決定你的信息安全職業(yè)生涯能否前進(jìn)的一個(gè)核心因素是：你能否進(jìn)行額外的事業(yè)投資，從而進(jìn)一步增加自己的工作經(jīng)驗(yàn)。事業(yè)投資可以是外在的培訓(xùn)、教育、資格認(rèn)證，以及其他在職業(yè)方面可以做出的努力（比如參加會(huì)議、加入某些專業(yè)組織、成為其會(huì)員）。在參加這些活動(dòng)的過程中，你可以提高自己的技能、自己的專業(yè)水平。信息安全人員的技能表的構(gòu)成很復(fù)雜，包括廣泛的技術(shù)技能、各種各樣的業(yè)務(wù)需求，因此事業(yè)投資的模式如果保持一致，將對個(gè)人品牌、職業(yè)優(yōu)勢的凸現(xiàn)、事業(yè)加速都起到關(guān)鍵性的影響。

然而，選擇與自己的事業(yè)目標(biāo)最吻合、獲益最大的事業(yè)投資往往有太多的困難和迷惑。例如，有人認(rèn)為，如果想在信息安全領(lǐng)域處于領(lǐng)導(dǎo)者位置的話，就應(yīng)該取得CISSP、CISM或SANS這樣的認(rèn)證。可是，時(shí)下取得這些信息安全方面認(rèn)證的人士太多了，所以有人又提出，對那些要想擔(dān)任首席安全執(zhí)行官的人來說，拿一個(gè)高學(xué)歷（例如MBA），或者參加管理培訓(xùn)將更加有效，更能讓他們脫穎而出。

事實(shí)上情況可能更復(fù)雜，因?yàn)樾畔踩耸窟€要考慮到每種事業(yè)投資對他們自身品牌的影響。對與自己的長期事業(yè)目標(biāo)相違背的方面進(jìn)行事業(yè)投資會(huì)讓未來的雇主大為不解。舉個(gè)例子，在技術(shù)領(lǐng)域取得了博士學(xué)位的員工，卻去應(yīng)聘企業(yè)監(jiān)管、風(fēng)險(xiǎn)和規(guī)則遵從（GRC）的管理職位。因?yàn)榭紤]到專業(yè)相關(guān)性的問題，一個(gè)法律專業(yè)的人去應(yīng)聘GRC職位才顯得更為合理。

你一定要謹(jǐn)記，所有的事業(yè)投資都要在簡歷上體現(xiàn)出來。另外，在尋找工作時(shí)，你要把你去取得那些認(rèn)證的理由向雇主說明。

在就事業(yè)投資的策略和選擇方面進(jìn)行思考時(shí)，我們總結(jié)出了三條指導(dǎo)方針，希望能對你的信息安全職業(yè)生涯事業(yè)投資提供一些借鑒。

規(guī)則1：所有的事業(yè)投資都是有價(jià)值的，問題是時(shí)間和金錢都被很好的利用了嗎

無論你對投資如何選擇，進(jìn)行事業(yè)投資都是個(gè)人提升的絕好方式，這個(gè)道理通俗易懂。然而，在許多時(shí)候，信息安全人士會(huì)迷戀于尋找成功的妙方（magic bullet），他們相信一次正確的事業(yè)投資會(huì)自動(dòng)的將事業(yè)推向高峰。而現(xiàn)實(shí)的情況是，對事業(yè)投資回報(bào)的期待（比如一次升職或者加薪）有時(shí)候并不能如愿。一項(xiàng)涉獵廣泛而且匹配度良好的事業(yè)投資方式，應(yīng)該能夠以贏得當(dāng)前和未來雇主認(rèn)可和尊重的方式，展示出你的主動(dòng)性和你對自己職業(yè)發(fā)展的個(gè)人努力。

