O Certified Information Systems Security Professional (CISSP), a certificação é considerada o padrão ouro na segurança das informações. Isso ocorre por causa de todas as portas que a certificação abre para um profissional CISSP. Essas portas levam a muitos tipos diferentes de posições e oportunidades, tornando a comunidade de segurança da informação dinâmica e multifacetada.
em apoio a essa diversidade, (ISC)2 lançou uma série de entrevistas para explorar onde a certificação CISSP liderou profissionais de segurança. A última vez que ouvimos de Mari Aoba e suas experiências com CISSP. Esta parcela apresenta Jason Lau, CISO para Crypto.com e um membro oficial e colaborador do Forbes Technology Council. Ele também é professor adjunto e membro do Conselho Consultivo do setor (segurança cibernética e privacidade de dados) na HKBU School of Business.
que trabalho você faz hoje?
atualmente sou o diretor de segurança da Informação (CISO) em Crypto.com, onde conduzo a estratégia global de segurança cibernética e privacidade de dados da empresa. Por outro lado, sento-me em vários conselhos consultivos da indústria sobre segurança cibernética, além de servir como professor adjunto em uma das principais escolas de negócios da Ásia. Estou no setor de educação há muitos anos e muitas vezes retribuo à comunidade realizando treinamento em segurança cibernética/privacidade para organizações grandes e pequenas. Faço isso para ajudar a promover e melhorar o ecossistema local e globalmente.
que Problemas sua empresa resolve?
Crypto.com é uma empresa FinTech com a missão de acelerar a adoção global da criptomoeda. Uma maneira de nossa empresa ajudar a resolver esse problema é tornando a criptomoeda fácil de Acessar por meio de nosso aplicativo amigável. O problema que eu pessoalmente estou tentando resolver é ajudar a construir confiança com o usuário de criptomoeda todos os dias na indústria. Esta ainda é uma indústria em crescimento que ainda está evoluindo a cada dia. Isso é especialmente desafiador porque existem muitas regiões onde a criptomoeda ainda não está regulamentada. Com a falta de regulamentação, estamos vendo muitas empresas esquecendo a necessidade ou falta de foco em segurança cibernética e privacidade de dados. Meu objetivo é ajudar Crypto.com torne-se um líder do setor neste campo e lidere o caminho. Um exemplo disso é que fomos a primeira empresa de Criptomoedas a ser certificada ISO27001:2013, PCI:DSS 3.2.1 e também iso27701:2019, mostrando nosso compromisso de melhorar continuamente nossos processos gerais.
por que você primeiro decidiu entrar em segurança cibernética?
não havia cursos na época para promover meu interesse em segurança cibernética, então entrei para uma empresa com foco em gerenciamento e monitoramento de sistemas corporativos, o que me permitiu viajar pelo mundo e trabalhar de perto como consultor de gerenciamento de muitos CTO em segurança de infraestrutura crítica. Grande parte da segurança era para sistemas de Servidores físicos e, com o tempo, evoluiu mais para segurança digital e segurança cibernética como a conhecemos hoje.
como era a vida quando você começou sua carreira em segurança cibernética?
na posição que mencionei acima, logo aprendi e percebi que o que estava trabalhando era um componente – chave de uma estratégia geral de segurança cibernética-que era a resposta e detecção de incidentes e o monitoramento de atividades incomuns em um ambiente de rede.
a vida era interessante, pois era nos dias anteriores à computação em nuvem e quando o monitoramento e o alerta proativos eram a primeira linha de defesa contra possíveis problemas em sua rede, problemas que poderiam ter resultado de atividades maliciosas de um invasor interno ou externo.Meu trabalho abrangeu quase todos os setores que você pode imaginar nos cinco continentes, e me permitiu a oportunidade de ver como diferentes indústrias e diferentes culturas abordam a segurança. Eu realmente não chamaria isso de desvio, mas de uma evolução do meu interesse por isso, e tive que me adaptar ao ambiente em mudança e à habilidade para me aprofundar na segurança cibernética.
qual foi o seu primeiro trabalho de cibersegurança?
tive minha primeira experiência com “hacking” como parte do meu diploma de engenharia elétrica na Universidade. Tivemos que experimentar com chips de circuito integrado e programá-los para fazer uma variedade de coisas diferentes. Acontece que foi nessa época que o primeiro PlayStation foi lançado. No meu tempo livre, pesquisei e” hackeei “a sequência de inicialização da máquina com um” ModChip ” que programei e consegui jogar em diferentes regiões do mundo.
eu era um dos primeiros com esses ModChips na época, e meu amigo e eu começamos a ajudar os outros como um trabalho freelance. Foi muito emocionante e emocionante! Esta foi a minha primeira experiência com hacking e engenharia reversa, que eu descobriria mais tarde que uma abordagem semelhante era necessária de algumas maneiras no mundo da segurança cibernética.
o que primeiro atraiu você a considerar a obtenção de uma qualificação de segurança cibernética?No início da minha carreira de cibersegurança, eu queria me destacar da multidão, e esta foi a certificação mais quente neste espaço.
por que você decidiu realizar o CISSP?
