Certified Information Systems Security Professional (CISSP), la certificazione è considerato il gold standard nella sicurezza delle informazioni. Questo è così a causa di tutte le porte che la certificazione apre a un professionista CISSP. Queste porte portano a molti diversi tipi di posizioni e opportunità, rendendo così la comunità della sicurezza delle informazioni dinamica e sfaccettata.
A sostegno di questa diversità, (IS)2 ha lanciato una serie di interviste per esplorare dove la certificazione CISSP ha portato i professionisti della sicurezza. L’ultima volta che abbiamo sentito da Mari Aoba e le sue esperienze con CISSP. Questa puntata presenta Jason Lau, CISO per Crypto.com e un membro ufficiale e collaboratore del Forbes Technology Council. È anche professore aggiunto e membro del consiglio consultivo del settore (cybersecurity e privacy dei dati) presso la HKBU School of Business.
Che lavoro fai oggi?
Attualmente sono il Chief Information Security Officer (CISO) presso Crypto.com, dove guido la cybersecurity globale della società e la strategia di segretezza di dati. Sul lato, mi siedo in vari comitati consultivi del settore sulla sicurezza informatica, nonché servire come professore a contratto in una delle business school premier in Asia. Sono stato nel settore dell’istruzione per molti anni e spesso restituisco alla comunità conducendo corsi di formazione sulla sicurezza informatica/privacy per organizzazioni grandi e piccole. Lo faccio per contribuire a promuovere e migliorare l’ecosistema sia a livello locale che globale.
Quali problemi risolve la tua azienda?
Crypto.com è una società FinTech con la missione di accelerare l’adozione globale della criptovaluta. Un modo in cui la nostra azienda aiuta a risolvere questo problema è rendere la criptovaluta di facile accesso attraverso la nostra applicazione user-friendly. Il problema che personalmente sto cercando di risolvere è quello di aiutare a costruire la fiducia con l’utente di criptovaluta di tutti i giorni nel settore. Questo è ancora un settore in crescita che si sta ancora evolvendo ogni giorno. Ciò è particolarmente impegnativo perché ci sono molte regioni in cui la criptovaluta non è ancora regolamentata. Con una mancanza di regolamentazione stiamo vedendo molte aziende dimenticando la necessità di, o manca di concentrarsi su, sicurezza informatica e privacy dei dati. Il mio obiettivo è aiutare Crypto.com diventa un leader del settore in questo campo e aprire la strada. Un esempio di questo è che siamo stati la prima società di criptovaluta ad essere certificata ISO27001:2013, PCI:DSS 3.2.1 e anche ISO27701:2019, dimostrando il nostro impegno a migliorare continuamente i nostri processi complessivi.
Perché hai deciso di entrare nella sicurezza informatica?
Non c’erano corsi in quel momento per promuovere il mio interesse per la sicurezza informatica, così sono entrato in una società focalizzata sulla gestione e il monitoraggio dei sistemi aziendali, che mi ha permesso di viaggiare in tutto il mondo e lavorare a stretto contatto come consulente di gestione per molti CTO sulla sicurezza delle infrastrutture critiche. Gran parte della sicurezza era per i sistemi server fisici e, nel tempo, si è evoluta maggiormente nella sicurezza digitale e nella sicurezza informatica come la conosciamo oggi.
Com’era la vita quando hai iniziato la tua carriera nella sicurezza informatica?
Nella posizione che ho menzionato sopra, ho presto imparato e capito che quello su cui stavo lavorando era un componente chiave di una strategia globale di sicurezza informatica – che era la risposta agli incidenti e il rilevamento e il monitoraggio di attività insolite in un ambiente di rete.
La vita era interessante come lo era i giorni prima del cloud computing e quando il monitoraggio proattivo e l’alerting erano la prima linea di difesa contro potenziali problemi nella tua rete, problemi che avrebbero potuto derivare da attività dannose da un attaccante interno o esterno.
