Certified Information Systems Security Professional (CISSP) certification wordt beschouwd als de gouden standaard in informatiebeveiliging. Dit is zo vanwege alle deuren die certificering opent voor een CISSP professional. Deze deuren leiden tot veel verschillende soorten posities en kansen, waardoor de informatiebeveiliging gemeenschap dynamisch en veelzijdig.
ter ondersteuning van deze diversiteit, (ISC)2 heeft een reeks interviews gelanceerd om te onderzoeken waar CISSP certificering heeft geleid beveiligingsprofessionals. De laatste keer dat we hoorden van Mari Aoba en haar ervaringen met CISSP. Deze aflevering beschikt over Jason Lau, CISO voor Crypto.com en een officieel lid en medewerker van de Forbes Technology Council. Hij is ook adjunct professor en industrie adviesraad (cybersecurity and data privacy) aan de HKBU School of Business.
wat voor werk doet u vandaag?
ik ben momenteel de Chief Information Security Officer (CISO) bij Crypto.com, waar ik de wereldwijde cybersecurity-en dataprivacystrategie van het bedrijf aanstuur. Aan de kant, Ik zit op verschillende industrie adviesraden op cybersecurity evenals dienen als een adjunct professor aan een van de premier business schools in Azië. Ik ben al vele jaren in de onderwijsindustrie, en ik geef vaak terug aan de gemeenschap door het uitvoeren van cybersecurity/privacy training voor organisaties zowel grote als kleine. Ik doe dit om het ecosysteem zowel lokaal als wereldwijd te bevorderen en te verbeteren.
welke problemen lost uw bedrijf op?
Crypto.com is een FinTech bedrijf met een missie om de wereldwijde adoptie van cryptogeld te versnellen. Een manier waarop ons bedrijf helpt om dit probleem op te lossen is door het maken van cryptogeld gemakkelijk toegankelijk via onze gebruiksvriendelijke applicatie. Het probleem dat ik persoonlijk probeer op te lossen is om te helpen bij het opbouwen van vertrouwen met de dagelijkse cryptogeld gebruiker in de industrie. Dit is nog steeds een groeiende industrie die nog steeds elke dag evolueert. Dit is vooral een uitdaging, omdat er veel regio ‘ s waar cryptogeld is nog steeds ongereguleerd. Bij gebrek aan regelgeving zien we dat veel bedrijven de behoefte aan of de focus op cybersecurity en dataprivacy vergeten. Mijn doel is om te helpen Crypto.com word een marktleider op dit gebied en leid de weg. Een voorbeeld hiervan is dat we de eerste cryptogeld bedrijf te zijn ISO27001: 2013, PCI: DSS 3.2.1 en ook ISO27701:2019 gecertificeerd, waaruit onze inzet om voortdurend verbeteren van onze algehele processen.
Waarom besloot u eerst in cybersecurity te stappen?
er waren toen geen cursussen om mijn interesse in cybersecurity te bevorderen, dus ben ik lid geworden van een bedrijf dat zich toelegt op enterprise systems management en monitoring, waardoor ik de hele wereld rond kon reizen en nauw kon samenwerken als management consultant voor vele CTO ‘ s op kritieke infrastructuurbeveiliging. Een groot deel van de beveiliging was voor fysieke serversystemen, en na verloop van tijd evolueerde het meer naar digitale beveiliging en cybersecurity zoals we die nu kennen.
Hoe was het leven toen u begon in uw carrière in cybersecurity?
in de positie die ik hierboven noemde, leerde en realiseerde ik me al snel dat waar ik aan werkte een belangrijk onderdeel was van een algemene cybersecurity – strategie-namelijk incident response en detectie en het monitoren van ongewone activiteiten in een netwerkomgeving.
het leven was net zo interessant als de dagen voor cloud computing en toen proactieve monitoring en alarmering de eerste verdedigingslinie was tegen potentiële problemen in uw netwerk, problemen die het gevolg konden zijn van kwaadaardige activiteiten van een interne of externe aanvaller.