CISSP é mais do que apenas uma certificação. É prova para os colegas que você tem paixão por estar neste campo e obter uma compreensão mais ampla dos problemas de segurança cibernética.
o que o levou a fazer isso?
violações de dados estavam acontecendo o tempo todo(e ainda são!), e isso me levou a desenvolver ainda mais minhas habilidades no campo.
quanto tempo levou para alcançar o CISSP?
eu diria que todo o processo me levou cerca de 2-3 meses. Varia para pessoas diferentes, pois depende da experiência que elas têm. A experiência prática e prática definitivamente ajudaria a entender os conceitos, em vez de apenas ler livros.
como você se preparou para o exame?
eu acho que 2-3 anos de experiência prática é um bom momento para começar a pensar em fazer um CISSP. Naquela época, havia alguns (ISC)2 seminários que você poderia participar para aprender mais sobre a certificação e o corpo central de conhecimento em que você seria avaliado.
quais recursos você usou?
usei o texto oficial ² ISC) 2, bem como as perguntas dentro do livro.
o que mais te surpreendeu sobre o CISSP?
fiquei inicialmente surpreso que fosse um exame de 6 horas. Isso mudou agora para um processo de avaliação adaptativa baseado em computador, um formato que reduziu a duração do exame. Mas naquela época em que fiz isso, o exame de 6 horas era um processo cansativo tanto mental quanto fisicamente. Olhando para trás, acredito que a razão para isso é que os computadores e o mundo digital não dormem tão bem quanto os problemas de segurança podem acontecer a qualquer momento. Como resultado, a CISSP foi um teste de resistência para se certificar de que estavam preparados para o mundo real, onde você pode estar cansado de um dia inteiro de trabalho até que você esteja de repente, sacudida em um estado de alerta para que você possa solucionar problemas de segurança que tenham acabado de chegar.
quais foram as primeiras mudanças que você notou depois de se tornar um CISSP?
a primeira mudança que notei foi o aumento do número de recrutadores que estavam me procurando por papéis em potencial. Nessa fase, percebi que a certificação CISSP e a credibilidade do (ISC)2 eram de fato bem reconhecidas no setor.
como você acha que se beneficiou pessoalmente de se tornar um CISSP?
eu acho que no início de sua carreira, um CISSP é um passo importante para ajudá-lo a obter uma ampla compreensão da segurança cibernética. Dessa forma, você pode se aprofundar em outras áreas, como SDLC ou desenvolvimento de aplicativos, teste de Caneta, conformidade, etc. O CISSP ainda é considerado o “padrão ouro” na segurança da informação em todo o mundo, e permitirá que colegas e funcionários saibam que você entende o conhecimento fundamental para a segurança cibernética. Eu me beneficiei no início da minha carreira, obtendo acesso a uma forte rede de profissionais do setor, bem como participando de conferências do setor para saber mais sobre como os colegas estão lidando com os desafios de segurança cibernética. A comunidade (ISC)2 e os capítulos locais geralmente têm apresentações e workshops envolventes, onde você pode aprimorar suas habilidades e obter acesso a webinars globais e material e recursos de treinamento on-line.
quais etapas o levaram ao trabalho que você faz hoje?Estar envolvido no início da cibersegurança e neste campo há mais de 20 anos, tive o benefício de ver muitos aspectos diferentes da cibersegurança. Depois de trabalhar para várias empresas diferentes e por ser uma consultoria de gestão por muitos anos a Fortuna de 200 empresas, ganhei um interesse crescente FinTech / Blockchain espaço, e com o enorme número de ataques a cryptocurrency empresas, eu vi uma oportunidade para construir uma equipe para ajudar a Crypto.com. Ele tem sido um desafio passeio, e requer o contínuo empenho e dedicação para o campo.
de que Realização ou contribuição você mais se orgulha?
eu ganhei inúmeros prêmios da indústria, mas foi uma conquista da equipe de obtenção de uma patente no espaço criptomoeda. Como a indústria era de rápida evolução, os tradicionais provedores de nuvem não foram capazes de apoiar as maneiras em que precisávamos para realizar alguns de nossos principais processos no dia-a-dia de uma forma segura com o cryptocurrency tokens estávamos usando como Bitcoin, Ethereum e outros. A equipe contribuiu de diferentes maneiras, o que nos ajudou a obter o registro de patentes. Individualmente, ser convidado para o Forbes Technology Council por minhas contribuições e conquistas em segurança cibernética também tem sido algo de que me orgulho.Qual é o maior desafio que você enfrentou em sua carreira?
excesso de confiança. Depois de viajar pelo mundo e consultar algumas das maiores empresas, a questão consistente é como as organizações ainda têm uma mentalidade confiante de que não foram hackeadas e, portanto, podem colocar menos foco em recursos em segurança cibernética. A alta administração e os conselhos precisam entender que os riscos de segurança cibernética são riscos de negócios e podem impactar um negócio de várias maneiras. Sempre será um desafio mudar a mentalidade dos níveis C e do conselho, mas com a tendência crescente de transformação digital, a segurança cibernética e a privacidade de dados precisam ser pilares fundamentais para a estratégia de negócios de qualquer organização.
