信息安全职业生涯
作者:赵彦 转自:chinaunix信息安全版
本文仅代表个人观点,并且笔者已经离开这个行业,所以文中观点难免出现不客观之处。此外,对于行业之内的从业,可以参考我写的《信息安全从业参考》
http://bbs.chinaunix.net/viewthread.php?tid=711737&extra=page%3D1
假设你是一个刚毕业的学生,无非有两种方式,top-down和down-top的方式,但无论如何,此时你都不可能站在一个很高的视角上,因为你缺乏知识和经验。
down-top从安全公司做技术开始,由网络安全逐渐向信息安全过渡,top-down从四大或咨询公司开始,一开始就走咨询的模式。但我想大多数都是从做技术开始的。
假设把职业技能分级的话,我认为大致可以分为几类:
战略 - 管理 - 技术(技术管理)
技术的东西其实很容易学,操作系统、网络、数据库等无非就是依葫芦画瓢,学生时代花点力气自学即使不敢用精通(如果你的水平超过在职从业人员的平均水平,你就可以用精通,水平的高低完全不在于年龄的大小,也不在于从业时间的长短),熟悉还是可以的吧,计算机平台以外的信息技术可以到接触信息安全的时候再学业无所谓,毕竟信息安全的大头还是计算机网络通讯。如果你把这些想的很难,那你学起来一定很“艰辛”,如果你不把这些当成是什么,那么学起来自然很轻松。很多在外行人看来是大牛的角色,如果客观的用“知识容量”来衡量的话,就不会盲目崇拜了。
我个人认为CISSP的内容其实还不属于管理,更多的属于技术管理或技术的范畴。
如果进度比较快的话,技术基础学生时代即可完成,工作后主要是接触一些企业运营系统,了解各个行业中IT系统如何支撑业务运营,了解企业中的组织结构和角色、职能。
当试图向信息安全管理过渡的时候,首先必须切换自己的视角,不要时时处处都抱着技术的视角去看待并解决问题。那些国际安全标准和IT治理的最佳实践学起来一点都不难,难在如果你不懂企业管理、不了解企业运营、不了解行业的IT系统特性而硬要生搬硬套做咨询的话,就会发现一个知识大空洞。
很多人的职业生涯都“死”在视角切换不过去,不能站在更高的角度看问题。当然喜欢做技术倒也无可厚非。
从普通的技术人员向顾问过渡之后,即将面临职业生涯的第一个瓶颈,第一种选择是去甲方当CSO。
管理体系成熟的大公司可能会有以下职位:
首席风险官,CRO
首席安全官,CSO/CISO
首席保密官,CPO
内部审计总监
CRO,风险管理总监实际上主要是管理财务风险,IT风险只是其次,所以技术出身的人基本不可能胜任这个职位。
CSO,信息安全总监,出现频率最高,最有可能的职位。
另一方面,在国内单独设置风险/安全管理职位的企业并不多,一般是境外上市公司为了符合国外法规的治理合规性需求,或者是规模较大,对风险和信息控制比较敏感的企业。
如果你在企业组织架构中的位置远离最佳实践的治理水平,手脚施展不开,做不了事情,那就请联系猎头跳槽吧。
CSO不仅要精通信息安全技术,更要了解管理和商业,虽然总也有人试图对我表达一个精通技术的安全管理者是多么称职,但事实上,技术不是第一位的,包括如何借助国际标准建立ISMS的方法论等都是相对简单的事情,对CSO来说在组织中成功开展工作最重要的能力是EQ
一种职业发展是行业过渡,比如去甲方做CSO可以把自己换到任何一个行业,而另一种职业发展则是专业过渡,比如由纯粹的安全管理变成IT治理、风险管理,甚至变成财务风险管理,完全转变自己工作的性质内容和性质。
任何一个行业,任何一项职业发展都会有上限。一种“模式”必然伴随了一种“结果”。如果你选择了走某条道路,那么其结果也是八九不离十。大多数人工作多年后抱怨失去成长空间,其实就是没有规划,视野狭隘所致。实际上抱怨大可不必,因为这种阶段性的结果是完全可以提前预知的,每个人都必须为自己的选择承担结果。在你选择走这条路之前你就应该知道这条路通向何方!
虽然全球信息化趋势不可阻挡,这也造就了很多IT企业并向社会提供了大量的IT就业机会。但我并不看好那些狭义的IT职位。虽然常话说条条大路通罗马,但实际上不同的行业随着其资本积累速度和需求容量的不同,潜在的暗示着不同的行业仍有高低贵贱之分,就像CSO永远无法与CFO相提并论一样。如果你觉得行业的太容易走到“头”,那么尝试切换专业是必要的。对信息安全从业者来说比较明显的出路是找一家“面子”很大的咨询公司,自己尝试读MBA+自学补全财务,金融方面的知识,由IT风险管理转向真正的企业管理咨询或财务咨询,以后的出路才可能宽一些。这种模式可以再生出一棵很庞大的职业发展树,不过就此打住。
那些专注于技术本身的从业者,出路都不会很大。创业虽然也有蓝海,但是蓝海的SIZE对于这个行业来说本质上都很小,红海更是已经被争夺的一塌糊涂,并且你的成长速度将决定是否能在仅存的蓝海中活下来。
到甲方的话,CSO就是尽头吗?也不尽然,CSO可以继续变成CIO,关键在于自己的能力积累和角色转变。如果CIO成为推动利润大幅增长的的变革者,潜在的承担CGO(G:Growth),那么成为COO甚至CEO都是可能的,如果不能成为变革者,或者CIO只承担有限责任地位不高,那么CIO的职业生涯将到此为止。
自己的成长和环境选择是内因,职业发展还依赖于另一个外因:你所拥有的社会资源以及你整合资源的能力。学无止尽,时刻充电提高自己的能力和视野都是必要的,你所学到的知识不会因为公司不重视而贬值,社会需求将决定你的价值。
对时间的利用犹如投资,必须考虑:机会成本,投资组合,收益回报和风险。你今天走了这条职业发展的路,就没有时间走另外一条。你是在走慢速通道还是高速公路,还是坐飞机?假如道路A失败,你将如何延续发展等……
本文举了一些例子,实际上暗示了任何行业、任何职业都有职业再造,二次发力的可能。战略性的职业规划,有计划的迁移自己的知识和能力的重心,超越职业禁锢,不墨守陈规,做自己感兴趣并且有挑战的事情。
路不是越走越宽就是越走越窄,很多人觉得没有回头路就是因为只走不想,或者是几年前为了捡眼前的芝麻而丢了西瓜。大多数人蜂拥而去的方向往往是空间狭窄的,聪明的人从来不随大流,站在十字路口应该静下来想一想,我到底要以多少速度走哪条路?
本文的目的不在于向你穷尽职业发展的所有的轨迹,你至少应该明白那些“常规模式”只是目光短浅者自己给自己下套而已。不受传统观念的束缚,你将看到更广阔的空间,不过话不能道尽,剩下的留给读者自己想吧。