילים פשוטות, עליכם לשמור את הוכחות 4 שנים).

הערה חשובה: לא יהיו וויכוחים במידה ולא תצליחו להוכיח את ביצוע הפעילויות … התוצאה לא תהיה חיובית עבורכם. שמרו גיבוי של ההוכחות (מייל בענן או אחר).

 

בקשר לעמידה בקוד האתי:

כל סטייה מהקוד האתי יחשב בסיבה לביטול ההסמכה.

לדוגמא: במידה ותחליטו לעזור מישהו בתהליך ה-ENDORSEMENT ולא תבצעו את התהליך בהתאם להנחיות של ISC2, תתכן פתיחת הליך משמעתי על ידי ISC2.

 

לסיכום

למרות התחושה שתחזוקת ההסמכה הינו תהליך מורכב, ניתן לשמור על ההסמכה בצורה פשוטה וזולה.

לדוגמא: אם מופיעים בכנס פעם בחודשיים (8 שעות), אנו עומדים בדרישות מדיניות צבירת ה-CPE's (כנס פעם בחודשיים = 8 * 6 = 48 CPE's בשנה = 144 CPE's במחזור).

 

מאגרי מידע ללימוד עצמי (ולרוב חינם) :

 

Podcasts

http://www.pauldotcom.com/

http://securityweekly.com/

https://www.grc.com/securitynow.htm

http://podcast.wh1t3rabbit.net/dtr-episode-105-newscast-for-august-11-2014

מאמר ריכוז Podcats של אתר ITWorld.com

 

Webinars:

https://www.brighttalk.com/webcasts (מעולה, מתעדכן בתדירות שבועית)

https://www.beyondtrust.com/resources/education (מעולה, מתעדכן בתדירות שבועית)

http://www.bankinfosecurity.com/

https://www.isc2.org/thinktank/Default.aspx

 

קורסים מלאים:

Coursera – פלטפורמה ללימוד חינם (קורסים אקדמיים איכותיים)

Cybrary – פרויקט המבוסס על קורסים חינמים ופתוחים בתחומים טכניים, אבטחת מידע והכנה להסמכות

קורס Designing and Executing Information Security Strategies של University of Washington (כ-40 CPE's)

קורס קריפטוגרפיה של University of Maryland (כ-30 CPE's):

קורס קריפטוגרפיה נוסף של Stanford (קיים קורס המשך ברמה מתקדם)

CodeAcademy – פלטפורמה ללימוד חינם של שפות פיתוח כגון Python, Ruby, PHP, JQuery ועוד. מומלץ

Microsoft Virtual Academy – בית ספר של חברת מייקרוסופט – מקוון רחב מאוד של קורסים חינמיים

TEXAS A&M ENGINEERING EXTENSION SERVICE (TEEX)

Information Security for Everyone   (כ-10 CPE's)

Digital Forensics  (כ-5 CPE's)

edX

Introduction to Linux (כ-40 CPE's)

Artificial Intelligence (כ-150 CPE's)

 

קישורים למקורות מידע נוספים :

https://www.isc2.org

http://cccure.training/m/articles/view/CPE-s-CEU-s-PDU-s

http://blog.isc2.org/isc2_blog/2014/01/free-ways-to-earn-continuing-professional-education-cpe-credits-for-your-infosec-certification-.html

 

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

בכתבה הקודמת, סקרנו את תהליך הלימוד. הגיע הזמן להתחיל להתכונן למבחן עצמו (למבנה שלו).

יתכן וכבר קבעתם מועד (ואם לא, גשו לאתר הרישום כאן). אתם מרגישים שאתם שולטים בחומר אבל לא ברור לכם אם יש עוד מה ללמוד (לשפר ולדייק אולי אבל לא ללמוד מושגים חדשים).

בכתבה זו, נתמקד בתקופה שבין סיום לימוד החומר לבין מועד המבחן. חשוב להבחין בין החומר לבין מסגרת המבחן.

עדכון אחרון לכתבה : 10/09/14 (עדכון טיפים)

 

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

 

סוד ההצלחה : תרגול, תרגול ועוד תרגול

המבחן מכיל 250 שאלות וצריך לענות עליהם תוך 6 שעות. מדובר במרתון פסיכולוגי מעייף כי לא פשוט לשבת כל כך הרבה זמן בריכוז מלא. רוב השאלות מורכבות גם למי ששולט בחומר. הדרך הטובה לעבור את המכשולים היא להתכונן "לאופי" המבחן ולהפחית את הלחץ ככל שניתן.

בכתבה השניה בסדרה (חלק ב' תכנון לוח זמנים), הצגתי את התכנון שלי ואפשר לראות שהשבועיים האחרונים הוקדשו לחזרות ולתרגול. אציין שתיאמתי שבוע חופש מהעבודה לפני המבחן וזה מאוד עזר כדי ללמוד "בשקט".

התחלתי את החזרות עם שתי סימולציות של 100 שאלות (כל אחת) ביום. לאחר מכן, עליתי ל-200 ול-250 שאלות (סימולציה אחת ביום). מדדתי זמן לכל הסימולציות.

שימו לב : הנקודה החשובה היא לא לסיים את הסימולציה בזמן (בדרך כלל הייתי מסיים 100 שאלות תוך 50 דקות) אלה להתרגל לאופי המבחן ולסבולת הנדרשת (לשמור על הריכוז לאורך הזמן, לנסות לפתור מקסימום שאלות במינימום זמן, לא לבזבז זמן על השאלות הקשות ועוד).

המשימה הקשה והמתישה היא לא הסימולציה עצמה אלה לעבור לאחר מכן על השאלות שוב ולנסות להבין למה התשובה נכונה או שגויה . תהליך זה יאפשר מיקוד בחומר הבעייתי וחיזוק הביטחון העצמי. חזרתי פרטנית על 70/80% מהשאלות (דילגתי על השאלות הקלות).

 

 האם אני מוכן ?

שאלת מיליון הדולר (או מאות הדולרים ליותר דיוק כי זה מה שיעלה לכם רישום למבחן חוזר – לכל מבחן יש דמי רישום של 599$). מקובל להגדיר את רמת המוכנות בהתאם לתוצאות בסימולאציות.

