工作日久,会接到一些朋友关于专业就业、职业规划的问题。自从开通“君哥的体历”以来,也会收到后台留言,提及职业规划,以及有关工作迷茫的问题。比如:去一线城市还是回老家就业?我现在做的工作是XXX,感觉没前途,我很迷茫,我该怎么办?我现在有两个机会,一个是去大公司的XXX,一个是小公司的XXX,我该选择哪个?上述大部分问题,我能获得的信息比较有限,其实每个人的情况都不一样,在不了解实际情况的前提下,很难给出最合适的建议。人的一生会面临很多选择,判断选择的因素应该是:趋势、职业规划和未来收益。我试着从趋势、职业规划和从业者的未来等几方面,分享我了解的一些情况,经验体会和思考。

1. 职业规划方法论

1.1 社会分工

亚当.斯密在《国富论》写到:人的天赋差别并不大, 造成人们才能上重大差别的是分工的后果。哲学家和挑夫之间的差别, 就是职业分工的结果。社会分工在我们学习时就已经开始了,我和同学在参加高考时,大部分都不太清楚计算机科学与技术、材料科学、电气工程自动化等专业会在未来对自己就业,职业发展带来怎样的影响,但职业分工已经开始了。

现代工业发展,将业务流程化、标准化,催生了一个个非常细分的岗位,一方面大大提高了社会生产率,另一方面由于社会分工的高度细化,大部分劳动者只能在流水线前日复一日不知疲倦的敲着那颗钉子,可替代性很强,因此价值很低。保安、柜员、前台、应收应付会计、甚至是比较底层的码农、一线人员等。而且由于这种重复机械劳动的禁锢,劳动者还失去了学习的机会,这意味着他很难提升自我的内在价值。

举个例子:我原来在一家全国性股份制银行信息技术部工作,近距离观察过IT部门负责采购的同事们的工作状态,因为IT部门的项目比较多,采购同事们工作任务比较重,因此分工比较细,需求审核、采购文档录入和审核、供应商管理、采购谈判、合同签订和管理等几个岗位。负责文档录入、合同管理的同事每天要面临大量的采购文档和数据录入,经常加班到很晚,没时间学习新的技能充电,回家就躺床上一动不动了。

一个人的不可替代性越强,就越有价值。构建个人核心竞争力,一定要在自己的专业领域做出深度,成为专家。同时兼顾知识的广度,在相关的专业领域上扩展自己的知识结构。选择工作的时候,规避主要内容都是dirty work的工作,最完美的状态就是每时每刻都能学到新的知识,按照10000小时定律努力下去,就有可能成为某行业的顶尖人才。

小结一:尽可能规避社会分工给个人职业发展带来的不利因素,尽快塑造工作中的个人价值-不可替代性。

1.2 给职业生涯上杠杆

不管你是做技术,还是做管理,或者各种一线运营工作,你能创造的价值都是有明显的天花板的。如果你从事的工作职能单纯是靠出卖脑力和体力,那么就算是能力再强,天赋再高,24个小时不睡觉,一个人最多也就顶俩,顶仨,这是人的生理极限所决定的,那么你也就创造了两三个人的价值。如果你想迈入更高职级职位,必须突破个人生理极限瓶颈。

如果是搬砖性质的工作,长年累月的加班,累死累活,也就是砖搬的又快又好有多,发展空间是明显天花板的,再进一步就要猝死了。会计行业很多审核发票报销的岗位、银行的柜员、四大会计师事务所的安全审计等日复一日重复性工作且得不到太多价值提升空间的岗位,随着人工智能发展,未来能保住饭碗就算不错了,这是市场供需和工作难度决定的。

