Tag: CISSP

CISSP: Réussi, et une autre étape complétée

This post was published when this blog was also in French. This post is available in English.

CISSP By (ISC)² [Public domain], via Wikimedia Commons

Terminé. Cet examen de 6 heures avec ses 250 questions est enfin du passé. Eh oui, je parle bien du légendaire CISSP ou l’examen pour le “Certified Information Systems Security Professional” de ISC2. C’est probablement la certification que la plupart des professionnels en sécurité de l’information souhaitent obtenir à un moment donné dans leur carrière. Pourquoi? Pour plusieurs recruteurs et compagnies à la recherche d’un professionnel en sécurité de l’information, le CISSP est depuis longtemps la certification de référence pour un emploi dans ce domaine.

Préparation

J’ai commencé le processus en 2015. En fait, j’avais décidé de poursuivre le SSCP ou le “System Security Certified Practitioner” de la même organisation. C’est un examen plus court qui est théoriquement un peu plus technique, mais pas très technique non plus en comparaison à d’autres certifications. Toutefois, c’est un examen qui m’a aidé à avoir une première expérience avec un examen de l’ISC2 avant de poursuivre le CISSP. Les deux examens partagent des domaines similaires, mais pas nécessairement au même niveau.

Pour me préparer à l’examen, j’ai seulement acheté le guide d’étude officiel, le CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide (en anglais); celui-ci est vraiment bien écrit pour un livre officiel en provenance de l’organisation de certification. Aucunement besoin d’acheter plusieurs livres et de lire de nouveau le livre plusieurs fois. Il est surtout important de se pratiquer et de comprendre les types de questions et réponses de l’ISC2. Je sais pertinemment que je performe toujours mieux avec la pratique, donc j’ai utilisé le livre officiel avec les questions de pratique, le CISSP Official (ISC)2 Practice Tests (en anglais) et même l’application mobile (en anglais); celle-ci est vraiment un outil pratique à utiliser lors du transport quotidien.

L’examen est comme tout autre examen, juste plus long et probablement plus dispendieux. Il faut prendre les questions une à la fois et prendre son temps pour bien évaluer les réponses. Qu’en est-il de la durée? Environ 4 heures. J’ai été en mesure de répondre aux questions et d’en réviser quelques-unes.

Critique

Il y a certaines critiques à l’égard de cette certification parmi les professionnels de la sécurité de l’information. Il semble y avoir une mauvaise compréhension au sujet des connaissances et expériences acquises suite à l’obtention de cette certification. Il faut dire que dans ces temps-ci, une organisation demandera tout d’abord un candidat avec un CISSP pour tout rôle en lien avec l’univers de la sécurité de l’information. De l’analyste en sécurité de l’information jusqu’aux rôles plus techniques tels que les “penetration testers”, les architectes de sécurité, les spécialistes en chiffrement, les spécialistes en sécurité infonuagique, etc. C’est la plus grande erreur.

À mon avis, le CISSP est une certification concernant la gestion de la sécurité de l’information permettant d’avoir une meilleure maitrise des politiques et standards de sécurité. Le CISSP pourra certainement guider et gérer les objectifs de la sécurité de l’information d’une organisation. Toutefois, cette personne avec ce rôle sera supportée par des personnes avec de meilleures compétences techniques. Ce n’est certainement pas une certification technique. Évidemment, ça dépend toujours de l’expérience professionnelle de la personne puisqu’il est tout à fait possible de rencontrer un détenteur du CISSP avec des connaissances avancées des concepts techniques.

Certification

Bon, c’est de nouveau la période d’attente. Je devrais obtenir la certification CISSP au courant de 2019 après avoir accumulé l’expérience professionnelle requise. Chaque détenteur doit avoir entre 4 à 5 ans d’expérience directement reliée à la sécurité de l’information dans au moins 2 des 8 domaines. Par contre, je dois admettre que c’est un des avantages de cette certification. Il est possible d’obtenir un an de moins selon les études et autres certifications. J’ai aussi eu une situation similaire avec le CISA où il y a une exigence de 2 à 5 ans d’expérience professionnelle.

Quelle est la prochaine étape après le CISSP?

Je suis encore indécis au sujet de la prochaine étape. Je crois avoir complété la majorité des certifications les plus pertinentes pour mes intérêts. D’un autre côté, je suis toujours curieux au sujet des questions sur la vie privée et je voudrais certainement en apprendre plus à ce sujet. Il y a d’ailleurs une certification qui a attiré ma curiosité de l’ International Association of Privacy Professionals , mais ça sera pour une autre publication…

CISSP: Passed, and One More Milestone Completed

CISSP By (ISC)² [Public domain], via Wikimedia Commons

Done. The 6-hour exam with its 250 questions is finally in the past. Yes, I am talking about the famous CISSP or the “Certified Information Systems Security Professional” exam from ISC2. This is the certification that most information security professionals will try to obtain at one point in their career. Why? For most recruiters and companies that are looking for a professional in information security, the CISSP is now the golden ticket for employment in this field.

Studying

I would say that it all started in 2015. Back then, I decided to pursue the SSCP or the “System Security Certified Practitioner” from the same organization. This was a shorter exam, which is a little more technical, but not deeply technical either. It helped me have a first experience with an ISC2 exam before pursuing the CISSP. Both exams share some similar domains, but not necessarily at the same level.

For studying, I only bought the official study guide, the CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide, which I think is really well written. Knowing that I perform much better when I have the occasion to practice beforehand, I used the official practice tests, the CISSP Official (ISC)2 Practice Tests and even the mobile application (the mobile application doesn’t exist anymore), which is really great to use during daily transit. There are many resources available with thousands of questions.

The exam itself is as with any exam, just longer and more expensive. What about the duration? In about 4 hours, I was able to answer the questions and review a few trickier ones.

Criticisms

There are some criticisms on this certification among professionals in information security. There seems to be a misconception about the knowledge and experience obtained with this certification. These days, a company will look first for a candidate with a CISSP for any kind of role related to the world of information security. It could be from the typical information security analyst to any technical role such as penetration testers, security architect, encryption specialists, security cloud specialists, etc. This is the biggest mistake.

In my opinion, this certificate is a management level certification giving better insight into policies and standards. The CISSP will be able to guide and manage the information security objectives of an organization. However, the person in this role will be supported by people with technical know-how. It is not a technical certification. Obviously, it depends on the person’s professional background since it is possible to have a CISSP holder with a deep understanding of the technical concepts.

Certification

Well, it is now the waiting period. I will hopefully obtain the CISSP certification some time in 2019 after I have completed the required experience. Every holder must have 4 to 5 years of direct information security experience in at least 2 of the 8 domains. However, I must admit that this is a great advantage for this certification. There is a one year waiver possible depending on previous academic experience and other certifications. I also had a similar situation with the CISA where there is a 2 to 5 year requirement.

What’s next after the CISSP?

I am still unsure about the next step. I think I have completed the majority of relevant certifications. On the other hand, I am always curious in privacy matters and I would like to be more proficient in questions related to privacy law. There is indeed a certification that piqued my interest from the International Association of Privacy Professionals but it will be for a different post…