ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
今日のセキュリティキャリアで最も注目されている最高情報セキュリティ責任者(CISO)にとって、今は忙しい時期です。セキュリティリーダーはパンデミックの最愛の人となり、企業が安全にリモートワークに移行できるよう支援するとともに、経営幹部や取締役会の意見を聞いて議席を獲得しました。
非常に多くの人が自社のサービスを求めて争っているため、CISO候補者は、対面またはオンラインでの就職面接を完全に省き、次の役職に就くだけで済むようでした。
しかし、それほど速くはありません。CISOレベルのセキュリティ職は依然として競争力があります。また、わずか2年という短期間で期待とともに劇的に変化した状況の中で、候補者は適切な仕事を求めています。もちろん、その変化の多くはパンデミック以前から始まっていました。CISO の仕事の範囲は 2018 年と 2019 年にかけて大幅に拡大しました。その多くは、標準アーキテクチャとしてのクラウドの採用、技術的負債やアップグレードが必要なインフラストラクチャを抱える大企業におけるデリバリーメカニズム、そして小規模なクラウドネイティブ企業の成長によるものです。
CISOは今、ガバナンスに関する微妙な違いに直面し、金融サービス、医療、工業、その他のセクターを問わず、フルサイクルのガバナンスプログラムの実施方法をよく理解しています。そして、セキュリティチームの規模も拡大しています。大規模な金融機関は、かつては 1,000 人のセキュリティチームを抱えると異常な存在でしたが、現在では、企業内のセキュリティ組織に数百人の従業員を含めることがますます一般的になっています。その上、チームはより多様化し、プログラム管理が多くなり、セキュリティ部門と組織内の他の部門との間で必要とされるコミュニケーションのレベルが上から下へと変化しています。この変化の理由は、セキュリティがすべてに関わることであり、誰もがCISOに常に把握してもらいたいと考えているからです。サイバーセキュリティ・ベンチャーズは2017年に、2021年までにすべてのフォーチュン500企業とグローバル1000企業が CISO になるだろうと予測しました。この予測はまさにその結果生まれたものです。
募集中のCISO職という形の「ピカピカな対象」が数多くあり、多くのCISO仲間がそれらを獲得しようと競い合っている中で、待っているCISOや新しい機会を探している現在のCISOが、CISO面接の準備を整え、仕事に就くだけでなく、適切な組織に適切な人材を見つけるために取るべき7つのステップをご紹介します。
セキュリティは決まりきったものではないため、CISOは、組織を理解し、その立場に何を求めているのか、企業のセキュリティ戦略の原動力は何なのかを理解せずに、才能を発揮する準備をして面接に臨むべきではありません。企業のセキュリティ目標やセキュリティ構造に慣れるのに、表面的な Google 検索や LinkedIn でのざっと確認に頼るべきではありません。そうしている人は、特定の問題点に対処したり、候補者を次の段階に進めるための理解を明確にしたりすることができません。
求職者が企業のセキュリティを左右する要因を知っていれば、その職務がどのように展開されるかについては多くのことが決定できるので、CISO候補者は、その企業が最近Equifaxのような注目を集める攻撃を受けたかどうかを調べる必要があります。あるいは、企業が Log4j に影響を及ぼしている Log4Shell のインスタンスなど、脆弱性の追跡に苦労している場合もあります。あるいは、組織が国内外で厳しい規制の監視下にあり、データのプライバシーとセキュリティに関するさまざまな規制や法律に対応するための支援が必要な場合など、問題点はもっと微妙かもしれません。それでも、面接プロセス中にさまざまな人から複数の異なるバージョンの問題を聞くことになるため、最も準備が整っている候補者でさえ、企業が実際に抱えている問題をすばやく把握しなければならない場合があります。
人とのつながりが最優先です。しかし、パンデミック面接、特にZoomやMicrosoft Teamsの通話による面接はより身近に感じられ、背景で子供やペットの声を聞くことについて理解が深まるため、候補者は面接中に個人的な話をあまりにも多く話したいという誘惑に抵抗する必要があります。また、CISO候補者は、会話がセキュリティの話題から離れすぎないようにすべきです。
しかし、ある種の人間関係を築くことは重要です。ズームインタビューには大きなメリットがあります。インタビュアーとインタビュー対象者の両方が孤立していて中心的なステージにいるため、仕事の邪魔になるものが少なくなります。個人的な経験が職業上の教訓に変わった経緯を話してみるのもいいかもしれません。
面接のプロセスは長く、時間がかかり、時には邪魔になることもあります。候補者は、過去の面接に基づいてプロセスを理解していると思い込んではいけません。
CISO候補者が何を期待すべきかを知っていれば、より簡単で効果的なプロセスになります。彼らが何人の人と会うのか、どのような立場にあるのかを知ることは非常に重要です。候補者には特別なツールやテクノロジーが必要なのか、それともセキュリティ問題について正式に質問されるのか?企業の面接プロセスを理解することは、候補者が組織の目標を達成し、フラストレーションを軽減し、面接が成功するかどうかを予見することにも役立ちます。面接の準備を円滑に進めるために必要な答えを得るために、必ず質問をしてください。それが次のポイントにつながります...
