a Certified Information Systems Security Professional (CISSP) minősítést kell tekinteni az arany standard az információbiztonság. Ez azért van így, mert az összes ajtót, hogy a tanúsítás megnyitja a CISSP szakember. Ezek az ajtók számos különböző típusú pozícióhoz és lehetőséghez vezetnek,így az információbiztonsági közösség dinamikus és sokrétű.
ennek a sokféleségnek az alátámasztására az (ISC)2 interjúsorozatot indított annak feltárására, hogy a CISSP tanúsítás hova vezetett a biztonsági szakemberek számára. Legutóbb Angus Macrae megosztotta CISSP tapasztalatait. Ebben a részletben Melissa Parsons, a KPMG Canada kiberbiztonsági vezető tanácsadója szerepel. Jelentős sikereket ért el az egyre összetettebb informatikai, biztonsági és adatvédelemmel kapcsolatos projektek vezetésében és irányításában.
milyen munkát végez ma?
jelenleg vezető kiberbiztonsági tanácsadóként dolgozom a “Big 4” cég kockázati tanácsadási és tanácsadási gyakorlatán belül.
milyen problémákat old meg a vállalat?
csapatom és én segítünk a magán-és az állami szektor szervezeteinek eligazodni és minimalizálni a kiberkockázat világát. A kulcsfontosságú területek közé tartozik a stratégia és a kormányzás, az átalakulás, a kibervédelem és a kiberválasz. A közelmúltban számos kezelési kockázatértékelésen (vagy TRAs-on), valamint az ISO 27001 megbízásokon dolgoztam, amelyek az ügyfél információbiztonsági irányítási rendszerére (vagy ISMS-re) vonatkoznak.
miért döntött először a kiberbiztonság mellett?
továbbra is segíteni akartam a cégemnek a biztonságos és biztonságos innovációban oly módon, hogy tájékozottak legyenek, és figyelembe vegyék a fenyegetéseket, kockázatokat és sebezhetőségeket.
milyen volt az élet, amikor a kiberbiztonsági karrierjét kezdte?
kiberbiztonsági karrierbe léptem át egy korábbi DevOps-szerepből egy vállalaton belül. Nagyon jól ismertem ennek a szervezetnek a technológiáját és architektúráját abban az időben, amikor átmentem egy biztonsági elemzői szerepbe. Ennek a cégen belüli történelmi ismeretnek köszönhetően világosan meg tudtam határozni az erősségi területeket, valamint azokat a területeket, amelyek további figyelmet és gondosságot igényeltek a biztonsággal kapcsolatban.
mi volt az első kiberbiztonsági munkája?
Biztonsági Elemző. Felelős voltam a belső biztonsági programok kezeléséért, beleértve a vállalati kockázat technikai szempontjait, az incidensekre való reagálást, a jogszerű hozzáférési kérelmeket (adatvédelmi vezetőként tevékenykedtem), a katasztrófa utáni helyreállítás tervezését és tesztelését, valamint az ellenőrzési és szabályozási kötelezettségeket.
miért döntött úgy, hogy vállalja a CISSP-t?
figyelembe véve a CISSP volt a “nem-agy” nekem egyszer volt némi tapasztalata az övem alatt. Már átvettem és átadtam az SSCP-t az (ISC)2-ből. Ez volt a következő logikus lépés a szakmai fejlődésemben. Tudtam, hogy ez a legkeresettebb cert az én területén, és tudtam, hogy szükség lesz a magasabb rangú pozíciók/szerződések, és hogy ez megnyitja a sok ajtó (és van!). A CISSP megszerzése azt mutatja, hogy gyakorlati munkatapasztalattal rendelkezik, mélyen megérti a biztonságot a nyolc tesztelt területen, és ismeri a kiberbiztonsági táj minden aspektusát.
mi késztette erre?
akkor kezdtem el konzultálni, amikor megszereztem a CISSP-t. A csapatommal RFP javaslatokon dolgoztam, amelyek elsősorban azt jelezték, hogy a CISSP előfeltétele a követelményeknek. Amellett, hogy képzett dolgozni néhány hihetetlen projektek nagy magán-és állami szektor ügyfelek, a CISSP nagyra értékelik, elismert és elismert körében társaik és kollégái szerte a világon.
mennyi ideig tartott a CISSP elérése?
egy évre elkezdtem és abbahagytam a tanulást, majd a vizsga letétele előtti utolsó hónapban lecsatoltam.
milyen forrásokat használtál?
megvásároltam a hivatalos (ISC)2 tanulmányi útmutatót és gyakorlati teszteket. Ezen erőforrások mellett online oktatóanyagokat néztem, sok kézzel írt jegyzetet készítettem, és a táblámat használtam a fejlődésem nyomon követésére.
beiratkozott valamilyen képzésre?
