首先還是為大家說說我對這個職業的印象:
這個職業呢往往和計算機搭邊,所以可以想象到要學的東西還是很多的,像最基礎的C語言、作業系統、資料庫等都是要求要掌握的,因此想要當一個合格的信安工作人員不下點苦功夫是很難的,而至於說它的工作方面也是很廣的,大體來說可以分為business和technique兩個方向,business的話,通常是保證公司穩定運營、合規、降低風險的,比如風險分析、合規等;technique方向的話方向就更多,更專業也更深入,比方說滲透測試、網路安全、病毒研究等,所以還是要分清楚自己更適合哪一方向再決定一個勁兒地鑽研,當然這個職業除了辛苦外也是偉大的,畢竟是保護大家的資訊保安,他們(信安工作人員)不僅預防資訊洩露也要做出一系列的應急措施還有相應的管理方法,說了這麼多,其實這份職業要求應該挺高,但是獲得的回報也是成比例的,還是希望對資訊保安方面感興趣的朋友們積極加入進來。
假設把職業技能分級的話,我認為大致可以分為幾類:
戰略 - 管理 - 技術(技術管理)
技術方面:
技術的東西其實很容易學,作業系統、網路、資料庫等無非就是依葫蘆畫瓢,學生時代花點力氣自學即使不精通(如果你的水平超過在職從業人員的平均水平,你就算是精通了,水平的高低完全不在於年齡的大小,也不在於從業時間的長短),熟悉還是可以的吧,計算機平臺以外的資訊科技可以到接觸資訊保安的時候再學也無所謂,畢竟資訊保安的大頭還是計算機網路通訊。如果你把這些想的很難,那你學起來一定很“艱辛”,如果你不把這些當成是什麼,那麼學起來自然很輕鬆。很多在外行人看來是大牛的角色,如果客觀的用“知識容量”來衡量的話,就不會盲目崇拜了。
我個人認為CISSP的內容其實還不屬於管理,更多的屬於技術管理或技術的範疇。
如果進度比較快的話,技術基礎學生時代即可完成,工作後主要是接觸一些企業運營系統,瞭解各個行業中IT系統如何支撐業務運營,瞭解企業中的組織結構和角色、職能。
當試圖向資訊保安管理過渡的時候,首先必須切換自己的視角,不要時時處處都抱著技術的視角去看待並解決問題。那些國際安全標準和IT治理的最佳實踐學起來一 點都不難,難在如果你不懂企業管理、不瞭解企業運營、不瞭解行業的IT系統特性而硬要生搬硬套做諮詢的話,就會發現一個知識大空洞。
很多人的職業生涯都“死”在視角切換不過去,不能站在更高的角度看問題。當然喜歡做技術倒也無可厚非。
管理方面:
從普通的技術人員向顧問過渡之後,即將面臨職業生涯的第一個瓶頸,第一種選擇是去甲方當CSO。
管理體系成熟的大公司可能會有以下職位:
首席風險官CRO,
首席安全官CSO/CISO,
首席保密官CPO,
內部審計總監。
CRO,風險管理總監實際上主要是管理財務風險,IT風險只是其次,所以技術出身的人基本不可能勝任這個職位。
CSO/CISO,資訊保安總監,出現頻率最高,最有可能的職位。另一方面,在國內單獨設定風險/安全管理職位的企業並不多,一般是境外上市公司為了符合國外法規的治理合規性需求,或者是規模較大,對風險和資訊控制比較敏感的企業。
CSO不僅要精通訊息安全技術,更要了解管理和商業,雖然也有人表達一個精通技術的安全管理者是多麼稱職,但事實上,技術不是第一位的,包括如何藉助國際標準建立ISMS的方法論等都是相對簡單的事情,對CSO來說在組織中成功開展工作最重要的能力是EQ。
一種職業發展是行業過渡,比如去甲方做CSO可以把自己換到任何一個行業,而另一種職業發展則是專業過渡,比如由純粹的安全管理變成IT治理、風險管理,甚至變成財務風險管理,完全轉變自己工作的性質內容和性質。
建議:
任何一個行業,任何一項職業發展都會有上限。一種“模式”必然伴隨了一種“結果”。如果你選擇了走某條道路,那麼其結果也是八九不離十。大多數人工作多年後抱怨失去成長空間,其實就是沒有規劃,視野狹隘所致。實際上抱怨大可不必,因為這種階段性的結果是完全可以提前預知的,每個人都必須為自己的選擇承擔結果。在你選擇走這條路之前你就應該知道這條路通向何方!
