CISM: Por que fazer e como se dar bem no exame de certificação!

CISM: Por que fazer e como se dar bem no exame de certificação!

Não é novidade que a cada dia surgem mais ameaças/vulnerabilidades e as empresas estão sentindo na pele no bolso o preço de não investir em profissionais experientes.

Essa nova perspectiva vem mudando gradualmente o mercado e pesquisas como o State of Cybersecurity: Implications for 2015 da ISACA deixam bem claro: A Cibersegurança conta cada vez mais com o apoio da alta direção (será?) e orçamentos maiores (SERÁ!?). Entretanto, existe uma enorme escassez de profissionais experientes e qualificados!

cyberrsecurity skill crisis

Fonte: ISACA – dados de 2014

Bem, enquanto experiência é algo que só se ganha na prática, existem amplas opões para obter destaque na área de Segurança da Informação através de qualificações profissionais. Pessoalmente, sempre gostei de investir em certificações vendor free, de instituições reconhecidas internacionalmente como, por exemplo, ISC², EXIN e APMG. Os resultados sempre foram os melhores possíveis.

isaca-career-oportunities

Fonte: ISACA

O CISM, Certified Information Security Professional, da ISACA é considerada uma das certificações mais demandadas pelo mercado. Não acredita? Que tal dar uma olhada na quantidade de vagas abertas nos USA que pedem credenciais:

certification-numbers

Fonte: http://www.tomsitpro.com/articles/information-security-certifications,2-205.html

O certo é que esse tipo de certificação é uma ótima maneira de se destacar e, apesar do exame parecer um pouco assustador no início, com uma preparação adequada e dedicação suficiente, qualquer um pode obter bons resultados.

Leia mais

15 dicas essenciais para aprovação nos exames da ISACA – CISA, CISM, CRISC e CGEIT

As certificações da ISACA certamente estão dentre as mais almejadas por especialistas e demandadas pelo mercado. Isso tem motivos simples:  O nível de experiência teórica/pratica, esforço e comprometimento requerido para ter sucesso nos exames é extremamente elevado.

Esse alto nível de exigências, que torna as siglas CISA, CRISC, CISM E CGEIT tão estimadas, também desmotiva parte dos profissionais. Afinal, pode ser um pouco frustrante gastar aproximadamente USD 600,00, se dedicar por semanas a fio e reprovar em um exame que só pode ser refeito meses depois (e com o mesmo investimento financeiro!).

Leia mais

CISA: Dicas de última hora para o exame de certificação – V 2.0

Nota sobre a atualização do artigo:

Em junho de 2011 resolvi escrever um artigo com dicas para a certificação CISA para ajudar colegas que iriam tentar a certificação. Como na época eu tinha prestado o exame há um ano, baseei o texto em materiais que usei para me preparar e minha experiência pessoal.

Passados alguns anos, acabei me tornando instrutor do curso oficial ISACA preparatório para o CISA. Ter contato direto com uma comunidade de alunos, em sua maioria auditores ou profissionais de TIC bem experientes, me permitiu ter uma visão mais ampla sobre as dificuldades, diferenças de pontos de vista e falhas que levam a reprovação no exame.

Uso amplamente esse conhecimento nas minhas aulas, provocando os alunos e, por fim, tornando fraquezas em fortalezas. Como isso tem funcionado muito bem, resolvi que era hora de tirar a poeira e atualizar este artigo, e compartilhando novas dicas com toda a comunidade que deseja enfrentar o desafio do CISA e se sagrar vitorioso!

Antes de tudo, boa sorte!


Os exames da ISACA – incluindo o CISA – ocorrem regularmente nos meses de junho e dezembro. Em 2010 – quando prestei o exame – usei a maioria das dicas descritas aqui, outras certamente teriam me ajudado muito. De uma forma ou de outra, compartilho aqui com vocês as principais dicas práticas que aprendi tanto como aluno ou como instrutor em sala de aula.

