the Certified Information Systems Security Professional (CISSP) certification is considered to be the gold standard in information security. Tämä on niin, koska kaikki ovet, että sertifiointi avautuu CISSP ammattilainen. Nämä ovet johtavat monenlaisiin tehtäviin ja mahdollisuuksiin, mikä tekee tietoturvayhteisöstä dynaamisen ja monipuolisen.
tämän monimuotoisuuden tukemiseksi (ISC) 2 on käynnistänyt sarjan haastatteluja tutkiakseen, missä CISSP sertifiointi on johtanut tietoturva-ammattilaisia. Viimeksi Angus Macrae jakoi CISSP-kokemuksensa. Tämä erä sisältää Melissa Parsons, vanhempi konsultti kyberturvallisuuden KPMG Kanada. Hän on onnistunut ajamaan ja hallitsemaan yhä monimutkaisempia IT -, turvallisuus-ja yksityisyysprojekteja.
mitä työtä teet nykyään?
tällä hetkellä työskentelen vanhempana Kyberturvallisuuskonsulttina Risk Consulting and Advisory practice-yrityksessä ”Big 4”.
mitä ongelmia yrityksenne ratkaisee?
autamme tiimini kanssa yksityisen ja julkisen sektorin organisaatioita navigoimaan ja minimoimaan kyberriskien maailman. Keskeisiä painopistealueita ovat strategia ja hallinto, transformaatio, kyberpuolustus ja kybervastaus. Viime aikoina, olen työskennellyt useita Treat Risk Assessments (tai TRAs) sekä ISO 27001 sitoumukset, jotka koskevat asiakkaan tietoturvan hallintajärjestelmä (tai ISMS).
Miksi päätit ensin ryhtyä kyberturvallisuuteen?
halusin edelleen auttaa yritystäni innovoimaan turvallisesti ja varmasti tavalla, joka on informoitu ja joka ottaa huomioon uhkat, riskit ja haavoittuvuudet matkan varrella.
millaista elämä oli, kun aloitit urasi kyberturvallisuuden parissa?
siirryin kyberturvallisuusuralle entisestä DevOps-roolista yrityksen sisällä. Tunsin läheisesti tämän organisaation teknologian ja arkkitehtuurin, kun siirryin Turvallisuusanalyytikon rooliin. Tämän yrityksen sisäisen historiantuntemuksen ansiosta pystyin tunnistamaan selkeästi vahvuusalueet ja alueet, jotka vaativat lisää keskittymistä ja huolellisuutta turvallisuuteen liittyen.
mikä oli ensimmäinen kyberturvallisuustyösi?
Turvallisuusanalyytikko. Olin vastuussa sisäisen turvallisuuden ohjelman hallinnasta, mukaan lukien tekniset näkökohdat yritysriskistä, tapahtumien vastauksesta, laillisista käyttöoikeuspyynnöistä (toimi yksityisyyden johtajana), katastrofien palautuksen suunnittelusta ja testauksesta sekä auditoinnista ja lakisääteisistä velvoitteista.
miksi päätitte ryhtyä CISSP: hen?
CISSP: n ottaminen oli minulle ”no-brainer”, kun minulla oli kokemusta vyön alla. Olin jo ottanut ja läpäissyt SSCP (ISC) 2. Tämä oli seuraava looginen askel ammatillisessa kehityksessäni. Tiesin, että se oli halutuin cert alallani, ja tiesin, että sitä tarvittaisiin enemmän johtotehtäviin/sopimuksiin ja että se avaisi paljon ovia (ja se on!). Saaminen CISSP osoittaa, että sinulla on käytännön työkokemusta, syvä ymmärrys turvallisuuden koko kahdeksan testattu verkkotunnuksia, ja perehtyneisyys melko paljon kaikki näkökohdat kyberturvallisuuden maisema.
mikä sai sinut tekemään niin?
