Estrategia de examen y plan de estudio

Por: Artiko
csslpisc2seguridadexamenestrategiacertificacion

Estrategia de examen y plan de estudio

Llegaste hasta aquí sabiendo qué hay que estudiar. Este capítulo trata de algo distinto: cómo pensar el día del examen. El CSSLP no mide si sabes escribir una consulta parametrizada; mide si sabes decidir como asesor de riesgo del ciclo de vida. Miles de candidatos técnicamente competentes reprueban porque contestan como programadores que resuelven un bug, no como profesionales que protegen a una organización a lo largo del SDLC.

El examen son 125 preguntas de opción múltiple (y algunos tipos avanzados), 3 horas, con corte en 700 de 1000. Es conceptual y gerencial: nunca vas a arreglar código en vivo. Vas a elegir, entre cuatro opciones plausibles, la que un buen profesional de seguridad de software haría primero.


1. La mentalidad ISC2

Si interiorizas una sola cosa de este capítulo, que sea esta: ISC2 no busca al mejor técnico, busca al mejor asesor de riesgo. La respuesta correcta casi siempre es la más orientada a proceso, la que ocurre antes en el ciclo de vida, y la que protege a la organización frente al riesgo, no la que resuelve un síntoma puntual.

flowchart TD
    P[Pregunta CSSLP] --> Q1{¿Hay riesgo a<br/>vida humana o<br/>violación de ley?}
    Q1 -->|Sí| R1[Esa opción gana<br/>SIEMPRE]
    Q1 -->|No| Q2{¿Hay una opción<br/>de proceso vs.<br/>una técnica puntual?}
    Q2 -->|Sí| R2[Elige la de proceso]
    Q2 -->|No| Q3{¿Qué ocurre<br/>PRIMERO en el<br/>ciclo de vida?}
    Q3 --> R3[Elige la más<br/>temprana / preventiva]

Las reglas de oro

  1. La vida humana y la ley siempre ganan. Si una opción evita daño a personas o cumple una obligación legal, es la correcta aunque sea “menos técnica”. Ninguna eficiencia justifica romper la ley o poner en riesgo a alguien.
  2. Prefiere proceso sobre parche. Ante “aplicar un WAF” vs. “definir requisitos de validación de entrada”, ISC2 premia el control que ataca la causa raíz dentro del ciclo de vida, no el que tapa el síntoma en producción.
  3. Lo preventivo vence a lo reactivo. Corregir en requisitos o diseño es más barato y más correcto que detectar en testing o remediar en producción. Cuando dudes, elige la actividad que ocurre más temprano en el SDLC.
  4. La gestión de riesgo es la brújula. No existe “seguridad total”: existe riesgo aceptado, transferido, mitigado o evitado por el dueño del riesgo (el negocio), no por el desarrollador. La decisión de aceptar un riesgo es de gestión, no técnica.
  5. Gobernanza antes que herramienta. Una política, un estándar o un requisito documentado suele vencer a “instalar la herramienta X”. La herramienta implementa la política; la política es la respuesta de fondo.

Las palabras clave que cambian la respuesta

Los calificativos del enunciado son parte de la pregunta. Léelos como si estuvieran en negrita:

PalabraQué te está pidiendo
BEST / MOSTDe varias opciones válidas, la más completa o de mayor nivel. Varias “funcionan”, solo una es la mejor.
FIRSTSecuencia. La actividad que debe ocurrir antes que las demás (normalmente la más temprana en el SDLC).
NEXTDado un punto del proceso ya descrito, el paso inmediatamente siguiente, no el objetivo final.
MOST LIKELYLa causa o el riesgo más probable, no el peor imaginable ni el más exótico.
PRIMARY / GREATESTEl propósito o impacto principal, el que domina sobre los demás.
LEAST / EXCEPT / NOTInvierte la lógica: buscas la opción incorrecta o menos apropiada. Marca estas preguntas para releerlas.

2. Anatomía de una pregunta CSSLP

Una pregunta típica tiene tres partes: un escenario, la pregunta con su calificativo, y cuatro opciones de las cuales normalmente dos o tres son plausibles.

flowchart LR
    A[Escenario:<br/>contexto de negocio<br/>+ fase del SDLC] --> B[Pregunta:<br/>verbo + calificativo<br/>BEST/FIRST/NEXT]
    B --> C[4 opciones]
    C --> D[1 correcta]
    C --> E[1-2 distractores<br/>técnicamente válidos<br/>pero fuera de foco]
    C --> F[1 claramente<br/>descartable]

Cómo eliminar opciones

  1. Descarta lo absoluto y lo falso. Opciones con “siempre”, “nunca”, “elimina todo el riesgo”, “garantiza 100%” casi nunca son correctas: la seguridad se gestiona, no se garantiza.
  2. Descarta lo fuera de fase. Si el escenario está en requisitos y una opción es “ejecutar un pentest”, está fuera de foco temporal aunque sea una buena práctica en otro momento.
  3. Descarta lo hands-on cuando piden decisión. Si la pregunta es gerencial, “revisar el código línea por línea tú mismo” suele perder frente a “establecer un proceso de revisión por pares”.
  4. Entre las dos que quedan, aplica las reglas de oro. ¿Cuál protege más a la organización? ¿Cuál va primero? ¿Cuál ataca la causa raíz?

