怎样进入网络安全行业


James Milligan,瀚纳仕科技行业全球负责人
 

从事网络安全工作需要哪些资质?转岗到安全岗位是否简单易行?就职于该行业的最大好处是什么?
 
近期,我联系了来自世界各地的多位网络安全招聘专家,以找出这类问题的答案。在这篇博客中,你将获得以下专家的见解和建议:
 
  • Edmond Pang, 瀚纳仕(亚太地区) 网络安全业务总监
  • James Walsh, 瀚纳仕(英国和爱尔兰)网络安全业务总监
  • Miguel Duran, 瀚纳仕(北美)网络安全负责人
  • Robert Beckley, 瀚纳仕科技(澳大利亚和爱尔兰)地区总监

1.从事网络安全工作需要哪些资质?

Miguel(北美):在过去五年里,美国针对网络安全和信息安全设立了专门的学位。以前,如果你申请工程师岗位,其岗位要求只会提到具备基本的 IT 知识;你可能会从传统的 IT 基础设施岗位慢慢过渡到网络领域。
 
但是现在,这些新学位有着特定的要求——它会从安全的角度教授基本的网络知识和基础设施知识,而不是从诸如路由器和交换机配置等更广泛的角度进行探讨。
 
因此,应届毕业生的求职道路发生了转变,他们会直接担任 SOC 职务,成为安全信息与事件管理(SIEM)监管方面的分析师——而不是以前的常规转岗。
 
不过这些转变并不局限于大学和学位。总的来说,针对网络安全的学习内容越来越多。最终,所有大学和学院都将普及这些课程,原因是各企业对此的需求极高——未来也将是如此。
 
James(英国和爱尔兰):在英国,虽然设有一些网络安全方面的学位,但还远没有普及。我们发现,想从事网络工作的人大多是那些从 十四、五岁就开始学习黑客技术的人。通常,这些人不会去大学读书,但他们很可能会是最优秀的网络渗透测试人员,因为他们从小就开始学习该领域的知识。
 
此外,还有针对网络方面的学徒制度。这样的人才比较少,往往会被政府通信总部(GCHQ)或招募顶级学校毕业生的特殊企业网罗。
 
Robert(澳大利亚和爱尔兰):在澳大利亚和新西兰,想要进入网络安全行业工作,证书并不是必备条件。但是,如果你缺乏实践经验,证书是展示你的兴趣和学习能力的一个好方式。
 
网络安全有很多细分领域,且每一个领域都有相应的资质证书。我们建议初入门时尽可能多地接触各种知识,并考取诸如 Comptia Network 和 Security+ 等证书。对于那些更高级的专业人士来说,他们早已胸有成竹,知道自己想要发展的网络安全领域,他们现阶段的任务就是确定更明确的目标。如果你的目标是网络治理、风险与合规管理(GRC),需要注册信息安全员(CISM)或 信息系统安全专业认证(CISSP),但如果你的兴趣是进攻型安全,那么道德骇客认证(CEH)或网络安全研究机构(SANS)的任何证书将会为你的简历锦上添花。
 
Edmond(亚洲):在亚洲地区,我推荐信息系统安全专业认证(CISSP)、国际注册信息系统风险控制专家(CRISC)、注册信息安全员(CISM)、国际信息系统审计师(CISA)、全球信息保证认证(GIAC)、思科认证网络安全工程师(CCSP)或云计算安全知识认证(CCSK)资质证书。当然你应当也熟知信息及相关技术控制目标(COBIT)、NIST 标准和 ISO27000 标准。
 

2.从其他技术职务转岗到网络安全岗位是否简单易行?

Edmond(亚洲):一般来说,技术岗位之间的转岗并不容易——尤其是在网络安全方面,因为公司会希望由一个值得信赖且能力出众的团队来守护网络安全。然而,也有一些诸如安全分析师/运营等入门级岗位,或是类似风险管理等功能性岗位,应聘者只需在掌握基础设施和网络知识的基础上,考取初级的网络安全认证,就可以入行。
 
Miguel(北美):我认为转岗到网络安全岗位的难易程度取决于你当前的岗位。总有一些岗位是一脉相通的,但最终,关键还是在于改变自己的思维。例如,在开展配置和落实工作时,你需要转变自己的思维并自问:我该如何防卫?我该怎样监控这个设备?
 
同样,具备相关的基础知识会使转岗更加容易。你需要确认自己想从事什么领域的工作,并评估自己是否具备该工作所需的技能。如果需要学习或培训,那么资质证书或在线课程将会是最简便的途径。或者,你可以在当地社区找一位导师来帮助你。
 
当然,请牢记要同专业的技术招聘专家合作。如果你对此感兴趣,请点击这里联系我们瀚纳仕的技术顾问。
 

3.网络安全工作经验是否会因企业规模的不同而存在差异?

