征文- 顾伟：一个信息安全从业者的自我修养

一个信息安全从业者的自我修养

文 | 顾伟

顾伟

信息安全官

安进生物技术

目前担任世界500强生物制药公司信息安全官，负责公司日本及亚太地区所有业务部门相关联的信息安全、风险管理和合规隐私工作。曾参入亚太各国家和地区的隐私法汉化工作，包括香港、台湾、日本、澳大利亚、新加坡等，并于2018年入选IAPP亚太咨询董事会成员。

乍一看到这个题目，一个人的安全，笔者马上又思绪万千，仿佛回到了10多年前，自己亲身单打独斗在信息安全第一线的经历。

单从狭义的解释上来说，一个人的安全就是指一个人单挑整个企业或者组织机构的安全管理或技术角色。当然这并非易事。但是信息安全行业就是这么一个非常特别，如此不一般的行业。只有身在其中，才能体会到做到一个人的安全绝非易事，甚至可以说是一项不可能完成的任务。Mission impossible！

笔者不是一个非常喜欢网红和新鲜事物的人，但是最近又重温了一遍周星驰，星爷的《喜剧之王》，不仅仅身心得到放松，并且还偶有所得，特此撰写此文，以飨读者。演员需要自我修养的提升，提升演技和夯实感情来表演好的作品。而信息安全从业人员做到一个人的安全非但不一定要承受不可能完成的任务赋予的巨大压力，更有可能的是无限接近这一终极目标的自我修养和提升。

.来自安在00:0003:00

首先来看一下，信息安全从业人员自我修养提升的几个领域。

首先，业务敏锐度，也就是我们常说的business sense。业务敏锐度之于销售和业务就是谋生的必备技能。而长久以来对于信息安全从业人员来说却是完全陌生的领域。何为业务敏锐度，其实按照定义来说，企业就是谋求利润的经营实体，为了利益最大化，全心全力耕耘与业务的发展，也是无可厚非。但是随着信息技术和商业模式的不断进化，完全脱离业务的支撑模式已经是硕果仅存，注定要被时代淘汰。不管是前端业务的第一线，还是后端的支撑部门都需要接触业务，了解业务，学习业务，精通业务。所谓的“接触度”就由此而来。

信息安全从业者从踏入一个行业，一个商业领域开始，就需要大力扩展自己的视野，增大接触面，挖深接触度。而接触度，就是你和业务部门取得信任的基石，而信任来自你和业务部门频繁的沟通和交流。举个例子，在医药公司，信息系统支撑的是销售和医生的直面沟通，但是其中的数据流转途径和相关的数据收集，保存，接入，销毁的生命周期就是信息安全从业人员可以进行以点触面的突破口。

所谓一通百通，业务逻辑和商务思维不是信息技术人员，或者信息安全从业人员不可逾越的鸿沟。我们要更主动，积极地扩大，延伸，并行技术和业务的交集，以扩大接触度为目标。因此和销售恳谈，交流不仅可以抓住他们的业务场景，也可以将信息流转的生命周期描绘出来，所谓的信任来源自理解，理解来自接触，不要把你们禁锢在技术的牢笼里。

信息安全从业者不乏智勇美善兼备的人中龙凤。我们要打开心胸，扩展事业，不以物喜，不以己悲，要做到先业务之忧而忧，后业务之乐而乐。这样的话，即便你一个人单打独斗，身边必定会有伙伴挺身而出，得道多助力。所谓的，开眼看世界，rule No.1!

