CISSP Elite — Estrategia de estudio
5 Trampas del CISSP
No son obvias, pero le cuestan meses a mucha gente
Mucha gente pierde tiempo con el CISSP no porque sea perezosa, sino porque estudia de la forma equivocada.
El examen no es de memorizar datos. Es de pensar como un lĂder de riesgo.
01
Intentar memorizar el libro
La trampa
Tratan de memorizar todo el CBK o el Official Study Guide. Cientos de páginas, definiciones, listas. Subrayan todo. Pero las preguntas del CISSP preguntan qué es BEST, qué es FIRST, qué es MOST important — la memoria sola no resuelve eso.
Qué hacer
Estudia cada tema con una pregunta en mente: "¿Qué riesgo reduce esto?"
Backups → reduce riesgo de pérdida de datos
Cifrado → reduce riesgo de divulgación
Separación de funciones → reduce riesgo de fraude
Si entiendes el riesgo detrás del control, muchas preguntas se vuelven fáciles.
02
Practicar preguntas muy temprano
La trampa
Saltan a Boson o LearnZapp en la primera semana. Responden cientos de preguntas, sacan 50-60% y piensan "solo necesito más preguntas". Pero las usan como método de estudio, cuando en realidad son una herramienta de diagnóstico.
Qué hacer — 3 fases
1 APRENDER
Leer y entender conceptos
2 EVALUAR
Sets pequeños de preguntas por tema
3 SIMULAR
Exámenes completos cerca del final
Las preguntas sirven para verificar tu pensamiento, no para aprender todo.
03
Estudiar dominios como silos aislados
La trampa
Tratan los 8 dominios como materias independientes. Dominio 1 → terminar → olvidar. Dominio 2 → terminar → olvidar. Pero el examen mezcla conceptos entre dominios. Una sola pregunta puede combinar gestión de riesgo, clasificación de activos, control de acceso y requisitos legales.
Qué hacer
Construye conexiones entre dominios. Piensa en sistemas, no en capĂtulos.
Riesgo
→
Identificar activos
→
Clasificar datos
→
Asignar controles
→
Monitorear
Por eso ISC2 lo llama un examen de gestión, no un examen técnico.
04
Exceso de profundidad técnica
La trampa
Ingenieros de seguridad se van muy profundo: matemáticas de cifrado, estructura de paquetes, sintaxis de reglas de firewall. Estudian lo que ya les gusta. Pero el CISSP rara vez pregunta detalles técnicos profundos.
Qué hacer
EnfĂłcate en la toma de decisiones, no en la ingenierĂa. En vez de "ÂżCĂłmo funciona AES internamente?" pregĂşntate:
• ÂżCuándo deberĂa usarse cifrado?
• ¿Qué riesgo reduce?
• ¿Qué control va antes del cifrado?
• ¿Qué control debe existir después?
El examen evalĂşa juicio, no configuraciĂłn.
05
Ignorar la mentalidad de gerente
La trampa más grande
Responden como ingenieros: "Bloquea la IP", "Instala un firewall", "Parchea el servidor". Pero el CISSP espera mentalidad de lĂder de riesgo.
Qué hacer — antes de elegir una respuesta, pregúntate
• ÂżEsto es una decisiĂłn de polĂtica?
• ¿Esto reduce un riesgo?
• ÂżHay un paso de proceso antes de la tecnologĂa?
Muchas veces la respuesta correcta es: hacer un análisis de riesgo, actualizar una polĂtica, clasificar el activo o involucrar a la direcciĂłn. La tecnologĂa casi siempre viene despuĂ©s.
âś“
Regla que te ahorra tiempo
Cuando estés atrapado entre respuestas, aplica este orden:
Personas
→
Proceso
→
TecnologĂa
El CISSP casi siempre prefiere respuestas en ese orden.
Luis Sosa
Llenando Latinoamérica de CISSPs
CISSP ELITE
