有时候要学会放弃,男人就应该拿得起放得下啊。
Sometimes you should know that how to give up ,that men should afford to take up things and let them go easily.
By U#0h4x0r
2012.03.22
信息安全人员从业指南
�
信息安全人员从业指南
随着黑客的攻击越来越广泛,企业信息安全问题也越来越突出。随着这种趋势不断增
加,信息安全职务将变得越来越有价值,行业竞争也日趋激烈。职业管理、职业发展和职
业规划在决定未来发展道路上正变得越来越重要。本技术手册将为您介绍信息安全职业、
信息安全人员职业规划、信息安全行业薪酬问题,以及信息安全人员的职业生涯抉择。我
相信这不仅仅是针对信息安全人员的从业指南,IT界的工作者都可以借鉴。
信息安全职业介绍
在信息技术职业中,信息安全正日益成为流行的职业选择。由于需要各种不同的技术
来解决安全问题,因而这一领域吸引了大量的不同背景的人才,信息安全行业的队伍正在
不断地发展壮大。
. 信息安全职业生涯咨询介绍
. 怎样准备信息安全职位的面试
职业生涯规划与发展
我们把我们生活中的很大一部分时间都奉献给了信息安全事业。作为一个群体,很多
人认为信息安全职业意味着:知识、热情和专注。因为我们大部分时间都沉浸在我们的事
业中,只有少许的时间是站在一个更高的高度来看待我们的事业。其结果就是我们忽略了
一件很重要的事:我们的职业生涯规划。
. 制定有效的信息安全职业生涯规划
. 如何做好安全领域职业生涯的投资规划
�
. 如何成功地为你的信息安全事业投资?
. 如何利用有效的信息安全职业关系网
. 如何筛选出有利的信息安全事业关系人脉
. 职业生存技巧:步入抗衰退的信息安全职业
信息安全行业薪酬问题
薪酬是公司员工最为关心的问题之一,信息安全专业人员也不例外。这些问题包括:
如何获得更高的薪酬、信息安全专业人员应该获得多高的薪酬、当前经济状况下的薪酬水
平如何等等。
. 调查显示:信息安全专业人员薪酬期望高于职场行情
. 信息安全重要性+安全技能+人才供求=薪酬?
职业生涯抉择
在最近我们对信息安全职业人员的调查中我们发现,那些宣称对自己的工作感到满意
的人能够挣更多的钱。实际上,我们的数据表明,对工作感到“非常满意”或者“极其满
意”的人挣的钱(每年可能会超过12万美元)几乎两倍于对工作感到“不满意”或者
“还算满意”的人。
. 职业生涯如何抉择
. IT安全从业人员何时选择跳槽?
. 继续上班还是跳槽?怎样找到信息安全工作的满意感
�
信息安全职业生涯咨询介绍
在信息技术职业中,信息安全正日益成为流行的职业选择。由于需要各种不同的技术
来解决安全问题,因而这一领域吸引了大量的不同背景的人才,信息安全行业的队伍正在
不断地发展壮大。
随着这个趋势不断加强,信息安全领导职务变得越来越有价值(诸如首席信息安全官
(CISO)和信息安全主管角色),行业竞争日趋激烈。职业管理,职业发展和职业规划在
决定未来发展道路上正变得越来越重要。
过去,一个权威的认证足以证明一个信息安全专家的能力。但如今,这些凭证仅仅是
通往成功职业生涯的基石。由于许多信息安全专业人员拥有综合的专业经验、教育背景和
行业认可的认证,所以区分一个在其他许多情况下也有能力就业的人,变得越来越困难。
为了有一个成功的信息安全职业生涯,必须拥有技术人员的技能,但需要像商业领导一样
思考:除了信息技术,您还需要理解安全如何为机构的业务目标谋福利,知道如何架构客
户网络和联系客户。
根据我们的经验,我们发现大多数信息安全专业人士对这个专业有着热情,渴望实现
卓越的职业生涯。然而,很少有人意识到,适当的职业咨询和指导对于做出正确的战略决
策、了解市场情况、并有效地发展个人品牌,的重要性。这些信息将在您的个人职业生涯
规划和执行过程中被证明是至关重要的,会帮助实现您的长期职业目标和愿望。
我们新的月度信息安全职业顾问栏的目的,是提供专门面向信息安全职业相关倡议的
定期指导。本专栏及时的主题报告将能够帮助您——信息安全专业人士,处理职业生涯相
关的问题。这些栏将同时针对管理您的职业生涯和实现您想要的成功目标提供知识和观
点。我们希望这些文章是互动的,你们(读者)可以把与你个人职业生涯发展相关的重要
问题以及整个信息安全专业相关的话题和问题反馈给我们。
�
怎样准备信息安全职位的面试
由于合格的信息安全专业人员越来越多,面试的竞争日趋激烈。出于这个原因,一个
人的面试表现将最终决定结果。高估你的面试技巧,或低估你的竞争对手,可能会导致一
场灾难,但恰当的准备决定着录用和不录用这两种不同的结果。在你一头扎进信息安全职
位的面试前,这里有一些指导,可以让你更好地准备这些面试。
了解哪些信息安全问题正在威胁公司。当一个公司决定增加信息安全人员,这或许是
因为它发现其当前员工队伍人手不足,或者它正面临一个崭新的、需要一定的专业水平去
应对的商业挑战。在面试前弄清楚为什么公司要招人,可以使求职者展示出与雇主的领域
相契合的经验。
很多时候,这些信息可以通过研究潜在雇主所在行业的信息安全问题来确定。例如,
零售商可能关注支付卡行业的数据安全标准,卫生保健组织必须关注HIPAA和保护医疗记
录,而技术公司则需要在安全软件开发上的专业知识。阅读最近有关该公司的新闻,甚至
其对投资者公布的年报,以收集强调信息安全相关问题的事件,也是一个好主意。甚至是
企业市场营销手册,也可以有助于确定安全是如何作为卖点的。
把工作的描述作为指导,但不要把它当作真理。候选人在信息安全职位面试前最需要
了解的可能是对该职位描述。职务描述很好地向求职者提供了指导方针,但它们往往不能
传达出雇主真正寻找的东西。有很多理由可以说明为什么把信息安全职位描述作为唯一标
准来准备面试是一个很大的错误。
首先,不能明确是谁写的职位描述。许多时候,职位描述是由招聘经理大致勾画,而
由人力资源人员编写。就像在许多交流过程中,一些元素“在传递中丢失了”。其结果
是,职位描述中的信息有时会造成误导使候选人去强调和面试团队不怎么相关的信息安全
技能。此外,依赖职位描述往往会无意中制约候选人的准备,从而限制在描述中提到的信
息安全主题。由于工作描述往往随着时间的推移而改变,目前的职位描述可能已经过时
了,而且对信息安全技能的需求也已经发生了变化。
�
最后,职位描述一般列出需要的信息安全技能,但他们不能在公司文化方面为面试者
提供帮助。很多时候,如果候选人按照工作描述进行面试,他们的反应则显得照本宣科和
机械,更不能表现出他们的热情。而激情则被看作大多数信息安全领导职位的必要条件。
了解面试你的人。当面试一个信息安全领导职位时,进行面试的小组很可能由很多不
同的董事会成员组成。这些面试都是在寻找能使他们的工作得更轻松的应聘者。了解信息
安全如何涉及到他们的具体专业领域,以及作为信息安全专家的经验可以怎样帮助解决他
