【TechTarget中国原创】问:我是一名安全经理,最近想要扩充我的安全团队。公司的管理层希望我从内部服务台商提升一些员工。我们很多IT专家都有多年的经验,但是不是在安全方面。我应该在候选人身上寻找那些特定的素质或者经验呢?
答:在雇用信息安全专家的时候因该考虑两件重要的事情:能够以安全人员的身分考虑并在精神上能够灵活快速的适应新思想。
我说的像安全人员那样思考意思不是“像黑客一样思考”。尽管在某些特定环境中黑客技巧很有用,但是安全代表的更多。像安全人员一样思考意味着把自己放在各种用户的地位上,并考虑他们的需求是什么。他们如何使用软件?还有他们会怎么有意无意地误用软件?那么这就是寻找解决识别问题的解决方案的事情了。
新员工能够站在业务人员、或者程序员、或者其它任何类型的终端用户的角度思考也非常重要。但是最重要的是,他或者她必须立交,在现实中,安全是在完美的安全性和可用性之间寻找可以接受的妥协。
为了完成这种妥协,现在的团队成员应该能够快速吸收新观点和技术,这样他或者她就可以帮助用户作出明智的风险决定。所以在现实中,我提到的这两个特征其实是同一个。
依我看来,智力比多年的经验重要的多。如果有了正确的心态,那么他或她就可以学习工作中要求的特定的技术或者规则。和这种人工作要比打破墨守成规的人的想法容易的多。