Навсякъде вътрешните специалисти по набиране на персонал, техническите директори и ръководителите се чудят: Ако четете този текст – вероятно сте сред тях.
Изправени пред предизвикателството да не разполагат с дузина свободни CISO в мрежата си от приятели и познати, много от тях започват да публикуват обяви за работа навсякъде. Тук има няколко ключови въпроса:
- Трябва ли да търсите CISO от конкурент или в LinkedIn? Трябва ли да разчитате само на раздела за работни места в уебсайта си?
- Как да откриете правилния CISO и да избегнете прекарването на месеци или години в работа с неподходящия служител?
- Каква е идеалната длъжностна характеристика за CISO във вашата компания?
- Кои умения в областта на киберсигурността са подходящи за CISO днес?
В тази статия ще се опитаме да отговорим на всички тези въпроси и на още много други.
Препоръчваме ви, докато търсите, което може да отнеме от 2 до 6 месеца или повече, да опитате нашата услуга “Виртуален CISO”. Нашите клиенти обикновено се отказват от търсенето си само след един месец при нас. А дори и да не го направят – само за един месец ще поставим основите на вашата програма за информационна сигурност и ще започнем нейното изпълнение – нещо, което един нов служител никога не може да постигне.
Трябва ли да търсите CISO от конкурент или да търсите в LinkedIn?
Ако познавате добре човека и сте сигурни, че той ще свърши по-добра работа при вас, отколкото при конкурента ви, тогава трябва да се опитате да го привлечете. Ако те познават вашата сфера на дейност, вече са се сблъсквали с много от същите предизвикателства във вашия бранш и по време на интервюто ще разберете как техните умения и опит съответстват на вашите изисквания.
Обявяването на работа в LinkedIn привлича хората, които активно търсят промяна – а те рядко са тези, които представляват отлични кандидати. Големите кандидати обикновено постоянно получават предложения и са изключително заети, твърде заети, за да търсят работа. Има *редки* изключения от това правило, когато добрите хора са прогонени от политиката или тежки житейски ситуации. Но подобни изключения потвърждават правилото.
Когато имате такъв избор, е по-добре да наемете добър CISO, отколкото да публикувате обява за работа в LinkedIn. И не, не трябва да разчитате само на уебсайта си. Добрите кандидати едва ли ще посетят уебсайта ви, камо ли да попаднат в раздела ви за работа, освен ако не са начинаещи и не започват кариерата си.
Как да откриете правилния CISO и да избегнете да прекарате година, месеци или години с неподходящия служител?
Това малко прилича на игра за запознанства, само че тук може да се сблъскате със загуби за милиони или с фалит на цялата ви компания след мащабен пробив в сигурността. Рискът е твърде голям, за да разчитате на автобиографии и отбелязване на полета в списък с характеристики.
За да разберете как да намерите подходящия CISO, трябва да отговорите и на няколко въпроса.
Каква е целта ви за следващите една-две години?
Отчаяно ли се нуждаят ИТ системите ви от сигурност, или процедурите ви за управление са изостанали? Или сте подложени на натиск да се сертифицирате по ISO 27001, PCI/DSS или HIPAA?
С други думи, трябва ли да се съсредоточите върху спазването на изискванията или върху практическите, технически мерки за защита на сигурността?
Ако трябва да се съсредоточите върху спазването на правилата, тъй като понякога от това зависят бизнесът, продажбите и маркетингът, потърсете човек с опит в областта на спазването на правилата или одита.
Ако основната ви грижа е да се предпазите от хакери и да предотвратите пробив, тогава определено търсете техник, който не се страхува да си изцапа ръцете, независимо колко голяма е компанията ви.
Намиране на подходящия кандидат: избягвайте често срещаните капани в областта на човешките ресурси и не разглеждайте хиляди автобиографии. Вместо това посетете канала https://www.reddit.com/r/netsec/ в Reddit, където винаги ще намерите най-новата тема за наемане на служители в Infosec. След това посетете популярните канали в Slack и Telegram, където хората, занимаващи се със сигурност, обичат да се срещат (Google е ваш приятел, няма да ги изброяваме тук).
