如何成为一名优秀的信息安全顾问
作者:星期四, 十月 23, 20140

0作者简介:

陈伟,谷安天下副总经理、首席顾问。知名CISA讲师、BS7799主任审核员、ITIL授权讲师,COBIT、国际信息系统审计与控制协会会员,清华大学EMBA班、北京大学CIO班特聘教授,国内IT治理、IT审计与信息安全行业推动者。

随 着信息化建设的加速,市场需求催生了IT服务业和咨询服务的迅猛发展。专业IT咨询公司因其特殊的独立和专业地位,也赢得了充足的发展空间。而信息安全行 业由于其专业性强、需求复杂多样,对于信息安全咨询顾问的需求也应运而生,为信息安全从业人员的职业生涯发展创造了广阔的前景。

然 而,咨询顾问的工作内容是根据客户需求内容不同而不同,服务内容和服务方式多种多样,顾问级别也因资历和能力而有巨大差异。那么,究竟如何才是一名好的的 信息安全咨询顾问?该学习哪些方面的知识,掌握哪些方面的能力?本文试图从信息安全顾问的概念、定位、要求、知识体系结构,以及咨询顾问的研究类别、方向 等方面解析信息安全顾问的成长途径。

一、认识信息安全咨询顾问

1.什么是IT咨询

什 么是IT咨询?业界对于IT咨询的定义一般是指在给合客户实际情况的前提下,构建出与客户实际需求相吻合的,能帮助客户实施规划、制订策略、优化流程、完 善管理、提高效率、降低成本、增加收入的一套解决方案。而信息安全咨询同样属于IT咨询,只不过其针对的是客户在实际生产、运维等工作中遇到的信息安全问 题。

而要想做好信息安全顾问,并不是一件简单的事情。作为咨询顾问,要时刻牢记从为客户解决实际问题出发,并不是向客户销售产品。 当然,IT咨询业务的成功与否也并非由技术来决定,而是取决于咨询人员是否具有与客户建立相互协作、沟通及交付成果的能力,这才是IT咨询的核心思想。

2.什么是咨询顾问

美国管理咨询协会(MCA)提出,管理咨询是针对有关的管理问题提供独立的建议和帮助。一般包括确定和考察相关的问题或机会,推荐合适的行动方案,并且为所提出的建议提供帮助。

从中我们可以得出,咨询顾问应当是指能通过科学的咨询方法,为客户创造价值,提升能力的第三方专业人员。具体来说,咨询顾问首先是解决问题,这是咨询顾问面 向客户提供的最基本价值,也是客户最基本的需求;其次,顾问需要将自己掌握的知识和经验传递给客户,提升客户的安全意识,使客户自己也能拥有解决安全问题 的思路、方法。

3.顾问的职责和级别

和其他IT咨询服务一般,业界各大信息安全咨询公司也针对各自实际设立了不同的咨询服务岗位,下面以谷安天下的咨询顾问发展途径为例作简要介绍,供大家参考。

谷安的咨询顾问级别共有四级,分别是顾问——高级顾问——咨询经理——高级经理。顾问,一般要求1-3年经验,能承担项目的一部分实施工作,如技术评估、风 险评估、流程评估等;高级顾问,一般要求3-5年经验,能独立承担典型项目实施的全部工作,如典型的安全体系项目、安全评估项目等;咨询经理,一般要求 5-8年经验,能完全掌握和控制项目实施、项目质量,并承担部分售前工作,拿下一些相关的新项目,拥有出色的沟通、演讲能力;高级经理,8年以上经验,能 负责某行业如金融、央企等,或某个类别如开发、运维、等保等方面的咨询服务。从中我们不难看出,顾问的级别和其能力是息息相关,高级顾问以上更是对管理、 沟通方面的能力有着较高的要求,已不再是局限在具体的项目实施环节之上。

二、成为好的信息安全咨询顾问

成为一个好的信息安全顾问,首先需要从价值角度引导自己的工作,在实际工作中不断修炼自己,通过自身知识体系的完善,在项目中锻炼自己交付价值的能力,最终走向专业咨询服务之路。

