根據(jù)ISC的數(shù)據(jù)���,全球有超過(guò)350萬(wàn)個(gè)網(wǎng)絡(luò)安全職位空缺���,預(yù)計(jì)到2025年網(wǎng)絡(luò)犯罪造成的損失將達(dá)到10.5萬(wàn)億美元,組織急需安全專業(yè)人員��。然而���,計(jì)算機(jī)科學(xué)學(xué)位����、編程技能和深度技術(shù)專長(zhǎng)等傳統(tǒng)門檻,繼續(xù)將大量有才華的專業(yè)人員排除在這些職位之外�����。
五年前��,我也是這個(gè)被排除群體中的一員���。在人力資源和招聘咨詢領(lǐng)域工作20多年后,我發(fā)現(xiàn)自己再次面對(duì)企業(yè)報(bào)告����,感到必須要有所改變。轉(zhuǎn)折點(diǎn)出現(xiàn)在抵達(dá)悉尼后的幾個(gè)月內(nèi)�����。我和妻子成為網(wǎng)絡(luò)釣魚詐騙的受害者���,損失了數(shù)千美元����。當(dāng)調(diào)查警探告訴我網(wǎng)絡(luò)犯罪不會(huì)消失時(shí),我知道這是一個(gè)需要關(guān)注的問(wèn)題�,它正成為每個(gè)企業(yè)生存的基礎(chǔ)。
但當(dāng)我開始研究網(wǎng)絡(luò)安全職業(yè)時(shí)���,遇到了許多非技術(shù)專業(yè)人士都會(huì)遇到的障礙��。大多數(shù)資源都專注于滲透測(cè)試���、安全架構(gòu)和其他技術(shù)角色,對(duì)于沒(méi)有計(jì)算機(jī)科學(xué)背景的人來(lái)說(shuō)似乎遙不可及�。我能找到的少數(shù)入門級(jí)職位都需要多年的IT經(jīng)驗(yàn)。
我的發(fā)現(xiàn)徹底改變了一切�����。網(wǎng)絡(luò)安全有整個(gè)一面需要具有商業(yè)頭腦的專業(yè)人士����,而不是技術(shù)專家。治理��、風(fēng)險(xiǎn)和合規(guī)(GRC)角色需要許多職業(yè)轉(zhuǎn)換者已經(jīng)具備的技能�,如利益相關(guān)者管理、政策制定���、風(fēng)險(xiǎn)評(píng)估和商業(yè)溝通����。我從招聘顧問(wèn)到GRC專業(yè)人士的旅程證明,通過(guò)正確的策略�、堅(jiān)持和理解現(xiàn)有技能的適用領(lǐng)域,在沒(méi)有技術(shù)學(xué)位的情況下進(jìn)入網(wǎng)絡(luò)安全不僅是可能的���,而且正是行業(yè)所需要的�。
為什么GRC是職業(yè)轉(zhuǎn)換者的完美入口
可以將網(wǎng)絡(luò)安全比作一棟房子�。雖然滲透測(cè)試人員和安全工程師專注于建造更強(qiáng)的鎖和報(bào)警系統(tǒng)�����,但GRC專業(yè)人士確保房子有堅(jiān)固的地基��、保險(xiǎn)政策并符合所有建筑法規(guī)�。
GRC代表治理、風(fēng)險(xiǎn)和合規(guī)——三個(gè)相互關(guān)聯(lián)的學(xué)科����,構(gòu)成任何網(wǎng)絡(luò)安全項(xiàng)目的業(yè)務(wù)骨干。治理涉及創(chuàng)建和維護(hù)指導(dǎo)組織安全決策的政策����、程序和框架����。風(fēng)險(xiǎn)管理專注于識(shí)別潛在威脅�,評(píng)估其可能性和影響,然后制定緩解或接受這些風(fēng)險(xiǎn)的策略�����。合規(guī)確保組織符合所有相關(guān)的法律����、監(jiān)管和行業(yè)要求,從GDPR隱私規(guī)則到醫(yī)療保健行業(yè)的HIPAA等特定標(biāo)準(zhǔn)��。
