コペンハーゲンを拠点とするSaaSプロバイダーであるTemplafyの最新のCISOであるEllenBenaimは、2018年6月にテクニカルサポートとして同社でのキャリアを開始しましたが、同社の共同創設者で元CISOであるHenrikPrintzlauとのインタビューに腰を下ろしました。彼女はいつかTemplafyでCISOになりたいと思っていました。その日は2020年3月でした。

Help Net Securityとのこのインタビューでは、彼女はCISOの役割を引き受けることについて話し、いつかそれを達成したいと願う人々にアドバイスを提供します。

CISOのアドバイス
Templafyでのキャリアアップについて教えてください。

私は常にIT、より具体的には、私たち全員が毎日使用するテクノロジーの背後にあるセキュリティの側面に情熱を注いできました。テクニカルサポートとしての私の立場では、プラットフォームの技術コンポーネントを学び、ユーザーが直面している問題についてユーザーをガイドしました。しかし、知識ベースを開発するにつれて、Templafyのプラットフォームと組織のセキュリティ面にも飛び込み始めました。その後、会社は最初の情報セキュリティ責任者の役割を作成しました。これは、セキュリティファーストのアプローチの構築に取り組むために私が踏み込んだものです。これは会社全体とユーザーにとって大成功であり、チームを成長させ続けることができました。

最後に、私が会社に就職してからわずか22か月後、ヘンリックはCISOとしての役割を辞め、キャリア目標を達成することを光栄に思い、興奮し、テンプラフィの最初の女性CISOになりました。特に、テクノロジーおよびSaaS業界が過去1年半にわたって見た指数関数的成長を考えると、パンデミックを通じてこの役割を担うのは旋風でした。しかし、これまでのところ素晴らしい旅であり、Templafyをどこまで進めることができるかを楽しみにしています。

あなたはCISOの役割でTemplafyのHenrikPrintzlauを引き継ぎました。引き渡しの前に何があり、どのように準備しましたか?

ヘンリックは、私の目標がCISOになることであることを常に知っていました。実際、就職の面接でそれについて話しました。彼は私に次の5年間の私の目標について尋ね、私は正直に答えて、私は自分の分野の専門家になり、最終的にはCISOになりたいと述べました。もちろん、その時点では、LinkedInのプロフィールに彼が共同創設者であると記載されていたため、会社でのヘンリックの役割の全容を理解していませんでした。彼は笑って、彼がCISOであり、私が彼に仕事が欲しいと言っただけだと知らせてくれました。これは私たち二人の間の素晴らしいパートナーシップの始まりでした。

Henrikは私の目標を理解して尊重し、システムをゼロから学ぶことができ、Templafyのセキュリティシステムの新しいエキサイティングな側面に飛び込む機会を与えてくれました。長年にわたり、私はHenrikと緊密に協力して、Templafyのセキュリティへの投資を推進し、セキュリティ体制を強化してきました。ヘンリックは初日から私の素晴らしいメンターであり、私たちがお互いに、そして私たちのチームと築いた関係と信頼は、彼が会社のより大きな戦略にもっと集中することを決心したとき、引き継ぎをシームレスにしました。彼は私がCISOの役割の準備をするのを手伝ってくれ、2年間にわたって私を指導し、教えてくれたので、彼の足跡をたどることに自信を持てるようになりました。

あなたの意見では、CISOを成功させるために必要な特性は何ですか?

警備員は悪者であるか、組織内で物事を遅くする人々であるという大きな誤解があります。セキュリティリーダーがすべてが正しく、可能な限り安全であることを確認したいのは事実ですが、多くの人が想定している「セキュリティポリス」であるとは限りません。「悪者」のペルソナに加えて、CISOは、大声で、攻撃的で、傲慢で、支配的であるとステレオタイプ化されています。ただし、効果的なセキュリティリーダーになるために、CISOが支配的で支配的な支配者である必要はありません。実際、成功したCISOの特徴はまったく逆の場合があります。

チームを率いる私の経験では、コラボレーション、コミュニケーション、エンゲージメントがCISOとして成功するための重要な特性であることがわかりました。企業のセキュリティを「制御」するのはCISOの役割ではなく、組織のセキュリティを強化することです。これには、積極的なリスニングスキルとビジネスのすべての部分との提携が必要であり、彼らの目標と問題点を理解して、セキュリティが他の人に反対するのではなく、他の人と協力できる場所を確認します。成功するCISOは、会社の利益のために仲間と一緒に働くチームプレーヤーです。

もう1つのよくある誤解は、強力なリーダーが会社の成功に完全に責任があるというものです。真実は、リーダーが一人でそれを行うことはできないということです。セキュリティはチームの努力です。私達は私達の最も弱いリンクと同じくらい強いだけです。オープンでコラボレーションの環境を育み、チームが雇われた仕事をすることをチームに信頼することが重要です。このアプローチを使用することで、セキュリティ擁護者の数に驚かれることでしょう。

あなたの仕事の喜びは何ですか、そしてあなたがむしろ避けたいことは何ですか?または(可能であれば)変更/改善しますか?

