如何才能进入零失业率的网络安全行业工作?

36氪 显示图片

编者按:网络安全,也称为计算机安全或IT安全,是保护计算机系统免受盗窃和破坏其硬件、软件、信息及服务的中断或误导。网络安全包括控制对硬件的物理访问,以及防止可能通过网络访问,数据和代码注入引起的危害。由于越来越多的智能设备(手机、电视和其他设备)依赖计算机系统和互联网、无线网络(如蓝牙和Wi-Fi)和物联网。现在,网络安全事件频发、网络安全也成为人们越来越熟知并且重视的领域。本文编译自Marc Chapple Linkedin的原题为“Exploring a Career in Cybersecurity? Check out this Q&A with Mike Chapple”的文章。

网络安全问题已经成为人们时常关注的焦点,每天你都可能看到相关的新闻报道。这个行业最近也对熟练的专业人员出现大量的需求。根据《网络安全风险投资公司2017年职业报告》的数据,网络安全行业目前的失业率为0%,网络犯罪方面的就业人数在未来五年将增加两倍以上。

如何才能进入零失业率的网络安全行业工作?

如果你正琢磨着自己的职业发展道路该怎么走,想进入网络安全领域,那么现在就是黄金时机。虽然机会大好,前景光明,但你可能觉得很棘手,不知怎么着手准备,怎么进入这个行业。别担心,业内资深人士Marc Chapple已经在信息安全领域从业20年,目前是美国圣母大学信息技术服务交付的高级主管。他负责监督信息技术办公室的信息安全,IT架构,项目管理,战略规划和IT合规性功能。麦克还担任大学计算机应用系的助理教授,教授信息安全本科的课程。他将为你解答一些最常见的问题,包括他怎么看待专业证书,以及IT行业技术背景的必要性。

问:你是如何走上网络安全的职业道路的?

Mike Chapple:我在读计算机专业本科生的时候,就开始自己的职业生涯了。当时我读了《Unix和Internet安全实践指南》(Practical Unix & Internet Security)这本书,作者是Gene Spafford和Simson Garfinkel. 。那时是20世纪90年代初,网络安全是一个非常让人觉得晦涩生僻的领域,但我被深深吸引,非常着迷,于是我继续读了研究生,并在这个新兴的领域开始我的事业。我在国家安监局做了几年信息安全研究员,又在私营企业工作了一段时间,之后,在过去十二年里一直在学术界。

如何才能进入零失业率的网络安全行业工作?

有25万的Unix系统管理员和用户认为这本经典书的早期版本是帮助他们保护其系统免受外部和内部攻击的不可缺少的参考书。

问:你已经这个领域有整整20年的实战经验了。在这段时间里,你看到的最大的变化是什么?

MC:最明显的变化是,这个晦涩的领域已经家喻户晓了。我刚开始工作的时候,“正常人”不知道网络安全是什么,对这个词完全没概念。现在网络安全事件常常登上报纸头条,一般公众比十年前的人们要更有安全意识。这对网络安全专业人士来说是一件好事,因为我们的工作更容易开展。我们不再需要绞尽脑汁地说服人们,说明保障网络安全对企业的重要性、迫切性。我们只需要让他们了解如何保持自己和企业的安全。

问:我们来谈谈专业认证。获得信息安全从业者认证在网络安全领域重要吗?

MC:拿到证书、获得专业认证,对于发展自己的职业生涯是很重要的。原因有很多。首先,他们通常是许多工作的“门槛”,也就是基本要求。很难想象哪个首席信息安全官(CISO)会没有CISSP证书。基本上是这个领域高级职位的铺路石,一张“入场券”。还有很多政府工作岗位,也需要一系列网络安全专业的专业认证。第二,即使雇主在专业认证方面没有明确的要求,如果你有认证,就向潜在雇主发出一个信号,表明你对自己的职业态度是认真的,并会努力加入到世界网络安全的建设中来。这个专业需要承诺和奉献,需要付出努力才能得到认证,需要学习的内容也超出正常工作所需的范围。获得专业认证,证明你对自己职业生涯的态度是认真的。

问:现在哪些证书最重要?你觉得哪些专业认证会成为基本的要求?

