Proteção 360º - Proteja a 'cadeia' de fornecimento.

Você fez um bom trabalho e sua empresa alcançou um nível de risco aceitável no que diz respeito a Segurança da Informação? Que tal agora abordar sua cadeia de fornecimento?

Já parou pra pensar que todas as ações feitas dentro da empresa devem ser estendidas para a sua cadeia de fornecimento? Imaginemos uma pequena empresa que possui seus serviços de contabilidade e advocacia terceirizados em escritórios externos. Todas as contramedidas aplicadas dentro da empresa, seja técnica, administrativa ou operacional precisam ser expandidas para esses prestadores. Temos que lembrar que a sua segurança é tão forte quanto o elo mais fraco e portanto, essas empresas que geralmente não possuem equipes de TI dedicadas e muito menos de segurança, podem ser um alvo para ataques.

Nessas duas áreas específicas (contabilidade e advocacia), os dados são especialmente sensíveis. Vamos fazer um rápido exercício mental listando alguns dos dados sensíveis que estão de posse dessas empresas:

• Contratos com clientes e fornecedores;
• Laudos e pareceres jurídicos;
• Informações de processos;
• Demonstrativos financeiro;
• Folha de pagamento dos funcionários;
• Dados pessoais dos sócios;
• Lista de clientes e fornecedores;
• e muitos, muitos outros.

Agora imaginem para cada um dos itens listados, quais os ataques diretos ou indiretos possíveis utilizando qualquer uma das informações acima?

Algumas vezes, nossos 'terceiros' contratam um quarto prestador e nossos dados 'vazam' para um perímetro fora do nosso controle aumentando muito o risco.

Um bom contrato de prestação de serviços e um NDA forte não é o suficiente para uma proteção efetiva. É necessário que a política de segurança seja estendida a esses parceiros assim como os programas de conscientização em segurança. É necessário criar uma relação que vai além da relação profissional tradicional para se criar receptividade para que o programa interno atinja também essas empresas. Essas questões inclusive devem constar no contrato de prestação de serviço.

Uma pesquisa recente em escritórios de advocacia feita pela "ILTA Technology" mostra os seguintes dados:

• 86% não usam autenticação de dois fatores;
• 78% não usam criptografia em dispositivos USB;
• 58% não usam criptografia nos discos dos laptops;
• 87% não usam tecnologias de rastreamento nos dispositivos móveis.

Saiba exatamente onde estão suas informações e estenda as ações de segurança para alcançar esses e todos os seus fornecedores estratégicos. Aborde todas as questões para garantir a integridade, disponibilidade e principalmente nesses casos, confidencidade das informações!

Definição dos Objetivos [BCP/DRP - Parte 3: Objetivos]

Objetivos
Antes de iniciar as fases de construção e planejamento do BCP/DRP é essencial definir quais são os objetivos desejados. Saber onde se quer chegar irá definir o caminho, estratégia e os recursos investidos nos planos de contingência da empresa.

Geralmente os objetivos de um plano de recuperação e continuidade é medido em tempo. A necessidade do tempo para recuperação de um desastre pode variar de acordo com a área de negócios e isso deve ser levantado com cada uma dessas áreas.

Esse levantamento é chamado de BIA - Business Impact Analysis (Análise de Impacto nos Negócios) e abordaremos esse assunto mais adiante.

Existem três variáveis de tempo que são cruciais para o planejamento do BCP:

• RTO - Recovery Time Objective (objetivo do tempo de recuperação): É o tempo "alvo" a perseguir para a recuperação de um desastre.
• RPO - Recovery Point Objective (objetivo do ponto de recuperação): É o tempo onde se tem uma posição recuperável do sistema antes do ponto de desastre.
• MTO - Maximum Tolerable Outage (queda máxima tolerável): É o tempo MÁXIMO, o deadline até que o negócio ainda possa ser recuperado. Uma recuperação de desastre que ocorra após esse ponto é inútil pois o negócio poderá deixar de existir, os dados recuperados perdem seu valor e o resultado é a falência da empresa. (Esse tempo precisa ser menor do que o RPO de seus clientes por exemplo)

Esses números de tempo influenciam diretamente no custo do plano de contingência da empresa. Quanto mais próximo de "zero" for o RPO maior é o custo da solução e quanto maior for o tempo de recuperação (RTO), maior é a perda financeira sofrida pela empresa.

