LinkedIn公司首席信息安全官科里·斯科特(Cory Scott)认为,故事叙述不仅仅是作家做的事情,网络安全专业人员也可讲述自己的工作故事来帮助改进工作,以及帮助管理人员创建最多元化最成功的团队。
斯科特在五年前加入LinkedIn团队,在他的领导下,LinkedIn的安全团队日益壮大。
斯科特表示,这种讲故事的概念出现在多年前,这可归结为讲述我们自己的故事。“当有人询问我的工作时,我会尽量少花时间谈论头衔或职位。我会试着讲述我所做的工作以及我如何努力保护平台和我们的员工的安全。”
斯科特认为,对于CISO来说,讲述个人安全工作故事特别重要。这种叙述故事应由两部分组成:
当前情况即你目前正在做的工作,对于斯科特来说,目前的工作是在构建新安全功能时他如何考虑成员隐私性;
长期的情况则涉及你整个职业生涯,以及你所做的所有工作中你最引以为荣的部分。
斯科特指出:“在逆境或者冲突时期,这样的讲述非常重要,你应当确保不要让其他人来讲述你的工作。”
如何讲好你自己的网络安全故事?
如何讲述自己的安全故事呢?首先,思考一下你从安全从业人员听到过的标准故事。
一种是防御者,主要职责是保护人员和公司免受攻击。另一种聪明的渗透测试人员,他们主要在软件和部署中寻找漏洞。还有工程师,他们将安全视为核心工程问题,就像性能、可扩展性或可靠性一样。另外还有评估者,他们希望将安全与业务保持一致,并优先保护最重要的资产。
“当我与不同的CISO交谈时,他们可能会根据目前自身的思维模式、职业背景以及他们如何希望与其公司进行交流,将自己放在上述一个或两个阵营中。探讨这些定位对他们的发展非常有帮助。”
在安全团队的每个人都应该有这样的故事叙述。在招聘或者做项目时,听取每个人讲述自己这样的工作故事,可帮助CISO建立最强大最多元化的安全团队。
“我想要那些聪明的渗透测试人员,但我也希望有防御者与他们一起共事,这样防御者可了解如何检测可能被他们渗透到的攻击,”Scott称,“我想要听到评估者说,‘这真的是最大的威胁吗?’同时,我想听到工程人员说,‘我可以在这里编写库或代码来以经济有效的方式消除这种攻击。’所以,从这个角度来看,你最终可通过这些讲述来构建强大的安全团队。”
最好从面试过程开始了解安全从业人员的故事。斯科特称:“我曾经雇佣没有安全经验的人员,他们会讲述他们如何处理技术、操作和工程的方式,而他们描述的方式我认为符合安全专业人员的做法。我们可培养他们,让他们发展自己的事业。”
所有这些讲述形成了广泛的不同观点和背景。
他补充说:“我看到很多CISO会聘请和他们自己很像的人,说话也像他们,并试图解决他们想要解决的相同问题。有时候我自己也会陷入这样的困境。这里的重点是,你需要确保聘请具有不同职能的人,因为他们将为企业其他部分提供必要的视角,也可能以一种你无法涉及的方式讲述相同的故事。”
本文翻译自TechRepublic
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
