Certified Information Systems Security Professional (CISSP) certificering anses for at være guldstandarden i informationssikkerhed. Dette er tilfældet på grund af alle de døre, som certificering åbner for en CISSP-professionel. Disse døre fører til mange forskellige typer positioner og muligheder, hvilket gør informationssikkerhedssamfundet dynamisk og mangesidet.
til støtte for denne mangfoldighed har (ISC)2 lanceret en række samtaler for at undersøge, hvor CISSP-certificering har ført sikkerhedsprofessionelle. Sidste gang vi hørte fra Mari Aoba og hendes erfaringer med CISSP. Denne rate indeholder Jason Lau, CISO til Crypto.com og et officielt medlem og bidragyder på Forbes Technology Council. Han er også adjungeret professor og industri advisory board medlem (cybersecurity and data privacy) på Hkbu School of Business.
hvilket job gør du i dag?
jeg er i øjeblikket Chief Information Security Officer (CISO) på Crypto.com, hvor jeg driver virksomhedens globale strategi for cybersikkerhed og databeskyttelse. På siden sidder jeg i forskellige industrirådgivningsråd om cybersikkerhed samt fungerer som adjungeret professor ved en af de førende handelsskoler i Asien. Jeg har været i uddannelsesbranchen i mange år nu, og jeg giver ofte tilbage til samfundet ved at gennemføre cybersikkerhed/privatlivstræning for organisationer både store og små. Jeg gør dette for at hjælpe med at fremme og forbedre økosystemet både lokalt og globalt.
hvilke problemer løser din virksomhed?
Crypto.com er et FinTech-selskab med en mission om at fremskynde den globale vedtagelse af kryptokurrency. En måde vores virksomhed hjælper med at løse dette problem er ved at gøre cryptocurrency let at få adgang til via vores brugervenlige applikation. Det problem, jeg personligt forsøger at løse, er at hjælpe med at opbygge tillid hos den daglige kryptokurrencybruger i branchen. Dette er stadig en voksende industri, der stadig udvikler sig hver dag. Dette er især udfordrende, fordi der er mange regioner, hvor kryptokurrency stadig er ureguleret. Med manglende regulering ser vi mange virksomheder glemme behovet for eller mangler fokus på cybersikkerhed og databeskyttelse. Mit mål er at hjælpe Crypto.com bliv branchens førende på dette område og gå foran. Et eksempel på dette er, at vi var det første cryptocurrency-selskab, der blev ISO27001:2013, PCI:DSS 3.2.1 og også ISO27701:2019 certificeret, hvilket viser vores forpligtelse til løbende at forbedre vores overordnede processer.
Hvorfor besluttede du først at komme ind i cybersikkerhed?
der var ingen kurser på det tidspunkt for at fremme min interesse for cybersikkerhed, så jeg sluttede mig til et firma med fokus på enterprise systems management og monitoring, som gjorde det muligt for mig at rejse rundt i verden og arbejde tæt som managementkonsulent for mange CTO ‘ er om kritisk infrastruktursikkerhed. Meget af sikkerheden var for fysiske serversystemer, og over tid udviklede det sig mere til digital sikkerhed og cybersikkerhed, som vi kender det i dag.
hvordan var livet, da du startede i din karriere inden for cybersikkerhed?
i den position, jeg nævnte ovenfor, lærte jeg snart og indså, hvad jeg arbejdede på, var en nøglekomponent i en overordnet cybersikkerhedsstrategi – som var hændelsesrespons og detektion og overvågning af usædvanlige aktiviteter i et netværksmiljø.
livet var interessant, da det var dagene før cloud computing, og da proaktiv overvågning og alarmering var den første forsvarslinje mod potentielle problemer i dit netværk, problemer, der kunne være resultatet af ondsindede aktiviteter fra en intern eller ekstern angriber.
