特别企划 | 信息安全行业女性从业者调查:一股温柔而日渐增长的力量

发表于:2017-08-25 10:23:45 来源:  FreeBuf.COM 阅读数(0人)

她一袭长裙,一头长发,微微笑着,摆弄着手里的手机和电脑,在你不知情的情况下,就拦截到了你使用 LTE 通信网络发送的语音信息和短信消息;

她衣着普通,上下班行色匆匆,却在工作中写出一份份安全研究报告,同时也将家庭照顾得很好……

说起美女黑客,你会想到什么?一身黑衣长发飘飘神出鬼没为人津津乐道?还是安静低调默默努力平凡却不平庸?在与黑客紧密相关的信息安全行业,女性从业者总是人们乐于谈论的存在。在这个男性居多、技术至上的领域,女性从业者的出现似乎更多的是成为谈资、成为门面。事实上,有记录表明,世界上第一位程序员其实是名女性。她就是艾达·洛夫莱斯(Ada Lovelace,全名奥古斯塔·艾达·金,洛夫莱斯伯爵夫人)。艾达是英国数学家、翻译家,父亲是英国著名诗人拜伦。为了纪念她,还有一种编程序言以她的名字 Ada 命名。




其实,虽然现在的编程界中,尤其是在开源相关的活动上,女性人数稀少,很多公司的开发团队都只有一两个女性甚至没有女性。但是,在计算机早期时代,却有记录证明人们大都认为程序员是女性从事的工作,也许是人们将程序员和当时电话交换机的接线员(从业者中也是女性居多)看成同一类型的工作吧。


当今时代,女性异军突起,也逐渐成长为职场中不容忽视的的中坚力量。那么信息安全行业的女性从业情景又是如何呢?之前 FreeBuf 就盘点过安全圈的那些萌妹子,文章一出,颇受欢迎。可见安全圈的女性从业者依然因为稀缺而颇受关注。此外,在盘点中,我们也发现,这个行业的确少不了女性,但是女性在这个行业的从业现状也的确引人深思。


安全圈如果多了女性,会有怎样的变化?信息安全行业的女性从业者背景如何?在这个行业,女性的职业生涯中有怎样的机遇与挑战?她们的职业发展与其他行业中女性的职业发展道路是相似还是不同?都说多样化团队的效率更高,产出更好,但是信息安全行业为何多年单调,缺乏多样性呢?


以下是来自 Cobalt 安全公司关于信息安全行业中女性成员的调查报告,共有 313 名自认是信息安全从业者的女性参与调查,其中一些还参与了进一步采访。报告近距离探究了这个行业中女性工作人员的现状,并给出采访内容,供更多人参考。报告作者是该公司副总裁兼注册信息系统安全专家(CISSP)Caroline Wong,也是信息安全行业中的成功女性。


在信息安全行业中,女性常常被忽视。这个报告也许没办法解决行业中性别失衡的问题,但是可以帮助更多本行业中的女性发声,让更多人了解到行业中的真实故事。


报告的主要预期读者


HR:希望 HR 们都能知道,女性也可以在信息安全行业中占有一席之地;


业内女性:希望她们知道自己不是在单打独斗;


少女和青年女性:希望她们知道,在信息安全行业工作也是一种选择。希望报告中的内容可以激励她们在这个领域工作和发展。


同时调查者还希望男性也能阅读这份报告,了解同行女性的经历与观点。


主要调查结果


你在信息安全行业工作了多久?


也许很多人都认为信息安全行业近几年才有女性身影,但事实并非如此:


36% 的受访者从事信息安全行业长达 10 年之久,还有些甚至更久;

17% 的受访者从事信息安全行业 6-9 年;

24% 的受访者从事信息安全行业 3-5 年;

23% 的受访者从事信息安全行业 0-2 年; 



你进入安全行业之前是做什么的?


因为专业学习 IT 或计算机科学等学科而进入信息安全行业的受访者不到 50%。事实上,受访者的背景呈现多样化,法律合规、心理学、内部审计、企业家、销售、艺术等都有覆盖。




调查结果显示:


27.1% 的受访者曾学习 IT 知识或从事  IT 行业;

17.6% 的受访者曾学习计算机科学知识或从事相关行业;

10.0% 的受访者表示自己因为喜欢突破尝新而进入信息安全行业;

9.4% 的受访者具有法律合规背景;

6.5% 的受访者具有心理学背景;

5.9% 的受访者具有内部审计背景;

7.6% 的受访者曾是企业家或者销售员; 

1.8% 的受访者曾是艺术家;

14.1% 的受访者具有其他背景。

你觉得这个行业最激励你的是什么?