自信のあるCISOでさえ、すべてを知っていると仮定したり、面接に万能のアプローチを取ったりすると、間違いを犯す可能性があります。すべてを知っているような人物や、同じくらいひどく退屈な面接対象者として出くことは避けてください。
正式な説明以外に、その仕事には何が含まれるのか、日々の責任にはどのようなものがあるのか、(もしあれば)平均的な一日の様子、会社がセキュリティのためにどのようなリソースを投入しているか、セキュリティにトップダウンのサポートがあるかどうかを尋ねてください。遠慮なく聞いてみましょう。好奇心旺盛な候補者を好む組織 — 好奇心は職種や会社への関心を示します。
すべてのCISOは何でも少しずつ実行し、多くのCISOはセキュリティ分野にわたる才能を持っています。しかし、CISOがあらゆる面で優れていると期待している企業は、非現実的な期待を抱いている可能性があり、自分が何を求めているのか分からず、優先順位付けにも苦労する可能性があります。また、万能の人材を求めることで、セキュリティに十分なリソースを投入できず、強力で多様なチームを構築する代わりに、1 人が複数の役割を担うことを期待している可能性もあります。多機能のスイスアーミーナイフを装った候補者は、多くの場合、自分の強みをアピールできず、非現実的な期待を抱きます。
代わりに、セキュリティの 1 つまたは複数の分野における優れたスキルセットを紹介し、他の重要な分野でも成長したいという意欲と能力を示してください。CISO候補者は、自分の特定のスキルが前職でどのように功を奏したかの例を挙げて、才能とスキルを伸ばし拡大するために取った措置を強調する必要があります。
ほとんどの組織は、知っているかどうかにかかわらず、技術者だけでなく、ソフトスキルを備えたCISOも求めています。技術的なスキルを暗唱したり頼ったりすることは避け、アクセス不能を示すようなボディランゲージは使わないでください。
コミュニケーション能力に優れたCISOは、面接プロセスでより良い成績を収める傾向があります。技術用語だけでなくビジネスリスクに関する言葉も必要とする取締役会レベルの議論によるリスク軽減の管理など、管理が求められた最近の課題の具体例を携えてインタビューに参加し、その点を伝えることができるようにしましょう。有力な候補者は、成功するためにこれらすべての言葉で話す方法を知っています。
面接を成功させるために必要なのは、スキルとすべての正解だけだとは思わないでください。
多くの組織では、候補者に実際のシナリオと解決すべき課題や問題(持ち帰り用の課題など)を提示する、プレゼンテーション形式の面接形式を採用しています。
組織のさまざまな部署から集まった一部のインタビュアーがそれぞれ異なることを聞いて、ソリューションを検討する準備をしておいてください。通常は「十人の耳と一口の声」に続いて質疑応答が行われ、CISO候補者がどのように問題を解き明かし、分からない部分を剥がす方法を会社に示し、候補者は組織のセキュリティチームと協力するのがどのようなものかを理解します。これは双方にとって価値があります。
今後、CISOは屈服し、柔軟に、そして本当にステップアップする必要があります。彼らには信じられないほどの成功を享受するチャンスがありますが、かなり早く成長する必要もあります。彼らがどんな組織に入ろうと、彼らにとってハネムーン期間はたいしたことないでしょう。
採用担当者は、面接プロセスをより成功させ、関係者全員の苦痛を軽減し、マッチングの可能性を高めるために、CISOと企業の両方に多くの時間を費やしています。しかし、立証責任は主に候補者にかかっています。そして、CISO候補者が面接で受けなければならない最後のアドバイスがあります。それは、いつ辞めるべきかを知っておくことです。
給与、福利厚生、ブランドがどれほど魅力的であっても、すべての仕事が適しているわけではありません。ピカピカの物がたくさんある世界では、適切なものを手に入れるチャンスはたくさんあります。
この記事の執筆者 マイケル・ピアセンテ、マネージングパートナー兼共同創設者 ヒッチ・パートナーズは、情報セキュリティ、ビジネステクノロジー、エンジニアリング、製品関連のあらゆる採用において、高成長テクノロジー企業との提携に重点を置いた人材紹介会社です。 マイケルは、メンロのCISOであるデヴィン・アーテルと一緒にこのトピックに飛び込む予定です。 今後のライブ ディスカッション。
