安在新媒体近期也联合BSI围绕新版ISO/IEC 27001举行系列专题研讨线上直播会,内容涵盖供应链安全、安全运营、数据安全等等,并将于12月16日召开线下交流会。直播期间,各领域中知名的安全专家、CISO们都发表了自己的观点,对当下的各类安全形势进行了解读,可以说,这就是他们提升自己公众形象的一种方式。
国外专业人士表示,有兴趣提升自己形象的安全从业人员喜欢在社交媒体上使自己变得引人注目,他们表示,尽管每个人都会使用社交软件,但不是所有人都懂得如何经营自己。为此,国外记者采访了Forrester分析师济南·布奇,安全从业人员凯蒂·穆苏里斯、特洛伊·亨特、雷切尔·托巴克和克里斯蒂娜·莫里洛。这些安全相关的专业人士讲述了他们的工作历程,以及对“如何建立公众形象”提出了适当的建议。
专业人士可以通过许多渠道来分享他们的知识,比如博客、脸书、推特等,而专业人士在分享知识时所用方式会有所不同,因此谨记一点,无论你用什么方式,都先要学会“做自己”,并围绕你所熟悉、所拿手的话题去展开。
布奇说:“了解你自己是谁很重要,你只有先找准自己的定位,才能去谈论那些对你来说重要的事。有时候你需要学会减压,不要总把焦点放在‘建立高知名度’上,这听起来虽然有违直觉,但一旦你做到了这一点,并了解了自己是谁,可能更容易给自己带来人气。”
选择自己擅长的领域很重要,很多时候你会发现,会有各种机会可让你展现自己,这时你就需要做出决定,不是说抓住每一次机会就一定是有益的,这样或许能提高知名度,但也会使自己的形象变得驳杂,那些想看到特定内容的群众便会因此困惑,而若你能对自己有明确的定义,就能知道哪些机会是可以抓取的,而那些根本没必要。
莫里洛表示:“你的形象可能更别具一格,更独树一帜,这很正常,只要你清楚自己要什么,清楚自己是什么,你不愿牺牲什么,并为此制定一个计划。这就好像一份剧本,你得学会先定义好自己的角色,这对我来说是很重要的教训。”
托巴克建议的是,可以在公共场合向人们展示你正在做什么,这样你就可以获得一些反馈,知道哪些工作是有效的,而哪些工作需要改进。也可以适当地做些用户调查,因为了解自己的观众是非常重要的经验手段,而更重要的是,要习惯免费赠送。
“你不可能免费提供所有东西,但你必须学会无偿分享你的想法、技巧和经验。我认为这才是真正能帮助人们了解如何维护安全的方法,这点凯蒂(Moussouris)和特洛伊(Hunt)就做得很好,他们常会分享自己学到了什么,在工作中该如何实施安全策略,该如何保持安全。特洛伊为公众带来了完全免费的安全知识产品。”托巴克指的是特洛伊·亨特的“ Have I Been Pwned”,在那里任何人都可以搜索到有关数据泄露的内容,甚至可以检查自己的电子邮件或电话号码是否被泄露。
找准了自己的定位后,接下去要开始确定内容方向了。布奇说她在Forrester工作时,总经理认为她应该写博客,当时的她觉得自己没什么好说的,也不知道该怎么做,于是她就从“互相讨论”开始入手,她会向读者提问,或探讨行业还未触及到的领域,等等。
而亨特认为,想要确定内容方向,一方面得和自己的专业领域有所挂钩,另一方面也可以偏向于自己的个人习惯和爱好,比如整体风格上是偏幽默还是严谨,是偏故事性还是偏方法论。很多时候,太过一本正经的学术演讲会让人感到疲倦,没人愿意在工作之余再接受几次教育和指导,相反,许多人会在轻松闲聊的环境里接受更多的经验和认知。
今天这些专家在公众面前显得游刃有余,但事实并非大家看到的那么简单,为此专家们分享了他们所面临的各种障碍。
亨特表示,他见过其他安全人员在社交媒体上面对过比他更可怕、更无情的谩骂行为。“尤其是基于性、性别、宗教信仰或非常私人化、非常有针对性的事,相当于他们不同意你的生活方式和自由,不同意你讨论某个话题的权利。”
亨特认为,之所以会发生这种情况,是因为那位安全人员并不是一个有背景的渗透测试者,所以在讨论测试话题时会遭受质疑,甚至有一次还严重到有人发来了死亡威胁。
穆苏里斯说,在社交平台使得人们可以轻松接触任何人之前,社交环境并非如此。她表示,在推特推出之前,她的职业生涯已经很丰富了。“就说推特带来的问题吧。推特确实是一种比较有意思的公共媒体,但推特上有很多参与者会认为,他们大概只要花两秒钟时间就能思考完一个复杂的话题,并习惯性地发表自己的观点。说实话,可能这对我来说是一大挑战,因为我是好几个领域的先驱者,推特上,我的文章和观点被人大量转发,而有意思的是,当我在编写国际标准时,推特上的人们会向我解释漏洞泄露是如何工作的。”
