Ellen Benaim是總部位于丹麥哥本哈根的SaaS提供商Templafy公司的首席信息安全官，她于2018年6月入職該公司擔(dān)任技術(shù)支持工程師，并開(kāi)始了她的職業(yè)生涯。在2020年3月，她成為了Templafy公司的首席信息安全官。

在行業(yè)媒體對(duì)她進(jìn)行的采訪中，她談到了對(duì)首席信息安全官角色的看法，并為那些希望有朝一日實(shí)現(xiàn)這一目標(biāo)的人提供了一些建議。

請(qǐng)您介紹一下在Templafy公司的職業(yè)發(fā)展情況

Benaim：我一直對(duì)IT技術(shù)充滿了熱情，更具體地說(shuō)，我更加關(guān)注人們每天都在使用的技術(shù)的安全。在我擔(dān)任技術(shù)支持工程師時(shí)，我了解和掌握了Templafy平臺(tái)的技術(shù)組件，并指導(dǎo)用戶解決他們面臨的問(wèn)題。但是，隨著知識(shí)庫(kù)的發(fā)展，我也開(kāi)始深入研究Templafy平臺(tái)和組織的安全方面。然后我加入安全團(tuán)隊(duì)致力于構(gòu)建安全第一的方法。這對(duì)整個(gè)公司和我們的用戶來(lái)說(shuō)都是非常成功的，這讓我能夠繼續(xù)發(fā)展壯大安全團(tuán)隊(duì)。

在我入職Templafy公司22個(gè)月之后，Henrik Printzlau辭去了首席信息安全官的職務(wù)，我為實(shí)現(xiàn)我的職業(yè)目標(biāo)而感到榮幸和激動(dòng)，成為T(mén)emplafy公司第一位女性首席信息安全官。在新冠疫情期間擔(dān)任這一角色面臨更大的責(zé)任和壓力，特別是考慮到技術(shù)和SaaS行業(yè)在過(guò)去一年半中出現(xiàn)的指數(shù)級(jí)增長(zhǎng)。然而到目前為止，這是一段美妙的旅程，我很高興能夠帶領(lǐng)Templafy的團(tuán)隊(duì)走得更遠(yuǎn)。

您接替了Henrik Printzlau擔(dān)任首席信息安全官角色，在交接之前你是如何準(zhǔn)備的?

Benaim：我的目標(biāo)是成為一名首席信息安全官——事實(shí)上，我在入職面試中就談到了這一點(diǎn)。Henrik Printzlau在面試區(qū)的時(shí)候問(wèn)我接下來(lái)五年的目標(biāo)是什么，我誠(chéng)實(shí)地回答說(shuō)，想成為安全領(lǐng)域的專家，并致力于成為一名首席信息安全官。當(dāng)然，那時(shí)我并沒(méi)有意識(shí)到Henrik在公司中的角色，因?yàn)樗腖inkedIn資料只表明他是聯(lián)合創(chuàng)始人。他告訴我，他就是首席信息安全官，這次面試是我們兩人達(dá)成良好合作關(guān)系的開(kāi)始。

Henrik理解并尊重我的目標(biāo)，讓我從頭開(kāi)始學(xué)習(xí)，并讓我有機(jī)會(huì)深入研究Templafy安全系統(tǒng)令人興奮的技術(shù)和發(fā)展。兩年來(lái)，我與Henrik密切合作，推動(dòng)Templafy公司在安全方面的投資并提升安全水平。從第一天起，Henrik就一直是我的好導(dǎo)師，當(dāng)他決定繼續(xù)專注于Templafy公司更大的戰(zhàn)略時(shí)，我們彼此以及與團(tuán)隊(duì)建立的良好關(guān)系和信任，這使我們的職位交接無(wú)縫銜接。他幫助我為首席信息安全官的角色做好準(zhǔn)備，在這兩年的時(shí)間里悉心指導(dǎo)和教導(dǎo)我，讓我有信心追隨他的腳步。

在您看來(lái)，成功的首席信息安全官的必要特征是什么?

