Советы по найму управленцев в сфере информационной безопасности

Автор: Chance Hoag

Я занимаюсь подбором управленческих кадров в сфере безопасности и большую часть своего рабочего времени делаю две вещи: общаюсь с руководителями отделов по информационной безопасности (CISO) или желающими таковыми стать и консультирую компании, которые находятся в поиске подобных специалистов.

Исходя из моего опыта, компании, ищущие управленцев по информационной безопасности, подразделяются на три категории. К первой категории относятся фирмы, которые понимают границы допустимости рисков и имеют четкое представление о том, какие задачи должна решать программа по обеспечению безопасности. Ко второй категории относятся компании, которые в целом понимают, но не до конца уверены в своих потребностях, и хотят пообщаться с разными кандидатами, чтобы прояснить свои цели. К последней категории относятся компании, которые обеспокоены современными трендами в сфере информационной безопасности, плохо понимают свои цели и хотят, как можно скорее, наметить план действий.

Если вы находитесь в поиске CISO, определите, к какой категории вы относитесь, и проработайте стратегию поиска на основе тех советов, которые будут даны дальше.

Что делать не рекомендуется

Не пытайтесь перечислить и вывалить в описание вакансии все навыки и области компетенции потенциальных кандидатов, которые требуются для вашей программы по обеспечению безопасности. Подумайте о средствах, необходимых для обеспечения безопасности, и границы допустимости рисков. Недавно был выпущен любопытный отчет, где рассматриваются различные роли CISO:

1. Реализаторы (Enabler) работают в компаниях, понимающих важность безопасности на самом верху (уровень совета директоров). По сути, безопасность является частью бизнеса. Реализаторы обладают самыми широкими управленческими полномочиями и авторитетом и часто являются заместителями руководителей.

2. Технологи (Technology) работают в компаниях, которые также придерживаются высоких стандартов безопасности, но не обладают столь высокими авторитетом как реализаторы.

3. Стандартизаторы (Compliance) работают в компаниях, где безопасность не является частью корпоративной миссии. Главная задача подобных специалистов – контроль за формальным соответствием стандартам.

4. Учетчики затрат (Cost Center) работают в компаниях, в которых выделяется недостаточное количество средств на программы по внедрению мер безопасности.

Определитесь с корпоративным видением вашей компании относительно информационной безопасности и в каком качестве вы хотите видеть потенциального кандидата. Далее уже можно составить описание вакансии для конкретной целевой группы, чтобы не тратить время на неподходящих специалистов.

Не размещайте вакансии на досках объявлений. Во-первых, вы просто потеряете время на изучение сотен резюме от людей, многие из которых думают, что могут работать CISO. Во-вторых, нужные вам кандидаты навряд ли заходят на доски объявлений. Хорошие специалисты как правило много зарабатывают, сильно заняты и очень неохотно отзываются на новые предложения.

Не выставляйте жесткие рамки по зарплате. Приготовьтесь к тому, что грамотные управленцы с хорошим опытом работы внедрения успешных программ в сфере безопасности, запросят приличную денежную компенсацию. После интервью, если кандидат вам подходит, возможно вам придется выйти за рамки бюджета в большую сторону.

Что делать рекомендуется

Потратьте время на составление перечня компетенций и сфер ответственности. Информационная безопасность – очень широкая область, начиная от специалистов с глубоким техническим бэкграундом и заканчивая юристами, специализирующимися на экспертизе. Ваша задача – сделать так, чтобы, с одной стороны, требования были не слишком завышенными, а с другой – к вам на собеседование не приходили все подряд. SANS CISO Mindmap – прекрасный документ, используемый мной ежедневно, который помогает составить перечень адекватных требований к потенциальным кандидатом.

Оцените сферы, в которых вы хотите внедрить программу безопасности, и насколько специфический специалист вам необходим. Несмотря на то, что многие компетенции и навыки можно адаптировать под разные нужды, существуют специфические области, как, например, безопасность IoT-устройств и логистических цепей, требующие соответствующего опыта. С другой стороны, опыт работы с регламентами в банковских и финансовых сферах может пригодиться при работе в фармацевтических компаниях.

Оцените, насколько часто кандидат меняет место работы. Обычно, программа безопасности внедряется в течение 4-6 лет. Если потенциальный кандидат меняет компанию каждые два года, возможно, вам не подойдет этот специалист.

Постарайтесь как можно точнее очертить корпоративные ценности вашей компании. Вы хотите нанять молодого работоспособного специалиста или опытного управленца с легкой сединой на голове? Этот вопрос очень важен. Если компания плохо формализовала критерии поиска, потребуется больше времени на понимание того, какой специалист подойдет лучше. Как только цели прояснятся, поиск нужного кандидата пойдет намного бодрее.

Проработайте процедуру интервью потенциальных кандидатов. Помните о том, что в случае с наймом специалиста по безопасности, по сравнения, например, с бухгалтером, ставки намного выше, как и ответственность за ваших клиентов и карьеру выбранного кандидата. Правильный кандидат будет задавать вам вопросы и оценивать, насколько адекватны ваши ожидания, или, по крайней мере, поинтересуется бюджетом и сроками, запланированными для реализации нужных задач. Управленцы в сфере безопасности по своей натуре очень осторожны. Я знаю очень мало кандидатов, желающих сесть за штурвал самолета без выяснения всех подробностей.

Найм лидера в области информационной безопасности может стать серьезным испытанием в зависимости от статуса вашей компании, вашего отношения к этой сфере и границ допустимых рисков. Главная цель – упорядочить хаос на как можно более ранней стадии, быстро найти нужных кандидатов и проработать процедуру интервью. Надеюсь, что советы выше помогут вам решить эту непростую задачу.