任何經(jīng)歷過面試的人都知道，想要成功獲取一個職位的關鍵之一就是能夠準確有效地回答出面試官的問題，而不是像機器一樣照本宣科。這一點對于高級管理人員而言同樣也不例外。事實上，鑒于這些高級管理崗位的重要性，及其對思維和反應方面的極高要求，能夠提前對面試中可能遇到的尖銳問題做好應答準備是十分必要的。

[[228051]]

一些安全管理人員和招聘專家，就應聘者可能會遇到的具有挑戰(zhàn)性的問題給出了一些例子；同時，他們也對這些問題針對性地給出了應答建議。

1. 為什么現(xiàn)在對你來說是更換職位的正確時機?

Blackmere咨詢公司負責專職招聘信息安全專業(yè)人士的人事主管Domini Clark表示，更換工作說白了就是有關動機和適當時機的問題。

我需要盡早地了解激勵一個人跳槽的動力是什么，以及是何等機緣讓他選擇勇敢地邁出跳槽這一步。你是否因為領導是個微觀管理者(事必躬親，什么小事都要管)而恨他?你是否因為錯過了孩子成長的頭三年而對出差工作感到厭倦?當被問及為什么離開原來的崗位時，有時候人們會選擇逃避這些因素。

Clark繼續(xù)補充道，“我需要知道壓死駱駝的最后一根稻草究竟是什么?只有這最后一根稻草才是觸動他離職的導火索，其他答案都并非決定因素的掩飾而已。”

2. 在這個競爭日益激烈的市場中，你將如何為我們的組織招聘并留住高級的安全專業(yè)人才?

網(wǎng)絡安全行業(yè)的每個人都知道，想要尋找到技能嫻熟的安全專業(yè)人才是多么困難的工作。招聘人員可能會想要知道你將如何應對這一挑戰(zhàn)。

咨詢公司SoCal隱私顧問的副總裁兼首席安全顧問Paul Boulanger表示，建議建立一個內(nèi)部指導和培訓計劃。公司可以通過為在職員工提供培訓和認證的方式，讓他們不斷增強個人能力，并在企業(yè)內(nèi)部發(fā)展職業(yè)道路。畢竟，無論是企業(yè)還是個人都希望能夠穩(wěn)定發(fā)展，扎穩(wěn)根基;如果企業(yè)能夠為個人提供職業(yè)道路發(fā)展可能，那么不管是對企業(yè)還是員工益大于弊的舉措。

Boulanger解釋稱，“我希望能夠避免員工長期處在一個崗位而產(chǎn)生的職業(yè)倦怠感，通過培訓能夠?qū)崿F(xiàn)員工的工作輪換。員工能夠因為學習到新技術而保持這種職業(yè)新鮮感。這一點我們已經(jīng)在DevOps /敏捷運動中得到了驗證?，F(xiàn)在，我們也應該在安全領域?qū)嵺`這一操作，它會為我們呈現(xiàn)出員工更好的一面。”

3. 你參與的安全項目是否有失敗過?如果有，造成失敗的原因是什么?有機會重來你會做出哪些改變?

美國科羅拉多州州長辦公室的首席信息安全官(CISO) Deborah Blyth表示，通過這個問題，面試官想要了解應聘者可以從過去的失敗經(jīng)歷中學習到哪些經(jīng)驗教訓。

通常情況下，安全項目失敗的原因是沒有足夠的買入來支持項目運轉(zhuǎn)，或是沒有充足的計劃和準備來處理用戶的不良使用體驗。你必須要提前思慮周全所有可能遇到的問題，并做好充足的應對措施才能確保項目更好地完成。

這些準備可能包括：組織更廣泛的試點小組;在每個地點培訓多名支持該項目的安全專家以幫助用戶處理問題;為項目執(zhí)行主管及其行政助理提供“白手套服務”，于細節(jié)處體現(xiàn)其專業(yè)性。 Blyth表示，“也許花些時間與其他業(yè)務領域的一些領導進行一對一的溝通，傾聽他們的訴求和擔憂，并探討如何支持可能面臨的各項問題，能夠有助于增加未來項目的買入率。”

4. 你是否經(jīng)歷過違規(guī)事件?

健康相關技術產(chǎn)品供應商FEI Systems公司首席隱私官兼首席安全官(CSO)Jason Taule表示，面試官會問這個問題是可以理解的。他說，“但是我認為這是一個非常棘手的問題，因為它沒有所謂的正確答案，重點在于如何措辭。如果你回答‘是’，你作為首席安全官的能力可能會受到質(zhì)疑，畢竟，有誰愿意承認在自己手里發(fā)生過違規(guī)事件，但是面試官也能夠體諒，再好的防御仍然無法做到無懈可擊，網(wǎng)絡攻擊無孔不入，很多時候首席安全官們盡了最大的努力仍然無法阻止其發(fā)生。”

另一方面，如果你給出了“否”的答案，可能意味著你的經(jīng)驗有限，沒有經(jīng)歷過足夠的失敗歷練，無法駕馭公司面臨未來的挑戰(zhàn)。

對此，Taule的建議是：承認違規(guī)行為似乎是很難避免的，然后談論自己成功組織過的早期異常檢測和有效的事件響應項目的經(jīng)歷，并描述自己從違規(guī)事件中獲取的經(jīng)驗教訓。但需要注意的是，在此描述的違規(guī)事件一定要是無關緊要的，而不是已經(jīng)造成嚴重損害的事件。

5. 你有沒有偷盜過任何東西?

