«

»

abr 03 2018

Nova versão do CISSP® 2018 será lançada em 15 abril de 2018

Você estava fazendo as revisões finais para o Exame? E agora?

Deve desconsiderar todo o conteúdo estudado até o momento?

DE MODO NENHUM

 

 

O (ISC) vem anunciando estas mudanças desde outubro de 2017, veja como elas afetam ou não suas expectativas de prova.

Nova forma de avaliação

Na verdade, as mudanças no CISSP® tiveram início em 18 de dezembro de 2017 quando o (ISC) adotou uma nova forma de avaliação chamada CAT – Computerized Adaptive Testing (Teste Adaptativo Computadorizado) em substituição ao CBT – Computer Based Testing que fora implementado em 2012. A metodologia de avaliação não é nova, sua forma original foi criada em 1905 e, com redução de custos dos processos computacionais, foi adaptada para uso em computadores.

Nesta nova forma de avaliação, o (ISC) tem como premissa avaliar mais objetivamente as competências do candidato e ao mesmo tempo permitir que o avaliado conclua o exame na metade do tempo. Num primeiro momento esta nova maneira de avaliação estará disponível apenas no idioma inglês. Os exames do CISSP® aplicados em outros idiomas além do inglês, bem como em todos os outros exames de certificação do (ISC), ainda serão realizados usando o formato anterior, isto é linear e fixo.

Nesta nova metodologia de exame, um algoritmo adaptativo seleciona e apresenta ao candidato uma questão de baixo nível de dificuldade, isto é, abaixo do padrão de dificuldade exigido para passar no exame. A cada resposta correta o algoritmo apresenta uma nova questão com maior nível de dificuldade.

À medida que o exame evolui e o avaliado continuar acertando as perguntas, a prova vai se tornando mais difícil e o tempo total de duração da prova, assim como o número de questões diminui. Um candidato com um ótimo nível de conhecimento terá entre 75 a 125 questões acrescido de 25 questões experimentais, estas últimas sem peso para o resultado do avaliado. Neste contexto o tempo total de prova poderá variar e sendo encerrado com 3 horas de duração. No modelo anterior a prova durava cerca de 6 horas.

Se por outro lado o avaliado erra uma questão, o algoritmo adaptativo seleciona – na sequência – uma questão com menor nível de dificuldade. Consequentemente se o examinado continuar errando as respostas e o sistema concluir que não será possível atingir uma pontuação para aprovação, o exame é encerrado antes do candidato responder as 100 questões (75 obrigatórias e as 25 experimentais),

Uma outra mudança importante na nova forma de avaliação é que o candidato não poderá pular, sinalizar ou revisitar as perguntas, já que é um algoritmo que seleciona as questões.

Novo conteúdo, peso, nomes de domínios e tópicos

Considere que as atualizações anteriores – de conteúdo – sempre foram incrementais, onde, de modo geral, domínios foram suprimidos e conteúdos redistribuídos. Nesta atualização, nos pareceu que o (ISC) estava preocupado com uma revisão não muito consistente. Na realidade, desde de 2012, esta é a atualização que contém a menor quantidade de alterações.

Em tese as atualizações do conteúdo do CISSP® deveriam refletir as inovações tecnológicas; novas modalidades de ameaças; novas técnicas para mitigação. De alguma maneira isto foi mantido, entretanto nota-se a falta – pelo menos nos grandes tópicos –  de conceitos como Machine Learning.

Não obstante a estes princípios gerais as alterações centraram-se em:

NOME E PESO DE CADA DOMÍNIO

Alguns domínios tiveram nomes ou pesos alterados. Outros, no entanto, ora tiveram acréscimo ou redução de conteúdo, ou então, ligeiras alterações nos nomes dos tópicos.

Vejamos como se refletiu estas alterações

NOMES DE DOMINIOS.

A Tabela 1: Novos nomes de domínios abaixo exibe as alterações sofridas nos nomes dos domínios.

Tabela 1: Novos nomes de domínios

Nomes de domínios no CISSP® 2015 Nomes de domínios no CISSP® 2018
Domain 1: Security and Risk Management Domain 1: Security and Risk Management
Domain 2: Asset Security Domain 2: Asset Security
Domain 3: Security Engineering Domain 3: Security Architecture and Engineering
Domain 4: Communications and Network Security Domain 4: Communication and Network Security
Domain 5: Identity and Access Management Domain 5: Identity and Access Management (IAM)
Domain 6: Security Assessment and Testing Domain 6: Security Assessment and Testing
Domain 7: Security Operations Domain 7: Security Operations
Domain 8: Software Development Security Domain 8: Software Development Security

A exceção do domino 3, cuja alteração do nome representa mudanças na estrutura, os domínios 4 e 5, tiveram alterações superficiais nos nomes, sem consequências diretas na estrutura do domínio e/ou conteúdo. No domínio 4 a palavra Communication passa a ser grafada no singular e no domínio 5 foi acrescentado o acrônimo IAM.

