我曾和一位很要好的朋友兼同事在一个团队中工作,当时我们的团队正在努力赢得一位大客户。有一天,我们的团队要在介绍会议中向客户的高级管理人员们提出发现的所有问题,我们的组长是主要发言人,而我的朋友和我也奉命参加,时刻准备回答那些组长可能答不上来的技术问题。
会议的早期充满了敌对的气氛,组长似乎对对方的质疑有些准备不足,因此他把大把的问题推到我的朋友这边,当然也因为我的朋友能够沉着的应对问题。很快,我的朋友凭借精彩的回答受到了来自客户高层的积极关注,在接下来的几个小时里他们开始提出各种各样的问题。到这天结束的时候,谁是真正的负责人变得一目了然,每个人都觉得高兴——除了我们的组长有些郁闷。
这件事让我思考为什么我的同事能够在会议上如此成功,他怎么自然而然的成为了领袖?原因在于他拥有两个其他人没有的关键特性:他是战略思考者和问题解决者。对于IT安全管理员或任何IT工作者来说,开发并展示出这两项特性可以让你在同行中鹤立鸡群,这对于职业生涯来说是无价的财富。
1. 战略性的思考
成为卓越的计算机安全专家的道路之一是在照常修补问题的同时要进行战略性的思考。每当你发现安全问题(比如过度开放的防火墙、较弱的密码、一个过期的病毒数据库定义等等)时,首先要解决问题,但要从策略和程序方面思考这个问题出现的根本原因。用你所有的发现制定一个战略性的修订办法。从根本上认识原因,你会让自己得到管理层和技术同伴们的欢迎。
说一个简单的例子,比如你发现服务帐户的密码太短,并且从未改变过。显然,修补方法是把密码设得更长一些,并且给密码设定时间期限。但是,好的安全专家会立即意识到,密码之所以脆弱是现行密码策略的脆弱或不一致造成的。先解决当前的问题,然后要想法帮助解决战略性的问题。在这种情况下谈论更多的是解决当前问题的战术,但我们的思路应该跨越过这里。我们都知道怎样防止恶意攻击和恶意软件,但当你面对几百台计算机时问题就变得越发困难,因此要从策略入手。
继续密码的问题,不要停留刚才的服务帐户上,其他所有用户帐户的密码呢?如果你在Windows的计算机发现问题,那么在Linux和Unix下,在中端和大型机下如何处理密码?其他安全设备、路由器和SNMP主机中的密码怎样呢?
在我的职业生涯中我一直尽力这样思考,到目前为止效果还是不错的。我也看到其他人这样做,他们获得了提升和更多的薪水。有时,找到正确的策略要用到小小的研究时间,但从能够正反两面考虑问题会给高级管理层留下深刻印象。
另一方面,我们也经常看到年轻的安全管理员们可以很好的配置方案和排除故障,但却不能触及企业战略来完成更重要的事。他们的收入不错,但似乎总是碰到了上限,无法更进一步。
2. 提出解决方案
每当你提出问题的时候,总要提出一种可能的解决办法。高级管理层的生活一般是这样的:他们周围的每个人都在不停的诉说事情是怎样一团糟。我见到过一些咨询顾问骄傲地去告诉高管他们发现了多么棘手的安全问题,得到的回答往往是“告诉我怎么做,别让我去想办法!”
高管说的其实是抱怨发牢骚不能解决问题。要成为卓越的计算机安全工作人员,当你发现问题时,也要提出解决方案。这也和第一个建议有关系:你的解决方案应包括战术上和战略上的修补办法。如果你想看高级管理层的微笑,请按照这两项建议去做,那么我敢打赌在你的职业生涯中,你会看到更多的微笑。
这便是我的朋友的情况。那次介绍会议几天后,原来的组长放手让我的朋友来担任主管。公司获得了一份巨大的合同,他也得到了一次大升迁,一切都好的不能再好了——当然那个人如果是我那就更好了,呃,好像有点跑题了。