La certificación Certified Information Systems Security Professional (CISSP) se considera el estándar de oro en seguridad de la información. Esto es así debido a todas las puertas que la certificación se abre a un profesional CISSP. Esas puertas conducen a muchos tipos diferentes de puestos y oportunidades, lo que hace que la comunidad de seguridad de la información sea dinámica y multifacética.
En apoyo de esta diversidad, (ISC)2 ha lanzado una serie de entrevistas para explorar dónde la certificación CISSP ha llevado a los profesionales de la seguridad. La última vez Angus Macrae compartió su experiencia CISSP. Esta entrega presenta a Melissa Parsons, Consultora Sénior en Seguridad Cibernética de KPMG Canadá. Tiene un éxito notable en la conducción y gestión de proyectos de TI, seguridad y privacidad cada vez más complejos.
¿Qué trabajo haces hoy?
Actualmente, trabajo como Consultor Senior de Ciberseguridad dentro de la práctica de Consultoría y Asesoría de Riesgos en una firma «Big 4».
¿Qué problemas resuelve su empresa?
Mi equipo y yo ayudamos a las organizaciones de los sectores público y privado a navegar y minimizar el mundo del riesgo cibernético. Las áreas clave de enfoque incluyen estrategia y gobierno, transformación, defensa cibernética y respuesta cibernética. Recientemente, he trabajado en una serie de Evaluaciones de Riesgo de Tratamiento (o TRAs), así como en compromisos ISO 27001 que pertenecen al Sistema de Gestión de Seguridad de la Información (o ISMS) de un cliente.
¿Por qué decidió por primera vez entrar en la ciberseguridad?
Quería seguir ayudando a mi empresa a innovar de forma segura de una manera que estuviera informada y que tuviera en cuenta las amenazas, los riesgos y las vulnerabilidades en el camino.
¿Cómo era la vida cuando comenzaste tu carrera en ciberseguridad?
Pasé a una carrera de ciberseguridad de un antiguo puesto de DevOps dentro de una empresa internamente. Estaba íntimamente familiarizado con la tecnología y la arquitectura de esta organización en el momento en que me trasladé a un puesto de Analista de Seguridad. Debido a este conocimiento histórico dentro de la empresa, pude identificar claramente las áreas de fortaleza y las áreas que requerían un enfoque y cuidado adicionales en relación con la seguridad.
¿Cuál fue tu primer trabajo de ciberseguridad?
Analista de seguridad. Fui responsable de la gestión del programa de seguridad interna, incluidos los aspectos técnicos del riesgo empresarial, la respuesta a incidentes, las solicitudes de acceso legal (actué como líder de privacidad), la planificación y las pruebas de recuperación ante desastres, así como las obligaciones de auditoría y normativas.
¿Por qué decidió emprender CISSP?
Tomar el CISSP fue una «obviedad» para mí una vez que tuve algo de experiencia en mi haber. Ya había tomado y aprobado el SSCP de (ISC) 2. Este fue el siguiente paso lógico en mi desarrollo profesional. Sabía que era el certificado más buscado en mi campo, y sabía que sería necesario para puestos/contratos más altos y que abriría muchas puertas (¡y lo ha hecho!). Obtener el CISSP demuestra que tiene experiencia laboral práctica, una comprensión profunda de la seguridad en los ocho dominios probados y una familiaridad con casi todos los aspectos del panorama de la ciberseguridad.
¿Qué te llevó a hacer eso?
Comencé a consultar en el momento en que obtuve mi CISSP. Estaba trabajando en propuestas de RFP con mi equipo, lo que indicó principalmente que el CISSP era una calificación previa en los requisitos. Además de estar calificado para trabajar en algunos proyectos increíbles con grandes clientes del sector privado y público, el CISSP es muy valorado, reconocido y respetado entre compañeros y colegas de todo el mundo.
¿Cuánto tiempo se tardó en lograr CISSP?
Comencé y dejé de estudiar durante un año, y luego me abroché el cinturón en el último mes antes de tomar el examen.
¿Qué recursos utilizó?
Compré la guía de estudio oficial (ISC) 2 y las pruebas de práctica. Además de estos recursos, vi tutoriales en línea, tomé muchas notas escritas a mano y usé mi pizarra para hacer un seguimiento de mi progreso.
¿Se matriculó en alguna formación?
No lo hice,pero en retrospectiva, puede haber sido muy útil y menos estresante. Podría haber sido una forma de aprendizaje más dinámica con una mejor estructura que la ruta de autoaprendizaje.