mijn werk bestreek bijna alle sectoren die je je kunt voorstellen over vijf continenten, en het gaf me de gelegenheid om te zien hoe verschillende industrieën en verschillende culturen veiligheid benaderen. Ik zou het niet echt een omweg noemen, maar meer een evolutie van mijn interesse in het, en ik moest me aanpassen aan de veranderende omgeving en vaardigheden om dieper in cybersecurity te gaan.
wat was uw eerste cybersecurity-Baan?
ik had mijn eerste ervaring met “hacken” als onderdeel van mijn diploma elektrotechniek aan de universiteit. We moesten experimenteren met chips van geïntegreerde schakelingen en ze programmeren om verschillende dingen te doen. Toevallig was het rond die tijd dat de eerste PlayStation ooit werd uitgebracht. In mijn vrije tijd heb ik de opstartvolgorde van de machine onderzocht en “gehackt” met een “ModChip” die ik programmeerde, en ik was in staat om games uit verschillende regio ‘ s over de hele wereld te spelen.
ik was een van de eerste met deze ModChips op dat moment, en mijn vriend en ik begonnen om anderen te helpen als een freelance baan. Het was heel spannend en spannend! Dit was mijn eerste ervaring met hacken en reverse engineering, die ik later zou vinden dat een soortgelijke aanpak nodig was in sommige opzichten in de cybersecurity wereld.
wat trok u eerst aan om een kwalificatie voor cyberbeveiliging te overwegen?
vroeg in mijn cybersecurity carrière, wilde ik me onderscheiden van de menigte, en dit was de heetste certificering in deze ruimte.
Waarom hebt u besloten CISSP aan te gaan?
CISSP is meer dan alleen een certificering. Het is het bewijs voor collega ‘ s dat je een passie hebt om op dit gebied te zijn en om een breder begrip te krijgen van de cybersecurity kwesties.
wat heeft u hiertoe aangezet?
datalekken gebeurden de hele tijd (en zijn nog steeds!), en dit zette me aan om mijn vaardigheden in het veld verder te ontwikkelen.
hoe lang duurde het om CISSP te bereiken?
ik zou zeggen dat het hele proces me ongeveer 2-3 maanden in beslag nam. Het varieert voor verschillende mensen, omdat het afhankelijk is van de ervaring die ze hebben. Praktische, hands-on ervaring zou zeker helpen met het begrijpen van de concepten in plaats van alleen het lezen van boeken.
Hoe hebt u zich voorbereid op het examen?
ik denk dat 2-3 jaar praktische ervaring is een goed moment om te beginnen na te denken over het doen van een CISSP. Terug in de dag, waren er een aantal (ISC)2 seminars die je kon bijwonen om meer te leren over de certificering en de kern lichaam van kennis die u zou worden beoordeeld op.
welke bronnen hebt u gebruikt?
ik gebruikte de officiële (ISC)2 tekst en de vragen in het boek.
Wat meest verrast u over CISSP?
ik was aanvankelijk verbaasd dat het een examen van 6 uur was. Dit is nu veranderd in een computergebaseerd adaptief beoordelingsproces, een formaat dat de examenduur heeft verminderd. Maar in de tijd dat ik het deed, was het 6 uur durende examen een slopend proces, zowel mentaal als fysiek. Terugkijkend denk ik dat de reden hiervoor is dat computers en de digitale wereld niet zo goed slapen als dat beveiligingsproblemen op elk moment kunnen gebeuren. Dientengevolge, de CISSP was een test van het uithoudingsvermogen om ervoor te zorgen dat u waren voorbereid voor de echte wereld waar je moe zou kunnen zijn van een volledige dag van het werk totdat je plotseling in een staat van alert bent, zodat u kunt aanpakken beveiligingsproblemen die net zijn gekomen.
wat waren de eerste veranderingen die u merkte na steeds een CISSP?
de eerste verandering die mij opviel was de toename van het aantal recruiters die contact met mij opnamen voor mogelijke rollen. In dat stadium, realiseerde ik me dat de CISSP certificering en geloofwaardigheid van (ISC)2 was inderdaad goed erkend in de industrie.