PESO DE CADA DOMÍNIO

Tabela 2: Pesos dos novos domínios (ordem decrescente)

Domínio   Peso  
Número Nome % abril/2015 % abril/2018
1 Security and Risk management 16% 15%
4 Communications and Network Security 12% 14%
3 Security Architecture and Engineering 12% 13%
5 Identity and Access Management (IAM) 13% 13%
7 Security Operations 16% 13%
6 Security Assessment and Testing 11% 12%
2 Asset Security 10% 10%
8 Software Development Security 10% 10%
  100% 100%

Security and Risk management é o domínio mais importante no novo CISSP®, o que faz muito sentido, considerando que a Segurança trata, antes de tudo, sobre o gerenciamento de risco. O peso agora está fixado em 15%.

Communications and Network Security teve um acréscimo de 2%, sendo fixado em 14%, o que também se justifica, considerando a enorme quantidade de material coberto e o fato de que a rede hoje é realmente o computador. Há uma relação intrínseca entre rede, serviço e disponibilidade. Sem um não há o outro.

Security Assessment and Testing teve um aumento de 1%. Este é o calcanhar de Aquiles de muitos profissionais de segurança. A grande maioria nunca realizou testes e as metodologias de testes não se aprendem em poucos dias ou poucas semanas. Os profissionais de segurança passam toda uma vida para sem tornarem grandes testadores de penetração e/ou assessores de segurança. O aumento do peso parece se justificar.

Security Operations é o domínio que perdeu mais peso, teve uma redução de 3%. Talvez se justifique a redução vez que operações de segurança, também, são tratados em cada um dos outros 7 domínios.

Os outros três domínios – Identity and Access Management (IAM), Asset Security e Software Development Security não tiveram seus pesos alterados.

Olhando apenas para a relação pesos / domínio, nota-se uma certa uniformidade na distribuição do conteúdo, significando que o avaliado, agora, deve preocupar-se em absorver os conteúdos de todos os domínios. Contudo, levando-se em conta a pontuação necessária para passar na prova, o avaliado deve dominar, pelo menos, 6 dos principais domínios.

VISÃO GERAL DAS MUDANÇAS OU DA AUSÊNCIA DE CONTEÚDO

De modo geral as alterações efetivadas nessa versão do CISSP®, salvo a redistribuição de conteúdo, tiveram um caráter, apenas, de revisão e foram muito sutis. Os examinadores se preocuparam em renomear algumas seções e tópicos dos domínios, com uma visão de boas práticas de nomeação para representar o real significado do assunto tratado em cada seção/tópico. Dentro dessa preocupação, os examinadores – utilizando conceitos herdados da academia para definir as habilidades e competências que os profissionais de segurança deveriam ter – introduziram verbos como Avaliar, Determinar, Identificar, Analisar, Aderir e Priorizar.

DOMÍNIO 1: SECURITY AND RISK MANAGEMENT (15% do conteúdo do exame)

O que mudou: O domínio abrange mais detalhadamente a identificação, priorização e análise dos requisitos de Continuidade de Negócios (BC), enfatizando a conformidade e concentrando em abordagens baseadas em risco para a organização em geral e, em particular, na cadeia de suprimentos.

De resto a reformatação se concentrou na alteração de nomes de conteúdo, seções e tópicos.

DOMÍNIO 2: ASSET SECURITY (10% DO CONTEÚDO DO EXAME)

O que mudou: A mudança de destaque foi a remoção de conteúdo específico sobre criptografia e adicionada referências a métodos adicionais de proteção de dados.

No mais, a reformatação se concentrou na alteração de nomes de conteúdo, seções e tópicos.

DOMAIN 3 – SECURITY ARCHITECTURE AND ENGINEERING (13% DO CONTEÚDO DO EXAME)

O que mudou: Além da mudança do título do domínio, houve também alguns redirecionamentos e mudanças de tópicos. O domínio, agora, incorpora a arquitetura de segurança e, na área que abrange as capacidades de segurança dos sistemas de informação, foram incluídas criptografia e descriptografia; do mesmo modo, conceitos relacionados a dispositivos ciberfísicos foram removidos e em seu lugar foi considerada a Internet of Things (IoT) entre os itens das vulnerabilidades das arquiteturas de segurança.

DOMÍNIO 4: COMMUNICATIONS AND NETWORK SECURITY (14% do conteúdo do exame)

O que mudou: O tópico sobre criptografia foi removido da seção Implement secure design principles in network architectures; o tópico sobre dispositivos físicos foi retirado da seção Secure Network e a seção Prevent or mitigate network attacks foi completamente removida do domínio e nada foi adicionado em seu lugar.

Podemos considerar que este domínio foi o que sofreu maior alteração. Três alterações dos nomes dos tópicos e três remoções e/ou junções de conteúdo. Ao final é o módulo com uma grande concentração de conteúdo e um número reduzido de seções.

Outra observação é, assim como no domínio 2, a remoção do tópico criptografia. Estranho seria se a (ISC) tivesse retirado esse assunto tão importante para um profissional de segurança, no entanto, se observarmos o domino 2, perceberemos que o tratamento do assunto foi ampliado.