mit arbejde dækkede næsten alle sektorer, du kan forestille dig på tværs af fem kontinenter, og det gav mig mulighed for at se, hvordan forskellige industrier og forskellige kulturer nærmer sig sikkerhed. Jeg ville ikke rigtig kalde det en omvej, men mere en udvikling af min interesse for det, og jeg var nødt til at tilpasse mig det skiftende miljø og dygtighed for at gå dybere ind i cybersikkerhed.
hvad var dit første cybersikkerhedsjob?
jeg havde min første erfaring med “hacking” som en del af min Elektroteknik grad på universitetet. Vi var nødt til at eksperimentere med integrerede kredsløb chips og programmere dem til at gøre en række forskellige ting. Det sker bare så, at det var omkring det tidspunkt, hvor den første PlayStation nogensinde blev frigivet. I min fritid undersøgte jeg og” hackede “maskinens opstartssekvens med en” ModChip”, jeg programmerede, og jeg var i stand til at spille spil fra forskellige regioner rundt om i verden.
jeg var en af de første med disse ModChips på det tidspunkt, og min ven og jeg begyndte at hjælpe andre som freelance job. Det var ret spændende og spændende! Dette var min første erfaring med hacking og reverse engineering, som jeg senere ville finde ud af, at en lignende tilgang var nødvendig på nogle måder i cybersikkerhedsverdenen.
hvad tiltrak dig først til at overveje at få en cybersikkerhedskvalifikation?
tidligt i min cybersikkerhedskarriere ønskede jeg at skille mig ud fra mængden, og dette var den hotteste certificering i dette rum.
Hvorfor besluttede du at foretage CISSP?
CISSP er mere end blot en certificering. Det er et bevis for jævnaldrende, at du har en passion for at være på dette område og få en bredere forståelse af cybersikkerhedsproblemerne.
Hvad fik dig til at gøre det?
databrud skete hele tiden (og er stadig!), og dette fik mig til at videreudvikle mine færdigheder på området.
hvor lang tid tog det at opnå CISSP?
jeg vil sige, at hele processen tog mig omkring 2-3 måneder. Det varierer for forskellige mennesker, da det afhænger af den oplevelse, de har. Praktisk, praktisk erfaring ville helt sikkert hjælpe med at forstå begreberne snarere end blot rent at læse bøger.
hvordan forberedte du dig til eksamen?
jeg synes, at 2-3 års praktisk erfaring er et godt tidspunkt at begynde at tænke på at lave en CISSP. Tilbage på dagen var der nogle (ISC)2 seminarer, som du kunne deltage i for at lære mere om certificeringen og den centrale viden, som du ville blive vurderet på.
hvilke ressourcer brugte du?
jeg brugte den officielle (ISC)2 tekst samt spørgsmålene inde i bogen.
hvad overraskede dig mest ved CISSP?
jeg var oprindeligt overrasket over, at det var en 6-timers eksamen. Dette er nu ændret til en computerbaseret adaptiv vurderingsproces, et format, der har reduceret eksamenens varighed. Men tilbage i den dag, da jeg gjorde det, var 6-timers eksamen en udmattende proces både mentalt og fysisk. Når jeg ser tilbage, tror jeg, at årsagen til dette er, at computere og den digitale verden ikke sover så godt, og at sikkerhedsproblemer kan ske når som helst. Som et resultat var CISSP en test af udholdenhed for at sikre, at du var forberedt på den virkelige verden, hvor du måske er træt fra en hel arbejdsdag, indtil du pludselig bliver rystet i en alarmtilstand, så du kan løse sikkerhedsproblemer, der lige er kommet op.
hvad var de første ændringer, du bemærkede efter at være blevet CISSP?
den første ændring, jeg bemærkede, var det øgede antal rekrutterere, der nåede ud til mig for potentielle roller. På det tidspunkt indså jeg, at CISSP-certificeringen og troværdigheden af (ISC)2 faktisk var velkendt i branchen.
hvordan tror du, at du personligt har haft gavn af at blive CISSP?
