Dan Bowden是一名擁有豐富經驗和資歷的首席信息安全官，他希望以他的簡歷反映這一事實。Bowden在求職之初就獲得一名專業(yè)的簡歷顧問的幫助。他說，“這是非常值得的。”

簡歷顧問讓他在撰寫簡歷時評價他對所在公司的貢獻——“事件、活動、成就”，然后以招聘人員關注的想法而不是以首席信息安全官的技術技能和詳細的安全工作來撰寫簡歷。

[[412203]]

Bowden說，“這將幫助我更深入地了解什么是重要的事項，在撰寫簡歷時應該關注什么樣的事情，以及簡歷的頂部應該放什么內部，并將所有的認證和教育方面的內部放在底部。這并不是說我所撰寫的簡歷有什么太大不同。她掌握我的所有信息，可以幫助我了解什么是重要的信息，哪些內容應該突出強調。”

Bowden現在是總部位于弗吉尼亞州的Sentara Healthcare公司副總裁兼首席信息安全官，這是他在與顧問在撰寫簡歷進行合作時尋求的職位，他認為他的簡歷需要設計和修改，使其能夠反映他勝任首席信息安全官這個執(zhí)行職位。

招聘人員和執(zhí)行顧問一致認為：應聘首席信息安全官職位的求職者必須在簡歷中展示他們的領導能力，而不是展示他們獲得的技術證書。然而行業(yè)專家表示，許多安全專業(yè)人士并不了解這一情況，因此仍在提交不合格的簡歷。

招聘人員、首席信息安全官和執(zhí)行顧問為此描述了求職者應聘首席信息安全官經常犯的錯誤。

1. 未能展示執(zhí)行能力

根據技術研究和咨詢機構Gartner公司的調查，優(yōu)秀的首席信息安全官會表現出五種關鍵行為。他們通常會發(fā)起關于不斷發(fā)展的安全規(guī)范的討論，優(yōu)先更新決策者關于當前和未來風險的信息，制定正式且可操作的繼任計劃，與其他高管合作確定企業(yè)的風險偏好，并積極參與保護新興技術。除了第五種行為之外，其他行為都與領導技能有關，而不是與網絡安全的敏銳度有關。

招聘人員和執(zhí)行顧問表示，這并不奇怪，因為首席信息安全官已經從專注于提供外圍防御的角色演變?yōu)檎嬲钠髽I(yè)高管職位，該職位有望將安全性納入企業(yè)發(fā)展戰(zhàn)略。

然而，全球高管獵頭機構Witt Kieffer公司的顧問Nick Giannas表示，許多首席信息安全官職位的求職者在簡歷上并沒有展示他們的高管資質。事實上，他們經常遺漏能證明他們有能力為企業(yè)制定愿景、制定戰(zhàn)略和管理風險的信息。

Giannas說，“求職者需要證明擁有企業(yè)高管的管理技能，雖然對技術和新興趨勢有透徹的了解很重要，但需要將安全性轉化為降低業(yè)務風險的能力，以及能夠在簡歷中描述這一點，這更加重要。它表明求職者可以在戰(zhàn)略層面發(fā)揮作用，并擁有企業(yè)高管和董事會成員級別的經驗。”

2. 遺漏成就

求職者傾向于在簡歷中留下關鍵信息，包括他們在當前和以前的工作中究竟完成了什么工作。他們還缺乏有關其先前所在公司的詳細信息，以及其職責的規(guī)模和范圍、所管理的團隊規(guī)模以及他們的預算。

人員配備和招聘機構LaSalle Network公司技術服務部門負責人Brandon Parezo說，“求職者的簡歷在描述這些信息方面并沒有足夠的內容。他們沒有提到在以前的工作職位中學到的關于領導力和管理的知識以及他們的工作成果。但這些都是首席信息安全官想要在簡歷中體現的要點。”

他指出，他和他的同事看到的簡歷掩蓋了首席信息安全官求職者在過去的角色中所提供的價值。他們可能會在簡歷中表示，將使企業(yè)的安全計劃更加成熟，但未能提供有關他們在何處和如何這樣做以及對企業(yè)產生的影響的詳細信息。

Giannas補充說，“他們在談論他們的工作時并沒有包括可衡量的結果，但他們確實應該強調以往所取得的重大成就。”

3. 過于強調技術背景

盡管首席信息安全官必須具備相應知識和技能以及向企業(yè)交付價值的記錄，但他們還需要了解負責保護的技術環(huán)境。他們必須了解現有和新興安全工具的運行方式以及如何部署它們以實現最大效率。

