CISSP sertifikası sürecini tamamladıktan sonra tanıdığım veya tanımadığım kişilerden sıkça sorular aldım. Bu durum bana kendi hazırlık sürecimin başlangıcını hatırlattı. Açıkçası benim de kafama takılan birçok nokta olmuş, tüm sorularıma cevap veren derli toplu bir kaynak bulmakta zorlanmıştım. Bu nedenle tecrübelerimi “CISSP Hazırlık Notları” şeklinde paylaşmaya karar verdim.
Aslında özünde, konu ile ilgili tüm bilgilere başta kurumsal web sitesi olmak üzere farklı kaynaklardan bir şekilde ulaşılabilir. Bu bağlamda bende bu public bilgiler dışında bir bilgi paylaşacak değilim. Ki zaten bu ISC2 Etik kuralları gereği mümkün değil.
Bu bağlamda yapmak istediğim şey, sürece sıfırdan başlayıp belirli noktalarda takılmış bir aday gözü ile bildiklerimi olabildiğince basit ve nokta atışı bir şekilde toparlamaya çalışmaktan ibarettir.
Anlatımı basitleştirmek adına her türlü teknik detaya girmeyeceğim. Bu nedenle yazıdan sadece fikir amaçlı faydalanılmasını, doğrudan kaynak olarak kullanılmamasını ve bilgilerin offical siteden teyit edilerek hareket edilmesini rica ederim
Umarım bazı arkadaşlara faydam dokunmuş olur.
CISSP sertifikasını kimler almalıdır?
CISSP sınavı için öğrenilmesi gereken bilgiler ve sorulan sorular çok geniş bir alana yayılmış ancak derinlik seviyesi az olan bilgilerdir. Bu nedenle CISSP’e hazırlanırken öğrenilmesi gereken şeyler için “1 mile long ve 1 inch deep” diye tarif yapılır.
Bu bağlamda CISSP, bilgi güvenliğinin özel bazı alanında derinlemesine uzmanlık gerektirmeyen, ancak her alanında belirli bir seviye bilgi ve tecrübe sahibi olmayı gerektiren bir sertifikadır. Bu nedenle yöneticiler veya bilgi güvenliğinin farklı alanlarda danışmanlık verip her konuda belirli seviyede bir bilgiye ihtiyaç duyan danışmanlar için daha uygundur.
CISSP sertifikasını kimler alabilir?
CISSP sertifikası için en temel gerek şart sınavı geçmek ve belirlenmiş 8 adet domainden en az 2 tanesi için toplamda 5 yıl sektör tecrübesine sahip olmak. Bu bağlamda Bilgi Güvenliği ve Bilgi Teknolojileri alanında temel seviyede altyapısı olan herkes yeterince çalışma ile sertifikayı alabilir.
Ancak soruyu biraz daha özel hale getirirsek şu şekilde sorabiliriz. “CISSP sertifikasını almak kimler için daha kolaydır?”. Kanımca bu soruya verilecek cevap konunun anlaşılması için daha gerçekçi ve önemli olacaktır.
Benim gözlemime göre bu sorunun cevabı şu şekildedir.
İş ve eğitim tecrübesi belirli bir alana yoğunlaşmak yerine farklı alanlara dağılmış kişiler bu süreci daha kolay atlatabilir. Örneğin çok iyi bir sızma testi uzmanı veya sistem güvenliği uzmanı bu altyapısına rağmen sınavda zorlanabilir. Öte yandan; bilgi güvenliği yönetim sistemi üzerinde varlık yönetimi ve risk analizi yapmış, kriptografik sistemler aşina olmuş, yazılım geliştirme süreçlerinde temel seviye tecrübe edinmiş ve bununla beraber derinlemesine olmasa bile IT güvenliği ile uğraşmış bir kişinin süreçte daha az zorlanamsı ve daha başarılı olması beklenebilir.
Sınav başvurusu nasıl yapılır?
Sınav için başvurusu için ISC2’ nin kurumsal web sitesi üzerinden hesap oluşturularak başvuru yapılabilir. Bu noktada yapılacak işlemler oldukça basit sayılabilir.
Sınav ücreti ne kadardır?
Sınav ücreti 2021 başı itibarı ile 650 Euro’dur. Bunu tahmin edeceğiniz üzere başvuru aşamasında ödemeniz gerekmektedir. Bunun dışında masraf var mı diyorsanız ona daha sonra geleceğim.
Sınava nerede girilir?
Sınava ISC2 tarafından belirlenmiş sınav merkezlerinde girilir. Sınav Merkezi Türkiye’de 2 tane olup, biri Ankara’da diğeri ise İstanbul’dadır. Sınav merkezlerinin tam adreslerine official siteden erişebilirsiniz.
Sınav tarihi nasıl alınır?