én nem, de utólag, hogy lehetett volna nagyon hasznos és kevésbé stresszes. Ez egy dinamikusabb tanulási mód lehetett, jobb struktúrával, mint az önálló tanulási útvonal.
mi lepte meg leginkább a CISSP-vel kapcsolatban?
nem hiszem, hogy sok minden meglepett volna. Sok barátom és kollégám van, akik sikeresen letették a vizsgát, és nagyszerű tanácsokat és tippeket adtak nekem. Azt javaslom, hogy lépjen kapcsolatba a hálózattal, és kérdezze meg néhány különböző CISSP tulajdonosát tapasztalataikról. Mindenkinek van egy kicsit más tapasztalata és perspektívája.
melyek voltak az első változások, amelyeket észrevett, miután CISSP lett?
karrierem egy új, kissé megfélemlítő szakaszában voltam, amikor Fortune 500 vállalatokkal és nagy kormányzati szervezetekkel konzultáltam a kiberbiztonság területén. Izgatott voltam, megijedtem és izgatott egyszerre! A CISSP elérése egy újabb mérföldkő megünneplésének oka volt. Magabiztosabbnak éreztem magam a képességeimben, és megerősítést adott nekem, hogy elcsendesítsem az “imposture syndrome monster” – et, amely az elmém távoli sarkában rejtőzik, és hogy “folytassam a show-t”, hogy értékes termékeket állítsak elő az ügyfeleim számára.
milyen lépések vezettek a mai munkához?
amikor úgy döntöttem, hogy a tanácsadást elindítom, az volt a célom, hogy bővítsem tapasztalataimat és korábbi tudásbázisomat a kiberbiztonság területén több iparágban és ágazatban annak érdekében, hogy holisztikusabb képet kapjak a szervezetek kihívásairól. Hihetetlen utazás és tanulási élmény volt. Ez felgyorsította megértésemet és elismerésemet arról, hogy a vállalkozások és a szervezetek hogyan stratégiáznak és működnek a kiberbiztonság, az informatika, az információkezelés, a magánélet és a vállalati kockázatok tekintetében. Nagyon szerencsés voltam, hogy a C-suite és az igazgatótanács tagjai mellett dolgozhattam néhány nagyon innovatív és tehetséges szervezetnél. Röviden, a munka egyszerre inspiráló és kifizetődő. (A helyes lépést tettem!)
milyen eredményre vagy hozzájárulásra vagy a legbüszkébb?
ez év elején felkértek, hogy térjek vissza a főiskolámra, hogy öregdiákként mutassam be a kiberbiztonsági nők globális rendezvényén. Megtiszteltek, és úgy éreztem, hogy ez valóban az egyik” teljes kör ” pillanat az életben. Vendégelőadók voltak a világ minden tájáról, a média és a sok lenyűgöző üzleti és kormányzati vezető. Annyira ideges voltam, de óriási szükségességet éreztem a “körömre.”Hetekig gyakoroltam ezt a beszédet, és a pódiumon töltött 7 perc alatt láttam, hogy a kedvenc oktatóm mosolyog rám a közönségből. Számos alkalommal tartózkodnom kellett a szakadástól. Az esemény után megöleltem, és megköszöntem neki, hogy hitt bennem, amikor életem olyan pontján voltam, amikor nem sokat hittem magamban. Aznap este sok előadásom visszhangozta azt a témát, hogy higgy magadban, mentorálást találni, majd ezt előre fizetni, amikor csak tudsz.
mi az a munkádban, amit szeretsz?
szeretek segíteni a szervezeteknek útitervek kidolgozásában és a biztonsági helyzetük kiteljesítésében. Nagyon stratégiai és analitikus gondolkodó vagyok, és túl sok örömet kapok a kutatásból és a tervezésből. Nem hiszek az “Egy méret mindenkinek” modellben. Szeretem testre szabni azokat a terveket, amelyek reálisak és megvalósíthatók, hogy a világot egy kicsit biztonságosabbá tegyük mindannyiunk számára. Szeretek visszajelzést kapni az ügyfelektől egy záró értekezlet során. A szívemet és a lelkemet is beleöntöm abba, amit csinálok, és a világot jelenti számomra, hogy más emberek és szervezetek is profitálhatnak ebből.
mi a legnagyobb kihívás, amellyel karrierje során szembesült?
a legnagyobb kihívás? Legyen egyáltalán karriered! Fiatal, egyedülálló szülő voltam, aki nagyon korán küzdött, és “későn virágzó” voltam, amikor olyan utat találtam, amely iránt szenvedélyesen éreztem magam (és tudtam fizetni a számlákat!). Soha nem gondoltam volna 10-15 évvel ezelőtt, hogy a kiberbiztonságban lesz! Fiatalabb énem azt gondolta volna, hogy nem vagyok “elég” (elég okos, elég tehetséges, elég hajtott stb.). És mégis, mindig volt egy lelkes “nyomozati csík” minden korábbi munkahelyemen az ügyféltámogatás és az informatikai munka évei alatt. Egy korábbi menedzser “P. I. paszternák” – nak nevezett el, és ez sok évvel később rám ragadt! Nagyon büszke vagyok arra, hogy nem adtam fel új kihívások vállalását és új dolgok kipróbálását. Soha nem tudhatod, mire vagy képes, amíg meg nem próbálod! Olyan közhelyesen hangzik, de a hit minden ugrása vezetett ide ma.
