O Certified Information Systems Security Professional (CISSP), a certificação é considerada o padrão ouro na segurança das informações. Isso ocorre por causa de todas as portas que a certificação abre para um profissional CISSP. Essas portas levam a muitos tipos diferentes de posições e oportunidades, tornando a comunidade de segurança da informação dinâmica e multifacetada.
em apoio a essa diversidade, (ISC)2 lançou uma série de entrevistas para explorar onde a certificação CISSP liderou profissionais de segurança. A última vez que Angus Macrae compartilhou sua experiência CISSP. Esta parcela apresenta Melissa Parsons, Consultora Sênior em Segurança Cibernética da KPMG Canadá. Ela tem notável sucesso dirigindo e gerenciando projetos cada vez mais complexos relacionados a TI, Segurança e Privacidade.
que trabalho você faz hoje? Atualmente, trabalho como Consultor Sênior de segurança cibernética dentro da Consultoria de risco e prática de consultoria em uma empresa “Big 4”.
que Problemas sua empresa resolve?
minha equipe e eu ajudamos organizações nos setores público e privado a navegar e minimizar o mundo do risco cibernético. As principais áreas de foco incluem estratégia e governança, transformação, defesa cibernética e resposta cibernética. Recentemente, trabalhei em várias avaliações de risco de tratamento (ou TRAs), bem como em compromissos ISO 27001 relacionados ao sistema de gerenciamento de segurança da informação (ou ISMS) de um cliente.
por que você primeiro decidiu entrar em segurança cibernética?
queria continuar a ajudar a minha empresa a inovar de forma segura e segura de uma forma que fosse informada e que considerasse ameaças, riscos e vulnerabilidades ao longo do caminho.
como era a vida quando você começou sua carreira em segurança cibernética?
eu fiz a transição para uma carreira de segurança cibernética de uma antiga função de DevOps dentro de uma empresa internamente. Eu estava intimamente familiarizado com a tecnologia e a arquitetura dessa organização na época em que me mudei para uma função de Analista de segurança. Por causa desse conhecimento histórico dentro da empresa, consegui identificar claramente áreas de força e áreas que exigiam foco e cuidado adicionais em relação à segurança.
qual foi o seu primeiro trabalho de cibersegurança?
Analista De Segurança. Fui responsável pelo gerenciamento de programas de segurança interna, incluindo aspectos técnicos do risco da empresa, resposta a incidentes, solicitações de acesso legal (atuou como líder de Privacidade), planejamento e teste de recuperação de desastres, bem como obrigações de auditoria e regulamentação.
por que você decidiu empreender o CISSP?
tomar o CISSP foi um “acéfalo” para mim, uma vez que eu tive alguma experiência sob o meu cinto. Eu já tinha tomado e passado o SSCP de (ISC)2. Este foi o próximo passo lógico no meu desenvolvimento profissional. Eu sabia que era o cert mais procurado no meu campo, e eu sabia que seria necessário para cargos/contratos mais altos e que abriria muitas portas (e tem!). A obtenção do CISSP demonstra que você tem experiência prática de emprego, um profundo entendimento da segurança nos oito domínios testados e uma familiaridade com praticamente todos os aspectos do cenário de segurança cibernética.
o que o levou a fazer isso?
comecei a consultar na época em que obtive meu CISSP. Eu estava trabalhando em propostas de RFP com minha equipe, o que indicava principalmente que o CISSP era uma qualificação de pré-requisito nos requisitos. Além de ser qualificado para trabalhar em alguns projetos incríveis com grandes clientes do setor público e privado, o CISSP é altamente valorizado, reconhecido e respeitado entre colegas e colegas em todo o mundo.
quanto tempo demorou para alcançar o CISSP?
comecei e parei de estudar por um ano, e depois me encolhi no último mês antes de fazer o exame.
quais recursos você usou?
comprei o Guia de estudo oficial (ISC)2 e testes práticos. Além desses recursos, assisti a tutoriais online, peguei muitas notas manuscritas e usei meu quadro branco para acompanhar meu progresso.
você se inscreveu em algum treinamento?
eu não fiz, mas em retrospectiva, que pode ter sido muito útil e menos estressante. Poderia ser uma maneira mais dinâmica de aprender com uma estrutura melhor do que a rota de auto-estudo.
