职场中四大最火最吃香的IT安全技能
目前,IT安全工作市场确实繁荣,但这并不意味着每个人都会自然而然地找到一份工作,或者找到合适的工作。正如安全威胁状况正在飞速演变一样,职场对安全职业的资质要求也在快速变化。
IT安全招聘公司LJ Kushner and Associates的总裁Lee Kushner认为,职场中的供需之间有一道难题:雇主正在寻找能够满足特定需要的安全人员,如事件响应或风险管理,而正在寻找工作的安全专业人士希望构建其自己现有的技能并推进其职业生涯的发展。但是雇主们并不希望雇佣一个人,允许他按照个人的意愿来获取经验。
Kushner认为,总体上讲,有资格的安全工作人员要比工作多。在特定条件下,有资格的安全人士要比雇主们苦苦寻找的要少。
获得适当的工作人员与获得适当的工作一样艰难。根据Booz Allen Hamilton去年的一份报告,只有40%的政府管理人员认为自己对于申请联邦IT安全工作的人员资格感到满意,仅有30%的管理人员对申请者的数量感到高兴。
思科学习项目的安全认证部长经理David Bump认为,安全认证雇主们寻找的是擅长于特定安全学科的安全专家。安全职业专家们认为,认为只要有了CISSP(认证信息系统安全专家)认证就可以保证被雇佣的时代已经一去不复返了。安全工作正变得越来越专门化,所以一般的认证并不具有以前所具有的份量。CISSP在过去是必要的,而今天变成了“有了也不错”。
那么,今天的雇主们希望找到怎样的安全专家呢?他们最需要哪些技能呢?最需要的资格基本上就反映了攻击类型、损害类型,以及这些单位如今所面临的威胁,以及有助于控制其防御的规范等:雇主们正在寻找富有事件处理和响应、合规、风险管理、业务的敏锐性等方面经验的人才。
下面逐个看一下:
1、事件处理/响应
“极光行动”攻击的曝光告诉我们,任何单位都可能成为靶子,在眼皮底下发生的攻击,在被人们发现时,总是为时已晚。
ClearanceJobs.com的创办人和主管Evan Lesser说,和这些攻击使政府和企业有了更紧密的联系,工作市场变得日益纠结,因为政府和企业都要寻找相似的技能。政府正在盼企业,企业也在盼政府。Lesser认为,他们更紧密地携手工作,因为对于商务金融系统的攻击就是对国家的攻击,对于与基础架构相关的攻击也是一样。
这就使得事件响应成为一项重要的工作技能,许多雇主们对此趋之若鹜,例如,他们需要这种专家:不但知道怎样使用或配置一种入侵检测系统(IDS)或防火墙,而且知道怎样维护和分析日志文件及其它的事件数据,然后能够将这些信息与公司中的其他人共享。
思科公司的Bump说,事件的响应者和处理者是第一线的专家。他们对于细节的关注应当受到重视,应当有大量的文档证明,并且要与调查安全损害的其它小组共享这些信息。
Bump还认为,而且安全认证也在不断发展,以反应这种转变。例如,在过去,如果你通过了某项产品的认证,你就知道了如何使用IDS/IPS.而现在,我们正在越来越多地从产品认证转移到工作角色认证。
安全专家们认为,新的认证要求知道如何使用由安全设备和系统所收集的信息。Bump说,现在新的认证要求大量的架构知识、解决方案、最佳方法等。还需要能够部署解决方案的安全设计师,并能够设计这种解决方案,还要关注策略。
2、合规的专门知识
安全专家需要知道其雇主的规章制度环境,不管是付款卡行业数据安全标准(PCI DSS),还是健康保险可携性和责任法案(HIPAA)。Kushner认为,监管和规章制度的职位要求应当匹配一致。他说,他看到更多的职位在寻找精通健康信息信任联盟(HITRUST)框架的专业技术,能够进行个人健康和金融信息的安全交流或存储。
Kushner坦言,与保障客户数据安全有关的任何资格和经验,不管是关于数据泄露预防的,还是关于数据库的安全技能的,都是热门。他说,另外一个不断增长的领域是评估第三方合伙人的风险。评估第三方的风险主要涉及到监管、合规及风险等,企业所接受的工作可能是上述技能的混合。
Bump说,这意味着知道哪种安全技能适合单位的需要,并且知道这种安全技能的发展方向。这是安全工作的一个动态变化。
ClearanceJobs.com的Lesser认为,联邦政府机构和合约人公司中最空缺的工作是信息安全和保险专家。这些工作包括DoD最新的可进行深透测试的道德黑客认证。
3、风险管理
最近由思科对全球的CCIE进行了一项调查,其中有60%的被调查者认为安全和风险管理将会在未来的五年内成为最急需的技能。
思科的安全解决方案营销主管Fred Kost认为,有越来越多的单位在考虑如何部署安全,以便于将企业所面临的风险最小化。他说,他们更多的客户正在寻找能够进行防御并能够支持业务运作的人员。客户们在考虑合规问题、风险管理问题,还有更宽广的业务,即如何部署安全从而将风险赶出企业。
他说,现在,也有更多的安全工作适合于更多的人员类型。他说,如果让你监视一个控制台,并查找事件,那么,这就是一套技能。如果你正在评估企业风险或者正在处理审计和合规,这又是另一套技能。比起过去,这种状况为当今的安全专家创造了更多的机会。
4、业务的敏锐性
当今的许多IT安全工作超出了技术的范围,要求安全专家理解企业业务是如何运作的,还要知道安全如何支持这些企业和业务,并且能够保护企业。
思科的一种新认证就反映了这种朝着更现实的经验的转变:思科认证架构师。根据思科的说法,思科认证架构师必须能够清晰的说出特定安全或网络技术的企业价值,只有这样才能够满足要求。
Fred Kost说,所以,例如,在两家银行合并时,安全专家需要能够理解整合运营的业务需求,然后选择实现这些需求的适当技术。这些安全专家拥有雄厚的技术背景,但是还要把技术转换成企业的需要。他们在大型的解决方案部署和维护方面拥有大量的经验。
同时,找工作的人最大的一个错误是,以获取实际的工作经验(包括对企业业务的泄露)为代价,过分强调认证。
有些找工作的人总在说,我有认证或我有经验。在这些人当中存在着争议,Lesser认为,应当将两者结合起来。他认为,认证对于在政府工作的任何人来说都是必须的。但是认证并非全部,也并非终点。现实的经验也是很重要的。
职场中四大最火最吃香的IT安全技能的评论条评论