1. 解决复杂问题 73%

2. 新兴行业,机遇多 65%

3. 新技术 48%

4. 未来创新 46%

5. 法律法规等 29%

6. 其他 9%

很多人自然而然地关注网络威胁、思考网络威胁进而尝试阻止网络威胁。这是很酷的事情,也能激励人前进。我是那种独辟蹊径的人。我更喜欢审视问题:我们要阻止什么、期望达到什么效果?这些问题驱动我认真工作。


——来自 Cyber Resilience 公司的高级总监 Michelle Valdez


我对别人是真诚透明的。我很容易与别人建立起信任,因此让自己看起来处于弱势。如果我不清楚某件事情,我会直言不讳。这就促使别人也变得诚恳,并直面手头的问题。


想让“风险”这个词变得美好一点,唯一的方法就是清除它的阴暗面。我希望每个人都能清楚认识到问题所在。


                                                                            ——来自MUFG Application Security 的高级副总裁 Suzan Nascimento


关于你的工作,你最喜欢哪一点?


1. 帮助别人                                                             65%

2. 解决复杂问题                                                      64%

3. 让世界和未来更美好                                            62%

4. 保护企业组织的安全                                            56%

5. 领先一步,看到别人无法企及的世界                    38%

6. 发挥自己的才能                                                   24%

7. 其他                                                                      7%

这是个激动人心的领域。你可以放手去做自己想做的事。这里充满挑战,也充满成长的机遇。


我很幸运在职业生涯中遇到了很多好导师。一直都有很棒的人鼓励我说:“你可以做到。”


                                                                                       —— Markel Corporation 首席隐私与信息安全官 Patricia Titus


在这个行业工作能遇到很多道德水准高且可信的专家,这是最让我开心的事情。成功保护公司的资产,同时履行身为企业员工和国家公民的责任,也令人受益匪浅。


                                                                                                  —— E*TRADE 公司信息安全管理总监 Christelle Chau


日常工作中最棒的事情是什么?


1. 学习新知识                                                      69%

2. 出色完成任务                                                  60%

3. 头脑风暴,想出新的解决方案                          59%

4. 受到团队、同事或者客户的赞赏                       54% 

5. 帮助朋友、同事或客户                                     53%

6. 保持创造性                                                      53%

7. 解决技术难题                                                  44%

8. 关注细节                                                         32%

9. 应急事件响应                                                  31%

10. 喜欢高压力的环境                                          22%

11. 其他                                                               3%

我最骄傲的是团队所取得的成功以及造成的影响。我们团队所影响的不仅仅是自己的 GE 公司,而是整个行业。当我看到有人的方案接近标准,或者他们的创意能形成规范,我就会觉得妙不可言!


发展领导力让人变得谦卑,也充满乐趣。


                                                                                   —— GE 电器安全合规 CTO 及高级副总裁 Deneen DiFiore


我为什么做这行?可以说我是为了我的孩子做这行的。我们在建造一个新世界,这里一切都将数字化。你甚至能与你的墙壁对话,让它帮你煮咖啡。我的工作内容像是科幻小说中的情节,但它的确又是真实存在的。


这个行业会向星际迷航发展还是会向星际战争发展?我在尝试为孩子建造一个更像星际迷航的世界,在这里他们可以尽情发挥自己的各种才能。


                                                          —— Center for Democracy and Technology 公司董事长兼 CEO Nuala O’Connor


你认为自己 5 年后会发展到什么地步? 


网络安全行业正在飞速发展。从数据保护到企业上云,再到自动化和高级系统整合,再到阻止网络入侵的成熟 SOC 能力,我们正在解决各种前所未有的问题。


                                                                                             ——Palo Alto Network 信息安全部门高级总监 Rinki Sethi


我在考虑自己的人生清单时,会问自己:“我能回报给社会哪些东西呢?”