Se o tempo pós desastre ultrapassar o MTO, as perdas financeiras para a empresa e imagem no mercado serão tão grandes que a recuperação das operações perde o sentido. Atingir o MTO antes de se conseguir a recuperação dos dados e dos sistemas da empresa geralmente causa o colapso da organização e sua conseqüente falência.

Veja abaixo um vídeo com uma explicação simplificada sobre RPO e RTO:

Como achar tempo para Aprender Inglês - [DE VERDADE]

Vou dar uma pausa no guia de BCP/DRP por hoje para abordar outro assunto.

Em 2005 estava em uma "boa" posição profissional, com um inglês 'técnico' muito bom que dava pra arriscar no CV "Inglês Intermediário" (leitura e escrita) - padrão que encontramos por ai na maioria dos profissionais. Nós profissionais de TI somos uns cagões mesmo! Aprendemos inglês por osmose e não nos esforçamos quase nada para dar o passo seguinte. As vezes achamos até que iremos alcançar a fluência com o tempo, tudo por OSMOSE.

ER-RA-DO! Depois que atingimos um nível medíocre nós estagnamos. É isso que irá acontecer na prática.

Lembro do primeiro empurrão que tive. Foi em 1998 quando tentei uma prova da Microsoft e optei por faze-la em português. Por fazer no meu idioma nativo as questões dobraram (política da MS) e a tradução era sofrível. Não deu outra, TOMEI PAU. Tentei de novo, novamente: BOMBA! Mudei a estratégia, estudei com dois dicionários do lado e refiz a prova em inglês e, PASSEI. Fiz mais 6 provas e deu tudo certo. Essa necessidade de me forçar a dar um upgrade no meu "inglês-verbo-to be" me fez subir alguns degraus mas me mantive nesse nível por anos. Estagnei. Só quando perdi uma ótima oportunidade de trabalho fora do Brasil percebi que tinha que remediar essa situação.

Comecei lendo um livro que me ensinou a APRENDER inglês. Esse livro abriu minha cabeça e destruiu várias barreiras. Recomendo: COMPRE AQUI NA SARAIVA. Esse livro foi feito para Brasileiros aprenderem inglês. O autor, um inglês que mora no Brasil há muitos anos e que ensina a língua, mostra os macetes e aponta as dificuldades mais comuns para nativos brasileiros no aprendizado da língua. Junto com o livro, voltei a fazer aulas particulares 'one on one' (mano a mano) com um professor nativo. Acreditem, isso é muito mais barato do que uma escola média com metodologia cansativa e longa.

Aprendi a gostar! Isso foi crucial para meu desenvolvimento. Consegui isso com o livro. Depois de gostar, aprender e desenvolver minha fluência foi só questão de tempo. Comecei a consumir podcasts em inglês. Busquei assuntos que me interessavam e isso não me cansava. Fotografia, tecnologia em geral e segurança me acompanhavam no carro no meu longo translado de casa para o trabalho. Reverti as 3 horas por dia no trânsito em horas de estudo. Alguns dias encarava a CPTM só para ler alguma coisa junto com os audios dos podcasts. Aqui passo uma lista dos principais podcasts que escutava, um desses continuo ouvinte fiel (já há 6 anos). Alguns possuem transcrição de todo o conteúdo do áudio.

• ESLPod.com: Esse foi minha principal fonte no início. O ESLPod é feito por um professor americano residente em (beautiful) Los Angeles, CA. O ritmo e velocidade é perfeito para estudantes intermediários, e o conteúdo possui uma variedade de assuntos que irá ajudar a sair de várias situações do cotidiano. Ele possui também vários livros em audio aos quais comprei quase todos também. Além dos livros há uma área para assinantes que dá acesso a transcrição completa de todos os episódios (3 semanais). (clique aqui e ouça um dos episódios)

• Voice of America Special English: É um site/podcast mantido pelo governo americano feito para "foreign speakers'. (notícias, variedades e exercícios no site) 

Posso dizer que são necessárias 2.000 horas de estudos para se adquirir um bom nível de inglês (vou plagiar essa teoria que está no livro que indiquei acima). Isso significa que se você fizer um "cursinho" de inglês uma vez por semana por duas horas (e não estudar fora da escola), precisará de 20 anos para alcançar o seu objetivo. Antes que você se assuste, vamos fazer um outro cálculo: se você fizer uma imersão nos EUA, tendo contato com a língua praticamente 24 horas por dia, não precisará mais do que 3 meses para atingir o mesmo nível.