Robert(澳大利亚和爱尔兰):确实如此。在大型企业中,你会置身于庞大的团队里,你的职务内容往往会局限于狭窄的专业领域之内。而在小型企业里,你很可能会身兼数职。
 
James(英国和爱尔兰):我同意 Robert 的观点;在大型企业里,你们很可能会各司其职,互不相干;你们会设有标准化的第一、第二和第三道防线。然而,在较小的企业或初创企业中,很有可能你自己就是第一、第二兼第三道防线!
 
但是,如果公司的岗位划分比初创公司稍微细致一点的话,你的职务就将专注于风险而非运营(运营岗位往往会被分配给专注于技术的网络专业人员)。这意味着你的岗位工作内容将包括风险控制、审计、监管和业务咨询。
 
Miguel(北美):我认为安全计划的成熟度是决定经验的要素。由于小型公司里的团队人手不足,所以会要求员工掌握更多的技能。员工需要打理其公司的里里外外,例如监管、风险或工程。
 
而大型企业可能会拥有一个更强大且更完善的计划,他们设有庞大的团队,将职责一一细分,环环相扣,例如 SOC、IAM、架构、网络治理、风险与合规管理(GRC)。所以,他们在招聘时更侧重于具备特定技能的专业人士。
 

4.那么,当你入行网络安全行业时,哪种工作更好——大企业还是小公司?

Robert(澳大利亚和爱尔兰):各有千秋。如果选择大企业,你更有可能进入结构严明、后援强大的企业,同时接触到不同团队,并获知清晰的职业晋升路径。但在较小的企业中,可能会有机会更早地承担更多职责。
 
Miguel(北美):正如我们之前所讨论的,在像初创公司这样的微型企业中,可能只会有一名(或是两名)网络安全员。这位员工既是首席安全专家,还需要能够样样皆通、面面俱到。所以这样的岗位并不适合初入职场的新人。
 
重点应当是业务的成熟度,而不是规模。最好是从一家成熟的企业(可以是大型企业或中小型企业)开启你的职业生涯,先习得经验。
 

5.初入职场时,什么样的网络安全工作才是最佳选择?

Robert(澳大利亚和爱尔兰):初期的工作范围越广泛越好!理想情况下,该岗位将让你了解到 IT 网络的技术知识以及相关的管理要求。
 
Edmond(亚洲):技术含量较低的安全分析师职位是一个不错的入门选择。此外,IT 公司(安全服务/产品提供商)和专业咨询机构(例如 PwC、德勤Deloitte、EY 和 KPMG)都培养出了许多网络安全专业人士和安全技术专家。他们提供各个行业和地区的大量网络安全合规项目及技术项目,因此这将是开启职业生涯的好的开始。
 

6.对于那些想从事网络安全工作的人,你会如何向他们介绍?就职于网络安全行业的最大好处是什么?

James(英国和爱尔兰):在我看来,最大好处是该职位的多元化,事实上它包罗万象、变化无穷。在网络安全行业,各种技能组合和各类人都有一席之地。从这个意义上来说,它可能算是最多样化的技术专业。
 
而且薪酬也极为可观!
 
Robert(澳大利亚和爱尔兰):这是一个具有重要战略意义且不断发展的行业,你将在此接触到最先进的技术。从事该职业,将拥有绝佳的机遇,收获丰厚的薪酬。
 
Edmond(亚洲):如今,网络是科技市场中最热门的领域。这一趋势还将继续发展,因为随着业务的扩展和数字化转型,各企业的业务体系和架构不断扩大,并且变得更加复杂。网络攻击是真实存在的,而且日益猖狂。这意味着对网络安全专业人员的需求将永无止境,该需求将提供良好的职业晋升路径和丰厚的薪酬。
 
Miguel(北美):从事网络安全工作是一种思维模式。每个人都有这样的思维——不论你从事的安全工作是预防性的还是攻击性的。该行业非常适合拥有这种思维方式的人,而这些人也将在此蓬勃发展。
 
如果你想要了解网络安全工作所需的特定软技能和技术技能(以及当今雇主最急需招聘的人才岗位),请查阅我之前的博客《在网络安全职业中取得成功所必备的技能》。
 
 
相关博客/文章
 
 
 
作者
 

James Milligan
瀚纳仕科技全球负责人
James Milligan 于 2000 年加入瀚纳仕科技,目前担任全球负责人。其专职负责瀚纳仕科技全球业务的战略开发。
Responsive Image

近期博客文章

阅读我们关于科技行业的最新洞察。