晉升資安專業人員:普通 IT 人應如何入手?
晉升資安專業人員:普通 IT 人應如何入手?
現時大家都會經常聽到有關企業出現的種種網絡安全問題,而隨著企業對互聯網的依賴愈來愈高,企業實在有需要加強整體的網絡保安;一般情況下,我們多會以部署不同的資安防禦方案以提高防禦效果,但假如我們能在部署資安方案的同時,新增資安相關的職位,聘請專業人員針對企業網絡安全進行各種工作及跟進,豈不是能達到更佳的防禦效果?
現時很多公司視網絡安全為主要的優先項目,而為了確保公司能抵禦外來威脅和安全漏洞,招聘和留任資訊科技安全專家是公司網絡安全策略的一大重點;亦由於駭客技巧變得越來越純熟,因此網絡安全專家的需求預料亦會隨之而增加,薪金亦會因而上調。
根據早前一份由招聘顧問公司 Robert Half 公佈的調查便指出,資訊科技安全工程師/ 資訊科技風險管理主管 (IT Security/IT Risk Lead) 的薪金在 2017 年將可錄得 + 14.0% 的升幅,由此可見投身資安職位將會有一定的「錢」途。不過假如你本身已從事一般的 IT 職位,而又想嘗試一下投身資安相關職位的話,又應如何是好?
在投身資安職位前,你需要了解清楚自己所保護的是公司內那一部份的 IT 設備!為甚麼呢?事關即使是 IT 的資安職位,亦可細分為多個不同類別,舉例來說有針對電郵的安全防禦、網絡安全、內部資料安全、電腦法證、網站安全、編程安全等等,而這一切都各自擁有其專業的知識。例如你懂得網絡安全,但電腦法證對採集證據的要求,其所重視的地方便明顯與一般的 IT 資安不一樣。
除了解希望從事的職位所需要保護的 IT 設備外,其實在應徵資安相關職位時,你亦應該了解僱主所擔心的是甚麼。一般來說,由於負責資安的 IT 職位會需要經常接觸不同部門,所以僱主多會希望該應徵者能懂得向非 IT 員工解釋資安事宜,亦即是說需要一定的耐心及溝通技巧;同時由於網絡攻擊,尤其是針對性的網絡攻擊,在攻擊前駭客很多時都會抽絲剝繭,並在業務流程之中找出漏洞來進行攻擊,因此很多時僱主亦會希望從事資安的 IT 員工能非常了解企業之中的各種流程,以便於日後的工作;當然啦!僱主通常都會希望員工能本身擁有基本的 IT 工作經驗。
工作經驗之外,學歷亦十分重要!不過有一部份從事 IT 工作的其實早已擁有相關學位,因此要突圍而出,除了大學的學位之外,你亦應擁有一些專業的認證,例如是 CIFI(Certified Information Forensics Investigator)又或者是 CISSP(Certified Information Systems Security Professional)等。
IT 職業屬於專業範疇,要令自己保持競爭優勢,不斷持續學習是必須的!只有不斷學習,充實自己,才可望能突圍而出,爭取到理想的 IT 職位及待遇。
鳴謝:Lapcom