Ellen Benaim总部位于丹麦哥本哈根SaaS提供商Templafy2018年6月,公司首席信息安全官加入公司担任技术支持工程师,开始了她的职业生涯。2020年3月,她成为了Templafy公司首席信息安全官。
在接受行业媒体采访时,她谈到了她对首席信息安全官角色的看法,并为那些希望有一天实现这一目标的人提供了一些建议。
请介绍一下Templafy公司的职业发展
Benaim:我一直对IT技术充满热情,更具体地说,我更关注人们每天使用的技术的安全。当我担任技术支持工程师时,我理解并掌握了它Templafy该平台的技术组件指导用户解决他们面临的问题。然而,随着知识库的发展,我也开始深入研究Templafy平台和组织的安全。然后我加入了一个安全团队,致力于建立一个安全第一的方法。这对整个公司和我们的用户都非常成功,这使我能够继续发展和扩大安全团队。
在我入职Templafy公司22个月后,Henrik Printzlau我辞去了首席信息安全官的职务,我为实现我的职业目标感到荣幸和兴奋,成为了一名Templafy公司第一位女性首席信息安全官。考虑到技术和压力,在新冠肺炎疫情期间扮演这个角色面临着更大的责任和压力SaaS该行业在过去一年半中出现了指数级增长。然而,到目前为止,这是一段美好的旅程,我很高兴带领它Templafy团队走得更远。
您接替了Henrik Printzlau作为首席信息安全官,你在交接前是如何准备的?
Benaim:我的目标是成为一名首席信息安全官——事实上,我在入职面试中谈到了这一点。Henrik Printzlau在面试区,我问我未来五年的目标是什么。我诚实地回答说,我想成为安全领域的专家,并致力于成为首席信息安全官。当然,我当时没有意识到Henrik因为他在公司的角色LinkedIn这些信息只表明他是联合创始人。他告诉我,他是首席信息安全官,这次采访是我们合作良好的开始。
Henrik理解和尊重我的目标,让我从零开始学习,给我深入研究的机会Templafy安全系统令人兴奋的技术和发展。两年来,我和Henrik密切合作,促进Templafy公司投资安全,提高安全水平。从第一天开始,Henrik当他决定继续专注于我的好导师时,他一直是我的好导师Templafy当公司有更大的战略时,我们与团队建立了良好的关系和信任,这使得我们的职位交接无缝连接。他帮我为首席信息安全官的角色做准备,在过去的两年里仔细指导和教导我,让我有信心跟随他的脚步。
在你看来,成功首席信息安全官的必要特征是什么?
Benaim:许多人认为安全人员的工作可能会阻碍业务运作,这是一种误解。虽然安全领导者希望确保业务正常,并尽可能安全,但这并不意味着他们是许多人认为的“安全警察”。除了这种不良形象,人们对首席信息安全官的刻板印象是咄咄逼人、傲慢和控制欲强。然而,首席信息安全官不必成为强硬的统治者,才能成为有效的安全领导者。事实上,有时成功的首席信息安全官的特点恰恰相反。
在我领导安全团队的工作经验中,我发现合作、沟通和参与是首席信息安全官成功的关键特征。首席信息安全官的职责不是“控制”企业的业务,但让企业更安全。这需要积极的倾听技巧和与业务团队合作,以了解他们的目标和痛点,并与他人合作,而不是对抗他们。成功的首席信息安全官是团队合作伙伴,他们与同事一起为公司的利益工作。
另一个常见的误解是,强大的领导者对企业的成功负有全部责任。事实上,领导者不能单独完成这项任务。安全需要团队的共同努力;我们的力量取决于最薄弱的环节。创造一个开放和合作的环境,信任团队来完成他们雇佣的工作是非常重要的。
你工作有什么乐趣?你想避免什么?或者改变/改进什么?
Benaim:我很荣幸在这样一家重视安全和首席信息安全官角色的公司工作。一个很好的例子是最近的决定,让我直接向董事会报告(而不是首席技术官或首席信息官),让安全团队有自己的预算。这一决定显示了我们公司如何给予安全应有的价值。Templafy公司不会对低于企业级的安全感到满意,公司领导团队的行动证明了这一点。我认为信息安全是战略投资和业务推动者,这是我在工作中提倡的变化。
我为我们在Templafy公司建立的安全生态系统非常自豪。我愿意每天迎接挑战,继续将我们的安全状况提升到行业领先水平,这不仅对我们的客户负责,也对我们自己负责。
你从你职业生涯的导师那里学到了什么?你也在指导别人吗?