Vou dar aqui uma sugestão de plano de estudo focando nas 2000 horas:

• 2hs por semana com professor particular;
• 2hs por dia ouvindo podcasts em inglês (preferencialmente cursos de inglês como o ESL e o VOA de segunda a sexta);
• 15 minutos por dia fazendo exercícios de gramática e vocabulário;
• 2hs - vamos contar também o contato por 'osmose' que temos com a língua e vamos somar tudo:

Já temos aí uma carga de 122hs/mês ou quase 1500 horas por ano. Daí, ao completar um ano, tire férias e faça um curso de verão fora do Brasil e evite qualquer contato com Brasileiros quando estiver lá fora. Imersão em uma língua e isolamento da outra. Com essa estratégia você irá alcançar o alvo de 2000 horas de estudo em menos de um ano e meio!

Se funcionou pra mim certamente pode funcionar pra você.

Conceitos [BCP/DRP - Parte 2: Conceitos]

O plano de recuperação de desastre, é mais conhecido pela sua sigla em inglês DRP, Disaster Recovery Plan e o plano de continuidade de negócios será referenciado no resto deste guia como BCP, Business Continuity Plan.

Uma boa definição prática desses termos é a seguinte:

"Está acontecendo um desastre agora, vamos colocar em prática nosso DRP para recuperar os sistemas e garantir as operações da empresa"

"A situação de emergência passou! Hora de avaliar TODOS os danos e garantir o funcionamento da empresa pós desastre para garantir a continuidade de nossos negócios. Vamos operar nosso BCP"

Enquanto que o DRP está fortemente ligado ao departamento de TI da empresa, o BCP está ligado a todo o negócio. O BCP possui maior abrangência e seu planejamento não deve ser feito sem  o envolvimento das área de negócio da empresa pois ele será o ponto central para garantir o funcionamento da empresa em caso de desastres que causem grandes interrupções.

Disponibilidade (sem esquecer da Confidencialidade e Integridade)
Ao se pensar em DRP e BCP estamos falando de garantir a "Disponibilidade" dos serviços da empresa. Contudo, toda a tríade da Segurança da Informação deve ser observada e não só disponibilidade.

A Confidencialidade e Integridade dos dados não devem ser negligenciadas!

Ativos importantes não devem ser abandonados na planta onde ocorreu o desastre. Lembre-se que é possível recuperar dados de um disco que sofre uma inundação ou incêndio parcial. Documentos importantes podem ter ficado para trás e seu BCP deve contemplar também o tratamento adequado para esses resíduos para garantir que informações vitais da sua empresa não caiam em mãos erradas.

Mais uma vez trazendo um exemplo recente dos prédios que desabaram no RJ em Janeiro de 2012, os entulhos, junto com papeis, documentos e restos de computadores foram tratados por empresas públicas e terceiros e ouve caso de desvio de materiais. Além de bens recuperáveis, informações importante poderiam cair em mãos erradas colocando em risco o negócio da empresa. É sempre bom nos perguntarmos em cada momento do plano de ação de DRP e BCP e não está havendo negligência em todos os três pontos principais da segurança da informação: Confidencialidade, Integridade e Disponibilidade.

Introdução a BCP e DRP [BCP/DRP - Parte 1: Introdução]

Introdução

As empresas que se preparam para desastres são a esmagadora minoria. Cada tipo de empresa, micro, pequena, média ou grandes corporações subjuga eventos que podem comprometer toda a operação da empresa. Seja ela um Home Office de um consultor, um pequeno escritório de administração de imóveis, fábricas ou mesmo uma corporação global, cada uma dessas empresas, em sua maioria negligencia algum tipo de risco e não se preparam para desastres.

