Introduction

วันนี้ผมเพิ่งผ่านการสอบประกาศนียบัตร CISSP (Certified Information Systems Security Professional) โดยได้รับทุนจาก สกมช. (ตามไปอ่านได้ในโพสต์นี้) เลยจะมารีวิวประสบการณ์การเตรียมตัวสอบแบบคร่าวๆ เผื่อจะเป็นประโยชน์กับผู้ที่สนใจครับ

สำหรับกติกาการสอบ CISSP คือให้เวลา 4 ชั่วโมง ส่วนจำนวนข้อสอบที่ต้องทำจะขึ้นอยู่กับการประเมินของ CAT (Computerized Adaptive Testing) ว่าเรามีความรู้เพียงพอที่จะสอบผ่านหรือยัง ถ้ามันยังไม่พอใจ ก็จะให้ตอบคำถามเพิ่มจนกว่ามันคิดว่าโอเค ขั้นต่ำคือ 125 ข้อ สูงสุดคือ 175 ข้อ

CISSP CAT Exam

ผมสอบผ่านโดยตอบคำถามไปทั้งหมด 125 ข้อ ใช้เวลาประมาณ 2 ชั่วโมงครึ่ง

Preparation and Materials Used

การเตรียมตัวสอบ (แบบจริงจัง) ใช้เวลาประมาณ 2 เดือนครึ่ง (22 ก.ค. - 9 ต.ค. 65) จำนวน practice questions ที่ทำไปทั้งหมด น่าจะราวๆ 3,200 ข้อ โดย materials ที่ใช้ พร้อมคะแนนความชอบ มีประมาณนี้

CISSP Official Study Guide, 9th Edition

Highly Recommended: 9/10

หรือที่เรียกกันว่า OSG อันนี้เป็น resource หลัก อ่านแบบ cover-to-cover ทำ practice test ที่มีในเล่มทั้งหมด เนื้อหาละเอียดกำลังดี โดยรวมคือช่วยปูพื้นฐานความรู้ได้เหมาะสมและครบถ้วน แต่อ่านแล้วจะหลับทุกที เนื้อหามีทั้งหมด 21 บท สลับกันไปมา ไม่ได้เรียงตาม domain ซึ่งผมว่าดี เพราะตอนสอบเราต้องใช้ความรู้จากหลายๆ domain มารวมกันเพื่อตอบคำถามแต่ละข้อ

CISSP Official Practice Tests, 3rd Edition

Highly Recommended: 9/10

เป็น question bank มีคำถามแยกตามโดเมน โดเมนละประมาณ 100 ข้อ กับคำถามรวมๆ ชุดละประมาณ 125 ข้อ อีก 4 ชุด เล่มนี้ซื้อมาเอาโค้ดแล้วไปทำใน online test bank ทั้งหมด ถือว่าคุ้มค่า แต่มีเฉลยผิดบ้างบางข้อ

How to Think Like A Manager for the CISSP Exam

Subjective: 7/10

อันนี้ซื้อตามชาวบ้าน เพราะเห็นเค้าบอกว่าดี อ่านเพื่อปรับ mindset ก่อนสอบแล้วจะผ่านอย่างง่ายดาย… แต่สำหรับผมอ่านแล้วเฉยๆ 😥 รู้สึกอ่านยากเพราะเล่มใหญ่ และเฉลยอยู่หน้าข้างๆ ของโจทย์ ต้องหาอะไรมาบังไว้ไม่งั้นเหลือบไปเห็นเป็น spoil ไปอีก ที่สำคัญคือโจทย์และคำอธิบายคำตอบยืดยาวมาก จับประเด็นไม่ค่อยได้ เล่มนี้ใช้วิธีทยอยอ่านวันละ 1-2 ข้อ เพื่อเพิ่มความรู้สึกคุ้มค่า 555+

Certification Station Discord

Totally Recommended: 10/10

เป็น community ที่รวมคนที่สนใจในการสอบ cerfiticate ต่างๆ แน่นอนว่ามี CISSP อยู่ในนั้นด้วย จำไม่ได้ว่ามาเจอได้ยังไง คิดว่าน่าจะจาก Reddit หรือได้ไปอ่าน CISSP exam success story ของใครซักคน

