https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

拜見資安行家

2005 / 02 / 04
陳貞璆、邱詩琁
拜見資安行家

勤業眾信風險顧問協理萬幼筠:顧問眼中沒有無解的資安問題!
談到資安,不少投入資安建置的政府單位、大型企業都會提到資安顧問界的行家—勤業眾信萬幼筠協理。他雖為五年級生,但在資安領域卻是超過20年以上資歷的資安大老,處理過的資安案子不下數百件。
工作檔期除了滿還是滿,行程通常都排到一、兩個星期以後,一天工作時間平均12到13個小時是正常。但是,即使面臨工作滿載的情況,萬幼筠還是會抽空擠出時間,去教授一些資安相關課程,因為他認為台灣的資安教育環境和資安產業有斷層,他希望可以就目前他能力範圍內,為資安產業造就更多人才。
萬幼筠謙虛的說,他其實是專門幫客戶解決各項資安疑難雜症的專家,客戶一般有一種心態,覺得重金請顧問,就應當什麼都要會解決,因此舉凡任何資安相關事情,就算是和其他資安廠商合作解決不了的資安問題,也會一併向萬幼筠請益。
為了給客戶滿意的資安服務,不斷與客戶溝通、行程滿檔、接不完的電話,都是資安顧問普遍有的工作現象。所以資安顧問的抗壓性要夠,要懂得如何排譴壓力。萬幼筠分享他抗壓祕方,就是透過大量閱讀,充實新知。萬幼筠指出,其實顧問業是很容易被知識掏空的行業,因此他只要閒暇時間,就會閱讀各類型的書籍來充電。他覺得,資安不只是單一領域的專業,更需要多方吸收不同領域知識。

成功在於落實,忌唱高調
他更分享經營顧問工作心得,顧問最忌諱只會唱高調,而沒有務實去做的心態,因此是否擁有執行能力才是重點。同時,解決別人不能解決的資安問題,是他覺得最有成就感的事。
萬幼筠相當有自信的表示,客戶與我們團隊的關係都相當深厚,因為我們從不延宕,而且用心投入,所以只要經過一次交手印象就會相當深刻。

沒有無解的資安問題!
在每次合作過程中萬幼筠發現,天下沒有無解決的資安”技術”問題,最大問題在”人”。
因為資安技術與觀念通常只要擁有正確的方法論,並有實際執行能力加上經驗就已成功了一大半。在國外學校所重視及教導也就是這套方法論。

選擇資安只因 寧為雞首
從小就立志當學者和顧問的萬幼筠認為,目前工作讓他實現小時候的志向。至於當初為何選擇資安領域,是因清楚知道科技領域已人才濟濟,他在當中就算在努力、再突出也只不過是顆細砂。但是資安領域則不同,當時鮮少人投入,他心想如果他首先投入資安領域,未來的成功機會或許會大很多,就在一種「寧為雞首不為牛後」的心態下,毅然決然地決定壓寶資安產業。
沒幾年光景,萬幼筠資安證照就幾乎羅列,包括:國際公認電腦稽核師(CISA)、認證資訊系統安全專家(CISSP)、認證資訊安全管理師(CISM)、及BS7799資訊安全稽核師(BS7799 Lead Auditor)。同時國內第一個,也是規模第一BS 7799資安顧問團隊,就是萬幼筠成立的。
萬幼筠強調,成功的資安人需擁有溝通、發現問題、解決問題、執行、持續學習五大能力,如此相信在資安領域中將可遊刃有餘。

工作內容:
大的案件舉凡資安政策的規劃、小到任何資安執行的細節問題,都在萬幼筠管轄範圍內。他指出,通常資安顧問的工作相當繁忙,手中大型案件至少有四、五件,不但要同時進行還要將進度掌控得宜、並從規劃到落實執行一手包辦。



BSi大中國地區訓練經理蒲樹盛:稽核員的第一要件是身體要好!
來自英國的資訊安全標準BS7799,近年在國內水漲船高,成為許多有心導入資安管理企業的頭號參考目標。目前國內約有14家組織通過BS7799認證,其中有10家都是BSi英國標準協會台灣分公司的客戶。目前擔任BSi大中國地區訓練經理的蒲樹盛,除了負責稽核客戶是否通過BS7799的驗證要求外,由於擔任大中國地區訓練經理,常要台灣、大陸兩地跑,負責公司內稽核員的訓練課程安排和訓練事宜,尤其近年大陸地區設點越來越多,兩案奔波頻率也越高。

