安全行业的最大优势在于,它由来自不同背景、学科、技能组合和生活经历的各种角色和人员组成。让我们以诙谐的方式来了解下其中的一些情况。
请记住,在大多数情况下,每个人都做得很好,即使他们看起来做得不好,那也往往是他们的背景或环境造成的,而你可能根本没有意识到这一点。是的,我是在开玩笑(包括自嘲),就这么理解吧。
1. 自封的思想领袖
花费大量时间精心设计自己的LinkedIn个人资料,根据他们所认为的当前思想领导力的严格标准,对头衔进行完美概括。即使他们从未担任过首席信息安全官(CISO)(或只在自己的一人公司中担任过首席信息安全官),也会小心翼翼地至少包括一个首席信息安全官的头衔,提到他们是董事会董事(非营利组织或专业协会),并将他们的学历列为哈佛大学(上一次为期一周的在线非考试高管课程)。
他们说:“所有的CISO都不直接向CEO或董事会报告,这真是不可思议,这是确保安全有效性的唯一途径。”
2. 密码专家变身安全大师
多年来,他们一直在撰写书籍和发表论文,鼓吹密码学是实现安全的主要方法,但他们突然意识到事情比这复杂得多。于是,他们转而向世人揭示了他们看似独特的见解,即安全实际上与人、流程和技术有关,这是从事信息安全工作的专业人员早就知道的。
他们说:“要是不仅仅只是我一个人认识到安全流程的重要性,我们的处境就会好得多。”
3. 行业分析师
除非他们自己“造”一个产品类别名称,否则就不会开心,即使这个名称对其他人来说毫无意义,而且实际上只是其他产品类别的混合体。毕生致力于把产品放入四象限里。他们会邀请你在他们公司所谓的著名会议上发言,但前提是你必须同时支付赞助费。
他们说:“你的产品肯定不行,因为它不符合CRPR、BOLX或BDSM类别,甚至还没有达到高期望的巅峰。”
4. 厂商安全产品经理
当没有人真正知道“用户旅程”是什么,或者即使有人声称知道,但实际上并不了解时,感觉非常不舒服。当讨论安全产品/市场契合度时,感到焦虑,因为大多数安全团队并不真正需要这些产品,而大多数IT团队从未听说过。
他们说:“我的PRD是否足够传达出在DEEP待办事项中商业模型画布所展示的敏捷性?”
5. 智库政策专家
喜欢撰写长达30页的文件,笼统地呼吁采取行动和发表政策声明,却很少提及以前的类似呼吁是否有效。邀请企业参与制定最新报告的倡议,然后花上几个月的时间,试图把现实的方钉钉进他们一直想写的,先入为主的想法的圆孔里。
他们说:“您愿意投入100个小时来合作开展我们的最新研究,并为我们提供20万美元的研究经费吗?”
6. 企业综合经理转型CISO
在一家大型集团企业中,他长期在行政快车道上辗转于各个部门之间,但却没有在其中任何一个部门担任要职,后来CEO任命他担任CISO,以最终“解决”安全问题。在此之前,IT或职业安全人员在CISO职位上失败了很多年,主要是因为缺乏支持或投资。但是,现在,这位企业通才经理将把他们的6西格玛黑带技能用于这项任务,并极其自信地表示,他们将在不了解安全或技术的情况下完成所有所需的工作,并将其作为荣誉的象征。
他们说:“安全只是一个业务问题,根本不是技术问题。”
7. 云计算/SaaS CISO
在长期的职业生涯中,通过实施一些重大项目,终于对大量传统系统进行了安全升级,现在对“云计算”有了深刻的认识。现在,虽然实际经历的记忆已经褪色,但仍然主张每个人都应该转向云计算。
他们说:“安全的数字化转型对于找到 IT 生产率与降低安全风险之间的协同效应至关重要。”
8. 数字原住民CISO
作为公司前10名工程师之一,被聘为安全工程师。从头开始在云端构建了整个安全流程,没有任何遗留问题。尽管如此,他们仍然将所有身份信息集中在一个经常出问题的SaaS IdP中,造成了风险集中。上个月,他们被CEO告知现在正式成为CISO,并且必须花费全部时间与客户、审计员和监管机构合作。现在,他们在Slack的CISO频道上花费更多时间,寻找下一个初创公司来发展他们的工程技能。
他们说:"我是西岸的CISO,不是东岸的CISO。"
9. 现场CISO
曾经担任过CISO,希望保留CISO的头衔,但又不觉得有必要再在凌晨3点接到电话。他们甚至可能是一名管理顾问,虽然从未真正担任过CISO,但认为拥有这个头衔很酷,并为那些每天都在“实现梦想”的CISO提供建议。
他们说:“只要你持续购买我们的产品,我会一直在这里支持你。”
10. 小型企业IT人员
唯一负责管理IT的人,安全、审计、云计算、SaaS、本地部署、IT、OT和包括Nespresso咖啡机固件更新在内的一切事务的人。他热爱,真的热爱。那些由许多政府机构、非营利组织和厂商撰写的长达数百页的指南,他们没有时间也不愿意去读,而这些人一辈子都没有在小企业工作过或经营过小企业。
他们说:“Yubi是什么?”
