Mudanças no Exame CISSP 2024

O exame CISSP foi atualizado em 15 de abril de 2024, para refletir conceitos e tecnologias de segurança em evolução. Embora os pesos dos domínios permaneçam predominantemente estáveis, o conteúdo foi atualizado em quase todos os domínios com novos tópicos como distribuição de chave quântica, borda de serviço de acesso seguro e leis de privacidade atualizadas.

Em 15 de abril de 2024, o ISC² implementou um conjunto atualizado de objetivos para o exame CISSP. O objetivo de atualizar os objetivos do exame é manter o exame relevante para os últimos acontecimentos em segurança. À medida que as coisas progridem e novas tecnologias são introduzidas, os objetivos são atualizados para contabilizá-los, bem como para os mais recentes padrões e processos. Neste blog, vamos olhar para as mudanças e explorar algumas das coisas chave a ter em conta enquanto se prepara para o exame atualizado em 2025. Se você estudou para o CISSP usando material da atualização anterior, só precisa rever as mudanças / adições, pois grande parte do conteúdo e dos tópicos permanecem os mesmos.

Domínios e mudanças do CISSP

Primeiro, vamos revisar os 8 domínios que compõem o exame CISSP. Na tabela a seguir, mostramos os 8 domínios e o peso relativo em 2018 e 2021 em comparação com os pesos relativos atuais com a atualização de 2024. Você notará que os pesos relativos têm sido bastante estáveis, com apenas pequenas mudanças nas últimas atualizações.

Detalhes sobre as atualizações do domínio

Semelhante à última atualização do exame, você encontrará alguns dos conceitos, termos e siglas de segurança mais recentes adicionados ao esquema do exame. A lista de mudanças abaixo não é exaustiva, mas é bastante completa. No guia de estudo atualizado, também destaco quando algo é novo para 2024 ou quando algo foi removido.