As empresas precisam ter em mente que um desastre não é só uma grande tragédia natural como uma grande enchente, terremoto ou tsunami. Até mesmo ações simples podem desencadear algum evento(s) que possam resultar na parada total das operações das empresas.

Eu como muitos aprendi da pior forma possível quando no início dos anos 90 perdi todos os códigos fonte de uma aplicação de folha de pagamento que eu mantinha para uma pequena prefeitura do interior. Dura lição para quem hoje não negligencia mais os backups.

Temos muitos exemplos de desastres que varreram do mundo corporativo grandes companhias, como no caso do colapso das torres em Nova Iorque em 2001, como recentemente o desabamento dos prédios no centro do Rio de Janeiro. Além das vidas perdidas que nunca poderão ser substituídas, essas empresas perderam sua capacidade de continuar operando pela falta de um plano que resguardasse pelo menos as informações mais críticas para que o negócio continuasse operando em case de desastre. Por outro lado vimos também que a devastação causada pelo Tsunami no Japão recentemente teve um impacto muito menor do que o potencial destrutivo da tragédia. Além da pequena perda de vidas, que proporcional ao desastre foi pequeno, a grande maioria das empresas tinham planos de recuperação de desastres e de continuidade de negócios. Essas empresas tinham equipes treinadas, planos claros de ação em caso de qualquer desastre e as equipes responsável haviam sido treinadas e faziam exercícios regulares sobre como se recuperar de um desastre e depois disso garantir as operações da empresa.

Pensando em uma escala menor de desastre, devemos nos perguntar de estamos preparados para pequenas falhas nos sistemas e infraestrutura que suporta a empresa:

Há um backup regular dos dados e testes periódicos de recuperação de arquivos e dados?

Por mais elementar que possa parecer, o backup é um item que é negligenciado em todos os tipos e tamanhos de organização. Em muitas das pequenas empresas ele nem sequer é feito. Em médias e grandes empresas o backup não cobre 100% dos sistemas críticos da empresa e o mais importante, raramente são feitos testes de restauração de arquivos periodicamente. Auditoria desse processo então... nem pensar. Normalmente os administradores dos sistemas são responsável por fazer o backup, rodar os testes de restauração (quando esses existem), e validar o resultado.

E se o hardware de um servidor crítico parar?

Para pra pensar e mentalize todos os servidores críticos da sua empresa respondendo a si mesmo se sua empresa está pronta para agir caso qualquer um desses servidores para por uma falha no hardware. Pense mais um pouco. Você possui discos reserva para substituir possíveis falhas de HD? Seus servidores possuem redundância de fontes e alimentação elétrica? Sua infraestrutura está devidamente protegida contra raios e surtos elétricos? Os contratos de garantia com esses servidores estão vigentes? Você possui contrato com fornecedores com um SLA definido para substituição de peças e equipamentos?

Se ao ler isso você sentiu um frio na barriga então você deve pensar mais seriamente e se preparar para enfrentar todas as eventualidades possíveis. De pequenos eventos como a quebra de um HD em um servidor, a incêndios e inundações.

Esse pequeno guia é para lhe ajudar a pensar, planejar, e implementar planos de Recuperação de Desastres e Continuidade de Negócios para sua empresa, tenha ela o porte que tiver.

(acompanhe nesse blog as postagens seguintes do guia completo de BCP e DRP)

Certificação CISSP (ISC2) - Review

[texto atualizado em 02/02/2012 - em vermelho]

Introdução

Eu particularmente sou adepto de certificações profissionais. É claro que as certificações não garantem por si só a excelência técnica de um profissional contudo, falo sem medo de errar que em um grupo de cem profissionais certificados, há mais ótimos profissionais que num grupo de cem não-certificados.

É fato que algumas certificações, principalmente de produtos não "puxam" o postulante a um aprofundamento necessário para se alcançar o conhecimento que se espera de um profissional 'certificado'. Há certificações que são dadas automaticamente após a conclusão do curso sem uma avaliação da absorção do conhecimento e algumas que, quanto mais profissionais certificados no produto, melhor para a empresa/produto. Essas questões certamente influenciam na qualidade do programa de certificação e algumas empresas fizeram grandes formulações em seus programas de certificação para não perder sua credibilidade.

