certifikace Certified Information Systems Security Professional (CISSP) je považována za zlatý standard v oblasti informační bezpečnosti. Je tomu tak kvůli všem dveřím, které certifikace otevírá profesionálovi CISSP. Tyto dveře vedou k mnoha různým typům pozic a příležitostí, čímž je komunita informační bezpečnosti dynamická a mnohostranná.
na podporu této rozmanitosti zahájil (ISC) 2 sérii rozhovorů, aby prozkoumal, kam certifikace CISSP vedla bezpečnostní profesionály. Naposledy jsme slyšeli od Mari Aoby a jejích zkušeností s CISSP. Tato splátka obsahuje Jason Lau, CISO pro Crypto.com a oficiální člen a přispěvatel v technologické Radě Forbes. Je také mimořádným profesorem a členem poradní rady pro průmysl (cybersecurity and data privacy) na Hkbu School of Business.
jakou práci děláte dnes?
v současné době jsem ředitelem informační bezpečnosti (CISO) na Crypto.com, kde řídím globální strategii společnosti v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Na straně, sedím v různých průmyslových poradních radách o kybernetické bezpečnosti a také působím jako pomocný profesor na jedné z předních obchodních škol v Asii. Byl jsem ve vzdělávacím průmyslu již mnoho let a často se vracím komunitě tím, že provádím školení o kybernetické bezpečnosti/ochraně osobních údajů pro velké i malé organizace. Dělám to proto, abych pomohl propagovat a zlepšovat ekosystém lokálně i globálně.
jaké problémy vaše společnost řeší?
Crypto.com je FinTech společnost s posláním urychlit globální přijetí kryptoměna. Jedním ze způsobů, jak naše společnost pomáhá tento problém vyřešit, je snadné zpřístupnění kryptoměny prostřednictvím naší uživatelsky přívětivé aplikace. Problém, který se osobně snažím vyřešit, je pomoci budovat důvěru s každodenním uživatelem kryptoměny v oboru. Toto je stále rostoucí odvětví, které se stále vyvíjí každý den. To je obzvláště náročné, protože existuje mnoho regionů, kde je kryptoměna stále neregulovaná. S nedostatkem regulace vidíme, že mnoho společností zapomíná na potřebu kybernetické bezpečnosti a soukromí dat. Mým cílem je pomoci Crypto.com Staňte se lídrem v této oblasti a veďte cestu. Příkladem toho je, že jsme byli první kryptoměnovou společností, která byla certifikována ISO27001:2013, PCI:DSS 3.2.1 a také ISO27701:2019, což ukazuje náš závazek neustále zlepšovat naše celkové procesy.
proč jste se poprvé rozhodli pro kybernetickou bezpečnost?
v té době neexistovaly žádné kurzy, které by podpořily můj zájem o kybernetickou bezpečnost, a tak jsem se připojil ke společnosti zaměřené na správu a monitorování podnikových systémů, což mi umožnilo cestovat po celém světě a úzce spolupracovat jako konzultant managementu mnoha CTO v oblasti bezpečnosti kritické infrastruktury. Hodně zabezpečení bylo pro fyzické serverové systémy a postupem času se vyvinulo více do digitální bezpečnosti a kybernetické bezpečnosti, jak ji známe dnes.
jaký byl život, když jste začínal ve své kariéře v kybernetické bezpečnosti?
v pozici, kterou jsem zmínil výše, jsem se brzy dozvěděl a uvědomil si, že to, na čem pracuji, je klíčovou součástí celkové strategie kybernetické bezpečnosti – což byla reakce a detekce incidentů a monitorování neobvyklých aktivit v síťovém prostředí.
