certyfikat Certified Information Systems Security Professional (CISSP) jest uważany za złoty standard w zakresie bezpieczeństwa informacji. Dzieje się tak ze względu na wszystkie drzwi, które certyfikat otwiera się do profesjonalnego CISSP. Drzwi te prowadzą do wielu różnych rodzajów stanowisk i możliwości, dzięki czemu społeczność bezpieczeństwa informacji jest dynamiczna i wielopłaszczyznowa.
w celu wsparcia tej różnorodności, (ISC) 2 rozpoczęła serię wywiadów, aby zbadać, gdzie certyfikacja CISSP doprowadziło specjalistów bezpieczeństwa. Ostatnio słyszeliśmy od Mari Aoby i jej doświadczeń z CISSP. W tej odsłonie znajduje się Jason Lau, CISO dla Crypto.com oraz oficjalnym członkiem i współpracownikiem Rady technologicznej Forbesa. Jest również adiunktem i członkiem branżowej rady doradczej (cyberbezpieczeństwo i prywatność danych) w Hkbu School of Business.
czym się dziś zajmujesz?
jestem obecnie dyrektorem ds. bezpieczeństwa informacji (CISO) w Crypto.com, gdzie kieruję globalną strategią firmy w zakresie cyberbezpieczeństwa i prywatności danych. Z boku zasiadam w różnych branżowych radach doradczych ds. cyberbezpieczeństwa, a także pracuję jako adiunkt w jednej z czołowych szkół biznesu w Azji. Działam w branży edukacyjnej od wielu lat i często zwracam się do społeczności, prowadząc szkolenia z cyberbezpieczeństwa / prywatności dla dużych i małych organizacji. Robię to, aby pomóc promować i ulepszać ekosystem zarówno lokalnie, jak i globalnie.
jakie problemy rozwiązuje Twoja firma?
Crypto.com jest firmą FinTech z misją przyspieszenia globalnego przyjęcia kryptowaluty. Jednym ze sposobów, w jaki nasza firma pomaga rozwiązać ten problem, jest ułatwienie dostępu do kryptowaluty za pośrednictwem naszej przyjaznej dla użytkownika aplikacji. Problem, który osobiście próbuję rozwiązać, to pomoc w budowaniu zaufania do codziennego użytkownika kryptowalut w branży. Jest to wciąż rozwijająca się branża, która wciąż ewoluuje każdego dnia. Jest to szczególnie trudne, ponieważ istnieje wiele regionów, w których kryptowaluta jest nadal nieuregulowana. W związku z brakiem regulacji wiele firm zapomina o potrzebie lub nie zwraca uwagi na bezpieczeństwo cybernetyczne i prywatność danych. Moim celem jest pomoc Crypto.com zostań liderem branży w tej dziedzinie i prowadź. Przykładem tego jest to, że byliśmy pierwszą firmą kryptowalutową, która uzyskała certyfikat ISO27001:2013, PCI:DSS 3.2.1, a także certyfikat ISO27701:2019, co pokazuje nasze zaangażowanie w ciągłe doskonalenie naszych ogólnych procesów.
dlaczego najpierw zdecydowałeś się na cyberbezpieczeństwo?
w tym czasie nie było kursów, które pogłębiłyby moje zainteresowanie cyberbezpieczeństwem, więc dołączyłem do firmy zajmującej się zarządzaniem i monitorowaniem systemów korporacyjnych, co pozwoliło mi podróżować po świecie i ściśle współpracować jako konsultant ds. zarządzania dla wielu CTO w zakresie bezpieczeństwa infrastruktury krytycznej. Wiele zabezpieczeń dotyczyło fizycznych systemów serwerowych, a z czasem ewoluowało bardziej w bezpieczeństwo cyfrowe i cyberbezpieczeństwo, jakie znamy dzisiaj.
jak wyglądało życie, gdy zaczynałeś karierę w cyberbezpieczeństwie?
na stanowisku, o którym wspomniałem, szybko nauczyłem się i zrozumiałem, że to, nad czym pracuję, jest kluczowym elementem ogólnej strategii cyberbezpieczeństwa – czyli reagowania na incydenty i wykrywania oraz monitorowania nietypowych działań w środowisku sieciowym.
życie było interesujące, ponieważ to były dni przed przetwarzaniem w chmurze i kiedy proaktywne monitorowanie i alerty były pierwszą linią obrony przed potencjalnymi problemami w sieci, problemami, które mogły wynikać ze złośliwych działań ze strony wewnętrznego lub zewnętrznego atakującego.
