在我写这篇文章时,我已经有17年的经验,以从从业者的角度看待了网络安全领域的方方面面。简而言之,这是一次过山车般的经历。
因此,我决定整理出25个深刻的教训,这些教训可能会重新塑造你对待自己的职业和这个领域的方式。
1.网络安全预算比任何合规性检查表更好地反映了公司的风险承受度。
2.如果你不知道公司如何盈利,你就不知道如何真正保护它。
3.大多数公司不是为了安全而支付费用,他们是为了避免罚款。
4.在商业舞台中,网络安全只是一个配角,而非主角。
5.尽管人们可能对管理、风险和合规性(GRC)职能不满,但它们是网络安全交响乐团的指挥者。
6.并没有人才短缺,招聘方缺乏想象力。
7.网络安全的10%是技术,90%是外交。
8.网络安全容易做不好,也很难做好。参考上面内容。
9.你需要一份工作来积累经验,但你需要经验来找到工作。欢迎来到网络安全领域。
10.这个行业因零日漏洞而失眠,但它其实应该因忽略补丁和基本的响应流程而寝食难安。
11.关键不在于你知道什么,而在于谁知道你以及你能为他们做什么。
12.证书可以帮助你通过人力资源部门,而经验可以帮助你度过一生。将两者结合起来,使其成为你的优势。
13.网络安全学位并没有消失;它们只是在不断发展,招聘经理也在不断进步。
14.没有经验的证书就像一把没有刃口的刀子。
15.网络安全领域的精英主义只是一种戴着不同面具的不安全感。
16.爬升职业梯子的最快方式是从一家公司跳到另一家公司的不同职位。
17.网络安全会议更适合与同事交流和结交新朋友,而不是采购新技术。
18.在你的计划中有太多网络安全供应商可能就像吃太多快餐——在短期内方便,但长期缺乏营养价值。
19.安全意识培训就像系上安全带一样——它不能防止所有事故,但在事故中显著提高了你的生存机率。
20.网络安全领域的工作稳定性与你要应对的威胁一样不稳定。
21.作为安全专业人员说“不”很容易;将安全与业务支持对齐很难。
22.回声壁是真实存在的;批判性思维是你唯一的防御。
23.一个安全产品中的流行词越多,解决你问题的可能性就越小。
24.网络安全不是IT问题;它是一个假装是IT问题的业务问题。
25.最好的风险评估工具是对话,而不是电子表格。
要点总结
你的网络安全预算和对业务模型的理解,是真正衡量风险和影响的标志。
在网络安全领域的职业发展是一种复杂的舞蹈,涉及到社交网络、真实世界的经验和正式的证书。
这个行业的文化、态度和亚文化往往是一把双刃剑,既能促进也能限制。
希望这对你在网络安全领域探索的过程中有所帮助。
作者简介
Mike Privette
白天是一名安全从业人员,晚上/周末则是一名作家、创作者和风险投资顾问。
原文链接:
https://www.returnonsecurity.com/p/25-cybersecurity-industry-truths
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。