Кариери

Да си търсиш работа като CISO

CIO Media

Деб Радклиф, CSO
Ето как лесно можете да изберете грешния работодател

Първото нещо, което един CISO трябва да помни, когато обмисля нова позиция, е, че тези специалисти по сигурност на ниво C (изпълнителен директор) са ценен ресурс. Това означава да не бързате и да бъдете взискателни, за да не се озовете на грешното място. Или, както казва първият в света CISO Стив Кац: "Не излизайте на пазар, когато сте гладни."

Това е, защото позициите на CISO са в изобилие, но не са еднакви. Бързо търсене в LinkedIn например връща повече от 1000 налични позиции, свързани с работата на CISO, повечето от които, изглежда, са на изпълнително ниво. Indeed.com, от друга страна, твърди, че се търсят повече от 4000 позиции, но много от тези длъжности не са роли на ниво С, а някои дори не са мениджъри.

Това е ключова разлика, която главните директори по информационна сигурност трябва да разберат, когато обмислят нова работа, според експерти. Дали това е истинска роля на ниво С с одобрение от борда и директна или индиректна връзка към главния изпълнителен директор? Или е раздута длъжност за по-ниска роля? Или може би е трофейна позиция, при която компанията просто търси човек за нея, за да изпълни регулаторни изисквания?

Дали ролята няма статус от ниво C?

"Едно от първите неща, които питам, е "на чие пряко подчинение е главният директор по информационна сигурност", тъй като разбирането на това къде стои позицията на CISO в организацията ми казва до каква степен компанията работодател инвестира в сигурността, казва Джордж Вийгас, CISO в Chapman University, частен университет с висок рейтинг в Ориндж, Калифорния. Ако главният директор по информационна сигурност е пряко подчинен на главния изпълнителен директор, това показва, че работата действително е от ниво С с подкрепа от висшето ръководство. Ако ролята на CISO е пряко подчинена на финансовия директор или на този по риск или съответствие, това ми казва, че ще бъда на същото ниво, отдалечено от висшето ръководство."

Според доклад на Forester, публикуван в края на 2020 г., само 13% от директорите по информационна сигурност се смятат като част от изпълнителния екип. Ако кандидатите търсят предизвикателни длъжности от ниво С с влиянието и подкрепата, от които се нуждаят, прякото подчинение на главния изпълнителен директор е идеално, докато прякото подчинение на директора по информация с достъп до главния изпълнителен директор е най-често срещано.

"Ако по време на процеса на наемане ви кажат, че няма нужда да се притеснявате, че ще представяте работата си на борда, тъй като вашият шеф ще прави това, това е червена лампичка. То може да означава, че първия път, когато ще видите борда, е да им дадете лоша новина. Никога няма добро време за среща с борда", казва Даяна Кили, бивш главен технологичен директор в областта на киберсигурността наMicrosoft и съосновател на аналитичната фирма SecurityCurve.

Кац го казва така: "Ако не сте развили това доверие и нещо тръгне зле през нощта, а то ще се случи, ще ви изхвърлят набързо." Той си спомня пример от преди няколко години, когато се е случило обратното, тъй като директорът по информационна сигурност е имал тези критични връзки с изпълнителното ръководство, преди компанията да бъде ударена с криптиращия рансъмуер Petya. В този случай директорът по информационна сигурност е запазил работата си, докато главният изпълнителен директор е загубил своята. "Директорът по информационна сигурност беше спечелил доверието на изпълнителния екип и борда и беше невероятно прозрачен с тях от самото начало."

Лошо дефинирано описание на работата на CISO

Освен това търсете скрити значения на описанието на работата. Например Вийгас, който е на шестата си работа като CISO, предупреждава да се внимава за ключови думи като "практически" срещу "стратегически" или "съответствие" срещу "лидерство". "Практически" би могло да е индикация за ограничени или никакви ресурси и вероятно малка компания предлага една славна роля на администратор по сигурността. "Стратегически" е индикатор за роля от по-високо ниво. Силен фокус върху съответствие може да означава, че те просто се опитват да отметнат едно изискване на регулаторите", обяснява той.

Начинът, по който е написано и структурирано описанието на работата, също говори много за компания. Дали организацията търси неадекватно ниво на умения - например, като изисква всеки сертификат под слънцето наред с 15 до 20 години опит в ролята на изпълнителенCISO? Кили добавя: "Зле дефинираните описания на работата може да включват твърде много задължения или те могат да разкрият липса на разбиране на това какво прави CISO, което означава, че очакванията няма да бъдат оправдани. Освен това може да показва липса на подкрепа, както и една объркана и хаотична работна среда."

