Como aprobar el CISSP

El camino para aprobar el CISSP

A nivel de conocimientos en seguridad de la información, siempre tuve en un pedestal a los certificados en CISSP (Certified Information Systems Security Professional). Ahora, con más motivo.

Hace ya tiempo me marqué como objetivo en algún momento de mi carrera la obtención de dicha acreditación del Consorcio internacional de Certificación de Seguridad de Sistemas de Información o ISC². Sin embargo, entre el trabajo, la rutina y ese molesto síndrome del impostor, lo iba posponiendo… Hasta el pasado viernes 4 de julio de este año, 2025, cuando por fin superé el examen —¡y a la primera!—.

Hoy quiero compartir cómo lo logré y por qué vale la pena para cualquier profesional de ciberseguridad que quiera demostrar conocimiento y capacidad de decisión en aspectos de liderazgo y operaciones de seguridad.

Uno de los empujones definitivos me llegó al grabar el episodio número 37 de Daferra CyberTech en el que conversamos con mi excompañero y sin embargo amigo Jorge Cabrera. En él, Jorge compartía, entre otras cosas, su experiencia en el proceso y algunos tips acerca de la preparación —metodología, materiales, etc.—. Por supuesto, te aconsejo escuchar el episodio para tener más detalle.

Qué es el CISSP

El Certified Information Systems Security Professional o CISSP es una de las certificaciones más prestigiosas en ciberseguridad. Se enfoca en validar los conocimientos y habilidades de un profesional en áreas clave como gestión de riesgos, arquitectura de seguridad, seguridad de redes y comunicaciones, entre otros.

Gestionada por ISC², el examen cubre ocho dominios del Common Body of Knowledge (CBK):

  • Seguridad y gestión de riesgos
  • Seguridad de activos
  • Seguridad de arquitectura e ingeniería
  • Seguridad en redes y comunicaciones
  • Identidad y control de acceso (IAM)
  • Evaluación y pruebas de seguridad
  • Operaciones de seguridad
  • Seguridad en el desarrollo de software

En qué consiste el examen del CISSP

El temario, como se ve, tiene una extensión realmente amplia y completa, tratando absolutamente todos los aspectos de la seguridad, a diferentes niveles de abstracción. Pueden preguntarte:

  • Cómo llevar a cabo la implementación de seguridad a nivel de infraestructura física.
  • Qué normas americanas o internacionales aplican a un contexto determinado.
  • Calcular el retorno de inversión de un control implantado.
  • Determinar qué protocolo es más adecuado para la autorización de aplicaciones de terceros en un escenario concreto.
  • Los componentes de una arquitectura zero trust.
  • El tamaño de bloque de un algoritmo de encriptado dado.
  • Qué vulnerabilidades más relevantes hay en un escaneo con Nikto.
  • Cómo se gestiona el acceso al servicio en Kerberos.
  • La diferencia entre retardo y jitter, o entre blackout, fault, brownout, sag, surge y spike 😃
  • Los 5 tipos de fuego existentes y cómo combatirlos.
  • Qué medio de transmisión es más adecuado para un determinado contexto de distancias o ambiente.
  • Algoritmos, velocidades de transmisión y bandas de frecuencia de los estándares inalámbricos.
  • Dimensionar un sistema de PKI.
  • Y más…

Todo esto por poner algunos ejemplos aleatorios. Pueden preguntarte casi cualquier cosa, teórica o práctica. La complejidad reside, desde mi punto de vista, en esa combinación de extensión, profundidad, y ambigüedad —más detalle de esto último abajo—.

El examen consta de entre 100 y 150 preguntas de opción múltiple y avanzado (CAT) en un máximo de 3 horas. Está basado en IA y su duración se va ajustando de manera online en tiempo real. Habitualmente son suficientes cien preguntas para determinar el nivel del candidato y la prueba se detiene en ese umbral. Por su propia naturaleza adaptativa, no es posible volver atrás para revisar las respuestas seleccionadas —algo que yo agradezco—. Salvo raras excepciones, sales del centro examinador con la nota bajo el brazo —formato binario, aprobado/suspenso—. Es importante ser ágil a la hora de leer, interpretar y responder. En el peor de los casos, dispones de algo más de un minuto por pregunta.

Para obtener la certificación es imprescindible, además de aprobar el examen —i.e. obtener al menos un 70% de aciertos en los 8 dominios—, adherirse a su código de ética y poseer experiencia demostrable en al menos dos de los ocho dominios por un plazo de al menos cinco años. Esa experiencia acumulada es compensable parcialmente mediante estudios, como másters oficiales o certificaciones específicas como algunas de ISACA, etc. Puedes consultar más detalles en la página oficial.

La receta para aprobar el CISSP

Mi procedimiento para el aprobado fue el siguiente.

  • Lectura del Official Study Guide. El famoso libro del faro en la portada de la editorial Sybex. En su día ya me había comprado la novena edición como material de apoyo a mi trabajo como consultor y la había leído poco a poco. Esto sucedió hace quizás un par de años. No volví a tocar el libro para el estudio.
  • Vídeos específicos en YouTube: tras el consejo de Jorge, revisé y tomé notas de la serie de vídeos de preparación para el CISSP de Pete Zerger —los 8 dominios y la actualización de 2024—. Esto último, debido a que en 2024 se actualizaron los contenidos por parte de ISC2.
  • Test oficiales. Hice tanto los test de dominios como los exámenes de prueba de la tercera y la cuarta edición* del libro de test oficiales [Official Practice Tests, también de Sybex. Se puede comprar el pack de Libro de teoría y tests por unos 80€ en Amazon a día de hoy].

*Hice los test de ambas ediciones —2600 preguntas en total— por el hecho de disponer de ambos libros. No obstante, con la última versión hubiera bastado. De hecho, hay un solape importante entre ambos. Si bien es cierto que la versión nueva introduce más conceptos relativos a cloud, IA, zero trust, etc. Opino que quizás con las versiones antiguas y los vídeos de actualización, hubiera sido suficiente.

Esfuerzo y dificultad de la prueba del CISSP

Teniendo en cuenta que la lectura del libro ya la había hecho en el pasado, ver los vídeos y hacer los test me llevó aproximadamente tres meses. De primero de mayo a principios de julio. La semana antes del examen, hice los exámenes de test y releí mis notas acerca de lo fundamental de los vídeos. Calculo que en total me llevó unas cincuenta o sesenta horas de esfuerzo, intercalando proyectos de cliente y parones obligados por necesidades personales, profesionales, viajes…  Tenía el objetivo de sacármelo antes de irme de vacaciones de verano. En caso contrario, quizás me hubiera ido a ochenta o cien horas.

A mediados de junio, me di de alta en ISC2 y compré los derechos de examen. Adquirí la opción Peace of Mind que da derecho a dos intentos de examen. Aunque el coste es ligeramente superior y a pesar de que nunca he suspendido un examen tipo test ni en la universidad, el ratio coste/beneficio era favorable. Máxime cuando podía desgravar por la empresa la factura.

Noté que estaba preparado porque, ya desde un inicio tras ver los vídeos, obtenía sistemáticamente notas por encima del 70% —raspado en algunos dominios, holgado en otros—. En el segundo libro, ya obtenía un 90% de media aproximadamente.

El examen me pareció bastante complicado. Recomiendo hacerlo en inglés —al igual que comprar los materiales de estudio en este idioma— para evitar ambigüedades. Habitualmente en cada pregunta hay un par de respuestas que descartas más o menos rápidamente, pero luego escoger entre las otras dos… con frecuencia es difícil o muy difícil. Incluso conociendo perfectamente los conceptos subyacentes. Tricky a más no poder.

Disclaimer importante

Mi experiencia no es transferible a cualquier otra persona. Yo tengo cierta facilidad para estudiar y el CISSP requiere conocimientos y experiencia; sin ella, incluso con preparación intensa, será harto difícil. El examen plantea muchos escenarios que NO sabrás resolver sin el bagaje previo adecuado o, al menos, en un tiempo razonable. A mí me sobró una hora de examen, pero:

  • Tengo bastante formación previa: carrera y máster universitario de prestigio; varias certificaciones previas de ciber, IT y gestión de proyectos; y experiencia en proyectos técnicos por más de una década.
  • Había entrenado bastantes preguntas de examen.
  • No veía sentido a estar debatiendo internamente en las preguntas dudosas hasta el infinito y más teniendo contratado el Peace of Mind.
  • Tengo esa cierta facilidad natural.

Reflexión final acerca de mi camino hacia el CISSP

Por supuesto, estoy muy feliz con el resultado. Entre la credencial universitaria en ciberseguridad industrial y el CISSP, el año a nivel formación está hecho. Es una buena racha tras el CISA y CRISC, en 2024 y 2023 respectivamente, con premio TOP EXAM. Creo que por una temporada larga, toca descansar la cabeza fuera del trabajo y leer solamente por mero disfrute.

Espero que os haya servido de ayuda u os dé ánimos a quienes os planteáis certificaros en el futuro. Nuestros cursos avanzados en ciberseguridad GRC o el bootcamp técnico pueden ayudarte a acercarte a ese objetivo. Si te interesa saber más, echa un vistazo en la web y contáctanos.

Decía Benjamin Franklin que invertir en conocimientos produce siempre los mejores intereses. No puedo estar más de acuerdo. ¡Feliz verano!

Stay secure!

Óscar

Deja un comentario