the Certified Information Systems Security Professional (CISSP) certification is considered to be the gold standard in information security. Tämä on niin, koska kaikki ovet, että sertifiointi avautuu CISSP ammattilainen. Nämä ovet johtavat monenlaisiin tehtäviin ja mahdollisuuksiin, mikä tekee tietoturvayhteisöstä dynaamisen ja monipuolisen.
tämän monimuotoisuuden tukemiseksi (ISC) 2 on käynnistänyt sarjan haastatteluja tutkimaan, missä CISSP sertifiointi on johtanut tietoturva-ammattilaisia. Viimeksi kuulimme Mari Aobasta ja hänen kokemuksistaan CISSP: n kanssa. Tämä erä on Jason Lau, CISO varten Crypto.com ja Forbesin teknologianeuvoston virallinen jäsen ja avustaja. Hän on myös dosentti ja teollisuuden neuvottelukunnan jäsen (kyberturvallisuus ja tietosuoja) HKBU: n kauppakorkeakoulussa.
mitä työtä teet tänään?
olen tällä hetkellä Chief Information Security Officer (CISO) at Crypto.com, jossa ajan yhtiön globaalia kyberturvallisuus-ja tietosuojastrategiaa. Lisäksi istun erilaisissa teollisuuden neuvoa-antavissa lautakunnissa kyberturvallisuuden alalla sekä toimin dosenttina yhdessä Aasian johtavista kauppakorkeakouluista. Olen ollut koulutusalalla jo monta vuotta, ja annan usein takaisin yhteisölle suorittamalla kyberturvallisuus / yksityisyyskoulutusta sekä suurille että pienille organisaatioille. Teen tämän edistääkseni ja parantaakseni ekosysteemiä sekä paikallisesti että maailmanlaajuisesti.
mitä ongelmia yrityksesi ratkaisee?
Crypto.com on FinTech-yritys, jonka tehtävänä on nopeuttaa kryptovaluuttojen maailmanlaajuista käyttöönottoa. Yksi tapa, jolla yrityksemme auttaa ratkaisemaan tämän ongelman, on tehdä kryptovaluutan käyttö helpoksi käyttäjäystävällisen sovelluksemme kautta. Ongelma, jota itse yritän ratkaista, on auttaa rakentamaan luottamusta alan arkiseen kryptovaluutan käyttäjään. Tämä on yhä kasvava ala, joka kehittyy edelleen joka päivä. Tämä on erityisen haastavaa, koska on monia alueita, joilla kryptovaluutta on vielä sääntelemätön. Sääntelyn puutteessa monet yritykset unohtavat kyberturvallisuuden ja tietosuojan tarpeen tai eivät keskity niihin. Tavoitteeni on auttaa Crypto.com ryhdy alan johtajaksi ja näytä tietä. Esimerkki tästä on, että olimme ensimmäinen kryptovaluutta yritys on ISO27001:2013, PCI:DSS 3.2.1 ja myös ISO27701:2019 sertifioitu, osoittaa sitoutumisemme jatkuvasti parantaa yleistä prosesseja.
Miksi päätit ensin ryhtyä kyberturvallisuuteen?
siihen aikaan ei ollut kursseja, jotka lisäisivät kiinnostustani kyberturvallisuuteen, joten liityin yritysjärjestelmien hallintaan ja seurantaan keskittyvään yritykseen, jonka ansiosta saatoin matkustaa ympäri maailmaa ja työskennellä tiiviisti liikkeenjohdon konsulttina monille TEKNOLOGIAJOHTAJILLE kriittisen infrastruktuurin turvallisuuden parissa. Suuri osa tietoturvasta oli fyysisille palvelinjärjestelmille, ja ajan myötä se kehittyi yhä enemmän digitaaliseksi tietoturvaksi ja kyberturvallisuudeksi sellaisena kuin me sen nykyään tunnemme.
millaista elämä oli, kun aloitit urasi kyberturvallisuuden parissa?
edellä mainitussa tehtävässä Opin ja tajusin pian, että työni oli keskeinen osa yleistä kyberturvallisuusstrategiaa – joka oli tapahtumien reagointi ja havaitseminen sekä epätavallisten toimintojen seuranta verkkoympäristössä.
elämä oli mielenkiintoista, koska se oli päivää ennen pilvilaskentaa ja kun ennakoiva seuranta ja hälytys oli ensimmäinen puolustuslinja mahdollisia ongelmia verkossa, kysymyksiä, jotka olisivat voineet johtua vihamielisiä toimia sisäisen tai ulkoisen hyökkääjän.