que ambições você tem para sua carreira pela frente?
minha ambição é contribuir de volta para o ecossistema para construir mais conscientização sobre segurança cibernética e privacidade de dados para empresas grandes e pequenas. Eu já tenho feito isso ao longo da minha carreira, mas mais pode ser feito, e os desafios de segurança cibernética continuam a mudar ao longo do tempo. O treinamento de conscientização sobre segurança sempre será algo com o qual estarei envolvido pelo resto da minha carreira.
como você garante que suas habilidades continuem a crescer?
simples. Continue contratando pessoas (ou me cercando de pessoas) que são mais espertas do que eu. A segurança cibernética é uma indústria única em que muitos vieram de origens completamente diferentes e levaram jornadas interessantes para chegar onde estão hoje. Eu abracei essa diversidade na equipe que construí, que consiste em pessoas de mais de sete países. Todos eles têm um CISSP e muito mais, mas todos têm maneiras muito diferentes de olhar para o mesmo problema. Esta não é apenas uma ótima maneira de continuar a crescer, mas também permite que a equipe como um todo cresça, e isso ajuda a promover uma forte cultura de compartilhamento de conhecimento e experiência.
qual você acha que o maior desafio é para a segurança cibernética agora?Há definitivamente uma escassez global de cibersegurança e, como a adoção de tecnologia e a transformação digital estão acelerando mais rapidamente do que a taxa na qual podemos fornecer profissionais de cibersegurança, as organizações muitas vezes estarão jogando um jogo de recuperação na tentativa de preencher papéis. Como mencionado acima, o excesso de confiança geral no setor em torno dos riscos de segurança cibernética é um grande desafio que precisa ser superado. Finalmente, eu também diria que o aprendizado de máquina e a IA evoluirão nos próximos anos para dar origem a ameaças alimentadas por IA, como malware. Essa tendência será realmente muito assustadora.
quais soluções você acha que poderiam resolver isso?
mais treinamento de conscientização do Usuário é necessário para abordar o elemento humano da segurança cibernética. Uma estratégia geral de segurança cibernética deve abranger mais do que apenas comprar ferramentas. É necessária uma maior conscientização do nível C sobre a segurança cibernética. As empresas precisam continuar a investir em talentos e manter-se a par das novas tecnologias que também podem introduzir novos riscos de negócios. Especificamente para a questão acima sobre ameaças alimentadas por IA, as empresas precisarão investir e adotar sua própria estratégia e ferramentas de segurança cibernética de IA, como o Bevavior Analytics (UEBA), para ajudar na detecção precoce de anomalias no ambiente de rede.
Quem te inspira no mundo da cibersegurança?Meu pai sempre foi a pessoa mais inspiradora para mim. Como o mais novo de uma família de cinco irmãos, eu cresci assistindo, aprendendo e seguindo-o enquanto todos os outros estavam na escola. Para mim, ele podia fazer tudo e sempre tinha alguma maneira de ” consertar as coisas.”Papai estava em tudo. Engenharia, medicina tradicional, mecânica, hidroponia, eletrônica, matemática, agricultura, culinária e muito mais!
a lição para mim aqui foi que você não deve se concentrar apenas em um campo. Você pode aprender muito com diferentes campos, e você deve ter uma mentalidade de crescimento para que você possa explorar várias maneiras de encontrar uma solução para um problema. Isso ainda é verdade para a segurança cibernética. Muitas vezes você precisa pensar fora da caixa e pensar como um hacker para construir sua defesa organizacional.
o que você acha que as pessoas que consideram uma carreira em segurança cibernética devem saber?
você precisa ter uma mentalidade de crescimento. Uma carreira em cibersegurança é extremamente dinâmica. Assim como a tecnologia continua a mudar em um ritmo acelerado, os riscos de negócios estão ficando cada vez mais amplos e profundos, e você precisará acompanhar as mudanças tecnológicas que estão acontecendo ao seu redor. Por exemplo, com o COVID-19, estamos vendo que indústrias tradicionais como a saúde tiveram que evoluir rapidamente para atender a mudanças de telemedicina para acessar e gerenciar remotamente clínicas médicas e operações hospitalares que contêm informações pessoais identificáveis altamente sensíveis e informações de saúde protegidas. Como profissionais de segurança cibernética, você precisará considerar o impacto disso, desde a perspectiva de negócios até os riscos com os funcionários que trabalham em casa. A principal coisa que as pessoas devem saber é que uma carreira em segurança cibernética é extremamente desafiador, mas ao mesmo tempo muito gratificante, como você começa a trabalhar em muitos projectos interessantes e, muitas vezes, com tecnologias emergentes para ajudar as organizações a proteger os seus sistemas.