رهبران امنیتی در حال ترسیم مسیرهای شغلی جدید پس از CISO هستند

مایک انگل ابتدا به عنوان “مدیر ارشد امنیت اطلاعات” منصوب شد و در اوایل دهه 2000 به “معاون ارشد امنیت و اطلاعات شرکتی در Lehman Brothers” ارتقا یافت.

Engle معتقد است که این حرفه برای او مناسب است و به فناوری های امنیتی مانند رمزنگاری و چالش های عملیات امنیتی علاقه مند است.

او می گوید: «من هیجان پیدا کردن راهی برای جلوگیری از اتفاقات بد و خطرات امنیتی را دوست دارم. البته جنبه های دیگر کار، به ویژه وظایف قانونی که از قانون Sarbanes-Oxley در سال 2002 افزایش یافته است، برای من چندان جالب نیست. طبق قانون Sarbanes-Oxley، مدیران عامل شرکت های دولتی ایالات متحده باید صحت اطلاعات مالی شرکت را تأیید کنند.

به گزارش انگل: در حال حاضر به دلیل افزایش مخاطرات امنیتی، کار بیش از 60 ساعت در هفته برای مدیران امنیت سایبری امری عادی است و حجم کار این افراد همواره در حال افزایش است.

انگل همچنین به دلیل فشار کاری شدید و حجم کاری گسترده و بی پایان مسیر خود را به سمت کارآفرینی تغییر داد. او ابتدا در شرکتی که در زمینه فناوری های ردیابی فعالیت می کرد شروع به کار کرد و بعداً Bastille Networks و 1Kosmos را تأسیس کرد. Engle در حال حاضر به عنوان مدیر برنامه ریزی استراتژیک در این شرکت ها خدمت می کند و همچنین 1414 Ventures را مدیریت می کند.

Engle پیشینه امنیت سایبری و تجربه رهبری خود را دلیل موفقیت خود می داند، اما چالش های اداره یک استارت آپ را ترجیح می دهد. او می گوید: «در هیچ شرایطی نمی خواهم دوباره به عنوان افسر ارشد امنیت اطلاعات کار کنم.

مسیر مدیران ارشد امنیت اطلاعات پس از خروج از این حوزه

شاید مسیر شغلی انگل برای کارشناسان امنیت سازمانی چندان رایج نباشد، اما کارشناسان امنیت سایبری معتقدند که بسیاری از مدیران ارشد امنیت اطلاعات شغل خود را به عنوان توقفی در مسیر رسیدن به موقعیت های دیگر می دانند و در نهایت تصمیم می گیرند مسیرهای شغلی مختلفی را دنبال کنند. البته بسیاری از کارشناسان امنیت اطلاعات همچنان می خواهند همین مسیر را ادامه دهند و به سمت مدیر ارشد امنیت اطلاعات شرکت خود و سپس سازمان های بزرگتر برسند.

مت آیلو، مدیر امنیت سایبری جهانی در Heidrick & Struggles گفت: «مسیر شغلی متخصصان امنیت سایبری در حال تغییر است. اگرچه سمت مدیر ارشد امنیت اطلاعات برای بسیاری از افراد آخرین شغل محسوب می شود، اما بسیاری از کارشناسان این شغل را آغاز مسیری متفاوت می دانند.

بر اساس نظرسنجی انجام شده توسط Heidrick & Struggles در سال 2021 در میان افسران ارشد امنیت اطلاعات در سراسر جهان، سمت مدیر ارشد امنیت اطلاعات یک حوزه اداری نسبتاً جدید است (در بسیاری از منابع، شروع این حرفه در اواسط دهه 1990 ذکر شده است). و استیو کاتز اولین کسی است که این عنوان را به دست آورده است). پیشرفت در این زمینه هنوز آسان نیست.

نتایج نظرسنجی فوق به شرح زیر است:

• 47 درصد از شرکت کنندگان در نظرسنجی گفتند که قصد دارند عضو هیئت مدیره شوند.
• 44٪ از این افراد ترجیح می دهند در همان سمت به عنوان افسر ارشد امنیت (که شامل امنیت اطلاعات و همچنین امنیت فیزیکی می شود) باقی بمانند.
• 16% گفتند که مایلند به عنوان افسر ارشد ریسک ادامه دهند.
• 12 درصد می گویند که علاقه مند به سمت مدیر اطلاعات هستند.
• 8 درصد قصد دارند موقعیت خود را به عنوان مدیر سهام خصوصی تغییر دهند.
• 3 درصد مایلند مدیر عامل شرکت شوند.
• 2٪ حرفه توسعه ابزارهای جدید در یک شرکت امنیتی را انتخاب کرده اند.

پاسخ 5 درصد از این افراد «دیگر» است و 3 درصد نیز می گویند ترجیح می دهند الان جواب ندهند و به آینده فکر نکنند. فقط حدود 9 درصد می خواستند کار فعلی خود را قبل از بازنشستگی به پایان برسانند.

