رهبران امنیتی مسیرهای شغلی جدید پس از CISO را ترسیم میکنند
Mike Engle ابتدا به عنوان «مدیر ارشد امنیت اطلاعات» استخدام شد و در اوایل دهه 2000 میلادی نیز به سمت «معاون ارشد امنیت سازمانی و اطلاعات شرکت Lehman Brothers» نائل گردید.
Engle معتقد است که این مسیر حرفهای برای او بسیار مناسب بوده و به فناوریهای امنیتی مثل رمزنگاری و چالشهای عملیات امنیتی علاقمند است.
او میگوید: «هیجان ناشی از کنکاش برای دستیابی به راهی جهت پیشگیری از وقوع اتفاقات بد و مخاطرات امنیتی را دوست دارم. البته سایر جنبههای کار بهویژه وظایف مربوط به مسائل قانونی که پس از تصویب قانون ساربنز-آکسلی در سال 2002 میلادی شدت گرفتند چندان مورد علاقهام نیستند». براساس قانون ساربنز-آکسلی، مدیران ارشد شرکتهای عام آمریکا باید صحت اطلاعات مالی شرکت را تأیید کنند.
بنا به گفته Engle: «در حال حاضر با توجه به تشدید سطح مخاطرات امنیتی، بیش از 60 ساعت کار کردن در هفته برای مدیران امنیت سایبری امری عادی بوده و فشار کار این افراد همواره رو به افزایش است».
Engle نیز با توجه به فشار کاری شدید و حجم کار گسترده و بیپایان، سمت خود را به کارآفرینی تغییر داد. او ابتدا کارش را در شرکتی که در زمینه فناوریهای ردیابی فعالیت دارد شروع نموده و پس از مدتی سازمانهای Bastille Networks و 1Kosmos را تأسیس کرد. در حال حاضر Engle به عنوان مدیر برنامهریزی استراتژیک در این شرکتها فعالیت داشته و مدیریت شرکت 1414 Ventures را هم برعهده دارد.
Engle معتقد است که تخصص امنیت سایبری و تجربیات اجرایی او در موفقیتش نقش داشتهاند اما چالشهای تشکیل استارتاپ را ترجیح میدهد. او میگوید: «تحت هیچ شرایطی تمایل به فعالیت دوباره به عنوان مدیر ارشد امنیت اطلاعات را ندارم».
مسیر مدیران ارشد امنیت اطلاعات، پس از ترک این حوزه
شاید مسیر حرفهای Engle برای کارشناسان امنیت سازمانی چندان متداول نباشد ولی کارشناسان امنیت سایبری معتقدند که بسیاری از مدیران ارشد امنیت اطلاعات ، شغل خود را به عنوان یک ایستگاه در بین راهی برای رسیدن به جایگاههای دیگر دانسته و در نهایت تصمیم به پیمودن مسیرهای حرفهای متفاوت میگیرند. البته همچنان بسیاری از کارشناسان امنیت اطلاعات تمایل به ادامه همین مسیر و دستیابی به سمت مدیر ارشد امنیت اطلاعات شرکت خود و سپس سازمانهای بزرگتر دارند.
Matt Aiello، مدیر امنیت سایبری جهانی شرکت Heidrick & Struggles میگوید: «مسیر حرفهای کارشناسان امنیت سایبری در حال تغییر است. اگرچه سمت مدیر ارشد امنیت اطلاعات برای بسیاری از افراد به عنوان آخرین حوزه کاری محسوب میشود اما بسیاری از کارشناسان این شغل را مقدمه شروع یک مسیر متفاوت میدانند».
براساس گزارش نظرسنجی که توسط Heidrick & Struggles در سال 2021 میلادی در بین مدیران ارشد امنیت اطلاعات در سطح جهان برگذار شد، سمت مدیر ارشد امنیت اطلاعات یک حوزه کاری اداری نسبتاً جدید است (در بسیاری از منابع، شروع این حرفه اواسط دهه 90 میلادی ذکر شده و Steve Katz اولین فردی است که این عنوان را کسب کرد). پیشرفت در این حوزه همچنان کار چندان آسانی نیست.