與其他網(wǎng)絡(luò)安全職位相比���,這些角色需要很少的技術(shù)深度�。相反���,它們需要許多專業(yè)人士在其他領(lǐng)域的職業(yè)生涯中已經(jīng)培養(yǎng)的技能�����。例如���,我的人力資源背景就轉(zhuǎn)化為GRC工作�。編寫員工手冊(cè)為我制作安全政策做了準(zhǔn)備��。進(jìn)行工作場(chǎng)所調(diào)查給了我風(fēng)險(xiǎn)評(píng)估所需的分析思維�����。管理就業(yè)法合規(guī)為理解監(jiān)管框架提供了基礎(chǔ)��。
同樣���,來(lái)自金融領(lǐng)域的專業(yè)人士了解風(fēng)險(xiǎn)量化和監(jiān)管報(bào)告。項(xiàng)目經(jīng)理已經(jīng)知道如何協(xié)調(diào)利益相關(guān)者并確?���?山桓冻晒弦蟆I(yíng)銷專業(yè)人士可以向不同受眾傳達(dá)復(fù)雜概念——這是向從高管到一線員工解釋安全政策時(shí)的關(guān)鍵技能����。
隨著組織意識(shí)到不能將安全作為后續(xù)考慮硬加到現(xiàn)有運(yùn)營(yíng)中,對(duì)GRC專業(yè)人士的市場(chǎng)需求持續(xù)增長(zhǎng)。現(xiàn)代企業(yè)需要既了解安全要求又了解業(yè)務(wù)運(yùn)營(yíng)的專業(yè)人士����,這使得具有行業(yè)經(jīng)驗(yàn)的職業(yè)轉(zhuǎn)換者變得寶貴。ISACA指出��,許多組織無(wú)法找到能夠在安全團(tuán)隊(duì)和業(yè)務(wù)利益相關(guān)者之間架起橋梁的候選人��。
薪資預(yù)期反映了這種需求�。入門級(jí)GRC角色起薪約為45,000美元(美元),經(jīng)驗(yàn)豐富的專業(yè)人士收入遠(yuǎn)超100,000美元(美元)���。高級(jí)GRC經(jīng)理和總監(jiān)的薪資往往超過(guò)150,000美元(美元)����,特別是在監(jiān)管合規(guī)至關(guān)重要的金融服務(wù)��、醫(yī)療保健和咨詢公司���。
戰(zhàn)略方法:認(rèn)證��、網(wǎng)絡(luò)建設(shè)和堅(jiān)持
我的認(rèn)證之旅始于CompTIA A+�����,有時(shí)感覺(jué)像是穿著運(yùn)動(dòng)鞋攀登珠穆朗瑪峰�。由于沒(méi)有技術(shù)背景,我需要向自己證明能夠掌握基本IT概念����,然后再嘗試任何更高級(jí)的內(nèi)容。三個(gè)月的學(xué)習(xí)期很緊張��,但第一次嘗試就通過(guò)了�����,這給了我繼續(xù)下去的信心��,并向潛在雇主證明了我對(duì)職業(yè)轉(zhuǎn)換的認(rèn)真態(tài)度�。信心因素在應(yīng)對(duì)這種職業(yè)轉(zhuǎn)變時(shí)非常重要。慶祝任何形式的進(jìn)步���,因?yàn)槁飞蠒?huì)有許多陷阱����。
認(rèn)證環(huán)境提供了許多路徑�����,取決于你的背景�。對(duì)于尋求GRC特定證書的人,CRISC(風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證)和CISA(注冊(cè)信息系統(tǒng)審計(jì)師)在雇主中具有重要分量�。隨著組織將運(yùn)營(yíng)遷移到云平臺(tái),云認(rèn)證(如Microsoft Azure基礎(chǔ))變得重要���。
僅靠認(rèn)證無(wú)法獲得職位���。大多數(shù)想要走這條路的人都不理解這一點(diǎn)。理解關(guān)鍵框架提供了使認(rèn)證有意義的實(shí)踐知識(shí)�����。ISO 27001��,信息安全管理系統(tǒng)的國(guó)際標(biāo)準(zhǔn)����,出現(xiàn)在大多數(shù)GRC職位描述中。我花了大量時(shí)間學(xué)習(xí)ISO 27001不僅要求什么���,還有組織如何在實(shí)踐中實(shí)施其控制���。
