決定你的信息安全職業(yè)生涯能否前進的一個核心因素是：你能否進行額外的事業(yè)投資，從而進一步增加自己的工作經(jīng)驗。事業(yè)投資可以是外在的培訓、教育、資格認證，以及其他在職業(yè)方面可以做出的努力（比如參加會議、加入某些專業(yè)組織、成為其會員）。在參加這些活動的過程中，你可以提高自己的技能、自己的專業(yè)水平。信息安全人員的技能表的構成很復雜，包括廣泛的技術技能、各種各樣的業(yè)務需求，因此事業(yè)投資的模式如果保持一致，將對個人品牌、職業(yè)優(yōu)勢的凸現(xiàn)、事業(yè)加速都起到關鍵性的影響。

然而，選擇與自己的事業(yè)目標最吻合、獲益最大的事業(yè)投資往往有太多的困難和迷惑。例如，有人認為，如果想在信息安全領域處于領導者位置的話，就應該取得CISSP、CISM或SANS這樣的認證。可是，時下取得這些信息安全方面認證的人士太多了，所以有人又提出，對那些要想擔任首席安全執(zhí)行官的人來說，拿一個高學歷（例如MBA），或者參加管理培訓將更加有效，更能讓他們脫穎而出。

事實上情況可能更復雜，因為信息安全人士還要考慮到每種事業(yè)投資對他們自身品牌的影響。對與自己的長期事業(yè)目標相違背的方面進行事業(yè)投資會讓未來的雇主大為不解。舉個例子，在技術領域取得了博士學位的員工，卻去應聘企業(yè)監(jiān)管、風險和規(guī)則遵從（GRC）的管理職位。因為考慮到專業(yè)相關性的問題，一個法律專業(yè)的人去應聘GRC職位才顯得更為合理。

你一定要謹記，所有的事業(yè)投資都要在簡歷上體現(xiàn)出來。另外，在尋找工作時，你要把你去取得那些認證的理由向雇主說明。

在就事業(yè)投資的策略和選擇方面進行思考時，我們總結出了三條指導方針，希望能對你的信息安全職業(yè)生涯事業(yè)投資提供一些借鑒。

規(guī)則1：所有的事業(yè)投資都是有價值的，問題是時間和金錢都被很好的利用了嗎

無論你對投資如何選擇，進行事業(yè)投資都是個人提升的絕好方式，這個道理通俗易懂。然而，在許多時候，信息安全人士會迷戀于尋找成功的妙方（magic bullet），他們相信一次正確的事業(yè)投資會自動的將事業(yè)推向高峰。而現(xiàn)實的情況是，對事業(yè)投資回報的期待（比如一次升職或者加薪）有時候并不能如愿。一項涉獵廣泛而且匹配度良好的事業(yè)投資方式，應該能夠以贏得當前和未來雇主認可和尊重的方式，展示出你的主動性和你對自己職業(yè)發(fā)展的個人努力。

規(guī)則2：在投資之后，你能有所收獲

在對信息安全職業(yè)生涯進行投資時，許多人采取與眾人一樣的策略或者追求同樣的認證。雖然這些投資不會對你的簡歷造成什么損害，但從中獲得的收益并不大。最好的例子是目前最時興的行業(yè)資質(zhì)認證CISSP（信息系統(tǒng)安全認證專業(yè)人員）。雖然CISSP的價值、公認度，以及通過認證所需的大量知識和經(jīng)驗是不可否認的，但目前已有 70182名信息安全人士從(ISC)2處獲得認證，其中就包括CISSP認證。所以，目前去獲得CISSP并不會讓你像以前那樣可以獲得更多的從業(yè)優(yōu)勢。

而那些難以實現(xiàn)的事業(yè)投資（門檻較高、完成目標所需的決心極大）具有的價值往往更大一些，也能更有效地提升個人品牌。最好的例子就是從頂級培訓計劃，或常春藤大學獲得MBA學位。通常情況下，商界最看重MBA。因此，擁有了MBA學位能夠廣泛的獲得商界和科技界領導者的認同與尊重。

如果追求高學歷的成本和時間代價無法忍受，那么你可以到當?shù)氐拇髮W去學習領導者培訓課程或者上研討班。當然，這些對你的事業(yè)可以產(chǎn)生的影響并不會像高學歷那樣大，但它的實際價值不容小覷。

規(guī)則3：如果自己不對自己的事業(yè)進行投資，不要期盼他人會為你投資

多年來，在信息安全人士里盛行著這樣的觀點：雇主有責任為職員的事業(yè)投資提供必要的資源。如果遇到一位理解培訓和資格認證價值的雇主，那將會對你的職業(yè)生涯帶來益處，這一點是顯而易見的。問題是，你個人的職業(yè)期望與雇主所認為的你的職業(yè)發(fā)展之路不一定吻合。雇主往往會選擇一項針對特定供應商安全技術的培訓，但這種情況下，你的視野就被局限了，你無法獲得更廣泛和更有效的安全理念。鑒于目前整體的經(jīng)濟環(huán)境，以及不斷變化的業(yè)務重心，一些職員可能根本得不到培訓。

讓你的雇主為你的職業(yè)發(fā)展指明方向并支付費用，實質(zhì)上你已經(jīng)部分交出了自己的職業(yè)生涯控制權。就像人們?yōu)榱送诵蒺B(yǎng)老而進行儲蓄一樣，請你每年都拿出工資的一部分來作為職業(yè)發(fā)展的預算，這可以讓你更好的制定和執(zhí)行事業(yè)投資的策略。這樣，你就可以制定出長期的、有規(guī)律的策略，從而有效地去實現(xiàn)自己的職業(yè)生涯目標。

在未來，一個執(zhí)行效果良好的事業(yè)投資策略將會更為重要。企業(yè)會依據(jù)那些讓人脫穎而出的條件去選取自己的信息安全領導人。選取與自己的事業(yè)目標、簡歷、專業(yè)目標和個人期望一致的事業(yè)發(fā)展策略，然后去執(zhí)行它，這是極為重要的。盡管事情充滿變數(shù)，但是用適當?shù)闹笇Х结樔κ聵I(yè)投資進行選擇，在未來的信息安全就業(yè)市場上你將處于不敗之地。

【編輯推薦】

1. 淺談信息安全管理體系如何有效實施
2. RSA2010 信息安全國際論壇主題演講嘉賓
3. 消除更新恐懼癥 從細節(jié)保護企業(yè)信息安全
4. 信息安全服務——實現(xiàn)業(yè)務高效的必經(jīng)之路