המספרים מאוד יחסיים וזאת משתי סיבות :

1) כל מערכת סימולציה בעלת רמת קושי שונה. מומלץ להשוות מה שניתן להשוות, אם קיבלתם 80% הצלחה בסימולציות AIO (של Shon Harris) או 75% הצלחה במבחני CCCure.org, אתם מוכנים. לגבי הסימולציות של המכללות, תתייעצו עם המרצה.

2) מכוון שסך השאלות לתרגול מוגבל, יש סבירות גבוהה שתעברו שוב ושוב על אותן השאלות ותענו בצורה אוטומטית כי אתם מכירים כבר את התשובה (לא תמיד במודע).

קשה לי לאמין שניתן לעבור את המבחן בלי לתרגל 1000/1500 שאלות מינימום (אישית תרגלתי מעל 2000).

אני ממליץ בחום להוריד מהרשת מסמכי CRAMS שונים (מסמכים שמרכזים את המושגים החשובים) ולבדוק שאתם מכירים אותם. ניתן לגשת לכמה דוגמאות בדף ה-Сheat Sheet בבלוג שלי.

 

אסטרטגיה :

יש שיטות שונות להתמודד עם השאלות, לא משנה כל כך מהי השיטה שתבחרו, העיקר שתקבעו אסטרטגיה ותעמדו בה. אסטרטגיה ברורה גם תעלה את רמת הביטחון העצמי.

להלן חוקי הברזל שהגדרתי לעצמי (על סמך ניסיון של האחרים ועל סמך הניסויים בסימולציות) :

1) תמיד לקרוא את השאלות פעמיים ולהדגיש מילות מפתח : לשים לב למילות המפתח של השאלה כגון NOT, NEVER, BEST, ALWAYS … (אם השאלה מורכבת במיוחד, לסמן את השאלה לטיפול מאוחר יותר).

2) לנסות לזהות את התחום (Domain) הקשור לשאלה : לדוגמא, אם השאלה מתייחסת לתחום Operations Security, תצפו לתשובה בהתאם

3) להתחיל לקרוא את התשובות מהסוף אל ההתחלה (קודם לקרוא את התשובה d. , את התשובה c וכו).

4) קודם כל, לסמן את התשובות הלא נכונות : אישית, הפכתי את השאלות (תשאלו את עצמכם את השאלה בצורה הפוכה)

5) במידה ולא מצאתם את התשובה מיד (תוך 20-30 שניות), לסמן את השאלה לטיפול בסוף – יתכן והתשובה תהיה ברורה בקריאה השניה

ואת החוק החשוב ביותר …

6) לאחר סימון תשובה, אין לשנות דעה – הניסיון מלמד שהאינסטיקנט הראשוני שלכם בדרך כלל נכון. יש סבירות גבוהה ששינוי יביא לטעות (שלא לדבר על בזבוז בזמן) …

אין הבדל בניקוד בין תשובה שגויה לבין שאלה שלא נענתה. חשוב לוודא שאתם עונים על כל השאלות כי גם אם אתם לא מכירים את התשובה, יש לכם סבירות של 25% לענות נכון (יותר טוב מכלום).

דבר נוסף, קיים מחקר שמקשר בין עולם המבחנים לבין עולם הסטטיסטיקה. ממליץ לקרוא כי מאוד מעניין (אם כי, לא מומלץ לבסס את הלימוד על השיטה 🙂 ).

טיפים של הרגע האחרון

הרבה מבקשים "טיפ אחרון" בערב המבחן : קבלו שניים 🙂

  • קודם כל, תרגעו ! לא בדיוק מפתיע אבל כל כך נכון. 24 שעות לפני המבחן, אל תתעסקו בחומר. תנסו להירגע, לכו לים, לשחק כדורסל או צאו לסרט. תנסו לישון טוב ביומיים האחרונים ותקפידו על אוכל קליל. לא דברים גדולים … אבל זה עוזר
  • ניהול הזמן : עוד לפני יום המבחן, תנסו לקבוע שיטה "לניהול זמן" ברורה ותעמדו בה. עוד משהו קטן שיעלה לכם את הביטחון העצמי. אישית, חילקתי את המבחן ל-5 חלקים :

חלק 1 (שעה) -> 100 השאלות הראשונות – לענות על מקסימום שאלות במינימום זמן. להשאיר את השאלות הקשות בצד

חלק 2 (שעה) -> 100 השאלות הבאות – כנ"ל

חלק 3 (חצי שעה) -> 50 השאלות האחרונות- כנ"ל

חלק 4 (שעה-שעה וחצי) -> להתקמד בשאלות הקשות שהשארתם בצד

חלק 5 (שעה) -> סיבוב אחרון על השאלות שסומנו

כמובן, מומלץ לצאת להפסקה לפחות פעם אחת. אישית, יצאתי שלוש פעמים להפסקת קצרות. שימו לב : הגדרתי מראש יותר זמן מהנדרש וזכיתי בזמן "ספייר" שהרגיע אותי. אנשים שמתחילים לענות ישיר על 250 שאלות לא תמיד מסוגלים לנהל את הזמן בצורה ריאלית. לחלק את המבחן לחלקים קטנים מקטין את הסיכוי שיחסר לכם זמן בסוף.

מה להביא ביום המבחן ?

שבועיים לפני המבחן שלי, החלטתי לעשות Shopping מיוחד. לא חייבים לקנות הכל מחדש אבל להלן רשימה של פריטים שמומלץ להביא ביום הדין (חלקם חובה) :

  1. מכתב ההזמנה מודפס : שלא לא תעיזו לשכוח !
  2. דרכון (או ת"ז) + מסמך מזהה נוסף (רישיון נהיגה לדוגמא)
  3. ז'אקט/מעיל קל (למקרה של מתקפת מזגנים)
  4. מילון (שתי שפות) : ללא ציורים והסברים, רק תרגום מילה במילה. אישית, אני ממליץ להביא לפחות שני סוגים כי מרכז המבחן יכול לפסול כל סוג כלא מתאים (אין רשימת מילונים מורשים, ההחלטה סובייקטיבית לחלוטין ואתם לא רוצים להתחיל להתווכח ביום המבחן)
  5. אטמי אוזניים : כשהרכבת תעבור ליד הכיתה או כשהמועמד הצמוד יתחיל לאכול ירוקות שורש (מקרה אמיתי) תצרכו להתנתק מהרעש. ממליץ על אטמים מסיליקון, הם מאוד נוחים. תקבלו אטמים חד פעמים אבל אישית, אני לא חושב שהם נוחים
  6. Crams מודפסים. ניתן לעבור על החומר בקלילות עד לתחילת המבחן
  7. נישנושים "חכמים" : כל אחד בהתאם לבטן שלו. אם זאת, תשתדלו לא להביא דברים "מלכלכים" (קוביות שוקולד לדוגמא). מומלץ להביא חטיפי אנרגיה
  8. שתיה – תביאו בקבוק מים

 

רגע האמת :

המבחן מתקיים בכיתות מחשוב במרכז PEARSON הנמצא רמת גן (דרך בן גוריון 2 – קישור למפה), צריך להגיע מוקדם (מינימום חצי שעה לפני תחילת המבחן, עדיף להקדים עוד קצת), אני ממליץ "לסייר" מראש כדי להימנע מטעות של הרגע האחרון.

בתקופתי, המבחן היה PBT (מבוסס כתיבה על נייר) אבל היום המבחן הינו ממוחשב (Computer Based Test – CBT).

תוצאת המבחן תתקבל מייד עם סיומו.

במידה ועברתם -> מזל טוב, אפשר לחזור הביתה ולהתחיל את תהליך ה-ENDORSEMENT (הסבר מפורט בכתבה הבאה). אגב, אין ציונים למי שעובר. אצל ISC2, כל העוברים שווים

במידה ונכשלתם -> לא נורא, זה קורה להרבה מועמדים לעבור בפעם השניה (או שלישית). קחו כמה ימים של חופש מהלימודים ותחזרו ללמוד. מועמד שנכשל מקבל את הציון שלו ואת הרשימה של התחומים מדורגת לפי הצלחתם במבחן. תחזרו ללמוד ותנו דגש על התחומים החלשים

לכולם -> תאספו את הציוד שלכם, סעו למקום רגוע (הים מקום נהדר), נשנשו משהו וחזרו הביתה לישון (לאחר המבחן אתם תהיו מרוקנים נפשית ורק שינה יכולה לעזור).

לסיכום

בכתבה זו, עברנו על הכנות של הרגע האחרון. לצערינו, אין תחליף לתרגול אבל מילת המפתח של הכתבה היא "ביטחון עצמי" : תנסו לשפר אותה ככל האפשר לפני המבחן וכך תוכלו להתמקד בשאלות ובחומר הלימוד. ניתן לעשות דברים קטנים כדי לרוויח בגדול.

בכתבה הבאה, נעבר על תהליך ה-ENDORSEMENT הנדרש כדי לקבל את ההסמכה.

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

בכתבות הקודמות אספנו חומרים, למדנו על ההסמכה עצמה ותכננו את לוח הזמנים.

הגיע הזמן לשבת וללמוד. אין סוד להצלחה במבחן : כדי לעבור חייבים לשבת וללמוד את החומר, ולא משנה מה היא מסגרת הלימודים (עצמאי, קבוצה, קורס, סדנה,  CBT וכו).

בכתבה זו, אפרט את ההמלצות שלי ללימוד אפקטיבי.

עדכון אחרון לכתבה : 01/10/14 (עדכון קישור מילון מונחים)

 

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

 

השלב הקשה ביותר : להתחיל

ההורים שלי לימדו אותי שבחיים אין מתנות חינם ושהפחד לא מוריד את הסכנה.

אני חייב לצוטט את הקטע המפורסם של הסרט "מבצע סבתא" :

סרג'יו: "הנכד שלי כבר חודש לא יורד את השתי דקות ב־100 מטר."

קרמבו: "יש רק דרך אחת לשחות 100 מטר."

סרג'יו: "קרמבו, תן איזה טיפ של אלופים."

קרמבו: "אתה מתחיל הכי מהר שלך, ולאט לאט אתה מגביר."

אין דרך אחרת להגיד : תתחילו ללמוד ואל תחפשו תירוצים. תעמדו בלוח הזמנים שקבעתם (הרבה אנשים טובים ויתרו על המבחן כי איבדו את התכנון בדרך).

 

מאיפה להתחיל ?

לפני הכל, קחו את הזמן לשמוע את ההרצאה של Clement Dupuis שעובר בגדול על כל התחומים ועל המבחן עצמו (המצגת לא כל כך חדשה אבל עדיין מאוד רלוונטית).

אני ממליץ להתחיל עם הפרקים הקשים.

למה קודם הפרקים הקשים ? כי ככל שהזמן חולף ומתקרבים למועד המבחן, עדיף פחות "להתאמץ" בהבנה ויותר בחזרות ותרגולים. בנוסף, אם תתחילו עם הנושאים הקשים, יהיה לכם יותר זמן לעבור שוב ושוב עליהם כדי להבין, להפנים ולזכור.

מהם הפרקים הקשים ? הזכרתי בכתבה השניה של הסדרה שחלק מהתחומים חשובים יותר מאחרים במבחן עצמו (יותר שאלות). אם חלק מהם חדשים לחלוטין למועמד … רמת הקושי עולה ושם צריך להתחיל. באופן ככלי, מקובל להגדיר את הנושאים הבאים כקשים גם בגלל המורכבות ו/או היקף החומר : Cryptography, Software Development Security, Telecommunications and Network Security.

שימו לב : רמת הקושי של כל תחום משתנה בהתאם לרקע של המועמד.

אם אתם לומדים במסגרת כלשהי (קורס, קבוצת לימוד, סדנא …) : מומלץ מאוד ללמוד בהתאם לנושאים הנלמדים בזמן אמת.