ผมได้เรียนรู้จาก Discord นี้เยอะมาก ทั้งจากเอกสารต่างๆ การพูดคุยถกกันในแต่ละประเด็นข้อสงสัย รวมทั้งยังมีตัวอย่างคำถาม-คำตอบ ที่หาที่ไหนไม่ได้ เพราะเป็นคำถามที่ admin กับ member ที่เป็น CISSP เขียนขึ้นมาเอง ซึ่งช่วยให้คุ้นเคยกับรูปแบบคำถามของข้อสอบ CISSP วิธีคิดในการตอบคำถาม พร้อมมีคำอธิบายให้ครบ ที่สำคัญคือทุกอย่างฟรี! (บ้าไปแล้ว)

ถ้าใครเคยดู How can you achieve 95% pass rate for CISSP น่าจะจำตอนที่คุณ Robert พูดเกี่ยวกับ study group ได้ (ประมาณนาทีที่ 47) อันนี้ก็อารมณ์ประมาณนั้น แต่มีสมาชิกที่เป็น CISSP จำนวนหลักร้อย และทุกคนคอยผลักดันและให้กำลังใจกันตลอด

อีกอย่างที่สำคัญคือผมรู้สึกว่าฟีเจอร์ของ Discord มันเหมาะกับการสร้าง study group มาก เวลามีคนตั้งคำถาม เราสามารถ hide คำตอบของตัวเอง เพื่อไม่ให้เกิด bias กับคนอื่นที่อยากลองตอบคำถามเหมือนกัน (นึกภาพการถามตอบในกลุ่ม LINE ที่ซ่อนอะไรไม่ได้เลย บางทีเห็นมีคนตอบแล้ว เราก็ขี้เกียจตอบ เพราะรู้สึกเหมือนลอกคำตอบคนอื่น) ส่วนคนถามก็สามารถ mark คำตอบของแต่ละคนได้ ถ้านึกภาพไม่ออก มันจะเป็นประมาณนี้

Q&A in Discord

นอกจากนี้ก็มี voice channel ให้ใช้ได้เวลาต้องการพูดคุยสื่อสารกัน และด้วยระบบ roles ของ Discord เราสามารถดูได้ว่าใครเป็น CISSP บ้าง ซึ่งถ้าเรามีข้อสงสัย คำตอบของเขาก็น่าจะเชื่อถือได้มากกว่าคนที่กำลังศึกษาอยู่ อะไรทำนองนี้

ข้อดีอีกอย่างของการมี CISSP อยู่เยอะในห้องคือ เวลามีคำถามหรือประเด็นสงสัย จะมีคนฟันธงให้เสมอ (อันนี้อาจจะส่วนตัวหน่อย เวลาผมสงสัยเรื่องคำถาม CISSP ในกลุ่ม LINE ถามไปแล้วมักไม่ค่อยได้คำตอบ 555+)

หนึ่งใน admin ของ Discord นี้ กำลังทำแอป question bank สำหรับ CISSP อยู่ ถ้าใครยังไม่สอบเร็วๆ นี้ ผมแนะนำให้รอซื้อได้เลยครับ

ITProTV Certified Information Systems Security Professional - CISSP 2021

Highly Recommended: 9/10

หลังจากอ่าน OSG จบก็คิดว่าควรเรียนจาก content ประเภทอื่นบ้าง ซึ่งวิดีโอน่าจะเป็นตัวเลือกที่ดี ที่ผมสนใจอยู่ในตอนนั้นมี CISSP Cert Prep (2021) ของ Mike Chapple กับ ITProTV ของ Adam Gordon เลยมาถามความเห็นใน Discord สุดท้ายเลยเลือกคอร์สของ ITProTV

ทีแรกผมไม่ชอบแนวการสอนของ Adam Gordon ที่ไม่ค่อยมีภาพประกอบ แต่ด้วยวิธีการนำเสนอแบบมี 2 คนมาพูดคุย คนนึงถาม คนนึงอธิบาย มันทำให้วิดีโอดูสนุก และก็ทำให้จำและเข้าใจ concept ได้มากขึ้นตามไปด้วย ส่วน PDF episode notes นั้นหน้าตาไม่ค่อยสวย แต่ได้ key points เต็มๆ และสิ่งที่ Adam สอน บางเรื่องไม่มีใน OSG แต่เรียนไปเรียนมาพบว่ามันอยู่ใน CBK (Common Body of Knowledge) แสดงว่าเป็นเรื่องที่ควรต้องรู้ด้วย 🤓

