Как да намерите и наемете страхотен CISO

Вътрешните рекрутъри, CTO-тата и ръководителите навсякъде се питат: Как да намерят и наемат страхотен CISO, който да се присъедини към екипа им, и ако четете това - вероятно сте сред тях.

Изправени пред предизвикателството да нямат дузина налични CISO в мрежата си от приятели и познати, мнозина започват да публикуват обяви за работа навсякъде. Тук има няколко ключови въпроса:

1. Трябва ли да привличате вашия CISO от конкурент или да търсите в LinkedIn? Трябва ли да разчитате само на секцията за работни места на вашия уебсайт?
2. Как да намерите правилния CISO и да избегнете прекарването на месеци или години с грешния служител?
3. Каква е перфектната длъжностна характеристика за CISO за вашата компания?
4. Кои умения за киберсигурност са подходящи за CISO днес?
   
   В тази статия се опитваме да отговорим на всички тези въпроси и повече.

Препоръчваме ви, докато търсите - което може да отнеме от 2 до 6 месеца или повече, да опитате нашата Virtual CISO service. Нашите клиенти обикновено отменят търсенето си само след един месец с нас. И дори да не го направят - само за един месец бихме поставили основите на вашата програма за информационна сигурност и бихме започнали изпълнението й - нещо, което нов служител никога не може да постигне.

Трябва ли да привличате вашия CISO от конкурент или да търсите в LinkedIn?

Ако познавате добре човека и сте сигурни, че ще се справи по-добре при вас, отколкото при конкурента ви - тогава трябва да се опитате да го привлечете. If they know your line of business, they have already faced many of the same challenges in your industry, and during the interview process, you will find out how their skills and experience match your requirements. 

Публикуването на обявата в LinkedIn привлича хората, които активно търсят промяна - and those are rarely the ones who represent great candidates. Great candidates are usually constantly getting offers and are extremely busy, too busy to look for a job. There are *rare* exceptions to this rule when good people are chased away by politics or rough life situations. But such exceptions prove the rule. 

При този избор привличането на добър CISO е по-добро от публикуването на обява за работа в LinkedIn. And no, you shouldn't rely on your website only. Good candidates are unlikely to visit your website, let alone land at your jobs section, unless they are novices and start their careers. 

Как да намерите правилния CISO и да избегнете прекарването на месеци или години с грешния служител?

It is a little like a dating game, except here you might face millions in losses or your whole company going under after a massive security breach. The risk is just too high to rely on resumes and ticking boxes in a list of 'features.' 

За да знаете как да намерите правилния CISO, трябва да отговорите на няколко въпроса. 

Каква е вашата цел за следващите една или две години?

Is your IT in desperate need of security, or are your governance procedures behind it? Or are you under pressure to get certified for ISO 27001, PCI/DSS, or HIPAA? 

С други думи, трябва ли да се фокусирате върху съответствие или практически, технически мерки за защита? 

If you need to focus on compliance, as sometimes business, sales, and marketing depend on that, look for someone with a compliance or auditing background. 

If your main concern is fending off hackers and preventing a breach, then definitely look for a techie who is not afraid to get their hands dirty, regardless of how big your company is. 

Finding the right one: avoid common HR pitfalls and avoid going through thousands of resumes. Instead, visit the https://www.reddit.com/r/netsec/ channel on Reddit, where you will always find the latest Infosec hiring thread. Then visit popular Slack and Telegram channels, where the great security folks like to hang out (google is your friend, we won't list them all here). 

Каква е перфектната длъжностна характеристика за CISO за вашата компания?

Do yourself a favor and don't copy somebody else's job description for your future CISO. Everything about your company is unique, and even small details can make or break the match. 

Седнете с вашия ИТ екип и с ръководството си и внимателно дефинирайте проблемите, които вашата компания се опитва да реши. Then base the CISO job description on that. 

Има няколко ключови точки за длъжностната характеристика на CISO, които трябва да включите:

• If you use cloud services or if you host cloud services for others, include: "Experience in creating defenses for cloud services hosted in AWS/Google/Microsoft 365. You must know your way around (name your cloud vendor here)'s security settings and have experience in preventing and responding to security incidents in that environment". 
• If you have mostly on-premise infrastructure, demand technical skills, even if they worked in engineering many years ago. "Knowledge in detecting adversaries in Linux and Windows environments, establishing security monitoring to detect adversaries." 
• Always include "Threathunting experience" in the job description regardless of how big your company is. Why? Because this keyword differentiates people who spent their life in Excel and Outlook and have no idea how attacks happen in the real world from the real security pros. 

Какво да кажем за изискванията за работата? Трябва ли да изисквате университетска степен?

It depends. Would hackers care if your CISO had a university degree? Does a university degree help in building defenses against threats that did not exist just 3 months ago? We doubt 99% of university professors have relevant knowledge on current attacks at a level good enough to teach, and your ideal CISO is not a fresh graduate. 

Large companies like Google and PwC stopped requiring university degrees from their best hires. The higher education systems have proven time and time again that they can't produce adequate professionals for the cyber world.

Кои умения за киберсигурност са подходящи за CISO днес?

Дипломацията е вероятно най-пренебрегваното умение за CISO. Managing the pressure between multiple teams working on multiple projects is a skill acquired in battle. You should definitely include questions designed to discover how good is the candidate at diplomacy and people skills. Maybe challenge them a little? See how they respond to aggression or pressure, within limits, of course. 

When talking about cybersecurity skills, if you don't plan on having a large security team and your CISO is supposed to do all the work, focus on their technical skills. They should handle and analyze malware and malicious documents, analyze large amounts of logs, make sense of them, harden various operating systems, and know what DISA STIGs are all about. 

Actually, that last part: DISA STIG is key. If your candidate doesn't know what that means, kick them out immediately and not look back. 

If you have been trying to hire a great CISO for the past year and cannot find the right candidate, maybe it is time to try an alternative for a month or two.

Ask our team for a short meeting to discuss our Virtual CISO offer - and perhaps we could serve you better and longer than a full-time CISO hire would.

Средната продължителност на работа на CISO в компания е между 6 месеца и 2 години. They often get headhunted by recruiters for a 10% salary increase or better health benefits - and companies have to start the search from zero every time, paying recruiters, interviewing dozens of candidates. You know very well how painful the search process is every time. We can save you from that pain.