https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

觀點

拜見資安行家(上)

2004 / 06 / 07
陳貞璆、邱詩琁
拜見資安行家(上)

萬幼筠:顧問眼中沒有無解的資安問題!(勤業眾信風險顧問協理)
談到資安,國內不少投入資安建置的政府單位、大型企業都會提到資安顧問界的行家-勤業眾信萬幼筠協理。他雖為五年級生,但在資訊及資安領域卻是超過20年以上資歷的資安大老,處理過的資安案子不下數百件。


工作檔期除了滿還是滿,行程通常都排到一、兩個星期以後,一天工作時間平均12到13個小時是正常。但是,即使面臨工作滿載的情況,萬幼筠還是會抽空擠出時間,去教授一些資安相關課程,因為他認為台灣的資安教育環境和資安產業有斷層,他希望可以就目前他能力範圍內,為資安產業造就更多人才。


萬幼筠謙虛的說,他其實是專門幫客戶解決各項資安疑難雜症的專家,客戶一般會有一種心態也可以說是一種對顧問的迷思,覺得花重金請來顧問,就應當什麼都要會解決,因此舉凡任何資安相關事情,就算是客戶與其他資安廠商合作解決不了的資安問題,也會一併轉向萬幼筠請益。


為了給客戶滿意的資安服務,行程滿檔、不斷與客戶溝通、接不完的電話,都是資安顧問普遍有的工作現象。所以資安顧問的抗壓性也要夠,要懂得如何排譴自己壓力。萬幼筠分享他的抗壓祕方,就是透過大量的閱讀,充實新知並增加自己的能力。萬幼筠強調,其實顧問業是很容易被知識掏空的行業,因此他只要閒暇時間,就會閱讀各類型的書籍來充電。他覺得,資安不只是單一領域的專業,更需要多面項的去吸收各種不同領域的知識。


成功在於落實,忌唱高調

他更分享經營顧問工作的心得,其指出,顧問最忌諱的就是只會唱高調,而沒有務實的心態,因此顧問是否擁有實際落實執行的能力,以及是否有用心投入才是最重要的部份。而令他覺得最有成就成的事,就是當別人不能解決的問題,你卻可以迎刃而解,即使工作壓力和挑戰再艱巨都很值得。


萬幼筠相當有自信的表示,通常客戶與我們團隊的關係都相當深厚,因為我們從不延宕,而且實際用心投入,只要經過一次的交手印象就會相當深刻、粘著度也會很深。


沒有無解資安問題!

從每次的合作過程當中,萬幼筠都有很深的體悟,他發現,天下沒有不能解決的資安”技術”問題,最大的資安問題在於”人”。


資安的技術與觀念通常只要擁有正確的方法論,並有實際執行的能力加上經驗就已成功了一大半。在國外學校所重視並在教導也就是一套方法論,如何能實際應用出來就是每個人的功力所在。


選擇資安只因寧為雞首

從小就立志當學者和顧問的萬幼筠認為,目前的工作正讓他實現了小時候的志向。至於當初為何選擇資安領域,萬幼筠指出,因為他很清楚知道在一般的科技領域已人才濟濟,他在當中就在再努力、再突出也只不過是顆細砂。但是資安領域則不同,當時還沒有什麼人投入,當時他心想如果他首先投入資安領域,未來的成功機會或許會大很多,就在一種「寧為雞首不為牛後」的心態下,毅然決然地決定壓寶資安產業,並離開資策會投效到顧問公司全力發揮其長才。


同時在當時也巧遇他的恩師鄭祥勝(他是國內第一位研究BS 7799的人)一直不斷地鼓勵他去專研BS 7799。這當中沒有幾年的光景,萬幼筠光證照的部份就幾乎把所有資安相關的證照全部羅列,包括:國際公認電腦稽核師(CISA)、認證資訊系統安全專家(CISSP)、認證資訊安全管理師(CISM)、以及BS7799資訊安全稽核師(BS7799 Lead Auditor)。同時國內第一個BS 7799的資安顧問團隊,就是萬幼筠成立的。


