Estrategia de examen y plan de estudio
Estrategia de examen y plan de estudio
Llegaste hasta aquí sabiendo qué hay que estudiar. Este capítulo trata de algo distinto: cómo pensar el día del examen. El CSSLP no mide si sabes escribir una consulta parametrizada; mide si sabes decidir como asesor de riesgo del ciclo de vida. Miles de candidatos técnicamente competentes reprueban porque contestan como programadores que resuelven un bug, no como profesionales que protegen a una organización a lo largo del SDLC.
El examen son 125 preguntas de opción múltiple (y algunos tipos avanzados), 3 horas, con corte en 700 de 1000. Es conceptual y gerencial: nunca vas a arreglar código en vivo. Vas a elegir, entre cuatro opciones plausibles, la que un buen profesional de seguridad de software haría primero.
1. La mentalidad ISC2
Si interiorizas una sola cosa de este capítulo, que sea esta: ISC2 no busca al mejor técnico, busca al mejor asesor de riesgo. La respuesta correcta casi siempre es la más orientada a proceso, la que ocurre antes en el ciclo de vida, y la que protege a la organización frente al riesgo, no la que resuelve un síntoma puntual.
flowchart TD
P[Pregunta CSSLP] --> Q1{¿Hay riesgo a<br/>vida humana o<br/>violación de ley?}
Q1 -->|Sí| R1[Esa opción gana<br/>SIEMPRE]
Q1 -->|No| Q2{¿Hay una opción<br/>de proceso vs.<br/>una técnica puntual?}
Q2 -->|Sí| R2[Elige la de proceso]
Q2 -->|No| Q3{¿Qué ocurre<br/>PRIMERO en el<br/>ciclo de vida?}
Q3 --> R3[Elige la más<br/>temprana / preventiva]
Las reglas de oro
- La vida humana y la ley siempre ganan. Si una opción evita daño a personas o cumple una obligación legal, es la correcta aunque sea “menos técnica”. Ninguna eficiencia justifica romper la ley o poner en riesgo a alguien.
- Prefiere proceso sobre parche. Ante “aplicar un WAF” vs. “definir requisitos de validación de entrada”, ISC2 premia el control que ataca la causa raíz dentro del ciclo de vida, no el que tapa el síntoma en producción.
- Lo preventivo vence a lo reactivo. Corregir en requisitos o diseño es más barato y más correcto que detectar en testing o remediar en producción. Cuando dudes, elige la actividad que ocurre más temprano en el SDLC.
- La gestión de riesgo es la brújula. No existe “seguridad total”: existe riesgo aceptado, transferido, mitigado o evitado por el dueño del riesgo (el negocio), no por el desarrollador. La decisión de aceptar un riesgo es de gestión, no técnica.
- Gobernanza antes que herramienta. Una política, un estándar o un requisito documentado suele vencer a “instalar la herramienta X”. La herramienta implementa la política; la política es la respuesta de fondo.
Las palabras clave que cambian la respuesta
Los calificativos del enunciado son parte de la pregunta. Léelos como si estuvieran en negrita:
| Palabra | Qué te está pidiendo |
|---|---|
| BEST / MOST | De varias opciones válidas, la más completa o de mayor nivel. Varias “funcionan”, solo una es la mejor. |
| FIRST | Secuencia. La actividad que debe ocurrir antes que las demás (normalmente la más temprana en el SDLC). |
| NEXT | Dado un punto del proceso ya descrito, el paso inmediatamente siguiente, no el objetivo final. |
| MOST LIKELY | La causa o el riesgo más probable, no el peor imaginable ni el más exótico. |
| PRIMARY / GREATEST | El propósito o impacto principal, el que domina sobre los demás. |
| LEAST / EXCEPT / NOT | Invierte la lógica: buscas la opción incorrecta o menos apropiada. Marca estas preguntas para releerlas. |
2. Anatomía de una pregunta CSSLP
Una pregunta típica tiene tres partes: un escenario, la pregunta con su calificativo, y cuatro opciones de las cuales normalmente dos o tres son plausibles.
flowchart LR
A[Escenario:<br/>contexto de negocio<br/>+ fase del SDLC] --> B[Pregunta:<br/>verbo + calificativo<br/>BEST/FIRST/NEXT]
B --> C[4 opciones]
C --> D[1 correcta]
C --> E[1-2 distractores<br/>técnicamente válidos<br/>pero fuera de foco]
C --> F[1 claramente<br/>descartable]
Cómo eliminar opciones
- Descarta lo absoluto y lo falso. Opciones con “siempre”, “nunca”, “elimina todo el riesgo”, “garantiza 100%” casi nunca son correctas: la seguridad se gestiona, no se garantiza.
