7大原则成就完美信息安全职业生涯

 作者简介：

Roger A. Grimes

Roger A. Grimes 持有40多种计算机科学与技术认证，撰写了10本计算机安全图书。自1987年起，从反汇编早期DOS病毒开始，一直奋战在抗击恶意软件及恶意黑客第一线。他专精主机防护，接受财富100强及中小企业的安全咨询。作为行业演讲者和教育者，Roger目前在KnowBe4工作，担任数据驱动型防御传道者。

[[261255]]

Roger A. Grimes 自1987年起就从事IT行业了，刚开始是PC故障诊断员和安全顾问，后来一步步从培训讲师、网络技术员、网络监管员、网络及技术总监、IT副总裁、首席安全架构师一路走来，最后成为了传道者。期间他一直在跳槽，但有时也会在同一家公司待上十年。他招聘过数百名员工，看过数千份简历，也辞退过几十个人。在IT职业道路上，他有很多的感悟。

Roger A. Grimes 在需具备哪些特质才能享受辉煌长青的IT安全职业生涯方面可算是颇有心得。其中最重要的有以下7个：

1. 积极主动

招聘经理对能进入到面试环节的应聘者所需具备的品质有自己的一套最低标准。只要你坐到了面试的位置上，能否被聘用就看你是不是个有主见，做事主动的人了。

所有雇主都希望招聘到的人能够不用自己操心就会做好交待下去的事。如果我面试的人让我觉得他们不仅聪明能干，还能让我的生活变得更加轻松，那我会尽我最大的努力让他们成为我的雇员。这些做事积极的应聘者让我的事业一帆风顺，他们不推诿塞责，而且能够快马加鞭地把事情做好。

我经常聘用那些不具备所有必备技能和知识的人，因为我知道他们能很快适应，而一旦他们具备了必备的知识和技能，就会变得非常优秀。雇主最喜欢聘用那些能干而有上进心的人。你只要提出要求，他们就知道该怎么样推进这件工作，而不需要你手把手地教导并敦促。

2. 学习并展示所知

这条归结到学历或证书。二者兼而有之更好。雇主想知道自己招聘到的人具备工作所需的知识，了解自己将要从事的工作。大多数雇主，在初筛之后都会想要应聘者具备相应的知识和经验。没有哪个雇主会仅看中一种学习类型。

学位或证书确实能说明一些自学和经验所不能说明的东西。一个学位或一张证书并不意味着持有者在特定领域更加聪敏，但确实能反映出目标设置、规划管理和成功上的一些倾向。这些品质只会是加分项。

另外，最好的雇员会结交所需知识领域里比自己更强的人。如今这个互联社会里就更容易做到这一点了。无论你关注的安全领域是什么，你都可以加入多个群组，关注多个博客、网站，倾听相关专业人士都在讨论什么话题。即便你不认为他们在某方面懂得比你多，总能学到点儿什么。想变得更聪明?那就多跟比你聪明的人玩。

3. 每5-10年重塑一遍技能

这是最重要的建议之一。25年前，我很擅长反汇编DOS计算机病毒。1990年代，我成为了宏和电子邮件病毒大师。进入新世纪，我尽我所能地学习了有关Windows病毒的一切。2010年代，我开始关注高级持续性威胁(APT)、犯罪软件和活动目录(AD)安全，并随着云技术的兴盛而推进到云安全领域。

IT领域每5-10年大变样。所以你的技术也应该每5-10年翻新一次。这可以确保你总是最新趋势的专家。但不是所有一时的风潮都能成为长期的趋势，就像90年代进入手机市场的苹果和微软 (还记得苹果Newton和微软 Windows CE 掀盖式手机吗?)

