“砍掉他們的腦袋!”在《愛麗絲夢游仙境》中,喜歡砍人腦袋的紅王后最后哭了,但如果你認(rèn)為這也是一些企業(yè)在數(shù)據(jù)泄露后對待安全人員的方式,那也是可以理解的。
風(fēng)險管理降低了風(fēng)險,但并沒有消除風(fēng)險。聰明的企業(yè)不會把他們安全部門的領(lǐng)導(dǎo)人當(dāng)成替罪羊。如果認(rèn)為只要雇傭一個CSO或CISO,這樣當(dāng)不可避免的事情發(fā)生時,你就有了回旋的余地,這是糟糕的工作環(huán)境的標(biāo)志,也是一個應(yīng)該避免的地方。
安全人士也不是無可指責(zé)的。安全部門讓人討厭的文化雖然已經(jīng)開始消退,但仍然很普遍。一種永遠(yuǎn)說不的文化,導(dǎo)致了安全人員的存在總是會讓其他人的生活變得困難,這也不是一個很好的工作環(huán)境--尤其是考慮到影子IT的問題可能還會反過來咬你一口。
鑒于網(wǎng)絡(luò)安全技能的極度短缺,安全專業(yè)人士可能會對工作地點挑三揀四。那么,你該如何避開糟糕的工作環(huán)境呢?這里有一些面試問題可以對潛在的雇主進(jìn)行提問。
1.請給出一個CEO保護(hù)了公司安全的例子
安全文化始于頂層。如果CEO不理解并支持組織內(nèi)的智能安全,那么您將在一個錯誤的激勵環(huán)境中打一場敗仗。CEO對安全性了解多少?當(dāng)然,你可以在組織的網(wǎng)站上讀到他們的背景,但是你可能真的很想知道安全性是否是董事會的優(yōu)先事項。
“確保理解領(lǐng)導(dǎo)團(tuán)隊和董事會的愿景、興趣和對安全的承諾,”Heller Search Associates的總經(jīng)理Kelly Doyle告訴CSO,Heller Search Associates是一家專門從事CISO、CIO和其他IT主管的獵頭公司。“你想聽到安全是最重要的。這將有助于信息向下傳遞。”
如果你在面試CISO級別的職位,“盡量確保你的面試官包括高管團(tuán)隊的成員,”她補充道,“甚至還可以包括董事會成員,這樣你就能聽到他們對安全的看法和擔(dān)憂了。如果他們想深入了解,致力于建設(shè)一個強大的安全文化,并明白在當(dāng)今世界這也是董事會層面的問題,那么這可能就是適合你的角色了。”
2.組織是如何處理安全故障的?
壞事總是會發(fā)生。而組織是如何處理安全故障的?解雇會犯無心之過的人幾乎從來都不是正確的答案。避免那些喜歡解雇遭受了網(wǎng)絡(luò)釣魚電子郵件的人的公司。如何找出這個?你可能會問,“如果一名員工被釣魚,導(dǎo)致公司損失了500萬美元。公司會如何處理?”
避免詢問可以用是或否來簡單回答的問題。企業(yè)會試圖欺騙你。他們編造的謊言越大,你就越容易發(fā)現(xiàn)。
另一種詢問同一問題的方法是問,“告訴我一個管理層意識到嚴(yán)重安全事故的時候。以及管理層是如何回應(yīng)的?”
不要期望面試官會與你分享機(jī)密細(xì)節(jié)--這本身就可能是一個危險信號--但是他們應(yīng)該能夠概括地談?wù)摻M織是如何應(yīng)對不可避免的安全故障的。
3.為什么這個職位會空缺?