- Descarta lo fuera de fase. Si el escenario está en requisitos y una opción es “ejecutar un pentest”, está fuera de foco temporal aunque sea una buena práctica en otro momento.
- Descarta lo hands-on cuando piden decisión. Si la pregunta es gerencial, “revisar el código línea por línea tú mismo” suele perder frente a “establecer un proceso de revisión por pares”.
- Entre las dos que quedan, aplica las reglas de oro. ¿Cuál protege más a la organización? ¿Cuál va primero? ¿Cuál ataca la causa raíz?
Ejemplo comentado
La empresa va a construir una nueva app que manejará datos de salud. El equipo ya tiene los casos de uso. ¿Cuál es el PRIMER paso desde la perspectiva de seguridad?
A. Configurar cifrado TLS 1.3 en el balanceador. B. Definir los requisitos de seguridad y privacidad, incluidos los regulatorios (p. ej. HIPAA). C. Ejecutar un escaneo SAST sobre el repositorio. D. Contratar un pentest externo.
La palabra PRIMER y el contexto (datos de salud, ya tienen casos de uso) apuntan a la fase de requisitos. A, C y D son buenas prácticas pero ocurren después. La ley (HIPAA) y el proceso temprano señalan B. Fíjate cómo la respuesta correcta es la menos técnica y la más orientada a proceso y cumplimiento.
3. Errores comunes que reprueban
- Responder como developer hands-on. El error número uno. “¿Qué haría yo en mi teclado ahora?” no es la pregunta; la pregunta es “¿qué debe hacer la organización en su proceso?”.
- Elegir la solución técnica sobre la de proceso. Un WAF, un parche o una librería concreta suenan tranquilizadores, pero ISC2 premia el requisito, el estándar o el control de diseño que resuelve la clase entera de problema.
- Ignorar los calificativos. Contestar una pregunta de “FIRST” con el objetivo final, o una de “EXCEPT” en positivo, tira puntos que ya tenías.
- Sobrepensar el escenario. Los detalles suelen ser ruido para poner contexto. No inventes amenazas que el enunciado no menciona.
- Cambiar respuestas sin motivo. Tu primera lectura, si aplicaste las reglas, suele ser buena. Cambia solo si releíste y descubriste un calificativo que te habías saltado.
- Olvidar que el negocio es el dueño del riesgo. Aceptar, transferir o financiar un riesgo es decisión de gestión, no del ingeniero. Opciones que ponen esa decisión en manos del desarrollador suelen ser incorrectas.
4. Plan de estudio de 8 a 12 semanas
Distribuye el esfuerzo según el peso de cada dominio en el examen. Los dominios de mayor peso (D4 Arquitectura 15%, D5 Implementación 14%, D6 Testing 14%, D3 Requisitos 13%) merecen más horas. Marca los checkboxes a medida que avances.
