My Journey to CISSP Certification

Repost di un mio articolo, pubblicato su linkedin

PROLOGO

Durante l'università, quando la mia unica preoccupazione era archiviare esami, avevo un rituale che in prossimità dell'appello mi spingeva a raccogliere quante più informazioni contestuali possibili sull'esame: testimonianze, sensazioni dei colleghi, vecchie versioni, ecc..

Ero consapevole che questo era un modo per procrastinare l'unica attività utile per superare l'esame: STUDIARE.

Programma, testo di riferimento, data e modalità dell'esame facevano parte dello starter pack, facilmente reperibili sul sito del corso o durante le lezioni, tutto il resto era semplice spam. I rituali vanno rispettati, pena la sensazione di non aver fatto abbastanza, di non aver calibrato il colpo. Perché diciamoci la verità: il vero esame, quello che ti fa sentire fiero, è l'esame che passi al primo colpo, sicuro, non quello in cui il Professore ti chiede per diritti acquisiti se nella prossima data proposta hai impegni.

Anche in questo percorso è arrivato il momento del rituale. Google mi ha aperto la strada alla procrastinazione: articoli, post, video confessioni e interi forum sull'argomento CISSP. Le maggiori fonti, in ordine di contenuti pseudo-interessanti, sono stati: Reddit, YouTube, Medium, LinkedIn, quest'ultimo principalmente per beccarsi la guadagnata dose di autostima sociale, con pubblicazione dello screen: "Congratulations! We are pleased to inform you that you have provisionally passed the CISSP examination", seguito da una serie di consigli in pillole e anche qualche link di affiliazione Amazon per l'acquisto di validissimi testi; il ROI è sempre importante.

C'è chi è testimone di un metodo infallibile, chi ha hackerato l'algoritmo del Computer Adaptive Testing (CAT), chi spiattella la ricetta perfetta con tanto di quantità:

No less than 2000 pages.

No less than 2000 minutes of various learning videos.

No less than 2000 questions.

Ci sono coloro che ringraziano il proprio Dio per il successo ottenuto e chi taglia corto dividendo il mondo tra gli illuminati del "CISSP mindset" (like: John Belushi in the Blues Brothers nella scena in chiesa quando vede la luce) e chi deve continuare nell'esercizio della meditazione per raggiungere lo stato di illuminato.

Quindi, se volete subito la dritta giusta per passare il test, senza continuare questo mio vano tentativo di sintetizzare la mia esperienza, vi suggerisco di individuare uno o più esponenti delle categorie sopra e seguire il loro metodo.

Di seguito, invece, il mio personale contributo. Ironia a parte, la Certificazione CISSP nel suo complesso è un esercizio professionale completo e valido che vale la pena vivere in tutte le sue parti, senza scorciatoie e metodi infallibili.

MOTIVAZIONE

Per concludere con successo il percorso di certificazione CISSP è necessaria una forte motivazione. Una buona motivazione personale costituisce il 51% del mindset necessario per portare a termine questo cammino. Questo punto è condiviso praticamente da tutte le scuole di pensiero citate sopra, esclusi ovviamente i miei preferiti: coloro che attribuiscono il proprio successo al proprio Dio.

Non a caso, sulla pagina ufficiale di ISC2 (link) riguardante la certificazione CISSP, la prima domanda esposta è: "Is the ISC2 CISSP Right for You?"

ISC2 fornisce alcuni suggerimenti per rispondere a questa domanda:

  • Accelerate your cybersecurity career
  • Proves you have what it takes to effectively design, implement, and manage a best-in-class cybersecurity program
  • Validate your expertise
  • Prove your skills
  • Advance your career
  • Help earn the salary you want

Con esclusione dell'ultimo punto, che ancora non ho potuto verificare, sono tutti punti chiave che dovrebbero far riflettere il candidato. La mia motivazione personale rientrava a pieno titolo in questi punti; volevo verificare se le mie competenze professionali nei vari domini erano equilibrate e ad un livello personalmente accettabile per svolgere il mio lavoro.

Durante la vita professionale, si tende alla verticalizzazione delle competenze; spesso si diventa esperti di singoli domini o ci si fa influenzare da Guru, slogan, contenuti contaminati dal marketing di prodotto, concetti masticati male e ripetuti senza ragionarci il tempo necessario.

