1.首席信息安全官以往的經(jīng)驗(yàn)
企業(yè)雇主如今希望新任首席信息安全官能夠?yàn)樗麄兊穆毼粠砀迂S富的技能。IT人才招聘Fortium Partners公司的合伙人兼首席執(zhí)行官Burke Autrey表示,企業(yè)正在尋找曾在多家公司擔(dān)任首席信息安全官的經(jīng)驗(yàn)豐富的應(yīng)聘者。他表示,在以前的職位,他們的職責(zé)包括作為領(lǐng)導(dǎo)者的治理、合規(guī)、監(jiān)控/威脅檢測和事件響應(yīng)。這些首席信息安全官還將在管理預(yù)算、人力資源、同行高管和董事會(huì)互動(dòng)以及執(zhí)法和保險(xiǎn)聯(lián)絡(luò)責(zé)任方面獲得經(jīng)驗(yàn)。
高管獵頭機(jī)構(gòu)Hitch Partners公司管理合伙人兼聯(lián)合創(chuàng)始人Michael Piacente表示:“我們的客戶正在尋找過去處理違規(guī)或受損情況的經(jīng)驗(yàn),以及他們?nèi)绾翁幚磉@些情況,可能遺漏了什么內(nèi)容,如何應(yīng)對,以及如何加強(qiáng)企業(yè)的防御。”與此同時(shí),許多規(guī)模較小的公司愿意考慮為安全專業(yè)人員提供他們的首個(gè)首席信息安全官職位,只要他們具備必要的技能。
2.產(chǎn)品安全方面的專業(yè)知識(shí)
Piacente說,“毫無疑問,最重要的技能是對應(yīng)用程序和產(chǎn)品安全的全面了解。這是與產(chǎn)品開發(fā)和工程團(tuán)隊(duì)在非常深的技術(shù)層面進(jìn)行協(xié)作的能力。”
對于科技公司來說尤其如此。Piacente說:“我們的大多數(shù)客戶都屬于影響重大的顛覆性軟件公司,他們的產(chǎn)品/應(yīng)用程序安全合規(guī)性、客戶支持和招聘是他們平臺(tái)成功的關(guān)鍵,在他們的世界中,安全不僅僅是必需品或復(fù)選框項(xiàng)目,而且是他們實(shí)際平臺(tái)的一個(gè)功能。”
3.預(yù)測監(jiān)管和威脅風(fēng)險(xiǎn)的能力
另一項(xiàng)必備技能是了解治理、風(fēng)險(xiǎn)和合規(guī)性。Piacente說:“企業(yè)希望首席信息安全官了解走上ISO或SOC2、FedRAMP或NYDFS認(rèn)證之路的細(xì)微差別。未來的首席信息安全官需要經(jīng)歷這些完整的周期,才能了解企業(yè)需要什么與不需要什么的細(xì)微差別。”
Piacente表示,更廣泛地說,企業(yè)希望首席信息安全官能夠制定降低預(yù)期風(fēng)險(xiǎn)的理念。他說,“這些首席信息安全官知道在產(chǎn)品安全、合規(guī)要求和潛在威脅方面即將出現(xiàn)的問題。”
4.建立客戶和合作伙伴信任的能力
具有抱負(fù)的首席信息安全官還必須能夠表明,他們可以幫助企業(yè)的銷售和營銷團(tuán)隊(duì)灌輸對其產(chǎn)品和服務(wù)安全的信任。例如,首席信息安全官可能會(huì)被要求填寫客戶或合作伙伴發(fā)送的調(diào)查問卷,以審查企業(yè)的安全實(shí)踐。Piacente表示:“我們的許多客戶都是軟件開發(fā)商,他們希望首席信息安全官能夠管理他們的IT運(yùn)營,包括應(yīng)用程序、業(yè)務(wù)技術(shù)、基礎(chǔ)設(shè)施等一切。雖然首席信息安全官在傳統(tǒng)上與一定程度的客戶和合作伙伴支持相關(guān),但在過去三年中,首席信息安全官的工作范圍也在快速增長。我們大約80%的搜索包括某種形式的客戶和合作伙伴支持范圍。我們預(yù)計(jì)隨著首席信息安全官職能部門成為企業(yè)的關(guān)鍵影響者和合作者,這一趨勢將持續(xù)下去。”
5.證書、MBA、計(jì)算機(jī)科學(xué)背景