破解困境的方法是给你的职业生涯上杠杆,用你的24个小时去撬动许许多多的别人的24个小时,你才能用你那渺小的微薄的身驱去创造出更大的价值。组建团队,团队作战产出更多绩效是上杠杆;优化改进现有工作机制避免类似问题再次发生是上杠杆,拓宽工作范围承担更多职责是上杠杆,合理利用和优化资源配置解决实际问题还是上杠杆。如果说在自己的专业领域做出深度,成为专家是1,给职业生涯上杠杆就是1后面的0.给职业生涯上杠杆,你可以十倍百倍的创造价值。很多安全传奇人物,技术上到达一定巅峰后,转而从事各类“安全生态”建设,推动某个安全领域往前发展,这也是善用团队力量,优化配置资源,从解决单纯的点状问题转向批量彻底解决一类问题。庄子说君子生非异也,善假于物也。安全从业人员,也可以审时度势建设各类“安全生态”,善用团队力量,优化配置资源,从而创造更大价值,那其职业生涯也将取得更大成就。

小结二:个人单独能创造的价值有明显天花板,给职业生涯上杠杆,善用团队力量,优化配置资源,创造更大价值,职业生涯将取得更大成就。

是不是每个人,坚持按照10000个小时定律努力下去,就成为顶尖人才,从此走上人生巅峰,迎娶白富美呢?显然不是^_^。一方面,个体的差异是存在的,有些人适合从事技术类岗位往深度发展并成功,有些人并不适合。另一方面,高阶岗位除了需要技术专家以外,更多需要综合全面搞定问题的复合型人才。

1.3 像创业那样去打工

周鸿祎说他当年工作,他跟别人最大的不一样,就是从来不觉得他是在给别人打工,他觉得是在为自己干。因为他干任何一件事情首先考虑的是,通过干这件事情能学到什么东西,学到的东西是别人夺不走的。塑造个人价值-不可替代性,如果说给职业生涯上杠杆,创造更大价值这两方面如果属于职业规划战略的话,那么像创业那样去打工就属于职业规划的战术。

人的本性是懒惰的,科技的进步本质上是为人类提供更“懒惰”的生活方式。基于这一前提,个人是很难突破本我,实现超我。为什么有的人像打了鸡血一样勤奋不辍,为什么有的人孜孜以求,为什么有的人对于困难甘之如饴?因为这类人不是在为别人打工,是在为自己打工,是在创业。由要我干,转变为我要干,就是在创业,在为自己的未来打工。像创业那样去打工和其他打工的区别是,前者不断在学习,提升自身价值,后者在日复一日的重复劳动中消耗青春。

学东西,在工作中分为被动学习和主动学习。被动学习是指,为了完成日常工作任务和弥补知识欠缺,你不得不去进行的学习。需要注意的是,这种学习其实是十分的高效的,因为为了生存,人容易调动起学习的积极性,因此,一份好工作,它的被动学习空间应该越大越好。大部分人,如果不是环境所迫,一般都不会主动去学习,容易陷入混吃等死的工作生活状态。工作的流水线程度越高,被动学习的空间越小。什么样的工作被动学习空间小?那些一成不变,不断重复,工作非常之清闲,完成过程不是那么“痛苦不堪”,那么被动学习空间比较小。

为什么大部分行业,销售类的岗位收入都高于其他同等要求的岗位?因为不同行业不同发展阶段的客户需求千奇百怪,会遇到和需要解决各类令人棘手的问题,这些都是解决起来很需要经验的非结构化问题。

主动学习,指平常工作可能用不上,主动储备用于以后使用。对大部分人来说,如果没有环境逼迫,加之日常繁重的工作,很难做到持之以恒地、积极地主动学习,而且人的时间精力总是有限的,如果对自己所处行业的大局和趋势缺乏了解,一般人很难能框定出一个比较合理的学习范围,万一学了一堆用不着的职业技能,也会付出巨大的机会成本。主动学习不如被动学习效率高,但一旦建立起主动学习的能力和习惯,持之以恒的坚持,机会一定会垂青有准备的人。

抱着创业的心态去打工,而个人利益与公司利益正好能一致,那么工作积极性会大大提高,客观上也会为公司创造价值。每个人对人生的追求都不同,有的人喜欢平淡简单知足的生活,有的人立志成为呼风唤雨的大佬,不同的人生目标选择的道路自然不同。但千万不要因为贪图安逸不愿努力而做出选择,因为短期的安逸必然会让你付出长远的努力来弥补。