Sınav için giriş tarihinizi başvuru esnasında seçmeniz gerekmektedir. Seçtiğiniz sınav merkezine bağlı olarak önerilen tarihler 6 ay sonra olabileceği gibi 3 gün sonra da olabilir. Bu 3 gün sonrasına açılan tarihler muhtemelen sıvını erteleyen veya iptal eden adaylardan kaynaklanmaktadır.
Sınav tarihi değiştirilebilir veya iptal edilebilir mi?
Sınav için başvuru yapıp tarihi aldıktan sonra 24 saat öncesine kadar sınavı iptal edebilirsiniz. Bu durumda 100$ bedel ödeyerek süreçten çıkabilirsiniz.
Eğer sınavı iptal etmeden yeni bir takvim almak isterseniz yine en az 24 saat önce haber vermeniz gerekir. Bu durumda 50$ bedel ödeyerek sınav takviminizi değiştirebilirsiniz.
Bu bedellerin 2021 başı itibarı ile geçerli rakamlar olduğunu belirtmek isterim.
Sınava ne kadar çalışmalı?
Tabiki bu hazırlanan kişinin altyapısına bağlı olarak değişir. Ayrıca hazırlanan adayın günlük çalışabileceği zaman miktarı kritiktir. Ancak kendi deneyimlerimden ve arkadaşlarımdan aldığım izlenimlere göre standart bir işte çalışma esnasında sınava hazırlanacak bir aday için 3–5 ay arası bir hazırlık zamanı idealdir.
Sınava çalışmak için kaynaklar nelerdir?
Sınava hazırlanırken elbette çok fazla kaynaktan faydalanılabilir. Ancak doğrudan CISSP odaklı kaynakların sayısının görece olarak fazla olmadığını düşünüyorum. Özellikle soru kaynağı olarak farklı platformlarda ortaya çıkan kaynaklarda maalesef sıkça daha önceki birkaç kaynaktan alıntılanmış soruları görmek mümkündür.
Aşağıda kendi adıma faydalandığım ana kaynakları listelemek isterim.
- Official (ISC)² CISSP Study Guide
(Resmi ana kaynak olarak temel alınması gerektiğini düşünüyorum. Baştan sona en az 1 kez okunup gerekli durumlarda dönüp bakılmalı)
- Official (ISC)² CISSP Practice Tests
(Sınav soruları ile çok benzerlik olmasada öğreticilik açısından tamamlanması gereken bir set olduğunu düşünüyorum)
- Official CISSP Study and Practice Tests Apps
(Pratik öğrenim açısından faydalanılması gereken bir kaynak diye düşünüyorum)
- CISSP Certification Introduction and Exam Tips
(Süreç başlangıcında size genel olarak fikir verecek free ve kısa bir Udemy eğitimi.)
- Boson CISSP Practice Exam
(Sınav simülasyonu açısından gerçek sınav ile maximum benzerlik sağlayan bir kaynak olduğunu düşünüyorum. Ayrıca soru cevaplarındaki açıklamaların kitap seviyesinde öğretici olduğunu düşünüyorum. Paralı olması en büyük handikap.)
- Eleventh Hour CISSP-Eric Conrad
(Görece eski bir kaynak olmasına rağmen, hızlı konu tekrarı için güzel ve öz bir kaynak olduğunu düşünüyorum.)
- The Memory Palace — A Quick Refresher For Your CISSP Exam!
(Görece eski bir kaynak olsa da, hızlı tekrar için çok güzel bir konu özeti içerdiğini düşünüyorum.)
Destination Certification Mind Map Slides-Rob Witcher
(Kısa youtube videoları ile uzun ve karmaşık konu deryası üzerinde size güzel bir mind map sağladığını düşünüyorum.)
- CISSP Practice Questions of the Day from IT Dojo
(Youtube videoları ile soru çözümleri sağlıyor. Kendi adıma gerçek sınava yakın bakış açısı elde etmek için güzel bir kaynak olduğunu düşünüyorum.)
- CISSP Practice Test Free 2021 (https://play.google.com/store/apps/details?id=com.abc.cissptest)
(İçerdiği soruların birçoğu farklı kaynaklardan toparlama. Ancak uygulamanın içerdiği soru sayısı ve kullanım şekli açısından öğrenmeye oldukça faydalı olduğunu düşünüyorum. )
Bunun dışında forumlar, telegram grupları vs. kaynaklardan faydalanılabilir. Ancak ekndi adıma bunların dedike bir çalışma için çok ideal olmadığını düşünüyorum.
Sınava nasıl çalışılmalı?
Çalışmaya başlama aşamasında bazı arkadaşlardan doğrudan soru çözmeye odaklanma tavsiyesi almıştım. Bu şekilde de başladım. Ancak ilerledikçe konuların mantığına inmeden ilerlemenin mümkün olmadığı sonucuna vardım. Bu kapsamda başta official guide olmak üzere, konuların mantığı temelinde çalışma yaptıktan sonra soru çözmeye odaklanmanın mantıklı diye düşünüyorum.