Fase 1 — Fundamentos (semanas 1-2)
- Leer el exam outline oficial vigente y anotar cada tarea de cada dominio
- Repasar el capítulo de conceptos: CIA, AAA, principios de diseño seguro (least privilege, defense in depth, fail secure, separation of duties)
- D1 — Secure Software Concepts (12%): principios, gobernanza, privacidad, metodologías de riesgo
- Montar un sistema de notas o flashcards propias por dominio
Fase 2 — Ciclo de vida y requisitos (semanas 3-4)
- D2 — Secure Software Lifecycle Management (11%): S-SDLC, SAMM/BSIMM, métricas, versionado, decomisionado
- D3 — Secure Software Requirements (13%): requisitos de seguridad, misuse/abuse cases, clasificación de datos, SRTM, cumplimiento
- Practicar redacción de un SRTM sencillo para fijar el concepto
Fase 3 — Arquitectura y diseño (semanas 5-6)
- D4 — Secure Software Architecture and Design (15%) — el dominio de mayor peso, dale tiempo extra
- Modelado de amenazas: STRIDE, PASTA, DREAD, attack surface, attack trees
- Patrones de diseño seguro, criptografía aplicada, cloud, microservicios, IoT
- Practicar un STRIDE completo sobre un diagrama de flujo de datos
Fase 4 — Implementación y testing (semanas 7-9)
- D5 — Secure Software Implementation (14%): OWASP Top 10, CWE Top 25, SAST/SCA, gestión de secretos, build seguro
- D6 — Secure Software Testing (14%): estrategia, DAST/IAST, fuzzing, pentesting, datos de prueba, gestión de defectos
- Repasar la diferencia conceptual SAST vs. DAST vs. IAST vs. SCA (pregunta muy frecuente)
Fase 5 — Operación, cadena de suministro e IA (semanas 10-11)
- D7 — Deployment, Operations, Maintenance (11%): hardening, gestión de configuración, releases, monitoreo, respuesta a incidentes, parches, continuidad
- D8 — Secure Software Supply Chain (10%): SCRM, SBOM, pedigree y provenance, terceros, cláusulas contractuales
- Seguridad de IA/LLM: OWASP Top 10 para LLMs, data poisoning, prompt injection, MLSecOps, supply chain de modelos
Fase 6 — Consolidación y simulacros (semana 12)
- Hacer el simulacro de este curso en condiciones reales de tiempo
- Repasar los dominios donde fallaste usando la tabla de autoevaluación
- Hacer al menos un practice test oficial completo
- Repaso final de flashcards de los cuatro dominios de mayor peso
- Agendar el examen solo cuando saques ≥ 80% de forma consistente
gantt
title Plan de estudio CSSLP (12 semanas)
dateFormat X
axisFormat Sem %s
section Fundamentos
D1 Conceptos :0, 2
section Ciclo y requisitos
D2 Lifecycle :2, 1
D3 Requisitos :3, 1
section Arquitectura
D4 Arquitectura :4, 2
section Implementación y testing
D5 Implementación :6, 2
D6 Testing :8, 1
section Operación y cadena
D7 Operaciones :9, 1
D8 Supply chain + IA :10, 1
section Consolidación
Simulacros y repaso :11, 1
5. Recursos
Oficiales de ISC2
- Official (ISC)² CSSLP CBK Reference — el cuerpo común de conocimiento; la fuente de verdad de los conceptos y su terminología.
- Official (ISC)² CSSLP Study Guide — más pedagógico que el CBK, con preguntas de repaso por capítulo.
- ISC2 self-paced / instructor-led training — la formación oficial alineada con el outline vigente.
- Flashcards oficiales de ISC2 — ideales para memorizar terminología y calificativos.
- Practice tests oficiales — imprescindibles para calibrar tu nivel y acostumbrarte al estilo de pregunta.
Complementarios (gratuitos y de referencia)
- NIST SSDF (SP 800-218) — el Secure Software Development Framework; alinea prácticas por fase del SDLC.
- OWASP — SAMM (madurez), ASVS (requisitos de verificación), Top 10 (web), Top 10 para LLMs (IA generativa).
- Microsoft SDL — las prácticas del Security Development Lifecycle, base histórica de muchos conceptos del examen.
- NIST SP 800-161 — gestión de riesgo de la cadena de suministro (útil para D8).
Consejo: usa los complementarios para entender los conceptos, pero responde el examen con la terminología y el enfoque de ISC2. Cuando NIST y ISC2 nombran algo distinto, en el examen manda ISC2.
6. Manejo del tiempo en el examen
Son 125 preguntas en 180 minutos: unos 86 segundos por pregunta de media. Es tiempo de sobra si no te atascas.
flowchart LR
A[Primera pasada:<br/>responde lo que sabes<br/>~60-70 s por pregunta] --> B[Marca las dudosas<br/>y sigue]
B --> C[Segunda pasada:<br/>revisa solo las marcadas]
C --> D[Deja margen final<br/>~15 min de reserva]
- Primera pasada: contesta de corrido lo que dominas. No dejes ninguna en blanco: no hay penalización por errar, así que siempre marca una opción aunque la dejes señalada para revisar.
