Die Zertifizierung zum Certified Information Systems Security Professional (CISSP) gilt als Goldstandard in der Informationssicherheit. Dies liegt an all den Türen, die die Zertifizierung einem CISSP-Fachmann öffnet. Diese Türen führen zu vielen verschiedenen Arten von Positionen und Möglichkeiten, wodurch die Informationssicherheitsgemeinschaft dynamisch und vielfältig wird.
Zur Unterstützung dieser Vielfalt hat (ISC)2 eine Reihe von Interviews gestartet, um zu untersuchen, wohin die CISSP-Zertifizierung Sicherheitsexperten geführt hat. Letztes Mal teilte Angus Macrae seine CISSP-Erfahrung. Melissa Parsons ist Senior Consultant für Cyber Security bei KPMG Canada. Sie hat bemerkenswerte Erfolge bei der Steuerung und Verwaltung zunehmend komplexer IT-, Sicherheits- und Datenschutzprojekte.
Welchen Job machst du heute?
Derzeit arbeite ich als Senior Cybersecurity Consultant in der Risikoberatungs- und Beratungspraxis einer „Big 4“ -Firma.
Welche Probleme löst Ihr Unternehmen?
Mein Team und ich helfen Organisationen im privaten und öffentlichen Sektor, die Welt des Cyberrisikos zu navigieren und zu minimieren. Schwerpunkte sind Strategie und Governance, Transformation, Cyber Defense und Cyber Response. In letzter Zeit habe ich an einer Reihe von IT-Risikobewertungen (oder TRAs) sowie ISO 27001-Engagements gearbeitet, die sich auf das Informationssicherheitsmanagementsystem (oder ISMS) eines Kunden beziehen.
Warum haben Sie sich zum ersten Mal für Cybersicherheit entschieden?
Ich wollte meinem Unternehmen weiterhin helfen, sicher und geschützt zu innovieren, und zwar auf eine Weise, die informiert war und Bedrohungen, Risiken und Schwachstellen berücksichtigte.
Wie war das Leben, als Sie Ihre Karriere in der Cybersicherheit begannen?
Ich wechselte von einer früheren DevOps-Rolle innerhalb eines Unternehmens intern in eine Cybersicherheitskarriere. Ich war mit der Technologie und Architektur dieser Organisation vertraut, als ich zu einer Sicherheitsanalystenrolle wechselte. Aufgrund dieses historischen Wissens innerhalb des Unternehmens konnte ich Bereiche der Stärke und Bereiche, die zusätzliche Aufmerksamkeit und Sorgfalt in Bezug auf die Sicherheit erforderten, klar identifizieren.
Was war dein erster Cybersecurity-Job?
Sicherheitsanalyst. Ich war verantwortlich für das interne Sicherheitsprogrammmanagement, einschließlich der technischen Aspekte des Unternehmensrisikos, der Reaktion auf Vorfälle, der rechtmäßigen Zugriffsanforderungen (fungierte als Datenschutzbeauftragter), der Planung und Prüfung von Notfallwiederherstellungen sowie der Audit- und behördlichen Verpflichtungen.
Warum haben Sie sich für CISSP entschieden?
Die CISSP zu nehmen war für mich ein „Kinderspiel“, sobald ich einige Erfahrungen gesammelt hatte. Ich hatte bereits die SSCP von (ISC) 2 genommen und bestanden. Dies war der nächste logische Schritt in meiner beruflichen Entwicklung. Ich wusste, dass es das gefragteste Zertifikat in meinem Bereich war, und ich wusste, dass es für leitende Positionen / Verträge erforderlich sein würde und dass es viele Türen öffnen würde (und das hat es!). Die Erlangung des CISSP zeigt, dass Sie über praktische Berufserfahrung, ein tiefes Verständnis der Sicherheit in den acht getesteten Bereichen und eine Vertrautheit mit so ziemlich allen Aspekten der Cybersicherheitslandschaft verfügen.
Was hat dich dazu bewogen?