小结三:抱着创业的心态去打工

1.4 发展路径

安全人员职业生涯发展路径问题,先看看安全岗位分类,根据安全岗位所需的技术能力和非技术能力如沟通等做了个分类:

注:ABCD表示工作岗位所需对应最低技能要求,非该岗位实际技能值。这里不是说哪些岗位技术能力高,哪些岗位沟通能力高,而是对岗位所需能力做个示意,无意区分职位优劣好坏,每个岗位上兢兢业业从业者都值得特别尊敬。如有冒犯,万分抱歉。

个人认为适合有志于安全从业的大学毕业生的职业规划思路是:

1.4.1 尽快超越A类工作所需要求

A类工作属于不需要太多技能和经验,且日复一日重复度极高的工作岗位,但很不幸,大部分安全从业者就像刚申请游戏账号的新手一样,都是从A类工作开始安全之旅的。A类岗位是必经之路,就像刚毕业的人总会经历一个干苦活累活杂活还没有太多成就感一样,想尽量走出A类岗位的玩家,会有意识的做到:

  1. 尽可能的将岗位工作标准化、自动化,节约人力,空出时间干更多有提升价值的工作和学习;

  2. 将交待的工作认真做到位,经常利用下班时间钻研,知其然更知其所以然,把原理和本质吃透;

  3. 总结经验教训,反向改进优化机制,提高效率,避免类似问题重复发生。

在A类岗位工作是新手玩家必经的一道坎,很多玩家倒在这道坎,从业十多年还在从事基础类工作,能够顺利且迅速的迈过这道坎,才能打开B类和C类岗位工作,并最终迈向D类岗位工作。

1.4.2 尽量从C类做起

为什么不是B,是因为在中国大部分应届毕业生沟通能力和技术能力还是不够的,在个人品质上,普遍脸皮薄、害羞、内敛,不如西方特别是欧美人热情自信,如果先从B做起最后发现不适应,而技术早就荒废了,从管理人生的风险敞口角度是不太合理的。C类工作的两个特点:一个是学习空间大,这样在工作上花的时间会凝结成自身的价值;二是会经常需要解决非结构化的问题。

大部分安全从业人员都面临在C类和A类岗位之间做出选择,比如金融企业大部分会购买一些安全设备如IPS、WAF、数据库审计之类,A类岗位安全设备管理员工作内容就是确保设备正常开关机,按照厂家建议修改一下默认规则配置一下,流量镜像、日志告警正常,偶尔看看高风险告警情况,定期出几份报告,加黑几个IP。C类岗位工作内容是,先搞清楚安全设备底层原理,测试设备全部安全功能并知晓各功能局限以及关键有用功能,搞清楚此类安全设备能够防护的攻击类型和常见绕过方式,针对性配置防护规则和告警规则并作出优化,对于高风险告警一一进行安全分析并反向优化,对于异常进行溯源、定位、清除。明显C类岗位比A类岗位对安全有效性更有价值。如果选择前者工作范围,那么就是选择了A类岗位,如果选择后者,就让原本是A类岗位变成了C类,选择决定了未来。

即便是C类工作也很快就会遇到发展的瓶径。原因有两个。

一个是从企业角度来说,某一业务流程一旦变得越来越难杂,企业就会有将其不断肢解细化的强烈内在冲动,以降低对核心员工的依赖。比如安全分析中的安全事件应急处理,企业希望能够将安全分析的工作分解,流程化、标准化和工具化,一部分安全分析的工作能够交由技术功底和经验不是那么多的初级人员去完成,慢慢的安全事件应急处理就是照着标准的工作书,拿着标准的工具、流程跑一遍就好了,现在绝大多数的安全厂商的应急处理就是这样的。

