הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

CISSP

השלמת את תהליך ה-ENDORSEMENT בהצלחה. אתה יכול להתגאות בהסמכה באופן רשמי. כל הכבוד! (ואנחנו באמת גאים, לא היה פשוט) ! 🙂

עכשיו צריך לשמור על ההסמכה על ידי תחזוקה שוטפת. מלבד התשלום השנתי , עליך להוכיח שאתה מעדכן את רמת הידע שלך בתחום אבטחת המידע.

אבל אין דאגה, תהליך התחזוקה קל יותר מהמבחן (תודה באמת!). מטרת מאמר זה הינו סיוע במציאת הדרך הטובה והיעילה לתחזק את ההסמכה בלי לבזבז זמן וכסף.

הערה חשובה: שימו לב, בשנת 2019 עודכנה מדיניות הדיווח CPE's. בוטלה החובה לדיווח מינימאלי של של 40 יחידות שנתיות (הפכה להמלצה). אין שינוי בדרישה התלת שנתית (עדיין 120 לכל הפחות ב-3 שנים).

עדכון אחרון – 26/10/20 – עדכון מדיניות CPEs (ביטול חובת דיווח מינימום שנתי)

 מאמר זה נכתב ע"י מקסים פרנקל, CISSP.

עדכון אחרון לכתבה : 12/03/19 (עדכון קישורים)

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

תהליך תחזוקת ההסמכה (2 חלופות):

מאז קבלת ההסמכה, אנו מתחילים את תהליך התחזוקה על בסיס מחזורים של 3 שנים.

דרישות התחזוקה מתייחסות גם לתנאי סף ברמת מחזור (3 שנים) וגם לתנאי סף ברמה השנתית.

  1. חלופה א'
  • תשלום שנתי שוטף (AMF – הסבר בהמשך)
  • עמידה בדרישות CPE’s (הסבר בהמשך)
  • שמירה על הקוד האתי של ISC2 (ראו התייחסות במאמרים הקודמים)
  1. חלופה ב' (רלוונטי גם אם מוסמך "איבד" את ההסמכה)
  • ביצוע מבחן מלא מחדש (כן, כן … מותר 🙂 )

תשלום שנתי שוטף או AMF) Annual Maintenance Fees)

יש לזכור ש-ISC2 הינו ארגון ללא מטרת רווח.

התשלום הינו שנתי והוא חובה.

הסכום עומד על 125$ לשנה אחת, כמובן שניתן לשלם מראש עבור שלוש שנים.

הערה: עד ה-30.06.19, המחיר היה עדיין 85$ לשנה.

אז מה זה בכלל CPE?

נקודת CPE (קיצור של Continuing Professional Education) הינה יחידת מידה השוות ערך ליחידת מידה אחת של לימודים (ברור, לא? 🙂 ).
ניתן להשיג CPEs במגוון רחב מאוד של דרכים (פעילויות לימודיות כגון קורסים או קריאת חומרים מקצועיים, נוכחות או העברת הרצאות, נוכחות בכנסים, כתיבת מאמרים ועוד).
חישוב דיווח ה-CPEs מתבצע בהתאם למדריך המפורסם באתר של ISC2.
חשוב להבדיל בין שני סוגי CPEs: Group A ו-Group B.

מה ההבדל בין Group A & B?

• Group A CPE’s – מדובר בפעילויות קשורות באופן ישיר לתחומי הלימוד של המבחן (לפחות לתחום אחד)
נקודות מסוג A הינם יחידות חובה לכל מחזור תלת שנתי, זאת אומרת שבכל מחזור תת שנתי אנחנו מחויבים לצבור לכל הפחוץ 90 נק' כתנאי סף לתחזוקת ההסמכה (עד 2019, הדרישה הייתה 40 CPE's בשנה לפחות אך הדרישה בוטלה).

• Group B CPE’s – מדובר בפעילויות הלא קשורות באופן ישיר לתחומי הלימוד של המבחן אך מוכרות ע"י Isc2 כחיוניות לביצוע התפקידים הניהוליים בתחום אבטחת המידע. דוגמא לפעילויות: קורסים בתחום הניהול באופן כללי, בניהול פרויקטים, ניהול משאבי אינוש, ניהול כספים וכו.

כמה נקודות אני צריך לאסוף בשלוש שנים?

• במחזור (שלוש שנים) עלינו לצבור סך הכל של 120 CPEs

• לא קיימת דרישה לדיווח שנתי.

• במחזור (שלוש שנים) עלינו לאסוף מינימום של 90 CPE’s מסוג Group A
• ניתן להשלים עם CPE’s מסוג Group A (לדוגמא: ניתן לצבור את כל 120 CPE’s מסוג Group A) או עם CPEs מסוג B

הסבר על הפעילויות המקנות זכות ל-CPEs:

• כנסים – על כל שעת נוכחות בכנס ניתן לדווח על CPE 1,חשוב מאוד לבקש הוכחה בכתב על הנוכחות בכנס (יש לפנות לגוף האחראי על הכנס). מומלץ לשמור את ההזמנות לכנס במייל ולא למחוק, אין חוכמות מול ISC2
• קריאת המגזין של ISC (InfoSecurity Professional Magazine) אשר מתפרסם פעם בחודש, לאחר הקריאה ניתן לזכות ב-CPEs לאחר ביצוע בוחן קצר
• WEBINARS/WEBCASTS/COURSES -או כל מדית לימודים אינטרטית אשר תחזק את הצד המקצועי שלכם כל שעת הרצאה/לימודים מזכה אתכם ב-CPE אחד
• הכנת מצגת או כתיבת הרצאה הקשורה לאחד הדומיינים של מבחן ה-cissp. פירוט הזכאות ל-CPEs בהתאם לזמן ההכנה ולא בהתאם לזמן ביצוע ההרצאות (ראו פירוט במדריך של ISC2)
• כתיבת מאמרים (לדוגמא: מאמר זה 🙂 ). כל מאמר עד חמישה עמודים מזכה ב-5 CPEs. כל מאמר גדול מחמישה עמודים מזכה ב-10 CPEs
• הרשמה ל-Journal של ISC2 אומנם הרישום הוא בתשלום סימלי של 45 דולר לבעלי ההסמכה, לאחר ההרשמה ניתן לקבל 5 cpe
• פגישות מועדון ("Chapters"). כיום אין עדיין מועדון בישראל
• כתיבת השאלות למבחן ניתן לשלוח בקשה במייל. במידה ותבחרו לכתוב שאלות למבחן, תקבלו זכאות לעוד CPE’s
• ביצוע פעילויות התנדבותיות – מזכות ב-CPE’s בהתאם לכמות השעות של הפעילויות
• ועוד הרבה דרכים לקבל CPE’s

בדיקת CPEs ומדיניות בקרה

דיווח ה-CPE’s מתבצע באופן אישי במערכת הדיווח של ISC2 (קבלת שם משתמש + סיסמא לאחר קבלת ההסמכה).

לאחר דיווח הפעילות, יתכן ותקבלו ביקורת (Audit) ואז תאלצו להוכיח את ביצוע הפעילות בכתב.

כל מוסמך מחויב לשמור הוכחות בכתב עד 12 חודשים לאחר סיום המחזור (ובמילים פשוטות, עליכם לשמור את הוכחות 4 שנים).

