CSO进阶之路:从安全工程师到首席安全官
上QQ阅读APP看书,第一时间看更新

3.2 从网络安全新人到CSO的职业路径

网络安全行业热火朝天,但我们很少看到这个领域相关职业路线的规划,这一方面是由于这个行业还比较年轻,还没有完全建立职业路径,另一方面也是因为高端职位以前比较少,很少有人到达顶峰,所以难以总结。但随着这个行业的爆发,这恰好是网络安全行业的“后浪们”最想了解的内容之一。我们通过与企业网络安全专家联盟(诸子云)合作,针对近30名企业网络安全负责人及CSO进行了调研,分析和总结了他们的职业成长路径,以给大家做一个参考。

3.2.1 网络安全的职业路线

网络安全行业主要涉及两个方向、四类岗位。两个方向是甲方和乙方。所谓甲方是指企业内与IT相关的领域,所谓乙方是指安全厂商或服务商。四类岗位分别是安全产品研发、安全研究、安全管理、安全产品营销。在此,我们只说明前三类岗位的发展路线。

(1)研发路线

软件工程师是安全行业需求量最多的岗位,主要负责对产品的设计和实现。与其他行业的研发岗位类似,网络安全研发工程师主要职责包括系统开发、测试和文档编写,高级别工程师同时负责把握系统架构和前沿技术。研发又分为前端和后端,从整个行业来看,前端工程师比后端工程师更加缺乏;当然,最受欢迎的是全栈工程师。根据不同的产品线,研发工程师需要对网络安全领域知识(即业务)有不同程度的了解,包括网络协议、网络攻防原理以及Linux内核等。(国内优秀的C高级工程师太过稀缺,而C是网络安全的“官方语言”。)

研发岗位的职业路线:初级工程师→中级工程师→高级工程师→架构师→首席架构师→CTO/CSO。

(2)研究路线

安全研究侧重于对某一个或几个方向进行深入研究,如漏洞挖掘、操作系统安全等。研究岗位通常不放在研发团队中,而放在较为独立的“安全实验室”。做安全研究是否需要有研发能力呢?大部分安全研究岗位对开发技能有明确要求,在公司或学校(作为学生)从事安全研究更准确的称谓是“Research engineer”(研究工程师),他们既精通安全(业务),又有较强研发能力。

研究岗位的职业路线:初级研究员→中级研究员→高级研究员→顾问→科学家→首席科学家/CSO。

(3)管理路线

安全管理主要围绕企业的信息资产开展持续的风险控制工作,具体负责ISMS建设、安全运维、IT审计等。管理方向要求从业者有全局视野,考虑得更多的是如何实现安全的木桶原理,在资源有限的情况下让所有木板达到相同的高度,需要有比较强的沟通和协调能力,同时对企业的业务要有比较深刻的认识。资深的安全管理人员是企业中最稀缺的人才。

管理岗位的职业路线:安全员→内审员→审计师→合规专家→CSO。

3.2.2 对新人的网络安全从业建议

这里给准备进入网络安全方向的从业者提出几点建议。

自2017年6月《网络安全法》颁布后,国家对信息安全领域愈发重视。了解这个行业需要先了解网络安全相关的技术、产品和服务,下面我们简单看一下。

  • 技术:物理安全和运行安全技术、数据安全与内容安全技术、信息对抗技术。
  • 产品:防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。
  • 服务:包括安全集成、风险评估、渗透测试、合规性咨询、安全巡检、应急保障等专业信息安全服务。

另外,对于就业前置条件,要求专业基础扎实(本科知识十分基础,这既代表它并非与时俱进,同时也代表它十分重要,你的发展和进步完全依赖于你的基础是否牢固);英语至少要过四级,能作为工作语言当然最好,就业面会更广;以上就是这个专业的硬实力和软实力的结合。

还有一点,无论将来从事什么技能方向,一定要有有价值的项目经验积累,这里的项目不一定是指学校统一组织的项目,而是真实的落地项目,HR看了那么多模拟项目,对于模拟项目是不感兴趣的!哪怕你在校期间帮助老师管理过校园网或者大规模的机房等!再就是,如果有机会,在毕业前可以积累一些安全行业的人脉,了解到业内的信息,这对于将来就业或者成长都会有帮助。

首先,需要树立个人职业目标,建议观察IT公司的各个职位职责,如产品经理、研发人员、售前工程师、售后工程师等。闭上眼睛想象一下自己以后想成为哪种人,哪种职业与自己的性格比较匹配。找到自己的方向后,即可从自己的专业课里规划出重点要学习的内容,加入一些行业论坛,深入地了解要掌握的技术内容,为自己以后的求职做铺垫。

