مقالات

رهبران امنیتی مسیرهای شغلی جدید پس از CISO را ترسیم می‌کنند

Mike Engle ابتدا به عنوان «مدیر ارشد امنیت اطلاعات» استخدام شد و در اوایل دهه ۲۰۰۰ میلادی نیز به سمت «معاون ارشد امنیت سازمانی و اطلاعات شرکت Lehman Brothers» نائل گردید.

Engle معتقد است که این مسیر حرفه‌ای برای او بسیار مناسب بوده و به فناوری‌های امنیتی مثل رمزنگاری و چالش‌های عملیات امنیتی علاقمند است.

او می‌گوید: «هیجان ناشی از کنکاش برای دستیابی به راهی جهت پیشگیری از وقوع اتفاقات بد و مخاطرات امنیتی را دوست دارم. البته سایر جنبه‌های کار به‌ویژه وظایف مربوط به مسائل قانونی که پس از تصویب قانون ساربنز-آکسلی در سال ۲۰۰۲ میلادی شدت گرفتند چندان مورد علاقه‌ام نیستند». براساس قانون ساربنز-آکسلی، مدیران ارشد شرکت‌های عام آمریکا باید صحت اطلاعات مالی شرکت را تأیید کنند.

بنا به گفته Engle: «در حال حاضر با توجه به تشدید سطح مخاطرات امنیتی، بیش از ۶۰ ساعت کار کردن در هفته برای مدیران امنیت سایبری امری عادی بوده و فشار کار این افراد همواره رو به افزایش است».

Engle نیز با توجه به فشار کاری شدید و حجم کار گسترده و بی‌پایان، سمت خود را به کارآفرینی تغییر داد. او ابتدا کارش را در شرکتی که در زمینه فناوری‌های ردیابی فعالیت دارد شروع نموده و پس از مدتی سازمان‌های Bastille Networks و ۱Kosmos را تأسیس کرد. در حال حاضر Engle به عنوان مدیر برنامه‌ریزی استراتژیک در این شرکت‌ها فعالیت داشته و مدیریت شرکت ۱۴۱۴ Ventures را هم برعهده دارد.

Engle معتقد است که تخصص امنیت سایبری و تجربیات اجرایی او در موفقیتش نقش داشته‌اند اما چالش‌های تشکیل استارتاپ را ترجیح می‌دهد. او می‌گوید: «تحت هیچ شرایطی تمایل به فعالیت دوباره به عنوان مدیر ارشد امنیت اطلاعات را ندارم».

مدیر امنیت سایبری

مسیر مدیران ارشد امنیت اطلاعات، پس از ترک این حوزه

شاید مسیر حرفه‌ای Engle برای کارشناسان امنیت سازمانی چندان متداول نباشد ولی کارشناسان امنیت سایبری معتقدند که بسیاری از مدیران ارشد امنیت اطلاعات ، شغل خود را به عنوان یک ایستگاه در بین راهی برای رسیدن به جایگاه‌های دیگر دانسته و در نهایت تصمیم به پیمودن مسیرهای حرفه‌ای متفاوت می‌گیرند. البته همچنان بسیاری از کارشناسان امنیت اطلاعات تمایل به ادامه همین مسیر و دستیابی به سمت مدیر ارشد امنیت اطلاعات شرکت خود و سپس سازمان‌های بزرگ‌تر دارند.

Matt Aiello، مدیر امنیت سایبری جهانی شرکت Heidrick & Struggles می‌گوید: «مسیر حرفه‌ای کارشناسان امنیت سایبری در حال تغییر است. اگرچه سمت مدیر ارشد امنیت اطلاعات برای بسیاری از افراد به عنوان آخرین حوزه کاری محسوب می‌شود اما بسیاری از کارشناسان این شغل را مقدمه شروع یک مسیر متفاوت می‌دانند».

براساس گزارش نظرسنجی که توسط Heidrick & Struggles در سال ۲۰۲۱ میلادی در بین مدیران ارشد امنیت اطلاعات در سطح جهان برگذار شد، سمت مدیر ارشد امنیت اطلاعات یک حوزه کاری اداری نسبتاً جدید است (در بسیاری از منابع، شروع این حرفه اواسط دهه ۹۰ میلادی ذکر شده و Steve Katz اولین فردی است که این عنوان را کسب کرد).  پیشرفت در این حوزه همچنان کار چندان آسانی نیست.