ผมดูวิดีโอไล่ไปทีละ domain พอจบ domain นึงก็ไปทำ Official Practice Tests ตาม domain นั้นๆ ไล่ไปเรื่อยๆ

เป็นคอร์สที่คุ้มค่าด้วยเวลารวมประมาณ 40 ชั่วโมง ข้อดีอีกอย่างคือถ้า topic ไหนสำคัญ จะมี Spotlight episode แยกออกมาต่างหาก ทำให้สามารถ focus ได้ว่าควรดูวิดีโอไหนบ้าง ถ้ามีเวลาจำกัด

IT & Cybersecurity Pocket Prep

Recommended: 8/10

อันนี้เป็นแอป test bank ที่ UX ดีมาก และมี metrics ให้ดูหลากหลาย เอาไว้เล่นในมือถือตอนว่างๆ คำถาม 90% จะเป็นแบบถาม definition ไม่มีพลิกแพลงใดๆ เอาไว้เรียนรู้ + กระตุ้นความจำ ส่วนตัวคิดว่าแอปนี้ให้ประสิทธิภาพเหมือนการใช้ flash card… ผมชอบใช้โหมด Build Your Own Quiz แล้วเลือกเฉพาะคำถามที่ยังไม่เคยทำ กับคำถามที่ตอบผิด ทำครั้งละ 10 ข้อ ไปเรื่อยๆ จนครบ 750 อะไรทำนองนี้

CISSP Official (ISC)² Student Guide, 6th Edition

Highly Subjective: 6/10

เป็นหนังสือที่ได้มาจาก Official (ISC)² Training Seminar for CISSP อ่านทีแรกชอบสุดๆ เพราะสำนวนในการเขียนไม่ชวนง่วงเหมือน OSG และมี case study ให้อ่านเพลินๆ เยอะดี แต่อ่านไปอ่านมาก็พบสิ่งที่ไม่ถูกใจหลายเรื่อง เช่น พิมพ์ผิด ข้อความซ้ำ ที่หนักคือเนื้อหาขัดแย้งกับ CBK อาจจะทำให้คนเรียนสับสนได้ง่ายๆ คำถามท้ายบทส่วนใหญ่ดี ยกเว้นคำถามท้ายเล่ม (Post-Course Assessment) ที่ผมรู้สึกว่าเหมือนออกทะเลมากเกินกว่าจะเป็น official material 😑 บวกกับความที่ไม่มีขาย คนทั่วไปเข้าถึงยาก ส่วนตัวผมให้ 6 คะแนนพอ (โปรดใช้วิจารณญานในการอ่าน)

Prabh Nair Coffee Shots

Highly Recommended: 9/10

ผมรู้จัก Prabh Nair มาตั้งแต่เริ่มเตรียมตัวสอบจริงจัง แต่เลี่ยงไม่ดูวิดีโอเค้ามาตลอด เพราะรู้สึกว่าสำเนียงเค้าฟังยาก แต่สุดท้ายก็ตัดสินใจลองเปิด YouTube ดูในคืนก่อนวันสอบ พอตั้งใจฟังก็พบว่าเค้าอธิบายได้กระชับ เข้าใจง่าย เหมาะกับการดูเพื่อเอาไปสอบมาก ตอนผมนั่งทำข้อสอบยังนึกอยู่ว่า ดีนะที่เมื่อคืนดูวิดีโอของเค้า (เวอร์ไปมั้ย 🤣) สำหรับคนไม่ค่อยมีเวลา แนะนำให้ดู Think Like a Manager Series (1, 2, 3) ครับ

