Vâng, tôi đã chính thức vượt qua CISSP (Certified Information Systems Security Professional) – chứng chỉ được mệnh danh là một trong những con "boss" khó nhằn và tốn thể lực nhất trong ngành Bảo mật thông tin.
Ngay lúc nhìn thấy chữ "Congratulations" in trên tờ giấy từ anh Pearson VUE, cảm giác chỉ gói gọn trong ba chữ: I’m done ây! Nhẹ nhõm đến mức muốn bay thẳng về nhà đi ngủ bù một giấc 24 tiếng.
Nhân lúc cảm xúc (và cả nỗi ám ảnh) vẫn còn nóng hổi, tôi muốn ngồi lại viết vài dòng chia sẻ về hành trình "hành xác" nhưng cực kỳ xứng đáng này.
1. CISSP – Nó không chỉ là kiến thức, nó là "Mindset"
Rất nhiều anh em kỹ thuật (Technical) khi mới tiếp cận CISSP thường bị ngợp hoặc chủ quan. Nghĩ rằng mình cấu hình Firewall mượt, Pen-test giỏi, thuộc lòng CVE thì đi thi sẽ qua. Nhưng bước vào phòng thi mới ngã ngửa: CISSP không tìm một Kỹ sư, họ tìm một Người quản lý.
Bài học lớn nhất tôi rút ra được là: "Think like a CEO/Manager, not a Techie"
- Thấy một lỗ hổng? Đừng vội vào vá code hay cấu hình lại thiết bị (đó là việc của Tech). Việc của bạn là đánh giá rủi ro (Risk Assessment), xem xét chi phí (Cost-Benefit Analysis) và báo cáo lên Ban giám đốc để xin định hướng chiến lược.
- Khi phân vân giữa 4 đáp án (mà cái nào nhìn cũng đúng), hãy chọn đáp án nào mang tính bao quát, giải quyết tận gốc rễ vấn đề về mặt quy trình, thay vì một hành động kỹ thuật vá víu tạm thời.
2. Kế hoạch "cày ải" 8 Domain: Kiên trì là chìa khóa
Với một khối lượng kiến thức khổng lồ trải dài từ Bảo mật tài sản, Kỹ thuật bảo mật, cho đến Quản lý định danh và Phát triển phần mềm an toàn... việc học CISSP giống như bạn đang cố gắng nuốt trọn một thư viện vậy.
Kinh nghiệm của tôi để không bị "tẩu hỏa nhập ma":
- Học theo cuốn chiếu nhưng có liên kết: Đừng học vẹt. Hãy cố gắng liên hệ mớ lý thuyết khô khan đó vào chính những dự án, những quy trình vận hành bảo mật thực tế mà bạn đang làm hàng ngày tại doanh nghiệp. Khi bạn hiểu tại sao quy trình đó tồn tại, bạn sẽ nhớ rất lâu.
- Luyện đề - Chất lượng hơn số lượng: Đừng cố làm 5.000 - 10.000 câu hỏi một cách máy móc. Hãy làm 1.000 câu nhưng với mỗi câu làm sai (và cả câu làm đúng do đoán mò), phải lật tài liệu ra đọc kỹ phần giải thích tại sao câu này đúng, tại sao 3 câu kia sai.
- Quản lý năng lượng: Học CISSP là một cuộc chạy Marathon, không phải chạy nước rút. Hãy giữ nhịp độ học đều đặn mỗi ngày thay vì dồn vào học liên tục 15 tiếng cuối tuần để rồi kiệt sức.
3. Trải nghiệm phòng thi "Nghẹt thở"
Kỳ thi CISSP sử dụng cơ chế CAT (Computer Adaptive Testing). Nghĩa là máy tính sẽ tự động điều chỉnh độ khó của câu hỏi dựa trên câu trả lời trước đó của bạn. Bạn làm đúng, câu sau sẽ khó hơn. Bạn làm sai, máy sẽ thử thách bạn tiếp ở domain đó cho đến khi hệ thống xác định được bạn có đủ năng lực vượt qua ngưỡng điểm chuẩn hay không.
Trải nghiệm này cực kỳ áp lực về mặt tâm lý. Bạn sẽ có cảm giác "càng thi càng thấy mình... dốt" vì câu hỏi cứ liên tục biến hóa. Bí kíp sinh tồn duy nhất trong phòng thi là: Giữ cái đầu lạnh. Bỏ qua cảm giác hoang mang của câu trước, tập trung 100% công lực đọc kỹ từng từ khóa (Keywords) của câu hiện tại.
Lời cảm ơn và... Đi ngủ!
Hành trình này sẽ không thể trọn vẹn nếu thiếu đi sự đồng hành, thông cảm của gia đình, anh em đồng nghiệp và những người bạn đã "chịu đựng" sự mất tích của tôi trong suốt thời gian qua để tôi có thể toàn tâm toàn ý ôn luyện.
Tấm bằng CISSP này không phải là điểm kết thúc, mà là một cột mốc mới, một bệ phóng để tôi tiếp tục nâng tầm tư duy quản trị rủi ro và kiến trúc bảo mật hệ thống cho các dự án sắp tới.
Còn bây giờ, mục tiêu tối thượng tiếp theo của tôi là: Tắt điện thoại, đi ngủ, và tận hưởng cảm giác không-phải-đọc-đề-thi! full-width

Đăng nhận xét