TLDR

อ่านเนื้อหา + Short Note จาก  "CISSP Official (ISC)2 Student Guide 6th Edition" และใช้ Full Practice Test ในแอพ (ISC)2 Official CISSP Exam Prep App เพื่อหาจุดอ่อนว่าเรายังขาดเรื่องอะไร จากนั้นตบท้ายด้วย Flashcards ในแอพเดิม เพื่อรีวิวหัวข้อหลักๆ ในแต่ละโดเมนว่าเราข้ามอะไรไปหรือไม่

หลายคนที่รู้จักผมอยู่แล้วคงงงๆ ว่า อยู่ๆ ผมมาสอบ cer ตัวนี้ได้ยังงัย ... จุดเริ่มต้นมาจาก HRBP ที่บริษัทที่ทำงานอยู่ มักจะชอบส่งเมล์เกี่ยวกับ workshop, seminar, online learning จากแหล่งต่างๆ มาให้ Tech Team เสมอ และมีวันนึงทาง HR ก็ส่งมาแจ้งว่า มีโครงการติวและสอบ cer CISSP ของสกมช. มานะ (สกมช. คือ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ) ใครสนใจก็ลงทะเบียนและเข้าร่วมโครงการได้เลย ไม่มีค่าใช้จ่าย ก็เลยลองสมัครไป แบบไม่ได้คาดหวังอะไร

ส่วนตัวแล้วผมก็ไม่ค่อยได้สอบ cer ซักเท่าไหร่ เพราะค่าใช้จ่ายในการสอบแต่ละตัวนั้นแพงมากๆ ในบรรดา cer ที่เคยสอบได้มานั้น มีอะไรบ้าง ลองไล่ดูแล้วก็จะรู้ว่าของฟรีนั้นพอมีอยู่บ้าง

  • Cer ตัวแรกคือ CCNA สมัยทำงานสามสี่ปีแรกที่ ThaiCERT, NECTEC ไปได้สอบเพราะมีโควต้าฟรี แล้วก็มีติวฟรีด้วย เป็น Cer ที่ทำให้รู้ว่า สาย Network เอาแค่นี้พอนะ อย่าไป CCIE เลย มันไม่ใช่ทางของเรา
  • Cer ตัวที่สองคือ ITIL Foundation V3 สมัยทำงานที่ Sanook ตัวนี้จำไม่ได้ว่าที่มาที่ไปเป็นอย่างไร แต่คุ้นๆ ว่า มี Class สอนและให้ไปสอบ (บริษัทออกค่าใช้จ่ายให้)
  • Cer ตัวที่สามคือ Professional Scrum Master I (Scrum.org) สมัยที่ TDG เริ่ม transform ช่วงแรกๆ ก็มี Class สอน Scrum Master ก็ขอไปเรียน(ฟรี)กับเค้าด้วย แล้วก็มีให้สอบ ก็ผ่านมาได้แบบฉิวเฉียด
  • Cer ตัวที่สี่คือ Google Professional Cloud Architect ตัวนี้ อยากเรียนและอยากได้ เพราะคิดว่า ตรงกับสายงานจริง ซึ่งก็ตามเดิมบริษัทมีโควต้าให้ทั้งเรียนและสอบ จำได้ว่าเรียน Online ช่วงโควิดมาปีแรก ง่วงมาก แต่ก็สอบผ่านมาได้
  • Cer ตัวล่าสุดคือ CISSP เป็น Cer ที่เคยไฝ่ฝันมาสมัยทำงานเกี่ยวกับ Security ช่วงสั้นๆ แต่ก็ไม่มีโอกาสสอบหรอกเพราะ ถ้าจ่ายเอง คือ 749$ (ค่าเงินบาทตอนนี้ก็เกือบๆ สามหมื่น)

รายละเอียดของโครงการ

  • รับสมัครช่วง พ.ค. 2565 คุ้นๆ ว่ามีผู้สมัครเข้าร่วมพันกว่าคน
  • สอบคัดเลือกรอบแรก และประกาศผล 15 มิ.ย. จำได้ว่าเหลือผู้เข้าร่วมในรอบนี้ประมาณ 700 คน
  • จากนั้นจะมีอบรม Online ใช้เวลา 2 วัน สำหรับ 8 domains ซึ่งโหดมาก คนสอนมีทั้งคนไทยและต่างชาติ ที่โหดคือ ทำความเข้าใจไม่ทัน เพราะเนื้อหาเยอะมาก แค่กด slide ผ่านแต่ละหน้า เวลายังจะไม่พอเลย
  • แล้วก็จะมีการสอบคัดเลือกรอบที่สอง โดยใช้คลังข้อสอบของสกมช. เอง เพื่อคัดเหลือผู้โชคดีประมาณ 60-70 คน
  • 60-70 คนนี้ จะมีโอกาสได้เรียนกับวิทยากรจาก ISC(2) Bangkok Chapter (CISSP Official Course) ใช้เวลา 5 วัน สำหรับ 8 domain คราวนี้ก็จะมีเวลาเพิ่มหน่อยและผู้สอนเป็นคนไทยทั้งหมด
  • อบรม bootcamp แบบเน้นๆ มีทั้ง online, onsite ใช้เวลา 5 วัน ผมไป onsite ครึ่งวัน ที่เหลือขอ online ที่บ้านหมดเลย เพราะไม่ไหวกับการเดินทางที่รถติดมาก
  • สุดท้ายคือ ผู้เข้าร่วมโครงการที่เหลืออยู่ ก็จะต้องเลือกวันเพื่อไปสอบที่ศูนย์สอบ Pearson Vue (ผมเลือกไปที่ ERT ที่อาคารชาญอิสระ 2 ถนนเพชรบุรี)
  • ต้องขอขอบคุณสกมช. กับโครงการดีๆ แบบนี้ ที่เปิดโอกาสให้กับผู้ด้อยโอกาสแบบเรา มีโอกาสได้ใช้สมองกับเค้าบ้าง

