跳到主要内容

拿到结果

能力本身不等于结果。职业发展里真正被看见、被认可、被奖励的,通常是能力解决了什么关键问题,创造了什么可验证的价值。

核心策略

先找到重要问题,再设定高目标,最后用正确方法持续推进。结果不是忙出来的,而是围绕关键目标,把判断、资源、执行和复盘持续压到同一个方向上。

高目标

  • 如何设定网络安全目标。一个好的目标是事情成败的关键,在出现需要抉择的路口能指引我们朝着正确的方向去努力。
    • 目标来自哪里?很多情况下我们面临的问题是不明确的,老板的要求是不具体的,需要我们自己去寻找目标。多数情况下,我们的目标来自于上级老板目标的拆解。要拆解老板的目标,首先得理解上级方向、目标和策略,找准自己团队的定位和独特价值。与主管对焦其目标背后的意图,同时也需要了解各个横向团队和上下游的的规划,以及回过头看看做完这些事情对实际关键风险能起到控制作用。在确定目标之前,需要回归初心,想想你在团队中到底扮演了什么样的角色?是在为谁服务?能发挥什么价值?目标设定第一原则是从客户价值出发对于安全团队来说,脱离风险的目标设定是一切灾难的源头。我见过太多安全团队其实在自娱自乐,原因在于多数公司老板是不懂安全的,安全的事情基本上安全负责人说了算,导致如果愿景和目标没想清楚就会出现所做的事情对实际风险控制没有太大帮助,一旦遇到针对性的高级威胁所有的工作形同虚设。一旦目标错了后续一切都错了,因此在目标设定上多花些时间想清楚是值得的,此时的慢是为了后续的快。
    • **如何设定?**以应用安全团队为例,可以从风险角度出发,打开脑洞想一想我们期望将风险控制到什么程度。在此之前,我们需要先暂时抛弃行业的一些通用做法,惯性思维和先前经验,这些往往会将我们思想画地为牢。假设目标是:**没有漏洞?**没有漏洞不太可能,我们知道有人写代码就会产生漏洞。**有漏洞但不能被利用?**安全本质是对抗,任何防护都有可能被绕过。**有漏洞但都被我们发现了?**发现必然存在风险敞口。有漏洞都被我们上线前发现了?发现意味着必然存在遗漏。很多企业安全体系建设会有类似“重检测,快响应”的指导思想,这类做法有其优势,安全团队自行即可做好,可不足之处也非常明显,存在遗漏和风险敞口。检测必然存在遗漏,上线后面向的往往是全世界的攻击者,你和他们是同一起跑线,比谁更先挖出漏洞。但上线前可以将整体风险敞口缩小至企业内。这其中的风险对于任何以结果出发的企业来讲都是不可接受的。不断的发现和修复好像也有问题?需要的让写出来的漏洞不断减少,所以规避好于发现。这里提到的是“规避”而非“发现”,“发现”代表的是上线前一部分工作,此外上线前还有诸如意识提升、安全防护组件等工作,“规避”更能体现这些工作期望达成的目标。当通过上面的一次次的推敲后,会发现思路和路线逐渐清晰起来。此时可通过一句话直白的描述目标,这样大家就能一听就懂并且能快速记住:所有的安全风险在上线前高效规避,零软件安全风险能被利用。前半句是期望将风险规避在上线前,这和建设阶段相关,一旦风险上线后再去发现、感知、止血就必然存在遗漏和风险敞口,这对于风险敏感型企业是不可承受的,这是在引导后续的安全建设,为后续的安全建设指明方向。后半句是当有风险遗漏后也无法利用成功的,建设期间必然还是会有风险遗漏到线上,因此需要通过各种方法来解决各种遗漏的风险被利用的可能。**这其实就是我们这个部门的愿景,是指引我们长期建设的方向。**我们需要根据企业实际的情况,围绕愿景确定短期目标。不同公司不同阶段距离这个愿景的差距也不一样,也许距离还很遥远,也许快接近了。在这里我们将其定为两个O,**多数安全风险在上线前高效规避,极少软件安全风险可被利用。**可以看到这个目标是很有挑战性的,但也能激发大家的斗志,通过各种创新的方式去达成。但要注意不能照搬上级的O或简单的对上级的O进行数字上的拆解。这里可以看到目标有几个特性,用一句话清晰明确的体现客户价值,有挑战也有方向感,同时一层层拆解后的目标也有延续性。
