EllenBenaim是Templafy的CISO,Templafy是一家总部位于丹麦哥本哈根的SaaS提供商。2018年6月作为技术支持工程师加入公司,开始了自己的职业生涯。2020年3月,她成为Templafy的首席信息安全官。在接受行业媒体采访时,她讨论了她对首席信息安全官角色的看法,并为那些希望有一天能实现这一目标的人提供了一些建议。请告诉我们您在TemplafyBenaim的职业发展:我一直对IT技术充满热情,更具体地说,我更关心人们每天使用的技术的安全性。在做技术支持工程师的时候,我了解并掌握了Templafy平台的技术组件,引导用户解决他们面临的问题。然而,随着知识库的增长,我也开始深入研究Templafy平台和组织的安全方面。然后我加入了安全团队,致力于构建安全第一的方法。这对整个公司和我们的用户来说都是非常成功的,它让我能够继续壮大安全团队。在Templafy工作22个月后,HenrikPrintzlau卸任CISO,我很荣幸也很兴奋能够实现我的职业目标,成为Templafy的第一位女性CISO。在COVID-19大流行期间担任这一角色会带来更多的责任和压力,尤其是考虑到技术和SaaS行业在过去一年半中呈指数级增长。然而,到目前为止,这是一段美妙的旅程,我很高兴能带领Templafy团队走得更远。您从HenrikPrintzlau手中接过CISO的职位,在交接之前您是如何准备的?Benaim:我的目标是成为一名CISO——事实上,我在入职面试中谈到了这一点。当HenrikPrintzlau在面试区问我未来五年的目标是什么时,我老实回答说我想成为安全领域的专家,目标是成为首席信息安全官。当然,当时我并不知道Henrik在公司中的角色,因为他的LinkedIn个人资料只将他列为联合创始人。他告诉我他是首席信息安全官,这次面试是我们两人之间良好关系的开始。Henrik理解并尊重我的目标,让我能够从头开始学习,并让我有机会深入研究TemplafySecuritySystems中激动人心的技术和发展。两年来,我与Henrik密切合作,推动Templafy在安全方面的投资并提高安全性。从第一天起,Henrik就一直是我的良师益友,当他决定继续专注于TemplafyCorporation的更大战略时,我们彼此建立的良好关系和信任以及团队使我们的角色无缝过渡。.他让我为CISO的角色做好准备,在两年的时间里指导和教导我,让我有信心追随他的脚步。在您看来,成功的CISO必须具备哪些特征?Benaim:很多人认为安全人员的工作会阻碍业务运营,这是一种误解。虽然安全领导者希望确保一切正常并尽可能确保企业安全,但这并不意味着他们就是许多人认为的“安全警察”。雪上加霜的是,CISO的刻板印象是咄咄逼人、傲慢自大和控制欲强。然而,CISO不一定非得是一个强有力的统治者才能成为有效的安全领导者。事实上,有时成功的CISO的特征恰恰相反。在我领导安全团队的工作经验中,我发现协作、沟通和参与是CISO成功的关键特征。首席信息安全官的作用不是“掌控”企业的业务,而是让企业更安全。这需要积极的倾听技巧并与业务团队合作以了解他们的目标和痛点,以了解安全性可以与他人合作而不是与他们对抗。成功的CISO是团队合作者,他们为了公司的利益与同事一起工作。另一个常见的误解是,强大的领导者全权负责企业的成功。事实上,领导者不能单独完成这项任务。安全是团队的努力;我们的力量取决于我们最薄弱的环节。重要的是要营造一个开放和协作的环境,并相信团队会做他们受雇要做的事情。你喜欢做什么工作?你希望避免什么?还是改变/改进?Benaim:我很荣幸能在一家重视安全和CISO角色的公司工作。一个很好的例子是最近决定让我直接向公司董事会报告(而不是向CTO或CIO)并让安全团队有自己的预算。这一决定表明我们公司如何赋予安全应有的价值。Templafy不会满足于低于企业级的安全性,公司领导团队的行动证明了这一点。将信息安全视为战略投资和业务推动因素的看法是我在工作中提倡的一种转变。我为我们在Templafy建立的安全生态系统感到无比自豪。我喜欢我们每天面临的挑战,以继续将我们的安全态势提升到行业领先水平,这不仅是为了我们的客户,也是为了我们自己。在您的整个职业生涯中,您从导师那里学到了什么?你也在指导别人吗?Benaim:在我职业生涯的早期,我在都柏林的一家资产管理公司实习,并在他们的安全团队工作。在我实习期间,我由一位高级信息安全经理领导,她是我参加的任何安全会议中唯一的女性,她始终得到公司每个人的信任和尊重。她告诉我,你不必在安全方面做到最好,更多的是专注于你所做的事情,并致力于建立一支可以填补空白的安全团队。Henrik是我的另一位伟大导师和榜样。在过去的两年里,我有幸在他的指导下进行培训和学习。