Ellen Benaim是總部位于丹麥哥本哈根的SaaS提供商Templafy公司的首席信息安全官，她于2018年6月入職該公司擔(dān)任技術(shù)支持工程師，并開始了她的職業(yè)生涯。在2020年3月，她成為了Templafy公司的首席信息安全官。

在行業(yè)媒體對她進行的采訪中，她談到了對首席信息安全官角色的看法，并為那些希望有朝一日實現(xiàn)這一目標(biāo)的人提供了一些建議。

請您介紹一下在Templafy公司的職業(yè)發(fā)展情況

Benaim：我一直對IT技術(shù)充滿了熱情，更具體地說，我更加關(guān)注人們每天都在使用的技術(shù)的安全。在我擔(dān)任技術(shù)支持工程師時，我了解和掌握了Templafy平臺的技術(shù)組件，并指導(dǎo)用戶解決他們面臨的問題。但是，隨著知識庫的發(fā)展，我也開始深入研究Templafy平臺和組織的安全方面。然后我加入安全團隊致力于構(gòu)建安全第一的方法。這對整個公司和我們的用戶來說都是非常成功的，這讓我能夠繼續(xù)發(fā)展壯大安全團隊。

在我入職Templafy公司22個月之后，Henrik Printzlau辭去了首席信息安全官的職務(wù)，我為實現(xiàn)我的職業(yè)目標(biāo)而感到榮幸和激動，成為Templafy公司第一位女性首席信息安全官。在新冠疫情期間擔(dān)任這一角色面臨更大的責(zé)任和壓力，特別是考慮到技術(shù)和SaaS行業(yè)在過去一年半中出現(xiàn)的指數(shù)級增長。然而到目前為止，這是一段美妙的旅程，我很高興能夠帶領(lǐng)Templafy的團隊走得更遠。

您接替了Henrik Printzlau擔(dān)任首席信息安全官角色，在交接之前你是如何準(zhǔn)備的?

Benaim：我的目標(biāo)是成為一名首席信息安全官——事實上，我在入職面試中就談到了這一點。Henrik Printzlau在面試區(qū)的時候問我接下來五年的目標(biāo)是什么，我誠實地回答說，想成為安全領(lǐng)域的專家，并致力于成為一名首席信息安全官。當(dāng)然，那時我并沒有意識到Henrik在公司中的角色，因為他的LinkedIn資料只表明他是聯(lián)合創(chuàng)始人。他告訴我，他就是首席信息安全官，這次面試是我們兩人達成良好合作關(guān)系的開始。

Henrik理解并尊重我的目標(biāo)，讓我從頭開始學(xué)習(xí)，并讓我有機會深入研究Templafy安全系統(tǒng)令人興奮的技術(shù)和發(fā)展。兩年來，我與Henrik密切合作，推動Templafy公司在安全方面的投資并提升安全水平。從第一天起，Henrik就一直是我的好導(dǎo)師，當(dāng)他決定繼續(xù)專注于Templafy公司更大的戰(zhàn)略時，我們彼此以及與團隊建立的良好關(guān)系和信任，這使我們的職位交接無縫銜接。他幫助我為首席信息安全官的角色做好準(zhǔn)備，在這兩年的時間里悉心指導(dǎo)和教導(dǎo)我，讓我有信心追隨他的腳步。

在您看來，成功的首席信息安全官的必要特征是什么?

Benaim：很多人認(rèn)為安全人員的工作可能會妨礙業(yè)務(wù)運營，這是一個誤解。雖然安全領(lǐng)導(dǎo)者希望確保業(yè)務(wù)一切正常且盡可能安全，但這并不意味著他們是許多人認(rèn)為的“安全警察”。除了這種不良的形象之外，人們對首席信息安全官的刻板印象是咄咄逼人、傲慢和控制欲強。然而，首席信息安全官并不一定要成為強硬的統(tǒng)治者才能成為有效的安全領(lǐng)導(dǎo)者。事實上，有時成功的首席信息安全官的特征恰恰相反。

在我領(lǐng)導(dǎo)安全團隊的工作經(jīng)驗中，我發(fā)現(xiàn)協(xié)作、溝通和參與是首席信息安全官取得成功的關(guān)鍵特征。首席信息安全官的職責(zé)不是“控制”企業(yè)的業(yè)務(wù)，而是讓企業(yè)更加安全。這需要積極的傾聽技巧并與業(yè)務(wù)團隊開展合作，以了解他們的目標(biāo)和痛點，以了解安全性可以與其他人合作而不是與他們對抗。成功的首席信息安全官是團隊合作者，他們與同事為公司的利益一起工作。

另一個常見的誤解是強大的領(lǐng)導(dǎo)者對企業(yè)的成功負(fù)有全部責(zé)任。事實上，領(lǐng)導(dǎo)者無法獨自完成這一項任務(wù)。安全需要團隊的共同努力;我們的力量取決于最薄弱的環(huán)節(jié)。營造開放和協(xié)作的環(huán)境并信任團隊來完成他們受雇完成的工作非常重要。

您工作的樂趣是什么?你希望避免什么?或者改變/改進什么?

