百家 | 聶君:在金融企業做安全,前途何在?

安在2018-07-12 05:36:56


“百家”,對安在來說不算是新欄目,比如早前我們曾開設過的專家專欄,但算是又一次的開始,這意味著我們將以更開放和更包容的方式讓網絡安全“諸子百家”們“百花齊放”,他們是各個行業代表性企業的CSO、安全骨幹,是業界大咖、專家,是思想者、實踐者和分享者。為此,安在將會持續呈現來自“百家”們的最佳實踐和真知灼見。



作者簡介

聶君,十餘年銀行證券信息安全從業經歷,曾在招商銀行總行信息技術部安全團隊工作九年,現任安信證券信息安全總監。維護過網上銀行、各類網絡安全系統,在安全運營、異常行為模式識別、反釣魚反欺詐等方面有過經歷。擔任國際災難恢復協會(DRI)中國區常委,銀監會信息科技高層指導委員會聯絡員。牽頭起草金融行業安全運營行業標準,參與了行業標準《證券期貨業信息技術服務連續性管理》。業餘時間維護“君哥的體歷”公眾號,專注於金融行業企業安全建設實踐,企業安全落地最後一公里,訂閱量1萬+,公眾號文章全部為原創分享。




工作日久,會接到一些朋友關於專業就業、職業規劃的問題。自從開通“君哥的體歷”以來,也會收到後臺留言,提及職業規劃,以及有關工作迷茫的問題。


比如:去一線城市還是回老家就業?我現在做的工作是XXX,感覺沒前途,我很迷茫,我該怎麼辦?我現在有兩個機會,一個是去大公司的XXX,一個是小公司的XXX,我該選擇哪個?上述大部分問題,我能獲得的信息比較有限,其實每個人的情況都不一樣,在不瞭解實際情況的前提下,很難給出最合適的建議。人的一生會面臨很多選擇,判斷選擇的因素應該是:趨勢、職業規劃和未來收益。我試著從趨勢、職業規劃和從業者的未來等幾方面,分享我瞭解的一些情況,經驗體會和思考。

1. 職業規劃方法論


社會分工:亞當.斯密在《國富論》寫到:人的天賦差別並不大, 造成人們才能上重大差別的是分工的後果。哲學家和挑夫之間的差別, 就是職業分工的結果。社會分工在我們學習時就已經開始了,我和同學在參加高考時,大部分都不太清楚計算機科學與技術、材料科學、電氣工程自動化等專業會在未來對自己就業,職業發展帶來怎樣的影響,但職業分工已經開始了。


現代工業發展,將業務流程化、標準化,催生了一個個非常細分的崗位,一方面大大提高了社會生產率,另一方面由於社會分工的高度細化,大部分勞動者只能在流水線前日復一日不知疲倦的敲著那顆釘子,可替代性很強,因此價值很低。保安、櫃員、前臺、應收應付會計、甚至是比較底層的碼農、一線人員等。而且由於這種重複機械勞動的禁錮,勞動者還失去了學習的機會,這意味著他很難提升自我的內在價值。


舉個例子:我原來在一家全國性股份制銀行信息技術部工作,近距離觀察過IT部門負責採購的同事們的工作狀態,因為IT部門的項目比較多,採購同事們工作任務比較重,因此分工比較細,需求審核、採購文檔錄入和審核、供應商管理、採購談判、合同簽訂和管理等幾個崗位。負責文檔錄入、合同管理的同事每天要面臨大量的採購文檔和數據錄入,經常加班到很晚,沒時間學習新的技能充電,回家就躺床上一動不動了。


一個人的不可替代性越強,就越有價值。構建個人核心競爭力,一定要在自己的專業領域做出深度,成為專家。同時兼顧知識的廣度,在相關的專業領域上擴展自己的知識結構。選擇工作的時候,規避主要內容都是dirty work的工作,最完美的狀態就是每時每刻都能學到新的知識,按照10000小時定律努力下去,就有可能成為某行業的頂尖人才。


小結一:儘可能規避社會分工給個人職業發展帶來的不利因素,儘快塑造工作中的個人價值-不可替代性。


給職業生涯上槓杆:不管你是做技術,還是做管理,或者各種一線運營工作,你能創造的價值都是有明顯的天花板的。如果你從事的工作職能單純是靠出賣腦力和體力,那麼就算是能力再強,天賦再高,24個小時不睡覺,一個人最多也就頂倆,頂仨,這是人的生理極限所決定的,那麼你也就創造了兩三個人的價值。如果你想邁入更高職級職位,必須突破個人生理極限瓶頸。