稽核員生活猶如空中飛人
除了勤跑對岸外,負責稽核工作常得視客戶的所在地而海內外四處奔波,蒲樹盛表示,稽核員平均一個月內有半個月都是在外出差旅行。除了高階主管外,大部份稽核員在公司內是沒有固定位置的。而不管客戶在何處,BSi規定稽核員最遲必需在早上8:50前向客戶報到,從上午九點工作到下午五點,滿八個小時。因此,他們常有清晨五點多趕飛機的經驗。
第一要件:身體要好
國外的案子,當然也不例外,令蒲樹盛印象最深刻的是,在BSi七年的工作經驗中,曾經有兩次在飛機上發燒,雖然難過,還是得咬牙撐到客戶那把工作完成,甚至連客戶都沒有察覺有異樣。畢竟每個稽核員常是工作滿檔,很難臨時抽調人手,而客戶的時程當然也不得延誤。因此,談到做稽核員的要件之一就是:身體要好。蒲樹盛提到,除了要把身體狀況控制好,由於常是獨自到遠地方出差,因此在外的安全也要格外留意;至於和家人聚少離多,又是另一個難題了。他笑說,累積了這麼高的飛行里程可是用命換來的。
到今年年底,蒲樹盛的行程已經滿檔。而稽核員自身專業的累積相當重要,除了不斷“output”外,還需時時充電。他表示平常會密切注意全球的發展趨勢,或是引進英國總公司的新標準。因此,辦研討會、活動、課程等來推廣「正確」的認知,也佔了工作中蠻大比例。

做稽核工作不能太主觀
提到面試新進人員的要求,蒲樹盛指出個人特質很重要,因為做的是稽核工作,個人不能太主觀,要能夠開放接受不同意見,而這些在面試時從言談中就能略知一二。他舉例有些面試者在言談中就會發現喜好爭辯,這多少也代表著太過主觀。而一個稽核員的訓練養成時間至少需半年,因此在徵才時也會格外謹慎。目前BSi台灣分公司的稽核員有二十多位,各自擁有不同的背景資歷,總公司對於人員的專業知識部份有相關的技術代碼要求;至於工作經驗部份,以往多是要求五年以上,現在由於人才難尋,經驗門檻已降至三年。
「因為一直都在學習新的東西,相信很多人喜歡這樣的工作。」蒲樹盛指出稽核員的工作可以不斷自我提升成長。不過要接受這些挑戰的前提是要保持良好體能狀況,以及在時間、工作和家庭中做好最適當的調配。

工作內容:
引進、提供全球最新資安發展趨勢(如資安市場趨勢、英國BSi最新標準)
宣導、加強資安的正確認知和意識(辦工作營、研討會、課程等)
實務經驗分享(如和承辦單位和顧問公司等)
提供客戶稽核、認證服務。(如BS7799、ISO9000等)
內部同事的教育訓練



台灣優利系統資訊安全與網路事業部資深經理呂孟玲:顧問的每一步路都不會白走!
資訊領域,向來是陽盛陰衰的局面;來到資安領域,女性同胞更顯珍貴,而其中許多亮麗的女性身影便是來自顧問業界,台灣優利系統資訊安全與網路事業部資深經理呂孟玲便是一例。呂孟玲談到去英國唸研究所時,原本想選當時熱門的電子商務科系,但受限於無技術背景,因此學校顧問推薦資訊安全會是未來熱門領域,碰巧又遇到人推薦資安為未來趨勢,讓原本猶豫的她下定決心,成了該校資安研究所首批來自台灣的畢業生,也開啟了她成為資安顧問的機緣。

顧問要懂得處理人的問題
「客戶雖來自各種領域,但安全管理的觀念是相通的,」呂孟玲表示,會針對不同行業的保護重點做量身訂做,但基礎的安全概念是互通的。不過每家客戶有各自特有的企業文化,這必須深入相處才能得知。「光做事情還容易,最怕是要處理人的問題。」她提到,客戶公司內部的恩怨情仇,他們並不知情,一不小心可能就會踩到火線,一接新案首先就是要去觀察人員的互動情形,運用不同的溝通方式和技巧,處理好人的問題才能讓案子推行得更順利。

做案子像坐雲宵飛車
贏得一件案子,除了有前期提企劃書的準備工作外,她形容,拿到案子後又是另一個痛苦的開始。不過痛苦竟然也會上癮,呂孟玲憶起有次兩天只睡兩個小時,「趕案子的時候很痛苦,但趕完後又很開心;若是受到客戶的肯定,會帶來更大的成就和滿足感。」因此一個案子結束,往往就忘了先前的痛苦,緊接著下一個案子開始,又是一次痛苦、快樂的輪迴。就像坐雲宵飛車般,高低起伏的兩種極端情緒,反而令呂孟玲愛上這樣精彩和富挑戰性的工作。由於資訊不斷進步,資安步伐自然也走得飛快,不斷有新的東西需要學習,她提到很多顧問都有資訊焦慮症,週末也不得閒,加上現在客戶的素質越來越高,顧問們不分工作天、週末,都有許多功課要做。