o que mais te surpreendeu sobre o CISSP?
eu não acho que eu estava muito surpreso com muito. Tenho muitos amigos e colegas que passaram com sucesso no exame e me ofereceram ótimos conselhos e dicas. Eu recomendaria entrar em contato com sua rede e perguntar a alguns titulares CISSP diferentes sobre suas experiências. Todo mundo tem uma experiência e perspectiva ligeiramente diferentes.
quais foram as primeiras mudanças que você notou depois de se tornar um CISSP?
eu estava em uma fase nova e um pouco intimidante da minha carreira na qual estava consultando empresas da Fortune 500 e grandes entidades governamentais em segurança cibernética. Eu estava ansioso, assustado e animado de uma só vez! Alcançar meu CISSP foi um motivo para comemorar mais um marco. Isso me fez sentir mais confiante em minhas habilidades e me deu validação para silenciar o “monstro da síndrome da impostura” escondido nos cantos mais distantes da minha mente e “continuar com o show” para produzir alguns produtos valiosos para meus clientes.
quais etapas o levaram ao trabalho que você faz hoje?Quando decidi dar uma chance à consultoria, meu objetivo era ampliar minhas experiências e minha base de conhecimento anterior em segurança cibernética em vários setores e setores, a fim de obter uma visão mais holística dos desafios das organizações. Foi uma jornada incrível e experiência de aprendizagem. Isso acelerou minha compreensão e apreciação de como empresas e organizações criam estratégias e operam em relação à segurança cibernética, TI, gerenciamento de informações, Privacidade e risco corporativo. Tive muita sorte de trabalhar ao lado de membros do C-suite e do Conselho de algumas organizações muito inovadoras e talentosas. Em suma, o trabalho tem sido inspirador e gratificante. (Eu fiz o movimento certo!)
de que Realização ou contribuição você mais se orgulha?
no início deste ano, fui convidado a voltar à minha faculdade para me apresentar como ex-alunos em um evento global para mulheres em segurança cibernética. Fiquei honrado e senti que este foi realmente um daqueles momentos de “círculo completo” na vida. Havia palestrantes convidados de todo o mundo, cobertura da mídia e tantos líderes empresariais e governamentais impressionantes. Eu estava tão nervoso, mas senti uma tremenda necessidade de “pregá-lo.”Eu pratiquei esse discurso por semanas e, nesses 7 minutos no pódio, vi meu instrutor favorito sorrindo para mim da platéia. Eu tive que me abster de rasgar em várias ocasiões. Após o evento, dei-lhe um abraço e agradeci-lhe por acreditar em mim quando estava em um ponto da minha vida em que não acreditava muito em mim mesmo. Muita da minha apresentação naquela noite ecoou esse tema de acreditar em si mesmo, encontrar orientação e depois pagar isso quando puder.
o que é sobre o seu trabalho que você ama?
adoro ajudar as organizações a desenvolver mapas de estradas e amadurecer sua postura de segurança. Eu sou um pensador muito estratégico e analítico e fico muito feliz com a pesquisa e o planejamento. Eu não acredito no modelo” One size fits all”. Eu gosto de personalizar planos que são realistas e alcançáveis para tornar o mundo um pouco mais seguro para todos nós. Adoro receber feedback dos clientes durante uma reunião de encerramento. Eu realmente derramo meu coração e alma no que faço, e isso significa que o mundo para mim que outras pessoas e organizações podem se beneficiar disso.Qual é o maior desafio que você enfrentou em sua carreira?
o maior desafio? Ter uma carreira em tudo! Eu era um jovem, pai solteiro realmente lutando desde o início, e eu era um “falecido bloomer” quando se tratava de encontrar um caminho pelo qual me sentia apaixonado (e poderia pagar as contas!). Eu nunca teria imaginado 10-15 anos atrás que seria em segurança cibernética! Meu eu mais jovem teria pensado que eu não era “suficiente” (inteligente o suficiente, talentoso o suficiente, dirigido o suficiente, etc.). E, no entanto, sempre tive uma grande “veia investigativa” em todos os meus locais de trabalho anteriores durante esses anos de suporte ao cliente e trabalho de TI. Fui apelidado de “P. I. Parsnips” por um ex-gerente, e isso ficou comigo todos esses anos depois! Estou muito orgulhoso por não ter desistido de enfrentar novos desafios e tentar coisas novas. Você nunca sabe do que é capaz até tentar! Parece tão clichê, mas foram todos esses saltos de fé que me levaram aqui hoje.