Защо наемат CISO?

Има различни причини за наемане на нов CISO. Понякога това се дължи на пробив в сигурността и предишният CISO е напуснал или е бил уволнен след това. Някои никога преди това не са имали CISO. В идеалния случай компанията търси стратегически партньор, за да ги отведе на следващото ниво.

"Много от нашите клиенти задържат Alta, тъй като те издигат една позиция или създават нова роля. Така че дори ако имат назначен CISO, те осъзнават, че това, което ги е довело дотук, няма да ги доведе дотам, където искат да бъдат, обяснява Джойс Брокалия, основател и CEO на фирмата за търсене на ръководители по сигурност Alta Associates. Тези организации обикновено търсят изпълнителен ръководител от по-високо ниво, който може предаде проблеми и рискове за сигурността в термини, които имат смисъл за бизнеса. Освен това обикновено те искат от нас да намерим някого, който има по-холистичен подход към риска, колаборативен лидерски стил и вижда киберсигурността като фактор за правене на бизнес."

Важно е също така да знаете кого сменяте. Има ли поредица от идващи и отиващи си предшественици? Или те никога досега не са ималиCISO? Ако не, има ли реалистичен бюджет и отдел по сигурността? Ако компанията има въртяща се врата за CISO, това може да е показател, че за тази компания се работи трудно и има неадекватни очаквания, предполага Кили. Или това би могло да означава, че компанията все още не е зряла и не разбира стратегическото естество на работата от ниво С.

Търсенето на CISO на следващото ниво, с изпълнителски умения, може да бъде една причина, че компанията не се опитва да наеме вътрешен човек, което е друга червена лампичка, казва Вийгас. Това би могло да означава, че е пренебрегнат добър талант или че в организацията няма мениджъри и директори, които да бъдат повишени. Това пък е индикатор за липса на подкрепа за ролята.

Кой е в екипа по сигурност?

Ако CISO е на пряко подчинение на CIO, Вийгас препоръчва също да се провери работата на главния изпълнителен директор, за да се знае дали ще имате съвпадение в културата и дали той вижда CISO като стратегически партньор. След това проучете броя на персонала и научете дали има място за развитие спрямо големината и мисията на персонала. "Ако екипът има трима членове, дали има бюджет за още няколко? Дали мениджъри и директори са подчинени на CISO?"

Културното различие е една от най-малко обсъжданите, но най-важни червени лампички, когато се обмисля нова работа, казва Брокалия. "На хартия повечето описания на работата изглеждат еднакви, но културата на всяка компания е различна. Очакванията са различни, нуждите на ръководството са различни и нивата на сътрудничество са различни. Лесно е да се намерят умения. Трудно е да се намери културно съвпадение."

Процесът на интервюиране също е добър индикатор за съвпадение на културите или липсата съответно. Например Кили описва интервюта, където шестима различни хора обясняват работата по шест начина. Някои може да имат комплекс на спасител, при което чувстват, че главният директор по информационна сигурност е отговорен за всичко, или ЧР изглежда неорганизиран и хаотичен. "Ако в ЧР е хаос, обикновено така е и в цялата компания", допълва тя.

Какво е заплащането?

Кац, който напътства директори по информационна сигурност, обича да организира задоволството от работата в това, което нарича "шестте с-та: challenge, commitment, chemistry, culture, clarity and commute (предизвикателство, ангажираност, химия, култура, яснота и пътуване до работното място). Ако всичките отговарят на очакванията ви, тогава идва заплащането. Според Кац възнагражденията за директори по информационна сигурност от истинско ниво С се движат между 250 000 до 2 милиона щатски долара в зависимост от големината, зрелостта и сложността на организацията и опциите, включени в пакета.

Съветът на Кили е да проверите как е структурирано в пакет това възнаграждение. Например дали пакетът съдържа много бонуси и акции, но ниско месечно заплащане? Дали изискванията за представяне, за да се получи бонус, са достижими? На какви интервали се дават?

Важно е също така да се знае дали CISO получава клауза за "златен куршум" в договора, че тези стимули не изчезват, в случай че главата му падне след пробив в сигурността или политически гаф вътре в компанията. "Ако компанията е преодоляла скоро пробив и CISO е бил жертвеният агнец за медиите и е загубил работата си, това е потенциален поглед в бъдещето ви в организацията."

Превод и редакция Мариана Апостолова



X