เตรียมตัวเพื่อไปสอบอย่างไร

หลังจากเข้าร่วม bootcamp ผมสารภาพตามตรงว่า ไม่ค่อยได้ฟัง เพราะใช้เวลากับไปการอ่าน eBook "CISSP Official (ISC)2 Student Guide 6th Edition" ใน VitalSource.com ซึ่งได้รับแจกจากทางสกมช.

เวลาไปหา eBook ใน VitalSource ระวังให้ดีนะครับ มันมีชื่อที่คล้ายๆ กันเยอะมาก เช่น "Student Guide" vs "Study Guide"

อ่านอย่างไร

  • ผมใช้วิธีดู slide (ที่ได้รับแจกมาในช่วงอบรม CISSP Official Course) เทียบกับ eBook โดยเลือกอ่านลงรายละเอียดเฉพาะจุดที่คิดว่าน่าสนใจ แล้วก็จดโน้ตเพื่อให้จำได้ (ถ้าอ่านเฉยๆ มันจำไม่ได้)
  • จากนั้นก็ลองทำ Full Practice Test ในแอพ (ISC)2 Official CISSP Exam Prep App (Learnzapp) ซึ่งมีค่าใช่จ่ายเดือนละประมาณ 300 บาท โดยจะมีข้อสอบที่เป็น Full Practice Test ทั้งหมด 8 ชุด ชุดละ 123 ข้อ (อาจจะมีซ้ำข้ามชุดบ้าง) นอกจากนั้นก็ทางสกมช. มีคลังข้อสอบ online ของ CISSP อีกหลายร้อยข้อ ให้เข้าไปลองสอบ
  • ซึ่งในข้อสอบทั้ง Prep App และของสกมช. เองก็มีเฉลยทั้งคู่สำหรับข้อที่เราทำผิด ทำให้เราสามารถวิเคราะห์ตัวเองในเบื้องต้นได้ว่า เรายังไม่รู้เรื่องอะไรบ้าง ก็อ่านลงรายละเอียดหัวข้อนั้นๆ ได้อีกทีไปเรื่อยๆ
  • ปัญหาอย่างหนึ่งที่ผมพบคือ ไม่ว่าจะอ่านเพิ่ม อ่านซ่อมอย่างไร คะแนนผมก็จะเกาะกลุ่มอยู่ที่แค่ 70% (เกณฑ์ผ่านของ CISSP คือ 70%) ซึ่งมันหวาดเสียวเกินไป สาเหตุก็คือ มันจะมี unknown keyword ประมาณ 10-20% โผล่มาทุกๆ รอบ ซึ่งอ่านไม่เจอ (ที่เหลืออีก 10-15% คือความสะเพร่าส่วนบุคคล)
  • แม้กระทั่งวันท้ายๆ ก่อนที่จะไปสอบ คะแนนที่ลองทำ test ก็จะเหวี่ยงขึ้นนิดนึง เพราะเราเริ่มจำข้อสอบได้ สุดท้ายก่อนสอบหนึ่งวัน ลองกดเข้าไปดูในหมวดหมู่ Flashcard ในแอพ ... OMG มันมี keyword หลายๆ ตัวที่เรายังไม่รู้เยอะเลย ก็เลยตัดสินใจวันสุดท้ายก่อนไปสอบ ลุยเก็บรายละเอียด item ใน Flashcard ทั้งหมด
  • ใน Flashcard จัดกลุ่มไว้ 2 ประเภทคือ by Topic และ Exam Essentials  ผมไล่ by Topic ไปก่อน เพราะแต่ละ Topic ก็จะมีจำนวน Card ไม่เท่ากัน จากนั้นก็มาปิดท้ายที่ Exam Essentials ซึ่งรวม Flashcard เด่นๆ มาไว้ที่นี่ (ประมาณ 400 กว่า card)
  • สารภาพว่า ไม่ได้อ่านหรือซื้อ material เพิ่มช่องทางอื่นๆ เลย ไม่ว่าจะ Boson, Thor ที่ดังๆ เป็นที่นิยมกัน เหตุผลคือ ไม่คิดว่าจะมีเวลาอ่านหรือดูวิดีโอ และสุดท้ายก็พบว่า เอาจริงๆ แล้ว แค่อ่านใน OSG (Student Guide) กับดู Flashcard, Test ใน Prep App แค่นี้ก็เพียงพอแล้ว (สำหรับผม)