aloitin konsultoinnin samoihin aikoihin, kun sain CISSP: ni. Olin työskennellyt RFP ehdotuksia tiimini, joka pääasiassa osoitti, että CISSP oli edellytys pätevyys vaatimukset. Sen lisäksi, että päteviä työskentelemään joitakin uskomattomia hankkeita suurten yksityisen ja julkisen sektorin asiakkaiden, CISSP on erittäin arvostettu, tunnustettu ja arvostettu keskuudessa ikäisensä ja kollegoiden ympäri maailmaa.
kuinka kauan kesti saavuttaa CISSP?
aloitin ja lopetin opiskelun vuodeksi, ja sitten lopetin viimeisen kuukauden ennen tenttiin menoa.
mitä resursseja käytit?
ostin virallisen (ISC)2 opinto-oppaan ja käytännön kokeet. Näiden resurssien lisäksi katsoin netistä tutoriaaleja, otin paljon käsin kirjoitettuja muistiinpanoja ja käytin tussitaulua seuratakseni edistymistäni.
ilmoittauduitko mihinkään koulutukseen?
En, mutta jälkikäteen ajateltuna siitä saattoi olla paljon apua ja vähemmän stressiä. Se olisi voinut olla dynaamisempi oppimistapa, jonka rakenne olisi parempi kuin itseopiskelureitti.
mikä CISSP: ssä yllätti eniten?
en tainnut paljoa yllättyä. Minulla on monia ystäviä ja työtovereita, jotka läpäisivät kokeen onnistuneesti ja tarjosivat minulle hyviä neuvoja ja vinkkejä. Haluaisin suositella tavoittaa oman verkon ja kysyä muutamia eri CISSP haltijoille heidän kokemuksistaan. Jokaisella on hieman erilainen kokemus ja näkökulma.
mitkä olivat ensimmäiset muutokset, jotka huomasit päästyäsi CISSP: hen?
olin urani uudessa, hieman uhkaavassa vaiheessa, jossa konsultoin Fortune 500-yrityksiä ja suuria valtion yhteisöjä kyberturvallisuudessa. Olin yhtä aikaa innokas, peloissani ja innoissani! Saavuttaa minun CISSP oli syytä juhlia vielä yksi virstanpylväs. Se sai minut tuntemaan enemmän luottamusta kykyihini ja antoi minulle validointi hiljentää ”imposture syndrome monster” vaanii kaukana nurkissa mieleni ja ”päästä show” tuottaa joitakin arvokkaita suoritteita asiakkailleni.
mitkä askeleet toivat sinut siihen työhön, jota teet nykyään?
kun päätin aloittaa konsultoinnin, tavoitteeni oli laajentaa kokemustani ja aiempaa tietopohjaani kyberturvallisuudesta useilla toimialoilla ja sektoreilla, jotta saisin kokonaisvaltaisemman kuvan organisaatioiden haasteista. Tämä on ollut uskomaton matka ja oppimiskokemus. Se on nopeuttanut ymmärrystäni ja arvostustani siitä, miten yritykset ja organisaatiot strategisoivat ja toimivat kyberturvallisuuden, IT: n, tiedonhallinnan, yksityisyyden ja yritysriskien suhteen. Olen ollut erittäin onnekas saadessani työskennellä C-Suiten ja joidenkin erittäin innovatiivisten ja lahjakkaiden organisaatioiden hallituksen jäsenten kanssa. Lyhyesti sanottuna työ on ollut sekä inspiroivaa että palkitsevaa. (Tein oikean siirron!)
mistä saavutuksesta tai panoksesta olet kaikkein ylpein?
