La certificación Certified Information Systems Security Professional (CISSP) se considera el estándar de oro en seguridad de la información. Esto es así debido a todas las puertas que la certificación se abre a un profesional CISSP. Esas puertas conducen a muchos tipos diferentes de puestos y oportunidades, lo que hace que la comunidad de seguridad de la información sea dinámica y multifacética.
En apoyo de esta diversidad, (ISC)2 ha lanzado una serie de entrevistas para explorar dónde la certificación CISSP ha llevado a los profesionales de la seguridad. La última vez que escuchamos de Mari Aoba y sus experiencias con CISSP. Esta entrega presenta a Jason Lau, CISO de Crypto.com y miembro oficial y colaborador del Consejo Tecnológico de Forbes. También es profesor adjunto y miembro del consejo asesor de la industria (ciberseguridad y privacidad de datos) en la Escuela de Negocios de HKBU.
¿Qué trabajo haces hoy?
Actualmente soy el Director de Seguridad de la Información (CISO) en Crypto.com, donde dirijo la estrategia global de ciberseguridad y privacidad de datos de la compañía. Por otro lado, formo parte de varios consejos asesores de la industria sobre ciberseguridad, además de servir como profesor adjunto en una de las principales escuelas de negocios de Asia. He estado en la industria de la educación durante muchos años, y a menudo retribuyo a la comunidad mediante la realización de capacitación en ciberseguridad/privacidad para organizaciones grandes y pequeñas. Hago esto para ayudar a promover y mejorar el ecosistema tanto a nivel local como global.
¿Qué problemas resuelve su empresa?
Crypto.com es una empresa FinTech con la misión de acelerar la adopción global de criptomonedas. Una forma en que nuestra empresa ayuda a resolver este problema es haciendo que sea fácil acceder a la criptomoneda a través de nuestra aplicación fácil de usar. El problema que personalmente estoy tratando de resolver es ayudar a construir confianza con el usuario cotidiano de criptomonedas en la industria. Esta es todavía una industria en crecimiento que sigue evolucionando cada día. Esto es especialmente desafiante porque hay muchas regiones donde la criptomoneda aún no está regulada. Con una falta de regulación, vemos que muchas empresas olvidan la necesidad de ciberseguridad y privacidad de datos o carecen de atención en ellos. Mi objetivo es ayudar Crypto.com conviértase en un líder de la industria en este campo y lidere el camino. Un ejemplo de esto es que fuimos la primera empresa de criptomonedas en obtener la certificación ISO27001:2013, PCI:DSS 3.2.1 y también ISO27701:2019, lo que demuestra nuestro compromiso de mejorar continuamente nuestros procesos generales.
¿Por qué primero decidió entrar en la ciberseguridad?
En ese momento no había cursos para fomentar mi interés en la ciberseguridad, por lo que me uní a una empresa centrada en la gestión y supervisión de sistemas empresariales, lo que me permitió viajar por todo el mundo y trabajar estrechamente como consultor de gestión para muchos CTO en seguridad de infraestructuras críticas. Gran parte de la seguridad era para sistemas de servidores físicos, y con el tiempo, evolucionó más hacia la seguridad digital y la ciberseguridad tal como la conocemos hoy en día.
¿Cómo era la vida cuando comenzaste tu carrera en ciberseguridad?
En la posición que mencioné anteriormente, pronto aprendí y me di cuenta de que en lo que estaba trabajando era un componente clave de una estrategia general de ciberseguridad, que era la respuesta y detección de incidentes y el monitoreo de actividades inusuales en un entorno de red.
La vida era interesante, ya que lo era los días antes de la computación en la nube y cuando la supervisión proactiva y las alertas eran la primera línea de defensa contra posibles problemas en su red, problemas que podrían haber sido el resultado de actividades maliciosas de un atacante interno o externo.
