Em meados de 2005, eu e alguns amigos conhecidos no campo de infosec (Ricardo Giorgi, Alexandre Salgado, Lucimara Desidera, Anchises Moraes, Victor Bonomi, Fernando Fonseca, Cleverson Viel, Wagner Elias, Eduardo Cabral, Fernando Schiavon, Sergio Dias Pereira, Eva Pereira, entre outros nomes) formamos o grupo de estudos CISSP, onde gastamos horas nos preparando para o exame e construímos grandes amizades. Que tempo bom foi aquele… Após esta longa jornada fiquei por muito tempo explorando outras formas de me manter atualizado com o mercado de cibersegurança.
Mas foi em 2018, depois de atuar como proctor e supervisor no exame CISSP, que fui convidado pela ISC2 para participar de alguns workshops CISSP como voluntário em Tampa/FL. Isso despertou o meu interesse pela Certified Cloud Security Professional (CCSP) da ISC2. Comprei a primeira edição do livro, mas nunca consegui efetivamente focar no estudo e, apesar de estar trabalhando a alguns anos com cloud, o meu problema passou a ser literalmente o tempo.
Evidentemente, alguns amigos próximos me incentivaram a tirar a certificação, mas apenas neste 2023, morando há mais 3 anos aqui nos EUA, percebi a necessidade de ter mais essa certificação em minha carreira. Lembro que vejo esse processo como uma das formas de me manter atualizado, embora conheça excelentes profissionais sem essa certificação. Independente de escolhas, gostaria de compartilhar um pouco como foi esta jornada rumo ao CCSP, e espero poder ajudar os futuros aventureiros.
Um pouco antes em 2019, fiz um curso de Cloud Security pela SANS Technology Institute,e em 2022, tirei o Certificate of Cloud Security Knowledge (CCSK) da Cloud Security Alliance (CSA). Com base nisso, adquiri materiais adicionais do CCSP. Isso atrelado ao conhecimento prático e vivência em projetos de cloud no meu atual emprego foi essencial ao meu sucesso no exame.
O CCSP é uma certificação vendor neutral em Cloud Security para avaliar o entendimento e aplicação dos conceitos de cloud em cenários reais, como por exemplo, uma migração de uma solução de mainframe em on-premises a um ambiente de private cloud ou um internet banking.
O candidato é testado com questões que exigem entendimento bem profundo em vários aspectos de tecnologia, cloud, regulamentações, frameworks, infosec, privacidade, entre outros. Na minha visão, o conteúdo do CCSP é composto por uma parte do material do CCSK da CSA, atrelado ao CISSP e a outros conhecimentos técnicos de cloud, em uma visão prática. Portanto, se você já trabalha no mercado de segurança de nuvem, já tem um plus.
O exame é composto por 150 questões de múltipla escolha e o candidato tem até 4 horas para completar o exame. Em suma, no propósito de colaborar com a comunidade de Cibersegurança e Cloud Security, pretendo especificar alguns pontos importantes para ter sucesso neste exame complexo. Fato: é necessário, além do material da ISC2, garimpar outros recursos e explorar com profundidade a forma como os serviços de cloud são usados.
1. Plano de estudo
O primeiro passo é definir um plano de ação. No meu caso foi um desafio, pois comprei o voucher do exame com duas possíveis tentativas. Dificultaram o tempo de estudo e realização do exame. Foram quase 3 meses de treinos intensivos, com mais de 4 horas por dia útil e até 8 horas nos fins de semana.