    • OKR:接下来我将使用OKR(Objectives and Key Results,目标与关键结果)来描述目标设定,主要分为O(Objectives,目标)和KR(Key Results,关键结果)两步,O是指我们期望达成什么样的状态。KR是指哪些结果达成后能表明O完成了。确定了目标后,需要进一步拆解当哪些情况达到了就说明目标完成了,也就是确定KR(Key Results,关键结果)。KR最重要的点是看这些都达成了是否就能支撑O的完成,需要拆分到最细粒度且可衡量,但并非事无巨细的罗列,另外描述上要清晰易懂,有过程和结果,符合SMART原则。同时不宜过多,建议不超过5个。O:多数安全风险上线前高效规避。KR1:上线前高效发现绝大多数风险(上线前发现率>=NN%,自动化发现率>=NN%,公网接口评估率NN%,已发现风险0遗漏上线)KR2:重难点风险攻克(水平越权上线前遗漏N,逻辑漏洞遗漏<=N)KR3:整体漏洞趋势向好(千行代码漏洞率<=千分之N)。既然希望多数的安全风险上线前高效规避,首先多数风险应该是上线前被发现解决的,因此上线前漏洞发现率要有一个指标。但如果只有这个指标就会导致大量的人肉渗透测试工作,因此上线前的漏洞发现也需要自动化比例的。在不同阶段将面对不同的风险类型,因此对于其中的重难点风险可以单拎出来专项跟进,比如水平越权。虽然水平越权的数据也会反映在上线前发现、自动化发现率指标上,但从目标达成上来看,拎出来能获得更好的效果。整体风险都在上线前发现了,重难点风险也已经解决了,这还不够。这会导致陷入不断的漏洞发现、修复的循环,因此必须还要有一个正向指标来牵引,让漏洞越来越少。多数漏洞的产生都源自于写代码,那从整体来看相对新写出来的代码所产生的漏洞应该是相对的,因此可以使用千行代码漏洞率来看整体的漏洞趋势是否向好。O:极少软件安全风险能被利用KR1:绝大多数安全风险自主发现(自动化发现率>=NN%,可造成入侵、数据泄漏、资金损失的漏洞<=N),按时修复漏洞(修复率NNN%,修复时效达成率NNN%)KR2:高频持续推动外部机构检验(举办N次SRC高倍奖励众测,N次外部顶级厂商攻击,主动参加各类攻防比赛)KR3:及时全面应急Nday漏洞(应急平均时间<=Nh,应急遗漏次数<=N)KR4:增强高危0day漏洞防护(RASP可信防护NNN%,禁外联NNN%,三方软件流量可信覆盖率>=NNN%,依赖包投毒遗漏<=N,外采应用高危漏洞N遗漏)看完上线前,再看开上线后的。我们知道理论上必然存在各种遗漏到上线的风险,因此如何能保证风险上线了也无法被利用呢?第一部分就是让多数风险都是自主发现并解决掉,也就是自主发现率。同时当漏洞比较多的时候,还应该设定遗漏漏洞的绝对值,对那些可造成入侵、数据泄漏、资金损失的漏洞要小于几个。自主发现率是依赖外部人员挖掘漏洞的,那就有可能外部人员刚好没挖指标就躺着达成了。因此需要高频持续推动外部机构进行检验。可以通过举办多次SRC活动,并且根据建设阶段来设置高倍奖励来更大激发白帽子的兴趣。此外还可以通过购买外部顶级安全厂商的渗透测试和红蓝对抗服务。有条件的自己组建安全蓝军就更好了,同时各种免费的外部红蓝演练活动,比如各等级的HW要主动参与。除了上面我们自己写出的代码产生的漏洞外,我们所使用的各类软件、框架、组件依赖包等都会产生漏洞,其中一部分各类平台会有预警和分析,我们需要做的是确保及时的发现这类情报,并排查影响范围、止血以及推动修复等工作。但情报的覆盖范围是有限的,一些安装依赖包时触发后门这类高风险并没有可靠的情报源,针对此部分可通过设定相关指标来牵引安全建设。最后一部分是0day,这部分的防御确实很难,但始终要面对的。通过推动可信级的RASP覆盖所有应用来防止高危型的0day,并针对所有应用禁止回联外网,来缓解0day的风险。最后对于一些采购的三方软件,无法覆盖RASP,于是通过为其定制请求参数过滤,实现请求可信,来降低各类常见高危漏洞的防护,同时将这些外采应用都隔离起来,网络访问最小化,避免出现问题后影响范围扩大,并通过采购流程审批节点、非标机器申请等方式管控住增量的外采应用。
    • 追求过程还是追求结果:在制定KR时往往有一个误区,往往大家更多的在追求结果指标,而非过程指标。但实际情况时我们应该去定可以控制的指标,而不是结果指标。以上面提到的漏洞自主发现率为例,我们期望多数漏洞都是自己发现的,于是设定通过一个终极目标漏洞自主发现率作为KR来衡量安全漏洞发现工作的好坏。如果单单以这个作为最终指标,就可能产生对于外部发现的漏洞被低估或给的奖励少,甚至不主动举办安全众测活动。会发现影响这个指标的因素很多,也许我们什么都不做,也没有外部白帽子挖到我们漏洞,那指标也达成了。所以对于达成自主发现率那一定需要有支撑它的过程指标,我们会关注到底那些KR可以支撑自主发现率,比如公网每一个接口是否都进行了渗透测试、各类扫描器对公网漏洞是否都能及时有效的发现、每一次nday排查是否覆盖了所有公网应用、是否有邀请外部各种白帽子、安全公司进行高强度检验来验证最终效果等。所以我们应该关注驱动一件事情最核心的要素,而不是关注事情发生后的效果