SOBRE O EXAME DE CERTIFICAÇÃO

CISA

Desde 1978 o CISA – Certified Information Systems Auditor – da ISACA é, sem dúvida, uma das certificações mais procuradas e amplamente aceitas nos setores de auditoria de sistemas e segurança da informação, sendo uma excelente referência para a demonstração de conhecimentos e experiência profissional. Conforme publicado no site da própria ISACA, atualmente existem aproximadamente 106.000 profissionais certificados, distribuídos entre 160 países.

O exame de certificação está disponível sempre em Junho e Dezembro, são de 200 questões objetivas de múltipla-escolha que devem ser solucionadas em até 4 horas. Algumas questões são apenas para pesquisa e atualização do exame, não influenciando no score final. Fica aqui a primeira dica: você não vai saber quais são, encare todas – mesmo as “mais estranhas” como válidas.

O objetivo é testar o conhecimento do candidato, avaliação e aplicação dos princípios e práticas de auditoria de sistemas de informação e cinco áreas de conteúdo técnico:

  • The Process of Auditing Information Systems (Processo de auditoria de sistemas de informação);
  • IT Governance and Management of IT (Governança e Gerenciamento de TI);
  • Information Systems, Acquisition, Development and Implementation (Aquisição, Desenvolvimento e Implementação de Sistemas de Informação);
  • Information Systems, Operations, Maintenance and Support (Operação, Manutenção e Suporte de Sistemas de Informação);
  • Protection of Information (Proteção da Informação).

As questões do exame podem ser inseridas em duas categorias básicas:

  • Baseadas em fatos como tecnologia ou padrões de auditoria. Lembre-se que o exame não aborda tecnologias específicas. Assim, não espere questões relacionadas com fabricantes (e.g. Microsoft, SAP, Oracle, etc);
  • Baseadas em análise onde é apresentado um contexto e geralmente algum tipo de decisão. Nesse caso é esperado que o candidato entenda o cenário apresentado e forneça sua opinião/julgamento da situação.

ANTES DA PROVA:

Ok, não vou me ater aos pontos mais básicos, imagino que você saiba que criar um bom plano de estudos, com horários regulares, cobrindo todos os tópicos é essencial. Entenda um fato básico: Mesmo sendo um profissional experiente, você não estudar, YOU SHALL NOT PASS!

CISA_GANDALF

  • LEIA O GUIA DO CANDIDATO: Se você chegou até aqui, já deve ter percebido que o conteúdo do exame é bem extenso. A ISACA disponibiliza ESSA PÁGINA contendo diversas informações sobre o exame. Recomendo iniciar pela leitura Guia de Informações para o Candidato .
  • USE O MATERIAL OFICIAL: Quando prestei o exame em 2010, resolvi economizar e não comprei o Review Manual oficial. Cai na besteira de usar um livro alternativo que tinha uma didática péssima e certamente isso me custou várias questões. Apesar do manual oficial não ser exatamente barato (USD 105 para membros/ USD 135 para não-membros) recomendo fortemente a aquisição. Tenho usado esse material em minhas aulas há mais de 3 anos e – em minha opinião – além de cobrir todo o conteúdo do curso, as explicações são claras e práticas. Considero um excelente investimento.
  • CONHEÇA OS TERMOS COBRADOS NO EXAME: Ah, como muitas questões requerem que você conheça termos bem específicos (você sabe o que é um Escrow Agreement ? Esses termos são recorrentes em questões do exame!), inclua na sua preparação uma boa lida no Glossário e Acrônimos disponível AQUI. Se você tirou o escorpião da carteira e seguiu a dica do parágrafo anterior, o glossário já é um anexo do Review Manual. LEIA!
  • QUESTÕES, QUESTÕES, QUESTÕES: Antes de tudo, já mencionei que não lucro nada com a venda de material oficial! Dito isso, não posso deixar de recomendar a aquisição dos bancos de questões oficiais. Entenda, nenhuma dessas questões vai cair na sua prova, mas são praticamente irmãos gêmeos. Quando fiz o exame, usei um banco com aproximadamente 800 questões e devo ter resolvido todas 3 ou 4 vezes.

