工作中,我的价值在哪里?
日期:2021-08-12 浏览

最近对自己的工作进行了一点点思考:”工作上,我的价值在哪里?


       说到价值,常常提到另外一个词--需求。做的事情、提供的服务、卖的产品都只有满足了某种需要,才算是有价值。

       作为一个安全工程师,公司用我是为了满足什么需求呢?我可以做什么事情,提供什么服务,或者有什么工具(个人层面说不上产品,只能说工具)能来尽量满足公司的这个需求呢?


       以我的理解,公司做安全的核心需求应当是为了保护 员工和客户的信息资料、公司的核心数据,避免泄露。

       其他比如过等保、维护品牌形象、应对HW等等当然也是需求,但他们不应该是核心。如果一个企业做安全只是为了过等保,只是为了应对监管,只是做面子工程,而你想要施展自己的技术能力,这样的岗位建议你不要去(别问我怎么知道的,问就是亲身经历过)。

       我的专业能力是在应用安全方向,我应该怎么做才能让我的能力最大化的为这个核心目标服务呢?


       1、发挥自己的长处,找到自己能力和公司需求的结合点。


       在这一点上,同组2个优秀的同事给我了很多启发。

同事A很善于沟通协调,经常担任公司各种活动、年会、朋友婚礼的主持人。在工作中,他也把自己的这个能力发挥得很好。作为半个产品经理的角色,完善了SDL中核心系统之一漏洞管理系统的更新迭代;并且帮助健全了SDL流程,打通敏捷发布流程;嵌入安全意识和安全知识培训环节等等。这些工作都涉及到与各个部门、各个团队的沟通协调,而他就能很好的完成,给公司带来价值。

同事B擅长漏洞挖掘,拥有各种奇思妙想,有超强实战经验,很能肝(熬夜)可以说是肝王之王,长期霸占各大SRC前列。行动力很强的一个人,会街舞、泰拳、hip-hop,现在又开始搞珠宝了。在工作上他就主动承担了线上业务巡检的工作,发现了很多我们常规安全发现不了的漏洞,一些严重漏洞。也是将自己的长处发挥得很完美。 

而我自己呢?(嗯,把自己和优秀的人放一起,感觉自己更优秀了呢,膨胀!)好吧,他们会的我都不会。最有成就感的事就是写工具,我的工作状态就基本就是“漏洞挖着挖着就写工具去了,测试做着做着就改工具去了”,因为工作过程中总能发现需要改进的地方,bug它围绕着我啊~~。我写的工具主要包含2类:一是为了提高安全测试的效率、减少人工重复,二是提升自动发现漏洞的能力。还好我努力的方向没有错,工具在HW巡检和日常扫描中体现出了它的价值。后续只要去研究更多的漏洞,写更多的PoC加到工具中就可以了,这就符合了我工具党懒惰的气质了。


      2、分享是个人价值的放大器:多分享、多提意见


      分享是个人价值的放大器,我一直这么认为。“交换一个苹果,各得一个苹果;交换一种思想,各得两种思想”,工作中也是如此,当你把个人能做到的事,变成团队里其他成员也能做到的事,那么你的价值就翻了N倍。另外,分享的过程也是你学习的过程,会让自己掌握的知识更牢固,传授是最好的学习方法。有这么多好处何乐而不为呢?

      可能是bug见多了吧,我总是喜欢各种提意见,不停的提意见,给产品提过,给部门提过。虽然很多意见点很小,也有很多意见没有得到认可接受,但仍然乐此不疲。关于这点,我讲不出什么道理来,但我隐约觉得是一件值得做的事情,至少不会有什么损失。


     3、换位思考,服务意思


     最近才意识到这个方面,也是我的缺陷所在,工作免不了要和人打交道。有时候我们更像是个客服,需要回答开发关于漏洞的各种问题,还要回答关于发布流程、系统使用的各种问题,为此我还专门整理了个FAQ和“客服话术”。最难的是相同的问题,可能被问很多次,我这暴脾气就常常对人很不友好。既然意识到这个问题,是时候改变一下了,只有友善的沟通、更多的相互理解,才能更好地传达安全部门的理念,与业务方一起共同保障数据的安全。这是我的短板,是需要补齐的地方,明显的短板会使所具有的的价值大打折扣。


     4、用学习和反思应对变化


     事物是变化的,不同的安全建设阶段,不同的监管力度,不同的外部环境,不同的领导风格等等,很多因素都会导致具体工作目标的变化。需求变了,我们也应该跟着变,不停地学习新的技术和理念来更新自己,这样才能符合新的需求,创造新的价值。