Un'altra motivazione personale è relativa all'intensità del percorso. Ho una laurea magistrale in informatica e un master universitario di secondo livello sulla sicurezza informatica e disciplina giuridica. Forse perché sono lento di comprendonio o perché negli anni ho sviluppato un feticismo da banchi da scuola, prediligo percorsi lunghi e strazianti piuttosto che corti e gloriosi.

Per buona parte degli umanoidi, il CISSP è un percorso mediamente lungo, con regole e requisiti da rispettare, meritocratico come un percorso di studio universitario (non insinuate che l'università non sia la casa della meritocrazia, io ci credo ancora). La CISSP non è una scelta obbligata, né certifica la tua onniscienza una volta per tutte; al contrario, una volta associato, oltre alla raccolta punti fragola Esselunga durante l'anno, dovrai raccogliere tot crediti CPE seguendo seminari ed eventi per mantenere il tuo status di associato, pena decadimento del titolo. Per chi come me è solito frequentare le varie conferenze di settore o seguire i seminari gratuiti di ISC2, non è un grande stravolgimento delle abitudini,  ma rimarca ancora di più la necessità di avere una forte motivazione.

Ci sono molte certificazioni in materia valide, che probabilmente trattano meno argomenti o non in maniera così approfondita, e la verifica effettiva delle competenze acquisite è meno sadica. Probabilmente, se avessi intrapreso la CISSP all'inizio del mio percorso professionale, avrei abbandonato prima del tempo o comunque, a prescindere dall'esito dell'esame, non avrei compreso il motivo per cui è necessario approfondire così tanto alcuni argomenti.

Un primo consiglio che do, specialmente a chi ha iniziato da poco a lavorare nell'ambito, è valutare bene quale percorso sia più adatto alle proprie attitudini.

IL PERCORSO

Partiamo dal presupposto che il CISSP è un percorso e non solo un test, che lo si può fare in autonomia o supportati da corsi indipendenti o seminari ufficiali.

Personalmente ho scelto il seminario ufficiale erogato da ISC2 (Chapter Italy) con una durata di 45 ore online. Copre tutti i domini del Common Body of Knowledge (CBK), ovvero l'insieme delle conoscenze che un candidato deve possedere. Oltre al seminario, ti viene fornito l'official ISC2 Student Guide, un librone da 1236 pagine con una forte predominanza di colore verde nelle pagine (personalmente è stato uno dei motivi che mi ha spinto a cambiare testo). Riceverai anche una penna brandizzata (verde) , un assessment test e un final test, entrambi da 125 domande in bianco e nero.

Insegnare è un'arte e sintetizzare senza perdere informazioni importanti è un esercizio di stile non indifferente. Il mio giudizio personale sul docente Roberto B. è più che positivo. Gli argomenti da trattare sono davvero tanti e rispettare la roadmap è difficile, specialmente se nella classe ci sono elementi come me, che hanno bisogno continuamente di chiarimenti e di confrontarsi su concetti. Credo che più di un collega di seminario avrà avuto almeno una volta il desiderio di mandarmi a quel paese e mettere il mio microfono in muto, specialmente dopo le 19 del venerdì sera. Se qualcuno dei colleghi legge questa regressione, sappiate che vi devo una bevuta.

LO STUDIO

Finito il seminario, credevo di avere un'idea abbastanza completa degli argomenti. Sensazione che si è scontrata con la realtà grazie al risultato del test d'esame dell'ultimo giorno di seminario, se ricordo bene, poco sopra il 50% di risposte esatte. Delle risposte sbagliate, quelle che mi preoccupavano di più erano quelle dove non ero riuscito a focalizzare il dominio, la classica domanda a quiz dove ti affidi alla sorte (1 su 4, non un grande giocata).

Consiglio: Prima di preoccuparsi della CISSP mindset, è consigliabile consolidare le conoscenze su tutti gli 8 domini CISSP. Nel 2024 sicuramente ci sono metodi innovativi per archiviare l'obiettivo. Personalmente ho usato il noto metodo testa bassa + playlist massima concentrazione. Ho studiato prevalentemente di sera e nei weekend per un periodo di 4 mesi, con intensità crescente cercando un difficile equilibrio tra vita lavorativa, famigliare e distrazioni. Non ho saltato nessun capitolo, approfondimento e story case proposti, anche se avevo una certa dimestichezza con alcuni concetti esposti. L'idea di fondo era che ripassare un certo argomento di cui ti ritieni "competente" può comunque correggere bias cognitivi che, come spiegato all'inizio di questo articolo, sono parte dei rischi di una seppur attenta vita professionale.

