Die Zertifizierung zum Certified Information Systems Security Professional (CISSP) gilt als Goldstandard in der Informationssicherheit. Dies liegt an all den Türen, die die Zertifizierung einem CISSP-Fachmann öffnet. Diese Türen führen zu vielen verschiedenen Arten von Positionen und Möglichkeiten, wodurch die Informationssicherheitsgemeinschaft dynamisch und vielfältig wird.
Zur Unterstützung dieser Vielfalt hat (ISC)2 eine Reihe von Interviews gestartet, um zu untersuchen, wohin die CISSP-Zertifizierung Sicherheitsexperten geführt hat. Das letzte Mal hörten wir von Mari Aoba und ihren Erfahrungen mit CISSP. Diese Rate verfügt über Jason Lau, CISO für Crypto.com und offizielles Mitglied und Mitwirkender im Forbes Technology Council. Er ist außerdem außerordentlicher Professor und Mitglied des Industry Advisory Board (Cybersecurity and Data privacy) an der HKBU School of Business.
Welchen Job machst du heute?
Ich bin derzeit Chief Information Security Officer (CISO) bei Crypto.com , wo ich die globale Cybersicherheits- und Datenschutzstrategie des Unternehmens vorantreibe. Nebenbei sitze ich in verschiedenen Industriebeiräten für Cybersicherheit und bin außerordentlicher Professor an einer der führenden Business Schools in Asien. Ich bin seit vielen Jahren in der Bildungsbranche tätig und gebe der Community oft etwas zurück, indem ich Cybersicherheits- / Datenschutzschulungen für große und kleine Organisationen durchführe. Ich tue dies, um das Ökosystem sowohl lokal als auch global zu fördern und zu verbessern.
Welche Probleme löst Ihr Unternehmen?
Crypto.com ist ein FinTech-Unternehmen mit der Mission, die globale Einführung von Kryptowährung zu beschleunigen. Eine Möglichkeit, wie unser Unternehmen zur Lösung dieses Problems beiträgt, besteht darin, den Zugriff auf Kryptowährung über unsere benutzerfreundliche Anwendung zu vereinfachen. Das Problem, das ich persönlich zu lösen versuche, ist, Vertrauen mit dem täglichen Kryptowährungsbenutzer in der Branche aufzubauen. Dies ist immer noch eine wachsende Branche, die sich jeden Tag weiterentwickelt. Dies ist besonders schwierig, da es viele Regionen gibt, in denen die Kryptowährung noch nicht reguliert ist. Aufgrund mangelnder Regulierung sehen wir, dass viele Unternehmen die Notwendigkeit von Cybersicherheit und Datenschutz vergessen oder sich nicht darauf konzentrieren. Mein Ziel ist es zu helfen Crypto.com werden Sie Branchenführer in diesem Bereich und weisen Sie den Weg. Ein Beispiel dafür ist, dass wir als erstes Kryptowährungsunternehmen nach ISO27001: 2013, PCI: DSS 3.2.1 und auch nach ISO27701: 2019 zertifiziert wurden, was unser Engagement für die kontinuierliche Verbesserung unserer Gesamtprozesse zeigt.
Warum haben Sie sich zum ersten Mal für Cybersecurity entschieden?
Zu dieser Zeit gab es keine Kurse, um mein Interesse an Cybersicherheit zu fördern, also trat ich einem Unternehmen bei, das sich auf Enterprise Systems Management und Monitoring konzentrierte, was es mir ermöglichte, um die Welt zu reisen und eng als Unternehmensberater für viele CTOs im Bereich der Sicherheit kritischer Infrastrukturen zusammenzuarbeiten. Ein Großteil der Sicherheit galt physischen Serversystemen, und im Laufe der Zeit entwickelte sie sich mehr zu digitaler Sicherheit und Cybersicherheit, wie wir sie heute kennen.
Wie war das Leben, als Sie Ihre Karriere im Bereich Cybersicherheit begonnen haben?
In der oben genannten Position lernte und erkannte ich bald, dass das, woran ich arbeitete, eine Schlüsselkomponente einer übergreifenden Cybersicherheitsstrategie war – die Reaktion und Erkennung von Vorfällen und die Überwachung ungewöhnlicher Aktivitäten in einer Netzwerkumgebung.
Das Leben war interessant wie in den Tagen vor Cloud Computing und als proaktive Überwachung und Alarmierung die erste Verteidigungslinie gegen potenzielle Probleme in Ihrem Netzwerk waren, Probleme, die auf böswillige Aktivitäten eines internen oder externen Angreifers zurückzuführen sein könnten.