1.信息安全顾问的价值导向

尽管中国IT咨询市场已进入快速发展期,但不可否认的是,我国的IT咨询业才刚刚起步,与发达国家还存在较大差距。IT咨询顾问的知识和能力结构成为制约IT咨询业发展的瓶颈。所以,成为一名好的咨询顾问不仅仅是顾问自身的追求,更是IT咨询市场的迫切需求。

好的咨询顾问必须要同时关注和平衡三个方面的价值,即客户价值、公司价值、自身价值。客户价值如何实现?就是要通过科学的方法帮助客户以最小的成本创造更大 的收益。但是,如果只关注客户价值,不考虑公司价值、自身价值,则很可能会造成公司资源的浪费,公司和团队满意度的下降,而最终影响顾问的长期成长。所 以,这三方面的价值必须要平衡。

(1)实现客户价值的方法

首先,我们必须给出完善的咨询建议,不能仅仅指出 一个大的方向。一个成功的咨询必然拥有一个完整的咨询框架,包括了解客户背景、业务特征、公司战略、企业文化;设想成功的关键因素,选择项目实施关键控制 点;理解客户处境,设置可选方案,并协助实施;帮助客户实现其期望的价值,收集总结实施效果。咨询顾问不能单纯地从某一个方面考虑,必须从全局出发。同 时,为确保咨询成功,顾问还要善于引用规范与标准,保证分析方法的权威性;对客户行业进行深入了解,并进行同行业之间的比较;引用第三方客观统计数字、案 例来说明你的观点;充分考虑企业文化、客户的客观环境;提供多种方案,让客户选择最合适实际、最合理的方案;协助客户对员工进行教育与培训;确保项目至少 有几个亮点;在关键点上向客户管理层汇报项目进展与成果。

其次,实现客户价值的过程还要求顾问有卓越的沟通技巧,给客户以专业的形 象感染,取得事半功倍的效果。那么具体表现在哪些方面?一是要有专业气质,穿着得体、举止大方、较强的专业表现力;二是要表达清晰,富于逻辑、语言生动、 节奏鲜明;三是能以图说话,善于使用生动的图例来进行展示;四是文如其人,行文流畅、用字准确、不犯低级错误;五是低调友善,善于倾听、保持低调、避免冲 突;六是能坦诚相待,认真做事,成为客户的知心朋友。由于顾问的工作是和客户打交道,和“人”而不是和“设备”打交道, 所以,要成为一个好的咨询顾问,卓越的沟通技巧是必备的能力。

最后,咨询顾问还必须要有有效的落地方法,只有有效的落地方法,才能 成功实现客户价值。否则,即使你的咨询建议再如何完善,沟通技巧再如何卓越,想实现客户价值也只是空中楼阁。有效的落地方法包括:一是分析客户环境,选择 最有效的措施;二是协助客户制定实施计划;三是确保计划与人员职责之间的对应关系;四是重视对实施人员的培训;五是必要时要亲临现场辅导推动实施;六是争 取把项目实施纳入员工考核体系;七是推动甲方各种力量参与项目方案的实施;八是要确保快速见效、逐步推进。

对于一名好的咨询顾问来 说,要更加那些被人忽略的间接的价值,即思想、理念、方法等的转变和知识的转移,间接价值对于客户的影响往往更加长久,影响也更加深入,“授人以鱼不如授 人以渔”就是说的这个道理。作为咨询公司来说,如果只产生了直接价值即详尽的解决方案,那么只能说这个咨询公司基本合格,而如果产生的间接价值非常明显甚 至间接价值远远超过了直接价值,那么这个咨询公司才称得上是优秀的咨询公司。

(2)取得客户价值、公司价值、自身价值之间的平衡

在实现客户价值的过程中,一名好的咨询顾问会成功地取得客户价值、公司价值和个人价值之间的平衡。这三者之间的平衡不仅可以使公司走上良性循环的发展之路,还可为客户带来的一些潜移默化的影响和知识的转移,同时实现个人和团队能力的提升和突破,可谓是一举三得。