们的特殊问题,将是受到他们认可的一个决定性因素。在面试前,应聘者应尽可能地了解
面试官和他们的角色是很重要的。
首先,在面试前领取一份面试安排表,人力资源或招聘人员通常是会提供的。使用面
试安排表了解面试官的头衔,试着确定你将如何站在你要申请的信息安全角色上与他们进
行互动。此外,用谷歌对面试官进行搜索,或查看他们的简历,这是一个不错的主意。做
这些功课有助于了解一些诸如他们的背景、兴趣、在公司任职时间等方面的信息。总的来
说,所有这些信息有利于你更好地回答他们在面试时提出的问题,也可以让你把自己在信
息安全方面的经验更贴切地与他们的具体需求关联起来。
复习你的简历上列出的专业技能。在面试过程中,面试官会测试面试者在技术方面的
信息安全知识。最有可能的是,面试官将参照候选人的简历,考查他或她在简历上列出来
的技能的相关技术问题。一般来讲,如果专业技能被列在了简历上,往往会成为面试官的
重点询问对象。在参加信息安全职位面试前,请确保你复查过了自己的简历,并准备就简
历上面的专业技能回答问题。如果可以找出过去的技术手册和学习指南,临时抱佛脚地在
面试前复习这些东西,对面试来讲是绝对没有坏处的。
一般来说,面试过程是紧张的。充分地准备面试,并遵循上面列出的建议,可以帮助
你保持镇静,并带给你额外的自信。显示出自信,使面试者能够更好地专注于面试,并给
对方留下良好的印象,这增加了登上下一个精彩舞台的可能性。
�
制定有效的信息安全职业生涯规划
我们把我们生活中的很大一部分时间都奉献给了信息安全事业。作为一个群体,很多
人认为信息安全职业意味着:知识、热情和专注。因为我们大部分时间都沉浸在我们的事
业中,只有少许的时间是站在一个更高的高度来看待我们的事业。其结果就是我们忽略了
一件很重要的事:我们的职业生涯规划。
职业生涯规划的重要性涵盖许多方面,包括智力激励(intellectual
stimulation)、个人兴趣目标(personal satisfaction),还有经济回报。因此,花费
时间制定一份书面的职业规划,可以给你提供一个有效的参照工具,有助于你在职业生涯
中达到较高的事业满意度并实现自己的职业目标。
一个书面的职业规划是你个人发展的路线图,其目的是帮助你从当前的职位晋升到未
来的信息安全职业生涯目标。它的基本形式包括一个“基准线”(即你目前的技能和经验
水平)、一个“长期的职业目标”,以及“为了达到将来的职业目标,你必须掌握的技能
和拥有的职业经验”。由于信息安全行业的工作环境和专业技能需求非常特殊,这使得信
息安全从业者在进行职业规划时可以有多种选择。而信息安全职业的复杂性也是我们需要
制定职业生涯规划的主要原因。
信息安全这一职业的就业领域可以分为以下四个:
. 直接向公司提供信息安全服务;
. 为政府提供信息安全服务;
. 提供信息安全咨询服务;
. 为信息安全产品的生产商工作。
由于以上四种不同的就业领域有各自的不同任务,因此工作技能也不相同。有许多技
能标准可以判断一个人能否在某个领域获得成功,但这并不适用于其他的领域。通过花费
时间制定你的信息安全职业生涯规划,你会发现哪种工作环境最有利于实现你的职业目
标、符合你的个人特点,并且能为你的个人职业选择提供最大的灵活性。
�
信息安全职业除了工作环境不同以外,它还涉及许多不同的领域,如人、流程、技术
和业务。想在其中任何一个领域成功都不是一件易事,但人们往往要求信息安全专业人士
能够胜任所有的领域。不同行业的规则、不断发展的技术、不同的个性以及不同的业务,
这些因素虽然给信息安全专业人士提供了很多选择,但他们却必须把时间和精力专注于某
一点上。
制定一个书面职业规划可以有效的帮助个人识别自己感兴趣的领域,并把这些领域和
自己的职业选择联系起来,从而最大限度的实现职业生涯长远目标。
在你进行职业生涯决定和评估职业发展机会时,一份职业规划还能够提供某些指导。
随着你信息安全事业的发展,你可以选择不同的职位来应用你当前拥有的技能,或掌握新
技能。在这些职位中,有些能加快你事业的发展,有些则可能使你迷失方向。在许多情况
下,全新的挑战或工作环境所带来的刺激会使你做出不明智的判断。当这些机会出现时,
你需要咨询你的职业生涯规划,从而决定该选择哪种机会来弥补你“职业生涯的差距
(career gap)”。通过培养自己在技术、管理、领导力和商业这些方面的技能,你才有
可能缩小这些差距,进而增加你实现职业生涯长期目标的胜算。
你的职业生涯规划能够使你更清楚意识到机遇和它所能带来的好处,如果顺利的话,
它还可能使你对自己的前途和职位选择做出更明智的决定。
职业规划会使你明白自己需要发展哪一项特定的信息安全技能,需要获取哪些经验。
通常,“我想成为一名首席信息安全官”这句话说起来很容易,但要彻底理解这个职位所
需的技能并获得必要的经验则是一件非常困难的事情。
当你制定出职业生涯发展规划并明确了自己的目标之后,你需要进行“职业生涯差距
评估”。职业生涯差距评估的要点是:你必须对自己目前的技能和经验进行忠实的评估,
这有助于你清楚自己的长处和短处。
个人评估完成后,你需要研究哪些技能、教育和经验是达到你渴望的职位所必需的。
在这之后,你应该对“自己当前的职位”,以及“你需要付出哪些努力、牺牲和个人投资
来完成你的长期目标”有一个更清楚的认识。
制定好职业生涯规划后,你就能根据自己的个人意愿,来设法实现这一目标。如果你
发现自己不愿意通过付出必要的努力发展专业技能来实现这个目标,那么你应该选择另外
�
一些你愿意付出努力去争取的目标。请记住,制定职业生涯的目标很容易,但要实现它则
需要大量艰苦的工作。
花费必要的时间规划你的信息安全职业生涯,能对你的职业幸福感产生巨大的影响。
你的职业规划将作为你的“发展路线图”,使你做出更理性的职业决定,加快你实现信息
安全长期职业目标的旅程。
�
如何做好安全领域职业生涯的投资规划
问:当信息安全官开始一项新的工作,并在此后需要继续学习的时候,你知道雇主们
会提供什么类型的培训吗?
答:每个公司都是不同的,你应该在面试过程中去获取这方面的信息。当你去面试一
个职位的时候,问问那些招聘管理人员有关他们公司对职员的培训和职业发展所作出的承
诺。很多时候,一个公司关于这个问题的态度可以帮助你决定是否接受这个公司的
offer。
即便如此,过去几年中安全领域里最重要的趋势是雇员需要为他们自己的职业进行投
资。如果你不愿意在自己的职业发展上花费时间、金钱和精力,那么老板提供的培训量再
多也不会起多大的作用。
我们建议你制定一个职业投资计划,对自己的职业生涯进行规划。这包括你需要读的
书籍,你需要上的课程,你需要参加的会议以及需要去做的一些工作(比如,维系自己的
人际关系网、写博客等等)。
如果你有一个类似的投资计划,那么你雇主提供的培训可能会跟计划里的内容相符
合。但是,雇主提供的培训可能总会比你真正需要的投入要少。
�
如何成功地为你的信息安全事业投资?