• Domínio 1 (O nome permanece o mesmo, peso aumentado em 1%). Do ponto de vista do título, o Domínio 1 é o mesmo. No entanto, existem algumas mudanças internas das quais deve-se estar ciente:
  • Os “5 Pilares da Segurança da Informação” foram adicionados
  • Para o tópico sobre princípios de governança de segurança, a ação de sustentá-los foi adicionada
  • Para os frameworks de controle de segurança, frameworks específicos são destacados, incluindo ISO, NIST, COBIT, SABSA, PCI e FedRAMP – compreenda o que cada um destes representa em um nível gerencial
  • Para o tópico legal e regulatório, foi adicionada a conformidade em
  • O tópico sobre privacidade foi atualizado para especificar o Regulamento Geral sobre a Proteção de Dados, California Consumer Privacy Act, Lei de Proteção de Informações Pessoais e Lei de Proteção de Informações Pessoais – como em outros tópicos, sempre que o roteiro mencionar exemplos específicos, certifique-se de entendê-los e às diferenças entre eles)
  • Para o tópico de continuidade dos negócios, as ações de avaliação e implementação foram adicionadas
  • Um novo tópico foi adicionado para dependências externas para continuidade dos negócios
  • O tópico sobre contratos de trabalho foi atualizado para mencionar requisitos orientados por políticas
  • A definição de escopo foi adicionada ao tópico de avaliação/análise de risco
  • Para monitoramento e medição, a palavra “contínua” foi adicionada
  • O tópico de estruturas de risco adicionou exemplos específicos
  • O tópico sobre riscos para hardware, software e serviços foi atualizado para enfatizar riscos mais amplos ao lidar com fornecedores (como adulteração de produtos)
  • O tópico sobre avaliação e monitoramento de terceiros foi renomeado para mitigação de riscos e adicionou exemplos como avaliação e monitoramento de terceiros, requisitos de nível de serviço e lista de materiais de software)
  • O tópico sobre conscientização mudou de “presente” para “aumentar”, uma pequena alteração que foca na conscientização contínua em vez da conscientização inicial
  • O tópico sobre revisões periódicas de conteúdo foi adicionado, incluindo tecnologias emergentes e tendências e deu exemplos específicos (como IA e criptomoeda)
• Domínio 2 (Nome e peso permanecem iguais). Nada mudou neste domínio para a atualização do exame de 2024!
• Domínio 3 (Nome e peso permanecem iguais).
  • O tópico “Mantenha simples” foi alterado para “Mantenha simples e pequeno” para demonstrar que o tamanho importa quando se trata de complexidade
  • O tópico sobre zero trust foi atualizado para incluir “confiar mas verificar” – isso não é um novo tópico, mas apenas a combinação de dois tópicos existentes
  • Um novo tópico intitulado “Secure access service edge” foi adicionado
  • O tópico sobre Sistemas de Controle Industrial (ICS) adicionou “Tecnologia Operacional” ao título
  • O tópico sobre microsserviços incluiu uma chamada para APIs
  • O tópico PKI adicionou uma referência à distribuição de chaves quânticas)
  • O tópico de práticas de gerenciamento de chaves adicionou uma referência à rotação
  • O tópico de assinaturas digitais combinou os tópicos de não repúdio e integridade
  • O tópico dos armários de fiação mudou “intermediate distribution facilities” para “intermediate distribution frame”
  • O tópico sobre questões ambientais incluiu exemplos de desastres naturais e problemas causados pelo homem
  • Os seguintes tópicos e sub-tópicos foram adicionados:
    • Gerencie o ciclo de vida do sistema de informação
      • Necessidades e requisitos dos stakeholders
      • Análise de requisitos
      • Projeto arquitetônico
      • Desenvolvimento / implementação
      • Integração
      • Verificação e validação
      • Transição / implementação
      • Operações e manutenção / sustentação
      • Aposentadoria / descarte
• Domínio 4 (Nome o mesmo, peso o mesmo).
  • A Seção 4.1 altera ligeiramente o título de “avaliar e implementar” para “Aplicar”
  • A Seção 4.1.2 adiciona exemplos de unicast, broadcast, multicast e anycast
  • A seção 4.1.3 apresenta exemplos de protocolos seguros, incluindo IPSec, SSH, SSL e TLS
  • Foram adicionados 7 tópicos (4.1.6 a 4.1.12) cobrindo arquitetura de transporte, métricas de desempenho, fluxos de tráfego, segmentação física, segmentação lógica, micro-segmentação e redes de borda. A micro-segmentação mudou bastante para incluir referências a VLANs, VPNs, roteamento virtual e encaminhamento, e domínio virtual.
  • Na seção 4.1.13, Bluetooth foi adicionado e Li-Fi foi removido
  • Na seção 4.1.14 – “Cellular networks” foi alterado para “Cellular/mobile networks”
  • Redes definidas por software receberam seu próprio sub-tópico no item 4.1.16
  • Virtual Private Cloud (VPC) ganhou seu próprio sub-tópico no 4.1.17
  • Na versão 4.1.18, foram adicionados monitoramento e gerenciamento (assim como exemplos específicos)
  • A seção 4.2.1 foi alterada de “Operação de hardware” para “Operação de infraestrutura”, o que ampliou um pouco o tópico
  • Na Seção 4.2.2, a segurança física dos meios de comunicação e a qualidade da propagação do sinal foram adicionadas como exemplos
  • A seção 4.2.3 foi atualizada para mencionar soluções físicas de NAC e soluções virtuais
  • Seção 4.2.4 sobre segurança de endpoint, o termo “baseado em host” foi adicionado
  • A seção 4.3.1 era “Voz” em 2021, mas agora adiciona vídeo e colaboração, juntamente com conferência e Zoom como exemplos
• Doman 5 (Nome e peso iguais)).
  • Para o Domínio 5, “Identity and Access Management (IAM)” mantém seu título.
  • Na Seção 5.1, sobre o controle de acesso a ativos, um novo item para serviços foi adicionado. Anteriormente, os serviços não estavam no escopo. Certifique-se de entender o controle de acesso a serviços para o exame atualizado.
  • O tópico intitulado “Implementação de Identity Management (IdM) foi removido.
  • Grupos e Funções foram adicionados como seção 5.2.1 que abrange a gestão de usuários e acesso
  • Na Seção 5.2.2, o título foi atualizado de “Autenticação Única/Múltiplos Fatores (MFA)” para “Autenticação, Autorização e Contabilidade (AAA) (por exemplo, autenticação de múltiplos fatores (MFA), autenticação sem senha)”. Isso amplia o tópico para incluir autorização e também adiciona tecnologias sem senha à discussão. Observe que o tópico sobre responsabilidade no exame de 2021 foi incorporado a este tópico.
  • O tópico sobre sistemas de gerenciamento de credenciais foi atualizado para incluir “cofre de senhas” como um exemplo. Isso se refere a aplicativos/serviços que centralizam senhas e segredos empresariais.
  • Um novo tópico, 5.4.7, foi adicionado com o título “Aplicação de política de acesso (por exemplo, ponto de decisão de política, ponto de aplicação de política)”. Isso amplia o tópico em torno dos mecanismos de autorização.
  • A seção 5.5.3, intitulada “Definição de função (por exemplo, pessoas designadas para novos cargos)” foi atualizada para incluir transição que se refere a pessoas que estão se movendo para um novo cargo dentro da empresa.
  • A seção 5.5.4 sobre escalada de privilégios removeu a conta de serviço gerenciada e minimizou o uso de sudo para focar em “uso de sudo” e “auditação do seu uso”.
  • Os sub-tópicos sobre sistemas de autenticação – OIDC, SAML, Kerberos, RADIUS e TACACS+ foram removidos.
• Domínio 6 (Nome e peso iguais).
  • Para este domínio, o título permanece o mesmo – “Security and Assessment Testing”.
  • Na Seção 6.1.1, o tópico interno acrescenta “dentro do controle da organização”.
  • Na Seção 6.1.2, o tópico externo acrescenta “fora do controle da organização).
  • Na Seção 6.1.3, o tópico de terceiros adiciona “fora do controle da empresa”.
  • Um novo tópico, 6.1.4, intitulado “Localização (por exemplo, local, nuvem, híbrido)” foi adicionado para referenciar o tópico de estratégias de auditoria.
  • O tópico de teste de penetração, 6.2.2, adicionou exemplos de exercícios de equipes vermelha, azul e/ou roxa. Conheça as diferenças entre cada uma.
  • O tópico sobre transações sintéticas (6.2.4) adicionou uma referência a benchmarks.
  • O tópico 6.2.7 foi renomeado de “Análise de cobertura de teste” para “Análise de cobertura”.
  • O tópico 6.2.8 sobre testes de interface, adicionou exemplos de interface de usuário, interface de rede e interface de programação de aplicativos (API).
  • Para as versões 6.5.1, 6.5.2 e 6.5.3, os tópicos foram atualizados para indicar se havia controle organizacional ou não.
  • Para a versão 6.5.4, foi adicionado um novo tópico intitulado “Localização (por exemplo, local, nuvem, híbrido)” para referenciar a realização ou facilitação de auditorias de segurança
• Domínio 7 (Nome e peso iguais).
  • O título “Security Operations” permanece o mesmo.
  • Para o tópico 7.1.5 sobre artefatos, dados foram adicionados à mistura.
  • O tópico 7.2.1 foi renomeado de forma ligeira de “Detecção e prevenção de intrusão” para “Sistema de detecção e prevenção de intrusão (IDPS)”.
  • O tópico “Monitoramento contínuo” foi atualizado para “Monitoramento e ajuste contínuos”.
  • O tópico 7.4.2 foi alterado de “Separação de Funções (SoD)…” para “Segregação de Funções (SoD)…”.
  • Um novo tópico foi adicionado na seção 7.5.3 com o título “Data at rest/data in transit” referindo-se ao tópico de aplicação de técnicas de proteção de recursos.
  • Para o tópico 7.7, o título foi renomeado de “Operar e manter medida detetiva e preventiva” para “Operar e manter medidas de detecção e prevenção”.
  • Para o tópico 7.10.1 sobre estratégias de armazenamento de backup, foram adicionados exemplos de armazenamento na nuvem, armazenamento local e armazenamento externo.
  • Para o tópico 7.10.2, sobre estratégias de site de recuperação, foram adicionados exemplos de cold. vs. host e acordos de capacidade de recursos.
  • Para o tópico 7.11.3 intitulado “Comunicações”, o termo “métodos” foi adicionado para indicar que o tópico é sobre métodos de comunicação.
  • Um novo tópico foi adicionado como 7.12.6 com o título “Comunicações (por exemplo, partes interessadas, status do teste, reguladores)” em referência aos planos de teste de recuperação de desastres.
  • Para o tópico 7.15.2 (treinamento e conscientização de segurança), exemplos de insider threat, impactos das redes sociais, fadiga de autenticação de dois fatores foram adicionados.
• Domínio 8 (Nome o mesmo, peso reduzido em 1%).
  • O título deste domínio, Software Development Security, permanece o mesmo.
  • Para o tópico 8.1.1 sobre metodologias de desenvolvimento, foi adicionada uma referência ao scaled agile framework.
  • Para a seção 8.2.9 sobre testes de segurança de aplicativos, foram adicionados exemplos para análise de composição de software e Teste de Segurança de Aplicativos Interativos (IAST).
  • Para o tópico 8.4.4 sobre serviços gerenciados, SaaS e IaaS e PaaS foram removidos e substituídos por “aplicações empresariais”.
  • Um novo tópico foi adicionado na seção 8.4.5 cobrindo serviços de nuvem com referência a SaaS, IaaS e PaaS.