二是工作一两年之后时间的边际效用在降低,不像刚入行每天都可以学到新的知识,重复机械劳动逐渐成为常态,在这种情况下工作所花时间并不会让你的人力资本增值,反映到薪酬上就是工资开始顶到了天花板停滞不前。更糟的是,一旦你花了一辈子去学的赖以谋生的技能技术一旦被社会淘汰,带来的后果可是灾难性的。就像二十年前学裁缝,十几年前搞BP机等等。每个行业莫不如此,技术更新有快有慢,IT行业技术更新尤其快,安全行业更甚,只有不断学习、时刻保持着一种危机感才能立于不败之地。

1.4.3  B类要尽可能的覆盖范围广

B类岗位特点是对技术能力要求不是特别多,但对沟通能力等要求比较多,比如IT内控合规类岗位、安全审计类,这类岗位要想出头,必须在工作内容覆盖范围广度方面拓展,比如安全管理岗的职级高低,在于其Cover的安全管理范围大小。

1.4.4  D类是安全从业人员发展的终极目标

D类是安全从业人员发展的终极目标,建议先从C类做起,慢慢承担起B类工作,双剑合壁之时便是成功初成之日。

2. 安全环境趋势和安全从业趋势

2.1 金融行业安全环境趋势

在2010年以前,我们和国内金融行业同仁交流的时候,做安全的思路普遍还在监管合规+设备部署的阶段。2010年后,由于网上银行、移动金融的快速发展,以及国内互联网安全环境的进一步恶化,金融行业的安全需求开始发生深刻变化,需要有效解决实际安全问题,对安全攻防、安全运营的需求逐渐增多。安全环境变化的趋势体现在以下几点:

  1. 监管从合规为主,技查为辅,转向合规、技查双轨,不断提升技查比重,以技查促合规落地。银监会、证监会聘请专业的第三方对商业银行、证券期货公司的互联网系统进行远程渗透,甚至直接渗透进办公网和交易网,这将是未来监管科技“新常态”。

  2. 安全防护包括应用安全、内网安全、数据安全,从企业安全建设关注度和投入度来看,分别是从高到低,这与攻击者从事应用安全的门槛相对内网安全、数据安全低很多有关,攻击门槛低,攻击从业者越多,发现的问题也越多,防守方投入也越多。防护难度分别是从低到高,客观上也让防守方首先选择防守难度较低的应用安全开始。

  3. 企业安全建设的安全岗位范围从安全设备管理向安全有效性、安全运营扩展。越来越多的企业安全负责人意识到,安全设备只是工具,要管理好安全设备,真正起到防护能力,实现安全有效性,必须通过安全运营来实现。这点体现在越来越多的企业招聘企业安全负责人、安全岗位人员时,都强调有实际安全攻防对抗经验,安全事件分析经验,能够讲清楚安全价值实现思路。

  4. 业务和信息系统不断云化。各类业务和信息系统上云是不可阻挡趋势,公有云、私有云,突破传统安全防护边界,面临新的挑战。

  5. 安全防护向自动化、智能化迈进。这是一句正确的废话。

  6. 安全重心向前端也业务靠近。在IT内部,安全防护越来越向研发深入,向需求立项,架构评审,代码开发阶段渗入。在IT外部,安全也向支撑业务发展,打击黑灰产,业务风控靠近,贴近前端和业务,安全才有价值。

  7. 向互联网行业和公司学习。

  8. 金融企业安全团队规模爆炸性增长,团队定位3到5年内走向公司二级部门,安全团队负责人职级职位将成为一级部门副总。

2.2 金融行业安全从业趋势

在上述安全环境变化趋势下,金融行业安全从业趋势体现在以下几点:

  1. 至少五年内,对安全从业者的需求还是相当大,甚至供不应求。需求大于供给的话,那对于供给方各类要求必然下降,不知道这对于安全从业者来说是好消息还是坏消息。

  2. 人还是安全中最重要因素。一位靠谱的安全团队成员,远比一两款安全产品、安全设备重要,再好的安全防护也需要人设计、落地实施、运营优化。

  3. 一个既懂安全又会开发点小工具,又爱折腾的安全“全栈工程师”和聚焦于是xx万IDC规模下的入侵检测,x万研发人员提交代码仓库的SDL的某个特定领域的安全专家,都会有不错的发展前景。