    • OKR和KPI区别。两者本质都是为了促进目标达成。其最大的区别在于是否为目标导向,在KPI的模式下,更加侧重的是对结果的考核,看最终的衡量指标是否达成了。这会导致一些问题,比如设置目标的时候要求没那么高、指标定的没那么合理,或是采取一些取巧的方式去达成,甚至使用一些损害用户价值的方式去实现。而OKR则是以目标为出发点,并通过对关键结果的描述来判断最终目标是否达成,它能够让全员参与逐级从上到下分解,也可以从下到上对焦。举例来说,KPI有点像运动裁判,他会拿着秒表关注你最终的成绩。OKR有点像运动教练,也会关注你的成绩,但同时更加关注你的运动方式、运动强度、饮食作息等是否能支撑你拿到好的成绩。听着好像是OKR比KPI要好,那为何之前阿里巴巴会使用KPI呢?大家都知道阿里的价值观,其中就有客户第一,以及对管理者的要求也会有客户价值优先的体现。也就是说在之前阿里依靠的是管理成熟度和文化价值观来驱动大家设立正确的KPI,但随着新进的管理者比例提高,管理成熟度变低的同时公司文化传递效率也存在问题,所以逐步通过OKR这类工具来支撑。同时也能够提升组织的运转效率。但有一点要说明,不同公司对于OKR的理解和实施都不太一样,阿里这边目前阶段更多的是通过OKR和KPI融合的方式。
    • 上下左右对焦目标。定好OKR后,还需要去持续与上下左右对焦。我们的OKR是否能有效的支撑上级的O。能影响我们OKR的相关方是否知道,需要谁的支持时我们OKR是否在对方OKR中。这其中对于直接参与OKR的人员需要就行宣讲,听得懂目标,记得住目标,同时对目标的理解一致,让每个人都能找到自己的位置,知道自己的职责和价值,让参与的人员知道目标达成后对公司的价值,能让我们的安全达到一个新的水位。对焦完之后需要跟进好OKR,这就需要制定达成策略以及里程碑制定,确定一号位和各子域负责人,并持续跟踪。
  • 做正确的事情,用正确的方法
  • 找到并聚焦痛点问题,敢于挑战高目标,并去做到极致
    • 第一性原理:物理学是铁律,其它都是建议
    • 重点事情极少,做好重点事情就能产生极大的效果。我们的人生被大大小小的事情占据,无论是回溯自己过去一生还是去年甚至一个季度,那些最大的成就、最精彩的生活阅历、最珍贵的人际关系、最成功投资,都只是其中很小的一部分事情。
    • 找到重点已经比多数人优秀了
      • 什么是重要的事情:能带来很大的好处或坏处、影响面广、延续性强
      • 并不存在每件事都很重要
      • 并不需要同时处理多件事,也不用让每件事都做到最好
    • 做正确的事情而非容易的事情
    • 每件事情从完成到完美,先做到某个细分的最好,先做好60分,再努力100分。蚂蚁新人培训班上,有新来的同学问我有什么经验分享给他们?我回想了这么多年,如果只说一条的经验的话,就是把每件事做到最好,做到你自己认为的最好,做到你团队内最好,做到公司做好,做到行业最好。我没有其他人的名校、也没有很多人的天赋,如今更没法和别人拼体力。但我知道深入每一件事,比别人多思考一些,多行动一些,在现有基础上做的再好一些,就能有不一样的效果。
    • 充分利用有限的资源,赋予无限的创意思维,即使只有一两点的与众不同,也可以取得巨大成功
    • 不断试错改进
    • 例子:在当年,开源很火爆,导致GitHub敏感信息泄漏的问题比较突出,当时已经有好几个开源工具能扫描发现这个问题。但我却发现,他们有一个非常根本的问题没解决好:发现时效。大部分要几分钟甚至十几分钟,这个时间攻击者可能都已经发现这个风险并利用完了。于是自己研究了下GitHub的API频率和搜索匹配机制,很快就写出来了GSIL,并拿着漏洞平台上的企业做测试和调优,几乎可以做到秒级别的发现,拿着这一个漏洞类型发现了国内外各家企业大量代码泄漏风险,每个月稳定一万多收入。在这个例子中,我的挖洞技术并不比那些白帽子好,我的研发技术并不比那些工程师好,但我能发现里面的机会点,并不断使用反馈优化每个细节做到最好。
    • 例子:0day防御一直是安全行业的难题,当我们希望能攻坚这个问题时,非常多的人第一反应是不可能。当我们基于RASP实现了针对应用的底层命令执行、文件访问、网络访问、JNI、字节码、序列化等行为进行刻画,实现从原来基于攻击特征转变为了只运行应用执行预期内的行为,在大范围覆盖后,真的能免疫之前那些fastjson、log4j的通杀漏洞。绝大部分人听到这个事情后,第一反应是成本非常高吧,但实际这是我们半个同学完成的事情。