Benaim：我很榮幸在這樣一家重視安全性和首席信息安全官角色的公司工作。很好的一個例子是最近做出的一個決定，就是讓我直接向企業(yè)董事會報告(而不是向首席技術(shù)官或首席信息官報告)，并且讓安全團隊有自己的預(yù)算。這一決定展示了我們公司如何給予安全應(yīng)有的價值。Templafy公司不會滿足于低于企業(yè)級的安全性，公司領(lǐng)導(dǎo)團隊的行動證明了這一點。將信息安全視為戰(zhàn)略投資和業(yè)務(wù)推動者的看法是我在工作中倡導(dǎo)的變革。

我為我們在Templafy公司建立的安全生態(tài)系統(tǒng)感到無比自豪。我樂于迎接每天面臨的挑戰(zhàn)，以繼續(xù)將我們的安全狀況提升到行業(yè)領(lǐng)先水平，這不僅對我們的客戶，也對我們自己負(fù)責(zé)。

您從整個職業(yè)生涯的導(dǎo)師那里學(xué)到了什么?你也在指導(dǎo)其他人嗎?

Benaim：在我職業(yè)生涯的早期，我在都柏林的一家資產(chǎn)管理公司實習(xí)，并在他們的安全團隊工作。在實習(xí)期間，領(lǐng)導(dǎo)我的是一名高級信息安全經(jīng)理，在參加的任何安全會議中，她都是會議中唯一的女性，她總是得到公司里所有人的信任和尊重。她告訴我，你不必成為所有安全行業(yè)的佼佼者，更重要的是要專注于你從事的工作，并致力于建立一個可以填補空白的安全團隊。

Henrik是我的另一位偉大導(dǎo)師和榜樣。在過去的兩年里，我很幸運能在他的指導(dǎo)下訓(xùn)練和學(xué)習(xí)。當(dāng)?shù)玫狡渌I(lǐng)導(dǎo)者的支持和信任時，更有可能成功。Henrik從一開始就相信我的努力，我相信他的指導(dǎo)在我的成功中起到了重要作用。

我很幸運遇到了一些偉大的人，我也希望能夠教育年輕一代，并分享我從自己的導(dǎo)師那里學(xué)到的東西。事實上，在我大學(xué)期間，我通過名為CoderDojo的課程教孩子們?nèi)绾尉幊?。此外在一個大學(xué)項目中，我創(chuàng)建了一個視頻游戲，教孩子們?nèi)绾瓮ㄟ^對抗Wndows應(yīng)用商店中仍然存在的黑客來確保網(wǎng)絡(luò)安全。玩家可以在游戲中獲得更多知識，并利用這些知識擊敗黑客。我喜歡教學(xué)，希望通過未來的導(dǎo)師和社區(qū)參與，我能激勵和鼓勵孩子們從事科技事業(yè)。

此外，我還參加了與FearlessintoTech和Womenin Tech Denmark的一些活動，并很高興與他們進行公開對話，以幫助提高科技行業(yè)對所有人的吸引力。我還應(yīng)邀在我以前就讀的大學(xué)科克大學(xué)和SDA博科尼管理學(xué)院發(fā)表演講。SDA博科尼管理學(xué)院開設(shè)了網(wǎng)絡(luò)安全碩士課程，男女比例接近50:50，這確實令人鼓舞。在科技行業(yè)的代表性是關(guān)鍵，鼓勵女性加入該行業(yè)將始終是我的目標(biāo)。

哪些研究、課程、經(jīng)驗、書籍、在線資源對您對網(wǎng)絡(luò)安全和領(lǐng)導(dǎo)力的看法產(chǎn)生了重大影響?

Benaim：我在科克大學(xué)學(xué)習(xí)了商業(yè)信息系統(tǒng)，這為我在IT、商業(yè)模塊和安全方面打下了良好的基礎(chǔ)。雖然這些基本知識非常寶貴，但我的很多安全知識都來自工作經(jīng)驗。

與所有技術(shù)行業(yè)一樣，網(wǎng)絡(luò)安全也在不斷變化。由于不斷變化的趨勢和風(fēng)險，不斷學(xué)習(xí)和參與增長機會非常重要。網(wǎng)絡(luò)安全領(lǐng)域有許多子學(xué)科，但是，許多此類工作具有共同的技術(shù)基礎(chǔ)，并且從下面列出的課程中獲得的知識是對實踐經(jīng)驗的極大補充：

• 進攻性安全認(rèn)證專家(OSCP)
• 認(rèn)證信息安全審計師(CISA)
• GIAC認(rèn)證事故處理師(GCIH)
• 認(rèn)證信息系統(tǒng)安全專家(CISSP)
• 信息系統(tǒng)安全架構(gòu)專家(CISSP-ISSAP)
• 信息系統(tǒng)安全工程專家(CISSP-ISSEP)
• 信息系統(tǒng)安全管理專家(CISSP-ISSMP)

OWASP基金會網(wǎng)站上還有許多工具和資源，可以幫助掌握通用編程/軟件開發(fā)概念和軟件分析技能。在專業(yè)資源之外，我建議人們關(guān)注在線提供的許多優(yōu)秀文章、評審論文和安全博客。

在我看來，展示在工作中的經(jīng)驗的能力比獲得認(rèn)證更重要，只要確保目標(biāo)是獲得知識而不僅僅是認(rèn)證，并相應(yīng)地選擇優(yōu)質(zhì)課程。

你有自我能力否定傾向嗎?如果有，你如何面對的?

Benaim：像許多其他在男性主導(dǎo)的領(lǐng)域工作的年輕女性一樣，我有自我能力否定傾向，這讓我有時會懷疑自己的才能和技能。當(dāng)開始在一個長期以來一直認(rèn)為自己不屬于/可以在那里取得成功的行業(yè)中取得成功時，懷疑是一種非常自然的反應(yīng)。

邊緣化社區(qū)缺乏榜樣對讓人們感覺自己不屬于這些環(huán)境有著重大影響。這就是為什么技術(shù)代表非常重要的原因，以使該行業(yè)更加受歡迎和平等，以造福所有人。

當(dāng)自我能力否定傾向開始發(fā)作時，我記得我所經(jīng)歷的是自然而然的時刻，可以通過不要在意其他人的看法來面對這一時刻。我通過提醒自己獲得了首席信息安全官的角色來克服這種傾向。我回想起這樣一個事實，Templafy公司給了我以我想要的方式取得成功的許可，讓我能夠在我認(rèn)為適合公司的范圍和方向上發(fā)揮帶頭作用。出于某種原因，我獲得了制定安全計劃和領(lǐng)導(dǎo)一支優(yōu)秀團隊的自由和信任。

對任何一個層次的人來說，經(jīng)歷懷疑和恐懼都是很自然的情況，但順利度過這些時刻并不讓它們控制是至關(guān)重要的。我期待迎接挑戰(zhàn)、不確定性和失敗，因為這就是生活，我總是努力讓我的動力和雄心引領(lǐng)我度過這一時刻。偉大的領(lǐng)導(dǎo)者的特征是他們接受失敗并讓自己的經(jīng)歷推動他們前進。

您會給從事網(wǎng)絡(luò)安全工作的女性和年輕人什么建議?

Benaim：我鼓勵任何對網(wǎng)絡(luò)安全感興趣的人都去嘗試——無論他們的年齡或目前的職業(yè)角色如何。有很多可用的課程和資源可以為理解網(wǎng)絡(luò)安全的技術(shù)方面和許多可轉(zhuǎn)移的技能提供必要的基礎(chǔ)以進入安全領(lǐng)域。

關(guān)鍵是要找到可以請教的導(dǎo)師或同行，組織內(nèi)部和技術(shù)社區(qū)中，總有一些領(lǐng)導(dǎo)者愿意幫助那些對網(wǎng)絡(luò)安全充滿熱情的人。不要害怕尋求幫助，不要害怕接受挑戰(zhàn)。我相信任何充滿熱情的人都可以學(xué)習(xí)和使用新技術(shù)，無論性別或年齡如何。

多年來，您收到了哪些可以產(chǎn)生強烈共鳴的建議?

Benaim：雖然我一直致力于成為一名首席信息安全官，但我從未想過它會在我職業(yè)生涯的早期發(fā)生。但是，在Henrick曾經(jīng)給我的一條建議之后，這種情況發(fā)生了變化。在我在Templafy公司工作的早期，他鼓勵我接受不確定性并接受挑戰(zhàn)。

人們很容易擔(dān)心工作和生活中所有的未知因素，得到這條建議讓我做好了正面面對這個角色挑戰(zhàn)的準(zhǔn)備。首席信息安全官需要能夠?qū)崟r運作，在敏捷性和適應(yīng)性方面，并且在不立即獲得所有所需信息的情況下采取行動。

另一方面，我會向那些不確定他們的同事是否合格的企業(yè)高管或經(jīng)理提出這個建議：一旦給予他們信任和支持，讓他們盡其所能，就會得到更多的回報。