决定你的信息安全职业生涯能否前进的一个核心因素是:你能否进行额外的事业投资,从而进一步增加自己的工作经验。事业投资可以是外在的培训、教育、资格认证,以及其他在职业方面可以做出的努力(比如参加会议、加入某些专业组织、成为其会员)。在参加这些活动的过程中,你可以提高自己的技能、自己的专业水平。信息安全人员的技能表的构成很复杂,包括广泛的技术技能、各种各样的业务需求,因此事业投资的模式如果保持一致,将对个人品牌、职业优势的凸现、事业加速都起到关键性的影响。
然而,选择与自己的事业目标最吻合、获益最大的事业投资往往有太多的困难和迷惑。例如,有人认为,如果想在信息安全领域处于领导者位置的话,就应该取得CISSP、CISM或SANS这样的认证。可是,时下取得这些信息安全方面认证的人士太多了,所以有人又提出,对那些要想担任首席安全执行官的人来说,拿一个高学历(例如MBA),或者参加管理培训将更加有效,更能让他们脱颖而出。
事实上情况可能更复杂,因为信息安全人士还要考虑到每种事业投资对他们自身品牌的影响。对与自己的长期事业目标相违背的方面进行事业投资会让未来的雇主大为不解。举个例子,在技术领域取得了博士学位的员工,却去应聘企业监管、风险和规则遵从(GRC)的管理职位。因为考虑到专业相关性的问题,一个法律专业的人去应聘GRC职位才显得更为合理。
你一定要谨记,所有的事业投资都要在简历上体现出来。另外,在寻找工作时,你要把你去取得那些认证的理由向雇主说明。
在就事业投资的策略和选择方面进行思考时,我们总结出了三条指导方针,希望能对你的信息安全职业生涯事业投资提供一些借鉴。
规则1:所有的事业投资都是有价值的,问题是时间和金钱都被很好的利用了吗
无论你对投资如何选择,进行事业投资都是个人提升的绝好方式,这个道理通俗易懂。然而,在许多时候,信息安全人士会迷恋于寻找成功的妙方(magic bullet),他们相信一次正确的事业投资会自动的将事业推向高峰。而现实的情况是,对事业投资回报的期待(比如一次升职或者加薪)有时候并不能如愿。一项涉猎广泛而且匹配度良好的事业投资方式,应该能够以赢得当前和未来雇主认可和尊重的方式,展示出你的主动性和你对自己职业发展的个人努力。
规则2:在投资之后,你能有所收获
在对信息安全职业生涯进行投资时,许多人采取与众人一样的策略或者追求同样的认证。虽然这些投资不会对你的简历造成什么损害,但从中获得的收益并不大。最好的例子是目前最时兴的行业资质认证CISSP(信息系统安全认证专业人员)。虽然CISSP的价值、公认度,以及通过认证所需的大量知识和经验是不可否认的,但目前已有 70182名信息安全人士从(ISC)2处获得认证,其中就包括CISSP认证。所以,目前去获得CISSP并不会让你像以前那样可以获得更多的从业优势。
而那些难以实现的事业投资(门槛较高、完成目标所需的决心极大)具有的价值往往更大一些,也能更有效地提升个人品牌。最好的例子就是从顶级培训计划,或常春藤大学获得MBA学位。通常情况下,商界最看重MBA。因此,拥有了MBA学位能够广泛的获得商界和科技界领导者的认同与尊重。
如果追求高学历的成本和时间代价无法忍受,那么你可以到当地的大学去学习领导者培训课程或者上研讨班。当然,这些对你的事业可以产生的影响并不会像高学历那样大,但它的实际价值不容小觑。
规则3:如果自己不对自己的事业进行投资,不要期盼他人会为你投资
多年来,在信息安全人士里盛行着这样的观点:雇主有责任为职员的事业投资提供必要的资源。如果遇到一位理解培训和资格认证价值的雇主,那将会对你的职业生涯带来益处,这一点是显而易见的。问题是,你个人的职业期望与雇主所认为的你的职业发展之路不一定吻合。雇主往往会选择一项针对特定供应商安全技术的培训,但这种情况下,你的视野就被局限了,你无法获得更广泛和更有效的安全理念。鉴于目前整体的经济环境,以及不断变化的业务重心,一些职员可能根本得不到培训。
让你的雇主为你的职业发展指明方向并支付费用,实质上你已经部分交出了自己的职业生涯控制权。就像人们为了退休养老而进行储蓄一样,请你每年都拿出工资的一部分来作为职业发展的预算,这可以让你更好的制定和执行事业投资的策略。这样,你就可以制定出长期的、有规律的策略,从而有效地去实现自己的职业生涯目标。
在未来,一个执行效果良好的事业投资策略将会更为重要。企业会依据那些让人脱颖而出的条件去选取自己的信息安全领导人。选取与自己的事业目标、简历、专业目标和个人期望一致的事业发展策略,然后去执行它,这是极为重要的。尽管事情充满变数,但是用适当的指导方针去对事业投资进行选择,在未来的信息安全就业市场上你将处于不败之地。