Certified Information Systems Security Professional (CISSP) certificering anses for at være guldstandarden inden for informationssikkerhed. Dette er tilfældet på grund af alle de døre, som certificering åbner for en CISSP-professionel. Disse døre fører til mange forskellige typer positioner og muligheder, hvilket gør informationssikkerhedssamfundet dynamisk og mangesidet.
til støtte for denne mangfoldighed har (ISC)2 lanceret en række samtaler for at undersøge, hvor CISSP-certificering har ført sikkerhedsprofessionelle. Sidste gang Angus Macrae delte sin CISSP-oplevelse. Denne rate indeholder Melissa Parsons, seniorkonsulent i cybersikkerhed for KPMG Canada. Hun har bemærkelsesværdig succes med at køre og styre stadig mere komplekse IT -, sikkerheds-og privatlivsrelaterede projekter.
hvilket job gør du i dag?
i øjeblikket arbejder jeg som Senior Cybersikkerhedskonsulent inden for risikorådgivning og rådgivningspraksis hos et “Big 4” firma.
hvilke problemer løser din virksomhed?
mit team og jeg hjælper organisationer i den private og offentlige sektor med at navigere og minimere verden af cyberrisiko. Centrale fokusområder omfatter strategi og styring, transformation, cyberforsvar og cyberrespons. For nylig har jeg arbejdet på en række Treat risikovurderinger (eller TRAs) samt ISO 27001 engagementer, der vedrører en kundes Informationssikkerhedsstyringssystem (eller ISMS).
Hvorfor besluttede du først at komme ind i cybersikkerhed?
jeg ønskede at fortsætte med at hjælpe min virksomhed med at innovere sikkert og sikkert på en måde, der blev informeret, og som overvejede trusler, risici og sårbarheder undervejs.
hvordan var livet, da du startede i din karriere inden for cybersikkerhed?
jeg overgik til en cybersikkerhedskarriere fra en tidligere DevOps-rolle i en virksomhed internt. Jeg var tæt bekendt med denne organisations teknologi og arkitektur på det tidspunkt, da jeg flyttede over til en sikkerhedsanalytiker rolle. På grund af denne historiske viden i virksomheden var jeg i stand til klart at identificere styrkeområder og områder, der krævede yderligere fokus og pleje i forhold til sikkerhed.
hvad var dit første cybersikkerhedsjob?
Sikkerhedsanalytiker. Jeg var ansvarlig for intern sikkerhedsprogramstyring, herunder tekniske aspekter af virksomhedsrisiko, hændelsesrespons, lovlige adgangsanmodninger (fungerede som privatlivsledelse), planlægning og test af katastrofegendannelse samt revisions-og lovgivningsmæssige forpligtelser.
Hvorfor besluttede du at foretage CISSP?
at tage CISSP var en “no-brainer” for mig, når jeg havde en vis erfaring under mit bælte. Jeg havde allerede taget og bestået SSCP fra (ISC)2. Dette var det næste logiske skridt i min faglige udvikling. Jeg vidste, at det var den mest efterspurgte cert i mit felt, og jeg vidste, at det ville være nødvendigt for flere ledende stillinger/kontrakter, og at det ville åbne mange døre (og det har det!). At opnå CISSP viser, at du har praktisk beskæftigelseserfaring, en dyb forståelse af sikkerhed på tværs af de otte testede domæner og en fortrolighed med stort set alle aspekter af cybersikkerhedslandskabet.
Hvad fik dig til at gøre det?
jeg begyndte at konsultere omkring det tidspunkt, hvor jeg fik min CISSP. Jeg arbejdede med RFP-forslag med mit team, hvilket hovedsageligt indikerede, at CISSP var en forudsætning for kvalifikation i kravene. Ud over at være kvalificeret til at arbejde på nogle utrolige projekter med store private og offentlige kunder, CISSP er højt værdsat, anerkendt og respekteret blandt jævnaldrende og kolleger over hele kloden.
hvor lang tid tog det at opnå CISSP?
jeg startede og stoppede med at studere i et år, og jeg spændte derefter ned i den sidste måned, før jeg tog eksamen.
hvilke ressourcer brugte du?
jeg købte den officielle (ISC)2 studievejledning og øvelsestest. Ud over disse ressourcer så jeg online tutorials, tog mange håndskrevne noter og brugte min tavle til at spore mine fremskridt.
har du tilmeldt dig nogen træning?
det gjorde jeg ikke, men i bakspejlet kan det have været meget nyttigt og mindre stressende. Det kunne have været en mere dynamisk måde at lære på med en bedre struktur end selvstudievejen.
