信息安全专家与系统管理者的工作领域正处于不断发展时期,他们越来越被商场中的物质现实所影响。如果信息安全专家与系统管理者可以将其掌握的技术、信誉和知识很好的平衡成为一体,那么他们就很容易保住他们的工作并且很快升职。
业内人士不赞同存在某种因素使得信息安全专家与系统管理者成为一种商品可以买卖、具有某种使用价值这种看法,但是他们认同的一点是,这个行业确实在飞速发展着。为防范不速到访的媒介、垃圾信息和网络间谍而开发、应用的技术,如申请测试、密码检测、移动/无线安全、IP通讯等,还远远没有达到我们所需要的水平,要想适应今天的市场需求,Linux还有很多路需要走。
对信息安全这个职业的挑战和对安全行业繁荣的挑战,都来自雇佣关系和商业活动。很多公司仍旧指望通过降低成本、提高工作效率,来获取更多收益,却没有清楚地认识到,安全对其长远效益地影响,更没有认识到,安全的缺乏对其将带来的严重后果。
当逐渐有一部分公司明白了投资于安全专家和数据、网络、秘密性的保护的必要时,其他公司却仍将安全束之高阁,因为他们认为安全并没有给他们带来直接的经济效益。由于缺乏清楚的ROI,常常会导致预算缺口、规模缩减,甚至很轻视系统的管理者的作用。很多公司都顺应了IT行业的外部采购这股潮流而纷纷外购安全产品,但是这些安全产品并没有为其带来与其他使用该产品的公司相同的效果。
对于老板而言,能否避免这股外部采购的潮流,或者公司本身就是这股潮流的带动者,是否具有多样性和快速掌握、适应新技术的能力,是保持公司价值的关键。
Bob Blakley是IBM Tivoli Austin公司安全与保密领域的首席科学家,Texas认为对一个组织而言,外部采购能保持安全是十分罕见的,“这让很多人感到紧张,”他说,“如果中间某个环节出错,公司将会承担连带的后果。”
Blakley认为需求的增加与发展的速度正相宜,但他同时也认为,如今缺乏的是安全专家。他强调,现在急需的是正规的对安全工作人员的培训,如Microsoft认证、CISSP认证。
Michael R. Higgins是Tekmark Global Solutions公司首席安全官,他说:“当系统管理者不再继续接受培训扩展知识时,他们的特殊价值就无法体现了。”Edison公司的LLC NJ认为,“那些只顾盯着工作守则做事,只是被动的完成指派给自己的工作,却不知扩展自己的经验与知识的人,他们逐渐就会发现他们是积极平庸的,他们很快就会被更懂得学习的人所替代。”
“技术掌握的娴熟程度很重要,特别是在安全领域内更是如此,因为这里的工作都很复杂。”Blakley这样说道。他建议系统管理者和安全专家尽可能的将他们掌握的技能呈现出来,以得到更多的人的重视。他还建议发展专长、构建一个学习框架,特别是在信息安全技术领域内将有助于提升技术的资源公开。
获得额外收益的另一种途径就是培养一种能力,一种将事物放在商业背景下,充分理解其环境的能力。“客户中心是最有价值的。”Dario Zamarian是ServGate公司里负责Milpitas ServGate产品和公司战略的副总。他相信,有很多维护安全的方法,一个有经验的专家知道并有责任向公司推荐哪种产品最适合公司情况,安全产品的哪些功能是公司所需要的。
Mark Giglietti是Precision IT公司的首席执行官,拥有文学硕士学位,他认为,“决策的制定远比设备的安装与应用更加重要。系统管理者和安全技术专家必须作出成本与效益的分析报告,并证明他的分析推荐是合理的,同时要说服管理者采纳他的建议。”
专家与管理者的价值判断不同。(ISC)2是一家非营利性的国际组织,致力于培训、颁发资质、对信息安全专业人士进行认证,Dow Williamson是(ISC)2董事,他强调,对于今天的信息安全专家而言,品牌不明的普通知识载体和行业最优实践的框架是至关重要的。Dow Williamson说道,“中间商所提供的产品需要与买家特殊的认证需求向符合。”
Dow Williamson认为,一个拥有很强的学术背景的专业人士,比如信息安全硕士学位,对自己的要求也会很高,会激励自己去获得更多专业人员的认证。(ISC)2的主打认证产品是信息系统安全专业人员认证(CISSP)系统安全操作者认证(SSCP)。凡是达到所需掌握知识的标准并且符合每项认证的细节要求的操作者,都可以被认为是信息安全领域内的专家。许多公司和政府部门都需要拥有CISSP和SSCP认证,且具备良好的实际技能和丰富的从业经验的专业人员。
虽然认证可以使信息安全专家不断地处于学习状态,不会让他们的知识或技能荒废,但是他们价值的发挥则取决于公司自身体制和企业文化。Alex Rosenbaum是NetMacros公司的副董事长,他相信,教育与经验同样重要,因为教育体现了一个人的学习能力。
Rosenbaum说,一个信息安全专家必须要具备理解基本概念、理解技术为什么被应用这种能力。他还提出警告,不要将精力都集中在某一个供货商或者某一项申请上,设计安全方案的能力才是最重要的。
在岗时间和实际的操作经验远比教育与认证更有价值。Nick Brigman是Product Strategy公司红色警报项目的的副总,他这样说道,“一位拥有CISSP的专家无疑是出色的,但是认证只是测量书本知识深浅的尺度。”他对有实际经验和培训经历的人给予很高的评价,他也十分钦佩和尊重来自SANS协会的GIAC安全专家(GSE)。
红色警报在筛选应聘者时,考察是应聘者有深度的、多样的背景经历,以及是否有清白的记录。Brigman这样解释道,当一个组织挑选雇员和卖家时,已有的经历和清白的记录是最重要的。
这项选拔人才的措施几乎没有提供安全职业,但是这项措施的确为战略上准备充分的信息管理者和信息安全专家提供了很多机会。安全的重要性将会不断提高,安全的专业人员,因为他们掌握着最优实践、专业化的专长、广博的知识、多样认证,并很好的将它们糅合运用,他们的职业潜力十分巨大。
关于作者
Jon Boroshok是一位多才华的战略家,也是Groton,Mass的自由撰稿者,在Boston Globe、Christian Science Monitor、Crain Communications、ZDNet、CMP Publications和TechLiving magazine都有他的作品刊登,或者有他的专栏。
阅读(418) | 评论(0) | 转发(0) |