نتایج نظرسنجی بالا به شرح زیر است:
- 47 درصد از شرکتکنندگان در نظرسنجی اعلام کردهاند که قصد دارند جزو اعضای هیئت مدیره شوند؛
- 44 درصد از این افراد ترجیح میدهند که در همان سمت مدیر ارشد امنیت (که شامل امنیت اطلاعات و همچنین امنیت فیزیکی میشود) باقی بمانند؛
- 16 درصد گفتند که تمایل به ادامه فعالیت به عنوان مدیر ارشد ریسک دارند؛
- 12 درصد اعلام کردند که به سمت مدیر ارشد اطلاعات علاقه دارند؛
- 8 درصد قصد تغییر سمت خود به شغل مدیر سرمایهگذاری خصوصی دارند؛
- 3 درصد تمایل دارند که مدیرعامل شرکت شوند؛
- 2 درصد حوزه کاری توسعهدهنده ابزارهای جدید در یک شرکت امنیتی را انتخاب کردهاند.
پاسخ 5 درصد از این افراد «غیره» بود و 3 درصد هم اعلام کردند که ترجیح میدهند در حال حاضر پاسخ نداده و به آینده فکر نکنند. فقط حدود 9 درصد تمایل به اتمام کار فعلی خود تا بازنشستگی داشتند.
در نهایت نویسندگان این مطالعه نتیجه گرفتند که اگرچه حرکت بعدی مدیران ارشد امنیت اطلاعات به صورت قطعی مشخص نیست ولی بسیاری از این افراد شغل و کارشان را تغییر میدهند.
مسیری رو به تکامل
محققان امنیتی میگویند: «تاریخچه این شغل در محدودیت گزینههای پیش روی مدیران ارشد امنیت اطلاعات بیتأثیر نیست». آنها معتقدند که از گذشته تا کنون مدیران ارشد امنیت اطلاعات تحت عنوان مدیر ارشد اطلاعات که همواره زیرمجموعه سایر مشاغل مدیریت ارشد بوده کار میکردند. از طرفی این افراد متخصصین خبرهای در حوزه فناوری هستند ولی دانش چندان زیادی در زمینه مدیریت ندارند. در نتیجه، شرکتی مثل Corporate America، مدیر ارشد امنیت اطلاعات را برای سایر سمتهای مدیریتی ارشد، عضویت در هیئت مدیره و سایر انتصابات مشابه سطح بالا مناسب نمیداند.
البته براساس گفته مدیران حوزه امنیت: «با رشد و توسعه این حوزه و تبدیل آن به یکی از دغدغههای سطح مدیریت و مسئلهای مرتبط با منافع مشتریان و امنیت ملی، شغل مدیر ارشد امنیت اطلاعات همواره مهمتر، برجستهتر و سنگینتر میشود». بنابراین مدیران امنیت سایبری باید مجموعهای از مهارتهای مختلف را کسب کنند. این موضوع به نوبه خود فرصتهای شغلی بیشتری برای آنها فراهم مینماید.
Gregory J. Touhill مدیر بخش CERT مؤسسه مهندسی نرمافزار در دانشگاه کارنگی ملون میگوید: «طی سه تا پنج سال اخیر و با توجه به رشد و تکامل این حرفه و بهبود قابل ملاحظه درک هیئت مدیره نسبت به جایگاه شغلی مدیر ارشد امنیت اطلاعات، مسیرهای کاری جدیدی در این حوزه ایجاد شدهاند».
او میگوید: «از آنجا که امنیت سایبری جزو اولویتهای مهم مدیران سازمانها محسوب میشود، شاهد افزایش توجه به استعدادها و قابلیتهای مدیران ارشد امنیت اطلاعات و صرف بودجه در این حوزه هستیم. بنابراین تواناییهای مدیران ارشد امنیت اطلاعات بسیار فراتر از حوزه فناوری بوده و مدیریت عملیاتی را هم شامل میشود».