另一方面,托巴克表示自己面临着“老生常谈”的歧视问题:她是一位身材不那么完美的女性,因此她经常会被忽视。托巴克说,在会议上她经常会听到这样的话:“首席执行官怎么还没来?我们什么时候开始?。”为此她不得不有所回应:“我就在这里,我们可以开始了。”
托巴克表示:“人们的潜意识里通常会觉得负责人应该具有某些特征,他们不希望现实是有违自己的期望的,他们看到我后只会认为‘那是一个角落里的小人物,不可能是CEO’。是的,我常常在被低估,因为我的身材和人们所期望黑客、CEO的身材大不相同,这就是我被低估的原因。”
莫里洛对此表示同意,作为女性,在社交平台上分享自己的知识和观点时确实会遭到更多的谩骂和攻击,无论是政治、宗教、偏好、战争还是各种其他的领域,女性似乎都会遭到歧视和偏见,凡在所传达的学术上带着“女性特征”,这些内容可能就会受到更多的质疑,甚至许多其他的女性也是一样的看法。
穆苏里斯针对于此提出了一个建设性的议题,她认为女性可能更倾向于编辑自己,而不善于自我吹捧。“我认为,与其告诫人们不要在宣传自己的成就方面做得太过分,不如建议他们该如何更好地传递、告知自己的价值。以我的个人经历来看,尤其是在Twitter上,即使是老粉丝,仍旧有人不知道我到底是做什么的,或者我以什么而闻名。因此,应该先确保人们知道你是谁,你擅长的具体内容是什么,你得反复强调自己在业内的价值和贡献。”
根据Gartner分析师尼哈·库马尔(Neha Kumar)的说法,当女性看到自己只达到职位要求60%到70%的标准时,她们不敢申请工作。“而这对男性来说是一个既定的条件,他们会认为自己不需要在工作初期就满足所有标准,而女性则觉得自己至少需要满足80%的工作标准。说明什么?说明女性太单纯,不懂如何更好地表现自己。”
布奇建议,若想克服这一弱点,就得多倾听专家的意见,当前市场上有帮助人们建立品牌、建立形象的专家,有所谓的“高管教练”,有专门帮助女性建立自我品牌的高管教练,还有相关的研讨会。而亨特在帮助其他人建立品牌方面就做得很好。
当谈到对其他安全专业人士在社交平台上的看法时,莫里洛说:“从来都没有所谓的独角兽。我曾经认为,有些人是不可触碰的,他们会做‘爱因斯坦那种天才级别’的研究,但事实告诉我,我们都在完成相同的事情,只是个人有着自己的旅程,路径不同,终点总是一致的。因此女性朋友们,不要气馁,不要觉得自己可有可无,你完全有可能成为下一个传奇。”
穆苏里斯经营自己的公司Luta Security已经六年多了,她说,尽管她的公司没有广告,但因为她在社交媒体上的形象,各种合同源源不断。“并不是说我在营销自己,而是说这确实是一种展示自己、展示公司的机会,群众可以通过了解你的日常来评判你的公司文化。”穆苏里斯变得有名,也受人尊敬,她的公司在社交平台上被人口耳相传,并因此吸引了更多的客户。
托巴克的公司SocialProof Security没有雇佣任何销售团队,她表示,每年公司都会收到100多个客户。“我发现在公众平台上塑造公司形象真的很有效,人们可以有机会看到我是怎么服务客户的,而客户们对我又是怎么反馈的,这份公开可以引起人们的好感,人们喜欢真实的内容。”
莫里洛表示,在社交平台上的展示让她变得更加引人注目了,和她在职业生涯早期就登上《世界主义》杂志相比,现在的她表现得更为亲民,更能和大众沟通。她说,她还被邀请加入“such as Women in Security and Privacy”和“Share The MicIn Cyber”等组织。她现在的工作也是因社交平台而结缘的,当时某业内专业人士看到了她,后来他们亲自见面,有一天那位专业人士提出要给她一个工作机会。
可以看到,以上每一位安全专家都为该行业带来了巨大的贡献,他们有时会用出人意料的方式做到这一点,但更重要的是,他们具备多样性和包容性。
几年前,莫里洛注意到,在科技或安全领域里,缺乏有色人种的参与,为此她发起了名为“Women of Color in Tech Chat”的小项目。她向数字海洋、微软等组织推销,GitHub和Trello还赞助拍摄了照片。她说,第一张照片的拍摄非常成功,公司又赞助了另外两张照片,这些照片现在已被浏览和下载了数百万次。
