觀點

拜見資安行家(下)

2004 / 06 / 14
邱詩琁、梁玉容
拜見資安行家(下)

徐子文:安全需要的是T型人才!(台北金融大樓安全室安全總監)
提到台北的新地標,大多數人馬上聯想到位在信義區的101大樓,而光是想像要負責這棟超高大樓的安全性,就令人覺得沉重、艱鉅。曾任UPS、遠傳安全總監的徐子文,目前正是台北金融大樓安全室安全總監,身負確保這棟大樓和內部人員的安全重任,無分實體安全和資訊安全。

海軍退伍後,徐子文的每任工作都和安全習習相關,但由於公司營業性質的差異,要保護的重要資產、面臨的挑戰也大不相同。在UPS時,管轄的領域涵蓋四個國家五個機場,不同地區要因應不同的文化予以管理;而遠傳最重視的則是客戶的資料,因此會偏重於資訊安全;來到101大樓,則又稍微偏重實體的安全性,他在巡視大樓的同時,時常在做的便是觀察人的行為反應,他發現即便同樣身在公共場所,用餐時和逛街時的行為、心態也有差異,同時也在研究人在遇緊急危險事件時會做何反應,犯罪學、心理學都是近來的涉獵領域。

安全主管越老越值錢
「我們不是為了取閱老闆而存在,卻又要老闆付我們薪水,」徐子文指出安全人員在公司內的地位高低,和老闆是否重視安全大有關係,因為老闆要能夠包容這些「烏鴉」,而安全花費的成效雖無法立竿見影,卻是為了保障公司的長遠發展,「我們不直接賺錢,而是強化公司的體質、競爭力,協助公司賺錢。」因此安全人員很難證明自己的價值,重要的是老闆能夠認同、信任。「國外的安全主管是越老越值錢,安全專家是要經過千鎚百鍊的。」其價值便是來自於豐富的經驗累積,才能臨場做出更準確的判斷;而911之後,國外安全人員的薪水更是水漲船高,不過在國內則端視老闆的重視程度而定。

安全需要的是T型人才
在徐子文眼中安全是門應用科學、觀察科學、實用型科學、社會科學,包含著可被檢驗的科學成份,也有著管理人的藝術。除了需要有一專長的領域外,還要能橫跨實體、資安、人事、緊急應變等..,「因此安全需要的是T型人才,」徐了有一核心專長以外,還要對各相關領域有廣泛的涉略。因此相關的法律要懂,要瞭解人、所以心理學、犯罪學也需研究,因此安全人才常是來自各領域,徐子文指出,未必一定要是理工技術出身,但要瞭解資訊科技,「畢竟電腦不犯罪,是人才犯罪,」因此只懂技術,不懂人亦不合適。

安全人員首重自身誠信
除了對人要有興趣外,徐子文認為太嚴肅的人亦不合適,因為較難去說服別人,畢竟安全觀念是需要依賴安全人員去傳播、銷售的。而安全主管更需要時常動腦袋去思考如何在有限資源下做最多的事,找到安全和便利的最佳平衡點,才能贏得老闆的信賴。而更為重要的是個人的誠信,「本身都做不好就不要想來做,」他表示,安全人員本身便是標竿人物,不能自己違反自己下的命令;更不可因為官大了,就忘了自己的身份,自行享有特權。

徐子文認為,未來安全領域一定會朝著實體和資安合流的方向走,但安全觀念和市場要能成熟、普遍可能還需要十幾年。由於是極具潛力的未來市場,且這行重的是經驗累積,「現在正是卡位的好時機,」他鼓勵有興趣的人都可以加入,重點是:你是個T型人才。

江韶文:沒有人做過的事,就不會做錯!(ING安泰人壽風險管理室資深協理)
數學系畢業的江韶文,一腳踏入壽險業20餘年,從一開始的程式設計師到目前ING安泰人壽風險管理室的主管,中間雖然歷經不同職務及工作,但始終如一,不變的是他對工作的投入以及追求新知的熱忱。

目前擔任ING安泰人壽風險管理室資深協理的江韶文,不管是從資訊安全室或是到現在的風險管理室,所負責的工作性質,不外乎處理可能影響公司的危機、災害、事故等,隨時要有應付突發事故的準備及能力;而大部份時間,則是在推動與宣導全公司有關的各項資安活動。因此,目前的他,隨時需要大量與人溝通與接受備詢。

建立六大Best Practices
2001年ING安泰人壽成立資訊安全室,江韶文主要工作任務是負責資訊安全的規畫、推動及建構組織架構等。強調是以管理的方式而非控制,所以在接觸BS7799後,便參考了BS7799的精髓列出六大Best Practices,分別為:組織、政策、認知與訓練、Instant Report、Business Continue Plan及Audit(Monitor)機制等六項,做為ING安泰人壽在資訊安全管理作業推動上的主軸。

為了配合總公司推動ISAP(Information Security Awareness Program),這是全公司的活動,但資訊安全室只有3個人,因此江韶文建立一組織架構,成立資訊安全推行委員會,成員由公司每個部門指派一名人員參與。而有關公司資安活動的推動,就是由這個資訊安全推行委員會來執行,而由其各部門的經理人負責監督。這個組織架構之所以可以落實運作,除了獲得CEO的重視及支持外,各部門經理人的樂意配合,以及最主要的是員工均視為是工作項目之一,自然各項資訊安全活動或專案便可以被推動及執行。

除了藉由資訊安全推行委員會去推動各項資安活動外,他也負責追蹤、輔導被稽核的部門或單位。根據稽核室所查出公司所有的弱點,擬一稽核議題做為追?處理程序,並將各部門承諾要改善處理的結果報表,最後呈至總經理;因為總經理重視且關切這個稽核報表,也因此促使各部門努力去改善所有弱點。


熱愛工作,樂於工作
勇於接受新知及挑戰的江韶文,認為對工作感興趣最重要,所以他可以接受公司新部門及新任務的安排,正如全新領域之於他的資訊安全室。「沒有人做過的事情,就不會做錯」由這句話充分展現他對工作的熱忱及勇於嘗試、接受不同挑戰的個性。也因為這樣的個性,以及提昇自我在工作領域的專業知識,他笑稱自己是最老考取「電腦稽核人員」CISA證照的人。

而要成為IT人員需具備什麼樣的條件與特質呢?IT出身的他以過來人身分建議IT人員,不管在接受新工作及新任務時,不要馬上就自我設限,只做自己喜歡做的事,應該勇於去嘗試不同的領域並廣範接觸新事物;如此,不但可以擴展視野,也可以提昇個人的實力。