7大原则成就完美信息安全职业生涯
作者:星期二, 四月 2, 20190

作者简介:

Roger A. Grimes

Roger A. Grimes 持有40多种计算机科学与?#38469;?#35748;证,撰写了10本计算机安全?#38469;欏?#33258;1987年起,从反汇编早期DOS病毒开始,一直奋战在抗击恶意软件及恶意黑客第一线。他专精主机防护,接受?#32856;?00强及?#34892;?#20225;业的安全咨询。作为行业演讲者和教育者,Roger目前在KnowBe4工作,担任数据驱动型防御传道者。

Roger A. Grimes 自1987年起就从事IT行业了,刚开?#38469;荘C故障诊断员和安全顾问,后来一?#35762;?#20174;培训讲师、网络?#38469;?#21592;、网络监管员、网络及?#38469;?#24635;监、IT副总裁、首席安全架?#25925;?#19968;路走来,最后成为了传道者。期间他一直在跳槽,但有时也会在同一家公司待上十年。他招聘过数百名员工,看过数千份简历,也辞退过几十个人。在IT职业道路上,他有很多的感悟。

Roger A. Grimes 在需具备哪些特质才能享受辉煌长青的IT安全职业生涯方面可算是颇?#34892;?#24471;。其中最重要的有以下7个:

1. 积极主动

招聘经理对能进入到面试?#26041;?#30340;应聘者所需具备的品质有自己的一套最低标准。只要你坐到了面试的位置上,能否被聘用就看你是不是个有主见,做事主动的人了。

所有雇主都希望招聘到的?#22235;?#22815;不用自己操心就会做好交待下去的事。如果我面试的人让我觉得他们不仅聪明能干,还能让?#19994;?#29983;活变得更加轻松,那我会尽我最大的努力让他们成为?#19994;?#38599;员。这些做事积极的应聘者让?#19994;?#20107;业一帆风顺,他们?#29004;期?#22622;责,而且能够快马加鞭地把事情做好。

我经常聘用那些不具备所有必备技能和知识的人,因为我知道他们能很快适应,而一旦他们具备了必备的知识和技能,就会变得非常优秀。雇主最?#19981;?#32856;用那些能干而有上进心的人。你只要提出要求,他们就知道该怎么样推进这件工作,而不需要你?#32844;?#25163;地教导并敦促。

2. 学?#23433;⒄故?#25152;知

这条归结到学历或证书。二者兼而有之更好。雇主想知道自己招聘到的?#21496;?#22791;工作所需的知识,了解自己将要从事的工作。大多数雇主,在初筛之后都会想要应聘者具备相应的知识和经验。没有哪个雇主会仅看中一种学习类型。

学位或证书确?#30340;芩得?#19968;些自学和经验所不能?#24471;?#30340;东西。一个学位或一张证书并不意味着持有者在特定领域更加聪敏,但确?#30340;芊从?#20986;目标设置、规划管理和成功上的一些倾向。这些品质只会是加分项。

另外,最好的雇员会结交所需知识领域里比自己更强的人。如今这个互联社会里就更容易做到这一点了。无论你关注的安全领域是?#35009;矗?#20320;都可以加入多个群组,关注多个博客、网站,倾听相关专业人士都在讨论?#35009;?#35805;题。即便你不认为他们在某方面懂得比你多,总能学到点儿?#35009;礎?#24819;变得更聪明?那就多跟比你聪明的人玩。

3. 每5-10年重塑一遍技能

这是最重要的建议之一。25年前,我很擅长反汇编DOS计算机病毒。1990年代,我成为了宏和电子?#22987;?#30149;毒大师。进入新世纪,我尽我所能地学习了有关Windows病毒的一?#23567;?010年代,我开始关注高级持续性威胁(APT)、犯罪软件和活动目录(AD)安全,并随着云?#38469;?#30340;兴盛而推进到云安全领域。

IT领域每5-10年大变样。所以你的?#38469;?#20063;应该每5-10年翻新一次。这可以确保你总是最新趋势的专家。但不是所有一时的风潮都能成为长期的趋势,就像90年代进入手机市场的苹果和微软 (还记得苹果Newton和微软 Windows CE ?#32856;?#24335;手机吗?)