規(guī)則2：在投資之后，你能有所收獲

在對信息安全職業(yè)生涯進(jìn)行投資時(shí)，許多人采取與眾人一樣的策略或者追求同樣的認(rèn)證。雖然這些投資不會(huì)對你的簡歷造成什么損害，但從中獲得的收益并不大。最好的例子是目前最時(shí)興的行業(yè)資質(zhì)認(rèn)證CISSP（信息系統(tǒng)安全認(rèn)證專業(yè)人員）。雖然CISSP的價(jià)值、公認(rèn)度，以及通過認(rèn)證所需的大量知識(shí)和經(jīng)驗(yàn)是不可否認(rèn)的，但目前已有 70182名信息安全人士從(ISC)2處獲得認(rèn)證，其中就包括CISSP認(rèn)證。所以，目前去獲得CISSP并不會(huì)讓你像以前那樣可以獲得更多的從業(yè)優(yōu)勢。

而那些難以實(shí)現(xiàn)的事業(yè)投資（門檻較高、完成目標(biāo)所需的決心極大）具有的價(jià)值往往更大一些，也能更有效地提升個(gè)人品牌。最好的例子就是從頂級(jí)培訓(xùn)計(jì)劃，或常春藤大學(xué)獲得MBA學(xué)位。通常情況下，商界最看重MBA。因此，擁有了MBA學(xué)位能夠廣泛的獲得商界和科技界領(lǐng)導(dǎo)者的認(rèn)同與尊重。

如果追求高學(xué)歷的成本和時(shí)間代價(jià)無法忍受，那么你可以到當(dāng)?shù)氐拇髮W(xué)去學(xué)習(xí)領(lǐng)導(dǎo)者培訓(xùn)課程或者上研討班。當(dāng)然，這些對你的事業(yè)可以產(chǎn)生的影響并不會(huì)像高學(xué)歷那樣大，但它的實(shí)際價(jià)值不容小覷。

規(guī)則3：如果自己不對自己的事業(yè)進(jìn)行投資，不要期盼他人會(huì)為你投資

多年來，在信息安全人士里盛行著這樣的觀點(diǎn)：雇主有責(zé)任為職員的事業(yè)投資提供必要的資源。如果遇到一位理解培訓(xùn)和資格認(rèn)證價(jià)值的雇主，那將會(huì)對你的職業(yè)生涯帶來益處，這一點(diǎn)是顯而易見的。問題是，你個(gè)人的職業(yè)期望與雇主所認(rèn)為的你的職業(yè)發(fā)展之路不一定吻合。雇主往往會(huì)選擇一項(xiàng)針對特定供應(yīng)商安全技術(shù)的培訓(xùn)，但這種情況下，你的視野就被局限了，你無法獲得更廣泛和更有效的安全理念。鑒于目前整體的經(jīng)濟(jì)環(huán)境，以及不斷變化的業(yè)務(wù)重心，一些職員可能根本得不到培訓(xùn)。

讓你的雇主為你的職業(yè)發(fā)展指明方向并支付費(fèi)用，實(shí)質(zhì)上你已經(jīng)部分交出了自己的職業(yè)生涯控制權(quán)。就像人們?yōu)榱送诵蒺B(yǎng)老而進(jìn)行儲(chǔ)蓄一樣，請你每年都拿出工資的一部分來作為職業(yè)發(fā)展的預(yù)算，這可以讓你更好的制定和執(zhí)行事業(yè)投資的策略。這樣，你就可以制定出長期的、有規(guī)律的策略，從而有效地去實(shí)現(xiàn)自己的職業(yè)生涯目標(biāo)。

在未來，一個(gè)執(zhí)行效果良好的事業(yè)投資策略將會(huì)更為重要。企業(yè)會(huì)依據(jù)那些讓人脫穎而出的條件去選取自己的信息安全領(lǐng)導(dǎo)人。選取與自己的事業(yè)目標(biāo)、簡歷、專業(yè)目標(biāo)和個(gè)人期望一致的事業(yè)發(fā)展策略，然后去執(zhí)行它，這是極為重要的。盡管事情充滿變數(shù)，但是用適當(dāng)?shù)闹笇?dǎo)方針去對事業(yè)投資進(jìn)行選擇，在未來的信息安全就業(yè)市場上你將處于不敗之地。

【編輯推薦】

1. 淺談信息安全管理體系如何有效實(shí)施
2. RSA2010 信息安全國際論壇主題演講嘉賓
3. 消除更新恐懼癥 從細(xì)節(jié)保護(hù)企業(yè)信息安全
4. 信息安全服務(wù)——實(shí)現(xiàn)業(yè)務(wù)高效的必經(jīng)之路