拿结果

  • 每件事最到最好。只有把每件事最道自己认为的最好、团队中最好、公司中最好、行业内最好,才更有可能取得引入注目的成就。每件事是指无论大事小事,可以选择不做,但既然做了就要都要符合最好的标准。

    • 学习你对应层级最优秀的人甚至下个层级的人。我们总是过度看重那些自己崇拜的偶像,总是把他们的话当成至理名言。但我们最应该学习的是那些和自己差不多年龄,能力却比自己优秀的人,这些人的做事、思考对我们的帮助会更直接。

  • 每件事都会在未来某个时候产生结果。每件事不一定都能在立刻显现结果,但都是在未来人生打下基础,播下种子,未来就会收获到对应果实。

  • 做好时间管理。规划好你的日程。当事情复杂程度超过了个人能力时,用清单管理关键节点

    • 要事优先
    • 以终为始
    • 守时。
    • 时间分为小时为单位的日程时间以及以半天为单位的创作者时间。时间并不是被拆的力度越细越好,面对不同的任务,需要区分考虑。

  • 如何跟进事情

    • 意义:共同对焦目标和价值,最大限度激发员工的参与感和内在动力,及早发现问题解决问题。
    • 跟进关键任务:问进展、问风险、给建议、做辅导。
    • 多给空间多观察:多放手给员工完成规划的时间和空间,少干预。在用的过程中养人,在养的过程中用人。
    • 多沟通:1v1沟通:加强与同学的信任和了解。团队沟通:促进团队彼此的了解和共识。形式要接地气:不假大空、不矫揉造作、没有架子、自然就好、直接、直言有讳。内容要讲人话:简单、言简意赅、清楚明确。心态要视人为人:开放、待人要真诚、真情实感、有原则、捍卫自己的观点。向上沟通:有胆量。
    • 跟进时的常见误区:* 到了deadline才检查,过程中不跟进 * 不讲why,不给方法 * 关注how much,而不是how * 把追结果当做追过程 * 不够持续,随性工作 * 过渡的干预和打断会让员工束手束脚,抓重点 * 不影响项目推进的情况下,允许员工犯小错

