كيفية تقييم عرض عمل CISO

يفكر غالبية مدراء تكنولوجيا المعلومات (75٪) في الانتقال إلى دور جديد، وفقًا لتقرير حالة CISO، 2023-2024: تقرير ملخص المعيار من IANS وArtico Search. “ما نتوقع رؤيته في عام 2024 هو أن يشعر مدراء تكنولوجيا المعلومات بمزيد من الإلحاح للانتقال إلى أدوار جديدة وأن تبدأ الشركات في فتح المزيد من الفرص مع تحول الاقتصاد” ، نيك كاكولوفسكي، مدير الأبحاث في شركة ايانس، وهو مزود رؤى أمنية، يقول InformationWeek.

يعد الإرهاق والرغبة المتزايدة في الحماية من المخاطر والدافع لمواجهة تحديات جديدة من بين الأسباب التي تجعل مسؤولي أمن المعلومات يقررون البحث عن فرص جديدة. مع وجود الكثير من المواهب التي تسعى إلى التغيير، ما الذي يمكن أن يتوقعه مدراء تكنولوجيا المعلومات في سوق العمل؟ بمجرد وصول العرض، ما الذي يجعله جذابًا أو محتملًا؟

سوق وظائف CISO

المواهب في مجال الأمن السيبراني مطلوبة؛ فجوة المهارات لا يزال موضوعًا ساخنًا للمحادثة. ولكن على مستوى CISO، المنافسة على الأدوار شرسة. “يمكننا أن نطلق عليه اسم سوق أصحاب العمل عندما يتعلق الأمر برؤساء أمن المعلومات، أي هناك [is] يقول بوبي جورمسن، مدير البحث التنفيذي في شركة التوظيف التنفيذي: “هناك عدد أكبر من المواهب الرائعة مقارنة بالأدوار المتوفرة في هذه المرحلة”. شركاء ريفييرا. “إن المنافسة على هذه الأدوار في أعلى مستوياتها على الإطلاق. لذلك، نحن نرى مرشحين رائعين يتم تعيينهم، كما نرى مرشحين رائعين يأتون في المرتبة الثانية ولسوء الحظ لا يحصلون على هذا الدور.

متعلق ب:تمرير عصا الأمن: تخطيط تعاقب CISO

يمكن لرؤساء أقسام تكنولوجيا المعلومات المتواجدين في السوق للحصول على دور جديد أن يبدأوا العملية من خلال التحول إلى شبكتهم الشخصية. تحدث إلى زملائك الآخرين من مدراء تكنولوجيا المعلومات والموجهين وجهات التوظيف الموثوقة للتعرف على الأدوار التي يمكن أن تكون متاحة وسبب الحاجة إلى شغلها.

“أعتقد أن الحصول على هذه الاتصالات الشخصية أمر مفيد للغاية لأنك ستميل إلى الحصول على الإجابات الحقيقية،” جاي باستريس، مدير تكنولوجيا المعلومات ورئيس قسم تكنولوجيا المعلومات في شركة السرعوف الزرقاء، مزود خدمات التكنولوجيا الرقمية، يقول InformationWeek.

لقد تطور دور كبير مسؤولي أمن المعلومات (CISO) على مر السنين، وأصبح يتطلب بشكل متزايد مزيجًا من الخبرة الفنية والتجارية المقترنة بالامتثال وإدارة المخاطر. تميل المؤسسات المختلفة، اعتمادًا على الحجم والصناعة والوضع الأمني، إلى الحاجة إلى أنواع مختلفة من CISOs. سوف يركز بعض CISOs على بناء برنامج أمني من الألف إلى الياء. قد يتولى آخرون مسؤولية ما بعد الانتهاك.

“[Be] الاستبطان و [say]، “ما هو نوع CISO الذي أنا عليه حتى الآن؟” “أين من المحتمل أن أكون مرشحًا مقنعًا، وما هو الشيء الأكثر إثارة للاهتمام بالنسبة لي؟” يقول ستيفن مارتانو، شريك ممارسة الأمن السيبراني في شركة التوظيف بحث ارتيكو.