最后一個人接受了紅皇后的治療了嗎?他們?yōu)槭裁措x開?這個職位是新設(shè)置的嗎?弄清楚招聘背后的原因可以讓你了解如果你接受了這份工作,你的未來會是什么樣的。
德勤網(wǎng)絡(luò)風(fēng)險咨詢業(yè)務(wù)高級經(jīng)理Alka Bhargava告訴CSO:“如果是接替者,那么要機(jī)智地詢問一下那個人做得如何,他們做得好的地方是什么,以及公司希望新員工做些什么。”
由于技能短缺,安全角色往往會空缺數(shù)月,優(yōu)秀員工跳槽到其他公司是很常見的,因為每次跳槽都會獲得大幅加薪。高流失率或長期空缺不一定意味著組織是一個糟糕的工作場所。盡管如此,詢問安全人員傾向于在公司逗留多長時間可以告訴你很多關(guān)于工作環(huán)境的事情。
4.是否有一種“快速行動,打破一切”的商業(yè)文化?
安全性的存在是為了使企業(yè)能夠發(fā)展,而不是阻礙它。而沒有盈利和成功的企業(yè),就沒有什么可保障的了。
然而,在追逐利潤的過程中,你可能會讓自己的側(cè)翼完全暴露在攻擊之下。是否有一種“快速行動,打破一切”的商業(yè)文化?還是能夠以“中等的速度移動,并在它們壞掉時修復(fù)它們?”
確定這一點的方法是間接的。“相對于制造新東西,你們在維護(hù)上花了多少時間?”Scythe的創(chuàng)始人兼首席執(zhí)行官Bryson Bort在推特上向CSO建議。
花在構(gòu)建新事物上的時間越多,在維護(hù)上的時間就越少,組織就越不可能優(yōu)先考慮安全性。這不一定是件壞事,但也可能表明安全態(tài)勢的不成熟,以及管理層對危機(jī)不可避免地來襲毫無準(zhǔn)備。
5.組織是否將安全視為一個只是說不的部門?
我們繼承了一種說“不”的傳統(tǒng)安全文化,以及一種令人不快的態(tài)度,這種態(tài)度經(jīng)常讓公司的其他人咬緊牙關(guān),摸索著插入他們的影子IT。然而,這種糟糕的文化最終會對良好的安全產(chǎn)生反作用。除了提示自己不是一個混蛋之外,學(xué)習(xí)組織的其他成員是如何看待安全團(tuán)隊的也能讓人大開眼界。
你可以詢問:“你能描述一下安全意識的計劃嗎?”你可能想知道它是不是只是一塊每六個月分發(fā)一次的象征性的遮羞布,上面有著沒人讀過或記得的幻燈片?還是說能夠鼓勵普通員工為組織的安全承擔(dān)所有權(quán)和責(zé)任?
試著弄清楚導(dǎo)致緊張或挫折的根源是什么。如果你正在面試一位安全招聘經(jīng)理,你可能會問,“你從你的安全團(tuán)隊那里聽到的最大抱怨是什么?”
如果他們的答案是“那些愚蠢的用戶”,那么也許你也是不會想要在那里工作的。
6.安全預(yù)算是多少?
在沒有足夠資源的情況下,被困在一個被期望有效的安全角色中足以讓任何人沮喪地咬牙切齒。詢問“這個角色的預(yù)算是多少?”Kelly告訴CSO。“你要確保有足夠的安全預(yù)算,這樣你才能在你的角色上取得成功,并有資源來防止入侵。你需要知道是否有預(yù)算來支持你將被要求提出并實施的戰(zhàn)略和路線圖?”
當(dāng)然,預(yù)算有多少才是足夠的,這與組織及其威脅模型有關(guān)。另一種了解預(yù)算限制的方法是問一個安全招聘經(jīng)理,“什么會讓你晚上睡不著覺?”或者“你在過去的12個月里經(jīng)歷的最大挑戰(zhàn)是什么?”
優(yōu)秀的安全從業(yè)人員總是供不應(yīng)求。如果你已經(jīng)得到了多個工作機(jī)會,那么這會是一個很好的時機(jī),你可以反復(fù)并禮貌地詢問潛在雇主一些問題,以了解他們的安全文化。最好遠(yuǎn)離那些糟糕的工作環(huán)境,否則你就需要在你討厭的工作中度過一整年。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號