تأثیرگذاری
Touhill که در گذشته مدیر ارشد امنیت اطلاعات بوده و به عنوان اولین مدیر ارشد امنیت اطلاعات دولت آمریکا توسط اوباما انتخاب شد دیدگاه خاصی نسبت به این تغییر دارد. او میگوید: «پیدا کردن حوزههایی که میتوانم در آنها تأثیرگذار باشم و فعالیت در این حوزهها از جمله دلایل انتخاب این مسیر شغلی برای من بوده است».
بنا به گفته Engle: «یک مدیر ارشد امنیت اطلاعات وظیفه ارایه خدمات را بر عهده داشته و باید امنیت مشتریان را حفظ کند. در این جایگاه باید یک توانمندساز و همچنین محافظ باشید. من از یافتن راهی جهت تبدیل امنیت به یک امر توانمندساز برای مشاغل بسیار لذت میبرم».
همچنین بنا به گفته چندین منبع مختلف: «همین مسئله باعث شده که مدیران ارشد امنیت اطلاعات به سایر مشاغل جذب شوند».
حرکت به مسیر خارج یا رو به بالا؟
بنا به گفته Aiello: «مدیران ارشد امنیت اطلاعات معمولاً در پی خروج از این حرفه و فعالیت در حوزههای مدیریتی و همچنین عضویت در هیئت مشاوران استارتاپها و شرکتهای ارایهدهنده راهکارهای امنیتی هستند».
Simon Hodgkinson نیز چنین مسیری را در پیش گرفت.
Hodgkinson مراحل مختلف حرفه امنیت و فناوری اطلاعات را طی کرد تا مدیر ارشد امنیت اطلاعات شرکت BP شده و از سال 2017 تا 2020 در این سمت باقی ماند. در حال حاضر وی در چندین سازمان از جمله RangeForce، Reliance acsn، Semperis و Zscaler نقش مدیریتی و همچنین مشاورهای دارد.
او معتقد است که شغل مدیریت ارشد امنیت اطلاعات باعث ایجاد آمادگی در وی برای جایگاه شغلی امروزی او شده است.
بنا به گفته او: «مدیریت ارشد امنیت اطلاعات در شرکت BP امکان همکاری نزدیک با مدیران اجرایی و هیئت مدیره را برای من فراهم نموده و این فرصت را به من داد تا پیامدهای استراتژیک امنیت، تأثیر تحول دیجیتال بر این مسئله و اهمیت مدیریت صحیح و مناسب امنیت سایبری را درک کنم. این تجربیات برای وظایف مدیریتی/مشاورهای من هم بسیار ارزشمند بودند». او میگوید: «میتواند اطلاعات ارزشمندی را که در اثر چنین تجربهای کسب کرده در اختیار شرکتها بگذارد».
بنا به گفته Aiello: «مدیران ارشد امنیت اطلاعات معمولاً به سمت شغلهای مشاوره و سرمایهگذاری خطرپذیر که فرصتهای درآمدزدایی را ایجاد میکنند جذب میشوند».
همچنین براساس آمار و نتایج تحقیقات، بسیاری از مدیران ارشد امنیت اطلاعات در جایگاههای شغلی مدیر ارشد ریسک، مدیر ارشد اعتماد و همچنین مدیر ارشد محصولات در شرکتهای ارایهدهنده محصولات امنیتی مشغول به فعالیت میشوند.
Touhill میگوید: «مدیران ارشد امنیت اطلاعات فرصت خوبی برای نقشآفرینی در سمتهای مدیریتی جدید و نوظهور دارند. این حوزههای مدیریتی جدید بر تمام حوزههای امنیت – سایبری، فیزیکی و همچنین بخش مرتبط با پرسنل نظارت دارند».
پیگیری علایق
پس از اینکه Dawn Cappelli از سمت مدیریت ارشد امنیت اطلاعات شرکت Rockwell Automation کنارهگیری کرد به این نتیجه رسید که آمادگی خروج از خط مقدم را داشته و میتواند از مسئولیتهای بیشمار یک مدیر ارشد امنیت اطلاعات فاصله بگیرد.
