Cambios en el examen cissp mayo 2021

Jobs & Education

El 1 de mayo de 2021, ISC2 implementó un conjunto actualizado de objetivos para el examen de certificación CISSP para profesionales de seguridad con el fin de mantenerlo relevante a las últimas tecnologías y estándares, requisitos y procesos de ciberseguridad. Se han agregado nuevos conceptos, términos y acrónimos de seguridad de la información y otros están mejor cubiertos.
1
10%
13% 13%
4 Comunicaciones y seguridad de las redes 14% 13% (descenso del 1%)
5 Gestión de Identidad y Acceso (IAM) 13% 13%
Evaluación y ensayo de la seguridad 12% 12%
7 Operaciones de seguridad 13% 13%
8 Seguridad para el desarrollo de software 10% 11% (arriba del 1%)

Cambios en el contenido del dominio

La lista de cambios a continuación es bastante completa, pero no exhaustiva. En la guía de estudio actualizada, también llamo cuando algo es nuevo para 2021.

Contenido relacionado seleccionado a mano:

  • Asesoramiento de expertos: ¿Vale la pena el CISSP?
  1. Seguridad y gestión de riesgos
    • En 1.2, se han añadido autenticidad y no repudio.
    • En 1.9, las transferencias se han añadido a la discusión de la incorporación y terminación.
    • La privacidad se menciona en silencio en 1.10. También en 1.10 se menciona el modelado de la madurez del riesgo (evaluando cuán maduro es el modelo de riesgo de una organización). Espere más contenido del examen en torno a la privacidad en este espacio.
    • En 1.12, se agregó un nuevo acrónimo para la gestión de riesgos de la cadena de suministro (SCRM), el contenido en torno a este tema sigue siendo el mismo, pero tenga en cuenta el acrónimo.
    • En 1.13, se añadieron ejemplos sobre sensibilización y capacitación: ingeniería social, phishing, campeones de seguridad y gamificación.
  2. Garantía de activos
    • 2.3 ahora incluye el contenido en torno al inventario de consentimiento (tangible, intangible) y la gestión de activos.
    • 2.4 tiene nuevos contenidos en torno al ciclo de vida de los datos, las funciones de los datos, la recopilación de datos y la gestión de los datos.
    • 2.5 introduce los términos “fin de la vida” y “fin de la ayuda”.
    • 2.6 tiene actualizaciones menores, como cambiar “datos en movimiento” a “datos en tránsito”. Pero 2.6 también tiene nuevas menciones de DRM, DLP y CASB; anteriormente, no había ningún ejemplo de tecnologías o soluciones. Por lo tanto, asegúrese de que tiene una buena comprensión de DRM, DLP y CASB y puede diferenciar entre ellos si se le da un escenario y debe elegir la solución adecuada.
    • 3.5 introduce las siglas SaaS, IaaS y PaaS. También introduce una plétora de otros tipos de sistemas y servicios, incluyendo microservicios, contenedorización, sistemas sin servidor, integrados, sistemas de computación de alto rendimiento, sistemas de computación de borde y sistemas virtualizados. Enfóquese en los desafíos de seguridad únicos asociados con estos sistemas.
    • En la Sección 3.6, se introduce el cuántico como parte de los métodos criptográficos. También se introducen los “certificados digitales”. Los certificados fueron cubiertos en el examen anterior bajo “Aplicar Criptografía”, pero este es el primer uso del término formal “certificado digital”. Sin embargo, los conceptos siguen siendo los mismos.
    • En 3.9, el término “poder” se introduce en relación con la alta disponibilidad.
  4. Comunicación y seguridad de las redes
      • El título incluye ahora “evaluar y aplicar”.
      • IPv4, IPv6 e IPsec se llaman específicamente, por lo que son casi seguros de aparecer en las preguntas del examen.
      • Se han añadido más ejemplos en la sección sobre protocolos convergentes, incluyendo FCoE, iSCSI y VOIP.
      • La sección sobre microsegmentación se ha ampliado para incluir VXLAN, encapsulación y SD-WAN.
      • En la sección sobre redes inalámbricas, se llaman nuevos ejemplos: Li-Fi, Wi-Fi, Zigbee y satélites. También es nuevo un llamado para redes celulares (4G y 5G) y redes de distribución de contenido (CDNs). Usted debe entender lo que son y cómo diferenciar entre ellos. Manténgase enfocado en los aspectos de seguridad.
    • En 4.3, hay un nuevo elemento para la conectividad de terceros; se centra en terceros que se conectan a la red de su organización, a menudo para realizar trabajo o consumir datos y servicios.
  5. Gestión de la identidad y el acceso
    • En 5.2, se introduce el concepto de justo a tiempo (JIT).
    • En 5.3, relacionado con la identidad federada con un servicio de terceros, se añadió un elemento para las implementaciones híbridas, que abarca un entorno que cuenta con algunas tecnologías locales integradas con algunas tecnologías basadas en la nube para su entorno de identidad federada.
    • En 5.5, el tema del aprovisionamiento y desprovisionamiento se ha ampliado para incluir las transferencias y también hay nuevos elementos para las definiciones de funciones y la escalada de privilegios (cuentas de servicios administradas, uso de sudo y minimización de su uso).
    • 5.6 es todo nuevo y cubre la implementación de sistemas de autenticación, con elementos alrededor de OpenID Connect, SAML, Kerberos, RADIUS y TACACS+.
  6. Pruebas de seguridad y evaluación
    • En 7.1, acerca de las investigaciones, se añadió un nuevo elemento para artefactos (ordenador, dispositivo móvil de red).Los artefactos son restos (información) dejados atrás en los dispositivos que se pueden utilizar en las investigaciones.
    • 7.2 incluye un nuevo elemento que cubre la gestión de registros, inteligencia de amenazas y análisis de comportamiento de usuarios y entidades (UEBA).
    • 7.5 tiene un nuevo elemento para las técnicas de protección de los medios, como proteger físicamente los medios o virtualmente proteger los medios con tecnologías como WORM.
    • 7.7 añade nuevos ejemplos para cortafuegos, incluyendo la próxima generación, aplicaciones web y redes. Esta sección también tiene un nuevo elemento para el aprendizaje automático y herramientas basadas en inteligencia artificial (AI). Asegúrese de entender los beneficios que estas herramientas aportan a la gestión de incidentes.
    • En 7.11, se agregó un nuevo ítem para las lecciones aprendidas. Usted debe entender por qué una organización debe utilizar las lecciones aprendidas, así como cuando en el proceso deben ser usadas.
  8. Seguridad para el desarrollo de software
    • 8.4 llama a las diferentes maneras de adquirir software, con nuevos elementos añadidos para comercial-off-the-shelf (COTS), código abierto, terceros y servicios gestionados. Esté familiarizado con los aspectos de seguridad del software y cómo la seguridad difiere en función de cómo usted adquiere el software.