Ich begann mit der Beratung, als ich mein CISSP erhielt. Ich habe mit meinem Team an RFP-Vorschlägen gearbeitet, was hauptsächlich darauf hinwies, dass das CISSP eine Voraussetzung für die Anforderungen war. Neben der Qualifikation, an einigen unglaublichen Projekten mit großen privaten und öffentlichen Kunden zu arbeiten, wird das CISSP von Kollegen und Kollegen auf der ganzen Welt hoch geschätzt, anerkannt und respektiert.
Wie lange hat es gedauert, CISSP zu erreichen?
Ich begann und hörte ein Jahr lang auf zu studieren, und ich knickte dann im letzten Monat vor der Prüfung ein.
Welche Ressourcen haben Sie verwendet?
Ich habe den offiziellen (ISC) 2-Studienführer und Praxistests gekauft. Zusätzlich zu diesen Ressourcen habe ich mir Online-Tutorials angesehen, viele handschriftliche Notizen gemacht und mein Whiteboard verwendet, um meinen Fortschritt zu verfolgen.
Haben Sie an einer Ausbildung teilgenommen?
Ich tat es nicht, aber im Nachhinein mag das sehr hilfreich und weniger stressig gewesen sein. Es könnte eine dynamischere Art des Lernens mit einer besseren Struktur als das Selbststudium sein.
Was hat Sie an CISSP am meisten überrascht?
Ich glaube, ich war nicht allzu überrascht. Ich habe viele Freunde und Kollegen, die die Prüfung erfolgreich bestanden und mir tolle Ratschläge und Tipps gegeben haben. Ich würde empfehlen, sich an Ihr Netzwerk zu wenden und einige verschiedene CISSP-Inhaber nach ihren Erfahrungen zu fragen. Jeder hat eine etwas andere Erfahrung und Perspektive.
Was waren die ersten Veränderungen, die Sie bemerkt haben, nachdem Sie CISSP geworden sind?
Ich befand mich in einer neuen, etwas einschüchternden Phase meiner Karriere, in der ich Fortune-500-Unternehmen und große Regierungsbehörden im Bereich Cybersicherheit beriet. Ich war begierig, verängstigt und aufgeregt auf einmal! Das Erreichen meines CISSP war ein Grund, einen weiteren Meilenstein zu feiern. Es gab mir mehr Vertrauen in meine Fähigkeiten und gab mir die Bestätigung, das „Betrügersyndrom-Monster“, das in den hintersten Ecken meines Geistes lauerte, zu beruhigen und „mit der Show weiterzumachen“, um einige wertvolle Ergebnisse für meine Kunden zu erzielen.
Welche Schritte haben Sie zu dem Job geführt, den Sie heute machen?
Als ich mich für die Beratung entschied, war es mein Ziel, meine Erfahrungen und mein Vorwissen im Bereich Cybersicherheit über mehrere Branchen und Sektoren hinweg zu erweitern, um eine ganzheitlichere Sicht auf die Herausforderungen von Organisationen zu erhalten. Es war eine unglaubliche Reise und Lernerfahrung. Es hat mein Verständnis und meine Wertschätzung für die Strategie und Arbeitsweise von Unternehmen und Organisationen in Bezug auf Cybersicherheit, IT, Informationsmanagement, Datenschutz und Unternehmensrisiken beschleunigt. Ich hatte das große Glück, mit C-Suite- und Vorstandsmitgliedern einiger sehr innovativer und talentierter Organisationen zusammenzuarbeiten. Kurz gesagt, die Arbeit war sowohl inspirierend als auch lohnend. (Ich habe den richtigen Schritt gemacht!)
Auf welche Leistung oder welchen Beitrag sind Sie am stolzesten?
