专栏首页网站漏洞修补网站安全 渗透测试就业多个问题解答
原创

网站安全 渗透测试就业多个问题解答

近期有许多网站渗透测试安全防护从业人员向我咨询就业角度疑问,去甲方公司做安全防护好或者去乙方客户企业做安全防护好,特别是应届毕业生或工作中1到3年的安全防护从业人员。事实上这也是一个不是很好解答的疑问,是因为牵涉的各种因素很多,每一个人的情况也各有不同。但是之所以能够 有那么多的人问,更多的是体现了大伙儿对甲方安全防护企业工作和乙方客户企业工作的未知之数,不清楚哪个更合适自个,更多方面的思想观念将会是对本身职业生涯发展的不确定性。

我毕业后直接进入鹰盾信息安全工作中,3年之后加入甲方公司始终工作中到现如今。我能够 跟大伙儿讲一讲甲方公司做安全防护和乙方做安全防护的区别,正如安全行业是经常动态变化的一样,甲乙方的工作中和发展也是变化趋势的,仅限于个人视角,仅供参考。事实上甲方公司和乙方的主要区别是你的职业人物角色不一样。在乙方你是盈利人员(可为企业带来直接盈利),在甲方公司你是后台管理技术人员(不对企业带来直接盈利,但是保障企业的安全防护或合规管理建设、避免隐患、确保企业网络安全运行)。人物角色的不一样代表你的工作环境、抗压强度、薪酬、发展和升职空间的较大区别。

一、渗透测试行业升职疑问分析

安全防护岗在甲方公司升职是极为难的,难在企业无需一个安全防护负责人或一个CISO。说明一下,工作岗位的升职是跟企业的发展挂钩的,企业不注重安全或安全防护的工作岗位不能给企业带来实际盈利价值,那么只还需要有一名安全工程师就足够了。乙方的升职比较快一些,是因为售前服务项目还需要TeamLeader、售后服务还需要、服务项目精英团队还需要、营销团队也还需要,简而言之就是说有安全管理岗位的需求。顺带延伸一个方面,招聘的时候,竞选人的职责规划大多数是往工作管理角度发展,极为少的人会往技术路线发展。事实上走技术路线不屑于工作管理路线差,你可以转变成一个企业某一行业的咨询顾问或权威专家,那么你的知名度、认知度也是其他工作岗位比不上的。

许多人会有疑问,为什么那么多甲方公司都有安全防护负责人高层领导。所以跟大伙儿聊下,转变成安全防护高层领导的切入口:

1.让安全防护引领企业产品或涉及到业务。换句话说安全防护不是保障企业网络安全,而是走在前边,转变成企业产品的特性和主推核心卖点。企业某款企业产品的竞争条件就是说安全防护,竞争者的企业产品安全性就是说比不过大家的,那么你就能够 取得成功升职安全防护负责人或CISO。这还需要非常强的整体能力,还需要熟悉企业的涉及到业务、企业产品特性、充分调动资源的能力、真的能把企业产品打造的非常安全稳定,别人找不到漏洞或竞争者在安全防护上防不住攻击。不然如果爆出一个漏洞,头条新闻就是说“某企业以安全防护著称的企业产品爆出匿名登录漏洞”,你的负责人和CISO也就再见了。

2.让安全防护技术部门转变成盈利部门。简而言之就是说安全部门能够自个挣钱,比如对外部客户提供安全扫描、渗透测试、安全评估咨询服务。能够给经销商、同行、服务供应商提供类似服务项目,假如每一年安全防护的效益收入是50万或100万甚至千万,那大家部门的地位就不一样了。安全防护就成了企业相关业务发展方向,企业就得需要安全防护高层领导,你就能够上了。

3.安全标准合规管理要求。合规管理要求必须有安全防护负责人,有安全防护精英团队,那么就还需要相匹配的安全防护管理层。

4.安全防护绩效的展现。如能要展现安全防护的实际价值,或让安全防护实际价值可视化效果,一定要建立可测量的安全计划,比如每一年的安全事件不超出3起,攻击恶性事件不超出6起,数据信息泄露不超出1起,勒索者病毒0起等。这样到年终工作总结的时候,进行批量的汇报,领导层和企业才能思想观念到原来安全部门做了那么多为公司获取稳定利益的事情,阻挡了多少隐患,为企业提供了多少安全防护的效果。安全防护绩效高,需要感程度高,就有机会升职。