Preguntas más frecuentes sobre las actualizaciones del examen CISSP

  1. Por lo general, cada 3 años. Los cambios más recientes fueron en 2021, 2018, 2015 y 2012.
  2. ¿Puedo pasar el nuevo examen usando material de estudio antiguo?
    Sí; muchas personas han hecho eso. La clave es tener la experiencia de trabajo y el conocimiento relevante en los temas.
  3. Sin embargo, antes, hubo una prueba limitada de pruebas en casa, que ha terminado. Si eso será una opción en el futuro no se ha anunciado.
  4. ¿Cuál es el punto de actualizar el examen cada pocos años ?
  5. ¿Es el nuevo examen CISSP más difícil?
    La nueva versión de CISSP no es más difícil que la anterior. Con los recursos adecuados que reflejan los cambios, usted puede prepararse para el examen con eficacia.
  1. ¿Cuáles son los requisitos previos para el CISSP?
    Para ser elegible para tomar el examen CISSP, usted debe tener un mínimo de 5 años de experiencia de trabajo en al menos 2 de los 8 dominios CISSP. Sin embargo, si usted tiene un título universitario de 4 años o equivalente, un grado avanzado en seguridad de la información de NCAE-C, u otra certificación de la lista reconocida de credenciales de ISC2, el requisito de experiencia de trabajo se reduce a 4 años.

La experiencia laboral puede estar en un trabajo o en una pasantía remunerada o no remunerada. Aquí está cómo calcular su experiencia:

  • Si tenía un puesto de tiempo completo, acumula un mes de experiencia laboral trabajando al menos 35 horas/semana durante 4 semanas.
  • Si usted trabajó a tiempo parcial (20–34 horas/semana), calcule su total de horas: 2080 horas de trabajo a tiempo parcial es igual a 12 meses de experiencia laboral a tiempo completo.

Brian Svidergol Experto en infraestructura de Microsoft y soluciones basadas en la nube construidas en torno a Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualización y MDOP. Además de escribir libros, Brian escribe contenido de capacitación, libros blancos, y es un revisor técnico en un gran número de libros y publicaciones.

Video: Cambios en el examen CISSP Mayo 2021

Related Posts: