Cybersecurity
[Review] เตรียมสอบ CISSP ใน 45 วัน
CISSP – Cert. ยอดนิยมที่รันวงการ Security
หากทำงานสายนี้ไม่ว่าใครก็น่าจะรู้จัก CISSP กันดี ใครเข้ามาอ่านเพราะจะเตรียมตัวสอบ ให้ข้ามไปที่การเตรียมตัวสอบได้เลยครับ
แต่หากใครยังไม่รู้จัก ผมขอแนะนำแบบสั้นๆ ให้นะครับว่า CISSP นั้นเป็น Cert. ระดับ Professional จากค่าย ISC2 Cert. นี้เราจะสอบเมื่อไหร่ก็ได้ แต่จะได้รับ Cert. ต่อเมื่อมีคุณสมบัติครบถ้วน ซึ่งหากไม่มีอะไรมา waive เลย เราจะต้องมีประสบการณ์ทำงาน 5 ปีขึ้นไปที่เกี่ยวข้องอย่างน้อย 2 Domain ด้าน Security ก่อน
ด้วยระดับความเยอะและความยากของข้อสอบ รวมถึงกรอบคุณสมบัติที่ ISC2 ต้องการ ก็เลยเป็นที่ทราบกันในวงการว่าเป็น Cert. ที่ได้มายากระดับหนึ่ง Cert. นี้จึงค่อนข้างจะช่วยบ่งบอกความน่าเชื่อถือได้ในด้านความรู้และประสบการณ์ของผู้ที่สอบผ่าน
ค่าสอบค่อนข้างแพงเอาเรื่อง (749 USD) สอบไปแล้วจะคุ้มไหม?
อันนี้ตอบยากเพราะแต่ละคนมีเป้าหมายในการสอบไม่เหมือนกัน บางคนอยากวัดความรู้ บางคนอยากเอาไปใช้เพิ่มตำแหน่งและค่าตอบแทน บางคนอยากเอาไปช่วยเพิ่มเงินเดือนเมื่อย้ายงาน เอาเป็นว่าเล่าเท่าที่พอตอบได้นะครับ ว่าหากบริษัทไหนสนับสนุนให้พนักงานสอบ ก็มักจะจ่ายค่าสอบให้ แล้วยังมีค่าตอบแทนให้หลังสอบผ่านด้วย ตามที่ผมพอทราบ ก็อยู่ประมาณเดือนละ 5,000 – 10,000 บาท
จำนวนคนที่ได้รับ Cert. นี้หากอ้างตามวิกิ จะมีอยู่ราวๆ แสนห้าถึงแสนหกหมื่นคน ส่วนในประเทศไทยเข้าใจว่ามีอยู่ราวๆ สามถึงสี่ร้อยคนในปัจจุบัน เรียกว่ามีน้อยจนอาจถึงขั้นขาดแคลน เพราะอย่างนั้น หากใครมุ่งมั่นจะเข้าสู่วงการ Security เต็มตัว อาจจะลองพิจารณาเพิ่มความรู้และประสบการณ์ของเราเพื่อตอบโจทย์ Cert. นี้ดูครับ
แต่หากใครเพิ่งจะเข้ามาอ่านและไม่ได้อยู่ในวงการนี้เลย ถ้าอยากเริ่มต้นหาความรู้เพื่อเข้าสู่วงการ Security แต่ไม่รู้จะเริ่มต้นตรงไหนดี ลองแวะไปอ่าน CC ก่อนได้ครับ
การเตรียมตัวสอบ
การเตรียมตัวสอบของแต่ละคนไม่เหมือนกัน ขึ้นอยู่กับ background ของความรู้และประสบการณ์ที่มี ซึ่งวิธีการของผมอาจเอาไปอ้างอิงไม่ได้ทั้งหมด แต่คงพอเป็นแนวทางได้ จากตรงนี้ไปขอ review สไตล์ reddit ครับ
Background
จบตรี Com. Eng. โท IT มีความรู้และประสบการณ์ด้าน Network 10 ปี+, Network security/Cybersecurity 5 ปี+, cloud 3 ปี+
หากประเมินระดับความคุ้นเคยของแต่ละ Domain ก่อนการเริ่มเตรียมตัวสอบ ก็น่าจะประมาณนี้
• Security and Risk Management (7/10)
• Asset Security (4/10)
• Security Architecture and Engineering (8/10)
• Communication and Network Security (10/10)
• Identity and Access Management (IAM) (7/10)
• Security Assessment and Testing (3/10)
• Security Operations (5/10)
• Software Development Security (6/10)
หนังสือ/tool ต่างๆ ที่ใช้อ่านเพื่อเตรียมตัวสอบ
Learnz App (10/10)
