IT人才需求最旺盛的領域中，安全獨樹一幟。據統計，2014到2015年，美國的網絡安全職位數量激增了40%+，有50,000個空缺，之前1年的增長率是16.8%。

安全崗位比技術領域其他方面的增長速度要快得多，雖然這些其他技術領域同樣增長很快。同時，(ISC)22015年的調查發現，62%的受訪者稱缺乏足夠的安全人員，45%找不到適格者。未來5年，全球信息安全勞動市場人才短缺將達150萬。

很多公司在找尋人才填充安全崗位上的無力，只會催生薪酬上漲，以及IT人員發展這些技能以謀職的興趣。薪酬又高，需求又多，而且對安全人才的需求只會越來越多，有什么理由不往這個方向發展呢？

如果你想乘上這波人才短缺的東風，以下洞見可供參考。想知道轉行適不適合你，也可以看看。

1.不用擔心自己不具備特定安全經驗

今天的大量需求都集中在需要數年經驗的職位上，比如高級安全軟件工程師。此類職位年薪可達$200,000。(ISC)2研究也報告稱，最大的就業增長將是安全工程師和架構師。

但同時，安全需求還很廣，需要太多不同類型的技術集，沒人能單槍匹馬搞定所有這些角色需求。想要照顧到方方面面，你需要一支龐大的團隊，包含進懂得網絡和網絡流量、硬件設備、軟件程序及業務邏輯的各類人才。

信息安全是一個巨大而廣泛的領域，包括了程序員、風險經理、能用商業語言與業務人士交流的公共關系專家、理解人類行為的人才，甚至具有經濟學背景的人。如果有經濟學學位或懂得金融，即便沒有安全專業知識，也是被聘用為風險經理的——因為經濟和金融干的就是理解風險嘛。

同樣，心理學背景也會擁有理解為什么人們會去點擊釣魚鏈接及該怎樣阻止這種行為的洞見。具心理學背景的人需要學習基本的網絡或信息安全知識，但已經擁有的知識依然可以再教育自身。

2. 考慮長期發展

可預見的未來中最大的需要，就是軟件和應用安全。我們面對的最大問題，與不安全代碼和糟糕的軟件開發過程相關。人們開發軟件已經有50多年的歷史了，但直到最近10年我們才開始注意到與軟件安全相關的問題。對考慮進入安全行業的年輕IT人而言，軟件工程和編程是機會最大的地方，而挑戰亦存。

甚至現在，供需差距就已經很大了，尤其是在這一領域幾乎沒有可用培訓，且有天賦的開發者傾向于涌入谷歌或下一個Facebook之類的公司，而不愿就職安全公司的狀況下。

這一領域需要兩種人：項目經理和實際的實踐者。聘用項目經理，然后讓項目經理組建安全團隊來幫助培訓和指導，是對公司企業最有利的做法。

從應用安全起步，IT人士可以繼續演進到其他很多領域，如架構安全或云安全——雖然其他選擇，比如網絡或硬件安全，可能會有點門檻。如果是18歲新新人類，加入應用安全行列或者成為開發運維安全團隊的一員是不錯的選擇。

3. 別低估了你的現有技能

如果你現在是系統、網絡或數據庫管理員，那你在通向特定信息安全子領域的路上已經走了75%的路程了，比如道德黑客、滲透測試和信息保障職位。有這些職業背景的人，能理解系統運行原理和人們訪問系統的方式，所以，從設置用戶到檢查標準與框架合規之間并沒有太大的障礙。有了這一基礎，繼續下去就很容易了。

事實上，擁有此類背景是極大的助力。要想在安全界嶄露頭角，有堅實的系統管理、網絡工程或軟件工程背景非常重要。盡管有很多方面都不是技術性的，理解系統運行基本原理，正是讓人具備收獲長遠成就所需知識和能力的基礎。

因此，CIO們應開始在已有員工中間培養安全能力，而不僅僅是找尋外部候選人來填充這些需求。簡單地提升薪酬或福利是不夠的，找到培養內部人才填補技能空缺的方法才是公司應該做的。

IT和安全職位之間存在共同點，描繪出一張技能地圖，可幫助員工建立填補進這些職位空缺的計劃。好消息是，有很多相關工作可供各種角色的員工借以邁向安全職位。助理安全工程師、安全審計員、IT安全項目經理之類名號所需的典型技能，與網絡安全或入侵檢測之類職位的基本要求是相一致的。

