一名心理学与哲学专业毕业生的首席信息安全官之路

作者:星期五, 四月 21, 20170
分享:

首席信息安全官(CISO)通常具备技术性信息安全或IT风险背景。但条条道路通罗马,想成为CISO也未必一定要是谢耳朵那样的纯技术宅,兴趣、恒心、冲劲、终身学习等等素养也可助推非技术出身的人才成为优秀的CISO。不信可以看看心理学与哲学专业出身的杰夫·福尔兹是如何实现华丽转身的。

杰夫·福尔兹一开始并没有想要从事信息安全职业。他通过抓住一系列机会不断充实自己的技术集,终是走到了现下富达国民金融公司CISO的职位上。他的心理学与哲学学位也比人们想象中对其CISO工作的助力要大。

1994年从肯特州立大学毕业后,福尔兹发现自己对技术特别感兴趣,便去了一家图像艺术公司,入职IT部门,从事技术支持工作,技术、网络和电信系统的管理与报告撰写都属于他的职责范围。

“那是家一站式服务公司,我必须身兼数职,快速学会适应各种挑战。我还要能跟同事做技术沟通,并翻译成容易理解的信息传达给客户。”

那个时候还没有“信息安全”这种学科,因为根本就没有什么威胁情况。“互联网连接才刚刚经由CompuServ、AOL和拨号连接进入人们的视线。病毒还仅仅指的是自然界中需要用显微镜才看得到的小东西。”

1996年,福尔兹跳槽一家本地银行,当上了局域网(LAN)管理员,主要职责是支持广域网(WAN)和分支系统。该银行允许他花时间取得多家厂商平台的各种认证,紧跟业务与商业上的技术发展。

我很享受走出当前舒适区,每天学习进步一点点的感觉。在学校的时候我就知道了思想与行动的价值,那个时候起我就一直遵循“机会总是留给有准备的人”这一理念。作为第二代鹰级童子军,该箴言对我的生活和CISO职业发展都起到了良好的作用。

时光荏苒,该银行兼并其他银行,成为了福布斯美国银行百强之一的 FirstMerit Bank。直到2013年,福尔兹在该银行任职期间经历过很多职位,最终成为了该银行CISO。

“能在一家让我可以持续打造IT技术的公司工作,我觉得非常幸运。我是各种系统的管理员,防火墙、数据库、网站和开发系统我都管过。我不停试错,研究系统互联的内部机制和每个系统的优势与弱点,学到了很多东西。”

于是,福尔兹成为了某种意义上的IT全才,精通各种操作系统、编程语言、语法和程序。

“我可以构建平台,配置并强化系统,编写并编译代码,确保我负责的各种系统能安全交付。该能力一直让我有机会向董事会和高管展示新提案,给了我与业界领袖和公司财务高管的宝贵交流机会。”

福尔兹总觉得这些机会每次都有一点点超出自己的能力范围和舒适区。“但我努力做到不放过机会,坚持到成功为止。”

2004年左右,该银行信息安全经理退休,福尔兹获得了该职位。这期间,他专注自己在信息安全和业务持续性/灾难恢复方面的职业发展。

“我投身进各种各样的培训,IT方面和管理层次上的都有。”

他参加商业领袖的研讨会开拓视野,并于2007年取得了信息系统安全专家认证。之后,他晋升CISO兼高级副总裁,与同僚协作打造FirstMerit信息安全项目。

“在我CISO任期里,IT和安全景象快速发展演变成了现在的样子。威胁态势从相对良性和高调的‘我爱你’病毒攻击,进化到有组织犯罪所用的隐秘Zeus恶意软件,及民族国家支持的SCADA类基础设施攻击,安全也不仅仅停留在保证杀软病毒库定义保持更新就行了。”

2013年,福尔兹觉得自己的信息安全专家职业生涯可以更近一步了,于是转职富达国民金融公司CISO。“富达国民金融公司(FNF)是个巨大的机会,让我可以将这20多年来习得的技术和培训知识付诸实践。其母公司旗下各种各样的业务组合,为CISO提供了独特的机会。”

尽管技术敏锐度依然是福尔兹当前角色中不可或缺的部分,其重要性却有所下降,取而代之的,是在许多方面提供有力远见和指引。

我知道再提成功CISO必须具备良好写作和口头表达能力是老生常谈,但真实情况就是这样,想要有效开展工作并在事业上更进一步,这些能力是必备条件。作为CISO,我们必须是业务推进者,推动我们提供的价值主张——无论是以书面形式还是通过对话和行动。面对不断涌入的情报和威胁,CISO必须快速确定怎样评估这些东西,根据业务目标来排序和平衡所采取的行动,而且要在安全的情况下逐一实施。

福尔兹称,他的目标就是帮助护卫任意形式与体量的信息。“谈论工作的时候,我不仅喜欢谈到信息安全在企业方面的作用,还会说一说个人生活中怎样保证自己的私人信息安全。”

“今天的CISO必须具备各个方面的能力——技术上的、社交上的、心理上的、业务上的,这些能力有助培养协作共赢。因为作为CISO,我们已在执行管理上取得了一席之地,可以参与公司战略与管理了。”

福尔兹的CISO成长之路并不那么另类。通常,CISO会有信息安全技术或IT风险背景,但通往该职位的道路千千万——网络安全高管猎头公司 Alta Associates 首席执行官乔伊斯·布洛卡格利亚如是说。

“向董事会汇报、带领大型团队、宣传公司形象而不参与具体事务的重量级CISO也是有的。小公司来说,很多CISO依然亲自动手操作,深陷技术泥潭。部门成熟度、公司文化和对信息安全的重视程度,是CISO地位的决定因素。”

关键词:
分享:

相关文章

写一条评论

 

 

0条评论