Blog

 CISSPs Fra Hele Verden - Et Intervju Med Jason Lau Certified Information Systems Security Professional (CISSP) sertifisering anses å være gullstandarden i informasjonssikkerhet. Dette er så på grunn av alle dørene som sertifisering åpner FOR EN cissp profesjonell. Disse dørene fører til mange forskjellige typer stillinger og muligheter, og dermed gjør informasjonssikkerhetssamfunnet dynamisk og mangesidig.

TIL støtte for dette mangfoldet, (ISC)2 har lansert en rekke intervjuer for å utforske HVOR cissp sertifisering har ledet sikkerhet fagfolk. Sist gang vi hørte Fra Mari Aoba og hennes erfaringer MED CISSP. Dette avdrag har Jason Lau, CISO for Crypto.com og et offisielt medlem og bidragsyter på Forbes Technology Council. Han er også adjungerende professor og industrirådgivende styremedlem (cybersecurity and data privacy) ved HKBU School Of Business.

Hvilken jobb gjør du i dag?

jeg er For Tiden Chief Information Security Officer (CISO) på Crypto.com, hvor jeg driver selskapets globale strategi for cybersikkerhet og datasikkerhet. På siden sitter jeg på ulike rådgivende råd om cybersikkerhet, samt fungerer som adjungerende professor ved En av De fremste handelshøyskolene I Asia. Jeg har vært i utdanningsbransjen i mange år nå, og jeg gir ofte tilbake til samfunnet ved å gjennomføre cybersikkerhet/personvernopplæring for organisasjoner både store og små. Jeg gjør dette for å bidra til å fremme og forbedre økosystemet både lokalt og globalt.

Hvilke problemer løser bedriften din?

Crypto.com Er Et FinTech-selskap med et oppdrag for å akselerere den globale adopsjonen av kryptokurrency. En måte vårt selskap bidrar til å løse dette problemet på, er å gjøre cryptocurrency lett å få tilgang til gjennom vårt brukervennlige program. Problemet jeg personlig prøver å løse er å bidra til å bygge tillit med den daglige cryptocurrency-brukeren i bransjen. Dette er fortsatt en voksende industri som fortsatt utvikler seg hver dag. Dette er spesielt utfordrende fordi det er mange regioner der kryptokurrency fortsatt er uregulert. Med mangel på regulering ser vi at mange selskaper glemmer behovet for, eller mangler fokus på, cybersikkerhet og personvern. Mitt mål er å hjelpe Crypto.com bli en industrileder på dette feltet og lede veien. Et eksempel på dette er AT VI var det første cryptocurrency-selskapet SOM BLE ISO27001:2013, PCI: dss 3.2.1 og OGSÅ ISO27701:2019 sertifisert, og viser vår forpliktelse til kontinuerlig å forbedre våre overordnede prosesser.

Hvorfor bestemte du deg først for å komme inn i cybersikkerhet?

det var ingen kurs på den tiden for å fremme min interesse for cybersikkerhet, så jeg ble med i et selskap med fokus på bedriftssystemadministrasjon og overvåking, noe som tillot meg å reise rundt i verden og jobbe tett som ledelseskonsulent til mange CTO-er på kritisk infrastruktursikkerhet. Mye av sikkerheten var for fysiske serversystemer, og over tid utviklet det seg mer til digital sikkerhet og cybersikkerhet som vi kjenner det i dag.

hvordan var livet da du startet i din karriere innen cybersikkerhet?

i den posisjonen jeg nevnte ovenfor, lærte jeg snart og innså at det jeg jobbet med var en nøkkelkomponent i en overordnet cybersikkerhetsstrategi – som var hendelsesrespons og deteksjon og overvåking av uvanlige aktiviteter i et nettverksmiljø.