Não creio que a certificação CISSP da (ISC2) seja perfeita mas certamente é a mais bem 'cuidada' dentre todas as que conheço. Neste review irei compartilhar como foi minha estratégia de estudo, investimentos e tempo gastos até conseguir sucesso na prova. Tentarei abordar assuntos que não vi em outros reviews que encontrei na internet.

Estratégia de Estudo e Materiais

Desenhei uma estratégia de estudo gradativa. Meu objetivo final era o CISSP mas resolvi, como forma de estudo gradativo, fazer duas certificações 'intermediárias' por nível de dificuldade até encarar a prova da ISC2. Queria fazer a prova da Módulo, três meses depois Security+ (CompTIA) e depois de mais três meses CISSP.

Fiz o curso on-line da Módulo mas não consegui termina-lo. O material é muito estático e cansativo apesar de ser de EXCELENTE qualidade. Confesso que "ler", e somente ler algumas centenas de slides não me animou muito. Acho que consegui chegar a 3/4 de todo o conteúdo.

Resolvi estudar usando alguns livros que havia comprado e ainda não folheado, o primeiro pack que estudei foi o Security+ Certification Kit, material aprovado pela CompTIA como guia de estudos para a prova. Depois comprei também o CISSP Study Guide para me apronfundar mais nos domínios da ISC2.

Quanto mais eu estudava mais me preocupava. A abrangência dos domínios da ISC2 particularmente estava fazendo eu não conseguir atingir meu alvo que era "me preparar COVARDEMENTE" para realizar o exame. Havia pelo menos dois domínios onde tive o primeiro contato nesses livros.

Resolvi reforçar o arsenal de estudos e por várias indicações e reviews positivos que li, comprei também o CISSP All-in-One da Shon Harris, aliás o fato de ter tanto material e usa-los todos no meu processo de estudos mais atrapalhou do que ajudou. Uma dica: "USE SOMENTE UM BOM LIVRO" e não vários como eu fiz. Certo que em alguns momentos as abordagens distintas de autores diferentes sobre um determinado assunto me ajudaram a esclarecer alguns pontos mas em linhas gerais atrapalhou mais do que ajudou.

A Wikipedia foi uma fonte importante de informações. As matérias escritas de forma simples e sintetizadas me ajudou a 'fechar' vários assuntos. NÃO SUBESTIME esse material!

Durante o tempo de estudo comecei a consumir todo material em vídeo que encontrava na internet. Reativei minha assinatura do VTC.com e refiz os cursos de Security+ e CISSP, vi também todo o material que havia disponível no Youtube e Vimeo.

Tenho certeza que mesmo depois de tudo isso não conseguiria garantir o sucesso nas provas e resolvi dar um passo adiante: Fazer o seminário de revisão da ISC2.

Seminário de Revisão ISC2

Fiz o seminário pela Strong Security, parceiros de treinamento da ISC2 no Brasil. A Strong esteve presente no início do seminário para ajudar na logística e em alguns momentos durante o seminário.

O seminário em si superou minhas expectativas e certamente fez toda a diferença. O Anderson Ramos, instrutor da ISC2 que ministrou o seminário tem grande fluência nos domínios CBK e abriu mentes durante a revisão. O melhor do seminário foi que encontrei gente melhor preparada que eu e a troca de experiências foi decisivo durante meus estudos. Ao final do seminário fizemos um simulado de 125 perguntas. quando fizemos a correção das primeiras 25 questões e vi que acertei somente 55% dessas, resolvi parar o simulado para não 'queimar' o restante das questões. Queria dar um sprint de estudo e depois fazer o restante das questões.

Um Grupo de Amigos (Estudos)

Abrimos um grupo de estudos e duas pessoas aderiram a idéia. Marquei a prova para 17 de Dezembro e começamos a reta final de estudos. Tinha exatamente mais um mês para estudar.

Passei a estudar no mínimo 6 horas por dia! Passei a invadir o meu horário de trabalho regular e em casa, continuava com afinco os estudos.

Comprei simulados para aumentar o arsenal e para ajudar a 'focar' meus esforços nessa reta final. Assinei o CCCure.org e StudiScope, simulados que foram recomendados durante o seminário. Passei a fazer os simulados que indicavam meus pontos fortes e fracos. ÓTIMAS FERRAMENTAS!