  4. 目前国内并没有CSO文化,大部分企业也只是在IT部门设置安全团队,因此国内金融企业基本上都没有CSO岗位,只能称作企业安全负责人。随着安全对IT,对公司的重要性不断提升,以及监管要求提升,5-10年内,必然会涌现重视安全的金融企业设置CSO岗位。

  5. 安全从业获得回报和解决实际问题产生的价值,以及该类问题所需所需成本高低有关。我听过很多抱怨。安全团队不受重视。安全团队不受重视是结果,而不是原因。比如大部分企业资产管理做的并不好,安全资产管理更是如此。如果在爆发Struts2漏洞时,安全团队能够迅速拉一张受影响清单,以及受影响业务系统,并给出修复建议和顺序,那安全团队价值基本就有了,反之只能转发一下漏洞预警信息,公司内哪些受影响,业务系统修复可能带来的问题和影响等一概不管,安全团队的价值就极其有限。所以安全团队的价值和其解决实际问题产生的价值有关。安全从业获得回报也如此。

  6. 能够采用各种方式,推动企业安全防护能力不断提升的从业人员将获得更大发展。企业里安全团队和其他团队的冲突点主要在于大家对安全、可用性和业务的平衡点不同。如何在各类资源有限,各种纷繁复杂的情况下,说服,推动不同利益方取得一致,提升安全防护能力,取得平衡,将是安全从业人员的重要能力。

  7. 创业也是不错选择。

3. 安全从业指南

3.1 安全从业职业发展路径

安全从业职业发展需要根据自身实际情况,以下是发展路径参考图:

以下分别介绍各类方向发展情况。

3.2 企业安全从业人员(甲方)

3.2.1 总部IT安全团队员工

(1)安全技术类岗位

如果是从事安全开发、安全攻防等技术类岗位,职业生涯初期可以在应用安全、内网安全、数据安全的某2-3个领域深入,越深入越好,目标是成为金融行业的某领域技术专家,顺利的话可以成为技术组组长、实验室负责人;中期目标是成为大厂高P或中小企业安全负责人;终极目标是走向CSO高管职位。

关于大厂高P vs 中小企业安全负责人的路径选择问题,赵彦《行业风口上的安全人员职业规划》分享的以下内容可供参考:

大厂需要的经验譬如都是xx万IDC规模下的入侵检测,x万研发人员提交代码仓库的SDL,大部分时候会要求应聘者已经具备相关领域的成熟经验。小公司跟大公司不同,安全团队即使有也不会很大,往往需要身兼数职,面对一揽子问题给出最高性价比方案。这类性价比高的方案往往是逮着某个开源软件就上,而不会过分计较他的功效,或者虽然也有安全团队也必须大量的依赖商业产品和解决方案,自己只负责简单的安全产品运维,同时中小企业招聘到高级安全技术人才的可能性不是很高,也间接决定了不可能在结果上深挖。于是一个既懂安全又会开发点小工具,又爱折腾的“全栈工程师”在这种场景下就吃香了。但不好的地方是说一旦你受中小企业欢迎,那么你的技能会越来越聚焦泛而不深的安全需求,你在可预见的职业生涯里都可能跟大公司无缘了,因为你一直在培养小公司急需而大公司不需要的技能,同时小公司即使做到安全负责人也会有职业瓶颈,因为小公司的安全负责人可能收入只有大公司高P的几分之一。人有时候会放过自己一马,去个小公司舒舒服服的当个安全负责人,至少不用在日新月异的技术上孜孜以求,苦苦学习,也不用被成为高P的愿景所绑架,毕竟只有拔尖者最终才会成为高P。从比较积极的角度看,过早的放弃高P路线转向中小企业安全负责人,犹如放弃攀爬一座1000米高的山,转而爬一座600米的山,会舒服一阵,但会更早的迎来半衰期的中点,更早的迎来下坡路。

