La certificazione Certified Information Systems Security Professional (CISSP) è considerata il gold standard nella sicurezza delle informazioni. Questo è così a causa di tutte le porte che la certificazione apre a un professionista CISSP. Queste porte portano a molti diversi tipi di posizioni e opportunità, rendendo così la comunità della sicurezza delle informazioni dinamica e sfaccettata.
A sostegno di questa diversità, (IS)2 ha lanciato una serie di interviste per esplorare dove la certificazione CISSP ha portato i professionisti della sicurezza. L’ultima volta Angus Macrae ha condiviso la sua esperienza CISSP. Questa puntata presenta Melissa Parsons, consulente senior in sicurezza informatica per KPMG Canada. Ha un notevole successo nella guida e nella gestione di progetti IT, sicurezza e privacy sempre più complessi.
Che lavoro fai oggi?
Attualmente, lavoro come consulente senior per la sicurezza informatica all’interno della pratica di consulenza e consulenza sui rischi in una società “Big 4”.
Quali problemi risolve la vostra azienda?
Il mio team ed io aiutiamo le organizzazioni del settore privato e pubblico a navigare e ridurre al minimo il mondo del cyber risk. Le aree chiave di interesse includono strategia e governance, trasformazione, difesa cibernetica e risposta cibernetica. Recentemente, ho lavorato su una serie di valutazioni del rischio di trattamento (o TRAS) e su impegni ISO 27001 che riguardano il sistema di gestione della sicurezza delle informazioni di un cliente (o ISMS).
Perché hai deciso di entrare nella sicurezza informatica?
Volevo continuare ad aiutare la mia azienda a innovare in modo sicuro e sicuro in un modo che fosse informato e che considerasse minacce, rischi e vulnerabilità lungo il percorso.
Com’era la vita quando hai iniziato la tua carriera nella sicurezza informatica?
Sono passato a una carriera di cybersecurity da un precedente ruolo DevOps all’interno di un’azienda internamente. Ero intimamente familiare con la tecnologia e l’architettura di questa organizzazione al momento in cui mi sono trasferito a un ruolo di analista di sicurezza. Grazie a questa conoscenza storica all’interno dell’azienda, sono stato in grado di identificare chiaramente le aree di forza e le aree che richiedevano maggiore attenzione e attenzione in relazione alla sicurezza.
Qual è stato il tuo primo lavoro di cybersecurity?
Analista di sicurezza. Sono stato responsabile della gestione del programma di sicurezza interna, inclusi gli aspetti tecnici del rischio aziendale, la risposta agli incidenti, le richieste di accesso legali (come lead per la privacy), la pianificazione e i test di disaster recovery, nonché gli obblighi di audit e normativi.
Perché hai deciso di intraprendere CISSP?
Prendere il CISSP è stato un “gioco da ragazzi” per me una volta che ho avuto qualche esperienza sotto la cintura. Avevo già preso e passato l’SSCP da (IS)2. Questo è stato il prossimo passo logico nel mio sviluppo professionale. Sapevo che era il cert più ricercato nel mio campo, e sapevo che sarebbe stato richiesto per posizioni più senior / contratti e che avrebbe aperto un sacco di porte (e ha!). Ottenere il CISSP dimostra di avere esperienza lavorativa pratica, una profonda comprensione della sicurezza negli otto domini testati e una familiarità con praticamente tutti gli aspetti del panorama della sicurezza informatica.
Cosa ti ha spinto a farlo?
Ho iniziato a consultare intorno al tempo ho ottenuto il mio CISSP. Stavo lavorando su proposte RFP con il mio team, che principalmente indicato che il CISSP era una qualifica prerequisito nei requisiti. Oltre ad essere qualificato per lavorare su alcuni progetti incredibili con grandi clienti del settore pubblico e privato, il CISSP è molto apprezzato, riconosciuto e rispettato tra colleghi e colleghi in tutto il mondo.
Quanto tempo ci è voluto per raggiungere il CISSP?
Ho iniziato e smesso di studiare per un anno, e poi ho ceduto nell’ultimo mese prima di sostenere l’esame.
Quali risorse hai usato?
Ho acquistato la guida di studio ufficiale (IS)2 e le prove pratiche. In aggiunta a queste risorse, ho guardato tutorial online, ha preso un sacco di note scritte a mano e utilizzato la mia lavagna per monitorare i miei progressi.
Ti sei iscritto a qualche corso di formazione?
Non l’ho fatto, ma col senno di poi, potrebbe essere stato molto utile e meno stressante. Potrebbe essere stato un modo più dinamico di apprendimento con una struttura migliore rispetto al percorso di autoapprendimento.