¿Qué es lo que más te sorprendió de CISSP?
No creo que me haya sorprendido mucho. Tengo muchos amigos y colegas que aprobaron con éxito el examen y me ofrecieron excelentes consejos y consejos. Recomendaría llegar a su red y preguntar a algunos titulares de CISSP diferentes sobre sus experiencias. Todos tienen una experiencia y perspectiva ligeramente diferentes.
¿Cuáles fueron los primeros cambios que notaste después de convertirte en CISSP?
Estaba en una fase nueva y ligeramente intimidante de mi carrera en la que estaba asesorando para empresas Fortune 500 y grandes entidades gubernamentales en ciberseguridad. ¡Estaba ansioso, asustado y emocionado a la vez! Lograr mi CISSP fue una causa para celebrar otro hito. Me hizo sentir más confiado en mis habilidades y me dio validación para calmar el «monstruo del síndrome de impostura» que acecha en los rincones más recónditos de mi mente y para «seguir adelante con el espectáculo» para producir algunos entregables valiosos para mis clientes.
¿Qué pasos te llevaron al trabajo que haces hoy?
Cuando decidí dar una oportunidad a la consultoría, mi objetivo era ampliar mis experiencias y mi base de conocimientos previos en ciberseguridad en múltiples industrias y sectores para obtener una visión más holística de los desafíos de las organizaciones. Ha sido un viaje y una experiencia de aprendizaje increíbles. Ha acelerado mi comprensión y apreciación de cómo las empresas y las organizaciones elaboran estrategias y operan en relación con la ciberseguridad, la TI, la gestión de la información, la privacidad y el riesgo empresarial. He tenido mucha suerte de trabajar junto a altos ejecutivos y miembros de la junta directiva de algunas organizaciones muy innovadoras y talentosas. En resumen, el trabajo ha sido a la vez inspirador y gratificante. (¡Hice el movimiento correcto!)
¿De qué logro o contribución estás más orgulloso?
A principios de este año, me pidieron que regresara a mi universidad para presentarme como exalumna en un evento global para mujeres en ciberseguridad. Fui honrada y sentí que este era realmente uno de esos momentos de «círculo completo» en la vida. Hubo oradores invitados de todo el mundo, cobertura de los medios de comunicación y tantos líderes empresariales y gubernamentales impresionantes. Estaba muy nervioso, pero sentí una tremenda necesidad de «clavarlo».»Practiqué ese discurso durante semanas, y en esos 7 minutos en el podio, vi a mi instructor favorito sonreírme del público. Tuve que abstenerme de llorar en varias ocasiones. Después del evento, le di un abrazo y le agradecí por creer en mí cuando estaba en un punto de mi vida en el que no creía mucho en mí mismo. Gran parte de mi presentación de esa noche se hizo eco de ese tema de creer en ti mismo, encontrar tutoría y luego pagarlo cuando puedas.
¿Qué es lo que te gusta de tu trabajo?
Me encanta ayudar a las organizaciones a desarrollar mapas de ruta y madurar su postura de seguridad. Soy un pensador muy estratégico y analítico y obtengo demasiada alegría de la investigación y la planificación. No creo en el modelo de «talla única». Me gusta personalizar planes que sean realistas y alcanzables para hacer que el mundo sea un poco más seguro para todos nosotros. Me encanta recibir comentarios de los clientes durante una reunión de clausura. Realmente pongo mi corazón y mi alma en lo que hago, y significa mucho para mí que otras personas y organizaciones puedan beneficiarse de eso.
¿Cuál es el mayor desafío que has enfrentado en tu carrera?
El mayor desafío? Tener una carrera en absoluto! Yo era una joven madre soltera que realmente luchaba desde el principio, y era una «floreciente tardía» cuando se trataba de encontrar un camino que me apasionaba (¡y podía pagar las cuentas!). Nunca me hubiera imaginado hace 10-15 años, que sería en ciberseguridad! Mi yo más joven habría pensado que no era «suficiente» (lo suficientemente inteligente, lo suficientemente talentoso, lo suficientemente impulsado, etc.). Y, sin embargo, siempre tuve una fuerte «racha de investigación» en todos mis lugares de trabajo anteriores durante esos años de atención al cliente y trabajo de TI. Fui apodado «P. I. Chirivías» por un ex gerente, ¡y eso se ha quedado conmigo todos estos años después! Estoy muy orgulloso de no haber renunciado a asumir nuevos desafíos y probar cosas nuevas. ¡Nunca sabes de lo que eres capaz hasta que lo intentas! Suena tan cliché, pero fueron todos esos saltos de fe los que me llevaron aquí hoy.