Bu savımı destekleyen bir diğer konuda şudur. Sadece soru çözümüne odaklanmak istense bile bu durumda da yeterince özgün soru bulma zorluğu ortaya çıkmaktadır. Doğrudan CISSP referanslı kaynaklardan sorular araştırıldığında çoğunlukla birbirinin tekrarı sorulara rastlanmaktadır.
CISSP’den bağımsız referanslı kaynaklara yönelince de bu kaynakların sizi tamamen başka bir taraflara odaklama riski doğmaktadır..
Bu kapsamda, sadece soru çözme odaklı değil ilgili kaynaklardan konuları özümseyerek ilerlemek gerektiğini düşünüyorum.
Çalışma sürecinde dikkat edilmesi gereken diğer bir nokta ise “1 mile long-1 inch deep” mottosundan uzaklaşılmamasıdır. Bu nedenle kapsamda olan sayısız konu başlığı içinde, konu derinliklerinde kaybolmamaya dikkat edilmelidir.
Sınavdaki soru ve düşünce mantığı nasıldır?
Sınavın genel mantığında, adayların konuları ezberlenmesi yerine temel mantıklarını anlama durumlarını kontrol etmeye yönelik bir yaklaşım hissedilmektedir.
Bu kapsamda CISSP mantığında sorulan sorularda çoğu zaman cevap net ve objektif bir şekilde kendini belli etmemektedir. Cevaplar, sahip olduğunuz bilgileri ince nüanslardan geçirerek doğru yorumlamaya dayanmaktadır. Bu yorumlama durumu, adaydan adaya değişebileceği gibi aynı adayın farklı zamanlarda odaklanacağı farklı bakış açılarına göre bile değişiklik gösterebilir. CISSP sınavını zor yapan nokta da zaten budur.
Öyleki gerçeğe uygun bir deneme sınavına veya gerçek sınava katılan adaylar 100 soru çözündüklerinde gerçek sonucu öğrenene kadar % kaç başarı elde ettikleri konusunda gerçek bir tahmin yapamazlar. Bu tahminler %20 ile %90 arasında değişebilir.
Bu bağlamda başlangıçta belirtildiği şekilde, konuları ezberlenmesi yerine temel mantıklarına odaklanılmaktadır.
Süreçte başarılı olmanın temel noktalarından birisi karşılaşılan soruları çözerken sınavın mantığına uygun bakış açısını yakalamaktır. Bu kapsamda çok sayıda “tips and tricks” şeklinde bilgilendirmeler mevcuttur. Bunların en popüleri Kelly Handerhan tarafından yapılmış tavsiye listesidir. İlgili eğitim videosuna buradan ulaşılabilir.
Fikir vermesi açısından bu tarz ipuçlarından bazıları aşağıda listelenmiştir.
- Soruları değerlendirirken teknik bir sorumlu gibi değil yönetici gibi düşünün.
- İdeal çözümlere değil yönetim açısından en faydalı sonuçlara odaklanın.
- Fiziksel güvenliği önde tutun.
- İnsan sağlığı ve güvenliğinin en öncelikli madde olması gerektiğini unutmayın.
- Genel sorumluluğun üst yönetimde olması gerektiğini dikkate alın.
- Çoğu zaman cevaplarda seçilmeye uygun birden fazla seçenek olacaktır. Uygun değil, en uygun veya en kritik cevaba odaklanın.
- Cevaplarda biri diğerlerini kapsıyorsa ona odaklanın.
Sınav anı için özel bir tavsiye var mıdır?
Sınav anında sorulara odaklanırken yukarıda örnek maddelerin verildiği düşünce mantığına uygun hareket edilmelidir. Tabiki bu düşünce mantığının sınav öncesi çalışmalarda oturmuş olması gerekir.
Sınav anında, sorulara emin cevap verememek kaynaklı stres olabilir. Çok fazla kişinin sınav ortasında artık başarılı olamayacağını düşündüğü halde sınav sonunda başarılı olduklarına dair tecrübeler paylaşılmaktadır. Bu kapsamda sınav sonlanana kadar aday asla pes etmemeli motivasyonunu korumalıdır.
Sınav kapsamı ve başarı şartı nedir?
Bu noktada şöyle bir ön bilgi vermek gerekir. Sınav için “Computerized Adaptive Testing (CAT)” ve “CISSP Linear Examination” 2 sistem mevcuttur. Türkiye’de ve İngilizce olarak girilen sınavda uygulanan sistem CAT sistemidir. Bu nedenle bilgilendirmeyi buna göre yapacağım.