 

אני לא מבין את החומר, מה עושים ?

לא להבין מושגים הינה תופעה ידועה וטבעית. לא צריך להלחץ.

אם אתם לומדים במסגרת כלשהי (קורס, סדנא, קבוצה), תתייעצו עם אחרים/מרצה.

אם אתם לומדים לבד : תקראו מספר פעמים את החומר, תנסו למצוא הסברים מקבילים (Google, Wikipedia …) ובסוף תבקשו עזרה בפורומים מקצועים (אישית אני ממליץ על קבוצות לימוד בלינקדין כאן או כאן ובפורום של אתר CCCure).

מומלץ לבנות "מילון מונחים" אישי ו/או לנצל עבודות שפורסמו ברשת (כאן קישור ל-CISSP Study Guide & Acronyms).

 

אני מבין אבל לא זוכר, מה עושים ?

זאת אחת הבעיות הגדולות בלימוד החומר. איך לזכור את החומר בצורה נכונה (לא מספיק לדעת את החומר, צריך גם לזכור את הסדר ופרטים קטנים נוספים) ?

חייבים לעבור על החומר שוב ושוב אבל יש קיצורי דרך. אפשר להשתמש בשיטות "ממו טכניות".

דוגמא א' : מודל OSI

אני עובד בתחום התשתיות כבר מספר שנים ואני מכיר את מודל השכבות OSI אבל עד המבחן לא הייתי מסוגל לזכור את הסדר של השכבות בעל פה.

אחת השיטות היא לזכור את המשפט "All People Seem To Need Data Processing" ואתם זוכים את הסדר לפי האות הראשונה של כל מילה.

A – Application
P – Presentation
S – Session
T – Transport
N – Network
D – Data Link
P – Physical

דוגמא ב' : סוגי אש

מי זוכר את סוגי האש (A,B,C,D) ? תזכרו רק את שם הפרטי של Clement Dupuis (של המצגת) וקל יותר לזכור את סוגי האש והמקור שלהם.

CLEMent

A = C – Common Combustible
B = L – Liquid Fire
C = E – Electric Fire
D = M – Methals

 כל אחד יכול לבנות לעצמו את המילים/משפטים שיעזרו לו לזכור אבל מומלץ ללמוד מהניסיון של אחרים. גשו לפורום של CCCURE ותגלו פוסט שמרכז את הסודות של כולם (קישור ישיר לפוסט – נדרש יצירת משתמש בחינם).

לסיכום

מומלץ לעבור על כל תחום בנפרד, להתחיל עם התחומים הקשים להבנה (יהיה לכם יותר זמן לחזור על החומר ולתרגל). כדאי לקרוא כל פרק לפחות פעמיים, לרשום הערות ולתרגל הרבה.

אם תעמדו בלוח הזמנים שקבעתם, אתם תספיקו את כל החומר ותוכלו לחזור על הנושאים החשובים. שוב אני מזכיר, מילת המפתח היא "תרגול".

בכתבה הבאה, נדבר על התקופה שלפני המבחן.

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

בכתבה הראשונה, הבנו מהי הסמכת ה-CISSP ואספנו חומרים לקראת תחילת תהליך הלימוד. הפעם אנסה להסביר למה ואיך לתכנן את הזמן בצורה יעילה כדי לעמוד ביעד (המבחן כמובן).

כמו שהסברתי בעבר, המבחן בוחן את המועמד בשמונה תחומים שונים. חשוב להבין שרמת ההשקעה בכל אחד מהתחומים שונה והיא אפילו מתשתנה בין מועמד ולמועמד (בהתאם לרקע של המועמד).

בכתבה זו, נעבור על תהליך תכנון לוח הזמנים של הלימודים לקראת המבחן.

עדכון אחרון לכתבה : 11/04/15 – שימו לב תכני הלימוד ושמות הדומיינים עודכנו ב-2015

 

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

 

למה צריך לתכנן מראש ?

כפי שציינתי בתחילת הכתבה, חשוב להבין שנדרשת השקעה בכל אחד מהתחומים. ישנם תחומים גדולים מבחינת כמות החומר, ישנם תחומים קשים ללימוד בגלל איכות החומר וישנם אפילו תחומים קלים וקצרים יחסית. כמו כן, המבחן אינו שיוויוני וניתן לזהות תחומים חשובים יותר וחשובים פחות מבחינת כמות השאלות ומבחינת איכות השאלות (רמת קושי וחישוב הציון).

מכאן, ניתן לנהל את הסיכונים שלנו (ידע מושלם של 100% של כל החומר אינו מעשי) ולהשקיע יותר זמן ותרגול בתחומים החשובים שביניהם.

כמה זמן לוקח למועמד לסיים ללמוד תחום מסויים ? אין תשובה חד משמעית לשאלה. ברור שאם המועמד עובד בתחום של קריפטוגרפיה יהיה לו מאוד פשוט ללמוד את התחום למבחן.

 

כמה זמן ללמוד ?

שאלה מאוד אישית, התשובה העיקר תלויה בשלושה פרמטרים : מה הידע של המועמד (רקע), כמה הוא יכול לשקיע (יש הבדל בין 4 שעות בשבוע לבין 4 שעות ביום) ורמת המשמעת העצמית של המועמד.

פרסמתי סקר קטן בקבוצה הרשמית של מוסמכי CISSP ברשת Linkedin כדי לנסות להבין כמה זמן בממוצע מומעד השקיע להכנת המבחן. להלן התוצאות לאחר שמונה ימים (חשוב לציין שהמדגם אינו מייצג, מדובר בפחות מ-150 אנשים) :

 

אפשר לראות שמעל 50% מהנשאלים מדווחים על תקופת הכנה של לפחות שלושה חודשים. אין ספק שלתכנן לו"ז מראש לשלושה, שישה או עשרה חודשים הינה משימה מורכבת מכוון שאנשים עובדים (לפעמים יש לחץ בעבודה), חיים במסגרת (זוגיות, משפחה, חברים) ולא תמיד מכירים את כל הפקטורים (בלת"מים כגון מילואים, הריון ועוד).

