certificarea Certified Information Systems Security Professional (CISSP) este considerată a fi standardul de aur în securitatea informațiilor. Acest lucru se datorează tuturor ușilor pe care certificarea le deschide unui profesionist CISSP. Aceste uși duc la multe tipuri diferite de poziții și oportunități, făcând astfel comunitatea de securitate a informațiilor dinamică și multifacetică.
în sprijinul acestei diversități, (ISC)2 a lansat o serie de interviuri pentru a explora unde certificarea CISSP a condus profesioniștii din domeniul securității. Ultima dată când am auzit de la Mari Aoba și experiențele ei cu CISSP. Această tranșă are Jason Lau, CISO pentru Crypto.com și un membru oficial și colaborator al Consiliului tehnologic Forbes. De asemenea, este profesor adjunct și membru al Consiliului Consultativ al industriei (cybersecurity and data privacy) la școala de afaceri HKBU.
ce treabă faci astăzi?
sunt în prezent Chief Information Security Officer (CISO) la Crypto.com, unde conduc strategia globală de securitate cibernetică și confidențialitate a datelor a companiei. Pe de altă parte, fac parte din diverse consilii consultative din industrie privind securitatea cibernetică, precum și servesc ca profesor adjunct la una dintre cele mai importante școli de afaceri din Asia. Sunt în industria educației de mulți ani și de multe ori dau înapoi comunității prin desfășurarea de cursuri de securitate cibernetică/confidențialitate pentru organizații atât mari, cât și mici. Fac acest lucru pentru a contribui la promovarea și îmbunătățirea ecosistemului atât la nivel local, cât și la nivel global.
ce probleme rezolvă compania dumneavoastră?
Crypto.com este o companie FinTech cu misiunea de a accelera adoptarea globală a criptocurrency. O modalitate prin care compania noastră ajută la rezolvarea acestei probleme este de a face criptocurrency ușor de accesat prin intermediul aplicației noastre ușor de utilizat. Problema pe care personal încerc să o rezolv este de a ajuta la construirea încrederii cu utilizatorul de criptocurrency de zi cu zi din industrie. Aceasta este încă o industrie în creștere, care continuă să evolueze în fiecare zi. Acest lucru este deosebit de dificil, deoarece există multe regiuni în care criptocurrency este încă nereglementat. Cu o lipsă de reglementare, vedem că multe companii uită nevoia sau lipsa de concentrare asupra securității cibernetice și a confidențialității datelor. Scopul meu este de a ajuta Crypto.com deveniți un lider al industriei în acest domeniu și conduceți calea. Un exemplu în acest sens este că am fost prima companie de criptomonede care a fost certificată ISO27001:2013, PCI:DSS 3.2.1 și, de asemenea, iso27701:2019, demonstrând angajamentul nostru de a îmbunătăți continuu procesele noastre generale.
de ce ați decis mai întâi să intrați în securitatea cibernetică?
nu existau cursuri în acel moment pentru a-mi promova interesul pentru securitatea cibernetică, așa că m-am alăturat unei companii care se concentrează pe managementul și monitorizarea sistemelor întreprinderii, ceea ce mi-a permis să călătoresc în întreaga lume și să lucrez îndeaproape ca consultant în management la mulți CTO pe securitatea infrastructurii critice. O mare parte din securitate a fost pentru sistemele de servere fizice și, în timp, a evoluat mai mult în securitatea digitală și securitatea cibernetică așa cum o știm astăzi.
cum era viața când ai început cariera în domeniul securității cibernetice?
în poziția pe care am menționat – o mai sus, am aflat curând și mi-am dat seama că ceea ce lucram era o componentă cheie a unei strategii globale de securitate cibernetică-care era răspunsul și detectarea incidentelor și monitorizarea activităților neobișnuite într-un mediu de rețea.
viața a fost interesantă așa cum a fost cu câteva zile înainte de cloud computing și când monitorizarea și alertarea proactivă au fost prima linie de apărare împotriva potențialelor probleme din rețeaua dvs., Probleme care ar fi putut rezulta din activități rău intenționate de la un atacator intern sau extern.
