如何正确评估一位企业安全专家

ZDNet安全频道原创翻译 转载请注明作者以及出处

作者：乍得·佩林

安全专家的聘请与其它许多类型员工的雇用情况相比，可以说是非常不同的。本文将告诉你选择在最佳安全专家的时间，应该特别注意的一些方面。
-------------------------------------------------------------------------------------------

雇用的关键要素就是选择适合这个位置的最佳人选，如何对候选人进行评估，怎样保证他们具备了相关的技能要求，在你面试的时间，必须得到答案。对于安全专家的聘请来说，也是符合上面的情况，

什么样的问题是你应该问的？

在面试的时间，招聘经理经常喜欢对预先定好问题的“正确答案”做出列表。下面列出的就是几个常见的问题。

1. 如果你拥有预先定好问题的“正确答案”的列表的话，在雇佣安全专家的时间，应该尝试忽略这个方面。对于安全领域来说，没有实际的认识，不可能得到“正确答案”的。这就是为什么得到解释清楚的答案比你喜欢的答案重要的原因。

2. 当选择面试问题的时间，如果你的重点是问题的“正确答案”的话，就会倾向于选择“正确答案”容易界定的问题。这种问题的答案通常以象这是“行业最佳做法”之类的空话和套话为主，也就是说不能考察出应聘者的真实水平。

3. 如果聘用的安全专家在安全领域的知识甚至没有你多，就说明选择是错误的。也就是说不管你提出的问题和预期的答案是什么，在最好的候选人可能有不同意你的一些“正确答案”，他们的答案可能更合理。换句话说，由于你的“正确答案”没有候选人的答案合理，拒绝给出“错误答案”的候选人有可能导致选择的人不是最佳的。

4. 你需要重视的不仅仅是问题的答案，而是相关的认识。对于为什么答案是正确的不仅仅是给出正确的答案本身是很难解释的。如果候选人给出了“正确答案” ，你的问题就应该进行调整，防止出现仅仅几句话满足了答案的情况。如果候选人给出了“错误的答案” ，告诉他或她预期的回答内容，并问他或她为什么答案是不同的。了解给出的答案和预期的答案之间存在的差异，可以让你了解候选人的实际水平和思考过程，这比仅仅按照答案是否正确来做出选择有效的多。

总之，不要问“为了给包含四个主要站点、分布在全球的十七个卫星站点以及六千个异构节点的广域网提供安全保护的话，你会选择视网膜网络安全扫描器还是QualysGuard漏洞扫描器”这样的问题，而是问“为一个复杂的企业广域网选择漏洞管理系统的时间，你认为最需要考虑的是哪些方面，为什么？”

一位安全专家应该具备什么样的个人特质？

即使在信息安全工作属于业务支持的时间，与其它大多数职位的评估相比，对安全专家候选人进行评估也是一件非常不同的事情。特别是在特质方面，最低级的安全技术支持人员的要求也比其它大多数职位要显得更为重要：

1. 独立：为了做好工作，安全专家必须能够主动寻求安全问题的答案，往往也需要不依赖于从别人的指导下进行研究，甚至设定自己的任务目标。信息安全的任务需要在明确的政策界限以外进行很多的分析，因为这项工作的本质就是围绕预防、调查以及在策略遭到侵犯或破坏时作出反应进行的。

2. 分析：安全专家的工作涉及到大量的调查、评估和故障排除任务，所以在安全重点位置的专家应具有的习惯和技能，象抽象思维能力、分析问题的能力以及找到问题本质的能力，都是非常重要。

3. 兴趣：如果你的新安全专家并不是真正关心安全方面的问题，我可以向你保证，不论他或她工作怎么专心，也没有自动扫描工具和网络管理员的控制列表有价值。

专业的信息安全工作意味着，要跳出本身位置考虑问题。实际上，最好的安全专家擅长的是一种非常规的思维和分析问题的能力，而不是背诵标准的“行业最佳做法” 。实际上，在许多情况下，最重要的经验教训都是从这些“行业最佳做法”的缺点中学到的。

总之，对于安全专家来说，最重要的能力就是对同事进行区分，而不是让他或她与大家保持一致。

什么时间应该雇用一名安全专家？

随时。

在某些情况下，一个安全的重点位置可能非常需要安全专家，当然，如何认识到这种需要的问题的答案非常复杂，不是短短的文章内容能够全部包含的。然而，从普遍的角度来看，你雇佣的负责信息技术专业领域的每一位员工，在一定程度上都应该是一位安全专家—至少应该知道所在位置安全方面的基本原则。

在安全就是系统设计的一个组成部分的时间，在安全已经成为策略最基础的部分的时间，在你雇用的每一位IT专业人士在日常工作时都了解的时间，它的效果是最好的。每一位网络和系统管理员、每一位开发商、每一位IT资源经理都应该了解他或她的专长领域里的和安全相关的专门知识，并且应该继续关注这个方面，以获得更多的知识。

总而言之，你聘请的每一位入门级的IT专业人士都应该在一定程度上是一位安全专家—入门级的员工应该热切地希望能够成为安全专家。