作为高管安全猎头,每周花很多时间在两件事上:和CISO或即将成为CISO为想要 *** 安全主管的公司提供管的公司提供咨询。
*** 安全主管的公司分为三类:***类,了解自己的风险承受能力,对自己的安全项目有明确的期望;第二类,认为他们知道但仍有点不确定,所以他们需要面试不同层次的候选人来做出决定;第三类被数据泄露的新闻报道吓坏了。虽然他们不知道自己的需求,但他们知道他们应该尽快找到所需的企业。这三类企业都有机会找到合适的安全主管。
如果你的公司也在 *** 安全主管,你必须首先确定你属于哪种潜在雇主。然后考虑以下预防措施。
三个不要
1. 不要列出全功能安全项目所需的所有技能,并将其插入职位描述
考虑到你公司目前的安全状况和风险承受能力。美国新思科技公司最近发布了一份声明CISO报告,对CISO“部落”进行了有趣的探索。您的公司是否将安全视为业务推广者或简单的技术、合规或烧钱中心?你不妨描述一下你的公司在安全领域的地位和你想到达的地方。只要描述到位,无意加入的安全主管会在面试前自动退出,节省宝贵时间。
2. 不要在 *** 版上发布安全主管职位
首先,它会消耗你很多时间,因为你会收到它400-500简历(很多人认为自己可以做简历(很多人认为自己可以做简历)CISO一个职位。)其次,合适的候选人往往不会在求职部分闲逛。安全主管通常很忙,薪水也很高。他们倾向于被动地接受新的机会,甚至在考虑其他事情之前被出售。
3. 不要急于对薪水采取强硬态度
安全领导市场是最自由的市场空间。准备被要价吓坏,因为大多数拥有成功项目的安全主管都要求高薪。面试结束后,你可能会发现你需要的是那些能够调整工资预期的候选人。
五个应该
1. 应花时间仔细匹配所需的资格和职责
从具有应用开发背景的高级技术人员到具有合规专业知识的律师,安全主管的来源多种多样。在 *** 过程中,我们应该达到一定的平衡,既不堵塞公司吸引人才的管道,也不漫无目的地发布英雄帖子,每个人都会带来面试。SANS CISO 思维导图是这方面的好资源,对考虑安全主管职责大有裨益。
2. 我们应该考虑我们应该保护什么
这将决定你的公司在行业中需要多少具体的安全知识。许多安全领导和背景技能在跨行业中很常见,但有几个方面需要特别注意。IoT供应链安全是一个需要经验的例子。银行业和金融服务因其各自的监管规定而备受关注。由于监管首先落在金融服务业,这种安全背景可能很容易移植到医疗行业的公司。
3. 应考察申请人的持久性
建立或重建安全项目需要4到6年的时间。如果是每两年跳槽一次的安全主管,可以直接放弃。
4. 你应该考虑你的公司文化
你想要的是一个年轻的安全能人,还是一个被经验染成华发的老手?不要低估这一点。如果你不知道自己的文化偏好,人才搜索往往需要很长时间,因为你必须把两种完全不同类型的候选人放在一起来衡量谁更适合你的公司。只要确定了这一点,搜索工作就可以迅速推进。
5.另一套完全不同于以前的面试过程
安全不是会计,风险高,责任大。不仅对公司和客户,也对公司选择的安全总监的职业生涯。合适的候选人会问你很多问题,他/她似乎对答案感到满意,或者至少对他们履行职责所需的预算、时间和支持感到满意。安全总监天生谨慎。很少有安全总监不知道各种细节就冒险。
无论公司的安全状况和风险承受能力如何, *** 安全主管都是一种冒险。 *** 的最终目标是澄清重点,快速识别合适的候选人,然后组织有效的面试。上述预防措施应帮助公司走上 *** 安全主管的正确轨道。
CISO报告:
https://www.synopsys.com/software-integrity/resources/ *** yst-reports/ciso.html
【本文是51CTO专栏作者“”李少鹏“”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。