雖然全球資訊化趨勢不可阻擋,這也造就了很多IT企業並向社會提供了大量的IT就業機會。但我並不看好那些狹義的IT職位。雖然常話說條條大路通羅馬,但實際上不同的行業隨著其資本積累速度和需求容量的不同,潛在的暗示著不同的行業仍有高低貴賤之分,就像CSO永遠無法與CFO相提並論一樣。如果你覺得行業的太容易走到“頭”,那麼嘗試切換專業是必要的。對資訊保安從業者來說比較明顯的出路是找一家“面子”很大的諮詢公司,自己嘗試讀MBA+自學補全財務,金融方面的知識,由IT風險管理轉向真正的企業管理諮詢或財務諮詢,以後的出路才可能寬一些。這種模式可以再生出一棵很龐大的職業發展樹,不過就此打住。
那些專注於技術本身的從業者,出路都不會很大。創業雖然也有藍海,但是藍海的SIZE對於這個行業來說本質上都很小,紅海更是已經被爭奪的一塌糊塗,並且你的成長速度將決定是否能在僅存的藍海中活下來。
到甲方的話,CSO就是盡頭嗎?也不盡然,CSO可以繼續變成CIO,關鍵在於自己的能力積累和角色轉變。如果CIO成為推動利潤大幅增長的的變革者,潛在的CGO(G:Growth),那麼成為COO甚至CEO都是可能的,如果不能成為變革者,或者CIO只承擔有限責任地位不高,那麼CIO的職業生涯將到此為止。
自己的成長和環境選擇是內因,職業發展還依賴於另一個外因:你所擁有的社會資源以及你整合資源的能力。學無止盡,時刻充電提高自己的能力和視野都是必要的,你所學到的知識不會因為公司不重視而貶值,社會需求將決定你的價值。
對時間的利用猶如投資,必須考慮:機會成本,投資組合,收益回報和風險。你今天走了這條職業發展的路,就沒有時間走另外一條。你是在走慢速通道還是高速公路,還是坐飛機?假如道路A失敗,你將如何延續發展等……
首先還是為大家說說我對這個職業的印象:
這個職業呢往往和計算機搭邊,所以可以想象到要學的東西還是很多的,像最基礎的C語言、作業系統、資料庫等都是要求要掌握的,因此想要當一個合格的信安工作人員不下點苦功夫是很難的,而至於說它的工作方面也是很廣的,大體來說可以分為business和technique兩個方向,business的話,通常是保證公司穩定運營、合規、降低風險的,比如風險分析、合規等;technique方向的話方向就更多,更專業也更深入,比方說滲透測試、網路安全、病毒研究等,所以還是要分清楚自己更適合哪一方向再決定一個勁兒地鑽研,當然這個職業除了辛苦外也是偉大的,畢竟是保護大家的資訊保安,他們(信安工作人員)不僅預防資訊洩露也要做出一系列的應急措施還有相應的管理方法,說了這麼多,其實這份職業要求應該挺高,但是獲得的回報也是成比例的,還是希望對資訊保安方面感興趣的朋友們積極加入進來。
接下來我們一起來看看應當如何規劃好這份職業吧:假設把職業技能分級的話,我認為大致可以分為幾類:
戰略 - 管理 - 技術(技術管理)
技術方面:
技術的東西其實很容易學,作業系統、網路、資料庫等無非就是依葫蘆畫瓢,學生時代花點力氣自學即使不精通(如果你的水平超過在職從業人員的平均水平,你就算是精通了,水平的高低完全不在於年齡的大小,也不在於從業時間的長短),熟悉還是可以的吧,計算機平臺以外的資訊科技可以到接觸資訊保安的時候再學也無所謂,畢竟資訊保安的大頭還是計算機網路通訊。如果你把這些想的很難,那你學起來一定很“艱辛”,如果你不把這些當成是什麼,那麼學起來自然很輕鬆。很多在外行人看來是大牛的角色,如果客觀的用“知識容量”來衡量的話,就不會盲目崇拜了。
我個人認為CISSP的內容其實還不屬於管理,更多的屬於技術管理或技術的範疇。
如果進度比較快的話,技術基礎學生時代即可完成,工作後主要是接觸一些企業運營系統,瞭解各個行業中IT系統如何支撐業務運營,瞭解企業中的組織結構和角色、職能。