  • 如何复盘:用好的复盘挖根源、快复制,根据状况及时调整策略、任务、分工,做好上传下递,开启新一轮策略打法沟通共识

    • 何时需复盘?业务进展理想,数据漂亮时要复盘:总结经验和方法,复制到更多的团队和业务,总结规律,形成流程,转化为团队的财富。业务进展不理想,与预期有偏差要复盘:追其根源,快速调优和改善,避免同样的错误再发生。小事及时复盘:行动结束或问题发生,及时复盘,制定改进方案并落实。大事阶段性复盘:大的项目要阶段性复盘(每周、每两周)对焦目标,策略及时调整。事后全面复盘:大项目或大战役结束后要进行总结复盘,找到规律,汲取教训
    • 复盘原则:* 希望达成什么样的目的,比如让相关方重视相关问题 * 要确定有什么结论和action,action要明确到人和时间 * 涉及的相关同学要拉齐,要明确大家能到场 * 拉上大领导对事件就行表态,让大家意识和重视程度更高 * 可以事前分别跟各方对齐各类事情,避免会上争论,提高开会效率 * 讲的内容要让参会的各方都能听懂

  • 平衡工作与生活

    • 让自己始终处在舒适区边缘
    • 工作时注意留点时间休息,比如下午三四点,避免下班后觉得没有全在工作没有个人时间,导致熬夜

好绩效

绩效的衡量标准是贡献。不是过程中努力用心加班付出了苦劳,不是和老板关系好,不是谁来了多久,也不是KPI数字的达成情况,而是要从更高维度回顾结果对部门甚至公司的贡献程度。对于安全团队来说,是指对控制风险的贡献。

把领导当做你的客户。在以前,我总觉得把事情做好,其它都不重要。但现实情况是,在如今的企业组织中,领导的权利和责任都很大,领导的管理范围比较大,这就导致在他有限的精力下,他会关注他视角下重要的事情,他并不能像上帝一样看清所有事情。而他又是几乎唯一那个对你的绩效、奖金、晋升等有直接决策权的人,你告诉我,你是领导你如何决定?

  • 解决部门(领导)的痛点问题。站在部门的视角,看看有哪些痛点问题,在这些事情上做出成绩,你所做的事情对部门的贡献决定了你的价值程度。
  • 例子:在网商银行四年,由于我有安全架构师的身份,让我可以更多从部门视角看待风险和事情,继而决定资源投入那些事情上。这是四年高绩效的基础,也是能得到领导的信任的前提。

绩效的本质是对高贡献者肯定以及对低贡献者警示。无论是否存在361的强制比例,公司基本上遵从物竞天择,优秀的人拿更好的奖励,不优秀的人需要被淘汰。往往会形成强者恒强的良性循环。绝不能吃大锅饭、不能让明显长期跟不上队伍的人留在队伍。