决定你的信息安全职业生涯能否前进的一个核心因素是:你能否进行额外的事业投
资,从而进一步增加自己的工作经验。事业投资可以是外在的培训、教育、资格认证,以
及其他在职业方面可以做出的努力(比如参加会议、加入某些专业组织、成为其会员)。
在参加这些活动的过程中,你可以提高自己的技能、自己的专业水平。信息安全人员的技
能表的构成很复杂,包括广泛的技术技能、各种各样的业务需求,因此事业投资的模式如
果保持一致,将对个人品牌、职业优势的凸现、事业加速都起到关键性的影响。
然而,选择与自己的事业目标最吻合、获益最大的事业投资往往有太多的困难和迷
惑。例如,有人认为,如果想在信息安全领域处于领导者位置的话,就应该取得CISSP、
CISM或SANS这样的认证。可是,时下取得这些信息安全方面认证的人士太多了,所以有
人又提出,对那些要想担任首席安全执行官的人来说,拿一个高学历(例如MBA),或者
参加管理培训将更加有效,更能让他们脱颖而出。
事实上情况可能更复杂,因为信息安全人士还要考虑到每种事业投资对他们自身品牌
的影响。对与自己的长期事业目标相违背的方面进行事业投资会让未来的雇主大为不解。
举个例子,在技术领域取得了博士学位的员工,却去应聘企业监管、风险和规则遵从
(GRC)的管理职位。因为考虑到专业相关性的问题,一个法律专业的人去应聘GRC职位
才显得更为合理。
你一定要谨记,所有的事业投资都要在简历上体现出来。另外,在寻找工作时,你要
把你去取得那些认证的理由向雇主说明。
在就事业投资的策略和选择方面进行思考时,我们总结出了三条指导方针,希望能对
你的信息安全职业生涯事业投资提供一些借鉴。
规则1:所有的事业投资都是有价值的,问题是时间和金钱都被很好的利用了吗
无论你对投资如何选择,进行事业投资都是个人提升的绝好方式,这个道理通俗易
懂。然而,在许多时候,信息安全人士会迷恋于寻找成功的妙方(magic bullet),他们
相信一次正确的事业投资会自动的将事业推向高峰。而现实的情况是,对事业投资回报的
�
期待(比如一次升职或者加薪)有时候并不能如愿。一项涉猎广泛而且匹配度良好的事业
投资方式,应该能够以赢得当前和未来雇主认可和尊重的方式,展示出你的主动性和你对
自己职业发展的个人努力。
规则2:在投资之后,你能有所收获
在对信息安全职业生涯进行投资时,许多人采取与众人一样的策略或者追求同样的认
证。虽然这些投资不会对你的简历造成什么损害,但从中获得的收益并不大。最好的例子
是目前最时兴的行业资质认证CISSP(信息系统安全认证专业人员)。虽然CISSP的价
值、公认度,以及通过认证所需的大量知识和经验是不可否认的,但目前已有 70182名信
息安全人士从(ISC)2处获得认证,其中就包括CISSP认证。所以,目前去获得CISSP并不
会让你像以前那样可以获得更多的从业优势。
而那些难以实现的事业投资(门槛较高、完成目标所需的决心极大)具有的价值往往
更大一些,也能更有效地提升个人品牌。最好的例子就是从顶级培训计划,或常春藤大学
获得MBA学位。通常情况下,商界最看重MBA。因此,拥有了MBA学位能够广泛的获得商
界和科技界领导者的认同与尊重。
如果追求高学历的成本和时间代价无法忍受,那么你可以到当地的大学去学习领导者
培训课程或者上研讨班。当然,这些对你的事业可以产生的影响并不会像高学历那样大,
但它的实际价值不容小觑。
规则3:如果自己不对自己的事业进行投资,不要期盼他人会为你投资
多年来,在信息安全人士里盛行着这样的观点:雇主有责任为职员的事业投资提供必
要的资源。如果遇到一位理解培训和资格认证价值的雇主,那将会对你的职业生涯带来益
处,这一点是显而易见的。问题是,你个人的职业期望与雇主所认为的你的职业发展之路
不一定吻合。雇主往往会选择一项针对特定供应商安全技术的培训,但这种情况下,你的
视野就被局限了,你无法获得更广泛和更有效的安全理念。鉴于目前整体的经济环境,以
及不断变化的业务重心,一些职员可能根本得不到培训。
让你的雇主为你的职业发展指明方向并支付费用,实质上你已经部分交出了自己的职
业生涯控制权。就像人们为了退休养老而进行储蓄一样,请你每年都拿出工资的一部分来
作为职业发展的预算,这可以让你更好的制定和执行事业投资的策略。这样,你就可以制
定出长期的、有规律的策略,从而有效地去实现自己的职业生涯目标。
�
在未来,一个执行效果良好的事业投资策略将会更为重要。企业会依据那些让人脱颖
而出的条件去选取自己的信息安全领导人。选取与自己的事业目标、简历、专业目标和个
人期望一致的事业发展策略,然后去执行它,这是极为重要的。尽管事情充满变数,但是
用适当的指导方针去对事业投资进行选择,在未来的信息安全就业市场上你将处于不败之
地。
�
如何利用有效的信息安全职业关系网
把合适的人员吸引到自己的信息安全职业关系网中并不是一件容易的事情,你需要付
出很多努力,而且需要另辟蹊径。
你越是努力地为你的关系网选择合适的成员,你的关系网就能越有效地帮助你实现自
己的最终目标,即实现你的信息安全职业目标。比如,吸引一个从事相同信息安全工作的
同事要比寻找一个能够促进你职业发展的CIO或者CISO容易得多。而在这篇文章中,我
们将提供一些关于接近这几种人的方法。
去那些可以让自己显得独特的地方
作为一个群体,信息安全职业人员大都倾向于跟他们的同行进行沟通。这样做虽然很
容易,但效果却并不好。虽然可以跟那些具有类似职位以及面临类似挑战的同行们愉快地
交流“战争故事(war stories)”,但他们并不会给你的职业关系网增加多少独到的见
解。
在一开始的时候,你可以寻找那些你能够提供特殊知识的群体、组织或者社会环境,
并且那里的人们也对你的独特视角感兴趣。这些听众通常有很多是高层人士,他们急切的
想了解信息安全知识。比如,如果你是一个侧重于卫生医疗方面的信息安全职业人员,那
么你应该加入一个由医院管理人员、医院CFO和CIO构成的组织。通过与这些人分享你的
观点,你能够跟那些欣赏你的观点并且需要你帮助的人发展可信赖关系。如果他们需要你
的知识,那么你就可以要求他们以自己的专业知识作为回报。
非专业群体也可以提供帮助。这些群体包括慈善机构、宗教团体或者特殊利益团体
等。这些外部群体里有许多处于不同的生活阶段和事业阶段的人,在很多情况下你会发现
这些人中会有人给你的职业关系网提供独特的价值,并且愿意帮助你事业的发展。
吸引同类安全职业人员
在信息安全行业中,协作是成功的关键因素之一。正因为如此,安全职业人员常常聚
集在一起,要么在本地会议(ISSA、OWASP、CitySec)、全国性会议(Black Hat、RSA
�
Conference、Shmoocon、Security B Sides)上,要么在WEB上(Security Twits、
LinkedIn群)。利用这些群或会议来向人们显示你的知识、组织技巧以及对自己事业的努
力投入。
你需要采取积极的态度,比如你可以成为一个研究项目的成员、做一次报告、成为一
个社交网站的会员、或者负责某次会议的后勤工作等,这都是些比较简单的工作。参与这
些活动能让你更好的与其他信息安全职业人员进行交流,不管你们是否有相同的职业目标
和视角。随着你对这些人的进一步了解,你可以更好地判断作为你信息安全职业关系网的
成员,他们能否带来相应的价值。
亡羊补牢,为时未晚
建立自己的职业关系网需要积极努力、主动出击。许多信息安全职业人员所犯的最大
错误就是在自己处于过渡期或者窘迫期的时候才想起编织他们的关系网,而在自己职业生
涯如日中天的时候却忽视了这个关系网。这并不是建立成功的职业关系网应有的策略。
当一个情况不佳的信息安全职业人员开始联系以前的关系时,他的这种交流活动很明
显是为了个人,而不是互惠互利。你需要牢记的是,如果你在能够帮助别人、也会接受别
人帮助的时候就注重编织关系网,那么你将会更加有效地吸引合适的人员,并能够最大限
度地利用他们的帮助。
让你的关系网发挥作用
这取决于个人如何使用他们自己所建立的关系网。你的目的可以包括职业发展、“失
业保险”、建立个人品牌、评估个人技术水平、规划自己的职业生涯、决定未来职业投资
以及理解自己的市场价值等等。重要的是,你要跟你的关系网成员制定某些指导方针,以
便于实现自己的职业目标。有些指导方针必须要制定,比如可接受的话题、保密以及信息
分享等。而有些则不必这样明确,比如互动的频率、反应时间以及介绍额外的关系网成员
等等。
不管你决定创建什么样的指导方针,重要的是你要能够达成协议、协商条款,这对所
有相关各方都适用。一旦这些确定之后,你自己以及其他关系网成员都需要对这些标准负
责,这对大家来说都同等重要。这是为什么所有成员都要为这份关系增加价值的主要原
因。比如,如果你不能再继续帮助你的那些CIO成员解决他们的安全问题,那么他们也没
有理由及时回应你的个人技能发展请求。
�
在关系网的帮助下提升你的事业
你的职业关系网应该类似于公司的董事会。公司的管理人员利用董事会来增加自己的
经验、验证自己的观点,并且创建新的业务机会。例如,通过参考关系网中相应人士的经
验教训,你能获得一个可信赖的个人技能水平评估(强项和弱点),从而决定在实现自己
职业目标的过程中哪些是你需要提高的重要技术。你可以利用关系网来验证自己主要的职
业决定,这包括各种机遇的选择,或者将来的职业投资决定等,比如安全认证或者高级学
位。
你的关系网可以帮助你得到新的工作机会,要么通过别人的推荐,要么通过直接雇用
的方式。如果拥有一个有效的关系网,你自然而然就能加深对那些适合你职业发展的信息
安全职位的认识。在跟信息安全职业关系网互动的时候,请记住以上这些方面,并在每次
交流的时候都把它们结合在一起。
建立有效的信息安全职业关系网不是一件容易的事情,而要想让这个关系网有效的运
行你还需要许多的努力。当你试图建立自己的关系网时,请记住其他人可能不会跟你一起
承担你对自己的职业发展所做的工作和努力,他们有这种权力。建立关系网的关键是要寻
找那些跟你的工作动力、动机以及职业成功定义相似的人。如果有这样一群人的支持,那
么你实现职业目标的成功几率将更大。
�
如何筛选出有利的信息安全事业关系人脉
作为一个群体,信息安全职业人员一般都擅长跟别人打交道。然而,与此相反的是,在把
这些关系转换成非常重要的职业关系时,我们却做得不尽如人意。利用你的事业关系网找
个工作是一回事,而利用你的关系网去寻找一个能够加快你事业发展的机会完全又是另一
回事。这个系列建议被分成多个部分,我们将向大家提供一些关于建立有效事业关系网以
帮助信息安全职业人员巩固安全事业发展方面的技巧。今天我们将探讨一个有效的事业关
系网到底是什么。
为什么需要有效的事业关系网?