hvad overraskede dig mest ved CISSP?
jeg tror ikke, jeg var for overrasket over meget. Jeg har mange venner og kolleger, der med succes bestod eksamen og tilbød mig gode råd og tip. Jeg vil anbefale at nå ud til dit netværk og spørge et par forskellige CISSP-indehavere om deres oplevelser. Alle har en lidt anderledes oplevelse og perspektiv.
hvad var de første ændringer, du bemærkede efter at være blevet CISSP?
jeg var i en ny, lidt skræmmende fase af min karriere, hvor jeg konsulterede for Fortune 500-virksomheder og store offentlige enheder inden for cybersikkerhed. Jeg var ivrig, bange, og ophidset på en gang! At nå min CISSP var en grund til at fejre endnu en milepæl. Det fik mig til at føle mig mere selvsikker i mine evner og gav mig validering for at stille “imposture syndrome monster”, der lurer i de fjerne hjørner af mit sind og “komme videre med forestillingen” for at producere nogle værdifulde leverancer til mine klienter.
hvilke skridt bragte dig til det job, du gør i dag?
da jeg besluttede at give consulting en chance, var mit mål at udvide mine erfaringer og tidligere vidensbase inden for cybersikkerhed på tværs af flere brancher og sektorer for at få et mere holistisk syn på organisationernes udfordringer. Det har været en utrolig rejse og lærerig oplevelse. Det har fremskyndet min forståelse og påskønnelse af, hvordan virksomheder og organisationer strategiserer og opererer i forhold til cybersikkerhed, IT, informationsstyring, privatliv og virksomhedsrisiko. Jeg har været meget heldig at arbejde sammen med C-suite og bestyrelsesmedlemmer fra nogle meget innovative og talentfulde organisationer. Kort sagt har arbejdet været både inspirerende og givende. (Jeg tog det rigtige skridt!)
hvilken præstation eller bidrag er du mest stolt af?
tidligere i år blev jeg bedt om at vende tilbage til mit college for at præsentere som alumner ved en global begivenhed for kvinder i cybersikkerhed. Jeg blev beæret og følte, at dette virkelig var et af disse “fulde cirkel” øjeblikke i livet. Der var gæstetalere fra hele verden, mediedækning og så mange imponerende forretnings-og regeringsledere. Jeg var så nervøs, men følte en enorm mængde nødvendighed for at “sømme det.”Jeg øvede den tale i ugevis, og i de 7 minutter på podiet så jeg min yndlingsinstruktør smile til mig fra publikum. Jeg måtte afstå fra at rive op ved en række lejligheder. Efter begivenheden, jeg gav ham et kram og takkede ham for at tro på mig, da jeg var på et tidspunkt i mit liv, hvor jeg ikke troede meget på mig selv. Meget af min præsentation den aften gentog det tema at tro på dig selv, finde mentorskab og derefter betale det fremad, når du kan.
Hvad er det ved dit job, du elsker?
jeg elsker at hjælpe organisationer med at udvikle køreplaner og modne deres sikkerhedsstilling. Jeg er en meget strategisk og analytisk tænker og får alt for meget glæde ud af forskning og planlægning. Jeg tror ikke på modellen” en størrelse passer til alle”. Jeg kan godt lide at tilpasse planer, der er realistiske og opnåelige for at gøre verden lidt mere sikker for os alle. Jeg elsker at få feedback fra kunder under et afsluttende møde. Jeg hælder virkelig mit hjerte og sjæl i det, jeg gør, og det betyder verden for mig, at andre mennesker og organisationer kan drage fordel af det.
Hvad er den største udfordring, du har stået over for i din karriere?
den største udfordring? At have en karriere overhovedet! Jeg var en ung, enlig forælder, der virkelig kæmpede tidligt, og jeg var en “sen blomstrer”, når det kom til at finde en sti, jeg følte mig lidenskabelig over (og kunne betale regningerne!). Jeg ville aldrig have forestillet mig for 10-15 år siden, at det ville være i cybersikkerhed! Mit yngre selv ville have troet, at jeg ikke var ” nok ” (smart nok, talentfuld nok, drevet nok osv.). Og alligevel havde jeg altid en ivrig “efterforskningsstribe” på alle mine tidligere ansættelsessteder i disse år med kundesupport og IT-arbejde. Jeg blev døbt “P. I. pastinak” af en tidligere manager, og det har holdt fast med mig alle disse år senere! Jeg er virkelig stolt over, at jeg ikke opgav at tage nye udfordringer og prøve nye ting. Du ved aldrig, hvad du er i stand til, før du prøver! Det lyder så clich, men det var alle troens spring, der førte mig hertil i dag.
hvilke ambitioner har du for din karriere fremad?
jeg prøver stadig at finde ud af det! For at være ærlig, Jeg har øjeblikke (som disse, gør denne samtale), hvor jeg er i totalt chok! Jeg ser mig selv fortsætte med at finpudse på min strategi og rådgivende færdigheder bare måske i en mere senior rolle.
