Через тернии к звездам или как я подготовился к получению сертификата ISACA CISM за две недели
Сертификация для
подготовки менеджеров по информационной безопасности ISACA CISM (Information Systems Audit and Control Association Certified Information Security Manager) - одна из наиболее престижных в мире. Программа CISM
аккредитована Американским национальным институтом стандартов (ANSI) и признается
во многих странах. Обладатель подобной сертификации считается профессионалом в
области управления корпоративной информационной безопасностью, что дает
существенные возможности для карьерного роста. Я работаю в области
корпоративной безопасности и компьютерной криминалистики уже больше 5 лет. В 2017
году я решил продолжить своё профессиональное обучение и пройти международную
сертификацию. Теперь я хочу поделиться своим опытом получения сертификата ISACA CISM, рассказать о том, какие моменты стоит учитывать, а также
дать несколько практических советов тем, кто решится ввязаться в эту авантюру.
В себя я пришел за две недели до экзамена с шокирующим пониманием того, что даже не открывал подготовительные материалы. До этого момента на работе был жуткий аврал - в середине января 2018 года начался умопомрачительный по объемам и сложности проект, перечеркнувший все мои амбициозные планы. Каждый, кто работает в консалтинге, знает, что практически любой новый проект – это новый опыт, задачи и сложности, решение которых может полностью поглотить тебя. В итоге проект длился около двух с половиной месяцев, на протяжении которых у меня практически не было свободного времени для подготовки. Осознав весь ужас происходящего, я какое-то время находился в полной уверенности, что не успею подготовиться, провалю экзамен и потеряю деньги. На секунду я даже подумал, что не оказался бы в этой неудобной ситуации, если бы «ехал с личным водителем» на дополнительных курсах, а не в «общественном транспорте» самоподготовки. Но это не точно…
Оказавшись практически на дне отчаяния, я решил было и вовсе отказаться от
и попытки сдачи экзамена. Но вдруг я осознал, что я буду не я, если не получу
этот сертификат. К тому же, таким образом я бы в какой-то степени подвел коллег
и руководителя. В тот момент меня слово осенило. Я вдруг почувствовал в себе прилив
сил и уверенности - мне не хватало только большой буквы S на груди,
развивающегося за спиной красного плаща и героической музыки на заднем плане. В
общем, я собрал волю в кулак, вытер слезы и твердо решил в двухнедельный срок
подготовиться к первому в жизни профильному экзамену на английском языке.
Ну и финальное - несколько советов тем, кто все же решится стать ISACA CISM
Язык
Человек, который впервые ступает на путь получения сертификата, безоговорочно обречен наткнуться на целый ряд препятствий. Одним из первых барьеров, которые необходимо будет преодолеть, на мой взгляд является язык. Сам сертификационный экзамен длится 4 часа и представляет собой тест, состоящий из 150 вопросов на английском языке. Это значит, что в среднем на решение одного вопроса необходимо потратить не более 96 секунд, то есть около 1,5 минут. За это время необходимо не только прочесть формулировку вопроса, состоящую обычно из 4-6 предложений на технико-бизнесовом английском, но и понять, в чем его суть, а также выбрать правильный ответ. Конечно, ISACA предоставляет возможность сдачи экзамена на нескольких языках, среди которых, как ни странно, русского нет. Поэтому, если вы не владеете китайским, японским или испанским, то придется сдавать экзамен на языке Шекспира. Да, и естественно, все официальные подготовительные материалы от ISACA в таком случае также будут на английском. Здесь мне нечего вам посоветовать, кроме как учить язык.Стоимость подготовки