許多雇主在雇用首席信息安全官時(shí)會(huì)考慮他們具有的認(rèn)證。Autrey認(rèn)為,具有技術(shù)/工程背景的傳統(tǒng)首席信息安全官通常會(huì)獲得特定于安全的認(rèn)證,例如認(rèn)證信息系統(tǒng)安全專家(CISSP)、認(rèn)證信息系統(tǒng)審計(jì)員(CISA)或認(rèn)證信息安全經(jīng)理(CISM)。
然而,隨著首席信息安全官角色的演變,對基于風(fēng)險(xiǎn)和混合技術(shù)/基于風(fēng)險(xiǎn)的安全領(lǐng)導(dǎo)者的評(píng)估更多地取決于他們的經(jīng)驗(yàn)、高管和董事會(huì)技能,而不是他們的技術(shù)知識(shí)和認(rèn)證。許多首席信息安全官認(rèn)為認(rèn)證的主題是良好的繼續(xù)教育,即使他們沒有獲得認(rèn)證。雇主可能希望將認(rèn)證和繼續(xù)教育作為全面首席信息安全官的一個(gè)要素進(jìn)行討論。
當(dāng)談到學(xué)位/證書時(shí),Piachente說,“毫無疑問,計(jì)算機(jī)科學(xué)學(xué)位是企業(yè)雇主在招聘首席信息安全官關(guān)注的主要部分。對于我們的客戶,他們聘用的許多首席信息安全官實(shí)際上都是從軟件開發(fā)人員和工程師開始的,因此他們具有計(jì)算機(jī)科學(xué)背景。”
Piacente指出,對于他的團(tuán)隊(duì)與之合作的基于云計(jì)算的軟件公司,首席信息安全官傾向于在軟件工程或相關(guān)技術(shù)/開發(fā)背景方面擁有更深的學(xué)科。他說,“在認(rèn)證方面,我也可以看到這種邏輯。然而,我們在五年多的時(shí)間里設(shè)置了首席信息安全官的職位,并且沒有對任何類型的認(rèn)證提出硬性要求。在云原生領(lǐng)域,這并不是一個(gè)更高的優(yōu)先級(jí),但它對于其他首席信息安全官原型肯定是有意義的。”
許多雇主還希望他們的首席信息安全官擁有工商管理碩士(MBA)學(xué)位。Piacente指出:“這可能會(huì)讓人感到驚訝,但雇主之所以希望首席信息安全官擁有MBA學(xué)位,是因?yàn)槭紫畔踩僭谶^去三到五年中的作用有所提升,他們在一般業(yè)務(wù)事務(wù)中發(fā)揮著更大的作用,并向企業(yè)董事會(huì)報(bào)告。盡管擁有MBA學(xué)位對被聘為首席信息官并不重要,但肯定會(huì)有所幫助。”
6.人際交往和社交技能
鑒于首席信息安全官需要與企業(yè)中的其他人進(jìn)行建設(shè)性的合作,企業(yè)雇主正在尋找具有扎實(shí)的人際交往和社交技能的人。Autrey表示,這意味著要表現(xiàn)出在壓力下保持冷靜,在面對權(quán)威挑戰(zhàn)時(shí)保持決心,以及將威脅和影響轉(zhuǎn)化為商業(yè)語言的能力。
如今的首席信息安全官還需要一個(gè)關(guān)鍵的人格特質(zhì):同理心。Piacente說,“這是對內(nèi)部組織、外部合作伙伴和潛在客戶的理解,因?yàn)椴⒉皇敲總€(gè)人都像他們一樣理解安全,并且能夠使用他們理解的術(shù)語積極地與這些人交談。”
此外,雇主希望他們的首席信息安全官能夠?yàn)樽约旱牟块T制定現(xiàn)實(shí)的計(jì)劃、目標(biāo)和截止日期,并能夠用清晰、非技術(shù)性的術(shù)語解釋這一切。Piacente說:“首席信息安全官必須與銷售、營銷、總理事會(huì)、法律和金融等不同領(lǐng)域的受眾合作。如果他不考慮其他人的需求來處理網(wǎng)絡(luò)安全問題,那么他的同事也不會(huì)尊重他的決定。事實(shí)上,他們會(huì)試圖繞過它。但是,如果首席信息安全官與他們合作構(gòu)建網(wǎng)絡(luò)安全解決方案,讓他們在完成工作的同時(shí)降低風(fēng)險(xiǎn),那么這就是成功的所在。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。