如果是搬磚性質的工作,長年累月的加班,累死累活,也就是磚搬的又快又好有多,發展空間是明顯天花板的,再進一步就要猝死了。會計行業很多審核發票報銷的崗位、銀行的櫃員、四大會計師事務所的安全審計等日復一日重複性工作且得不到太多價值提升空間的崗位,隨著人工智能發展,未來能保住飯碗就算不錯了,這是市場供需和工作難度決定的。


破解困境的方法是給你的職業生涯上槓杆,用你的24個小時去撬動許許多多的別人的24個小時,你才能用你那渺小的微薄的身驅去創造出更大的價值。組建團隊,團隊作戰產出更多績效是上槓杆;優化改進現有工作機制避免類似問題再次發生是上槓杆,拓寬工作範圍承擔更多職責是上槓杆,合理利用和優化資源配置解決實際問題還是上槓杆。


如果說在自己的專業領域做出深度,成為專家是1,給職業生涯上槓杆就是1後面的0.給職業生涯上槓杆,你可以十倍百倍的創造價值。很多安全傳奇人物,技術上到達一定巔峰後,轉而從事各類“安全生態”建設,推動某個安全領域往前發展,這也是善用團隊力量,優化配置資源,從解決單純的點狀問題轉向批量徹底解決一類問題。莊子說君子生非異也,善假於物也。安全從業人員,也可以審時度勢建設各類“安全生態”,善用團隊力量,優化配置資源,從而創造更大價值,那其職業生涯也將取得更大成就。


小結二:個人單獨能創造的價值有明顯天花板,給職業生涯上槓杆,善用團隊力量,優化配置資源,創造更大價值,職業生涯將取得更大成就。


是不是每個人,堅持按照10000個小時定律努力下去,就成為頂尖人才,從此走上人生巔峰,迎娶白富美呢?顯然不是^_^。一方面,個體的差異是存在的,有些人適合從事技術類崗位往深度發展併成功,有些人並不適合。另一方面,高階崗位除了需要技術專家以外,更多需要綜合全面搞定問題的複合型人才。


像創業那樣去打工:周鴻禕說他當年工作,他跟別人最大的不一樣,就是從來不覺得他是在給別人打工,他覺得是在為自己幹。因為他幹任何一件事情首先考慮的是,通過幹這件事情能學到什麼東西,學到的東西是別人奪不走的。


塑造個人價值-不可替代性,如果說給職業生涯上槓杆,創造更大價值這兩方面如果屬於職業規劃戰略的話,那麼像創業那樣去打工就屬於職業規劃的戰術。


人的本性是懶惰的,科技的進步本質上是為人類提供更“懶惰”的生活方式。基於這一前提,個人是很難突破本我,實現超我。為什麼有的人像打了雞血一樣勤奮不輟,為什麼有的人孜孜以求,為什麼有的人對於困難甘之如飴?因為這類人不是在為別人打工,是在為自己打工,是在創業。由要我幹,轉變為我要幹,就是在創業,在為自己的未來打工。像創業那樣去打工和其他打工的區別是,前者不斷在學習,提升自身價值,後者在日復一日的重複勞動中消耗青春。


學東西,在工作中分為被動學習和主動學習。被動學習是指,為了完成日常工作任務和彌補知識欠缺,你不得不去進行的學習。需要注意的是,這種學習其實是十分的高效的,因為為了生存,人容易調動起學習的積極性,因此,一份好工作,它的被動學習空間應該越大越好。


大部分人,如果不是環境所迫,一般都不會主動去學習,容易陷入混吃等死的工作生活狀態。工作的流水線程度越高,被動學習的空間越小。什麼樣的工作被動學習空間小?那些一成不變,不斷重複,工作非常之清閒,完成過程不是那麼“痛苦不堪”,那麼被動學習空間比較小。


為什麼大部分行業,銷售類的崗位收入都高於其他同等要求的崗位?因為不同行業不同發展階段的客戶需求千奇百怪,會遇到和需要解決各類令人棘手的問題,這些都是解決起來很需要經驗的非結構化問題。