每个信息安全职业人员都应该建立一个能有效协助职业发展、并能帮助个人实现长期
职业目标的事业关系网。在安全行业内,建立这样的事业关系网并不是一件简单的事情,
因为信息安全产业是由多个拥有不同特殊技能的人组成,所以确定哪些人才是真正能帮助
你、引导你追求事业目标的人就比较困难。这需要花费时间和精力去建立必要的事业关
系,从而让你的关系网显著促进你的事业快速发展。
“你知道什么不重要,你认识谁才重要。”虽然这句老话已经被人说滥了,但不幸的
是,在多数情况下这句话仍然是正确的。根据我们的经验,安全行业中的人是一个有密切
联系的群体,在某人需要支持时,这个群体会对他提供帮助。比如,如果Mike所在的公
司负责很多渗透测试,而Mike的事业关系网中全是行业中最好的渗透测试人员,那么当
他或者他的团队遇到问题的时候,他便可以向他圈子中的朋友们求助。反过来,如果有人
向他求助,他也能帮得上忙。
在选择关系网成员的时候,有时你很难精确的知道你所寻找的人到底需要具备什么样
的素质。下面一些问题是你需要问你自己的,以此来判断关系网中的成员是否对你的关系
网有利:
. 他们多快才能回复我的电话以及电子邮件?
. 他们会回复些什么,我看重他们所说的吗?
. 如果我必须为他们的建议付钱,我会愿意吗?
. 他们是否把我的最大利益放在心上?
�
. 我理解并且同意他们的道德守则和价值观吗?
. 他们能作为我的一个职业参考吗?
. 他们能帮助我得到类似的或更高级别的工作吗?
. 如果我处在事业危机中,他们能帮我吗?
. 反之,换位思考,我能如此肯定的回答这些问题吗?(比如,我能像他们帮助
我那样帮助他们吗?)
在你的职业生涯中,有多少人能够让你对这些问题持肯定的回答,70%或者更多吗?
就是这些人,组成了你真正的事业关系网。然而,更重要的是,在这些人中又有多少能就
这些问题对你做出肯定的回答呢?你也不要让数字冲昏了头脑,你的关系网应该更关注组
成人员的质量,而不是数量。
什么才能让事业关系网有效呢?
许多信息安全职业人员描述了他们在职业生涯中遇到过的、作为事业关系网成员的
人。这些职业接触包括工作中的同事、过去一起工作过但是现在在其他公司工作的合作人
员以及管理人员、在行业会议中偶遇的人、在LinkedIn社交网站有联系的人或者有联系
的供应商等。
信息安全事业关系网最关键的部分是其组成结构。下面是一些关系网中所有成员必须
具备的、能让你事业成功的核心属性:
首先,关系网中的成员要把你的最大利益放在心上。这个问题至关重要,因为如果你
想利用关系网来获取职业建议,那么你就必须确保那些给你提供意见的人真正关心你的想
法,并且把实际经验和相关知识联系起来以佐证他们的建议,我们在以后会讨论这方面的
问题。
其次,关系网中的成员应该跟你有相同的道德观和价值观。这些相同的价值观将是他
们提供建议的基础,而你在接受他们的建议时也不会感到不舒服。因为有了共同的道德观
和价值观,你也更容易认为你所得到的建议和指导意见跟你的个人职业动机是一致的。
最后,当你在发展你的关系网时,你需要对每个成员的个人品牌或者对他们在行业中
处事和自我推销的方式感到愉快。考虑到你会经常跟圈内的这些人有联系,你也应该确保
关系网之外的人看好你们的这种关系。
�
如何才能筛选出有利的信息安全事业关系人脉?
关系网中的成员除了需要具有同样的价值观和品德之外,还要有着不同的技能、经验
水平以及不同的观察角度,这些同样很重要。举个例子,如果每个人都有相同的技巧,职
业水平也处在类似阶段,所具有的经验也是同样的类型,那么你所发展的这个关系网只是
一个同等水平团体,而不是有效的事业关系网。
一个有效的事业关系网应该包含一名已经实现了你的长期职业目标的人。如果你的目
标是首席信息安全官,那么你需要在你的关系网中确保有一名已经成为首席信息安全官的
人。这一点十分关键,因为你能够学习到他或者她的经验,从他或者她的错误中吸取教
训,以便对你自己的事业做出更好的决定。有这样的人做参考,对你追求下一个事业发展
的机会至关重要。
另外,你的事业关系网中应该包括一名在信息安全行业中和你处在同一水平的人,有
着跟你类似的工作和责任水平。关系网中有了这个人,对你现在的工作挑战以及技能发展
提供了一个很好的参照和观察视角。还有,在追求你的职业目标时,如果你的关系网中拥
有一个同等水平的人,这会鼓励大家进行某些友好的竞争,还可能会给自己的工作注入更
多的干劲。
你的关系网中另一名关键的成员应该是来自信息安全产业中不同部门的工作人员。举
个例子,如果你工作在信息安全顾问公司,你的关系网中就应该包括一名来自信息安全软
件公司的人员、一名公司信息安全职业人员,或者来自政府的人员。这种不同的观察角度
将会让你知道其他的业务部门是怎样看待安全以及怎样解决信息安全问题的。如果你想跳
到另外一个部门,具备这个观点在将来会非常有价值。
在你的关系网中,还应该包括的另外一名成员是能够在你的事业发展过程中给你提供
直接帮助的人。这个人可以是一个职业教练(career coach)、一个招聘主管,或者是一
个人力资源工作人员。这些人有足够的知识来向你提供信息安全特有的、考虑到信息安全
职业精微玄妙之处的职业引导。他可以给你提供面试策略、职位选择、简历准备等方面的
技巧,而且能够让你事业不断发展,进一步增加实现长期职业目标的机会。
你还需要理解一点,你的信息安全事业关系网成员并不限于以上提到的那几类人。我
们只是提供一些例子,在你决定事业关系网中应该包括谁的时候能起到奠定基础和指引的
作用。
�
当你选择信息安全事业关系网成员时,考虑一下你选择的这个人怎样才能在你追求长
期职业目标过程中给你提供一个有用的、量化的影响。另外,为了使得关系网真正有效,
它应该是“双向的”,也就是说,你的关系网中的成员也必须能够依靠你来获得知识,并
且加速他们自己在信息安全职业上的发展。
在下个月,我们将阐述一些如何把这些信息安全职业人员吸引到关系网中的技巧,还
将列举一些能够帮助你进一步发展这些关系的例子,并且说明怎样才能加强你的事业以及
如何实现你的长期职业目标。
�
职业生存技巧:步入抗衰退的信息安全职业
在过去的18个月中,信息安全职业人员没能幸免于经济衰退所带来的影响。预算收
紧以及裁员迫使许多信息安全职业人员积极展示自己的重要性,并为他们的职业生存而奋
斗。
不幸的是,即使努力并且展示了重要性也不一定能保住自己的工作。这个月的职业技
巧将介绍一些职业生存的关键技巧,希望能够使您的信息安全工作更加稳妥。
技巧一:了解你能够给老板提供的价值
信息安全职业人员必须清楚地了解他们能给老板提供什么样的特殊价值。如果可能的
话,请你展示出那些直接与成本节省有关的技术(比如说,不必外聘安全服务公司)。
通过了解那些能立即给老板带来价值的技术,信息安全人员就能找到在公司展现自己
专业技能和价值的机会。比如,一个应用程序安全专员可以付出额外的时间跟软件开发团
队进行合作,用自己的专业知识帮助他们完成快到期的项目。如果可以显示出你有能力跟
信息安全管理团队以及软件项目团队进行合作,那么你就展现出了自己的额外价值,而其
他人(安全职业人员或者软件开发人员)可能还没有展现出来。
随着管理层注意到你对公司的整体价值,他们会认为你愿意对企业整体的成功做出贡
献,而不仅仅局限于完成你的专职工作。人们都喜欢有团队精神的员工,如果你能展示这
样的能力,通常能给自己带来良好的声誉。
技巧二:从同级中脱颖而出
当一个公司决定裁减信息安全员工的时候,管理层通常会逐一评价公司的安全工作人
员。老板们在做决定的时候,除了考虑员工的信息安全技术水平之外,还会考虑比如职业
道德以及职业态度等一些无形的东西。
在公司开始裁员之前,做一些能够说明自己会努力工作并且愿意承担更多责任的小事
情非常关键。这些事情都很简单,其中包括:自愿参加额外的信息安全项目、提前一小时