MAPPATURA  DOMINI CISSP E STUDENT BOOK

È necessario spendere almeno due parole sul concetto di domini del CISSP e sulla struttura a capitoli dei libri di testo che ho utilizzato: l'official ISC2 Student Guide pubblicato da ISC2 e l'omonimo volume pubblicato da SYBEX, rispettivamente edizione 6 ed edizione 9.

I domini del CISSP sono otto e sono scolpiti nella pietra:

  1. Security and Risk Management
  2. Asset Security
  3. Security Architecture and Engineering
  4. Communications and Network Security
  5. Identity and Access Management
  6. Security Assessment and Testing
  7. Security Operations
  8. Software Development Security

Questi formano il Common Body of Knowledge (CBK), ovvero l'insieme delle conoscenze che un candidato deve possedere.

Purtroppo i capitoli dei due libri di testo citati sono rispettivamente 9 e 23 in totale e non seguono, come ci si potrebbe aspettare, l'ordine dei domini. Questa mappatura apparentemente non logica serve a facilitare l'apprendimento. Il testo propone un percorso per creare una conoscenza strutturata e graduale dei vari argomenti che compongono il CBK, seguendo un filo conduttore che non avresti studiando i singoli domini in maniera separata. Inoltre, un testo con una netta divisione degli argomenti per domini conterrebbe argomenti ripetuti più e più volte. Nulla vieta di procedere per domini ma si diventa scemi a saltare da un capitolo all'altro, nel caso scegliete quest'ultima strada ricordate che per rimediare c'è sempre il bonus psicologo 2024.

Personalmente ho basato il mio studio sull'official Student Guide, pubblicato da SYBEX, per due ragioni: la prima è che è un libro monocromatico, la seconda è che ho trovato la struttura della maggior parte degli argomenti chiara e congeniale al mio modo di studiare. Ho invece usato il testo ufficiale per gli approfondimenti, schemi, case study o come raffronto quando il primo testo non mi convinceva.

Ci sono sicuramente sul mercato altri testi validi o proposte di training che possono tornare utili. Testati personalmente su alcuni argomenti, riporto il canale YouTube di Inside Cloud and Security e la playlist CISSP Exam Cram e un'altra risorsa che si trova facilmente cercando: "How to think like a Manager CISSP". Io tendo a distrarmi facilmente con i video corsi però la questione è molto soggettiva.

Consiglio: è importante riuscire a mappare tutti gli argomenti del CBK nella testa. Durante l'esame, letta la domanda, focalizzare il contesto facilita il ragionamento che porterà alla risposta corretta. Questo esercizio va fatto prima ancora di leggere le risposte. Le domande dell'esame sono molto diverse dalla maggior parte dei quiz che ho affrontato in passato (incluso l'esame della patente). Nella maggior parte dei casi, la risposta che ti aspetti semplicemente non c'è e, se la trovi, dubita perché non è detto che sia quella giusta.

Torno sul concetto di mappa. Personalmente ho capito abbastanza tardi l'importanza di mappare tutti gli argomenti ma è una delle strategie più valide per passare l'esame e ancora più importante per mantenere nel lungo periodo la conoscenza acquisita. Ci sono vari modi per raggiungere quest'obiettivo, trova quello più congeniale al tuo modo di studiare e memorizzare. Inizialmente ho riesumato il mio metodo universitario, fogli bianchi A4 e matita, sicuramente non un metodo all'avanguardia e molto oneroso a livello di tempo ma per il mio cervello funziona(va). Come vi dicevo ho intuito tardi l'importanza della mindmaps, per tanto ho dovuto cambiare strategia dopo poco. La svolta è arrivata con le preziose risorse di Destination Certification. Ci sono sia i video su YouTube link che le favolose mappe già fatte link. Usale come meglio credi prima di affrontare un argomento o dopo per incasellare i concetti. Attenzione non sto suggerendo il percorso e relativo corso che propone Destination Certification per il CISSP, che sicuramente sarà validissimo, ma non ho fruito quindi non posso valutare. Sto solo suggerendo una risorsa free che mette a disposizione il sito (in cambio di una valangata di spam) ovvero delle semplici mappe come puoi vedere nella figura sotto.