در نهایت، نویسندگان این مطالعه به این نتیجه رسیدند که اگرچه حرکت بعدی برای مدیران ارشد امنیت اطلاعات نامشخص است، اما بسیاری از این افراد در حال تغییر شغل هستند.

یک مسیر در حال تکامل

پژوهشگران امنیت می‌گویند: تاریخچه این کار بی‌تأثیر از محدودیت‌های قابلیت‌های پیش روی مدیران ارشد امنیت اطلاعات نیست. آنها معتقدند که از لحاظ تاریخی، مدیران ارشد امنیت اطلاعات تحت عنوان مدیر ارشد اطلاعات کار می کردند که همیشه بخشی از سایر نقش های مدیریت ارشد بوده است. از طرفی این افراد متخصص در زمینه فناوری هستند اما دانش چندانی در زمینه مدیریت ندارند. در نتیجه، شرکتی مانند Corporate America معتقد نیست که مدیر ارشد امنیت اطلاعات برای سایر پست‌های مدیریت ارشد، عضویت در هیئت مدیره و سایر انتصاب‌های مشابه در سطح بالا مناسب است.

البته به گفته مدیران امنیتی: «با رشد و تکامل این رشته و تبدیل شدن به یکی از دغدغه‌های سطح مدیریت و موضوع منافع مشتری و امنیت ملی، شغل مدیر ارشد امنیت اطلاعات همیشه مهم‌تر، برجسته‌تر می‌شود. و سنگین تر. بنابراین، مدیران امنیت سایبری باید مجموعه‌ای از مهارت‌ها را کسب کنند. این به نوبه خود فرصت های شغلی بیشتری را برای آنها فراهم می کند.

گریگوری جی. توهیل، مدیر CERT در مؤسسه مهندسی نرم‌افزار در دانشگاه کارنگی ملون، می‌گوید: «طی سه تا پنج سال گذشته و با توجه به رشد و تکامل این حرفه و بهبود قابل توجه درک هیئت مدیره از موقعیت شغلی مدیر امنیت اطلاعات ، شغل جاده های جدیدی در این منطقه ایجاد شده است.

وی می‌گوید: با توجه به اینکه امنیت سایبری یکی از اولویت‌های مدیران سازمان‌ها است، شاهد افزایش تمرکز بر استعدادها و توانمندی‌های مدیران ارشد امنیت اطلاعات و هزینه‌کردن اعتبارات در این حوزه هستیم. بنابراین، توانایی های مدیران ارشد امنیت اطلاعات بسیار فراتر از حوزه فناوری است و شامل مدیریت عملیاتی می شود.

نفوذ

توهیل که در گذشته به عنوان افسر ارشد امنیت اطلاعات فعالیت می کرد و از سوی اوباما به عنوان اولین افسر ارشد امنیت اطلاعات دولت آمریکا انتخاب شد، نگاه ویژه ای به این تغییر دارد. او می‌گوید: «پیدا کردن زمینه‌هایی که بتوانم در آن‌ها تأثیرگذار باشم و کار در آن حوزه‌ها از جمله دلایلی بود که این شغل را برایم انتخاب کردم».

به گفته Engle: “CIO مسئول ارائه خدمات است و باید امنیت مشتری را حفظ کند. در این موقعیت، شما باید یک تسهیل کننده و همچنین یک مدافع باشید. “من واقعا از یافتن راهی برای تبدیل امنیت به یک عامل تجاری لذت می برم.”

همچنین به گفته چندین منبع مختلف: «این مشکل باعث شده تا مدیران ارشد امنیت اطلاعات به سمت مشاغل دیگر سوق پیدا کنند».

حرکت به سمت بیرون یا بالا؟

به گفته Aiello، «مدیران ارشد امنیت اطلاعات معمولاً به دنبال ترک این حرفه و کار در پست‌های مدیریت و هیئت مشاور در استارت‌آپ‌ها و شرکت‌هایی هستند که راه‌حل‌های امنیتی ارائه می‌دهند».

سایمون هاجکینسون نیز چنین راهی را در پیش گرفت.

هاجکینسون در مراحل مختلفی از حرفه امنیتی و فناوری اطلاعات خود پیشرفت کرد و به سمت مدیر ارشد امنیت اطلاعات BP رسید، سمتی که او از سال 2017 تا 2020 در اختیار داشت. او در حال حاضر نقش های مدیریتی و مشاوره ای در چندین سازمان از جمله RangeForce، Reliance acsn، Semperis و Zscaler دارد.

او معتقد است که کار در مدیریت ارشد امنیت اطلاعات او را برای موقعیت فعلی خود آماده کرده است.

به گفته وی: «مدیریت ارشد امنیت اطلاعات در BP به من این فرصت را داد که از نزدیک با مدیران عامل و هیئت مدیره کار کنم و به من این فرصت را داد که مفاهیم استراتژیک امنیت، تأثیر تحول دیجیتال بر این موضوع و اهمیت حکمرانی مناسب و درک صحیح امنیت سایبری. این تجربه همچنین برای وظایف مدیریتی/مشاوره‌ای من بسیار ارزشمند بوده است.» او می‌گوید: «این تجربه می‌تواند اطلاعات ارزشمندی را که از چنین تجربیاتی به دست می‌آید در اختیار شرکت‌ها قرار دهد.»

