繼《信息安全從業參考》,雖然只是我大腦裏的殘羹冷炙,不過我覺得沒意思的東西或許對於別人來說有啓發,爲了避免某些人猜測我的作爲,再補充一句,這些東西對我本人來說是毫無意義的。
假設你是一個剛畢業的學生,無非有兩種方式,top-down和down-top的方式,但無論如何,此時你都不可能站在一個很高的視角上,因爲你缺乏知識和經驗。
down-top從安全公司做技術開始,由網絡安全逐漸向信息安全過渡,top-down從四大或諮詢公司開始,一開始就走諮詢的模式。但我想大多數都是從做技術開始的。
假設把職業技能分級的話,我認爲大致可以分爲幾類:
戰略 - 管理 - 技術(技術管理)
技術的東西其實很容易學,操作系統、網絡、數據庫等無非就是依葫蘆畫瓢,學生時代花點力氣自學即使不敢用精通(如果你的水平超過在職從業人員的平均水平,你就可以用精通,水平的高低完全不在於年齡的大小,也不在於從業時間的長短),熟悉還是可以的吧,計算機平臺以外的信息技術可以到接觸信息安全的時候再學業無所謂,畢竟信息安全的大頭還是計算機網絡通訊。如果你把這些想的很難,那你學起來一定很“艱辛”,如果你不把這些當成是什麼,那麼學起來自然很輕鬆。很多在外行人看來是大牛的角色,如果客觀的用“知識容量”來衡量的話,就不會盲目崇拜了。
我個人認爲CISSP的內容其實還不屬於管理,更多的屬於技術管理或技術的範疇。
如果進度比較快的話,技術基礎學生時代即可完成,工作後主要是接觸一些企業運營系統,瞭解各個行業中IT系統如何支撐業務運營,瞭解企業中的組織結構和角色、職能。
當試圖向信息安全管理過渡的時候,首先必須切換自己的視角,不要時時處處都抱着技術的視角去看待並解決問題。那些國際安全標準和IT治理的最佳實踐學起來一點都不難,難在如果你不懂企業管理、不瞭解企業運營、不瞭解行業的IT系統特性而硬要生搬硬套做諮詢的話,就會發現一個知識大空洞。
很多人的職業生涯都“死”在視角切換不過去,不能站在更高的角度看問題。當然喜歡做技術倒也無可厚非。
從普通的技術人員向顧問過渡之後,即將面臨職業生涯的第一個瓶頸,第一種選擇是去甲方當CSO。
管理體系成熟的大公司可能會有以下職位:
首席風險官,CRO
首席安全官,CSO/CISO
首席保密官,CPO
內部審計總監
CRO,風險管理總監實際上主要是管理財務風險,IT風險只是其次,所以技術出身的人基本不可能勝任這個職位。
CSO,信息安全總監,出現頻率最高,最有可能的職位。
另一方面,在國內單獨設置風險/安全管理職位的企業並不多,一般是境外上市公司爲了符合國外法規的治理合規性需求,或者是規模較大,對風險和信息控制比較敏感的企業。
如果你在企業組織架構中的位置遠離最佳實踐的治理水平,手腳施展不開,做不了事情,那就請聯繫獵頭跳槽吧。
CSO不僅要精通信息安全技術,更要了解管理和商業,雖然總也有人試圖對我表達一個精通技術的安全管理者是多麼稱職,但事實上,技術不是第一位的,包括如何藉助國際標準建立ISMS的方法論等都是相對簡單的事情,對CSO來說在組織中成功開展工作最重要的能力是EQ
一種職業發展是行業過渡,比如去甲方做CSO可以把自己換到任何一個行業,而另一種職業發展則是專業過渡,比如由純粹的安全管理變成IT治理、風險管理,甚至變成財務風險管理,完全轉變自己工作的性質內容和性質。
任何一個行業,任何一項職業發展都會有上限。一種“模式”必然伴隨了一種“結果”。如果你選擇了走某條道路,那麼其結果也是八九不離十。大多數人工作多年後抱怨失去成長空間,其實就是沒有規劃,視野狹隘所致。實際上抱怨大可不必,因爲這種階段性的結果是完全可以提前預知的,每個人都必須爲自己的選擇承擔結果。在你選擇走這條路之前你就應該知道這條路通向何方!
