“砍掉他们的脑袋!”在《爱丽丝梦游仙境》中,喜欢砍人脑袋的红王后最后哭了,但如果你认为这也是一些企业在数据泄露后对待安全人员的方式,那也是可以理解的。
风险管理降低了风险,但并没有消除风险。聪明的企业不会把他们安全部门的领导人当成替罪羊。如果认为只要雇佣一个CSO或CISO,这样当不可避免的事情发生时,你就有了回旋的余地,这是糟糕的工作环境的标志,也是一个应该避免的地方。
安全人士也不是无可指责的。安全部门让人讨厌的文化虽然已经开始消退,但仍然很普遍。一种永远说不的文化,导致了安全人员的存在总是会让其他人的生活变得困难,这也不是一个很好的工作环境--尤其是考虑到影子IT的问题可能还会反过来咬你一口。
鉴于网络安全技能的极度短缺,安全专业人士可能会对工作地点挑三拣四。那么,你该如何避开糟糕的工作环境呢?这里有一些面试问题可以对潜在的雇主进行提问。
1.请给出一个CEO保护了公司安全的例子
安全文化始于顶层。如果CEO不理解并支持组织内的智能安全,那么您将在一个错误的激励环境中打一场败仗。CEO对安全性了解多少?当然,你可以在组织的网站上读到他们的背景,但是你可能真的很想知道安全性是否是董事会的优先事项。
“确保理解领导团队和董事会的愿景、兴趣和对安全的承诺,”Heller Search Associates的总经理Kelly Doyle告诉CSO,Heller Search Associates是一家专门从事CISO、CIO和其他IT主管的猎头公司。“你想听到安全是重要的。这将有助于信息向下传递。”
如果你在面试CISO级别的职位,“尽量确保你的面试官包括高管团队的成员,”她补充道,“甚至还可以包括董事会成员,这样你就能听到他们对安全的看法和担忧了。如果他们想深入了解,致力于建设一个强大的安全文化,并明白在当今世界这也是董事会层面的问题,那么这可能就是适合你的角色了。”
2.组织是如何处理安全故障的?
坏事总是会发生。而组织是如何处理安全故障的?解雇会犯无心之过的人几乎从来都不是正确的答案。避免那些喜欢解雇遭受了网络钓鱼电子邮件的人的公司。如何找出这个?你可能会问,“如果一名员工被钓鱼,导致公司损失了500万美元。公司会如何处理?”
避免询问可以用是或否来简单回答的问题。企业会试图欺骗你。他们编造的谎言越大,你就越容易发现。
另一种询问同一问题的方法是问,“告诉我一个管理层意识到严重安全事故的时候。以及管理层是如何回应的?”
不要期望面试官会与你分享机密细节--这本身就可能是一个危险信号--但是他们应该能够概括地谈论组织是如何应对不可避免的安全故障的。
3.为什么这个职位会空缺?
最后一个人接受了红皇后的治疗了吗?他们为什么离开?这个职位是新设置的吗?弄清楚招聘背后的原因可以让你了解如果你接受了这份工作,你的未来会是什么样的。
德勤网络风险咨询业务高级经理Alka Bhargava告诉CSO:“如果是接替者,那么要机智地询问一下那个人做得如何,他们做得好的地方是什么,以及公司希望新员工做些什么。”
由于技能短缺,安全角色往往会空缺数月,优秀员工跳槽到其他公司是很常见的,因为每次跳槽都会获得大幅加薪。高流失率或长期空缺不一定意味着组织是一个糟糕的工作场所。尽管如此,询问安全人员倾向于在公司逗留多长时间可以告诉你很多关于工作环境的事情。
4.是否有一种“快速行动,打破一切”的商业文化?
安全性的存在是为了使企业能够发展,而不是阻碍它。而没有盈利和成功的企业,就没有什么可保障的了。
然而,在追逐利润的过程中,你可能会让自己的侧翼完全暴露在攻击之下。是否有一种“快速行动,打破一切”的商业文化?还是能够以“中等的速度移动,并在它们坏掉时修复它们?”
确定这一点的方法是间接的。“相对于制造新东西,你们在维护上花了多少时间?”Scythe的创始人兼执行官Bryson Bort在推特上向CSO建议。
花在构建新事物上的时间越多,在维护上的时间就越少,组织就越不可能优先考虑安全性。这不一定是件坏事,但也可能表明安全态势的不成熟,以及管理层对危机不可避免地来袭毫无准备。
5.组织是否将安全视为一个只是说不的部门?
我们继承了一种说“不”的传统安全文化,以及一种令人不快的态度,这种态度经常让公司的其他人咬紧牙关,摸索着插入他们的影子IT。然而,这种糟糕的文化最终会对良好的安全产生反作用。除了提示自己不是一个混蛋之外,学习组织的其他成员是如何看待安全团队的也能让人大开眼界。
你可以询问:“你能描述一下安全意识的计划吗?”你可能想知道它是不是只是一块每六个月分发一次的象征性的遮羞布,上面有着没人读过或记得的幻灯片?还是说能够鼓励普通员工为组织的安全承担所有权和责任?
试着弄清楚导致紧张或挫折的根源是什么。如果你正在面试一位安全招聘经理,你可能会问,“你从你的安全团队那里听到的最大抱怨是什么?”
如果他们的答案是“那些愚蠢的用户”,那么也许你也是不会想要在那里工作的。
6.安全预算是多少?
在没有足够资源的情况下,被困在一个被期望有效的安全角色中足以让任何人沮丧地咬牙切齿。询问“这个角色的预算是多少?”Kelly告诉CSO。“你要确保有足够的安全预算,这样你才能在你的角色上取得成功,并有资源来防止入侵。你需要知道是否有预算来支持你将被要求提出并实施的战略和路线图?”
当然,预算有多少才是足够的,这与组织及其威胁模型有关。另一种了解预算限制的方法是问一个安全招聘经理,“什么会让你晚上睡不着觉?”或者“你在过去的12个月里经历的挑战是什么?”
优秀的安全从业人员总是供不应求。如果你已经得到了多个工作机会,那么这会是一个很好的时机,你可以反复并礼貌地询问潜在雇主一些问题,以了解他们的安全文化。最好远离那些糟糕的工作环境,否则你就需要在你讨厌的工作中度过一整年。