Livet var interessant som det var dagene før cloud computing og når proaktiv overvåking og varsling var den første forsvarslinjen mot potensielle problemer i nettverket ditt, problemer som kunne ha resultert fra ondsinnede aktiviteter fra en intern eller ekstern angriper.

arbeidet mitt dekket nesten alle sektorer du kan forestille deg på fem kontinenter, og det tillot meg muligheten til å se hvordan ulike bransjer og ulike kulturer nærmer seg sikkerhet. Jeg ville egentlig ikke kalle det en omvei, men mer av en utvikling av min interesse FOR DET, og jeg måtte tilpasse seg det skiftende miljøet og ferdighetene for å gå dypere inn i cybersikkerhet.

hva var din første jobb innen cybersikkerhet?

jeg hadde min første erfaring med «hacking» som en del av min elektroteknikk grad ved universitetet. Vi måtte eksperimentere med integrerte kretsbrikker og programmere dem til å gjøre en rekke forskjellige ting. Det skjer bare så det var rundt den tiden Da Den første PlayStation ble utgitt. På fritiden forsket jeg på og» hacket «oppstartssekvensen til maskinen med En «ModChip» jeg programmerte, og jeg kunne spille spill fra forskjellige regioner rundt om i verden.

jeg var en av de første Med Disse ModChips på den tiden, og min venn og jeg begynte å hjelpe andre som frilansjobb. Det var ganske spennende og spennende! Dette var min første erfaring med hacking og reverse engineering, som jeg senere fant at en lignende tilnærming var nødvendig på noen måter i cybersikkerhetsverdenen.

Hva tiltrakk deg først til å vurdere å få en cybersecurity kvalifisering?

Tidlig i min cybersikkerhetskarriere ønsket Jeg Å skille seg ut fra mengden, og dette var den hotteste sertifiseringen i dette rommet.

Hvorfor bestemte DU DEG for Å gjennomføre CISSP?

CISSP er mer enn bare en sertifisering. Det er bevis for jevnaldrende at du har en lidenskap for å være i dette feltet og for å få en bredere forståelse av cybersikkerhetsproblemene.

hva fikk deg til å gjøre det?

data brudd skjedde hele tiden (og fortsatt er!), og dette fikk meg til å videreutvikle mine ferdigheter i feltet.

Hvor lang TID tok DET Å oppnå CISSP?

jeg vil si at hele prosessen tok meg rundt 2-3 måneder. Det varierer for forskjellige mennesker, da det avhenger av opplevelsen de har. Praktisk, praktisk erfaring vil definitivt hjelpe med å forstå konseptene i stedet for bare å lese bøker.

hvordan forberedte du deg til eksamen?

jeg tror 2-3 års praktisk erfaring er en god tid å begynne å tenke på å gjøre EN CISSP. Tilbake i dag, det var NOEN (ISC)2 seminarer som du kan delta for å lære mer om sertifisering og kjernen kroppen av kunnskap som du vil bli vurdert på.

Hvilke ressurser brukte du?

jeg brukte den offisielle (ISC)2 teksten samt spørsmålene i boken.

Hva overrasket DEG mest OM CISSP?

jeg ble først overrasket over at det var en 6-timers eksamen. Dette har nå endret seg til en datamaskinbasert adaptiv vurderingsprosess, et format som har redusert eksamensvarigheten. Men tilbake på dagen da jeg gjorde det, var 6-timers eksamen en grusom prosess både mentalt og fysisk. Ser tilbake, tror jeg årsaken til dette er at datamaskiner og den digitale verden ikke sover, så vel som at sikkerhetsproblemer kan skje når som helst. SOM et resultat var CISSP en test av utholdenhet for å sikre at du var forberedt på den virkelige verden hvor du kan være sliten fra en hel dag med arbeid til du plutselig blir rystet i en tilstand av varsel, slik at du kan løse sikkerhetsproblemer som nettopp har kommet opp.

hva var de første endringene du la merke til etter å ha blitt EN CISSP?

den første endringen jeg la merke til var det økte antallet rekrutterere som nådde ut til meg for potensielle roller. På det stadiet innså jeg AT CISSP-sertifiseringen OG troverdigheten TIL (ISC)2 faktisk var anerkjent i bransjen.