אישית, למדתי בערך חמישה חודשים בצורה יחסית אינטסיבית (בין שעתיים לארבע שעות בערב ברוב ימי השבוע + 8 שעות בשישי/שבת).

כדי להיות מסוגלים לדעת כמה זמן אתם צריכים, אני מציע לקחת אחד מספרי הלימוד (ראו רשימה בכתבה הראשונה) ולעבור עליו באופן כללי. בנוסף, מומלץ לעשות סימולציה כדי להבין מהם התחומים החלשים שלכם ומהו היקף הלימודים הנדרש בכל אחד מהתחומים.

 

מה ללמוד ?

האם השאלות במבחן מחולקות בצורה שווה בין כל שמונת התחומים ? לא, ויש אפילו משקל משתנה בין השאלות אבל אין דרך לדעת כמה שווה שאלה ביחס לאחרת

האם ישנם תחומים שניתן לוותר עליהם ? בגדול, כן. ניתן לוותר (בצורה חלקית) על תחומים מסויימים (דעה שלי בלבד).

האם ישנם תחומים שאסור לוותר עליהם ? בהחלט

מה הדירוג של התחומים לפי חשיבותם ? זאת שאלה שלא ניתן לענות עליה בצורה חד משמעית וזאת משתי סיבות : ארגון ISC2 אינו מפרסם נתונים ולא מדרג את התחומים. בנוסף לכך, קשה להגיע להסכמה ברורה מכוון שכל דירוג יהיה מבוסס על הדעה הסובייקטיבית של אנשים שעברו את המבחן (ברוב המקרים רק פעם אחת או שתיים).

חשוב לציין שלאחר צמצום כמות תחומי הלימוד (מעשרה לשמונה באפריל 2015), קשה יותר לזהות תחומים "מיותרים".

אני ממליץ לגלוש בפורומים ואתרים השונים (ראו קישורים בכתבה הראשונה), ישנם וויכוחים לגבי מהם התחומים החשובים ביותר.

 

פקטורים נוספים ?

אם לאחר שבוע/שבועיים נכנסתם לחומר ויש לכם צפי כללי מצבכם מעולה. חשוב להתאים את הצפי למציאות ככל האפשר. תתייחסו לפקטורים הבאים.

העבודה : אם החלטתם ללמוד כל יום שעתיים לאחר סיום יום העבודה, חשוב לוודא שלא מתוכננים פרוייקטים חשובים ורגישים בחודשים הקרובים (לפחות מה שאפשר לחזות). במידה וידוע לכם מראש על לחץ מיוחד בחודשים הקרובים, תדחו את תחילת הלימודים. עדיף להמתין ולשמור על רצף הלימודים. אני גם מציע לנסות לקבל תמיכה מהבוס. הבוס יבין שאתם מנסים להשקיע בעצמכם והוא ירוויח מזה בסוף מבחינה מקצועית. יתכן והוא יהיה יותר סובלני בתקופת הלימודים ובעיקר בתקופת המבחן. למה לא לבקש ממנו עזרה בהכנה ? לפעמים אפשר לקבל עזרה כספית (לקורס הכנה או למבחן עצמו) … שווה לשאול.

הקרובים/המשפחה : לפי דעתי, ללא ספק הפקטור החשוב ביותר. אם אתם חיים בזוגיות, חשוב לדבר עם בן/בת הזוג ולהבין שמדובר בפרויקט משותף. תצרכו הרבה זמן ללמוד וקשה מאוד ללמוד כשבן/בת הזוג לוחץ לצאת לבילוים או לחופשה. כדאי לנסות לתכן תקופה בה תקבלו תמיכה נפשית והבנה. בזמן הלימודים שלי, אשתי אפילו לחצה עליי כמה פעמים כשהיאוש דפק בדלת. אם יש לכם ילדים, כדאי למצוא סידור מראש ברמה השבועית (ערב או שניים בשבוע, סבאים וסתבות יכולים לעזור) ושנתית (מי מטפל בילדים בחופש הגדול ? מתי יוצאים לחופשה ? כמה זמן …). אני שוב אומר וחוזר, מדובר בפקטור הכי חשוב כי בלי תמיכה, זה פשוט לא יקרה.

שיטת הלימוד : מאוד חשוב להבין מהי מסגרת הלימודים. קצב ההתקדמות יהיה שונה אם החלטתם ללמוד דרך קורס הכנה או לבד או בקבוצה קטנה. אישית, נפגשתי פעם בשבוע עם חבר שגם למד למבחן, פתרנו שאלות במהלך שעתיים/שלוש, רשמנו לעצמנו הערות וחזרנו ללמוד כל אחד לבד בבית.

הלחץ/הפחד : קשה להתמודד עם הקושי הפסיכולוגי אבל אפשר להשפיע עליו ולנסות לנצל אותו לטובת המטרה. כל אחד יכול להמציא את השיטה שלו, אני אפרט את השיטה שלי. קודם כל תכנון יום המבחן : החלטתי להיבחן באפריל וזה הפך לתאריך יעד. הרבה יותר קל להחליט כמה זמן לשקיע בסה"כ ובכל תחום כשיש תאריך יעד. דבר נוסף, דיווחתי על המטרה שלי (לעבור טת המבחן) לאנשים הקרובים אליי (חברים מהעבודה, בוס, משפחה קרובה, חברים קרובים). מהרגע שהצהרתי על הכוונות שלי, שאלו אותי איך מתקדמים הלימודים … סוג של לחץ שדחף אותי להמשיך ללמוד במיוחד כשרציתי להפסיק.

 

לו"ז סופי :

הגיע הזמן לדבר על מספרים. כדאי לרשום את הלו"ז ולוודא שאתם עומדים בתכנון כל שבוע.

אציג לכם את לוח הזמנים שלי לחודשים האחרוניים (שימו לבשמות הדומיינים עודכנו ב-2015 אבל זה לא כל כך משנה בכל הקשר לבנית לו"ז – יש לעדכן שמות דומיינים בהתאם לשינוי של 2015) :

 

לסיכום :

קביעת לוח זמנים הינה פעולה קריטית בפרויקט ארוך כמו הכנה למבחן ה-CISSP. חשוב להבין שחשיבה נכונה בשלב זה תגרום להצלחה או לכישלון במבחן.

