IT人才需求最旺盛的领域中,安全独树一帜。据统计,2014到2015年,美国的网络安全职位数量激增了40%+,有50,000个空缺,之前1年的增长率是16.8%。
安全岗位比技术领域其他方面的增长速度要快得多,虽然这些其他技术领域同样增长很快。同时,(ISC)²2015年的调查发现,62%的受访者称缺乏足够的安全人员,45%找不到适格者。未来5年,全球信息安全劳动市场人才短缺将达150万。
很多公司在找寻人才填充安全岗位上的无力,只会催生薪酬上涨,以及IT人员发展这些技能以谋职的兴趣。薪酬又高,需求又多,而且对安全人才的需求只会越来越多,有什么理由不往这个方向发展呢?
如果你想乘上这波人才短缺的东风,以下洞见可供参考。想知道转行适不适合你,也可以看看。
01.不用担心自己不具备特定安全经验
今天的大量需求都集中在需要数年经验的职位上,比如高级安全软件工程师。此类职位年薪可达$200,000。(ISC)²研究也报告称,最大的就业增长将是安全工程师和架构师。
但同时,安全需求还很广,需要太多不同类型的技术集,没人能单枪匹马搞定所有这些角色需求。想要照顾到方方面面,你需要一支庞大的团队,包含进懂得网络和网络流量、硬件设备、软件程序及业务逻辑的各类人才。
信息安全是一个巨大而广泛的领域,包括了程序员、风险经理、能用商业语言与业务人士交流的公共关系专家、理解人类行为的人才,甚至具有经济学背景的人。如果有经济学学位或懂得金融,即便没有安全专业知识,也是被聘用为风险经理的——因为经济和金融干的就是理解风险嘛。
同样,心理学背景也会拥有理解为什么人们会去点击钓鱼链接及该怎样阻止这种行为的洞见。具心理学背景的人需要学习基本的网络或信息安全知识,但已经拥有的知识依然可以再教育自身。
02.考虑长期发展
可预见的未来中最大的需要,就是软件和应用安全。我们面对的最大问题,与不安全代码和糟糕的软件开发过程相关。人们开发软件已经有50多年的历史了,但直到最近10年我们才开始注意到与软件安全相关的问题。对考虑进入安全行业的年轻IT人而言,软件工程和编程是机会最大的地方,而挑战亦存。
甚至现在,供需差距就已经很大了,尤其是在这一领域几乎没有可用培训,且有天赋的开发者倾向于涌入谷歌或下一个Facebook之类的公司,而不愿就职安全公司的状况下。
这一领域需要两种人:项目经理和实际的实践者。聘用项目经理,然后让项目经理组建安全团队来帮助培训和指导,是对公司企业最有利的做法。
从应用安全起步,IT人士可以继续演进到其他很多领域,如架构安全或云安全——虽然其他选择,比如网络或硬件安全,可能会有点门槛。如果是18岁新新人类,加入应用安全行列或者成为开发运维安全团队的一员是不错的选择。
03.别低估了你的现有技能
如果你现在是系统、网络或数据库管理员,那你在通向特定信息安全子领域的路上已经走了75%的路程了,比如道德黑客、渗透测试和信息保障职位。有这些职业背景的人,能理解系统运行原理和人们访问系统的方式,所以,从设置用户到检查标准与框架合规之间并没有太大的障碍。有了这一基础,继续下去就很容易了。
事实上,拥有此类背景是极大的助力。要想在安全界崭露头角,有坚实的系统管理、网络工程或软件工程背景非常重要。尽管有很多方面都不是技术性的,理解系统运行基本原理,正是让人具备收获长远成就所需知识和能力的基础。
因此,CIO们应开始在已有员工中间培养安全能力,而不仅仅是找寻外部候选人来填充这些需求。简单地提升薪酬或福利是不够的,找到培养内部人才填补技能空缺的方法才是公司应该做的。
IT和安全职位之间存在共同点,描绘出一张技能地图,可帮助员工建立填补进这些职位空缺的计划。好消息是,有很多相关工作可供各种角色的员工借以迈向安全职位。助理安全工程师、安全审计员、IT安全项目经理之类名号所需的典型技能,与网络安全或入侵检测之类职位的基本要求是相一致的。
