假设你是一个刚毕业的学生,无非有两种方式,top-down和down-top的方式,但无论如何,此时你都不可能站在一个很高的视角上,因为你缺乏知识和经验。
down-top从安全公司做技术开始,由网络安全逐渐向信息安全过渡,top-down从四大或咨询公司开始,一开始就走咨询的模式。但我想大多数都是从做技术开始的。
假设把职业技能分级的话,我认为大致可以分为几类:
战略 – 管理 – 技术(技术管理)
技术的东西其实很容易学,操作系统、网络、数据库等无非就是依葫芦画瓢,学生时代花点力气自学即使不敢用精通(如果你的水平超过在职从业人员的平均水平,你 就可以用精通,水平的高低完全不在于年龄的大小,也不在于从业时间的长短),熟悉还是可以的吧,计算机平台以外的信息技术可以到接触信息安全的时候再学业 无所谓,毕竟信息安全的大头还是计算机网络通讯。如果你把这些想的很难,那你学起来一定很“艰辛”,如果你不把这些当成是什么,那么学起来自然很轻松。很 多在外行人看来是大牛的角色,如果客观的用“知识容量”来衡量的话,就不会盲目崇拜了。
我个人认为CISSP的内容其实还不属于管理,更多的属于技术管理或技术的范畴。
如果进度比较快的话,技术基础学生时代即可完成,工作后主要是接触一些企业运营系统,了解各个行业中IT系统如何支撑业务运营,了解企业中的组织结构和角色、职能。
当 试图向信息安全管理过渡的时候,首先必须切换自己的视角,不要时时处处都抱着技术的视角去看待并解决问题。那些国际安全标准和IT治理的最佳实践学起来一 点都不难,难在如果你不懂企业管理、不了解企业运营、不了解行业的IT系统特性而硬要生搬硬套做咨询的话,就会发现一个知识大空洞。
很多人的职业生涯都“死”在视角切换不过去,不能站在更高的角度看问题。当然喜欢做技术倒也无可厚非。
从普通的技术人员向顾问过渡之后,即将面临职业生涯的第一个瓶颈,第一种选择是去甲方当CSO。
管理体系成熟的大公司可能会有以下职位:
首席风险官,CRO
首席安全官,CSO/CISO
首席保密官,CPO
内部审计总监
CRO,风险管理总监实际上主要是管理财务风险,IT风险只是其次,所以技术出身的人基本不可能胜任这个职位。
CSO,信息安全总监,出现频率最高,最有可能的职位。
另一方面,在国内单独设置风险/安全管理职位的企业并不多,一般是境外上市公司为了符合国外法规的治理合规性需求,或者是规模较大,对风险和信息控制比较敏感的企业。
如果你在企业组织架构中的位置远离最佳实践的治理水平,手脚施展不开,做不了事情,那就请联系猎头跳槽吧。
CSO不仅要精通信息安全技术,更要了解管理和商业,虽然总也有人试图对我表达一个精通技术的安全管理者是多么称职,但事实上,技术不是第一位的,包括如何借助国际标准建立ISMS的方法论等都是相对简单的事情,对CSO来说在组织中成功开展工作最重要的能力是EQ
一种职业发展是行业过渡,比如去甲方做CSO可以把自己换到任何一个行业,而另一种职业发展则是专业过渡,比如由纯粹的安全管理变成IT治理、风险管理,甚至变成财务风险管理,完全转变自己工作的性质内容和性质。
任 何一个行业,任何一项职业发展都会有上限。一种“模式”必然伴随了一种“结果”。如果你选择了走某条道路,那么其结果也是八九不离十。大多数人工作多年后 抱怨失去成长空间,其实就是没有规划,视野狭隘所致。实际上抱怨大可不必,因为这种阶段性的结果是完全可以提前预知的,每个人都必须为自己的选择承担结 果。在你选择走这条路之前你就应该知道这条路通向何方!
虽然全球信息化趋势不可阻挡,这也造就了很多IT企业并向社会提供了大量的IT就 业机会。但我并不看好那些狭义的IT职位。虽然常话说条条大路通罗马,但实际上不同的行业随着其资本积累速度和需求容量的不同,潜在的暗示着不同的行业仍 有高低贵贱之分,就像CSO永远无法与CFO相提并论一样。如果你觉得行业的太容易走到“头”,那么尝试切换专业是必要的。对信息安全从业者来说比较明显 的出路是找一家“面子”很大的咨询公司,自己尝试读MBA+自学补全财务,金融方面的知识,由IT风险管理转向真正的企业管理咨询或财务咨询,以后的出路 才可能宽一些。这种模式可以再生出一棵很庞大的职业发展树,不过就此打住。
那些专注于技术本身的从业者,出路都不会很大。创业虽然也有蓝海,但是蓝海的SIZE对于这个行业来说本质上都很小,红海更是已经被争夺的一塌糊涂,并且你的成长速度将决定是否能在仅存的蓝海中活下来。
到 甲方的话,CSO就是尽头吗?也不尽然,CSO可以继续变成CIO,关键在于自己的能力积累和角色转变。如果CIO成为推动利润大幅增长的的变革者,潜在 的承担CGO(G:Growth),那么成为COO甚至CEO都是可能的,如果不能成为变革者,或者CIO只承担有限责任地位不高,那么CIO的职业生涯 将到此为止。
自己的成长和环境选择是内因,职业发展还依赖于另一个外因:你所拥有的社会资源以及你整合资源的能力。学无止尽,时刻充电提高自己的能力和视野都是必要的,你所学到的知识不会因为公司不重视而贬值,社会需求将决定你的价值。
对时间的利用犹如投资,必须考虑:机会成本,投资组合,收益回报和风险。你今天走了这条职业发展的路,就没有时间走另外一条。你是在走慢速通道还是高速公路,还是坐飞机?假如道路A失败,你将如何延续发展等……
本文举了一些例子,实际上暗示了任何行业、任何职业都有职业再造,二次发力的可能。战略性的职业规划,有计划的迁移自己的知识和能力的重心,超越职业禁锢,不墨守陈规,做自己感兴趣并且有挑战的事情。
路不是越走越宽就是越走越窄,很多人觉得没有回头路就是因为只走不想,或者是几年前为了捡眼前的芝麻而丢了西瓜。大多数人蜂拥而去的方向往往是空间狭窄的,聪明的人从来不随大流,站在十字路口应该静下来想一想,我到底要以多少速度走哪条路?