Quale percorso di carriera devo seguire per diventare un CISO?

Il principio generale è di partire da zero. Ciò sembra ovvio, ma ti sorprenderebbe che oggi ci siano alcuni corsi che offrono il percorso delle competenze di base per la sicurezza IT e quindi direttamente agli studi del CISO.

Parlo con molti CISSP e CISO e tutti dicono che uno dovrebbe iniziare come amministratore di rete, quindi passare ad alcuni anni buoni come integratore di sicurezza IT e avere una buona conoscenza dell'implementazione di soluzioni di sicurezza, e solo allora dovrebbe vai per CISO e guarda l'intero mondo della sicurezza dal punto di vista del gestore.

Questa non è un'esperienza in prima persona, ma è ciò che ottengo dalle persone con cui parlo, che hanno questa esperienza.

Dal CISO con cui parlo, l'unico punto decisivo è che provengono tutti da contesti molto diversi, ma hanno una vasta gamma di esperienze ... non solo nel settore della sicurezza (a volte no anche nel settore della sicurezza)

Mirare a una vasta gamma di esperienze aziendali, poiché a questo livello parlare di sicurezza non tende ad avere l'impatto o il valore di un'impresa quanto la capacità di parlare del rischio aziendale, dei quadri di governance e del valore.

Non classificherei una singola disciplina come "più preziosa" a meno che non contenga strategia, governance e rischi aziendali come discipline. Dovrai essere in grado di comprendere a livello generale ciò che i tuoi team di tutte le discipline stanno facendo per aiutare la tua organizzazione a raggiungere il livello di rischio preferito a un costo accettabile.

Questo articolo di ComputerWorld UK intitolato " Come diventare un CISO "potrebbe anche essere di interesse.

Leggi anche tutte le domande taggate formazione professionale - poiché ci sono già molte informazioni utili là dentro.

Cosa mi piacerebbe vedere in un CISO: 20 anni minimo, 30-35 anni di esposizione di sicurezza delle informazioni comuni, se non esperienza diretta di quegli anni interi. "Il tempo impiegato" conta molto per me.

La sicurezza delle informazioni non preclude certo la tecnologia dell'informazione, sebbene gli stint di ricerca, servizio pubblico, politica o intelligence contino nel mio libro (quando sono correlati alla sicurezza delle informazioni).

La leadership delle persone, specialmente a livello C, richiede una lungimiranza disciplinata e strategica al di sopra e al di là del sensoriale standard e del "senso degli affari". La previsione è imperniata sulla capacità di prevedere con precisione, misurata da qualcosa come il punteggio di Brier - e ciò che fa è dare una capacità senza precedenti di prendere decisioni (anche se bisogna anche essere in grado di influenzare le decisioni, il che deve fare leva sulla credibilità / creazione di relazioni attività) e reagire rapidamente agli scenari in cui le scelte difficili sono quotidiane.

I CISO sono stati conosciuti per l'incapacità di mantenere le loro posizioni in media più di due anni. Do la colpa a un fattore critico per coloro che non riescono a rimanere rilevanti oltre il marchio di 2 anni: incapacità di identificare gli scenari da incubo durante la trasformazione IT in corso - il "fattore di compiacimento".

Un percorso più tradizionale è delineato da CSOOnline in questo articolo - link