(2)安全管理岗位

安全管理类岗位包括:安全设备运行维护、安全合规、政策、制度、风险管理、监督检查等等。职业生涯初期可以在安全运维、设备运维方面入手,掌握一些基本的安全技术领域背景知识,为后期走向偏管理类方向打下基础;中期目标是成为中小企业安全负责人、IT部门内控合规负责人,也可能成为公司风险管理、合规法务、稽核审计部门内,与IT相关业务的负责人,比如IT风险管理组长、IT审计组长等;最终目标是CSO、CRO等高管职位。

安全管理岗切记职业生涯就直接从风险合规方法论起步,有条件的先从事2-3年左右的偏安全技术类工作,这样在转向安全管理、风险管理类偏“务虚”类岗位时,能够和工作对象有沟通基础,否则技术人员觉得面对一个什么也不懂,只会动辄讲方法论的风险管理者,容易崩溃。有一定前提基础的沟通是双方协作的必要条件。另外我给务虚打上了双引号,因为风险管理、内控合规等工作并不务虚(IT风险归类于操作风险,属于四大风险管理领域之一),金融行业本来就是加工风险的行业(入行时行长培训时灌输的第一个理念),银行更是基于风险定价,因此如何进行各类风险管理其实是个非常专业的技术领域。我们觉得安全管理务虚,是因为目前绝大多数甲方管理者和乙方咨询服务方,交付的是务虚的工作成果,比如组织架构、职责、制度、流程等等,而如何有效进行风险计量、处置,如何推动风险管控落地,风险管理工具(RCSA、LDC、KRI)的有效使用等等实施难度、推动起来比较困难的内容被有选择的忽视和过滤掉了。

有兴趣了解金融企业IT内控合规管理建设与实践请参考本公众号的文章。

传送门:金融企业IT内控合规管理建设与实践

3.2.2 总部二道、三道防线部门员工

职业生涯初期总在IT风险、IT合规、IT审计类岗位从事较为初级的工作;中期目标是成为公司风险管理、合规法务、稽核审计部门内,与IT相关业务的负责人,比如IT风险管理组长、IT审计组长等,也可能专项乙方如四大的咨询顾问,最终目标是CRO高管职位。

3.2.3 分支机构安全管理员

分支机构安全管理员发展空间有限,谨慎选择。目标是多从总部和同行业学习一些最佳实践,在同其他分支机构的安全管理工作比较中处于优势。此类岗位的发展空间在于安全管理员能否承担更多分支机构的其他非安全类需求。

3.3 安全公司从业人员(乙方)

3.3.1 安全产品研发类

安全产品研发类属于乙方企业的核心岗位人员,中期目标是成为产品线负责人,长远目标是成为主管技术的副总裁、CTO。

3.3.2 安全技术支持类

安全技术支持类,包括技术服务、技术支持、应急响应等,中期目标是成为技术支持线负责人、XX分公司负责人,长远目标是成为大区负责人、服务线副总裁等。

3.3.3 安全咨询类

安全咨询类主要分布于四大(德勤、安永、普华永道、毕马威)、Thoughtworks的IT信息安全咨询部门,中期目标是成为高级经理;长远目标是成为事务所合伙人。

还有一类咨询是非四大的综合性安全厂商,如360、绿盟、启明,内部也有一些高阶的咨询服务岗位,如金融行业解决方案部门负责人等。

3.3.4 驻场外包类

驻场外包类岗位主要是安全运营、安全支持类工作,中期目标是成为驻场外包团队负责人,长远目标还是转向乙方内部安全技术或服务类岗位、甲方安全岗位。

3.3.5 销售类

销售类岗位主要在于客户资源和对甲方客户需求把握,以及需求和解决方案、资源之间的平衡点。成功的销售类岗位人员能够在资源有限的情况下,找到需求和解决方案、资源之间的平衡点,最大化客户、公司的价值,而绝不仅仅是销售数字(数字只是结果)。目前纯销售的岗位越来越少,前景越来越不乐观,技术人员转型大销售趋势明显,销售、售前、售后支持、技术支持的界限越来越模糊。中期目标是成为分公司负责人,长远目标是主管销售的副总裁或创业。

