A Certified Information Systems Security Professional (CISSP) minősítést kell tekinteni az arany standard az információbiztonság. Ez azért van így, mert az összes ajtót, hogy a tanúsítás megnyitja a CISSP szakember. Ezek az ajtók számos különböző típusú pozícióhoz és lehetőséghez vezetnek,így az információbiztonsági közösség dinamikus és sokrétű.
ennek a sokféleségnek az alátámasztására az (ISC) 2 interjúsorozatot indított annak feltárására, hogy a CISSP tanúsítás hova vezetett a biztonsági szakemberek számára. Legutóbb Mari Aoba-ról és a CISSP-vel kapcsolatos tapasztalatairól hallottunk. Ez a részlet Jason Lau-t tartalmazza, CISO for Crypto.com és a Forbes technológiai Tanácsának hivatalos tagja és közreműködője. Emellett adjunktus és ipari tanácsadó testület tagja (kiberbiztonság és adatvédelem) A HKBU Business School-ban.
milyen munkát végez ma?
jelenleg az információbiztonsági vezető (CISO) vagyok Crypto.com, ahol a vállalat globális kiberbiztonsági és Adatvédelmi stratégiáját vezetem. Az oldalon, ülök a különböző ipari tanácsadó testületek a kiberbiztonság, valamint szolgál adjunktus az egyik premier üzleti iskolák Ázsiában. Sok éve vagyok az oktatási iparban, és gyakran adok vissza a közösségnek azáltal, hogy kiberbiztonsági/adatvédelmi képzést folytatok mind a nagy, mind a kis szervezetek számára. Ezt azért teszem, hogy elősegítsem és javítsam az ökoszisztémát mind helyi, mind globális szinten.
milyen problémákat old meg a vállalat?
Crypto.com egy FinTech cég, amelynek küldetése a kriptovaluta globális elfogadásának felgyorsítása. Cégünk egyik módja annak, hogy megoldja ezt a problémát, azáltal, hogy a kriptovalutát könnyen hozzáférhetővé teszi felhasználóbarát alkalmazásunkon keresztül. A probléma, amelyet személy szerint megpróbálok megoldani, az, hogy elősegítsem a bizalom kiépítését az ipar mindennapi kriptovaluta-felhasználójával. Ez még mindig növekvő iparág, amely még mindig fejlődik minden nap. Ez különösen nagy kihívást jelent, mert sok olyan régió van, ahol a kriptovaluta még mindig nem szabályozott. A szabályozás hiánya miatt sok vállalat elfelejti a kiberbiztonság és az adatvédelem szükségességét, vagy nem összpontosít rá. Célom, hogy segítsek Crypto.com legyen iparágvezető ezen a területen, és vezesse az utat. Erre példa, hogy mi voltunk az első kriptovaluta cég, amely ISO27001:2013, PCI:DSS 3.2.1 és ISO27701: 2019 tanúsítvánnyal rendelkezik, megmutatva elkötelezettségünket az általános folyamatok folyamatos fejlesztése iránt.
miért döntött először a kiberbiztonság mellett?
abban az időben nem voltak tanfolyamok a kiberbiztonság iránti érdeklődésem fokozására, ezért csatlakoztam egy vállalathoz, amely a vállalati rendszerek kezelésére és felügyeletére összpontosított, ami lehetővé tette számomra, hogy a világ minden tájáról utazzak, és szorosan együttműködjek a kritikus infrastruktúra biztonságával foglalkozó CTO-k vezetői tanácsadójaként. A biztonság nagy része fizikai szerverrendszerekre vonatkozott, és az idő múlásával egyre inkább digitális biztonsággá és kiberbiztonsággá fejlődött, ahogy ma ismerjük.
milyen volt az élet, amikor a kiberbiztonsági karrierjét kezdte?
a fent említett pozícióban hamar megtanultam és rájöttem, hogy az átfogó kiberbiztonsági stratégia kulcsfontosságú eleme – amely az incidensekre való reagálás és az észlelés, valamint a szokatlan tevékenységek nyomon követése egy hálózati környezetben.
az élet érdekes volt, mivel a felhőalapú számítástechnika előtti napokban a proaktív megfigyelés és riasztás volt az első védelmi vonal a hálózat potenciális problémáival szemben, amelyek belső vagy külső támadó rosszindulatú tevékenységeiből származhattak.