额外补充一点心理区别。许多 在乙方工作中的人会羡慕嫉妒在甲方公司工作中的人,感觉在甲方公司工作中有自豪感,是因为能够 找乙方做服务项目。但是换一个角度看待,实质就是说一个有需求一个有实施方案,一个掏钱一个出力,心态放平衡就好。

不清楚上述内容对大伙儿是否有帮助,安全防护是日常变化的,选择也是日常变化的,每一个人在不一样的阶段会有不一样的看法或选择,该去甲方公司或乙方,会始终是个疑问,我希望大家都能有最合适自个的选择,如果对安全渗透测试行业有需求想要测试公司网站安全性或APP安全性的朋友可以去SINESAFE和鹰盾安全或启明星辰这几家专业的安全公司

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 公司网站被百度网址安全中心 警告 该怎么取消拦截

    今天早晨一上班,习惯性的打开我们公司的网站,发现公司网站竟然跳转到了赌博、彩票网站上去了,我还奇了怪了,于是去百度搜索我们公司网站,发现网站在百度搜索出现:“百...

    技术分享达人
  • 网站快照被劫持 快速恢复快照的解决办法

    哥们的网站流量突然下降的很厉害,从原先一天500左右的IP,直接下降到80左右的IP,让我帮忙看看,网站到底哪里出了问题,首先我用百度的site:下网站的收录量...

    技术分享达人
  • 网络安全防护行业最酷工作前20排名出炉

    未来几年,信息安全是IT市场为数不多的能够保持20%以上高增长率,35岁不会裁员的潜力股,对各个领域的资本和人才极具吸引力。然而,信息安全人才市场的人才短缺仍在...

    技术分享达人
  • IT技术人员对于网站漏洞渗透测试公司 如何去选择

    近期有许多网站渗透测试安全防护从业人员向我咨询就业角度疑问,去甲方公司做安全防护好或者去乙方客户企业做安全防护好,特别是应届毕业生或工作中1到3年的安全防护从业...

    网站安全专家
  • 企业安全建设进阶实战

    安全是个“无底洞”,没有一个企业的安全负责人会说自己的系统是百分百安全的,安全也不是特别好衡量和量化,尤其是定量地评估出谁比谁做得好、好多少。有时候也会反思,或...

    宜信技术学院
  • 如何做一个好的安全运营工程师

    年底了给自己放个假,跑到了北极圈来吹冷空气,同时希望自己运气能够好一点看到高端版“光污染”,虽然人放假了,但是对于安全的思考不能停下。

    信安之路
  • 【连载】2016年中国网络空间安全年报(十)

    2016年中国网络空间安全年报 第二章 新型的安全防护思路与保障实践 报告在第一章中分析了目前在互联网空间中存在的典型风险、各类攻击、病毒传播等安全威胁以及趋势...

    安恒信息
  • 宜信SDL实践:产品经理如何驱动产品安全建设

    本文从产品经理的角度出发,对产品经理的安全职责、产品驱动安全的内涵、工作内容、工作方法、所需安全资源、以及产品经理的安全工作量进行了分析。希望所有产品经理在没有...

    宜信技术学院
  • 在腾讯云+未来安全论坛,听赵伟、TK、Killer讲段子是什么体验?

    又到一年一度的腾讯云+未来峰会,笔者有幸受邀参加安全论坛,来广州听赵伟、TK、Killer等顶尖大佬同场PK。都说羊城热情似火,本人作证此言非虚,一下飞机就被3...

    FB客服
  • 从SDLC到DevOps下的广义应用安全管控体系

    17年起,我们引入建立了适合内部研发的SDLC流程,在传统的研发模式下,一个需求从意向拆分到用户故事,再到开发子任务,一次迭代大多都要经过2周以上的时间。经过重...

    FB客服

扫码关注云+社区

领取腾讯云代金券