Benaim：很多人認(rèn)為安全人員的工作可能會(huì)妨礙業(yè)務(wù)運(yùn)營(yíng)，這是一個(gè)誤解。雖然安全領(lǐng)導(dǎo)者希望確保業(yè)務(wù)一切正常且盡可能安全，但這并不意味著他們是許多人認(rèn)為的“安全警察”。除了這種不良的形象之外，人們對(duì)首席信息安全官的刻板印象是咄咄逼人、傲慢和控制欲強(qiáng)。然而，首席信息安全官并不一定要成為強(qiáng)硬的統(tǒng)治者才能成為有效的安全領(lǐng)導(dǎo)者。事實(shí)上，有時(shí)成功的首席信息安全官的特征恰恰相反。

在我領(lǐng)導(dǎo)安全團(tuán)隊(duì)的工作經(jīng)驗(yàn)中，我發(fā)現(xiàn)協(xié)作、溝通和參與是首席信息安全官取得成功的關(guān)鍵特征。首席信息安全官的職責(zé)不是“控制”企業(yè)的業(yè)務(wù)，而是讓企業(yè)更加安全。這需要積極的傾聽(tīng)技巧并與業(yè)務(wù)團(tuán)隊(duì)開(kāi)展合作，以了解他們的目標(biāo)和痛點(diǎn)，以了解安全性可以與其他人合作而不是與他們對(duì)抗。成功的首席信息安全官是團(tuán)隊(duì)合作者，他們與同事為公司的利益一起工作。

另一個(gè)常見(jiàn)的誤解是強(qiáng)大的領(lǐng)導(dǎo)者對(duì)企業(yè)的成功負(fù)有全部責(zé)任。事實(shí)上，領(lǐng)導(dǎo)者無(wú)法獨(dú)自完成這一項(xiàng)任務(wù)。安全需要團(tuán)隊(duì)的共同努力;我們的力量取決于最薄弱的環(huán)節(jié)。營(yíng)造開(kāi)放和協(xié)作的環(huán)境并信任團(tuán)隊(duì)來(lái)完成他們受雇完成的工作非常重要。

您工作的樂(lè)趣是什么?你希望避免什么?或者改變/改進(jìn)什么?

Benaim：我很榮幸在這樣一家重視安全性和首席信息安全官角色的公司工作。很好的一個(gè)例子是最近做出的一個(gè)決定，就是讓我直接向企業(yè)董事會(huì)報(bào)告(而不是向首席技術(shù)官或首席信息官報(bào)告)，并且讓安全團(tuán)隊(duì)有自己的預(yù)算。這一決定展示了我們公司如何給予安全應(yīng)有的價(jià)值。Templafy公司不會(huì)滿足于低于企業(yè)級(jí)的安全性，公司領(lǐng)導(dǎo)團(tuán)隊(duì)的行動(dòng)證明了這一點(diǎn)。將信息安全視為戰(zhàn)略投資和業(yè)務(wù)推動(dòng)者的看法是我在工作中倡導(dǎo)的變革。

我為我們?cè)赥emplafy公司建立的安全生態(tài)系統(tǒng)感到無(wú)比自豪。我樂(lè)于迎接每天面臨的挑戰(zhàn)，以繼續(xù)將我們的安全狀況提升到行業(yè)領(lǐng)先水平，這不僅對(duì)我們的客戶，也對(duì)我們自己負(fù)責(zé)。

您從整個(gè)職業(yè)生涯的導(dǎo)師那里學(xué)到了什么?你也在指導(dǎo)其他人嗎?

Benaim：在我職業(yè)生涯的早期，我在都柏林的一家資產(chǎn)管理公司實(shí)習(xí)，并在他們的安全團(tuán)隊(duì)工作。在實(shí)習(xí)期間，領(lǐng)導(dǎo)我的是一名高級(jí)信息安全經(jīng)理，在參加的任何安全會(huì)議中，她都是會(huì)議中唯一的女性，她總是得到公司里所有人的信任和尊重。她告訴我，你不必成為所有安全行業(yè)的佼佼者，更重要的是要專注于你從事的工作，并致力于建立一個(gè)可以填補(bǔ)空白的安全團(tuán)隊(duì)。

Henrik是我的另一位偉大導(dǎo)師和榜樣。在過(guò)去的兩年里，我很幸運(yùn)能在他的指導(dǎo)下訓(xùn)練和學(xué)習(xí)。當(dāng)?shù)玫狡渌I(lǐng)導(dǎo)者的支持和信任時(shí)，更有可能成功。Henrik從一開(kāi)始就相信我的努力，我相信他的指導(dǎo)在我的成功中起到了重要作用。