วันสอบ

  • แนะนำให้ศึกษาเส้นทางก่อน เพื่อประเมินเวลาและเส้นทาง ผมเผื่อเวลาไว้แล้วกะว่า น่าไปถึงประมาณ 8:10 แต่ของจริงคือไปถึงก่อน 8:30 นิดเดียวเอง เพราะเส้นทางถนนเพชรบุรีนั้น รถติดมาก
  • หลังจากไปติดต่อที่ ERT ชั้นสาม เจ้าหน้าที่จะให้กรอกแบบฟอร์ม และยืนยันตัวตน (ใช้บัตรที่ออกให้โดยราชการ 2 ใบ เช่น ใบขับขี่และบัตรประชาชน หรือจะใช้ Passport คู่ก็ได้) แนะนำให้เผื่อเวลาสำหรับขั้นตอนนี้ประมาณ 20-25 นาที เพราะอาจจะมีผู้เข้าร่วมสอบในเวลาเดียวกันด้วย 2-3 คน
  • จากนั้น ดื่มน้ำ เข้าห้องน้ำให้เรียบร้อย เมื่อเข้าห้องสอบแล้ว คาดว่าไม่สามารถออกไปเข้าห้องน้ำได้ (ผมไม่ได้สอบถามนะ แค่คิดว่า) ไม่อนุญาตให้นำสิ่งของติดตัวเข้าไปเลย ไม่ว่าจะเป็นน้ำ ปากกา โทรศัพท์ กระเป๋าตังส์ นาฬิกา
  • เจ้าหน้าที่จะแจกกระดาษและปากกาให้ เผื่อกรณีที่ต้องใช้จดโน๊ตหรือคำนวณ
  • ในแอพที่ทำสอบ จะมี calculator ให้ด้วย (computer based)
  • เริ่มสอบตรงเวลาเป๊ะ ข้อสอบของ CISSP เป็นแบบ Computerised Adaptive Testing (CAT) หมายความว่า แต่ละคนจะได้ข้อสอบไม่เหมือนกัน ความยากง่ายไม่เหมือนกัน จำนวนข้อสอบไม่เหมือนกัน minimum คือ 125 ข้อ, maximum คือ 175 ข้อ
  • ส่วนตัวผมเจอไป 175 ข้อเต็มที่เลย ใช้เวลาประมาณ 2 ชม. 13 นาที (เฉลี่ยใช้เวลาข้อนึง ไม่ถึงนาที) เดาเอาว่า น่าจะตอบผิดเยอะ % ระบบเลยเอาข้อสอบมาให้ทำเรื่อยๆ เพื่อจะดูว่า เรารู้จริงมั้ย (เดาล้วนๆ)
  • สุดท้าย เมื่อทำครบ end testing ปุ้บ ก็ต้องมาลุ้นเอาผลที่ด้านหน้า เจ้าหน้าที่ ERT จะพิมพ์ Test Result ให้ ก็รอลุ้นว่า จะมีคำว่า Congratulation มั้ย เท่านั้นเลย
  • updated: เพิ่มเติมเรื่องอุณหภูมิห้องสอบ ทาง ERT เปิดแอร์ไว้ที่ประมาณ 24-25 องศา  (ห้ามปรับเองด้วย) ซึ่งกำลังสบายๆ ครับไม่ร้อนไม่หนาว ส่วนตัวผมนั้นเป็นคนขี้หนาวก็ติดแจ็คเก็ตแขนยาวบางๆ ไปด้วยก็กำลังดีครับ

ปิดท้าย

  • สรุปว่า สอบผ่านนะครับ น่าจะฉิวเฉียดแหละ แต่นาทีนี้ไม่แคร์ละ ผ่านก็คือผ่านเว้ยๆๆๆๆๆๆๆๆ
  • ถามว่า คุ้มมั้ย ตอบเลยว่าคุ้มมากกับการมีโอกาสเข้าร่วมโครงการในครั้งนี้ เพราะถ้าไม่มีโครงการดีๆ เพื่อนร่วมโครงการดีๆ เราก็คงไม่บีบตัวเองให้มาอ่านหนังสือเยอะขนาดนี้ (ในวัยนี้)
  • แค่ความรู้ที่ได้เพิ่มเติมก็เปิดโลกทัศน์เกี่ยวกับ Security ไปเยอะมาก เป็น Certificate ที่ใช้ทั้ง broad knowledge และ deep knowledge ไปพร้อมๆ กัน
  • ความรู้ที่ได้ ผมก็คงเอาไปประยุกต์ใช้ได้อย่างแน่นอน เพราะตอนนี้กำลังเมามันกับ Cloud Native อยู่
  • Next milestone คือ TOGAF นะครับ ตัวนี้อาจจะลงทุนจ่ายค่าสอบเองละ