從技術(shù)到社交 安全從業(yè)者簡歷指南
2018年11月19日
你知道對于求職者而言�,哪些技能和經(jīng)驗(yàn)才是自我推銷的亮點(diǎn)嗎?不知道也別著急,安全專家為此提供了最有幫助的見解��,一起去了解一下吧!
當(dāng)你的簡歷落入招聘經(jīng)理的手中時���,一般來說����,你只有一分鐘的時間來清楚地傳達(dá)自己具備勝任這份工作的技能和經(jīng)驗(yàn)�����。在這種情況下����,你有什么秘訣才可以確保自己脫穎而出呢?
根據(jù)最新的《ISC 2018年網(wǎng)絡(luò)安全勞動力研究報告》顯示��,在網(wǎng)絡(luò)安全方面����,企業(yè)正在尋找具備各項(xiàng)技能的專業(yè)人才����。由于全球勞動力缺口接近300萬名����,公司所需的信息安全技能范疇也非常廣泛。
據(jù)悉��,在接受調(diào)查的1,452名安全專家中�,有58%的人認(rèn)為“安全意識”是公司最需要的信息安全技能。此外�,公司也在尋找在風(fēng)險評估、分析和管理等方面表現(xiàn)優(yōu)異的人����。具體需求比例分別為安全管理(53%)、網(wǎng)絡(luò)監(jiān)控(52%)��、事件調(diào)查和響應(yīng)(52%)���、入侵檢測(51%)�����、云安全(51%)以及安全工程(51%)����。
該報告指出,信息安全領(lǐng)域并不是像木工那樣的領(lǐng)域����,會把每個人都混在一起。在信息安全領(lǐng)域中存在一個基本的技能組合��,例如��,網(wǎng)絡(luò)安全就是包含治理���、政策�、身份和訪問管理以及其他各種相關(guān)技能的組合����。
然而,組織往往缺乏做出明確的招聘決策所需的清晰度�。因?yàn)闃I(yè)界自身對于人們需要在角色中發(fā)揮的作用就存在很多困惑,并且在工作描述需求和合法安全需求之間存在差距�。
最明顯的表現(xiàn)就是���,在公司提供的工作描述和人們在簡歷中回應(yīng)的內(nèi)容之間就存在著這種脫節(jié)�。例如,企業(yè)面臨的絕大多數(shù)網(wǎng)絡(luò)安全挑戰(zhàn)并不是技術(shù)問題����,也不需要技術(shù)專業(yè)技能來解決。
當(dāng)然����,你需要具備的技能具體取決于你正在關(guān)注的工作。例如�,安全分析師應(yīng)該優(yōu)先考慮技術(shù)技能和之前就任的職務(wù),而CISO則最好突出他們的領(lǐng)導(dǎo)經(jīng)驗(yàn)和業(yè)務(wù)知識����。
接下來,一些安全專家將分享他們對于信息安全簡歷的見解�,告訴人們哪些技能、特征和經(jīng)驗(yàn)才是對求職者最有幫助的因素:
1. 展示完整的故事線
無論你想應(yīng)征的崗位是什么�����,你的簡歷中都應(yīng)該反映出你在每項(xiàng)工作中發(fā)揮的作用����。除了展示你的團(tuán)隊(duì)所做的事情之外,還要解釋你自身是如何幫助團(tuán)隊(duì)實(shí)現(xiàn)目標(biāo)的!你擁有的職責(zé)是什么?你是如何幫助團(tuán)隊(duì)推動項(xiàng)目實(shí)施的?