Mi trabajo cubrió casi todos los sectores que puedas imaginar en los cinco continentes, y me permitió la oportunidad de ver cómo diferentes industrias y diferentes culturas abordan la seguridad. En realidad, no lo llamaría un desvío, sino más bien una evolución de mi interés en ÉL, y tuve que adaptarme al entorno cambiante y mejorar mis habilidades para profundizar en la ciberseguridad.
¿Cuál fue tu primer trabajo de ciberseguridad?
Tuve mi primera experiencia con «hacking» como parte de mi título de ingeniería eléctrica en la universidad. Tuvimos que experimentar con chips de circuitos integrados y programarlos para hacer una variedad de cosas diferentes. Da la casualidad de que fue en esa época cuando se lanzó la primera PlayStation. En mi tiempo libre, investigué y» hackeé «la secuencia de arranque de la máquina con un» ModChip » que programé, y pude jugar juegos de diferentes regiones del mundo.
Fui uno de los primeros con estos ModChips en ese momento, y mi amigo y yo comenzamos a ayudar a otros como trabajo independiente. Fue bastante emocionante y excitante! Esta fue mi primera experiencia con el hacking y la ingeniería inversa, que más tarde descubriría que se necesitaba un enfoque similar de alguna manera en el mundo de la ciberseguridad.
¿Qué fue lo que primero lo atrajo a considerar obtener una calificación de ciberseguridad?
Al principio de mi carrera en ciberseguridad, quería destacar entre la multitud, y esta fue la certificación más popular en este espacio.
¿Por qué decidió emprender CISSP?
CISSP es más que una certificación. Es una prueba para sus compañeros de que tiene una pasión por estar en este campo y obtener una comprensión más amplia de los problemas de ciberseguridad.
¿Qué te llevó a hacer eso?
Las violaciones de datos estaban ocurriendo todo el tiempo (¡y todavía lo están!), y esto me impulsó a desarrollar aún más mis habilidades en el campo.
¿Cuánto tiempo se tardó en lograr CISSP?
Diría que todo el proceso me llevó alrededor de 2-3 meses. Varía para diferentes personas, ya que depende de la experiencia que tengan. La experiencia práctica y práctica definitivamente ayudaría a comprender los conceptos en lugar de solo leer libros puramente.
¿Cómo se preparó para el examen?
Creo que 2-3 años de experiencia práctica es un buen momento para comenzar a pensar en hacer un CISSP. En su día, había algunos seminarios (ISC)2 a los que podía asistir para obtener más información sobre la certificación y el cuerpo central de conocimientos sobre los que se evaluaría.
¿Qué recursos utilizó?
Utilicé el texto oficial (ISC) 2, así como las preguntas dentro del libro.
¿Qué es lo que más te sorprendió de CISSP?
Inicialmente me sorprendió que fuera un examen de 6 horas. Esto ha cambiado ahora a un proceso de evaluación adaptativa basado en computadora, un formato que ha reducido la duración del examen. Pero en el día en que lo hice, el examen de 6 horas fue un proceso agotador tanto mental como físicamente. Mirando hacia atrás, creo que la razón de esto es que las computadoras y el mundo digital no duermen tan bien como que los problemas de seguridad pueden ocurrir en cualquier momento. Como resultado, el CISSP fue una prueba de resistencia para asegurarse de que estuviera preparado para el mundo real donde podría estar cansado de un día completo de trabajo hasta que de repente se encuentre en un estado de alerta para que pueda abordar los problemas de seguridad que acaban de surgir.
¿Cuáles fueron los primeros cambios que notó después de convertirse en CISSP?
El primer cambio que noté fue el aumento del número de reclutadores que se acercaban a mí para puestos potenciales. En esa etapa, me di cuenta de que la certificación CISSP y la credibilidad de (ISC)2 era de hecho bien reconocida en la industria.
¿Cómo crees que te has beneficiado personalmente de convertirte en CISSP?
