In 2016 deed ik een koopje op het Boekenfestijn: 3 All-In-One studieboeken voor amper €10. Na 5 jaar stof te vergaren heb ik vorige maand ook effectief een certificatie verzilverd: “Certified Information Security Manager” (CISM voor de vrienden).
In dit artikel een overzicht van mijn studiemateriaal, voorbereiding en examenervaring.
Studiemateriaal
CISM is een van de oudste en meest genormeerde certificaten m.b.t. informatiebeveiliging. Studiemateriaal in overvloed dus. Deze kan je onderverdelen in 3 categorieën: boeken, testvragen en videocursussen.
Het CISM All-in-One boek bleek een meevaller: overzichtelijk, duidelijk en nog relatief up-to-date. Een minpuntje vond ik de overlap tussen de hoofdstukken. Het beste alternatief is de officiële CISM Review Manual van ISACA.
Wat zeker niet mag ontbreken in je studiearsenaal zijn proefexamens. Wees wel kritisch bij aankoop: veel testvragen zijn nl. verouderd en komen zelfs niet in de buurt van de vraagstelling van ISACA. Daarom koop je best de officiële ISACA Review Questions aan: dichter bij de bron kan je niet komen. Ik gebruikte de Total Tester cd-rom die bij het boek zat (uitdaging anno 2021: een cd-romlezer vinden!). De vragen vond ik achteraf gezien minder representatief maar de score per domein was nuttig om risicogebaseerd te kunnen studeren. Daarnaast gebruikte ik voor het slapengaan nog een Iphone-app: CISM Practice Test.
Videocursussen hebben ook een meerwaarde, zeker voor beginners. Ik heb even een Plural Sight cursus gevolgd maar uiteindelijk snel afgehaakt wegens te langzaam.
Voorbereiding
Dankzij een recente passage bij Antwerp Management School kon ik voor een gunstig tarief naar het “ISACA certificatie lab”. Een bootcamp waar je vooral kennis maakt met de examenvragen.
Wat heb ik daar geleerd?
- ISACA vragen zijn soms vaag en (te) Amerikaans. Voor een Belg is enig interpretatievermogen nodig,
- Er valt meestal wel iets te zeggen voor minstens 2 antwoorden maar ISACA zoekt nu eenmaal het “beste” antwoord. Zo is encryptie een goed antwoord maar ben je operationeel niets als je niet eerst een beleid hebt opgesteld,
- Soms is antwoord C juist omdat ISACA zegt dat antwoord C juist is. Daar moet je je leren bij neerleggen,
- Meestal goed: Woorden zoals: business objectieven, business and IT alignment en governance.
- Meestal fout: Niet-ISACA woordenschat en te operationele antwoorden (“Think like a manger!”),
- Zonder studeren scoorde ik aardig op CISA- en CRISC-vragen: training bucket list?
Met deze baseline op zak heb ik eerst een klassieke synthese gemaakt van het boek. Ieder heeft zo zijn leermethode maar schrijven met de hand werkt bij mij nog steeds het best.
En dan… proefexamens! Ongeveer 2 weken voor het examen deed ik dagelijks zo’n 40 vragen. Eerst haal je een confronterend cijfer van 70% maar geleidelijk stijgt die score richting 90%. En dan weet je dat je klaar bent.
Big Brother is watching you…
Ik koos voor het examen op afstand vanwege… COVID-19. Beroepsgedeformeerd als ik ben, vond ik het best een privacy-intrusieve ervaring: 2u lang werd ik in de gaten gehouden door een examinator. Die volgde mijn handelingen via webcam en mijn muisbewegingen op het scherm. Het was ook even schrikken toen hij me na een kwartier vroeg om mijn hand van voor mijn mond te halen (die kende duidelijk mijn “thinking face” niet)…
Het aanloggen en de nodige controles verliepen vlot (“Please use the webcam to show me what is under your desk mister Williams”). En dan begint de ratrace van 150 multiple choice vragen waar je ruim 4u de tijd voor krijgt. Ik had me voorgenomen om het rustig aan te doen en mijn tijd te nemen. Dat duurde 20 vragen en dan ging de voet van het rempedaal. Na al die proefvragen heb je wel wat zelfvertrouwen opgebouwd. De vragen vond ik niet echt moeilijk maar moest toch even wennen aan de ISACA-vraagstelling: het waren iets meer geschreven scenario’s dan in de proefexamens.
Na de laatste vraag zijn je ogen gefixeerd op het scherm en wil je meteen het resultaat kennen. ISACA heeft echter ook een sadistisch kantje en laat je eerst 2 surveys invullen. Uiteindelijk verschijnt het magische woord: “PASSED!”. Hoera! Na enkele weken krijg je de formele bevestiging en kan je beginnen mensen lastigvallen om je applicatie formulier in te vullen. Je moet nl. voldoende ervaring kunnen aantonen om het papiertje ook effectief te mogen ontvangen.
Tips!
Er zijn veel klassieke tips maar dit zijn voor mij de 3 belangrijkste:
- Denk zoals een manager: het draait niet rond de operationele kant maar over de management – en governance aspecten. Trap dus niet in de val!
- Finger off the trigger! Lees eerst de vraag, formuleer ze in je eigen woorden en neem alle antwoorden door vooraleer je de muis in de hand neemt. Anders dreig je te snel te willen klikken.
- Boek het examen op voorhand. Een vaste deadline helpt om een concrete studieplanning op te stellen en je eraan te houden. Anders blijf je het maar vooruit schuiven.
Veel succes!