בכתבה הבאה, נעבור על תקופת הלימוד עצמה.

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

שלום לכולם, בחודשים האחרונים עבדתי קשה מאוד כדי לעבור את מבחן ה-CISSP של ארגון ISC2.

בשעה טובה עברתי את המבחן בהצלחה ואני רוצה לשתף אותכם בטיפים שאולי יעזרו לכם להתכונן "לגיהנום" (שם הקוד של המבחן).

במהלך השנים, עברתי הסמכות רבות אבל ההסמכה הזו הינה הקשה ביותר בעיניי. נאלצתי ללמוד חודשים רבים כדי להיות מוכן ביום המבחן.

זאת הכתבה הראשונה בסדרה של כתבות שתעזור (אני מקווה) למועמדים הפוטנציאלים.

בכתבה זו אתמקד בהתארגנות הנדרשת עוד לפני תחילת לימוד החומר.

עדכון אחרון לכתבה : 19/02/16 (עדכון קישורים)

 

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

 

מהי הסמכת ה-CISSP ? למה צריך אותה ?

פירושם של ראשי התיבות : Certified Information Systems Security Professional. מדובר בהסמכה בתחום אבטחת המידע הידועה ביותר בעולם (וגם בארץ).

כאן תמצאו את המאמר של Wikipedia על ההסמכה.

מכיוון שמדובר בהסמכה נייטרלית (לא קשורה לאף יצרן) ושהיא קשה להשגה, אין ספק שלהחזיק אותה מהווה סוג של תעודת ביטוח עבור העולם (לבעל ההסמכה יש ניסיון וידע בתחום).

כל מי שרוצה להתקדם בתחום אבטחת המידע חייב לפחות לשקול לגשת למבחן בשלב כזה או אחר (הרבה מומחים בתחום מחזיקים בהסמכה).

אישית קיבלתי את החלטה בגלל האתגר, רציתי לדעת האם אני יכול לעבור את המבחן דרך לימוד עצמאי (ללא קורס), רק על בסיס ידע, ניסיון והכנה רצינית.

מטרת הכתבה היא לא להסביר מהי ההסמכה, לכן אני מעדיף להפנות אותכם למאמרים שמסבירים בצורה טובה מהי ההסמכה ומשמעותה : כאן מ-NewsGeek (ישן ולא עדני אבל שווה לקריאה) וממכללת See-Security (חומר פרסומי אבל מידע מעניין).

שימו לב: באפריל 2015 ארגון ISC2 ביצע עדכון כללי לתכני המבחן. לא מדובר בשינויים גדולים אך יש להתייחס בהתאם. לדוגמא: תחומי הלימוד (Domains) צומצמו מ-10 ל-8.

 

מהן דרישות ההסמכה ?

צריך להבחין בין ההסמכה לבין המבחן. הצלחה במבחן היא רק חלק מדרישות קבלת ההסמכה.

כדי לקבל את ההסמכה, יש לעמוד בכל תנאי הסף שהוגדרו על ידי ארגון ISC2.

ניסיון : נדרשות חמש שנות עבודה מלאות בשניים מעשרת תחומי המבחן. ניתן לגשת למבחן בלי לעמוד בתנאי זה אבל במקרה של הצלחה, המועמד יאלץ להמתין עד לצבירת הניסיון הנדרש (סטטוס של "ISC2 Associate"). מחזיקי הסמכות מוכרות בתחום יכולים לקבל הקלה של שנה בדרישת הניסיון אם ההסמכה שלהם מוכרת ע"י ISC2 (קישור לרשימה של ההסמכות המוכרות).

מבחן : קשה,קשה ויקר (ראו תמחור מדויק בסוף הכתבה). המבחן ללא ספק הקשה ביותר שעברתי בחיים. שש שעות, 250 שאלות אמריקאיות … כמעט כולן מבלבלות. הדרישה היא לענות לכל שאלה עם התשובה הנכונה ביותר (יתכנו כמה תשובות נכונות … יש רק אחת שהיא הנכונה ביותר). חייבים לקבל 700 נקודות מתוך 1000 כדי לעבור (יש משקל משתנה לשאלות, לא ברור מהם פקטורים הנוסחה של הציון, מדובר בסוד של ארגון ISC2).

Endorsement : לאחר הצלחה במבחן, נדרש המועמד למלא טופס ולהחתים Endorser – מישהו בעל ההסמכה בתוקף ("in good standing").  ה-Endorser מהווה אישור על נכונות דיווחי המועמד, בעיקר לגבי ההצרות הקשורות לניסיון המקצועי (ה-Endorser שלי יצר קשר עם הבוס כדי לאמת את הנתונים). עדיף לבחור במישהו שמכיר את המועמד.

למועמד שלא מכיר אף מוסמך ניתן האפשרות לבצע את התהליך ישירות מול ארגון ISC2 (הסבר כאן). התהליך יכול לקחת עד שישה שבועות.

חתימה על הקוד האתי של ISC2 : נדרשת הסכמה של המועמד לעמוד בקוד האתי של הארגון (פירוט באתר של ISC2).

טיפ קטן : כדאי להכיר אותו טוב מכיוון שחלק קטן מהשאלות במבחן מתייחסות ישירות לקוד האתי.

Audit (בחירה אקראית של חלק מהמועדמים) : לא מתקיים תמיד אבל יתכן והמועמד ייבחר לבדיקה נוספת של נתוני הרקע שלו, כגון ניסיון והצהרות אחרות (בדומה ל-Endorsement).

 

איך מתכוננים למבחן ?

פשוט מאוד, יש שתי דרכים להתכונן למבחן.

להרשם לקורס או לסדנת הכנה :

בארץ ישנן מספר מכללות שמתמחות בהכנה למבחן ה-CISSP. אישית אני ממליץ על מכללת SEE-SECURITY, הנציגה הרשמית של ISC2 בישראל (בעבר ניהלתי את הקורס).