Moja praca obejmowała prawie wszystkie sektory, jakie można sobie wyobrazić na pięciu kontynentach i pozwoliła mi zobaczyć, jak różne branże i różne kultury podchodzą do bezpieczeństwa. Nie nazwałbym tego objazdem, ale raczej ewolucją mojego zainteresowania IT i musiałem dostosować się do zmieniającego się środowiska i umiejętności, aby zagłębić się w cyberbezpieczeństwo.
jaka była twoja pierwsza praca w cyberbezpieczeństwie?
pierwsze doświadczenie z „hakowaniem” miałem w ramach studiów na kierunku Elektrotechnika na Uniwersytecie. Musieliśmy poeksperymentować z układami scalonymi i zaprogramować je do robienia różnych rzeczy. Tak się składa, że mniej więcej w tym czasie wydano pierwszą konsolę PlayStation. W wolnym czasie zbadałem i” zhakowałem „sekwencję rozruchową maszyny za pomocą zaprogramowanego” Modchipa ” i mogłem grać w gry z różnych regionów świata.
byłem jednym z pierwszych z tymi Modchipami w tym czasie i mój przyjaciel i ja zaczęliśmy pomagać innym jako wolny strzelec. To było dość ekscytujące i ekscytujące! Było to moje pierwsze doświadczenie z hackingiem i inżynierią odwrotną, które później odkryłem, że podobne podejście było potrzebne w pewnym sensie w świecie cyberbezpieczeństwa.
co skłoniło cię do rozważenia uzyskania kwalifikacji cyberbezpieczeństwa?
na początku mojej kariery w dziedzinie cyberbezpieczeństwa chciałem wyróżnić się z tłumu i był to najgorętszy certyfikat w tej dziedzinie.
dlaczego zdecydowałeś się na CISSP?
CISSP to coś więcej niż tylko certyfikacja. Jest to dowód dla rówieśników, że masz pasję, aby być w tej dziedzinie i uzyskać szersze zrozumienie kwestii cyberbezpieczeństwa.
co cię do tego skłoniło?
naruszenia danych miały miejsce cały czas (i nadal są!), co skłoniło mnie do dalszego rozwijania swoich umiejętności w tej dziedzinie.
ile czasu zajęło osiągnięcie CISSP?
powiedziałbym, że cały proces zajął mi około 2-3 miesięcy. To zależy od różnych ludzi, ponieważ zależy to od doświadczenia, które mają. Praktyczne, praktyczne doświadczenie zdecydowanie pomogłoby w zrozumieniu pojęć, a nie tylko po prostu czytać książki.
jak się przygotowałeś do egzaminu?
myślę, że 2-3 lata praktycznego doświadczenia to dobry czas, aby zacząć myśleć o robieniu CISSP. W tamtych czasach było kilka seminariów (ISC)2, w których można było wziąć udział, aby dowiedzieć się więcej o certyfikacji i podstawowej wiedzy, na której będziesz oceniany.
z jakich zasobów korzystałeś?
użyłem oficjalnego (ISC)tekstu 2, a także pytań wewnątrz książki.
co cię najbardziej zaskoczyło w CISSP?
początkowo byłem zaskoczony, że był to 6-godzinny egzamin. Proces ten zmienił się teraz na komputerowy proces oceny adaptacyjnej, format, który skrócił czas trwania egzaminu. Ale w czasach, kiedy to robiłem, 6-godzinny egzamin był wyczerpującym procesem zarówno psychicznie, jak i fizycznie. Patrząc wstecz, uważam, że powodem tego jest to, że komputery i świat cyfrowy nie śpią tak dobrze, jak problemy z bezpieczeństwem mogą się zdarzyć w każdej chwili. W rezultacie, CISSP był test wytrzymałości, aby upewnić się, że były przygotowane do prawdziwego świata, w którym może być zmęczony od całego dnia pracy, aż nagle wstrząśnięty w stanie gotowości, dzięki czemu można rozwiązać problemy bezpieczeństwa, które właśnie pojawiły się.
jakie były pierwsze zmiany, które zauważyłeś po zostaniu CISSP?
pierwszą zmianą, którą zauważyłem, była zwiększona liczba rekruterów, którzy docierali do mnie po potencjalne role. Na tym etapie, zdałem sobie sprawę, że certyfikacja CISSP i wiarygodność (ISC)2 był rzeczywiście dobrze rozpoznawany w branży.
jak myślisz, że osobiście skorzystałeś z zostania CISSP?