Un'altra risorsa molto simile sono i "CISSP Cheat Sheets Series di Comparitech", facilmente reperibili sul sito di comparitech con l'esplosione ed una minima descrizione dei vari acronimi link.

Personalmente ho usato entrambe le risorse:

  • Le CISSP Mindmaps di Destination Certification per crearmi le mappe mentali durante lo studio
  • Le CISSP Cheat Sheets Series di Comparitech per i chiarimenti veloci es. l'acronimo che non torna o i passaggi sequenziali dei vari framework e metodologie durante i test.

Consiglio: non cercare le risposte dei test sul cheatsheet, rimarno deluso

Con gran spirito di sopportazione della mia compagna e profonda perplessità di mia figlia, che non capiva perché a lei era stato vietato colorare i muri di casa ma a papà era permesso attaccare poster monocromatici di dubbia funzione estetica, l'ultimo periodo il retro della mia scrivania  si presentava in queste condizioni (foto sotto) spogliato di complementi di arredo per far spazio a tristi mosaici di fogli A4.

Per gli interior designer e arredatori incappati in questo post, posso garantire che questa situazione è durata meno di un occupazione di un liceo nel periodo autunnale.

IL MINDSET

Il mindset necessario per superare l'esame è, a mio avviso, il fulcro di tutto questo percorso fatto di fatica e sudore. Professionisti ed esperti hanno dato interpretazioni pertinenti e proficue, quindi anch'io mi sento in diritto di sbilanciarmi con la certezza che la mia interpretazione si perderà nel marasma del web.

La CISSP mindset è un'attitudine a ragionare su una situazione, come il quesito del test, con apertura mentale basata su una conoscenza personale ampia, data da esperienza e competenza in materia. In altre parole, descrive la realtà in cui un professionista del settore si trova ad operare nel day by day, dove il tempo è sempre contrario e l'impatto delle decisioni incide maggiormente all'aumentare della responsabilità data dal ruolo. L'improvvisazione difficilmente ripaga e, se si ragiona con leggerezza, si pagano le conseguenze.

Quindi, come raggiungere sto benedetto mindset? Provo a fare un ragionamento:

  • Un professionista di profilo manageriale è più portato ad astrarre le situazioni, ma si troverà in difficoltà nelle domande più tecniche.
  • Uno specialista in ambito Cyber, sarà una scheggia sulle domande relative all'implementazione tecnologica ma tenderà a fossilizzarsi sul dettaglio, senza contestualizzare al meglio la domanda.
  • Il fresco di studi, contestualizzerà velocemente ma peccherà nelle domande dove l'esperienza sul campo è fondamentale.

E' forse semplicemente l'equilibrio di queste visioni il fattore CISSP mindset?

PRACTICE TEST

I practice test vanno fatti, non c'è una regola su quanti farne ma sono un buon modo per capire se hai lacune da colmare e per famigliarizzare con il vero test.

Ho trovato molto utili le domande del official practice test di SIBEX e quelle proposte da udemy da Thor Pedersen CISSP EASY/MID questions. A fine preparazione dovresti arrivare a farle con una certa velocità e buoni risultati. A pochi giorni dal test ho provato anche le HARD questions di Thor Pedersen, sono estremamente complesse e lunghe, lo sforzo maggiore sta nell'eliminare le parti delle domande non utili a formulare la risposta, mia opinione possono risultare frustranti.

Attenzione a youtube dove ci sono molti video tutorial che ti fanno esempi di domande ed il ragionamento per arrivare alla risposta, personalmente ho trovato alcuni di questi tutorial delle forzature con ragionamenti contorti (i commenti degli utenti mi hanno dato ragione).

Senza scoraggiarti, ti posso dire che non ho trovato nessuna domanda lontanamente simile a quelle del vero test.

Consiglio: acquisisci velocità e metodo per affrontare il test e quando sbagli  parti dalla soluzione corretta cercando di capire se è stato un problema di distrazione, contestualizzazione o gap di conoscenze.