munca mea a acoperit aproape toate sectoarele pe care vi le puteți imagina pe cinci continente și mi-a permis oportunitatea de a vedea cum diferite industrii și culturi diferite abordează securitatea. Nu l-aș numi într-adevăr un ocol, ci mai degrabă o evoluție a interesului meu pentru IT și a trebuit să mă adaptez mediului în schimbare și abilității de a merge mai adânc în securitatea cibernetică.
care a fost prima ta slujbă de securitate cibernetică?
am avut prima mea experiență cu „hacking” ca parte a diplomei mele de inginerie electrică la universitate. A trebuit să experimentăm cu cipuri de circuite integrate și să le programăm pentru a face o varietate de lucruri diferite. La fel se întâmplă că a fost în acea perioadă când a fost lansată prima PlayStation vreodată. În timpul liber, am cercetat și am” piratat „secvența de pornire a mașinii cu un” ModChip ” pe care l-am programat și am putut juca jocuri din diferite regiuni din întreaga lume.
am fost unul dintre primii cu aceste ModChips la acel moment, iar prietenul meu și cu mine am început să-i ajutăm pe alții ca un loc de muncă independent. A fost destul de palpitant și interesant! Aceasta a fost prima mea experiență cu hacking-ul și ingineria inversă, pe care am descoperit-o mai târziu că era nevoie de o abordare similară în unele moduri în lumea securității cibernetice.
ce v-a atras mai întâi să luați în considerare obținerea unei calificări de securitate cibernetică?
la începutul carierei mele în domeniul securității cibernetice, am vrut să ies în evidență din mulțime și aceasta a fost cea mai tare certificare din acest spațiu.
de ce ați decis să întreprindeți CISSP?
CISSP este mai mult decât o certificare. Este o dovadă pentru colegi că aveți o pasiune de a fi în acest domeniu și de a obține o înțelegere mai largă a problemelor de securitate cibernetică.
ce te-a determinat să faci asta?
breșele de date au avut loc tot timpul (și încă mai sunt!), iar acest lucru m-a determinat să-mi dezvolt în continuare abilitățile în domeniu.
cât a durat realizarea CISSP?
aș spune că întregul proces mi-a luat în jur de 2-3 luni. Acesta variază pentru diferite persoane, deoarece depinde de experiența pe care o au. Practic, hands-on experiență ar ajuta cu siguranta cu înțelegerea conceptelor, mai degrabă decât doar pur citind cărți.
cum te-ai pregătit pentru examen?
cred că 2-3 ani de experiență practică este un moment bun pentru a începe să se gândească la a face un CISSP. Înapoi în a doua zi, au existat unele (ISC)2 seminarii pe care le-ar putea participa pentru a afla mai multe despre certificarea și corpul de bază de cunoștințe pe care le-ar fi evaluate pe.
ce resurse ați folosit?
am folosit textul oficial (ISC)2, precum și întrebările din interiorul cărții.
ce te-a surprins cel mai mult la CISSP?
am fost inițial surprins că a fost un examen de 6 ore. Acest lucru s-a schimbat acum într-un proces de evaluare adaptivă bazat pe computer, un format care a redus durata examenului. Dar în ziua în care am făcut-o, examenul de 6 ore a fost un proces istovitor atât mental, cât și fizic. Privind în urmă, cred că motivul pentru aceasta este că computerele și lumea digitală nu dorm la fel de bine și că problemele de securitate se pot întâmpla în orice moment. Ca rezultat, CISSP a fost un test de anduranță pentru a vă asigura că ați fost pregătiți pentru lumea reală, unde ați putea fi obosiți de la o zi întreagă de muncă până când sunteți brusc agitați într-o stare de alertă, astfel încât să puteți aborda problemele de securitate care tocmai au apărut.
care au fost primele schimbări pe care le-ați observat după ce ați devenit CISSP?
prima schimbare pe care am observat-o a fost creșterea numărului de recrutori care au ajuns la mine pentru roluri potențiale. În acea etapă, mi-am dat seama că certificarea CISSP și credibilitatea (ISC)2 a fost într-adevăr bine recunoscută în industrie.
cum credeți că ați beneficiat personal de a deveni un CISSP?