הערה חשובה: לא יהיו וויכוחים במידה ולא תצליחו להוכיח את ביצוע הפעילויות … התוצאה לא תהיה חיובית עבורכם. שמרו גיבוי של ההוכחות (מייל בענן או אחר).

בקשר לעמידה בקוד האתי:

כל סטייה מהקוד האתי יחשב בסיבה לביטול ההסמכה.

לדוגמא: במידה ותחליטו לעזור מישהו בתהליך ה-ENDORSEMENT ולא תבצעו את התהליך בהתאם להנחיות של ISC2, תתכן פתיחת הליך משמעתי על ידי ISC2.

לסיכום

למרות התחושה שתחזוקת ההסמכה הינו תהליך מורכב, ניתן לשמור על ההסמכה בצורה פשוטה וזולה.

לדוגמא: אם מופיעים בכנס פעם בחודשיים (8 שעות), אנו עומדים בדרישות מדיניות צבירת ה-CPE's (כנס פעם בחודשיים = 8 * 6 = 48 CPE's בשנה = 144 CPE's במחזור).

מאגרי מידע ללימוד עצמי (ולרוב חינם) :

כתיבת שאלות למבחן

ניתן לקבל CPE's (עד 21) תמורת כתיבת שאלות למבחן. רצ"ב ההודעה הרשמית של ISC2:

If you’re an (ISC)² member and want to participate in exam development, please email examdevelopment@isc2.org with your (ISC)² ID #. If you are selected and complete a workshop, you’ll earn up to 21 CPEs, plus you will have travel expenses paid

Podcasts

http://www.pauldotcom.com/

http://securityweekly.com/

https://www.grc.com/securitynow.htm

http://podcast.wh1t3rabbit.net/dtr-episode-105-newscast-for-august-11-2014

מאמר ריכוז Podcats של אתר ITWorld.com

Webinars:

https://www.brighttalk.com/webcasts (מעולה, מתעדכן בתדירות שבועית)

https://www.beyondtrust.com/resources/education (מעולה, מתעדכן בתדירות שבועית)

http://www.bankinfosecurity.com/

https://www.isc2.org/thinktank/Default.aspx

קורסים מלאים:

Coursera – פלטפורמה ללימוד חינם (קורסים אקדמיים איכותיים)

Cybrary – פרויקט המבוסס על קורסים חינמים ופתוחים בתחומים טכניים, אבטחת מידע והכנה להסמכות

קורס Designing and Executing Information Security Strategies של University of Washington (כ-40 CPE's)

קורס קריפטוגרפיה של University of Maryland (כ-30 CPE's):

קורס קריפטוגרפיה נוסף של Stanford (קיים קורס המשך ברמה מתקדם)

CodeAcademy – פלטפורמה ללימוד חינם של שפות פיתוח כגון Python, Ruby, PHP, JQuery ועוד. מומלץ

Microsoft Virtual Academy – בית ספר של חברת מייקרוסופט – מקוון רחב מאוד של קורסים חינמיים

TEXAS A&M ENGINEERING EXTENSION SERVICE (TEEX)

Information Security for Everyone   (כ-10 CPE's)

Digital Forensics  (כ-5 CPE's)

edX

Introduction to Linux (כ-40 CPE's)

Artificial Intelligence (כ-150 CPE's)

קישורים למקורות מידע נוספים :

https://www.isc2.org/-/media/ISC2/Certifications/CPE/CPE—Handbook.ashx

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

בכתבה הקודמת, סקרנו את תהליך הלימוד. הגיע הזמן להתחיל להתכונן למבחן עצמו (למבנה שלו).

יתכן וכבר קבעתם מועד (ואם לא, גשו לאתר הרישום כאן). אתם מרגישים שאתם שולטים בחומר אבל לא ברור לכם אם יש עוד מה ללמוד (לשפר ולדייק אולי אבל לא ללמוד מושגים חדשים).

בכתבה זו, נתמקד בתקופה שבין סיום לימוד החומר לבין מועד המבחן. חשוב להבחין בין החומר לבין מסגרת המבחן.

עדכון אחרון לכתבה : 03/08/19 (עדכון טיפים)

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

סוד ההצלחה : תרגול, תרגול ועוד תרגול

המבחן מכיל בין 100 ל-150 שאלות (כמות משתנה בגלל השיטה האדפטיבית) וצריך לענות עליהם תוך 3 שעות. מדובר במרתון פסיכולוגי מעייף כי לא פשוט לשבת כל כך הרבה זמן בריכוז מלא (אם זה עוזר להירגע, תזכרו שפעם המבחן היה מתקיים ב-6 שעות ובכתב…). רוב השאלות מורכבות גם למי ששולט בחומר. הדרך הטובה לעבור את המכשולים היא להתכונן "לאופי" המבחן ולהפחית את הלחץ ככל שניתן.

שימו לב: מדובר במבחן אדפטיבי ולכן במידה והתשובות שלכם לא טובות לאורך המבחן ושאין לכם "סיכוי" לסיים בהצלחה, המבחן יסתיים לפני סף ה-100 השאלות המינימאליות (כולם נבחנים על לפחות 75 שאלות).

בכתבה השניה בסדרה (חלק ב' תכנון לוח זמנים), הצגתי את התכנון שלי ואפשר לראות שהשבועיים האחרונים הוקדשו לחזרות ולתרגול. אציין שתיאמתי שבוע חופש מהעבודה לפני המבחן וזה מאוד עזר כדי ללמוד "בשקט" (אם לא אפשרי לפנות שבוע, כדאי לפחות לקבוע יום או יומיים).

התחלתי את החזרות עם שתי סימולציות של 100 שאלות (כל אחת) ביום. לאחר מכן, עליתי ל-200 ול-250 שאלות. מדדתי זמן לכל הסימולציות.

שימו לב : הנקודה החשובה היא לא לסיים את הסימולציה בזמן (בדרך כלל הייתי מסיים 100 שאלות תוך 50 דקות) אלה להתרגל לאופי המבחן (לשמור על הריכוז לאורך הזמן, לנסות לפתור מקסימום שאלות במינימום זמן, לא לבזבז זמן על השאלות הקשות ועוד).

המשימה הקשה והמתישה היא לא הסימולציה עצמה אלה לעבור לאחר מכן על השאלות שוב ולנסות להבין למה התשובה נכונה או שגויה . תהליך זה יאפשר מיקוד בחומר הבעייתי וחיזוק הביטחון העצמי. חזרתי פרטנית על 70/80% מהשאלות (דילגתי על השאלות הקלות).

 האם אני מוכן ?

שאלת מיליון הדולר (או מאות הדולרים ליותר דיוק כי זה מה שיעלה לכם רישום למבחן חוזר – לכל מבחן יש דמי רישום של 699$). מקובל להגדיר את רמת המוכנות בהתאם לתוצאות בסימולאציות.

המספרים מאוד יחסיים וזאת משתי סיבות :

1) כל מערכת סימולציה בעלת רמת קושי שונה. מומלץ להשוות מה שניתן להשוות, אם קיבלתם 80% הצלחה בסימולציות AIO (של Shon Harris) או 75% הצלחה במבחני CCCure.org, אתם מוכנים. לגבי הסימולציות של המכללות, תתייעצו עם המרצה אם יש לכם (או שלחו לי הודעה פרטית).

