Certified Information Systems Security Professional (CISSP)

O Certified Information Systems Security Professional (CISSP) é a certificação de cibersegurança mais respeitada do mundo, emitida pelo ISC2 desde 1994. Com cerca de 6 mil buscas mensais no Brasil em 2026, é amplamente exigida em vagas executivas e arquiteturais de segurança da informação: CISO, Security Architect, Security Director, Information Security Manager. É também a única certificação de cibersegurança aprovada pelo DoD (Department of Defense) dos EUA para níveis IAT III e IAM II.

A reputação do CISSP vem de três fatores: rigor técnico (8 domínios extensos), pré-requisito de experiência comprovada (5 anos auditáveis), e processo de endorsement (outro CISSP precisa atestar suas qualificações). Diferente de certificações que se obtém só estudando, o CISSP valida não apenas conhecimento mas trajetória profissional.

É a certificação certa para profissionais sêniores de segurança com 5+ anos de experiência, CISOs e aspirantes a CISO, Security Architects e Security Managers, profissionais buscando posições executivas em multinacionais ou consultorias top tier.

O que cai na prova

• Security and Risk Management (15%)
• Asset Security (10%)
• Security Architecture and Engineering (13%)
• Communication and Network Security (13%)
• Identity and Access Management (13%)
• Security Assessment and Testing (12%)
• Security Operations (13%)
• Software Development Security (11%)

A prova usa formato CAT (Computer Adaptive Testing): entre 100 e 150 questões em até 3 horas, com ajuste dinâmico de dificuldade conforme acertos. Necessidade de 700 pontos em escala de 1000. Estilo predominante é cenário longo: cada questão descreve uma situação corporativa complexa e pede a melhor resposta segundo o framework ISC2.

O CISSP é conhecido por preferir respostas "de gerente" sobre respostas "de técnico" — sempre escolha a opção que reflete decisão estratégica, gestão de risco e perspectiva organizacional, mesmo quando uma opção mais técnica pareça correta.

Pré-requisitos e perfil ideal

O CISSP exige 5 anos de experiência profissional remunerada cumulativa em pelo menos 2 dos 8 domínios. Esses anos precisam ser comprovados via endorsement: outro CISSP ativo precisa atestar sua experiência depois que você passar na prova. Quem tem diploma universitário em segurança ou afim pode descontar 1 ano, ficando em 4 anos de experiência.

Quem passa na prova mas ainda não tem os 5 anos de experiência recebe a designação "Associate of ISC2" e tem 6 anos para acumular experiência e fazer endorsement. É caminho válido para profissionais júnior que querem se preparar enquanto acumulam senioridade.

Perfil ideal: profissionais de segurança com 5-10 anos de experiência, security managers buscando promoção a CISO, security architects em multinacionais, consultores de segurança em Big 4 (Deloitte, EY, KPMG, PwC).

Quanto custa no Brasil

USD 749 oficial, cerca de R$ 4.044 ao câmbio de mai/2026. Pago em cartão internacional via Pearson VUE. Após a aprovação, há anuidade ISC2 de USD 135 (cerca de R$ 729) para manter a certificação ativa.

Cursos preparatórios oficiais ISC2 custam entre USD 2.000 e USD 4.000, considerados caros mas frequentemente patrocinados por empregadores. Alternativas mais baratas: cursos de Adam Gordon (PocketPrep), curso de Mike Chapple e James Stewart (Sybex CISSP Official Study Guide), ou cursos brasileiros como o da TIBR (que custa cerca de R$ 3.000).

Como estudar

O CISSP exige preparação intensa e prolongada:

• Sybex CISSP Official Study Guide (10ª edição): Livro de referência oficial ISC2. Tem cerca de 1.300 páginas, leitura completa essencial. Leve 8-12 semanas só na leitura.
• 11th Hour CISSP (Eric Conrad): Resumo de 200 páginas para revisão final nas últimas semanas.
• Cyberkid Wei e Pete Zerger no YouTube: Vídeos gratuitos cobrindo os 8 domínios em profundidade.
• Simulados (100h+): Boson ExSim CISSP é o melhor simulado em qualidade. PocketPrep e WannaPractice também são úteis. Mira 75-80% consistente em simulados oficiais antes de agendar.
• CCCure Quizzer: Plataforma com banco de mais de 5.000 questões CISSP. Acessível por assinatura mensal.

Tempo total realista: 6 a 12 meses com 10-15 horas semanais. Profissionais já experientes em segurança levam 6-8 meses. Profissionais em transição de carreira (vindo de redes, sysadmin, devsecops) precisam de 9-12 meses.

Salário e impacto na carreira

Profissionais com CISSP no Brasil ganham entre R$ 18 mil e R$ 35 mil pleno em 2026, segundo Robert Half. Para Security Architects sêniores e CISOs em multinacionais, a faixa sobe para R$ 35-70 mil. Em consultorias Big 4 (Deloitte, EY, KPMG, PwC), o CISSP é tipicamente requisito para promoção a Senior Manager ou Director em práticas de cibersegurança.