Creo que al principio de su carrera, un CISSP es un paso importante para ayudarlo a obtener una amplia comprensión de la ciberseguridad. De esta manera, puede profundizar en otras áreas, por ejemplo, SDLC o desarrollo de aplicaciones, pruebas de lápiz, cumplimiento, etc. El CISSP todavía se considera el «estándar de oro» en seguridad de la información en todo el mundo, y permitirá que sus compañeros y empleados sepan que comprende el conocimiento fundamental para la ciberseguridad. Me beneficié al principio de mi carrera al obtener acceso a una sólida red de profesionales de la industria, así como al asistir a conferencias de la industria para aprender más sobre cómo los compañeros están lidiando con los desafíos de ciberseguridad. Los capítulos comunitarios y locales de (ISC)2 a menudo tienen presentaciones y talleres atractivos donde puede perfeccionar sus habilidades y obtener acceso a seminarios web globales y material y recursos de capacitación en línea.
¿Qué pasos te llevaron al trabajo que haces hoy?
Al estar involucrado desde el principio en la ciberseguridad y en este campo durante más de 20 años, he tenido el beneficio de ver muchos aspectos diferentes de la ciberseguridad. Después de trabajar para varias empresas diferentes y de ser consultor de gestión durante muchos años para empresas de Fortune 200, me interesé en el creciente espacio de FinTech / Blockchain , y con el gran número de ataques a empresas de criptomonedas, vi la oportunidad de construir un equipo para ayudar Crypto.com Ha sido un viaje desafiante, y requiere un compromiso y dedicación continuos al campo.
¿De qué logro o contribución estás más orgulloso?
He ganado numerosos premios de la industria, pero fue un logro del equipo obtener una patente en el espacio de la criptomoneda. A medida que la industria evolucionaba rápidamente, los proveedores de nube tradicionales no pudieron soportar las formas en que necesitábamos realizar algunos de nuestros procesos clave en el día a día de una manera segura con los tokens de criptomonedas que estábamos utilizando, como Bitcoin, Ethereum y otros. El equipo contribuyó de diferentes maneras, todo lo cual nos ayudó a obtener el registro de la patente. Individualmente, haber sido invitado al Consejo Tecnológico de Forbes por mis contribuciones y logros en ciberseguridad también ha sido algo de lo que me he sentido orgulloso.
¿Cuál es el mayor desafío que has enfrentado en tu carrera?
Exceso de confianza. Después de viajar por el mundo y consultar a algunas de las empresas más grandes, el problema constante es cómo las organizaciones a menudo tienen una mentalidad de exceso de confianza de que no han sido hackeadas y, por lo tanto, pueden centrarse menos en los recursos en ciberseguridad. La alta dirección y los consejos de administración deben comprender que los riesgos de ciberseguridad son riesgos empresariales y pueden afectar a una empresa de muchas maneras. Siempre será un desafío cambiar la mentalidad de los niveles C y la junta directiva, pero con la creciente tendencia hacia la transformación digital, la ciberseguridad y la privacidad de los datos deben ser pilares fundamentales para la estrategia empresarial de cualquier organización.
¿Qué ambiciones tiene para su carrera futura?
Mi ambición es contribuir de nuevo al ecosistema para crear más conciencia de ciberseguridad y privacidad de datos para empresas grandes y pequeñas. Ya he estado haciendo esto a lo largo de mi carrera, pero se puede hacer más, y los desafíos de la ciberseguridad continúan cambiando con el tiempo. La capacitación en conciencia de seguridad siempre será algo en lo que estaré involucrado durante el resto de mi carrera.
¿Cómo te aseguras de que tus habilidades sigan creciendo?
Simple. Sigue contratando personas (o rodeándome de personas) que sean más inteligentes que yo. La ciberseguridad es una industria única en la que muchos han venido de orígenes completamente diferentes y han llevado viajes interesantes para llegar a donde están hoy. He abrazado esta diversidad en el equipo que he construido, que consta de personas de más de siete países. Todos ellos tienen un CISSP y más, pero todos tienen formas muy diferentes de ver el mismo problema. Esta no es solo una gran manera para mí de seguir creciendo, sino que también permite que el equipo en su conjunto crezca, y esto ayuda a fomentar una fuerte cultura de intercambio de conocimientos y experiencias.