雖然全球信息化趨勢不可阻擋,這也造就了很多IT企業並向社會提供了大量的IT就業機會。但我並不看好那些狹義的IT職位。雖然常話說條條大路通羅馬,但實際上不同的行業隨着其資本積累速度和需求容量的不同,潛在的暗示着不同的行業仍有高低貴賤之分,就像CSO永遠無法與CFO相提並論一樣。如果你覺得行業的太容易走到“頭”,那麼嘗試切換專業是必要的。對信息安全從業者來說比較明顯的出路是找一家“面子”很大的諮詢公司,自己嘗試讀MBA+自學補全財務,金融方面的知識,由IT風險管理轉向真正的企業管理諮詢或財務諮詢,以後的出路纔可能寬一些。這種模式可以再生出一棵很龐大的職業發展樹,不過就此打住。
那些專注於技術本身的從業者,出路都不會很大。創業雖然也有藍海,但是藍海的SIZE對於這個行業來說本質上都很小,紅海更是已經被爭奪的一塌糊塗,並且你的成長速度將決定是否能在僅存的藍海中活下來。
到甲方的話,CSO就是盡頭嗎?也不盡然,CSO可以繼續變成CIO,關鍵在於自己的能力積累和角色轉變。如果CIO成爲推動利潤大幅增長的的變革者,潛在的承擔CGO(G:Growth),那麼成爲COO甚至CEO都是可能的,如果不能成爲變革者,或者CIO只承擔有限責任地位不高,那麼CIO的職業生涯將到此爲止。
自己的成長和環境選擇是內因,職業發展還依賴於另一個外因:你所擁有的社會資源以及你整合資源的能力。學無止盡,時刻充電提高自己的能力和視野都是必要的,你所學到的知識不會因爲公司不重視而貶值,社會需求將決定你的價值。
對時間的利用猶如投資,必須考慮:機會成本,投資組合,收益回報和風險。你今天走了這條職業發展的路,就沒有時間走另外一條。你是在走慢速通道還是高速公路,還是坐飛機?假如道路A失敗,你將如何延續發展等……
本文舉了一些例子,實際上暗示了任何行業、任何職業都有職業再造,二次發力的可能。戰略性的職業規劃,有計劃的遷移自己的知識和能力的重心,超越職業禁錮,不墨守陳規,做自己感興趣並且有挑戰的事情。
路不是越走越寬就是越走越窄,很多人覺得沒有回頭路就是因爲只走不想,或者是幾年前爲了撿眼前的芝麻而丟了西瓜。大多數人蜂擁而去的方向往往是空間狹窄的,聰明的人從來不隨大流,站在十字路口應該靜下來想一想,我到底要以多少速度走哪條路?
本文的目的不在於向你窮盡職業發展的所有的軌跡,你至少應該明白那些“常規模式”只是目光短淺者自己給自己下套而已。不受傳統觀念的束縛,你將看到更廣闊的空間,不過話不能道盡,剩下的留給讀者自己想吧。
down-top從安全公司做技術開始,由網絡安全逐漸向信息安全過渡,top-down從四大或諮詢公司開始,一開始就走諮詢的模式。但我想大多數都是從做技術開始的。
假設把職業技能分級的話,我認爲大致可以分爲幾類:
戰略 - 管理 - 技術(技術管理)
技術的東西其實很容易學,操作系統、網絡、數據庫等無非就是依葫蘆畫瓢,學生時代花點力氣自學即使不敢用精通(如果你的水平超過在職從業人員的平均水平,你就可以用精通,水平的高低完全不在於年齡的大小,也不在於從業時間的長短),熟悉還是可以的吧,計算機平臺以外的信息技術可以到接觸信息安全的時候再學業無所謂,畢竟信息安全的大頭還是計算機網絡通訊。如果你把這些想的很難,那你學起來一定很“艱辛”,如果你不把這些當成是什麼,那麼學起來自然很輕鬆。很多在外行人看來是大牛的角色,如果客觀的用“知識容量”來衡量的話,就不會盲目崇拜了。
我個人認爲CISSP的內容其實還不屬於管理,更多的屬於技術管理或技術的範疇。
如果進度比較快的話,技術基礎學生時代即可完成,工作後主要是接觸一些企業運營系統,瞭解各個行業中IT系統如何支撐業務運營,瞭解企業中的組織結構和角色、職能。
當試圖向信息安全管理過渡的時候,首先必須切換自己的視角,不要時時處處都抱着技術的視角去看待並解決問題。那些國際安全標準和IT治理的最佳實踐學起來一點都不難,難在如果你不懂企業管理、不瞭解企業運營、不瞭解行業的IT系統特性而硬要生搬硬套做諮詢的話,就會發現一個知識大空洞。
很多人的職業生涯都“死”在視角切換不過去,不能站在更高的角度看問題。當然喜歡做技術倒也無可厚非。