milyen ambíciói vannak a karrier előtt?
még mindig próbálom kitalálni, hogy az egyik ki! Az igazat megvallva, vannak olyan pillanataim (mint ezek, ezt az interjút csinálom), ahol teljes sokkban vagyok! Látom, hogy továbbra is fejlesztem a stratégiámat és a tanácsadói képességeimet, csak talán egy idősebb szerepben.
hogyan biztosíthatja, hogy képességei tovább növekedjenek?
számos szakmai egyesület és csoport tagja vagyok, mint például az (ISC)2, és továbbra is részt veszek szemináriumokon, konferenciákon, webináriumokon és tréningeken, hogy ügyességem éles maradjon, és új perspektívákat és betekintést nyerjek a közösség másaiból. A hálózatépítés kulcsfontosságú minden karrierútban. Úgy találom, hogy a legjobb elvihetőségeket olyan környezetekből kapom, ahol találkozom és keveredek más szakemberekkel, és hallom, hogy megosztják történeteiket. Ez egy nagyszerű módja annak, hogy új mentorokkal találkozzunk, és mentorálást biztosítsunk másoknak is.
Ön szerint mi a legnagyobb kihívás a kiberbiztonság számára jelenleg?
úgy érzem, a legnagyobb kihívás most a gyors terjeszkedés a fenyegetés táj. Küzdünk, hogy lépést tartsunk. Az ellenfelek Már nem csak emberi természetűek, hanem pontosan abból a technológiából is állnak, amelyet az automatizálás, a sebesség, az agilitás és a hatékonyság iránti igényből hoztunk létre. Gondolj például botokra. Képesek arra, hogy jóra vagy, őszintén szólva, gonoszra használják őket. Nem kétséges, hogy a digitális forradalom csodaszerű fejlődéshez vezetett olyan területeken, mint az egészségügy és az információkhoz való mindenféle csodálatos hozzáférés, mint még soha, de mindig vannak ezek a gondolatok a fejem hátsó részén “Ok, de hogyan van ez konfigurálva? Hová kerülnek az adataim? Kinek/minek van hozzáférése? Mik a lehetséges veszélyek és kockázatok?”bármikor új terméket vagy megoldást fogadnak el.
Ön szerint milyen megoldásokkal lehetne ezt megoldani?
a jó felügyelet/irányítás, a tervezett biztonsággal párosulva, segíthet, de először az oktatás a biztonság beágyazásának fontosságáról az SDLC-ben. Az egyik dolog, ami ebbe a “világba” vonzott, az emberek védelme. A kiberbiztonsági tudatosság és oktatás személyes küldetésem, de nem olyan, amelyet “félelem-terjesztéssel” vagy kritikával folytatok. Empátiát és együttérzést kell használnunk ezen a területen, hogy előre lépjünk és együtt dolgozzunk ahelyett, hogy ujjal mutogatnánk és körbejárnánk a “forró krumplit”.
ki inspirál téged a kiberbiztonság világában?
Ifjúság! A tinik és a 20 évesek. Látom őket felpörgött, tájékozott és így hyperaware. Minden nap inspirálnak. Világgá fognak változni, ebben nincs kétségem, ezért hihetetlen kötelességünk, hogy” szolgáljuk és védjük ” őket, bármilyen minőségben. Nekem személyesen, hogy lesz az én kis, napi jár, mint a szülő, önkéntes, és kiberbiztonsági szakember.
mit gondolsz, mit kell tudniuk a kiberbiztonsági karriert fontolgató embereknek?
a kiberbiztonsági szerepek és lehetőségek széles skálája létezik ma ebben az új és egyre bővülő karriervonalban. Ha egyet fontolgat, fontolja meg mindet. Próbáljon ki egy csomó különböző dolgot. Jó szórakozást vele is! Játsszon különböző programozási nyelvekkel és szkriptekkel, valamint tesztelje és tekintse át a különböző eszközöket és termékeket. Olyan sokféle módon lehet hozzájárulni ehhez a közösséghez, amely olyan sokféle embert, képességet, személyiséget és érdekességet bókol az AppSec-től, a hálózatépítéstől, az OpSec-től, a fenyegetésvadászattól a kormányzásig, a kockázatig és a megfelelésig, és mindentől, ami köztük van! Továbbá ne féljen elérni a kiberbiztonsági szerepet betöltő embereket, és kérdéseket tegyen fel nekik tapasztalataikról.
ha többet szeretne megtudni a CISSP-ről, töltse le végső útmutatónkat, vagy többet megtudhat fehér könyveinkből, miért nem volt még soha fontosabb, hogy képzett kiberbiztonsági szakember legyen, vagy miért fontos, hogy képzett kiberbiztonsági szakemberek legyenek a csapatában: a végleges útmutató a kiberbiztonsághoz és az üzleti jóléthez.