7大原則成就完美信息安全職業生涯
作者簡介:
Roger A. Grimes
Roger A. Grimes 持有40多種計算機科學與技術認證,撰寫了10本計算機安全圖書。自1987年起,從反匯編早期DOS病毒開始,一直奮戰在抗擊惡意軟件及惡意黑客第一線。他專精主機防護,接受財富100強及中小企業的安全咨詢。作為行業演講者和教育者,Roger目前在KnowBe4工作,擔任數據驅動型防御傳道者。
Roger A. Grimes 自1987年起就從事IT行業了,剛開始是PC故障診斷員和安全顧問,后來一步步從培訓講師、網絡技術員、網絡監管員、網絡及技術總監、IT副總裁、首席安全架構師一路走來,最后成為了傳道者。期間他一直在跳槽,但有時也會在同一家公司待上十年。他招聘過數百名員工,看過數千份簡歷,也辭退過幾十個人。在IT職業道路上,他有很多的感悟。
Roger A. Grimes 在需具備哪些特質才能享受輝煌長青的IT安全職業生涯方面可算是頗有心得。其中最重要的有以下7個:
1. 積極主動
招聘經理對能進入到面試環節的應聘者所需具備的品質有自己的一套最低標準。只要你坐到了面試的位置上,能否被聘用就看你是不是個有主見,做事主動的人了。
所有雇主都希望招聘到的人能夠不用自己操心就會做好交待下去的事。如果我面試的人讓我覺得他們不僅聰明能干,還能讓我的生活變得更加輕松,那我會盡我最大的努力讓他們成為我的雇員。這些做事積極的應聘者讓我的事業一帆風順,他們不推諉塞責,而且能夠快馬加鞭地把事情做好。
我經常聘用那些不具備所有必備技能和知識的人,因為我知道他們能很快適應,而一旦他們具備了必備的知識和技能,就會變得非常優秀。雇主最喜歡聘用那些能干而有上進心的人。你只要提出要求,他們就知道該怎么樣推進這件工作,而不需要你手把手地教導并敦促。
2. 學習并展示所知
這條歸結到學歷或證書。二者兼而有之更好。雇主想知道自己招聘到的人具備工作所需的知識,了解自己將要從事的工作。大多數雇主,在初篩之后都會想要應聘者具備相應的知識和經驗。沒有哪個雇主會僅看中一種學習類型。
學位或證書確實能說明一些自學和經驗所不能說明的東西。一個學位或一張證書并不意味著持有者在特定領域更加聰敏,但確實能反映出目標設置、規劃管理和成功上的一些傾向。這些品質只會是加分項。
另外,最好的雇員會結交所需知識領域里比自己更強的人。如今這個互聯社會里就更容易做到這一點了。無論你關注的安全領域是什么,你都可以加入多個群組,關注多個博客、網站,傾聽相關專業人士都在討論什么話題。即便你不認為他們在某方面懂得比你多,總能學到點兒什么。想變得更聰明?那就多跟比你聰明的人玩。
3. 每5-10年重塑一遍技能
這是最重要的建議之一。25年前,我很擅長反匯編DOS計算機病毒。1990年代,我成為了宏和電子郵件病毒大師。進入新世紀,我盡我所能地學習了有關Windows病毒的一切。2010年代,我開始關注高級持續性威脅(APT)、犯罪軟件和活動目錄(AD)安全,并隨著云技術的興盛而推進到云安全領域。
IT領域每5-10年大變樣。所以你的技術也應該每5-10年翻新一次。這可以確保你總是最新趨勢的專家。但不是所有一時的風潮都能成為長期的趨勢,就像90年代進入手機市場的蘋果和微軟 (還記得蘋果Newton和微軟 Windows CE 掀蓋式手機嗎?)