上班、下班晚走,或者努力帮助发展初级信息安全员工等。相反,此时不宜休假、要求额
�
外的补助或抱怨工作太多等。多付出一点,尤其是当别人不愿这样做的时候,这会在公司
裁员时给自己带来额外的优势,从而避免被裁。
技巧三:打开沟通渠道
那些担心自己工作没有保障的人可能需要跟管理人员进行一次坦率的交谈。你最好在
私下跟管理人员交谈时,表明你对工作的担心。如果顺利的话,管理人员也会跟你坦诚交
流,并且告诉你被淘汰的可能性。经过了面对面的谈话之后,你会对自己的处境有一个更
好的了解。如果他(或她)刻意避开这样的谈话或者不回答,那么你就要开始担心了。此
时,你应该整理一下自己的简历,并且开始考虑你未来可能的工作选择。通过这次谈话的
结果,你将更清楚你的工作是否抗衰退(recession resistant)。
技巧四:建立信息安全市场意识
如果你认为现在的情况已经开始恶化,那么研究信息安全市场上潜在的雇佣选择就很
重要。首先,搞清楚哪些企业的需求与你现在拥有的技术相一致。比如,如果你现在负责
一家大型金融服务环境的安全架构,那么你就应该寻找其他可能需要你这种技术的大型金
融服务公司。也可以考虑一下其他需要你技术的公司,比如说可以寻找更小的金融服务公
司、不同行业的大型公司,或者一个职业服务公司(尤其是那些给金融服务行业提供服务
的公司)等等。
此外,另一个关键的步骤就是要加强自己在信息安全职业关系网方面的努力,让你的
职业关系网成员知道你的个人情况。我们希望你一直在致力于这些职业关系的发展,如果
是这样的话,那么动员你的关系网就会更加容易,通过这些关系你可以更快地了解到信息
安全市场潜在的机会。
在做这些努力的同时,你还应该联系跟你一起工作过的、了解你的技术水平以及背景
的招聘者(行政人员和公司)。这样做能够获得更多的渠道,了解那些不是很公开但跟你
的技术以及职业道路相一致的机会。
需要注意的是:不管你是突然被裁还是即将失业,都不要惊慌失措。不必要的惊慌会
引起下意识的反应,并且会导致你在达到长远职业目标方面做出不当的决定。避免惊慌的
一个办法就是建立应急储蓄资金。有了财务上的缓冲,你就可以更好地考虑你目前的位置
以及未来,做出更好的决定,而不必立即担心自己的生存问题。
�
许多人认为最坏的经济环境已经过去了,有能力的信息安全职业人员的机会很快就会
增加。希望我们能够吸取过去的经验教训,让我们的信息安全职业能够抵抗经济的衰退。
�
调查显示:信息安全专业人员薪酬期望高于职场行情
薪酬是公司员工最为关心的问题之一,信息安全专业人员也不例外。这些问题包括:
如何获得更高的薪酬、信息安全专业人员应该获得多高的薪酬、当前经济状况下的薪酬水
平如何等等。
然而,遗憾的是,除了一些道听途说的传闻之外,并没有任何可靠的数据能够表明信
息安全专业人员的真实薪酬状况。尽管有些公司声称拥有这方面的数据,但这些数据大多
与信息安全专业人员的实际薪酬水平有所偏离。造成这一状况的因素有两个:一是公司采
用的研究方法;二是公司服务的目标客户(也就是说,如果研究是由资方赞助的,则结果
往往低于实际薪酬水平;而如果研究是由劳方赞助的,则结果往往高于实际薪酬水平)。
今年早些时候,信息安全专业人员职业指导网站InfoSecLeaders.com举行了一个简
单的信息安全专业人员薪酬调查,并决定向业界无偿公布这一调查的结果。此次调查受到
了社会媒体、学术团体以及信息安全专业人员的大力支持,共有460名信息安全专业人员
接受了调查,这些受调查者处于职业生涯的各个阶段。
现在,InfoSecLeaders.com愿意通过我们SearchSecurity.com网站公布这一调查的
三个有意义的结论,以飨读者。
高额薪酬理所应当
十几年前,安全技能罕见而独特——信息安全专业人员可谓凤毛麟角,因而受到公司
的高度重视。正是由于安全技能的这种稀缺性,当时的信息安全专业人员的薪酬大大高于
其他IT人员。
不幸的是,这种好光景一去不复返。现在,几乎每个公司都拥有一些信息安全专业人
员。大量信息安全专业人员的存在已经成为一种事实(我们根据公开的数据估计,截止目
前,美国经过认证的信息安全专业人员远远超过10万)。因此,大多数公司已经对信息
安全专业人员和其他IT人员一视同仁。
�
然而,大多数信息安全专业人员仍然认为,他们应该获得更高的薪酬。我们的调查显
示,几乎一半的受调查者认为,信息安全专业人员的薪酬应该略微高于同级职位的其他IT
人员;而三分之一的受调查者认为,信息安全专业人员的薪酬应该远远高于同级职位的其
他IT人员。
总而言之,在接受调查的信息安全专业人员中,超过80%的人认为,由于其具有的安
全技能,他们的薪酬应该高于其他IT人员,如数据库管理员、系统管理员和软件工程师
等。
遗憾的是,职场现实却是另外一番境况——公司不会像过去一样向信息安全专业人员
支付高额薪酬。因此,大多数信息安全专业人员都抱着不切实际的薪酬期望。
正是由于这一原因,我们可以顺理成章地得出此次调查的第二个结论。
酬不抵劳
近60%的受调查者认为,对于他们拥有的安全技能来说,他们的薪酬略微或严重低于
其应得的报酬,而只有3%的受调查者人为,他们的薪酬高于其应得的报酬。鉴于前面的统
计数据,这一情况可能不会令人感到吃惊。
此外,当前的经济衰退还影响到了加薪的幅度。超过50%的受调查者认为,他们最近
的加薪幅度“低于预期”,而只有10%的受调查者认为,他们最近的加薪幅度“高于预
期”,对加薪感到失望和惊喜的受调查者的比例高达5:1。
薪酬不是最重要的
然而,此次调查也得出了一个积极的结论:在考虑接受一份新的工作或者继续从事当
前的工作时,只有很少的信息安全专业人员将薪酬作为主要因素。93%的受调查者表示,
薪酬是其找工作时需要考虑的一个因素,但只有8%的人将薪酬列为换工作的主要因素。
然而,受调查者愿意接受较低薪酬的原因更加发人深省。在受调查者回答“如果
我......,那么我愿意接受较低的薪酬”这一问题时,49%的人表示,如果迫于保住工作
的压力,那么他们愿意接受较低的薪酬;排在第二位的答案是,47%的人表示,如果能够
获得“更多的培训”,那么他们愿意接受较低的薪酬。这一数据表明,将近一半的受调查
者认为培训比薪酬更有价值,他们甚至愿意接受减薪以获得更多的培训、教育和知识。
�
除了上述两种答案之外,其他的回答都与生活质量有关。在接受调查的信息安全专业
人员中,他们愿意接受较低薪酬的原因依次为:38%的人希望能够缩短工作时间,36%的人
希望能够经常在家工作,还有36%的人希望能够获得更多的休假。
对于雇主和招聘部门的经理来说,这无疑是一个好消息。即使在不能为信息安全专业
人员支付高薪的情况下,他们也可以通过提供额外的培训或者其他提高生活质量的待遇,
增加信息安全专业人员的工作满意度。随着信息安全专业人员与其他IT人员之间的薪酬
差距逐渐缩小,再加上绝大多数信息安全专业人员不能正视其对于公司的真正价值,受调
查者愿意接受较低薪酬的原因将显得越来越重要。即使在只能提供更小幅度的加薪和不能
提供过去的高额薪酬的情况下,如果雇主能够提供额外培训,则一般情况下也可以维持其
信息安全团队的工作满意度。
这一调查结果对我们很有启发。在前面的分析中,我们可以看到,信息安全专业人员
的薪酬期望与职场现实之间存在着显著差距。如果员工认为自己的薪酬少于应得的报酬
(即使实际上不是这样),则员工的工作满意度将会受挫,这一点毫无疑问。此次调查得
出的首要结论就是,在如何看待信息安全专业人员的薪酬这一问题上,信息安全专业人员
与雇主之间存在着分歧。至关重要的是,作为一个群体,信息安全专业人员应该更好地与
管理层进行沟通,以便使自己的薪酬期望更好地符合公司当前的薪酬结构。
�
信息安全重要性+安全技能+人才供求=薪酬?
