CISM: Por que fazer e como se dar bem no exame de certificação!

Não é novidade que a cada dia surgem mais ameaças/vulnerabilidades e as empresas estão sentindo na pele no bolso o preço de não investir em profissionais experientes.

Essa nova perspectiva vem mudando gradualmente o mercado e pesquisas como o State of Cybersecurity: Implications for 2015 da ISACA deixam bem claro: A Cibersegurança conta cada vez mais com o apoio da alta direção (será?) e orçamentos maiores (SERÁ!?). Entretanto, existe uma enorme escassez de profissionais experientes e qualificados!

cyberrsecurity skill crisis

Fonte: ISACA – dados de 2014

Bem, enquanto experiência é algo que só se ganha na prática, existem amplas opões para obter destaque na área de Segurança da Informação através de qualificações profissionais. Pessoalmente, sempre gostei de investir em certificações vendor free, de instituições reconhecidas internacionalmente como, por exemplo, ISC², EXIN e APMG. Os resultados sempre foram os melhores possíveis.

isaca-career-oportunities

Fonte: ISACA

O CISM, Certified Information Security Professional, da ISACA é considerada uma das certificações mais demandadas pelo mercado. Não acredita? Que tal dar uma olhada na quantidade de vagas abertas nos USA que pedem credenciais:

certification-numbers

Fonte: http://www.tomsitpro.com/articles/information-security-certifications,2-205.html

O certo é que esse tipo de certificação é uma ótima maneira de se destacar e, apesar do exame parecer um pouco assustador no início, com uma preparação adequada e dedicação suficiente, qualquer um pode obter bons resultados.

Em junho do ano passado (2015) eu fiz a prova para o CISM e compartilho aqui com vocês os métodos e dicas práticas que usei para me preparar, e que resultaram em um excelente exame!

SOBRE O EXAME DE CERTIFICAÇÃO

O CISM não é uma certificação técnica, pelo contrário, apesar de requerer certos conhecimentos operacionais, o foco está no gerenciamento em segurança da informação. Desde 2002 mais de 23.000 profissionais ao redor do mundo já se qualificaram. A ampla maioria ocupa cargos em que desenham, dirigem e avaliam os programas de segurança de informação das corporações. Pesquisas indicam que na terra do Tio Sam a média salarial varia entre $52.402 e $243.610 obamas. Nada mal!

CISM

Para obter a certificação existem 3 itens básicos:

  1. Prestar e passar no exame (mais detalhes abaixo!);
  2. Concordar com o código de conduta ética profissional da ISACA;
  3. Comprovar experiência mínima de 5 anos.

O exame em si custa $525,00 obamas (menos o desconto para membros da ISACA, que no meu caso foi de $75,00), e é composto de 200 questões objetivas de múltipla-escolha que devem ser solucionadas em até 4 horas onde você deve obter um escore mínimo de 450 de um total de 800 pontos. A ISACA usa uma formula mágica para calcular o peso das questões, assim não é possível saber exatamente quantas você precisa acertar. O que eu percebi, é que se você consegue algo entre 75% e 80% de questões corretas, sua aprovação está praticamente garantida.

Para complicar um pouco as coisas, parte das questões funciona apenas para pesquisa e atualização, não influenciando no score final. Fica aqui a primeira dica: você não vai saber quais são, encare todas – mesmo as “mais estranhas” – como questões oficiais.

O objetivo do exame é testar o conhecimento do candidato de desenhar, dirigir e avaliar programas de segurança de informação, focando nas seguintes áreas:

  • Domain 1—Information Security Governance (24%)
  • Domain 2—Information Risk Management and Compliance (33%)
  • Domain 3—Information Security Program Development and Management (25%)
  • Domain 4—Information Security Incident Management (18%)

As questões do exame vêm em dois formatos básicos:

  • Baseadas em fatos como tecnologia ou padrões de auditoria. Lembre-se que o exame não aborda tecnologias específicas. Assim, não espere questões relacionadas com fabricantes (e.g. Microsoft, SAP, Oracle, etc);
  • Baseadas em análise onde é apresentado um contexto e geralmente algum tipo de decisão. Nesse caso é esperado que o candidato entenda o cenário apresentado e forneça sua opinião/julgamento da situação.