2) מכוון שסך השאלות לתרגול מוגבל, יש סבירות גבוהה שתעברו שוב ושוב על אותן השאלות ותענו בצורה אוטומטית כי אתם מכירים כבר את התשובה (לא תמיד במודע).

קשה לי לאמין שניתן לעבור את המבחן בלי לתרגל 1000/1500 שאלות מינימום (אישית תרגלתי מעל 2000).

אני ממליץ בחום להוריד מהרשת מסמכי CRAMS שונים (מסמכים שמרכזים את המושגים החשובים) ולבדוק שאתם מכירים אותם. ניתן לגשת לכמה דוגמאות בדף ה-Сheat Sheet בבלוג שלי.

אסטרטגיה :

יש שיטות שונות להתמודד עם השאלות, לא משנה כל כך מהי השיטה שתבחרו, העיקר שתקבעו אסטרטגיה ותעמדו בה. אסטרטגיה ברורה גם תעלה את רמת הביטחון העצמי.

להלן חוקי הברזל שהגדרתי לעצמי (על סמך ניסיון של האחרים ועל סמך הניסויים בסימולציות) :

1) תמיד לקרוא את השאלות פעמיים ולהדגיש מילות מפתח : לשים לב למילות המפתח של השאלה כגון NOT, NEVER, BEST, ALWAYS …

2) לנסות לזהות את התחום (Domain) הקשור לשאלה : מניסיונו, כאשר גיליתם מהו התחום הקשור לשאלה… השאלה הופכת לפחות קשה (וניתן אפילו לסנן חלק מהתשובות).

3) להתחיל לקרוא את התשובות מהסוף אל ההתחלה (קודם לקרוא את התשובה d. , את התשובה c וכו).

4) קודם כל, לסמן את התשובות הלא נכונות : אישית, הפכתי את השאלות (תשאלו את עצמכם את השאלה בצורה הפוכה).

5) במידה ולא מצאתם את התשובה מיד (תוך 20-30 שניות), לסמן את השאלה לטיפול בסוף – יתכן והתשובה תהיה ברורה בקריאה השניה

ואת החוק החשוב ביותר … לאור שינוי אופי המבחן בדצמבר 2017, לא ניתן יותר לסמן שאלות ולחזור אליהן מאוחר יותר.

6) לאחר סימון תשובה, אין לשנות דעה – הניסיון מלמד שהאינסטיקנט הראשוני שלכם בדרך כלל נכון. יש סבירות גבוהה ששינוי יביא לטעות (שלא לדבר על בזבוז בזמן) …

אין הבדל בניקוד בין תשובה שגויה לבין שאלה שלא נענתה. חשוב לוודא שאתם עונים על כל השאלות כי גם אם אתם לא מכירים את התשובה, יש לכם סבירות של 25% לענות נכון (יותר טוב מכלום).

דבר נוסף, קיים מחקר שמקשר בין עולם המבחנים לבין עולם הסטטיסטיקה. ממליץ לקרוא כי מאוד מעניין (אם כי, לא מומלץ לבסס את הלימוד על השיטה 🙂 ).

טיפים של הרגע האחרון

הערה חשובה: לאור שינוי אופי המבחן (מעבר למבחן אדפטיבי), חלק מהמלצות של סעיף זה אינו רלוונטי יותר.

הרבה מבקשים "טיפ אחרון" בערב המבחן : קבלו שניים 🙂

  • קודם כל, תרגעו ! לא בדיוק מפתיע אבל כל כך נכון. 24 שעות לפני המבחן, אל תתעסקו בחומר. תנסו להירגע, לכו לים, לשחק כדורסל או צאו לסרט. תנסו לישון טוב ביומיים האחרונים ותקפידו על אוכל קליל. לא דברים גדולים … אבל זה עוזר
  • ניהול הזמן : עוד לפני יום המבחן, תנסו לקבוע שיטה "לניהול זמן" ברורה ותעמדו בה. עוד משהו קטן שיעלה לכם את הביטחון העצמי.

כמובן, מומלץ לצאת להפסקה לפחות פעם אחת.

אישית, חילקתי את המבחן ל-5 חלקים :

חלק 1 (שעה) -> 100 השאלות הראשונות – לענות על מקסימום שאלות במינימום זמן. להשאיר את השאלות הקשות בצד

חלק 2 (שעה) -> 100 השאלות הבאות – כנ"ל

חלק 3 (חצי שעה) -> 50 השאלות האחרונות- כנ"ל

חלק 4 (שעה-שעה וחצי) -> להתקמד בשאלות הקשות שהשארתם בצד

חלק 5 (שעה) -> סיבוב אחרון על השאלות שסומנו

אישית, יצאתי שלוש פעמים להפסקת קצרות. שימו לב : הגדרתי מראש יותר זמן מהנדרש וזכיתי בזמן "ספייר" שהרגיע אותי. אנשים שמתחילים לענות ישיר על 250 שאלות לא תמיד מסוגלים לנהל את הזמן בצורה ריאלית. לחלק את המבחן לחלקים קטנים מקטין את הסיכוי שיחסר לכם זמן בסוף.

מה להביא ביום המבחן ?

שבועיים לפני המבחן שלי, החלטתי לעשות Shopping מיוחד. לא חייבים לקנות הכל מחדש אבל להלן רשימה של פריטים שמומלץ להביא ביום הדין (חלקם חובה) :

  1. מכתב ההזמנה מודפס : שלא לא תעיזו לשכוח !
  2. דרכון (או ת"ז) + מסמך מזהה נוסף (רישיון נהיגה לדוגמא)
  3. ז'אקט/מעיל קל (למקרה של מתקפת מזגנים)
  4. מילון (שתי שפות) : ללא ציורים והסברים, רק תרגום מילה במילה. אישית, אני ממליץ להביא לפחות שני סוגים כי מרכז המבחן יכול לפסול כל סוג כלא מתאים (אין רשימת מילונים מורשים, ההחלטה סובייקטיבית לחלוטין ואתם לא רוצים להתחיל להתווכח ביום המבחן)
    בעבר היה מותר להצטייד במילון שתי שפות, כיום חל איסור להביא.
  5. אין צורך להביא אטמי אוזניים : ניתן לקבל אוזניות במקום
  6. Crams מודפסים. ניתן לעבור על החומר בקלילות עד לתחילת המבחן
  7. נישנושים "חכמים" : כל אחד בהתאם לבטן שלו. אם זאת, תשתדלו לא להביא דברים "מלכלכים" (קוביות שוקולד לדוגמא). מומלץ להביא חטיפי אנרגיה
  8. שתיה – תביאו בקבוק מים

רגע האמת :

המבחן מתקיים בכיתות מחשוב במרכז PEARSON הנמצא רמת גן (דרך בן גוריון 2, קומה 9 – קישור למפה), צריך להגיע מוקדם (מינימום חצי שעה לפני תחילת המבחן, עדיף להקדים עוד קצת), אני ממליץ "לסייר" מראש כדי להימנע מטעות של הרגע האחרון.