我很幸運(yùn)遇到了一些偉大的人，我也希望能夠教育年輕一代，并分享我從自己的導(dǎo)師那里學(xué)到的東西。事實(shí)上，在我大學(xué)期間，我通過(guò)名為CoderDojo的課程教孩子們?nèi)绾尉幊獭４送庠谝粋€(gè)大學(xué)項(xiàng)目中，我創(chuàng)建了一個(gè)視頻游戲，教孩子們?nèi)绾瓮ㄟ^(guò)對(duì)抗Wndows應(yīng)用商店中仍然存在的黑客來(lái)確保網(wǎng)絡(luò)安全。玩家可以在游戲中獲得更多知識(shí)，并利用這些知識(shí)擊敗黑客。我喜歡教學(xué)，希望通過(guò)未來(lái)的導(dǎo)師和社區(qū)參與，我能激勵(lì)和鼓勵(lì)孩子們從事科技事業(yè)。

此外，我還參加了與FearlessintoTech和Womenin Tech Denmark的一些活動(dòng)，并很高興與他們進(jìn)行公開(kāi)對(duì)話，以幫助提高科技行業(yè)對(duì)所有人的吸引力。我還應(yīng)邀在我以前就讀的大學(xué)科克大學(xué)和SDA博科尼管理學(xué)院發(fā)表演講。SDA博科尼管理學(xué)院開(kāi)設(shè)了網(wǎng)絡(luò)安全碩士課程，男女比例接近50:50，這確實(shí)令人鼓舞。在科技行業(yè)的代表性是關(guān)鍵，鼓勵(lì)女性加入該行業(yè)將始終是我的目標(biāo)。

哪些研究、課程、經(jīng)驗(yàn)、書(shū)籍、在線資源對(duì)您對(duì)網(wǎng)絡(luò)安全和領(lǐng)導(dǎo)力的看法產(chǎn)生了重大影響?

Benaim：我在科克大學(xué)學(xué)習(xí)了商業(yè)信息系統(tǒng)，這為我在IT、商業(yè)模塊和安全方面打下了良好的基礎(chǔ)。雖然這些基本知識(shí)非常寶貴，但我的很多安全知識(shí)都來(lái)自工作經(jīng)驗(yàn)。

與所有技術(shù)行業(yè)一樣，網(wǎng)絡(luò)安全也在不斷變化。由于不斷變化的趨勢(shì)和風(fēng)險(xiǎn)，不斷學(xué)習(xí)和參與增長(zhǎng)機(jī)會(huì)非常重要。網(wǎng)絡(luò)安全領(lǐng)域有許多子學(xué)科，但是，許多此類工作具有共同的技術(shù)基礎(chǔ)，并且從下面列出的課程中獲得的知識(shí)是對(duì)實(shí)踐經(jīng)驗(yàn)的極大補(bǔ)充：

• 進(jìn)攻性安全認(rèn)證專家(OSCP)
• 認(rèn)證信息安全審計(jì)師(CISA)
• GIAC認(rèn)證事故處理師(GCIH)
• 認(rèn)證信息系統(tǒng)安全專家(CISSP)
• 信息系統(tǒng)安全架構(gòu)專家(CISSP-ISSAP)
• 信息系統(tǒng)安全工程專家(CISSP-ISSEP)
• 信息系統(tǒng)安全管理專家(CISSP-ISSMP)

OWASP基金會(huì)網(wǎng)站上還有許多工具和資源，可以幫助掌握通用編程/軟件開(kāi)發(fā)概念和軟件分析技能。在專業(yè)資源之外，我建議人們關(guān)注在線提供的許多優(yōu)秀文章、評(píng)審論文和安全博客。

在我看來(lái)，展示在工作中的經(jīng)驗(yàn)的能力比獲得認(rèn)證更重要，只要確保目標(biāo)是獲得知識(shí)而不僅僅是認(rèn)證，并相應(yīng)地選擇優(yōu)質(zhì)課程。

你有自我能力否定傾向嗎?如果有，你如何面對(duì)的?