Cosa ti ha sorpreso di più di CISSP?
Non penso di essere rimasto troppo sorpreso da molto. Ho molti amici e colleghi che hanno superato con successo l’esame e mi hanno offerto ottimi consigli e suggerimenti. Consiglierei di contattare la tua rete e chiedere ad alcuni diversi titolari di CISSP le loro esperienze. Ognuno ha un’esperienza e una prospettiva leggermente diverse.
Quali sono stati i primi cambiamenti che hai notato dopo essere diventato un CISSP?
Ero in una nuova, leggermente intimidatorio fase della mia carriera in cui stavo consultando per Fortune 500 aziende e grandi enti governativi in sicurezza informatica. Ero ansioso, spaventato ed eccitato tutto in una volta! Raggiungere il mio CISSP è stato un motivo per celebrare ancora un altro traguardo. Mi ha fatto sentire più fiducioso nelle mie capacità e mi ha dato la convalida per calmare il “mostro della sindrome dell’impostura” in agguato negli angoli più remoti della mia mente e per “andare avanti con lo spettacolo” per produrre alcuni risultati preziosi per i miei clienti.
Quali passi ti hanno portato al lavoro che fai oggi?
Quando ho deciso di dare consulenza un andare, il mio obiettivo era quello di ampliare le mie esperienze e precedenti conoscenze di base in cybersecurity in più settori e settori al fine di ottenere una visione più olistica delle sfide delle organizzazioni. È stato un viaggio incredibile e un’esperienza di apprendimento. Ha accelerato la mia comprensione e apprezzamento per il modo in cui le aziende e le organizzazioni strategizzano e operano in relazione alla sicurezza informatica, all’IT, alla gestione delle informazioni, alla privacy e al rischio aziendale. Sono stato molto fortunato a lavorare a fianco di C-suite e membri del consiglio di alcune organizzazioni molto innovative e di talento. In breve, il lavoro è stato sia stimolante che gratificante. (Ho fatto la mossa giusta!)
Di quale risultato o contributo sei più orgoglioso?
All’inizio di quest’anno, mi è stato chiesto di tornare al mio college per presentare come alumni ad un evento globale per le donne nella sicurezza informatica. Sono stato onorato e ho sentito che questo era veramente uno di quei momenti “full circle” nella vita. C’erano relatori ospiti provenienti da tutto il mondo, copertura mediatica e così tanti impressionanti leader aziendali e governativi. Ero così nervoso, ma sentivo una quantità enorme di necessità di ” inchiodarlo.”Ho praticato quel discorso per settimane, e in quei 7 minuti sul podio, ho visto il mio istruttore preferito sorridermi dal pubblico. Ho dovuto astenersi dal strappare in un certo numero di occasioni. Dopo l’evento, gli ho dato un abbraccio e l’ho ringraziato per aver creduto in me quando ero in un punto della mia vita in cui non credevo molto in me stesso. Un sacco di mia presentazione quella notte echeggiava quel tema di credere in te stesso, trovare tutoraggio e poi pagare che in avanti quando è possibile.
Qual è il tuo lavoro che ami?
Mi piace aiutare le organizzazioni a sviluppare mappe stradali e maturare la loro posizione di sicurezza. Sono un pensatore molto strategico e analitico e traggo troppa gioia dalla ricerca e dalla pianificazione. Non credo nel modello “taglia unica”. Mi piace personalizzare i piani che sono realistici e realizzabili per rendere il mondo un po ‘ più sicuro per tutti noi. Mi piace ottenere un feedback da parte dei clienti durante una riunione di chiusura. Riverso davvero il mio cuore e la mia anima in quello che faccio, e significa per me che altre persone e organizzazioni possono trarne beneficio.
Qual è la sfida più grande che hai affrontato nella tua carriera?
La sfida più grande? Avere una carriera a tutti! Ero un giovane genitore single che lottava molto presto, ed ero un “tardo bloomer” quando si trattava di trovare un percorso che mi sentivo appassionato (e potevo pagare le bollette!). Non avrei mai immaginato 10-15 anni fa che sarebbe stato nella sicurezza informatica! Il mio sé più giovane avrebbe pensato che non fossi “abbastanza” (abbastanza intelligente, abbastanza talentuoso, abbastanza guidato, ecc.). Eppure, ho sempre avuto una “vena investigativa” acuta in tutti i miei precedenti posti di lavoro durante quegli anni di assistenza clienti e lavoro IT. Sono stato soprannominato “P. I. Pastinaca” da un ex manager, e che è rimasto con me tutti questi anni dopo! Sono davvero orgoglioso di non aver rinunciato ad affrontare nuove sfide e provare cose nuove. Non sai mai di cosa sei capace fino a quando non provi! Sembra così cliché, ma sono stati tutti quei salti di fede che mi hanno portato qui oggi.
