サイバーセキュリティ業界における職位のインフレーションは、組織に具体的なリスクをもたらし、特に経営幹部レベルにおいてセキュリティリーダーの長期的キャリア形成を歪める可能性があります。ここでは、ラベルよりも成果、ガバナンス、信頼性がより重要になります。
シニアレベルのIT専門家を採用する人事採用担当者は、真に熟練した経験豊富なCSO人材は、すべてのIT職の中でも最も配置困難な職種の一つであると言います。その理由は、これらの主要職員に課せられた責任の増加にあり、彼らはしばしば経営幹部チームの一員であり、CEOに直結して報告することもあります。
残念ながら、これは組織に迅速な採用を強いる圧力となる可能性があり、精査プロセスが不十分になる可能性があります。同様に、セキュリティの専門家は自分のスキルと知識を過大売却し、その職務で実際にもたらせる価値について雇用者を誤解させるかもしれません。
これら両方のシナリオを念頭に置いて、CSOはシニア技術採用担当者と現在のCSOにどのように個人および組織が同等にCSO職位のインフレーションを回避し、IT セキュリティリーダーが「本当のプロ」であることを知ることができるかを尋ねました。共有された知見から、成功するCSOは技術ソリューション、ビジネスプロセス、および通信戦略に同等の熟練度を持つ人物であることが明らかになります。
「強いリーダーはセキュリティのためのセキュリティを超え、技術的流暢さと経営判断の組み合わせを必要とするリスク編成をマスターします。」とカナニ・ブレッケンリッジ(サンディエゴを拠点とするKismet Search のCEOおよびヘッドハントレス)は説明します。
「強いITセキュリティリーダーは脅威のランドスケープを十分に深く理解して情報に基づいた決定を下し、専門用語の背後に隠れることはありません。」と彼女は付け加えます。「彼らの実際の価値はリスク優先順位付け、非技術的な利害関係者との明確なコミュニケーション、およびセキュリティをビジネス成果に変換する能力に現れます。彼らはいつエスカレーションするか、いつ「ノー」と言うか、そして「十分」が実際に正しい判断かをいつ判断するかを知っています。」
さらに、トップレベルのCSO は、彼らの価値が「ノー」と言うことではなく「イエス」を構築することにあることを理解していると、ブレッケンリッジは説明します。彼らは、自分たちの仕事はリスクを排除することではなく、競争力を保つために組織が正しいリスクを取ることを確保することであることを理解しています。
不適切なITセキュリティ専門家に大きな権限を与えることの危険性
最大のリスクはブレッケンリッジが説明するところの虚偽の確信です。つまり、組織は実際よりも安全だと信じることです。予算の浪費を超えて、それは脆弱性を生み出します。インフレーションを起こしたリーダーはしばしば「セキュリティの文化」ではなく「コンプライアンスの文化」を構築します。結局のところ、ブレッケンリッジが「二重の失敗」と呼ぶものに会社を脆弱にさせます。つまり、多くのお金を費やしCSO タイトルを付与されたにもかかわらず、大規模なデータ侵害が発生するのです。
組織が不適切なCSO を採用または昇進させる方法の一つの例は、セキュリティおよび製品技術の伝道者にぞっこんになる場合です。彼らは最高水準のセキュリティフレームワークとアーキテクチャを定義および展開することができます。しかし、これらの個人は、統合されたコミュニケーション、協調的な精神、採用、包括的なトレーニング、または一般的なビジネスプラクティスで一貫した戦略を欠く可能性があると、スタッフ会社Executive Allianceの採用部門副会長のダグ・ワルドは説明します。
ワルドは、採用チームが手元にあるセキュリティソリューションとアーキテクチャのニーズに焦点を当てすぎるときに、そのような間違いが起こる可能性があると述べています。彼らは、トップラインセキュリティリーダーの命令を定義、展開、および最適化するための要件を考慮することに失敗するかもしれません。これは、一貫した従業員およびチームトレーニング、プライバシーのための法的契約、ベンダー適格評価、ビジネス継続性、および変更プロセスなどのミッションクリティカルなプログラム開発です。これらは包括的なセキュリティ戦略の主要な柱です。