安全專家認(rèn)為,擁有一份簡明扼要的簡歷�����,其中有效地總結(jié)了你作為一個個體所發(fā)揮的作用�����,這一點(diǎn)至關(guān)重要�����。
2. 豐富的經(jīng)驗(yàn)就是好的經(jīng)驗(yàn)
當(dāng)你在為特定的工作職位準(zhǔn)備簡歷時���,豐富的經(jīng)驗(yàn)可以自動匹配出你所擁有的與你申請的公司最相關(guān)的角色和職責(zé)����。
根據(jù)Dark Reading針對400名IT和網(wǎng)絡(luò)安全專家進(jìn)行的《2017年安全人員調(diào)查報告》指出�����,58%的受訪者表示�,大多數(shù)尋求安全專家的企業(yè)都希望可以找到那種服務(wù)過相似企業(yè)且保護(hù)過同類數(shù)據(jù)的人員。當(dāng)然�����,你的背景越多樣化���,就越容易實(shí)現(xiàn)這一點(diǎn)�����。
安全專家建議稱��,對于初出茅廬的實(shí)習(xí)生而言�����,在規(guī)劃未來的職業(yè)道路時可以盡可能多地獲取經(jīng)驗(yàn)���。例如,你可以與擁有某種服務(wù)級別協(xié)議設(shè)置的公司(例如托管服務(wù)提供商)合作�����,同時學(xué)習(xí)如何平衡操作和安全之間的關(guān)系;然后再去一家受到嚴(yán)格監(jiān)管的公司呆上一段時間����,學(xué)習(xí)如何處理安全問題��。
安全專家補(bǔ)充道�,企業(yè)應(yīng)該將目光放在那些“不把所有經(jīng)驗(yàn)放在一個行業(yè)”的求職者身上�����。因?yàn)榫哂胁煌殬I(yè)背景的候選人可以為企業(yè)提供新的想法和觀點(diǎn)�����,此外����,豐富的經(jīng)驗(yàn)也可以讓求職者脫穎而出。豐富的工作經(jīng)驗(yàn)��,與眾不同的求職簡歷是非常誘人特性�����,同時�,為不同類型的公司工作也是一項(xiàng)關(guān)鍵指標(biāo)。
此外���,為不同類型的公司工作也說明你具備很強(qiáng)的適應(yīng)性���。例如���,醫(yī)院和金融公司是兩個完全不同的行業(yè),如果有人同時具備在醫(yī)院和金融機(jī)構(gòu)的工作經(jīng)驗(yàn)��,就表明他們可以適應(yīng)不同的環(huán)境�,并且能根據(jù)不同的業(yè)務(wù)需求發(fā)揮他們不同的技能�����。
3. 非安全專業(yè)知識同樣可以發(fā)揮作用
在大多數(shù)企業(yè)都在面臨安全技能短缺現(xiàn)狀的時候��,候選人可以嘗試從突出不同類型的技術(shù)經(jīng)驗(yàn)角度入手�����,并強(qiáng)調(diào)自身想要更多地了解安全性的初心���。
舉例說明���,一個安全團(tuán)隊(duì)曾經(jīng)急需一名應(yīng)用程序安全專家,可惜遍尋不到���。后來��,該小組認(rèn)為�,他們可以雇傭一名安全專業(yè)人員并教授該人員應(yīng)用程序開發(fā)的知識,或是聘請一名應(yīng)用程序開發(fā)人員并教授其安全基礎(chǔ)知識�。最后,該團(tuán)隊(duì)選擇了后者����。據(jù)悉,這名接受面試的應(yīng)用程序開發(fā)員對于能夠進(jìn)入安全領(lǐng)域感到非常興奮���。后來��,他還與安全團(tuán)隊(duì)合作����,為公司帶來了DevSecOps��。
安全專家預(yù)計(jì)����,隨著企業(yè)對物聯(lián)網(wǎng)和云安全的日益關(guān)注,這種趨勢將持續(xù)下去��。以工業(yè)控制系統(tǒng)(ICS)安全性為例:如果你具備應(yīng)用程序和可編程邏輯控制器(ALC / PLC)方面的經(jīng)驗(yàn),那么你就可以為致力于保護(hù)其ICS的組織帶來巨大的變化���。
如果一個人具備ALC�,PLC等方面的工作背景���,且接受過基本的安全培訓(xùn)����,你就會驚訝地發(fā)現(xiàn)����,他被雇傭的速度會非常之快����。這就是未來的發(fā)展模式,特別是對于非常具體的安全領(lǐng)域而言��。如果企業(yè)找不到他們需要的專家����,他們就必須去培養(yǎng)和發(fā)展自己的專家。
4. 運(yùn)營經(jīng)驗(yàn)至關(guān)重要
安全專家稱�,能夠在簡歷中體現(xiàn)自己可以將操作與安全結(jié)合在一起的候選人通?�?梢悦摲f而出���。有時候人們會從擔(dān)任安全分析師的角色開始自己的職業(yè)生涯,并堅(jiān)持下去——但是他們做的時間越長���,最終就會發(fā)現(xiàn)自己越來越難以涉足不同類型的角色����。
許多通才——如高級安全工程師——都是來自網(wǎng)絡(luò)背景��。雖然這比需求更具因果關(guān)系�,但是向網(wǎng)絡(luò)工程師講授安全性顯然要比向安全分析師分配操作職責(zé)更容易。
安全專家稱���,他們希望可以看到更多具有系統(tǒng)背景的人進(jìn)入安全領(lǐng)域�����。目前��,系統(tǒng)部分的許多方面——虛擬交換和軟件定義網(wǎng)絡(luò)(僅舉幾例)正在進(jìn)入網(wǎng)絡(luò)��。想要找到處理這些系統(tǒng)漏洞的人變得越來越困難����,因?yàn)樗麄冎皇煜せ谟布木W(wǎng)絡(luò),但不熟悉軟件����。所以,可以說�����,系統(tǒng)工程師和軟件工程師是安全角色的有力候選者����。