¿Cuál crees que es el mayor desafío para la ciberseguridad en este momento?
Definitivamente hay una escasez de ciberseguridad global, y debido a que la adopción de tecnología y la transformación digital se están acelerando más rápido que la velocidad a la que podemos suministrar profesionales de ciberseguridad, las organizaciones a menudo estarán jugando un juego de ponerse al día al tratar de ocupar puestos. Como se mencionó anteriormente, el exceso de confianza general en la industria en torno a los riesgos de ciberseguridad es un gran desafío que debe superarse. Finalmente, también diría que el aprendizaje automático y la IA evolucionarán en los próximos años para dar lugar a amenazas impulsadas por IA como el malware. Esta tendencia será realmente aterradora.
¿Qué soluciones cree que podrían abordar esto?
Se necesita más formación de sensibilización de los usuarios para abordar el elemento humano de la ciberseguridad. Una estrategia global de ciberseguridad debe abarcar más que solo comprar herramientas. Se necesita una mayor conciencia de ciberseguridad a nivel C. Las empresas deben seguir invirtiendo en talento y mantenerse al tanto de las nuevas tecnologías que también pueden introducir nuevos riesgos empresariales. Específicamente a la pregunta anterior sobre las amenazas impulsadas por IA, las empresas deberán invertir y adoptar su propia estrategia de ciberseguridad de IA y herramientas, como el análisis Bevavior de Entidades de usuario (UEBA), para ayudar a la detección temprana de anomalías en el entorno de red.
¿Quién te inspira en el mundo de la ciberseguridad?
Mi padre siempre ha sido la persona más inspiradora para mí. Como la más joven de una familia de cinco hermanos, crecí observándolo, aprendiendo y siguiéndolo mientras todos los demás estaban en la escuela. Para mí, él podía hacer todo y siempre tenía alguna manera de «arreglar las cosas».»Papá estaba metido en todo. Ingeniería, medicina tradicional, mecánica, hidroponía, electrónica, matemáticas, agricultura, cocina y mucho más.
La lección para mí aquí fue que no debes concentrarte en un solo campo. Puede aprender mucho de diferentes campos, y debe tener una mentalidad de crecimiento para poder explorar múltiples formas de encontrar una solución a un problema. Esto sigue siendo cierto para la ciberseguridad. A menudo necesitas pensar fuera de la caja y pensar como un hacker para construir tu defensa organizacional.
¿Qué crees que deberían saber las personas que están considerando una carrera en ciberseguridad?
Necesitas tener una mentalidad de crecimiento. Una carrera en ciberseguridad es extremadamente dinámica. Al mismo tiempo que la tecnología continúa cambiando a un ritmo acelerado, los riesgos de negocio se amplían y profundizan, y deberá mantenerse al día con los cambios tecnológicos que están sucediendo a su alrededor. Por ejemplo, con la COVID-19, estamos viendo que las industrias tradicionales, como la atención médica, han tenido que evolucionar rápidamente para adaptarse a los cambios de la telemedicina al acceso remoto y la gestión de clínicas médicas y operaciones hospitalarias que contienen información de identificación personal altamente sensible e información de salud protegida. Como profesionales de la ciberseguridad, tendrá que considerar el impacto de esto, desde la perspectiva empresarial hasta los riesgos con los empleados que trabajan desde casa. La clave que las personas deben saber es que una carrera en ciberseguridad es extremadamente desafiante pero al mismo tiempo muy gratificante, ya que puedes trabajar en muchos proyectos interesantes y, a menudo, con tecnologías emergentes para ayudar a las organizaciones a proteger sus sistemas.