työni kattoi lähes kaikki kuviteltavissa olevat alat viidellä mantereella, ja se antoi minulle mahdollisuuden nähdä, miten eri toimialat ja eri kulttuurit suhtautuvat turvallisuuteen. En oikeastaan kutsuisi sitä kiertotieksi, vaan enemmänkin kiinnostukseni evoluutioksi sitä kohtaan, ja minun piti sopeutua muuttuvaan ympäristöön ja osaamiseen mennäkseni syvemmälle kyberturvallisuuteen.
mikä oli ensimmäinen kyberturvallisuustyösi?
sain ensimmäisen kokemukseni ”hakkeroinnista” osana sähkötekniikan tutkintoani yliopistossa. Meidän piti kokeilla mikropiirisiruja ja ohjelmoida ne tekemään erilaisia asioita. Se vain niin sattuu se oli niihin aikoihin, kun ensimmäinen PlayStation julkaistiin. Vapaa-ajallani tutkin ja ”hakkeroin” koneen käynnistysjärjestyksen ohjelmoimallani ”Modchipillä”, ja pystyin pelaamaan pelejä eri alueilta ympäri maailmaa.
Olin yksi ensimmäisistä näiden Modchipsien kanssa silloin, ja rupesin ystäväni kanssa auttamaan muita freelance-työnä. Se oli aika sykähdyttävää ja jännittävää! Tämä oli ensimmäinen kokemukseni hakkeroinnista ja reverse Engineeringistä, jonka huomaisin myöhemmin, että vastaavaa lähestymistapaa tarvittiin jollain tavalla kyberturvallisuusmaailmassa.
mikä sai sinut ensimmäisenä harkitsemaan kyberturvallisuustutkinnon hankkimista?
kyberturvallisuusurani alussa halusin erottua joukosta, ja tämä oli kuumin sertifiointi tässä tilassa.
Miksi päätit ryhtyä CISSP: hen?
CISSP on enemmän kuin pelkkä sertifiointi. Se on osoitus vertaisille siitä, että sinulla on intohimo olla tällä alalla ja saada laajempi käsitys kyberturvallisuusasioista.
mikä sai sinut tekemään niin?
tietomurtoja tapahtui koko ajan(ja tapahtuu edelleen!), ja tämä sai minut kehittämään edelleen alan taitojani.
kuinka kauan kesti saavuttaa CISSP?
sanoisin, että koko prosessi kesti noin 2-3 kuukautta. Se vaihtelee eri ihmisillä, koska se riippuu heidän kokemuksestaan. Käytännöllinen, käytännön kokemus auttaisi ehdottomasti käsitteiden ymmärtämisessä eikä vain puhtaasti kirjojen lukemisessa.
miten valmistauduit tenttiin?
mielestäni 2-3 vuoden käytännön kokemus on hyvä aika alkaa miettiä CISSP: n tekemistä. Back in the day, oli joitakin (ISC)2 seminaareja, että voit osallistua oppia lisää sertifiointi ja ydinosa tietoa, että sinua arvioitaisiin.
mitä resursseja käytit?
käytin virallista (ISC)2-tekstiä sekä kirjan sisällä olevia kysymyksiä.
mikä CISSP: ssä yllätti eniten?
olin aluksi yllättynyt, että kyseessä oli kuuden tunnin tentti. Tämä on nyt muuttunut tietokonepohjaiseksi adaptiiviseksi arviointiprosessiksi, formaattiin, joka on lyhentänyt tentin kestoa. Mutta kun aikoinaan tein sen, 6 tunnin tentti oli raastava prosessi sekä henkisesti että fyysisesti. Jälkikäteen ajateltuna uskon, että syynä tähän on se, että tietokoneet ja Digimaailma eivät nuku yhtä hyvin kuin että tietoturvaongelmia voi tapahtua milloin tahansa. Tämän seurauksena CISSP oli testi kestävyyttä varmista, että olit valmis todelliseen maailmaan, jossa saatat olla väsynyt koko päivän työtä, kunnes olet yhtäkkiä jolted osaksi hälytystila, jotta voit käsitellä turvallisuuskysymyksiä, jotka ovat juuri tullut esiin.
mitkä olivat ensimmäiset muutokset, jotka huomasit tultuasi CISSP: ksi?
ensimmäinen muutos, jonka huomasin, oli lisääntynyt määrä rekrytoijia, jotka tavoittelivat minua mahdollisiin rooleihin. Tässä vaiheessa tajusin, että CISSP sertifiointi ja uskottavuus (ISC) 2 oli todellakin hyvin tunnustettu alalla.
miten luulet hyötyneesi henkilökohtaisesti CISSP: hen ryhtymisestä?