主動學習,指平常工作可能用不上,主動儲備用於以後使用。對大部分人來說,如果沒有環境逼迫,加之日常繁重的工作,很難做到持之以恆地、積極地主動學習,而且人的時間精力總是有限的,如果對自己所處行業的大局和趨勢缺乏瞭解,一般人很難能框定出一個比較合理的學習範圍,萬一學了一堆用不著的職業技能,也會付出巨大的機會成本。主動學習不如被動學習效率高,但一旦建立起主動學習的能力和習慣,持之以恆的堅持,機會一定會垂青有準備的人。


抱著創業的心態去打工,而個人利益與公司利益正好能一致,那麼工作積極性會大大提高,客觀上也會為公司創造價值。每個人對人生的追求都不同,有的人喜歡平淡簡單知足的生活,有的人立志成為呼風喚雨的大佬,不同的人生目標選擇的道路自然不同。但千萬不要因為貪圖安逸不願努力而做出選擇,因為短期的安逸必然會讓你付出長遠的努力來彌補。


小結三:抱著創業的心態去打工


發展路徑:安全人員職業生涯發展路徑問題,先看看安全崗位分類,根據安全崗位所需的技術能力和非技術能力如溝通等做了個分類:



注:ABCD表示工作崗位所需對應最低技能要求,非該崗位實際技能值。這裡不是說哪些崗位技術能力高,哪些崗位溝通能力高,而是對崗位所需能力做個示意,無意區分職位優劣好壞,每個崗位上兢兢業業從業者都值得特別尊敬。如有冒犯,萬分抱歉。


個人認為適合有志於安全從業的大學畢業生的職業規劃思路是:


儘快超越A類工作所需要求:A類工作屬於不需要太多技能和經驗,且日復一日重複度極高的工作崗位,但很不幸,大部分安全從業者就像剛申請遊戲賬號的新手一樣,都是從A類工作開始安全之旅的。A類崗位是必經之路,就像剛畢業的人總會經歷一個幹苦活累活雜活還沒有太多成就感一樣,想盡量走出A類崗位的玩家,會有意識的做到:


1.儘可能的將崗位工作標準化、自動化,節約人力,空出時間幹更多有提升價值的工作和學習;


2.將交待的工作認真做到位,經常利用下班時間鑽研,知其然更知其所以然,把原理和本質吃透;


3.總結經驗教訓,反向改進優化機制,提高效率,避免類似問題重複發生。


在A類崗位工作是新手玩家必經的一道坎,很多玩家倒在這道坎,從業十多年還在從事基礎類工作,能夠順利且迅速的邁過這道坎,才能打開B類和C類崗位工作,並最終邁向D類崗位工作。


儘量從C類做起:為什麼不是B,是因為在中國大部分應屆畢業生溝通能力和技術能力還是不夠的,在個人品質上,普遍臉皮薄、害羞、內斂,不如西方特別是歐美人熱情自信,如果先從B做起最後發現不適應,而技術早就荒廢了,從管理人生的風險敞口角度是不太合理的。C類工作的兩個特點:一個是學習空間大,這樣在工作上花的時間會凝結成自身的價值;二是會經常需要解決非結構化的問題。


大部分安全從業人員都面臨在C類和A類崗位之間做出選擇,比如金融企業大部分會購買一些安全設備如IPS、WAF、數據庫審計之類,A類崗位安全設備管理員工作內容就是確保設備正常開關機,按照廠家建議修改一下默認規則配置一下,流量鏡像、日誌告警正常,偶爾看看高風險告警情況,定期出幾份報告,加黑幾個IP。


C類崗位工作內容是,先搞清楚安全設備底層原理,測試設備全部安全功能並知曉各功能侷限以及關鍵有用功能,搞清楚此類安全設備能夠防護的攻擊類型和常見繞過方式,針對性配置防護規則和告警規則並作出優化,對於高風險告警一一進行安全分析並反向優化,對於異常進行溯源、定位、清除。明顯C類崗位比A類崗位對安全有效性更有價值。如果選擇前者工作範圍,那麼就是選擇了A類崗位,如果選擇後者,就讓原本是A類崗位變成了C類,選擇決定了未來。