3.4 其他类从业人员

3.4.1 白帽子、漏洞挖掘从业人员

白帽子、漏洞挖掘从业人员更多是安全人员的第二职业,类似于足球运动中的裁判,实际中都是有第一职业,挖洞只是业余爱好。少数为专职的,转向甲方安全研究、安全防护的都是不错选择。

3.4.2 安全公司创业

2018年4月13日,网信办和证监会联合关印发了《关于推动资本市场服务网络强国建设的指导意见》的通知,支持符合条件的网信企业利用多层次资本市场做大做强。加快扶持培育一批自主创新能力强、发展潜力大的网信企业在主板、中小板和创业板实现首次公开发行和再融资。网络安全公司创业重新站上了新的风口。五年前更多是乙方安全企业人员出来创业,而最近几年的趋势是很多甲方企业安全人员出来成立创业公司或加盟创业公司,未来将会看到更多此类情景。参与安全创业的岗位主要是:乙方销售类、产品研发类岗位(更多是副总裁类的负责人),甲方安全负责人、技术骨干,政府相关部门人员。

3.5 安全从业指南

  1. 尽量缩短初期练级所需时间。游戏玩家知道,某些关卡、技能和高等级场所只有玩家到了一定级别才能解锁,级别没到,只能枯燥的每天打打小怪物,积累经验值。因此职业生涯初期,尽可能的缩短初期练级所需时间。这个缩短不是说一味的往更好更高的职位跳,不是这个意思。初期练级是最重要的打基础阶段,在这个阶段,除了每天事务性和分配性工作以外,要勤于思考这些工作的关键是什么,如何改进优化,以及这些工作和其他的工作之间的关系,整个工作的全貌是什么等等。在这个初级阶段,最重要的是养成独立思考的逻辑思维、科学的方法论、勤奋细致的工作作风,以结果为导向的价值观,如果能以这样的心态和方法去处理,将很快从初级者中脱颖而出;

  2. 在面临工作选择的时候,规避主要内容都是dirty work的工作,dirty work工作主要特征是事务性,重复性的。这类工作是无法完全避免的,哪怕是高阶的管理者,每天也在做一些dirty work,比如流程审批,只是比重不同而已,因此做这类工作的目的是为了未来不再做,关键是在做dirty work中以结果和业绩展示自己的实力,让上级管理者认为把你放在dirty work上纯属浪费,自然而然就逐步减少dirty work了。最完美的状态就是每时每刻都能学到新的知识,按照10000小时定律努力下去,就有可能成为某行业的顶尖人才。

  3. 在某些技术领域成为专家。很少看到高职级安全人员属于一点技术背景都没有的。大多数情况是先成为某些技术领域的资深专家,然后自身又有一定兴趣,付出时间精力进行管理实践,两者结合,迈向了上述长远目标。成为某些领域技术专家是职业生涯金字塔的塔基部分,塔基不牢甚至没有就只会成为空中楼阁。

  4. 安全人员薪资比同级别研发和运维要高一些,但IT部门总经理、CTO等大多来自运维和研发,鲜有从安全晋升而来。因为安全不是必需品,价值判定因人而异,因此选择安全时考虑清楚。

  5. 除了少数岗位性质决定以外,甲方从业人员面临的问题,都不是技术问题,或者说单纯依靠技术解决不了,大部分岗位比拼的也都不单是技术,而是解决一个一个小问题,从而最终搞定事情,将工作往前推进的综合能力,黑猫白猫,搞定问题,取得绩效就是好猫。