Anfang dieses Jahres wurde ich gebeten, an mein College zurückzukehren, um als Alumni an einer globalen Veranstaltung für Frauen in der Cybersicherheit teilzunehmen. Ich fühlte mich geehrt und fühlte, dass dies wirklich einer dieser „vollen Kreis“ Momente im Leben war. Es gab Gastredner aus der ganzen Welt, Berichterstattung in den Medien und so viele beeindruckende Wirtschafts- und Regierungschefs. Ich war so nervös, fühlte aber eine enorme Notwendigkeit, „es zu nageln.“ Ich habe diese Rede wochenlang geübt, und in diesen 7 Minuten auf dem Podium sah ich, wie mein Lieblingslehrer mich aus dem Publikum anlächelte. Ich musste mehrmals davon absehen, zu zerreißen. Nach dem Ereignis umarmte ich ihn und dankte ihm dafür, dass er an mich geglaubt hatte, als ich an einem Punkt in meinem Leben war, an dem ich nicht viel an mich glaubte. Viele meiner Präsentationen an diesem Abend spiegelten das Thema wider, an sich selbst zu glauben, Mentoring zu finden und das dann zu bezahlen, wenn Sie können.
Was liebst du an deinem Job?
Ich liebe es, Organisationen dabei zu helfen, Roadmaps zu entwickeln und ihre Sicherheitslage zu verbessern. Ich bin ein sehr strategischer und analytischer Denker und bekomme viel zu viel Freude an Forschung und Planung. Ich glaube nicht an das „One Size fits all“-Modell. Ich mag es, Pläne anzupassen, die realistisch und erreichbar sind, um die Welt für uns alle ein bisschen sicherer zu machen. Ich liebe es, während einer Abschlussbesprechung Feedback von Kunden zu erhalten. Ich gebe wirklich mein Herz und meine Seele in das, was ich tue, und es bedeutet mir die Welt, dass andere Menschen und Organisationen davon profitieren können.
Was war die größte Herausforderung in Ihrer Karriere?
Die größte Herausforderung? Überhaupt Karriere machen! Ich war ein junger, alleinerziehender Elternteil, der schon früh Probleme hatte, und ich war ein „Spätzünder“, wenn es darum ging, einen Weg zu finden, für den ich mich leidenschaftlich fühlte (und die Rechnungen bezahlen konnte!). Ich hätte vor 10-15 Jahren nie gedacht, dass es in der Cybersicherheit sein würde! Mein jüngeres Ich hätte gedacht, ich wäre nicht „genug“ (klug genug, talentiert genug, getrieben genug usw.). Und doch hatte ich in diesen Jahren der Kundenbetreuung und IT-Arbeit an allen meinen früheren Arbeitsplätzen immer eine scharfe „investigative Spur“. Ich wurde von einem ehemaligen Manager „P.I. Pastinaken“ genannt, und das ist mir all die Jahre später geblieben! Ich bin wirklich stolz darauf, dass ich es nicht aufgegeben habe, neue Herausforderungen anzunehmen und neue Dinge auszuprobieren. Sie wissen nie, wozu Sie in der Lage sind, bis Sie es versuchen! Es klingt so klischeehaft, aber es waren all diese Glaubenssprünge, die mich heute hierher geführt haben.
Welche Ambitionen haben Sie für Ihre Karriere?
Ich versuche immer noch, das herauszufinden! Um ehrlich zu sein, ich habe Momente (wie diese, dieses Interview zu machen), in denen ich total geschockt bin! Ich sehe mich weiterhin auf meiner Strategie und Beratungsfähigkeiten nur vielleicht in einer höheren Rolle zu schärfen.
Wie stellen Sie sicher, dass Ihre Fähigkeiten weiter wachsen?
Ich gehöre einer Reihe von Berufsverbänden und Kapiteln wie (ISC) 2 an und nehme weiterhin an Seminaren, Konferenzen, Webinaren und Schulungen teil, um meine Fähigkeiten zu verbessern und neue Perspektiven und Erkenntnisse von anderen in der Gemeinschaft zu gewinnen. Networking ist der Schlüssel in jedem Karriereweg. Ich finde, ich bekomme die besten Imbissbuden aus Umgebungen, in denen ich mich mit anderen Fachleuten treffe und vermische und höre, wie sie ihre Geschichten teilen. Es ist eine großartige Möglichkeit, neue Mentoren kennenzulernen und auch anderen Mentoren zu helfen.
Was ist Ihrer Meinung nach derzeit die größte Herausforderung für die Cybersicherheit?