然而，這一事實并不意味著求職者應該在簡歷中使用主導網絡安全行業(yè)的技術行話、流行術語和縮寫來表達他們的技術實力。安全專家了解SOC的作用或SIEM工具的重要性，但審查求職簡歷的企業(yè)首席執(zhí)行官和董事會成員可能不會。

Parezo說，“這些人可能不明白這些術語意味著什么。” 他表示，求職者確實應該提到技術技能和成就，但不應該是重中之重。首席信息安全官應該在他們的簡歷中列出一些完成的項目，例如已經采用SIEM工具，并且要強調他們在項目中的領導作用以及該工具如何為企業(yè)提供可衡量的價值。

Parezo說，“求職者應該將其簡歷內容更側重于業(yè)務，這可以描述安全性對于企業(yè)業(yè)務的影響。”

4. 遺漏了違規(guī)和黑客攻擊的經驗

《2021 Thales數據威脅》調查報告表明，56%的企業(yè)遭遇過安全漏洞。

鑒于這個數字，招聘人員和參與招聘首席信息安全官的企業(yè)高管都知道許多求職者在以往公司任職期間可能經歷過安全事件。

招聘人員表示，一些求職者在簡歷中不應該遺漏這些細節(jié)，而忽略這些事實可能對求職者不利。

Robert Half公司獵頭業(yè)務團隊總經理AshAthawale說，“我確實看到有些求職者的簡歷回避這個話題，他們不希望有人知道這件事并進行了隱瞞。因此，如果求職者在一家遭遇數據泄露事件的公司工作，需要在簡歷中說明這種情況，然后說明自己為恢復數據所做的工作并使其所在的公司更加安全。因為如果他們不承認，招聘人員將會搜索并知道求職者在那里工作的話，那么會在面試中將會提到這個問題。”

5. 行業(yè)聯系太少(或太多)

企業(yè)高管希望他們的首席信息安全官與行業(yè)協會保持良好的聯系和積極性，這樣他們可以跟上新興趨勢和新戰(zhàn)略。

然而，許多求職者從簡歷中刪除了他們參與專業(yè)協會的情況，或者淡化了他們在行業(yè)協會中的角色。而另一方面，一些求職者卻在這方面夸大其詞。

全球獵頭和領導力咨詢機構Spencer Stuart公司網絡實踐業(yè)務負責人Kate Hannon說，“一些求職者過分強調他們的知名度或他們的公開演講，而這種曝光過度可能會令人擔憂。我們看到一些求職者在他們的簡歷上強調了這些活動，因此對這些人更喜歡參加行業(yè)活動而不是專注于他們的日常工作感到質疑。我們曾經詢問求職者參加這種活動是否體現了對工作的適當關注以及他們求職的目的。”

為了取得平衡，Hannon建議求職者以適當周到的方式提供有關他們的專業(yè)關系和他們作為主題專家工作的詳細信息。

她解釋說，“我們鼓勵他們將這些信息在簡歷中作為腳注或旁注。在簡歷中，更重要的是經驗、能力以及在先前公司所做的事情。”

6. 糟糕的格式、新手錯誤和意外的誤傳

即便是在LinkedIn、社交媒體和互聯網搜索的時代，參與招聘首席信息安全官的高管和董事會成員仍然非常重視求職者的簡歷。Hannon說，“任何參與面試過程的人都有可能關注簡歷。”

然而，Hannon表示，許多求職者仍然沒有正確掌握撰寫簡歷的基本知識，他們仍然會看到簡歷中的拼寫錯誤、聯系信息等數據缺失以及格式錯誤。他們建議求職者通過注意長度、格式和準確性方面的一些基本規(guī)則對自己的簡歷進行審查。

Parezo表示，首席信息安全官的簡歷通常在三頁以上，但不應該太多。他看到過一些冗長的簡歷，其中一份長達10頁，這名求職者對其在過去幾十年中的每一個職位進行了描述。他補充說“這沒有必要，30年前所做的事與首席信息安全官并不真正相關。”

求職者的簡歷應該井井有條，首先強調的是作為首席信息安全官的執(zhí)行能力和商業(yè)價值。而技術技能、專業(yè)認可、協會關系以及教育細節(jié)等信息需要進一步優(yōu)化，應該根據所尋求的特定職位進行更新和定制。

與此同時，求職者應該確保其簡歷中的信息與其LinkedIn個人資料和在線個人資料以及公開的企業(yè)信息相匹配。Athawale公司表示，他看到一些求職者將自己描述成為上一家公司的首席信息安全官，而實際上他們只是擔任信息安全副總裁或其他職位。招聘人員和雇主通常會核實求職者以往的職位和在職日期，因此提供準確信息至關重要。

正如Hannon所說：“這些都是第一印象，因此需要確保做對。”