FAQ de Atualizações do Exame CISSP

Para ajudá-lo a entender as mudanças no exame CISSP, apresentamos algumas perguntas e respostas comuns sobre as atualizações recentes abaixo.

1. Com que frequência o plano de exame CISSP muda? Normalmente, a cada 3 anos. A mudança mais recente ocorreu em 15 de abril de 2024. Antes disso, houve uma mudança em maio de 2021. Anteriormente, houve uma mudança em 2018, 2015 e 2012.
2. Posso passar no novo exame usando material de estudo antigo? Sim. Muitas pessoas já fizeram isso. A chave é ter a experiência de trabalho relevante e conhecimento nos tópicos. Se você está tentando passar no exame apenas com base nos estudos, será mais difícil com os materiais mais antigos (e claro, o exame tem como pré-requisito experiência de trabalho para começar).
3. O formato do exame mudou com esta atualização de blueprint? Não, exceto pela transição de algumas línguas de um exame linear (número fixo de perguntas) para um exame não linear. O exame agora está disponível apenas no formato de Teste Adaptativo Computadorizado (CAT) para todas as línguas. A versão CAT tem um mínimo de 100 perguntas e um máximo de 150 perguntas.
4. Qual é o objetivo de atualizar o exame a cada 3 anos? O principal objetivo é manter o exame atualizado e relevante. Se o plano do exame CISSP nunca fosse atualizado, a certificação perderia valor e relevância. Ao mantê-lo atualizado e relevante, ele se mantém como uma certificação de segurança de primeira linha. Existem outros motivos também. Por exemplo, a pirataria de exames (pessoas divulgando conteúdo do exame sem autorização) é uma preocupação real.