顧問要賣的是自己
而想做資安顧問需具備何種條件?她指出,要擅於溝通、表達要清楚、喜歡與人相處、樂於解決問題,同時思考的角度也應更「high level」,要從風險管理的角度思考,顧問不是只和資訊部門的主管對話,原因很清楚,資安若不能從高階管理主管推動難以落實。「做顧問是一種態度,」呂孟玲表示,她把自己定位在提供建議的角色,而不是只提供解決方法,更不是來賣產品。她會把自己設想在客戶的位置,用更長遠的角度思考如何做到更好。另外,女性較細心的特質也相當適合在安全領域發揮。
呂孟玲表示,踏入資安的這幾年是畢業後成長最快的時期,「成長最快,也最快樂。」「快樂來自於我知道自己要做什麼,也知道自己能做什麼。」她認為資安未來具有前景,值得新鮮人投入,雖然辛苦,但辛苦會有代價。她強調,「顧問要賣的是自己,而你的每一步都會留下記錄,都不會白走」。

工作內容:
資安顧問的工作便是協助客戶,針對該公司的重要資產保護和需求,上從政策的協助擬訂,下至相關設備的採購建議,協助客戶從管理著手,由上而下將資安防護完整導入。除了要花功夫準備企劃書,以贏得客戶案子外,真正進入案子的導入階段,才是更大挑戰的開始。呂孟玲和兩位同事組成一合作團隊,身為領隊的她要負責流程的管理、專案時程的掌控和行政管理事宜;另一位同事熟網路安全;另外一為則專長在密碼學,有人偏技術面,有人偏管理面,彼此可相互補足。



台北金融大樓安全室安全總監徐子文:安全需要的是T型人才!
提到台北的新地標,多數人馬上聯想到位在信義區的101大樓,而光是想像要負責這棟超高大樓的安全性,就令人覺得沉重、艱鉅。曾任UPS、遠傳電信安全主管的徐子文,目前正是台北金融大樓安全室安全總監,身負確保這棟大樓和內部人員的安全重任,無分實體安全和資訊安全。
徐子文的每任工作都和安全息息相關,但由於公司營業性質的差異,要保護的重要資產、面臨的挑戰也大不相同。在UPS時,管轄領域涵蓋四個國家五個機場,不同地區要因應不同文化予以管理;而遠傳最重視的則是客戶資料,因此會偏重於資訊安全;來到101大樓,則又稍微偏重實體的安全和緊急狀況處理。他在巡視大樓的同時,也在觀察人的行為,研究人在遇緊急危險事件時會做何反應,犯罪學、心理學都是近來的涉獵領域。

安全主管越老越值錢
「我們不是為了取悅老闆而存在,卻又要老闆付我們薪水,」徐子文指出安全人員在公司內的地位高低,和老闆是否重視安全大有關係,因為老闆要能夠包容這些「烏鴉」,而安全花費的成效雖無法立竿見影,卻是為了保障公司的長遠發展,「我們不直接賺錢,而是強化公司的體質、競爭力,協助公司賺錢。」因此安全人員很難證明自己的價值,重要的是老闆能夠認同、信任。「國外的安全主管是越老越值錢,安全專家是要經過千鎚百鍊的。」其價值便是來自豐富的經驗累積,才能臨場做出更準確的判斷。911之後,國外安全人員的薪水更是水漲船高,不過在國內則端視老闆的重視程度而定。

安全需要的是T型人才
在徐子文眼中安全是門應用科學、社會科學,包含著可被檢驗的科學成份,也有著管理人的藝術。除了需要有一專長的領域外,還要能橫跨實體、資安、人事、緊急應變等,「安全需要的是T型人才!」除了有一核心專長以外,還要對各相關領域廣泛涉略。包括法律、心理學、犯罪學等,因此安全人才常是來自各領域。他指出,未必一定要是理工技術出身,但要瞭解資訊科技,「畢竟電腦不犯罪,是人才犯罪,」因此只懂技術,不懂人亦不合適。
安全人員首重自身誠信
除了對人要有興趣外,徐子文認為太嚴肅的人亦不合適,因為較難去說服別人,畢竟安全觀念是需要依賴安全人員去傳播、銷售的。而安全主管更需要時常動腦袋去思考如何在有限資源下做最多的事,找到安全和便利的最佳平衡點,才能贏得老闆的信賴。而更為重要的是個人的誠信,「本身都做不好就不要想來做安全,」他表示,安全人員本身便是標竿人物,不能自己違反自己下的命令;更不可因為官大了就忘了自己的身份。
徐子文認為,實體和資安未來將會合流。但安全觀念和市場要能成熟普遍,可能還需要十幾年的時間。由於市場極具潛力,且這行重的是經驗累積,「現在正是卡位的好時機,」他鼓勵有興趣的人都可以加入,重點是:你是個T型人才。