其中关键就在于分辨哪种?#38469;?#20855;备持久耐力。?#19994;?#39318;要原则就是:如果多家公司倾注巨资(如虚拟化和云?#38469;?,那这股风潮很可能就是长期性的。遵循这条原则或许不能保证100%正确,但绝大多数时候?#38469;?#24456;管用的。

那么,当前有?#35009;?#26032;兴?#38469;?#39047;具潜力呢?量子计算!几十个国家数百家公司在量子计算上上百亿地砸钱,趋势已经非常明显了。还有一个例子:容器和微服务。每种新兴?#38469;?#37117;会引入自己的安全问题和挑战,只要?#20174;?#32504;缪,你就能成为该?#38469;?#30340;专家——这种专业技能就是盈利的保障。

4. 磨砺?#20302;?#25216;能

?#24049;?#30340;口?#26041;?#27969;与书面表达能力能令你脱颖而出。股神?#22836;?#29305;就强烈建议人们都修炼好?#20302;?#33021;力。作为极客,即便?#20302;?#33021;力不佳也能谋得一份工作,但这需要潜在雇主不在意这一点并费心发现你的?#38469;?#25165;能才行。

我已经写了10本关于计算机安全的书了,杂志文章更是发表了上千篇。最初的时候,我开始写作是因为自己写作水平很糟糕。刚工作时就有一位雇主告诉了我这一点。直到现在,?#19994;?#25991;章要发表也需要再做大量编辑工作,电子?#22987;?#37324;面更是经常出现拼写错误。但不得不写的过程让我成为了更好的书面?#20302;?#32773;。而且,一旦开始写计算机安全方面的文章,你就必须去学习更多相关知识。

5. 理解安全的地位

必须要认清计算机安全的真正地位。有时候,在我们那缺乏远见的世界观中,我们能看到的只?#32961;?#26029;上升的风险和人们对数据安全保护工作的长期无视。这些人但凡肯多听取一点计算机安全专?#19994;?#24314;议,他们的自我防护都能做得更好。

一旦你认识到计算机安全不是大多数公司企业或用户的最主要考虑,你就能理解自己所做任何事背后的机制。以生活中常见的金融交易为例。用户不过是掏出信用卡,插入?#37327;?#22120;,签个谁都不会认真核对的名字,完事儿。这是?#30475;?#30340;安全舞台。银行?#22270;?#20046;每家金融机构都接受这种只用最起码的验证就能花钱的卡。大多数情况下这种机制?#24378;?#34892;的。

?#27604;唬?#36825;些交易还是有很多安全监管的。只要信用卡公司发现可疑交易,交易就会?#36745;?#20572;,要求更多验证才能继续。但相比100%杜绝欺诈交易,银行更?#19981;?#29992;户能长期持?#32961;?#20351;用他们的卡——方便快捷的使用体验才能获得用户青睐。

每项生意背后都有其商业机制。计算机安全固然重要,但并不是商?#19994;耐?#21495;考虑。公司企业的首要目标是盈利,除此以外?#38469;譴我?#32771;虑,包括计算机安全。事实上,除非吃到苦头,否则公司企业才不会认真考虑计算机安全的价值。越早认识到这一点,你的职业道路能走得越顺畅。最好的IT安全人士都知道?#35009;词?#20505;该?#25285;裁词?#20505;该听。

6. 慎选战场

做出安全/可用性上的取舍在所难免,很多时候都会觉得公司以盈利为名对安全漠然置之。我?#25216;?#19981;清自己有多少次极为反对公司无视安全风险的商业决策了。

但这些 ?#25353;?#35823;” 的商业决策很少招致真正的安全?#24405;?#23433;全不是非此即彼的,而是关于风险的权衡。如果你坚信?#25345;?#29702;念,说出来。然后,不要再管自己的看法,遵从公司的商业决策。只有当你绝对准备好付出你的政治资本时(你拥有的政治资本永远没你认为的那么多),再据理力争。但即便到了这种时候,也要学会适时让步。

我周围曾有无数超级聪明的计算机安全专家,他们为自己认为值得的每一件事力争到底。但无论他们有多睿智,他们的抗争通常都只会导致自己失去这份工作——要么被炒,要么辞职。如果你想每几个月就换一份工作,尽管去战斗。否则,慎选战场,保持事业长青。

7. 享受你的事业

计算机安全世界有很多赚钱的途径。?#19994;?#39318;要建议是:选择你真正?#19981;?#30340;领域。只有真正?#19981;叮?#20320;才能不仅干得更好,还能在做?#24444;?#20107;务的日子里(文书、预算、开会等等)也保持继续下去的动力。能干自己想干的工作是极其?#20197;?#30340;事,世上很少有?#22235;?#20570;到(否则职业足球队、篮球联赛的规模会大上很多倍),但你可以选择所从事行业中自己最?#19981;?#30340;部分。

我很?#20197;恕?#25105;遵从,或者说学会了这些原则,成就了成功的IT职业生涯。其中一些原则我是提前学会的,另一些则是惨痛的教训教会?#19994;摹?#22914;果你走心阅读这篇文章,相信你会有一段愉快、成功又持久的职业生涯。祝你好运!

相关阅读

?#20302;?#20026;王:安全人员必备的软技能

优秀网络安全从业者的五项核心技能

网络安全人员最需要具备的顶级技能是?#35009;矗?/a>

 

分享:
0

相关文章

写一条评论

 

 

0条评论