從技術(shù)到社交 安全從業(yè)者簡(jiǎn)歷指南
2018年11月19日
你知道對(duì)于求職者而言�,哪些技能和經(jīng)驗(yàn)才是自我推銷的亮點(diǎn)嗎?不知道也別著急���,安全專家為此提供了最有幫助的見解�����,一起去了解一下吧!
當(dāng)你的簡(jiǎn)歷落入招聘經(jīng)理的手中時(shí)���,一般來說,你只有一分鐘的時(shí)間來清楚地傳達(dá)自己具備勝任這份工作的技能和經(jīng)驗(yàn)�����。在這種情況下���,你有什么秘訣才可以確保自己脫穎而出呢?
根據(jù)最新的《ISC 2018年網(wǎng)絡(luò)安全勞動(dòng)力研究報(bào)告》顯示,在網(wǎng)絡(luò)安全方面�����,企業(yè)正在尋找具備各項(xiàng)技能的專業(yè)人才。由于全球勞動(dòng)力缺口接近300萬(wàn)名��,公司所需的信息安全技能范疇也非常廣泛����。
據(jù)悉,在接受調(diào)查的1,452名安全專家中���,有58%的人認(rèn)為“安全意識(shí)”是公司最需要的信息安全技能��。此外�����,公司也在尋找在風(fēng)險(xiǎn)評(píng)估���、分析和管理等方面表現(xiàn)優(yōu)異的人。具體需求比例分別為安全管理(53%)����、網(wǎng)絡(luò)監(jiān)控(52%)、事件調(diào)查和響應(yīng)(52%)、入侵檢測(cè)(51%)���、云安全(51%)以及安全工程(51%)�。
該報(bào)告指出�����,信息安全領(lǐng)域并不是像木工那樣的領(lǐng)域�,會(huì)把每個(gè)人都混在一起。在信息安全領(lǐng)域中存在一個(gè)基本的技能組合�����,例如�����,網(wǎng)絡(luò)安全就是包含治理����、政策、身份和訪問管理以及其他各種相關(guān)技能的組合�。
然而,組織往往缺乏做出明確的招聘決策所需的清晰度����。因?yàn)闃I(yè)界自身對(duì)于人們需要在角色中發(fā)揮的作用就存在很多困惑,并且在工作描述需求和合法安全需求之間存在差距���。
最明顯的表現(xiàn)就是�,在公司提供的工作描述和人們?cè)诤?jiǎn)歷中回應(yīng)的內(nèi)容之間就存在著這種脫節(jié)��。例如�����,企業(yè)面臨的絕大多數(shù)網(wǎng)絡(luò)安全挑戰(zhàn)并不是技術(shù)問題����,也不需要技術(shù)專業(yè)技能來解決。
當(dāng)然���,你需要具備的技能具體取決于你正在關(guān)注的工作����。例如����,安全分析師應(yīng)該優(yōu)先考慮技術(shù)技能和之前就任的職務(wù),而CISO則最好突出他們的領(lǐng)導(dǎo)經(jīng)驗(yàn)和業(yè)務(wù)知識(shí)。
接下來�����,一些安全專家將分享他們對(duì)于信息安全簡(jiǎn)歷的見解��,告訴人們哪些技能����、特征和經(jīng)驗(yàn)才是對(duì)求職者最有幫助的因素:
1. 展示完整的故事線
無論你想應(yīng)征的崗位是什么,你的簡(jiǎn)歷中都應(yīng)該反映出你在每項(xiàng)工作中發(fā)揮的作用��。除了展示你的團(tuán)隊(duì)所做的事情之外����,還要解釋你自身是如何幫助團(tuán)隊(duì)實(shí)現(xiàn)目標(biāo)的!你擁有的職責(zé)是什么?你是如何幫助團(tuán)隊(duì)推動(dòng)項(xiàng)目實(shí)施的?
