Certified Information Systems Security Professional (CISSP) certifiering anses vara guldstandarden inom informationssäkerhet. Detta beror på alla dörrar som certifieringen öppnar för en CISSP-professionell. Dessa dörrar leder till många olika typer av positioner och möjligheter, vilket gör informationssäkerhetsgemenskapen dynamisk och mångfacetterad.
till stöd för denna mångfald har (ISC)2 lanserat en serie intervjuer för att utforska var CISSP-certifiering har lett säkerhetspersonal. Förra gången vi hörde från Mari Aoba och hennes erfarenheter med CISSP. Denna avbetalning har Jason Lau, CISO för Crypto.com och en officiell medlem och bidragsgivare på Forbes Technology Council. Han är också adjungerad professor och Industry advisory board member (cybersecurity and data privacy) vid Hkbu School of Business.
vilket jobb gör du idag?
jag är för närvarande Chief Information Security Officer (CISO) på Crypto.com, där jag driver företagets globala strategi för cybersäkerhet och datasekretess. På sidan sitter jag i olika branschrådgivande styrelser för cybersäkerhet samt tjänar som adjungerad professor vid en av de främsta handelshögskolorna i Asien. Jag har varit i utbildningsbranschen i många år nu, och jag ger ofta tillbaka till samhället genom att genomföra cybersäkerhet/integritetsutbildning för organisationer både stora och små. Jag gör detta för att främja och förbättra ekosystemet både lokalt och globalt.
vilka problem löser ditt företag?
Crypto.com är ett FinTech-företag med ett uppdrag att påskynda det globala antagandet av cryptocurrency. Ett sätt som vårt företag hjälper till att lösa detta problem är att göra cryptocurrency lätt att komma åt via vår användarvänliga applikation. Problemet jag personligen försöker lösa är att hjälpa till att bygga förtroende med den dagliga cryptocurrency-användaren i branschen. Detta är fortfarande en växande bransch som fortfarande utvecklas varje dag. Detta är särskilt utmanande eftersom det finns många regioner där cryptocurrency fortfarande är oreglerad. Med brist på reglering ser vi att många företag glömmer behovet av, eller saknar fokus på, cybersäkerhet och datasekretess. Mitt mål är att hjälpa Crypto.com bli branschledande inom detta område och visa vägen. Ett exempel på detta är att vi var det första cryptocurrency-företaget som var ISO27001:2013, PCI:DSS 3.2.1 och även ISO27701:2019 certifierade, vilket visar vårt engagemang för att kontinuerligt förbättra våra övergripande processer.
Varför bestämde du dig först för att komma in i cybersäkerhet?
det fanns inga kurser vid den tiden för att främja mitt intresse för cybersäkerhet, så jag gick med i ett företag med fokus på enterprise systems management och övervakning, vilket gjorde att jag kunde resa runt i världen och arbeta nära som managementkonsult till många CTO: er om kritisk infrastruktursäkerhet. Mycket av säkerheten var för fysiska serversystem, och med tiden utvecklades den mer till digital säkerhet och cybersäkerhet som vi känner till idag.
hur var livet när du började i din karriär inom cybersäkerhet?
i den position jag nämnde ovan lärde jag mig snart och insåg att det jag arbetade med var en nyckelkomponent i en övergripande cybersäkerhetsstrategi – som var incidentrespons och upptäckt och övervakning av ovanliga aktiviteter i en nätverksmiljö.
livet var intressant eftersom det var dagarna före cloud computing och när proaktiv övervakning och varning var den första försvarslinjen mot potentiella problem i ditt nätverk, problem som kunde ha resulterat från skadliga aktiviteter från en intern eller extern angripare.
mitt arbete omfattade nästan alla sektorer du kan tänka dig över fem kontinenter, och det gav mig möjlighet att se hur olika branscher och olika kulturer närmar sig säkerhet. Jag skulle inte riktigt kalla det en omväg men mer av en utveckling av mitt intresse för det, och jag var tvungen att anpassa mig till den förändrade miljön och skickligheten för att gå djupare in i cybersäkerhet.
vad var ditt första cybersäkerhetsjobb?
jag hade min första erfarenhet av ”hacking” som en del av min elektroteknik examen vid universitetet. Vi var tvungna att experimentera med integrerade kretschips och programmera dem för att göra en mängd olika saker. Det händer bara att det var runt den tiden då den första PlayStation någonsin släpptes. På min fritid undersökte jag och” hackade ”maskinens startsekvens med en” ModChip ” som jag programmerade, och jag kunde spela spel från olika regioner runt om i världen.
jag var en av de första med dessa ModChips vid den tiden, och min vän och jag började hjälpa andra som Frilansjobb. Det var ganska spännande och spännande! Detta var min första erfarenhet av hacking och reverse engineering, som jag senare skulle finna att ett liknande tillvägagångssätt behövdes på vissa sätt i cybersäkerhetsvärlden.
vad lockade dig först att överväga att få en cybersäkerhetskvalifikation?
tidigt i min karriär inom cybersäkerhet ville jag sticka ut från mängden, och detta var den hetaste certifieringen i detta utrymme.