myślę, że na początku kariery, CISSP jest ważnym krokiem w pomaganiu uzyskać szerokie zrozumienie cyberbezpieczeństwa. W ten sposób możesz zagłębić się w inne obszary powiedzmy SDLC lub tworzenia aplikacji, testowania pióra, zgodności itp. CISSP jest nadal uważany za „złoty standard” w zakresie bezpieczeństwa informacji na całym świecie, i pozwoli rówieśnikom i pracownikom wiedzieć, że rozumiesz podstawową wiedzę na temat cyberbezpieczeństwa. Na wczesnym etapie mojej kariery skorzystałem, uzyskując dostęp do silnej sieci specjalistów z branży, a także uczestnicząc w konferencjach branżowych, aby dowiedzieć się więcej o tym, jak rówieśnicy radzą sobie z wyzwaniami związanymi z cyberbezpieczeństwem. Społeczność (ISC)2 i lokalne oddziały często mają angażujące prezentacje i warsztaty, w których można doskonalić swoje umiejętności i uzyskać dostęp do globalnych seminariów internetowych oraz materiałów szkoleniowych online i zasobów.
jakie kroki doprowadziły cię do pracy, którą dziś wykonujesz?
będąc zaangażowanym na wczesnym etapie w cyberbezpieczeństwo iw tej dziedzinie od ponad 20 lat, miałem tę zaletę, że widziałem wiele różnych aspektów cyberbezpieczeństwa. Po pracy w kilku różnych firmach i wieloletnim doradztwie w zakresie zarządzania dla firm z listy Fortune 200, zainteresowałem się szybko rozwijającą się przestrzenią FinTech / Blockchain, a przy ogromnej liczbie ataków na firmy kryptowalutowe zobaczyłem okazję do zbudowania zespołu, który pomoże mi pomóc Crypto.com. to była trudna jazda i wymaga ciągłego zaangażowania i poświęcenia w terenie.
z jakiego osiągnięcia lub wkładu jesteś najbardziej dumny?
zdobyłem wiele nagród branżowych, ale było to zespołowe osiągnięcie uzyskania patentu w przestrzeni kryptowalut. Ponieważ branża szybko się rozwijała, tradycyjni dostawcy chmury nie byli w stanie obsługiwać sposobów, w jakie musieliśmy wykonywać niektóre z naszych kluczowych procesów na co dzień w bezpieczny sposób za pomocą tokenów kryptowalut, których używaliśmy, takich jak Bitcoin, Ethereum i inne. Zespół przyczynił się na różne sposoby, z których wszystkie pomogły nam uzyskać rejestrację patentową. Indywidualnie zaproszenie do Rady technologicznej Forbesa za mój wkład i osiągnięcia w cyberbezpieczeństwie było czymś, z czego również byłem dumny.
jakie jest twoje największe wyzwanie w karierze?
Po podróżach po świecie i konsultacjach dla największych firm, konsekwentnym problemem jest to, że organizacje nadal mają zbyt pewny siebie sposób myślenia, że nie zostały zhakowane, a tym samym mogą mniej skupiać się na zasobach w cyberbezpieczeństwo. Najwyższe kierownictwo i zarząd muszą zrozumieć, że zagrożenia związane z cyberbezpieczeństwem są ryzykiem biznesowym i mogą mieć wpływ na biznes na wiele sposobów. Zmiana nastawienia na poziomie C i zarządu zawsze będzie wyzwaniem, ale wraz z rosnącą tendencją do transformacji cyfrowej, cyberbezpieczeństwo i prywatność danych muszą być podstawowymi filarami strategii biznesowej każdej organizacji.
jakie masz ambicje na przyszłość?
moją ambicją jest powrót do ekosystemu, aby zwiększyć bezpieczeństwo cybernetyczne i świadomość prywatności danych dla dużych i małych firm. Robiłem to już na boku przez całą moją karierę, ale można zrobić więcej, a wyzwania związane z cyberbezpieczeństwem zmieniają się z czasem. Szkolenie w zakresie świadomości bezpieczeństwa zawsze będzie czymś, w czym będę zaangażowany do końca mojej kariery.
Jak zapewnić dalszy rozwój swoich umiejętności?
proste. Zatrudniaj ludzi (lub otaczaj się ludźmi), którzy są mądrzejsi ode mnie. Cyberbezpieczeństwo to wyjątkowa branża, w której wielu pochodzi z zupełnie różnych środowisk i prowadzi ciekawe podróże, aby dotrzeć tam, gdzie są dzisiaj. Tę różnorodność przyjąłem w zespole, który zbudowałem, składającym się z ludzi z ponad siedmiu krajów. Wszystkie z nich mają CISSP i więcej, ale wszystkie mają bardzo różne sposoby patrzenia na ten sam problem. Jest to dla mnie nie tylko świetny sposób na dalszy rozwój, ale także pozwala zespołowi jako całości się rozwijać, a to pomaga rozwijać silną kulturę dzielenia się wiedzą i doświadczeniami.