aiemmin tänä vuonna minua pyydettiin palaamaan yliopistooni esiintymään alumnina maailmanlaajuisessa naisten kyberturvallisuustapahtumassa. Olin otettu ja tunsin, että tämä todella oli yksi niistä” täyden ympyrän ” hetkistä elämässä. Paikalla oli vierailevia puhujia eri puolilta maailmaa, mediaa ja niin monia vaikuttavia liike-elämän ja hallituksen johtajia. Olin niin hermostunut, mutta tunsin valtavaa tarvetta ” naulata se.”Harjoittelin tuota puhetta viikkoja, ja noiden 7 minuutin aikana palkintokorokkeella näin suosikkiohjaajani hymyilevän minulle yleisöstä. Jouduin pidättäytymään repimisestä useaan otteeseen. Tilaisuuden jälkeen halasin häntä ja kiitin häntä siitä, että hän uskoi minuun, kun olin sellaisessa vaiheessa elämääni, että en uskonut itseeni paljoakaan. Monet esitykseni sinä iltana kaikui että teema uskoa itseesi, löytää mentorointi ja sitten maksaa että eteenpäin, kun voit.
mitä rakastat työssäsi?
rakastan auttaa järjestöjä kehittämään tiekarttoja ja kypsyttämään turvallisuusasentoaan. Olen hyvin strateginen ja analyyttinen ajattelija ja saan aivan liikaa iloa tutkimuksesta ja suunnittelusta. En usko ”yksi koko sopii kaikille” – malliin. Haluan muokata suunnitelmia, jotka ovat realistisia ja saavutettavissa tehdä maailmasta hieman turvallisempi meille kaikille. Rakastan saada palautetta asiakkailta päätöstapaamisessa. Minä todella vuodatan sydämeni ja sieluni siihen, mitä teen, ja se merkitsee minulle paljon, että muut ihmiset ja organisaatiot voivat hyötyä siitä.
mikä on suurin haaste, jonka olet urallasi kohdannut?
suurin haaste? Sinulla on ura ollenkaan! Olin nuori, yksinhuoltaja todella kamppailee varhain, ja olin ”myöhään bloomer”, kun se tuli löytää polku tunsin intohimoisesti (ja voisi maksaa laskut!). En olisi 10-15 vuotta sitten kuvitellut, että se olisi kyberturvallisuudessa! Nuorempi minäni olisi luullut, etten ole ”tarpeeksi” (tarpeeksi fiksu, lahjakas, tarpeeksi ajettu jne.). Ja silti, olen aina ollut innokas ”tutkiva putki” kaikissa minun ennen työpaikoilla noina vuosina asiakaspalvelun ja IT työtä. Entinen manageri nimitti minua ”P. I. Palsternakaksi”, ja se on pysynyt mielessäni kaikki nämä vuodet myöhemmin! Olen todella ylpeä siitä, etten luopunut uusien haasteiden ottamisesta ja uusien asioiden kokeilemisesta. Et koskaan tiedä, mihin pystyt, ennen kuin yrität! Se kuulostaa niin kliseiseltä, mutta kaikki ne uskon hypyt johtivat minut tänne tänään.
mitä tavoitteita sinulla on urasi edessä?
sitä yritän vielä selvittää! Totta puhuen, minulla on hetkiä (kuten nämä, tehdä tätä haastattelua), joissa olen täysin shokissa! Näen itseni edelleen hioa minun strategia ja neuvonta taitoja vain ehkä enemmän vanhempi rooli.
Miten varmistat, että taitosi jatkavat kasvuaan?
kuulun useisiin ammattijärjestöihin ja lukuihin, kuten (ISC)2, ja osallistun edelleen seminaareihin, konferensseihin, webinaareihin ja koulutuksiin pitääkseni taitoni terävinä ja saadakseni uusia näkökulmia ja näkemyksiä muilta yhteisön jäseniltä. Verkostoituminen on avain urapolulla. Huomaan saan parhaat takeaways ympäristöissä, joissa olen kokous ja seurustella muiden ammattilaisten kanssa ja kuulla heidän jakaa tarinansa. Se on hyvä tapa tavata uusia mentoreita ja tarjota mentorointia myös muille.
mikä on mielestäsi suurin haaste kyberturvallisuudelle juuri nyt?