其中關鍵就在于分辨哪種技術具備持久耐力。我的首要原則就是:如果多家公司傾注巨資(如虛擬化和云技術),那這股風潮很可能就是長期性的。遵循這條原則或許不能保證100%正確,但絕大多數時候都是很管用的。
那么,當前有什么新興技術頗具潛力呢?量子計算!幾十個國家數百家公司在量子計算上上百億地砸錢,趨勢已經非常明顯了。還有一個例子:容器和微服務。每種新興技術都會引入自己的安全問題和挑戰,只要未雨綢繆,你就能成為該技術的專家——這種專業技能就是盈利的保障。
4. 磨礪溝通技能
良好的口頭交流與書面表達能力能令你脫穎而出。股神巴菲特就強烈建議人們都修煉好溝通能力。作為極客,即便溝通能力不佳也能謀得一份工作,但這需要潛在雇主不在意這一點并費心發現你的技術才能才行。
我已經寫了10本關于計算機安全的書了,雜志文章更是發表了上千篇。最初的時候,我開始寫作是因為自己寫作水平很糟糕。剛工作時就有一位雇主告訴了我這一點。直到現在,我的文章要發表也需要再做大量編輯工作,電子郵件里面更是經常出現拼寫錯誤。但不得不寫的過程讓我成為了更好的書面溝通者。而且,一旦開始寫計算機安全方面的文章,你就必須去學習更多相關知識。
5. 理解安全的地位
必須要認清計算機安全的真正地位。有時候,在我們那缺乏遠見的世界觀中,我們能看到的只有不斷上升的風險和人們對數據安全保護工作的長期無視。這些人但凡肯多聽取一點計算機安全專家的建議,他們的自我防護都能做得更好。
一旦你認識到計算機安全不是大多數公司企業或用戶的最主要考慮,你就能理解自己所做任何事背后的機制。以生活中常見的金融交易為例。用戶不過是掏出信用卡,插入讀卡器,簽個誰都不會認真核對的名字,完事兒。這是純粹的安全舞臺。銀行和幾乎每家金融機構都接受這種只用最起碼的驗證就能花錢的卡。大多數情況下這種機制是可行的。
當然,這些交易還是有很多安全監管的。只要信用卡公司發現可疑交易,交易就會被暫停,要求更多驗證才能繼續。但相比100%杜絕欺詐交易,銀行更喜歡用戶能長期持有并使用他們的卡——方便快捷的使用體驗才能獲得用戶青睞。
每項生意背后都有其商業機制。計算機安全固然重要,但并不是商家的頭號考慮。公司企業的首要目標是盈利,除此以外都是次要考慮,包括計算機安全。事實上,除非吃到苦頭,否則公司企業才不會認真考慮計算機安全的價值。越早認識到這一點,你的職業道路能走得越順暢。最好的IT安全人士都知道什么時候該說,什么時候該聽。
6. 慎選戰場
做出安全/可用性上的取舍在所難免,很多時候都會覺得公司以盈利為名對安全漠然置之。我都記不清自己有多少次極為反對公司無視安全風險的商業決策了。
但這些 “錯誤” 的商業決策很少招致真正的安全事件。安全不是非此即彼的,而是關于風險的權衡。如果你堅信某種理念,說出來。然后,不要再管自己的看法,遵從公司的商業決策。只有當你絕對準備好付出你的政治資本時(你擁有的政治資本永遠沒你認為的那么多),再據理力爭。但即便到了這種時候,也要學會適時讓步。
我周圍曾有無數超級聰明的計算機安全專家,他們為自己認為值得的每一件事力爭到底。但無論他們有多睿智,他們的抗爭通常都只會導致自己失去這份工作——要么被炒,要么辭職。如果你想每幾個月就換一份工作,盡管去戰斗。否則,慎選戰場,保持事業長青。
7. 享受你的事業
計算機安全世界有很多賺錢的途徑。我的首要建議是:選擇你真正喜歡的領域。只有真正喜歡,你才能不僅干得更好,還能在做繁瑣事務的日子里(文書、預算、開會等等)也保持繼續下去的動力。能干自己想干的工作是極其幸運的事,世上很少有人能做到(否則職業足球隊、籃球聯賽的規模會大上很多倍),但你可以選擇所從事行業中自己最喜歡的部分。
我很幸運。我遵從,或者說學會了這些原則,成就了成功的IT職業生涯。其中一些原則我是提前學會的,另一些則是慘痛的教訓教會我的。如果你走心閱讀這篇文章,相信你會有一段愉快、成功又持久的職業生涯。祝你好運!