نتایج نظرسنجی بالا به شرح زیر است:

  • ۴۷ درصد از شرکت‌کنندگان در نظرسنجی اعلام کرده‌اند که قصد دارند جزو اعضای هیئت مدیره شوند؛
  • ۴۴ درصد از این افراد ترجیح می‌دهند که در همان سمت مدیر ارشد امنیت (که شامل امنیت اطلاعات و همچنین امنیت فیزیکی می‌شود) باقی بمانند؛
  • ۱۶ درصد گفتند که تمایل به ادامه فعالیت به عنوان مدیر ارشد ریسک دارند؛
  • ۱۲ درصد اعلام کردند که به سمت مدیر ارشد اطلاعات علاقه دارند؛
  • ۸ درصد قصد تغییر سمت خود به شغل مدیر سرمایه‌گذاری خصوصی دارند؛
  • ۳ درصد تمایل دارند که مدیرعامل شرکت شوند؛
  • ۲ درصد حوزه کاری توسعه‌دهنده ابزارهای جدید در یک شرکت امنیتی را انتخاب کرده‌اند.

پاسخ ۵ درصد از این افراد «غیره» بود و ۳ درصد هم اعلام کردند که ترجیح می‌دهند در حال حاضر پاسخ نداده و به آینده فکر نکنند. فقط حدود ۹ درصد تمایل به اتمام کار فعلی خود تا بازنشستگی داشتند.

در نهایت نویسندگان این مطالعه نتیجه گرفتند که اگرچه حرکت بعدی مدیران ارشد امنیت اطلاعات به صورت قطعی مشخص نیست ولی بسیاری از این افراد شغل و کارشان را تغییر می‌دهند.

کارشناسان امنیت سایبری

مسیری رو به تکامل

محققان امنیتی می‌گویند: «تاریخچه این شغل در محدودیت گزینه‌های پیش روی مدیران ارشد امنیت اطلاعات بی‌تأثیر نیست». آنها معتقدند که از گذشته تا کنون مدیران ارشد امنیت اطلاعات تحت عنوان مدیر ارشد اطلاعات که همواره زیرمجموعه سایر مشاغل مدیریت ارشد بوده کار می‌کردند. از طرفی این افراد متخصصین خبره‌ای در حوزه فناوری هستند ولی دانش چندان زیادی در زمینه مدیریت ندارند. در نتیجه، شرکتی مثل Corporate America، مدیر ارشد امنیت اطلاعات را برای سایر سمت‌های مدیریتی ارشد، عضویت در هیئت مدیره و سایر انتصابات مشابه سطح بالا مناسب نمی‌داند.

البته براساس گفته مدیران حوزه امنیت: «با رشد و توسعه این حوزه و تبدیل آن به یکی از دغدغه‌های سطح مدیریت و مسئله‌ای مرتبط با منافع مشتریان و امنیت ملی، شغل مدیر ارشد امنیت اطلاعات همواره مهم‌تر، برجسته‌تر و سنگین‌تر می‌شود». بنابراین مدیران امنیت سایبری باید مجموعه‌ای از مهارت‌های مختلف را کسب کنند. این موضوع به نوبه خود فرصت‌های شغلی بیشتری برای آنها فراهم می‌نماید.

Gregory J. Touhill مدیر بخش CERT مؤسسه مهندسی نرم‌افزار در دانشگاه کارنگی ملون می‌گوید: «طی سه تا پنج سال اخیر و با توجه به رشد و تکامل این حرفه و بهبود قابل ملاحظه درک هیئت مدیره نسبت به جایگاه شغلی مدیر ارشد امنیت اطلاعات، مسیرهای کاری جدیدی در این حوزه ایجاد شده‌اند».

او می‌گوید: «از آنجا که امنیت سایبری جزو اولویت‌های مهم مدیران سازمان‌ها محسوب می‌شود، شاهد افزایش توجه به استعدادها و قابلیت‌های مدیران ارشد امنیت اطلاعات و صرف بودجه در این حوزه هستیم. بنابراین توانایی‌های مدیران ارشد امنیت اطلاعات بسیار فراتر از حوزه فناوری بوده و مدیریت عملیاتی را هم شامل می‌شود».