- Marca y avanza: si una pregunta te lleva más de ~2 minutos, marca una respuesta provisional, señálala y sigue. No sacrifiques 10 preguntas fáciles por una difícil.
- Segunda pasada: vuelve solo a las marcadas, ya con la mente más fresca y a veces con pistas de otras preguntas.
- Reserva: apunta a terminar la primera pasada en ~2 horas para tener ~1 hora de revisión.
7. El día del examen
- Dónde: centro Pearson VUE (o proctored online donde esté disponible). Confirma ubicación, ruta y horario con antelación.
- Qué llevar: dos identificaciones válidas, una con foto; el nombre debe coincidir exactamente con el del registro. Llega ~30 minutos antes.
- Qué NO llevar al box: teléfono, notas, reloj, comida; hay lockers. El proctor te da hoja borrable o similar.
- NDA: al empezar firmas un acuerdo de confidencialidad (Non-Disclosure Agreement). Tienes tiempo limitado para aceptarlo; si no lo aceptas, no rindes y pierdes el intento. No divulgues preguntas: viola el NDA y el código de ética.
- Resultado: al terminar recibes un resultado provisional (pass/fail) impreso; el oficial llega por correo de ISC2.
8. Después de aprobar
Aprobar el examen no te hace CSSLP todavía. Tienes que completar el proceso de certificación:
flowchart TD
A[Aprobar examen] --> B{¿Tienes 4 años de<br/>experiencia en ≥1 dominio?}
B -->|Sí| C[Solicitar endorsement<br/>dentro de 9 meses]
B -->|No / faltan años| D[Associate of ISC2<br/>hasta cumplir experiencia]
C --> E[Endoso por un<br/>profesional certificado ISC2]
E --> F[Aceptar Código de Ética]
F --> G[Pagar AMF y mantener CPEs]
G --> H[CSSLP activo]
D --> C
- Endorsement (9 meses): tras aprobar tienes 9 meses para completar el endoso, donde un profesional certificado de ISC2 (o la propia ISC2) da fe de tu experiencia. Si no cumples los años, entras como Associate of ISC2 hasta acumularlos.
- Código de Ética: debes suscribir los cuatro cánones de ISC2. Su incumplimiento puede costarte la credencial; en el examen, cuando una opción respeta el código de ética (proteger a la sociedad, actuar con honor), gana.
- AMF (Annual Maintenance Fee): cuota anual que mantiene tu membresía activa.
- CPEs: debes ganar 90 CPE cada 3 años (idealmente ~30/año). Se obtienen con formación, webinars, conferencias, lectura profesional, ponencias, publicaciones o voluntariado. Registra cada actividad en el portal de ISC2.
9. Si repruebas
No es el fin. ISC2 tiene una política de retakes escalonada:
| Intento | Espera obligatoria antes del siguiente |
|---|---|
| 1.º → 2.º | 14 días |
| 2.º → 3.º | 30 días |
| 3.º → 4.º | 90 días |
| Máximo | 4 intentos en 12 meses |
Cada intento paga la tasa completa. Usa el feedback del reporte (te indica los dominios más débiles), refuerza justo esos con el simulacro y los practice tests, y no re-agendes hasta volver a estar consistentemente por encima del 80%. Reprobar suele deberse a cómo se leen las preguntas, no a falta de conocimiento: si fallaste, revisa primero si estabas contestando como técnico y no como asesor de riesgo.
Resumen
- Piensa como asesor de riesgo del ciclo de vida, no como programador: proceso sobre parche, prevención sobre reacción, lo temprano sobre lo tardío.
- La vida humana y la ley siempre ganan.
- Los calificativos BEST / FIRST / NEXT / EXCEPT cambian la respuesta: léelos como parte de la pregunta.
- Estudia por peso de dominio, refuerza D3, D4, D5 y D6, y practica con simulacros hasta el ≥ 80% consistente.
- Aprobar es el principio: endorsement en 9 meses, código de ética, AMF y 90 CPE / 3 años.
Cuando te sientas listo, pon el cronómetro y enfréntate al simulacro de examen.