ผมใช้ Application ที่ชื่อ CISSP-CCSP-SSCP (ISC) Official ของ Learnz App และหัดทำทุกอย่างที่มีใน App นี้ครับ น่าจะเพราะมันเป็น interactive tool จึงช่วยให้ผมจำเรื่องใหม่ๆ ได้เร็วขึ้น แบบฝึกหัดประมาณสองพันกว่าข้อ ผมทำประมาณสามรอบจนได้ Overall Readiness Score เกิน 90% จึงไปสอบ
Learnz App จะมีค่า Subscription เดือนละประมาณ 525 บาท แต่ถ้าเลือกจ่ายเป็นราย 3, 6 เดือน หรือรายปีจะถูกลงอีก
Youtube Channel “E Learning Free Channel” (9/10)
ช่องนี้จะมี Content ชื่อ “How to PASS exam Certified Information Systems Security Professional CISSP in 12 hours” ซึ่งมี 2 parts (part 1, part 2) นะครับ
โดยผมดูทั้ง 2 part เลย และสิ่งที่ได้คือสรุปภาพรวมทุก Domain ของ CISSP โดยความยาวของทั้ง 2 parts รวมกันก็จะประมาณ 12 ชั่วโมงครับ แต่ผมรีบเลยดูแบบ Speed x 1.25 ซึ่งยังพอฟังรู้เรื่องอยู่ครับ
Youtube Channel “Destination Certification” (10/10)
จะเข้าบ่อยเลยเวลาติดแต่ละเรื่องตอนทำแบบฝึกหัด คือ Channel “Destination Certification” เนื้อหาจะแยกเป็นแต่ละหัวข้อ มีการอธิบายละเอียดมีการยกตัวอย่างซึ่งทำเป็น Infographic ชัดเจนทำให้เข้าใจได้ง่ายครับ (https://www.youtube.com/@destcert)
ระยะเวลาเตรียมตัวสอบ
45 วัน แบ่งเป็น
ช่วงแรก (สัปดาห์ที่ 1-2) ทำ Study Questions ใน Learnz App รอบที่ 1 ทั้ง 8 Domain เพื่อทดสอบตัวเองว่า Domain ไหนที่เรายังอ่อน และ ดู YouTube “E Learning Free Channel”
ช่วงที่สอง (สัปดาห์ที่ 3-5) ทำ Practice Questions ใน Learnz App ทั้ง 8 Test รอบที่ 1 ดู Youtube ทั้ง 2 ช่อง แต่จะดูเฉพาะหัวข้อที่ยังไม่เข้าใจ
ช่วงที่สาม (สัปดาห์ที่ 6) ทำ Study และ Practice Questions ใน Learnz App รอบที่ 2 และรอบที่ 3
ประสบการณ์วันสอบ
การสอบใช้เวลา 4 ชั่วโมง ผมจองสอบ 10 โมงที่ศูนย์สอบ Pearson VUE ที่ตึก BB อโศก ไปถึงตั้งแต่ 9 โมง ถ่ายรูป ลงทะเบียนอะไรเรียบร้อยก็ได้เข้าไปในนั่งในห้องสอบตอน 9 โมงครึ่ง ความรู้สึกขณะสอบ มีเพียงห้าข้อแรกที่มั่นใจมากว่าทำถูกแล้ว แต่หลังจากนั้นก็คิดอยู่ทุกเวลาว่า ตอบถูกแน่ใช่ไหมวิ 555
ในความเห็นของผม ข้อสอบแบบ CAT (Computerized Adaptive Testing) ไม่ได้เป็นข้อสอบวัดความรู้อย่างเดียว แต่ยังวัดกำลังใจของผู้สอบด้วย ว่าสามารถรับมือกับความเครียดขณะสอบได้ดีแค่ไหน เพราะอย่างนั้น ขอให้ตั้งสติให้มั่นครับ หากเกิดความวิตกกังวลเมื่อถึงครึ่งทาง ขอให้ทำใจสบายๆ หากเราเตรียมตัวมาดีพอ เราจะสอบผ่าน
ผมใช้เวลาทำข้อสอบประมาณ 3 ชั่วโมง พอกดส่งคำตอบของข้อที่ 125 ก็ดูเหมือนเครื่องค้าง ๆ ไม่ยอมไปข้อถัดไป แล้วซักพักก็มีข้อความว่ายินดีด้วยคุณสอบ CISSP ผ่านแล้ว และหลังเดินออกมาหน้าห้องสอบก็ได้รับผลสอบเป็นกระดาษที่ปรินต์ออกมาหนึ่งใบบอกว่าเราสอบผ่าน
หลังสอบผ่าน
สอบผ่านแล้ว จะไม่ได้ Cert. ทันที ต้องผ่านขั้นตอนที่ต้องมีคนมา Endorse เราเรื่องประสบการณ์ 5 ปี submit เอกสารไปอีกเป็นเดือน กว่าจะได้รับ Cert. ตัวจริงครับ
ช่วงถาม-ตอบ
พอดีเคยมีคนมาถามเกี่ยวกับการสอบนี้หลายคำถาม ผมขอรวบรวมไว้ตรงนี้เผื่อจะเป็นประโยชน์กับคนอื่นนะครับ
แบบฝึกหัดของ App ตรงกับข้อสอบไหม?
