信息安全职业发展的顶级职位与职责

information-security-career-development

大多数组织并没有制定明确的整体信息安全战略。数十年来,他们将主要精力用于保护网络边界,比如部署防火墙和入侵检测与防御系统。现在,他们发觉网络安全的保护已经收到不少成效,当下更紧要的目标是保护有价值的核心数据和关键业务流程。

越来越多的组织建立了首席信息安全官(CISO)职位,不管这个职位是向CIO,CFO,或向CEO或董事会报告,表明信息安全越来越受到组织高层的重视。

创新的科技如云计算、社交媒体和移动互联网等将会带来业务流程的革命性变化,同时也可能会给信息安全风险管理带来新的挑战。

要使业务获得更好的安全保护,并不是多花钱就可轻松实现的,安全是在寻求平衡,保障安全所需的花费不能超过业务所能带来的收益,所以我们不能花过多的钱,也不能乱花钱。

信息安全管理也需使用科学的方法,如果大型组织暂时没有CISO,则需考虑提拔相应的安全总监或经理主管,给他们这个新的头衔,或者从外界聘请。调查表明,有CISO的组织所受的数据安全损失,要远低于没有的组织。比给头衔更重要的是要赋予这个职位相应的职责——保护组织的关键数据和核心业务的安全。

有了CISO,能将所有的安全保卫工作都交给他(她)一个人吗?当然不行,组织的成功依赖于每个员工的努力,安全保护也是如此。信息安全应该被视为业务流程中应对风险的不可分割的一个新的部分,而不是独立的来限制业务顺利进展的单元。

所以,有必要让组织中的每个员工知晓信息安全对于业务成功的重要性,让经理和员工们知道自己和部门所担当的信息安全职责,让他们接受必要的信息安全意识教育培训,这就是CISO工作的重中之重。

企业的重要数据在员工们之间生成、存储、传输和使用,如果员工没有受到足够的培训,没能意识到安全的重要性,就很容易由于无知或无意地通过社交网络泄露机密数据、陷入商业竞争对手所雇佣的黑客事先布置好的钓鱼网络。

公司的业务信息安全的真正的安全边界不再是您的防火墙,而是员工,网络犯罪分子已深知这一点,想要在较量中胜过这些犯罪分子,我们需要与时俱进,肩负重任的(准)CISO们,该行动起来了。

如何让非信息安全专业的经理们和员工们能够有效识别出各类安全威胁,能够胜过犯罪分子呢?其实人人都能成为独具慧眼的信息安全审核员。我们非常乐意分享一些信息安全和内部审核人员成长初级教程,当然,更可以用来对普通员工进行信息安全意识的教育培训之用。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

云计算和移动应用给IT安全人员带来的职业发展启示

影响云计算的关键因素之一的网络带宽越来越快,应用程序也越来越Web化,移动终端更让传统的IT架构受到冲击,IT网络安全人员的未来职业发展方向何在?我们请来昆明亭长朗然科技有限公司的资深网络安全专家James Dong来进行简单的座谈。

相信不少IT人曾经想过:在十年前,网络工程师、系统工程师、软件工程师和数据库工程师等等都是非常吃香的职业,特别是持有思科和微软顶级认证的技术专家,为什么现今好像不是那么火了呢?下面我们一起简单分析一下:

1.信息系统也有一个生命周期,电信网络和信息系统的大规模建设阶段早已完结,部分系统建设人员随即转为日常运营人员,再加上新进入行业的,运维阶段的专业人员需求不会再那么猛烈,市场进入一种相对的饱和状态。一部分专业人员已经占据着关键的位置,便开始享受生活和工作的平衡,然而向上攀爬的位置总是有限的,不甘平庸的一部分专业人员开始将眼光转向更宽广的领域并着手行动,这部分人创造了新的机会,也正是他们推动着组织机构乃至国家社会的进步;