jeg tror tidligt i din karriere, at en CISSP er et vigtigt skridt i at hjælpe dig med at få en bred forståelse af cybersikkerhed. På denne måde kan du derefter gå dybere ind i andre områder af f.eks SDLC eller applikationsudvikling, pen test, overholdelse osv. CISSP betragtes stadig som “guldstandarden” inden for informationssikkerhed rundt om i verden, og det vil give jævnaldrende og medarbejdere mulighed for at vide, at du forstår den grundlæggende viden om cybersikkerhed. Jeg gav tidligt i min karriere fordel ved at få adgang til et stærkt netværk af branchefolk samt ved at deltage i branchekonferencer for at lære mere om, hvordan jævnaldrende håndterer cybersikkerhedsudfordringer. (ISC)2 samfund og lokale kapitler har ofte engagerende præsentationer og værksteder, hvor du kan finpudse dine færdigheder og få adgang til globale internetinarer og online træningsmateriale og ressourcer.
hvilke skridt bragte dig til det job, du gør i dag?
at være involveret tidligt i cybersikkerhed og på dette område i over 20 år har jeg haft fordelen ved at se mange forskellige aspekter af cybersikkerhed. Efter at have arbejdet for flere forskellige virksomheder og været en managementkonsulent i mange år til Fortune 200-virksomheder, fik jeg interesse for det hurtigt voksende FinTech / Blockchain-rum, og med det enorme antal angreb på cryptocurrency-virksomheder så jeg en mulighed for at opbygge et team til at hjælpe Crypto.com. det har været en udfordrende tur, og det kræver løbende engagement og dedikation til marken.
hvilken præstation eller bidrag er du mest stolt af?
jeg har vundet adskillige branchepriser, men det var et team, der opnåede et patent i cryptocurrency-rummet. Da branchen udviklede sig hurtigt, var de traditionelle skyudbydere ikke i stand til at understøtte de måder, hvorpå vi havde brug for at udføre nogle af vores nøgleprocesser dagligt på en sikker måde med de cryptocurrency-tokens, vi brugte som Bitcoin, Ethereum og andre. Holdet bidrog på forskellige måder, som alle hjalp os med at få patentregistreringen. Individuelt, at blive inviteret til Forbes Technology Council for mine bidrag og resultater inden for cybersikkerhed har været noget, jeg også har været stolt af.
Hvad er den største udfordring, du har stået over for i din karriere?
Overtillid. Efter at have rejst rundt i verden og konsulteret for nogle af de største virksomheder, er det konsekvente problem med, hvordan organisationer stadig ofte har en overtillid tankegang, at de ikke er blevet hacket og dermed kan sætte mindre fokus på ressourcer inden for cybersikkerhed. Topledelse og bestyrelser skal forstå, at cybersikkerhedsrisici er forretningsrisici og kan påvirke en virksomhed på mange måder. Det vil altid være en udfordring at ændre tankesættet for C-niveauer og bestyrelsen, men med den voksende tendens mod digital transformation skal cybersikkerhed og databeskyttelse være centrale søjler for enhver organisations forretningsstrategi.
hvilke ambitioner har du for din karriere fremad?
min ambition er at bidrage tilbage til økosystemet for at opbygge mere cybersikkerhed og datasikkerhedsbevidsthed for store og små virksomheder. Jeg har allerede gjort dette på siden gennem hele min karriere, men mere kan gøres, og cybersikkerhedsudfordringerne fortsætter med at ændre sig over tid. Uddannelse i sikkerhedsbevidsthed vil altid være noget, jeg vil være involveret i resten af min karriere.