munkám öt kontinens szinte minden szektorát lefedte, és lehetővé tette számomra, hogy lássam, hogyan közelítik meg a különböző iparágak és kultúrák a biztonságot. Nem igazán nevezném kitérőnek, hanem inkább az iránti érdeklődésem evolúciójának, és alkalmazkodnom kellett a változó környezethez és készségekhez, hogy mélyebben belemerüljek a kiberbiztonságba.
mi volt az első kiberbiztonsági munkája?
volt az első tapasztalatom a “hackelés” részeként én villamosmérnöki diplomát Egyetemen. Integrált áramköri chipekkel kellett kísérleteznünk, és különböző dolgokra programoznunk őket. Csak úgy történik, hogy körülbelül akkor volt, amikor az első PlayStation megjelent. Szabadidőmben kutattam és ” feltörtem “a gép indítási sorrendjét egy általam beprogramozott” ModChip ” segítségével, és képes voltam a világ különböző régióiból származó játékokat játszani.
abban az időben az elsők között voltam ezekkel a Modchipekkel, és a barátommal szabadúszó munkaként kezdtünk másoknak segíteni. Nagyon izgalmas és izgalmas volt! Ez volt az első tapasztalatom a hackeléssel és a visszafejtéssel kapcsolatban, amit később úgy találtam, hogy hasonló megközelítésre van szükség bizonyos szempontból a kiberbiztonsági világban.
mi vonzotta először, hogy fontolja meg a kiberbiztonsági minősítés megszerzését?
kiberbiztonsági karrierem elején ki akartam tűnni a tömegből, és ez volt a legforróbb tanúsítás ezen a téren.
miért döntött úgy, hogy vállalja a CISSP-t?
a CISSP több, mint egy tanúsítás. Ez bizonyítja a társaknak, hogy szenvedélye van ezen a területen, és hogy szélesebb körű megértést kapjon a kiberbiztonsági kérdésekről.
mi késztette erre?
az adatok megsértése történt minden alkalommal(és még mindig!), és ez arra késztetett, hogy tovább fejlesszem képességeimet a területen.
mennyi ideig tartott a CISSP elérése?
azt mondanám, hogy az egész folyamat körülbelül 2-3 hónapot vett igénybe. Különböző embereknél változik, mivel ez a tapasztalatuktól függ. A gyakorlati, gyakorlati tapasztalat mindenképpen segítene a fogalmak megértésében, nem pedig pusztán könyvek olvasásában.
hogyan készültél fel a vizsgára?
azt hiszem, 2-3 év gyakorlati tapasztalat egy jó ideje, hogy elkezd gondolkodni csinál egy CISSP. A nap folyamán volt néhány (ISC)2 szeminárium, amelyen részt vehetett, hogy többet megtudjon a tanúsításról és a tudás alapjáról, amelyet értékelni fognak.
milyen forrásokat használtál?
a hivatalos (ISC)2 szöveget, valamint a könyvben szereplő kérdéseket használtam.
mi lepte meg leginkább a CISSP-t?
kezdetben meglepődtem, hogy ez egy 6 órás vizsga volt. Ez most számítógépes adaptív értékelési folyamattá változott, amely formátum csökkentette a vizsga időtartamát. De annak idején, amikor megtettem, a 6 órás vizsga fárasztó folyamat volt mind mentálisan, mind fizikailag. Visszatekintve úgy gondolom, hogy ennek oka az, hogy a számítógépek és a digitális világ nem alszanak olyan jól, mint a biztonsági problémák bármikor előfordulhatnak. Ennek eredményeként a CISSP a kitartás próbája volt, hogy megbizonyosodjon arról, hogy felkészült-e a való világra, ahol fáradt lehet egy teljes munkanaptól, amíg hirtelen riasztási állapotba nem kerül, hogy foglalkozhasson az imént felmerült biztonsági kérdésekkel.
melyek voltak az első változások, amelyeket észrevett, miután CISSP lett?
az első változás, amit észrevettem, a toborzók számának növekedése volt, akik potenciális szerepeket kerestek. Ebben a szakaszban rájöttem, hogy az (ISC)2 CISSP tanúsítása és hitelessége valóban jól elismert az iparban.
mit gondol, hogyan részesült személyesen a CISSP-ből?
