任何經(jīng)歷過面試的人都知道，想要成功獲取一個(gè)職位的關(guān)鍵之一就是能夠準(zhǔn)確有效地回答出面試官的問題，而不是像機(jī)器一樣照本宣科。這一點(diǎn)對(duì)于高級(jí)管理人員而言同樣也不例外。事實(shí)上，鑒于這些高級(jí)管理崗位的重要性，及其對(duì)思維和反應(yīng)方面的極高要求，能夠提前對(duì)面試中可能遇到的尖銳問題做好應(yīng)答準(zhǔn)備是十分必要的。

[[228051]]

一些安全管理人員和招聘專家，就應(yīng)聘者可能會(huì)遇到的具有挑戰(zhàn)性的問題給出了一些例子；同時(shí)，他們也對(duì)這些問題針對(duì)性地給出了應(yīng)答建議。

1. 為什么現(xiàn)在對(duì)你來說是更換職位的正確時(shí)機(jī)?

Blackmere咨詢公司負(fù)責(zé)專職招聘信息安全專業(yè)人士的人事主管Domini Clark表示，更換工作說白了就是有關(guān)動(dòng)機(jī)和適當(dāng)時(shí)機(jī)的問題。

我需要盡早地了解激勵(lì)一個(gè)人跳槽的動(dòng)力是什么，以及是何等機(jī)緣讓他選擇勇敢地邁出跳槽這一步。你是否因?yàn)轭I(lǐng)導(dǎo)是個(gè)微觀管理者(事必躬親，什么小事都要管)而恨他?你是否因?yàn)殄e(cuò)過了孩子成長(zhǎng)的頭三年而對(duì)出差工作感到厭倦?當(dāng)被問及為什么離開原來的崗位時(shí)，有時(shí)候人們會(huì)選擇逃避這些因素。

Clark繼續(xù)補(bǔ)充道，“我需要知道壓死駱駝的最后一根稻草究竟是什么?只有這最后一根稻草才是觸動(dòng)他離職的導(dǎo)火索，其他答案都并非決定因素的掩飾而已。”

2. 在這個(gè)競(jìng)爭(zhēng)日益激烈的市場(chǎng)中，你將如何為我們的組織招聘并留住高級(jí)的安全專業(yè)人才?

網(wǎng)絡(luò)安全行業(yè)的每個(gè)人都知道，想要尋找到技能嫻熟的安全專業(yè)人才是多么困難的工作。招聘人員可能會(huì)想要知道你將如何應(yīng)對(duì)這一挑戰(zhàn)。

咨詢公司SoCal隱私顧問的副總裁兼首席安全顧問Paul Boulanger表示，建議建立一個(gè)內(nèi)部指導(dǎo)和培訓(xùn)計(jì)劃。公司可以通過為在職員工提供培訓(xùn)和認(rèn)證的方式，讓他們不斷增強(qiáng)個(gè)人能力，并在企業(yè)內(nèi)部發(fā)展職業(yè)道路。畢竟，無論是企業(yè)還是個(gè)人都希望能夠穩(wěn)定發(fā)展，扎穩(wěn)根基;如果企業(yè)能夠?yàn)閭€(gè)人提供職業(yè)道路發(fā)展可能，那么不管是對(duì)企業(yè)還是員工益大于弊的舉措。

Boulanger解釋稱，“我希望能夠避免員工長(zhǎng)期處在一個(gè)崗位而產(chǎn)生的職業(yè)倦怠感，通過培訓(xùn)能夠?qū)崿F(xiàn)員工的工作輪換。員工能夠因?yàn)閷W(xué)習(xí)到新技術(shù)而保持這種職業(yè)新鮮感。這一點(diǎn)我們已經(jīng)在DevOps /敏捷運(yùn)動(dòng)中得到了驗(yàn)證。現(xiàn)在，我們也應(yīng)該在安全領(lǐng)域?qū)嵺`這一操作，它會(huì)為我們呈現(xiàn)出員工更好的一面。”

3. 你參與的安全項(xiàng)目是否有失敗過?如果有，造成失敗的原因是什么?有機(jī)會(huì)重來你會(huì)做出哪些改變?