「残念ながら、ほとんどの人が想像する以上に一般的であり、それが私が代替候補を見つけるために雇用される理由です。」とブレッケンリッジは説明します。「それはしばしば『危機駆動型権限』として現れます。主要なインダストリーの侵害後、取締役会はしばしばパニック状態になり、CSO に緊急権限を付与します。そのリーダーがその影響力を行使する成熟度を欠いている場合、彼らは会社内に『セキュリティ産業複合体』を作成し、これはしばしば高額であり、膨張しており、製品ロードマップおよびIT環境から切り離されていることがあります。」
経験と責任の正しいバランスを打つ
ボストンを拠点とする法律事務所 Fox Rothschild LLPのパートナーおよび最高AI およびITセキュリティオフィサーであるマーク・G・マクリーリは、両方の極端な事例を目撃しています。すなわち、セキュリティが完全に脇に押しやられている場合と、セキュリティ専門家に過度で不当な権限が与えられている場合です。
一部の企業では、新しく任命されたCSO が、その拒否権を正当化するために必要なガバナンス、ランブック、またはパートナー調整なしにゲートキーパーとして位置づけられる可能性があると、マクリーリは説明します。このバランスの欠如は、ポリシーが存在するが、企業が圧力下で誰が何をするかを実践していない場合に明らかになります。これは法律および危機対応、技術的対応、通信、またはクライアントアウトリーチであるかどうかです。成熟した組織は、これらの役割を積極的に割り当てて演習を行います。
ブレッケンリッジは同意して、「多くのいわゆるCSO は、予算を本当に所有したり、重大なデータまたはセキュリティインシデントを通じてリードしたりしたことがありません。」と述べています。
高いステークスを考えると、なぜ組織は経験不足のCSO を採用するリスクを冒すのでしょうか?通常、それは、タイミング、見た目、または内部的に理にかなっているよりも外部駆動力である可能性がある防御的採用の混合です。とブレッケンリッジは説明します。
たとえば、組織はCSO タイトルを「監査のおりは」として使用して、規制当局または保険キャリアを満足させるかもしれません。他の場合では、それは保持力です。才能のある技術的アーキテクト は、彼らがP&L管理、取締役会ガバナンス、または組織的設計に経験を持たないにもかかわらず、彼らがスカウトされるのを防ぐためにC レベルのタイトルが与えられます。
それを職位前に命令の場合と呼んでください。マクリーリは言います。新しいタイトルはクライアントアンケートを満たすため、またはマーケティング目的で作成される可能性がありますが、実際の権限、予算、および責任の範囲はまだ追いついていません。
CSO が正当に持つべき経験とスキル
誇大宣伝を切り抜けて、一級のCSO は役割に何をもたらすべきですか?
「強いリーダーはリスクと収益のバランスを取ります。真のCSO は、複雑なサイバー、プライバシー、およびAI リスクを特定のクライアントおよび事項リスクに変換し、パートナーシップが容易に理解するビジネス用語で説明することができます。」とマクリーリは言います。
法律事務所 Fox Rothschild の場合、これは脅威を利益相反、特権、外部顧問ガイドライン、そして最終的にはクライアントの信頼などの問題に直接結びつけることを意味します。
「効果的なガバナンスは初日から業務を行う必要があります。」マクリーリは言います。「ポリシーは単に棚の上に座るべきではなく、実践的なプレイブック、明確に定義された役割、および企業が定期的に実践するエスカレーションパスに直接リンクされている必要があります。インシデント対応ポリシー、サイバーイベントフレームワーク、データ侵害プレイブックがすべて一緒に機能していると考えてください。
CSO がインフレーションされた職位を持つ可能性があることを認識する方法
CSO「詐欺師ギャップ」は、ブレッケンリッジが呼ぶように、通常は取締役会に現れ、個人が権限と決定の提供よりも成果の提供に多くの時間を費やすときです。「技術的な脆弱性のみで話すことに気づいた場合、あなたはおそらくCSO タイトルを持つディレクターです。」
多くの企業が異なるジョブアーキテクチャを持っているため、職位のステータスも組織、そのサイズと市場セグメント、およびIT セキュリティ専門家の全体的な機能と責任に依存する可能性があります。ワルドは説明します。一般的に言えば、職位はより一般的に市場で保有されている競争ベンチマークに基づくべきです。
「通常、役割に入るとき、IT セキュリティ専門家は彼らが追求している職位を認識しています。採用企業が役割の機能の一貫性を維持することは随時的なものであり、最初に述べられた職位と業務に反映されない機能に進化することはありません。」とワルドは言っています。