mielestäni urasi alkuvaiheessa CISSP on tärkeä askel, joka auttaa sinua saamaan laajan ymmärryksen kyberturvallisuudesta. Näin voit sitten mennä syvemmälle muille alueille sanoa SDLC tai sovelluskehitys, kynä testaus, noudattaminen, jne. CISSP pidetään edelleen ”kultakanta” tietoturvan ympäri maailmaa, ja se mahdollistaa ikäisensä ja työntekijät tietävät, että ymmärrät perustietoa kyberturvallisuuden. Hyödyin jo varhain urallani pääsemällä vahvaan alan ammattilaisten verkostoon sekä osallistumalla alan konferensseihin oppiakseni lisää siitä, miten vertaiset käsittelevät kyberturvallisuuden haasteita. (ISC)2 yhteisö-ja paikallisissa luvuissa on usein mukaansatempaavia esityksiä ja työpajoja, joissa voit hioa taitojasi ja päästä käsiksi maailmanlaajuisiin webinaareihin ja online-koulutusmateriaaleihin ja resursseihin.
mitkä vaiheet toivat sinut siihen työhön, jota teet nykyään?
ollessani jo varhain mukana kyberturvallisuudessa ja tällä alalla yli 20 vuoden ajan olen saanut nähdä monia eri puolia kyberturvallisuudesta. Työskenneltyäni useissa eri yrityksissä ja oltuani liikkeenjohdon konsultointi monta vuotta Fortune 200-yrityksille, kiinnostuin nopeasti kasvavasta Fintech / Blockchain-tilasta, ja kryptovaluuttayrityksiin kohdistuneiden hyökkäysten massiivisen määrän myötä näin mahdollisuuden rakentaa tiimi auttamaan Crypto.com matka on ollut haastava, ja se vaatii jatkuvaa sitoutumista ja omistautumista kentälle.
mistä saavutuksesta tai panoksesta olet kaikkein ylpein?
olen voittanut lukuisia alan palkintoja, mutta se oli joukkueen saavutus saada patentti kryptovaluutan avaruuteen. Koska teollisuus oli nopeasti kehittymässä, perinteiset pilvipalvelujen tarjoajat eivät pystyneet tukemaan tapoja, joilla meidän piti suorittaa joitakin keskeisiä prosessejamme päivittäin turvallisella tavalla kryptovaluuttojen rahakkeilla, joita käytimme, kuten Bitcoin, Ethereum ja muut. Tiimi osallistui eri tavoin, jotka kaikki auttoivat meitä saamaan patenttirekisteröinnin. Henkilökohtaisesti, on kutsuttu Forbes Technology Council minun panokseni ja saavutuksia kyberturvallisuuden on ollut jotain olen ollut ylpeä, samoin.
mikä on suurin haaste, jonka olet urallasi kohdannut?
Ylikunto. Matkustettuaan ympäri maailmaa ja konsultoimalla joitakin suurimmista yrityksistä, johdonmukainen kysymys on, miten organisaatiot ovat edelleen usein liian luottavainen ajattelutapa, että ne eivät ole hakkeroitu ja siten voi laittaa vähemmän keskittyä resursseja kyberturvallisuuden. Ylimmän johdon ja hallitusten on ymmärrettävä, että kyberturvallisuusriskit ovat liiketoimintariskejä ja voivat vaikuttaa liiketoimintaan monin tavoin. C-tasojen ja hallituksen ajattelutavan muuttaminen tulee aina olemaan haastavaa, mutta digitaalisen murroksen myötä kyberturvallisuuden ja tietosuojan on oltava jokaisen organisaation liiketoimintastrategian peruspilareita.
mitä tavoitteita sinulla on urasi edessä?
tavoitteeni on osallistua takaisin ekosysteemiin kyberturvallisuuden ja tietosuojatietoisuuden lisäämiseksi suurille ja pienille yrityksille. Olen tehnyt tätä sivussa jo koko urani ajan, mutta enemmänkin on tehtävissä, ja kyberturvallisuushaasteet muuttuvat ajan myötä. Turvallisuustietoisuuskoulutus tulee aina olemaan asia, jonka parissa tulen olemaan mukana koko loppu-urani ajan.
