虽然成为安全架构师的道路各不相同,但任何想要成为架构师的人都应该酷爱信息技术(IT)基础设施和数据保护。
信息安全研究所(InfoSec Institute)表示,安全架构师是负责维护其组织内计算机系统安全的人员,因此他们必须能够像黑客一样思考,以便预测攻击者使用何种策略在未经授权情况下访问这些系统。
在该岗位上的所有人都偶尔需要加班工作,并且需要不断学习最新的安全威胁知识和可用的工具。
有时候,最终从事安全架构师职业的人,像贾罗德·布伦南(Jerod Brennen),在他们年轻时无法预测这样的职业方向。当布伦南在20世纪90年代开始上首都大学(Capital University)时,这是一所位于俄亥俄州的小型文理学院,他打算在电影界以作曲为职业。
当时电子音乐是一个新兴行业,所以他开始选修了计算机科学/音乐写作两个专业。他不喜欢一些技术课程,所以他很快就放弃了计算机科学专业,并专注于获得一个音乐教育学位。
“直到我在大四时的教学经历,才使我意识到在公立学校教学不是我想要的,”布伦南说。 “毕业后,我在换工作上花了一点时间,但是当我和我的妻子决定组建一个家庭时,我决定重温一下对科技和电脑的热爱,看看我能否以此为职业道路。结果你会发现,如果你愿意从头开始学习并深入研究,就可以找到你正在寻找的机会。”
在1999年至2000年期间,当布伦南在租赁电脑公司(Rent-a-Computer)担任硬件技术人员时,他为培训课程从头开始组装电脑,安装系统和组建局域网络。
接下来,他曾在斯特林商业公司(Sterling Commerce)的呼叫中心担任技术支持专家,起初是承包商身份,然后全职工作。他的工作是为斯特林商业公司的电子数据交换客户提供软件支持。
2001年,布伦南加入了美国电力公司(AEP),一段时间后,公司对内部发布了一个需要UNIX经验的信息安全职位,他具备UNIX经验,所以去应聘了该岗位。在公司期间,他考取了信息系统安全认证专家(CISSP)的资质。
2006年,当一名招聘人员打电话通知他,美国零售商–Abercrombie&Fitch公司正在招聘信息安全职位,这对他来说是个很大的机遇,随后他被聘为信息安全经理。
布伦南说:“即使我在美国电力公司是全职信息安全专家,也只是个小角色。我想做更多的工作。”Abercrombie公司需要有人来建立一个信息安全计划,以支持其支付卡行业(PCI)合规性工作。
“我没有管理经验,没有信用卡安全经验,也没有零售经验,”布伦南说。“但是我仍然参加应聘。”他花了四年时间从头开始构建安全计划。
最初他没有任何预算和团队,只有时间和部分管理权限,任何免费或开源的工具,他都会拿来用。布伦南说:“我花了最初几个月的时间来完成每一个项目,并使用了所有能用到的安全工具。但没过多久,我的工作量已超出了我可以独自完成的范围。”
布伦南已表现出了他的价值,并且能够将团队扩大到4名员工,这些员工得到了全公司20名代表的支持。该团队部署了一个符合公司运营模式的安全框架。
“当事情真的开始了,”布伦南说。“到我在那工作的最后阶段,我们维护着12个企业级安全工具,包括具有全球用户群体的强大身份和访问管理实施。我们坚持内部审计和外部履约义务,最重要的是,我们正在保护数以万计的员工和客户的个人信息,他们甚至不知道我们的存在。”
之后,还担任过其他职位,包括在风险管理公司–Jacadis担任首席安全顾问和首席技术官(CTO),以及在俄亥俄州立大学(OSU)担任副主任。
在Jacadis公司,布伦南帮助客户识别和实施安全控制措施,并进行风险评估和安全计划审查。他说:“我从事过小型非营利性组织的信息技术(IT)接管工作和大型联邦客户的应用程序源代码安全评估等项目。然而,真正有益的工作是,我能够运用我的企业经验帮助客户建立自己的安全计划。”
在俄亥俄州立大学时,布伦南建立并管理了一个风险管理计划。之后,在2017年2月他进入GBQ会计师事务所(GBQ Partners)担任现任职务安全架构师。该组织是一家在6个城市提供审计、税务和咨询服务的会计师事务所。
布伦南说:“就像我喜欢在俄勒冈州立大学所做的风险管理工作一样,这个决定并不需要想太多。我回去构建安全服务,这将对我们的客户有帮助。所以,我将回去做架构建设。”
他在Jacadis公司工作期间,开发了一个安全框架,“使组织可以不必实施数百个精细化控制措施,而不是将其重点放在基本的封阻和处理工作上。”他说。“我在该事务所的目标是让越来越多的组织向该框架公开,并帮助他们在信息安全方面建立坚实的基础。”
更重要的是,布伦南希望帮助客户“建立信息安全计划,无论他们的业务核心任务如何,都使他们能够重新回到其业务的核心任务上。”
另一位安全架构师杰里·马金尼斯(Jerry Magginnis)在最初也没有在这一领域有职业规划。马金尼斯在普渡大学主修统计学和市场研究专业,获得工业管理学士学位,并希望从事营销研究工作。
他大学毕业后的第一家公司是广告公司–麦肯世界集团(McCann-Erickson Worldwide),在那里从事过多个职位,包括消费者研究副总监、客户经理、信息系统管理(MIS)经理、通讯主管、电讯总监和全球电讯总监。
他于1998年离职,加入路易斯维尔天然气与电力公司(Louisville Gas & Electric)担任技术顾问。之后,马金尼斯进入了金德雷德保健公司(Kindred Healthcare),在那里他首次从事与安全相关的职务,担任高级安全分析师。
2005年,他加入宝马金融服务公司(BMW Financial Services),担任高级应用安全架构师。接下来他在Abercrombie&Fitch公司工作了五年,担任安全架构师,并与布伦南共事。
马金尼斯于2010年加入医疗保健公司–美国卡地纳健康集团(Cardinal Health),在此工作三年担任高级安全架构师。在2013年,他加入了现在的公司,家庭安全产品公司–ADT Security Services,担任信息技术安全架构师。
马金尼斯说:“我工作的每一个职位所获取的知识背景,都增强我的工作能力,为我的下一个工作机会做准备。我逼迫自己去学习超出我工作范围领域的一些知识,以增加我的工作能力。我读了很多书,并亲自做了一些分配给我的直接下属的工作,以了解他们每天都在做什么,同时我也参加了一些认证课程。”
一旦马金尼斯从事的信息安全职业生涯发展地很好,他就会受到招聘人员的青睐。“我从来没有失业过,”他说。“我也指出的是,绝对不要拒绝其他公司承诺可以提升职业生涯的工作机会。”
每个公司都有些马金尼斯不太熟悉的技术,所以他报名参加了供应商课程并阅读他们的所有材料。“在这一领域考取认证信息系统安全专家(CISSP)很难,很高兴我在2001年拿到了这个认证,”他说。“在接下来的几年,它为我赢得了很多工作机会。”
他的计划是在目前的公司工作到退休。马金尼斯说:“我已经经营了一个美食匹萨店,在可预见的将来,我将开一家美食餐厅,这是我的业余爱好。”
本文转自d1net(原创)