ما هو CISO؟ مسؤوليات ومتطلبات هذا الدور القيادي جزء2
نعم ولا حتى أهم. بعد كل شيء ، يتضمن الكثير من وظائف CISO الإدارة والدعوة للأمن داخل قيادة الشركة. قال الباحث في مجال تكنولوجيا المعلومات لاري بونيمون ، متحدثًا إلى SecureWorld ، إن “أبرز مدراء أمن المعلومات لديهم أساس تقني جيد ولكن غالبًا ما يكون لديهم خلفيات أعمال ، وماجستير في إدارة الأعمال ، والمهارات اللازمة للتواصل مع المديرين التنفيذيين الآخرين ومجلس الإدارة.”
يقول Paul Wallenberg ، مدير الوحدة الأول لخدمات التكنولوجيا في وكالة التوظيف LaSalle Network ، إن مزيج المهارات التقنية وغير الفنية التي يتم من خلالها الحكم على مرشح CISO يمكن أن يختلف اعتمادًا على الشركة التي تقوم بالتوظيف. يقول: “بشكل عام ، ستبحث الشركات ذات النطاق العالمي أو الدولي كشركة تجارية عن مرشحين يتمتعون بخلفية أمنية شاملة ووظيفية وستتخذ نهج تقييم المهارات القيادية مع فهم التقدم الوظيفي والإنجازات التاريخية”. “على الجانب الآخر من العملة ، فإن الشركات التي لديها أعمال أكثر تركيزًا على الويب والمنتجات تركز على توظيف مجموعات مهارات محددة حول أمان التطبيقات والويب.”
شهادات CISO
بينما تتسلق السلم متوقعا قفزة إلى CISO ، لن يضرك تلميع سيرتك الذاتية بشهادات. كما يقول أمن المعلومات ، “هذه المؤهلات تنعش الذاكرة ، وتستدعي تفكيرًا جديدًا ، وتزيد من المصداقية ، وهي جزء إلزامي من أي منهج تدريب داخلي سليم.” ولكن هناك رقمًا محيرًا إلى حد ما للاختيار من بينها – يسرد موقع Cyberdegrees.org سبعة. لقد سألنا Wallenberg من Lasalle Network عن اختياراته ، وقد أعطانا المراكز الثلاثة الأولى:
“متخصص أمن نظم المعلومات المعتمد (CISSP) مخصص لمتخصصي تكنولوجيا المعلومات الذين يسعون إلى جعل الأمن محورًا وظيفيًا.”
“مدير أمن المعلومات المعتمد (CISM) شائع بالنسبة لأولئك الذين يتطلعون إلى تسلق السلم داخل الانضباط الأمني والانتقال إلى القيادة أو إدارة البرامج.”
“الهاكر الأخلاقي المعتمد (CEH) مخصص لمتخصصي الأمن الذين يتطلعون إلى الحصول على وعي متقدم بالقضايا التي يمكن أن تهدد أمن المؤسسة.”
CISO و CSO وما بعده: ما هو الاسم ، ومن يتصدر القائمة؟
دعنا نتحدث للحظة عن المسميات الوظيفية. على الرغم من أننا كنا نستخدم CISO طوال هذه المقالة ، كما ذكرنا أعلاه ، هناك عناوين أخرى يتم استخدامها لضابط أمن على المستوى التنفيذي: يعد كبير مسؤولي الأمن ، أو CSO ، أمرًا شائعًا إلى حد ما ، وبعض الضباط الآخرين لديهم لقب نائب الرئيس . وجدت دراسة أولويات الأمان لعام 2020 من IDG أن CISO كان العنوان الأكثر شيوعًا عند 41٪ من المستجيبين ، مقابل 14٪ عملوا في شركات مع منظمات مجتمع مدني و 16٪ لعناوين أخرى. ومن المثير للاهتمام ، أن الشركات الكبيرة من المرجح أن تطلق على مديرها الأمني الأعلى اسم CISO: 80٪ ممن شملهم الاستطلاع يستخدمون هذا اللقب. كما لوحظ ، كنا نستخدم هذه المسميات الوظيفية بشكل تبادلي إلى حد ما ؛ في كثير من الحالات ، تعكس التسلسل الهرمي أو الأدوار داخل منظمة معينة ، وقد يكون لدى شخص ما لديه وظيفة CISO في شركة ما مهام مشابهة جدًا لمنصب CSO في شركة أخرى.