私がCISOとしての役割だけでなく、セキュリティを重視する会社で働いていることを知って、私は喜びを感じます。これの完璧な例は、(CTOやCIOではなく)取締役会に直接報告し、セキュリティチームに独自の予算を持たせるという最近の決定です。この決定は、企業がセキュリティにふさわしい価値をどのように提供しているかを示しています。Templafyは、エンタープライズグレード未満のセキュリティで妥協することはなく、リーダーシップチームの行動はそれを実証しています。戦略的投資およびビジネスイネーブラーとしての情報セキュリティの認識は、私が業界で提唱する変化です。

さらに、Templafyで構築したセキュリティエコシステムを非常に誇りに思っています。お客様だけでなく、私たち自身にとっても、セキュリティ体制を市場をリードするレベルに押し上げ続けるという日々の課題を心から楽しんでいます。

キャリアを通じて(公式または非公式の)メンターから何を学びましたか?誰かを指導していますか?

キャリアの早い段階で、私はダブリンの資産運用会社にインターンし、彼らのセキュリティチームで働きました。インターンシップ中の私のマネージャーは、ヨーロッパのシニアInfoSecマネージャーであり、私たちが参加した会議では、文字通り部屋にいる唯一の女性でした。どの部屋にいたとしても、彼女が会社のすべての人からすべての信頼と尊敬を持っていることは常に明白でした。私は彼女の信憑性を尊敬していました。彼女は、あなたがセキュリティのすべての取引のジャックである必要はないが、代わりにあなたが知っていることに集中し、ギャップを埋めることができるあなたの周りにセキュリティチームを構築することが重要であると教えてくれました。

ヘンリックは私のもう一つの素晴らしいメンターでありロールモデルです。私は過去2年間、彼の指導の下でトレーニングと学習をすることができて幸運でした。他のリーダーの支持と信頼があれば、成功する可能性が高くなるのは事実です。ヘンリックは最初から私の意欲を信じており、彼のメンターシップが私の成功に貢献したと確信しています。

途中で素晴らしい人たちと出会えたことは幸運でした。若い世代を教育し、自分のメンターから学んだことを共有したいと思っています。実際、勉強中、私は定期的にCoderDojoというコースを通じて子供たちにコーディングの仕方を教えました。さらに、大学のプロジェクトでは、Windowsストアでまだ入手可能なハッカーと戦うことでオンラインで安全を確保する方法を子供たちに教えるビデオゲームを作成しました。プレイヤーはゲームの進行とともに知識を獲得し、その知識を使用してハッカーを倒して勝ちます。私は教えることを楽しんでおり、将来のメンターシップとコミュニティへの参加を通じて、子供たちがテクノロジーのキャリアを追求するように刺激し、励ますことができることを願っています。

さらに、私はFearless into Tech and Women in Tech Denmarkのいくつかのイベントに参加し、テクノロジー業界をすべての人にとってより魅力的なものにするためにオープンな会話を楽しんでいます。また、前の大学、University College Cork、SDA Bocconi School of Managementで講演するよう招待されました。後者には、サイバーセキュリティの修士プログラムがあり、ほぼ50:50の性別が分かれています。これは本当に刺激的です。テクノロジーにおける代表は重要であり、業界に参加するように女性を鼓舞することは常に私の目標です。

どのような研究/コース/経験/本/オンラインリソースが、サイバーセキュリティとリーダーシップについての考え方に大きな影響を与えましたか?

私はUniversityCollege Corkでビジネス情報システムを学びました。これは、IT、ビジネスモジュール、およびセキュリティの優れた基盤を提供してくれました。その基本的な知識は非常に貴重ですが、私のセキュリティ知識の多くは実地での経験から得られます。

すべてのテクノロジー業界と同様に、サイバーセキュリティは常に変化しています。トレンドとリスクは進化しているため、成長の機会を常に学び、従事することが重要です。サイバーセキュリティ分野には多くのサブ分野がありますが、そのような仕事の多くは共通の技術的基盤を共有しており、以下にリストされているコースからの知識は実践的な経験への大きな賛辞です。