为了使自己的薪酬期望与自己的技能和为当前老板创造的价值适当地保持一致,信息
安全专业人士必须了解自己的身价。当然,在如何确定完全合理的薪酬方面,并没有什么
绝对的标准。本文列出了决定薪酬的三个关键因素,可以帮助信息安全专业人士确定自己
的身价。反过来,这些因素又可以增强信息安全专业人士的薪水谈判能力。
1、信息安全对企业的重要性
首先要弄清对你所在企业的成功至关重要的业务范围。和那些工作职责与此业务范围
关系不密切的安全专业人士相比,工作职责与此业务范围息息相关的安全专业人士可以获
得更高的薪酬。因此,为了估算自己的身价并了解自己在薪水谈判中可以利用的筹码,所
有信息安全专业人士都应该明白,自己的老板为什么要在信息安全方面投资,自己正在保
护的企业资产价值几何。
例如,如果你就职于一家技术性公司,你的工作是确保软件开发能够安全地进行,可
以肯定,在谈判桌上公司将会重视你拥有的技能。如果是这种情况,你应该为自己的才干
要求更高一点的薪酬。
反之,如果你就职的公司在信息安全方面的投资只是为了满足法规或审计要求,则公
司可能会不在乎信息安全工作人员的能力和表现,而只在乎有这样一个实际的部门能够证
明其符合法规遵从要求。在这种情况下,你很可能没有多少谈判的筹码,不得不接受公司
愿意支付给你的薪酬,而且没有多少讨价还价的余地。
2、你的安全技能水平
信息安全行业对各种专业技能的要求有自己的独特性。因为在引进各种新技术和业务
法规的过程中,安全和风险管理是关键因素,所以那些拥有高超的安全技能并能够紧跟该
领域发展潮流(例如最新的攻击和防御技术)的信息安全专业人士将具有更高的身价。然
而,那些安全技能未能与时俱进的信息安全专业人士将会发现,他们在竞争中处于不利地
位,只能为老板创造较少的价值。
�
在估算自己的身价时,可以试着确定一下,哪些技能能使你从你的团队和你所在的行
业中脱颖而出。在进行这项工作时,可以问自己以下几个问题:
1.我的哪些技能使公司能(且只能)依靠我?
2.在过去的12个月中,我又掌握了哪些新技能?
3.我能够准确把握与我的公司所属行业相关的安全/风险趋势吗?
4.如果明天我必须寻找一份新的工作,我的哪些技能可以证明自己的行业身价?
你对这些问题的回答越完整,你就越能向现在和未来的老板清楚表明自己的身价。
3、人才供求规律
求职者的数量往往比求职者掌握的技能对其薪酬的影响更大。求职者无法控制的一个
因素是外部市场的技能需求和人才竞争。在许多情况下,薪酬是由简单的供求规律决定
的。
信息安全专业人士可以选择的同类岗位越多,他或她获得更高薪酬的可能性就越大。
同样地,如果你的技能只适用于特定的市场领域,没有很多的同类岗位供你选择,则你的
老板可能会压低你的薪酬。
这方面的一个典型例子是,华盛顿特区市场对获得安全许可的信息安全专业人士的需
求。由于华盛顿特区有大量的信息安全工作,许多政府承办商都在争夺这项业务。而只要
公司拥有获得安全许可的信息安全专业人士,它们就可以获得这项业务。所以无论是提供
安全服务还是向政府机构销售安全产品的公司,都需要获得安全许可的信息安全专业人
士。因此,获得安全许可的信息安全专业人士可以利用自己的技能要求更高的薪酬。
反之,如果同样的信息安全专业人士发现,自己所在的地区对信息安全专业人员没有
明确的需求,则他们可能不得不考虑降低对同样的工作岗位的薪酬期望。
上述三个因素只是一些指导性的准则,而不是绝对的真理。还有许多其他因素可能影
响薪酬水平,这些因素将会随企业的不同而不同:你目前的薪酬、企业文化、工作/生活
平衡、生活费用、所在行业、企业规模以及许多未能列出的其他因素。
最佳建议:继续提高自己的技能,增强自己的影响力、创造自己的价值。如果你现在
的老板不承认你的价值,那么你的下一个老板很可能会为你提供满意的薪酬。
�
职业生涯如何抉择
问:目前,我正在给一个客户项目做安全模块,对整个软件开发周期(SDLC)有了全面
的接触,包括Kerberos、IPsec、AKA(sip)和TLS。之前,我有幸参与了BSP板级支持包
(board support package)的工作,它非常具有挑战性也很有意思。然而,我发觉接受
这个安全模块项目是一个错误。
我有点困惑和顾虑,不知道在网络安全或者BSP中应该选择哪条道路做为自己职业发
展的方向。我的兴趣是软件开发,但很遗憾错失了去美国的机会。请告诉我该选择哪条
路,以及如何在这个竞争激烈的世界中沿着自己所选择的道路前进。
答:听起来你已经像大多数人那样开始了你的职业选择:首先探索不同的选择。Mike
大学获得的是一个哲学学位,后来却成了一名Unix系统管理员。我在成为安全领域的工
作人员之前从事的是体育产品的市场营销(为Los Angeles Dodgers公司工作)。在确定
某条道路之前,探索几个不同的道路是正常的。
你所提到的两个职业道路(网络安全和软件开发)都极具挑战性,而且都非常有价
值。每条道路都有很多机会(不管是在国内还是在国外),如果你可以在自己所选择的某
一道路上表现优秀,你都能获得成就感。
我们没办法告诉你应该选择哪条路。你自己喜欢的是什么?你业余时间在干什么?你
喜欢读安全方面的书吗?当你独自在车里的时候,你会想一些安全方面的问题吗?
最终,必须由你自己去选择职业道路。你必须根据所具备的技术以及最喜欢的是什么
来选择自己将要从事的职业。我们没有办法告诉你这些,就像医生对麦克白所说的那样
“病人必须自己照顾自己”。
�
IT安全从业人员何时选择跳槽?
