Mike Engle在其职业生涯早期就开始从事首席信息安全官工作,并于21世纪初晋升为雷曼兄弟公司负责信息和企业安全的高级副总裁。
Engle认为这条职业道路非常适合,他解释说,他发现安全技术(例如加密)令人着迷,并且这样的工作具有挑战性。
他补充说,“我喜欢将解决方案落实到位以阻止坏事发生的那种快感。”
但Engle表示,他不喜欢这个职位在其他方面面临的问题,尤其是在2002年通过《萨班斯-奥克斯利法案》后加强的治理和监管要求任务。
他还看到安全负责人面临的压力越来越大,并开始感受到每周工作超过60小时已成为常态所带来的压力。他说,“我的许多团队成员后来成为大公司的首席信息安全官,他们面临巨大的工作压力,因为威胁水平上升了很多。”
Engle于是下定决心另辟蹊径,辞职创业成为了一名企业家。他创办了一家专门从事安全跟踪技术的公司,这一决定部分基于他的经验和对技术本身的兴趣。他后来创办了Bastille Networks公司和1Kosmos公司,他现在是这两家公司的战略规划负责人,此外,他还是1414风险投资公司的总经理。
Engle承认,他的安全专业知识和管理经验帮助他在创业方面获得了成功,但表示他更喜欢创业时面临的挑战。
他说,“我不认为自己会重新成为首席信息安全官。”
首席信息安全官的出路
Engle的职业轨迹可能不是企业安全专业人员的典型出路,但很多安全专家表示,将首席信息安全官角色视为从事其他工作的中转站变得越来越普遍。当然,许多安全专家仍然渴望提升企业安全团队的级别,成为首席信息安全官,然后在规模越来越大或更复杂的企业中担任首席信息安全官。但长期提任安全领导者和该领域的其他人表示,越来越多的首席信息安全官正在决定寻求更进一步的职位。
猎头服务商海德思哲公司的合伙人兼全球网络安全业务负责人Matt Aiello说,“安全专业人员的职业道路正在发生变化。对于许多人来说,首席信息安全官仍将是其职业生涯的终点。但对于某些人来说,这将是一条不同职业道路的开始。”
海德思哲公司在其2021年全球首席信息安全官调查中深入探讨了这一动态。该公司指出,首席信息安全官这一职位与其他企业高管职位相比相对较新(许多报告将这个角色追溯到上世纪90年代中期,因此首席信息安全官的职业发展仍然面临困难)。
然而,首席信息安全官们为此规划了一些路径:
- 47%的受访者表示希望成为企业董事会成员。
- 44%的受访者表示希望成为首席安全官(包括物理安全和信息安全的角色)。
- 18%的受访者表示希望成为企业家/顾问。
- 16%的受访者表示希望成为首席风险官。
- 12%的受访者表示希望成为首席信息官。
- 8%的受访者表示希望成为私募股权官。
- 3%的受访者表示希望成为首席执行官。
- 2%的受访者表示希望成为安全公司的工具开发人员。
还有大约5%的受访者列举“其他”事项,而3%的受访者没有回应,约有9%的受访者表示希望退休。
在谈到这些调查和发现时,研究人员得出的结论是,“首席信息安全官感兴趣的下一个角色突出表明这是一个不断发展的角色,职业生涯在下一步的发展尚不清楚。”
成熟的角色
其他人也有同样的看法,并表示该职位的历史在一定程度上限制了首席信息安全官之后的职业发展。例如,他们指出,首席信息安全官职位多年来一直在首席信息官的领导下,而首席信息官本身在历史上也曾在其他企业高管的管理下任职。他们还指出,首席信息安全官在其存在的大部分时间里一直被视为一个技术性很强的角色,那些拥有这个职位的人员通常是非常有能力的技术专家,但并不是企业的高管。因此,很多企业并没有理所当然地将首席信息官视为其他高级职务、董事会任命和其他类似高级职务的候选人。
但安全领域的领导者表示,随着安全成为企业董事会层面的关注点以及消费者利益和政府关注的问题,首席信息安全官的职位变得更加关键、更加突出以及要求更高。因此,安全主管开发了更广泛的技能来完成他们的工作。而这反过来又开辟了更多的职业发展机会。
卡内基梅隆大学软件工程研究所的CERT部门首席信息安全官Gregory J.Touhill说。“在过去的三到五年里,这些额外的路径已经开辟出来,这是因为角色的日益成熟,以及企业董事会对首席信息安全官角色的理解在那段时间里有了显著提高。”
他补充说:“由于企业董事会将网络安全作为业务推动者的优先事项,我们看到首席信息安全官的人才和能力得到了越来越多的认可,这些人才和能力远远超出了技术范围,还延伸到了运营领导力。”