ما الذي تبحث عنه في العرض

متعلق ب:كيف سيغير الذكاء الاصطناعي دور CISO؟

كيف يبدو عرض عمل CISO المقنع؟ الإجابة على هذا السؤال، في نواحٍ عديدة، هي إجابة شخصية. ولكن هناك بعض العناصر المهمة التي من المرجح أن يرغب جميع مسؤولي أمن المعلومات في أخذها في الاعتبار قبل قبول دور جديد.

يعد التعويض، بالطبع، أحد المقاييس الأكثر وضوحًا لتقييم عرض العمل. ومع التوقعات بتحمل المزيد من المخاطر، لا سيما مع زيادة التدقيق من جانب الهيئات التنظيمية مثل هيئة الأوراق المالية والبورصة، فإن توقعات التعويضات ترتفع بالنسبة لرؤساء أمن المعلومات.

إن كيفية تنظيم هذا التعويض هو أحد الاعتبارات المهمة. يميل مدراء تكنولوجيا المعلومات إلى أن تكون مدة خدمتهم أقصر مقارنة بالأدوار القيادية الأخرى في المجموعة التنفيذية. متوسط ​​​​مدة خدمتهم هو أربع سنوات، وفقا ل استبيان رئيس أمن المعلومات العالمي (CISO) لعام 2023 من شركة البحث التنفيذي Heidrick & Struggles. من المرجح أن يكون كبار مسؤولي تكنولوجيا المعلومات الذين يظلون في مناصبهم لفترة أقصر أكثر اهتمامًا بالتعويضات النقدية مقابل الأسهم التي تستحق على مدى عدة سنوات، وفقًا لجورمسين. ويوضح قائلاً: “إنهم يبحثون عن أموال مضمونة قصيرة الأجل بدلاً من الحوافز طويلة الأجل”.

في حين أن النقد هو الملك، فإنه ليس كل شيء. تعتبر المسؤوليات والموارد التي تأتي مع فرصة CISO حيوية لتحديد ما إذا كان الدور مناسبًا. “ما هي التوقعات للسنة الأولى، وبعد ذلك كيف يبدو النجاح على مدى ثلاث سنوات؟” يسأل مارتانو.

متعلق ب:قواعد الإفصاح السيبراني الخاصة بهيئة الأوراق المالية والبورصة تستهل حقبة جديدة لرؤساء أمن المعلومات

يمكن لرؤساء أقسام تكنولوجيا المعلومات طرح الأسئلة للحصول على فكرة عما إذا كانت المنظمة ستوفر الموارد اللازمة لتلبية مقاييس النجاح تلك. يقول كاكولوفسكي: “أنت تريد أن تكون قادرًا على الذهاب إلى مكان تعرف فيه أن الأمن له قيمة، وأن الأمن هو الأولوية، وأنك لن تقاتل بأسنانك وأظافرك من أجل كل جزء من الميزانية لإنجاز الأمور”. .

هيكل التقارير هو عنصر آخر للتقييم. يفضل العديد من CISOs تقديم تقاريرهم مباشرة إلى الرئيس التنفيذي ومجلس الإدارة. يكتسب هذا الدور ترقية تنظيمية، لكن معظم كبار مسؤولي أمن المعلومات لا يزالون على مستوى نائب الرئيس أو المدير، وفقًا لحالة رئيس أمناء أمن المعلومات، 2023-2024: التقرير المعياري. يمكن لرؤساء أقسام تكنولوجيا المعلومات تقديم تقاريرهم إلى مجموعة متنوعة من الأدوار، مثل CIO، CTO، COO، CFO، المستشار العام، وكبير مسؤولي المخاطر.

يمكن أن يعمل هيكل إعداد التقارير، أو لا يعمل، بعدة طرق مختلفة. جوهر المشكلة هو كيفية وضع المنظمة للأمن.

“من المهم أن نفهم كيف ينظر الأشخاص في هيكل إعداد التقارير هذا إلى الأمان ومدى الاقتصاد الذي سيقدمونه لك بصفتك كبير مسؤولي أمن المعلومات (CISO) لقيادة القرارات وإجراء التغييرات المطلوبة وإنفاذها،” يوضح باستيريس.