Необходимо морально подготовиться к тому, что невозможно бесплатно стать Certified Information Security Manager. Тут придется платить буквально за все – от официальных учебников до обработки ваших документов в ISACA. Изучив в Интернете опыт коллег по цеху и пообщавшись с руководителем, уже обладающим желанным сертификатом, я понял, что по сути есть два способа добраться до цели. Первый – самоподготовка, второй – прохождение дополнительных курсов. В первом случае ты как бы добираешься на общественном транспорте – тебе придется самому прокладывать маршрут на карте, планировать путь, выбирая поедешь ли ты на автобусе или электричке, но и в итоге нужно будет все равно заплатить какую-то сумму. Во втором случае ты едешь с личным водителем – его драгоценное время уже дорого оплачено, он хорошо знает, где можно срезать путь или объехать пробки - это означает, что ты доберешься с комфортом и в срок, если только сам не захочешь сойти. Будучи человеком амбициозным и уверенным в своих силах, но в то же время знающим цену деньгам, я практически без раздумий решил, что до своего сертификата CISM я поеду на общественном транспорте. И вот сколько денег я на это потратил:· вступление в сообщество ISACA: $ 155
· попытка сдачи самого экзамена: $ 525
· официальный учебник CISM Review Manual 15th Edition: $ 135
· доступ к базе данных CISM Review Questions, Answers & Explanations Database: $ 185
Стоит также знать, что даже после того, как станешь CISM, необходимо будет оплатить $ 50 за процедуру авторизации и официального признания в ISACA (CISM Application Processing Fee), а также каждый год оплачивать продление действия сертификации в размере не меньше $ 50. Итого – около 1100 американских долларов за всё удовольствие. Кстати, если предпочесть вариант «поездки с личным водителем», то к этой стоимости можно смело прибавлять от $ 900 до $ 1500 за очные курсы в Москве. Мне отчасти повезло - работодатель любезно согласился взять на себя часть моих расходов, оплатив попытку экзамена.Философия ISACA
Еще один момент, который периодически ставил меня в тупик, - это
особенность самих экзаменационных вопросов. Когда я начал решать вопросы из
рубрики «Самопроверка» электронного учебника, то обратил внимание, что часть из
них как будто не подразумевает единственного правильного ответа. Чаще
предлагалось выбрать НАИБОЛЕЕ ПОДХОДЯЩИЙ вариант, или ЛУЧШЕЕ решение проблемы. Порою
доходило до абсурда – в некоторых вопросах все варианты ответов казались
верными. Чтобы дать правильный ответ, нужно было внимательно вчитываться в
каждое слово вопроса, ведь именно в его формулировке содержались факты, которые
необходимо было учитывать. ISACA предоставляет
возможность ненадолго окунуться в прекрасную атмосферу экзаменационного
мероприятия, пройдя небольшой тестовый опрос, вопросы из которого сформированы
по образу и подобию самого экзамена. Опрос доступен на официальном сайте по
ссылке https://www.isaca.org/-/media/info/cism-practice-quiz/index.html.
Описанное выше является подтверждением следующему факту: в дополнении к
владению профильными знаниями в области защиты информации, важно еще понимать главную
идею практической философии ISACA в вопросах менеджмента
ИБ. Я бы сформировал её так: основные задачи департамента ИБ – это разработка и
внедрение эффективных процедуры управления ИБ, которые бы учитывали желания и
возможности самого бизнеса. Другими словами, информационная безопасность должна
быть рациональной и работать на бизнес, а не наоборот. Эти простые идеи стоит
учитывать при выборе ответов на экзамене. Однако, как я уже сказал, это не
всегда так просто и очевидно, как кажется.
Чтобы натренировать в себе подобное умение, в дополнении к штудированию
электронного учебника я нарешивал вопросы из базы данных CISM Review Questions,
Answers & Explanations Database, доступ к которой предоставлялся через
Интернет. База данных содержала 1000 тестовых вопросов, которые можно было
решать по тематикам или на количество. На каждый мой неправильный ответ
давалось пояснение – я возвращался к изучению теории, читал дополнительную
литературу, изучал мнения. В итоге, такой подход выработал понимание и умение
находить тот самый ЛУЧШИЙ ответ.
Так что мой вам совет – не забудьте купить доступ к тестовой базе данных и каждый
день на подготовке решайте хотя бы десяток вопросов – точно лишним не будет.