我想提供一些我自己在学校时没有遇到的资源。我在汇编语言课上没有遇到好老师。如果只读教材的话,这些知识对我来说还是很难。


因此,我就创造了 REVERSING 101,帮助下一代更轻松地学习编程。


                                                                                                —— Endgame, Inc 恶意程序研究员 Amanda Rousseau




调查结果显示:


20.1% 的受访者认为自己会成为领导者,带领一个团队;

18.7% 的受访者认为自己会成为培训者,教导别人;

14.2% 的受访者认为自己会尝试新领域;

11.15 的受访者认为自己会成为技术专家;

10.7% 的受访者认为自己仍然会专注于本职工作;

8.3% 的受访者认为自己会成立公司;

7.6% 的受访者认为自己会专注于产品或解决方案;

6.6% 的受访者认为自己会专门运营客户;

2.8% 的受访者有其他选择。

你遇到了哪些困难?


1. 掌握更多技术                                            52%

2. 尽力实现对自己的一些期望                       43%

3. 工作与生活的平衡                                    32%

4. 组织机构的认同                                        28%

5. 其他不理解这行的人给予的压力                26%

6. 与有才能的人共事                                    23%

7. 处理他人的预期                                       21%

8. 缺乏团队合作                                          15%

9. 他人的批评                                             13%

10. 希望自己掌握更多的商业知识                10%

11. 其他                                                     10%

你为网络安全行业带来了什么价值?


1. 在不同的职能团队间有效沟通                    74%

2. 有始有终地完成工作                                  70%

3. 良好的多任务处理能力                               65%

4. 为这个行业提供了全新的视角                     62%

5. 可以思考更宏伟的蓝图                               55%

6. 拥有敏锐的直觉进行判断                           54%

7. 与国际团队有效沟通                                  51%

8. 进行协调和监管                                         50%

9. 动力                                                           48%

10. 有长远眼光                                              48%

11. 创建社区                                                 41%

12. 使用技术热点和技能                                29%

13. 其他                                                         9%

多元文化带来的动力


人们通常都很愿意帮忙,愿意帮助女性成功。只需要开口请求帮助就行。 (Diah Nasution)


网络安全行业并非只有程序员这一种人,还需要有项目管理者、技术写作者、培训者、指导设计师、社会媒体管理者等多种人才。(Rachel Amity Brown)


女性在网络技术行业工作没什么问题——唯一的问题就是要招聘更多的女性员工。(Elena Peterson)


网络安全是个复杂的问题,让团队多样化有助于更好地解决这个问题。此外,我们需要包容更多的角色,借以鼓励未来的学生加入这个行业。(Blair Taylor)


一个团队的成员来自世界各地、拥有不同的技能,就能把不可能变成可能;能不断实践进而获得成功;也能从失败中汲取经验。这些结合在一起就棒极了!(Robin Stuart ) 


不同的思维方式、不同的方法、各有特质、创意不断,这些都必不可少,我们各不相同又能互补。我们每个人都有自己独特的观点,都能为网络安全这个大行业贡献一己之力。(Yiota Nicolaidou)


一个人想要成功,就必须保持开放的心态,去了解不同的观点。(Melissa Marcil)


女性在网络安全行业工作确非易事,但是网络安全行业中的女性员工又非常重要。(Lisa Schaefer)


键盘无法分辨打字的人是男是女。失败也没什么可怕的,我更怕的是未曾尝试。(Robin Stuart)


除了各种挑战,这个行业还让我有机会平衡好工作与家庭。考虑到薪水和声望相对较高,且失业率较低,然而很多女性不愿意并不选择进入这个行业,这让我觉得很遗憾。(Allison Henry)


女性在这个行业中至关重要。技术不是只有男性可以实现,也应该让女性发挥作用。(Tiffany Schoenike)




小结


许多关于信息安全行业女性的报告都集中描绘消极一面:不受尊重、收入较低、在工作场所困难重重等。


这些的确存在,但另一个不容忽视的事实是:信息安全行业的女性职员数量越来越多。


因此,这篇报告希望让读者注意到以下几点内容:


1. 信息安全行业的女性职员数量在增加


就作者个人所知,许多女性都热爱自己的工作,大多都能通过工作获得满足感,并取得较大的成功。


2. 最好的团队都是多样化的


无论是哈佛、斯坦福、麻省、普林斯顿,还是麦肯斯、盖洛普、《科学美国人》,都在近几年发布了一些研究结果,表明了多样化团队的重要性。团队多样性能够推动创新,让团队成员更睿智,且能对学习产生积极影响。