A ideia não é decorar questões, e sim compreender a forma como a ISACA vai testar seu conhecimento. Muitos candidatos que falham no exame entendem bem o conteúdo, porém não tem experiência na forma como o mesmo é cobrado, e não conseguem perceber nuances que mudam completamente a resposta.

Existem bancos de questões oficiais no formato impresso e digital. Pessoalmente prefiro a última opção, pois facilita a reutilização e possibilita acompanhar seu desenvolvimento de maneira prática com histórico de scores, pontos onde você foi melhor ou pior.

  • PENSE COMO UM MARATONISTA: Apesar do foco da prova ser sempre o nível de conhecimento do candidato, com 200 questões e 4 horas de duração o CISA também vai testar sua capacidade de concentração, resistência, paciência e sangue frio. Considero que a única maneira para se preparar para essa situação é simular o mesmo cenário. 

Você conhece algum maratonista que se preparou para a corrida treinando apenas em sprints de 100 metros? Não! Pense da mesma forma! Vários colegas e alunos preferiram se preparar fazendo pequenos blocos de 50 questões. Posso dizer com segurança que a maioria reprovou no exame.

Recomendo que faça – no mínimo – dois simulados de 200 questões. Procure estabelecer condições similares ao dia do exame: um local isolado, com pouco barulho e onde você não vai ser interrompido.

  • QUE TAL FAZER O CURSO OFICIAL? Ok, como sou instrutor oficial você pode estar achando que estou simplesmente vender treinamentos da minha empresa, peço que use o bom senso. O CISA exige um conhecimento amplo e principalmente entender como a ISACA interpreta o que seriam boas práticas para Auditorias de Sistemas de Informação, que estão bem distantes de alguns vícios que praticamos no dia a dia.

O treinamento preparatório oficial tem 80 horas (!) de duração e te coloca em prática com um instrutor experiente, já certificado, e uma comunidade de outras pessoas que estão na mesma situação que você, permitindo compartilhar experiências, tirar dúvidas e ter uma taxa de sucesso muito maior no resultado do exame.

Não digo que fazer um curso oficial seja obrigatório, mas conheço pessoalmente várias pessoas que preferiram estudar sozinhas e não tiveram um bom resultado. Acabaram escolhendo fazer o curso e o retorno foi bem melhor. Em resumo: Não tenha medo de investir em você! O reconhecimento/retorno do mercado para essa certificação é grande e, ouso dizer, praticamente imediato.

NA VÉSPERA DA PROVA

  1. Prepare seu kit para o exame: Deixe separado seu ticket de admissão – aquele recebido por email, documento de identidade válido e com foto, dois ou três lápis já apontados, duas boas borrachas, etc. Eu tentei levar água no dia do exame, mas fui informado que não era possível. Se você quiser tentar… bem, boa sorte!
  2. Não perca tempo com leituras excessivas: leituras de última hora geralmente não são uma boa pedida, podendo deixar você apreensivo e inseguro relativo a algum tópico do exame. Se você acha importante fazer uma última revisão veja o item a seguir;
  3. Leitura seletiva: bem, se você insiste em ler algo, prefira fazer uma leitura seletiva de parte do conteúdo. Evite focar apenas no seu ponto fraco, se você não aprendeu até agora prefira focar em reforçar no que você é bom. Quando é possível gosto de fazer uma leitura dos resumos finais de capítulos do material que usei e dar uma olhada em termos e siglas.
  4. Faça uma refeição leve e duma bem: Estar bem descansado e relaxado na hora do exame é quase tão essencial quanto um bom preparo prévio. Evite farras (mesmo as pequenas), bebidas alcoólicas e alimentos de difícil digestão que possam te causar desconforto na hora da prova. Pela manhã, um café da manhã balanceado e bastante líquido ajudam bastante.
  5. Seja pontual! O examinador chefe vai ler às instruções do exame as 08h30min e nenhum candidato vai ser admitido no local após a leitura das instruções ser iniciada.
  6. Divirta-se! A ideia pode parecer meio contraditória, mas a possibilidade de divertir-se fazendo uma prova de certificação ajuda a reduzir a tensão e o stress. Divirta-se, afinal é apenas mais uma prova, um desafio a ser vencido.

