招聘安全主管时的“三不要”和“五应该”

作为高管层安全猎头,每周都要花大量时间在2件事情上:与CISO或即将成为CISO的人商谈,以及为想要招募安全主管的公司提供顾问咨询。

QQ截图20180815111847

招募安全主管的公司企业分为三类:第一类,知道自身风险承受力并对自身安全项目有着明确预期的;第二类,认为自己知道但仍有点不确定,因而需要面试不同层次的应聘者才能做出决定的;第三类,被数据泄露的新闻报道吓到,虽不清楚自身需求,但知道自己应尽快搞清所需的企业。这三类企业都有机会找到合适的安全主管。

如果你的公司也正在招募安全主管,那首先得确定自身属于上述哪一类潜在雇主。然后再考虑下列注意事项。

三个不要

1. 不要列出全功能安全项目所需的全部技能并塞到职位描述中去

考虑清楚你公司当前的安全态势和风险承受力。美国新思科技公司日前发布了一份CISO报告,对CISO“部落”进行了一番有趣的探索。你的公司将安全视为公司业务促进者还是单纯的技术、合规或烧钱中心?不妨描绘一番自家公司在安全领域所处的位置以及想要到达的地方。只要描述到位,那些无意加入的安全主管在面试过程之前就会自动退出,省下你宝贵的时间。

2. 不要在招聘版上放出安全主管职位

首先,这会消耗你大量时间,因为你将收到400-500份简历(很多人觉得自己可以担任CISO一职。)其次,合适的候选人往往不会在求职版块闲晃。安全主管一般忙碌而薪金丰厚。他们倾向于被动地接受新机会,甚至要被卖了才会去考虑别的。

3. 不要急于对薪水采取强硬态度

安全领导力市场可谓是最为自由的市场空间了。做好被要价吓到的准备,因为手握成功项目的安全主管大多会要求高薪。面试过程之后,你可能会发现,自己需要的是能够调整薪资预期的那些应聘者。

五个应该

1. 应该花时间仔细匹配所需的资格与职责

从具应用开发背景的资深技术人员,到具备合规专业知识的律师,安全主管的来源多种多样。招聘中应取得一定平衡,既不堵死公司吸纳人才的管道,也不漫无目的地广发英雄帖,什么人都拉来面试。SANS CISO 思维导图在这方面是个不错的资源,对考虑安全主管职责大有裨益。

2. 应该考虑清楚自己到底要保护什么

这将决定你的公司需要多少行业特定的安全知识。很多安全领导力和背景技能都是跨行业通用的,但有几个方面需要特别注意。IoT和供应链安全就是需要经验的特例。银行业和金融服务则是因为他们各自的监管规定而引人关注。因为监管首先落到金融服务业头上,所以此类安全背景可能便于移植到医疗行业的公司企业中。

3. 应该考察应聘者的持久力

安全项目的建立或重构是一项耗时4到6年的工作。如果是每两年就跳槽一次的安全主管,那可以直接放弃了。

4. 应该考虑你的公司文化

你想要的是年轻的安全能人还是被经验染上华发的老手?别小看这一点。如果不清楚自身文化偏好,人才搜索工作往往耗时良久,因为得把两种完全不同类型的候选人放到一起衡量,考察到底谁更适合自家公司。而只要确定了这一点,搜索工作就能快速推进了。

5. 应该准备另一套与之前完全不同的面试过程

安全不是会计,风险高,责任也大。而且不仅仅是对公司和客户而言,和公司所选安全主管的职业生涯也是如此。合适的候选人会向你抛出很多问题,而他/她看起来会对答案感到满意,或者至少对其履行职责所需的预算、时间和支持感到满意。安全主管天性谨慎。极少见到不摸清各种细节就冒险行事的安全主管。

无论公司安全状况和风险承受力如何,招聘安全主管都是一场冒险。招聘的最终目标是理清重点,快速鉴别出合适的候选人,然后组织一场有成效的面试。以上注意事项应该能帮助公司企业走上招聘安全主管的正轨。

CISO报告:

https://www.synopsys.com/software-integrity/resources/analyst-reports/ciso.html

上一篇:事件响应失败的4大原因剖析

下一篇:Deepfake:一款与核武器同样危险的软件工具