你拥有名牌大学的计算机科学学位;毕业后的暑假还获得了几项安全认证;拥有近一年的工作经验——为一家小公司运营一套警报监控系统;在空闲时间,你还会在当地的动物收容所做志愿者。
你热爱自己的工作,但更喜欢远程办公,你的职业诉求是担任合规方面的角色。但问题是,如何创建一份吸引眼球的简历,并确保良好地工作匹配度?以下8个技巧将确保你的简历在人群中脱颖而出:
专注于流程而非工具
通信公司GCI Communication网络安全高级主管Peter Gregory表示,安全分析师候选人通常会列出他们知道的不同工具或标准,但对人事主管而言,更有用的是候选人所经历的安全流程和活动。示例包括分析和分类安全警报、执行风险分析或协调和促进内部及外部审计。
Gregory解释称,“一位列出一些工具的分析师告诉我,他们知道如何导航和操作工具,但他们知道为什么要这么做吗?还是说只是死记硬背‘要’这么做?但是,一位执行过安全活动的分析师表示他们了解这个过程——工具之外的工作。”
Gregory称,培训人员使用新工具要比培训流程容易得多。如果他们有使用工具A的经验,而我使用工具B,但他们熟悉流程,我将使用工具B对他们进行培训。流程培训比工具培训更有效。
他补充道,在简历末尾列出工具可能是个好主意,因为这样简历才有可能会被自动简历筛选系统注意到,否则可能会被过滤掉。
估算在关键任务上花费的时间百分比
CyberSN公司创始人兼首席执行官Deidre Diamond表示,如果能在简历中传达你在各种活动上花费的时间比例,那就更好了。如果你在过去两年中,将40%的时间用于漏洞测试,并将10%的时间用于执行内部安全审计,那么人事主管将更好地了解该职位是否与你的经验相匹配。
这一点对于像安全分析师这样的角色来说尤为如此。安全分析师一般从事许多不同级别的任务和项目,具体取决于公司规模、行业、他们保护的数据类型,以及是上市公司、私营公司还是政府部门。虽然简历中标注的都是安全分析师,而且他们也在申请安全分析师的职位,但最终的结果可能有5%的机会与安全分析师的角色不匹配。
实操经验必不可少
安全教育提供商InfoSec的首席安全研究员Keatron Evans表示,雇主越来越希望看到应试人员的实践经验。你做过抓包分析吗?你能否理解和解析日志或在云端完成过事件响应?在简历中强调这些实践经验非常重要。
招聘单位对于实践经验的需求很高,因为在当今时代,即使你没有担任过安全分析师的工作,也可以通过其他方式获得实践经验,例如InfoSec、Immersive Labs和Pluralsight等公司提供的培训练习。
Evans解释称,“以前,培训的主要表现形式是证书,它能够证明你可以做这些事情。但现在,虚拟训练环境已经成为更好地选择。如果候选人可以发送自己执行任务的五分钟屏幕截图,它的价值将远胜1000字。”
夺旗(CTF)竞赛是另一个亮点。如果你在知名的CTF活动中表现出色或完成了渗透测试,请务必将其置顶在简历上方。
Evans举例称,他曾聘请了一位拥有历史学士学位且没有正式网络安全经验的候选人,因为该候选人从头开始创建了一个个人网站,并将URL放置在自己的简历中。她展示了自己的实践能力和学习能力,这激起了我的兴趣。
把握“云”要素
根据Evans的说法,如果简历上的任何角色或活动包含“云”一词,那无疑是块敲门砖。他解释称。“疫情大流行带来的巨变,导致许多企业在完全没有计划的情况下迁移至云,因此急于招募可以在云中进行事件响应的人员。而这种人才又十分稀少,所以拥有云经验会使你的简历脱颖而出。”
Evans补充道,即便它不是针对事件响应或日志分析或类似的安全分析师类型的角色,任何云经验都会使候选人更具吸引力,因为他们可能比没有任何经验的人更快地学会适用的云事件响应和云安全原则。
不要忽视志愿者活动
你在网络安全领域外所做的事情可以很好地展示你的多样性,特别是如果你还没有机会在正式的工作角色中锻炼某些技能。实际上,志愿工作可以帮助展示软技能,如“主动性”或“组织技能”,这些软技能可能会为你的简历加分。Gregory 表示,“我非常看重主动性,当然,并不是你简单地在简历上写上自己有‘主动性’,而是向我证明你是自愿参与且付诸实践的。”
例如,你可以在简历中提出类似为当地非营利组织重组档案系统的经历。在网络领域,大多数组织并不具备从混乱中恢复秩序的能力,因此,如果你本身拥有“组织、创建流程或程序、将某些东西正规化、使其变得更好”的能力无疑是加分的。
此外,志愿工作也是获得网络实践经验的一种方式。非营利组织一直在寻找低收费或免费的网络安全帮助。可以说,已经为实际的组织实体设置了防火墙或进行了云迁移的候选人,将为自己开创一条康庄大道;Evans甚至建议为工作开具发票(即使收费为0美元)并请律师起草合同。这表明你知道如何完成工作,这一点同样很重要。
考虑工资、签证和地点等要求
求职者担心如果他们承认希望或需要远程工作、赚取特定薪水或获得签证赞助,他们可能会被pass掉。但是,如果这最终将成为接受工作机会的阻碍,他们可能一开始就要将这些信息考虑在内。
Diamond问道,“如果薪资不合适,何必浪费彼此时间?没有企业签证担保,多少人无法上岗就业?毕竟,企业的目标是进行高效对话,考虑所有这些信息可以帮助雇主筛选合适的人。”
Diamond补充道,与那些寻求入门级工作的人相比,考虑薪水等方面的要求可能更适合那些有更多经验的人。这些有经验的人知道什么样的薪水适合他们,所以表明薪水期望可以节省彼此很多时间。
列出你正在寻求的认证和技能,而不仅仅是你拥有的
不断学习的愿望对于任何网络安全候选人来说都是必不可少的,而展示这一点的方法就是明确你的目标,以及你为了实现目标做出的努力。更好的候选人正在“打持久战”,他们拥有职业抱负,希望有一天能够成长并从事更重要的工作。
你可以在简历中阐述自己正在努力实现的认证和技能,以及在你的“目标”段落中论述自己的短期和长期目标等细节来表达这一点。诚实地表达出你想做什么、你现在实现到了哪一步以及你想成为什么样。
请记住,如果你真的想进入合规等领域,但却正在申请SOC工作,这可能表明你只需要一份工作——任何工作都行。你应该确保自己申请的工作类型存在增长空间,而简历上的其他指标也表明你已经采取措施进入该领域。
经验优先于学历
对于大多数人事主管来说,本科学历可能没有候选人的实际经验重要。网络安全技能缺口不断扩大,以至于企业越来越不再看重候选人的学历,对于他们来说,能够立即投入工作远比学历重要得多。如果候选人具备实际经验,雇主也会放宽教育和认证证书方面的要求。
列出两年制学位可能很有价值,因为与四年制学位相比,它们的适应性更强,更符合现实世界的需求。
然而,对于那些刚进入就业市场的人来说,应该尽可能列出自己获得的任何学位,即便只是完成了一个具有挑战性的目标,因为它可以展示你的技能成熟度以及处理艰巨任务的韧性和能力。不过,如果一个人的职业生涯已超过15年,显然经验重于学历。
不可否认,认证仍然受到许多人事主管的重视,并将其视为四年制学位的“黄金搭档”。Evans当时聘请历史学士时,也是注意到她在大学毕业不到一年的时间里获得了两项入门级认证,网络+和安全+,所以认证还是存在重要意义的。