奖金受多方因素影响。在个人绩效优秀的前提下,好绩效排序、价值观与潜力、层级平均工作、部门绩效、公司业绩都会对最终奖金产生影响。

快晋升

行业增长放缓与个人晋升诉求之间的矛盾。互联网行业增长放缓。整个互联网2.0高速红利期已完全逝去,已进入存量竞争阶段,再也不是以前那种随便开拓一个方向就能赚的盆满钵满。金融繁荣的前车之鉴。美国川普和拜登之间的矛盾,本质上因为过去几十年美国的货币宽松政策下,资产收益远高于劳动收益,导致贫富差距加剧。叠加制造业外迁,经济从工业转向虚拟行业,特别是信息服务和金融业,导致结构性和地域性的贫富差距加剧,最后产生无法融合的大割裂和阶级对立,最后造成社会和政治动荡。深化金融行业的改革短期内进一步加剧压力。在共同富裕的背景下,在金融行业实行包括去杠杆、资本充足率、利率市场化、外资准入等措施。金融行业企业的竞争加剧、利润收缩,虽然长期来看能够有更好的市场透明度和效率的提升,有助于防范系统性金融风险,维护金融体系的稳定。之前各大的金融企业被爆出员工高薪情况,也在逐步被改变,所以近期出现中金等金融企业大幅降薪、平安银行裁撤上海分部等事件。互联网早期的晋升制度已不再适用。那这和晋升的关系是什么呢?国内多数互联网公司都是从曾经那段互联网高速红利期,对于的组织制度都是在那个时间配套建设的。如今进入存量竞争阶段,这套组织制度已不再适应当前的业务发展。每个员工在工作几年后,都会有晋升诉求。互联网企业中得到认可的两条主要路径是好绩效与晋升。晋升是一个统一的标准,它要求你有与下一层级对应的能力和结果,对于高层级的还需要有对应的岗位。比如你是一个P7,你所管理的团队和业务需要符合一个P8的要求,才有晋升的可能,这也是为什么P7升P8很难的原因之一。在业务高速增长的时候,会从上到下得到快速晋升。比如某个业务团队技术负责人原本是P9,后来该业务迎来爆发发展,随着业务规模与增速的提升,该负责人就会晋升P10,这样就会创造出很多P9/8/7/6的岗位来承载需要晋升的人,对应他的所有下属都有可能扩充人员,也会晋升到下一层级。但当前这样爆发的业务已经非常少了,大部分业务都在维持存量阶段。业务如果没有太大增长,就不会有大量人员晋升。但大部分员工都还是有晋升诉求的,这时候就会出现内卷,创造拆分业务、新岗位、新项目、新口径,来增加更多岗位。所有人的绩效都很好,可公司的业务增速还是很缓慢,所有人的目标都完成了,公司的目标没完成。进入机会有限、资源有限,而且已经不再是努力就一定能晋升,这就会导致员工体感上的不适和情绪,但这些情绪还没法在部门内释放掉(这里会涉及另外一个问题,管理者权力过大)。

**个人和公司不一致的晋升目标。对于公司来说,晋升是为了给公司未来选拔人才,是为了建设完善公司人才梯队,是为了选合适的人成事。**公司关于晋升做的所有事情都围绕这个目标出发,一定不是为了让个人更加容易晋升而设定的。对于个人来说,晋升是为了认可、更好的薪资待遇、更大的权力与团队。更显著的认可:晋升成功代表公司对自己的认可,晋升的层级就像是毕业时的学历,不需要去给人解释,在公司内部甚至外部都能得到对应的认可。更高的薪资以及薪资上限:每个层级有一个大致的薪资区间,晋升成功对应更高的薪资上限,未来每年好绩效的前提下不会被所在层级薪资区间所限制住。更大的权力:比如绩效决定权、薪资调整权、奖金分配权、招聘终面权限、某些权限无需申请。更高的福利:更多的假期、更高的差旅标准等等。更高的岗位和更大的责任:往往层级和岗位是两回事,但一般更高的层级对应更高的岗位。意味着需要承担更大的责任和团队,也拥有更高的话语权、决策权以及资源分配权力。拥有这些后,可以实现发展自己的专业领域。同时对外有更大的影响力,更多的人脉关系。更广的职业前景,未来跳槽更直接的认可以及涨薪。

**超预期的结果与下一层级的能力是晋升的基础条件。好结果和你的关联性。**和传统认知不一致的点在于,并不是拿到好的结果就能晋升,在互联网发展早期,谁去做新业务都可能大概率拿到好的结果。但现在越来越看重好结果和你的关系,是否有体现出独特价值。**清晰的知道下一层级的能力。**对于P5来说,专业扎实能够高效做好执行者。对于P6来说,专业突出,能够独当一面。对于P7来说,专业精深,系统思考,是领域专家。对于P8来说,视野开阔,深度和广度都能很不错。对于P9来说,深度广度高度缺一不可,要有无中生有的能力。对于8、9来说,核心的前提是岗位与层级的匹配程度。同样,拥有下一层级的能力并不意味着可以晋升,得同时拿到超出预期的结果。**晋升的理想状态是水到渠成。**晋升应该是水到渠成,是令人信服、无争议、无异议的,晋升对的人是能够向团队传递正向导向。晋升应该是对过去的认可,不是奖励、人情、留人手段。是对未来的期待,是要承担更大的责任与挑战。