ANTES DA PROVA:

  • CRIE UM BOM PLANO DE ESTUDO: Quando você percebe que o manual oficial possui 236 páginas (versão 2015) repletas de conteúdo, já fica óbvio que sem um planejamento adequado, é pouco provável que você consiga estudar tudo. Minha recomendação é separar pelo menos 2 horas por dia durante os dois meses que antecedem o exame. Nos finais de semana reserve um tempinho maior para se divertir fazendo simulados ou participando de grupos de discussão sobre o exame. Bye bye vida social!
  • SEMPRE QUE PUDER, USE O MATERIAL OFICIAL: Quando prestei o exame CISA em 2010, resolvi economizar e não comprei o Review Manual oficial. Cai na besteira de usar um livro alternativo que tinha uma didática péssima e certamente isso me custou várias questões. Aprendi com meu erro, e para o CISM comprei o manual oficial. Não é algo exatamente barato (USD 105 para membros/ USD 135 para não-membros), mas recomendo fortemente a aquisição.
  • CONHEÇA OS TERMOS COBRADOS NO EXAME: Muitas questões requerem que você conheça a interpretação da ISACA para termos bem específicos (você sabe o que é Acceptable use policy ou Fall-through logic? Esses termos são recorrentes em questões do exame!), inclua na sua preparação uma boa lida no Glossário oficial disponível gratuitamente AQUI. Se você tirou o escorpião da carteira e seguiu a dica do parágrafo anterior, o glossário já é um anexo do Review Manual. LEIA!
  • QUESTÕES, QUESTÕES, QUESTÕES: Apenas para constar: Eu não lucro nada com a venda de material oficial! Dito isso, não posso deixar de recomendar a aquisição dos bancos de questões oficiais. Não espere essas questões exatamente iguais sua prova, mas em termos de estrutura e forma como o conteúdo é cobrado, isso sim é exatamente igual. Quando fiz o exame, usei um banco com aproximadamente 1015 questões e devo ter resolvido todas 3 ou 4 vezes.

A ideia não é decorar questões, e sim compreender a forma como a ISACA vai testar seu conhecimento. Muitos candidatos que falham no exame entendem bem o conteúdo, porém não tem experiência na forma como o mesmo é cobrado, e não conseguem perceber nuances que mudam completamente a resposta.

Existem bancos de questões oficiais no formato impresso e digital, pessoalmente prefiro a última opção pelo quesito praticidade. Ano passado adquiri o CISM Review Questions, Answers & Exp – 12 Month Subscription pela módica quantia de 185 obamas. Foi muito produtivo, pois facilita a reutilização e possibilita acompanhar seu desenvolvimento de maneira prática com histórico de scores, áreas mais fortes ou fracas, além de ter a possibilidade de se usar em qualquer dispositivo com acesso à internet. Veja algumas funcionalidades:

dashboard

No dashboard é possível ter uma visão geral de como andam os estudos, incluindo o desempenho por domínio e os resultados dos últimos simulados.

acompanhamento-questoes

Existem também alguns relatórios básicos, com a quantidade de erros e acertos.

planejamento-prova

Outra ótima opção é selecionar a data do exame, dias de estudo, quantidade de horas. Tudo isso ajuda e muito no planejamento!

customized-session

Essa é a opção de um simulado customizado, onde você pode selecionar quais domínios quer testar, a duração e quantidade de questões.

  • PENSE COMO UM MARATONISTA: Apesar do foco da prova ser sempre o nível de conhecimento do candidato, com 200 questões e 4 horas de duração o CISM também vai testar sua capacidade de concentração, resistência, paciência e sangue frio. Considero que a única maneira para se preparar para essa situação é simular o mesmo cenário.

Você conhece algum maratonista que se preparou para a corrida treinando apenas em sprints de 100 metros? Não! Pense da mesma forma! Vários colegas e alunos preferiram se preparar fazendo pequenos blocos de 50 questões. Posso dizer com segurança que a maioria reprovou no exame.

Recomendo que faça – no mínimo – dois simulados de 200 questões. Procure estabelecer condições similares ao dia do exame: um local isolado, com pouco barulho e onde você não vai ser interrompido.

  • QUE TAL FAZER O CURSO OFICIAL? Ok, como sou instrutor oficial de alguns cursos da ISACA você pode estar achando que estou simplesmente vender treinamentos oficiais, peço que use o bom senso. O CISM exige um conhecimento amplo e principalmente entender como a ISACA interpreta o que seriam boas práticas para Gestão de Segurança da Informação, que estão bem distantes de alguns vícios que praticamos no dia a dia.

O treinamento preparatório oficial tem 40 horas (!) de duração e custa aproximadamente R$ 5.000,00 (!!!). Definitivamente não é barato. Em compensação, você tem a disposição um instrutor experiente, já certificado, e uma comunidade de outras pessoas que estão na mesma situação e com objetivos similares, permitindo compartilhar experiências, tirar dúvidas e ter uma taxa de sucesso muito maior no resultado do exame.

Não digo que fazer um curso oficial seja obrigatório, mas conheço pessoalmente várias pessoas que preferiram estudar sozinhas e não tiveram um bom resultado. Acabaram escolhendo fazer o curso e o retorno foi bem melhor. Em resumo: Não tenha medo de investir em você! O reconhecimento/retorno do mercado para essa certificação é grande e, ouso dizer, praticamente imediato.

NA VÉSPERA DA PROVA

  1. Prepare seu kit para o exame: Deixe separado seu ticket de admissão – aquele recebido por e-mail, documento de identidade válido e com foto, dois ou três lápis já apontados, duas boas borrachas, etc. Eu tentei levar água no dia do exame, mas fui informado que não era possível. Se você quiser tentar… bem, boa sorte!
  1. Não perca tempo com leituras excessivas: leituras de última hora geralmente não são uma boa pedida, podendo deixar você apreensivo e inseguro relativo a algum tópico do exame. Se você acha importante fazer uma última revisão veja o item a seguir;
  1. Leitura seletiva: Bem, se você insiste em ler algo, prefira fazer uma leitura seletiva de parte do conteúdo. Evite focar apenas no seu ponto fraco, se você não aprendeu até agora prefira focar em reforçar no que você é bom. Quando é possível gosto de fazer uma leitura dos resumos finais de capítulos do material que usei e dar uma olhada em termos e siglas.
  1. Faça uma refeição leve e durma bem: Estar bem descansado e relaxado na hora do exame é quase tão essencial quanto um bom preparo prévio. Evite farras (mesmo as pequenas), bebidas alcoólicas e alimentos de difícil digestão que possam te causar desconforto na hora da prova. Pela manhã, um café da manhã balanceado e bastante líquido ajudam bastante.
  1. Seja pontual! O examinador chefe vai ler às instruções do exame as 08h30min e nenhum candidato vai ser admitido no local após a leitura das instruções ser iniciada.
  1. Divirta-se! A ideia pode parecer meio contraditória, mas a possibilidade de divertir-se fazendo uma prova de certificação ajuda a reduzir a tensão e o stress. Divirta-se, afinal é apenas mais uma prova, um desafio a ser vencido.

 DURANTE O EXAME: Como eu fiz a prova

O CISM é um exame longo e pode ser bastante cansativo, especialmente se você não tiver um bom domínio do idioma da prova.  Pessoalmente eu adoto a mesma abordagem que uso a vários anos e me sinto confortável. Utilizei um modelo similar durante o CISA e também no CISSP, em ambos os casos conseguir resolver e entregar o exame pelo menos 20 minutos antes do horário de encerramento.

  1. Tempo: 45 min– Ler rapidamente toda a prova de ponta a ponta sublinhando termos como MOSTLEASTNOTALL, eliminando opções que são obviamente falsas (distractors) e respondendo apenas as questões que eu tenho absoluta certeza (ampla minoria);
  1. Tempo2 horas– Segunda leitura da prova resolvendo todas as questões, mas saltando e marcando os itens em que fico com dúvida;
  1. Tempo: 30 min– Terceira leitura para solução apenas dos itens marcados em que fiquei com dúvida;
  1. Tempo: 45 min– Preenchimento do cartão resposta. Tudo bem, não gasto esse tempo todo, mas é importante lembrar são 200 questões para preencher e isso pode tomar mais tempo do que você pensa além de ser bem cansativo e repetitivo. Qualquer erro nessa hora pode implicar em rasuras ou mesmo em uma marcação errada, jogando pelo ralo todo o esforço e estudo.
  1. Existem pessoas que preferem ir preenchendo o cartão resposta conforme resolvem as questões, pessoalmente eu não acho eficiente.

 Dicas importantes:

  • O CISM utiliza o modelo melhor resposta onde pode existir mais de uma opção aparentemente correta. Cabe ao candidato deve interpretar e escolher a mais adequada para a situação apresentada. Leu minha dica sobre resolver questões oficiais? #POISÉ
  • Se você é um profissional com perfil mais técnico, procure reforçar a perspectiva do gestor;
  • O contrário também é muito importante. Se você tem uma formação eminentemente gerencial, procure pensar como um analista ou especialista técnico. Muitas vezes também é bom tentar se imaginar no papel de auditor ou mesmo alguém de uma área de negócios (e.g. diretor financeiro, contador);
  • Existem 200 questões que devem ser respondidas em 4 horas, isso dá aproximadamente 70 segundos por questão. Claro, existem questões que você vai responder em menos de meio minuto, mas é sempre muito importante controlar o tempo. Se uma questão está levando mais de dois minutos para resolver, talvez seja interessante marcar para resolver depois e passar para a próxima;
  • RTFQ!Leia atentamente cada uma das questões e opções. Entenda o que está sendo perguntado e você tem boas chances de se sair bem. Termos como MOST, LEASTNOTALL requerem maior atenção. Pessoalmente gosto de sublinhar ou circular para que fiquem em destaque.
  • Mantenha o foco na questão atual, ficar pensando nas questões já respondidas ou marcadas para resolver depois só vai atrapalhar sua concentração.
  • Leia todas as opções, nunca marque uma opção sem ter lido as demais. E não se esqueça: você quer A MAIS CORRETA.
  • Responda TODAS as questões. Você não perde pontos por responder errado, apenas deixa de ganhar se precisar CHUTE, mas faça isso de forma consciente, veja a dica a seguir;
  • Método de eliminação: na maioria das questões vai existir uma opção obviamente falsa, descarte-a imediatamente. Procure ver se nas opções restantes existe algum conflito, oposição ou contradição. Geralmente, a resposta correta é aquela que possui mais informações.
  • Alongar e relaxar: Ficar sentado por aproximadamente quatro horas pode ser bastante desconfortável. Se você está muito estressado ou tenso, ou você está fisicamente desconfortável, é difícil se concentrar e pensar direito. Eu recomendo pequenos intervalos, pelo menos, uma vez a cada hora ou em momentos de desespero :D. Relaxe seus músculos e sua mente. Se puder, use o ambiente. No meu caso fiz o exame em uma sala de ensino primário e aproveitei para ficar vendo os desenhos da criançada.
  • Não entre em pânico! Manter a calma é essencial e vai ajudar a manter sua concentração. É um exame longo para obter uma certificação de valor que pode ter um impacto sobre sua carreira e seu futuro. Mas quando o dia do exame chegar tenha fé em si mesmo e saiba fez todo o possível para se preparar e passar no CISA.

APÓS O EXAME: Paciência!

Bem, na saída da prova, recomendo fortemente uma sessão de relaxamento e reposição calórica:

Ok! Nada de exageros!
Ok! Nada de exageros!

Agora você vai precisar de um pouco de paciência, a ISACA leva em torno de 4 semanas para divulgar os resultados. Eu segui a risca todos os itens acima, e fiquei muito feliz quando recebi minha cartinha eletrônica:

Resultado: 647/800 – Top 5%! - HELL YEAH!
Resultado: 647/800 – Top 5%!

Após receber os resultados do exame, é necessário preencher o Application Form e aguardar que a ISACA conclua a revisão das suas informações para finalmente poder ser certificado. Uma boa dica é usar outras certificações como CISA/CISSP ou mesmo um diploma de pós-graduação para substituir 2 anos de experiência.

Aos que vão fazer o exame desejo boa sorte e espero que essas dicas lhes ajudem no caminho da certificação.

P.S.: Se você achou esse artigo estranhamente similar, você tem razão! Copiei boa parte das informações de um texto anterior que era focado em outra certificação da ISACA, o CISA aproveite para reler!

Atualização: A ISACA acabou de me enviar um email informando que tirei a maior nota da América do Sul/América Central no CISM (prova de Junho de 2015)! Muito feliz com os resultados!

“you have earned the highest score in the Central/South America geographical region on the June 2015 CISM examination” \o/\o/\o/
“You have earned the highest score in the Central/South America geographical region on the June 2015 CISM examination” \o/\o/\o/

 

Update 13/05/2015: Finalmente chegou!

Estou realmente muito feliz e orgulhoso em ter recebido a premiação ‪#‎ISACA‬ ‪#‎CISM‬ Geographic Excellence Award pela maior pontuação da América Central / América do Sul no exame de junho de 2015.

CISM Regional Excelence Award
CISM Regional Excelence Award

Quando me preparei para o #CISM fiz de tudo para obter um resultado favorável, mas nunca sonhei que seria tão espetacular!

Agradeço mais uma vez a todos que, de alguma forma, me apoiaram nesse projeto. Dedico esse prêmio a meu pai Francisco Dodt (in memorian) e a minha companheira/parceira de todas as horas Isabelle Araujo, que durante todo processo de estudos me apoiou imensamente.


Fontes:

http://www.tomsitpro.com/articles/information-security-certifications,2-205.html

http://www.isaca.org/cyber/pages/state-of-cybersecurity-implications-for-2015.aspx

http://resources.infosecinstitute.com/average-cism-salary/

Comentários

Comentários