DOMAIN 5: IDENTITY AND ACCESS MANAGEMENT (IAM) (13% do conteúdo do exame)

O que mudou: O (ISC), na sequência de acréscimo do acrônimo (IAM) ao nome do domínio, também, reequilibrou algumas das seções e subseções deste domínio. Adicionou o Controle de Acesso Baseado em Atributos (ABAC) como parte dos mecanismos de autorização. A seção Prevent or mitigate access control attacks foi removida, enquanto os tópicos: On-premise, Cloud e Federated foram consolidados na seção Integrate identity as a third-party.

No restante, houve alguma reformatação dos nomes de algumas seções e/ou tópicos.

DOMÍNIO 6: AVALIAÇÃO E TESTE DE SEGURANÇA (12% DO CONTEÚDO DO EXAME)

O que mudou: As estratégias de auditoria agora estão sendo discutidas juntamente com estratégias de avaliação e teste. Isso permite esclarecimentos mais precisos sobre os três principais componentes de um programa de avaliação de segurança: o teste de segurança, a avaliação de segurança, a auditoria de segurança.

De resto, as alterações restringiram-se aos títulos das seções e nomes dos tópicos.

DOMAIN 7: OPERAÇÕES DE SEGURANÇA (13% DO CONTEÚDO DO EXAME)

O que mudou: O (ISC)²® removeu o tópico sobre a descoberta eletrônica (eDiscovery), mas incluiu padrões administrativos e industriais como requisitos para investigações; além disso, ele removeu tópicos específicos como: ativos físicos, ativos virtuais, ativos de nuvem e aplicativos associados à seção “Securely provisioning resources” e para balancear o conteúdo desta seção adicionou o tópico Asset management.

DOMÍNIO 8: SEGURANÇA DE DESENVOLVIMENTO DE SOFTWARE (10% DO CONTEÚDO DO EXAME)

O que mudou: O (ISC)²® excluiu, da seção Enforce security controls in development environments, os tópicos: Security weaknesses and vulnerabilities at the source-code level (e.g., buffer overflow, escalation of privilege, input/output validation) e Security of application programming interfaces; esses elementos estão agora em uma nova seção: Define and apply secure coding guidelines and standards que contempla conteúdo sobre práticas de codificação seguras. Além disso, foi removido o tópico Acceptance testing da seção Assess the effectiveness of software security

Assim como os outros domínios as demais mudanças restringiram-se alterações do título de seções e nomes de tópicos.

Par finalizar nosso check-up, concluímos uma análise detalhada destas mudanças e disponibilizamos através do link: quadro comparativo de mudanças, para que este artigo não ficasse muito longo.

PREÇO DO EXAME EM 2018

O preço do voucher para – América Latina – é USD 699.

Recomendamos que o candidato tenha plena certeza de disponibilidade para a prova agendada. No caso de adiamento e ou cancelamento o candidato terá que pagar uma taxa de cancelamento ou reagendamento e estará sujeito as seguintes regras:

  • Confirmado o pedido pelo (ISC): com 22 dias de antecedência ou mais incorrerão em uma taxa de cancelamento ou reprogramação de USD100 / EUR100 / GBP70 * (Reembolso = Valor Pago, Menos USD100);
  • Confirmado o pedido pelo (ISC): com cinco (5) dias úteis ou mais antes do exame, receberão crédito para participação em um programa subsequente (sem reembolso) e incorrerão em uma taxa adicional de reescalonamento de USD100;
  • Pedido de cancelamentos e/ou reagendamento recebido pelo (ISC) com menos de cinco dias úteis de antecedência e o não comparecimento do candidato implicará em não reembolso ou crédito em um exame posterior (A não ser que a ausência seja justificada, com atestado médico, por problemas de saúde).

LINGUAGEM DA PROVA

O exame atualizado do CISSP® estará disponível em inglês, francês, alemão, português do Brasil, espanhol, japonês, chinês simplificado e coreano. Lembrando que os candidatos que optarem pela língua inglesa, enfrentarão a nova modalidade de avaliação, isto é o CAT.

COMO ADQUIRIR OS VOUCHERS.

Os Vouchers para o exame CISSP® são comercializados pela Pearson Vue Testing Center

MATERIAL DIDÁTICO OFICIAL (ISC)

O Guia de Estudo Sybex CISSP® estará disponível em maio de 2018. O Oficial (ISC)²® CISSP® CBK, Practice Test Book e o CISSP® for Dummies estará disponível a partir de julho de 2018.

AÇÕES DA CLOUDCAMPUS QUANTO A MUDANÇA.

Aqui na CloudCampus nós já estamos adequando nosso curso CISSP® em conformidade com a reestruturação feita pelo (ISC), com as seguintes ações adicionais:

Webinar sobre as mudanças no novo CISSP®. Brevemente publicaremos a data e horário do Webinar. Nesse Webinar o professor Especialista e certificado CISSP®, falará sobre as mudanças, dará dicas para sucesso no novo exame;

CISSP® 2018. Assim que as alterações no curso estiverem concluídas, anunciaremos a agenda e demais informações para o CISSP® 2018;

Esperamos por você, para o Webinar e o novo CISSP®. Até lá.

0
0

Deixe uma resposta