Ejemplo comentado

La empresa va a construir una nueva app que manejará datos de salud. El equipo ya tiene los casos de uso. ¿Cuál es el PRIMER paso desde la perspectiva de seguridad?

A. Configurar cifrado TLS 1.3 en el balanceador. B. Definir los requisitos de seguridad y privacidad, incluidos los regulatorios (p. ej. HIPAA). C. Ejecutar un escaneo SAST sobre el repositorio. D. Contratar un pentest externo.

La palabra PRIMER y el contexto (datos de salud, ya tienen casos de uso) apuntan a la fase de requisitos. A, C y D son buenas prácticas pero ocurren después. La ley (HIPAA) y el proceso temprano señalan B. Fíjate cómo la respuesta correcta es la menos técnica y la más orientada a proceso y cumplimiento.


3. Errores comunes que reprueban


4. Plan de estudio de 8 a 12 semanas

Distribuye el esfuerzo según el peso de cada dominio en el examen. Los dominios de mayor peso (D4 Arquitectura 15%, D5 Implementación 14%, D6 Testing 14%, D3 Requisitos 13%) merecen más horas. Marca los checkboxes a medida que avances.

Fase 1 — Fundamentos (semanas 1-2)

Fase 2 — Ciclo de vida y requisitos (semanas 3-4)

Fase 3 — Arquitectura y diseño (semanas 5-6)

Fase 4 — Implementación y testing (semanas 7-9)

Fase 5 — Operación, cadena de suministro e IA (semanas 10-11)

Fase 6 — Consolidación y simulacros (semana 12)

gantt
    title Plan de estudio CSSLP (12 semanas)
    dateFormat X
    axisFormat Sem %s
    section Fundamentos
    D1 Conceptos           :0, 2
    section Ciclo y requisitos
    D2 Lifecycle           :2, 1
    D3 Requisitos          :3, 1
    section Arquitectura
    D4 Arquitectura        :4, 2
    section Implementación y testing
    D5 Implementación      :6, 2
    D6 Testing             :8, 1
    section Operación y cadena
    D7 Operaciones         :9, 1
    D8 Supply chain + IA   :10, 1
    section Consolidación
    Simulacros y repaso    :11, 1

5. Recursos

Oficiales de ISC2

Complementarios (gratuitos y de referencia)

Consejo: usa los complementarios para entender los conceptos, pero responde el examen con la terminología y el enfoque de ISC2. Cuando NIST y ISC2 nombran algo distinto, en el examen manda ISC2.


6. Manejo del tiempo en el examen

Son 125 preguntas en 180 minutos: unos 86 segundos por pregunta de media. Es tiempo de sobra si no te atascas.

flowchart LR
    A[Primera pasada:<br/>responde lo que sabes<br/>~60-70 s por pregunta] --> B[Marca las dudosas<br/>y sigue]
    B --> C[Segunda pasada:<br/>revisa solo las marcadas]
    C --> D[Deja margen final<br/>~15 min de reserva]

7. El día del examen


8. Después de aprobar

Aprobar el examen no te hace CSSLP todavía. Tienes que completar el proceso de certificación:

flowchart TD
    A[Aprobar examen] --> B{¿Tienes 4 años de<br/>experiencia en ≥1 dominio?}
    B -->|Sí| C[Solicitar endorsement<br/>dentro de 9 meses]
    B -->|No / faltan años| D[Associate of ISC2<br/>hasta cumplir experiencia]
    C --> E[Endoso por un<br/>profesional certificado ISC2]
    E --> F[Aceptar Código de Ética]
    F --> G[Pagar AMF y mantener CPEs]
    G --> H[CSSLP activo]
    D --> C

9. Si repruebas

No es el fin. ISC2 tiene una política de retakes escalonada:

IntentoEspera obligatoria antes del siguiente
1.º → 2.º14 días
2.º → 3.º30 días
3.º → 4.º90 días
Máximo4 intentos en 12 meses

Cada intento paga la tasa completa. Usa el feedback del reporte (te indica los dominios más débiles), refuerza justo esos con el simulacro y los practice tests, y no re-agendes hasta volver a estar consistentemente por encima del 80%. Reprobar suele deberse a cómo se leen las preguntas, no a falta de conocimiento: si fallaste, revisa primero si estabas contestando como técnico y no como asesor de riesgo.


Resumen

Cuando te sientas listo, pon el cronómetro y enfréntate al simulacro de examen.