企業雇主如今希望新任首席信息安全官能夠為他們的職位帶來更加豐富的技能。IT人才招聘Fortium Partners公司的合伙人兼首席執行官Burke Autrey表示，企業正在尋找曾在多家公司擔任首席信息安全官的經驗豐富的應聘者。他表示，在以前的職位，他們的職責包括作為領導者的治理、合規、監控/威脅檢測和事件響應。這些首席信息安全官還將在管理預算、人力資源、同行高管和董事會互動以及執法和保險聯絡責任方面獲得經驗。

 

高管獵頭機構Hitch Partners公司管理合伙人兼聯合創始人Michael Piacente表示：“我們的客戶正在尋找過去處理違規或受損情況的經驗，以及他們如何處理這些情況，可能遺漏了什么內容，如何應對，以及如何加強企業的防御。”與此同時，許多規模較小的公司愿意考慮為安全專業人員提供他們的首個首席信息安全官職位，只要他們具備必要的技能。

 

 

Piacente說，“毫無疑問，最重要的技能是對應用程序和產品安全的全面了解。這是與產品開發和工程團隊在非常深的技術層面進行協作的能力。”

 

對于科技公司來說尤其如此。Piacente說：“我們的大多數客戶都屬于影響重大的顛覆性軟件公司，他們的產品/應用程序安全合規性、客戶支持和招聘是他們平臺成功的關鍵，在他們的世界中，安全不僅僅是必需品或復選框項目，而且是他們實際平臺的一個功能。”

 

 

另一項必備技能是了解治理、風險和合規性。Piacente說：“企業希望首席信息安全官了解走上ISO或SOC2、FedRAMP或NYDFS認證之路的細微差別。未來的首席信息安全官需要經歷這些完整的周期，才能了解企業需要什么與不需要什么的細微差別。”

 

Piacente表示，更廣泛地說，企業希望首席信息安全官能夠制定降低預期風險的理念。他說，“這些首席信息安全官知道在產品安全、合規要求和潛在威脅方面即將出現的問題。”

 

 

具有抱負的首席信息安全官還必須能夠表明，他們可以幫助企業的銷售和營銷團隊灌輸對其產品和服務安全的信任。例如，首席信息安全官可能會被要求填寫客戶或合作伙伴發送的調查問卷，以審查企業的安全實踐。Piacente表示：“我們的許多客戶都是軟件開發商，他們希望首席信息安全官能夠管理他們的IT運營，包括應用程序、業務技術、基礎設施等一切。雖然首席信息安全官在傳統上與一定程度的客戶和合作伙伴支持相關，但在過去三年中，首席信息安全官的工作范圍也在快速增長。我們大約80%的搜索包括某種形式的客戶和合作伙伴支持范圍。我們預計隨著首席信息安全官職能部門成為企業的關鍵影響者和合作者，這一趨勢將持續下去。”

 

 

許多雇主在雇用首席信息安全官時會考慮他們具有的認證。Autrey認為，具有技術/工程背景的傳統首席信息安全官通常會獲得特定于安全的認證，例如認證信息系統安全專家(CISSP)、認證信息系統審計員(CISA)或認證信息安全經理(CISM)。

 

然而，隨著首席信息安全官角色的演變，對基于風險和混合技術/基于風險的安全領導者的評估更多地取決于他們的經驗、高管和董事會技能，而不是他們的技術知識和認證。許多首席信息安全官認為認證的主題是良好的繼續教育，即使他們沒有獲得認證。雇主可能希望將認證和繼續教育作為全面首席信息安全官的一個要素進行討論。

 

當談到學位/證書時，Piachente說，“毫無疑問，計算機科學學位是企業雇主在招聘首席信息安全官關注的主要部分。對于我們的客戶，他們聘用的許多首席信息安全官實際上都是從軟件開發人員和工程師開始的，因此他們具有計算機科學背景。”

 

Piacente指出，對于他的團隊與之合作的基于云計算的軟件公司，首席信息安全官傾向于在軟件工程或相關技術/開發背景方面擁有更深的學科。他說，“在認證方面，我也可以看到這種邏輯。然而，我們在五年多的時間里設置了首席信息安全官的職位，并且沒有對任何類型的認證提出硬性要求。在云原生領域，這并不是一個更高的優先級，但它對于其他首席信息安全官原型肯定是有意義的。”

 

許多雇主還希望他們的首席信息安全官擁有工商管理碩士(MBA)學位。Piacente指出：“這可能會讓人感到驚訝，但雇主之所以希望首席信息安全官擁有MBA學位，是因為首席信息安全官在過去三到五年中的作用有所提升，他們在一般業務事務中發揮著更大的作用，并向企業董事會報告。盡管擁有MBA學位對被聘為首席信息官并不重要，但肯定會有所幫助。”

 

 

鑒于首席信息安全官需要與企業中的其他人進行建設性的合作，企業雇主正在尋找具有扎實的人際交往和社交技能的人。Autrey表示，這意味著要表現出在壓力下保持冷靜，在面對權威挑戰時保持決心，以及將威脅和影響轉化為商業語言的能力。

 

如今的首席信息安全官還需要一個關鍵的人格特質：同理心。Piacente說，“這是對內部組織、外部合作伙伴和潛在客戶的理解，因為并不是每個人都像他們一樣理解安全，并且能夠使用他們理解的術語積極地與這些人交談。”

 

此外，雇主希望他們的首席信息安全官能夠為自己的部門制定現實的計劃、目標和截止日期，并能夠用清晰、非技術性的術語解釋這一切。Piacente說：“首席信息安全官必須與銷售、營銷、總理事會、法律和金融等不同領域的受眾合作。如果他不考慮其他人的需求來處理網絡安全問題，那么他的同事也不會尊重他的決定。事實上，他們會試圖繞過它。但是，如果首席信息安全官與他們合作構建網絡安全解決方案，讓他們在完成工作的同時降低風險，那么這就是成功的所在。”

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。