IL TEST

Partiamo con alcune nozioni di base su cos'è il Computer Adaptive Testing (CAT): è un test basato su un algoritmo che determina la successiva domanda in base alla risposta della precedente. L'algoritmo valuta il tuo livello di conoscenza in base alla tua abilità nel rispondere alle domande. Non è una trovata di ISC2 per rendere l'esame un tormento ma una metodologia utilizzata anche in altri contesti che serve a diminuire il tempo e la quantità di domande necessarie per valutare un candidato, aumentando il livello di accuratezza rispetto ai metodi tradizionali.

Prima del 2017, l'esame CISSP era composto da 250 domande e aveva un tempo massimo di 6 ore. Con l'avvento del CAT, il tempo è diminuito a 4 ore, il numero di domande al massimo 175 massimo e lo score minimo per passare deve essere di almeno 700 su 1000.

Una cosa interessante dell'algoritmo è che, dopo le prime domande che solitamente hanno una difficoltà crescente, si tara per determinare la massima capacità del candidato in tutti i domini. Per questo il numero delle domande è flessibile e può arrivare ad un massimo di 175 o fermarsi al minimo sindacale di 125. Queste sono le FAQ ufficiali di ISC2 sul test e CAT: link1 link2

Alcuni punti chiave del test:

  • Le prime domande saranno a difficoltà crescente, presumibilmente fino trarti in inganno; questo è frustrante, l'algoritmo ti sta studiando.
  • Essendo il risultato basato sullo score, non è conveniente mollare le domande difficili per guadagnare tempo su altre; non è un modello lineare, l'algoritmo ti osserva.
  • Sul massimo delle domande, 50 sono a scopo di studio per i successivi esami e non vengono conteggiate (vedi FAQ). Ovviamente, non puoi sapere quali domande sono valide e quali a scopo di studio, ma sai che ne servono un minimo di 75 per valutarti (tieni ben in mente questo punto).
  • Il test è in inglese e, se non sei madrelingua o hai un livello di inglese alto, devi fare il doppio dell'attenzione per non incappare in errori di comprensione.

DI seguito alcuni consigli che mi hanno aiutato a passare il test:

  • Partendo dall'ultimo, non sono un madrelingua inglese, quindi ho fatto molta attenzione a come erano formulate le domande; in questo la pratica aiuta (Thor Pedersen nel contorcere le domande è un genio).
         Il metodo che Io ho utilizzato con rigore è abbastanza semplice:

    1. Leggi con attenzione la domanda, anche due o tre volte.
    2. Contestualizza, vai di mappe mentali.
    3. Formula nella tua testa una possibile risposta o un ragionamento.
    4. Leggi le risposte che ti propone il test.
    5. Elimina le due meno probabili o fuori contesto.
    6. Concentrati sulle due rimanenti e seleziona quella più corretta.

Eccezioni:

  • Se non trovi nessuna risposta che ti soddisfa, riparti dal punto 2, forse hai sbagliato a contestualizzare?

Qui, il tuo CISSP mindset deve farsi strada con prepotenza.

  • Lascia stare gli hacker dell'algoritmo, ma conoscere le informazioni sopra può aiutarti. Inizialmente, sai che l'algoritmo si deve tarare, quindi fai molta attenzione alle prime risposte e portalo subito al tuo livello; nessuno ha voglia di fare più del dovuto, il mio obiettivo era chiuderla al minimo sindacale senza indugi.
  • Datti un tempo medio per rispondere ad ogni domanda, prenditi anche delle pause per interrompere lo stato di trans agonistica; nessuno ti dirà bravo se finisci in 90 minuti; ormai la tua mattinata è bruciata.
  • Sfrutta l'informazione delle domande NO SCORE a tuo vantaggio per ingannare la mente. Io ho usato questo trucco rubato da qualche forum: quando arrivi alla domanda impossibile che dopo 3 volte che l'hai letta hai ancora dubbi sul contesto, giocati il jolly sperimentazione rispondi con quello che ti sembra più sensato e racconta alla tua mente che è una domanda sperimentale (che la commissione ha cannato di brutto); La tua concentrazione ne gioverà.

L'INASPETTATO

Allenarsi per l'inaspettato è una delle attitudini che un professionista della cybersecurity dovrebbe acquisire prima o poi, completata da una forte propensione all'analisi dei rischi e alla pianificazione strategica. Dopo questa massima degna di un saggio di Taleb, vi racconto il mio personale evento inaspettato e contrario e come sono riuscito a utilizzarlo a mio vantaggio durante il test.

