信息安全研究所(InfoSec Institute)表示,安全架構(gòu)師是負責(zé)維護其組織內(nèi)計算機系統(tǒng)安全的人員,因此他們必須能夠像黑客一樣思考,以便預(yù)測攻擊者使用何種策略在未經(jīng)授權(quán)情況下訪問這些系統(tǒng)。
在該崗位上的所有人都偶爾需要加班工作,并且需要不斷學(xué)習(xí)最新的安全威脅知識和可用的工具。
有時候,最終從事安全架構(gòu)師職業(yè)的人,像賈羅德·布倫南(Jerod Brennen),在他們年輕時無法預(yù)測這樣的職業(yè)方向。當(dāng)布倫南在20世紀90年代開始上首都大學(xué)(Capital University)時,這是一所位于俄亥俄州的小型文理學(xué)院,他打算在電影界以作曲為職業(yè)。
當(dāng)時電子音樂是一個新興行業(yè),所以他開始選修了計算機科學(xué)/音樂寫作兩個專業(yè)。他不喜歡一些技術(shù)課程,所以他很快就放棄了計算機科學(xué)專業(yè),并專注于獲得一個音樂教育學(xué)位。
“直到我在大四時的教學(xué)經(jīng)歷,才使我意識到在公立學(xué)校教學(xué)不是我想要的,”布倫南說。 “畢業(yè)后,我在換工作上花了一點時間,但是當(dāng)我和我的妻子決定組建一個家庭時,我決定重溫一下對科技和電腦的熱愛,看看我能否以此為職業(yè)道路。結(jié)果你會發(fā)現(xiàn),如果你愿意從頭開始學(xué)習(xí)并深入研究,就可以找到你正在尋找的機會。”
在1999年至2000年期間,當(dāng)布倫南在租賃電腦公司(Rent-a-Computer)擔(dān)任硬件技術(shù)人員時,他為培訓(xùn)課程從頭開始組裝電腦,安裝系統(tǒng)和組建局域網(wǎng)絡(luò)。
接下來,他曾在斯特林商業(yè)公司(Sterling Commerce)的呼叫中心擔(dān)任技術(shù)支持專家,起初是承包商身份,然后全職工作。他的工作是為斯特林商業(yè)公司的電子數(shù)據(jù)交換客戶提供軟件支持。
2001年,布倫南加入了美國電力公司(AEP),一段時間后,公司對內(nèi)部發(fā)布了一個需要UNIX經(jīng)驗的信息安全職位,他具備UNIX經(jīng)驗,所以去應(yīng)聘了該崗位。在公司期間,他考取了信息系統(tǒng)安全認證專家(CISSP)的資質(zhì)。
2006年,當(dāng)一名招聘人員打電話通知他,美國零售商--Abercrombie&Fitch公司正在招聘信息安全職位,這對他來說是個很大的機遇,隨后他被聘為信息安全經(jīng)理。
布倫南說:“即使我在美國電力公司是全職信息安全專家,也只是個小角色。我想做更多的工作。”Abercrombie公司需要有人來建立一個信息安全計劃,以支持其支付卡行業(yè)(PCI)合規(guī)性工作。
“我沒有管理經(jīng)驗,沒有信用卡安全經(jīng)驗,也沒有零售經(jīng)驗,”布倫南說。“但是我仍然參加應(yīng)聘。”他花了四年時間從頭開始構(gòu)建安全計劃。
最初他沒有任何預(yù)算和團隊,只有時間和部分管理權(quán)限,任何免費或開源的工具,他都會拿來用。布倫南說:“我花了最初幾個月的時間來完成每一個項目,并使用了所有能用到的安全工具。但沒過多久,我的工作量已超出了我可以獨自完成的范圍。”
布倫南已表現(xiàn)出了他的價值,并且能夠?qū)F隊擴大到4名員工,這些員工得到了全公司20名代表的支持。該團隊部署了一個符合公司運營模式的安全框架。
“當(dāng)事情真的開始了,”布倫南說。“到我在那工作的最后階段,我們維護著12個企業(yè)級安全工具,包括具有全球用戶群體的強大身份和訪問管理實施。我們堅持內(nèi)部審計和外部履約義務(wù),最重要的是,我們正在保護數(shù)以萬計的員工和客戶的個人信息,他們甚至不知道我們的存在。”
之后,還擔(dān)任過其他職位,包括在風(fēng)險管理公司--Jacadis擔(dān)任首席安全顧問和首席技術(shù)官(CTO),以及在俄亥俄州立大學(xué)(OSU)擔(dān)任副主任。