Meine Arbeit umfasste fast alle Sektoren, die Sie sich auf fünf Kontinenten vorstellen können, und es gab mir die Möglichkeit zu sehen, wie verschiedene Branchen und Kulturen mit Sicherheit umgehen. Ich würde es nicht wirklich einen Umweg nennen, sondern eher eine Entwicklung meines Interesses an der IT, und ich musste mich an die sich verändernde Umgebung anpassen und mich weiterentwickeln, um tiefer in die Cybersicherheit einzusteigen.
Was war dein erster Cybersecurity-Job?
Meine ersten Erfahrungen mit „Hacking“ habe ich im Rahmen meines Elektrotechnik-Studiums an der Universität gemacht. Wir mussten mit integrierten Schaltungschips experimentieren und sie so programmieren, dass sie eine Vielzahl verschiedener Dinge tun. Es ist einfach so, dass es ungefähr zu dieser Zeit war, als die erste PlayStation veröffentlicht wurde. In meiner Freizeit recherchierte und „hackte“ ich die Bootsequenz der Maschine mit einem von mir programmierten „ModChip“ und konnte Spiele aus verschiedenen Regionen der Welt spielen.
Ich war damals einer der ersten mit diesen ModChips, und mein Freund und ich fingen an, anderen als Freiberufler zu helfen. Es war ziemlich aufregend und aufregend! Dies war meine erste Erfahrung mit Hacking und Reverse Engineering, die ich später feststellen würde, dass ein ähnlicher Ansatz in gewisser Weise in der Cybersicherheitswelt erforderlich war.
Was hat Sie zuerst dazu bewogen, eine Cybersecurity-Qualifikation zu erwerben?
Zu Beginn meiner Cybersicherheitskarriere wollte ich mich von der Masse abheben, und dies war die heißeste Zertifizierung in diesem Bereich.
Warum haben Sie sich für CISSP entschieden?
CISSP ist mehr als nur eine Zertifizierung. Es ist ein Beweis für Kollegen, dass Sie eine Leidenschaft haben, in diesem Bereich zu sein und ein breiteres Verständnis der Cybersicherheitsprobleme zu erlangen.
Was hat dich dazu bewogen?
Datenschutzverletzungen passierten die ganze Zeit (und sind es immer noch!), und dies veranlasste mich, meine Fähigkeiten in diesem Bereich weiterzuentwickeln.
Wie lange hat es gedauert, CISSP zu erreichen?
Ich würde sagen, dass der gesamte Prozess ungefähr 2-3 Monate gedauert hat. Es variiert für verschiedene Menschen, da es von der Erfahrung abhängt, die sie haben. Praktische, praktische Erfahrung würde definitiv helfen, die Konzepte zu verstehen, anstatt nur Bücher zu lesen.
Wie haben Sie sich auf die Prüfung vorbereitet?
Ich denke, 2-3 Jahre praktische Erfahrung sind ein guter Zeitpunkt, um über ein CISSP nachzudenken. Früher gab es einige (ISC) 2-Seminare, an denen Sie teilnehmen konnten, um mehr über die Zertifizierung und das Kernwissen zu erfahren, an dem Sie bewertet werden würden.
Welche Ressourcen haben Sie verwendet?
Ich habe den offiziellen (ISC)2-Text sowie die Fragen im Buch verwendet.
Was hat Sie an CISSP am meisten überrascht?
Ich war anfangs überrascht, dass es sich um eine 6-stündige Prüfung handelte. Dies hat sich nun zu einem computergestützten adaptiven Bewertungsprozess geändert, ein Format, das die Prüfungsdauer verkürzt hat. Aber damals, als ich es tat, war die 6-stündige Prüfung sowohl geistig als auch körperlich ein anstrengender Prozess. Rückblickend glaube ich, dass der Grund dafür darin liegt, dass Computer und die digitale Welt nicht so gut schlafen und Sicherheitsprobleme jederzeit auftreten können. Infolgedessen war das CISSP ein Ausdauertest, um sicherzustellen, dass Sie auf die reale Welt vorbereitet waren, in der Sie von einem ganzen Arbeitstag müde sein könnten, bis Sie plötzlich in Alarmbereitschaft versetzt werden, damit Sie Sicherheitsprobleme beheben können, die gerade aufgetreten sind.
Was waren die ersten Veränderungen, die Sie bemerkt haben, nachdem Sie CISSP geworden sind?
Die erste Veränderung, die ich bemerkte, war die erhöhte Anzahl von Personalvermittlern, die mich nach potenziellen Rollen suchten. Zu diesem Zeitpunkt wurde mir klar, dass die CISSP-Zertifizierung und Glaubwürdigkeit von (ISC) 2 in der Branche in der Tat anerkannt war.
Wie haben Sie Ihrer Meinung nach persönlich davon profitiert, CISSP zu werden?
