在我写这篇文章时，我已经有17年的经验，以从从业者的角度看待了网络安全领域的方方面面。简而言之，这是一次过山车般的经历。

因此，我决定整理出25个深刻的教训，这些教训可能会重新塑造你对待自己的职业和这个领域的方式。

1.网络安全预算比任何合规性检查表更好地反映了公司的风险承受度。

2.如果你不知道公司如何盈利，你就不知道如何真正保护它。

3.大多数公司不是为了安全而支付费用，他们是为了避免罚款。

4.在商业舞台中，网络安全只是一个配角，而非主角。

5.尽管人们可能对管理、风险和合规性（GRC）职能不满，但它们是网络安全交响乐团的指挥者。

6.并没有人才短缺，招聘方缺乏想象力。

7.网络安全的10%是技术，90%是外交。

8.网络安全容易做不好，也很难做好。参考上面内容。

9.你需要一份工作来积累经验，但你需要经验来找到工作。欢迎来到网络安全领域。

10.这个行业因零日漏洞而失眠，但它其实应该因忽略补丁和基本的响应流程而寝食难安。

11.关键不在于你知道什么，而在于谁知道你以及你能为他们做什么。

12.证书可以帮助你通过人力资源部门，而经验可以帮助你度过一生。将两者结合起来，使其成为你的优势。

13.网络安全学位并没有消失；它们只是在不断发展，招聘经理也在不断进步。

14.没有经验的证书就像一把没有刃口的刀子。

15.网络安全领域的精英主义只是一种戴着不同面具的不安全感。

16.爬升职业梯子的最快方式是从一家公司跳到另一家公司的不同职位。

17.网络安全会议更适合与同事交流和结交新朋友，而不是采购新技术。

18.在你的计划中有太多网络安全供应商可能就像吃太多快餐——在短期内方便，但长期缺乏营养价值。

19.安全意识培训就像系上安全带一样——它不能防止所有事故，但在事故中显著提高了你的生存机率。

20.网络安全领域的工作稳定性与你要应对的威胁一样不稳定。

21.作为安全专业人员说“不”很容易；将安全与业务支持对齐很难。

22.回声壁是真实存在的；批判性思维是你唯一的防御。

23.一个安全产品中的流行词越多，解决你问题的可能性就越小。

24.网络安全不是IT问题；它是一个假装是IT问题的业务问题。

25.最好的风险评估工具是对话，而不是电子表格。

要点总结

• 你的网络安全预算和对业务模型的理解，是真正衡量风险和影响的标志。

• 在网络安全领域的职业发展是一种复杂的舞蹈，涉及到社交网络、真实世界的经验和正式的证书。

• 这个行业的文化、态度和亚文化往往是一把双刃剑，既能促进也能限制。

希望这对你在网络安全领域探索的过程中有所帮助。

作者简介

Mike Privette

白天是一名安全从业人员，晚上/周末则是一名作家、创作者和风险投资顾问。

---

原文链接：

https://www.returnonsecurity.com/p/25-cybersecurity-industry-truths

往期回顾

反欺诈｜15个厂商竞争格局的新变化

Zenity，保障无代码/低代码应用安全

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

原文始发于微信公众号（安全喵喵站）：17年网安职业生涯中的25个深刻教训