当得到其他领导者的支持和信任时,成功的可能性更大。Henrik从一开始就相信我的努力,我相信他的指导对我的成功起到了重要作用。我很幸运遇到了一些伟大的人,我也希望能够教育年轻一代,分享我从自己的导师那里学到的东西。事实上,在我上大学期间,我通过名为CoderDojo的课程教孩子们如何编码。此外,为了一个大学项目,我创建了一个视频游戏来教孩子们如何通过与仍然存在于Wndows应用程序商店中的黑客作斗争来保持在线安全。玩家可以在游戏中获得更多的知识,并利用这些知识打败黑客。我热爱教学,希望通过未来的指导和社区参与,我可以激励和鼓励孩子们从事技术职业。此外,我还与FearlessintoTech和WomeninTechDenmark一起参加了一些活动,很高兴与他们进行公开对话,以帮助提高科技行业对所有人的吸引力。我还受邀在我以前的大学、科克大学和SDA博科尼管理学院发表演讲。SDABocconiSchoolofManagement拥有网络安全硕士课程,男女比例接近50:50,这确实令人鼓舞。科技行业的代表是关键,鼓励女性加入这个行业永远是我的目标。哪些研究、课程、经验、书籍、在线资源对您对网络安全和领导力的看法产生了重大影响?Benaim:我在科克大学学习商业信息系统,这为我在IT、业务模块和安全方面打下了良好的基础。虽然这些基础知识非常宝贵,但我的很多安全知识都来自工作经验。与所有技术行业一样,网络安全也在不断变化。由于不断变化的趋势和风险,不断学习和参与增长机会非常重要。网络安全领域有许多分支学科,但是,其中许多工作具有共同的技术基础,从下列课程中获得的知识是对实践经验的重要补充:OffensiveSecurityCertifiedProfessional(OSCP)CertificationInformationSecurityAuditor(CISA)GIAC认证事件处理专家(GCIH)认证信息系统安全专家(CISSP)信息系统安全架构专家(CISSP-ISSAP)信息系统安全工程专家(CISSP-ISSEP)信息系统安全管理专家(CISSP-ISSMP)还有OWASP基金会网站上的许多工具和资源可以帮助您掌握一般编程/软件开发概念和软件分析技能。除了专业资源之外,我还建议人们关注在线提供的许多优秀文章、评论论文和安全博客。在我看来,展示工作经验的能力比认证更重要,只要确保目标是获得知识而不仅仅是认证,并相应地选择优质课程即可。你有自我否定的倾向吗?如果是这样,你如何处理它们?Benaim:和许多在男性主导领域工作的年轻女性一样,我有自我否定的倾向,这让我有时会怀疑自己的才能和技能。技能。当开始在一个长期以来认为一个人不属于/可以在那里成功的行业中取得成功时,怀疑是一种非常自然的反应。边缘化社区缺乏榜样,这对让人们觉得自己不属于这些环境有重大影响。这就是为什么技术代表对于使行业更加受欢迎和平等以造福所有人非常重要。当自我否定的倾向开始出现时,我记得我所经历的是一个自然的时刻,我可以通过不在乎别人的想法来面对。我通过提醒自己我得到了CISO的角色来克服这种倾向。我回想起Templafy给了我许可,让我以我想要的方式取得成功,在我认为适合公司的范围和方向上发挥领导作用。出于某种原因,我获得了制定安全计划和领导优秀团队的自由和信任。经历怀疑和恐惧是任何级别的人的自然情况,但至关重要的是要度过这些时刻,不要让他们控制。我期待挑战、不确定性和失败,因为这就是生活,我总是努力让我的动力和雄心带领我度过这一刻。伟大领导者的标志是他们接受失败并让他们的经验推动他们前进。您会给从事网络安全工作的女性和年轻人什么建议?Benaim:我鼓励任何对网络安全感兴趣的人都尝试一下——无论他们的年龄或当前的职业角色如何。有许多可用的课程和资源可以为理解网络安全的技术方面和进入安全领域的许多可转移技能提供必要的基础。关键是要找到可以求助的导师或同行。组织内部和技术社区中总是有领导者愿意帮助那些对网络安全充满热情的人。不要害怕寻求帮助,不要害怕接受挑战。我相信任何有热情的人都可以学习和使用新技术,无论性别或年龄。多年来,您收到过哪些引起强烈共鸣的建议?Benaim:虽然我一直想成为一名CISO,但我从没想过它会在我职业生涯的早期发生。然而,这在Henrick曾经给我的一条建议之后改变了。在Templafy的早期,他鼓励我接受不确定性并接受挑战。很容易担心工作和生活中的所有未知数,得到这条建议让我准备好直面这个角色的挑战。CISO需要能够在敏捷性和适应性方面实时运作,并且在没有立即获得所需的所有信息的情况下采取行动。另一方面,对于不确定同事是否合格的企业高管或经理,我会提出这样的建议:一旦你给予他们信任和支持,让他们尽最大努力,你就会得到更多的回报。