當試圖向資訊保安管理過渡的時候,首先必須切換自己的視角,不要時時處處都抱著技術的視角去看待並解決問題。那些國際安全標準和IT治理的最佳實踐學起來一 點都不難,難在如果你不懂企業管理、不瞭解企業運營、不瞭解行業的IT系統特性而硬要生搬硬套做諮詢的話,就會發現一個知識大空洞。
很多人的職業生涯都“死”在視角切換不過去,不能站在更高的角度看問題。當然喜歡做技術倒也無可厚非。
管理方面:
從普通的技術人員向顧問過渡之後,即將面臨職業生涯的第一個瓶頸,第一種選擇是去甲方當CSO。
管理體系成熟的大公司可能會有以下職位:
首席風險官CRO,
首席安全官CSO/CISO,
首席保密官CPO,
內部審計總監。
CRO,風險管理總監實際上主要是管理財務風險,IT風險只是其次,所以技術出身的人基本不可能勝任這個職位。
CSO/CISO,資訊保安總監,出現頻率最高,最有可能的職位。另一方面,在國內單獨設定風險/安全管理職位的企業並不多,一般是境外上市公司為了符合國外法規的治理合規性需求,或者是規模較大,對風險和資訊控制比較敏感的企業。
CSO不僅要精通訊息安全技術,更要了解管理和商業,雖然也有人表達一個精通技術的安全管理者是多麼稱職,但事實上,技術不是第一位的,包括如何藉助國際標準建立ISMS的方法論等都是相對簡單的事情,對CSO來說在組織中成功開展工作最重要的能力是EQ。
一種職業發展是行業過渡,比如去甲方做CSO可以把自己換到任何一個行業,而另一種職業發展則是專業過渡,比如由純粹的安全管理變成IT治理、風險管理,甚至變成財務風險管理,完全轉變自己工作的性質內容和性質。
建議:
任何一個行業,任何一項職業發展都會有上限。一種“模式”必然伴隨了一種“結果”。如果你選擇了走某條道路,那麼其結果也是八九不離十。大多數人工作多年後抱怨失去成長空間,其實就是沒有規劃,視野狹隘所致。實際上抱怨大可不必,因為這種階段性的結果是完全可以提前預知的,每個人都必須為自己的選擇承擔結果。在你選擇走這條路之前你就應該知道這條路通向何方!
雖然全球資訊化趨勢不可阻擋,這也造就了很多IT企業並向社會提供了大量的IT就業機會。但我並不看好那些狹義的IT職位。雖然常話說條條大路通羅馬,但實際上不同的行業隨著其資本積累速度和需求容量的不同,潛在的暗示著不同的行業仍有高低貴賤之分,就像CSO永遠無法與CFO相提並論一樣。如果你覺得行業的太容易走到“頭”,那麼嘗試切換專業是必要的。對資訊保安從業者來說比較明顯的出路是找一家“面子”很大的諮詢公司,自己嘗試讀MBA+自學補全財務,金融方面的知識,由IT風險管理轉向真正的企業管理諮詢或財務諮詢,以後的出路才可能寬一些。這種模式可以再生出一棵很龐大的職業發展樹,不過就此打住。
那些專注於技術本身的從業者,出路都不會很大。創業雖然也有藍海,但是藍海的SIZE對於這個行業來說本質上都很小,紅海更是已經被爭奪的一塌糊塗,並且你的成長速度將決定是否能在僅存的藍海中活下來。
到甲方的話,CSO就是盡頭嗎?也不盡然,CSO可以繼續變成CIO,關鍵在於自己的能力積累和角色轉變。如果CIO成為推動利潤大幅增長的的變革者,潛在的CGO(G:Growth),那麼成為COO甚至CEO都是可能的,如果不能成為變革者,或者CIO只承擔有限責任地位不高,那麼CIO的職業生涯將到此為止。
自己的成長和環境選擇是內因,職業發展還依賴於另一個外因:你所擁有的社會資源以及你整合資源的能力。學無止盡,時刻充電提高自己的能力和視野都是必要的,你所學到的知識不會因為公司不重視而貶值,社會需求將決定你的價值。
對時間的利用猶如投資,必須考慮:機會成本,投資組合,收益回報和風險。你今天走了這條職業發展的路,就沒有時間走另外一條。你是在走慢速通道還是高速公路,還是坐飛機?假如道路A失敗,你將如何延續發展等……