Optei pelo self-study e comprei alguns recursos disponíveis sobre o tema. Entre estes, segue alguns livros abaixo:
– CCSP Official Study Guide
– CCSP Official Practice Tests
– CCSP CBK Reference
– CCSP All-In-One
– CCSP For Dummies
– CCSP Cloud Guardians
– CCSK All-In-One
– Practical Cloud Security “A Guide for Secure Design and Deployment
– Threat Modeling – A Practical Guide for Development Teams
– Cloud Auditing Best Practices
– Ahead in the Cloud
– Cyber Security Risk Management NIST CSF
Outros materiais complementares foram:
– CCSP Cloud Guru Training
– CCSP Training by Udemy by Gwen Bettwy -> Particularmente ela passa dicas valiosas
– Dicas chaves do indiano Prabh Nair: https://prabhnair.in/2020/12/27/ccspstudyguideprabh/
– Blog CCSP Alukos: https://ccsp.alukos.com
– Cloud Adoption Framework for Azure: https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/landing-zone/
– Microsoft Reference Security Architecture: https://learn.microsoft.com/en-us/security/cybersecurity-reference-architecture/mcra
– CISSP Made Easy: https://cisspmadeeasy.com/2022/02/16/ccsp-final-notes-before-passing-the-exam/
– CloudSecList: https://cloudseclist.com
– AWS Security Maturity Model: https://maturitymodel.security.aws.dev/en/model/
Como é possível perceber, usei muitas fontes, incluindo consultas a papers e infographics sobre Cloud Security, de empresas especializadas como AquaSec, WIZ, Orca, CSA, GCP, AWS, Microsoft, Puppet, Snyk, TerraForm, Prisma Cloud, Lacework etc. Todas estas empresas têm blogs e materiais que agregam na preparação ao exame, por trazerem novos conceitos (CSMP, CNAPP, CIEM, etc) que, por hora, não são cobertos pelos materiais citados.
Este é o receio de muitos candidatos que fazem o exame, pois você não deve apenas considerar o material da ISC2, mas usar fontes complementares, com uma visão abrangente de novas tecnologias.
2. Leia, estude e anote!
Aqui não tem muito segredo. A avaliação exige dedicação e estudo profundo, sem pular temas. Faça uma leitura mesmo daquele assunto que você tenha profundo domínio, anotando os pontos relevantes, imaginando cenários reais nos quais aquele conceito pode ser usado na proteção em nuvem.
Separe e anote todos os pontos relevantes em um caderno, pois isso ajuda o cérebro a gravar os conteúdos, e as anotações servirão para uma última revisão antes do exame oficial.
Algumas dicas fundamentais sobre o conteúdo;
– Para o exame CCSP, pense na perspectiva de como você deve proteger a sua organização e os dados guardados no provedor de cloud.
– Analise também que a criptografia é o fator chave na perspectiva de proteção os dados. Isso significa que, em algumas questões, a criptografia será a resposta mais exata, então endereçar o uso da criptografia no cenário proposto pode ser bastante útil.
– Esteja certo sobre os recursos de criptografia usados em cloud, os métodos de proteção de dados em trânsito ou em descanso (data at rest) e qual a melhor forma de proteger a chave de criptografia utilizada. A gestão ficará com o cliente ou CSP? Quem será o responsável e qual é o cenário mais seguro?
– Entenda muito bem a diferença entre os modelos de cloud e serviços: IaaS, PaaS, SaaS, private, public, community, hybrid e multi-cloud. Uma dica: preste atenção no modelo de gestão compartilhada em IaaS, SaaS e PaaS, e fique atento às camadas e separação de responsabilidades entre o cliente e o provedor. O exame tem o intuito de testar o quanto você conhece na prática um caso real.
– Ainda sobre shared responsabilities, esse talvez seja um dos pontos cruciais no exame. Sugiro ficar atento, por exemplo, ao modelo PaaS, no que tange a divisão entre as camadas e responsabilidades entre o cliente e CSP? Quem é responsável por aplicar um patch no OS em PaaS ou IaaS? Ou quem é sempre responsável pelo dado independente do modelo? Logo, esteja atento ao modelo Cloud Layer (Application, Service, Image, Sofware Defined Data Center, Hypervisor, Infrastrucuture).
– Entenda quais são os pontos de falha em ambiente virtual (cloud), o uso de API, como protegê-las, como ocorre a gestão dos logs, a integração com SIEM; quais são os fatores importantes, como fazer a segurança do hypervisor, quais os tipos de ataques e medidas preventivas. Também fique ligado com a segurança das imagens (integridade), containers, kurbenetes, security groups, SDN, crypto-shredding, e a proteção de acesso ao management plan.