život byl zajímavý, protože to bylo dny Před cloud computingem a kdy proaktivní monitorování a upozornění bylo první linií obrany proti potenciálním problémům ve vaší síti, problémům, které mohly vyplynout ze škodlivých aktivit interního nebo externího útočníka.
moje práce pokrývala téměř všechna odvětví, která si dokážete představit na pěti kontinentech, a umožnila mi vidět, jak různá průmyslová odvětví a různé kultury přistupují k bezpečnosti. Opravdu bych to nenazval objížďkou, ale spíše vývojem mého zájmu o ni, a musel jsem se přizpůsobit měnícímu se prostředí a dovednostem, abych šel hlouběji do kybernetické bezpečnosti.
jaká byla vaše první práce v oblasti kybernetické bezpečnosti?
první zkušenosti s „hackováním“ jsem měl v rámci svého oboru elektrotechniky na univerzitě. Museli jsme experimentovat s čipy integrovaných obvodů a naprogramovat je, aby dělali různé věci. Stalo se tak, že to bylo v té době, kdy byla vydána vůbec první PlayStation. Ve svém volném čase jsem zkoumal a „Hackl“ spouštěcí sekvenci stroje pomocí“ modchipu“, který jsem naprogramoval, a byl jsem schopen hrát hry z různých regionů po celém světě.
byl jsem jedním z prvních s těmito ModChips v té době, a můj přítel a já jsme začali pomáhat ostatním jako volné noze. Bylo to docela vzrušující a vzrušující! To byla moje první zkušenost s hackováním a reverzním inženýrstvím, které bych později zjistil, že podobný přístup je v některých ohledech zapotřebí ve světě kybernetické bezpečnosti.
co vás nejprve přitahovalo k tomu, abyste zvážili získání kvalifikace v oblasti kybernetické bezpečnosti?
na začátku své kariéry v oblasti kybernetické bezpečnosti jsem chtěl vyniknout z davu a toto byla nejžhavější certifikace v tomto prostoru.
proč jste se rozhodli provést CISSP?
CISSP je více než jen certifikace. Je to důkaz pro kolegy, že máte vášeň být v této oblasti a získat širší porozumění problematice kybernetické bezpečnosti.
co vás k tomu přimělo?
narušení dat se dělo po celou dobu (a stále jsou!), a to mě přimělo k dalšímu rozvoji svých dovedností v oboru.
jak dlouho trvalo dosažení CISSP?
řekl bych, že celý proces mi trval asi 2-3 měsíce. U různých lidí se liší, protože záleží na zkušenostech, které mají. Praktické, praktické zkušenosti by určitě pomohly s porozuměním konceptům, spíše než jen čistě čtením knih.
jak jste se připravovali na zkoušku?
myslím, že 2-3 roky praktických zkušeností je vhodný čas začít přemýšlet o tom, jak udělat CISSP. Zpět v den, tam byly některé (ISC)2 semináře, které byste mohli zúčastnit se dozvědět více o certifikaci a základní soubor znalostí, které by byly hodnoceny na.
jaké zdroje jste použili?
použil jsem oficiální (ISC) 2 text, stejně jako otázky uvnitř knihy.
co vás na CISSP nejvíce překvapilo?
zpočátku jsem byl překvapen, že to byla 6hodinová zkouška. To se nyní změnilo na počítačový adaptivní proces hodnocení, formát, který zkrátil dobu trvání zkoušky. Ale zpět v den, kdy jsem to udělal, 6hodinová zkouška byla psychicky i fyzicky vyčerpávajícím procesem. Když se ohlédnu zpět, věřím, že důvodem je to, že počítače a digitální svět nespí stejně dobře a že bezpečnostní problémy se mohou kdykoli stát. Jako výsledek, CISSP byl test vytrvalosti, abyste se ujistili, že jste připraveni na skutečný svět, kde byste mohli být unaveni z celého pracovního dne, dokud se náhle nedostanete do stavu pohotovosti, abyste mohli řešit bezpečnostní problémy, které právě přišly.
jaké byly první změny, které jste si všimli poté, co jste se stali CISSP?
první změnou, kterou jsem si všiml, byl zvýšený počet náborářů, kteří mě oslovovali pro potenciální role. V této fázi jsem si uvědomil, že certifikace CISSP a důvěryhodnost (ISC)2 byla v tomto odvětví skutečně dobře uznávána.
jak si myslíte, že jste osobně měli prospěch z toho, že jste se stali CISSP?