Quali ambizioni hai per la tua carriera?
Sto ancora cercando di capirlo! A dire il vero, ho momenti (come questi, facendo questa intervista) in cui sono in totale shock! Mi vedo continuare ad affinare la mia strategia e le mie capacità di consulenza solo forse in un ruolo più anziano.
Come si fa a garantire le vostre abilità continuano a crescere?
Appartengo a un certo numero di associazioni professionali e capitoli come (IS)2, e continuo a partecipare a seminari, conferenze, webinar e corsi di formazione per mantenere il mio skillset tagliente e ottenere nuove prospettive e intuizioni da altri nella comunità. Networking è la chiave in qualsiasi percorso di carriera. Trovo che ottengo i migliori take away da ambienti in cui mi sto incontrando e mescolandomi con altri professionisti e li sento condividere le loro storie. È un ottimo modo per incontrare nuovi mentori e fornire tutoraggio anche agli altri.
Quale pensi che sia la sfida più grande per la sicurezza informatica in questo momento?
Sento che la sfida più grande in questo momento è la rapida espansione del panorama delle minacce. Stiamo lottando per tenere il passo. Gli avversari non sono più solo di natura umana; sono costituiti anche dalla stessa tecnologia che abbiamo creato dalla domanda di automazione, velocità, agilità ed efficienza. Pensate bot, per esempio. Essi hanno la capacità di essere utilizzati per il bene o, francamente, il male. Non c’è dubbio che la rivoluzione digitale ha portato a progressi miracolosi in settori come l’assistenza sanitaria e ogni sorta di meravigliosa accessibilità alle informazioni come mai prima d’ora, ma c’è sempre quei pensieri nella parte posteriore della mia testa intorno ” Ok, ma come è configurato? Dove stanno andando i miei dati? Chi / cosa ha accesso? Quali sono le potenziali minacce e rischi?”ogni volta che viene adottato un nuovo prodotto o soluzione.
Quali soluzioni pensi potrebbero risolvere questo problema?
Una buona supervisione/governance unita alla sicurezza in base alla progettazione potrebbe aiutare, ma prima viene l’educazione sull’importanza di incorporare la sicurezza in tutto l’SDLC. Parte di ciò che mi ha attratto in questo “mondo” è proteggere le persone. La consapevolezza e l’educazione alla cybersecurity è una mia missione personale, ma non è una missione in cui mi impegno attraverso “paura mongering” o critiche. Dobbiamo usare l’empatia e la compassione in questo campo per andare avanti e lavorare insieme invece di puntare il dito e passare intorno alle “patate calde”.
Chi ti ispira nel mondo della sicurezza informatica?
Gioventù! Sono gli adolescenti e i ventenni. Li vedo tutti su di giri, informati e così iperaware. Mi ispirano ogni giorno. Stanno per cambiare il mondo, non ho dubbi su questo, quindi abbiamo un incredibile dovere di “servirli e proteggerli” in qualsiasi capacità possiamo. Per me personalmente, che sarà attraverso il mio piccolo, atti quotidiani come un genitore, volontario, e la sicurezza informatica professionale.
Cosa pensi che le persone che considerano una carriera nella sicurezza informatica dovrebbero sapere?
C’è una vasta gamma di ruoli e opzioni di sicurezza informatica là fuori oggi in questa nuova e in continua espansione linea di carriera. Se state pensando di uno, considerarli tutti. Prova un sacco di cose diverse. Buon divertimento con esso, troppo! Gioca con diversi linguaggi di programmazione e script, nonché testare e rivedere diversi strumenti e prodotti. Ci sono tanti modi per contribuire a questa comunità che complimenta così tanti diversi tipi di persone, skillsets, personalità e curiosità da AppSec, networking, OpSec, caccia alle minacce alla governance, rischio e conformità e tutto il resto! Inoltre, non abbiate paura di raggiungere le persone in un ruolo di sicurezza informatica e chiedere loro domande sulle loro esperienze.
Per saperne di più su CISSP scarica la nostra Guida definitiva o scopri di più con i nostri white paper, perché non è mai stato più importante essere un professionista qualificato di sicurezza informatica o perché è importante avere professionisti qualificati di sicurezza informatica nel tuo team: The Definitive Guide for Cybersecurity and Business Prosperity.