Каква е идеалната длъжностна характеристика за CISO във вашата компания?
Направете си услуга и не копирайте описанието на длъжността на бъдещия си CISO от някой друг. Всичко във вашата компания е уникално и дори малките детайли могат да повлияят на съвпадението.
Седнете с ИТ екипа си и с ръководителите си и внимателно дефинирайте проблемите, които компанията ви се опитва да реши. След това въз основа на това изгответе длъжностната характеристика на CISO.
Има няколко ключови точки в описанието на длъжността CISO, които трябва да включите:
- Ако използвате облачни услуги или ако хоствате облачни услуги за други, включете: “Опит в създаването на защити за облачни услуги, хоствани в AWS/Google/Microsoft 365. Трябва да знаете как да се ориентирате в настройките за сигурност на (тук посочете доставчика на облачни услуги) и да имате опит в предотвратяването и реагирането на инциденти със сигурността в тази среда”.
- Ако разполагате предимно с локална инфраструктура, изисквайте технически умения, дори ако те са работили в инженерната сфера преди много години. “Познания за откриване на противници в средите на Linux и Windows, създаване на мониторинг на сигурността за откриване на противници.”
- Винаги включвайте в описанието на длъжността “опит в лова на заплахи”, независимо колко голяма е компанията ви. Защо? Защото тази ключова дума разграничава хората, които са прекарали живота си в Excel и Outlook и нямат представа как се случват атаките в реалния свят, от истинските професионалисти в областта на сигурността.
Какви са изискванията за работа? Трябва ли да имате висше образование?
Зависи. Ще се интересуват ли хакерите, ако вашият CISO има университетска диплома? Помага ли университетската диплома при изграждането на защита срещу заплахи, които не са съществували само преди 3 месеца? Съмняваме се, че 99 % от университетските преподаватели имат съответните познания за текущите атаки на достатъчно добро ниво, за да преподават, а вашият идеален CISO не е току-що завършил.
Големи компании като Google и PwC спряха да изискват университетска диплома от най-добрите си служители. Системите за висше образование неведнъж са доказвали, че не могат да подготвят подходящи специалисти за киберсвета.
Кои умения в областта на киберсигурността са подходящи за CISO днес?
Дипломацията е вероятно най-пренебрегваното умение за CISO. Управлението на напрежението между множество екипи, работещи по множество проекти, е умение, придобито в битка. Непременно трябва да включите въпроси, които имат за цел да установят доколко кандидатът е добър в дипломацията и уменията за работа с хора. Може би да ги предизвикате малко? Вижте как реагират на агресия или натиск, разбира се, в определени граници.
Когато говорим за умения в областта на киберсигурността, ако не планирате да разполагате с голям екип по сигурността, а CISO трябва да върши цялата работа, се съсредоточете върху техническите му умения. Те трябва да обработват и анализират зловреден софтуер и злонамерени документи, да анализират големи количества логове, да ги осмислят, да укрепват различни операционни системи и да знаят какво представляват STIGs на DISA.
Всъщност, последната част: DISA STIG е ключова. Ако кандидатът ви не знае какво означава това, изгонете го незабавно и не поглеждайте назад.
Ако през изминалата година сте се опитвали да наемете добър CISO и не сте могли да намерите подходящия кандидат, може би е време да опитате алтернатива за месец-два.
Помолете нашия екип за кратка среща, за да обсъдите нашата оферта за виртуален CISO – и може би ще ви служим по-добре и по-дълго, отколкото един CISO на пълен работен ден.
Средната продължителност на работа на CISO в една компания е между 6 месеца и 2 години. Често те биват търсени от специалисти по подбор на персонал за 10% увеличение на заплатата или по-добри здравни осигуровки – и компаниите трябва всеки път да започват търсенето от нулата, да плащат на специалисти по подбор на персонал, да интервюират десетки кандидати. Знаете много добре колко мъчителен е процесът на търсене всеки път. Можем да ви спестим тази болка.