טיפ קטן למאחרים קרוניים: כדאי להגיע מוקדם בגלל שלוקח זמן לבצע רישום ובדיקות כניסה לכיתה (כולל רישום ביומטרי). למבחן אחר הגעתי בסביבות 07:20 והספקתי להיות הראשון בכיתה (איפשרו לי להתחיל את הבחינה לפני השעה שהופיעה בהזמנה). תזכרו שיש הרבה נבחנים (ולכן הרבה תהליכי רישום) כל יום.

טיפ קטן למגיעים ברכב: מומלץ לחנות בחניון של קניון איילון (קרוב לרחוב בן גוריון). לא לשכוח להפעיל פנגו (יש לסמן "רמת גן – סובב איצטדיון ר"ג B).

תדעו שיש שני בתי קפה צמודים לבניין הבחינה (למקרה שהקדמתם יותר מדי).

בתקופתי, המבחן היה PBT (מבוסס כתיבה על נייר) אבל היום המבחן הינו ממוחשב (Computer Based Test – CBT).

תוצאת המבחן תתקבל מייד עם סיומו.

במידה ועברתם -> מזל טוב, אפשר לחזור הביתה ולהתחיל את תהליך ה-ENDORSEMENT (הסבר מפורט בכתבה הבאה) תוך מספר ימים (כאשר תקבלו אישור במייל מ-ISC2). אגב, בניגוד לארגונים אחרים (כמו ISACA), אין ציונים. אצל ISC2, כל העוברים או הנכשלים שווים.

במידה ונכשלתם -> לא נורא, זה קורה להרבה מועמדים לעבור בפעם השניה (או שלישית). קחו כמה ימים של חופש מהלימודים ותחזרו ללמוד. מועמד שנכשל לא מקבל ציון (בעבר היו מקבלים הנכשלים ציון) אך מקבל הרשימה של התחומים מדורגת לפי הצלחתם במבחן. תחזרו ללמוד ותנו דגש על התחומים החלשים.

לכולם -> תאספו את הציוד שלכם, סעו למקום רגוע (הים מקום נהדר), נשנשו משהו וחזרו הביתה לנוח (לאחר המבחן אתם תהיו מרוקנים נפשית ורק מנוחה יכולה לעזור).

לסיכום

בכתבה זו, עברנו על הכנות של הרגע האחרון. לצערינו, אין תחליף לתרגול אבל מילת המפתח של הכתבה היא "ביטחון עצמי" : תנסו לשפר אותה ככל האפשר לפני המבחן וכך תוכלו להתמקד בשאלות ובחומר הלימוד. ניתן לעשות דברים קטנים כדי לרוויח בגדול.

בכתבה הבאה, נעבר על תהליך ה-ENDORSEMENT הנדרש כדי לקבל את ההסמכה.

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

בכתבות הקודמות אספנו חומרים, למדנו על ההסמכה עצמה ותכננו את לוח הזמנים.

הגיע הזמן לשבת וללמוד. אין סוד להצלחה במבחן : כדי לעבור חייבים לשבת וללמוד את החומר, ולא משנה מה היא מסגרת הלימודים (עצמאי, קבוצה, קורס, סדנה,  CBT וכו).

בכתבה זו, אפרט את ההמלצות שלי ללימוד אפקטיבי.

עדכון אחרון לכתבה : 21/11/17 (עדכון קישור מילון מונחים)

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

השלב הקשה ביותר : להתחיל

ההורים שלי לימדו אותי שבחיים אין מתנות חינם ושהפחד לא מוריד את הסכנה.

אני חייב לצוטט את הקטע המפורסם של הסרט "מבצע סבתא" :

סרג'יו: "הנכד שלי כבר חודש לא יורד את השתי דקות ב־100 מטר."

קרמבו: "יש רק דרך אחת לשחות 100 מטר."

סרג'יו: "קרמבו, תן איזה טיפ של אלופים."

קרמבו: "אתה מתחיל הכי מהר שלך, ולאט לאט אתה מגביר."

אין דרך אחרת להגיד : תתחילו ללמוד ואל תחפשו תירוצים. תעמדו בלוח הזמנים שקבעתם (הרבה אנשים טובים ויתרו על המבחן כי איבדו את התכנון בדרך).

מאיפה להתחיל ?

לפני הכל, קחו את הזמן לשמוע את ההרצאה של Clement Dupuis שעובר בגדול על כל התחומים ועל המבחן עצמו (המצגת לא כל כך חדשה אבל עדיין מאוד רלוונטית).

אני ממליץ להתחיל עם הפרקים הקשים.

למה קודם הפרקים הקשים ? כי ככל שהזמן חולף ומתקרבים למועד המבחן, עדיף פחות "להתאמץ" בהבנה ויותר בחזרות ותרגולים. בנוסף, אם תתחילו עם הנושאים הקשים, יהיה לכם יותר זמן לעבור שוב ושוב עליהם כדי להבין, להפנים ולזכור.

מהם הפרקים הקשים ? הזכרתי בכתבה השניה של הסדרה שחלק מהתחומים חשובים יותר מאחרים במבחן עצמו (משקל ההתחום גבוה יותר). אם חלק מהם חדשים לחלוטין למועמד … רמת הקושי עולה ושם צריך להתחיל. באופן ככלי, מקובל להגדיר את הנושאים הבאים כקשים גם בגלל המורכבות ו/או היקף החומר : Cryptography, Software Development Security, Telecommunications and Network Security.

שימו לב : רמת הקושי של כל תחום משתנה בהתאם לרקע של המועמד.

אם אתם לומדים במסגרת כלשהי (קורס, קבוצת לימוד, סדנא …) : מומלץ מאוד ללמוד בהתאם לנושאים הנלמדים בזמן אמת.

אני לא מבין את החומר, מה עושים ?

לא להבין מושגים הינה תופעה ידועה וטבעית. לא צריך להלחץ.

אם אתם לומדים במסגרת כלשהי (קורס, סדנא, קבוצה), תתייעצו עם אחרים/מרצה.

אם אתם לומדים לבד : תקראו מספר פעמים את החומר, תנסו למצוא הסברים מקבילים (Google, Wikipedia …) ובסוף תבקשו עזרה בפורומים מקצועים (אישית אני ממליץ על קבוצות לימוד בלינקדין כאן או כאן).

מומלץ לבנות "מילון מונחים" אישי ו/או לנצל עבודות שפורסמו ברשת (כאן קישור ל-CISSP Study Guide & Acronyms).

אני מבין אבל אני לא זוכר, מה עושים ?

זאת אחת הבעיות הגדולות בלימוד החומר. איך לזכור את החומר בצורה נכונה (לא מספיק לדעת את החומר, צריך גם לזכור את הסדר ופרטים קטנים נוספים) ?

חייבים לעבור על החומר שוב ושוב אבל יש קיצורי דרך. אפשר להשתמש בשיטות "ממו טכניות".

דוגמא א' : מודל OSI

אני עובד בתחום התשתיות כבר מספר שנים ואני מכיר את מודל השכבות OSI אבל עד המבחן לא הייתי מסוגל לזכור את הסדר של השכבות בעל פה.

אחת השיטות היא לזכור את המשפט "All People Seem To Need Data Processing" ואתם זוכים את הסדר לפי האות הראשונה של כל מילה.