11. IT审计人员
他们是董事会审计委员会的眼睛、耳朵和胃溃疡。无论是否存在重大问题,他们都要花时间撰写审计结果和意见,然后偶尔因为不得不解析来自IT和安全部门的不断呼吁而精神崩溃。无论结果如何,他们都没有资源来解决问题。
他们说:“不行,我不能第五次调整审计结果的解决期限。”
12. CISO变身首席风险官
资深安全领导者,他认为为高、中、低风险图表的世界带来一些严谨性,偶尔加上红、黄、绿以提高准确性,可能会很有趣。他上过定量风险分析课,读过《如何衡量一切》一书,会拼写贝叶斯法。他们的第一年充满希望,并积极使用任何量化工具,以成为最终破解网络风险量化密码的第一人。在他们第一次参加董事会风险委员会会议后,他们的眼睛瞪得大大的,又开始把问题显示为 “高”、“中”、“低”,并立即被称赞为“年度最佳风险经理”。
他们说:“我的贝叶斯网络没有成功,因为蒙特卡洛模拟被卡在IT为我们分配的1台服务器上,而其他100,000台服务器都用于信用和市场风险计算。”
13. 执法/军事/情报专业人员转任CISO
他们在重要的公共服务部门工作了很长时间,成绩斐然,经过精心挑选(由董事会成员进行一次直接的高管搜索面试)后,进入私营企业工作。企业环境是一个陌生的地方,没有员工为你拎包、开车,也没有员工把你的希望和梦想变成过于复杂的幻灯片。尽管你以前也无法处理它,因为你最喜欢的政府云服务已经过时了10个版本。
他们说:“我们应该用强制性访问控制标签对所有文件进行分类,这有什么难的?”
14. Tech CISO转型Corporate CISO
从技术最前沿进入一家传统的财富500强公司,对哪些业务可以保留在公司内部,甚至从云端返回进行严格分析。然后对那个在云迁移多年后仍然留在现场的数据中心技术人员的反应感到困惑。企业高管对节省20%的云计算费用完全不感兴趣,却要花费550%的费用重建数据中心,重新雇佣一大批高端IT人员,而这些人实际上做梦也不会想到要搬迁到偏僻地方。
他们说:“把Kubernetes集群从云端带回到那个非常好且完全值得信赖的中国数据中心提供商以巨大折扣提供的新托管设施中,肯定不会有什么困难吧?”
15. 风险投资家
并不总是完全清楚CISO想要什么,或者企业IT部门面临的安全挑战究竟是什么。但是,他们可以成立一个CISO咨询委员会,让CISO及其团队每年花几天时间免费提供观点,以换取一顿晚餐和一个董事会顾问的角色,希望所投资公司的彩票中奖率能达到1%。
他们说:“我们的目标是打造一个独特的咨询委员会体验,并向您介绍尽可能多的前8200部队指挥官。”
16.网络专家董事会成员
在董事会会议上出现的董事被惊讶地告知,根据新的指导方针,他们现在是指定的网络安全专家。当被问及如何得到这个重要的任务时,董事会秘书告诉他们,在他们的简历上显示他们曾经在职业生涯的某个阶段负责信息技术。此外,显然他们还在另一家公司的董事会任职,该公司遭受了如此多的安全漏洞,这为他们在这个角色中积累了重要的经验。
他们说:“我现在是一名网络专家。我曾在一次鸡尾酒会上遇到一个NSA的人。”
原文链接:
https://www.philvenables.com/post/caricatures-of-security-people
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安