立业创富
職場中四大最火且最吃香的IT安全技能
发表于 2010-09-09 04:11 目前,IT安全工作市場確實繁榮,但這並不意味著每個人都會自然而然地找到一份工作,或者找到合適的工作。正如安全威脅狀況正在飛速演變一樣,職場對安全職業的資質要求也在快速變化。
来源:安全在線
IT安全招聘公司LJ Kushner and Associates的總裁Lee Kushner認為,職場中的供需之間有一道難題:雇主正在尋找能夠滿足特定需要的安全人員,如事件回應或風險管理,而正在尋找工作的安全專業人士希望構建其自己現有的技能並推進其職業生涯的發展。但是雇主們並不希望雇傭一個人,允許他按照個人的意願來獲取經驗。
Kushner認為,總體上講,有資格的安全工作人員要比工作多。在特定條件下,有資格的安全人士要比雇主們苦苦尋找的要少。
獲得適當的工作人員與獲得適當的工作一樣艱難。根據Booz Allen Hamilton去年的一份報告,只有40%的政府管理人員認為自己對於申請聯邦IT安全工作的人員資格感到滿意,僅有30%的管理人員對申請者的數量感到高興。
思科學習專案的安全認證部長經理David Bump認為,安全認證雇主們尋找的是擅長於特定安全學科的安全專家。安全職業專家們認為,認為只要有了CISSP(認證資訊系統安全專家)認證就可以保證被雇傭的時代已經一去不復返了。安全工作正變得越來越專門化,所以一般的認證並不具有以前所具有的份量。CISSP在過去是必要的,而今天變成了“有了也不錯”。
那麼,今天的雇主們希望找到怎樣的安全專家呢?他們最需要哪些技能呢?最需要的資格基本上就反映了攻擊類型、損害類型,以及這些單位如今所面臨的威脅,以及有助於控制其防禦的規範等:雇主們正在尋找富有事件處理和回應、合規、風險管理、業務的敏銳性等方面經驗的人才。
下麵逐個看一下:
1、事件處理/回應
“極光行動”攻擊的曝光告訴我們,任何單位都可能成為靶子,在眼皮底下發生的攻擊,在被人們發現時,總是為時已晚。
ClearanceJobs.com的創辦人和主管Evan Lesser說,和這些攻擊使政府和企業有了更緊密的聯繫,工作市場變得日益糾結,因為政府和企業都要尋找相似的技能。政府正在盼企業,企業也在盼政府。Lesser認為,他們更緊密地攜手工作,因為對於商務金融系統的攻擊就是對國家的攻擊,對於與基礎架構相關的攻擊也是一樣。
這就使得事件回應成為一項重要的工作技能,許多雇主們對此趨之若鶩,例如,他們需要這種專家:不但知道怎樣使用或配置一種入侵檢測系統(IDS)或防火牆,而且知道怎樣維護和分析日誌檔及其它的事件數據,然後能夠將這些資訊與公司中的其他人共用。
思科公司的Bump說,事件的回應者和處理者是第一線的專家。他們對於細節的關注應當受到重視,應當有大量的文檔證明,並且要與調查安全損害的其他小組共用這些資訊。
Bump還認為,而且安全認證也在不斷發展,以反應這種轉變。例如,在過去,如果你通過了某項產品的認證,你就知道了如何使用IDS/IPS。而現在,我們正在越來越多地從產品認證轉移到工作角色認證。
安全專家們認為,新的認證要求知道如何使用由安全設備和系統所收集的資訊。Bump說,現在新的認證要求大量的架構知識、解決方案、最佳方法等。還需要能夠部署解決方案的安全設計師,並能夠設計這種解決方案,還要關注策略。
2、合規的專門知識
安全專家需要知道其雇主的規章制度環境,不管是付款卡行業數據安全標準(PCI DSS),還是健康保險可攜性和責任法案(HIPAA)。Kushner認為,監管和規章制度的職位要求應當匹配一致。他說,他看到更多的職位在尋找精通健康資訊信任聯盟(HITRUST)框架的專業技術,能夠進行個人健康和金融資訊的安全交流或存儲。
Kushner坦言,與保障客戶數據安全有關的任何資格和經驗,不管是關於數據洩露預防的,還是關於資料庫的安全技能的,都是熱門。他說,另外一個不斷增長的領域是評估第三方合夥人的風險。評估第三方的風險主要涉及到監管、合規及風險等,企業所接受的工作可能是上述技能的混合。
Bump說,這意味著知道哪種安全技能適合單位的需要,並且知道這種安全技能的發展方向。這是安全工作的一個動態變化。
ClearanceJobs.com的Lesser認為,聯邦政府機構和合約人公司中最空缺的工作是資訊安全和保險專家。這些工作包括DoD最新的可進行深透測試的道德駭客認證。
3、風險管理
最近由思科對全球的CCIE進行了一項調查,其中有60%的被調查者認為安全和風險管理將會在未來的五年內成為最急需的技能。
思科的安全解決方案行銷主管Fred Kost認為,有越來越多的單位在考慮如何部署安全,以便於將企業所面臨的風險最小化。他說,他們更多的客戶正在尋找能夠進行防禦並能夠支持業務運作的人員。客戶們在考慮合規問題、風險管理問題,還有更寬廣的業務,即如何部署安全從而將風險趕出企業。
他說,現在,也有更多的安全工作適合於更多的人員類型。他說,如果讓你監視一個控制臺,並查找事件,那麼,這就是一套技能。如果你正在評估企業風險或者正在處理審計和合規,這又是另一套技能。比起過去,這種狀況為當今的安全專家創造了更多的機會。
4、業務的敏銳性
當今的許多IT安全工作超出了技術的範圍,要求安全專家理解企業業務是如何運作的,還要知道安全如何支持這些企業和業務,並且能夠保護企業。
思科的一種新認證就反映了這種朝著更現實的經驗的轉變:思科認證架構師。根據思科的說法,思科認證架構師必須能夠清晰的說出特定安全或網路技術的企業價值,只有這樣才能夠滿足要求。
Fred Kost說,所以,例如,在兩家銀行合併時,安全專家需要能夠理解整合運營的業務需求,然後選擇實現這些需求的適當技術。這些安全專家擁有雄厚的技術背景,但是還要把技術轉換成企業的需要。他們在大型的解決方案部署和維護方面擁有大量的經驗。
同時,找工作的人最大的一個錯誤是,以獲取實際的工作經驗(包括對企業業務的洩露)為代價,過分強調認證。
有些找工作的人總在說,我有認證或我有經驗。在這些人當中存在著爭議,Lesser認為,應當將兩者結合起來。他認為,認證對於在政府工作的任何人來說都是必須的。但是認證並非全部,也並非終點。現實的經驗也是很重要的。
源自:安全在線
推荐阅读
本类热门
评论 (0人参与)
最新评论