医疗保健行业。

进入网络安全的途径

我们的三位 CISO 均通过 IT 进入网络安全领域。多尔蒂领导了 MSP 的创建，并担任运营副总裁。他被 MSP 的一位客户招募，并成为企业计算服务经理。

“我们开始遇到有人试图破坏我们系统的问题。我们并没有真正的安全功能；所以，我去找我的老板说，嘿，我认为我们需要一个安全部门，我想管理它。”

这是这一系列CISO 对话中反复出现的主题——职业发展往往是自我发起的：发现有趣的差距，前进并填补它。

Barbee Mooneyhan 已在 IT 领域工作了近 20 年，但她从未真正觉得这是她应该从事的工作。她经常帮助保安团队的成员，最后询问她是否可以调动。她做过。

“我一直在学习、学习、学习，花了一年多的时间才真正进入安全领域。” 她作为安全团队成员转到另一家公司，大约一年后成为团队经理。但现在她已经找到了自己应该去的地方。“当我踏入安全领域的那一刻，我就彻底爱上了它。”

马克·沃乔斯 (Mark Wochos) 是一名系统和网络工程师。那是在网络安全发展成为一个独立的专业领域之前的日子。“所以，这自然是我职责的一部分。但这激起了我的兴趣，我花了更多的时间专注于该领域。” 这么早就关注网络安全的人往往会自动成为管理者。

所以，看到差距并填补它；尤其是当它吸引你的时候。

成为领导者

CISO 在一个主要方面与经理不同。CISO 还必须是领导者。沃乔斯在这里做了一个有趣的区分：“任何人都可以成为领导者。你不一定需要成为一名经理才能成为一名领导者。” 大多数团队都会有一位“总督”，其他成员会向他寻求有关棘手问题的建议。这个人是领导者，但他或她可能不是经理；并且可能更愿意继续担任工程师而不是成为经理。

成为一名经理需要与成为一名领导者不同的技能。有优秀的管理者，但不是优秀的领导者；也有优秀的领导者，但不是优秀的管理者。成功的 CISO 必须具备这两种技能。

在网络安全的早期，没有现有的组织结构。一个优秀且雄心勃勃的工程师可以直接跳到网络安全管理职位。今天这几乎肯定不会发生。现在的路线是从团队成员到团队领导再到经理，如果您勾选所有方框，最终到 CISO。这个过程自然会教授管理技能，但 CISO 还需要卓越的领导技能。

你可以从书本中学习管理技能。大多数 CISO 相信你也可以学习领导技能，但这来自于愿望、导师的建议、对其他领导者的观察以及一点点天生的魅力。主要是后天培养，但也有一点先天因素。

穆尼汉举了一个她自己职业生涯的例子。她的任务是开发威胁追踪和事件响应计划。她发现这是一个非团队——只是个人在做自己的事情，不会产生任何协调的信息。她的回应是让所有人（包括她的老板）飞往纳什维尔参加私人峰会。

“我们在一个房间里坐了三天，计划好了将要发生的一切。我想我刚刚接过了缰绳。第二年我又做了同样的事情。” 这显示了领导的愿望和魅力，并展示了领导力。

多尔蒂说：“我认为大多数领导者都是靠自己做事的，但没有领导者让自己孤立无援。” 领导力是一项必须学习的技能，就像任何其他技能一样。学习这项技能的最佳方法是通过观察和学徒。你必须有高于你的导师、指导者和领导者愿意帮助你学习。我不相信你刚从学校出来就准备好成为一名领导者。领导者是后天培养的，而不是天生的。”

这里的含义是，如果您是一名希望成为 CISO 的经理，您必须有学习领导力的愿望和意愿。但它是可以学习的。

沃乔斯也同意这一点。“这是你绝对可以学到的东西。显然，有些人天生具有天生的魅力或天生的领导技能，但优秀的领导者必须花时间专注于这些技能。任何有志担任领导职务的人都可以这样做，只要他们愿意投入时间。”