公司价值可分为有形价值和无形价值两大类。实现有形价值包括:1.确保项目额度的适宜性;2.确保人天投入的有效性;3.确保项目回款的及时性;4.确保项 目成本的经济性。实现无形价值包括:1.项目可以为公司带来开创性的方法;2.项目可以为公司带来示范性的案例;3.项目可以为公司带来行业的经验与准入 资质;4.项目可以为公司锻炼咨询队伍。

而个人价值的实现表现为:一是认同公司价值观,并与公司价值观保持一致;二是诚实守信,脚 踏实地,认真做事;三是热爱咨询、富有激情;四是拥有持续学习、灵活运用的能力,对行业信息、市场信息保持敏感;五是具有创新的能力,能快速构筑各种咨询 模型与方法用于项目实施的能力;六是不断积累行业经验,成为行业专家;七是获得必要的专业资质以提升个人形象与信任度;八是成为讲师,极大提升深层次交流 能力,养成良好的气质。

当然,要成为一名好的咨询顾问必然离不开实践的磨砺和时间的沉淀。一名好的咨询顾问最终还要既能产生直接价 值,即咨询方案本身的价值,又能产生间接价值,即通过一个咨询项目而给客户带来的思想、理念、方法等的转变和知识的转移。同时,一名好的咨询顾问成长之路 上,离不开对客户价值的关注,对公司价值的关注,对个人价值的关注,更离不开这三者之间的平衡。

2.信息安全顾问的知识体系

作为一名信息安全咨询顾问,究竟该掌握哪些知识?建立一个怎样的知识体系?其实,信息安全领域非常庞大,一名咨询顾问不可能面面俱到,但是,通过对信息安全知识体系结构的分析,我们可以做到了解自己所处的具体领域,该学习哪些方面的知识,并根据自己的长处确定发展方向。

信息安全的知识体系框架大方向上不仅包括IT治理、IT控制等环节,作为安全顾问还要关注开发、运维等IT生命周期环节和IT管理环节。

首先在管理角度上,安全顾问需要IT治理和安全管理方面的专业知识,因为顾问在咨询服务的过程中,离不开与客户管理层的交流。这方面具体内容包括IT治理相 关的IT决策机制、IT组织架构和IT规划、IT投资、IT绩效,信息安全管理相关的ISO27000、等级保护,IT内控BCP和IT服务管理相关内 容。

其次,技术角度上,安全顾问还要了解主流的IT架构、IT技术、安全技术、安全产品相关知识,如TOGAF、EA企业架构、 IT基础架构安全、网络攻防、CISA专业IT审计知识体系等,这是安全顾问的知识基础。当然,顾问也不能全盘掌握所有知识,顾问要根据兴趣点找到自身的 定位和发展方向。

一名好的咨询顾问不仅仅拥有雄厚的安全专业知识背景,还要积极学习客户的行业背景知识,如客户行业的监管要求、业 务专业知识、组织人脉知识。这是顾问向更高层次发展的必要条件。对于好的咨询顾问,还要求其拥有出色的软技能,我们定义了九个方面的软技能,如项目管理能 力、团队合作能力、需求把握能力、文档编写能力、演讲汇报能力、快速学习能力、独立思考能力、有效沟通能力、现场应变能力等。

总而言之,若要成长为一名好的信息安全顾问,除了要关注并取得客户价值、公司价值、个人价值之间的平衡,还要在庞大的信息安全知识体系里不断学习,最重要的还是得发自内心热爱咨询,在行业和专业上探索自己的方向,在咨询团队中找到自己的定位和独特价值,方能最终得偿所愿!

 

谷安网校

信息安全在线教育学习服务平台,拥有顶尖培训讲师、精品培训课程、在线答疑三位一体的在线教育特色,是国内最完善、最专业的信息安全在线教育培训第一品牌。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章