通往安全架构师的路有很多条,但首先对IT基础设施和数据保护的激情,是这条道路的必备动力之一。
安全架构师是负责维护企业计算机系统安全的人,因此还必须具备黑客思维,能够预测攻击者非授权访问公司系统会采用的战术。处在安全架构师位置上的任何人,都有必须加班的时候,而且要随时跟进最新安全威胁和可用工具。有时候,最终走上这个岗位的人,在他们年轻时并没有预见过这么一个职业方向。
杰罗德·布伦南,90年代考入俄亥俄州首都大学这所小型文理学院的时候,他是想成为电影工业中的一名作曲家的。
当时,计算机音乐是一门新兴产业,于是他修了计算机科学和作曲双学位。因为不喜欢某些技术类课程,他很快就放弃了计算机科学专业,专攻音乐教育学位。
布伦南说:“直到大四音乐教学实习时,我才发现在公立学校教书也不是我的菜。毕业后一段时间里我不断跳槽,但恋爱结婚开始组建家庭时,我决定重拾我对技术和计算机的热爱,尝试看看有没有可能在这方面闯出一条路。结果表明,只要愿意深入,愿意从基础开始,你会得到自己的机会。”
1999-2000年在“租电脑( Rent-a-Computer)”公司当硬件技师时,布伦南的工作就是组装计算机,设置系统,为培训课程设置局域网。
然后他到了史特林商务公司客服中心做解决方案支持专家,先是兼职接活儿,后来就全职了。他的工作是为史特林的电子数据交换客户提供软件支持。
2001年布伦南加入了美国电力公司(AEP),工作一段时间后以UNIX经验竞聘上了信息安全职位,并在AEP工作期间获得了CISSP(信息系统安全师)认证。
2006年,大好机会降临。美国潮牌 Abercrombie & Fitch 新设置了信息安全经理的职位,而布伦南接到了招聘人员的电话,成功应聘。
“
即使我在AEP做全职信息安全工作,我还是感觉受到了限制,我想要做到更多。
A&F需要招人创建信息安全项目,支持其支付卡行业合规工作。
布伦南说:“我没有管理经验,没有支付卡安全经验,没有零售经验。但我仍然接下了挑战。”接下来的4年,他在A&F一点点将安全项目建设了起来。
最初的时候,他既没有预算也没有人手,只有时间、管理权限和随便什么免费或开源的工具。“我花了几个月时间学习各种项目,采用每个我能用的安全工具。没过多久需要我处理的事务就超出了我独自承担的能力。”
不过,布伦南还是展现了他的价值,并成功将团队扩充到了受到全公司20名代表支持的4人小队。该团队部署了一个符合公司运营模型的安全框架。
“
这是真正有所回报的时候。到我在A&F任职的最后阶段,我们支持着12个企业级安全工具,其中包括一个有全球用户群的健壮身份和访问管理实现。我们负责内部审计和外部合规,最重要的是,我们保护着数以万计的员工及客户的个人信息——虽然他们可能根本不知道我们的存在。
此后,布伦南又担任过其他的职务,包括在风险管理公司Jacadis担任CTO兼首席安全顾问,在俄亥俄州立大学(OSU)做副主任。
在Jacadis,布伦南帮助客户确定和实现安全控制,进行风险评估和安全项目审查。“我负责的项目跨度很广,从中小企业和非营利组织的IT接管,到大型联邦客户的应用源代码安全审查。但最让我有成就感的部分,是我能用自己的企业经验,帮助我们的客户建立他们自己的安全项目。”
在OSU,布伦南创建并管理着一个风险管理项目。自此,他在2017年2月,拿下了 GBQ Partners 安全架构师职位,并从事至今。GBQ是一家会计师事务所,在6个城市提供审计、税务和顾问服务。
“
虽然我热爱自己在OSU所做的风险管理工作,跳槽的决定依然下得简单。我又回到了能帮助客户的安全服务构建工作上,我回归了架构。
在Jacadis工作期间,布伦南开发了一个安全框架,让企业摆脱了成百上千的具体控制措施实现,可以专注在基本的封锁和处理上。“我在GBQ的目标,就是向更多的公司推介该框架,帮助他们构建坚实的信息安全基础。”
更重要的是,布伦南想要帮助客户打造出能让他们回归核心业务的信息安全项目,无论他们各自的核心业务是什么。
另一位安全架构师,杰里·马吉尼斯,同样是半路出家。马吉尼斯在美国普渡大学主修统计和市场研究,获得了工业管理学士学位,曾希望找个市场研究方面的工作。
他毕业后就职的第一家公司是广告公司麦肯全球,在那里他担任过多种职务,包括消费者研究副主管、客户经理、管理信息系统部经理、通讯主管、电信主管和全球电信总监。
他在1998年离开了那家公司,加入路易斯维尔电气公司当技术顾问。随后,马吉尼斯转投医疗保健公司金德雷德,开始第一份安全相关工作——高级安全分析师。
2005年,他加入了宝马汽车金融服务公司,作为高级应用安全架构师。然后,与A&F签约5年,做了布伦南的同事,同样从事安全架构师工作。
2010年,马吉尼斯加入卡地纳健康集团,当了3年高级安全架构师。2013年至今,作为IT安全架构师,他一直在居家安全产品公司 ADT Security Services 工作。
“
我在每份工作上的经历拓展了我的能力,为我迎来了下一份工作的机会。我敦促自己学习工作任务之外的知识,丰富和增强自己的职业技能。我看很多书,参与具体工作以理解客户每天经历的事,还报了各种认证培训班。
马吉尼斯的信息安全职业道路发展不错,一直都是招聘人员的延揽对象。“我从未失业过。我也决意不放过任何一次能提升我职业发展的面试机会。”
每家公司都有马吉尼斯不熟悉的技术,所以他报名了厂商培训课程,阅读所有的文档材料。“CISSP是安全领域硬杠杠。我很高兴自己在2001年取得了这个认证。随后几年中它为我打开了多扇大门。”
上一篇:网络安全入门大纲