雇用者とCSO 候補がページを同じにしていることを確認するために、ワルドは、セキュリティの専門家「は即座のチームメンバーとパートナーステークホルダーの製品戦略、運用、ビジネス、財務、および法務チームと話すことをお勧めします。その機会の実現可能性に関するコンセンサスに到達するのに役立つ見通し、ニーズ、ロードマップ、および関連するタッチポイントに関する洞察と視点を得るため。」と述べています。
CSO がしっかりした「本当のプロ」であることを確認する方法
ITセキュリティリーダーは、ビジネスが非セキュリティの問題についてあなたの助言を求め、あなたが他のビジネス決定に関して異議を唱えられることに問題がない場合、あなたがしっかりした「本当のプロ」であることを知ることができます。とブレッケンリッジは説明します。
「ビジネスユニットのリーダーが、彼らがあなたのリスク調整済み視点を価値があると思うので、新しい市場参入またはM&A取引についてあなたの入力を求める場合、あなたは到着しました。」とブレッケンリッジは言っています。「また、あなたが『情報に基づいたリスク』を快適に受け入れることができ、ビジネス価値がテクニカルデットを上回っているため、既知の脆弱性に署名することが大丈夫だと感じたときに準備ができています。」
あなたがタイトルに値することの他の確実な兆候:あなたは計画を自信を持って実行することができます。あなたはインシデント呼び出しを開始し、企業のIRポリシーに従い、特権の問題や倫理的な壁の違反を作成することなく、データ侵害プレイブックを実行することができると、マクリーリは説明します。
「あなたは実際に針を動かす周期を確立しました。あなたはセキュリティスタンドアップをリードし、新しいポリシー、コントロール、またはトレーニングなどの具体的な成果をもたらす決定を含むAIタスクフォースまたは小委員会に積極的に参加します。」とマクリーリは言います。「あなたは効果的にあなたのステークホルダーを教育します。あなたは、組織が本当に使用する実践的なAIおよび情報セキュリティ ガイダンスとトレーニングを提供します。」
役割がすべてうまくいっていることを自分と組織に確認
自分と組織の両方にその職務に適しているかどうかを証明するために、CSO はセキュリティ戦略、プロセス、および保護措置が満たされていることを確認すると同時に、法務、プライバシー、コンプライアンス、統合、およびベンダー関係のプログラムリーダーとの非常に緊密な統合を示すべきであると、ワルドは言っています。
SEC の新しい開示ルールの時代では、職位のインフレーションはもはや化粧品ではありません。とブレッケンリッジは言っています。それは実質的なリスクです。実際の権限、予算、またはプログラム所有権なしでCSO タイトルを保持することは個人を説明責任にさらします彼らがコントロールしていない失敗について。
「私が見ている最強のセキュリティリーダーは、命令なしの職位を警戒しています。彼らはスコープ、成果、およびアクセスについて気を配ります。見た目ではなく。」とブレッケンリッジは言っています。
彼らの価値を証明するために、CSO は「無事な日々」から「復元力メトリック」に針を動かすべきであると、ブレッケンリッジは説明します。
「物事が壊れるとき(それは必然的に起こります)、回復時間が短縮され、爆発半径が縮小していることを証明してください。」とブレッケンリッジは言っています。「セキュリティが最後のゲートではなく、CI/CDパイプラインのシームレスな部分であることを示すことができる場合、組織は機能が健全であることを信頼します。そして、ピアはしばしば最も強い信頼性の兆候である後ではなく早期に入力を求めます。」
採用およびキャリアパスの観点から、ブレッケンリッジは、膨張した職位はまた長期的なキャリア軌跡を歪めます。能力が職位と一致しない場合、特に経営幹部レベルでは結果、ガバナンス、および信頼がラベルより重要である場合、特に将来のインタビューで迅速に表示されます。
「重要なポイントは市場が客観的な判断者であることです。」とブレッケンリッジは言っています。「リーダーが次の役割のためにインタビューするとき、彼らは実際に所有し、影響を及ぼし、提供したものに基づいて評価されます。膨張した職位は、実際の成果と運営経験に対して検査されるとき、迅速に収縮する傾向があります。」