او میگوید: «ابتدا تصمیم به بازنشستگی گرفتم اما متقاعد شدم که میتوانم در جایگاه شغلی که متناسب با اهداف و خواستههایم است فعالیت کنم».
Cappelli میگوید: «اگرچه فعالیت در حوزههای مربوط به امنیت سایبری جزو علائق اصلی من محسوب میشود اما با توجه به حجم کار گسترده و بیپایان و افزایش مخاطرات سایبری ترجیح میدهم که یک شغل مدیریتی پارهوقت را به عنوان حرفه اصلیام در دوره بازنشستگی انتخاب کنم».
بنا به گفته Cappelli: «این شغل کاملاً با علایق من همخوانی داشت». در حال حاضر وی مسئول راهاندازی یک مرکز منابع اجتماعی برای مالکان و متصدیان داراییها شده و معقتد است که در این حرفه میتواند برای جامعه مفید باشد.
Aiello میگوید: «بسیاری از مدیران ارشد و اجرایی امنیتی برای دوره بازنشستگی خود درباره شغلشان تجدیدنظر میکنند».
پیدا کردن مناسبترین گزینه
براساس گفته Aiello و سایرین: «همه مدیران امنیت، مهارتهای رهبری مورد نیاز برای سایر سمتها را کسب نمیکنند. البته بسیاری از این افراد فقط علاقمند به فعالیت در حوزه امنیت سایبری بوده و تمایلی به تغییر جایگاه شغلی خود ندارند».
Touhill میگوید: «من معتقد نیستم که شغل مدیریت ارشد امنیت اطلاعات، نقطه اوج است اما اگر فردی به این حرفه علاقه دارد، نباید حوزه کاری خود را تغییر دهد».
او میگوید: «هر مدیر ارشد امنیت اطلاعات مایل نیست که مدیرعامل یا مدیر ارشد عملیات شود. آنچه که مهم است دستیابی به جایگاه مناسب در یک تیم مناسب و با رسالت مناسب است».
Scott King که پیش از این به عنوان مدیر ارشد امنیت اطلاعات در شرکت Sempra Energy فعالیت داشت و سپس در سال 2017 در سمت مدیر ارشد خدمات امنیت سایبری شرکت Rapid7 مشغول به کار شد در مصاحبههای خود چنین گفته که این جابجایی صرفاً جهت آشنایی با شیوههای درآمدزایی شرکت انجام شده است.
او میگوید: «میخواستم یاد بگیرم که یک کسبوکار چگونه اداره میشود. مایل بودم که اطلاعاتی درباره مسائلی مثل سود و زیان شرکت کسب کنم. چنین کارهایی برای من جذابیت زیادی دارند».
وی در آینده دوباره به عنوان مدیر ارشد امنیت اطلاعات در یک شرکت Encore Capital Group مشغول به فعالیت شد.
King میگوید: «به حد کافی درباره مسائلی مثل سود و زیان اطلاعات کسب کردم و تصمیم گرفتم دوباره به همان سمت قبلی برگردم و آنچه یاد گرفته بودم را به کار بگیرم. از این رو دوباره مدیریت ارشد امنیت اطلاعات را انتخاب کردم».
بنا به گفته King: « تغییر شغل همواره برای مدیر ارشد امنیت اطلاعات راحت نیست اما معتقد است که در حال حاضر این کار نسبت به قبل راحتتر انجام میشود. امروزه فرصتهای بیشتری در اختیار کارشناسان امنیت قرار گرفته است. آنها میتوانند به صورت همزمان اعتبار و جایگاه خودشان را به عنوان مدیر اجرایی ارتقا دهند».
او میگوید: «پیش از این تمرکز بر روی این حرفه به شدت محدود بود و فقط باید از وقوع اتفاقات بد جلوگیری میکردیم. در حال حاضر شرایط تغییر کرده، دیدگاهها عوض شده و افراد بیشتری میتوانند در صورت تمایل تغییر شغل دهند».
منبع: csoonline