Destination Certification Mindmaps

Recommended: 8/10

วิดีโอฟรีใน YouTube ช่อง Destination Certification เป็นสิ่งที่เกือบทุกคนที่สอบ CISSP ผ่าน พูดถึงในช่วงนี้ ผมว่าเป็นวิดีโอซีรี่ส์ที่ดีมากเพื่อใช้ตบท้ายให้เห็น overview ความเกี่ยวข้องกันของทุกสิ่งอย่างใน OSG และจุดมุ่งหมายของ Information Security แต่เนื่องจากเป็นวิดีโอตั้งแต่ปี 2020 เลยมีเนื้อหาบางส่วนไม่อัปเดตตามเนื้อหาใหม่ของปี 2021 แต่คิดว่าเกิน 80% น่าจะยัง relevant กับข้อสอบปัจจุบัน

สมาชิกทีม Destination Certification ก็อยู่ใน Certification Station Discord และกำลังจะออกหนังสือสอนเนื้อหา CISSP เค้าเคยเอา excerpt มาแชร์ในบางหัวข้อ ผมอ่านแล้วรู้สึกว่าอธิบายได้เคลียร์และเข้าใจง่ายดี 😎

It’s a Marathon, Not a Sprint

สิ่งหนึ่งที่ผมเพิ่งมานึกได้ หลังจากคุยกับน้องที่ร่วมโครงการของ สกมช. ในการเตรียมตัวสอบก็คือ ผมใช้หลักการเดียวกับการซ้อมวิ่งระยะไกล (long-distance running) ในการเตรียมตัวสอบโดยไม่รู้ตัว 🤨

ขยายความอีกนิดก็คือ สมมติเราต้องการไปร่วมงานวิ่งที่ระยะ 10k ตารางซ้อมของเราในหนึ่งสัปดาห์อาจจะเป็นวิ่ง 5k ซัก 3-4 วัน แล้วมีวันนึงในสัปดาห์ที่วิ่งยาว 8k (long run) ส่วนอีกวันเป็นวันพัก เป็นต้น อย่างมาราธอนเอง ระยะ long run ที่แนะนำก็อยู่ที่ประมาณ 30-35k โดยไม่จำเป็นต้องวิ่งให้ถึง 42k เหมือนตอนวันแข่ง สิ่งสำคัญคือการทำอย่างสม่ำเสมอ เพื่อสะสม endurance ในการวิ่ง

ถ้ามองย้อนกลับไป ผมรู้สึกว่าการฝึก mental strength ในการสอบ CISSP ก็ไม่ต่างกัน สิ่งที่ผมทำโดยไม่รู้ตัวก็คือ การทำ Official Practice Tests ในแต่ละ domain ครั้งละประมาณ 100 ข้อ โดยมีการเว้นช่วงพักในแต่ละครั้ง เพื่อไปเรียน domain ถัดไป พอทำได้ 2-3 domain ก็เปลี่ยนไปทำ Practice Test แบบ 125 ข้อ (รวมทุก domain)… หนักบ้างเบาบ้าง สลับกันไปเรื่อยๆ

การซ้อมด้วยจำนวนข้อสอบประมาณนี้ ผมมั่นใจว่าจะมีพลังพอในการนั่งทำข้อสอบจำนวน 125-150 ข้อได้แน่ๆ แต่ถ้ากังวลว่าอาจต้องลากยาวถึง 175 ข้อ ก็อาจจะเปลี่ยนข้อสอบช่วง long run จาก 125 เป็น 150 ข้อ และไม่จำเป็นต้องซ้อมทำให้ครบ 175 ข้อจริงๆ เพราะนอกจากจะทำให้สมองล้าแล้ว ยังอาจจะทำให้เครียด/ขยาดกับการสอบไปเลยก็ได้ 🤔

Exam Day

สัปดาห์ก่อนสอบผมลางาน 3 วัน พุธ-ศุกร์ ต่อด้วยเสาร์ เพื่อเคลียร์สิ่งที่ยังไม่ได้ดู/อ่าน/หรือจำไม่ได้ ให้ได้มากที่สุด วันอาทิตย์พักผ่อน ไปวิ่ง นั่งทำข้อสอบประมาณ 75 ข้อ เป็นชุดคำถาม custom made ที่รวบรวมมาจาก Discord ที่ผมคิดว่าใกล้เคียงข้อสอบจริงที่สุด ช่วงก่อนนอนดูวิดีโอ Prabh Nair + ITProTV ตาม topic ที่ยังไม่ค่อยมั่นใจ