co Twoim zdaniem jest największym wyzwaniem dla cyberbezpieczeństwa?
zdecydowanie brakuje globalnego bezpieczeństwa cybernetycznego, a ponieważ wdrażanie technologii i transformacja cyfrowa przyspieszają szybciej niż tempo, w jakim możemy zapewnić specjalistów ds. bezpieczeństwa cybernetycznego, organizacje często będą nadrabiać zaległości, próbując wypełnić swoje role. Jak wspomniano powyżej, ogólna nadmierna pewność siebie w branży w zakresie zagrożeń związanych z bezpieczeństwem cybernetycznym jest dużym wyzwaniem, które należy przezwyciężyć. Na koniec chciałbym również powiedzieć, że uczenie maszynowe i sztuczna inteligencja będą ewoluować w ciągu najbliższych lat, aby stworzyć zagrożenia oparte na sztucznej inteligencji, takie jak złośliwe oprogramowanie. Ten trend będzie rzeczywiście bardzo przerażający.
jak myślisz, jakie rozwiązania mogą temu zaradzić?
w celu zajęcia się ludzkim elementem cyberbezpieczeństwa konieczne jest dalsze szkolenie w zakresie świadomości użytkowników. Ogólna strategia bezpieczeństwa cybernetycznego powinna obejmować więcej niż tylko zakup narzędzi. Potrzebna jest większa świadomość cyberbezpieczeństwa na poziomie C. Przedsiębiorstwa muszą nadal inwestować w talenty i być na bieżąco z nowymi technologiami, które mogą również wprowadzać nowe zagrożenia biznesowe. W związku z powyższym pytaniem dotyczącym zagrożeń opartych na sztucznej inteligencji firmy będą musiały zainwestować i wdrożyć własną strategię cyberbezpieczeństwa sztucznej inteligencji oraz narzędzia, takie jak User-Entity Bevavior Analytics (UEBA), aby pomóc we wczesnym wykrywaniu anomalii w środowisku sieciowym.
kto inspiruje cię w świecie cyberbezpieczeństwa?
mój ojciec zawsze był dla mnie najbardziej inspirującą osobą. Jako najmłodsza z pięciorga rodzeństwa dorastałam, obserwując, ucząc się i śledząc go, gdy wszyscy inni byli w szkole. Dla mnie mógł zrobić wszystko i zawsze miał jakiś sposób, aby ” naprawić rzeczy.”Tata interesował się wszystkim. Inżynieria, tradycyjna medycyna, mechanika, hydroponika, Elektronika, matematyka, Rolnictwo, gotowanie i wiele innych!
lekcja dla mnie była taka, że nie powinieneś skupiać się tylko na jednym polu. Możesz się wiele nauczyć z różnych dziedzin i powinieneś mieć nastawienie na rozwój, aby móc odkrywać wiele sposobów znalezienia rozwiązania problemu. Nadal dotyczy to cyberbezpieczeństwa. Często musisz myśleć nieszablonowo i myśleć jak haker, aby zbudować swoją obronę organizacyjną.
co według Ciebie powinni wiedzieć ludzie rozważający karierę w cyberbezpieczeństwie?
musisz mieć nastawienie na wzrost. Kariera w cyberbezpieczeństwie jest niezwykle dynamiczna. Podobnie jak technologia zmienia się w szybkim tempie, ryzyko biznesowe staje się coraz szersze i głębsze, a Ty będziesz musiał nadążać za zmianami technologicznymi, które zachodzą wokół ciebie. Na przykład, dzięki COVID – 19 widzimy, że tradycyjne branże, takie jak Opieka zdrowotna, musiały szybko ewoluować, aby zaspokoić zmiany z telemedycyny na zdalny dostęp do klinik medycznych i operacji szpitalnych i zarządzanie nimi, które zawierają bardzo wrażliwe dane osobowe i chronione informacje zdrowotne. Jako specjaliści ds. cyberbezpieczeństwa będziesz musiał wziąć pod uwagę wpływ tego zjawiska, od perspektywy biznesowej aż po ryzyko związane z pracownikami pracującymi w domu. Kluczową rzeczą, którą ludzie powinni wiedzieć, jest to, że kariera w cyberbezpieczeństwie jest niezwykle trudna, ale jednocześnie bardzo satysfakcjonująca, ponieważ można pracować nad wieloma interesującymi projektami i często z nowymi technologiami, które pomagają organizacjom chronić swoje systemy.