NIST網(wǎng)絡(luò)安全框架(CSF)同樣值得關(guān)注����。NIST CSF的六個(gè)核心功能——治理�、識(shí)別、保護(hù)��、檢測(cè)�����、響應(yīng)和恢復(fù)——為組織安全程序提供了業(yè)務(wù)利益相關(guān)者能夠理解的邏輯結(jié)構(gòu)��。
個(gè)人網(wǎng)絡(luò)比任何招聘網(wǎng)站或招聘機(jī)構(gòu)都更有價(jià)值�。導(dǎo)致我獲得第一個(gè)GRC角色的突破來(lái)自幾個(gè)月前我聯(lián)系過(guò)的一個(gè)聯(lián)系人,當(dāng)時(shí)我向她詢問(wèn)有關(guān)行業(yè)的問(wèn)題��。當(dāng)她的雇主為入門級(jí)GRC職位啟動(dòng)聯(lián)合項(xiàng)目時(shí)��,她記得我們的對(duì)話并鼓勵(lì)我申請(qǐng)��。
不要低估現(xiàn)有網(wǎng)絡(luò)的潛在相關(guān)性��。轉(zhuǎn)入銀行�、醫(yī)療保健組織或咨詢公司的前同事通常了解網(wǎng)絡(luò)安全招聘需求,即使他們不在安全部門工作��。關(guān)鍵是要具體說(shuō)明你所針對(duì)的角色類型��,而不是泛泛地請(qǐng)求"任何網(wǎng)絡(luò)安全機(jī)會(huì)"���。泛泛的請(qǐng)求告訴專業(yè)人士你沒(méi)有做功課去了解可用的角色概況��。
避免讓職業(yè)轉(zhuǎn)換者偏離軌道的常見(jiàn)陷阱
我看到職業(yè)轉(zhuǎn)換者犯的最大錯(cuò)誤是試圖成為他們不是的人����。完成CompTIA A+認(rèn)證后�����,我認(rèn)為需要將自己定位為技術(shù)專家才能在網(wǎng)絡(luò)安全領(lǐng)域被認(rèn)真對(duì)待�����。這在早期面試中適得其反�,當(dāng)招聘經(jīng)理通過(guò)我無(wú)法回答的后續(xù)問(wèn)題暴露了我技術(shù)知識(shí)的膚淺深度時(shí)。現(xiàn)實(shí)是�,大多數(shù)GRC角色不需要你配置防火墻或分析惡意軟件。它們需要你理解安全控制如何支持業(yè)務(wù)目標(biāo)�。
當(dāng)面試我的第一個(gè)GRC職位時(shí),我停止試圖用技術(shù)術(shù)語(yǔ)給人留下深刻印象����,而是專注于我的商業(yè)經(jīng)驗(yàn)如何幫助我將安全要求翻譯成高管能夠理解的語(yǔ)言�。理解安全的業(yè)務(wù)背景將成功的GRC專業(yè)人士與那些難以晉升的人區(qū)分開來(lái)���。安全不是實(shí)施最復(fù)雜的控制�����。而是在保護(hù)和業(yè)務(wù)功能之間找到正確的平衡��。
通過(guò)持續(xù)學(xué)習(xí)建立可信度仍然至關(guān)重要��,但這不是關(guān)于積累認(rèn)證���。網(wǎng)絡(luò)安全領(lǐng)域不斷演進(jìn),每天都有新的威脅���、法規(guī)和技術(shù)出現(xiàn)�����。我養(yǎng)成了每天至少閱讀一篇網(wǎng)絡(luò)安全文章和研究從業(yè)者討論當(dāng)前挑戰(zhàn)的專業(yè)論壇的習(xí)慣��。這種保持最新?tīng)顟B(tài)的承諾向同事和管理層表明�,你對(duì)網(wǎng)絡(luò)安全職業(yè)的認(rèn)真態(tài)度超越了獲得第一個(gè)職位。它還為網(wǎng)絡(luò)活動(dòng)提供了談話開端�,并在績(jī)效評(píng)審期間給你相關(guān)的例子來(lái)討論。
邁出第一步
網(wǎng)絡(luò)安全行業(yè)對(duì)具有商業(yè)技能的專業(yè)人士的明確需求��,為愿意以戰(zhàn)略思維方式處理轉(zhuǎn)型的職業(yè)轉(zhuǎn)換者創(chuàng)造了前所未有的機(jī)會(huì)�����。我從招聘顧問(wèn)到GRC專業(yè)人士的旅程證明�,成功不需要你放棄現(xiàn)有專長(zhǎng)�。相反,它需要在新環(huán)境中應(yīng)用它�����。