cred că la începutul carierei dvs., un CISSP este un pas important în a vă ajuta să înțelegeți mai bine securitatea cibernetică. În acest fel, puteți merge apoi mai adânc în alte domenii de exemplu SDLC sau dezvoltare de aplicații, testare stilou, conformitate, etc. CISSP este încă considerat „standardul de aur” în securitatea informațiilor din întreaga lume și va permite colegilor și angajaților să știe că înțelegeți cunoștințele fundamentale pentru securitatea cibernetică. Am beneficiat la începutul carierei mele, obținând acces la o rețea puternică de profesioniști din industrie, precum și participând la conferințe din industrie pentru a afla mai multe despre modul în care colegii se confruntă cu provocările de securitate cibernetică. Comunitatea (ISC)2 și capitolele locale au adesea prezentări și ateliere captivante, unde vă puteți perfecționa abilitățile și puteți avea acces la webinarii globale și materiale și resurse de instruire online.
ce pași v-au adus la slujba pe care o faceți astăzi?
fiind implicat timpuriu în securitatea cibernetică și în acest domeniu de peste 20 de ani, am avut avantajul de a vedea multe aspecte diferite ale securității cibernetice. După ce am lucrat pentru mai multe companii diferite și am fost consultant în management timp de mulți ani pentru companiile Fortune 200, am câștigat un interes pentru spațiul FinTech / Blockchain în creștere rapidă și, odată cu numărul masiv de atacuri asupra companiilor de criptomonede, am văzut o oportunitate de a construi o echipă care să ajute Crypto.com. a fost o călătorie provocatoare și necesită un angajament continuu și dăruire pentru domeniu.
de ce realizare sau contribuție ești cel mai mândru?
am câștigat numeroase premii din industrie, dar a fost o realizare a echipei de obținere a unui brevet în spațiul criptocurrency. Pe măsură ce industria evolua rapid, furnizorii tradiționali de cloud nu au putut să susțină modurile în care trebuia să efectuăm unele dintre procesele noastre cheie în fiecare zi într-un mod sigur cu jetoanele de criptocurrency pe care le folosim ca Bitcoin, Ethereum și altele. Echipa a contribuit în diferite moduri, toate acestea ne-au ajutat să obținem înregistrarea brevetului. Individual, a fi invitat la Consiliul tehnologic Forbes pentru contribuțiile și realizările mele în domeniul securității cibernetice a fost ceva de care am fost mândru, de asemenea.
care este cea mai mare provocare cu care te-ai confruntat în cariera ta?
încredere excesivă. După ce am călătorit în jurul lumii și am consultat pentru unele dintre cele mai mari companii, problema consecventă este cu modul în care organizațiile au încă adesea o mentalitate prea încrezătoare că nu au fost hackate și, prin urmare, pot pune mai puțin accent pe resursele din securitatea cibernetică. Conducerea și consiliile de administrație trebuie să înțeleagă că riscurile de securitate cibernetică sunt riscuri de afaceri și pot afecta o afacere în multe feluri. Va fi întotdeauna o provocare să schimbăm mentalitatea nivelurilor C și a Consiliului de administrație, dar odată cu tendința crescândă către transformarea digitală, securitatea cibernetică și confidențialitatea datelor trebuie să fie pilonii principali ai strategiei de afaceri a oricărei organizații.
ce ambiții ai pentru cariera ta înainte?
ambiția mea este de a contribui înapoi la ecosistem pentru a construi mai multă securitate cibernetică și conștientizare a confidențialității datelor pentru companiile mari și mici. Am făcut deja acest lucru de-a lungul carierei mele, dar se pot face mai multe, iar provocările de securitate cibernetică continuă să se schimbe în timp. Pregătirea pentru conștientizarea securității va fi întotdeauna ceva cu care voi fi implicat pentru tot restul carierei mele.
cum vă asigurați că abilitățile dvs. continuă să crească?
simplu. Continuați să angajați oameni (sau să mă înconjurați cu oameni) care sunt mai deștepți decât mine. Securitatea cibernetică este o industrie unică în care mulți provin din medii complet diferite și au condus călătorii interesante pentru a ajunge acolo unde sunt astăzi. Am îmbrățișat această diversitate în echipa pe care am construit-o, care este formată din oameni din mai mult de șapte țări. Toate acestea au un CISSP și mai mult, dar toate au moduri foarte diferite de a privi la aceeași problemă. Aceasta nu este doar o modalitate excelentă de a continua să cresc, dar permite, de asemenea, echipei în ansamblu să crească, iar acest lucru ajută la promovarea unei culturi puternice a schimbului de cunoștințe-experiență.