Ich denke, zu Beginn Ihrer Karriere ist ein CISSP ein wichtiger Schritt, um Ihnen ein breites Verständnis der Cybersicherheit zu vermitteln. Auf diese Weise können Sie tiefer in andere Bereiche wie SDLC oder Anwendungsentwicklung, Stifttests, Compliance usw. einsteigen. Die CISSP gilt nach wie vor als der „Goldstandard“ in der Informationssicherheit auf der ganzen Welt, und es wird Kollegen und Mitarbeiter wissen lassen, dass Sie das grundlegende Wissen für Cyber verstehen. Ich habe schon früh in meiner Karriere davon profitiert, Zugang zu einem starken Netzwerk von Branchenfachleuten zu erhalten und an Branchenkonferenzen teilzunehmen, um mehr darüber zu erfahren, wie Kollegen mit Cybersicherheitsherausforderungen umgehen. Die (ISC) 2-Community und die lokalen Chapter bieten häufig ansprechende Präsentationen und Workshops, in denen Sie Ihre Fähigkeiten verbessern und Zugang zu globalen Webinaren sowie Online-Schulungsmaterial und -ressourcen erhalten können.
Welche Schritte haben Sie zu dem Job geführt, den Sie heute machen?
Da ich mich schon früh mit Cybersecurity beschäftigt habe und seit über 20 Jahren in diesem Bereich tätig bin, hatte ich den Vorteil, viele verschiedene Aspekte der Cybersecurity zu sehen. Nachdem ich für verschiedene Unternehmen gearbeitet hatte und viele Jahre als Managementberatung für Fortune 200-Unternehmen tätig war, interessierte ich mich für den schnell wachsenden FinTech / Blockchain-Bereich und sah mit der massiven Anzahl von Angriffen auf Kryptowährungsunternehmen die Möglichkeit, ein Team aufzubauen helfen Crypto.com . Es war eine herausfordernde Fahrt, und es erfordert kontinuierliches Engagement und Engagement für das Feld.
Auf welche Leistung oder welchen Beitrag sind Sie am stolzesten?
Ich habe zahlreiche Branchenpreise gewonnen, aber es war eine Teamleistung, ein Patent im Kryptowährungsraum zu erhalten. Da sich die Branche rasant entwickelte, waren die traditionellen Cloud-Anbieter nicht in der Lage, die Art und Weise zu unterstützen, wie wir einige unserer Schlüsselprozesse täglich auf sichere Weise mit den von uns verwendeten Kryptowährungstoken wie Bitcoin, Ethereum und anderen durchführen mussten. Das Team hat auf unterschiedliche Weise dazu beigetragen, die Patentanmeldung zu erhalten. Persönlich war es auch etwas, auf das ich stolz war, für meine Beiträge und Erfolge in der Cybersicherheit in den Forbes Technology Council eingeladen zu werden.
Was war die größte Herausforderung in Ihrer Karriere?
Selbstüberschätzung. Nachdem ich um die Welt gereist bin und einige der größten Unternehmen beraten habe, besteht das konsequente Problem darin, dass Organisationen immer noch oft eine überbewusste Einstellung haben, dass sie nicht gehackt wurden und sich daher weniger auf Ressourcen in der Cybersicherheit konzentrieren können. Das Top-Management und die Vorstände müssen verstehen, dass Cybersicherheitsrisiken Geschäftsrisiken sind und sich auf vielfältige Weise auf ein Unternehmen auswirken können. Es wird immer eine Herausforderung sein, die Denkweise der C-Level und des Vorstands zu ändern, aber mit dem wachsenden Trend zur digitalen Transformation müssen Cybersicherheit und Datenschutz zu den Grundpfeilern der Geschäftsstrategie jedes Unternehmens gehören.
Welche Ambitionen haben Sie für Ihre Karriere?
Mein Ziel ist es, einen Beitrag zum Ökosystem zu leisten, um mehr Bewusstsein für Cybersicherheit und Datenschutz für große und kleine Unternehmen zu schaffen. Ich habe dies bereits während meiner gesamten Karriere nebenbei gemacht, aber es kann noch mehr getan werden, und die Herausforderungen im Bereich der Cybersicherheit ändern sich im Laufe der Zeit weiter. Sicherheitsbewusstseinstraining wird immer etwas sein, mit dem ich mich für den Rest meiner Karriere beschäftigen werde.
Wie stellen Sie sicher, dass Ihre Fähigkeiten weiter wachsen?