Pelo menos duas vezes por semana fazíamos sessões no Skype para tirar dúvidas e trocar experiências. Quem era forte em um determinado assunto passava para os demais. Outro papel importantíssimo era a MOTIVAÇÃO mútua durante essas sessões e todo o tempo na reta final de estudo.

Ensaio Geral com a ISSA Brasil

Faltando uma semana para a prova fiz um simulado com o pessoal da ISSA Brasil. Seria a primeira vez que faria um simulado com a mesma quantidade de questões da prova e com o mesmo tempo de duração: 6 HORAS! Isso seria importante para testar minha estratégia de gerenciamento do tempo da prova dada a imensa quantidade de questões.  Fizemos o simulado nas excelentes instalações da Symantec do Brasil e a organização e logística do teste foi impecável.

Momento "Desespero"

Na reta final fiz o simulado que havia guardado e um resultado de 75% me deixou muito assustado. Queria algo acima de 80% para garantir sucesso na prova e isso ligou todos os meus ALARMES de "Vai dá merda". Minha esposa e filhos que perderam o marido nessa reta final de estudos se mudaram por dois dias para minha cunhada (e essa ajuda fez diferença). Antecipei minhas férias em 3 dias e passei a estudar 12 horas por dia nesses últimos três dias. (quase tive um treco)

Entrei em modo turbo e consegui resolver alguns bloqueios. Tinha coisa que simplesmente não conseguia aprender! Mas resolvi isso felizmente e acho que nunca mais esqueço!

Prova MCSO

Um dia antes da prova CISSP (ISC2) fiz a prova da Módulo MCSO. Não escolhi essa estratégia mas já que não tinha outra opção de data na Módulo e já tinha marcado a prova na ISC2 resolvi seguir em frente. Deixando de lado questões de organização, segurança e logística da prova da Módulo, a prova em si foi muito fácil. Falo sem medo de errar que qualquer pessoa, mesmo sem grande experiência em SI, ao ler o material da Módulo irá passar nessa prova. 

Mais tarde foi pegar um amigo do RJ que viria fazer a prova e fomos para meu trabalho fazer uma grande sessão tira dúvidas. Estudamos até quase 20hs e depois fomos relaxar um pouco. Happy Hour rápido que terminou as 21hs.

O Dia "D"

Na noite anterior à prova CISSP (ISC2) tive uma ajuda da indústria farmacêutica para garantir meu sono e no dia da prova já estava no local tomando café com meus amigos e companheiros de estudo uma hora antes da prova. Durante o café (BEM REFORÇADO!), não conseguimos falar de outra coisa e fizemos ali mesmo mais uma sessão de dúvidas. Mais tarde iria descobrir que essa conversa rápida no café teria me dado mais 2 questões da prova.

Chegando na sala, fizemos o check de identidade, nos acomodamos e começamos a preencher a papelada da ISC2. 

A prova foi em um hotel na região da Av. Paulista e a sala estava adequada, com boa iluminação e com temperatura bem agradável. Na sala havia água e café e teríamos acesso a nossas mochilas onde alguns (como eu) levaram alguns snacks para enganar a fome caso surgisse.

Começamos a prova no horário previsto e a hora da verdade havia chegado.

O Conteúdo da Prova

Seis horas para responder 250 questões e ainda passar para a folha de respostas dá aproximadamente um minuto e meio para responder a cada questão. Mesmo tendo fluência no idioma, optei em ler somente as perguntas em português para ganhar tempo. Mais tarde iria descobrir que essa estratégia FEZ TODA DIFERENÇA! A tradução é excelente e só tive que recorrer a versão original de 5 ou 6 perguntas. Pelo que conversei depois da prova com alguns colegas que leram 'sempre' as perguntas em inglês e português, notei que o tempo que eles usaram pra isso acabou fazendo muita falta no final.

As perguntas são "extremamente" bem elaboradas. Dá pra sentir o CUIDADO e tempo dedicado na elaboração das mesmas. (Gostei!!).