A – Application
P – Presentation
S – Session
T – Transport
N – Network
D – Data Link
P – Physical

דוגמא ב' : שיטות כיבוי אש

מי זוכר את סוגי האש (A,B,C,D) ? תזכרו רק את שם הפרטי של Clement Dupuis (של המצגת) וקל יותר לזכור את סוגי האש והמקור שלהם.

CLEMent

A = C – Common Combustible
B = L – Liquid Fire
C = E – Electric Fire
D = M – Methals

לסיכום

מומלץ לעבור על כל תחום בנפרד, להתחיל עם התחומים הקשים להבנה (יהיה לכם יותר זמן לחזור על החומר ולתרגל). כדאי לקרוא כל פרק לפחות פעמיים, לרשום הערות ולתרגל הרבה.

אם תעמדו בלוח הזמנים שקבעתם, אתם תספיקו את כל החומר ותוכלו לחזור על הנושאים החשובים. שוב אני מזכיר, מילת המפתח היא "תרגול".

בכתבה הבאה, נדבר על התקופה שלפני המבחן.

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

בכתבה הראשונה, הבנו מהי הסמכת ה-CISSP ואספנו חומרים לקראת תחילת תהליך הלימוד. הפעם אנסה להסביר למה ואיך לתכנן את הזמן בצורה יעילה כדי לעמוד ביעד (המבחן כמובן).

כמו שהסברתי בעבר, המבחן בוחן את המועמד בשמונה תחומים שונים. חשוב להבין שרמת ההשקעה בכל אחד מהתחומים שונה והיא אפילו מתשתנה בין מועמד ולמועמד (בהתאם לרקע של המועמד).

בכתבה זו, נעבור על תהליך תכנון לוח הזמנים של הלימודים לקראת המבחן.

עדכון אחרון לכתבה : 21/11/17 – עדכון אופי המבחן (CAT)

 

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

 

למה צריך לתכנן מראש ?

כפי שציינתי בתחילת הכתבה, חשוב להבין שנדרשת השקעה בכל אחד מהתחומים. ישנם תחומים גדולים מבחינת כמות החומר, ישנם תחומים קשים ללימוד בגלל איכות החומר וישנם אפילו תחומים קלים וקצרים יחסית. כמו כן, המבחן אינו שיוויוני וניתן לזהות תחומים חשובים יותר וחשובים פחות מבחינת כמות השאלות ומבחינת איכות השאלות (רמת קושי וחישוב הציון).

מכאן, ניתן לנהל את הסיכונים שלנו (ידע מושלם של 100% של כל החומר אינו מעשי) ולהשקיע יותר זמן ותרגול בתחומים החשובים שביניהם.

כמה זמן לוקח למועמד לסיים ללמוד תחום מסויים ? אין תשובה חד משמעית לשאלה. ברור שאם המועמד עובד בתחום של קריפטוגרפיה יהיה לו מאוד פשוט ללמוד את התחום למבחן.

 

כמה זמן ללמוד ?

שאלה מאוד אישית, התשובה העיקר תלויה בשלושה פרמטרים : מה הידע של המועמד (רקע), כמה הוא יכול לשקיע (יש הבדל בין 4 שעות בשבוע לבין 4 שעות ביום) ורמת המשמעת העצמית של המועמד.

פרסמתי בעבר סקר קטן בקבוצה הרשמית של מוסמכי CISSP ברשת Linkedin כדי לנסות להבין כמה זמן בממוצע מומעד השקיע להכנת המבחן. להלן התוצאות לאחר שמונה ימים (חשוב לציין שהמדגם אינו מייצג, מדובר בפחות מ-150 אנשים) :

 

אפשר לראות שמעל 50% מהנשאלים מדווחים על תקופת הכנה של לפחות שלושה חודשים. אין ספק שלתכנן לו"ז מראש לשלושה, שישה או עשרה חודשים הינה משימה מורכבת מכוון שאנשים עובדים (לפעמים יש לחץ בעבודה), חיים במסגרת (זוגיות, ילדים, חברים) ולא תמיד מכירים את כל הפקטורים (בלת"מים כגון מילואים, הריון ועוד).

אישית, למדתי בערך חמישה חודשים בצורה יחסית אינטסיבית (בין שעתיים לארבע שעות בערב ברוב ימי השבוע + 8 שעות בשישי/שבת).

כדי להיות מסוגלים לדעת כמה זמן אתם צריכים, אני מציע לקחת אחד מספרי הלימוד (ראו רשימה בכתבה הראשונה) ולעבור עליו באופן כללי. בנוסף, מומלץ לעשות סימולציה כדי להבין מהם התחומים החלשים שלכם ומהו היקף הלימודים הנדרש בכל אחד מהתחומים.

 

מה ללמוד ?

האם השאלות במבחן מחולקות בצורה שווה בין כל שמונת התחומים ? לא, מדובר במבחן אדפטיבי ולכן רמת הקושי תלוי בתשובות של המועמד.

האם ישנם תחומים שניתן לוותר עליהם ? בגדול, כן. ניתן לוותר (בצורה חלקית) על תחומים מסויימים (דעה אישית בלבד).

האם ישנם תחומים שאסור לוותר עליהם ? בהחלט!

מה הדירוג של התחומים לפי חשיבותם ? זאת שאלה שתלויה בחשיבות התחומים במבחן. ארגון ISC פרסם לראשונה את המשקל היחסי של כל תחום לימוד (Domain) במבחן.

חשוב לציין שלאחר צמצום כמות תחומי הלימוד (מעשרה לשמונה באפריל 2015), קשה יותר לזהות תחומים "מיותרים".

אני ממליץ לגלוש בפורומים ואתרים השונים (ראו קישורים בכתבה הראשונה), ישנם וויכוחים לגבי מהם התחומים החשובים ביותר.

 

פקטורים נוספים ?

אם לאחר שבוע/שבועיים נכנסתם לחומר ויש לכם צפי כללי מצבכם מעולה. חשוב להתאים את הצפי למציאות ככל האפשר. תתייחסו לפקטורים הבאים.

העבודה : אם החלטתם ללמוד כל יום שעתיים לאחר סיום יום העבודה, חשוב לוודא שלא מתוכננים פרוייקטים חשובים ורגישים בחודשים הקרובים (לפחות מה שאפשר לחזות). במידה וידוע לכם מראש על לחץ מיוחד בחודשים הקרובים, תדחו את תחילת הלימודים. עדיף להמתין ולשמור על רצף הלימודים. אני גם מציע לנסות לקבל תמיכה מהבוס. הבוס יבין שאתם מנסים להשקיע בעצמכם והוא ירוויח מזה בסוף מבחינה מקצועית. יתכן והוא יהיה יותר סובלני בתקופת הלימודים ובעיקר בתקופת המבחן. למה לא לבקש ממנו עזרה בהכנה ? לפעמים אפשר לקבל עזרה כספית (לקורס הכנה או למבחן עצמו) … שווה לשאול.