最後,萬幼筠強調,資安人需擁有五大能力:溝通、發現問題、解決問題、執行、持續學習的能力,擁有這五大能力後相信就足夠在資安領域中遊刃有餘。


蒲樹盛:稽核員的第一要件是身體要好!(BSi大中國地區訓練經理)
來自英國的資訊安全標準BS7799,近年在國內水漲船高,成為許多有心導入資安管理企業的頭號參考目標,目前國內約有14家組織通過BS7799認證,其中有10家都是BSi英國標準協會台灣分公司的客戶,目前擔任BSi大中國地區訓練經理的蒲樹盛,除了負責稽核客戶是否通過BS7799的驗證要求外,由於擔任大中國地區訓練經理,常要台灣、大陸兩地跑,負責公司內稽核員的訓練課程安排和訓練事宜,尤其近年大陸地區設點越來越多,兩案奔波的頻率也越高。


稽核員生活猶如空中飛人

除了勤跑對岸外,負責稽核工作常得視客戶的所在地而海內外四處奔波,蒲樹盛表示,稽核員平均一個月內有半個月都是在外出差旅行。除了高階主管外,大部份稽核員在公司內是沒有固定位置的。而不管客戶在何處,BSi規定稽核員最遲必需在早上8:50前向客戶報到,從上午九點工作到下午五點,滿八個小時。因此,他們常有清晨五點多趕飛機的經驗,因為九點前稽核員就得到達無論埔里、高雄..任何客戶的所在地。


稽核員第一要件:身體要好

國外的案子,當然也不例外,令蒲樹盛印象最深刻的是,在BSi七年的工作經驗中,曾經有兩次在飛機上發燒,雖然難過,還是得咬牙撐到客戶那把工作完成,甚至連客戶都沒有察覺有異樣。畢竟每個稽核員常是工作滿檔,很難臨時抽調人手,而客戶的時程當然也不得延誤。因此,談到做稽核員的要件之一就是:身體要好,蒲樹盛提到,除了要把身體狀況控制好,由於常是獨自到遠地方出差,因此在外的安全也要自己格外留意;至於和家人聚少離多,又是另一個課題了。他笑說,累積了這麼高的飛行里程可是用命換來的。


由於很少進辦公室,一進辦公室自然活動排得滿滿的,到今年年底,蒲樹盛的行程已經滿檔。而稽核員自身專業的累積相當重要,除了不斷output外,還需時時充電。他表示平常會密切注意全球的發展趨勢,或是引進英國總公司的新標準,例如有關企業員工篩選的BS7858、軟體開發安全的BS15000,都屬較細項的資安標準,也是組織在推動BS7799之外,其他可供參考、導入的規範。因此、辦研討會、活動、課程等來推廣「正確」的認知,也佔了工作中的蠻大比例。


做稽核工作不能太主觀

提到面試新進人員的要求,蒲樹盛指出個人特質很重要,因為做的是稽核工作,個人不能太主觀,要能夠開放接受不同意見,而這些在面試時從言談中就能略知一二,他舉例有些面試者在言談中就會發現喜好爭辯,這多少也代表著太過主觀。而一個稽核員的訓練養成時間至少也需半年,因此在徵才時也會格外謹慎。目前BSi台灣分公司的稽核員有二十多位,各自擁有不同的背景資歷,總公司對於人員的專業知識部份有相關的技術代碼要求;至於工作經驗部份,以往多是要求五年以上,現在由於人才難尋,經驗門檻已降至三年。


「因為一直都在學習新的東西,相信很多人喜歡這樣的工作。」蒲樹盛指出稽核員的工作可以不斷自我提升、成長。不過要接受這些挑戰的前題還是要保持良好體能狀況,以及在時間、工作和家庭中做好最適當的調配。