Varför bestämde du dig för att genomföra CISSP?
CISSP är mer än bara en certifiering. Det är ett bevis för kamrater att du har en passion för att vara inom detta område och att få en bredare förståelse för cybersäkerhetsproblemen.
Vad fick dig att göra det?
dataöverträdelser hände hela tiden (och är fortfarande!), och detta fick mig att vidareutveckla mina färdigheter inom området.
hur lång tid tog det att uppnå CISSP?
jag skulle säga att hela processen tog mig runt 2-3 månader. Det varierar för olika människor, eftersom det beror på den erfarenhet de har. Praktisk, praktisk erfarenhet skulle definitivt hjälpa till med att förstå begreppen snarare än att bara läsa böcker.
hur förberedde du dig för provet?
jag tycker att 2-3 års praktisk erfarenhet är en bra tid att börja tänka på att göra en CISSP. Tillbaka på dagen fanns det några (ISC)2 seminarier som du kunde delta för att lära dig mer om certifieringen och kärnkroppen av kunskap som du skulle bedömas på.
vilka resurser använde du?
jag använde den officiella (ISC)2-texten samt frågorna i boken.
vad förvånade dig mest om CISSP?
jag blev ursprungligen förvånad över att det var en 6-timmars tentamen. Detta har nu ändrats till en datorbaserad adaptiv bedömningsprocess, ett format som har minskat tentamen. Men tillbaka i dag när jag gjorde det, 6-timmars examen var en ansträngande process både mentalt och fysiskt. När jag ser tillbaka tror jag att anledningen till detta är att datorer och den digitala världen inte sover lika bra som att säkerhetsproblem kan hända när som helst. Som ett resultat var CISSP ett uthållighetstest för att se till att du var beredd på den verkliga världen där du kan vara trött från en hel arbetsdag tills du plötsligt ryckte in i ett varningstillstånd så att du kan ta itu med säkerhetsproblem som just har kommit upp.
vilka var de första förändringarna du märkte efter att ha blivit en CISSP?
den första förändringen jag märkte var det ökade antalet rekryterare som räckte ut till mig för potentiella Roller. I det skedet insåg jag att CISSP-certifieringen och trovärdigheten för (ISC)2 verkligen var välkänd i branschen.
hur tror du att du personligen har gynnats av att bli en CISSP?
jag tror tidigt i din karriär, en CISSP är ett viktigt steg för att hjälpa dig att få en bred förståelse för cybersäkerhet. På så sätt kan du sedan gå djupare in i andra områden av SDLC eller applikationsutveckling, penntestning, efterlevnad etc. CISSP anses fortfarande vara ”guldstandarden” inom informationssäkerhet runt om i världen, och det kommer att göra det möjligt för kamrater och anställda att veta att du förstår den grundläggande kunskapen för cybersäkerhet. Jag gynnades tidigt i min karriär genom att få tillgång till ett starkt nätverk av branschfolk samt genom att delta i branschkonferenser för att lära sig mer om hur kamrater hanterar cybersäkerhetsutmaningar. De (ISC)2 gemenskap och lokala kapitel har ofta engagerande presentationer och workshops där du kan finslipa på dina kunskaper och få tillgång till globala webbseminarier och online utbildningsmaterial och resurser.
vilka steg tog dig till jobbet du gör idag?
att vara involverad tidigt i cybersäkerhet och på detta område i över 20 år har jag haft fördelen av att se många olika aspekter av cybersäkerhet. Efter att ha arbetat för flera olika företag och varit en managementkonsult i många år till Fortune 200-företag, fick jag intresse för det snabbt växande FinTech / Blockchain-utrymmet och med det enorma antalet attacker på cryptocurrency-företag såg jag en möjlighet att bygga ett team för att hjälpa Crypto.com. det har varit en utmanande åktur, och det kräver kontinuerligt engagemang och engagemang för fältet.
vilken prestation eller bidrag är du mest stolt över?
jag har vunnit många branschpriser, men det var en lagprestation för att få ett patent i cryptocurrency-utrymmet. Eftersom branschen utvecklades snabbt kunde de traditionella molnleverantörerna inte stödja de sätt på vilka vi behövde utföra några av våra nyckelprocesser dagligen på ett säkert sätt med cryptocurrency-tokens som vi använde som Bitcoin, Ethereum och andra. Teamet bidrog på olika sätt, som alla hjälpte oss att få patentregistreringen. Individuellt, att bli inbjuden till Forbes Technology Council för mina bidrag och prestationer inom cybersäkerhet har också varit något jag har varit stolt över.
Vad är den största utmaningen du har mött i din karriär?
