通往安全架構(gòu)師的路有很多條，但首先對IT基礎(chǔ)設(shè)施和數(shù)據(jù)保護的激情，是這條道路的必備動力之一。

安全架構(gòu)師是負責(zé)維護企業(yè)計算機系統(tǒng)安全的人，因此還必須具備黑客思維，能夠預(yù)測攻擊者非授權(quán)訪問公司系統(tǒng)會采用的戰(zhàn)術(shù)。處在安全架構(gòu)師位置上的任何人，都有必須加班的時候，而且要隨時跟進最新安全威脅和可用工具。有時候，最終走上這個崗位的人，在他們年輕時并沒有預(yù)見過這么一個職業(yè)方向。

杰羅德·布倫南，90年代考入俄亥俄州首都大學(xué)這所小型文理學(xué)院的時候，他是想成為電影工業(yè)中的一名作曲家的。

當(dāng)時，計算機音樂是一門新興產(chǎn)業(yè)，于是他修了計算機科學(xué)和作曲雙學(xué)位。因為不喜歡某些技術(shù)類課程，他很快就放棄了計算機科學(xué)專業(yè)，專攻音樂教育學(xué)位。

布倫南說：“直到大四音樂教學(xué)實習(xí)時，我才發(fā)現(xiàn)在公立學(xué)校教書也不是我的菜。畢業(yè)后一段時間里我不斷跳槽，但戀愛結(jié)婚開始組建家庭時，我決定重拾我對技術(shù)和計算機的熱愛，嘗試看看有沒有可能在這方面闖出一條路。結(jié)果表明，只要愿意深入，愿意從基礎(chǔ)開始，你會得到自己的機會。”

1999-2000年在“租電腦( Rent-a-Computer)”公司當(dāng)硬件技師時，布倫南的工作就是組裝計算機，設(shè)置系統(tǒng)，為培訓(xùn)課程設(shè)置局域網(wǎng)。

然后他到了史特林商務(wù)公司客服中心做解決方案支持專家，先是兼職接活兒，后來就全職了。他的工作是為史特林的電子數(shù)據(jù)交換客戶提供軟件支持。

2001年布倫南加入了美國電力公司(AEP)，工作一段時間后以UNIX經(jīng)驗競聘上了信息安全職位，并在AEP工作期間獲得了CISSP(信息系統(tǒng)安全師)認證。

2006年，大好機會降臨。美國潮牌 Abercrombie & Fitch 新設(shè)置了信息安全經(jīng)理的職位，而布倫南接到了招聘人員的電話，成功應(yīng)聘。

即使我在AEP做全職信息安全工作，我還是感覺受到了限制，我想要做到更多。

A&F需要招人創(chuàng)建信息安全項目，支持其支付卡行業(yè)合規(guī)工作。

布倫南說：“我沒有管理經(jīng)驗，沒有支付卡安全經(jīng)驗，沒有零售經(jīng)驗。但我仍然接下了挑戰(zhàn)。”接下來的4年，他在A&F一點點將安全項目建設(shè)了起來。

最初的時候，他既沒有預(yù)算也沒有人手，只有時間、管理權(quán)限和隨便什么免費或開源的工具。“我花了幾個月時間學(xué)習(xí)各種項目，采用每個我能用的安全工具。沒過多久需要我處理的事務(wù)就超出了我獨自承擔(dān)的能力。”

不過，布倫南還是展現(xiàn)了他的價值，并成功將團隊擴充到了受到全公司20名代表支持的4人小隊。該團隊部署了一個符合公司運營模型的安全框架。

這是真正有所回報的時候。到我在A&F任職的最后階段，我們支持著12個企業(yè)級安全工具，其中包括一個有全球用戶群的健壯身份和訪問管理實現(xiàn)。我們負責(zé)內(nèi)部審計和外部合規(guī)，最重要的是，我們保護著數(shù)以萬計的員工及客戶的個人信息——雖然他們可能根本不知道我們的存在。

