Dan Bowden是一名拥有丰富经验和资历的首席信息安全官,他希望以他的简历反映这一事实。Bowden在求职之初就获得一名专业的简历顾问的帮助。他说,“这是非常值得的。”
简历顾问让他在撰写简历时评价他对所在公司的贡献——“事件、活动、成就”,然后以招聘人员关注的想法而不是以首席信息安全官的技术技能和详细的安全工作来撰写简历。
Bowden说,“这将帮助我更深入地了解什么是重要的事项,在撰写简历时应该关注什么样的事情,以及简历的顶部应该放什么内部,并将所有的认证和教育方面的内部放在底部。这并不是说我所撰写的简历有什么太大不同。她掌握我的所有信息,可以帮助我了解什么是重要的信息,哪些内容应该突出强调。”
Bowden现在是总部位于弗吉尼亚州的Sentara Healthcare公司副总裁兼首席信息安全官,这是他在与顾问在撰写简历进行合作时寻求的职位,他认为他的简历需要设计和修改,使其能够反映他胜任首席信息安全官这个执行职位。
招聘人员和执行顾问一致认为:应聘首席信息安全官职位的求职者必须在简历中展示他们的领导能力,而不是展示他们获得的技术证书。然而行业专家表示,许多安全专业人士并不了解这一情况,因此仍在提交不合格的简历。
招聘人员、首席信息安全官和执行顾问为此描述了求职者应聘首席信息安全官经常犯的错误。
1. 未能展示执行能力
根据技术研究和咨询机构Gartner公司的调查,优秀的首席信息安全官会表现出五种关键行为。他们通常会发起关于不断发展的安全规范的讨论,优先更新决策者关于当前和未来风险的信息,制定正式且可操作的继任计划,与其他高管合作确定企业的风险偏好,并积极参与保护新兴技术。除了第五种行为之外,其他行为都与领导技能有关,而不是与网络安全的敏锐度有关。
招聘人员和执行顾问表示,这并不奇怪,因为首席信息安全官已经从专注于提供外围防御的角色演变为真正的企业高管职位,该职位有望将安全性纳入企业发展战略。
然而,全球高管猎头机构Witt Kieffer公司的顾问Nick Giannas表示,许多首席信息安全官职位的求职者在简历上并没有展示他们的高管资质。事实上,他们经常遗漏能证明他们有能力为企业制定愿景、制定战略和管理风险的信息。
Giannas说,“求职者需要证明拥有企业高管的管理技能,虽然对技术和新兴趋势有透彻的了解很重要,但需要将安全性转化为降低业务风险的能力,以及能够在简历中描述这一点,这更加重要。它表明求职者可以在战略层面发挥作用,并拥有企业高管和董事会成员级别的经验。”
2. 遗漏成就
求职者倾向于在简历中留下关键信息,包括他们在当前和以前的工作中究竟完成了什么工作。他们还缺乏有关其先前所在公司的详细信息,以及其职责的规模和范围、所管理的团队规模以及他们的预算。
人员配备和招聘机构LaSalle Network公司技术服务部门负责人Brandon Parezo说,“求职者的简历在描述这些信息方面并没有足够的内容。他们没有提到在以前的工作职位中学到的关于领导力和管理的知识以及他们的工作成果。但这些都是首席信息安全官想要在简历中体现的要点。”
他指出,他和他的同事看到的简历掩盖了首席信息安全官求职者在过去的角色中所提供的价值。他们可能会在简历中表示,将使企业的安全计划更加成熟,但未能提供有关他们在何处和如何这样做以及对企业产生的影响的详细信息。
Giannas补充说,“他们在谈论他们的工作时并没有包括可衡量的结果,但他们确实应该强调以往所取得的重大成就。”
3. 过于强调技术背景
尽管首席信息安全官必须具备相应知识和技能以及向企业交付价值的记录,但他们还需要了解负责保护的技术环境。他们必须了解现有和新兴安全工具的运行方式以及如何部署它们以实现最大效率。
然而,这一事实并不意味着求职者应该在简历中使用主导网络安全行业的技术行话、流行术语和缩写来表达他们的技术实力。安全专家了解SOC的作用或SIEM工具的重要性,但审查求职简历的企业首席执行官和董事会成员可能不会。
