信息安全職業發展規劃?
本科計算機專業,但計算機渣的很嚴重(主要是代碼方面)。現在在某保險金融集團做信息安全管理,主要是管理崗,類似安全行政機構,沒啥技術,剛剛工作不到10天,感覺是邁入信息安全的門兒了,但要學的東西很多。我是繼續在管理崗踏踏實實幹,還是下去從技術學起,勵志做技術管理類人才。同時想問下,相關認證的考取順序,目前相中眼的有CISSP,CIW,CEH。求老司機指點下後續做信息安全應該怎麼樣發展比較理想~
引言
"兵無常勢,水無常形,因敵變化而取勝者,謂之神"
IT界,迷茫屬於每一個人,不論是短期還是遠期。信息安全職業規劃應該作為一種動態思維的存在,而非限定工作年限、具體專業。個人覺得如果想在信息安全方面有所建樹,不應該被各種各樣的媒體/名人的觀點所左右,應該貼合自身的性格、需求,長期專註下去。不要被信息安全界的各種話語主導權所左右(保持獨立思考),大數據安全/物聯網安全/移動安全這些都是很宏觀的概念,技術/管理,到底喜歡哪個,相信你的內心有答案。生存第一、永恆第二;很多以銷售為導向的公司總是重視銷售、戰略......,但是請記住信息安全是為數不多的戰術、戰略同等重要的行業,技術代表著公司品牌,天然帶來競爭優勢。
最近私信爆滿,對於很多朋友的私信沒有及時回復的,也說聲抱歉,關於職業規劃並不是三兩句話就能說的清楚的,我後期會對同類問題進行詳細答覆。
個人救贖
安全是否以價值為導向?
如果你的價值觀是為企業創造對方想要的價值,建立與維持共生關係,並藉助平台實現自身理想,那麼就應該通過努力使自己更加貼合該崗位不可或缺的人才的標準,為公司/客戶持續創造價值,並讓眾人耳濡目染你的價值與貢獻。
如果你的價值觀是為實現自身價值的同時,讓自己快樂,那麼你就要好好想一下。個人利益與團隊利益你是否能氣定神閑的處理好?是喜歡一個人獨處還是喜歡調動全局,當一個組織者。
職業生涯就是這樣一個個人救贖、識別自我的過程……
「雅俗共賞」是雅文化和俗文化的最高境界,有時候對於自身的規劃也不需要分的那麼清楚,適當的技術思維/技術跨界可以讓管理更得心應手、讓技術更精進。
思考角度
技術管理與技術者的區別: 技術者——是幫助組織或者客戶完成研究或者實施他們所需要東西的過程,技術者需要的是專業性、專註、知識深度的探索。
技術管理——努力在服務需求、質量、項目管理、團隊建設種等方面創造優勢,並為團隊帶來一定的組織利益,屬於信息安全規劃層面的工作。 技術管理是一個體系化的職位,而技術是一種專註的職位。
技術者注重的戰術能力,以戰術水平為中心,注重技術的技巧和方法,關心的是現有技術的細節和工程目標的實現。
技術管理是一種戰略思考,以團隊管理和項目管理為中心,注重建立持續的信息安全體系,關心的是業務穩定的需求以及信息安全交付的能力。
人在世上不順多,當學水之能潛、能涌、能流、能奔、能升能降,適境而生,適境而居。讓心永遠呈現如「寧靜的森林池水」……
個人感覺信安在國內其實太側重產品和技術了,但是,事實上信息安全在企業到底是什麼? 入侵檢測?代碼檢查?數據包分析?除了那些大的互聯網企業,剩下的常規企業這些都不是重點。
為什麼?
1)在企業,信安是管理不是技術。要做安全你要了解的是業務,看企業到底缺什麼,什麼可以支持業務,而不是買一大堆有的沒的的安全產品,企業也沒有這麼多預算來讓你玩各種安全產品。
2)企業內的信安,更多需要的溝通技能,理解業務需求並能說(hu)服(you)用戶或管理層。埋頭技術的我見的大部分都疏於/不屑於用戶打交道。
3)在企業,風險分析大於技術分析。所以即使走技術流,你要了解的也是業務相關技術,全面的理解業務系統及其平台/中間件/工作流…,只有安全相關的技術,結果也就淪落為操作員
4)在我了解的大部分企業,如果要深入到安全技術的方案或者運作部分,基本都外包,自己不太會養一大推的技術人員,這叫風險轉移。
5)大部分非互聯網的企業,信安的大部分工作側重於合規。這個是本地管理層對集團/政府的義務,也影響他們的績效和考評。所以落在信安崗位上就是內控和審計窗口的角色。
6)企業的信安還包括物理安全,BCP/DRP,以及流程的安全(詳細可以看看27001)。很難想像一個純技術的人可以支撐這些領域。
設身處地的想,要在信安領域長期發展一定要做全才,而不是拘泥於技術才是長久之計。企業也想以最少的成本養活一個什麼都懂一點的人。你能想像一個CISO是一個技術nerd, 而不是一個能說會道的管理者。
pad上隨便寫寫,掛一漏萬,僅供談資。謝謝這就是個打雜的活,沒什麼前途的。
信息安全在公司里可以分business和technique兩個方向。business的話,通常是保證公司穩定運營、合規、降低風險的,比如風險分析、合規等;technique方向的話方向就更多,更專也更深入,比方說滲透測試、網路安全、病毒研究
多少K 我也去看看
推薦閱讀:
※Adobe失誤公開了PGP密鑰,可能會造成哪些影響?
※美國這麼發達為什麼仍要保留街邊的投幣電話,而中國已經淘汰?
※目前互聯網上各類賬號的密碼數字和字母組合真的比純數字更加安全嗎?
※暴露自己IP地址有危險嗎?