care credeți că este cea mai mare provocare pentru securitatea cibernetică în acest moment?
există cu siguranță un deficit global de securitate cibernetică și, deoarece adoptarea tehnologiei și transformarea digitală se accelerează mai repede decât rata cu care putem furniza profesioniști în domeniul securității cibernetice, organizațiile vor juca adesea un joc de recuperare în încercarea de a ocupa roluri. După cum sa menționat mai sus, încrederea generală în industrie în ceea ce privește riscurile de securitate cibernetică este o mare provocare care trebuie depășită. În cele din urmă, aș spune, de asemenea, că învățarea automată și AI vor evolua în următorii ani pentru a da naștere unor amenințări alimentate de AI, cum ar fi malware-ul. Această tendință va fi într-adevăr foarte înfricoșătoare.
ce soluții credeți că ar putea aborda acest lucru?
sunt necesare mai multe cursuri de conștientizare a utilizatorilor pentru a aborda elementul uman al securității cibernetice. O strategie globală de securitate cibernetică ar trebui să cuprindă mai mult decât achiziționarea de instrumente. Este necesară o mai mare conștientizare la nivel C a securității cibernetice. Companiile trebuie să continue să investească în talente și să fie la curent cu noile tehnologii care pot introduce, de asemenea, noi riscuri de afaceri. În mod specific la întrebarea de mai sus privind amenințările bazate pe AI, companiile vor trebui să investească și să adopte propria strategie de securitate cibernetică AI și instrumente precum analiza Bevavior (Ueba) a entității utilizator (user-Entity Bevavior Analytics) pentru a ajuta la detectarea timpurie a anomaliilor din mediul de rețea.
cine te inspiră în lumea securității cibernetice?
tatăl meu a fost întotdeauna cea mai inspirată persoană pentru mine. Fiind cel mai tânăr dintr-o familie de cinci frați, am crescut urmărindu-l, învățându-l și urmărindu-l în timp ce toți ceilalți erau la școală. Pentru mine, el ar putea face totul și a avut întotdeauna o modalitate de a „repara lucrurile.”Tata era în toate. Inginerie, medicină tradițională, mecanică, hidroponică, electronică, matematică, agricultură, gătit și multe altele!
lecția pentru mine aici a fost că nu ar trebui să vă concentrați doar pe un singur domeniu. Puteți învăța multe din diferite domenii și ar trebui să aveți o mentalitate de creștere, astfel încât să puteți explora mai multe modalități de a găsi o soluție la o problemă. Acest lucru este valabil și pentru securitatea cibernetică. De multe ori trebuie să gândiți în afara cutiei și să gândiți ca un hacker pentru a vă construi apărarea organizațională.
ce credeți că ar trebui să știe oamenii care iau în considerare o carieră în domeniul securității cibernetice?
trebuie să aveți o mentalitate de creștere. O carieră în domeniul securității cibernetice este extrem de dinamică. La fel cum tehnologia continuă să se schimbe într-un ritm rapid, riscurile de afaceri devin din ce în ce mai largi și mai profunde și va trebui să țineți pasul cu schimbările tehnologice care se întâmplă în jurul vostru. De exemplu, cu COVID-19 vedem că industriile tradiționale precum asistența medicală au trebuit să evolueze rapid pentru a răspunde schimbărilor de la telemedicină la accesarea și gestionarea de la distanță a clinicilor medicale și a operațiunilor spitalicești care conțin informații de identificare personală extrem de sensibile și informații de sănătate protejate. În calitate de profesioniști în domeniul securității cibernetice, va trebui să luați în considerare impactul acestui lucru, din perspectiva afacerii până la riscurile cu angajații care lucrează de acasă. Lucrul cheie pe care oamenii ar trebui să-l știe este că o carieră în domeniul securității cibernetice este extrem de provocatoare, dar în același timp foarte plină de satisfacții, pe măsură ce ajungi să lucrezi la multe proiecte interesante și adesea cu tehnologii emergente pentru a ajuta organizațiile să-și protejeze sistemele.