به نوعی، پیشرفت کردن در حوزه امنیت خیلی متفاوت از موفقیت در دیگر مسیرهای شغلی نیست: یک سابقهی تحصیلی خوب، سابقهی کاری مناسب و دانش کافی از اصول حرفه. با این وجود، مسیر امنیتی خطرات و ریسکهای خود را برای شکست به همراه دارد که میتواند یک شبه خود را نشان دهد، از این رو فرآیند انتخاب میتواند بسیار دقیق باشد. از این رو دستیابی به آمیختهی مناسب از تخصصها و مدارک – تحصیلی، سابقه و گواهینامهها – حیاتی است. زمانی که حرف از مسیر شغلی در فناوری اطلاعات به میان میآید، جان چلنجر مدیر عامل شرکت Challenger, Gray & Christmas که در زمینهی استخدام و کاریابی فعال است میگوید کسانی که در پستهای رهبری و مدیریتی هستند «باید درک و آشنایی مناسبی نسبت به انواع فناوریها داشته باشند.» به علاوه وی میافزاید شرکتها در حال جذب کردن نیروهایی هستند که سوابق قوی و مداومی دارند. «آنها اهمیت نمی دهند اگر شما خیلی بالا و پایین میپرید و تحرک دارید. میخواهند مدارکی ببینند که شما محیط را درک کرده، مهارتهایی اجرایی داشته، و میتوانید برنامههای و تجهیزات لازم را پیادهسازی کنید.» چیزی که برای کاندیداها و متقاضیان شغل بسیار موثر است توانایی در برطرف کردن یک چالش امنیتی در گذشته بوده است. برای متخصصان امنیتی، مخصوصا مدیران ارشد امنیتی، داشتن یک مدرک از دانشگاه معتبر کافی نیست، حتی داشتن یک سابقهی کاری قوی نیز کافی نیست. حتی گاهی داشتن گواهینامهی مهارت هم کافی نیست (اگرچه بسیار مهم است). در عوض متخصصان باید بتوانند نشان دهند که بازی را بلد هستند، جلوتر از تهدیدات امنیتی قرار گرفته و به خوبی میتوانند در مقابل تهدیدات امنیتی بایستند. برای مثال، طبق مطالعه جهانی نیروی کار امنیت اطلاعات، حدود 70 درصد از شرکت کنندگان داشتن گواهینامه را به عنوان یک شاخص مهم شایستگی معرفی کردند، و اعلام کردند که دانش و گواهینامه مهارت در احراز شغلها و پیشرفت شغلی بسیار تاثیر گذار هستند. همانطور که استیو سانتورلی، مدیر توسعه جهانی در Team CYMRU میگوید، «داشتن گواهینامه کامل نیست، ولی برای ارزیابی متخصصان امنیتی یک پایه است.» در واقع، جاناتان گوسلس، رئیس و مدیرعامل شرکت SystemExperts، که یک شرکت مشاوره در زمینه شبکه است، یکی از آنهایی است که در مورد مهارت کسانی که در پست مدیر ارشد امنیت میبیند شک دارد. او میگوید «زمانی که یک عنوان مانند مدیر ارشد، کارشناس ارشد عملیات، یا مدیر ارشد مالی را میبینید، میدانید که این فرد یک کارشناس باسابقه است که دانش وسیعی در زمینهی کسب و کار دارد.» آنها شایستهی عنوان «ارشد» هستند چون شرکت را اداره میکنند. وی میگوید با این وجود، مانند دیگر همتایانشان، مدیران ارشد امنیت اختیارات بسیار کمی دارند. «اغلب اوقات آنها متخصصان فنی هستند که بیشتر از حدی که باید ارتقای شغلی یافته اند که تنها درختان را دیده و جنگل را نمی بینند. آنها اغلب اوقات در پیدا کردن ارتباطی میان اقدامات امنیتی و استراتژیهای کسب و کاری در سازمان با مشکل مواجه هستند. به علاوه بسیاری از آنها به این دلیل که مانند همتایان دیگر در رده «ارشد» مورد احترام قرار نمی گیرند سرخورده شده اند. به