הקרובים/המשפחה : לפי דעתי, ללא ספק הפקטור החשוב ביותר. אם אתם חיים בזוגיות, חשוב לדבר עם בן/בת הזוג ולהבין שמדובר בפרויקט משותף. תצרכו הרבה זמן ללמוד וקשה מאוד ללמוד כשבן/בת הזוג לוחץ לצאת לבילוים או לחופשה. כדאי לנסות לתכן תקופה בה תקבלו תמיכה נפשית והבנה. בזמן הלימודים שלי, אשתי אפילו לחצה עליי כמה פעמים כשהיאוש דפק בדלת. אם יש לכם ילדים, כדאי למצוא סידור מראש ברמה השבועית (ערב או שניים בשבוע, סבאים וסתבות יכולים לעזור) ושנתית (מי מטפל בילדים בחופש הגדול ? מתי יוצאים לחופשה ? כמה זמן …). אני שוב אומר וחוזר, מדובר בפקטור הכי חשוב כי בלי תמיכה, זה פשוט לא יקרה.

שיטת הלימוד : מאוד חשוב להבין מהי מסגרת הלימודים. קצב ההתקדמות יהיה שונה אם החלטתם ללמוד דרך קורס הכנה או לבד או בקבוצה קטנה. אישית, נפגשתי פעם בשבוע עם חבר שגם למד למבחן, פתרנו שאלות במהלך שעתיים/שלוש, רשמנו לעצמנו הערות וחזרנו ללמוד כל אחד לבד בבית.

הלחץ/הפחד : קשה להתמודד עם הקושי הפסיכולוגי אבל אפשר להשפיע עליו ולנסות לנצל אותו לטובת המטרה. כל אחד יכול להמציא את השיטה שלו, אני אפרט את השיטה שלי. קודם כל תכנון יום המבחן : החלטתי להיבחן באפריל וזה הפך לתאריך יעד. הרבה יותר קל להחליט כמה זמן לשקיע בסה"כ ובכל תחום כשיש תאריך יעד. דבר נוסף, דיווחתי על המטרה שלי (לעבור טת המבחן) לאנשים הקרובים אליי (חברים מהעבודה, בוס, משפחה קרובה, חברים קרובים). מהרגע שהצהרתי על הכוונות שלי, שאלו אותי איך מתקדמים הלימודים … סוג של לחץ שדחף אותי להמשיך ללמוד במיוחד כשרציתי להפסיק.

 

לו"ז סופי :

הגיע הזמן לדבר על מספרים. כדאי לרשום את הלו"ז ולוודא שאתם עומדים בתכנון כל שבוע.

אציג לכם את לוח הזמנים שלי לחודשים האחרוניים (שימו לבשמות הדומיינים עודכנו ב-2015 אבל זה לא כל כך משנה בכל הקשר לבנית לו"ז – יש לעדכן שמות דומיינים בהתאם לשינוי של 2015) :

 

לסיכום :

קביעת לוח זמנים הינה פעולה קריטית בפרויקט ארוך כמו הכנה למבחן ה-CISSP. חשוב להבין שחשיבה נכונה בשלב זה תגרום להצלחה או לכישלון במבחן.

בכתבה הבאה, נעבור על תקופת הלימוד עצמה.

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

שלום לכולם, בחודשים האחרונים עבדתי קשה מאוד כדי לעבור את מבחן ה-CISSP של ארגון ISC2.

בשעה טובה עברתי את המבחן בהצלחה ואני רוצה לשתף אותכם בטיפים שאולי יעזרו לכם להתכונן "לגיהנום" (שם הקוד של המבחן).

במהלך השנים, עברתי הסמכות רבות אבל ההסמכה הזו הינה הקשה ביותר בעיניי. נאלצתי ללמוד חודשים רבים כדי להיות מוכן ביום המבחן.

זאת הכתבה הראשונה בסדרה של כתבות שתעזור (אני מקווה) למועמדים הפוטנציאלים.

בכתבה זו אתמקד בהתארגנות הנדרשת עוד לפני תחילת לימוד החומר.

עדכון אחרון לכתבה : 26/09/20 (עדכון תכנים המתוכנן ב-05/21)

שימו לב: בדצמבר 2017 בוצע שינוי משמעותי לאופי המבחן. סדרת המאמרים מעודכנת בהתאם לשינוי.

סדרה של כתבות – מדריך למועמד להסמכת CISSP :

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)

הדרך הארוכה להסמכת ה-CISSP – חלק ב' (תכנון לוח זמנים)

הדרך הארוכה להסמכת ה-CISSP – חלק ג' (הלימוד)

הדרך הארוכה להסמכת ה-CISSP – חלק ד' (לקראת המבחן)

הדרך הארוכה להסמכת ה-CISSP – חלק ה' (Endorsement)

הדרך הארוכה להסמכת ה-CISSP – חלק ו' (תחזוקת ההסמכה)

מהי הסמכת ה-CISSP ? למה צריך אותה ?

פירושם של ראשי התיבות : Certified Information Systems Security Professional. מדובר בהסמכה בתחום אבטחת המידע הידועה ביותר בעולם (וגם בארץ).

כאן תמצאו את המאמר של Wikipedia על ההסמכה.

מכיוון שמדובר בהסמכה נייטרלית (לא קשורה לאף יצרן) ושהיא קשה להשגה, אין ספק שלהחזיק אותה מהווה סוג של תעודת ביטוח עבור העולם (לבעל ההסמכה יש ניסיון וידע בתחום).

כל מי שרוצה להתקדם בתחום אבטחת המידע חייב לפחות לשקול לגשת למבחן בשלב כזה או אחר (הרבה מומחים בתחום מחזיקים בהסמכה).

אישית קיבלתי את החלטה בגלל האתגר, רציתי לדעת האם אני יכול לעבור את המבחן דרך לימוד עצמאי (ללא קורס), רק על בסיס ידע, ניסיון והכנה רצינית.

מטרת הכתבה היא לא להסביר מהי ההסמכה, לכן אני מעדיף להפנות אותכם למאמרים שמסבירים בצורה טובה מהי ההסמכה ומשמעותה : כאן דף ההסכמה של מכללת See-Security (חומר פרסומי אבל מידע מעניין).

שימו לב: באפריל 2015 ארגון ISC2 ביצע עדכון כללי לתכני המבחן. לא מדובר בשינויים גדולים אך יש להתייחס בהתאם. לדוגמא: תחומי הלימוד (Domains) צומצמו מ-10 ל-8.

בדצמבר 2017 בוצע שינוי שיטת המבחן (מעבר למבחן אדפטיבי "CAT") – המבחן יצטמצם ל-100 עד 150 שאלות ולשלוש שעות.

במאי 2021 מתוכנן עדכון קליל לתכנים. השינויים יפורטו בחודשים הקרובים.

מהן דרישות ההסמכה ?

צריך להבחין בין ההסמכה לבין המבחן. הצלחה במבחן היא רק חלק מדרישות קבלת ההסמכה.

כדי לקבל את ההסמכה, יש לעמוד בכל תנאי הסף שהוגדרו על ידי ארגון ISC2.

ניסיון : נדרשות חמש שנות עבודה מלאות בשניים משמונת תחומי המבחן. ניתן לגשת למבחן בלי לעמוד בתנאי זה אבל במקרה של הצלחה, המועמד יאלץ להמתין עד לצבירת הניסיון הנדרש (סטטוס של "ISC2 Associate"). מחזיקי הסמכות מוכרות בתחום יכולים לקבל הקלה של שנה בדרישת הניסיון אם ההסמכה שלהם מוכרת ע"י ISC2 (קישור לרשימה של ההסמכות המוכרות).