Hvordan sikrer du, at dine færdigheder fortsætter med at vokse?
jeg tilhører en række faglige foreninger og kapitler som (ISC)2, og jeg fortsætter med at deltage i seminarer, konferencer, internetinarer og træninger for at holde mine færdigheder skarpe og få nye perspektiver og indsigt fra andre i samfundet. Netværk er nøglen i enhver karrierevej. Jeg finder ud af, at jeg får de bedste grillbarer fra miljøer, hvor jeg mødes og blander mig med andre fagfolk og hører dem dele deres historier. Det er en fantastisk måde at møde nye mentorer og give mentorskab til andre, såvel.
hvad tror du den største udfordring er for cybersikkerhed lige nu?
jeg føler, at den største udfordring lige nu er den hurtige udvidelse af trusselslandskabet. Vi kæmper for at følge med. Modstandere er ikke længere kun menneskelige; de består også af selve teknologien, som vi har skabt ud fra efterspørgsel efter automatisering, hastighed, smidighed og effektivitet. Tænk bots, for eksempel. De har evnen til at blive brugt til godt eller helt ærligt ondt. Der er ingen tvivl om, at den digitale revolution har ført til mirakellignende fremskridt inden for områder som sundhedspleje og alle mulige vidunderlige tilgængelighed til information som aldrig før, men der er altid disse tanker bag på mit hoved omkring “Ok, men hvordan er dette konfigureret? Hvor er mine data på vej hen? Hvem / hvad har adgang? Hvad er de potentielle trusler og risici?”når som helst et nyt produkt eller en løsning vedtages.
hvilke løsninger tror du kunne løse dette?
godt tilsyn/styring kombineret med sikkerhed ved design kunne hjælpe, men først kommer uddannelse om vigtigheden af at indlejre sikkerhed i hele SDLC. En del af det, der har trukket mig til denne “verden”, er at beskytte mennesker. Cybersecurity bevidsthed og uddannelse er en personlig mission for mig, men det er ikke en jeg engagere sig i gennem “frygt mongering” eller kritik. Vi er nødt til at bruge empati og medfølelse på dette område for at komme videre og arbejde sammen i stedet for at pege fingre og passere de “varme kartofler”.
hvem inspirerer dig i en verden af cybersikkerhed?
ungdom! Det er teenagere og 20-somethings. Jeg ser dem alle revved op, informeret og så hyperavis. De inspirerer mig hver dag. De vil ændre sig til verden, det er jeg ikke i tvivl om, så vi har en utrolig pligt til at “tjene og beskytte” dem uanset hvilken kapacitet vi kan. For mig selv personligt, det vil være gennem min lille, daglige handlinger som forælder, frivillig, og cybersikkerhedsprofessionel.
hvad tror du, at folk, der overvejer en karriere inden for cybersikkerhed, bør vide?
der er sådan en lang række cybersikkerhed roller og muligheder derude i dag i denne nye og stadigt voksende karriere linje. Hvis du overvejer en, skal du overveje dem alle. Prøv en masse forskellige ting. Hav det sjovt med det, også! Spil med forskellige programmeringssprog og scripts samt test og gennemgå forskellige værktøjer og produkter. Der er så mange måder at bidrage til dette samfund, der komplimenterer så mange forskellige typer mennesker, færdigheder, personligheder og nysgerrigheder fra AppSec, netværk, OpSec, trusseljagt til regeringsførelse, risiko og overholdelse og alt derimellem! Vær heller ikke bange for at nå ud til folk i en cybersikkerhedsrolle og stille dem spørgsmål om deres oplevelser.
for at finde ud af mere om CISSP Hent vores ultimative Guide eller lær mere med vores hvidbøger, hvorfor det aldrig har været vigtigere at være en kvalificeret cybersikkerhedsprofessionel, eller hvorfor det er vigtigt at have kvalificerede Cybersikkerhedsprofessionelle på dit Team: den endelige Guide til cybersikkerhed og forretningens velstand.