美國(guó)科羅拉多州州長(zhǎng)辦公室的首席信息安全官(CISO) Deborah Blyth表示，通過這個(gè)問題，面試官想要了解應(yīng)聘者可以從過去的失敗經(jīng)歷中學(xué)習(xí)到哪些經(jīng)驗(yàn)教訓(xùn)。

通常情況下，安全項(xiàng)目失敗的原因是沒有足夠的買入來支持項(xiàng)目運(yùn)轉(zhuǎn)，或是沒有充足的計(jì)劃和準(zhǔn)備來處理用戶的不良使用體驗(yàn)。你必須要提前思慮周全所有可能遇到的問題，并做好充足的應(yīng)對(duì)措施才能確保項(xiàng)目更好地完成。

這些準(zhǔn)備可能包括：組織更廣泛的試點(diǎn)小組;在每個(gè)地點(diǎn)培訓(xùn)多名支持該項(xiàng)目的安全專家以幫助用戶處理問題;為項(xiàng)目執(zhí)行主管及其行政助理提供“白手套服務(wù)”，于細(xì)節(jié)處體現(xiàn)其專業(yè)性。 Blyth表示，“也許花些時(shí)間與其他業(yè)務(wù)領(lǐng)域的一些領(lǐng)導(dǎo)進(jìn)行一對(duì)一的溝通，傾聽他們的訴求和擔(dān)憂，并探討如何支持可能面臨的各項(xiàng)問題，能夠有助于增加未來項(xiàng)目的買入率。”

4. 你是否經(jīng)歷過違規(guī)事件?

健康相關(guān)技術(shù)產(chǎn)品供應(yīng)商FEI Systems公司首席隱私官兼首席安全官(CSO)Jason Taule表示，面試官會(huì)問這個(gè)問題是可以理解的。他說，“但是我認(rèn)為這是一個(gè)非常棘手的問題，因?yàn)樗鼪]有所謂的正確答案，重點(diǎn)在于如何措辭。如果你回答‘是’，你作為首席安全官的能力可能會(huì)受到質(zhì)疑，畢竟，有誰(shuí)愿意承認(rèn)在自己手里發(fā)生過違規(guī)事件，但是面試官也能夠體諒，再好的防御仍然無法做到無懈可擊，網(wǎng)絡(luò)攻擊無孔不入，很多時(shí)候首席安全官們盡了最大的努力仍然無法阻止其發(fā)生。”

另一方面，如果你給出了“否”的答案，可能意味著你的經(jīng)驗(yàn)有限，沒有經(jīng)歷過足夠的失敗歷練，無法駕馭公司面臨未來的挑戰(zhàn)。

對(duì)此，Taule的建議是：承認(rèn)違規(guī)行為似乎是很難避免的，然后談?wù)撟约撼晒M織過的早期異常檢測(cè)和有效的事件響應(yīng)項(xiàng)目的經(jīng)歷，并描述自己從違規(guī)事件中獲取的經(jīng)驗(yàn)教訓(xùn)。但需要注意的是，在此描述的違規(guī)事件一定要是無關(guān)緊要的，而不是已經(jīng)造成嚴(yán)重?fù)p害的事件。

5. 你有沒有偷盜過任何東西?

Taule表示，對(duì)于任何員工而言，信任都是最重要的品格。而對(duì)于負(fù)責(zé)監(jiān)督組織隱私、風(fēng)險(xiǎn)以及信息安全管理職能的人員來說，這種誠(chéng)信則顯得尤為重要。

Taule表示，“這個(gè)問題同樣很難回答，因?yàn)閼?yīng)聘者通常認(rèn)為自己給出了令人信服的答案，而事實(shí)往往并非如此。要相信，大多數(shù)人都或多或少地偷過一些什么東西——我的意思是，誰(shuí)沒有一不小心從辦公室裝過一兩只筆回過家。對(duì)于這個(gè)問題，大多數(shù)應(yīng)聘者給出的答案是肯定的。”

Taule并不是建議任何人說謊，如果他們過去確實(shí)偷了某些東西的話。他說，“如果你做過就勇敢承認(rèn)，并堅(jiān)定地表示那些都已經(jīng)是過去的事了。但是，不管你信不信，總有人從來沒有偷過任何東西，對(duì)于這類人，你只需要堅(jiān)定地回答，‘不!我沒有偷過任何東西!’”

6. 你做大的成就是什么?你為什么以此為傲?

Blyth表示，要注意你所說的事情與企業(yè)利益是否存在關(guān)系。例如，如果你談及曾經(jīng)成功組織過的一個(gè)項(xiàng)目，你需要指出自己在項(xiàng)目中建立起來的關(guān)系網(wǎng)，而這些關(guān)系可以幫助未來的公司推動(dòng)項(xiàng)目實(shí)施。

再或者，你也可以舉例說明自己是如何幫助公司提高效率的。比如整合安全工具或服務(wù)，以增強(qiáng)企業(yè)安全性，同時(shí)每月為公司節(jié)省大筆維護(hù)費(fèi)用等等。

7. 你推薦我們?yōu)閄X工作使用的安全產(chǎn)品是什么?