أكثر أهمية من الأحرف في العنوان الخاص بك هي بنية مخطط المنظمة. الأمن هو دور داخل مؤسسة يتعامل بشكل حتمي مع الآخرين ، نظرًا لأن غرائز المحترفين في مجال الأمن هي إغلاق الأنظمة وجعل الوصول إليها أكثر صعوبة – وهو أمر يمكن أن يتعارض مع وظيفة تكنولوجيا المعلومات المتمثلة في إتاحة المعلومات والتطبيقات بطريقة خالية من الاحتكاك. يمكن أن تلعب هذه الدراما في الجزء العلوي من مخطط المؤسسة باعتبارها معركة CISO / CSO مقابل CIO ، وغالبًا ما يتم تحديد ملامح تلك المعركة من خلال خطوط التقارير داخل المنظمة: إذا كان المسؤول الأمني الأعلى يقدم تقارير إلى قيادة قسم تكنولوجيا المعلومات ، الذي يمكن أن يقيد قدرة CISO على التنفيذ الاستراتيجي ، حيث ينتهي الأمر برؤيتهم إلى الخضوع للاستراتيجية الأكبر لتكنولوجيا المعلومات.
ما مدى شيوع هياكل التقارير المختلفة؟ وفقًا لدراسة أولويات الأمان لعام 2020 الصادرة عن IDG ، فإن 46٪ من كبار مسؤولي الأمن في الشركات التي شملتها الدراسة يقدمون تقاريرهم إلى الرئيس التنفيذي أو مجلس الإدارة ، في حين أن 33٪ يقدمون تقاريرهم إلى رئيس قسم المعلومات في الشركة أو الأقسام ربما ليس من المستغرب أن تمتلك الشركات الصغيرة هياكل أكثر تملقًا: 59٪ من مسؤولي الأمن في الشركات الصغيرة والمتوسطة التي شملها الاستطلاع يقدمون تقاريرهم مباشرة إلى الرئيس التنفيذي.
تقارير CSO
يمكن أن يساعد وضع مدراء تقنية المعلومات ومدراء أمن المعلومات على قدم المساواة في تهدئة الصراع ، لأسباب ليس أقلها أنه يرسل إشارة إلى المنظمة بأكملها بأن الأمن مهم. ولكن هذا يعني أيضًا أن CISO لا يمكن أن يكون مجرد حارس البوابة الذي يستخدم حق النقض ضد المبادرات الفنية. كما قال رئيس قسم المعلومات في Ducati Piergiorgio Grossi لمجلة i-CIO ، “الأمر متروك لـ CISO لمساعدة فريق تكنولوجيا المعلومات على تقديم منتجات وخدمات أكثر قوة بدلاً من مجرد قول” لا “.” هذه المسؤولية المشتركة عن المبادرات الإستراتيجية تغير ديناميكيات العلاقة – ويمكن أن تعني الفرق بين النجاح والفشل لمديري أمن المعلومات الجدد.
للحصول على مناقشة أكثر تفصيلاً لهذه الموضوعات ، راجع مقالة منظمات المجتمع المدني “هل يهم من الذي يقدم تقارير CISO إليه؟”
الوصف الوظيفي CISO
إذا كنت جزءًا من البحث عن CISO واعدًا لمؤسستك ، فإن جزءًا من ذلك يتضمن كتابة وصف وظيفي – والكثير مما قمنا به
إن القلق الشديد حتى الآن يضع الأساس لكيفية التعامل مع ذلك. يقول Wallenberg من Lasalle Network من Lasalle Network: “تقرر الشركات أولاً ما إذا كانت تريد تعيين مدير أمن دولي والحصول على الموافقات للمستوى وهيكل التقارير والمسمى الوظيفي الرسمي للمنصب – في الشركات الأصغر ، يمكن أن يكون CISO نائب الرئيس أو مدير الأمن”. “إنهم بحاجة أيضًا إلى تحديد الحد الأدنى من المتطلبات والمؤهلات للوظيفة ، ثم الذهاب إلى السوق للمرشحين الخارجيين أو النشر لمقدمي الطلبات الداخليين.”