koen suurimpana haasteena juuri nyt uhkamaiseman nopean laajenemisen. Kamppailemme pysyäksemme mukana. Vastustajat eivät ole enää vain inhimillisiä, vaan ne koostuvat myös juuri siitä teknologiasta, jonka olemme luoneet automaation, nopeuden, ketteryyden ja tehokkuuden kysynnästä. Ajatusbotit, esimerkiksi. Niitä voidaan käyttää hyvään tai suoraan sanottuna pahaan. Ei ole epäilystäkään siitä, että digitaalinen vallankumous on johtanut ihmeen kaltaisiin edistysaskeliin terveydenhuollon kaltaisilla aloilla ja kaikenlaiseen ihmeelliseen tiedon saatavuuteen kuin koskaan ennen, mutta takaraivossani on aina niitä ajatuksia ” Ok, mutta miten tämä on määritetty? Minne tietoni menevät? Kenellä / millä on pääsy? Mitkä ovat mahdolliset uhat ja riskit?”aina kun uusi tuote tai ratkaisu hyväksytään.
millä ratkaisuilla tähän voitaisiin mielestänne puuttua?
hyvä valvonta/hallintotapa yhdistettynä turvallisuuden suunnitteluun voisi auttaa, mutta ensin tulee Koulutus turvallisuuden sisällyttämisen tärkeydestä koko SDLC: hen. Osa siitä, mikä on vetänyt minua tähän ”maailmaan”, on ihmisten suojeleminen. Kyberturvallisuustietoisuus ja-koulutus on henkilökohtainen tehtäväni, mutta se ei ole sellainen, johon osallistun ”pelon lietsonnan” tai kritiikin kautta. Meidän on käytettävä empatiaa ja myötätuntoa tällä alalla päästäksemme eteenpäin ja työskennelläksemme yhdessä sen sijaan, että osoittelemme sormella ja kiertelemme ”kuumia perunoita”.
kuka inspiroi sinua kyberturvallisuuden maailmassa?
nuoret! Teinejä ja parikymppisiä. Näen heidät kaikki kiihtyneinä, informoituina ja niin yliampuvina. He inspiroivat minua joka päivä. He tulevat muuttumaan maailmaksi, minulla ei ole epäilystäkään siitä, joten meillä on uskomaton velvollisuus ”palvella ja suojella” heitä siinä ominaisuudessa kuin voimme. Itselleni henkilökohtaisesti se tapahtuu pienten, päivittäisten tekojeni kautta vanhempana, vapaaehtoisena ja kyberturvallisuuden ammattilaisena.
mitä sinun mielestäsi kyberturvallisuusuraa harkitsevien pitäisi tietää?
tällä uudella ja alati laajenevalla uralinjalla on nykyään niin laaja kirjo kyberturvallisuuden tehtäviä ja vaihtoehtoja. Jos harkitset yhtä, harkitse niitä kaikkia. Kokeile monia eri asioita. Pidä hauskaa myös sen kanssa! Pelata eri ohjelmointikieliä ja skriptejä sekä testata ja tarkistaa erilaisia työkaluja ja tuotteita. On niin monia tapoja edistää tätä yhteisöä, joka onnittelee niin monia erilaisia ihmisiä, skillsets, persoonallisuuksia ja kuriositeetit alkaen AppSec, verkostoituminen, OpSec, uhka metsästys hallintoon, riski ja noudattaminen ja kaikkea siltä väliltä! Älä myöskään pelkää tavoittaa ihmisiä kyberturvallisuusroolissa ja kysyä heiltä kokemuksia.
voit löytää lisää CISSP Lataa Ultimate Guide tai oppia lisää meidän valkoiset kirjat, miksi se ei ole koskaan ollut tärkeämpää olla pätevä kyberturvallisuuden ammattilainen tai miksi on tärkeää saada päteviä kyberturvallisuuden ammattilaisia tiimisi: lopullinen opas kyberturvallisuuden ja liiketoiminnan vaurautta.