تأثیرگذاری

Touhill که در گذشته مدیر ارشد امنیت اطلاعات بوده و به عنوان اولین مدیر ارشد امنیت اطلاعات دولت آمریکا توسط اوباما انتخاب شد دیدگاه خاصی نسبت به این تغییر دارد. او می‌گوید: «پیدا کردن حوزه‌هایی که می‌توانم در آنها تأثیرگذار باشم و فعالیت در این حوزه‌ها از جمله دلایل انتخاب این مسیر شغلی برای من بوده است».

بنا به گفته Engle: «یک مدیر ارشد امنیت اطلاعات وظیفه ارایه خدمات را بر عهده داشته و باید امنیت مشتریان را حفظ کند. در این جایگاه باید یک توانمندساز و همچنین محافظ باشید. من از یافتن راهی جهت تبدیل امنیت به یک امر توانمندساز برای مشاغل بسیار لذت می‌برم».

همچنین بنا به گفته چندین منبع مختلف: «همین مسئله باعث شده که مدیران ارشد امنیت اطلاعات به سایر مشاغل جذب شوند».

مدیران ارشد امنیت اطلاعات

حرکت به مسیر خارج یا رو به بالا؟

بنا به گفته Aiello: «مدیران ارشد امنیت اطلاعات معمولاً در پی خروج از این حرفه و فعالیت در حوزه‌های مدیریتی و همچنین عضویت در هیئت مشاوران استارتاپ‌ها و شرکت‌های ارایه‌دهنده راهکارهای امنیتی هستند».

Simon Hodgkinson نیز چنین مسیری را در پیش گرفت.

Hodgkinson مراحل مختلف حرفه امنیت و فناوری اطلاعات را طی کرد تا مدیر ارشد امنیت اطلاعات شرکت BP شده و از سال ۲۰۱۷ تا ۲۰۲۰ در این سمت باقی ماند. در حال حاضر وی در چندین سازمان از جمله RangeForce، Reliance acsn، Semperis و Zscaler نقش مدیریتی و همچنین مشاوره‌ای دارد.

او معتقد است که شغل مدیریت ارشد امنیت اطلاعات باعث ایجاد آمادگی در وی برای جایگاه شغلی امروزی او شده است.

بنا به گفته او: «مدیریت ارشد امنیت اطلاعات در شرکت BP امکان همکاری نزدیک با مدیران اجرایی و هیئت مدیره را برای من فراهم نموده و این فرصت را به من داد تا پیامدهای استراتژیک امنیت، تأثیر تحول دیجیتال بر این مسئله و اهمیت مدیریت صحیح و مناسب امنیت سایبری را درک کنم. این تجربیات برای وظایف مدیریتی/مشاوره‌ای من هم بسیار ارزشمند بودند». او می‌گوید: «می‌تواند اطلاعات ارزشمندی را که در اثر چنین تجربه‌ای کسب کرده در اختیار شرکت‌ها بگذارد».

بنا به گفته Aiello: «مدیران ارشد امنیت اطلاعات معمولاً به سمت شغل‌های مشاوره و سرمایه‌گذاری خطرپذیر که فرصت‌های درآمدزدایی را ایجاد می‌کنند جذب می‌شوند».

همچنین براساس آمار و نتایج تحقیقات، بسیاری از مدیران ارشد امنیت اطلاعات در جایگاه‌های شغلی مدیر ارشد ریسک، مدیر ارشد اعتماد و همچنین مدیر ارشد محصولات در شرکت‌های ارایه‌دهنده محصولات امنیتی مشغول به فعالیت می‌شوند.

Touhill می‌گوید: «مدیران ارشد امنیت اطلاعات فرصت خوبی برای نقش‌آفرینی در سمت‌های مدیریتی جدید و نوظهور دارند. این حوزه‌های مدیریتی جدید بر تمام حوزه‌های امنیت – سایبری، فیزیکی و همچنین بخش مرتبط با پرسنل نظارت دارند».

حرکت به مسیر خارج یا رو به بالا؟

پیگیری علایق

پس از اینکه Dawn Cappelli از سمت مدیریت ارشد امنیت اطلاعات شرکت Rockwell Automation کناره‌گیری کرد به این نتیجه رسید که آمادگی خروج از خط مقدم را داشته و ‌می‌تواند از مسئولیت‌های بی‌شمار یک مدیر ارشد امنیت اطلاعات فاصله بگیرد.

