外包介绍
成功的首席信息安全官的特征及其经验
发布日期:2022-08-07 10:24    点击次数:193
 

Ellen Benaim是总部位于丹麦哥本哈根的SaaS提供商Templafy公司的首席信息安全官,她于2018年6月入职该公司担任技术支持工程师,并开始了她的职业生涯。在2020年3月,她成为了Templafy公司的首席信息安全官。

在行业媒体对她进行的采访中,她谈到了对首席信息安全官角色的看法,并为那些希望有朝一日实现这一目标的人提供了一些建议。

请您介绍一下在Templafy公司的职业发展情况

Benaim:我一直对IT技术充满了热情,更具体地说,我更加关注人们每天都在使用的技术的安全。在我担任技术支持工程师时,我了解和掌握了Templafy平台的技术组件,并指导用户解决他们面临的问题。但是,随着知识库的发展,我也开始深入研究Templafy平台和组织的安全方面。然后我加入安全团队致力于构建安全第一的方法。这对整个公司和我们的用户来说都是非常成功的,这让我能够继续发展壮大安全团队。

在我入职Templafy公司22个月之后,Henrik Printzlau辞去了首席信息安全官的职务,我为实现我的职业目标而感到荣幸和激动,成为Templafy公司第一位女性首席信息安全官。在新冠疫情期间担任这一角色面临更大的责任和压力,特别是考虑到技术和SaaS行业在过去一年半中出现的指数级增长。然而到目前为止,这是一段美妙的旅程,我很高兴能够带领Templafy的团队走得更远。

您接替了Henrik Printzlau担任首席信息安全官角色,在交接之前你是如何准备的?

Benaim:我的目标是成为一名首席信息安全官——事实上,我在入职面试中就谈到了这一点。Henrik Printzlau在面试区的时候问我接下来五年的目标是什么,我诚实地回答说,想成为安全领域的专家,并致力于成为一名首席信息安全官。当然,那时我并没有意识到Henrik在公司中的角色,因为他的LinkedIn资料只表明他是联合创始人。他告诉我,他就是首席信息安全官,这次面试是我们两人达成良好合作关系的开始。

Henrik理解并尊重我的目标,让我从头开始学习,并让我有机会深入研究Templafy安全系统令人兴奋的技术和发展。两年来,我与Henrik密切合作,推动Templafy公司在安全方面的投资并提升安全水平。从第一天起,Henrik就一直是我的好导师,当他决定继续专注于Templafy公司更大的战略时,我们彼此以及与团队建立的良好关系和信任,这使我们的职位交接无缝衔接。他帮助我为首席信息安全官的角色做好准备,在这两年的时间里悉心指导和教导我,让我有信心追随他的脚步。

在您看来,成功的首席信息安全官的必要特征是什么?

Benaim:很多人认为安全人员的工作可能会妨碍业务运营,这是一个误解。虽然安全领导者希望确保业务一切正常且尽可能安全,但这并不意味着他们是许多人认为的“安全警察”。除了这种不良的形象之外,人们对首席信息安全官的刻板印象是咄咄逼人、傲慢和控制欲强。然而, 放屁臭是怎么回事首席信息安全官并不一定要成为强硬的统治者才能成为有效的安全领导者。事实上,有时成功的首席信息安全官的特征恰恰相反。

在我领导安全团队的工作经验中,我发现协作、沟通和参与是首席信息安全官取得成功的关键特征。首席信息安全官的职责不是“控制”企业的业务,而是让企业更加安全。这需要积极的倾听技巧并与业务团队开展合作,以了解他们的目标和痛点,以了解安全性可以与其他人合作而不是与他们对抗。成功的首席信息安全官是团队合作者,他们与同事为公司的利益一起工作。

另一个常见的误解是强大的领导者对企业的成功负有全部责任。事实上,领导者无法独自完成这一项任务。安全需要团队的共同努力;我们的力量取决于最薄弱的环节。营造开放和协作的环境并信任团队来完成他们受雇完成的工作非常重要。

您工作的乐趣是什么?你希望避免什么?或者改变/改进什么?

Benaim:我很荣幸在这样一家重视安全性和首席信息安全官角色的公司工作。很好的一个例子是最近做出的一个决定,就是让我直接向企业董事会报告(而不是向首席技术官或首席信息官报告),并且让安全团队有自己的预算。这一决定展示了我们公司如何给予安全应有的价值。Templafy公司不会满足于低于企业级的安全性,公司领导团队的行动证明了这一点。将信息安全视为战略投资和业务推动者的看法是我在工作中倡导的变革。

我为我们在Templafy公司建立的安全生态系统感到无比自豪。我乐于迎接每天面临的挑战,以继续将我们的安全状况提升到行业领先水平,这不仅对我们的客户,也对我们自己负责。

您从整个职业生涯的导师那里学到了什么?你也在指导其他人吗?