Дефицит времени для подготовки
Еще одно глобально препятствие, с которым может столкнутся каждый – это
отсутствие достаточного количества времени на подготовку. И вот как это
произошло со мной. Приобретя в декабре 2017 года все необходимое для
самоподготовки и держа в голове поговорку «тише едешь – дальше будешь», я
составил подробный план самообучения, согласно которому на протяжении трех месяцев
каждый рабочий день мне нужно было тратить всего по 1,5 часа изучения материала
и еще пол часа на решение тестовых вопросов. Я искренне надеялся, что пройдя
такой сравнительно долгий, но в тоже время спокойный путь, в начале мая 2018
года я без проблем выйду на сдачу экзамена. Но в один прекрасный момент что-то
пошло не так…
В себя я пришел за две недели до экзамена с шокирующим пониманием того, что даже не открывал подготовительные материалы. До этого момента на работе был жуткий аврал - в середине января 2018 года начался умопомрачительный по объемам и сложности проект, перечеркнувший все мои амбициозные планы. Каждый, кто работает в консалтинге, знает, что практически любой новый проект – это новый опыт, задачи и сложности, решение которых может полностью поглотить тебя. В итоге проект длился около двух с половиной месяцев, на протяжении которых у меня практически не было свободного времени для подготовки. Осознав весь ужас происходящего, я какое-то время находился в полной уверенности, что не успею подготовиться, провалю экзамен и потеряю деньги. На секунду я даже подумал, что не оказался бы в этой неудобной ситуации, если бы «ехал с личным водителем» на дополнительных курсах, а не в «общественном транспорте» самоподготовки. Но это не точно…
Как я готовился в условиях дефицита времени
Шаг 1: Разработал четкий план действий и следовал ему
Я изменил план обучения, разработанный еще в декабре 2017 года, и перераспределил свое свободно время так, чтобы эффективно изучить весь материал. У меня оставалось чуть больше двух недель на подготовку, и я решил, что в рабочие дни буду готовиться утром перед работой, примерно с 7:00 до 9:00, и после работы, примерно с 19:00 до поздней ночи. В выходные дни полностью посвящаю себя учебе – с 9:00 до поздней ночи с перерывами на отдых.Шаг 2: Использовал свои преимущества
Я понял, что обладаю рядом неоспоримых преимуществ, которые точно облегчат мою подготовку.A. У меня уже были фундаментальные знания, а также опыт в области информационной безопасности: я окончил кафедру ИУ-8 (Информационная безопасности) в Бауманке, после чего в CSI Group принимал участие в проектах, связанных с анализом уровня зрелости системы менеджмента информационной безопасности российских компаний.
B. К тому моменту у меня уже был неплохой уровень английского языка, так как я постоянно его изучал и использовал: в школе я сдавал ЕГЭ по английскому, в университете ходил на дополнительные курсы, а на работе генеральный директор оказался британцем.
Эти мои действия и
мысли были словно одноместный спорт-кар, в который я пересел после слишком
задержавшейся маршрутки «самоподготовки», и который нес меня к цели, почти
нарушая все законы физики.
Честно скажу, этот
короткий, но стремительный путь был действительно сложным. Две недели я
приходил с работы и, практически не отдыхая, сразу же начинал «ботать» учебный
материал, тоннами поглощая знания, лопатя несколько десятков страниц учебника,
изучая кучу статей в Интернете и многократно прорешивая тестовые вопросы. За
день до экзамена моя голова была похожа на раскаленный чайник – в ней кипящими
пузырьками булькали мысли про различные ИБ-стандарты, планирование защиты
периметра, выбор DLP-системы, выстраивание векторов атак, оценку рисков и
проч.
Вот еще одна мораль –
планируйте подготовку к экзамену сильно заранее, оставляя для себя лазейку на
непредвиденные обстоятельства. Не забывайте, что всегда есть вероятность
наступления авралов – на работе или дома.
Итог
Я всё-таки сдал экзамен, получил свой сертификат ISACA CISM и стал международным специалистом в области ИБ. Кроме формальных «плюшек» в виде повышения по карьерной лестнице и признания со стороны коллег, я приобрел понимание философии управления корпоративной информационной безопасностью, правильной с методологической и практической точек зрения. Но стоит сказать, что все это стоило мне двух недель жизни, пол тысячи баксов, и нескольких сотен миллионов сгоревших в пепел нервных клеток.
Ну и финальное - несколько советов тем, кто все же решится стать ISACA CISM
1. Если уровень вашего иностранного языка оставляет желать лучшего – то сначала подтяните его. Ходите на курсы и читайте много профильной литературы. Без уверенного знания языка вы не сможете успешно сдать экзамен.
2. Если у вас нет профильных знаний и опыта в области информационной безопасности, вам придется очень сильно постараться. В таком случае советую начать подготовку к экзамену минимум за полгода.
3. Заранее планируйте бюджет, ведь процесс подготовки и сдачи экзамена – удовольствие не из дешевых. Если у вас нет свободных 1000 $, найдите себе спонсора – ваш работодатель может стать кандидатом № 1.
4. Обязательно приобретите официальные материалы от ISACA: как по мне электронная книга + базы данных тестовых вопросов = идеальное сочетание.
Дерзайте. На своем опыте я постоянно убеждаюсь, что невыполнимых задач нет – нужно просто брать и делать!
Комментарии
Отправить комментарий