即便是C類工作也很快就會遇到發展的瓶徑。原因有兩個。


一個是從企業角度來說,某一業務流程一旦變得越來越難雜,企業就會有將其不斷肢解細化的強烈內在衝動,以降低對核心員工的依賴。比如安全分析中的安全事件應急處理,企業希望能夠將安全分析的工作分解,流程化、標準化和工具化,一部分安全分析的工作能夠交由技術功底和經驗不是那麼多的初級人員去完成,慢慢的安全事件應急處理就是照著標準的工作書,拿著標準的工具、流程跑一遍就好了,現在絕大多數的安全廠商的應急處理就是這樣的。


二是工作一兩年之後時間的邊際效用在降低,不像剛入行每天都可以學到新的知識,重複機械勞動逐漸成為常態,在這種情況下工作所花時間並不會讓你的人力資本增值,反映到薪酬上就是工資開始頂到了天花板停滯不前。更糟的是,一旦你花了一輩子去學的賴以謀生的技能技術一旦被社會淘汰,帶來的後果可是災難性的。就像二十年前學裁縫,十幾年前搞BP機等等。每個行業莫不如此,技術更新有快有慢,IT行業技術更新尤其快,安全行業更甚,只有不斷學習、時刻保持著一種危機感才能立於不敗之地。


B類要儘可能的覆蓋範圍廣:B類崗位特點是對技術能力要求不是特別多,但對溝通能力等要求比較多,比如IT內控合規類崗位、安全審計類,這類崗位要想出頭,必須在工作內容覆蓋範圍廣度方面拓展,比如安全管理崗的職級高低,在於其Cover的安全管理範圍大小。


D類是安全從業人員發展的終極目標:D類是安全從業人員發展的終極目標,建議先從C類做起,慢慢承擔起B類工作,雙劍合壁之時便是成功初成之日。


2. 安全環境趨勢和安全從業趨勢


金融行業安全環境趨勢:在2010年以前,我們和國內金融行業同仁交流的時候,做安全的思路普遍還在監管合規+設備部署的階段。2010年後,由於網上銀行、移動金融的快速發展,以及國內互聯網安全環境的進一步惡化,金融行業的安全需求開始發生深刻變化,需要有效解決實際安全問題,對安全攻防、安全運營的需求逐漸增多。安全環境變化的趨勢體現在以下幾點:


1.監管從合規為主,技查為輔,轉向合規、技查雙軌,不斷提升技查比重,以技查促合規落地。銀監會、證監會聘請專業的第三方對商業銀行、證券期貨公司的互聯網系統進行遠程滲透,甚至直接滲透進辦公網和交易網,這將是未來監管科技“新常態”。


2.安全防護包括應用安全、內網安全、數據安全,從企業安全建設關注度和投入度來看,分別是從高到低,這與攻擊者從事應用安全的門檻相對內網安全、數據安全低很多有關,攻擊門檻低,攻擊從業者越多,發現的問題也越多,防守方投入也越多。防護難度分別是從低到高,客觀上也讓防守方首先選擇防守難度較低的應用安全開始。


3.企業安全建設的安全崗位範圍從安全設備管理向安全有效性、安全運營擴展。越來越多的企業安全負責人意識到,安全設備只是工具,要管理好安全設備,真正起到防護能力,實現安全有效性,必須通過安全運營來實現。這點體現在越來越多的企業招聘企業安全負責人、安全崗位人員時,都強調有實際安全攻防對抗經驗,安全事件分析經驗,能夠講清楚安全價值實現思路。


4.業務和信息系統不斷雲化。各類業務和信息系統上雲是不可阻擋趨勢,公有云、私有云,突破傳統安全防護邊界,面臨新的挑戰。


5.安全防護向自動化、智能化邁進。這是一句正確的廢話。


6.安全重心向前端也業務靠近。在IT內部,安全防護越來越向研發深入,向需求立項,架構評審,代碼開發階段滲入。在IT外部,安全也向支撐業務發展,打擊黑灰產,業務風控靠近,貼近前端和業務,安全才有價值。


7.向互聯網行業和公司學習。


8.金融企業安全團隊規模爆炸性增長,團隊定位3到5年內走向公司二級部門,安全團隊負責人職級職位將成為一級部門副總。


金融行業安全從業趨勢:在上述安全環境變化趨勢下,金融行業安全從業趨勢體現在以下幾點:


1.至少五年內,對安全從業者的需求還是相當大,甚至供不應求。需求大於供給的話,那對於供給方各類要求必然下降,不知道這對於安全從業者來說是好消息還是壞消息。


2.人還是安全中最重要因素。一位靠譜的安全團隊成員,遠比一兩款安全產品、安全設備重要,再好的安全防護也需要人設計、落地實施、運營優化。


3.一個既懂安全又會開發點小工具,又愛折騰的安全“全棧工程師”和聚焦於是xx萬IDC規模下的入侵檢測,x萬研發人員提交代碼倉庫的SDL的某個特定領域的安全專家,都會有不錯的發展前景。


4.目前國內並沒有CSO文化,大部分企業也只是在IT部門設置安全團隊,因此國內金融企業基本上都沒有CSO崗位,只能稱作企業安全負責人。隨著安全對IT,對公司的重要性不斷提升,以及監管要求提升,5-10年內,必然會湧現重視安全的金融企業設置CSO崗位。


5.安全從業獲得回報和解決實際問題產生的價值,以及該類問題所需所需成本高低有關。我聽過很多抱怨。安全團隊不受重視。安全團隊不受重視是結果,而不是原因。比如大部分企業資產管理做的並不好,安全資產管理更是如此。如果在爆發Struts2漏洞時,安全團隊能夠迅速拉一張受影響清單,以及受影響業務系統,並給出修復建議和順序,那安全團隊價值基本就有了,反之只能轉發一下漏洞預警信息,公司內哪些受影響,業務系統修復可能帶來的問題和影響等一概不管,安全團隊的價值就極其有限。所以安全團隊的價值和其解決實際問題產生的價值有關。安全從業獲得回報也如此。


6.能夠採用各種方式,推動企業安全防護能力不斷提升的從業人員將獲得更大發展。企業裡安全團隊和其他團隊的衝突點主要在於大家對安全、可用性和業務的平衡點不同。如何在各類資源有限,各種紛繁複雜的情況下,說服,推動不同利益方取得一致,提升安全防護能力,取得平衡,將是安全從業人員的重要能力。


7.創業也是不錯選擇。


3. 安全從業指南


安全從業職業發展路徑:


安全從業職業發展需要根據自身實際情況,以下是發展路徑參考圖:


以下分別介紹各類方向發展情況。


企業安全從業人員(甲方)


 總部IT安全團隊員工:


(1)安全技術類崗位


如果是從事安全開發、安全攻防等技術類崗位,職業生涯初期可以在應用安全、內網安全、數據安全的某2-3個領域深入,越深入越好,目標是成為金融行業的某領域技術專家,順利的話可以成為技術組組長、實驗室負責人;中期目標是成為大廠高P或中小企業安全負責人;終極目標是走向CSO高管職位。


關於大廠高P vs 中小企業安全負責人的路徑選擇問題,趙彥《行業風口上的安全人員職業規劃》分享的以下內容可供參考:


大廠需要的經驗譬如都是xx萬IDC規模下的入侵檢測,x萬研發人員提交代碼倉庫的SDL,大部分時候會要求應聘者已經具備相關領域的成熟經驗。


小公司跟大公司不同,安全團隊即使有也不會很大,往往需要身兼數職,面對一攬子問題給出最高性價比方案。這類性價比高的方案往往是逮著某個開源軟件就上,而不會過分計較他的功效,或者雖然也有安全團隊也必須大量的依賴商業產品和解決方案,自己只負責簡單的安全產品運維,同時中小企業招聘到高級安全技術人才的可能性不是很高,也間接決定了不可能在結果上深挖。


於是一個既懂安全又會開發點小工具,又愛折騰的“全棧工程師”在這種場景下就吃香了。但不好的地方是說一旦你受中小企業歡迎,那麼你的技能會越來越聚焦泛而不深的安全需求,你在可預見的職業生涯裡都可能跟大公司無緣了,因為你一直在培養小公司急需而大公司不需要的技能,同時小公司即使做到安全負責人也會有職業瓶頸,因為小公司的安全負責人可能收入只有大公司高P的幾分之一。


