回答好这十大难度问题 搞定安全人员面试
作者: 日期:2017年06月28日 阅:18,714

新近受聘的安全主管,分享招聘高管们在面试中想知道的东西。

经历过入职面试的人都知道,成功收获工作的一大关键,就是聪明而有效地回答面试问题,但又不让自己看起来像个机器人。安全高管职位也是如此。事实上,鉴于安全管理职位的重要性,以及对安全高管必须能快速思考应对的需求,为可能被问到的难题准备好有说服力的答案,对赢得职位至关重要。

几位安全高管和招聘专家,为求职者提供了可能会被问到的几大难题,并附上了他们对正确答案的建议。

1. 为什么现在是你做出职业变动的恰当时机?

专精信息安全人才招聘的Blackmere咨询公司负责人多米尼·克拉克说,换工作无非就是动机和恰当的时机。“我需要早点知道求职者做出职业改变的动力有多强,又有哪些机会可以让他们摆脱不确定性。”

你讨厌你的老板事必躬亲不放权吗?你因为错过了孩子3岁前的重要时光而厌烦出差吗?有时候,人们在被问到为什么离职时,会逃避这些因素。

这个问题中,时机是个完全不同的因素。“我希望知道压垮骆驼的最后一根稻草是什么。那根稻草才是真正的激发因素,其他的都是装门面的。”

2. 在日趋紧张的市场中,你将如何为公司获得并留住顶级安全人才?

业内每个人都知道找寻安全专业人士有多难。招聘官想知道你会怎么解决这个难题。

咨询公司 SoCal Privacy Consultants 副总裁兼首席安全顾问保罗·保兰格建议,建立内部指导和培训项目。这样公司便可通过教育、认证及公司内的职业通道,提供员工个人成长空间,双方便都可以期待扎根下来,做一番事业。

我们希望能避免特定岗位的职业疲劳,所以培训中有部分会涉及轮岗。个人将能学会新技术,保持新鲜感。我们从当前的全栈开发员趋势中看到了这一点。在安全方面也应该鼓励全栈。这能培养出更好的员工。

3. 你曾参与过失败的安全项目吗?如果参与过,项目为什么会失败?再做一次你会做出什么改变?

科罗拉多州长办公室CISO德波拉·波利斯说,问出这个问题,面试者希望听到的是你能从过去的失败中学习的证据。“通常,安全项目因缺乏足够的认可,或者对用户影响准备不足而失败。总有些事情是你可以提前做到,而确保产生更好的结局的。”

比如说,采纳更广泛的实验组,在每个地点培训多领域专家来帮助用户,或者为高管及其行政助理提供白手套服务。“或许花点时间与其他业务领域的主管面对面交流,倾听他们的意见,畅谈有问题怎么解决,会对增加未来项目的认可度有所帮助。”

4. 你曾经历过数据泄露吗?

面试者问出这个问题是可以理解的,医疗相关技术产品提供商 FEI Systems 首席隐私官兼首席安全官杰森·陶尔说。“但我认为这个问题很难,不仅仅因为措辞,还因为这个问题没有正确答案。回答‘是’,可能会也可能不会反映出CSO的能力。没人愿意承认在自己眼皮底下出了数据泄露事故,但很多时候尽管做全了CSO的工作,数据泄露仍然发生了。”

另一方面,回答“没有”,可能暗示出应聘者缺乏必要的经验以成功导引公司度过重大数据泄露危机。承认似乎无法避免的数据泄露,“讲述一些成就,比如建立成功的早期异常检测,同样有效的事件响应项目;描述从处理不那么严重的事件中获取到的经验,那些若处理失当就升级的事件。”

5. 你偷过什么东西吗?

对任何雇员而言,信任都是非常重要的。但对肩负公司隐私、风险和信息安全管理职能的人来说,绝对诚信是至关重要的。

陶尔说:“这个问题很难回答。因为应聘者往往会拿出他们认为能表明诚实的答案,但实际上效果正相反。每个人都会偷拿点儿什么,谁没偶然从办公室带回几支笔呢?很多应聘者都承认了的。”

陶尔并不是说在过去确实挪用了什么东西的人就会说谎。“如果你做过,承认它,表明你已经放下了。不过,无论你信不信,还真不是每个人都偷东西的。所以,最终,这个问题只有一个合适的答案:没,我没偷过。”

6. 你最大的成就是什么?为什么你以此为荣?

波利斯说:“重点放在打造的关系和对公司的好处上。”比如说,谈谈让你与市场部主管们建立了良好关系的项目,说说该关系让你对公司业务有了更深理解,为未来的项目起到了作用。“

或者,举出你如何帮助公司更加高效的例子,比如整合了工具或服务,即剩下了每个月的维护费,又提升了安全。

7. 关于XX业务,你会推荐我们使用什么产品?

该问题形式多样,难以招架,因为面试者想要评估的东西,和问题本身看起来要引出的东西之间,没什么关系。“高级安全主管必须是多面手,身兼销售、顾问、解决方案架构师和项目经理等等角色。但任何曾经干过这些岗位的人都清楚,这个问题是个绝不能跳的坑。你没什么机会选中正确答案。”

任何业务问题,在选择最佳解决方案的时候,都会收到很多因素的影响,组织上的、运营上的、金融上的、策略上的、文化上的……在回答的时候,要专注根本目标,分享你过去不同解决方案中的经验。

8. 头三个月你的重点是什么?

回答时,要更多围绕在同事和团队间建立关系和激发信心上,不要追求实现重大安全突破。“谈谈你将怎样与管理层和同事面谈以发现他们的优先事项,以及你将怎样支持他们。说说你将采取哪些具体步骤来全面了解公司,以便理解自己的角色,认清自己该怎样支持公司发展。”

9. 你理想的下一步是什么?

克拉克说:“每个人脑海中都有一副画面,描绘着自己的下一步远景,这幅远景与当前情况是多么不同。有时候画面中的青草不仅仅是更绿一点,它还有彩虹条纹,而且闻起来像草莓。”

在解释自己的“理想”时,人们往往会略踌躇,因为他们并不真想被人窥探自己的幻想。“没人真想被告知真实的小草永远不会有彩虹色,也不会有草莓味。然而,这一幻想将会驱动你与应聘者交流他们对公司的期待,尤其是在你开始谈薪酬的时候。”

这个问题可以帮助招聘主管了解,应聘者是不是真的考虑过从当前状态到“理想”需要付出什么?

10. 你将怎样为公司创造驻留价值?

保兰格说:“答案分两支。先理解股东及其需求,确保能满足他们。从业务角度出发,建立良好的管理,可以确保这些需求持续被满足。新进CISO的任何新倡议都必须解决这些需求。”

其次,应该对管理人员进行持续的教育和期望管理,让安全工具切实随时间更新。“不仅仅是来了个新人这么简单,威胁环境也将随之改变。公司不能期望一旦配置了解决方案就会永远起效。工具也要被评估、升级,甚至更换,才能满足必须满足的股东需求。良好的管理可以弥合人事上的任何变动。你可以帮助建立起这良好的管理。”

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章