呂孟玲:顧問的每一步路都不會白走!(台灣優利系統資訊安全與網路事業部資深經理)
資訊領域,向來是陽盛陰衰的局面;來到資安領域,女性同胞更顯珍貴,而其中許多亮麗的女性身影便是來自顧問業界,台灣優利系統資訊安全與網路事業部資深經理呂孟玲便是一例。談到當初為何會選擇英國倫敦University of Westminster的資訊安全研究所就讀,其實也算是個巧合。


呂孟玲表示,當初赴英國唸研究所,原本想選當時熱門的電子商務科系,但由於需要技術背景,因此在學校顧問的推薦下,選擇了未來會很熱門的資訊安全,碰巧又遇到人推薦資安會是未來的趨勢,讓原本猶豫的她下定決心,成了該學校資訊安全研究所首批來自台灣的畢業生,也開啟了她成為資安顧問的機緣。


唸完書回國後,呂孟玲曾經做過會計事務所的稽核員,也當過會計事務所的資安顧問,目前來到系統整合大廠優利的資訊安全部門。呂孟玲表示,在系統廠商這邊,有整體的資源可以利用,主機部門執行過的案子,可能會再交由他們來負責安全的部份;案件的來源也會比較多樣化,像優利擅長於金融領域,金融的安全挑戰、要求均高,做過較複雜的金融案子,再做其他產業就較游刃有餘。


顧問要懂得處理人的問題

「安全管理的觀念是相通的,」呂孟玲表示,會針對不同行業的保護重點做量身訂做,但基礎的安全概念是互通的,例如製造業重視的是研發資料的保護;銀行業則是客戶資料、存取權限,只要先將重點定義好,便可將安全觀念、理論應用在不同領域上。不過每家客戶有各自特有的企業文化,這必須深入相處才能得知。「光做事情還容易,最怕是要處理人的問題。」呂孟玲提到,客戶公司內部的恩怨情仇,他們並不知情,一不小心可能就會踩到火線,因此必需要很小心地去觀察;和不同的人有不同的溝通方式,處理好人的問題才能讓案子推行得更順利。


做案子像坐雲宵飛車

而贏得一件案子,除了有前期提企劃書的準備工作外,她形容,拿到案子後又是另一個痛苦的開始。不過痛苦竟然也會上癮,呂孟玲憶起有次兩天只睡兩個小時,趕案子的時候很痛苦,但趕完後又很開心;若是受到客戶的肯定,更會帶來極大的成就和滿足感。因此一個案子結束,往往就忘了先前的痛苦,緊接著下一個案子開始,又是一次痛苦、快樂的輪迴。就像坐雲宵飛車般,高低起伏的兩種極端情緒,呂孟玲卻愛上這樣的精彩和挑戰性。由於資訊不斷進步,資安步伐自然也走得飛快,不斷有新的東西需要學習,她提到很多顧問都有資訊焦慮症,週末也不得閒,加上現在客戶的素質越來越高,顧問們不分工作天、週末,都有許多功課要做。


顧問要賣的是自己

而想做資安顧問需具備何種條件?她指出,要擅於溝通、表達要清楚、喜歡與人相處、樂於解決問題,同時思考的角度也應更「high level」,要從風險管理的角度思考,顧問不是只和資訊部門的主管對話,原因很清楚,資安若不能從高階管理主管推動難以落實。「做顧問是一種態度,」呂孟玲表示,她把自己定位在提供建議的角色,而不是只提供解決方法,更不是來賣產品。即便客戶知道自己的需求,但難免會跼限在自己的角度上,她會把自己設想在客戶的位置,用更長遠的角度來看,要如何做到更好。另外,女性較細心的特質也相當適合在安全領域發揮。


呂孟玲表示,踏入資安的這幾年是畢業後成長最快的時期,成長最快,也最快樂。「快樂來自於我知道自己要做什麼,也知道自己能做什麼。」她認為資安未來具有前景,值得新鮮人投入,雖然辛苦,但辛苦會有代價。她強調,「顧問要賣的是自己,而你的每一步都會留下記錄,都不會白走」。