แบบฝึกหัดนี้ไม่ใช่ Dump ดังนั้นแบบฝึกหัดนี้ไม่ตรงกับข้อสอบจริง และข้อสอบจริงยากกว่ามาก
ทำไมต้องหัดทำแบบฝึกหัด?
เพราะอ่านหนังสืออย่างเดียวไม่พอครับ พูดจากมุมมองของผม ที่เราต้องหัดทำแบบฝึกหัดเพราะว่า ระหว่างการหัดทำแบบฝึกหัดจะเหมือนเป็นการปรับ Mindset ของ ให้เป็นไปตาม Role ทางด้าน Security หรือเรียกง่ายๆว่าหมวกที่เราจะต้องใส่ในการตอบแต่ละโจทย์ เพราะคำตอบอาจจะมีคำตอบที่ถูกมากกว่า 1 ข้อ และเราต้องเลือกคำตอบให้ตรงกับหมวกที่โจทย์ให้เราใส่ให้ถูก (เลือก Role ให้ถูกก่อน) ในการตอบคำถาม (เลือกคำตอบให้ถูก) ดังนั้นถ้าเราตอบคำถามในสิ่งที่เราเป็นอยู่ เช่นตอบจากมุม Network Engineer ทุกข้อ รับรองว่าสอบไม่ผ่านครับ การทำแบบฝึกหัดนี้ไปเรื่อย ๆ จะทำให้เราชินและเรารู้โดยอัตโนมัติว่าโจทย์ลักษณะนี้เราควรหยิบหมวกอะไรมาใส่และตอบครับ
นอกเหนือจากนี้การทำแบบฝึกหัดจะทำให้รู้ตัวว่าเรายังไม่เข้าใจเรื่องอะไร ทำให้เราสามารถไปศึกษาเพิ่มเติมได้ถูก โดยอาจจะใช้วิธีเหมือนผมที่หาข้อมูลใน Internet ไม่ก็ดู YouTube ครับ หรือวิธีในการเรียนรู้ที่ถนัดของแต่ละท่านนะครับ
อยากสอบผ่านใน 45 วัน ต้องมีความรู้ด้าน security มาก่อนมากน้อยแค่ไหม?
การเตรียมตัวสอบในระยะเวลา 45 วัน ควรมีความรู้เรื่องด้าน Cybersecurity มาก่อนซัก 3-4 Domain โดยจากประสบการณ์การทำงานที่ผ่านๆมา 20 ปีของผมที่ทำหลากหลายด้าน ทำให้ผมพอจะมีความรู้เชิงลึกใน Domain ด้าน “Security and Risk Management”, “Communication and Network Security”, “Security Architecture and Engineering” “Identity and Access Management (IAM)” และ “Software Development Security” ส่วน Domain ที่เหลือ ก็พอมีพื้นฐานมาก่อนบ้างแล้ว เลยทำให้สามารถเตรียมตัวจากการทำแบบฝึกหัดอย่างเดียวเลยได้
อื่นๆ ที่อยากแชร์
จากประสบการณ์ที่ได้ไปนั่งสอบมา สิ่งที่ยากจริงๆนอกเหนือจากความรู้ทั้ง 8 Domain ที่เราจะต้องมีแล้วคือเรื่องภาษาอังกฤษครับ อาจจะขัดใจใครหลายๆคนหน่อย แต่ผมขอย้ำว่าภาษาอังกฤษค่อนข้างสำคัญจริงๆ ซึ่งเป็นปัจจัยหลักที่มีผลต่อการสอบผ่านหรือไม่ผ่านของเราเลย ส่วนหนึ่งเพราะศัพท์ที่มีในโจทย์และในคำตอบจะเป็นศัพท์ที่เราอาจจะไม่ค่อยคุ้นเคย และถ้ามีเพียงแค่ศัพท์เดียวเราแปลผิดขึ้นมาจะทำให้เราไปผิดทางได้ และโจทย์ของ CISSP ถ้าเทียบกับ CC แล้ว โจทย์จะยาวและศัพท์จะยากกว่ามาก ดังนั้นควรเข้าใจศัพท์ทุกศัพท์ที่เจอในแบบฝึกหัดให้ได้ ถึงแม้ว่าตอนไปสอบอาจจะมีศัพท์ที่เราไม่เคยเจอมาก่อนเลย (แต่เป็นส่วนน้อย) ดังนั้นการจำศัพท์ได้นี่ก็จะเป็นส่วนสำคัญที่ส่งเสริมให้เราสอบผ่านได้ครับ