Parezo说,“这些人可能不明白这些术语意味着什么。” 他表示,求职者确实应该提到技术技能和成就,但不应该是重中之重。首席信息安全官应该在他们的简历中列出一些完成的项目,例如已经采用SIEM工具,并且要强调他们在项目中的领导作用以及该工具如何为企业提供可衡量的价值。
Parezo说,“求职者应该将其简历内容更侧重于业务,这可以描述安全性对于企业业务的影响。”
4. 遗漏了违规和黑客攻击的经验
《2021 Thales数据威胁》调查报告表明,56%的企业遭遇过安全漏洞。
鉴于这个数字,招聘人员和参与招聘首席信息安全官的企业高管都知道许多求职者在以往公司任职期间可能经历过安全事件。
招聘人员表示,一些求职者在简历中不应该遗漏这些细节,而忽略这些事实可能对求职者不利。
Robert Half公司猎头业务团队总经理AshAthawale说,“我确实看到有些求职者的简历回避这个话题,他们不希望有人知道这件事并进行了隐瞒。因此,如果求职者在一家遭遇数据泄露事件的公司工作,需要在简历中说明这种情况,然后说明自己为恢复数据所做的工作并使其所在的公司更加安全。因为如果他们不承认,招聘人员将会搜索并知道求职者在那里工作的话,那么会在面试中将会提到这个问题。”
5. 行业联系太少(或太多)
企业高管希望他们的首席信息安全官与行业协会保持良好的联系和积极性,这样他们可以跟上新兴趋势和新战略。
然而,许多求职者从简历中删除了他们参与专业协会的情况,或者淡化了他们在行业协会中的角色。而另一方面,一些求职者却在这方面夸大其词。
全球猎头和领导力咨询机构Spencer Stuart公司网络实践业务负责人Kate Hannon说,“一些求职者过分强调他们的知名度或他们的公开演讲,而这种曝光过度可能会令人担忧。我们看到一些求职者在他们的简历上强调了这些活动,因此对这些人更喜欢参加行业活动而不是专注于他们的日常工作感到质疑。我们曾经询问求职者参加这种活动是否体现了对工作的适当关注以及他们求职的目的。”
为了取得平衡,Hannon建议求职者以适当周到的方式提供有关他们的专业关系和他们作为主题专家工作的详细信息。
她解释说,“我们鼓励他们将这些信息在简历中作为脚注或旁注。在简历中,更重要的是经验、能力以及在先前公司所做的事情。”
6. 糟糕的格式、新手错误和意外的误传
即便是在LinkedIn、社交媒体和互联网搜索的时代,参与招聘首席信息安全官的高管和董事会成员仍然非常重视求职者的简历。Hannon说,“任何参与面试过程的人都有可能关注简历。”
然而,Hannon表示,许多求职者仍然没有正确掌握撰写简历的基本知识,他们仍然会看到简历中的拼写错误、联系信息等数据缺失以及格式错误。他们建议求职者通过注意长度、格式和准确性方面的一些基本规则对自己的简历进行审查。
Parezo表示,首席信息安全官的简历通常在三页以上,但不应该太多。他看到过一些冗长的简历,其中一份长达10页,这名求职者对其在过去几十年中的每一个职位进行了描述。他补充说“这没有必要,30年前所做的事与首席信息安全官并不真正相关。”
求职者的简历应该井井有条,首先强调的是作为首席信息安全官的执行能力和商业价值。而技术技能、专业认可、协会关系以及教育细节等信息需要进一步优化,应该根据所寻求的特定职位进行更新和定制。
与此同时,求职者应该确保其简历中的信息与其LinkedIn个人资料和在线个人资料以及公开的企业信息相匹配。Athawale公司表示,他看到一些求职者将自己描述成为上一家公司的首席信息安全官,而实际上他们只是担任信息安全副总裁或其他职位。招聘人员和雇主通常会核实求职者以往的职位和在职日期,因此提供准确信息至关重要。
正如Hannon所说:“这些都是第一印象,因此需要确保做对。”