安全專家認(rèn)為,擁有一份簡(jiǎn)明扼要的簡(jiǎn)歷�,其中有效地總結(jié)了你作為一個(gè)個(gè)體所發(fā)揮的作用,這一點(diǎn)至關(guān)重要�����。
2. 豐富的經(jīng)驗(yàn)就是好的經(jīng)驗(yàn)
當(dāng)你在為特定的工作職位準(zhǔn)備簡(jiǎn)歷時(shí)��,豐富的經(jīng)驗(yàn)可以自動(dòng)匹配出你所擁有的與你申請(qǐng)的公司最相關(guān)的角色和職責(zé)�。
根據(jù)Dark Reading針對(duì)400名IT和網(wǎng)絡(luò)安全專家進(jìn)行的《2017年安全人員調(diào)查報(bào)告》指出���,58%的受訪者表示,大多數(shù)尋求安全專家的企業(yè)都希望可以找到那種服務(wù)過相似企業(yè)且保護(hù)過同類數(shù)據(jù)的人員�。當(dāng)然�,你的背景越多樣化,就越容易實(shí)現(xiàn)這一點(diǎn)��。
安全專家建議稱����,對(duì)于初出茅廬的實(shí)習(xí)生而言,在規(guī)劃未來的職業(yè)道路時(shí)可以盡可能多地獲取經(jīng)驗(yàn)�。例如,你可以與擁有某種服務(wù)級(jí)別協(xié)議設(shè)置的公司(例如托管服務(wù)提供商)合作�,同時(shí)學(xué)習(xí)如何平衡操作和安全之間的關(guān)系;然后再去一家受到嚴(yán)格監(jiān)管的公司呆上一段時(shí)間,學(xué)習(xí)如何處理安全問題�����。
安全專家補(bǔ)充道�����,企業(yè)應(yīng)該將目光放在那些“不把所有經(jīng)驗(yàn)放在一個(gè)行業(yè)”的求職者身上����。因?yàn)榫哂胁煌殬I(yè)背景的候選人可以為企業(yè)提供新的想法和觀點(diǎn)���,此外,豐富的經(jīng)驗(yàn)也可以讓求職者脫穎而出����。豐富的工作經(jīng)驗(yàn),與眾不同的求職簡(jiǎn)歷是非常誘人特性��,同時(shí)�����,為不同類型的公司工作也是一項(xiàng)關(guān)鍵指標(biāo)����。
此外,為不同類型的公司工作也說明你具備很強(qiáng)的適應(yīng)性�。例如,醫(yī)院和金融公司是兩個(gè)完全不同的行業(yè)�,如果有人同時(shí)具備在醫(yī)院和金融機(jī)構(gòu)的工作經(jīng)驗(yàn),就表明他們可以適應(yīng)不同的環(huán)境����,并且能根據(jù)不同的業(yè)務(wù)需求發(fā)揮他們不同的技能�����。
3. 非安全專業(yè)知識(shí)同樣可以發(fā)揮作用
在大多數(shù)企業(yè)都在面臨安全技能短缺現(xiàn)狀的時(shí)候���,候選人可以嘗試從突出不同類型的技術(shù)經(jīng)驗(yàn)角度入手,并強(qiáng)調(diào)自身想要更多地了解安全性的初心�����。
舉例說明����,一個(gè)安全團(tuán)隊(duì)曾經(jīng)急需一名應(yīng)用程序安全專家��,可惜遍尋不到�����。后來����,該小組認(rèn)為,他們可以雇傭一名安全專業(yè)人員并教授該人員應(yīng)用程序開發(fā)的知識(shí)����,或是聘請(qǐng)一名應(yīng)用程序開發(fā)人員并教授其安全基礎(chǔ)知識(shí)����。最后���,該團(tuán)隊(duì)選擇了后者�。據(jù)悉����,這名接受面試的應(yīng)用程序開發(fā)員對(duì)于能夠進(jìn)入安全領(lǐng)域感到非常興奮。后來�,他還與安全團(tuán)隊(duì)合作,為公司帶來了DevSecOps�����。