Hvordan sikrer du, at dine færdigheder fortsætter med at vokse?
enkel. Bliv ved med at ansætte folk (eller omgive mig med mennesker), der er klogere end mig. Cybersikkerhed er en unik industri, hvor mange er kommet fra helt forskellige baggrunde og førte interessante rejser for at komme til, hvor de er i dag. Jeg har omfavnet denne mangfoldighed i det team, jeg har opbygget, som består af mennesker fra mere end syv lande. Alle har en CISSP og mere, men alle har meget forskellige måder at se på det samme problem. Dette er ikke bare en god måde for mig at fortsætte med at vokse, men det giver også teamet som helhed mulighed for at vokse, og dette hjælper med at fremme en stærk kultur af viden-erfaringsdeling.
hvad synes du den største udfordring er for cybersikkerhed lige nu?
der er absolut en global cybersikkerhed mangel, og fordi teknologi vedtagelse og digital transformation accelererer hurtigere end den hastighed, hvormed vi kan levere cybersikkerhed fagfolk, vil organisationer ofte spille en catch-up spil i forsøget på at udfylde roller. Som nævnt ovenfor er generel overtillid i branchen omkring cybersikkerhedsrisici en stor udfordring, der skal overvindes. Endelig vil jeg også sige, at machine learning og AI vil udvikle sig i løbet af de næste år for at give anledning til AI-drevne trusler som ondsindet program. Denne tendens vil faktisk være meget skræmmende.
hvilke løsninger tror du kunne løse dette?
mere brugerbevidsthedstræning er nødvendig for at tackle det menneskelige element i cybersikkerhed. En overordnet cybersikkerhedsstrategi bør omfatte mere end bare at købe værktøjer. Mere C-niveau bevidsthed om cybersikkerhed er nødvendig. Virksomheder skal fortsætte med at investere i talent og holde sig ajour med nye teknologier, der også kan indføre nye forretningsrisici. Specifikt til ovenstående spørgsmål om AI-drevne trusler skal virksomheder investere og vedtage deres egen AI-cybersikkerhedsstrategi og værktøjer såsom bruger-enhed Bevavior Analytics (UEBA) for at hjælpe med tidlig påvisning af uregelmæssigheder i netværksmiljøet.
hvem inspirerer dig i en verden af cybersikkerhed?
min far har altid været den mest inspirerende person for mig. Som den yngste af en familie på fem søskende, jeg voksede op med at se, lære og følge ham, mens alle andre var i skole. Til mig, han kunne gøre alt og havde altid en måde at “rette ting på.”Far var i alt. Engineering, traditionel medicin, mekanik, hydroponics, elektronik, matematik, landbrug, madlavning og meget mere!
lektionen for mig her var, at du ikke bare skulle fokusere på et felt. Du kan lære meget fra forskellige felter, og du skal have en væksttankegang, så du kan udforske flere måder at finde en løsning på et problem. Dette gælder stadig for cybersikkerhed. Du skal ofte tænke uden for boksen og tænke som en hacker for at opbygge dit organisatoriske forsvar.
hvad tror du, at folk, der overvejer en karriere inden for cybersikkerhed, bør vide?
du skal have en vækst tankegang. En karriere inden for Cybersikkerhed er ekstremt dynamisk. Ligesom teknologien fortsætter med at ændre sig i et hurtigt tempo, bliver forretningsrisikoen bredere og dybere, og du bliver nødt til at holde trit med teknologiske ændringer, der sker omkring dig. For eksempel ser vi med COVID-19, at traditionelle industrier som sundhedspleje har været nødt til hurtigt at udvikle sig for at imødekomme ændringer fra telemedicin til fjernadgang til og styring af medicinske klinikker og hospitalsoperationer, der indeholder meget følsomme personlige identificerbare oplysninger og beskyttede sundhedsoplysninger. Som cybersikkerhedspersonale skal du overveje virkningen af dette, fra forretningsperspektivet hele vejen igennem til risiciene hos medarbejdere, der arbejder hjemmefra. Det vigtigste, folk skal vide, er, at en karriere inden for Cybersikkerhed er ekstremt udfordrende, men samtidig meget givende, når du kommer til at arbejde på mange interessante projekter og ofte med nye teknologier for at hjælpe organisationer med at beskytte deres systemer.