建立并维持一支强大的安全团队

成为一名成功的 CISO 的关键是能够招募并留住（获得并留住）一支强大、均衡的安全团队。不同的 CISO 制定了自己的招聘方法。例如，沃乔斯更喜欢从公司内部招聘。“我的偏好是找到有意愿进入安全领域的内部人员，因为这似乎更有效。” 这并不意味着他不会针对特定职位进行外部招聘，但他补充道，“我认为拥有现有的关系并拥有已经了解公司的人员可以快速启动整个流程。”

穆尼汉指出了小型组织的一个常见问题：“我没有能力招募和培训初级员工——我需要那些从第一天起就能高效工作、不需要大量指导的人。” 这涉及到浏览数百份简历来寻找可能适合的人——这是相当标准的。

不同的是第一次面试。她谈论了她自己和她的工作方式以及公司。她询问候选人的热情和愿望。谈话结束时，她知道候选人是否愿意为她工作，以及他们是否可以一起工作。这个过程会淘汰那些不适合她的文化的人，只有在第二次技术面试时，她才会调查候选人是否适合该职位。

所有三位 CISO 都采取相同的方法来保持一支强大的团队。它涉及对每个人的个人兴趣。薪酬固然重要，但并不是让人们愿意留下来的原因。如果团队成员感兴趣、投入、有目标感和成就感以及清晰的职业道路，那么他们就会留在团队中。

“每个职业都是临时的，”沃乔斯评论道。“从短期来看，我的方法是与每个人进行对话，了解他们在做什么、想去哪里，然后帮助制定实现目标的计划。在某些情况下，特别是对于刚进入该行业或刚接触该职位的人来说，该人可能不知道自己想去哪里。因此，你运用你的直觉、你自己的一些专业知识和智慧，尝试将他们推向你认为他们会好的方向——但只有当他们愿意与你同行时，这才有效。”

留住一支强大的安全团队的秘诀是让每个成员都愿意与你同行，但要对他们进行培训和指导，以便他们最终能够独自前进。

多样性的重要性

多样性是团队组合的重要组成部分。“如果我没有多元化的思想，我就没有一个功能齐全的团队，”穆尼汉说。

“我真的很注重思想的多样性，”多尔蒂补充道。“我想聘请真正聪明的人，他们可能会不同意我的观点，因为这使我们能够提出最好的论点。”

例如，多尔蒂很高兴他的团队成员来自艺术背景，而不是纯粹的技术背景。“我很看重这一点，因为当你拥有一个多元化的团队时，你会有很多不同的意见，这可以让你得出更全面的答案。”

多样性远远超出了性别多样性——由于女性申请人数量较少，这很难实现。它包括种族、社会经济背景、文化和 LBGT。对于较小的组织来说，实现充分的多样性是很困难的，因为安全团队的规模不足以容纳所有人，而 CISO 必须选择最合适的人选，无论背景如何。

尽管如此，每位 CISO 都欢迎神经多样性的加入。“我们接受这一点，”沃乔斯说。“事实上，我的团队中确实有一两个神经多元化的人。”

多尔蒂补充道：“我很高兴与一些适合这一类别的人一起工作，他们都是很棒的人。与我共事过的一些神经多样性人士非常擅长数据、数学和统计学。因此，如果你让他们担任分析师的角色，让他们做这类事情，他们就会蓬勃发展。”

保持团队心理健康

人们越来越认识到倦怠的可能性。多尔蒂在安全团队内部解释了部分原因。“工作的一部分是......我不想说无聊，但它是死记硬背的。您每天都必须查看 SIEM，并且必须查看日志文件。因此，您检查系统中的 1000 个条目以查找问题。然后你把它们全部清除，明天早上，你醒来就会发现另外 1000 个条目，一年后你还有另外 1000 个条目要看。这造成了一种乏味的感觉。但是，除此之外，你还会遇到压力极高的时刻。你发现了一些东西，你必须弄清楚它是误报还是整个房子着火了？一旦你摆脱了这场危机，你就必须回到单调乏味的状态——这个循环永远不会结束；每天，您都会收到另外 1000 个日志条目。”

职业倦怠可能发生在任何职业的任何人身上，但包括（也许尤其是）CISO。对于 CISO 来说，责任到此为止。可获得的外部公司支持通常较少，CISO 必须自律以防止个人倦怠。