myslím, že na začátku vaší kariéry je CISSP důležitým krokem, který vám pomůže získat široké porozumění kybernetické bezpečnosti. Tudy, pak můžete jít hlouběji do dalších oblastí řekněme SDLC nebo vývoj aplikací, testování pera, shoda, atd. CISSP je stále považován za „zlatý standard“ v informační bezpečnosti po celém světě a umožní kolegům a zaměstnancům vědět, že rozumíte základním znalostem pro kybernetickou bezpečnost. Na začátku své kariéry jsem těžil získáním přístupu k silné síti profesionálů v oboru a účastí na průmyslových konferencích, abych se dozvěděl více o tom, jak kolegové řeší výzvy v oblasti kybernetické bezpečnosti. Komunitní a místní kapitoly (ISC) 2 mají často poutavé prezentace a workshopy, kde můžete zdokonalovat své dovednosti a získat přístup k globálním webinářům a online školicím materiálům a zdrojům.
jaké kroky vás přivedly k práci, kterou dnes děláte?
vzhledem k tomu, že jsem se již více než 20 let zapojil do kybernetické bezpečnosti a do této oblasti, měl jsem tu výhodu, že jsem viděl mnoho různých aspektů kybernetické bezpečnosti. Poté, co jsem pracoval pro několik různých společností a mnoho let jsem byl poradcem v oblasti managementu pro společnosti Fortune 200, získal jsem zájem o rychle rostoucí prostor FinTech / Blockchain a s obrovským počtem útoků na kryptoměnové společnosti jsem viděl příležitost vybudovat tým, který mi pomůže Crypto.com, byla to náročná jízda a vyžaduje trvalé odhodlání a odhodlání k poli.
na jaký úspěch nebo přínos jste nejvíce hrdí?
získal jsem řadu průmyslových ocenění, ale byl to týmový úspěch získání patentu v prostoru kryptoměny. Vzhledem k tomu, že se průmysl rychle vyvíjel, tradiční poskytovatelé cloudu nebyli schopni podporovat způsoby, jakými jsme potřebovali provádět některé z našich klíčových procesů každodenně bezpečným způsobem pomocí tokenů kryptoměny, které jsme používali jako Bitcoin, Ethereum a další. Tým přispěl různými způsoby, což vše nám pomohlo získat patentovou registraci. Individuálně, být pozván do technologické Rady Forbes za mé příspěvky a úspěchy v kybernetické bezpečnosti bylo něco, na co jsem byl hrdý, také.
jaká je největší výzva, které jste ve své kariéře čelili?
přílišná sebedůvěra. Po cestování po celém světě a poradenství pro některé z největších společností, konzistentní otázkou je, jak organizace stále často mají příliš sebevědomé myšlení, že nebyly hacknuty, a tak se mohou méně soustředit na zdroje v kybernetické bezpečnosti. Vrcholový management a správní rady musí pochopit, že rizika kybernetické bezpečnosti jsou obchodní rizika a mohou ovlivnit podnikání mnoha způsoby. Vždy bude výzvou změnit mysl-soubor úrovní C a rady, ale s rostoucím trendem směrem k digitální transformaci musí být kybernetická bezpečnost a soukromí dat základními pilíři obchodní strategie jakékoli organizace.
jaké ambice máte pro svou kariéru dopředu?
mou ambicí je přispět zpět do ekosystému a vybudovat větší povědomí o kybernetické bezpečnosti a ochraně osobních údajů pro velké i malé společnosti. Už jsem to dělal po celou svou kariéru, ale lze toho udělat více a výzvy v oblasti kybernetické bezpečnosti se v průběhu času stále mění. Školení o povědomí o bezpečnosti bude vždy něco, s čím se budu po zbytek své kariéry zabývat.
jak zajistíte, že vaše dovednosti budou i nadále růst?