其次，锻炼自己逻辑和语言的表达能力，来打造沟通的桥头堡，这点对于做纯技术的信息安全从业人员来说，是一个非常难的领域和技能。逻辑在于，清晰地分析和判断一切可能没有疑问的情景，语言表达是帮助你沟通困难和成果的唯一途径。成功的人的方式多样，失败的原因基本只有一个，大家不知道你在干嘛。

对于我们信息安全从业者来说，这是亟待解决的一大痛点。怎么破？我的经验是，脸皮厚，照镜子，听演讲，勤表达! 脸皮厚：不要把自己当作个人物，小人物上台，下面的人不能关注你。内心要平和，把自己的位置放低，不管是待人接物，还是与人沟通，都不要怕说错。

照镜子：指的是不管在任何场合和对话，都要参考自己最舒服的样子去做，不急不燥，把自己最好的形象投射在镜面上多观察。

听演讲：但凡逻辑比较好，思路清晰的专业人才，都是口才了得的，因此平时多累积素材，多听演讲，多思辨可以通达思路，贯穿言行。最后一个勤表达，所谓不积跬步无以至千里，不多说话怎么让人懂你。

语言的魅力在于不同的表达语气，重音都会让别人的理解产生偏差。而逻辑思维和善于沟通的人可以帮助你克服这些弱点，抓住事物的本质。信息安全的核心是保证业务在适度的安全状态下良性运行，而适度的安全更多的是理解外部合规，内部政策，企业文化，人才技术能力等多个维度。而这些信息的收集和辨别，需要沟通的搭建和让他们成功的持续下去。

即便你是一个人奋战在信息安全的岗位，如果你有足够强大思辨和沟通的能力，不会把你逼入死胡同，反而会化繁为简，因地制宜。《演员的自我修养》一书中曾经提到，如果你想和别人交流你的思想和情感，你必须提供一些自己亲身经历过的东西。在一般情况下，生活本身就可以提供这些素材。这种用来交流的素材是随着周围情境自然而然在我们心里产生的。沟通的素材在于工作和生活的累积。所谓，练嘴练逻辑，rule No.2!

最后，扩展信息安全知识领域多样化，挖掘自己的潜力。据数据调查，25.9%的信息安全从业人员在技术职称序列上没有清晰的归属，信息安全领域细分方向众多，技术快速更新，目前尚没有形成一个能够囊括职业全频谱类别、覆盖完整的职业生命周期，以及被业界普遍认可的职业发展路线图。

一个人的信息安全，说小就是一个人干信息安全领域细分领域的多个方向，除去企业资源不够，对于个人能力依赖过高，或者不愿意投入资源，来压榨信息安全从业者之外，好处是，你可以尝试不同的技能树和拓展安全跨领域的能力。

专才是专精于某一个象限的特定专家，有这种能力的人寥寥无几，就好像独孤求败，难免孤独。全才是全面接触，渗透各个细分领域的思路。虽然不可能样样精通，也可能样样不精通，但是跨学科领域，技术，管理和流程的整合，有大多人可以参考的成功案例！

《演员的自我修养》中提到，没有小角色，只有小演员。小的角色在组织中微不足道，但是不能把自己当作小角色，演员和信息安全从业者一样是职业。演员有专业的行业奖项，奥斯卡，金马，金鸡奖。信息安全从业者有自己领域的神圣，RSA，黑帽子，(ISC) ISLA。从不当自己是小角色，扩大信息安全细分领域的融入，可以给你带来非一般的视角和领域。

信息安全交叉学科，项目管理，隐私保护，心理学和社交人文，无一不重要，各个很前沿。就好像《喜剧之王》星爷的附体技能一样，我们要演什么像什么。演技好到让人以为是被鬼上身了，是演员一项重要的自我修养。我们需要在每个领域都能做到天衣无缝，甚至将潜意识带入创作性工作。这需要我们必须让潜意识在本质上处于最本真的状态，尽我所能投入其中。当我们的潜意识和直觉真的出现，那才是学什么像什么。所谓，斗转星移，rule No.3!

洋洋洒洒写了这么一篇自己理解的一个人的安全，不是吐槽，不是讽刺，不是歌颂，不是说教！只是希望多几个信息安全从业者得到信心和鼓励，多淬炼勤学习，有待一天，金麟不是池中物，一遇风云便化龙！

注：按照安在征文规则，本文获得稿费1000元，此外，本文自动获得月奖评选资格，并可能赢得2000元额外奖励。稿费发放待月奖公布后统一办理，相关个税本人承担。