安全專家預(yù)計(jì)����,隨著企業(yè)對(duì)物聯(lián)網(wǎng)和云安全的日益關(guān)注,這種趨勢(shì)將持續(xù)下去�����。以工業(yè)控制系統(tǒng)(ICS)安全性為例:如果你具備應(yīng)用程序和可編程邏輯控制器(ALC / PLC)方面的經(jīng)驗(yàn),那么你就可以為致力于保護(hù)其ICS的組織帶來巨大的變化�。
如果一個(gè)人具備ALC,PLC等方面的工作背景��,且接受過基本的安全培訓(xùn)����,你就會(huì)驚訝地發(fā)現(xiàn),他被雇傭的速度會(huì)非常之快�����。這就是未來的發(fā)展模式����,特別是對(duì)于非常具體的安全領(lǐng)域而言�����。如果企業(yè)找不到他們需要的專家���,他們就必須去培養(yǎng)和發(fā)展自己的專家���。
4. 運(yùn)營(yíng)經(jīng)驗(yàn)至關(guān)重要
安全專家稱����,能夠在簡(jiǎn)歷中體現(xiàn)自己可以將操作與安全結(jié)合在一起的候選人通?��?梢悦摲f而出��。有時(shí)候人們會(huì)從擔(dān)任安全分析師的角色開始自己的職業(yè)生涯����,并堅(jiān)持下去——但是他們做的時(shí)間越長(zhǎng)��,最終就會(huì)發(fā)現(xiàn)自己越來越難以涉足不同類型的角色����。
許多通才——如高級(jí)安全工程師——都是來自網(wǎng)絡(luò)背景。雖然這比需求更具因果關(guān)系�,但是向網(wǎng)絡(luò)工程師講授安全性顯然要比向安全分析師分配操作職責(zé)更容易。
安全專家稱�����,他們希望可以看到更多具有系統(tǒng)背景的人進(jìn)入安全領(lǐng)域����。目前�����,系統(tǒng)部分的許多方面——虛擬交換和軟件定義網(wǎng)絡(luò)(僅舉幾例)正在進(jìn)入網(wǎng)絡(luò)�。想要找到處理這些系統(tǒng)漏洞的人變得越來越困難����,因?yàn)樗麄冎皇煜せ谟布木W(wǎng)絡(luò),但不熟悉軟件�。所以,可以說�,系統(tǒng)工程師和軟件工程師是安全角色的有力候選者。
5. 大學(xué)學(xué)位沒你想得那么重要
對(duì)于安全分析師來說�����,正規(guī)的大學(xué)教育并不一定代表他就是最佳候選人�。組織正在尋找可以執(zhí)行所需任務(wù)的技術(shù)高手���,無論他們是否具備正規(guī)的大學(xué)學(xué)位�。
安全專家認(rèn)為���,對(duì)于進(jìn)入安全領(lǐng)域而言��,4-6年的大學(xué)學(xué)位并非必備條件�,相反地,為不同公司不同角色的工作經(jīng)驗(yàn)才是求職者更好的個(gè)人名片����。
然而,對(duì)于管理角色中的首席信息安全官和其他安全專業(yè)人員而言���,正規(guī)的教育背景卻可以提供很多幫助�,因?yàn)檫@些角色通常需要與高管進(jìn)行溝通并帶來商業(yè)價(jià)值��。目前�,許多公司正在尋找具備高級(jí)學(xué)位(例如MBA或其他碩士學(xué)位)的CISO級(jí)別管理人員,因?yàn)轭愃芃BA這樣的高級(jí)學(xué)位可以為更大的組織和更多的業(yè)務(wù)帶來商業(yè)價(jià)值��。
6. 人際交往能力
無論你是初級(jí)分析師還是滿腹抱負(fù)的CISO�,如果你無法溝通,你將無法走得更遠(yuǎn)���。人際交往��,是所有級(jí)別的人員都需要不斷改進(jìn)和提升的一項(xiàng)技能�。
如果你缺乏有效的溝通和人際交往能力,你就會(huì)發(fā)現(xiàn)自己在職場(chǎng)中寸步難行��。如果你想要升職���,就必須能夠溝通��、交流�、管理以及有效地組織分配人力�。