عقیدهی گوسل، موفقترین مدیران ارشد امنیتی آنهایی هستند که مدیران بزرگی هستند. آنها مهارتهای کسب و کاری خوبی دارند. آنها امنیت را هم از لحاظ استراتژیک و هم از لحاظ عملیاتی وارد تار و پود سازمان میکنند. او میافزاید «آنها به دیگران انگیزه داده و آنها را رهبری میکنند. آنها اولویت بندی میکنند. آنها به خوبی ارتباط برقرار میکنند. آنها بازار خود را میشناسند و میدانند که شرکتشان برای موفقیت به چه چیزی نیاز دارد.» با این وجود مهارتهای فنی خیلی اهمیت دارد و یکی از روشهای نشان دادن این دانش گواهینامه است. تری اردل نایب رئیس CompTIA میگوید یک گواهینامه که مهارتهای خاص افراد را تایید کند خیلی مهم است چون در حوزه ای که مدام در حال تغییر است یک پل ارتباطی ایجاد میکند. به عقیدهی اردل، برای رسیدن به نقشهای رهبری در حوزه امنیت، دانش فناوری و دانش کسب و کاری به طور همزمان نیاز است. در (2 ISC) هورد تیپتون، مدیر اجرایی، توسعهی مسیر شغلی را به مثابه یک نوع هرم میداند. او میگوید «ما به افرادی بسیار باهوش نیاز داریم تا مشکلات بسیار سخت را در کف هرم حل کنند، همچنین به افرادی حرفه ای نیاز داریم که میانهی محیط امنیتی را مدیریت کرده و با بالاتر رفتن آنها به دانش بیشتری نیاز داشته باشند. ما معمولاً کسانی را جذب میکنیم که در سطوح پیشرفته هستند، ولی علاوه بر آن به کسانی که تجربهی لازم و عملکرد فردی بالایی دارند نیاز داریم.» با این وجود هنوز کسانی هستند که در مورد گواهینامهها خیلی محتاطانه عمل میکنند. کوین مورای، مدیر Murray Associates میگوید «در مورد گواهینامهها باید دقت زیادی به خرج داد. برخی از آنها معنای زیادی داشته و اعتبار زیادی را برای مالک آن به همراه دارند. متاسفانه برخی از آنها هم هستند که ارزش کمی داشته و کلاهبرداری هستند.» با وجود اینکه خود وی گواهینامههایی دارد، ولی میگوید با افزایش بدون کنترل گواهینامهها و وفور آنها، ارزششان پایین آمده و با تمام آنها به یک صورت برخورد میشود. برای کسی که میخواهد یک متخصص امنیتی استخدام کند، این به منزلهی این است که فردی که گواهینامههای بیشتری دارد، صاحب صلاحیت بیشتری است. کسانی که گواهینامههای باکیفیتی دارند درست مانند کسی جلوه میکنند که گواهینامههای زیادی از صادر کنندههای بی کیفیت و نامعتبر دارد. مورای ولی عقیده دارد که کمی سازی ارزش سابقه تحصیلی آسانتر است. با افزایش وسعت تحصیلات، ارزش آن نیز افزایش مییابد. برخی دیگر عقیده دارند که باید گواهینامهها را در چشم انداز قرار داد. آلان بوردمن، نایب رئیس بین الملل ISACA میگوید «داشتن گواهینامه و بخشی از یک سازمان حرفه ای بودن ثابت میکند که فرد با الزامات آموزشی مستمر را سازگاری داشته، بخشی از یک جامعهی حرفهای جهانی است، و در اشتراک گذاری دانش سهیم است و با پیشرفتهای انجام گرفته همگام است.» ولی چیزی که اهمیت دارد نتایج است. بوردمن میگوید که یک مدیر ارشد امنیتی موفق باید بتواند تصویر بزرگ تر را ببیند و به سازمان کمک کند تا به اهدافش برسد. او میگوید «مدیران امنیتی باهوش از امنیت اطلاعات استفاده میکنند تا به سازمان کمک کنند تا درآمدهای خود را افزایش دهد.».