que ambições você tem para sua carreira pela frente?
ainda estou tentando descobrir isso! Verdade seja dita, tenho momentos (como estes, fazendo esta entrevista) onde estou em total choque! Eu me vejo continuando a aprimorar minhas habilidades de estratégia e consultoria, talvez em um papel mais sênior.
como você garante que suas habilidades continuem a crescer?
eu pertenço a uma série de associações profissionais e capítulos, como (ISC)2, e eu continuo a participar de seminários, conferências, webinars e treinamentos para manter meu conjunto de habilidades afiadas e ganhar novas perspectivas e insights de outros na comunidade. Networking é fundamental em qualquer carreira. Acho que recebo os melhores takeaways de ambientes onde estou me encontrando e me misturando com outros profissionais e ouvi-los compartilhar suas histórias. É uma ótima maneira de conhecer novos mentores e fornecer orientação a outras pessoas, também.
qual você acha que o maior desafio é para a segurança cibernética agora?
sinto que o maior desafio agora é a rápida expansão do cenário de ameaças. Estamos lutando para acompanhar. Os adversários não são mais apenas humanos por natureza; eles também consistem na própria tecnologia que criamos a partir da demanda por automação, velocidade, agilidade e eficiência. Pense em bots, por exemplo. Eles têm a capacidade de serem usados para o bem ou, francamente, para o mal. Não há dúvida de que a revolução digital levou a avanços milagrosos em áreas como saúde e todos os tipos de acessibilidade maravilhosa à informação como nunca antes, mas sempre há esses pensamentos na parte de trás da minha cabeça “Ok, mas como isso está configurado? Para onde vão os meus dados? Quem / o que tem acesso? Quais são as ameaças e riscos potenciais?”sempre que um novo produto ou solução é adotado.
quais soluções você acha que poderiam resolver isso?
uma boa supervisão/governança associada à segurança por design pode ajudar, mas primeiro vem a educação sobre a importância de incorporar a segurança em todo o SDLC. Parte do que me atraiu para este “mundo” é proteger as pessoas. A conscientização e a educação sobre segurança cibernética são uma missão pessoal minha, mas não é uma em que me envolvo por meio de “ataques de medo” ou críticas. Temos que usar empatia e compaixão neste campo para avançar e trabalhar juntos em vez de apontar os dedos e passar pelas “batatas quentes”.
Quem te inspira no mundo da cibersegurança?
Juventude! São os adolescentes e 20 e poucos anos. Eu os vejo todos acelerados, informados e tão hiperaware. Eles me inspiram todos os dias. Eles vão mudar para o mundo, Não tenho dúvidas sobre isso, então temos um dever incrível de “servi-los e protegê-los” em qualquer capacidade que pudermos. Para mim, pessoalmente, isso será por meio de meus pequenos atos diários como pai, voluntário e profissional de segurança cibernética.
o que você acha que as pessoas que consideram uma carreira em segurança cibernética devem saber?
existe uma gama tão grande de funções e opções de segurança cibernética hoje nesta nova linha de carreira em constante expansão. Se você está considerando um, Considere todos eles. Experimente muitas coisas diferentes. Divirta-se com isso também! Jogue com diferentes linguagens de programação e scripts, além de testar e revisar diferentes ferramentas e produtos. Existem tantas maneiras de contribuir para esta comunidade que complementa tantos tipos diferentes de pessoas, conjuntos de habilidades, personalidades e curiosidades da AppSec, networking, OpSec, caça de ameaças à governança, risco e conformidade e tudo mais! Além disso, não tenha medo de entrar em contato com as pessoas em uma função de segurança cibernética e fazer perguntas sobre suas experiências.
para saber mais sobre o CISSP baixe nosso Guia Definitivo ou saiba mais com nossos white papers, por que nunca foi tão importante ser um profissional qualificado em segurança cibernética ou por que é importante ter profissionais qualificados em segurança cibernética em sua equipe: o Guia Definitivo para segurança cibernética e prosperidade Empresarial.