hvordan tror du at du personlig har hatt nytte av å bli EN CISSP?

jeg tror tidlig i din karriere, EN CISSP er et viktig skritt i å hjelpe deg å få en bred forståelse av cybersikkerhet. På denne måten kan du gå dypere inn i andre områder av SI SDLC eller applikasjonsutvikling, pen testing, compliance, etc. CISSP er fortsatt ansett som «gullstandarden» i informasjonssikkerhet rundt om i verden, og det vil tillate jevnaldrende og ansatte vet at du forstår den grunnleggende kunnskapen for cybersikkerhet. Jeg dro nytte av tidlig i karrieren min ved å få tilgang til et sterkt nettverk av fagfolk i bransjen, samt ved å delta på bransjekonferanser for å lære mer om hvordan jevnaldrende håndterer cybersikkerhetsutfordringer. (ISC)2 samfunnet og lokale avdelinger har ofte engasjerende presentasjoner og workshops hvor du kan finpusse på dine ferdigheter og få tilgang til globale webinarer og online opplæringsmateriell og ressurser.

hvilke skritt førte deg til jobben du gjør i dag?

å være involvert tidlig i cybersikkerhet og på dette feltet i over 20 år, har jeg hatt fordelen av å se mange forskjellige aspekter av cybersikkerhet. Etter å ha jobbet for flere forskjellige selskaper og vært en management consulting i Mange år Til Fortune 200-selskaper, fikk jeg interesse for det raskt voksende FinTech / Blockchain-rommet, og med det enorme antallet angrep på cryptocurrency-selskaper så jeg en mulighet til å bygge et team for å hjelpe Crypto.com. Det har vært en utfordrende tur, og det krever kontinuerlig engasjement og dedikasjon til feltet.

hvilke prestasjoner eller bidrag er du mest stolt av?

jeg har vunnet en rekke bransjepriser, men det var en lagprestasjon for å skaffe et patent i cryptocurrency-rommet. Etter hvert som bransjen utviklet seg raskt, kunne de tradisjonelle skyleverandørene ikke støtte måtene vi trengte for å utføre noen av våre nøkkelprosesser på en daglig basis på en sikker måte med cryptocurrency-tokens vi brukte Som Bitcoin, Ethereum og andre. Teamet bidro på forskjellige måter, som alle hjalp oss med å få patentregistreringen. Individuelt, blir invitert Til Forbes Technology Council for mine bidrag og prestasjoner i cybersecurity har vært noe jeg har vært stolt av, så vel.

Hva er den største utfordringen du har møtt i din karriere?

Overdreven Selvtillit. Etter å ha reist rundt i verden og konsultert for noen av de største selskapene, er det konsistente problemet med hvordan organisasjoner fortsatt ofte har en overmodig tankegang at de ikke har blitt hacket og dermed kan sette mindre fokus på ressurser i cybersikkerhet. Toppledelsen og styrene må forstå at cybersikkerhetsrisiko er forretningsrisiko og kan påvirke en bedrift på mange måter. Det vil alltid være en utfordring å endre Tankesettet For C-Nivåer og styret, men med den økende trenden mot digital transformasjon, må cybersikkerhet og datasikkerhet være kjernepilarer for enhver organisasjons forretningsstrategi.

hvilke ambisjoner har du for din karriere fremover?

min ambisjon er å bidra tilbake til økosystemet for å bygge mer cybersikkerhet og personvernbevissthet for store og små bedrifter. Jeg har allerede gjort dette på siden i hele min karriere, men mer kan gjøres, og cybersikkerhetsutfordringene fortsetter å endres over tid. Sikkerhetsbevissthet vil alltid være noe jeg vil være involvert i resten av karrieren min.

hvordan sikrer du at ferdighetene dine fortsetter å vokse?

