布伦南P. 贝贝克,CISA, CISM, CRISC, CISSP,最近被评为2021年度最佳CISO 顶点奖,由科罗拉多科技协会主办. 副总裁Baybeck & 甲骨文公司客户服务部首席信息安全官, 担任ISACA 2019-2020年董事会主席,并仍是ISACA董事会董事.
在大学里, 贝贝克一开始主修会计,但很快就对信息系统产生了兴趣, 这促使他获得了计算机信息系统学位,并在报纸上的分类广告上应聘了一家刚从西密歇根大学毕业的银行的电子数据处理审计员一职. 这一角色促使贝贝克加入了电子数据处理审计师协会(后来更名为ISACA)。, 当他对未来潜在的职业机会有了更强烈的认识时,哪些公司为他提供了专业人脉和资格认证支持.
有一次他从密歇根搬到了科罗拉多, 贝贝克积极参与丹佛ISACA分会,并利用这种参与成为丹佛地区更好的商业领袖, 同时了解更多关于IT审计和IT安全如何相互关联的知识. 他离开了安达信(Arthur Andersen)曾经的“梦想工作”,更专注于安全角色, 最终晋升到现在甲骨文公司的职位.
贝贝克说:“ISACA一直陪伴着我的整个职业生涯. “如果你看看我对ISACA的参与和我的职业生涯, 两者互为补充,相得益彰. 他们帮助我成为了今天在网络安全和风险领域的执行领导者.”
Baybeck最近访问了ISACA现在,讨论了他的2021年度首席信息安全官奖,并就崭露头角的安全专业人士如何成长为首席信息安全官提供了他的观点.
ISACA现在:你第一次知道自己想成为一名首席信息安全官是什么时候?
我第一次意识到我想成为一名首席信息安全官是在我做顾问的时候. 我向许多客户提供了如何提高安全性的建议, 但从未有机会执行这些建议. 当我离开咨询业时, 我曾是一家初创公司的安全主管,现在负责为一家服务公司构建和执行安全程序. 我喜欢那个职位的原因是它是面向客户的,而且是一家服务公司, 就像我在安达信的经历一样. 在服务业, 你每时每刻都在与客户打交道,并有机会为全球客户提供重要的价值, 哪个对我很重要. 我们在一家小型初创公司工作——它是Qwest Communications和毕马威咨询公司(KPMG Consulting)的合资澳门赌场官方下载——最终拥有了200多家来自不同行业的全球客户, 我们为他们设计和管理安全服务.
首席信息安全官的角色有助于澳门赌场官方下载更好地管理风险, 但它也有助于业务增长和增值, 这就是我喜欢首席信息安全官这个角色的原因. 从我从事安保工作开始, 我的目标始终如一:我想成为一家跨国公司的首席信息安全官, 多服务公司,使业务. 这是我长期以来的目标.
ISACA现状:安全从业者如何知道他们是否具备成为一名有效的CISO的素质?
当我刚开始从事安保工作时,实际上有两条路可以走. 你可以成为一个真正的技术人员, 比如专注于安全的开发人员或工程师, 或者你可以走管理的道路, 更专注于“安全业务”.“我发现的是,这些都在一起, 大概从10年前开始, 它们开始合并. 云领域的安全人员都有开发和工程背景. 对我来说, 我仍然相信,作为一名首席信息安全官, 你将成为公司的商业领袖, 所以你必须有商业经验和敏锐的头脑才能成功. 你必须了解业务,了解首席信息安全官给业务带来的价值, 但同时, 您必须具备必要的技术技能来理解和利用新兴技术, 比如云.
大约10-15年前, 典型的首席信息安全官是遵纪守法的人,是那种总是说“不”的人. 我们开玩笑说,这就像销售预防vs销售促进. 你现在必须成为一个推动者,你必须向澳门赌场官方下载展示价值. 首席信息安全官是与其他高管坐在一起为业务提供建议和支持的业务领导者. 我认为这是目前最重要的特质,因为很多安全工作都是技术分析或编码, 而是成为一名首席信息安全官, 你必须以业务为中心,成为一名行政领导,因为你将与董事会打交道, 首席执行官和其他高管. 你不能总是只谈论合规性和安全性. 您必须帮助推动业务,并直接将安全策略活动与业务策略结合起来, 专注于实现业务.
