为网络安全带来微小而美好的改变

从白帽子到CISO的晋升之路

作为员工与管理者的双重身份,我既要考虑自己的晋升,也要为团队成员的晋升做好规划。从最初的业余白帽子到如今的CISO,这些年的职业生涯经历了许多高光时刻,也有过灰暗时期。晋升过程中,我踩了不少坑,多么希望有人能指引我,少走弯路。

行业增长放缓与个人晋升诉求之间的矛盾

互联网行业增长放缓。整个互联网2.0高速红利期已完全逝去,已进入存量竞争阶段,再也不是以前那种随便开拓一个方向就能赚的盆满钵满。

金融繁荣的前车之鉴。美国川普和拜登之间的矛盾,本质上因为过去几十年美国的货币宽松政策下,资产收益远高于劳动收益,导致贫富差距加剧。叠加制造业外迁,经济从工业转向虚拟行业,特别是信息服务和金融业,导致结构性和地域性的贫富差距加剧,最后产生无法融合的大割裂和阶级对立,最后造成社会和政治动荡。

深化金融行业的改革短期内进一步加剧压力。在共同富裕的背景下,在金融行业实行包括去杠杆、资本充足率、利率市场化、外资准入等措施。金融行业企业的竞争加剧、利润收缩,虽然长期来看能够有更好的市场透明度和效率的提升,有助于防范系统性金融风险,维护金融体系的稳定。之前各大的金融企业被爆出员工高薪情况,也在逐步被改变,所以近期出现中金等金融企业大幅降薪、平安银行裁撤上海分部等事件。

互联网早期的晋升制度已不再适用。那这和晋升的关系是什么呢?国内多数互联网公司都是从曾经那段互联网高速红利期,对于的组织制度都是在那个时间配套建设的。如今进入存量竞争阶段,这套组织制度已不再适应当前的业务发展。

每个员工在工作几年后,都会有晋升诉求。互联网企业中得到认可的两条主要路径是好绩效与晋升。晋升是一个统一的标准,它要求你有与下一层级对应的能力和结果,对于高层级的还需要有对应的岗位。比如你是一个P7,你所管理的团队和业务需要符合一个P8的要求,才有晋升的可能,这也是为什么P7升P8很难的原因之一。

在业务高速增长的时候,会从上到下得到快速晋升。比如某个业务团队技术负责人原本是P9,后来该业务迎来爆发发展,随着业务规模与增速的提升,该负责人就会晋升P10,这样就会创造出很多P9/8/7/6的岗位来承载需要晋升的人,对应他的所有下属都有可能扩充人员,也会晋升到下一层级。

但当前这样爆发的业务已经非常少了,大部分业务都在维持存量阶段。业务如果没有太大增长,就不会有大量人员晋升。但大部分员工都还是有晋升诉求的,这时候就会出现内卷,创造拆分业务、新岗位、新项目、新口径,来增加更多岗位。所有人的绩效都很好,可公司的业务增速还是很缓慢,所有人的目标都完成了,公司的目标没完成。

进入机会有限、资源有限,而且已经不再是努力就一定能晋升,这就会导致员工体感上的不适和情绪,但这些情绪还没法在部门内释放掉(这里会涉及另外一个问题,管理者权力过大)。

个人和公司不一致的晋升目标

对于公司来说,晋升是为了给公司未来选拔人才,是为了建设完善公司人才梯队,是为了选合适的人成事。公司关于晋升做的所有事情都围绕这个目标出发,一定不是为了让个人更加容易晋升而设定的。

对于个人来说,晋升是为了认可、更好的薪资待遇、更大的权力与团队。

  • 更显著的认可:晋升成功代表公司对自己的认可,晋升的层级就像是毕业时的学历,不需要去给人解释,在公司内部甚至外部都能得到对应的认可。
  • 更高的薪资以及薪资上限:每个层级有一个大致的薪资区间,晋升成功对应更高的薪资上限,未来每年好绩效的前提下不会被所在层级薪资区间所限制住。
  • 更大的权力:比如绩效决定权、薪资调整权、奖金分配权、招聘终面权限、某些权限无需申请。
  • 更高的福利:更多的假期、更高的差旅标准等等。
  • 更高的岗位和更大的责任:往往层级和岗位是两回事,但一般更高的层级对应更高的岗位。意味着需要承担更大的责任和团队,也拥有更高的话语权、决策权以及资源分配权力。拥有这些后,可以实现发展自己的专业领域。同时对外有更大的影响力,更多的人脉关系。更广的职业前景,未来跳槽更直接的认可以及涨薪。
  • 追求晋升的好处同时,也要认识到伴随着更大的压力、更少的生活时间、。

超预期的结果与下一层级的能力是晋升的基础条件

好结果和你的关联性。和传统认知不一致的点在于,并不是拿到好的结果就能晋升,在互联网发展早期,谁去做新业务都可能大概率拿到好的结果。但现在越来越看重好结果和你的关系,是否有体现出独特价值。