Il mio lavoro ha riguardato quasi tutti i settori che potete immaginare nei cinque continenti, e mi ha permesso di vedere come diverse industrie e culture diverse si avvicinano alla sicurezza. Non lo chiamerei davvero una deviazione, ma più di un’evoluzione del mio interesse in esso, e ho dovuto adattarmi all’ambiente e alle abilità che cambiano per approfondire la sicurezza informatica.
Qual è stato il tuo primo lavoro di cybersecurity?
Ho avuto la mia prima esperienza con “hacking” come parte della mia laurea in ingegneria elettrica all’università. Abbiamo dovuto sperimentare con chip a circuito integrato e programmarli per fare una varietà di cose diverse. Si dà il caso che fosse in quel periodo in cui è stata rilasciata la prima PlayStation. Nel mio tempo libero, ho ricercato e” hackerato “la sequenza di avvio della macchina con un” ModChip ” che ho programmato, e sono stato in grado di giocare da diverse regioni del mondo.
Sono stato uno dei primi con questi ModChips in quel momento, e io e il mio amico abbiamo iniziato ad aiutare gli altri come lavoro freelance. E ‘ stato molto emozionante ed emozionante! Questa è stata la mia prima esperienza con l’hacking e il reverse engineering, che avrei trovato in seguito che un approccio simile era necessario in qualche modo nel mondo della sicurezza informatica.
Cosa ti ha attratto per la prima volta a prendere in considerazione una qualifica di sicurezza informatica?
All’inizio della mia carriera di cybersecurity, volevo distinguermi dalla massa, e questa è stata la certificazione più calda in questo spazio.
Perché hai deciso di intraprendere CISSP?
CISSP è più di una semplice certificazione. È la prova per i colleghi che hai una passione per essere in questo campo e per ottenere una comprensione più ampia dei problemi di sicurezza informatica.
Cosa ti ha spinto a farlo?
Le violazioni dei dati stavano accadendo tutto il tempo (e lo sono ancora!), e questo mi ha spinto a sviluppare ulteriormente le mie capacità nel campo.
Quanto tempo ci è voluto per raggiungere CISSP?
Direi che l’intero processo mi ha richiesto circa 2-3 mesi. Varia per persone diverse, in quanto dipende dall’esperienza che hanno. Pratico, hands-on esperienza sarebbe sicuramente aiutare con la comprensione dei concetti, piuttosto che solo puramente leggere libri.
Come ti sei preparato per l’esame?
Penso che 2-3 anni di esperienza pratica siano un buon momento per iniziare a pensare di fare un CISSP. Back in the day, ci sono stati alcuni (IS)2 seminari che si potrebbe partecipare per saperne di più sulla certificazione e il corpo di base della conoscenza che si sarebbe valutato su.
Quali risorse hai usato?
Ho usato il testo ufficiale (IS) 2 e le domande all’interno del libro.
Cosa ti ha sorpreso di più di CISSP?
Inizialmente ero sorpreso che fosse un esame di 6 ore. Questo è cambiato ora in un processo di valutazione adattiva basato su computer, un formato che ha ridotto la durata dell’esame. Ma nel giorno in cui l’ho fatto, l’esame di 6 ore è stato un processo estenuante sia mentalmente che fisicamente. Guardando indietro, credo che la ragione di ciò sia che i computer e il mondo digitale non dormono così come i problemi di sicurezza possono accadere in qualsiasi momento. Di conseguenza, il CISSP è stato un test di resistenza per assicurarsi che si erano preparati per il mondo reale in cui si potrebbe essere stanchi da una giornata intera di lavoro fino a quando si è improvvisamente scosso in uno stato di allerta in modo da poter affrontare i problemi di sicurezza che hanno appena venuto.
Quali sono stati i primi cambiamenti che hai notato dopo essere diventato un CISSP?
Il primo cambiamento che ho notato è stato l’aumento del numero di reclutatori che mi stavano contattando per potenziali ruoli. A quel punto, mi sono reso conto che la certificazione CISSP e la credibilità di (IS)2 erano davvero ben riconosciute nel settore.
Come pensi di aver personalmente beneficiato di diventare un CISSP?