5. 大學(xué)學(xué)位沒你想得那么重要
對于安全分析師來說�,正規(guī)的大學(xué)教育并不一定代表他就是最佳候選人。組織正在尋找可以執(zhí)行所需任務(wù)的技術(shù)高手��,無論他們是否具備正規(guī)的大學(xué)學(xué)位���。
安全專家認(rèn)為���,對于進(jìn)入安全領(lǐng)域而言,4-6年的大學(xué)學(xué)位并非必備條件���,相反地���,為不同公司不同角色的工作經(jīng)驗(yàn)才是求職者更好的個人名片�。
然而���,對于管理角色中的首席信息安全官和其他安全專業(yè)人員而言�����,正規(guī)的教育背景卻可以提供很多幫助��,因?yàn)檫@些角色通常需要與高管進(jìn)行溝通并帶來商業(yè)價值�。目前�,許多公司正在尋找具備高級學(xué)位(例如MBA或其他碩士學(xué)位)的CISO級別管理人員,因?yàn)轭愃芃BA這樣的高級學(xué)位可以為更大的組織和更多的業(yè)務(wù)帶來商業(yè)價值���。
6. 人際交往能力
無論你是初級分析師還是滿腹抱負(fù)的CISO��,如果你無法溝通����,你將無法走得更遠(yuǎn)。人際交往��,是所有級別的人員都需要不斷改進(jìn)和提升的一項(xiàng)技能�����。
如果你缺乏有效的溝通和人際交往能力�,你就會發(fā)現(xiàn)自己在職場中寸步難行。如果你想要升職�,就必須能夠溝通、交流�、管理以及有效地組織分配人力。
拋去人際交往能力不說���,你自身所具備的技術(shù)實(shí)力只能讓你在原本的職位上原地踏步���。在一項(xiàng)有關(guān)安全技能的調(diào)查中,超過一半(52%)的受訪者表示���,找到具備人際交往能力的技術(shù)專業(yè)人員是最難的一項(xiàng)任務(wù)。從客觀的角度來看�,有同樣比例的受訪者表示,很難找到在類似于他們的業(yè)務(wù)和行業(yè)環(huán)境中工作的人��。
僅僅是技能嫻熟并不意味著他們能夠有效地進(jìn)行溝通。候選者必須能夠使用不同的溝通方式��,尤其是在他們是遠(yuǎn)程工作者的情況下�。能夠使用聊天工具和視頻會議,同時還要保持專業(yè)度是至關(guān)重要的一項(xiàng)技能���,也是企業(yè)正在尋找的關(guān)鍵因素�。
7. CISO:了解事物是如何聯(lián)系在一起的
一家正在尋找CISO的企業(yè)��,需要的從來都不是能夠挖掘不同工具細(xì)節(jié)的人���,而是能夠理解這些細(xì)節(jié)的人���,更重要的是,這個CISO還需要能夠理解安全架構(gòu)是如何組合在一起��,以及不同組件之間是如何相互作用的�����。
企業(yè)希望了解他們的CISO涵蓋了網(wǎng)絡(luò)安全計(jì)劃的不同關(guān)鍵原則�,您在安全領(lǐng)域獲得的分?jǐn)?shù)越高,您需要的技術(shù)成分就越少����。
網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)游戲總是在變化��。而一旦你達(dá)到CISO的水平���,你只需要知道事物是如何融合在一起的,如何與管理團(tuán)隊(duì)交流互動���,以及如何與董事會溝通就足夠了����。
當(dāng)然��,一些CISO可能比其他人更具技術(shù)性�����,但這并不是要求你必須成為一名編碼專家才能成為一名強(qiáng)大的安全領(lǐng)導(dǎo)者����。但是至少,你需要掌握的不僅僅只有安全性問題��。
8. 編碼器:Python
當(dāng)公司尋找能夠構(gòu)建他們腦海中的未來系統(tǒng)的人才時��,Python編程語言就自然而然地吸引了招聘經(jīng)理的目光�����。Python是非常重要的一項(xiàng)技能�,因?yàn)樵诂F(xiàn)今這種自動化發(fā)展潮流中,每個人都期待能夠自動化事物��。
9. 最重要的品質(zhì):誠實(shí)
對于安全專家而言��,候選人最重要的品質(zhì)還是誠實(shí)�����,一定要確保簡歷不存在造假行為�。如果你失去了這種正直、誠實(shí)的品質(zhì)���,就一定會被企業(yè)踢出局����。
最后�,安全專家總結(jié)稱,你只有幾分鐘的時間給人留下好印象�����,所以不要分享與自身申請職位無關(guān)的內(nèi)容。如果你說你是Microsoft Word或PowerPoint的專家��,那么很明顯�,你錯過了重點(diǎn),這些根本就不是招聘經(jīng)理需要/想要聽到的內(nèi)容����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺建設(shè)�����、動漫設(shè)計(jì)��、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”�、“制度流程”����、“技術(shù)產(chǎn)品”三個視角提供全面��、可信的方案,業(yè)務(wù)涵蓋咨詢����、評估、規(guī)劃�、管控、建設(shè)����、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商����。