清晰的知道下一层级的能力。对于P5来说,专业扎实能够高效做好执行者。对于P6来说,专业突出,能够独当一面。对于P7来说,专业精深,系统思考,是领域专家。对于P8来说,视野开阔,深度和广度都能很不错。对于P9来说,深度广度高度缺一不可,要有无中生有的能力。对于8、9来说,核心的前提是岗位与层级的匹配程度。同样,拥有下一层级的能力并不意味着可以晋升,得同时拿到超出预期的结果。

晋升的理想状态是水到渠成。晋升应该是水到渠成,是令人信服、无争议、无异议的,晋升对的人是能够向团队传递正向导向。晋升应该是对过去的认可,不是奖励、人情、留人手段。是对未来的期待,是要承担更大的责任与挑战。

底层级需要有可行路径,高层级需要关注岗位的匹配度

可实现的晋升路径。主管经验更加丰富,能够预判事情能有什么样的成果。每个人是否能够晋升,应该是在主管的规划中的。应该确保每个人的事情努力后都能有晋升的可能。

你所在岗位与负责的事情是否足以支撑你前往下一层级?对于P8及以上层级,往往会在业务没有大突破的情况下,会看与岗位的匹配程度,这条隐性规则会成为晋升的默认前提条件。

岗位与层级是有对应关系的。你有见过不带人的高P吗?有,但非常非常少,在以业务发展优先的互联网企业,对于绝大部分的人来说不是一条合适的上升路径。

我在独角兽企业时,从白帽子到安全负责人的晋升路径都特别顺利。自从到了大厂后,五年没有晋升,核心就在于没有下一层级的岗位。在蚂蚁集团内部,一般某个公司的安全负责人是P9的岗位,细分安全方向负责人是P8的岗位。直到转来支付宝后,一年时间就升了两级。

往往内部晋升比招聘要更难

晋升的路径主要有两条,外部招聘与内部晋升。招聘场往往是一到两次技术面,而且面试官层级递增。而晋升场你的评委都是技术面,而且都是高层级。招聘场往往是给自己选人,往往受急迫程度、匹配程度影响。晋升场往往是给公司选人,受这些因素影响较小。因此会出现一个有趣的现象,有些人的晋升路径是通过频繁跳槽实现。

关于职场中晋升贵人

没有绝对的公平,只有相对的公正。待展开。

一些晋升答辩的经验

晋升评审是一个机制,机制就有他的运转逻辑,有逻辑就有是与非,也就有他的弊端。

一切的内容都是围绕体现下一层级的能力和超预期的结果。不需要堆砌事情,晋升讲清楚最多三件极具代表该层级能力的事情即可,明确挑战难点。辅以思考,体现独特价值。项目价值,客观量化数据。横向对比。未来思考与计划。不要说不擅长总结,这意味着你对事情的了解不够清楚。提前试讲,更加自信。了解评委可能关心的问题,并提前做好准备。

并不是所有评委都认识你,让评委在半小时内的演讲中无法客观了解你的能力。就像应聘一样,要辅以一些客观的背景,让对方快速了解你之前的在学校、企业与职位、结果与绩效等信息。

无法一个小时客观看到所有信息:在最开始一页讲清楚你的结果。评委每天要面对大量的晋升评审,无法聚精会神的听完你的每一页。总结所有的结果在一页,并放在最前面,先记住结果,再看怎么做。

35岁还没到P8怎么办?

35岁焦虑始终是要跨过去的坎。在以前,我会认为只要自己能力足够强,是不存在这个问题的,可经历的越多就越能认识到,对于绝大部分人来说,这个问题绕不过去。虽然目前各互联网企业都没有显性年龄歧视,但无形中的潜规则还是存在。35岁还没有进入基层管理岗位(P8),那之后的晋升难度会更大,离职去其他互联网公司的难度也更大(既不是管理又大于35岁),公司更容易找到35岁以下能力也很强的人。

晋升后会更加焦虑。我其实很难感同身受去讲这件事的经验(27岁时是P8),我只会跟你说我这一路最重要的经验是把每件事做到最好。可每个人的情况并不一样,我走过的路并不一定适合别人。但我可以告诉你,不同阶段有不同的压力,越往上压力越大,而且压力是从体力、脑力、心里递增,每上一个层级压力徒增。标准更严格,竞争更激烈。

充分强化自己最有优势的点。30几岁的正是成家立业的时候,不应该像20几岁一样拼体力般去做事情,要发现和挖掘自己独特的优势并强化它,做到万里挑一,做到行业最佳,你就可以享受它带来的红利,抵消其他的不足,甚至还有很多剩余价值。

转型到其他领域的可行性。待展开。

为网络安全带来微小而美好的改变
Loading