เช้าวันสอบไม่ได้ดูวิดีโอปลุกใจใดๆ แน่นอนว่าไม่ได้อ่าน How to Think Like a Manager for the CISSP Exam 🤣 ตื่นมากินข้าว แต่งตัว แล้วนั่งตอบชุดคำถาม custom made อีกประมาณ 10-15 ข้อ เพื่อเข้าสู่ game mode แล้วก็เดินทางไปสอบ

ผมลงทะเบียนสอบไว้ที่ Pearson Professional Centers ตอน 10 โมง แต่ไปถึงศูนย์สอบตั้งแต่ 9 โมง เจ้าหน้าที่ก็ขอดูหลักฐาน ถ่ายรูป ลงทะเบียนให้ แล้วก็ได้เข้าไปสอบเลย ไม่ได้ดูนาฬิกาเพราะถอดเก็บไว้ในล็อกเกอร์ แต่คิดว่าน่าจะซัก 9 โมงครึ่ง

หลังจากนั้นก็เป็นภาพเบลอ ฉากตัด ถ้ามองจากข้างนอกก็จะเห็นผมนั่งกอดอกจ้องหน้าจอ หรืออ่านโจทย์แล้วส่ายหัว เกาหัว หรือหมุนเก้าอี้เล่นเป็นบางจังหวะ 555+ แต่โดยรวมก็คือทำไปดูเวลาไป พยายามคุมให้ไม่เกินข้อละ 1 นาทีครึ่ง รู้สึกว่าได้แนวคิดในการสอบ CISSP ช่วยไว้หลายครั้ง

ไม่ได้รู้สึกว่าโดนถาม domain ไหนมากเป็นพิเศษ (จริงๆ คือจำข้อสอบไม่ได้เลย 😑) แต่รู้สึกว่าเห็นคำถามเกี่ยวกับ domain 5 (Identity and Access Management) และ domain 8 (Software Development Security) โผล่มาบ่อย อาจจะเพราะผมไม่ได้ทบทวนสอง domain นี้เท่าไร

พอตอบข้อ 125 เสร็จ ระบบก็แสดงหน้าจอเสร็จสิ้นการสอบ ผมก็หยิบบอร์ดกับปากกาออกมาคืนหน้าห้อง สแกนฝ่ามือ แล้วเดินออกมาเอาของในล็อกเกอร์ จากนั้น proctor ก็ print ผลการสอบแล้วส่งให้แบบคว่ำหน้า พอหงายออกมาก็เจอ “Congratulations!…”

CISSP Exam Result

จบสิ้นภารกิจอันยาวนาน… ถ้านับจริงๆ ตั้งแต่เดือน พ.ค. ที่ สกมช. ประกาศเริ่มโครงการ ก็ใช้เวลาทั้งหมดราวๆ 5 เดือน กับการสอบ CISSP ครั้งนี้

ปล. ตอนสอบเสร็จแล้วเดินออกจากห้องสอบ เบลอจนลืมใส่รองเท้า 👟 ยืนอ่านผลอยู่แล้ว proctor วิ่งเอารองเท้ามาคืนให้ เขินมาก 555+

Key Takeaways

สำหรับผมคิดว่าสิ่งสำคัญคือการใช้ materials ที่หลากหลาย เพื่อให้เห็นหลายๆ แง่มุมของแต่ละ topic/process เพราะที่เจอมากับตัวคืออ่าน OSG แล้วเข้าใจอย่างนึง แต่พอได้ไปฟัง/อ่านที่คนอื่นอธิบายเรื่องเดียวกัน ก็พบว่ายังไม่เข้าใจดีพอ หรือเข้าใจผิดไปเลยก็มี 🤣 รวมทั้งสกิลภาษาอังกฤษก็เป็นสิ่งสำคัญ เพราะบางทีข้อสอบถามเรื่องที่เรารู้/เข้าใจอยู่แล้ว แต่ใช้คำต่างกัน ถ้าเราไม่รู้คำใกล้เคียงก็จะอ่านคำถามให้เข้าใจชัดเจนได้ยากครับ