  • OSCP(攻撃的セキュリティ認定プロフェッショナル)
  • CISA(公認情報セキュリティ監査人)
  • GCIH(GIAC認定インシデントハンドラー)
  • Certified Information Systems Security Professional(CISSP
  • 情報システムセキュリティアーキテクチャプロフェッショナル(CISSP-ISSAP)
  • 情報システムセキュリティエンジニアリングプロフェッショナル(CISSP-ISSEP)
  • 情報システムセキュリティ管理プロフェッショナル(CISSP-ISSMP)

OWASP Foundation Webサイトには、一般的なプログラミング/ソフトウェア開発の概念とソフトウェア分析スキルを支援するための多くのツールとリソースもあります。専門的なリソース以外では、オンラインで入手できる多くの優れた記事、査読付きの論文、セキュリティブログをフォローすることを常にお勧めします。

私の意見では、資格を取得するよりも、仕事での経験を示す能力の方が重要です。目標は、資格だけではなく知識の習得であることを確認し、それに応じて質の高いコースを選択してください。

あなたは詐欺師症候群に苦しんでいますか?はいの場合、どのようにそれを打ち負かしますか?

男性優位の分野で働く他の多くの若い女性と同様に、私はしばしばインポスター症候群に苦しんでおり、自分の才能やスキルを簡単に疑うことができます。業界の長年の物語があなたが所属していない/そこに成功することができないという場所で成功し始めるとき、疑いは非常に自然な反応です。

疎外されたコミュニティのロールモデルの欠如は、人々がこれらの企業環境に属している、または属していないように感じさせることに大きな影響を及ぼします。これが、すべての人の利益のためにセクターをより歓迎し、平等な場所にするために、テクノロジーにおける表現が非常に重要である理由です。

インポスター症候群が忍び寄り始めたとき、私が経験していることは自然であり、私が知っていることに集中し、私が制御できない他の人々の認識を手放すことによって管理できる瞬間を思い出します。私はCISOの役割を獲得したことを思い出して、症候群を打ち負かしました。Templafyが私に希望通りに成功するためのライセンスを与えてくれたという事実を振り返ると、私は会社にとって正しいと信じる範囲と方向性で主導権を握ることができました。私は、セキュリティイニシアチブを作成し、ある理由で素晴らしいチームを率いる自由と信頼を受け取りました。

どんなレベルの人でも疑いや恐れを経験するのは自然なことですが、これらの瞬間を克服し、彼らにあなたをコントロール/定義させないことが重要です。それはただの人生なので、私は挑戦、不確実性、失敗を期待していますが、私は常に自分の意欲と野心が詐欺師症候群の瞬間を通して私を導くように努めています。優れたリーダーと優れたリーダーの違いは、失敗を受け入れ、彼らの経験が彼らを前進させるリーダーです。

サイバーセキュリティで働く女性や一般的に若い人々にどのようなアドバイスをしますか?

年齢や現在の専門職の役割に関係なく、サイバーセキュリティに関心のある人は誰でもそれを採用することをお勧めします。サイバーセキュリティの技術的側面を理解するために必要な基礎と、セキュリティに取り組むための多くの移転可能なスキルを提供する、利用可能なコースとリソースがたくさんあります。

重要なのは、スパーリングできるメンターまたはピアを見つけることです。組織内および一般的な技術コミュニティには、サイバーセキュリティに情熱を注ぐ人々を喜んで教えてくれるリーダーが常にいます。助けを求めることを恐れないでください、そして挑戦を受け入れることを恐れないでください。性別や年齢に関係なく、テクノロジーに積極的に取り組み、学習に情熱を持っている人なら誰でもテクノロジーにアクセスできると思います。

何年にもわたって、あなたの共感を呼んだアドバイスはありますか(サイバーセキュリティに関連している必要はありません)。

私は常にCISOになることを計画していましたが、キャリアの早い段階でそれが起こるとは思っていませんでした。しかし、これはヘンリックがかつて私に与えたアドバイスの後で変わりました。Templafyでの私の時間の早い段階で、彼は「白髪に役割を任せることができるのに、なぜ白髪に役割を待たせるのか」と言いました。これにより、不確実性を忘れて挑戦を受け入れるようになりました。

仕事を心配したり、日々の未知のことをすべて恐れたりするのは簡単ですが、このアドバイスを早い段階で受けることで、この役割の課題に正面から向き合う準備ができました。CISOは、俊敏性と適応性の観点からリアルタイムで動作し、必要なすべての情報をすぐに利用できるようにすることなく行動できる必要があります。

反対に、同僚が「十分に年をとっている」か「十分に資格がある」かわからない経営幹部やマネージャーにこのアドバイスをします。信頼と最高の仕事をするためのサポートを与えると、あなたは際限なくなります。報われた。

コメントをどうぞ