MC:有两个不同的认证类别。有比较广泛的网络安全专业证书,如Security+和CISSP(国际注册信息系统安全专家)认证,这两者证明了从业人员对该领域有广泛的了解。就像会计师的注册会计师认证那样。还有一类是更专业的技术认证,如CompTIA CSA+和CEH(道德黑客)的认证。这些证书展示了从业人员的技术深度和专业化程度。我认为,随着网络安全领域不断发展,我们会看到对从业人员这两个类别的证书有越来越多的要求。(文末有介绍)

如何才能进入零失业率的网络安全行业工作?

问:我们大家都知道,网络安全领域有许多岗位虚位以待,岗位要求和从业者的技能差距预计将持续到2021年。怎样才能填补技能差距的鸿沟呢?

MC:岗位要求和从业者的技能差距是真实存在的。尽管全国大部分地区就业状况不乐观,但据美国劳工统计局的数据,在信息安全领域工作岗位数量一直在增长,增长率达到18%,预计会持续到2024年。这比一般的计算机专业工作岗位数量的增长高出50%,也达到所有其他领域的就业增长率两倍以上。如果我们要满足这个领域对人才的需求,就需要在未来几年里,让更多的人进入网络安全专业。这也意味着我们需要在培训和专业发展方面进行大量投资。

问:我们也会看到,多学科背景或非技术背景的人才进入网络安全领域。这种现象对网络安全领域的发展有哪些优点和缺点?

MC:网络安全领域吸引了许多不同背景的人才,在我看来,拥有全面背景的人往往会取得成功。特别是在IT领域具有丰富经验的人才,他们知识面广,专业化程度深,这对于他们在安全领域的成功至关重要。网络安全认证证书的范围很”宽泛“,各种证书都有。要在这个领域取得成功,从业人员需要对整个领域都有一定的了解:需要了解网络,Web应用程序,数据库,操作系统,加密技术以及许多其他技术。

关于网络安全专业的证书*

CompTIA(美国计算机行业协会)有2个安全相关的认证,一个是偏重技术与操作层面的Security+(信息安全技术专业能力的国际认证),包括系统、主机、应用程序、数据和网络等基础性的安全问题,基本的加密方法和评估审计知识。另一个是基于Security+(但并不强制要求)的CASP认证,培训内容延展到企业所有的安全问题,并增加了风险管理以及把安全与计算机通信、业务通信和业务需求与整合在一起。随着云计算的发展,即便是那些把IT服务外包到云提供商的企业,也非常需要重视相关的安全问题。因此,安全认证领域也会是一个长久的需求。

CompTIA Cybersecurity Analyst (CSA+),网络安全分析专家认证,通过网络行为分析全面提高系统信息安全防护水平。CSA+认证验证了证书拥有者的网络安全知识和网络行为分析能力,包括配置和使用威胁检测工具,执行数据分析、漏洞分析、威胁和系统风险管理,以及企业级应用程序和系统的安全与防护。

(ISC)²CISSP认证也是一个安全认证,而且是被公认为最具影响力的安全认证之一,隶属于厂商中立的非营利国际安全认证组织(ISC)²。该组织成立于1988年,1994年开始CISSP认证。许多国家的机构和政府都需要其人员具备这个认证,因而受到业内从业人员的追捧。由于CISSP较倾向于安全管理,因此申请人员需要具备4到5年的安全从业经验。

CEH(Certificated Ethical Hacker)是由国际电子商务顾问委员会(EC-Council)提供的网络安全认证。被业界称之为道德骇客(正派黑客)认证。

原文链接:http://www.linkedin.com/pulse/exploring-career-cybersecurity-check-out-qa-mike-chapple-alyssa-pratt

编译组出品。编辑:郝鹏程