او می‌گوید: «ابتدا تصمیم به بازنشستگی گرفتم اما متقاعد شدم که می‌توانم در جایگاه شغلی که متناسب با اهداف و خواسته‌هایم است فعالیت کنم».

Cappelli می‌گوید: «اگرچه فعالیت در حوزه‌های مربوط به امنیت سایبری جزو علائق اصلی من محسوب می‌شود اما با توجه به حجم کار گسترده و بی‌پایان و افزایش مخاطرات سایبری ترجیح می‌دهم که یک شغل مدیریتی پاره‌وقت را به عنوان حرفه اصلی‌ام در دوره بازنشستگی انتخاب کنم».

بنا به گفته Cappelli: «این شغل کاملاً با علایق من همخوانی داشت». در حال حاضر وی مسئول راه‌اندازی یک مرکز منابع اجتماعی برای مالکان و متصدیان دارایی‌ها شده و معقتد است که در این حرفه می‌تواند برای جامعه مفید باشد.

Aiello می‌گوید: «بسیاری از مدیران ارشد و اجرایی امنیتی برای دوره بازنشستگی خود درباره شغل‌شان تجدیدنظر می‌کنند».

پیدا کردن مناسب‌ترین گزینه

براساس گفته Aiello و سایرین: «همه مدیران امنیت، مهارت‌های رهبری مورد نیاز برای سایر سمت‌ها را کسب نمی‌کنند.  البته بسیاری از این افراد فقط علاقمند به فعالیت در حوزه امنیت سایبری بوده و تمایلی به تغییر جایگاه شغلی خود ندارند».

Touhill می‌گوید: «من معتقد نیستم که شغل مدیریت ارشد امنیت اطلاعات، نقطه اوج است اما اگر فردی به این حرفه علاقه دارد، نباید حوزه کاری خود را تغییر دهد».

او می‌گوید: «هر مدیر ارشد امنیت اطلاعات مایل نیست که مدیرعامل یا مدیر ارشد عملیات شود. آنچه که مهم است دستیابی به جایگاه مناسب در یک تیم مناسب و با رسالت مناسب است».

Scott King که پیش از این به عنوان مدیر ارشد امنیت اطلاعات در شرکت Sempra Energy فعالیت داشت و سپس در سال ۲۰۱۷ در سمت مدیر ارشد خدمات امنیت سایبری شرکت Rapid7 مشغول به کار شد در مصاحبه‌های خود چنین گفته که این جابجایی صرفاً جهت آشنایی با شیوه‌های درآمدزایی شرکت انجام شده است.

او می‌گوید: «می‌خواستم یاد بگیرم که یک کسب‌وکار چگونه اداره می‌شود. مایل بودم که اطلاعاتی درباره مسائلی مثل سود و زیان شرکت کسب کنم. چنین کارهایی برای من جذابیت زیادی دارند».

وی در آینده دوباره به عنوان مدیر ارشد امنیت اطلاعات در یک شرکت Encore Capital Group مشغول به فعالیت شد.

King می‌گوید: «به حد کافی درباره مسائلی مثل سود و زیان اطلاعات کسب کردم و تصمیم گرفتم دوباره به همان سمت قبلی برگردم و آنچه یاد گرفته بودم را به کار بگیرم. از این رو دوباره مدیریت ارشد امنیت اطلاعات را انتخاب کردم».

بنا به گفته King: « تغییر شغل همواره برای مدیر ارشد امنیت اطلاعات راحت نیست اما معتقد است که در حال حاضر این کار نسبت به قبل راحت‌تر انجام می‌شود. امروزه فرصت‌های بیشتری در اختیار کارشناسان امنیت قرار گرفته است. آنها می‌توانند به صورت همزمان اعتبار و جایگاه خودشان را به عنوان مدیر اجرایی ارتقا دهند».

او می‌گوید: «پیش از این تمرکز بر روی این حرفه به شدت محدود بود و فقط باید از وقوع اتفاقات بد جلوگیری می‌کردیم. در حال حاضر شرایط تغییر کرده، دیدگاه‌ها عوض شده و افراد بیشتری می‌توانند در صورت تمایل تغییر شغل دهند».

منبع: csoonline

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
0