Miten varmistat, että taitosi jatkavat kasvuaan?
yksinkertainen. Pitää palkata ihmisiä (tai ympäröi itseni ihmisiä), jotka ovat älykkäämpiä kuin minä. Kyberturvallisuus on ainutlaatuinen ala, jossa monet ovat tulleet täysin erilaisista taustoista ja johtaneet mielenkiintoisia matkoja päästäkseen siihen, missä he ovat tänä päivänä. Olen omaksunut tämän moninaisuuden rakentamassani tiimissä, johon kuuluu ihmisiä yli seitsemästä maasta. Kaikki ne ovat CISSP ja enemmän, mutta kaikki ovat hyvin erilaisia tapoja tarkastella samaa ongelmaa. Tämä ei ole vain minulle hyvä tapa jatkaa kasvuaan, vaan se mahdollistaa myös koko tiimin kasvun, ja tämä auttaa vaalimaan vahvaa tiedon ja kokemusten jakamisen kulttuuria.
mikä on mielestäsi suurin haaste kyberturvallisuudelle juuri nyt?
maailmanlaajuisesta kyberturvallisuudesta on varmasti pulaa, ja koska teknologian omaksuminen ja digitaalinen murros kiihtyvät nopeammin kuin kyberturvallisuuden ammattilaiset, organisaatiot pelaavat usein kiinniottopeliä yrittäessään täyttää tehtäviä. Kuten edellä mainittiin, alan yleinen liiallinen luottamus kyberturvallisuusriskeihin on suuri haaste, joka on voitettava. Lopuksi sanoisin myös, että koneoppiminen ja tekoäly kehittyvät seuraavien vuosien aikana synnyttämään tekoälyllä toimivia uhkia, kuten haittaohjelmia. Tämä suuntaus on todella pelottava.
millä ratkaisuilla tähän voitaisiin mielestäsi puuttua?
tarvitaan lisää käyttäjätietoisuuskoulutusta kyberturvallisuuden inhimilliseen elementtiin puuttumiseksi. Kyberturvallisuusstrategian pitäisi kattaa muutakin kuin työkalujen ostaminen. Tarvitaan lisää C-tason tietoisuutta kyberturvallisuudesta. Yritysten on edelleen investoitava lahjakkuuksiin ja pysyttävä ajan tasalla uusista teknologioista, jotka voivat tuoda mukanaan myös uusia liiketoimintariskejä. Erityisesti edellä mainitun tekoälyä hyödyntäviä uhkia koskevan kysymyksen osalta yritysten on investoitava ja otettava käyttöön oma tekoälyn kyberturvallisuusstrategiansa ja-työkalunsa, kuten User-Entity Bevavior Analytics (UEBA), jotta verkkoympäristössä havaitut poikkeamat voidaan havaita varhaisessa vaiheessa.
kuka inspiroi sinua kyberturvallisuuden maailmassa?
isäni on aina ollut minulle inspiroivin ihminen. Viiden sisaruksen perheen nuorimpana kasvoin häntä katsellen, oppien ja seuraten, kun kaikki muut olivat koulussa. Minulle hän pystyi tekemään kaiken ja hänellä oli aina jokin tapa ” korjata asiat.”Isä oli kiinnostunut kaikesta. Tekniikka, perinteinen lääketiede, mekaniikka, vesiviljely, Elektroniikka, matematiikka, maanviljely, ruoanlaitto ja paljon muuta!
opetus minulle tässä oli, että ei pidä keskittyä vain yhteen alaan. Voit oppia paljon eri aloilta, ja sinulla pitäisi olla kasvuajattelu, jotta voit tutkia useita tapoja löytää ratkaisu ongelmaan. Tämä pätee edelleen kyberturvallisuuteen. Organisaatiopuolustuksen rakentamiseksi on usein ajateltava laatikon ulkopuolelta ja ajateltava kuin hakkeri.
mitä sinun mielestäsi kyberturvallisuusuraa harkitsevien pitäisi tietää?
tarvitaan kasvuajattelua. Ura kyberturvallisuuden parissa on erittäin dynaaminen. Aivan kuten teknologia muuttuu nopeasti, liiketoiminnan riskit laajenevat ja syvenevät, ja sinun täytyy pysyä teknologisia muutoksia, jotka tapahtuvat ympärilläsi. Esimerkiksi COVID-19: n myötä näemme, että perinteisten teollisuudenalojen, kuten terveydenhuollon, on täytynyt nopeasti kehittyä vastaamaan muutoksiin etälääketieteellisestä etäyhteydellä pääsyyn ja hallintaan lääketieteellisiin klinikoihin ja sairaalatoimintoihin, jotka sisältävät erittäin arkaluonteisia henkilökohtaisia tunnistettavia tietoja ja suojattuja terveystietoja. Kyberturvallisuuden ammattilaisina sinun on pohdittava tämän vaikutuksia liiketoiminnan näkökulmasta aina riskeihin, jotka liittyvät kotoa käsin työskenteleviin työntekijöihin. Avainasia ihmisten tulisi tietää, että ura kyberturvallisuuden parissa on erittäin haastava, mutta samalla erittäin palkitseva, kun pääset työskentelemään monien mielenkiintoisten projektien parissa ja usein kehittyvien teknologioiden avulla, jotka auttavat organisaatioita turvaamaan järjestelmänsä.