编者按:信息安全从业者如何才能最有效的提升专业技能和经验?又如何在最短的时间内获得最广泛和最适用的相关知识?不可否认,个人兴趣、自我学习和工作背景等等都是重要的因素。然而,资深信息安全顾问和信息安全培训讲师Dave Shackleford,对信息安全这一专业技能的学习和职业发展却有着另外一些观点和见解。
作者简介:Dave Shackleford,Voodoo 安全公司所有人,SANS安全公司分析师,资深信息安全顾问、信息安全培训讲师和信息安全课程作者。
Shackleford认为,大多数企业的信息安全职位并不需要许多与本职工作不一样的新培训和新活动。换句话说,如果你是一名网络监控员,你的职责就是监控流量。或者你是一名风险分析人员或安全架构师,那你几乎没有任何机会去研究漏洞管理或是渗透测试这样的事情。
当然,这并不是绝对的。还是有一些企业会帮助安全人员往新的技能方向和领域发展。另外一些企业,由于缺少安全人员,因此每个人都必需担任很多工作,而且这些工作的分配都是随机的。许多机构的确送员工去参加培训,但这些人在培训课中所学的都是他们在工作中永远也用不上的东西。比如,渗透测试。大约有一半以上参加培训的人都愿意学习渗透测试,原因是他们觉得这种技能很酷,而不是他们的本职工作可能会有这样的需要。
你最看重工作的哪一点,除了金钱上的报酬以外?如果稳定性和舒适的工作环境对你比较重要的话,那么你就应该尽量呆在一家企业中。然而,如果你想获得真正的实操经验和更广泛的方案、工具等工作技能的话,多一些跳槽的经历是不可避免的。信息安全这个专业与许多传统的IT工作有所不同,风险和策略管理不同,攻击和破坏的方式也不同,等等。
信息安全工作是一种“工具专一”的工作,比如你的工作主要是针对某种品牌防火墙或网关的配置。但如果你真得想学习更多领域的安全技术,了解更多的方案的话,那就不应该只满足于目前的工作内容。现实中千篇一律的工作使人厌烦,而一些企业根本也不重视安全工作。而这些情况正是你迈向新领域的动力。
一般来说,我认为企业对“忠诚”的强调过度了,这只是上个世纪50年代的企业思维方式。现在的情况是,大部分员工对企业并不“忠诚”。而获得更多的不同的职业和技能经验,对个人发展显然是件好事情。如果你的目标是一个防火墙工程师,那就列出所有的硬件和软件版本去研究。如果你换成关注风险控制或架构设计的职位,这些硬软件的研究就不重要了。如果你身处管理角色的职位,那么你过去的成功经验则要比实操技能重要的多。比如,你在某企业是否主持开发过一套完美的软件,又在哪一家公司成功的组织过数据防入侵等等。
这就是我通过多年的职业经验观察而得出的想法。