أصبحت الحماية من المخاطر أمرًا ضروريًا بشكل متزايد بالنسبة لرؤساء أمن المعلومات، ويمكن أن تأتي بأشكال مختلفة. هل تقدم المنظمة تأمينًا لمديري ومسؤولي CISO (D&O)؟ التعويض التعاقدي؟ حزمة إنهاء الخدمة التنفيذية؟

يقول كاكولوفسكي: “من المهم حقًا أن نفهم سبب تنظيم الأعمال بهذه الطريقة”. “إذا لم تكن مشتركًا في تأمين D&O، فماذا يعني ذلك ولماذا لا تكون كذلك. هل يرجع السبب في ذلك إلى أن CISO لا يعتبر حقًا مسؤولاً عن الشركة؟ عند هذه النقطة، ربما يمكنك الحصول على التعويض. ربما يمكنك الحصول على بعض الحماية المالية الأخرى لتعويض هذا الفارق.

على الرغم من أنه ليس من الممكن دائمًا معرفة مدى تناسب الدور بالضبط حتى تبدأ، إلا أن عملية المقابلة يمكن أن تكون كاشفة. كيف يتحدث الأشخاص المختلفون في المؤسسة عن دور CISO والنهج التنظيمي للأمن؟

“أنا أخبر عملائي طوال الوقت [to] يقول مارتانو: “كن مدروسًا حقًا بشأن العملية التي تضع فيها مرشحًا لأنه في كثير من الأحيان يُنظر إليها، وبشكل صحيح في كثير من الأحيان، على أنها نذير لما يعنيه العمل في تلك الشركة”.

عرض العمل الأعلام الحمراء

يمكن لبعض العلامات الحمراء المحتملة أن تساعد مدراء تكنولوجيا المعلومات على التخلص من عروض العمل التي لا تناسبهم. أثناء عملية المقابلة، من الممكن أن يواجه المرشحون اختلالًا في التوقعات حول الدور. قد يكون ذلك علامة حمراء “إذا كنت تسمع رسائل غير متسقة، أو إذا كان لديك شعور بأن بعض الأشخاص الذين تجري معهم مقابلة لديهم وجهة نظر مختلفة تمامًا بشأن توقعات الأمن أو توافقهم مع الأمن أو … قبولهم يقول مارتانو: “وتبشير الأمن”.

قد يؤدي هيكل إعداد التقارير الخاص بالمؤسسة إلى رفع أعلام حمراء لرؤساء أقسام تكنولوجيا المعلومات أيضًا. قد يتردد كبار مسؤولي أمن المعلومات في تقديم تقاريرهم إلى وظيفة معينة. على سبيل المثال، قال باستريس أنه لن يفكر في أي دور إذا كان يتضمن تقديم التقارير إلى المدير المالي. “هذا… غير مقبول بالنسبة لي. يوضح لي ذلك أن الأمر يتعلق بالشؤون المالية فقط.

من المهم أيضًا مراعاة الأدوار التي سيتم تقديم تقاريرها إلى CISO. يقول جورمسن: “إذا كان لديك حالة شاذة في هيكل إعداد التقارير حيث يكون لديك فرد يركز على الأمان ولا يقدم تقاريره مباشرة إلى مؤسسة CISO، فأعتقد أن هذا يمثل علامة حمراء كبيرة”.
إذا أصبح من الواضح أن إحدى المؤسسات لا تدرك قيمة الأمن أو لا توفر لرؤساء أمن المعلومات البيئة والموارد المناسبة للقيام بعملهم، فقد يتم رفض هذا العرض. يقول باستيريس: “من المحتمل أن أبتعد عن الفرص التي يُنظر إلي فيها كوظيفة مربع الاختيار: ميزانية محدودة، وسلطة محدودة، ونطاق محدود، وفهم محدود لتأثير الأعمال”.

قبول الدور الجديد

قد يستغرق الأمر شهرًا أو أكثر للعثور على مرشح وتعيينه. يقول مارتانو: “لقد تم إجراء بحث جيد وجيد الإدارة عن CISO في أقل من 90 يومًا”.

يختلف مقدار الوقت المستغرق لإجراء عملية البحث عن دور جديد وقبوله وبدءه اعتمادًا على الكثير من العوامل. من وجهة نظر CISO، السرعة ليست دائمًا الأفضل. “إذا كنت أبحث عن فرصة جديدة، فلن أتعجل في ذلك. هناك الكثير مما يجب وزنه؛ يقول باستيريس: “هناك الكثير من المخاطر”.