拋去人際交往能力不說,你自身所具備的技術(shù)實(shí)力只能讓你在原本的職位上原地踏步���。在一項(xiàng)有關(guān)安全技能的調(diào)查中��,超過一半(52%)的受訪者表示��,找到具備人際交往能力的技術(shù)專業(yè)人員是最難的一項(xiàng)任務(wù)���。從客觀的角度來看,有同樣比例的受訪者表示���,很難找到在類似于他們的業(yè)務(wù)和行業(yè)環(huán)境中工作的人。
僅僅是技能嫻熟并不意味著他們能夠有效地進(jìn)行溝通���。候選者必須能夠使用不同的溝通方式�,尤其是在他們是遠(yuǎn)程工作者的情況下。能夠使用聊天工具和視頻會(huì)議�����,同時(shí)還要保持專業(yè)度是至關(guān)重要的一項(xiàng)技能�����,也是企業(yè)正在尋找的關(guān)鍵因素�����。
7. CISO:了解事物是如何聯(lián)系在一起的
一家正在尋找CISO的企業(yè)���,需要的從來都不是能夠挖掘不同工具細(xì)節(jié)的人����,而是能夠理解這些細(xì)節(jié)的人���,更重要的是����,這個(gè)CISO還需要能夠理解安全架構(gòu)是如何組合在一起,以及不同組件之間是如何相互作用的����。
企業(yè)希望了解他們的CISO涵蓋了網(wǎng)絡(luò)安全計(jì)劃的不同關(guān)鍵原則,您在安全領(lǐng)域獲得的分?jǐn)?shù)越高�,您需要的技術(shù)成分就越少。
網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)游戲總是在變化��。而一旦你達(dá)到CISO的水平���,你只需要知道事物是如何融合在一起的���,如何與管理團(tuán)隊(duì)交流互動(dòng),以及如何與董事會(huì)溝通就足夠了���。
當(dāng)然�����,一些CISO可能比其他人更具技術(shù)性�,但這并不是要求你必須成為一名編碼專家才能成為一名強(qiáng)大的安全領(lǐng)導(dǎo)者�����。但是至少���,你需要掌握的不僅僅只有安全性問題��。
8. 編碼器:Python
當(dāng)公司尋找能夠構(gòu)建他們腦海中的未來系統(tǒng)的人才時(shí)���,Python編程語(yǔ)言就自然而然地吸引了招聘經(jīng)理的目光。Python是非常重要的一項(xiàng)技能�����,因?yàn)樵诂F(xiàn)今這種自動(dòng)化發(fā)展潮流中�����,每個(gè)人都期待能夠自動(dòng)化事物����。
9. 最重要的品質(zhì):誠(chéng)實(shí)
對(duì)于安全專家而言,候選人最重要的品質(zhì)還是誠(chéng)實(shí)�,一定要確保簡(jiǎn)歷不存在造假行為。如果你失去了這種正直���、誠(chéng)實(shí)的品質(zhì)���,就一定會(huì)被企業(yè)踢出局�����。
最后��,安全專家總結(jié)稱����,你只有幾分鐘的時(shí)間給人留下好印象�����,所以不要分享與自身申請(qǐng)職位無關(guān)的內(nèi)容��。如果你說你是Microsoft Word或PowerPoint的專家���,那么很明顯��,你錯(cuò)過了重點(diǎn)�����,這些根本就不是招聘經(jīng)理需要/想要聽到的內(nèi)容����。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)��、動(dòng)漫設(shè)計(jì)���、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”��、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面���、可信的方案,業(yè)務(wù)涵蓋咨詢�、評(píng)估、規(guī)劃����、管控���、建設(shè)、培訓(xùn)等�。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。