Benaim:在我职业生涯的早期,我在都柏林的一家资产管理公司实习,并在他们的安全团队工作。在实习期间,领导我的是一名高级信息安全经理,在参加的任何安全会议中,她都是会议中唯一的女性,她总是得到公司里所有人的信任和尊重。她告诉我,你不必成为所有安全行业的佼佼者,更重要的是要专注于你从事的工作,并致力于建立一个可以填补空白的安全团队。

Henrik是我的另一位伟大导师和榜样。在过去的两年里,我很幸运能在他的指导下训练和学习。当得到其他领导者的支持和信任时,更有可能成功。Henrik从一开始就相信我的努力,我相信他的指导在我的成功中起到了重要作用。

我很幸运遇到了一些伟大的人,我也希望能够教育年轻一代,并分享我从自己的导师那里学到的东西。事实上,在我大学期间,我通过名为CoderDojo的课程教孩子们如何编程。此外在一个大学项目中,我创建了一个视频游戏,教孩子们如何通过对抗Wndows应用商店中仍然存在的黑客来确保网络安全。玩家可以在游戏中获得更多知识,并利用这些知识击败黑客。我喜欢教学,希望通过未来的导师和社区参与,我能激励和鼓励孩子们从事科技事业。

此外,我还参加了与FearlessintoTech和Womenin Tech Denmark的一些活动,并很高兴与他们进行公开对话,以帮助提高科技行业对所有人的吸引力。我还应邀在我以前就读的大学科克大学和SDA博科尼管理学院发表演讲。SDA博科尼管理学院开设了网络安全硕士课程,男女比例接近50:50,这确实令人鼓舞。在科技行业的代表性是关键,鼓励女性加入该行业将始终是我的目标。

哪些研究、课程、经验、书籍、在线资源对您对网络安全和领导力的看法产生了重大影响?

Benaim:我在科克大学学习了商业信息系统,这为我在IT、商业模块和安全方面打下了良好的基础。虽然这些基本知识非常宝贵,但我的很多安全知识都来自工作经验。

与所有技术行业一样,网络安全也在不断变化。由于不断变化的趋势和风险,不断学习和参与增长机会非常重要。网络安全领域有许多子学科,但是,许多此类工作具有共同的技术基础,并且从下面列出的课程中获得的知识是对实践经验的极大补充:

进攻性安全认证专家(OSCP) 认证信息安全审计师(CISA) GIAC认证事故处理师(GCIH) 认证信息系统安全专家(CISSP) 信息系统安全架构专家(CISSP-ISSAP) 信息系统安全工程专家(CISSP-ISSEP) 信息系统安全管理专家(CISSP-ISSMP)

OWASP基金会网站上还有许多工具和资源,可以帮助掌握通用编程/软件开发概念和软件分析技能。在专业资源之外,我建议人们关注在线提供的许多优秀文章、评审论文和安全博客。

在我看来,展示在工作中的经验的能力比获得认证更重要,只要确保目标是获得知识而不仅仅是认证,并相应地选择优质课程。

你有自我能力否定倾向吗?如果有,你如何面对的?

Benaim:像许多其他在男性主导的领域工作的年轻女性一样,我有自我能力否定倾向,这让我有时会怀疑自己的才能和技能。当开始在一个长期以来一直认为自己不属于/可以在那里取得成功的行业中取得成功时,怀疑是一种非常自然的反应。

边缘化社区缺乏榜样对让人们感觉自己不属于这些环境有着重大影响。这就是为什么技术代表非常重要的原因,以使该行业更加受欢迎和平等,以造福所有人。

当自我能力否定倾向开始发作时,我记得我所经历的是自然而然的时刻,可以通过不要在意其他人的看法来面对这一时刻。我通过提醒自己获得了首席信息安全官的角色来克服这种倾向。我回想起这样一个事实,Templafy公司给了我以我想要的方式取得成功的许可,让我能够在我认为适合公司的范围和方向上发挥带头作用。出于某种原因,我获得了制定安全计划和领导一支优秀团队的自由和信任。

对任何一个层次的人来说,经历怀疑和恐惧都是很自然的情况,但顺利度过这些时刻并不让它们控制是至关重要的。我期待迎接挑战、不确定性和失败,因为这就是生活,我总是努力让我的动力和雄心引领我度过这一时刻。伟大的领导者的特征是他们接受失败并让自己的经历推动他们前进。

您会给从事网络安全工作的女性和年轻人什么建议?

Benaim:我鼓励任何对网络安全感兴趣的人都去尝试——无论他们的年龄或目前的职业角色如何。有很多可用的课程和资源可以为理解网络安全的技术方面和许多可转移的技能提供必要的基础以进入安全领域。

关键是要找到可以请教的导师或同行,组织内部和技术社区中,总有一些领导者愿意帮助那些对网络安全充满热情的人。不要害怕寻求帮助,不要害怕接受挑战。我相信任何充满热情的人都可以学习和使用新技术,无论性别或年龄如何。

多年来,您收到了哪些可以产生强烈共鸣的建议?

Benaim:虽然我一直致力于成为一名首席信息安全官,但我从未想过它会在我职业生涯的早期发生。但是,在Henrick曾经给我的一条建议之后,这种情况发生了变化。在我在Templafy公司工作的早期,他鼓励我接受不确定性并接受挑战。

人们很容易担心工作和生活中所有的未知因素,得到这条建议让我做好了正面面对这个角色挑战的准备。首席信息安全官需要能够实时运作,在敏捷性和适应性方面,并且在不立即获得所有所需信息的情况下采取行动。

另一方面,我会向那些不确定他们的同事是否合格的企业高管或经理提出这个建议:一旦给予他们信任和支持,让他们尽其所能,就会得到更多的回报。