其间障碍,只是缺乏对特定职位所需具体技术的理解,以及怎样最快实现角色转换。虽然回学校再拿个学位是条康庄大道,方法却并不止只一个。
04.别假定你需要回炉重造
实际上,尽管安全职位门槛很难跨越,却也从未出现过这么丰富的学习资源,免费在线课程、职业资格认证以及加入安全社区都是绝佳的学习途径。从SANs(系统管理和网络安全审计委员会),到ISACA(国际信息系统审计协会),到信息系统安全协会(ISSA),到(ISC)²(国际信息系统安全认证联盟),到开放网络应用安全项目(OWASP)……有太多非常活跃的安全组织提供培训和分享思想的社区了。
加入OWASP是被聘用和收到最佳认证建议的好方法。
可以先从Coursera或EdX之类免费大型公开在线课程项目上学习安全基础开始,然后再确定哪个子领域适合自己进一步深入。一旦基础打好,就可以去寻找自己最感兴趣的信息安全领域,开始进入专家养成时。
在线课程是培养技术的极佳选择,尤其是在雇主并不提供培训的情况下。可以自主选择课程,自由安排时间,无需回到学校再专门花上几年拿下网络安全本科或硕士学位。
而只要确定了发展方向,考几个认证是个不错的主意,安全领域中认证还是很吃香的。人们常说证书证明不了现实技能,但真相是,招聘经理认这个啊!即便你觉得这堆认证没什么卵用,只要你还想找到工作,它们就是必备的敲门砖。缺了这些证书,你的简历都到不了第二轮。
特别地,(ISC)²颁发的信息系统安全师(CISSP)认证,是通往更高级别职位的有力筹码;而ISACA颁发的风险与信息系统控制认证(CRISC),则是风险管理职位的必需。其他情况,比如申请比防火墙管理这种入门级工作更高档次的职位,那么来自思科或Juniper之类厂商的认证就是个不错的主意。
同时,在软件开发行业,安全软件开发生命周期(SSDLC)认证实践者的身份,将能证明你在应用安全方面的能力。
05.清楚自己即将踏入的是什么领域
安全职业当然也有其阴暗面,压力和职业倦怠就是其表现形式。美国的安全大会上,主要话题之一就是抑郁,这一现象越来越多地出现在该领域中。如果你觉得自己应付不来工作压力和职业倦怠,从事安全职业可能不是个好的选择。
这种现象的成因,是很多公司对待安全职能的态度:如果数据泄露发生,那必然是安全岗位的人没能履职尽责。高曝光度的数据泄露事件,伤害的不仅仅是客户,还有员工。股价下跌、员工被炒、公共信誉丧失……如果你是电脑前敲着键盘评估事件发生前安全控制状态的人,那乐子就大了。
除了总是如坐针毡,安全部门还总被业务部门疏远。业务部门可不总是认同施加在项目上的安全控制所带来的延迟,而且,只要出了什么事,背锅的总是安全部门。入职安全岗位,可能会高处不胜寒。
随着安全逐渐成为业务发展周期的一个完整部分,长期来看情况应该会有所改变。当安全完全嵌入并与业务同步,安全团队的压力就会小很多。业务部门需要认识到自己很有可能被黑。目前,这种认知还很缺乏,导致总会找个人来背锅。
而且,安全职业需要在很多不同领域都有一手。技术不断改变,威胁不断进化,新监管规定不断出台,还有老生常谈的安全预算战争——你永远走不到工作干完的那一步。(ISC)²的调查显示,即便超过3/4的受访者称满意自己当前职位,安全行业在去年还是经历了近20%的离职率,破了(ISC)²的历史记录。
06.追寻激情,而非金钱
需求和薪酬是安全领域的吸引力构成,但绝不是唯一的驱动力。积极的方面,安全职业可以充分融入社区,尤其是与软件开发世界相对比。安全从业者往往能组成组织严密的社区,很好地相互协作。
某种程度上,如果你是那种渴望理解事务运行原理,或喜欢拆拆装装的人,那你就会知道自己是否适合安全行业。走进安全行业的人中,艺术家、音乐家、创意人和非对称思想者的比例不小。真的是取决于个人追求和对挖掘内在原理和价值的兴趣。
【本文是51CTO专栏作者李少鹏的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】