2.专业人员成本的压力促使了IT服务外包的兴起,呼叫中心、软件开发、业务流程等等向人力成本更为低廉的国家和地区迁移,互联网的便利性使智力资源很快就得到了重新的再分配,小部分IT工程师进入服务外包领域造成剩余的大部分IT工程师不得不转型,项目管理、风险控制、网络安全、服务管理等相关的新职能也相继出现,正好能吸纳一部分转型人员;

3.科技的不断改进和创新,使相关的工作变得更标准化、系统化和自动化,IT应用和操作变得更为简单,甚至使维护相关工作不需要太多手工操作,自然不需过多人力,同时却提高了业务人员熟练使用IT系统的要求,IT背景的人员在系统操作方面则更有优势,所以一部分工程师转向业务方向,同时部分占据了IT与业务之间的沟通桥梁位置,帮助利用信息系统来促进商业创新;

4.高等教育扩招,大批学生毕业要就业,社会培训机构批量生产,压低了行业入门的起步薪金,比较容易上手且繁琐的工作多数会交给这些职场新人,自然只需保留少量关键岗位的核心员工,同时,这些职场新人需要师傅,当然IT工程师有了走向管理之路的通道,开始攀爬主管、经理、总监直至C级别的高级总裁职位;

5.互联网泡沫等造富神话破灭,成功者毕竟是少数,多数网络公司无法支撑下去,大量倒闭的公司造成部分专业人员转攻新兴领域或利基领域,人们常说除了吃饱喝足,新的高层次需求都是人造出来的,向没穿过鞋的原始部落卖鞋的故事在今天更有它积极的商业道理;问题是有部分专业人员不去创造社会价值,而转向了偷窃他人的劳动成果,这就是广义上人们所讲的黑客,有了黑客,当然就有了防范黑客的群体——计算机网络信息安全行业的专家团队,为什么说群体或团队?因为人的精力是有限的,而行业涵盖甚广,总有一名黑客经过钻研而非常熟知而一名安全专家却不甚清楚的领域,这名黑客就需要另一名对这个领域也很精深的安全专家来对付,所以安全专家团队至少要两种人:一种向深度发展,某一细分领域的安全专家;另一种是全面发展,能力包括架构设计、沟通协调以及整合管理等方面的。

说到这里,我们简单可以看到信息安全从业人员的未来职业发展的几个方向:

1.爬向管理岗位,信息安全也是三分技术七分管理,由工程师转为安全主管、经理、总监或CSO、CISO,需要更多与人打交道,要改变思维,从偏向安全技术控管到偏向流程和人员的安全控管因素转变;

2.转型业务方向,让信息安全成为商业成功的推进力量,而不是阻力,需要了解关键的业务流程,找出业务持续运作所要面对的重要安全威胁,进行基于业务的风险分析和控制,将安全专业知识和技能用于保障业务安全运作上,需要站在业务的角度,了解商业负责人和职业团队对安全的担忧,不管从事风险控管、内部审计等等岗位,同样需要加强与业务相关人员的沟通协调;

3.成为领域专家,每个细分领域都会有很多安全问题,这些问题都需要行之有效的解决方案,掌握关键的核心技术并保持领先是专家们最强大的竞争力,在这方面,聪明才智和坚定执着是最高贵的品质;而全面综合发展的安全整合能力更是推动和成就安全事业所不可或缺的,需要专家广泛猎取各方面的知识领域,并且广积人脉以便获得顺利的跨部门融合效果,用各部门人员听得懂的语言与之沟通是制胜关键;

4.上述几个方向并无冲突,甚至可能交叉,比如安全领域的专家从事管理工作也可能晋升为首席科学家、首席架构师、CTO之类;管理岗位如果更擅长业务领域也可转型为CFO甚至CEO等等;更有领域专家了解业务而独立单干抢占市场的领导地位,不过不论如何,网络信息安全工程师想要在广泛的信息安全领域大展手脚,登上职业发展的高速云梯,一定要多注重与人的沟通,注重信息安全中人员的因素。

最后,请有兴趣的朋友简单了解一下,James Dong所服务的亭长朗然公司,通过信息安全意识、培训与教育,帮助各类组织机构,帮助安全管理负责人处理关于人员的安全风险。