Soy un investigador de seguridad y quiero saber qué trayectoria profesional crees que debo seguir para convertirme en Director de Seguridad de la Información.
¿Qué habilidades son necesarias en esta posición?
¿Qué campo de seguridad de la información es más importante en esta posición?
Con el objetivo de alcanzar esta posición, ¿qué tipo de cosas / ruta es mejor observar en los próximos años con este objetivo a largo plazo?
P.S. Se prefiere la experiencia en primera persona.
El principio general es ir de abajo hacia arriba. Esto parece obvio, pero le sorprendería que haya algunos cursos hoy en día que ofrezcan el camino de las habilidades básicas de seguridad de TI y que luego vayan directamente a los estudios CISO.
Hablo con un montón de CISSP y CISO y todos dicen que uno debe comenzar como administrador de red, luego pasar a unos cuantos años buenos como integrador de seguridad de TI y tener un buen conocimiento de la implementación de soluciones de seguridad, y solo entonces debería opte por CISO y observe todo el mundo de la seguridad desde el punto de vista del administrador.
Esta no es una experiencia en primera persona, pero es lo que recibo de las personas con las que hablo, que tienen esta experiencia.
Desde los CISO con los que hablo, el único punto definitivo es que todos provienen de orígenes muy diferentes, pero tienen una amplia gama de experiencias ... no solo en la industria de la seguridad (a veces ni ni en la industria de la seguridad)
Apunte a una amplia gama de experiencia comercial, ya que en este nivel, hablar de seguridad no tiende a tener tanto impacto o valor para una empresa como poder hablar sobre riesgo empresarial, marcos de gobierno y valor.
No clasificaría ninguna disciplina individual como 'más valiosa' a menos que cuente la estrategia, el gobierno y el riesgo empresarial como disciplinas. Querrá poder comprender a un nivel amplio lo que hacen sus equipos en todas las disciplinas para ayudar a su organización a alcanzar su nivel de riesgo preferido a un costo aceptable.
Este artículo de ComputerWorld UK titulado " Cómo convertirse en un CISO "también podría ser de interés.
También lea todas las preguntas etiquetadas educación profesional - ya que hay mucha información útil allí.
Lo que me gustaría ver en un CISO: 20 años mínimo, 30-35 años de exposición común a la Seguridad de la Información, si no experiencia directa de esos años completos. "El tiempo puesto en" cuenta mucho para mí.
La seguridad de la información ciertamente no excluye la tecnología de la información, aunque las tareas de investigación, servicio público, políticas o inteligencia sí cuentan en mi libro (cuando están relacionadas con la seguridad de la información).
El liderazgo de las personas, especialmente en el nivel C, requiere una visión disciplinada y estratégica que vaya más allá del sentido común y el "sentido comercial". La previsión se basa en la capacidad de pronosticar con precisión, medida por algo como el puntaje de Brier, y lo que hace es brindar una capacidad sin precedentes para tomar decisiones (aunque también se debe poder influir en las decisiones, que deben apalancar la credibilidad / la construcción de relaciones). actividades) y reaccionar rápidamente a los escenarios en los que las decisiones difíciles son un hecho cotidiano.
Los CISO han sido conocidos por la incapacidad de mantener sus posiciones por más de dos años en promedio. Culpo a un factor crítico para aquellos que no siguen siendo relevantes después de la marca de 2 años: la incapacidad de identificar los escenarios de pesadilla durante la transformación de TI en curso: el "factor de complacencia".
CSOOnline describe una ruta más tradicional en este artículo - enlace
Lea otras preguntas en las etiquetas professional-education