其間障礙，只是缺乏對特定職位所需具體技術的理解，以及怎樣最快實現角色轉換。雖然回學校再拿個學位是條康莊大道，方法卻并不止只一個。

4. 別假定你需要回爐重造

實際上，盡管安全職位門檻很難跨越，卻也從未出現過這么豐富的學習資源，免費在線課程、職業資格認證以及加入安全社區都是絕佳的學習途徑。從SANs(系統管理和網絡安全審計委員會)，到ISACA(國際信息系統審計協會)，到信息系統安全協會(ISSA)，到(ISC)2(國際信息系統安全認證聯盟)，到開放網絡應用安全項目(OWASP)……有太多非?；钴S的安全組織提供培訓和分享思想的社區了。

加入OWASP是被聘用和收到最佳認證建議的好方法。

可以先從Coursera或EdX之類免費大型公開在線課程項目上學習安全基礎開始，然后再確定哪個子領域適合自己進一步深入。一旦基礎打好，就可以去尋找自己最感興趣的信息安全領域，開始進入專家養成時。

在線課程是培養技術的極佳選擇，尤其是在雇主并不提供培訓的情況下?？梢宰灾鬟x擇課程，自由安排時間，無需回到學校再專門花上幾年拿下網絡安全本科或碩士學位。

而只要確定了發展方向，考幾個認證是個不錯的主意，安全領域中認證還是很吃香的。人們常說證書證明不了現實技能，但真相是，招聘經理認這個啊！即便你覺得這堆認證沒什么卵用，只要你還想找到工作，它們就是必備的敲門磚。缺了這些證書，你的簡歷都到不了第二輪。

特別地，(ISC)2頒發的信息系統安全師(CISSP)認證，是通往更高級別職位的有力籌碼；而ISACA頒發的風險與信息系統控制認證(CRISC)，則是風險管理職位的必需。其他情況，比如申請比防火墻管理這種入門級工作更高檔次的職位，那么來自思科或Juniper之類廠商的認證就是個不錯的主意。

同時，在軟件開發行業，安全軟件開發生命周期(SSDLC)認證實踐者的身份，將能證明你在應用安全方面的能力。

5. 清楚自己即將踏入的是什么領域

安全職業當然也有其陰暗面，壓力和職業倦怠就是其表現形式。美國的安全大會上，主要話題之一就是抑郁，這一現象越來越多地出現在該領域中。如果你覺得自己應付不來工作壓力和職業倦怠，從事安全職業可能不是個好的選擇。

這種現象的成因，是很多公司對待安全職能的態度：如果數據泄露發生，那必然是安全崗位的人沒能履職盡責。高曝光度的數據泄露事件，傷害的不僅僅是客戶，還有員工。股價下跌、員工被炒、公共信譽喪失……如果你是電腦前敲著鍵盤評估事件發生前安全控制狀態的人，那樂子就大了。

除了總是如坐針氈，安全部門還總被業務部門疏遠。業務部門可不總是認同施加在項目上的安全控制所帶來的延遲，而且，只要出了什么事，背鍋的總是安全部門。入職安全崗位，可能會高處不勝寒。

隨著安全逐漸成為業務發展周期的一個完整部分，長期來看情況應該會有所改變。當安全完全嵌入并與業務同步，安全團隊的壓力就會小很多。業務部門需要認識到自己很有可能被黑。目前，這種認知還很缺乏，導致總會找個人來背鍋。

而且，安全職業需要在很多不同領域都有一手。技術不斷改變，威脅不斷進化，新監管規定不斷出臺，還有老生常談的安全預算戰爭——你永遠走不到工作干完的那一步。(ISC)2的調查顯示，即便超過3/4的受訪者稱滿意自己當前職位，安全行業在去年還是經歷了近20%的離職率，破了(ISC)2的歷史記錄。

6. 追尋激情，而非金錢

需求和薪酬是安全領域的吸引力構成，但絕不是唯一的驅動力。積極的方面，安全職業可以充分融入社區，尤其是與軟件開發世界相對比。安全從業者往往能組成組織嚴密的社區，很好地相互協作。

某種程度上，如果你是那種渴望理解事務運行原理，或喜歡拆拆裝裝的人，那你就會知道自己是否適合安全行業。走進安全行業的人中，藝術家、音樂家、創意人和非對稱思想者的比例不小。真的是取決于個人追求和對挖掘內在原理和價值的興趣。