Ich fühle, dass die größte Herausforderung im Moment die schnelle Expansion der Bedrohungslandschaft ist. Wir kämpfen darum, Schritt zu halten. Gegner sind nicht mehr nur menschlicher Natur; Sie bestehen auch aus der Technologie, die wir aus der Nachfrage nach Automatisierung, Geschwindigkeit, Agilität und Effizienz geschaffen haben. Denken Sie zum Beispiel an Bots. Sie haben die Fähigkeit, zum Guten oder, ehrlich gesagt, zum Bösen benutzt zu werden. Es besteht kein Zweifel, dass die digitale Revolution zu wundersamen Fortschritten in Bereichen wie dem Gesundheitswesen und allerlei wunderbarem Zugang zu Informationen geführt hat wie nie zuvor, aber es gibt immer diese Gedanken in meinem Hinterkopf: „Ok, aber wie ist das konfiguriert? Wohin gehen meine Daten? Wer/was hat Zugang? Was sind die potenziellen Bedrohungen und Risiken?“ jedes Mal, wenn ein neues Produkt oder eine neue Lösung eingeführt wird.
Welche Lösungen könnten Ihrer Meinung nach dazu beitragen?
Gute Aufsicht / Governance in Verbindung mit Sicherheit durch Design könnte helfen, aber zuerst kommt die Aufklärung über die Bedeutung der Einbettung von Sicherheit im gesamten SDLC. Ein Teil dessen, was mich zu dieser „Welt“ hingezogen hat, ist der Schutz der Menschen. Cybersicherheitsbewusstsein und -aufklärung sind eine persönliche Mission von mir, aber ich beschäftige mich nicht mit „Angstmacherei“ oder Kritik. Wir müssen Empathie und Mitgefühl in diesem Bereich einsetzen, um voranzukommen und zusammenzuarbeiten, anstatt mit den Fingern zu zeigen und die „heißen Kartoffeln“ herumzugeben.
Wer inspiriert Sie in der Welt der Cybersicherheit?
Jugend! Es sind die Teenager und 20-Jährigen. Ich sehe sie alle aufgedreht, informiert und so hyperaware. Sie inspirieren mich jeden Tag. Sie werden die Welt verändern, daran habe ich keinen Zweifel, also haben wir eine unglaubliche Pflicht, ihnen in jeder Kapazität, die wir können, zu „dienen und zu beschützen“. Für mich persönlich wird das durch meine kleinen, täglichen Handlungen als Elternteil, Freiwilliger und Cybersicherheitsexperte geschehen.
Was sollten Menschen, die eine Karriere in der Cybersicherheit in Betracht ziehen, Ihrer Meinung nach wissen?
Es gibt heute eine so große Auswahl an Cybersicherheitsrollen und -optionen in dieser neuen und ständig wachsenden Karrierelinie. Wenn Sie einen in Betracht ziehen, betrachten Sie alle. Probieren Sie viele verschiedene Dinge aus. Viel Spaß damit, auch! Spielen Sie mit verschiedenen Programmiersprachen und Skripten sowie testen und überprüfen Sie verschiedene Tools und Produkte. Es gibt so viele Möglichkeiten, zu dieser Community beizutragen, die so viele verschiedene Arten von Menschen, Fähigkeiten, Persönlichkeiten und Kuriositäten von AppSec, Networking, OpSec, Bedrohungsjagd bis hin zu Governance, Risiko und Compliance und allem dazwischen ergänzt! Haben Sie auch keine Angst, Menschen in einer Cybersicherheitsrolle zu erreichen und ihnen Fragen zu ihren Erfahrungen zu stellen.
Um mehr über CISSP zu erfahren, laden Sie unseren ultimativen Leitfaden herunter oder erfahren Sie in unseren Whitepapers, warum es noch nie so wichtig war, ein qualifizierter Cybersicherheitsexperte zu sein, oder warum es wichtig ist, qualifizierte Cybersicherheitsexperten in Ihrem Team zu haben: Der endgültige Leitfaden für Cybersicherheit und geschäftlichen Wohlstand.