工作內容:
目前徐子文手下不直接帶人,主要是和各管理部門協調,再由管理部門人員去執行。因此其身份類似總經理的高階幕僚,沒有直接的指揮權,需由總經理授與,總經理不在時,才遞補待位。平時負責安全政策、標準的擬定,並針對高階主管做教育訓練。若遇安全事件,必需緊急搜集資料情報,做評估判斷,並向總經理提供處理建議。因此對時勢、社會狀況的掌握也很重要。



ING安泰人壽風險管理室資深協理江韶文:沒有人做過的事,就不會做錯!
數學系畢業的江韶文,踏入壽險業20餘年,從一開始的程式設計師到目前ING安泰人壽風險管理室的主管,中間雖然歷經不同職務及工作,但不變的是他對工作的投入以及追求新知的熱忱。
目前擔任ING安泰人壽風險管理室資深協理的江韶文,不管是從資訊安全室或是到現在的風險管理室,所負責的工作性質,不外乎處理可能影響公司的危機、災害、事故等情事,隨時要有應付突發事故的準備及能力;而大部份時間,則是在推動與宣導全公司有關的各項資安活動。因此,目前的他,隨時需要大量與人溝通與接受備詢。

建立六大Best Practices
2001年ING安泰人壽成立資訊安全室,江韶文主要工作任務是負責資訊安全的規畫、推動及建構組織架構等。強調是以管理方式而非控制,所以在接觸BS7799後,便參考BS7799的精髓列出六大Best Practices,分別為:組織、政策、認知與訓練、Instant Report、Business Continue Plan及Audit(Monitor)機制等六項,做為ING安泰人壽在資訊安全管理作業推動的主軸。
當初總公司下令推動ISAP(Information Security Awareness Program),但資訊安全室只有3個人,因此江韶文建立一組織架構,成立資訊安全推行委員會,成員由公司每個部門指派一名人員參與。而有關公司資安活動的推動,就是由這個資訊安全推行委員會來執行,而由其各部門的經理人負責監督。這個組織架構之所以可以落實運作,除了獲得CEO的重視及支持外,各部門經理人的樂意配合,以及最主要的是員工均視為是工作項目之一,自然各項資訊安全活動或專案便可以被推動及執行。
除了藉由資訊安全推行委員會去推動各項資安活動外,他也負責追蹤、輔導被稽核的部門或單位。根據稽核室所查出公司所有的弱點,擬一稽核議題做為追蹤處理程序,並將各部門承諾要改善處理的結果報表,呈至總經理;因為總經理重視且關切這個稽核報表,也因此促使各部門努力去改善所有弱點。

熱愛工作,樂於工作
勇於接受新知及挑戰的江韶文,認為對工作感興趣最重要,所以他可以接受公司新部門及新任務的安排,正如全新領域之於他的資訊安全室。「沒有人做過的事情,就不會做錯」,由這句話充分展現他對工作的熱忱及勇於嘗試、接受不同挑戰的個性。也因為這樣的個性,以及提昇自我在工作領域的專業知識,他笑稱自己是最老考取「電腦稽核人員」CISA證照的人。
要成為IT人員需具備什哪些條件與特質呢?IT出身的他以過來人身分建議IT人員,在接受新工作及新任務時,不要馬上就自我設限,只做自己喜歡做的事,應該勇於去嘗試不同的領域並廣範接觸新事物;如此,不但可以擴展視野,也可以提昇個人的實力。

工作內容
在風險管理室每個階段所要執行的工作任務如下:
風險辨識:高階風險辨識、風險和控制自評、風險認知計劃
風險衡量:關鍵績效/風險指標(KPI/KRI)、事件報告與分析、風險資本計算、稽核議題行追蹤(AO Scan+)
風險追蹤:營運風險委員會、設立控制標準、內部控制報告(KPI/KRI)
風險消緩:控制建置、新產品核准流程、風險保險