产生影响
Touhill对这一演变有自己的见解:他是美国联邦政府前首席信息安全官,被前任总统奥巴马任命为美国联邦政府的第一位首席信息安全官。他表示,他选择后续角色的部分原因是希望了解自己可以在哪里发挥最大的作用。
然而,这种产生影响的能力往往是安全主管喜欢首席信息安全官职位的原因。
正如Engle所说,“作为首席信息安全官,将提供服务,确保客户安全,这才是真正的意义所在。首席信息安全官必须成为推动者和保护者。这就是我喜欢的原因,试图找出一种方法让安全成为业务的推动者。”
这也将首席信息安全官吸引到其他职位。
转型或升迁
Aiello说,他看到一些安全高管希望辞去他们的首席信息安全官职位,转而在企业董事会以及初创公司和安全供应商的顾问委员会担任职位,他们可以在这些职位上产生如此大的影响。
这就是Simon Hodgkinson所走的道路。
Hodgkinson从IT和安全部门晋升,2017年到2020年担任英国石油公司的首席信息安全官。他目前在RangeForce、Relianceacsn、Semperis和Zscaler等多家企业和组织担任顾问和执行职务。
他表示,他从事首席信息安全官的经历为目前的工作做好了准备。
他说,“作为英国石油公司的首席信息安全官,获得了与董事会和执行领导层密切合作的机会,以真正了解战略业务成果、数字化转型如何成为实现这些目标的关键,以及如何适当地管理网络安全。这种经验在咨询角色中非常宝贵。”他补充说,作为一名首席信息官,他每年都接触数千家公司的高管,能够分享与首席信息官合作的成功或失败之处,这是与这些公司分享的宝贵经验。
Aiello说,他看到首席信息安全官也开始从事咨询工作和风险投资领域的工作,而风险投资尤其因其创造财富的机会而具有吸引力。
其他人则认为,首席信息安全官将成为安全供应商的首席风险官、首席信托官以及首席产品官。
与此同时,Touhill表示,首席信息安全官非常适合担任新的、新兴的执行角色,负责监督所有网络安全领域以及物理和人事相关领域。
追求激情
Dawn Cappelli说,在她于今年4月从自动化技术提供商罗克韦尔公司首席信息安全官职位上退休之后有多种选择,当时她决定退休,并放弃作为首席信息安全官所承担的巨大责任。
她承认她的首选计划是退休,但在一位同事说服她可以发挥更大的作用之后,她重新考虑了自己的目标。
Cappelli说,她想成为一名“安全布道者”,但也希望有更多时间陪伴她的家人。她最后担任了网络安全服务商Dragos公司的OTCERT兼职主管。
她说,“这正好让我有了更多激情点,我觉得我可以做一些事情来帮助社会。”她解释说,她负责为工业资产所有者和运营商启动一个社区资源中心。
Aiello说,Cappelli并不是唯一一个重新考虑或正在重新考虑他们的退休计划的安全高管,首席信息安全官在晋升到企业高管之后将会考虑这些问题。
找到合适的人选
Aiello和其他人都认为这种思考很重要,因为并非所有可能的选择都适用于所有人。他们指出,并不是所有企业安全主管都在培养其他一些职位所需的领导技能和商业敏锐度。与此同时,有些人的最终理想可能就是首席信息安全官职位。
Touhill说:“我不认为首席信息安全官一定要成为职业的巅峰,但如果是的话,它仍然是一个伟大的职位,它仍然具有伟大的意义。”
他补充说:“并非每个首席信息安全官都想成为首席运营官,这一切都是为了找到合适的人选、合适的团队和正确的使命。”
ScottKing曾在Sempra Energy公司担任首席信息安全官,之后于2017年成为网络安全供应商Rapid7的网络安全服务高级总监。他表示,他这样做的部分原因是为了更多地了解企业如何获利。
安可资本集团副总裁兼首席信息安全官Scott King说,“我想更多地了解企业的运作方式,我想知道损益表。这真的是我工作的动力。”
他解释说,“我学到了想要了解的关于利润和损益的知识,所以我想回去应用在安全计划中学到的东西。这就是我重新成为首席信息安全官的原因。”
King表示,他认为首席信息安全官在担任和退出这一角色时并不总是那么容易,但这为安全专业人士提供了更多机会,同时进一步提升了他们作为执行领导人的声誉。
他说,“这个职业的关注范围很窄:试图阻止坏事的发生。但这种情况发生了变化,人们的看法也发生了变化,如果他们愿意的话,现在有更多的人现在能够转移到其他职位。”