底层级需要有可行路径,高层级需要关注岗位的匹配度。可实现的晋升路径。主管经验更加丰富,能够预判事情能有什么样的成果。每个人是否能够晋升,应该是在主管的规划中的。应该确保每个人的事情努力后都能有晋升的可能。**你所在岗位与负责的事情是否足以支撑你前往下一层级?**对于P8及以上层级,往往会在业务没有大突破的情况下,会看与岗位的匹配程度,这条隐性规则会成为晋升的默认前提条件。岗位与层级是有对应关系的。你有见过不带人的高P吗?有,但非常非常少,在以业务发展优先的互联网企业,对于绝大部分的人来说不是一条合适的上升路径。我在独角兽企业时,从白帽子到安全负责人的晋升路径都特别顺利。自从到了大厂后,五年没有晋升,核心就在于没有下一层级的岗位。在蚂蚁集团内部,一般某个公司的安全负责人是P9的岗位,细分安全方向负责人是P8的岗位。直到转来支付宝后,一年时间就升了两级。

**往往内部晋升比招聘要更难。**晋升的路径主要有两条,外部招聘与内部晋升。招聘场往往是一到两次技术面,而且面试官层级递增。而晋升场你的评委都是技术面,而且都是高层级。招聘场往往是给自己选人,往往受急迫程度、匹配程度影响。晋升场往往是给公司选人,受这些因素影响较小。因此会出现一个有趣的现象,有些人的晋升路径是通过频繁跳槽实现。

晋升内容准备关键经验。展示核心能力,而非罗列项目。展示领导力。深入思考。强调数据度量与变化。简洁易懂。练习。

**一些晋升答辩的经验。**晋升评审是一个机制,机制就有他的运转逻辑,有逻辑就有是与非,也就有他的弊端。一切的内容都是围绕体现下一层级的能力和超预期的结果。不需要堆砌事情,晋升讲清楚最多三件极具代表该层级能力的事情即可,明确挑战难点。辅以思考,体现独特价值。项目价值,客观量化数据。横向对比。未来思考与计划。不要说不擅长总结,这意味着你对事情的了解不够清楚。提前试讲,更加自信。了解评委可能关心的问题,并提前做好准备。并不是所有评委都认识你,让评委在半小时内的演讲中无法客观了解你的能力。就像应聘一样,要辅以一些客观的背景,让对方快速了解你之前的在学校、企业与职位、结果与绩效等信息。无法一个小时客观看到所有信息:在最开始一页讲清楚你的结果。评委每天要面对大量的晋升评审,无法聚精会神的听完你的每一页。总结所有的结果在一页,并放在最前面,先记住结果,再看怎么做。晋升是你工作过程中最重要的事情之一,应当作为最高优先级事项,去投入在提名、材料准备、答辩等环节中。找到那些晋升成功的人取经,了解他们曾经的流程、问题、评委等,最好是拿到他们当时晋升的材料进行学习,这样至少能保证不会在一些常见问题上犯错。找到你的老板、高层级同事给你的材料提建议。让日常合作伙伴看到你的专业能力,部分层级晋升时需要邀请合作伙伴360环评。晋升的人选往往是能够持续做出超期预期的结果,践行公司价值观,在团队中有正向影响,同时必须还有发展潜力(很多35岁的人却少潜力)。组织是否需要;岗位是否匹配;绩效是否足够好;能力是否足够强;未来是否能承担更大职责;