Penso che all’inizio della tua carriera, un CISSP sia un passo importante per aiutarti a ottenere un’ampia comprensione della sicurezza informatica. In questo modo, puoi approfondire altre aree di SDLC o sviluppo di applicazioni, test di penna, conformità, ecc. Il CISSP è ancora considerato il “gold standard” nella sicurezza delle informazioni in tutto il mondo, e permetterà coetanei e dipendenti sanno che si capisce la conoscenza fondamentale per la sicurezza informatica. Ho beneficiato all’inizio della mia carriera ottenendo l’accesso a una forte rete di professionisti del settore e partecipando a conferenze di settore per saperne di più su come i colleghi affrontano le sfide della sicurezza informatica. La comunità (IS) 2 e i capitoli locali hanno spesso presentazioni e workshop coinvolgenti in cui puoi affinare le tue abilità e accedere ai webinar globali e al materiale e alle risorse di formazione online.
Quali passi ti hanno portato al lavoro che fai oggi?
Essendo coinvolto nella cybersecurity e in questo campo per oltre 20 anni, ho avuto il vantaggio di vedere molti aspetti diversi della cybersecurity. Dopo aver lavorato per diverse aziende e di essere un management consulting per molti anni per aziende Fortune 200, ho guadagnato un interesse in crescita del FinTech / Blockchain spazio, e con l’enorme numero di attacchi cryptocurrency aziende, ho visto un’opportunità per costruire una squadra per aiutare Crypto.com. È stato impegnativi, e richiede un impegno costante e dedizione al campo.
Di quale risultato o contributo sei più orgoglioso?
Ho vinto numerosi premi del settore, ma è stato un risultato di squadra di ottenere un brevetto nello spazio criptovaluta. Poiché il settore si stava evolvendo rapidamente, i tradizionali fornitori di cloud non erano in grado di supportare i modi in cui avevamo bisogno di eseguire alcuni dei nostri processi chiave su base giornaliera in modo sicuro con i token di criptovaluta che stavamo usando come Bitcoin, Ethereum e altri. Il team ha contribuito in diversi modi, ognuno dei quali ci ha aiutato ad ottenere la registrazione del brevetto. Individualmente, essere stato invitato al Forbes Technology Council per i miei contributi e risultati nella sicurezza informatica è stato qualcosa di cui sono stato orgoglioso.
Qual è la sfida più grande che hai affrontato nella tua carriera?
Eccessiva sicurezza. Dopo aver viaggiato in tutto il mondo e aver consultato alcune delle più grandi aziende, il problema coerente è il modo in cui le organizzazioni hanno ancora spesso una mentalità troppo sicura di sé che non sono state violate e quindi possono concentrarsi meno sulle risorse nella sicurezza informatica. Il top management e le commissioni devono capire che i rischi per la sicurezza informatica sono rischi aziendali e possono avere un impatto su un’azienda in molti modi. Sarà sempre una sfida cambiare la mentalità dei livelli C e del consiglio di amministrazione, ma con la crescente tendenza verso la trasformazione digitale, la sicurezza informatica e la privacy dei dati devono essere pilastri fondamentali per la strategia aziendale di qualsiasi organizzazione.
Quali ambizioni hai per la tua carriera?
La mia ambizione è quella di contribuire all’ecosistema per costruire una maggiore sicurezza informatica e consapevolezza della privacy dei dati per le aziende grandi e piccole. Ho già fatto questo sul lato tutta la mia carriera, ma si può fare di più, e le sfide di sicurezza informatica continuano a cambiare nel corso del tempo. La formazione sulla consapevolezza della sicurezza sarà sempre qualcosa con cui sarò coinvolto per il resto della mia carriera.
Come si fa a garantire le vostre abilità continuano a crescere?
Semplice. Continua ad assumere persone (o circondarmi di persone) che sono più intelligenti di me. Cybersecurity è un settore unico in cui molti sono venuti da ambienti completamente diversi e ha portato viaggi interessanti per arrivare dove sono oggi. Ho abbracciato questa diversità nel team che ho costruito, composto da persone provenienti da più di sette paesi. Tutti hanno un CISSP e altro, ma tutti hanno modi molto diversi di guardare lo stesso problema. Questo non è solo un ottimo modo per continuare a crescere, ma permette anche al team nel suo insieme di crescere, e questo aiuta a promuovere una forte cultura della condivisione di conoscenza-esperienza.