Antes que perguntem, não havia semelhança nas questões da prova com as que encontrei no simulado. Se alguém focar o estudo somente em simulados sem correr atrás do que errou e VERDADEIRAMENTE aprender o assunto, irá tomar PAU! As perguntas são complexas e não óbvias. Senti que há armadilhas para os 'chutadores' de plantão e acho impossível ter sucesso nessa prova se parte dos seus recursos por o "chutômetro". Evidentemente não posso mencionar o conteúdo das questões mas cenários complexos e enunciados gigantes devem ser esperados. O que posso dizer é que a prova pouco técnica e muito sobre "gestão".

Gerenciando o Tempo 

Resolvi estabelecer pontos de checagem do tempo durante a prova. Ao terminar as 50 primeiras questões verifiquei que havia gastado 60 minutos exatos! Isso significava que nesse ritmo precisaria de 5 horas para finalizar a prova me sobrando uma hora para trabalhar na folha de respostas. (é possível anotar na prova, riscar, destacar, etc.. as respostas válidas deverão ser transcritas na folha de respostas)

Aproveitei para fazer minha primeira pausa para ir ao banheiro. Assinalei a saída, fui ao banheiro e voltei sem pressa assinando a folha de retorno. Aliás a fiscalização é rígida, feita por 3 CISSPs voluntários designados pela ISC2.

Voltando 'trabalhei' na prova por mais uma hora e ao final de duas horas de prova havia feito 116 questões. Nesse ponto estava certo de que meu ritmo estava bom, o que me deu tranquilidade para não me preocupar em acelerar o ritmo e manter a CALMA. Fiz uma parada longa para banheiro e café de 9 minutos e retomei os trabalhos.

Faltando 50 questões fiz outra pausa, comi duas barras de cereais (mesmo sem fome), tomei um café e voltei para finalizar a prova. Havia deixado uma questão gigante, com enunciado de uma página e meia para o final. Fiz a folha de respostas e quanto terminei voltei a pergunta gigante. Matei o monstro em 10 minutos e finalizei. Entreguei tudo e saí calmamente!

Pós Prova

Ao sair da sala de exame deixei lá uma grande sensação de DEVER CUMPRIDO. Resolvi aguardar meu amigos e vi que nem todos conseguiram trabalhar com o tempo de 6 horas. Alguns deixaram 7, 10 questões sem solução, uns chutaram as últimas e houve quem nem conseguiu passar algumas questões para a folha de respostas. :-O

Praticamente sai do hotel onde fiz a prova para o aeroporto para finalmente, tirar minhas férias na maravilhosa cidade de Fortaleza e aguardar com tranquilidade pelo resultado.

Os Resultados dos Exames

Primeiro veio o resultado da Módulo e como esperado passei. Já a espera pelo resultado na ISC2 foi agoniante. Aliás, torturante! Finalmente, depois de 4,5 semanas veio o resultado. Quando li: "CONGRATULATIONS" já nas primeiras linhas do e-mail veio o alívio.

Dos 15 que fizeram o exame, tomei conhecimento de somente 4 pessoas que passaram. Infelizmente muita gente boa terá que tentar novamente. Eu pessoalmente estava disposto a refazer a prova quantas vezes fosse necessário afinal o investimento já estava muito alto para desistir.

O Investimento

Não conseguirei ser preciso sobre o quanto foi gasto no meu processo de certificação mas calculo por alto, entre livros, cursos, seminário e simulados, algo em torno de R$ 6.000,00. (em valores de 2011)

Quem dispõe de mais tempo e paciência pode fazer a prova gastando muito pouco. Diria que o mínimo de investimento possível é algo em torno de R$ 1.500,00 (valor da prova + um ou dois bons livros).

Conclusão

Eu curti a aproveitei cada etapa no meu processo de certificação. Se você gosta de um bom desafio esse definitivamente é um bom caminho. Eu fui positivamente surpreendido com o conteúdo da certificação CISSP, sua qualidade e amplitude dos assuntos abordados.

A dica é levar tudo MUITO a sério para não morrer na praia. No meu caso foram necessárias cerca de 500 horas de estudo dedicado ao CBK (ISC2) no meio há alguns finais de semana perdidos e outras noites em claro. Para mim só pelo desafio em si já valeu a pena. Todo o resto é só uma grande consequência!