Taule表示，這種問題可以有很多種表現(xiàn)形式，具體取決于招聘企業(yè)想要評(píng)估應(yīng)聘者什么方面的內(nèi)容。

他解釋稱，“高級(jí)安全主管通常身兼多職，包括銷售人員、安全顧問、解決方案架構(gòu)師以及項(xiàng)目經(jīng)理等等。但是任何一個(gè)曾經(jīng)擔(dān)任過上述其中一個(gè)職位的人都知道，這個(gè)問題就是一個(gè)巨大的陷阱。因?yàn)闊o論是組織、運(yùn)營(yíng)、財(cái)務(wù)、政治還是文化，都涉及太多的因素，根本不存在最佳的解決方案來處理企業(yè)面臨的任何業(yè)務(wù)問題。作為回應(yīng)，我建議應(yīng)聘者可以專注于具體目標(biāo)，并分享過去自己應(yīng)用過的不同解決方案的經(jīng)歷。”

8. 在你任職的前90天內(nèi)，你的優(yōu)先事項(xiàng)是什么?

Blyth表示，你的回答應(yīng)該更偏重于與同事建立關(guān)系，激發(fā)對(duì)于同事和團(tuán)隊(duì)的信心，而不是急于求成地追逐實(shí)現(xiàn)最大的安全成就。

他解釋稱，“你可以談?wù)勛约簩⑷绾闻c行政領(lǐng)導(dǎo)和同事間進(jìn)行一對(duì)一會(huì)面，以了解他們的優(yōu)先事項(xiàng)，以及如何將這些優(yōu)先事項(xiàng)與安全工作相融合來為他們提供支持。接下來，你可以談?wù)勛约簩⒉扇〉木唧w步驟，以確保自己有一個(gè)完整的業(yè)務(wù)藍(lán)圖，這樣你才能夠更好地理解自己的角色，以及如何利用該角色支持和實(shí)現(xiàn)業(yè)務(wù)。”

9. 你理想的下一步是什么?

Clark表示，“每個(gè)人的腦海中可能都會(huì)時(shí)不時(shí)地跳出這樣一個(gè)想法，下一步將會(huì)發(fā)生怎樣偉大的事情，以及它將與當(dāng)前的情況有多么不同。這這種理想化的畫面中，草不僅更綠色，甚至還有彩虹條紋和草莓氣息。”

通常情況下，人們?cè)诮忉屪约旱?ldquo;理想化”時(shí)總是期待與失落并存，畢竟，“理想化”終究只是理想，沒有人真的愿意被告知，草永遠(yuǎn)不可能是彩虹色以及充滿草莓香味的。然而，這種有關(guān)“理想”的談話可以讓面試者了解應(yīng)聘者對(duì)于未來的期待，特別是薪酬方面的期待。通過這個(gè)問題可以幫助招聘主管了解應(yīng)聘者是否真正考慮了從現(xiàn)狀到“理想”的過程。

10. 你將如何為公司創(chuàng)造價(jià)值，并持續(xù)保持自身的競(jìng)爭(zhēng)力?

Boulander表示，這個(gè)問題需要分兩步應(yīng)答。第一步，讓我們先了解利益相關(guān)者及其具體需求，并確保自身能夠滿足其要求。建立良好的管理將有助于確保自身從業(yè)務(wù)角度出發(fā)來持續(xù)滿足這些需求。作為新來的首席信息安全官，你所采取的任何舉措都需要解決這些需求。

第二步，應(yīng)該對(duì)安全高管進(jìn)行持續(xù)培訓(xùn)，以確保安全工具和技術(shù)能夠及時(shí)更新。培訓(xùn)不僅僅需要落實(shí)在新人加入時(shí)，也需要根據(jù)威脅環(huán)境的變化進(jìn)行更新。公司不能指望一旦實(shí)施了某項(xiàng)解決方案之后就將其永遠(yuǎn)持續(xù)下去。工具需要進(jìn)行評(píng)估、升級(jí)甚至迭代替換，以滿足業(yè)務(wù)發(fā)展和利益相關(guān)者的需求。好的管理可以幫助彌合人員方面的任何變化，而你需要做的就是幫助企業(yè)建立良好的管理措施。