在Jacadis公司,布倫南幫助客戶識別和實施安全控制措施,并進行風(fēng)險評估和安全計劃審查。他說:“我從事過小型非營利性組織的信息技術(shù)(IT)接管工作和大型聯(lián)邦客戶的應(yīng)用程序源代碼安全評估等項目。然而,真正有益的工作是,我能夠運用我的企業(yè)經(jīng)驗幫助客戶建立自己的安全計劃。”
在俄亥俄州立大學(xué)時,布倫南建立并管理了一個風(fēng)險管理計劃。之后,在2017年2月他進入GBQ會計師事務(wù)所(GBQ Partners)擔(dān)任現(xiàn)任職務(wù)安全架構(gòu)師。該組織是一家在6個城市提供審計、稅務(wù)和咨詢服務(wù)的會計師事務(wù)所。
布倫南說:“就像我喜歡在俄勒岡州立大學(xué)所做的風(fēng)險管理工作一樣,這個決定并不需要想太多。我回去構(gòu)建安全服務(wù),這將對我們的客戶有幫助。所以,我將回去做架構(gòu)建設(shè)。”
他在Jacadis公司工作期間,開發(fā)了一個安全框架,“使組織可以不必實施數(shù)百個精細化控制措施,而不是將其重點放在基本的封阻和處理工作上。”他說。“我在該事務(wù)所的目標(biāo)是讓越來越多的組織向該框架公開,并幫助他們在信息安全方面建立堅實的基礎(chǔ)。”
更重要的是,布倫南希望幫助客戶“建立信息安全計劃,無論他們的業(yè)務(wù)核心任務(wù)如何,都使他們能夠重新回到其業(yè)務(wù)的核心任務(wù)上。”
另一位安全架構(gòu)師杰里·馬金尼斯(Jerry Magginnis)在最初也沒有在這一領(lǐng)域有職業(yè)規(guī)劃。馬金尼斯在普渡大學(xué)主修統(tǒng)計學(xué)和市場研究專業(yè),獲得工業(yè)管理學(xué)士學(xué)位,并希望從事營銷研究工作。
他大學(xué)畢業(yè)后的第一家公司是廣告公司--麥肯世界集團(McCann-Erickson Worldwide),在那里從事過多個職位,包括消費者研究副總監(jiān)、客戶經(jīng)理、信息系統(tǒng)管理(MIS)經(jīng)理、通訊主管、電訊總監(jiān)和全球電訊總監(jiān)。
他于1998年離職,加入路易斯維爾天然氣與電力公司(Louisville Gas & Electric)擔(dān)任技術(shù)顧問。之后,馬金尼斯進入了金德雷德保健公司(Kindred Healthcare),在那里他首次從事與安全相關(guān)的職務(wù),擔(dān)任高級安全分析師。
2005年,他加入寶馬金融服務(wù)公司(BMW Financial Services),擔(dān)任高級應(yīng)用安全架構(gòu)師。接下來他在Abercrombie&Fitch公司工作了五年,擔(dān)任安全架構(gòu)師,并與布倫南共事。
馬金尼斯于2010年加入醫(yī)療保健公司--美國卡地納健康集團(Cardinal Health),在此工作三年擔(dān)任高級安全架構(gòu)師。在2013年,他加入了現(xiàn)在的公司,家庭安全產(chǎn)品公司--ADT Security Services,擔(dān)任信息技術(shù)安全架構(gòu)師。
馬金尼斯說:“我工作的每一個職位所獲取的知識背景,都增強我的工作能力,為我的下一個工作機會做準(zhǔn)備。我逼迫自己去學(xué)習(xí)超出我工作范圍領(lǐng)域的一些知識,以增加我的工作能力。我讀了很多書,并親自做了一些分配給我的直接下屬的工作,以了解他們每天都在做什么,同時我也參加了一些認證課程。”
一旦馬金尼斯從事的信息安全職業(yè)生涯發(fā)展地很好,他就會受到招聘人員的青睞。“我從來沒有失業(yè)過,”他說。“我也指出的是,絕對不要拒絕其他公司承諾可以提升職業(yè)生涯的工作機會。”
每個公司都有些馬金尼斯不太熟悉的技術(shù),所以他報名參加了供應(yīng)商課程并閱讀他們的所有材料。“在這一領(lǐng)域考取認證信息系統(tǒng)安全專家(CISSP)很難,很高興我在2001年拿到了這個認證,”他說。“在接下來的幾年,它為我贏得了很多工作機會。”
他的計劃是在目前的公司工作到退休。馬金尼斯說:“我已經(jīng)經(jīng)營了一個美食匹薩店,在可預(yù)見的將來,我將開一家美食餐廳,這是我的業(yè)余愛好。”