  6. 适当积累各类资源。资源并不等同于人脉,资源是能够用于解决问题的各类有利条件的统称。人脉是你的资源,你掌握的非安全知识也是资源,你的兴趣爱好也是资源,你所在城市也是资源。积累各类资源,有助于解决问题时,避免单一解决方案的依赖,以及单一解决方案行不通时的其他可能性。就像你高考成绩太差,无法通过大学改变自己命运,但你会做葱油饼,或者踢球踢的很好一样,都可以帮你实现同样目标。当然现实一点的资源,基本上都是人脉资源,你在企业内部,帮助更多的人,获得更多的人认可和帮助,本质上也是积累自己的人脉资源,这样会让自己,以及自己所在安全团队之路越走越宽。资源是价值创造的倍增器。

4.几点思考

4.1 守住底线

以前知乎上问黑客入门第一本书是什么,高票答案是《刑法》。对于安全从业人员来说,守住底线始终是从业第一原则。甲方、乙方,各自都有各自的底线,不做黑灰产是技术人员底线,不违背原则,不做恶意竞争的销售是乙方人员的底线,而作为甲方从业人员,我的底线是:不做混吃等死的小白兔,达成公司对安全团队的安全诉求,实现安全团队成员每个人价值提升。

4.2 面临选择时的思考原则

职业生涯其实就是从面临各种选择中开始的,面临选择时的一些思考原则供参考:

  • 选择难走的那条路。这条难走的路将助你淘汰掉很多竞争者,让你走向不可替代者的未来。

  • 工作的同时,成就别人。工作中我会遇到很多需要自己“帮”一把的人,有大有小,在我看来,能够在力所能及的范围内帮助别人,成就别人,也是在成就自己。所以,我不会轻易说不,会努力想办法帮助能力范围的每个人和每个需求,而我确实也获得了很多人的帮助。

  • 日拱一卒的笨功夫多下,奇淫技巧的聪明少学。职业生涯初期,可能靠奇淫技巧的时候多一些,会获得一些青睐,但越往后,越需要的是日拱一卒的笨功夫。

  • 格局和靠谱。面临选择时要看长远,而不是短期利益优先。比如职业生涯早中期选择一份工作,工作量、离家近、薪资等等,基本都属于考虑的后选项,优先选项应该是大平台、工作内容是否有利于经常性学习等等。靠谱是指要让自己成为和你接触、连接、共事的伙伴们对你的标签,他们愿意再回头和你合作,而不是一次之后再也不回头。

4.3 如何应对迷茫

怎么应对迷茫?迷茫不要成为自己虚度光阴的借口,无论何时,不要放弃学习,放弃让自己增值。不能盲目地虚度青春。哪怕是做最基础的事务性工作,也要做的比别人更快更好更漂亮。把握几点:

  • 任何时候,都遵从结果导向。首要是搞定,其次才是漂亮的搞定。

  • 对抗不稳定的能力决定了你的价值,专业的程度决定了你的价值高低,有了价值就会少迷茫甚至不迷茫,价值增加靠的是学习,每一件工作,每一天都是学习的机会,学习没有捷径。

  • 要有危机感,不要有太多优越感,每年给自己目标和压力,学会让自己简单,找一个好的另一半。

4.5 不忘初心

我想职业生涯发展和工作,最终的目的还是让我们生活的更好,而不是相反。

很多安全从业人员,可能在路上太久,忘记了自己的初心是什么。为了超常规发展晋升,追求财务收益,往往忽视甚至丢弃了很多更宝贵的东西,比如健康、家庭、品德乃至做人的底线和原则。套用龙应台流传很广的一段话:选择安全作为工作方向,考虑职业生涯和发展,通过自己的努力将来拥有选择的权利,选择有意义、有时间的工作,而不是被迫谋生。当你从事的安全工作方向在你心中有意义,你就有成就感,当你的工作给你时间,不剥夺你的生活,你就有尊严。成就感和尊严,给你快乐。

未来之于我不再是恐惧,而是充满挑战的征途,因为心中有了明确的目标和努力的方向,让我的内心变得亮堂,我知道成功是可期的,而不再是如中彩票般的小概率事件。

部分观点和内容参考以下文章,表示感谢。

1.《职业规划之方法论》、《职业规划实战分析》,周召。

2.《行业风口上的安全人员职业规划》,赵彦。

声明:本文来自君哥的体历,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。