קיימות מכללות נוספות שמכינות מועמדים למבחן. בין השאר חשוב להזכיר את מכללת Titans ואת המרכז ללימודי חוץ של הטכניון. שתי מכללות שעוסקות בהסמכה הרבה שנים.

חשוב לציין שניתן ללמוד בקורסים ברשת (יקר מאוד יחסית ורק באנגלית כמובן) : אזכיר את הקורסים של SANS ושל ISC2.

ללמוד לבד :

כן, כן … יש משוגעים כמוני שעושים את ההכנה לבד, על בסיס ספרים, גלישה ברשת (Google הוא חבר) ופגישות לימוד (אם אתם מכירים עוד משוגעים). זאת הדרך הקשה אבל אם עוברים, התענוג והשמחה גדולים בהרבה מאשר מי שלמד בקורס 🙂

נדרשת משמעת עצמית ברמה גבוהה מכוון שההכנה פרוסה על גבי חודשים (במקרה הטוב).

המטרה הראשית של סדרת המאמרים היא לספק את הכלים הבסיסיים למועמד שיחליט להתכונן לבד.

 

איפה מוצאים חומר לימוד ?

כדאי להתחיל את המסע באיסוף חומר הלימוד. במידה והמועמד לומד דרך מכללה, יש סיכוי טוב שהוא יקבל ספרים וחומרים במסגרת הקורס.

במידה ולא, צריך להתחיל להתארגן לבד …

ספר הלימוד :

זהו הבסיס. לא ניתן לתכנן את המבחן בלי ספר אחד לפחות שמרכז את עשרת תחומי הלימוד, טיפים והסברים.

בזמנו, גלשתי ברשת ומצאתי שלושה ספרים שמוכרים כמצטיינים בנושא.

הספר הרשמי של ISC2 – "ה-CBK" – מאוד מקיף אבל לא נוח לקריאה . הגרסה הרביעית פורסמה בתחילת 2015 גם בגרסת ספר קשיחה (75,95$ באתר הרשמי) וגם בגרסאות דיגיטאליות (67,99$ עבור גרסת Itunes ו-69,99$ עבור גרסת Kindle – אין עדיין גרסת אנדרואיד). כולל 200 שאלות לתרגול.

CISSP AIO של הגורו האמריקאי Shon Harris  (ז"ל) – תענוג ! שון האריס הדהימה בכתיבה שלה. אפשר ללמוד בצורה כיפית אל לצערינו שון נפתרה ב-2014 (לפני עדכון תכני המבחן). עדיין מאוד מומלץ.

Eleventh Hour CISSP, Second Edition: Study Guide של דוקטור Eric Conrad – ספר מעולה. פחות "עמוק" מ-AIO אבל בצד שני יותר ממוקד. מומלץ.

CISSP For Dummies – מעניין וקל לקריאה יחסית (כ-40$) אבל פחות נוח מ-AIO. הגרסה העדכנית הינה הרביעית (מאוגוסט 2012)

טיפ קטן : לא לרכוש את הספרים בחנות הרשמית שלהם, גשו ל-Ebay, Amazon  ותחסכו עד עשרות דולארים.

 אוסף של שאלות לתירגול :

אחת המשימות המרכזיות בהכנה היא ללמוד להתמודד עם אופי השאלות של ISC2.

אין דרך להתחמק מזה, תשכחו מכל רעיון "יצירתי" כמו למצוא Braindumps ברשת (זה לא מבחן של מייקרוסופט !) ברשת – הם לא קיימים.

CCCure Quizzer (של Сlaude Dupuis) – אתר נהדר עם מאות ואולי אלפי שאלות. חלקן בחינם, חלקן בתשלום. חלק מהשאלות לא רלוונטיות אך זהו מקור טוב ללימוד

Skillset.com – אלפי שאלות, שירות חינמי. ניתן לבנות מבחנים לפי Domains ורמת קושי

Security University Free Practice Tests – חינם (נדרש רישום – שימו לב שמייל האישור לא מזוהה כ-SPAM). מאגר יפה של שאלות. שאלות מחולקות בקבוצות שך 10 – 25 – 50 – 75 – 100 – 150 – 200. לפי תחומים (Domains) או כללי. מומלץ מאוד

Practice Tests App (של ISC2) – אפליקציה למכשירי IOS (בשלב כתיבת המאמר). הורדת אוסף של שאלות שנכתבו ע"י ISC2. נוח, כולל הסברים, לא יקר (אפליקציה חינם, מחיר של 4.99$ לכל הוסף שך 25 שאלות). מוגבל ל-8 מבחנים להורדה (כ-200 שאלות). מומלץ אם יש תקציב אך לא חובה בכלל

McGraw-Hill Education Practice Exams – חינם, ללא רישום. אפשרות להיבחן לפי Domains, איכותי וקל לשימוש. מספק קבצע MP3 ללימוד נוח בדרכים. מומלץ מאוד

Studiscope self assessment (של ISC2) – מאוד יקר (129$ ל-100 שאלות או 289$ ל-300 שאלות). שאלות אמיתיות של מבחני העבר (יצאו מהמאגר). לא ניסיתי.

Techexams.net – חינם אבל רק כמה שאלות – כדאי לנצל

Knowledgebuster – כ-60 שאלות בחינם – כדאי לנצל

CISSP for Dummies app for iPhone – כ-9.99$ – מאוד נוח ללימוד נייד – שווה

 

כמה זה עולה ?

קודם כל, המבחן : עלות הרישום הינה גבוהה מאוד. כל רישום עולה 599$ (פעם הייתה הנחה ברישום מוקדם, כבר לא קיימת מאז סוף 2012) – ראו פרסום מאתר ISC2. אם בטעות לא עברתם בפעם הראשונה … יש לשלם שוב  …

קורסים במכללות עולים יקר אבל הם עושים את העבודה ומרכזים את החומר בצורה טובה מאוד (חיסכון בשעות חיפוש חומר, לא בשעות לימוד בבית). תתקשרו למכללות כדי לברר את המחיר ואת החומר שהן מספקות לסטודנט. חשוב לציין שקורס מסודר נותן גישה למרצה שתמיד יידע לספק טיפים והסברים מקצועים, ערך מוסף חשוב.