jednoduché. Stále najímejte lidi (nebo se obklopujte lidmi), kteří jsou chytřejší než já. Kybernetická bezpečnost je jedinečným odvětvím, kde mnozí přišli z úplně jiného prostředí a vedli zajímavé cesty, aby se dostali tam, kde jsou dnes. Tuto rozmanitost jsem přijal v týmu, který jsem vybudoval, který se skládá z lidí z více než sedmi zemí. Všichni mají CISSP a další, ale všechny mají velmi odlišné způsoby pohledu na stejný problém. Není to jen skvělý způsob, jak pokračovat v růstu, ale také umožňuje týmu jako celku růst, což pomáhá podporovat silnou kulturu sdílení znalostí a zkušeností.
co je podle vás největší výzvou pro kybernetickou bezpečnost právě teď?
určitě existuje globální nedostatek kybernetické bezpečnosti, a protože přijetí technologií a digitální transformace se zrychlují rychleji, než je rychlost, jakou můžeme dodávat odborníky v oblasti kybernetické bezpečnosti, organizace budou často hrát doháněcí hru ve snaze naplnit role. Jak bylo uvedeno výše, obecná přílišná důvěra v odvětví ohledně rizik kybernetické bezpečnosti je velkou výzvou, kterou je třeba překonat. Nakonec bych také řekl, že strojové učení a AI se budou v příštích letech vyvíjet, aby vedly k hrozbám poháněným AI, jako je malware. Tento trend bude opravdu velmi děsivý.
jaká řešení by to podle vás mohla řešit?
k řešení lidského prvku kybernetické bezpečnosti je zapotřebí více školení o povědomí uživatelů. Celková strategie kybernetické bezpečnosti by měla zahrnovat více než jen nákup nástrojů. Je zapotřebí větší povědomí o kybernetické bezpečnosti na úrovni C. Společnosti musí i nadále investovat do talentů a držet krok s novými technologiemi, které mohou také představovat nová obchodní rizika. Konkrétně na výše uvedenou otázku týkající se hrozeb poháněných umělou inteligencí budou společnosti muset investovat a přijmout vlastní strategii kybernetické bezpečnosti AI a nástroje, jako je analytika Bevavior pro uživatele (Ueba), aby pomohly včasnému odhalení anomálií v síťovém prostředí.
kdo vás inspiruje ve světě kybernetické bezpečnosti?
můj otec byl pro mě vždy nejinspirativnější osobou. Jako nejmladší z rodiny pěti sourozenců, vyrostl jsem sledováním, učit se a sledovat ho, zatímco všichni ostatní byli ve škole. Ke mě, mohl dělat všechno a vždy měl nějaký způsob, jak “ opravit věci.“Táta byl do všeho. Inženýrství, tradiční medicína, mechanika, hydroponie, elektronika, matematika, zemědělství, vaření a další!
poučením pro mě bylo, že byste se neměli soustředit jen na jedno pole. Můžete se hodně naučit z různých oborů a měli byste mít růstové myšlení, abyste mohli prozkoumat několik způsobů, jak najít řešení problému. To stále platí pro kybernetickou bezpečnost. Často musíte myslet mimo krabici a myslet jako hacker, abyste si vybudovali svou organizační obranu.
co si myslíte, že by lidé uvažující o kariéře v kybernetické bezpečnosti měli vědět?
musíte mít růstové myšlení. Kariéra v kybernetické bezpečnosti je nesmírně dynamická. Stejně jako se technologie neustále mění rychlým tempem, obchodní rizika jsou stále širší a hlubší a budete muset držet krok s technologickými změnami, které se dějí kolem vás. Například s COVID-19 vidíme, že tradiční průmyslová odvětví, jako je zdravotnictví, se musela rychle vyvíjet, aby obstarávala změny od telemedicíny po vzdálený přístup a správu lékařských klinik a nemocničních operací, které obsahují vysoce citlivé osobní identifikovatelné informace a chráněné zdravotní informace. Jako profesionálové v oblasti kybernetické bezpečnosti, budete muset zvážit dopad tohoto, z obchodního hlediska až po rizika se zaměstnanci pracujícími z domova. Klíčová věc, kterou by lidé měli vědět, je, že kariéra v kybernetické bezpečnosti je nesmírně náročná, ale zároveň velmi obohacující, když pracujete na mnoha zajímavých projektech a často s nově vznikajícími technologiemi, které pomáhají organizacím chránit jejich systémy.