**35岁还没到P8怎么办?**很多人会焦虑自己年纪大了,还没晋升到管理层。晋升到管理层后会更加焦虑。每个人的情况并不一样,我走过的路并不一定适合别人。我其实很难感同身受去讲年纪大还没晋升成功的经验,但我却清晰的知道晋升到管理层只会让你更加焦虑。原先作为二把手的时候,只需要带着大家做好事情就好。成为一号位后,才知道原来一号位替你挡了那么多事情。层级越高,人越少,标准更严格,竞争更激烈,好绩效越难拿。低层级的好绩效和高一层级的一般绩效所拿到的薪资差别不会特别大,但高层级的压力,体力、脑力、心力的付出多的可不是一点。充分强化自己最有优势的点。30几岁的正是成家立业的时候,不应该像20几岁一样拼体力般去做事情,要发现和挖掘自己独特的优势并强化它,做到万里挑一,做到行业最佳,你就可以享受它带来的红利,抵消其他的不足,甚至还有很多剩余价值。拿支付宝的安全岗位来说,你如果是公司所有安全人员中最了解支付业务的安全性,你的不可替代性就非常高,裁你的可能性就非常低。同时你能更高效的发现和处置各种风险,拿到更好的结果,更快的去晋升。**努力很重要,但机会更重要。**在以前,我会认为只要自己能力足够强,是不存在晋升不上去的情况,可现实告诉我们不是这样的。假如你在错误的时间进入团队(比如下半年,那当年至少没有好绩效,就算第二年有好绩效也有可能比不过那些连续好绩效的),跟着错误的老板(老板本身没有好的规划,所作的事情也不会更上层老板重视,他团队所获得的晋升名额也会减少),在错误的位置(你做的事情根本没发挥出你的能力),做着错误的项目(这项目可能很难出结果),就算做出花来也有可能无法晋升。虽然目前各互联网企业都没有显性年龄歧视,但无形中的潜规则是不可否认的。35岁还没有进入基层管理岗位(P8),那之后的晋升难度会更大,离职去其他互联网公司的难度也更大(既不是管理又大于35岁),公司更容易找到35岁以下能力也很强的人。因此,要抓住那些可能让你晋升到下一级的机会,这个可能会出现在有不错的新岗位、新项目等。做好随时可以离开的准备。裁员有很多种情况,有能力不足跟不上的常态淘汰,也有部门合并导致的冗余裁员,还有公司整体业务发展不行或者某个业务线不行而进行的无差别裁员。无论从哪种情况来看,我这几年被裁的概率都很低,但我从不把命运寄托在外部,更不想去赌公司不会裁我,我的方式是让自己做好随时被裁的准备。从心里上,工作十多年来,也希望能够停下来休整一段时间,去做做除了安全以外热爱的事情,比如自驾环游中国、陪陪家人过过慢节奏生活。从经济上,提前还完所有债务(多数人的债务主要是房车车子),降低日常固定支出(主要是不要买那些贵的大件,日常支出花不了什么钱),让投资理财的收益覆盖日常固定支出(做好前面后这一点真的不难)。同时由于安全岗位的特殊性,一般都会有竞业补偿,加上裁员赔偿,应该也是一笔不少的收入。做完这些后,有时候还有点期待这天的到来。

当你越优秀,你遇到贵人的几率就越大。比如我这些年遇到的职场贵人

被裁员

做好随时可以“被裁”而又不用工作的准备。最近的《逆行人生》、《凡人歌》的剧情都是年纪大后被裁,去送外卖。身边也越来越多的人为35岁而焦虑。在这里,我并不想多谈如何做让自己不被裁或者被裁后还能轻松的找到工作,而是如何让自己做好随时可以“被裁”的同时又不用为工作发愁。原因在于企业裁员的情况有很多,可能是常态淘汰,也可能是业务调整合并,对于个人来说后者是不可控的。也有主动的情况,比如个人成就感缺失进入职场倦怠期,或者因为抑郁症、癌症等健康原因。首先在心理上,让自己有除了工作以外热爱并且能长期持续的事情,比如我一直希望能够环游世界,如果被裁就可以去圆梦了。同时要让自己能够认识到,人不一定需要工作,人生也不只是工作,钱和价值感有很多方式获得。我们工作时间也不短了,暂停一年换一种活法也让自己有另外一种可能性。所以这事情要从现在就开始准备,不用等有空了之后,现在就去探索一些有意思的事情,比如房车/床车改装、露营、徒步、自驾、摄影等等这些未来环游世界所需要用到的技能。从经济上,回顾工作这些年的支出情况,主要还是房子和车子,房子的首付、房贷和利息、装修等,这部分占比最高,因此要优先把这部分早点还清。其次是车子以及换车折损。日常控制欲望,不要买奢侈品和大额商品的前提下,真的花不了什么钱。通过投资理财来覆盖日常的消费支出,难度并不高。

被裁的一些基本知识。入职一家公司后,除非你主动离职,否则所有情况(绩效不达标/合同到期/业务调整等)下,你都将获得赔偿。赔偿额度往往是可以商量的。竞业也是可以商量的。

本章内容大纲