大多数人都做过自己不喜欢、巴不得辞掉的工作。几乎每个人都曾经或多或少地,想
要冲到他们老板的办公室,大声发泄他对老板、公司,以及老板推行的荒谬的商业计划的
不满。
然而,我们大多数人都有账单需要支付,都有债务等着偿还。所以我们不得不三缄其
口,继续完成重复机械的工作,幻想着有一天我们能另谋高就,获得一个更容易实现我们
短期和长期职业目标的工作机会。在一份关于职业生涯的调查中我们发现,至少有一半的
信息安全专业人才对他们目前的工作感到不满意。在交流的过程中,受访者常常告诉我
们,他们急切盼望能找到一份可以最大限度发挥自己能力的工作。但不幸的是,没有人可
以保证自己的下一份工作能比现在的好。
找到一个新的职位并不意味着就能解决目前工作上的问题。努力把目前的工作做好而
不是去重新找一份工作,这同样能带来许多好处。许多信息安全从业人员没有意识到这一
点。因此,在一些会议中,我们通常会建议人们,他们目前的工作可能是他们能得到的最
好工作,因为他们熟悉这份工作的环境、人员、步骤和程序,同时还在公司积累了相当的
资历。如果跳槽到另外一家公司或者换一个工作,那么这一切都不得不推倒重来。
在许多方面,决定何时辞职就好像决定何时离婚一样。你与目前的工作和公司已经建
立起了某种联系:你人生的一段时光是在这里度过的,你和这里的同事分享知识和经验、
经历了一些相同的事情,并且你也在这里建立了良好的人际关系。离开这家公司,就意味
着你要放弃这一切。当你准备离开这份工作时,无论是从个人关系的角度还是从专业业务
的角度,你都不得不考虑如何向大家解释你的决定。你会觉得有义务向大家提供你辞职的
理由,以及你决定背后的逻辑。在决定离开目前所在公司之前,你需要审视一下你在这家
公司任职期间所建立的关系,以及这些关系的价值。这些价值是和你在这家公司任职的时
间相对应的:只在公司工作6个月所建立的人脉、资历以及对公司的熟悉程度都将大大低
于工作20年所建立的资源。此外,你在信息安全领域工作得越长,你就对你一直所掌握
的安全技术以及影响这家公司的安全政策越熟悉。
但是,你怎么知道什么时候自己应该离开呢?
�
公司即将破产
第一点,也是最重要的一点,如果一艘船即将下沉,那么弃船而去往往是明智的。如
今最好的例子就是墨西哥湾石油泄漏事故以及英国石油公司在这场事故中所扮演的角色:
此类事件的财政影响将会波及到该公司的每一位员工。该公司可能因此成为被收购的目
标,或者被迫申请破产保护。因此,你必须要意识到,此类事件很有可能导致公司裁员和
重大的人事调整。
对于一个信息安全领域的从业者来说,类似的可能要考虑换工作的情形是数据破坏事
件被公布。像这样的事件能够导致企业对自身的信息安全计划进行仔细审查,行政部门可
能会对整个信息安全部门进行全面地调整。如果你认为你就职的公司可能会裁员甚至更
糟,那么你就应该审时度势、考虑一下是否做第一个下船的人了。当然,在那时做跳槽的
决定是很容易的。
你的公开市场价值有多少?
第二点,你需要考虑在目前职位上你对公司的价值与你在公开市场上的价值之间的差
异。相较于其他公司而言,你对目前的公司可能更有价值,因为你拥有与现公司所从事的
领域相关的信息安全技术及其相关知识。举例来说,如果你在零售业工作,对支付卡行业
数据安全标准(PCI DSS)的透彻认识会有非常重大的价值。但是,如果你执意要寻找医
疗保健或制造业方面的目标工作,那么这项专业知识就可能会跌价了。在决定离开目前的
工作环境之前,你一定要认真地审视一下自己目前具备的专业技能,以及在劳动市场上这
些技能对潜在雇主的价值。
目前的工作真的已经无法忍受了吗?
最后,请你思考一下,你为什么想要离开。只有你自己可以判断你的处境有多艰难:
你是真的感到痛苦至极,抑或只是有轻微的挫败感?与之前的那些工作相比,现在的工作
是否让你更加失落?这种状态已经持续了多久了,是一个月还是一年?还有一点需要考虑
的是,你已经在目前的岗位上干了多久了。
信息安全从业人员可能犯的最严重的职业错误之一便是在技术上停滞不前、忽视自身
技能的发展。如果你发现自己大量时间被用于处理行政问题或人际关系问题,而这些问题
会耗费你本应用于学习新技术、处理与安全相关的业务问题的时间和精力,甚至成为你追
�
求升职的障碍,那么此时的你或许可以考虑另找一份信息安全工作了。将时间视作有限资
源是很重要的,专业技能的缓慢进步可能导致你落后于其它集中精力提升专业技能的人。
如果你正在考虑辞职,那你可能需要问问自己以下这些问题,它们会帮助你理清思路:
. 你在信息安全方面的理念是否与现公司和经理的理念截然不同?
. 你是否觉得你职业发展的利益并未被公司考虑?
. 你的职业目标发生过改变吗?现在的职位是否能让你继续追求理想中的职业生
涯,或者它已经让你偏离了追求最终职业目标的轨迹?
. 你的职业道德规范是否与你的经理或公司一致?
. 你的管理是否失去了下属的尊重?他们是否已经对你丧失信心了?
在考虑是否辞职时,还有许多其它的因素(如同事、老板、交通、福利等)。但是,
请你记住,离开你熟悉的环境仅仅是一个未知旅途的开始,因为你永远不会知道有多少因
素会对你在新工作中取得成功产生负面影响,除非你已经开始了新的工作。这就是为什么
你应当在做足准备、一切就绪之后再辞职,因为跳槽是一件费时费力并且充满压力的事
情。
�
继续上班还是跳槽?怎样找到信息安全工作的满意感
在最近我们对信息安全职业人员的调查中我们发现,那些宣称对自己的工作感到满意
的人能够挣更多的钱。实际上,我们的数据表明,对工作感到“非常满意”或者“极其满
意”的人挣的钱(每年可能会超过12万美元)几乎两倍于对工作感到“不满意”或者
“还算满意”的人。
虽然,有些人吹毛求疵的认为,工作的幸福感是工资提高的结果,但是其他的学术研
究发现,加薪只能给人提供短暂的幸福感,而真正起作用的是所做工作中的其他因素,比
如工作是否具备创造性、团队以及生产力等。
这就引出了一个问题:职业中还有哪些其他的因素可以让人们感到幸福?
寻找“心流(flow)”(心流即“专心致志,浑然忘我”的状态)
在Mihaly Csikszentmihalyi的书《幸福的真意》(Flow: The Psychology of
Optimal Experience)中,作者谈到了最佳挑战的概念——我们每个人都有一个可以承受
的挑战级别,会让我们感到极佳的幸福感。类似的,对于工作,如果一个任务太难,人们
就不会很舒服,最终会放弃;而如果一个任务太简单,相反我们会觉得很无聊。
而这个最佳工作目标由多个工作因素组成:比如,完成任务需要的努力、做决定的自
由权、得到赏识、预期的工作量、工作创造力、交流以及团队。在我们的调查中,那些对
自己所处的环境“非常满意”或者“极其满意”的人比那些对环境“不满意”或者“还算
满意”的人在每个因素中更加能够做到 “恰到好处”。根据数据以及跟安全职业人员的
谈话我们得知,许多人最关心的是寻求一个具有超级挑战性(super-challenging)或者
具有超级创造性(super-creative)的工作。
“那样,我将会感到幸福”
我的一个同事曾经这样说,“如果我能离开公司去做全职研究,那么我将会感到幸
福。”
�
不幸的是,这不大可能发生。大多数人不会彻底的改变环境。实际上,在大多数情况
下我们只是对某些工作因素稍微有点不满意,比如需要的努力、交流、团队以及自由等。
问题是我们不知道该怎样去处理这些个人需求。我们经常认为,换一份工作就会解决问
题,但是情况不是这样的。
虽然你有时确实会遇到一份特别麻烦的工作,但是轻微调整你的期望或者行动都很可
能会让你的情况更加理想。
你能拥有的最好工作是你目前的这份
当你对工作不满意,你的第一反应可能就是跳槽,但是我们所做的这次可靠的评估却
告诉我们,你能拥有的最好工作很可能就是你现在的这份工作。这个建议来自我们团队的
两个人:一个频繁换工作的人,而另一个是招聘人员,已经看过很多人的工作经历。这个
建议似乎违反直觉,但是的确是真的。在你目前的工作中,你了解人员,你熟悉环境,你
已经建立了关系资本和政治资本,然而如果跳槽的话所有的这些你都将不再拥有。
幸运的是,最大化你目前的作用是一个相对简单的过程,而关键就是理解我们上面提
到的心流概念。请在下面的每项描述中把你现在的角色分成1—5级(1级代表“什么都没
有”,3级代表“恰好合适”,5级代表“太多”):
1. 自己需要付出多少努力?