מבחן : קשה,קשה ויקר (ראו תמחור מדויק בסוף הכתבה). המבחן ללא ספק הקשה ביותר שעברתי בחיים. שלוש שעות, בין 100 ל-150 שאלות אמריקאיות (מבחן אדפטיבי) … כמעט כולן מבלבלות. הדרישה היא לענות לכל שאלה עם התשובה הנכונה ביותר (יתכנו כמה תשובות נכונות … יש רק אחת שהיא הנכונה ביותר). חייבים לקבל 700 נקודות מתוך 1000 כדי לעבור (יש רמת קושי שונה לשאלות מכוון שהמבחן אדפטיבי).

שימו לב: בדצמבר 2017, המבחן עבר שינוי והפך להיות אדפטיבי. המאמר מתייחס לשינוי אך יתכן וחלק מהקישורים מתייחסים "למבחן של פעם" – ראו את הקישור לאתר של ISC2 לקבלת פרטים על הנושא.

Endorsement : לאחר הצלחה במבחן, נדרש המועמד לבצע תהליך ממוכן ולהחתים Endorser – מישהו בעל ההסמכה בתוקף ("in good standing").  ה-Endorser מהווה אישור על נכונות דיווחי המועמד, בעיקר לגבי ההצהרות הקשורות לניסיון המקצועי (ה-Endorser שלי יצר קשר עם הבוס כדי לאמת את הנתונים). עדיף לבחור במישהו שמכיר את המועמד.

למועמד שלא מכיר אף מוסמך ניתנת האפשרות לבצע את התהליך ישירות מול ארגון ISC2 (הסבר כאן). התהליך יכול לקחת עד שישה שבועות.

חתימה על הקוד האתי של ISC2 : נדרשת הסכמה של המועמד לעמוד בקוד האתי של הארגון (פירוט באתר של ISC2).

טיפ קטן : כדאי להכיר אותו טוב מכיוון שחלק קטן מהשאלות במבחן מתייחסות ישירות לקוד האתי.

Audit (בחירה אקראית של חלק מהמועדמים) : לא מתקיים תמיד אבל יתכן והמועמד ייבחר לבדיקה נוספת של נתוני הרקע שלו, כגון ניסיון והצהרות אחרות (בדומה ל-Endorsement).

איך מתכוננים למבחן ?

פשוט מאוד, יש שתי דרכים להתכונן למבחן.

להרשם לקורס או לסדנת הכנה :

בארץ ישנן מספר מכללות שמתמחות בהכנה למבחן ה-CISSP. אישית אני ממליץ על מכללת SEE-SECURITY, הנציגה הרשמית של ISC2 בישראל (בעבר ניהלתי את הקורס וכיום אני עדיין מרצה אורח במסלול).

קיימות מכללות נוספות שמכינות מועמדים למבחן. בין השאר חשוב להזכיר את מכללת Titans ואת המרכז ללימודי חוץ של הטכניון. שתי מכללות שעוסקות בהסמכה שנים רבות.

חשוב לציין שניתן ללמוד בקורסים ברשת (יקר מאוד יחסית ורק באנגלית כמובן) : אזכיר את הקורסים של SANS ושל ISC2.

ללמוד לבד :

כן, כן … יש משוגעים כמוני שעושים את ההכנה לבד, על בסיס ספרים, גלישה ברשת (Google הוא חבר) ופגישות לימוד (אם אתם מכירים עוד משוגעים). זאת הדרך הקשה אבל אם עוברים, התענוג והשמחה גדולים בהרבה מאשר מי שלמד בקורס 🙂

נדרשת משמעת עצמית ברמה גבוהה מכוון שההכנה פרוסה על גבי חודשים (במקרה הטוב).

המטרה הראשית של סדרת המאמרים היא לספק את הכלים הבסיסיים למועמד שיחליט להתכונן לבד.

איפה מוצאים חומר לימוד ?

כדאי להתחיל את המסע באיסוף חומר הלימוד. במידה והמועמד לומד דרך מכללה, יש סיכוי טוב שהוא יקבל ספרים וחומרים במסגרת הקורס.

במידה ולא, צריך להתחיל להתארגן לבד …

ספר הלימוד :

זהו הבסיס. לא ניתן לתכנן את המבחן בלי ספר אחד לפחות שמרכז את עשרת תחומי הלימוד, טיפים והסברים.

בזמנו, גלשתי ברשת ומצאתי שלושה ספרים שמוכרים כמצטיינים בנושא.

"התנ"ך" הרשמי של ISC2 – "ה-CBK" – מאוד מקיף אבל לא נוח לקריאה . הגרסה החמישית פורסמה ב-2018/19 גם בגרסת ספר קשיחה וגם בגרסאות דיגיטאליות (כ-40$/70$).

CISSP AIO של הגורו האמריקאי Shon Harris  (ז"ל) – תענוג! (כ-30$ יד שניה) שון האריס הדהימה בכתיבה שלה. אפשר ללמוד בצורה כיפית אך לצערינו שון נפתרה ב-2014 אבל פורסמה גרסה עדכנית גם מבחינת התכנים וגם מבחינת המבחן האדפטיבי (מהדורה 8). מאוד מומלץ.

Eleventh Hour CISSP, Third Edition: Study Guide של דוקטור Eric Conrad – ספר מעולה. פחות "עמוק" מ-AIO אבל בצד שני יותר ממוקד. מומלץ.

CISSP For Dummies – מעניין וקל לקריאה יחסית (כ-40$/50$) אבל פחות נוח מ-AIO. הגרסה העדכנית הינה השישית (מ-2018)

טיפ קטן : לא לרכוש את הספרים בחנות הרשמית, גשו ל-Ebay, Amazon  ותחסכו עד עשרות דולארים.

 אוסף של שאלות לתירגול :

אחת המשימות המרכזיות בהכנה היא ללמוד להתמודד עם אופי השאלות של ISC2.

אין דרך להתחמק מזה, תשכחו מכל רעיון "יצירתי" כמו למצוא Braindumps ברשת (זה לא מבחן של מייקרוסופט !) ברשת – הם לא קיימים.

Boson ExSim-Max (אתר מסחרי המתמחה בסימולציות למבחנים) – מערכות נהדרת של כ-1000 שאלות. השאלות עדכניות ובעיקר יש פירוט והסבר התשובות (כ-100$). אחת ההשקעות השוות.

CCCure Quizzer (של Сlaude Dupuis) – אתר נהדר עם מאות ואולי אלפי שאלות. חלקן בחינם, חלקן בתשלום (כ-100$ ל-3 חודשים). חלק מהשאלות לא עדכניות אך זהו מקור טוב ללימוד בשל המאגר העצום כמותית.

Skillset.com – אלפי שאלות, שירות בסיסי חינמי. ניתן לבנות מבחנים לפי Domains ורמת קושי. קיימת גרסה מסחרית עם הסברים מפורטים יותר (כ-80$/100$ לחודש לפי סוג מנוי).

Practice Tests App (של ISC2) – גרסה קשיחה או אפליקציה למכשירי IOS ו-Android. הורדת אוסף של שאלות שנכתבו ע"י ISC2. נוח, כולל הסברים, לא יקר (כ-20$ לגרסת Android). מאגר מכובד מאוד (כ-1300 שאלות). מומלץ אם יש תקציב אך לא חובה.