Da sempre ho avuto un'avversione per gli ambienti chiusi con temperature da death valley . La questione dell'ambiente confortevole è generalmente molto dibattuta; chi è stato mio collega d'ufficio nell'era pre-COVID sicuramente almeno una volta ha avuto da ridire sulla finestra aperta o sul termoconvettore manomesso a dicembre.

Io, semplicemente, quando mi trovo in queste situazioni, smetto di ragionare e ho difficoltà a concentrarmi. La situazione peggiora quando la percentuale di anidride carbonica sale. Sono come un canarino in una miniera di carbone, il primo che ci rimane secco. Dato che sono consapevole che è un mio problema, semplicemente evito certi ambienti, ma nel caso di un esame, non puoi fare il sofisticato.

La mattina dell'esame arrivo in perfetto orario all'appuntamento. Conclusa la procedura di riconoscimento, firmato il regolamento e depositati gli effetti personali nell'armadietto, l'assistente mi accompagna nel mio "gabbiotto" in una stanza abbastanza stretta e con una temperatura infernale per il mio termometro.

Istantaneamente capisco che tutta la mia strategia per arrivare concentrato e a mente fresca all'esame sarebbe andata in frantumi nei prossimi 10 minuti. Faccio notare gentilmente all'assistente la situazione ma, con altrettanta gentilezza, l'assistente mi comunica che il termostato è centralizzato e la porta non può rimanere aperta per permettere, se pur minimamente, lo scambio d'aria.

Pensa positivo, stanza mezza vuota, quindi più di così non potrà aumentare il caldo, riuscirò a sopportarlo. Inizio il test, ma prima di arrivare alla terza domanda, la stanza si riempie quasi del tutto. Il caldo aumenta, vado nel panico, cerco di sbrigarmi e violo le regole che mi ero dato. Capisco che sto dando risposte affrettate e in meno di 5 minuti sono già alla nona domanda. Non sono convinto della mia strategia, quindi mi fermo e chiedo all'assistente di uscire nel corridoio.

Nel corridoio ristabilisco la calma e decido di adottare una strategia d'emergenza. Torno nel mio gabbiotto, mi tolgo la camicia e rimango in canotta. Divido alla buona il tempo rimasto per il numero di domande e decido di fare pause ogni 20 domande per ossigenare, riservando qualche minuto di contingenza per eventuali domande extra dell'algoritmo. Il tempo in caso di pausa non si ferma quindi va a discapito del candidato.

Riparto con il mio metodo, leggo la domanda, contestualizzo e formulo una risposta in testa, passo alle risposte multiple, elimino le due fuori contesto e mi concentro sulle due più probabili. Ritrovo la mia concentrazione che si interrompe solo per la pausa ossigeno. La pausa ossigeno ha un altro beneficio: resetta la mente che inevitabilmente si appesantisce o rimane incastrata sulle ultime domande, così facendo è quasi un nuovo inizio ogni 20 domande.

Perché penso che valga la pena raccontare quest'aneddoto a tratti raccapricciante? Immaginate un uomo in canottiera durante una sessione d'esame.

Perché andare nel pallone durante l'esame è abbastanza facile: l'aspettativa, il tempo tiranno, le domande che non ti aspetti, le lucubrazioni (inutili) del tuo cervello sul perché l'algoritmo ti stia tartassando su un argomento o un fattore esterno, come nel mio caso, può portare all'epilogo che vi lascio immaginare.

Nel mio caso, la strategia della pausa ogni 20 domande è servita per non entrare nel pallone ed affrontare con metodo e concentrazione ogni domanda.

Consiglio: Hai più bisogno di concentrazione e metodo che tempo per passare il test.

ESITO E ATTESTAZIONE

La mattina del 16 dicembre ho chiuso la partita con 125 domande in circa 3 ore e mezza con 5-6 piccole pause.

Posso sbilanciarmi nel dire che da metà del test mi sentivo sia abbastanza confidente del mio metodo che delle risposte che davo quindi sono andato spedito. La difficoltà del test, dal mio punto di vista rimane comunque medio/alta.

L'esito del test non ti viene dato dopo l'ultima domanda, ma devi alzarti in rigoroso silenzio, rivestirti (questo solo nel mio caso) e andare in reception dove ti verrà fornito il famoso foglio con la scritta: "Congratulations! We are pleased to inform you that you have provisionally passed the CISSP examination" se tutto è andato bene, in caso contrario posso immaginare un messaggio di incoraggiamento tipo "try harder!"