2. 预期的工作量是多少?
3. 自己有多大自由空间去作决定?
4. 做好工作会得到怎样的奖赏认可?
5. 工作中有多少创造性?
6. 需要多少团队精神?
7. 我与上司和同事们需要多少沟通?
把上面的7项内容给自己分级后,你找出那些极端的地方,然后采取措施来解决这些
失衡状态。举个例子,如果你感觉你还可以做更多的工作(比如那些对工作“很不满意”
或者“还算满意”的人只付出了69%的努力),那么跟经理或者同事谈谈,看看你能否做
些其他方面的工作。
或者,如果你觉得你没有足够的自由或者创造空间,那么跟你的经理谈谈,看看是否
能组织一些活动,以便创造更多的创造性思维或自主决策的机会。
�
尽管这种说法可能让你感到不舒服,但是我们希望你相信一点:这样做要比跳槽带来
的压力小,而且更容易操作。即使你跳槽到了你喜欢的新工作,我们也希望能够帮助你随
时随地缓解压力。
�
在企业并购中信息安全人员如何作出正确的职业判断
企业的兼并与收购早已是司空见惯的现象,但企业并购将会给员工的职业生涯带来深
刻影响,信息安全专业人员也不例外。在过去的15年中,许多成功的甚至市场领先的企
业都被那些寻求扩大产品和提高收入的更大的企业收购。此外,经济衰退也加剧了传统产
业的兼并与收购,包括金融服务业、医疗保健业、交通运输业以及其他行业。
当企业经历兼并与收购时,变化是不可避免的。对于信息安全专业人员来说,这些变
化可能涉及信息安全部门的领导、企业投入、重要信息安全计划和业务需求等方面。除了
这些因素以外,并购后的企业对信息安全的认识一般也会发生变化。信息安全在企业领导
层眼中的地位既可能一落千丈,也可能一步登天。
信息安全专业人员在企业并购过程中管理自己职业生涯的能力,对于其未来的职业发
展至关重要。下面是一些关于如何管理这种变化的建议。
充分了解收购公司的业务
从收购公告发布到收购交易完成的这一段时间非常宝贵。这一过程通常需要3到6个
月的时间。在这段时间内,信息安全专业人员要竭尽所能地了解收购公司的业务、所在行
业以及公司重视(或不重视)信息安全的原因。这些信息应该能够帮助你了解收购公司未
来的业务计划、过去发生的安全事件以及法规的影响。一般情况下,这些信息可以通过阅
读收购公司发布的新闻稿、主流新闻媒体发表的文章或公司的季报(如果该公司公开上市
的话)等渠道获得。最关键的是要能够透过这些纷繁芜杂的信息了解公司的安全策略情
况。尽管这些公开发表的材料可能很少提及与安全相关的内容,但是通过这些材料说了什
么和没说什么来了解公司的安全策略和理念并不是很困难。
在了解收购公司的安全策略之后,你就会明白自己的专业知识能够如何为新公司创造
价值。例如,如果收购公司以前曾因信息安全漏洞导致客户信息被窃而蒙受损失,则你的
信息安全专业技能将能够直接为新公司创造效益。如果你最近参与了DLP(数据丢失防
护)产品的实施工作,或者你拥有计算机取证或事件响应的技术背景,则你具有的专业技
能将会增值。另一方面,如果你所在公司是一家小型地区性银行,即将被另一家大型金融
服务公司收购,则你的技术能力是否能够保值确实令人堪忧。但是,你拥有的关于具体法
�
规的合规性知识可能是独一无二的,可以体现你的价值。不管情况如何,关键是要找出自
己对于新公司的独特价值。
除此之外,在自收购公告发布到收购交易完成的这段时间内,你对收购公司的业务情
况(例如收购公司的业务运营方式、安全理念以及当收购发生时哪些人员可能是重要的安
全相关问题的决策者)了解得越多,你的准备工作就可以做得越充分。这些准备和培训工
作能够为你未来的职业生涯决策打下坚实的基础。
不要匆忙下结论
当公司并购的消息发布时,考虑并购对自己职业生涯的影响实乃人之常情。作为信息
安全专业人员,我们要照常评估并购给自己带来的风险和影响,而且通常要做最坏的打
算。例如,当一家大公司收购一家小公司时,我们会很自然地认为,大公司将会破坏小公
司的企业文化、低估小公司员工具有的特定信息安全技能以及强迫小公司的员工接受其企
业文化。
虽然这些假设可能最终会被证明是正确的,但更重要的是,在得出自己的结论之前要
充分认识收购背后的业务战略。很多时候,这些收购背后的业务战略是收购公司期望以这
种比其他途径更有效的方式购买知识产权和招揽专业人才,而这种期望将会影响被收购公
司员工的职业生涯。
信息安全专业人员的技能之所以对公司的长期规划至关重要,可能是由于某些特别的
原因。例如,收购公司已经建立了可以使你更好地发挥自己的信息安全专业技能的机制,
并拥有必要的资源,以支持你发展自己的职业生涯和实现自己的目标。再比如,大公司拥
有更广泛的客户群。如果你拥有广博的信息安全学科的知识(例如应用程序安全和网络安
全),则与那些专门的应用程序安全公司或网络安全公司相比,你的信息安全技能在大公
司将会有更大的用武之地,能够创造更大的价值。
迎接管理层
在收购过程中,业务管理层的可能结果无非是以下两种:要么你的经理维持不变,要
么你的经理易人。如果你的部门经理维持不变,那无疑是一个好消息,因为你可能有机会
更好地发挥自己的作用。然而,如果你的部门经理易人,那么你也不应该想当然地认为,
这将会给你的信息安全职业生涯带来不利影响。
�
因为新经理具有不同的经历、管理风格和信息安全理念,所以他或她可能会为你提供
新的专业发展和职业晋升机会。你对新经理的思考和管理方式认识得越深刻,对自己的技
能、个性和工作习惯是否适合新经理的判断越准确,你就能够越好地确定经理易人是否有
益于自己的职业生涯。
例如,新经理分配给你的新的信息安全工作任务可能会与你的技能更相符,新经理在
技能发展与人员管理方面的理念也可能与你的目标与工作风格更加一致。更具体地来说,
你可能已经对之前的经理安排的培训数量感到失望,但是你的新经理可能会允许你自主选
择与自己的职业兴趣更一致的信息安全相关培训。
重要的是你要明白,经理也要应对这种变化。他们也会受到来自新的领导层的巨大压
力。你如果能够向新经理表示自己赞同兼并,并通过协助完成两个信息安全部门的整合以
支持其更加顺利地开展工作,则新经理很可能会感激你的帮助,并确立你在新团队中的重
要地位。迎接管理层的方法之一是帮助新经理了解工作环境和你原来公司的企业文化。为
此,你可以将其介绍给公司中那些能够帮助部门顺利合并和提高团队工作效率的重要人物
(安全、技术或业务方面)。如果新经理认为你值得信任,则你很快就会获得新管理层的
赏识。
作为信息安全专业人员,我们需要接受这样一个现象:企业兼并与收购过程中的职业
生涯管理是我们无法避免的事实。尽管这些事情我们不能控制和预测,但我们可以做好应
对的准备。通过消除先入为主的观念和避免膝跳式反应,你可以明确评估企业并购带来的
新机遇:并购可能会给你的职业生涯带来积极的影响。
2012.04.21 From Internet