Benaim：像許多其他在男性主導(dǎo)的領(lǐng)域工作的年輕女性一樣，我有自我能力否定傾向，這讓我有時(shí)會(huì)懷疑自己的才能和技能。當(dāng)開(kāi)始在一個(gè)長(zhǎng)期以來(lái)一直認(rèn)為自己不屬于/可以在那里取得成功的行業(yè)中取得成功時(shí)，懷疑是一種非常自然的反應(yīng)。

邊緣化社區(qū)缺乏榜樣對(duì)讓人們感覺(jué)自己不屬于這些環(huán)境有著重大影響。這就是為什么技術(shù)代表非常重要的原因，以使該行業(yè)更加受歡迎和平等，以造福所有人。

當(dāng)自我能力否定傾向開(kāi)始發(fā)作時(shí)，我記得我所經(jīng)歷的是自然而然的時(shí)刻，可以通過(guò)不要在意其他人的看法來(lái)面對(duì)這一時(shí)刻。我通過(guò)提醒自己獲得了首席信息安全官的角色來(lái)克服這種傾向。我回想起這樣一個(gè)事實(shí)，Templafy公司給了我以我想要的方式取得成功的許可，讓我能夠在我認(rèn)為適合公司的范圍和方向上發(fā)揮帶頭作用。出于某種原因，我獲得了制定安全計(jì)劃和領(lǐng)導(dǎo)一支優(yōu)秀團(tuán)隊(duì)的自由和信任。

對(duì)任何一個(gè)層次的人來(lái)說(shuō)，經(jīng)歷懷疑和恐懼都是很自然的情況，但順利度過(guò)這些時(shí)刻并不讓它們控制是至關(guān)重要的。我期待迎接挑戰(zhàn)、不確定性和失敗，因?yàn)檫@就是生活，我總是努力讓我的動(dòng)力和雄心引領(lǐng)我度過(guò)這一時(shí)刻。偉大的領(lǐng)導(dǎo)者的特征是他們接受失敗并讓自己的經(jīng)歷推動(dòng)他們前進(jìn)。

您會(huì)給從事網(wǎng)絡(luò)安全工作的女性和年輕人什么建議?

Benaim：我鼓勵(lì)任何對(duì)網(wǎng)絡(luò)安全感興趣的人都去嘗試——無(wú)論他們的年齡或目前的職業(yè)角色如何。有很多可用的課程和資源可以為理解網(wǎng)絡(luò)安全的技術(shù)方面和許多可轉(zhuǎn)移的技能提供必要的基礎(chǔ)以進(jìn)入安全領(lǐng)域。

關(guān)鍵是要找到可以請(qǐng)教的導(dǎo)師或同行，組織內(nèi)部和技術(shù)社區(qū)中，總有一些領(lǐng)導(dǎo)者愿意幫助那些對(duì)網(wǎng)絡(luò)安全充滿熱情的人。不要害怕尋求幫助，不要害怕接受挑戰(zhàn)。我相信任何充滿熱情的人都可以學(xué)習(xí)和使用新技術(shù)，無(wú)論性別或年齡如何。

多年來(lái)，您收到了哪些可以產(chǎn)生強(qiáng)烈共鳴的建議?

Benaim：雖然我一直致力于成為一名首席信息安全官，但我從未想過(guò)它會(huì)在我職業(yè)生涯的早期發(fā)生。但是，在Henrick曾經(jīng)給我的一條建議之后，這種情況發(fā)生了變化。在我在Templafy公司工作的早期，他鼓勵(lì)我接受不確定性并接受挑戰(zhàn)。

人們很容易擔(dān)心工作和生活中所有的未知因素，得到這條建議讓我做好了正面面對(duì)這個(gè)角色挑戰(zhàn)的準(zhǔn)備。首席信息安全官需要能夠?qū)崟r(shí)運(yùn)作，在敏捷性和適應(yīng)性方面，并且在不立即獲得所有所需信息的情況下采取行動(dòng)。

另一方面，我會(huì)向那些不確定他們的同事是否合格的企業(yè)高管或經(jīng)理提出這個(gè)建議：一旦給予他們信任和支持，讓他們盡其所能，就會(huì)得到更多的回報(bào)。