ספרים עולים בין 30$ ל-70$, אישית אני ממליץ שוב לרכוש את AIO של Shon Harris. יש בו כל מה שמועמד צריך לדעת ויותר.

יש מאגרי שאלות בחינם ויש מאגרים שעולים כסף. ממליץ להשקיע בגרסה בתשלום של CCCure Quizzer (במחיר של 89.99$ עבור חצי שנה של שימוש). הרבה מאוד שאלות ומעקב צמוד לאורך הלימוד (הצגת אחוזי הצלחה לפי מבחן וסה"כ). ממליץ גם על CISSP for Dummies app for iPhone (במחיר של 19.99$) כדי לנצל זמני נסיעות או המתנה מחוץ לבית בלימוד.

אישית, השקעתי בסביבות ה-700$ בסה"כ (כולל תשלום למבחן). זול יחסית …

 

איך לומדים מאחרים טיפים להצלחה ?

כשהחלטתי לגשת למבחן, התחלתי לחפש ברשת מאמרים, טיפים וסיפורי הצלחה כדי ללמוד איך להתכונן למבחן.

אני משתף אותכם בקישורים שעזרו לי גם מבחינת החומר וגם פסיכולוגית.

Clement's presentation (של Clement Dupuis) – עודכן ינואר 2015, חובה לעבור על ההרצאה. הסבר יפה מאוד על החומר באופן כללי ועל תהליך ההסמכה

ריכוז השינויים של המבחן 2015 (של Clement Dupuis) – מידע על השינויים בתחומי הלימוד ומידע על השינויים בתכני הלימוד

Is CISSP Right For Me? (של BrightTalk) – למה בכלל להיבחן ולקבל את ההסמכה

CBK Domain Previews (של ISC2) – הצגות של תחומי הלימוד ב-Webcasts. כדאי לראות, חינם

InfosecSpot (של מיטל ברוקס-קמפלר) – בעברית – הרבה טיפים של מיטל. חובה לקרוא.

Shon Harris's presentation – (של שון הריס ז"ל) מ-2014 (לא מעודכן), כ-27 דקות של הסבר כללי על ההסמכה (סרט פרסומי אך סקירה כללית מעניינת של ההסמכה ושל ההכנה)

Simplilearn presentation – של מכללה בעלת קורס הכנה. קצת משעמם (קול מעצבן) אבל חינם

הצגת השינויים של 2015 (של מכללת INFOSEC INSTITUTE) – מידע מעניין על השינויים של תכומי הלימוד – קריאה חובה

אתר Cccure.org (של Clement Dupuis) – חובה, אוסף של מאמרים, טיפים, שיתופי פעולה בין מועמדים

How I prepared my CISSP exam (של Didier Stevens) – מעבר לבלוג הנחמד, סיפור המבחן של Didier Stevens

I passed. Such a relief! (של Roman Zeltser) – מזדהה עם Roman במילה ומילה

CISSP Study Notes (של Andreas Athanasoulias) – קישור למסמכי עזר שכתב Andreas (סגנון CRAMS)

Security Hotel – אוסף של Mind Maps (ציור/סיכום של תכנים), סוג של CRAMS

Taking the CISSP Exam – הניסיונות של מועמד (ניסיון כושל וניסיון מוצלח)

וכמובן, חייבים ללמוד מהניסיון של האחרים דרך הפורומים : גשו גם לפורומי CISSP של cccure.org (נדרש רישום חינם), גשו גם לקבוצות עניין ב-Linkedin (כאן וכאן) וגשו גם לפורום הפעיל מאוד של Techexams.

לסיכום :

בכתבה זו הסברתי איך כדאי להכין את "הקרקע" ללימודים מוצלחים. אני מקווה שעזרתי קצת …

בכתבה הבאה, נדבר על לוחות הזמנים. איך מתכננים נכון את הלימוד.

 

GPS SPOOFER : העתיד השחור

הרבה זמן לא פרסמתי אף כתבה ואני מתנצל על כך. לאחרונה אני עסוק בלימודים אבל בקרוב אכתוב כמה מאמרים חדשים.

בינתיים, רציתי לשתף אתכם בהרצאה המדהימה של טוד המפריז (Todd Humphreys) מאוניברסיטת טקסס.

טוד מסביר בצורה פשוטה איך ניתן לנצל לרעה את טכנולוגית ה-GPS הכל כך נפוצה היום (מהשימוש של GPS ברכב ועד לשימוש במטוסים).

שימוש במכשיר שישנה (ולא רק ישבש) את נתוני ה-GPS או GPS Spoofer אפשרי וזמין לכל קונה ברשת.

מומלץ מאוד לראות את כל הסרטון אך אם אין לכם סבלנות, תתחילו מהדקה 07:35.

ההרצאה התקיימה במסגרת תוכנית TEDx בארה"ב.

תהנו ותחילו לפחד 🙂

 

הרצאה של ברוס שנייר ב-BlackHat 2011 (שוב בנושא CyberWar)

בהמשך לפרסום הקודם של הרצאה של ברוס שנייר "מהי מלחמת סייבר (CyberWar) ?" כדאי לכם לראות את ההרצאה החדשה (מתוך כנס BlackHat 2011).

שוב ברוס שנייר מדבר על עקרונות ומושגים של מלחמות סייבר.

תפנו לכם שעה ותהנו 🙂

 

 

 

יום הולדת שמח ללינוקס : עד 100 כמו בגיל 20

לינוקס (Linux) גוגג 20 : מזל טוב לפינגיון.

מי היה מאמין שהמערכת החופשית תשרוד ותתפתח לאורך השנים …

זה התחיל מפרסום של לינוס טורבלדס (Linus Torvalds) באחד הפוסטים הידועים בהיסטוריה של הרשת :

…Hello everybody, out there

תהנו מהסרטון שפורסם ע"י ארגון לינוקס (Linux Foundation).