另一边,托巴克拥有神经科学和行为心理学学位,在她进入网络安全之前,她一直在帮助残疾儿童。同时,她在DEF CON的社会工程夺旗比赛中获得过三次第二名。经历过这些之后,她才开始在社交平台上分享知识,这很快便演变成在线进行网络安全培训。然后,她又迈出了一步:她开始制作带有音乐特色的训练视频,并获得了巨大的成功。
在疫情初期的某个时间段里,托巴克制作了一段她在演唱infosec海上小屋的视频,反馈非常好,以至于她开始研究这个话题,并因此发现,80%的人喜欢用歌曲的方式学习相关知识。之后她开始创建带有音乐格式的培训,在推出第一个视频后的四到六周里,Social Proof上已经有了160多个演示。现在这些视频内容可以被翻译成不同的语言,包括法语、加拿大语、中文、葡萄牙语、西班牙语和瑞典语。
此外,穆苏里斯是“立即支付公平基金会”(Pay Equity Now Foundation)的创始人,该基金会旨在激励、支持缩小性别和种族之间在薪酬方面的差距。穆苏里斯是半个太平洋岛民,她说,尽管她比其他边缘化群体享有更大的特权,但她会用自己的声音在力所能及的地方宣传这些政治正确。
Forrester的布奇提醒穆苏里斯,15年前许多人在谈论相关话题时都是非常高调的,但他们就只会说同样的话,从而导致很多话题变得陈腐,缺乏时代性。布奇说:“观点之间的多样性是非常重要的,这需要具备多样性的人们共同去发起,这就是为什么我想看到更多具备各自特色的人群不断崛起,我们永远站在同一个立场,但他们可以从更多不同的角度将这些内涵表现出来。”
这种多样性包括许多方面,它不仅涉及性别和种族,还涉及不同年龄组的人,涉及在不同网络安全领域工作的人,等等。
在布奇职业生涯的初期,会议往往由大多数男性所主持,因此她表示,这是一个“弱势群体不得不破门而入”的时代,所有的格局都将发生变化,这有利于为女性和其他代表性不强的弱势群体树立榜样。
布奇说,在社交平台上建立个人角色是一件非常难得的事,因为很耗费时间,大部分人的精力可能都耗费在了工作上,可能没那么多的闲情去直播或分享自己的故事,他们也不太可能在职业生涯的早期就参加各种会议,除此之外,还有很多人会有其他被环境限制的情况,比如孩子,比如需要他们照顾的父母,再比如他们可能身兼几份工作。因此布奇表示:“我的建议是,我们可以去资助弱势群体,帮助他们提升。”
在此次采访的开始,穆苏里斯曾提过两个人的名字,其中一位是托巴克,此二人在“有效地利用个人品牌传播知识”方面都有着卓越的见解。而托巴克则建议记者可与卡米尔·斯图尔特交谈,斯图尔特是美国联邦政府负责技术和生态系统的网络主管,但由于个人原因,他无法参加,这才由他建议来了莫里洛。
穆苏里斯还提到了Stewart创建的Share The MicIn Cyber计划,该计划由各种有色人种安全从业人员所组成。同时,穆苏里斯还谈到了Tanya Janca使用社交媒体传播安全应用程序开发的意识,Adafruit的创始人兼CEO利莫·弗里德(Limor Fried)对此表示:“对我来说,她拥有着伟大的灵感,是世界上创客运动的成功者之一。”
当涉及到个人信息的公开时,亨特和穆苏里斯都表示,普通民众可能不想在网上分享更多的个人信息,但他们两还是选择了公开,不仅仅因为他们自己是有名的安全专家,所以有恃无恐,而是因为这样能给人带来更真实的感受。
比如,亨特会分享自己孩子的照片,这是许多人不会去做的,同时他还表示,自己永远不会创建一个粉丝专用账户。亨特平时写的博客都非常的个人化,对此他并无芥蒂。他说:“这只是我个人的选择,但你若想在社交平台上创建真实的角色,我建议你从最基本的事开始做起,一口气吃不成胖子,你得渐渐学会适应,时间长了,或许有一天你能像我一样随心所欲。”
对于该如何在社交平台上提升自己的公众形象,这么做又会带来怎样的益处,国内安全专家如此建议。
安言咨询安全专家钱伟峰表示,安全从业人员可从社交、专业能力、外部形象等方面出发,提升自己专业形象,具体实践操作可考虑从以下几个方面来提升:
一、积极参加行业相关活动。
二、分享自己对信息安全的简介和经验。
三、参加必要的培训,获取资质证书。
四、参与线上线下社群活动,帮助有需要的信息安全从业人员。
钱伟峰认为,这么做会从一定程度上给自己带来优势,比如:
一、提升自己及所在企业知名度,增强客户信心。当客户感受到你所在的企业里有专家,并且你就是专家时,客户会更愿意听取你的建议。
二、让更多的潜在客户知道自己,增加获得商机的机会。客户会更愿意聘请一位具有一定知名度的行业专家来为自己服务。
三、认识更多圈内的专业人士,提醒自己不断学习并保持前行。提升公众形象后,也会认识同样类型的专业人士,可以更好的发现自己的不足,彼此互相学习,提升自己。
友邦资讯科技安全专家杜建荣表示,CISO可以从新媒体,行业交流会,厂商活动等场合积极联系主办方进行演讲来提高公众形象,还可以通过运营自己的公众号,视频号,小红书等模式与人分享经验。他认为,提升公众形象可以增加自己团队凝聚力,宣传公司理念,使公司更容易招募到新员工,也能为自己未来的职业生涯铺平道路。
而中通信息安全专家陈圣认为,作为一名CISO,可以通过特定主题发表演讲或演说,并加入各种行业或协会担任委员会参加区域间的或者行业间的会议。他指出,这其实是一种知识的分享和输出,当这种代表公司或者个人的观点被输出时,企业可以得到宣传,而作为演说者的CISO们也可以很好自我表现一回。
还有一种方式是通过新闻采访,在较为知名的媒体,比如央视或地方电视台较为热门的行业分析的访谈类节目,以及近期网络安全行业或信息泄露焦点新闻中,作为专家、行业领军人物接受媒体采访或新闻发布的热点介绍讲解,这都无疑是一次提升自己公众形象的好机会。
“当然,如果你是技术出身的CISO,可以在开源网站、开发者社区或合作伙伴生态圈中,继续以技术见长,分享你的文章、意见、建议,甚至是一篇含金量极高的介绍和稿件,并通过面向公众的高阅读量和点赞率,进一步输出社交媒体或者各种核心出版物上分享自己的技术和管理方面的干货。”
陈圣表示,要在产品之外与客户建立纽带,因为公司有好的服务和产品似乎与提升CISO的公众形象并没有直接关系,但是将自己所奉行的管理主张和强大的品牌声誉以及影响力结合在一起,比如说之所以我们有好的产品及服务,都是依托于强大的企业内部和对外的信息安全管控措施上,这样一来,在确保核心价值观体现的同时,CISO的个人魅力也就凸显出来了。
陈圣提出,讲述产品时可以涉及信息安全或网络安全背后的故事。“人们很喜欢听故事,当他们知道他们所使用的产品是安全且保护隐私的,他们就会觉得很放心。一个相对较新的趋势是讲述产品背后安全基因的技术故事。技术故事的参与度可以从仅仅是一篇微信软文到产品发布的一个组成架构,不得不说,向你的用户讲述产品背后的技术安全故事,是提高用户忠诚度及CISO声誉的好方法。”
最后,陈圣认为,在参与招聘的过程中,对于优秀的安全类技术人才来说,这是一个竞争激烈的市场,作为一个公司高管,CISO有责任采取必要的措施来吸引合适的人才加入其所在的组织。“其中一部分意味着让您了解您正在从事的项目和您正在寻找的人。关于公司文化、技术和公司理念的博客或客座帖子、甚至对人才的生涯规划的描述,也会对提升CISO的公众形象及曝光率也非常有用。”
某跨国企业CSO赵锐强调,对CISO来说非常有必要提升自己的公众形象。
一、对组织内
使用内部媒体(邮件、公告、易拉宝、视频、桌面、台历等),对内部开展培训。也可以借活动、事件使用打广告的方式,让组织的管理层、各部门、分子公司知道安全团队、安全负责人,以及安全工作、成果、能力,同时提供内部人员的安全意识与遇到安全问题的反馈能力。
带来的益处是方便与管理层、各部门、分子公司沟通,更好地得到资源与支持,以便推动安全风险控制落地,保障业务运行与发展。监管机构可能会对你所在的组织更放心
二、对组织外
参加或参与安全组织、会议演讲、撰写文章、出版书籍、直播、制定标准等,或者通过公众号、小红书、知乎等建立自媒体,分享自己的实践经验,对外输出自己安全工作的心得体会。实践经验很重要,因为这能帮助到同行、未来的安全人员,并建立自己在行业内的地位与知名度。
带来的益处是能帮助行业发展,让更多的同行、未来的安全人员避免自己遇到的问题,提升整个社会的效果和投资收益。
对自己的未来发展肯定也有益处,可能会有更好的工作机会,也可能会有帮助行业发展的机会。
《how to build a public profile as a cyber security pro》
齐心抗疫 与你同在
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...