ISACA现在:沿着这些思路, 对于那些想在以后的职业生涯中成为CISO的年轻安全专业人士,您有什么具体的建议吗?
对于即将到来的新首席信息安全官来说,拥有工程或开发背景将是很重要的,因为你现在必须在这两者之间取得平衡. 现在是真正的技术和技术技能, 以及对澳门赌场官方下载正在使用的变革性技术进行数字化转型的深刻理解, 以及如何正确启用和, 当然, 保护澳门赌场官方下载和客户. 你必须有这样的理解, 大多数情况下,公司都是从工程和开发背景中抽取人才. 另外, 你应该努力寻找机会与公司的业务领导一起工作,以很好地掌握你的业务是如何运作的,这样你就可以确定帮助业务成功和增加价值的最佳方法.
现在保安工作非常多. 你可以选择很多不同的道路, 但要成为这个领域的高管, 你当然需要将技术和对业务的深刻理解结合起来. 你可以从技术工作和ISACA这样的基础证书中获得技术方面的知识 资讯科技认证助理(ITCA), 或者你在大学开始学习工程或技术, 但是你真的需要一个商科学位或扎实的工作经验. 据我所知,最成功的ciso总是以讨论业务挑战以及安全性如何帮助解决这些业务挑战来引导他们讨论安全性, 同时应对安全风险. 你必须在这两个领域都找到一条发展的道路,以确保你获得所需的覆盖范围. 我用ISACA作为一个很好的平衡的例子,因为你在学习商业的同时也在学习技术.
我想提的另一件事是需要好的导师,让自己周围都是好人. 很多商业知识来自导师, 因此,不要简单地在安全领域找导师,而是要找公司里的商业领袖,他们可以帮助你理解这个观点,并给你建议,告诉你如何才能对公司更有价值.
《澳门赌场官方软件》:疫情如何重新调整了你们的角色?
我认为,由于我们正在处理的情况,我已经成为了一个更敬业的管理者和领导者, 人们都在家里,而我们却没有亲自去见他们. 我必须学会通过技术更好地参与,更有规律地交流, 提供更多的认可, 因为我不能经常见到我的人. 虽然我认为自己很有适应能力和灵活性, 我和自己约定,要在领导风格上更加进步和变革.
ISACA现状:当人们想到CISO的角色时, 人们经常想到的一件事是压力和潜在的倦怠,因为它的要求太高了. 你澳门赌场官方软件来保持你的精力和精神健康?
这很艰难,因为很多工作都是灭火. 由于这种持续的灭火模式,以及必须不断指出风险,这项工作也存在很多负面情绪. 这几乎就像警察一样——他们看到了一些非常糟糕的事情,这肯定会影响他们. 我喜欢做的是寻找工作的积极方面,以及我们可以在工作中做的积极的事情. 我喜欢专注于解决客户的问题,因为这让我非常满意, 然后帮助澳门赌场官方下载发展,并不断寻找这些机会. 我也是一个终身学习者, 我建议你学习能帮助你成功的新东西, 无论是职业上还是个人上, 这有助于对我们所做的工作产生积极的影响.
最后一件事是积极参与安全领域工作的人道主义和社会方面. 推动行业的多元化,就像ISACA正在做的 One In Tech基金会, 这让我很满意,因为我们正在利用安全专业来做一些事情来改善世界, 同时帮助我们的公司和客户. 这些都是真正的商业问题,我们实际上可以帮助解决技术和安全行业, 它们与人道主义和社会问题交织在一起. 你可以通过我们的工作来推动变革.
编者按: 了解更多关于布伦南和他的2021年度首席信息安全官奖 丹佛商业日报 在一个 相关的视频. 你也可以阅读更多关于布伦南的#IamISACA故事 在这里.