Sınav kapsamında aşağıda yer alan 8 adet domainden 100–150 arası soru sorulur. Her bir domainden gelecek soru ağırlığı yine aşağıdaki tabloda verilmiştir.
Sınav başarı şartı ve sınav sonucun öğrenilmesi nasıl olur?
Aşağıdaki bilgiler Türkiye’de ve İngilizce olarak girilen sınavda uygulanan sistem CAT sistemine göre verilmiştir.
- Kullanıcıya 180 dakika süre verilir.
- Kullanıcıların sınavda %70 üzeri puan alması beklenir. Bu kapsamda her bir kullanıcıya ilk olarak 100 soru sorulur.
- Kullanıcı 100 soruyu tamamladığında %70 üzeri bir başarıya sahipse doğrudan başarılı sayılarak sınav sonlanır.
- Eğer 100 soru tamamlandığında %70 başarı altında ise, adaya ek sorular sorulur.
- Aday 150 soruya ulaşana kadar herhangi bir noktada %70 başarının üzerine çıkarsa yine aday başarılı olarak sınav sonlanır. Bu kapsamda örneğin bir adayın sınavı 100 soruda başarılı olarak biterken, diğerinin sınav 115. soruda bitebilir.
- Öte yandan sınavın herhangi bir noktasında, adayın kalan tüm soruları doğru yapsa bile %70 başarıya ulaşamayacağı bir noktaya gelirse sınav anında başarısız olarak sonuçlanır.
- Örneğin bir aday 82. soruya geldiğinde yanlış sayısı çok fazla olursa ve 150. soruya kadar tüm soruları doğru cevaplasa bile toplamda %70 başarıya ulaşma ihtimali olmazsa adayın sınavı başarısız olarak sonuçlanır.
Sınav esnasında yukarıda verilen başarı kriterleri bağlı olarak bir noktada bilgisayar ekranında sınav ortamından çıkılması ile sınav sonlanmış olmaktadır. Bu noktada aday kesin olarak geçtiğini veya kaldığını bilemez.
Ancak;
- 100. Soruya gelmeden sınav sonlanmışsa aday başarısız olduğundan emin olabilir.
- Tam 100. Soruda sınav sonlanmışsa büyük ihtimalle aday başarılı olmuştur.
- 100–150 arası bir noktada sınav sonlanmışsa aday için en muğlak durumdur.
Her durumda aday sınav salonundaki görevliye gittiğinde, görevli kendisine bir çıktı ile beraber sınavda başarılı olup olmadığını tebliğ eder.
Sınav sonrası süreç nasıl işliyor?
Sınavdan başarısız olma durumunda adaya bir tekrar hakkı verilmez. Süreç en başa döner.
Sınavdan başarılı olma durumunda “endorsement” süreci başlar.
Bu kapsamda yine kurumsal portal üzerinden endorsement formunu doldurmanız gerekir.
Bu süreçte aşağıdaki gereksinimleri sağlamanız gerekir.
- CISSP sahibi bir kişiyi referans olarak göstermeniz ve onun sizin doldurduğunuz formu onaylaması gerekir.
- ISC2 portalında açılmış hesabınızdan size sunulan endorsement formunu doldurmanız gerekir.
- Endorsement formu’da iş tecrübelerinizi ilgili domainlere referans vererek girmeniz gerekir.
- Bu aşamada tecrübelerinizi doldururken o dönemdeki yöneticinize ait; isim, eposta ve telefon bilgilerini girmeniz gerekir.
- Çalıştığınız kurumlarda çalışma belgesi almanız bu aşamada şart değildir.
Formu submit etmenizden sonra bir sorun olmazsa 4–6 hafta civarı bir süre sonunda size dönüş yapılır. Bu süreçte adaylar arasından rastgele seçim yapılarak daha detaylı inceleme yapılır. Eğer bu size denk gelirse sürecinizin çok daha uzun sürmesi ve ayrıca sizden daha detaylı kanıtların istenmesi söz konusu olacaktır.
Sertifikayı ne zaman alıyorum?
Sanırım sizde artık bu kadar süreçten sonra artık sertifika aşamasına ne zaman geçileceğini duymak istiyorsunuz.
Endorsement başvurunuzun onaylanması ile artık sürecin sonuna geliyorsunuz. Eğer süreci en başından iyi incelememiş iseniz burada sizi son bir sürpriz bekliyor.
Güncel miktarı 125$ olan “Annual Maintenance Fee” ödemesini yapmanız gerekiyor. Bununla ilgili detaylara official siteden erişebilirsiniz.
Ödeme işlemini de yaptıktan sonra artık sertifikanız size iletiliyor.
Başarılar dilerim.
Not: CISSP konusunda tarafımca sağlanan destek ile ilgili bilgi almak için bilgilere bu sayfadan erişebilirsiniz.