DURANTE O EXAME: Como eu fiz a prova

O CISA é um exame longo e pode ser bastante cansativo, especialmente se você não tiver um bom domínio do idioma da prova.  Pessoalmente eu adoto a abordagem a seguir por que me sinto bastante confortável em termos de tempo. Utilizei um modelo similar durante o CISSP e em ambos os casos conseguir resolver e entregar o exame pelo menos 20 minutos antes do horário de encerramento.

Fazendo o exame!

  1. Tempo: 45 min – Ler rapidamente toda a prova de ponta a ponta sublinhando termos como MOSTLEASTNOT, ALL, eliminando opções que são obviamente falsas (distractors) e respondendo apenas as questões que eu tenho absoluta certeza (ampla minoria);
  2. Tempo2 horas – Segunda leitura da prova resolvendo todas as questões, mas saltando e marcando os itens em que fico com dúvida;
  3. Tempo: 30 min – Terceira leitura para solução apenas dos itens marcados em que fiquei com dúvida;
  4. Tempo: 45 min – Preenchimento do cartão resposta. Tudo bem, não gasto esse tempo todo, mas é importante lembrar são 200 questões para preencher e isso pode tomar mais tempo do que você pensa além de ser bem cansativo e repetitivo. Qualquer erro nessa hora pode implicar em rasuras ou mesmo em uma marcação errada, jogando pelo ralo todo o esforço e estudo. Existem pessoas que preferem ir preenchendo o cartão resposta conforme resolvem as questões, pessoalmente eu não acho eficiente.

Dicas importantes:

  • O CISA utiliza o modelo melhor resposta onde pode existir mais de uma opção aparentemente correta. Cabe ao candidato deve interpretar e escolher a mais adequada para a situação apresentada. Leu minha dica sobre resolver questões oficiais? #POISÉ
  • Se você é um auditor ou gestor, procure reforçar a perspectiva da tecnologia;
  • O contrário também é muito importante. Se você tem uma formação eminentemente técnica, procure pensar como um gestor, auditor ou mesmo alguém de uma área de negócios (e.g. diretor financeiro, contador);
  • Existem 200 questões que devem ser respondidas em 4 horas, isso dá aproximadamente 70 segundos por questão. Claro, existem questões que você vai responder em menos de meio minuto, mas é sempre muito importante controlar o tempo. Se uma questão está levando mais de dois minutos para resolver, talvez seja interessante marcar para resolver depois e passar para a próxima;
  • RTFQ! Leia atentamente cada uma das questões e opções. Entenda o que está sendo perguntado e você tem boas chances de se sair bem. Termos como MOST, LEASTNOTALL requerem maior atenção. Pessoalmente gosto de sublinhar ou circular para que fiquem em destaque.
  • Mantenha o foco na questão atual, ficar pensando nas questões já respondidas ou marcadas para resolver depois só vai atrapalhar sua concentração.
  • Leia todas as opções, nunca marque uma opção sem ter lido as demais. E não se esqueça: você quer A MAIS CORRETA.
  • Responda TODAS as questões. Você não perde pontos por responder errado, apenas deixa de ganhar 😀 se precisar CHUTE, mas faça isso de forma consciente, veja a dica a seguir;
  • Método de eliminação: na maioria das questões vai existir uma opção obviamente falsa, descarte-a imediatamente. Procure ver se nas opções restantes existe algum conflito, oposição ou contradição. Geralmente, a resposta correta é aquela que possui mais informações.
  • Alongar e relaxar: Ficar sentado por aproximadamente quatro horas pode ser bastante desconfortável. Se você está muito estressado ou tenso, ou você está fisicamente desconfortável​​, é difícil se concentrar e pensar direito. Eu recomendo pequenos intervalos, pelo menos, uma vez a cada hora ou em momentos de desespero :D. Relaxe seus músculos e sua mente. Se puder, use o ambiente. No meu caso fiz o exame em uma sala de ensino primário e aproveitei para ficar vendo os desenhos da criançada.
  • Não entre em pânico! Manter a calma é essencial e vai ajudar a manter sua concentração. É um exame longo para obter uma certificação de valor que pode ter um impacto sobre sua carreira e seu futuro. Mas quando o dia do exame chegar tenha fé em si mesmo e saiba fez todo o possível para se preparar e passar no CISA.

Aos que vão fazer o exame desejo boa sorte e espero que essas dicas lhes ajudem no caminho da certificação.

Se você tem alguma outra dica ou sugestão deixe um comentário.


Links e referencias:

Curso oficial CISA no DARYUS EDUCATION CENTER

Effective Approach and Practical Tips for CISA Exam

http://passcisa.blogspot.com

ISACA

ISACA SP

PDF – Palestra: Auditando Segurança da Informação – Combatendo fraudes e controlando riscos

Prezados colegas,

Estou disponibilizando AQUI o material de apoio da palestra que apresentei no dia 31/03 durante o Seminário de TI da turma de MBA de Governança de TI na FIC/CE. Novamente, agradeço ao Prof. Otávio Frota pelo convite.

Auditando Segurança da Informação - Combatendo fraudes e controlando riscos

 

Por que falham planos de recuperação de desastres e continuidade de negócios?

Sim, essa é a imagem mais batida sobre DRP, mas não tem nenhuma outraa que expresse tão bem planos intuitivos!
Scott Adams – Dilbert : Cartoon amplamente divulgado mas que não tem igual quando o assunto é mostrar a fragilidade de um PRD.

Planos de recuperação de desastres (PRD) e continuidade de negócios (PCN) nos preparam para lidar com crises e podem ser resumidos como diversas ações preventivas ou corretivas que são sistematicamente estabelecidas e condensadas em um plano que, quando ativado, deve reger ações de pessoas chave da organização e seus resultados podem simplesmente ser a diferença se a organização vai estar lá amanhã.

Entretanto, como já dizia herr Helmuth: “Nenhum plano de batalha sobrevive ao contato com o inimigo.” Esta máxima do estrategista pode ser perfeitamente aplicada a qualquer cenário de crise onde sempre vai existir um certo nível de incerteza.

Voltando ao tópico deste artigo, existem diversos motivos pelos quais mesmo o melhor dos planos pode falhar.

Muitos planos falham desde o seu início devido a uma análise de riscos ou mesmo uma análise de impacto nos negócios mal elaboradas e que não representam a realidade da organização.

Hoje vamos focar em um dos aspectos mais importantes e que pode simplesmente acabar com o mais bem elaborado dos planos. Para isso vou pedir a ajuda de minha série preferida: Os Simpsons.

Mr. Burns e a simulação de incêndio

Recomendo parar esta leitura por alguns segundos e dar uma olhadinha neste vídeo do episódio “A montanha da loucura” dos Simpsons:

Os Simpsons – 8ª Temporada Episódio 12 Completo e Dublado.

Se você está sem paciência, segue um resumo: Um belo dia, estando entediado no trabalho o Sr. Burns – dono da usina nuclear de Springfield – resolve agitar as coisas e escolhe um cenário comum a qualquer empresa – um “velho e bom” fire drill (teste de evacuação de incêndio).

Excelent!
Excelent!

O que se vê a seguir são uma série de trapalhadas no estilo Simpsons culminando em Homer trancando a maioria dos empregados e perguntando se tinha ganho o premio por ser o primeiro a sair do escritório. Nada mais longe da realidade, correto?

Não. Posso atestar em primeira mão que já conduzi um teste semelhante em uma instituição financeira que resultou no “Homer local” pegando uma vassoura para tentar silenciar o alarme de incêndio que o estava importunando. Nice!

Se dermos uma olhada mais aprofundada no exemplo dos Simpsons logo vamos descobrir os principais motivos de falha (que acredito serem os mesmos do meu exemplo real):

 

 

Mad dog drill? Esse eu gostaria de ver!
Fire!