多样化团队带来的好处其实是众所周知的。


3. 要想团队变得多样化,就要采取新的招聘方式


信息安全行业面临着严重的人才短缺问题。


我们与很多人谈过其所在团队的多样性问题,最后发现,带领多样化团队的管理者与带领非多样化团队的管理者之间存在两点重大区别:


A. 带领多样化团队的管理者会尽力建造最好的团队,他们会到处搜寻人才。他们投身于招聘过程,清楚知道自己需要拥有何种技能、何种背景、何种经验的应聘者。这种管理者不一定会为了满足名额而去招聘员工,他们会花时间发现并利用不同的渠道,最终招聘自己能找到的最好的求职者。

B. 其他管理者也想尽力建造最好的团队,但是因为各种原因,他们只会注意到最明显的问题,只能依赖 HR 和招聘职能团队去寻找有潜力的求职者。

4.  人才渠道问题也需要解决


解决人才短缺的根本方案就是增加人才渠道。


希望本报告中受访者的反馈能激励年轻女性加入到信息安全行业当中。


本报告讲述了一些真实经历,相信能打破一些固有有偏见。在别人发表不当言论或是抱有偏见的时候,我们每个人都有能力和义务站出来讲述真相,让更多人了解真相。




相信本报告的内容会影响到一部分人的价值观。只有向人们展示女性在信息安全行业真正的样子,让人们了解业内优秀的女性信息安全从业者现状,才能吸引更多年轻女性加入这行。


正如作者所说:


小时候梦想成为一名摇滚巨星,自己也没想过“未来有一天会成为技术专家”。小时候没有见过技术专家,不知道他们的生活是什么样子的。如果我不知道技术专家到底做什么,自然也不会想成为这种人。

文章最后,作者以好友兼同事 Suzan 的话做了结语:


如果让我给信息安全行业的女性提一条建议,那么这个建议就是:“知道自己是谁,然后勇敢做自己。参与进来,放手去做。

                                                                                               —— 应用安全公司 MUFG 高级副总裁 Suzan Nascimento


关于作者:


Caroline 从业经历丰富:在 Cigital 做咨询、在赛门铁克做产品经理、在 eBay 和 Zynga 担任部门领导。这些经历都为她进入信息安全行业打下了坚实基础。她是个优秀的意见领袖,在 RSA (美国和欧洲)、BSidesLV、IT Web Summit (南非)、OWASP AppSec、Metricon、The Executive Women’s Forum(女性领导力论坛)、ISC2 以及 Information Security Forum(信息安全论坛)等行业会议中都是引人瞩目的主角。2010 年,Caroline 获得“最具影响力女性奖”中的“最值得关注”类别奖;写成《安全度量:新手指南》一书,并在 2011 年由 McGraw-Hill 出版。Caroline 毕业于加利福尼亚大学伯克利分校,专业学习电气工程与计算机科学,并考取了斯坦福商学院的 CFA 证书。


不得不说,Caroline 的学习经历和职业生涯对大多女性而言,算是非常优秀,她本人也是值得学习的榜样。一位成功女性眼中的职场状况多少会乐观一些。回归报告的本意,不论是进入信息安全行业,还是做出其他选择,女性都可以尽力打破自我设限,带着更多信心和勇气去追求自己的人生目标。


正如 Twitter 红人、女性信息安全工作者 Tracy Z. Maleeff 所说:


不要害怕,也不要有任何的顾虑,大胆放手去做。要积极地向任何比你优秀的人寻求建议,因为他们能使我们进步。与此同时,要向他人分享我们的技巧和智慧,尽我们所能去帮助别人。要让你的声音被世界所听到,坚持你认为正确的事情,要让我们所做的事情和所说的话成为别人的指路明灯。

身处安全圈的你们身边有没有可爱敬业的女同事呢?欢迎在评论里晒一晒啊~是她们为这个行业增添了一抹亮丽的色彩。笔者的公司就有很多漂亮的萌妹子,感觉生活美好了不少呢!




相关新闻

大家都在学

课程详情

信息安全基础

课程详情

网络安全漫谈

课程详情

网络安全基础