對(duì)于考慮這種轉(zhuǎn)換的讀者�����,嘗試這三個(gè)行動(dòng)來(lái)讓你走上正確的道路:
從建立信心同時(shí)展示承諾的基礎(chǔ)學(xué)習(xí)開始�����。報(bào)名參加涵蓋安全基礎(chǔ)知識(shí)而不需要深度技術(shù)先決條件的入門級(jí)網(wǎng)絡(luò)安全認(rèn)證項(xiàng)目�。它們的費(fèi)用約為500美元(美元)�����,需要三到六個(gè)月的兼職學(xué)習(xí)�。
通過(guò)有針對(duì)性的研究和網(wǎng)絡(luò)建設(shè)�,開始將你現(xiàn)有的技能映射到GRC要求?����;〞r(shí)間在招聘網(wǎng)站上分析GRC角色描述����,識(shí)別反復(fù)出現(xiàn)的主題和要求。通過(guò)LinkedIn聯(lián)系目前在GRC工作的專業(yè)人士�����,請(qǐng)求簡(jiǎn)短的信息面試�����,了解他們的日常職責(zé)和職業(yè)道路���。這種途徑可以開辟你無(wú)法獨(dú)自找到的機(jī)會(huì)����。
選擇一個(gè)主要框架,如ISO 27001或NIST CSF�。投入大量時(shí)間理解它不僅要求什么,還有組織如何在其業(yè)務(wù)功能中實(shí)施它�����。下載標(biāo)準(zhǔn)文件�����,閱讀案例研究����,加入從業(yè)者討論現(xiàn)實(shí)世界挑戰(zhàn)的在線論壇��。
網(wǎng)絡(luò)安全技能差距不會(huì)消失�����,組織認(rèn)識(shí)到多元化的專業(yè)背景能夠加強(qiáng)他們的安全項(xiàng)目����。你的商業(yè)經(jīng)驗(yàn)��、溝通技能和行業(yè)知識(shí)不是需要克服的障礙���。它們是競(jìng)爭(zhēng)優(yōu)勢(shì),使你成為網(wǎng)絡(luò)安全行業(yè)真正需要的人才��。
Q&A
Q1:什么是GRC?它和其他網(wǎng)絡(luò)安全崗位有什么區(qū)別?
A:GRC代表治理���、風(fēng)險(xiǎn)和合規(guī)����,是網(wǎng)絡(luò)安全項(xiàng)目的業(yè)務(wù)骨干���。與需要深度技術(shù)技能的滲透測(cè)試或安全架構(gòu)不同�,GRC角色更需要政策制定���、風(fēng)險(xiǎn)評(píng)估�����、利益相關(guān)者管理等商業(yè)技能��,適合非技術(shù)背景的專業(yè)人士轉(zhuǎn)入�����。
Q2:轉(zhuǎn)行網(wǎng)絡(luò)安全需要哪些認(rèn)證?學(xué)習(xí)成本高嗎?
A:入門可以從CompTIA A+開始建立信心�,GRC專業(yè)認(rèn)證包括CRISC和CISA。云認(rèn)證如Microsoft Azure基礎(chǔ)也很重要����。入門級(jí)認(rèn)證費(fèi)用約500美元,需要3-6個(gè)月兼職學(xué)習(xí)�����,相比整體職業(yè)回報(bào)來(lái)說(shuō)成本合理���。
Q3:沒(méi)有技術(shù)背景的人在網(wǎng)絡(luò)安全領(lǐng)域能拿到多少薪資?
A:入門級(jí)GRC角色起薪約45,000美元,有經(jīng)驗(yàn)的專業(yè)人士可超過(guò)100,000美元��。高級(jí)GRC經(jīng)理和總監(jiān)薪資常超過(guò)150,000美元���,特別是在金融����、醫(yī)療和咨詢等監(jiān)管嚴(yán)格的行業(yè)。薪資水平反映了市場(chǎng)對(duì)這類人才的強(qiáng)烈需求����。