Hoe denk je dat je persoonlijk hebben geprofiteerd van steeds een CISSP?
ik denk dat in het begin van je carrière, een CISSP is een belangrijke stap in het helpen u een breed begrip van cybersecurity. Op deze manier, kunt u dan dieper in andere gebieden van zeggen SDLC of applicatie-ontwikkeling, pen testen, compliance, enz. De CISSP wordt nog steeds beschouwd als de” gouden standaard “in informatiebeveiliging over de hele wereld, en het zal toestaan collega’ s en werknemers weten dat u de fundamentele kennis voor cybersecurity begrijpen. Ik profiteerde in het begin van mijn carrière door toegang te krijgen tot een sterk netwerk van professionals uit de industrie en door het bijwonen van industrieconferenties om meer te weten te komen over hoe peers omgaan met cybersecurity-uitdagingen. De (ISC) 2 community en lokale hoofdstukken hebben vaak boeiende presentaties en workshops waar je je vaardigheden kunt bijschaven en toegang kunt krijgen tot wereldwijde webinars en online trainingsmateriaal en-middelen.
welke stappen hebben u naar het werk gebracht dat u vandaag doet?Omdat ik al meer dan 20 jaar in een vroeg stadium betrokken ben bij cybersecurity, heb ik veel verschillende aspecten van cybersecurity gezien. Na het werken voor verschillende bedrijven en een management consulting voor vele jaren Fortune 200 bedrijven, Ik kreeg een interesse in de snel groeiende FinTech / Blockchain ruimte, en met het enorme aantal aanvallen op cryptogeld bedrijven, zag ik een kans om een team op te bouwen om te helpen Crypto.com. het is een uitdagende rit geweest, en het vereist voortdurende inzet en toewijding aan het veld.
op welke prestatie of bijdrage bent u het meest trots?
ik heb vele industrieprijzen gewonnen, maar het was een teamprestatie van het verkrijgen van een patent in de cryptogeld ruimte. Als de industrie snel evolueerde, de traditionele cloud providers waren niet in staat om de manieren waarop we nodig hadden om een aantal van onze belangrijkste processen uit te voeren op een dag-tot-dag basis op een veilige manier met de cryptogeld tokens die we gebruikten als Bitcoin, Ethereum en anderen te ondersteunen. Het team heeft op verschillende manieren bijgedragen, wat ons allemaal heeft geholpen om de patentregistratie te verkrijgen. Individueel, worden uitgenodigd voor de Forbes Technology Council voor mijn bijdragen en prestaties in cybersecurity is iets waar ik trots op ben geweest, ook.
Wat is de grootste uitdaging in uw carrière?
overmoed. Na het reizen over de hele wereld en consulting voor een aantal van de grootste bedrijven, de consistente kwestie is met hoe organisaties nog steeds vaak een overmoedige mentaliteit dat ze niet zijn gehackt en dus minder focus kan zetten in middelen in cybersecurity. Topmanagement en Raden van bestuur moeten begrijpen dat cybersecurity risico ’s bedrijfsrisico’ s zijn en een bedrijf op vele manieren kunnen beïnvloeden. Het zal altijd een uitdaging zijn om de mind-set van C-niveaus en het bestuur te veranderen, maar met de groeiende trend naar digitale transformatie moeten cybersecurity en dataprivacy kernpijlers zijn voor de bedrijfsstrategie van elke organisatie.
welke ambities heeft u voor uw carrière?
mijn ambitie is om een bijdrage te leveren aan het ecosysteem om meer cybersecurity en dataprivacybewustzijn te creëren voor grote en kleine bedrijven. Ik doe dit al mijn hele carrière, maar er kan meer worden gedaan, en de cybersecurity-uitdagingen blijven in de loop van de tijd veranderen. Security awareness training zal altijd iets zijn waar ik de rest van mijn carrière bij betrokken zal zijn.
hoe zorgt u ervoor dat uw vaardigheden blijven groeien?
eenvoudig. Blijf mensen inhuren (of mezelf omringen met mensen) die slimmer zijn dan ik. Cybersecurity is een unieke industrie in waar velen zijn gekomen uit volledig verschillende achtergronden en leidde interessante reizen naar waar ze nu zijn. Ik heb deze diversiteit omarmd in het team dat ik heb opgebouwd, dat bestaat uit mensen uit meer dan zeven landen. Ze hebben allemaal een CISSP en meer, maar hebben allemaal zeer verschillende manieren om te kijken naar hetzelfde probleem. Dit is niet alleen een geweldige manier voor mij om te blijven groeien, maar het stelt ook het team als geheel in staat om te groeien, en dit helpt om een sterke cultuur van het delen van kennis en ervaring te bevorderen.