Einfach. Stellen Sie weiterhin Leute ein (oder umgeben Sie mich mit Leuten), die schlauer sind als ich. Cybersicherheit ist eine einzigartige Branche, in der viele aus völlig unterschiedlichen Hintergründen stammen und interessante Reisen unternommen haben, um dorthin zu gelangen, wo sie heute sind. Ich habe diese Vielfalt in dem Team, das ich aufgebaut habe, das aus Menschen aus mehr als sieben Ländern besteht, angenommen. Alle haben ein CISSP und mehr, aber alle haben sehr unterschiedliche Sichtweisen auf dasselbe Problem. Dies ist nicht nur eine großartige Möglichkeit für mich, weiter zu wachsen, sondern es ermöglicht auch dem Team als Ganzes zu wachsen, und dies trägt dazu bei, eine starke Kultur des Wissens- und Erfahrungsaustauschs zu fördern.
Was ist Ihrer Meinung nach derzeit die größte Herausforderung für die Cybersicherheit?
Es gibt definitiv einen globalen Mangel an Cybersicherheit, und da sich die Einführung von Technologien und die digitale Transformation schneller beschleunigen als die Geschwindigkeit, mit der wir Cybersicherheitsexperten zur Verfügung stellen können, werden Unternehmen oft ein Aufholspiel spielen, wenn sie versuchen, Rollen zu besetzen. Wie bereits erwähnt, ist das allgemeine Selbstbewusstsein der Branche in Bezug auf Cybersicherheitsrisiken eine große Herausforderung, die überwunden werden muss. Schließlich würde ich auch sagen, dass sich maschinelles Lernen und KI in den nächsten Jahren weiterentwickeln werden, um KI-gestützte Bedrohungen wie Malware hervorzurufen. Dieser Trend wird in der Tat sehr beängstigend sein.
Welche Lösungen könnten Ihrer Meinung nach dazu beitragen?
Um das menschliche Element der Cybersicherheit anzugehen, sind weitere Schulungen zur Sensibilisierung der Benutzer erforderlich. Eine umfassende Cybersicherheitsstrategie sollte mehr als nur den Kauf von Tools umfassen. Mehr C-Level-Bewusstsein für Cybersicherheit ist erforderlich. Unternehmen müssen weiterhin in Talente investieren und mit neuen Technologien Schritt halten, die auch neue Geschäftsrisiken mit sich bringen können. Speziell für die obige Frage zu KI-basierten Bedrohungen müssen Unternehmen ihre eigene KI-Cybersicherheitsstrategie und -Tools wie User-Entity Behavior Analytics (UEBA) investieren und einführen, um Anomalien in der Netzwerkumgebung frühzeitig zu erkennen.
Wer inspiriert Sie in der Welt der Cybersicherheit?
Mein Vater war immer der inspirierendste Mensch für mich. Als jüngster einer Familie von fünf Geschwistern wuchs ich auf und beobachtete, lernte und folgte ihm, während alle anderen in der Schule waren. Mir, Er konnte alles tun und hatte immer eine Möglichkeit, „Dinge zu reparieren.“ Papa war in alles. Ingenieurwesen, traditionelle Medizin, Mechanik, Hydrokultur, Elektronik, Mathematik, Landwirtschaft, Kochen und mehr!
Die Lektion für mich hier war, dass man sich nicht nur auf ein Feld konzentrieren sollte. Sie können viel aus verschiedenen Bereichen lernen, und Sie sollten eine Wachstumsmentalität haben, damit Sie mehrere Möglichkeiten erkunden können, um eine Lösung für ein Problem zu finden. Dies gilt auch für die Cybersicherheit. Sie müssen oft über den Tellerrand hinausschauen und wie ein Hacker denken, um Ihre organisatorische Verteidigung aufzubauen.
Was sollten Menschen, die eine Karriere in der Cybersicherheit in Betracht ziehen, Ihrer Meinung nach wissen?
Sie müssen eine Wachstumseinstellung haben. Eine Karriere in der Cybersicherheit ist extrem dynamisch. So wie sich die Technologie weiterhin rasant verändert, werden die Geschäftsrisiken immer breiter und tiefer, und Sie müssen mit den technologischen Veränderungen Schritt halten, die um Sie herum stattfinden. Mit COVID-19 sehen wir beispielsweise, dass sich traditionelle Branchen wie das Gesundheitswesen schnell weiterentwickeln mussten, um den Veränderungen von der Telemedizin zum Fernzugriff auf und zur Verwaltung von medizinischen Kliniken und Krankenhausbetrieben, die hochsensible personenbezogene Daten und geschützte Gesundheitsinformationen enthalten, gerecht zu werden. Als Cybersicherheitsexperten müssen Sie die Auswirkungen von der Geschäftsperspektive bis hin zu den Risiken bei Mitarbeitern, die von zu Hause aus arbeiten, berücksichtigen. Das Wichtigste, was die Leute wissen sollten, ist, dass eine Karriere in der Cybersicherheit extrem herausfordernd, aber gleichzeitig sehr lohnend ist, da Sie an vielen interessanten Projekten und oft mit neuen Technologien arbeiten können, um Organisationen beim Schutz ihrer Systeme zu helfen.