此后，布倫南又擔(dān)任過其他的職務(wù)，包括在風(fēng)險管理公司Jacadis擔(dān)任CTO兼首席安全顧問，在俄亥俄州立大學(xué)(OSU)做副主任。

在Jacadis，布倫南幫助客戶確定和實現(xiàn)安全控制，進行風(fēng)險評估和安全項目審查。“我負責(zé)的項目跨度很廣，從中小企業(yè)和非營利組織的IT接管，到大型聯(lián)邦客戶的應(yīng)用源代碼安全審查。但最讓我有成就感的部分，是我能用自己的企業(yè)經(jīng)驗，幫助我們的客戶建立他們自己的安全項目。”

在OSU，布倫南創(chuàng)建并管理著一個風(fēng)險管理項目。自此，他在2017年2月，拿下了 GBQ Partners 安全架構(gòu)師職位，并從事至今。GBQ是一家會計師事務(wù)所，在6個城市提供審計、稅務(wù)和顧問服務(wù)。

雖然我熱愛自己在OSU所做的風(fēng)險管理工作，跳槽的決定依然下得簡單。我又回到了能幫助客戶的安全服務(wù)構(gòu)建工作上，我回歸了架構(gòu)。

在Jacadis工作期間，布倫南開發(fā)了一個安全框架，讓企業(yè)擺脫了成百上千的具體控制措施實現(xiàn)，可以專注在基本的封鎖和處理上。“我在GBQ的目標(biāo)，就是向更多的公司推介該框架，幫助他們構(gòu)建堅實的信息安全基礎(chǔ)。”

更重要的是，布倫南想要幫助客戶打造出能讓他們回歸核心業(yè)務(wù)的信息安全項目，無論他們各自的核心業(yè)務(wù)是什么。

另一位安全架構(gòu)師，杰里·馬吉尼斯，同樣是半路出家。馬吉尼斯在美國普渡大學(xué)主修統(tǒng)計和市場研究，獲得了工業(yè)管理學(xué)士學(xué)位，曾希望找個市場研究方面的工作。

他畢業(yè)后就職的第一家公司是廣告公司麥肯全球，在那里他擔(dān)任過多種職務(wù)，包括消費者研究副主管、客戶經(jīng)理、管理信息系統(tǒng)部經(jīng)理、通訊主管、電信主管和全球電信總監(jiān)。

他在1998年離開了那家公司，加入路易斯維爾電氣公司當(dāng)技術(shù)顧問。隨后，馬吉尼斯轉(zhuǎn)投醫(yī)療保健公司金德雷德，開始第一份安全相關(guān)工作——高級安全分析師。

2005年，他加入了寶馬汽車金融服務(wù)公司，作為高級應(yīng)用安全架構(gòu)師。然后，與A&F簽約5年，做了布倫南的同事，同樣從事安全架構(gòu)師工作。

2010年，馬吉尼斯加入卡地納健康集團，當(dāng)了3年高級安全架構(gòu)師。2013年至今，作為IT安全架構(gòu)師，他一直在居家安全產(chǎn)品公司 ADT Security Services 工作。

我在每份工作上的經(jīng)歷拓展了我的能力，為我迎來了下一份工作的機會。我敦促自己學(xué)習(xí)工作任務(wù)之外的知識，豐富和增強自己的職業(yè)技能。我看很多書，參與具體工作以理解客戶每天經(jīng)歷的事，還報了各種認證培訓(xùn)班。

馬吉尼斯的信息安全職業(yè)道路發(fā)展不錯，一直都是招聘人員的延攬對象。“我從未失業(yè)過。我也決意不放過任何一次能提升我職業(yè)發(fā)展的面試機會。”

每家公司都有馬吉尼斯不熟悉的技術(shù)，所以他報名了廠商培訓(xùn)課程，閱讀所有的文檔材料。“CISSP是安全領(lǐng)域硬杠杠。我很高興自己在2001年取得了這個認證。隨后幾年中它為我打開了多扇大門。”