úgy gondolom, hogy karrierje elején a CISSP fontos lépés a kiberbiztonság széles körű megértésében. Így mélyebben belemerülhet az SDLC vagy az alkalmazásfejlesztés, a toll tesztelése, a megfelelés stb. A CISSP-t továbbra is az információbiztonság “arany standardjának” tekintik az egész világon, és lehetővé teszi a társaik és az alkalmazottak számára, hogy megértsék a kiberbiztonság alapvető ismereteit. Karrierem korai szakaszában profitáltam azzal, hogy hozzáférést szereztem az iparági szakemberek erős hálózatához, valamint részt vettem az ipari konferenciákon, hogy többet megtudjak arról, hogy a társaik hogyan kezelik a kiberbiztonsági kihívásokat. Az (ISC) 2 Közösség és a helyi fejezetek gyakran vonzó prezentációkat és workshopokat tartanak, ahol elsajátíthatják készségeiket, és hozzáférhetnek a globális webináriumokhoz és online képzési anyagokhoz és forrásokhoz.
milyen lépések vezettek a mai munkához?
a kiberbiztonság korai szakaszában és ezen a területen több mint 20 éve részt vettem a kiberbiztonság számos különböző aspektusának megismerésében. Miután több különböző vállalatnál dolgoztam, és sok éven át vezetői tanácsadóként dolgoztam a Fortune 200 vállalatoknál, érdeklődtem a gyorsan növekvő FinTech / Blockchain tér iránt, és a kriptovaluta cégek elleni támadások hatalmas számával lehetőséget láttam egy csapat felépítésére, amely segít Crypto.com. ez egy kihívást jelentő út volt, és folyamatos elkötelezettséget és elkötelezettséget igényel a mezőny iránt.
milyen eredményre vagy hozzájárulásra vagy a legbüszkébb?
számos iparági díjat nyertem, de ez egy csapat eredménye volt a szabadalom megszerzésének a kriptovaluta térben. Mivel az ipar gyorsan fejlődött, a hagyományos felhőszolgáltatók nem tudták támogatni azokat a módszereket, amelyekkel napi szinten biztonságos módon kellett elvégeznünk néhány kulcsfontosságú folyamatunkat az általunk használt kriptovaluta tokenekkel, mint a Bitcoin, Ethereum és mások. A csapat különböző módon járult hozzá, amelyek mindegyike segített nekünk a szabadalmi regisztráció megszerzésében. Egyénileg is büszke voltam arra, hogy meghívtak a Forbes Technology Council-ba a kiberbiztonság terén elért eredményeimért és hozzájárulásaimért.
mi a legnagyobb kihívás, amellyel karrierje során szembesült?
túlzott bizalom. Miután körbeutazta a világot, és konzultált a legnagyobb vállalatokkal, a következetes kérdés az, hogy a szervezetek még mindig túl magabiztos gondolkodásmóddal rendelkeznek, hogy nem feltörték őket, és így kevesebb figyelmet fordíthatnak a kiberbiztonsági erőforrásokra. A felső vezetésnek és az igazgatótanácsoknak meg kell érteniük, hogy a kiberbiztonsági kockázatok üzleti kockázatok, és sokféle módon befolyásolhatják az üzletet. Mindig kihívást jelent a C-szintek és az igazgatóság gondolkodásmódjának megváltoztatása, de a digitális átalakulás felé mutató növekvő tendenciával a kiberbiztonságnak és az adatvédelemnek minden szervezet üzleti stratégiájának alappillérévé kell válnia.
milyen ambíciói vannak a karrier előtt?
az a célom, hogy hozzájáruljak az ökoszisztémához, hogy nagyobb kiberbiztonsági és Adatvédelmi tudatosságot építsek ki a nagyvállalatok és a kisvállalatok számára. Karrierem során már ezt tettem az oldalon, de még többet lehet tenni, és a kiberbiztonsági kihívások az idő múlásával folyamatosan változnak. Biztonsági tudatosság képzés mindig lesz valami, hogy én is részt vesz a többi a karrierem.
hogyan biztosíthatja, hogy képességei tovább növekedjenek?
egyszerű. Vegyen fel olyan embereket (vagy vegye körül magam emberekkel), akik okosabbak nálam. A kiberbiztonság egyedülálló iparág, ahol sokan teljesen más háttérrel érkeztek, és érdekes utazásokat vezettek, hogy eljussanak oda, ahol ma vannak. Elfogadtam ezt a sokszínűséget az általam épített csapatban, amely több mint hét országból származó emberekből áll. Mindegyiknek van egy CISSP és több, de mindegyik nagyon különböző módon nézi ugyanazt a problémát. Ez nem csak egy nagyszerű módja annak, hogy tovább növekedjek, hanem lehetővé teszi a csapat egészének növekedését is, és ez elősegíti a tudás-tapasztalat megosztásának erős kultúráját.