McGraw-Hill Education Practice Exams – חינם, ללא רישום. אפשרות להיבחן לפי Domains, איכותי וקל לשימוש. מספק קבצע MP3 ללימוד נוח בדרכים. מומלץ מאוד

כמה זה עולה ?

קודם כל, המבחן : עלות הרישום הינה גבוהה מאוד. כל רישום עולה 699$ (פעם הייתה הנחה ברישום מוקדם, כבר לא קיימת מאז סוף 2012) – ראו פרסום מאתר ISC2. אם בטעות לא עברתם בפעם הראשונה … יש לשלם שוב  …

קורסים במכללות עולים יקר אבל הם עושים את העבודה ומרכזים את החומר בצורה טובה (חיסכון בשעות חיפוש חומר, לא בשעות לימוד בבית). תתקשרו למכללות כדי לברר את המחיר ואת החומר שהן מספקות לסטודנט. חשוב לציין שקורס מסודר נותן גישה למרצה שתמיד יידע לספק טיפים והסברים מקצועים, ערך מוסף חשוב.

ספרים עולים בין 30$ ל-70$, אישית אני ממליץ שוב לרכוש את AIO של Shon Harris. יש בו כל מה שמועמד צריך לדעת ויותר.

יש מאגרי שאלות בחינם ויש מאגרים שעולים כסף. ממליץ להשקיע בגרסה בתשלום של CCCure Quizzer (כ-100$ ל-3 חודשים). הרבה מאוד שאלות ומעקב צמוד לאורך הלימוד (הצגת אחוזי הצלחה לפי מבחן וסה"כ).

אפשר לרכוש חומרי לימוד בסביבות ה-800$ בסה"כ (כולל הרישום למבחן). זול יחסית …

איך לומדים מאחרים טיפים להצלחה ?

כשהחלטתי לגשת למבחן, התחלתי לחפש ברשת מאמרים, טיפים וסיפורי הצלחה כדי ללמוד איך להתכונן למבחן.

אני משתף אותכם בקישורים שעזרו לי גם מבחינת החומר וגם פסיכולוגית.

Clement's presentation (של Clement Dupuis) – עודכן ינואר 2015, חובה לעבור על ההרצאה. הסבר יפה מאוד על החומר באופן כללי ועל תהליך ההסמכה. שווה גם אם התכנים לא הכי עדכנים.

ריכוז השינויים של המבחן 2015 (של Clement Dupuis) – מידע על השינויים בתחומי הלימוד ומידע על השינויים בתכני הלימוד

טיפים של Kelly Handerhan למבחן – 7 טיפים מעולים כדי להבין מה מצפים מכם בבחינה

25 Questions Answered about the new CISSP CAT Exam Update – שאלות ותשובות על גרסת CAT של המבחן ממכללת Infosec Institute – חובה לקרוא.

Is CISSP Right For Me? (של BrightTalk) – למה בכלל להיבחן ולקבל את ההסמכה

InfosecSpot (של מיטל ברוקס-קמפלר) – בעברית – הרבה טיפים של מיטל. חובה לקרוא.

Shon Harris's presentation – (של שון הריס ז"ל) מ-2014 (לא מעודכן), כ-27 דקות של הסבר כללי על ההסמכה (סרט פרסומי אך סקירה כללית מעניינת של ההסמכה ושל ההכנה אם כי לא עדכני).

Simplilearn presentation – של מכללה בעלת קורס הכנה. קצת משעמם (קול מעצבן) אבל חינם

הצגת השינויים של 2015 (של מכללת INFOSEC INSTITUTE) – מידע מעניין על השינויים של תכומי הלימוד – קריאה חובה

How I prepared my CISSP exam (של Didier Stevens) – מעבר לבלוג הנחמד, סיפור המבחן של Didier Stevens – ישן אבל מעניין.

I passed. Such a relief! (של Roman Zeltser) – מזדהה עם Roman במילה ומילה

CISSP Study Notes (של Andreas Athanasoulias) – קישור למסמכי עזר שכתב Andreas (סגנון CRAMS)

Taking the CISSP Exam – הניסיונות של מועמד (ניסיון כושל וניסיון מוצלח)

Finally.. I passed the CISSP exam. Take2/ – עוד חוויה של מועמד (שעבר בפעם השניה)

CISSP The Easy Way: A 30 Day Plan – הצעה ללו"ז הכנה ב-30 יום

A CISSP study and exam guide – הצעות וקישורים מעניינים. מאתר Peerlyst

קבוצת Facebook של Derek A. Smith – פורום ייעודי בפייסבוק.

וכמובן, חייבים ללמוד מהניסיון של האחרים דרך הפורומים : גשו גם לפורומי CISSP של cccure.org (נדרש רישום חינם), גשו גם לפורום הפעיל מאוד של Techexams.

לסיכום :

בכתבה זו הסברתי איך כדאי להכין את "הקרקע" ללימודים מוצלחים. אני מקווה שעזרתי קצת …

בכתבה הבאה, נדבר על לוחות הזמנים. איך מתכננים נכון את הלימוד.

ולמי שטרם הבין למה הוא צריך את ההסמכה… יש סרטון הסברה… 🙂

GPS SPOOFER : העתיד השחור

הרבה זמן לא פרסמתי אף כתבה ואני מתנצל על כך. לאחרונה אני עסוק בלימודים אבל בקרוב אכתוב כמה מאמרים חדשים.

בינתיים, רציתי לשתף אתכם בהרצאה המדהימה של טוד המפריז (Todd Humphreys) מאוניברסיטת טקסס.

טוד מסביר בצורה פשוטה איך ניתן לנצל לרעה את טכנולוגית ה-GPS הכל כך נפוצה היום (מהשימוש של GPS ברכב ועד לשימוש במטוסים).

שימוש במכשיר שישנה (ולא רק ישבש) את נתוני ה-GPS או GPS Spoofer אפשרי וזמין לכל קונה ברשת.

מומלץ מאוד לראות את כל הסרטון אך אם אין לכם סבלנות, תתחילו מהדקה 07:35.

ההרצאה התקיימה במסגרת תוכנית TEDx בארה"ב.

תהנו ותחילו לפחד 🙂

 

הרצאה של ברוס שנייר ב-BlackHat 2011 (שוב בנושא CyberWar)

בהמשך לפרסום הקודם של הרצאה של ברוס שנייר "מהי מלחמת סייבר (CyberWar) ?" כדאי לכם לראות את ההרצאה החדשה (מתוך כנס BlackHat 2011).

שוב ברוס שנייר מדבר על עקרונות ומושגים של מלחמות סייבר.

תפנו לכם שעה ותהנו 🙂

 

 

 

יום הולדת שמח ללינוקס : עד 100 כמו בגיל 20

לינוקס (Linux) גוגג 20 : מזל טוב לפינגיון.

מי היה מאמין שהמערכת החופשית תשרוד ותתפתח לאורך השנים …

זה התחיל מפרסום של לינוס טורבלדס (Linus Torvalds) באחד הפוסטים הידועים בהיסטוריה של הרשת :

…Hello everybody, out there

תהנו מהסרטון שפורסם ע"י ארגון לינוקס (Linux Foundation).