Wat is volgens u de grootste uitdaging voor cybersecurity op dit moment?Er is zeker een wereldwijd tekort aan cybersecurity, en omdat de toepassing van technologie en digitale transformatie sneller versnellen dan de snelheid waarmee we professionals op het gebied van cybersecurity kunnen leveren, zullen organisaties vaak een inhaalslag spelen bij het invullen van rollen. Zoals hierboven vermeld, is het algemene vertrouwen in de industrie rond cybersecurity risico ‘ s een grote uitdaging die moet worden overwonnen. Tot slot, ik zou ook zeggen machine learning en AI zal evolueren in de komende jaren te leiden tot AI-aangedreven bedreigingen zoals malware. Deze trend zal inderdaad heel eng zijn.
welke oplossingen zouden dit volgens u kunnen aanpakken?
er is meer training voor gebruikersbewustzijn nodig om het menselijke aspect van cyberveiligheid aan te pakken. Een algemene cyberbeveiligingsstrategie moet meer omvatten dan alleen het kopen van tools. Meer C-niveau bewustzijn van cyberbeveiliging is nodig. Bedrijven moeten blijven investeren in talent en op de hoogte blijven van nieuwe technologieën die ook nieuwe bedrijfsrisico ‘ s kunnen introduceren. Specifiek voor de bovenstaande vraag over AI-aangedreven bedreigingen, bedrijven zullen moeten investeren en hun eigen AI cybersecurity strategie en tools, zoals User-Entity Bevavior Analytics (UEBA) om te helpen vroege detectie van anomalieën in de netwerkomgeving.
wie inspireert u in de wereld van cybersecurity?
mijn vader is altijd de meest inspirerende persoon voor mij geweest. Als de jongste van een gezin van vijf broers en zussen, groeide ik op en keek, leerde en volgde hem terwijl iedereen op school was. Voor mij, hij kon alles doen en had altijd een manier om “dingen te herstellen.”Papa was overal in geïnteresseerd. Techniek, traditionele geneeskunde, mechanica, hydrocultuur, elektronica, wiskunde, landbouw, koken en nog veel meer!
de les die ik hier heb geleerd was dat je je niet alleen op één veld moet concentreren. U kunt veel leren van verschillende gebieden, en je moet een groei mindset hebben, zodat u meerdere manieren kunt verkennen om een oplossing voor een probleem te vinden. Dit geldt nog steeds voor cybersecurity. Je moet vaak buiten de kaders denken en denken als een hacker om je organisatorische verdediging op te bouwen.
wat denk je dat mensen die een carrière in cybersecurity overwegen moeten weten?
u moet een groeimindset hebben. Een carrière in cybersecurity is extreem dynamisch. Net als de technologie in een snel tempo blijft veranderen, worden de bedrijfsrisico ‘ s breder en dieper en MOET u gelijke tred houden met de technologische veranderingen die om u heen plaatsvinden. Met COVID-19 zien we bijvoorbeeld dat traditionele sectoren zoals de gezondheidszorg zich snel hebben moeten ontwikkelen om rekening te houden met veranderingen van telegeneeskunde tot het op afstand benaderen en beheren van medische klinieken en ziekenhuisoperaties die zeer gevoelige persoonlijke identificeerbare informatie en beschermde gezondheidsinformatie bevatten. Als cybersecurity professionals, moet u rekening houden met de impact van deze, vanuit het bedrijfsperspectief helemaal tot aan de risico ‘ s met medewerkers werken vanuit huis. Het belangrijkste wat mensen moeten weten is dat een carrière in cybersecurity is zeer uitdagend, maar tegelijkertijd zeer de moeite waard als je aan de slag met vele interessante projecten en vaak met opkomende technologieën om organisaties te helpen hun systemen te beschermen.