Taule表示，對于任何員工而言，信任都是最重要的品格。而對于負責監(jiān)督組織隱私、風險以及信息安全管理職能的人員來說，這種誠信則顯得尤為重要。

Taule表示，“這個問題同樣很難回答，因為應聘者通常認為自己給出了令人信服的答案，而事實往往并非如此。要相信，大多數(shù)人都或多或少地偷過一些什么東西——我的意思是，誰沒有一不小心從辦公室裝過一兩只筆回過家。對于這個問題，大多數(shù)應聘者給出的答案是肯定的。”

Taule并不是建議任何人說謊，如果他們過去確實偷了某些東西的話。他說，“如果你做過就勇敢承認，并堅定地表示那些都已經(jīng)是過去的事了。但是，不管你信不信，總有人從來沒有偷過任何東西，對于這類人，你只需要堅定地回答，‘不!我沒有偷過任何東西!’”

6. 你做大的成就是什么?你為什么以此為傲?

Blyth表示，要注意你所說的事情與企業(yè)利益是否存在關系。例如，如果你談及曾經(jīng)成功組織過的一個項目，你需要指出自己在項目中建立起來的關系網(wǎng)，而這些關系可以幫助未來的公司推動項目實施。

再或者，你也可以舉例說明自己是如何幫助公司提高效率的。比如整合安全工具或服務，以增強企業(yè)安全性，同時每月為公司節(jié)省大筆維護費用等等。

7. 你推薦我們?yōu)閄X工作使用的安全產(chǎn)品是什么?

Taule表示，這種問題可以有很多種表現(xiàn)形式，具體取決于招聘企業(yè)想要評估應聘者什么方面的內(nèi)容。

他解釋稱，“高級安全主管通常身兼多職，包括銷售人員、安全顧問、解決方案架構師以及項目經(jīng)理等等。但是任何一個曾經(jīng)擔任過上述其中一個職位的人都知道，這個問題就是一個巨大的陷阱。因為無論是組織、運營、財務、政治還是文化，都涉及太多的因素，根本不存在最佳的解決方案來處理企業(yè)面臨的任何業(yè)務問題。作為回應，我建議應聘者可以專注于具體目標，并分享過去自己應用過的不同解決方案的經(jīng)歷。”

8. 在你任職的前90天內(nèi)，你的優(yōu)先事項是什么?

Blyth表示，你的回答應該更偏重于與同事建立關系，激發(fā)對于同事和團隊的信心，而不是急于求成地追逐實現(xiàn)最大的安全成就。

他解釋稱，“你可以談談自己將如何與行政領導和同事間進行一對一會面，以了解他們的優(yōu)先事項，以及如何將這些優(yōu)先事項與安全工作相融合來為他們提供支持。接下來，你可以談談自己將采取的具體步驟，以確保自己有一個完整的業(yè)務藍圖，這樣你才能夠更好地理解自己的角色，以及如何利用該角色支持和實現(xiàn)業(yè)務。”

9. 你理想的下一步是什么?

Clark表示，“每個人的腦海中可能都會時不時地跳出這樣一個想法，下一步將會發(fā)生怎樣偉大的事情，以及它將與當前的情況有多么不同。這這種理想化的畫面中，草不僅更綠色，甚至還有彩虹條紋和草莓氣息。”

通常情況下，人們在解釋自己的“理想化”時總是期待與失落并存，畢竟，“理想化”終究只是理想，沒有人真的愿意被告知，草永遠不可能是彩虹色以及充滿草莓香味的。然而，這種有關“理想”的談話可以讓面試者了解應聘者對于未來的期待，特別是薪酬方面的期待。通過這個問題可以幫助招聘主管了解應聘者是否真正考慮了從現(xiàn)狀到“理想”的過程。

10. 你將如何為公司創(chuàng)造價值，并持續(xù)保持自身的競爭力?

Boulander表示，這個問題需要分兩步應答。第一步，讓我們先了解利益相關者及其具體需求，并確保自身能夠滿足其要求。建立良好的管理將有助于確保自身從業(yè)務角度出發(fā)來持續(xù)滿足這些需求。作為新來的首席信息安全官，你所采取的任何舉措都需要解決這些需求。

第二步，應該對安全高管進行持續(xù)培訓，以確保安全工具和技術能夠及時更新。培訓不僅僅需要落實在新人加入時，也需要根據(jù)威脅環(huán)境的變化進行更新。公司不能指望一旦實施了某項解決方案之后就將其永遠持續(xù)下去。工具需要進行評估、升級甚至迭代替換，以滿足業(yè)務發(fā)展和利益相關者的需求。好的管理可以幫助彌合人員方面的任何變化，而你需要做的就是幫助企業(yè)建立良好的管理措施。