企业最看重CISO的六种能力
所谓知己知彼,百战不殆,网络安全职场也是如此。如果您的下一个职业目标是高薪高价值的CISO,那么你可能需要了解企业(老板们)最看重CISO的哪些能力,这样可以大大提高你获得梦想工作并取得成功的机会。以下,猎头公司创始人和人力资源专业人士为我们总结了能够帮助CISO成功跳槽或自我提升的六种能力:
1.从业经验(最好在其他企业担任过CISO职务)
今天的企业雇主们都希望新的CISO能够“开箱即用”,为企业带来丰富的技能,快速提高企业的安全能力。IT人才招聘公司Fortium Partners的合伙人兼首席执行官Burke Autrey表示,企业正在抢夺“在多家公司多次”担任CISO的经验丰富的候选人,因为这些人才作安全领导者有着丰富的风险治理、合规、监控/威胁检测和事件响应经验。这些首席信息安全官还将在管理“预算、人力资源、同行高管和董事会互动以及执法和保险联络责任”方面获得经验。
“我们的客户正在寻找有处理网络攻击和事件响应经验的人才。他们如何处理这些情况,他们如何应对,以及他们如何加强公司的安全防御。”猎头公司Hitch Partners的联合创始人Michael Piacente说道。与此同时,许多小公司愿意放宽条件,考虑招聘没有CISO工作经验的安全专业人员,前提是具备必要的技能。
2.产品安全方面的专业知识
“毫无疑问,CISO最重要的技能是对应用程序和产品安全的全面了解,”Piacente说。“CISO需要具备与产品开发和工程团队在非常深的技术层面进行协作的能力,对于科技公司来说尤其如此。”
Piacente说:“我们的大多数客户都属于市场中举足轻重的大型软件公司,他们的产品/应用程序安全合规性、客户支持和招聘是他们平台成功的关键。”对于这些企业而言,安全不仅仅是必需品或复选框项目,而是他们产品和平台的一个功能。”
3.预测监管和威胁风险的能力
CISO必备的另一项技能是了解治理、风险和合规。Piacente说:“公司希望CISO了解让ISO、SOC2、或其他金融行业安全标准和认证之路的细微差别。企业希望CISO完整经历过标准认证周期,这样才能了解这些认证之间的细微差别,以及公司需要什么样的认证,少走弯路。”
进一步说,企业看重CISO预测监管和风险的能力,“CISO需要知道产品安全、合规要求和潜在威胁方面即将出现的问题。”
4.建立客户和合作伙伴信任的能力
有抱负的CISO还必须能够证明他们可以帮助公司的销售和营销团队灌输对其产品和服务安全性的信任。例如,可能会要求CISO填写客户或合作伙伴发送的调查表,以审查公司的安全实践。“我们的许多客户都是软件公司,他们正在寻找能够管理企业IT运营的CISO,包括应用程序、业务技术、基础设施等等,”Piacente说。“虽然CISO这个职位传统上与客户和合作伙伴支持有一定关联,但在过去三年多的时间里,这部分内容在CISO职责范围快速增长,重要性也不断提升。我们大约80%的招聘CISO的企业都在搜索条件中包含了某种形式的客户和合作伙伴支持内容。”
5.安全认证、MBA、计算机科学背景
许多企业在雇用CISO时会考虑(安全)认证。根据Autrey的说法,具有技术/工程背景的传统CISO通常会获得特定的安全认证,例如CISSP(认证信息系统安全专家)、CISA(认证信息系统审计员)或CISM(认证信息安全经理)之类。
然而,随着CISO角色的演变,对基于风险和混合技术/基于风险的安全管理者的评估更多地取决于他们的经验、高层管理和董事会技能,而不是他们的技术知识和认证。许多CISO认为认证的本质是良好的继续教育,即使他们没有获得认证。雇主可能希望将认证和继续教育作为全面CISO的一个要素进行讨论。
当谈到学历背景时,“毫无疑问,大多数雇主会选择计算机科学背景的CISO,”Piacente说道:“对于我们的客户,他们聘用的许多CISO实际上都是软件开发人员和工程师出身,因此他们具有计算机科学背景。”
Piacente指出,对于基于云服务的软件公司(SaaS),倾向于要求CISO在软件工程或相关技术/开发背景方面拥有更高的学历。“在认证方面,我也可以看到这种逻辑,”他说。“然而,我们同时也注意到,学历和认证并不是应聘CISO的硬性要求,过去五年中招聘CISO的任何一次搜索都没有对任何类型的认证提出硬性要求。在云原生领域,这并不是一个高优先级,但对于其他领域的CISO,学历和认证肯定是有意义的。”
许多企业还希望他们的CISO拥有工商管理硕士学位(MBA)。“这可能会让人们感到惊讶,这基于这样一个趋势:过去三到五年中CISO的作用已经得到提升,他们在企业业务领域和向董事会报告中发挥了更大的作用,”Piacente指出:“虽然拥有MBA学位对于成功应聘CISO并不重要,但它(迟早)肯定会有所帮助。”
6.人际交往和社交技巧
鉴于CISO需要与公司中不同部门的人员进行建设性的合作,企业正在寻找具有扎实的人际交往和社交技能的人。这意味着CISO要表现出“在压力下保持冷静,在权威面临挑战时表现出决心,以及将安全威胁和影响用商业语言表达出来的能力。”Autrey说。
今天的CISO还需要一个关键的人格特质:同理心。“这是对你的内部组织、外部合作伙伴和潜在客户的换位思考能力,”Piacente说道:“CISO还需要明白,并不是每个人都像他们一样理解网络安全,CISO需要能够使用通俗易懂的语言积极地与这些人交谈。”
同样,企业雇主希望他们的CISO能够为他们的部门制定切合实际的计划、目标和截止日期,并能够用清晰的、非技术性的术语来解释这一切。Piacente说:“CISO需要合作的对象非常多样化,从销售到营销,从管理委员会到法律到财务,几乎无所不包。”“如果CISO以专家自居,试图在公司周围‘建一堵墙’而不考虑其他人的需求来处理网络安全问题,将无法得到同事的尊重和遵从。成功的CISO能够积极主动地与其他部门和同时协作构建网络安全解决方案,让他们在完成工作的同时降低风险。”