人有時候會放過自己一馬,去個小公司舒舒服服的當個安全負責人,至少不用在日新月異的技術上孜孜以求,苦苦學習,也不用被成為高P的願景所綁架,畢竟只有拔尖者最終才會成為高P。從比較積極的角度看,過早的放棄高P路線轉向中小企業安全負責人,猶如放棄攀爬一座1000米高的山,轉而爬一座600米的山,會舒服一陣,但會更早的迎來半衰期的中點,更早的迎來下坡路。


(2)安全管理崗位


安全管理類崗位包括:安全設備運行維護、安全合規、政策、制度、風險管理、監督檢查等等。職業生涯初期可以在安全運維、設備運維方面入手,掌握一些基本的安全技術領域背景知識,為後期走向偏管理類方向打下基礎;中期目標是成為中小企業安全負責人、IT部門內控合規負責人,也可能成為公司風險管理、合規法務、稽核審計部門內,與IT相關業務的負責人,比如IT風險管理組長、IT審計組長等;最終目標是CSO、CRO等高管職位。


安全管理崗切記職業生涯就直接從風險合規方法論起步,有條件的先從事2-3年左右的偏安全技術類工作,這樣在轉向安全管理、風險管理類偏“務虛”類崗位時,能夠和工作對象有溝通基礎,否則技術人員覺得面對一個什麼也不懂,只會動輒講方法論的風險管理者,容易崩潰。


有一定前提基礎的溝通是雙方協作的必要條件。另外我給務虛打上了雙引號,因為風險管理、內控合規等工作並不務虛(IT風險歸類於操作風險,屬於四大風險管理領域之一),金融行業本來就是加工風險的行業(入行時行長培訓時灌輸的第一個理念),銀行更是基於風險定價,因此如何進行各類風險管理其實是個非常專業的技術領域。我們覺得安全管理務虛,是因為目前絕大多數甲方管理者和乙方諮詢服務方,交付的是務虛的工作成果,比如組織架構、職責、制度、流程等等,而如何有效進行風險計量、處置,如何推動風險管控落地,風險管理工具(RCSA、LDC、KRI)的有效使用等等實施難度、推動起來比較困難的內容被有選擇的忽視和過濾掉了。


有興趣瞭解金融企業IT內控合規管理建設與實踐請參考本公眾號的文章。


傳送門:金融企業IT內控合規管理建設與實踐


總部二道、三道防線部門員工:職業生涯初期總在IT風險、IT合規、IT審計類崗位從事較為初級的工作;中期目標是成為公司風險管理、合規法務、稽核審計部門內,與IT相關業務的負責人,比如IT風險管理組長、IT審計組長等,也可能專項乙方如四大的諮詢顧問,最終目標是CRO高管職位。


分支機構安全管理員:分支機構安全管理員發展空間有限,謹慎選擇。目標是多從總部和同行業學習一些最佳實踐,在同其他分支機構的安全管理工作比較中處於優勢。此類崗位的發展空間在於安全管理員能否承擔更多分支機構的其他非安全類需求。


安全公司從業人員(乙方):安全產品研發類:安全產品研發類屬於乙方企業的核心崗位人員,中期目標是成為產品線負責人,長遠目標是成為主管技術的副總裁、CTO。


安全技術支持類:安全技術支持類,包括技術服務、技術支持、應急響應等,中期目標是成為技術支持線負責人、XX分公司負責人,長遠目標是成為大區負責人、服務線副總裁等。


安全諮詢類:安全諮詢類主要分佈於四大(德勤、安永、普華永道、畢馬威)、Thoughtworks的IT信息安全諮詢部門,中期目標是成為高級經理;長遠目標是成為事務所合夥人。


還有一類諮詢是非四大的綜合性安全廠商,如360、綠盟、啟蒙,內部也有一些高階的諮詢服務崗位,如金融行業解決方案部門負責人等。


駐場外包類:駐場外包類崗位主要是安全運營、安全支持類工作,中期目標是成為駐場外包團隊負責人,長遠目標還是轉向乙方內部安全技術或服務類崗位、甲方安全崗位。


銷售類:銷售類崗位主要在於客戶資源和對甲方客戶需求把握,以及需求和解決方案、資源之間的平衡點。成功的銷售類崗位人員能夠在資源有限的情況下,找到需求和解決方案、資源之間的平衡點,最大化客戶、公司的價值,而絕不僅僅是銷售數字(數字只是結果)。目前純銷售的崗位越來越少,前景越來越不樂觀,技術人員轉型大銷售趨勢明顯,銷售、售前、售後支持、技術支持的界限越來越模糊。中期目標是成為分公司負責人,長遠目標是主管銷售的副總裁或創業。