La parola provisionally, oltre ad essere un ottimo deterrente per evitare scenate euforiche da bacheca risultati fine anno scolastico, fa trasparire che  la faccenda CISSP necessarie ulteriori azioni.

Le azioni richieste sono principalmente tre:

  1. Avviare l'application direttamente sul sito di ISC2, dove dovrai dimostrare almeno 5 anni di esperienza in uno o più dei domini del CBK o studi in materia per avere accreditato un anno di esperienza. Per mia fortuna conservavo le lettere d'assunzione che insieme alla traduzione della job description e l'inserimento di un referente della stessa azienda sono state accettate.
  2. Richiedere un endorsment da un già membro, per far ciò è necessario, dopo aver concordato con l'Endorser la richiesta,  inserire ID ISC2 del Endorser e il suo cognome. Nel caso non si conosca un già membro è possibile richiedere a ISC2 stessa  l'endorsment, in questo caso mi pare di aver capito che viene fatta un intervista al candidato da un già membro al fine di verificare l'esperienza e le competenze dichiarate.
  3. Ultimo ma non di minor importanza è il pagamento della annual maintenance fee il rilascio del certificato e member ID è immediato post pagamento. link

CONCLUSIONI

Quest'anno ISC2 festeggia l'anniversario dei 30 anni della certificazione CISSP, è oggettivamente un sinonimo di maturità dell'istituzione e del percorso.

Se ci pensi è un fattore di scelta importante nel momento in cui ti viene richiesto di dedicare molto tempo ed un impegno superiore alla media per terminare il percorso.

Dati alla mano nel mondo ci sono meno di 165.000 certificati CISSP di cui circa 500 in Italia (dato di luglio 2022 link).

Personalmente mi ritengo soddisfatto della scelta fatta, condivido questo articolo con l'idea che un potenziale candidato possa trarre qualche beneficio dalla mia esperienza e risparmiare tempo nel trovare il proprio approccio alla CISSP.

Ultimo consiglio: Finché non fissi la data dell'esame, bruciando il voucher sul portale di Pearson VUE, non entrerai mai nel vivo della preparazione.


Commenti

Posta un commento

Post popolari in questo blog

Push Notification

In questa serie di articoli verrà approfondito un argomento che nell’ultimo periodo ha riscosso un grande interesse da parte dei programmatori delle piattaforme mobile più conosciute (Android, iOS, BlackBerry, Windows ). Le push notification Con questo termine si fa riferimento a un messaggio asincrono inviato da un server di terze parti verso il dispositivo. Tramite questa tecnologia le applicazioni possono continuare a interagire con l’utente anche quando non sono in primo piano (foreground) a diretto contatto con esso. Questa tecnologia è stata da sempre utilizzata dalle case produttrici per le comunicazioni “di servizio” tipo aggiornamenti di sistema o aggiornamenti app installate dal market. da qualche anno, anche se con diverse tempistiche, tutte e quattro le piattaforme prese in considerazione hanno reso disponibile questo servizio agli sviluppatori per ampliare le funzionalità delle nostre applicazioni. Vediamo subito i benefici e i rischi indott...
Read more »

Modulo Rimborso Biglietto Ryanair

Farsi rimborsare il costo di un biglietto da una compagnia aerea non è mai una passeggiata, probabilmente perché noi siamo troppo pigri per leggere il documento "Termini di Servizio"; facilmente reperibile al 14esimo livello del sito scritto con font 8 in modo da non lasciare nessun dubbio o perché ci aspettiamo delle vere risposte dalle faq tipo:  - Cosa devo fare per richiedere il rimborso di un volo?  - Utilizzare il suddetto modulo (link) da inviare per via raccomandata al seguente indirizzo.  Quando sbattiamo la testa sulla triste realtà il senso di frustrazione ci assale fino a maturare l'idea che è tutto inutile, non possiamo vincere contro di loro,  il nostro è solo tempo sprecato. In verità pigrizia e pubblicità mirate ci impediscono di portare a termine il task reso adeguatamente enigmatico. Di seguito il modello che ho usato io (un non giurista)per richiedere il rimborso del biglietto a ryanair per causa di salute abbastanza rilevanti. Sicurament...
Read more »