övertro. Efter att ha rest runt i världen och konsulterat för några av de största företagen är det konsekventa problemet med hur organisationer fortfarande ofta har en övermodig inställning att de inte har hackats och därmed kan lägga mindre fokus på resurser inom cybersäkerhet. Högsta ledning och styrelser måste förstå att cybersäkerhetsrisker är affärsrisker och kan påverka ett företag på många sätt. Det kommer alltid att vara en utmaning att ändra tankesätt på C-nivåer och styrelsen, men med den växande trenden mot digital transformation måste cybersäkerhet och datasekretess vara kärnpelare för alla organisationers affärsstrategi.
vilka ambitioner har du för din karriär framåt?
min ambition är att bidra tillbaka till ekosystemet för att bygga mer cybersäkerhet och dataskyddsmedvetenhet för stora och små företag. Jag har redan gjort detta på sidan under hela min karriär, men mer kan göras, och cybersäkerhetsutmaningarna fortsätter att förändras över tiden. Säkerhetsmedvetenhetsträning kommer alltid att vara något som jag kommer att vara involverad i resten av min karriär.
Hur ser du till att dina färdigheter fortsätter att växa?
enkel. Fortsätt anställa människor (eller omge mig med människor) som är smartare än mig. Cybersäkerhet är en unik bransch där många har kommit från helt olika bakgrunder och lett intressanta resor för att komma dit de är idag. Jag har anammat denna mångfald i teamet jag har byggt, som består av människor från mer än sju länder. Alla har en CISSP och mer, men alla har mycket olika sätt att se på samma problem. Detta är inte bara ett bra sätt för mig att fortsätta växa, men det gör det också möjligt för laget som helhet att växa, och detta bidrar till att främja en stark kultur av kunskapsutbyte.
Vad tror du att den största utmaningen är för cybersäkerhet just nu?
det finns definitivt en global brist på cybersäkerhet, och eftersom teknikanvändning och digital transformation accelererar snabbare än den takt som vi kan leverera cybersäkerhetspersonal, kommer organisationer ofta att spela ett catch-up-spel för att försöka fylla Roller. Som nämnts ovan är allmän överförtroende i branschen kring cybersäkerhetsrisker en stor utmaning som måste övervinnas. Slutligen skulle jag också säga att maskininlärning och AI kommer att utvecklas under de kommande åren för att ge upphov till AI-drivna hot som skadlig kod. Denna trend kommer verkligen att vara väldigt skrämmande.
vilka lösningar tror du kan ta itu med detta?
mer utbildning behövs för att hantera den mänskliga delen av cybersäkerhet. En övergripande strategi för cybersäkerhet bör omfatta mer än bara att köpa verktyg. Mer C-nivå medvetenhet om cybersäkerhet behövs. Företag måste fortsätta investera i Talang och hålla sig ajour med ny teknik som också kan införa nya affärsrisker. Specifikt till ovanstående fråga om AI-drivna hot kommer företag att behöva investera och anta sin egen AI-cybersäkerhetsstrategi och verktyg som User-Entity Bevavior Analytics (UEBA) för att hjälpa till att tidigt upptäcka avvikelser i nätverksmiljön.
vem inspirerar dig i cybersäkerhetsvärlden?
min far har alltid varit den mest inspirerande personen för mig. Som den yngsta i en familj på fem syskon, jag växte upp och tittade, lära och följa honom medan alla andra var i skolan. För mig, han kunde göra allt och alltid haft något sätt att ”fixa saker.”Pappa var i allt. Teknik, traditionell medicin, mekanik, hydroponics, Elektronik, matematik, jordbruk, matlagning och mer!
lektionen för mig här var att du inte bara skulle fokusera på ett fält. Du kan lära dig mycket från olika områden, och du bör ha en tillväxtinriktning så att du kan utforska flera sätt att hitta en lösning på ett problem. Detta gäller fortfarande för cybersäkerhet. Du behöver ofta tänka utanför lådan och tänka som en hacker för att bygga upp ditt organisatoriska försvar.
vad tycker du att människor som överväger en karriär inom cybersäkerhet borde veta?
du måste ha en tillväxtinriktning. En karriär inom cybersäkerhet är extremt dynamisk. Precis som tekniken fortsätter att förändras i snabb takt blir affärsriskerna bredare och djupare, och du måste hålla jämna steg med tekniska förändringar som händer runt dig. Med COVID-19 ser vi till exempel att traditionella branscher som hälso-och sjukvård snabbt måste utvecklas för att tillgodose förändringar från telemedicin till fjärråtkomst och hantering av medicinska kliniker och sjukhusoperationer som innehåller mycket känslig personlig identifierbar information och skyddad hälsoinformation. Som cybersäkerhetspersonal måste du överväga effekterna av detta, från affärsperspektivet hela vägen till riskerna med anställda som arbetar hemifrån. Det viktigaste människor bör veta är att en karriär inom cybersäkerhet är extremt utmanande men samtidigt mycket givande när du får arbeta med många intressanta projekt och ofta med ny teknik för att hjälpa organisationer att skydda sina system.