其他類從業人員


白帽子、漏洞挖掘從業人員:白帽子、漏洞挖掘從業人員更多是安全人員的第二職業,類似於足球運動中的裁判,實際中都是有第一職業,挖洞只是業餘愛好。少數為專職的,轉向甲方安全研究、安全防護的都是不錯選擇。


安全公司創業:2018年4月13日,網信辦和證監會聯合關印發了《關於推動資本市場服務網絡強國建設的指導意見》的通知,支持符合條件的網信企業利用多層次資本市場做大做強。加快扶持培育一批自主創新能力強、發展潛力大的網信企業在主板、中小板和創業板實現首次公開發行和再融資。網絡安全公司創業重新站上了新的風口。五年前更多是乙方安全企業人員出來創業,而最近幾年的趨勢是很多甲方企業安全人員出來成立創業公司或加盟創業公司,未來將會看到更多此類情景。參與安全創業的崗位主要是:乙方銷售類、產品研發類崗位(更多是副總裁類的負責人),甲方安全負責人、技術骨幹,政府相關部門人員。


安全從業指南:


1.儘量縮短初期練級所需時間。遊戲玩家知道,某些關卡、技能和高等級場所只有玩家到了一定級別才能解鎖,級別沒到,只能枯燥的每天打打小怪物,積累經驗值。因此職業生涯初期,儘可能的縮短初期練級所需時間。這個縮短不是說一味的往更好更高的職位跳,不是這個意思。初期練級是最重要的打基礎階段,在這個階段,除了每天事務性和分配性工作以外,要勤于思考這些工作的關鍵是什麼,如何改進優化,以及這些工作和其他的工作之間的關係,整個工作的全貌是什麼等等。在這個初級階段,最重要的是養成獨立思考的邏輯思維、科學的方法論、勤奮細緻的工作作風,以結果為導向的價值觀,如果能以這樣的心態和方法去處理,將很快從初級者中脫穎而出;


2.在面臨工作選擇的時候,規避主要內容都是dirty work的工作,dirty work工作主要特徵是事務性,重複性的。這類工作是無法完全避免的,哪怕是高階的管理者,每天也在做一些dirty work,比如流程審批,只是比重不同而已,因此做這類工作的目的是為了未來不再做,關鍵是在做dirty work中以結果和業績展示自己的實力,讓上級管理者認為把你放在dirty work上純屬浪費,自然而然就逐步減少dirty work了。最完美的狀態就是每時每刻都能學到新的知識,按照10000小時定律努力下去,就有可能成為某行業的頂尖人才。


3.在某些技術領域成為專家。很少看到高職級安全人員屬於一點技術背景都沒有的。大多數情況是先成為某些技術領域的資深專家,然後自身又有一定興趣,付出時間精力進行管理實踐,兩者結合,邁向了上述長遠目標。成為某些領域技術專家是職業生涯金字塔的塔基部分,塔基不牢甚至沒有就只會成為空中樓閣。


4.安全人員薪資比同級別研發和運維要高一些,但IT部門總經理、CTO等大多來自運維和研發,鮮有從安全晉升而來。因為安全不是必需品,價值判定因人而異,因此選擇安全時考慮清楚。


5.除了少數崗位性質決定以外,甲方從業人員面臨的問題,都不是技術問題,或者說單純依靠技術解決不了,大部分崗位比拼的也都不單是技術,而是解決一個一個小問題,從而最終搞定事情,將工作往前推進的綜合能力,黑貓白貓,搞定問題,取得績效就是好貓。


6.適當積累各類資源。資源並不等同於人脈,資源是能夠用於解決問題的各類有利條件的統稱。人脈是你的資源,你掌握的非安全知識也是資源,你的興趣愛好也是資源,你所在城市也是資源。積累各類資源,有助於解決問題時,避免單一解決方案的依賴,以及單一解決方案行不通時的其他可能性。就像你高考成績太差,無法通過大學改變自己命運,但你會做蔥油餅,或者踢球踢的很好一樣,都可以幫你實現同樣目標。當然現實一點的資源,基本上都是人脈資源,你在企業內部,幫助更多的人,獲得更多的人認可和幫助,本質上也是積累自己的人脈資源,這樣會讓自己,以及自己所在安全團隊之路越走越寬。資源是價值創造的倍增器。


