--3

roby_mp

到现在我还记得刚来公司时，老板对我说的一句话。所谓职业规划，不是规划出来的，而是做出来的。回头来体会这句话，真是让人感慨良多，起码我自己这几年的路就不算是规划出来的，真是走一步做一步，溯水而行，尤感吃力。有时候也不免在想，如果我当年毕业就能去五大（可惜过去不容假设，人生也没有如果……），那走的又会是什么样的路呢？或者说，那些毕业就直接在五大熏陶的幸运儿，他们几年做下来，对安全又有怎样的认识呢？
从产品、集成、服务，做到咨询，先技术后顾问。不同的是咨询与技术比较起来，挑战更大、收获也更多（或许是因为一直没在技术中深入下去的原因，有些同仁可能感觉恰恰相反）。有古言道“自古美人如英雄，不许人间见白头”，而顾问恰恰是白头的好——可见，做顾问，是没办法成为英雄的，美女顾问，那更是传说中的存在了。
说到挑战，和任何管理咨询一样，安全顾问也需要先考虑自己的角色定位。在任何从企业风险层面出发的安全项目中，客户希望的理想顾问当然是在行业经验业务分析、安全管理两方面都能有深入理解并为他们带去最佳实践的人，但实际上由于安全行业的发展现状，个人认为能做好后者、在前者上掌握方法的顾问就是一个好的顾问。安全管理（不是仅focus在IT）方面有丰富经验与深入理解来不得半点机巧，必然要在多个领域积累实施经验；在业务分析、行业经验掌握方面由于对顾问的高要求实际上不可能（除非真的象台湾那样，让五十多岁的老头带队做咨询），反而强调方法更具可操作性。我的感受在于“一少，三多”，即多沟通、少说、多听、多归纳。无论是管理体系还是内部控制体系建设，在项目中多计划些和组织的各个层面人员沟通的活动永远不会错，沟通时少说多听；至于多归纳，我觉得要点是在缺乏行业经验的状况下，需要充分掌握安全管理在不同行业内的几个基本原则，将听到的任何收获或客户的challenge归纳入这几个基本原则中，结构化思考，这样无论在多高的level、对行业管理理解多深的客户面前总能巍然不动（我想应该不会碰到一个对在业务与安全管理两方面都有很深理解的人吧，真有这样的人，那你们应该更容易达成共识了）。
说到收获，个人觉得得源于顾问的超然角色。他能多层次、多角度地深入到组织的各个function，能汇聚最真实的需求（大部分的时候比客户自己更了解自己——错位理解——比如他可能比IT部门更了解整个公司的安全需求）、也能听到最精辟的见解（组织中问题的解决方案的最佳实践往往来源组织内部人员）。几个不同行业不同类型项目做下来，作为中心点，一个顾问那儿该集粹了多少真知灼见！如果他同时是一个善于总结、结构化思考的人，他的value的确会越来越大。说件真实的体会，做完项目后有段时间参与公司一些安全产品选型，十几家厂商轮流给我们做presentation，其中不乏象Symantec、MS这样的顶尖公司，换个角色坐在下面听别人讲，真是感触颇多。十几个演讲者竟然只有两个明白用户需要什么、坐在下面的人想听什么，大部分人表现平平，部分技术人员的讲解更是达到惨不卒听的地步……当时就想，几年前我在给别人讲密密麻麻的拓扑图时，估计就被听众归为最后一类吧。
最后还是回到职业规划中来。从角色中抽离出来，作为一个有些经验的从业者，我觉得对于新入者而言，顾问的世界还是很狭窄的，远远不是唯一的选择也可能不是最好的选择。在安全这个行当，虽然国内的确有个“圈子”在大声说话，但也还有众多的人没出声（或者说过一段后又重新选择了沉默），而在一些专门的领域深入进去了，甚至已经愈行愈远、愈行愈好。这样的人才是推动国内安全行业前进的力量，他们应该值得我们尊敬。
一位业界同仁在网上有句话，“有才而性缓定属大才，有智而气和斯为大智”，诚哉斯言！性缓者定，其心不扰，则能生天下万物也。安全界的一步步推陈出新，必然靠这些人。能不能性缓而定，把自己的才真正用起来，是决定自己职业方向的最重要准则。耐不住寂寞的，向左走；耐得住寂寞的，向右走。至于最终会走到哪里，那得看上帝的了。
实际上，据我了解，从1999年或之前开始从业的那批人（基本上都是网上著名的大牛）早已各安其身。或者深入到安全的某个领域在国内一些重要企业作为顶梁柱，或者重新回归学术化研究“入朝”成为国家级专家，或者“在野”创自己的公司。甚至更后一批，包括我的同事们，也开始在安全行业成为骨干，或者在五大们里默默前行，或者继续在国内咨询界内完善自己的方法论，或者在做真正的安全评估，或者去做了甲方力图改变我们的土壤，或者投入到新的安全领域中去开创新天地。无论具体做什么，因为他们曾经和现在的努力，对于后来者而言，他们总是榜样。
图二 殊途同归?
三年技术，三年顾问。下一站，又会到哪里？说实话，现在心里也没底，这个时候还真的庆幸有“职业不是规划出来”这么个道理，只能跟自己说：just do it。或许正如上图二（个人的闲来涂鸦），做安全咨询的人还真的很容易沿着将“安全的外延”扩大这条路走下去，先做IT的安全，再做企业安全，直至扩展到企业内部风险控制，无论在甲方还是乙方，或许最终将与IT管理殊途同归(另外一条路也可以从IT的安全出发，再涉及IT的其它方面，不断扩大IT的内涵，最终落实到全面的内部控制)。按照当前许多企业对CIO的定位，或许那些没法创业、也无法在某个领域深入下去创新的顾问们，不用别人来抢饭碗，几年之后，真的只能去做CIO了。
后记
终于写完，不管好坏，还是松了口气，就算全世界的黑客一同攻击，也无法将它化为无形了。刚开始时藉着一点冲动，思绪纷踏而至，一时还真以为自己有很多感受。写着写着，发现下笔越来越弱，几欲中断。最后撑着把它写完的动力，竟然来源于多年写report的习惯，真不知道该说什么好了。很多想法都是第一次拿出来，视野所限，肯定有错陋之处，希望大家能在交流中指正。

古诗有云，“人生天地间，或如远行客”；李白说，“夫天地者，万物之逆旅也；光阴者，百代之过客也”；到了苏轼这里更加洒脱：“人生如逆旅，我亦是行人”。逆旅是客舍的意思，对于顾问来说，宾馆是客舍，有时候公司何尝不是？——这话有点悲观，但“行”字，毕竟有昂扬之意。几年来在公司与客户之间奔走，是劳碌，也是前行，用“六年如逆旅，我亦是行人”作为本文名字，是希望能和大家共勉。