作为希望进入网络安全行业的年轻人,有一定开发基础并且网络相关知识扎实,这会让你的安全技能学习过程简单不少。你可以根据自身特点选择一个安全方向,如网络安全、移动安全、物联网安全、大数据安全等,在这些安全方向中,密码学都是必须掌握的,另外还要掌握Linux系统原理、攻防知识、逆向原理、漏洞分析技术等。

再看可以选择的企业类型,通常可以将其分为甲方企业和乙方企业。甲方企业是指传统的生产制造、服务与快消等传统企业,如联合利华、宝洁、上海家化、美特斯邦威等(它们一般都会设置信息部,为了支持企业内部的信息化建设与运维,会有一些专业IT人员来做开发与运维以及新的项目引进工作);乙方企业,即为甲方企业提供软件服务或集成服务的企业,如用友、金蝶、埃森哲、SAP、浪潮、海康威视、浙江大华等。

另外,考证要有目的性,不要白白浪费时间和金钱。你可以花一些时间去了解这些认证的获得条件、费用、考试大纲和往年的教材目录,再花一定时间规划自己到底适合哪个方向。因为你要在一个领域长远发展,必须要有兴趣的支撑。接下来,就是选一个(决不能超过两个)去学习,甚至是看情况报培训班(有的是必须的)。在安全方向的证书中有一定含金量的包括CISSP(注册信息系统安全专家,国际认可,需要有较长的安全工作经验)、CISP(注册信息安全专业人员,国家级的)、ISO27001,其他如CSSLP、CISAW、Security+、CISA,请记住考证是有目的性的,但不是目的,它也只是让你多了一个“敲门”工具,最终还是要通过自身的技术实力说话。再提一点,近些年计算机软考中级也将信息安全单列出来进行认证,即“信息安全工程师”,可见国家对于信息安全的重视程度。

对于专业通路:助理工程师→中级工程师→高级工程师→专家,要熟悉专业及其在企业中的职能应用,在全面了解和掌握相关知识后,在行业、产品、职能等某个细分领域进行深耕和研究,十年磨一剑。

对于管理通路:组长→主管→经理→总监→总经理,可以根据行业、企业的情况向职能管理领域发展,除了专业能力的要求,还需要具备一定管理能力和沟通协调能力。

横向通路的具体方向可以有咨询、培训、人力资源、客户服务、售前咨询、市场营销等。

3.2.3 教你如何成长为CSO

通过对企业网络安全负责人与CSO的调查,我们发现,90%的网络安全高级岗位并非依照上述单一的发展路线晋升而来,通过分析可知他们的职业发展特点如下。

(1)多线路交叉发展

几乎没有通过单一线路晋升为CSO的案例,大部分CSO都涉及交叉的路线发展,其中研究路线与管理路线交织提升的情况比较多,也就是应届毕业时从事研究类技术岗位,从业一段时间后转到安全管理岗位。此外,也有一部分CSO的成长背景为非网络安全方向,但同样具备专业领域素养,比如安防方向、保密方向等。但他们有一点相似的是,都具有安全管理相关的从业履历,这已成为CSO职业路径上必需的经历。

(2)在甲乙方都有从业经验

76%的CSO具备甲乙方从业经验,也就是在自己的职业发展过程中,既在乙方从业过,也在甲方从业过,这说明在CSO的职业能力中网络安全的多视角认识必不可少。这可以帮助CSO在了解行业趋势,以及内部资源的配置过程中受益。

(3)至少经历过三家企业

88%的CSO服务超过三家企业,但很少有超过六家企业的情况。适当的跳槽可以让从业人员拓宽视野,了解不同类型企业的IT结构和行业特点,对于职业发展有一定的益处,但过度跳槽对职业发展会有伤害,尤其是高级岗位,会使企业管理者在邀请时担心你的稳定性问题。

(4)项目实施经验丰富

所有CSO在项目实施方面都具备丰富的经验,从IT建设到应急保障,从系统开发到战略规划,在不同行业中,CSO侧重的项目略有不同,但无一例外,其履历中成功的应急实践经验均是加分项。

有一位国外行业资深人士曾说:“网络安全是工程(engineering),而非科学(science)。”网络安全的对抗性、实用性导向决定了这个领域独具魅力的一面,工程化导向是这个行业的主色调,而硬核领域的实用性、工程化导向更为明显,如操作系统安全和二进制分析。

网络安全技术岗位的工程化能力十分重要。行业青睐复合型人才,即专业的网络安全技术功底再加上丰富的实践经验。