首席信息安全官们跃跃欲试

更多的CISO正在行业内寻求新的职业道路

如果我们很幸运,我们每个人都有机会在职业生涯中一次冒险,利用我们的技能和经验去做我们真正喜欢的事情。有时,职业风险较低,但有时确实是一种信念上的飞跃,这提供了巨大的回报以及重大挫折的风险。 

塔米·莫斯基特(Tammy Moskites)采取了这样的信念飞跃。前时代华纳有线CISO在传统企业中拥有丰富的经验,包括家得宝,亨廷顿国家银行,全国和安泰保险。当她得知时代华纳有线即将进行重大重组时,她意识到自己担任CISO的职位将被取消。

[较小的城市希望在不断增长的InfoSec就业市场中竞争]

莫斯基特斯(Moskites)在得知即将失业的消息后,一直在寻找新的机会,并决定做一些完全不同的事情。在与证书和加密密钥安全公司Venafi的首席执行官Jeff Hudson的对话中,她审视了从成为企业安全主管(她一直扮演的角色)到在企业的卖方方面工作的想法。 。她对哈德森说:“我知道我的角色将随着重组而被淘汰,我很高兴有机会向供应商方转移,” 

“他有点嘲笑我,”事后几个月,莫斯基特斯解释道。 “然后他问,‘你是认真的吗?’”

她曾经是。哈德森接受了她的提议。 

我们看到今天有更多的CISO抓住机会,而如今经验丰富的安全经理的失业率几乎为零,看来他们有很大的回旋余地。从事安全工作十年或以上的人员通常从头开始构建安全程序。他们帮助组织从违规情况中恢复过来。他们指导了新专业人员。他们已经看到了行之有效的方法,而不是行之有效的方法。现在,他们准备尝试新事物。

Moskites对卖方而言并不完全陌生,因为她还是Box和Qualys的顾问委员会成员。而且,如果您与她交谈5分钟,就可以表明她不仅对这个机会充满热情,而且还相信她需要对证书和加密密钥进行更安全的处理和管理。 

她说:“每四个组织中就有三个没有适当的安全流程来管理SSH密钥。” “一旦这些键到位,它们将永远保持在原位。这是巨大的风险。”

同样的动机也激发了Eric Cowperthwaite最近离开其在Providence Health and Services的CISO职位,加入Core Security担任高级安全和战略副总裁。 Cowperthwaite在Providence Health and Services担任CISO已有7年。 

[吸引女性从事信息安全工作的10个技巧]

他说:“我希望将我作为CISO的经验带给供应商社区,并灌输一些CISO工作中的困难以及如何最好地帮助他们以及他们正在尝试做什么的感觉。”

“我认为,当我们找到我们真正相信的东西时,这种趋势便是我们中的更多人,以此为契机,外出机会与我们的同龄人交谈,并帮助他们了解为什么我们如此热情,以及如何帮助他们他们,” Moskites说。

但是,考珀斯韦特(Cowperthwaite)对跳这么大的步伐并不完全乐观。 “我不想被视为卖光了。从我的角度来看,这是真正地找到我认为非常创新的知识产权,可以帮助将组织推向更安全的地方。”他说。 

Cowperthwaite还担心他可能无法吸引Core的工程团队,他需要这样做来讨论市场需求。 “我真的能够成为工程界的代表吗?那是非常重要的事情。工程团队很聪明,但是他们很少(如果有的话)知道成为一名从业者的感觉。我认为,重要的是,让知道如何成为一名从业者的人们振兴供应商。”考珀斯韦特说。

Citrix Systems的CISO Stan Black对此并不感到意外。布莱克说,招聘经理对有经验的安全专业人员的需求很高。他说:“他们正在寻找实际上犯了一些错误并且在大规模环境中工作,具有公信力并且可以谈论任何话题的人。”

[为什么安全专家需要通过渗透测试(以及如何做)来发挥更大的创造力]

对于那些决定转移到该行业的卖方方的CISO来说,有什么准备呢?布莱克表示,他们的新职位可能会颇有收获,为企业CISO提供了许多通常不会戴的新帽子。他会知道:在今年秋天加入Citrix之前,Black在许多软件和安全厂商(包括EMC,RSA和Nuance)担任CISO方面具有丰富的经验。 

但是,在采取最新行动之前,布莱克为他选择的任何职位建立了一套标准。 “我知道我不想再向CIO报告。我想加入一个具有四个主要特征的公司:他们必须具有正直,积极的文化,对技术的继承和强大的远见。我喜欢亲自使用技术。这是我真正喜欢的事情,必须成为我所做工作的重要组成部分。”他说。

Black在Citrix任职期间,向首席财务官(也是首席财务官)汇报工作。 “我真正有能力去做我的工作。并在适当的时候放下我的脚来保护我们的公司和客户。”布莱克说。

帮助Citrix安全地开发产品,保持客户安全并保持公司自身安全是一项艰巨的挑战,但是Black也感到颇为可取。他说:“除了担任公司的CISO之外,我还负责Citrix产品的监督,我的工作主要是定义一个框架和一套标准,并使所有人都有共同的愿景。” 

[HOCO CISO计划以“虚拟” CISO破土动工]

为了实现这些目标,布莱克表示,他必须参与业务的许多方面,包括销售,市场营销,内部审计,设计,工程和业务负责人。他说:“更多的是我不与谁一起工作的问题。”

当涉及内部Citrix安全性时,Black与物理安全和安全团队紧密合作。 “我们正在运行一个融合的安全程序,而运行该程序的人(物理方面和安全方面)我们的合作非常出色,并且我们将两个世界融合在一起,因此我们对整个供应链具有可见性:产品,服务,人员和数据。”  

鉴于CISO能够为所有这些关键领域增加价值,因此得知安全供应商将它们抢购一事就不足为奇了。 

“安全公司通常不会意识到他们的产品没有满足人们对安全的需求。我有销售人员经常打电话给我,‘这个小部件将使您更加安全。您不明白这对您有多重要。’大多数时候他们都不知道对我来说重要的是什么。”布莱克说。

但这恰恰是Cowperthwaite和Moskites都希望为新雇主提供的那种价值。  

“供应商需要听到诚实的事实,并帮助他们了解从业人员。他们确实做到了。供应商和从业者之间存在这种鸿沟,而在这种鸿沟中没有人互相信任的事实是不可接受的。跨界存在极大的不信任。”考珀斯韦特说。 “如果我可以帮助他们突破界限并建立更多的信任,那么我认为这次任务是成功的。”

[由安全管理员演变而来的安全分析师]

帮助供应商社区和公司内部基础设施建立这种信任是使Moskites升任新职位的原因之一-而且她仍然可以继续做她作为CISO所做的一切。 “我仍然是Venafi的安全官员。我仍在为公司做日常安全工作,编写安全策略和程序,但规模要比时代华纳小得多。但是直到现在,作为工作的一部分,我才真正与人们谈论我热衷的事情。那太酷了。”

乔治·赫尔姆是明尼苏达州的一名自由职业安全和技术作家。

版权© 2014 IDG通讯,Inc.