Erro I: Nem os melhores planos duram para sempre

Primeiramente vamos olhar os cenários de teste a disposição de Mr. Burns:

• Alerta de derretimento (do reator nuclear)
• Ataque de cachorros loucos
• Ataque de Zepelim
• Evacuação de Incêndio

Como vimos em Fukushima, um alerta de derretimento é obviamente pertinente a uma usina nuclear e quanto a cachorros loucos realmente não sei o que dizer.

Porém, o último ataque de Zepelim foi registrado em 1940 ainda durante a segunda guerra mundial.

 

We all live in a yellow submarine!

Eis o primeiro grande erro. Assumindo que a série dos Simpsons se passava nos anos 90, acredito que deixar um plano que caiu em desuso por 50 anos não possa ser considerado uma boa prática.

Infelizmente, este cenário me lembra muito mais a realidade do que ficção pois como consultor é algo com que me deparo em empresas em diversos portes com uma frequência que considero nada menos que assustadora.

Erro dois: Estamos preparados!

Vamos a uma breve lista das pequenas trapalhadas do vídeo dos Simpsons:

  1. Carl pensa que o alarme de incêndio é o micro-ondas avisando que as pipocas estão prontas
  2. Lenny espera o café ficar pronto antes de sair
  3. Vários empregados correm em aparente desespero
  4. Um empregado usa um extintor para “se defender”
  5. Homer volta a seu escritório para buscar um retrato
  6. Um empregado corre desesperado em círculos sem tomar nenhuma outra ação aparente
  7. O plano de evacuação deveria ser concluído em 45 segundos, mas o Smiters não sabe informar quanto tempo levou, pois o cronometro só marca até 15 minutos

E a cereja do bolo:

  1. Homer (que para quem não sabe é inspetor de segurança) tranca os demais empregados e pergunta se ganhou um premio!

Em resumo o que estamos vendo é:

Sim, isto é mais próximo da realidade do que você está pensando.

Novamente devo dizer que os erros acima apresentados não poderiam estar mais próximos da realidade.

Dentre os muitos exemplos que já vi pessoalmente, ressalto o caso de uma funcionaria que não queria deixar o escritório sem salvar um documento e enviar por email e diversos casos onde pessoas voltaram para buscar algum tipo de pertence pessoal ou da empresa.

Esta é a infeliz realidade dos planos informais que se baseiam na intuição das pessoas. A criação de uma cultura institucional é a chave de sucesso de qualquer PRD ou PCN. Lembre-se sempre: mesmo com uma boa preparação, a reação dos seres humanos é um dos pontos mais imprevisíveis em momentos de crise e em especial durante desastres.

Como escapar dessas armadilhas?

Presumir é a chave do insucesso e a base para criação de planos ineficazes.

  1. Presumir que algo é conhecido, quando na verdade ninguém conhece.
  2. Presumir que algo é simples, quando não o é.
  3. Que existe alguém competente tomando conta deste algo!

Planos de recuperação de desastres ou de continuidade de negócios são elementos “vivos” e devem ser tratados desta forma, não basta criar um bom plano e acreditar que sua organização estará protegida.

PDCA: ABNT NBR 15999-1
PDCA: ABNT NBR 15999-1

Qualquer bom profissional de continuidade de negócios vai lhe garantir que os dois aspectos mais importantes para garantir a pertinência de um PCN a sua organização são revisão e treinamento.

A dinâmica da maioria das empresas acarreta em aquisições, fusões, novos negócios, entrada e saída de colaboradores. Planos devem ser revisados com uma periodicidade regular (recomendo intervalos não maiores que 12 meses) e adequadamente comunicados a todos os indivíduos envolvidos.

Testes periódicos são uma parte essencial, mas cuidado, não faça como o Mr. Burns que aprendeu da forma mais difícil: um teste mal planejado pode ter um impacto bastante similar a um desastre real!


http://www.youtube.com/watch?v=ZHRWg70apMM

http://en.wikipedia.org/wiki/Helmuth_von_Moltke_the_Elder

http://en.wikipedia.org/wiki/Mountain_of_Madness

http://www.abntcatalogo.com.br/norma.aspx?ID=59370