– Controle de acesso, no meu ponto de vista, é o mais importante. Conceitos como IAM, Federation, RBAC, ABAC podem ser prontamente abordados na prova. Lembre-se que MFA é fundamental para a gestão remota e acesso ao management plan, e não esqueça do perfilamento das contas de acesso evitando o blast radius.
– Outros aspectos são patch management, hardening, change management, configuration management (ITIL) e automatização, Entenda o quanto podem colaborar com a segurança, por exemplo: DevSecOps, IaC, conceitos de SASE, DLP, CASB, SOAR, ZNTA, cyber kill chain, etc.
– O dominio de Data Security é o mais avaliado no exame CCSP. Por isso, esteja preparado para o ciclo de vida do dado (create, store, use, share, archive e destroy), bem como onde e em que fase cada controle deve ser aplicado, e os aspectos de jurisdição e leis locais de cada país. Atenção especial à privacidade e compliance com leis como GDPR, CCPA, LGPD, GLBA, Sox, PCI-DSS, HIPPA, entre outros.
– Seja fluente no desenvolvimento de software seguro, SLDC, SAST, DAST, IAST, SCA, OWASP, Threat Modeling, STRIDE, Threat Intelligence, Tokenization ou Data Masking.
– BC e DR são temas antigos, mas importantes em nuvem. Assim, atenção aos conceitos de autenticação, integridade, disponibilidade, resiliência, portabilidade, interoperabilidade, vendor lock-in, vendor lock-out, backup, BIA, redução de custo (TCO), CAPEX, OPEX, modelos de contratos, SLA.
– Leia as normas, frameworks e standards: NIST 800-145, FIPS-140, ISO 27050, ISO 27017, 27018, 27001, 27002, 27005, NIST CSF, NIST RMF, 31000, ENISA, CSA, e por aí afora.
– Importante lembrar dos conceitos e valor do processo de Risk Management e Compliance, assim como entender as diferenças entre relatórios SOC 1, SOC2 (type 1 e 2) e SOC 3, além dos modelos CAIQ e CCM da CSA, e requerimentos do PCI-DSS.
– Uma vez que os dados então na cloud em multitenancy, há um perigo sobre o riscos de dados de outros clientes serem capturados durante o processo de e-discovery (chain of custody), bastante explorado no exame. Quem é responsável por recuperar os dados? Existe algo definido no contrato? Como é realizada a auditoria na cloud? Quais são as responsabilidades entre as partes? Qual o melhor e mais seguro cenário quando se tem dados muito sensíveis? Talvez uma cloud híbrida seja uma alternativa?
Enfim, não é possível cobrir todos os tópicos neste artigo, porque é um assunto para um livro, no qual estou trabalhando.
Certamente, o exame de certificação CCSP não é fácil nem impossível. O exame explora profundamente o grau de conhecimento e experiência de cenários complexos de cloud. Se você é um profissional experiente na área, ou já tem CISSP, CCSK ou certificações similares, acho válido considerar cerca de 3 meses de preparação. Dentro de um quadro de horas focado, creio que terá sucesso.
Não esqueça de também fazer os simulados do livro oficial, garantindo acertos acima de 90%. Em minha experiência, as questões do material foram as mais próximas do meu exame.
Nas duas últimas semanas, foque nos simulados, e na última semana, leia as dicas do material mencionados neste artigo: são valiosas. Revise as anotações feitas, pois todas elas serão arquivadas no cérebro. Use as estratégias que façam sentido à você no exame, e não estude no dia anterior da prova. Deixe sua mente descansar, praticando um esporte ou alguma outra atividade para distrair.
Lembre-se: tudo que você fez nos estudos já foi armazenado no cérebro. Na hora da prova, o mais importante é ter foco. Leia duas ou três vezes as questões mais complexas, tenha certeza de selecionar a resposta mais apropriada, pois irá combinar com a sua experiência, e definitivamente mantenha o controle do relógio.
Com essas dicas, acredito que você será capaz de passar no desafiador exame CCSP.
Boa sorte!
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSP, CCSK, Certified in Cybersecurity, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de Pós-Graduação em Gestão de Cibersegurança e Riscos Tecnológicos na FIA. Atualmente, é BISO para a uma empresa financeira nos Estados Unidos.