Enkelt. Fortsett å ansette folk (eller omgir meg med folk) som er smartere enn meg. Cybersikkerhet er en unik bransje der mange har kommet fra helt forskjellige bakgrunner og ledet interessante reiser for å komme dit de er i dag. Jeg har omfavnet dette mangfoldet I teamet jeg har bygget, som består av folk fra mer enn syv land. Alle av DEM har EN CISSP og mer, men alle har svært forskjellige måter å se på det samme problemet. Dette er ikke bare en fin måte for meg å fortsette å vokse, men det gjør det også mulig for teamet som helhet å vokse, og dette bidrar til å fremme en sterk kultur for kunnskapsdeling.

hva tror du den største utfordringen er for cybersikkerhet akkurat nå?

det er definitivt en global cybersecurity mangel, og fordi teknologi adopsjon og digital transformasjon akselererer raskere enn hastigheten som vi kan levere cybersecurity fagfolk, organisasjoner vil ofte være å spille en catch-up spill i å prøve å fylle roller. Som nevnt ovenfor er generell overbevissthet i bransjen rundt cybersikkerhetsrisiko en stor utfordring som må overvinnes. Til slutt vil jeg også si at maskinlæring og AI vil utvikle seg de neste årene for Å gi OPPHAV TIL AI-drevne trusler som malware. Denne trenden vil være veldig skummelt faktisk.

Hvilke løsninger tror du kan løse dette?

mer opplæring i brukerbevissthet er nødvendig for å adressere det menneskelige elementet i cybersikkerhet. En overordnet cybersikkerhetsstrategi bør omfatte mer enn bare å kjøpe verktøy. Mer C-nivå bevissthet om cybersikkerhet er nødvendig. Bedrifter må fortsette å investere i talent og holde seg oppdatert på ny teknologi som også kan introdusere nye forretningsrisikoer. Spesielt til det ovennevnte spørsmålet om AI-drevne trusler, må selskapene investere og vedta sin EGEN AI-cybersikkerhetsstrategi og verktøy som Ueba (User-Entity Bevavior Analytics) for å hjelpe tidlig påvisning av anomalier i nettverksmiljøet.

hvem inspirerer deg i cybersikkerhetsverdenen?

min far har alltid vært den mest inspirerende personen for meg. Som den yngste av en familie på fem søsken, jeg vokste opp ser, lære og følge ham mens alle andre var på skolen. For meg, han kunne gjøre alt og alltid hatt noen måte å » fikse ting.»Pappa var med på alt. Engineering, tradisjonell medisin, mekanikk, hydroponics, elektronikk, matematikk, oppdrett, matlaging og mer!

leksjonen for meg her var at du ikke bare skulle fokusere på ett felt. Du kan lære mye fra ulike felt, og du bør ha et growth mindset slik at du kan utforske flere måter å finne en løsning på et problem. Dette gjelder fortsatt for cybersikkerhet. Du må ofte tenke utenfor boksen og tenke som en hacker for å bygge opp ditt organisatoriske forsvar.

hva tror du folk som vurderer en karriere innen cybersikkerhet bør vite?

du må ha et growth mindset. En karriere innen cybersikkerhet er ekstremt dynamisk. Akkurat som teknologien fortsetter å endre seg i et raskt tempo, blir forretningsrisikoen bredere og dypere, og du må holde tritt med teknologiske endringer som skjer rundt deg. MED COVID-19 ser vi for EKSEMPEL at tradisjonelle bransjer som helsevesen har måttet utvikle seg raskt for å imøtekomme endringer fra telemedisin til fjerntilgang og administrasjon av medisinske klinikker og sykehusoperasjoner som inneholder svært sensitiv personlig identifiserbar informasjon og beskyttet helseinformasjon. Som cybersecurity-fagfolk må du vurdere virkningen av dette, fra forretningsperspektivet hele veien til risikoen med ansatte som jobber hjemmefra. Det viktigste folk bør vite er at en karriere innen cybersikkerhet er ekstremt utfordrende, men samtidig veldig givende når du kommer til å jobbe med mange interessante prosjekter og ofte med nye teknologier for å hjelpe organisasjoner med å beskytte sine systemer.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.