Benaim:在我职业生涯的早期阶段,我在都柏林的一家资产管理公司实习,并在他们的安全团队工作。在实习期间,我是一名高级信息安全经理。在任何安全会议上,她都是会议上唯一的女性,她总是得到公司里每个人的信任和尊重。她告诉我,你不必成为所有安全行业的领导者,更重要的是,专注于你的工作,并致力于建立一个可以填补空白的安全团队。
Henrik这是我的另一位伟大的导师和榜样。在过去的两年里,我很幸运能在他的指导下训练和学习。在其他领导人的支持和信任下,更有可能成功。Henrik从一开始就相信我的努力,我相信他的指导在我的成功中起着重要的作用。
我很幸运遇到了一些伟大的人。我也希望教育年轻一代,分享我从导师那里学到的东西。事实上,在我上大学的时候,我被称为CoderDojo的课程教孩子们如何编程。此外在一个大学项目中,我创建了一个视频游戏,教孩子们如何通过对抗Wndows黑客仍然存在于应用商店中,以确保网络安全。玩家可以在游戏中获得更多的知识,并利用这些知识击败黑客。我喜欢教学,希望通过未来的导师和社区参与,我能鼓励和鼓励孩子们从事科技事业。
另外,我也参加了和FearlessintoTech和Womenin Tech Denmark一些活动很高兴与他们公开交谈,以帮助提高科技产业对每个人的吸引力。我还邀请了我以前学过的大学科克大学和SDA博科尼管理学院发表演讲。SDA博科尼管理学院开设了近50:50的网络安全硕士课程,这真的很令人鼓舞。科技行业的代表性是关键,鼓励女性加入这个行业将永远是我的目标。
哪些研究、课程、经验、书籍和在线资源对你对网络安全和领导能力有重大影响?
Benaim:我在科克大学学习了商业信息系统,这是为了我IT、商业模块和安全奠定了良好的基础。虽然这些基础知识非常有价值,但我的许多安全知识来自工作经验。
和所有技术行业一样,网络安全也在发生变化。由于不断变化的趋势和风险,不断学习和参与增长的机会非常重要。网络安全领域有许多子学科,但许多工作都有共同的技术基础,从以下课程中获得的知识是对实践经验的极大补充:
- 攻击性安全认证专家(OSCP)
- 认证信息安全审计师(CISA)
- GIAC认证事故处理师(GCIH)
- 认证信息系统安全专家(CISSP)
- 信息系统安全架构专家(CISSP-ISSAP)
- 信息系统安全工程专家(CISSP-ISSEP)
- 信息系统安全管理专家(CISSP-ISSMP)
OWASP基金会网站上有许多工具和资源,可以帮助掌握通用编程/软件开发的概念和软件分析技能。除了专业资源,我建议人们关注许多优秀的在线文章、评论文和安全博客。
在我看来,只要目标是获的能力比获得认证更重要,只要目标是获得知识,而不仅仅是认证,并相应地选择高质量的课程。
你有自我否定的倾向吗?如果是这样,你是如何面对的?
Benaim:和许多在男性领域工作的其他年轻女性一样,我倾向于否认自己的能力,这有时会让我怀疑自己的才能和技能。怀疑是一种非常自然的反应,当我开始在一个长期以来一直认为自己不属于/可以在那里成功的行业取得成功。
边缘社区缺乏榜样对人们觉得自己不属于这些环境有很大的影响。这就是为什么技术代表使行业更受欢迎和平等,造福所有人的重要原因。
当自我否定的倾向开始发作时,我记得我所经历的是一个自然的时刻,我可以通过不关心别人的观点来面对它。我提醒自己,我得到了首席信息安全官的角色来克服这种倾向。我回忆起这样一个事实,Templafy公司给了我成功的许可证,让我在我认为适合公司的范围和方向上发挥主导作用。出于某种原因,我获得了制定安全计划和领导优秀团队的自由和信任。
对于任何层次的人来说,经历怀疑和恐惧都是很自然的,但顺利度过这些时刻并不重要。我期待着迎接挑战、不确定性和失败,因为这就是生活。我总是试图让我的动力和野心带领我度过这一刻。伟大领导者的特点是他们接受失败,让自己的经历推动他们前进。
你会给从事网络安全工作的女性和年轻人什么建议?
Benaim:我鼓励任何对网络安全感兴趣的人尝试——无论他们的年龄或当前的职业角色如何。有许多可用的课程和资源为进入安全领域提供必要的基础,以了解网络安全的技术和许多可转移的技能。
关键是找到可以咨询的导师或同行。在组织内部和技术社区,总有一些领导者愿意帮助那些对网络安全充满热情的人。不要害怕寻求帮助或接受挑战。我相信任何热情的人都可以学习和使用新技术,无论性别或年龄如何。
多年来,你收到了什么建议可以产生强烈的共鸣?
Benaim:虽然我一直致力于成为首席信息安全官,但我从未想过它会发生在我职业生涯的早期。但是,在Henrick在给了我一个建议之后,这种情况发生了变化。Templafy在公司工作的早期阶段,他鼓励我接受不确定性和挑战。
人们很容易担心工作和生活中的所有未知因素。得到这个建议让我准备好面对这个角色的挑战。首席信息安全官需要能够在不立即获得所有所需信息的情况下实时操作,采取行动。
另一方面,我会向不确定同事是否合格的企业高管或经理提出这个建议:一旦给予他们信任和支持,让他们尽力,就会得到更多的回报。