從普通的技術人員向顧問過渡之後,即將面臨職業生涯的第一個瓶頸,第一種選擇是去甲方當CSO。
管理體系成熟的大公司可能會有以下職位:
首席風險官,CRO
首席安全官,CSO/CISO
首席保密官,CPO
內部審計總監
CRO,風險管理總監實際上主要是管理財務風險,IT風險只是其次,所以技術出身的人基本不可能勝任這個職位。
CSO,信息安全總監,出現頻率最高,最有可能的職位。
另一方面,在國內單獨設置風險/安全管理職位的企業並不多,一般是境外上市公司爲了符合國外法規的治理合規性需求,或者是規模較大,對風險和信息控制比較敏感的企業。
如果你在企業組織架構中的位置遠離最佳實踐的治理水平,手腳施展不開,做不了事情,那就請聯繫獵頭跳槽吧。
CSO不僅要精通信息安全技術,更要了解管理和商業,雖然總也有人試圖對我表達一個精通技術的安全管理者是多麼稱職,但事實上,技術不是第一位的,包括如何藉助國際標準建立ISMS的方法論等都是相對簡單的事情,對CSO來說在組織中成功開展工作最重要的能力是EQ
一種職業發展是行業過渡,比如去甲方做CSO可以把自己換到任何一個行業,而另一種職業發展則是專業過渡,比如由純粹的安全管理變成IT治理、風險管理,甚至變成財務風險管理,完全轉變自己工作的性質內容和性質。
任何一個行業,任何一項職業發展都會有上限。一種“模式”必然伴隨了一種“結果”。如果你選擇了走某條道路,那麼其結果也是八九不離十。大多數人工作多年後抱怨失去成長空間,其實就是沒有規劃,視野狹隘所致。實際上抱怨大可不必,因爲這種階段性的結果是完全可以提前預知的,每個人都必須爲自己的選擇承擔結果。在你選擇走這條路之前你就應該知道這條路通向何方!
雖然全球信息化趨勢不可阻擋,這也造就了很多IT企業並向社會提供了大量的IT就業機會。但我並不看好那些狹義的IT職位。雖然常話說條條大路通羅馬,但實際上不同的行業隨着其資本積累速度和需求容量的不同,潛在的暗示着不同的行業仍有高低貴賤之分,就像CSO永遠無法與CFO相提並論一樣。如果你覺得行業的太容易走到“頭”,那麼嘗試切換專業是必要的。對信息安全從業者來說比較明顯的出路是找一家“面子”很大的諮詢公司,自己嘗試讀MBA+自學補全財務,金融方面的知識,由IT風險管理轉向真正的企業管理諮詢或財務諮詢,以後的出路纔可能寬一些。這種模式可以再生出一棵很龐大的職業發展樹,不過就此打住。
那些專注於技術本身的從業者,出路都不會很大。創業雖然也有藍海,但是藍海的SIZE對於這個行業來說本質上都很小,紅海更是已經被爭奪的一塌糊塗,並且你的成長速度將決定是否能在僅存的藍海中活下來。
到甲方的話,CSO就是盡頭嗎?也不盡然,CSO可以繼續變成CIO,關鍵在於自己的能力積累和角色轉變。如果CIO成爲推動利潤大幅增長的的變革者,潛在的承擔CGO(G:Growth),那麼成爲COO甚至CEO都是可能的,如果不能成爲變革者,或者CIO只承擔有限責任地位不高,那麼CIO的職業生涯將到此爲止。
自己的成長和環境選擇是內因,職業發展還依賴於另一個外因:你所擁有的社會資源以及你整合資源的能力。學無止盡,時刻充電提高自己的能力和視野都是必要的,你所學到的知識不會因爲公司不重視而貶值,社會需求將決定你的價值。
對時間的利用猶如投資,必須考慮:機會成本,投資組合,收益回報和風險。你今天走了這條職業發展的路,就沒有時間走另外一條。你是在走慢速通道還是高速公路,還是坐飛機?假如道路A失敗,你將如何延續發展等……
本文舉了一些例子,實際上暗示了任何行業、任何職業都有職業再造,二次發力的可能。戰略性的職業規劃,有計劃的遷移自己的知識和能力的重心,超越職業禁錮,不墨守陳規,做自己感興趣並且有挑戰的事情。
路不是越走越寬就是越走越窄,很多人覺得沒有回頭路就是因爲只走不想,或者是幾年前爲了撿眼前的芝麻而丟了西瓜。大多數人蜂擁而去的方向往往是空間狹窄的,聰明的人從來不隨大流,站在十字路口應該靜下來想一想,我到底要以多少速度走哪條路?
本文的目的不在於向你窮盡職業發展的所有的軌跡,你至少應該明白那些“常規模式”只是目光短淺者自己給自己下套而已。不受傳統觀念的束縛,你將看到更廣闊的空間,不過話不能道盡,剩下的留給讀者自己想吧。