Ön szerint mi a legnagyobb kihívás a kiberbiztonság számára jelenleg?
egyértelműen globális kiberbiztonsági hiány van, és mivel a technológia elfogadása és a digitális átalakulás gyorsabban gyorsul, mint a kiberbiztonsági szakemberek ellátásának üteme, a szervezetek gyakran felzárkózó játékot játszanak a szerepek betöltésében. Mint fentebb említettük, az iparágban a kiberbiztonsági kockázatok iránti általános túlzott bizalom nagy kihívás, amelyet le kell küzdeni. Végül azt is mondanám, hogy a gépi tanulás és az AI a következő években fejlődni fog, hogy AI-alapú fenyegetéseket, például rosszindulatú programokat eredményezzen. Ez a tendencia valóban nagyon ijesztő lesz.
Ön szerint milyen megoldásokkal lehetne ezt megoldani?
több felhasználói tudatossági képzésre van szükség a kiberbiztonság emberi elemének kezeléséhez. Az átfogó kiberbiztonsági stratégiának nem csupán eszközök vásárlására kell kiterjednie. A kiberbiztonsággal kapcsolatos C-szintű tudatosság fokozására van szükség. A vállalatoknak továbbra is befektetniük kell a tehetségekbe, és lépést kell tartaniuk az új technológiákkal, amelyek új üzleti kockázatokat is jelenthetnek. Konkrétan az AI-alapú fenyegetésekkel kapcsolatos fenti kérdésre a vállalatoknak be kell fektetniük és el kell fogadniuk saját AI kiberbiztonsági stratégiájukat és eszközeiket, mint például a felhasználói entitás Bevavior Analytics (UEBA), hogy segítsék a hálózati környezet anomáliáinak korai felismerését.
ki inspirál téged a kiberbiztonság világában?
apám mindig is a leginspirálóbb ember volt számomra. Mint egy öt testvérből álló család legfiatalabbja, úgy nőttem fel, hogy figyeltem, tanultam és követtem őt, miközben mindenki más az iskolában volt. Nekem, mindent meg tudott csinálni, és mindig volt valamilyen módja annak, hogy ” helyrehozza a dolgokat.”Apa mindenben benne volt. Mérnöki, hagyományos orvoslás, mechanika, hidroponika, elektronika, matematika, gazdálkodás, szakács és így tovább!
a tanulság számomra itt az volt, hogy nem csak egy területre kell összpontosítania. Sokat tanulhat a különböző területekről, és növekedési gondolkodásmóddal kell rendelkeznie, hogy többféle módot találjon a probléma megoldására. Ez még mindig igaz a kiberbiztonságra. Gyakran a dobozon kívül kell gondolkodnod, és úgy kell gondolkodnod, mint egy hacker, hogy felépítsd a szervezeti védelmet.
mit gondolsz, mit kell tudniuk a kiberbiztonsági karriert fontolgató embereknek?
növekedési gondolkodásmóddal kell rendelkeznie. A kiberbiztonsági karrier rendkívül dinamikus. Ahogy a technológia továbbra is gyors ütemben változik, az üzleti kockázatok egyre szélesebbek és mélyebbek, és lépést kell tartania a körülöttünk zajló technológiai változásokkal. Például a COVID-19 esetében azt látjuk, hogy az olyan hagyományos iparágaknak, mint az egészségügy, gyorsan fejlődniük kellett, hogy megfeleljenek a távorvoslástól a távoli hozzáférésig és az orvosi klinikák és kórházi műveletek kezeléséig, amelyek rendkívül érzékeny személyes azonosításra alkalmas információkat és védett egészségügyi információkat tartalmaznak. Kiberbiztonsági szakemberként figyelembe kell vennie ennek hatását, üzleti szempontból egészen az otthonról dolgozó alkalmazottak kockázatáig. A legfontosabb dolog, amit az embereknek tudniuk kell, hogy a kiberbiztonsági karrier rendkívül kihívást jelent, ugyanakkor nagyon kifizetődő, mivel sok érdekes projekten és gyakran feltörekvő technológiákon dolgozik, hogy segítse a szervezeteket rendszereik védelmében.