沃乔斯描述了他和许多其他公司如何管理团队的倦怠。“我们关注员工的心理健康，”他解释道。“当人们需要离开时，我们提供了心理健康日的机会。我们提供心理健康福利。如果我看到我的一位工程师已经有一段时间没有休息了，我就会强迫他们休息一天。“嘿，顺便说一句，你周五不能来。再见，我们下周再见。休息一天。' 我们认为，让人们抽出时间休息一下，恢复精神，回来时展现出最好的自己，这一点很重要。”

他认为，远程工作和员工工作时间过长可能会加剧这个问题。“我们提供指导和建议，并尽可能执行。“将工作空间与生活空间分开。找出不工作的时间，并在这些时间段停止工作。”

防止倦怠的关键在于古老的格言：找到并在必要时实现良好的工作/生活平衡。

建议

我们请本系列中的所有 CISO 告诉我们他们曾经收到过的最佳建议，以及他们现在会提供哪些建议。前者告诉我们如何成为一名优秀的领导者，后者告诉我们成功后学到了什么。

穆尼汉说，她收到的最好建议来自罗伯特·弗罗斯特的名言：“最好的出路永远是通过。” 弗罗斯特还有另一句类似的名言：“希望不是出路，而是贯穿。” 对于穆尼汉来说，这意味着不是试图避免困难，而是面对困难并解决它们。

多尔蒂引用了两条建议：永远不要停止学习；与你相信有潜力比你更好的人在一起，同时给他们机会这样做。

对于前者，他说技术学习很好，但你不应该限制自己。“不断扩展你的知识。成为一块海绵。您并不总是知道何时能够使用这些知识，但最终您会的。要成为一名高效的 CISO，您必须不断学习。”

对于后者，他评论道：“他们的成功将反映在你作为领导者的身上。成功的最终价值是 20 年后他们也都成为领导者的时候。”

对于给出的建议，穆尼汉指出，当你在职业阶梯上晋升时，有必要学习额外的技能。管理技能不同于工程师技能。当您达到最高管理层级别时，您需要增加领导技能和业务技能。

多尔蒂建议建立牢固的信任关系的必要性。“这在安全领域可能是违反直觉的，因为我们倾向于不相信任何人，但矛盾的是，为了有效，你必须让自己周围都是你信任的人和信任你的人。”

沃乔斯只是说：“忠于自己。不要让公司把你塑造成你不想成为的人。忠于自己。做你自己，在成为一名优秀领导者的过程中不要迷失自我。”

威胁

一名优秀的 CISO 将领导一支强大、多元化且健康的团队，以实现一个主要目的：防止网络威胁影响公司的盈利。了解这些威胁势在必行，尤其是在受攻击最严重的行业之一的医疗保健领域。

“我一直专注于控制我们的公共威胁形势，期待更多的国家威胁行为者，”穆尼汉评论道。

“媒体关注的焦点是恶意软件，”沃乔斯说，“这是可以理解的，因为它很有趣且具有挑战性。但最大的威胁仍然是社会工程。几乎每次攻击都会经过社会工程攻击向量。让你的员工保持警惕，接受适当程度的偏执和教育，并理解提出问题而不仅仅是做事……这是最大的风险，并且在可预见的未来可能仍然如此。”

多尔蒂的担忧也与此类似。“我一直认为我的第一威胁是内部人士。我会用一种不礼貌的方式说出来，然后我会尽力让它变得更有礼貌。我一直在与恶意和愚蠢作斗争，而愚蠢总是比恶意更强大。”

“恶意”包括试图造成伤害和窃取数据的外部行为者。“愚蠢”包括那些只是想尽可能高效地完成工作的内部员工，但他们的系统并不排除粗心的错误。

“最大的威胁来自内部人员，他们已经拥有特权访问权限，并试图做正确的事情，但却犯了一个愚蠢的错误。他们并不是试图规避您的控制；而是试图规避您的控制。他们正在努力完成自己的工作。最困难的事情是设计一个系统，让人们能够完成工作，同时防止他们犯错误。人为错误是出于最好的意图，而这些人只是试图在一个提高生产力的系统中做正确的事情并完成工作，但却无法发现这些错误——这是最大的威胁。”

原文始发于微信公众号（祺印说信安）：美国现代医疗保健领域的三位CISO 观点