O CISSP tem o maior multiplicador salarial entre certificações de cibersegurança no Brasil: profissionais que passaram tipicamente reportam aumento de 30-50% no salário em 12-24 meses pós-aprovação. Cargos comuns: CISO (R$ 30-80k), Security Architect (R$ 22-45k), Information Security Manager (R$ 20-38k), Senior Security Consultant (R$ 18-32k).

Outros cursos do estude.org sobre segurança

• Segurança de Sistemas Computacionais (MIT)
• Teoria da Computação (MIT)
• Introdução a Algoritmos (MIT 6.006)
• Pré-requisito recomendado: CompTIA Security+
• Certificação complementar: CISM (ISACA)

Próximo passo após esta certificação

O CISSP é uma das certificações mais sêniores do mercado. Próximas trilhas dependem do foco: CCSP (Certified Cloud Security Professional, do mesmo ISC2) para especialização em cloud; CISA (Certified Information Systems Auditor, da ISACA) para audit; ou ISSAP/ISSEP/ISSMP (concentrations do CISSP) para super-especialização em Architecture, Engineering ou Management.

Para CISOs aspirantes, o caminho típico é CISSP + CISM + MBA executivo (FGV, INSPER, Wharton, Stanford). Para arquitetos puros, CISSP + CCSP cobre cloud completo.

Onde o CISSP é exigido no Brasil

O CISSP é tipicamente exigência em vagas executivas e arquiteturais de segurança. Empresas que valorizam nominalmente em 2026: Itaú (CISO e Security Architects), Bradesco, Santander, Banco do Brasil, Vale (TI Industrial), Petrobras (TI Corporativa), Embraer (Defesa), Volvo do Brasil, e multinacionais com filial brasileira (IBM, Microsoft, Oracle, SAP). Em consultorias Big 4, é tipicamente requisito para promoção a Senior Manager.

Cargos típicos: CISO (R$ 30-80k), Security Architect (R$ 22-45k), Information Security Manager (R$ 20-38k), Senior Security Consultant (R$ 18-32k), Cyber Risk Manager (R$ 22-40k). Em órgãos federais e empresas estatais, o CISSP é diferencial em concursos para cargos comissionados em TI estratégica.

Erros comuns que reprovam candidatos no CISSP

• Pensar como técnico: CISSP pede respostas "de gerente". Em situações ambíguas, a melhor resposta envolve gestão de risco, política, ou processo organizacional, não solução técnica imediata.
• Subestimar volume de leitura: O Sybex Official Study Guide tem 1.300 páginas. Quem tenta CISSP só com vídeos e simulados reprova.
• Não dominar os 8 domínios uniformemente: O sistema CAT exige conhecimento equilibrado. Ser forte em 5 domínios e fraco em 3 reprova quando o sistema testa os fracos.
• Ignorar criptografia profunda: Conceitos como Diffie-Hellman, RSA, AES modes (ECB, CBC, CTR, GCM), key escrow, e PKI completo caem em pelo menos 15-20% da prova.
• Confundir frameworks: NIST CSF, ISO 27001, COBIT, SABSA, TOGAF são frameworks diferentes com escopos sobrepostos. Quem confunde reprova.
• Não fazer simulado oficial: Boson ExSim ou ISC2 Practice Tests. Quem só faz simulado gratuito chega despreparado para o estilo de questão da prova real.

Calendário sugerido de estudo (8 meses)

• Meses 1-2: Leitura completa do Sybex CISSP Official Study Guide (domínios 1-4). Anote pontos-chave.
• Meses 3-4: Sybex domínios 5-8. Vídeos complementares no YouTube (Pete Zerger, Cyberkid Wei).
• Mês 5: Primeiros 3 simulados Boson ExSim (com calma, revisando cada erro).
• Mês 6: Mais 3 simulados. Identifique domínios fracos e refaça leitura focada.
• Mês 7: 11th Hour CISSP completo. Simulados cronometrados (até 6 horas/semana).
• Mês 8: Revisão final dos 8 domínios. Agende a prova quando atingir 80%+ consistente.

Comunidades brasileiras para estudo

• ISC2 Brazil Chapter: capítulo brasileiro oficial do ISC2 com eventos mensais, mentoria CISSP e grupos de estudo.
• H2HC (Hackers to Hackers Conference): conferência anual brasileira de cibersegurança em São Paulo, com palestras de CISSPs e CISOs.
• Mente Binária: comunidade brasileira de cibersegurança com cursos gratuitos e fórum ativo.
• Grupo de Telegram CISSP Brasil: mais de 3 mil membros estudando para CISSP, com troca de materiais e simulados.
• Canais YouTube em português: Bruno Salgado (Sec for the Field), Daniel Donda, Gabriel Pato (Acelera Cyber).

Para acompanhar novas certificações cobertas e cursos preparatórios gratuitos, inscreva-se no canal do estude.org no YouTube.

Perguntas frequentes