يوضح مايكل نادو ، كبير المحررين في CSO ، بشيء من التفصيل كيف ستتعامل مع كتابة الوصف الوظيفي CISO. أحد الأشياء المهمة التي يشير إليها هو أن وصفك يجب أن يجعل التزام مؤسستك بالأمن واضحًا جدًا منذ البداية ، لأن هذه هي الطريقة التي ستجذب بها مرشحًا عالي الجودة. يجب عليك إبراز المكان الذي سينتهي به CISO الجديد على مخطط المؤسسة ومقدار تفاعل اللوحة الذي سيتعين عليه فعلاً توضيح هذه النقطة. هناك نقطة مهمة أخرى يطرحها وهي إبقاء الوصف الوظيفي محدثًا ، حتى لو كان لديك شخص ما في هذا المنصب – ففي النهاية ، لا تعرف أبدًا متى سينتقل هذا الشخص إلى فرصة أخرى ، وهذه وظيفة مهمة لا تريدها لترك دون موظفين.
راتب CISO
CISO هي وظيفة عالية المستوى ويتم دفع CISOs وفقًا لذلك. إن توقع الرواتب هو فن أكثر من كونه علمًا ، بالطبع ، لكن الإجماع القوي هو أن الرواتب التي تزيد عن 100000 دولار هي نموذجية. حتى كتابة هذه السطور ، تمتلك ZipRecruiter المتوسط الوطني عند 159.877 دولارًا ؛ يربط موقع راتب.كوم النطاق النموذجي بدرجة أعلى ، حيث يتراوح بين 195000 دولار و 257000 دولار.
إذا قمت بفحص Glassdoor ، يمكنك رؤية نطاقات الرواتب لوظائف CISO الحالية ، والتي يمكن أن تساعدك في التعرف على القطاعات التي تدفع أكثر أو أقل. على سبيل المثال ، حتى كتابة هذه السطور ، يوجد منصب CISO مفتوح في GE Power يدفع ما بين 152 ألف دولار و 164 ألف دولار ، وواحد في جامعة ميشيغان يدفع ما بين 259 ألف دولار و 279 ألف دولار.
وظائف CISO
يتغير مشهد وظائف CISO دائمًا ، ولدى CSO الكثير من المواد لإبقائك على اطلاع دائم – كيفية الحصول على وظيفة CISO ، وكيفية التنقل في المشهد الوظيفي. قد ترغب في التحقق من:
“6 أسرار لطول العمر الوظيفي لـ CISO”: تقول منظمات المجتمع المدني ذات الخدمة الطويلة إن التركيز على الأعمال والتواصل أمر أساسي.
“ما يريده مدراء المعلومات من CISOs: التعاون وعدم توجيه أصابع الاتهام”: نظرة على كيفية التنقل في هذه العلاقة المشحونة أحيانًا. يشرح اثنان من مديري تقنية المعلومات كيف يرون علاقاتهم بوظيفة الأمان ، ولماذا يحتاج CISOs إلى التعاون بشكل وثيق مع مدراء تقنية المعلومات سواء كانوا يقدمون تقاريرهم أم لا.
“7 حوادث أمنية تكلف CISOs وظائفهم”: عندما تكون مسؤولًا تنفيذيًا رفيع المستوى ، فإن المسؤولية تتوقف معك ، كما اكتشف هؤلاء CISO. دع إخفاقاتهم الأمنية بمثابة فرصة تعليمية لك.