Quale pensi che sia la sfida più grande per la sicurezza informatica in questo momento?
C’è sicuramente una carenza di sicurezza informatica globale, e poiché l’adozione della tecnologia e la trasformazione digitale stanno accelerando più velocemente del tasso al quale possiamo fornire professionisti della sicurezza informatica, le organizzazioni spesso giocheranno un gioco di recupero nel tentativo di riempire i ruoli. Come accennato in precedenza, la generale eccessiva fiducia nel settore intorno ai rischi di sicurezza informatica è una grande sfida che deve essere superata. Infine, direi anche che l’apprendimento automatico e l’IA si evolveranno nei prossimi anni per dare origine a minacce basate sull’IA come il malware. Questa tendenza sarà davvero molto spaventoso.
Quali soluzioni pensi potrebbero affrontare questo?
È necessaria una maggiore formazione sulla consapevolezza degli utenti per affrontare l’elemento umano della sicurezza informatica. Una strategia globale di sicurezza informatica dovrebbe comprendere più di un semplice acquisto di strumenti. È necessaria una maggiore consapevolezza della sicurezza informatica a livello C. Le aziende devono continuare a investire in talenti e tenersi al passo con le nuove tecnologie che possono anche introdurre nuovi rischi aziendali. In particolare alla domanda di cui sopra sulle minacce AI-powered, le aziende dovranno investire e adottare la propria strategia di sicurezza informatica AI e strumenti come User-Entity Bevavior Analytics (UEBA) per aiutare la diagnosi precoce delle anomalie nell’ambiente di rete.
Chi ti ispira nel mondo della sicurezza informatica?
Mio padre è sempre stato la persona più stimolante per me. Come il più giovane di una famiglia di cinque fratelli, sono cresciuto a guardare, imparare e seguirlo mentre tutti gli altri erano a scuola. Per me, poteva fare tutto e aveva sempre un modo per ” sistemare le cose.”Papà era in tutto. Ingegneria, medicina tradizionale, meccanica, idroponica, elettronica, matematica, agricoltura, cucina e molto altro ancora!
La lezione per me qui era che non dovresti concentrarti solo su un campo. Puoi imparare molto da diversi campi e dovresti avere una mentalità di crescita in modo da poter esplorare più modi per trovare una soluzione a un problema. Questo è ancora vero per la sicurezza informatica. Spesso è necessario pensare fuori dagli schemi e pensare come un hacker per costruire la vostra difesa organizzativa.
Cosa pensi che le persone che considerano una carriera nella sicurezza informatica dovrebbero sapere?
È necessario avere una mentalità di crescita. Una carriera nella sicurezza informatica è estremamente dinamica. Proprio come la tecnologia continua a cambiare ad un ritmo rapido, i rischi di business sono sempre più ampio e più profondo, e sarà necessario tenere il passo con i cambiamenti tecnologici che stanno accadendo intorno a voi. Ad esempio, con COVID-19 stiamo vedendo che le industrie tradizionali come l’assistenza sanitaria hanno dovuto evolversi rapidamente per soddisfare i cambiamenti dalla telemedicina all’accesso remoto e alla gestione di cliniche mediche e operazioni ospedaliere che contengono informazioni personali identificabili altamente sensibili e informazioni sanitarie protette. Come professionisti della sicurezza informatica, è necessario considerare l’impatto di questo, dal punto di vista aziendale fino ai rischi con i dipendenti che lavorano da casa. La cosa fondamentale che la gente dovrebbe sapere è che una carriera nella sicurezza informatica è estremamente impegnativo, ma allo stesso tempo molto gratificante come si arriva a lavorare su molti progetti interessanti e spesso con tecnologie emergenti per aiutare le organizzazioni a salvaguardare i loro sistemi.