به گفته Aiello، “مدیرهای اطلاعاتی معمولاً به سمت مشاغل مشاوره و سرمایه گذاری خطرپذیر که فرصت های کسب درآمد را ایجاد می کنند، جذب می شوند.”

علاوه بر این، بر اساس آمار و نتایج تحقیقات، بسیاری از مدیران ارشد امنیت اطلاعات در سمت‌های مدیر ارشد ریسک، مدیر ارشد اعتماد و مدیر ارشد محصول در شرکت‌هایی که محصولات امنیتی ارائه می‌کنند، فعالیت می‌کنند.

توهیل می گوید: «مدیران اطلاعاتی فرصت بسیار خوبی برای پر کردن پست های مدیریتی جدید و نوظهور دارند. این حوزه‌های جدید حکمرانی بر همه حوزه‌های امنیتی – سایبری، فیزیکی و پرسنلی نظارت می‌کنند.

دنبال علایق

پس از کناره گیری داون کاپلی از سمت مدیر ارشد امنیت اطلاعات در راکول اتوماسیون، تصمیم گرفت که از خط مقدم کناره گیری کند و از مسئولیت های بی شمار یک افسر ارشد امنیت اطلاعات دور شود.

او می گوید: ابتدا به بازنشستگی فکر می کردم، اما متقاعد شدم که می توانم در شغلی متناسب با اهداف و خواسته هایم کار کنم.

کاپلی می‌گوید: «اگرچه کار در حوزه‌های مرتبط با امنیت سایبری یکی از علایق اصلی من است، اما به دلیل حجم کاری گسترده و بی‌پایان و افزایش خطرات سایبری، ترجیح می‌دهم پس از بازنشستگی، کار مدیریت پاره وقت را به عنوان شغل اصلی خود انتخاب کنم. “

به گفته کاپلی: “این شغل کاملاً با علایق من مطابقت داشت.” او در حال حاضر مسئول ایجاد یک مرکز منابع اجتماعی برای صاحبان املاک و بهره برداران است و معتقد است که می تواند در این حرفه به جامعه خدمت کند.

آیلو می گوید: «بسیاری از مدیران ارشد و رهبران امنیتی در حال بازنگری در حرفه خود برای بازنشستگی هستند.

مناسب ترین گزینه را پیدا کنید

طبق گفته Aiello و همکاران، «همه مدیران امنیتی مهارت‌های رهبری مورد نیاز برای موقعیت‌های دیگر را کسب نمی‌کنند. البته بسیاری از این افراد تنها به فعالیت در حوزه امنیت سایبری علاقه دارند و تمایلی به تغییر محل کار خود ندارند.

توهیل می گوید: «من معتقد نیستم که CIO اوج است، اما اگر کسی به آن حرفه علاقه دارد، من نباید حرفه ام را تغییر دهم.»

او می‌گوید: «هر CIO نمی‌خواهد مدیرعامل یا مدیر اجرایی شود. مهم این است که با ماموریت درست به جایگاه مناسب در تیم مناسب دست یابیم.”

اسکات کینگ که قبلاً به عنوان مدیر ارشد امنیت اطلاعات در Sempra Energy و سپس در سال 2017 به عنوان مدیر ارشد خدمات امنیت سایبری در Rapid7 خدمت می کرد، در مصاحبه هایی گفت که این اقدام صرفاً برای آشنایی با روش های درآمدزایی است. شرکت آماده است

او می گوید: «من می خواستم یاد بگیرم که چگونه یک تجارت را اداره کنم. می خواستم در مورد سود و زیان شرکت اطلاعاتی کسب کنم. چنین کارهایی برای من بسیار جذاب است.»

در آینده، او دوباره به عنوان مدیر ارشد امنیت اطلاعات در Encore Capital Group کار می کند.

کینگ می گوید: «من به اندازه کافی در مورد چیزهایی مانند برد و باخت یاد گرفتم که تصمیم گرفتم به همان موقعیت برگردم و آموخته هایم را به کار ببرم. بنابراین، دوباره مدیریت ارشد امنیت اطلاعات را انتخاب کردم.

به گفته کینگ، «تغییر شغل برای یک افسر ارشد امنیت اطلاعات همیشه آسان نیست، اما او معتقد است که اکنون آسان‌تر از همیشه است. امروزه کارشناسان امنیتی گزینه های بیشتری دارند. آنها می توانند به طور همزمان اعتبار و وضعیت خود را به عنوان مدیران اجرایی بهبود بخشند.

او می گوید: «قبلاً تمرکز این حرفه بسیار محدود بود و فقط باید جلوی اتفاقات بد را می گرفتیم. اکنون شرایط تغییر کرده است، نگرش ها تغییر کرده است و افراد بیشتری در صورت تمایل می توانند شغل خود را تغییر دهند.”

منبع: csoonline