4.幾點思考


守住底線:以前知乎上問黑客入門第一本書是什麼,高票答案是《刑法》。對於安全從業人員來說,守住底線始終是從業第一原則。甲方、乙方,各自都有各自的底線,不做黑灰產是技術人員底線,不違背原則,不做惡意競爭的銷售是乙方人員的底線,而作為甲方從業人員,我的底線是:不做混吃等死的小白兔,達成公司對安全團隊的安全訴求,實現安全團隊成員每個人價值提升。


面臨選擇時的思考原則:職業生涯其實就是從面臨各種選擇中開始的,面臨選擇時的一些思考原則供參考:


選擇難走的那條路。這條難走的路將助你淘汰掉很多競爭者,讓你走向不可替代者的未來。


工作的同時,成就別人。工作中我會遇到很多需要自己“幫”一把的人,有大有小,在我看來,能夠在力所能及的範圍內幫助別人,成就別人,也是在成就自己。所以,我不會輕易說不,會努力想辦法幫助能力範圍的每個人和每個需求,而我確實也獲得了很多人的幫助。


日拱一卒的笨功夫多下,奇淫技巧的聰明少學。職業生涯初期,可能靠奇淫技巧的時候多一些,會獲得一些青睞,但越往後,越需要的是日拱一卒的笨功夫。


格局和靠譜。面臨選擇時要看長遠,而不是短期利益優先。比如職業生涯早中期選擇一份工作,工作量、離家近、薪資等等,基本都屬於考慮的後選項,優先選項應該是大平臺、工作內容是否有利於經常性學習等等。


靠譜是指要讓自己成為和你接觸、連接、共事的夥伴們對你的標籤,他們願意再回頭和你合作,而不是一次之後再也不回頭。 


如何應對迷茫:怎麼應對迷茫?迷茫不要成為自己虛度光陰的藉口,無論何時,不要放棄學習,放棄讓自己增值。不能盲目地虛度青春。哪怕是做最基礎的事務性工作,也要做的比別人更快更好更漂亮。把握幾點:


任何時候,都遵從結果導向。首要是搞定,其次才是漂亮的搞定。


對抗不穩定的能力決定了你的價值,專業的程度決定了你的價值高低,有了價值就會少迷茫甚至不迷茫,價值增加靠的是學習,每一件工作,每一天都是學習的機會,學習沒有捷徑。


要有危機感,不要有太多優越感,每年給自己目標和壓力,學會讓自己簡單,找一個好的另一半。 


不忘初心;我想職業生涯發展和工作,最終的目的還是讓我們生活的更好,而不是相反。


很多安全從業人員,可能在路上太久,忘記了自己的初心是什麼。為了超常規發展晉升,追求財務收益,往往忽視甚至丟棄了很多更寶貴的東西,比如健康、家庭、品德乃至做人的底線和原則。套用龍應臺流傳很廣的一段話:選擇安全作為工作方向,考慮職業生涯和發展,通過自己的努力將來擁有選擇的權利,選擇有意義、有時間的工作,而不是被迫謀生。當你從事的安全工作方向在你心中有意義,你就有成就感,當你的工作給你時間,不剝奪你的生活,你就有尊嚴。成就感和尊嚴,給你快樂。


未來之於我不再是恐懼,而是充滿挑戰的征途,因為心中有了明確的目標和努力的方向,讓我的內心變得亮堂,我知道成功是可期的,而不再是如中彩票般的小概率事件。


部分觀點和內容參考以下文章,表示感謝。


1.《職業規劃之方法論》、《職業規劃實戰分析》,周召。

2.《行業風口上的安全人員職業規劃》,趙彥。






「推薦閱讀」

百家 | CSO養成:從基本概念到驅動方式,這些你知否?
百家 | CSO養成:這4項核心工作做到位,才能說你上道了
百家 | CSO養成:如何評價一個企業的信息安全做的好不好?

Hello,夥伴們

長按二維碼與我(“君哥的體力”)交流吧!

閱讀原文

TAGS:工作安全團隊安全安全從業人員