其中关键就在于分辨哪种技术具备持久耐力。我的首要原则就是：如果多家公司倾注巨资(如虚拟化和云技术)，那这股风潮很可能就是长期性的。遵循这条原则或许不能保证100%正确，但绝大多数时候都是很管用的。

那么，当前有什么新兴技术颇具潜力呢?量子计算!几十个国家数百家公司在量子计算上上百亿地砸钱，趋势已经非常明显了。还有一个例子：容器和微服务。每种新兴技术都会引入自己的安全问题和挑战，只要未雨绸缪，你就能成为该技术的专家——这种专业技能就是盈利的保障。

4. 磨砺沟通技能

良好的口头交流与书面表达能力能令你脱颖而出。股神巴菲特就强烈建议人们都修炼好沟通能力。作为极客，即便沟通能力不佳也能谋得一份工作，但这需要潜在雇主不在意这一点并费心发现你的技术才能才行。

我已经写了10本关于计算机安全的书了，杂志文章更是发表了上千篇。最初的时候，我开始写作是因为自己写作水平很糟糕。刚工作时就有一位雇主告诉了我这一点。直到现在，我的文章要发表也需要再做大量编辑工作，电子邮件里面更是经常出现拼写错误。但不得不写的过程让我成为了更好的书面沟通者。而且，一旦开始写计算机安全方面的文章，你就必须去学习更多相关知识。

5. 理解安全的地位

必须要认清计算机安全的真正地位。有时候，在我们那缺乏远见的世界观中，我们能看到的只有不断上升的风险和人们对数据安全保护工作的长期无视。这些人但凡肯多听取一点计算机安全专家的建议，他们的自我防护都能做得更好。

一旦你认识到计算机安全不是大多数公司企业或用户的最主要考虑，你就能理解自己所做任何事背后的机制。以生活中常见的金融交易为例。用户不过是掏出信用卡，插入读卡器，签个谁都不会认真核对的名字，完事儿。这是纯粹的安全舞台。银行和几乎每家金融机构都接受这种只用最起码的验证就能花钱的卡。大多数情况下这种机制是可行的。

当然，这些交易还是有很多安全监管的。只要信用卡公司发现可疑交易，交易就会被暂停，要求更多验证才能继续。但相比100%杜绝欺诈交易，银行更喜欢用户能长期持有并使用他们的卡——方便快捷的使用体验才能获得用户青睐。

每项生意背后都有其商业机制。计算机安全固然重要，但并不是商家的头号考虑。公司企业的首要目标是盈利，除此以外都是次要考虑，包括计算机安全。事实上，除非吃到苦头，否则公司企业才不会认真考虑计算机安全的价值。越早认识到这一点，你的职业道路能走得越顺畅。最好的IT安全人士都知道什么时候该说，什么时候该听。

6. 慎选战场

做出安全/可用性上的取舍在所难免，很多时候都会觉得公司以盈利为名对安全漠然置之。我都记不清自己有多少次极为反对公司无视安全风险的商业决策了。

但这些 “错误” 的商业决策很少招致真正的安全事件。安全不是非此即彼的，而是关于风险的权衡。如果你坚信某种理念，说出来。然后，不要再管自己的看法，遵从公司的商业决策。只有当你绝对准备好付出你的政治资本时(你拥有的政治资本永远没你认为的那么多)，再据理力争。但即便到了这种时候，也要学会适时让步。

我周围曾有无数超级聪明的计算机安全专家，他们为自己认为值得的每一件事力争到底。但无论他们有多睿智，他们的抗争通常都只会导致自己失去这份工作——要么被炒，要么辞职。如果你想每几个月就换一份工作，尽管去战斗。否则，慎选战场，保持事业长青。

7. 享受你的事业

计算机安全世界有很多赚钱的途径。我的首要建议是：选择你真正喜欢的领域。只有真正喜欢，你才能不仅干得更好，还能在做繁琐事务的日子里(文书、预算、开会等等)也保持继续下去的动力。能干自己想干的工作是极其幸运的事，世上很少有人能做到(否则职业足球队、篮球联赛的规模会大上很多倍)，但你可以选择所从事行业中自己最喜欢的部分。

我很幸运。我遵从，或者说学会了这些原则，成就了成功的IT职业生涯。其中一些原则我是提前学会的，另一些则是惨痛的教训教会我的。如果你走心阅读这篇文章，相信你会有一段愉快、成功又持久的职业生涯。祝你好运!