¿Qué ambiciones tiene para su carrera por delante?
todavía estoy tratando de descifrar eso! A decir verdad, tengo momentos (como estos, haciendo esta entrevista) en los que estoy en shock total. Me veo a mí mismo continuando con mi estrategia y mis habilidades de asesoramiento, tal vez en un puesto más alto.
¿Cómo se asegura de que sus habilidades sigan creciendo?
Pertenezco a una serie de asociaciones profesionales y capítulos como (ISC)2, y continúo participando en seminarios, conferencias, seminarios web y capacitaciones para mantener mis habilidades afiladas y obtener nuevas perspectivas y conocimientos de otros en la comunidad. El networking es clave en cualquier carrera profesional. Encuentro que obtengo las mejores experiencias de los entornos en los que me encuentro y me mezclo con otros profesionales y los escucho compartir sus historias. Es una excelente manera de conocer a nuevos mentores y proporcionar mentores a otros también.
¿Cuál crees que es el mayor desafío para la ciberseguridad en este momento?
Siento que el mayor desafío en este momento es la rápida expansión del panorama de amenazas. Estamos luchando para mantenernos al día. Los adversarios ya no son solo de naturaleza humana; también consisten en la misma tecnología que hemos creado a partir de la demanda de automatización, velocidad, agilidad y eficiencia. Piensa en los bots, por ejemplo. Tienen la capacidad de ser utilizados para el bien o, francamente, para el mal. No hay duda de que la revolución digital ha llevado a avances milagrosos en áreas como la atención médica y todo tipo de accesibilidad maravillosa a la información como nunca antes, pero siempre hay esos pensamientos en la parte posterior de mi cabeza alrededor de «Ok, pero ¿cómo se configura esto? ¿A dónde van mis datos? ¿Quién / qué tiene acceso? ¿Cuáles son las amenazas y riesgos potenciales?»cada vez que se adopta un nuevo producto o solución.
¿Qué soluciones cree que podrían abordar esto?
Una buena supervisión/gobernanza junto con la seguridad por diseño podría ayudar, pero primero viene la educación sobre la importancia de integrar la seguridad en todo el SDLC. Parte de lo que me ha atraído a este «mundo» es proteger a la gente. La concienciación y la educación en materia de ciberseguridad es una misión personal mía, pero no es una en la que me involucre a través del «fomento del miedo» o la crítica. Tenemos que usar la empatía y la compasión en este campo para avanzar y trabajar juntos en lugar de señalar con el dedo y pasar las «papas calientes».
¿Quién te inspira en el mundo de la ciberseguridad?
¡Juventud! Son los adolescentes y los de 20 y tantos años. Los veo a todos acelerados, informados y tan hiperactivos. Me inspiran todos los días. Van a cambiar al mundo, no tengo ninguna duda de eso, por lo que tenemos el increíble deber de» servirlos y protegerlos » en cualquier capacidad que podamos. Para mí personalmente, eso será a través de mis pequeños actos diarios como padre, voluntario y profesional de ciberseguridad.
¿Qué crees que deberían saber las personas que están considerando una carrera en ciberseguridad?
Hay una amplia gama de funciones y opciones de ciberseguridad hoy en día en esta línea de carrera nueva y en constante expansión. Si estás considerando una, considéralas todas. Prueba muchas cosas diferentes. ¡Diviértete con él también! Juegue con diferentes lenguajes de programación y scripts, así como pruebe y revise diferentes herramientas y productos. Hay tantas maneras de contribuir a esta comunidad que complementa a tantos tipos diferentes de personas, habilidades, personalidades y curiosidades, desde AppSec, redes, OpSec, búsqueda de amenazas, gobernanza, riesgo y cumplimiento, ¡y todo lo demás! Además, no tenga miedo de comunicarse con las personas que desempeñan un papel de ciberseguridad y hacerles preguntas sobre sus experiencias.
Para descubrir más sobre CISSP, descargue nuestra Guía Definitiva o aprenda más con nuestros documentos técnicos, Por qué nunca ha sido más importante ser un profesional de ciberseguridad calificado o Por Qué Es Importante Tener Profesionales de Ciberseguridad Calificados En Su Equipo: La Guía Definitiva para la Ciberseguridad y la Prosperidad Empresarial.