一名作曲专业毕业生的安全架构师之路

通往安全架构师的路有很多条，但首先对IT基础设施和数据保护的激情，是这条道路的必备动力之一。

安全架构师是负责维护企业计算机系统安全的人，因此还必须具备黑客思维，能够预测攻击者非授权访问公司系统会采用的战术。处在安全架构师位置上的任何人，都有必须加班的时候，而且要随时跟进最新安全威胁和可用工具。有时候，最终走上这个岗位的人，在他们年轻时并没有预见过这么一个职业方向。

杰罗德·布伦南，90年代考入俄亥俄州首都大学这所小型文理学院的时候，他是想成为电影工业中的一名作曲家的。

当时，计算机音乐是一门新兴产业，于是他修了计算机科学和作曲双学位。因为不喜欢某些技术类课程，他很快就放弃了计算机科学专业，专攻音乐教育学位。

布伦南说：“直到大四音乐教学实习时，我才发现在公立学校教书也不是我的菜。毕业后一段时间里我不断跳槽，但恋爱结婚开始组建家庭时，我决定重拾我对技术和计算机的热爱，尝试看看有没有可能在这方面闯出一条路。结果表明，只要愿意深入，愿意从基础开始，你会得到自己的机会。”

1999-2000年在“租电脑( Rent-a-Computer)”公司当硬件技师时，布伦南的工作就是组装计算机，设置系统，为培训课程设置局域网。

然后他到了史特林商务公司客服中心做解决方案支持专家，先是兼职接活儿，后来就全职了。他的工作是为史特林的电子数据交换客户提供软件支持。

2001年布伦南加入了美国电力公司(AEP)，工作一段时间后以UNIX经验竞聘上了信息安全职位，并在AEP工作期间获得了CISSP(信息系统安全师)认证。

2006年，大好机会降临。美国潮牌 Abercrombie & Fitch 新设置了信息安全经理的职位，而布伦南接到了招聘人员的电话，成功应聘。

即使我在AEP做全职信息安全工作，我还是感觉受到了限制，我想要做到更多。

A&F需要招人创建信息安全项目，支持其支付卡行业合规工作。

布伦南说：“我没有管理经验，没有支付卡安全经验，没有零售经验。但我仍然接下了挑战。”接下来的4年，他在A&F一点点将安全项目建设了起来。

最初的时候，他既没有预算也没有人手，只有时间、管理权限和随便什么免费或开源的工具。“我花了几个月时间学习各种项目，采用每个我能用的安全工具。没过多久需要我处理的事务就超出了我独自承担的能力。”

不过，布伦南还是展现了他的价值，并成功将团队扩充到了受到全公司20名代表支持的4人小队。该团队部署了一个符合公司运营模型的安全框架。

这是真正有所回报的时候。到我在A&F任职的最后阶段，我们支持着12个企业级安全工具，其中包括一个有全球用户群的健壮身份和访问管理实现。我们负责内部审计和外部合规，最重要的是，我们保护着数以万计的员工及客户的个人信息——虽然他们可能根本不知道我们的存在。

此后，布伦南又担任过其他的职务，包括在风险管理公司Jacadis担任CTO兼首席安全顾问，在俄亥俄州立大学(OSU)做副主任。

在Jacadis，布伦南帮助客户确定和实现安全控制，进行风险评估和安全项目审查。“我负责的项目跨度很广，从中小企业和非营利组织的IT接管，到大型联邦客户的应用源代码安全审查。但最让我有成就感的部分，是我能用自己的企业经验，帮助我们的客户建立他们自己的安全项目。”

在OSU，布伦南创建并管理着一个风险管理项目。自此，他在2017年2月，拿下了 GBQ Partners 安全架构师职位，并从事至今。GBQ是一家会计师事务所，在6个城市提供审计、税务和顾问服务。

虽然我热爱自己在OSU所做的风险管理工作，跳槽的决定依然下得简单。我又回到了能帮助客户的安全服务构建工作上，我回归了架构。

在Jacadis工作期间，布伦南开发了一个安全框架，让企业摆脱了成百上千的具体控制措施实现，可以专注在基本的封锁和处理上。“我在GBQ的目标，就是向更多的公司推介该框架，帮助他们构建坚实的信息安全基础。”

更重要的是，布伦南想要帮助客户打造出能让他们回归核心业务的信息安全项目，无论他们各自的核心业务是什么。

另一位安全架构师，杰里·马吉尼斯，同样是半路出家。马吉尼斯在美国普渡大学主修统计和市场研究，获得了工业管理学士学位，曾希望找个市场研究方面的工作。

他毕业后就职的第一家公司是广告公司麦肯全球，在那里他担任过多种职务，包括消费者研究副主管、客户经理、管理信息系统部经理、通讯主管、电信主管和全球电信总监。

他在1998年离开了那家公司，加入路易斯维尔电气公司当技术顾问。随后，马吉尼斯转投医疗保健公司金德雷德，开始第一份安全相关工作——高级安全分析师。

2005年，他加入了宝马汽车金融服务公司，作为高级应用安全架构师。然后，与A&F签约5年，做了布伦南的同事，同样从事安全架构师工作。

2010年，马吉尼斯加入卡地纳健康集团，当了3年高级安全架构师。2013年至今，作为IT安全架构师，他一直在居家安全产品公司 ADT Security Services 工作。

我在每份工作上的经历拓展了我的能力，为我迎来了下一份工作的机会。我敦促自己学习工作任务之外的知识，丰富和增强自己的职业技能。我看很多书，参与具体工作以理解客户每天经历的事，还报了各种认证培训班。

马吉尼斯的信息安全职业道路发展不错，一直都是招聘人员的延揽对象。“我从未失业过。我也决意不放过任何一次能提升我职业发展的面试机会。”

每家公司都有马吉尼斯不熟悉的技术，所以他报名了厂商培训课程，阅读所有的文档材料。“CISSP是安全领域硬杠杠。我很高兴自己在2001年取得了这个认证。随后几年中它为我打开了多扇大门。”

本文转自d1net（转载）