讓「興趣」和「理念」成就專業資安顧問服務人

承攬顧問服務專案經常會遭遇資源、控管和效能如何取得平衡的問題，這也是與客戶之間最難溝通的癥結，當無法達成共識時，只能憑藉專業、法規等說服客戶，這類過程也絕非一般人可輕易達成的，且看吳佳翰以何種心態和觀點看待資安顧問服務一職。
『興趣』是走入顧問服務的關鍵
人們總依所學來從事相關職場工作，但吳佳翰踏上資安顧問服務卻有不同際遇，他表示：「自己原先就讀大眾傳播，在美國則攻讀公共行政有關新聞法規的領域，這與資安領域可說完全無關。」但由於本身對Security研究存有狂熱心態，因此平日除了經常蒐集Security相關資訊，也會實際測試和建置Security工具，例如家中電腦安裝了指紋辨識系統，必須通過辨識才能上機；也運用許多不同Token裝置進行加解密防護等。而在美國就讀之際正值網際網路興起，因緣際會下也曾在美國學校的電算中心服務，因此對Security產生了更濃厚的研究興趣。
畢業後即在美國從事資安相關工作，自身就曾領導專案團隊協助美國財政部線上報稅系統制定安全政策，如門禁控管、資料保密、法規等層面，目前已超過1/3的美國人口使用該系統，大幅增加使用的便利性，也從承辦專案中學習不少資安經驗。吳佳翰強調，一般人直覺認為從事資安顧問服務者比較傾向操控事件發展，但對我而言，卻有另一種不同心態的見解，因為客戶只有遭遇重大或無法解決問題時才會尋求顧問協助，假如能夠幫助客戶解決問題，不但可獲得某種程度的成就感，更可分享自身資安經歷等。因此資安顧問服務不僅僅是一份工作，也是自身的興趣所在，無論工作多累也都能自得其樂。

從資安問題中思索最佳出路
由於具有參與美國政府的資訊安全專案經驗，回到台灣後曾在政府機構擔任顧問諮詢角色與教育訓練等工作，吳佳翰表示，由於各單位常有資源分配不均的問題，自身的感受也格外深刻；此外，雖然所接觸的公務人員都很努力、用功，但“人才”問題仍有部分問題，這是由於政府人員多由考選制度錄取，不像高科技公司可精選所需人才，因此人員專業與否往往成為推動資訊化過程必須面對問題。
其次，以自身專精於電腦鑑識工作來看，從事電腦鑑定必須建立實驗室來找尋有力證據，否則將嚴重危害人民權利，因此必須非常嚴肅看待，但觀察國內資安現況時發現，除了調查單位具有相關電腦鑑識業務，其它機構也有職掌，往往可能造成相互爭取主導權現象，其實這是很沒有必要的，反而應將資源整合建立單一實驗室的標準規範。又以政府推動BS7799而言，嚴格說來是好的開始，足見政府已經正視資安問題，可是由於政府不甚了解何謂BS7799，導致同一單位會依層級狀況來導入BS7799的怪現象，大幅增加導入BS7799的困難度。吳佳翰強調，如果不認真思考這類問題，想在數年間追上歐美國家的風險管理制度所要付出的代價將更大，縱使台灣成為通過BS7799之世界密度最高的國家，不過只是徒具數字呈現而已。
雖然政府機構破例引用顧問服務來做管理諮詢，但執行過程由於考量“預算”因素，往往必須降低導入認證與顧問服務的收費標準，所衍生問題將可能導致藉由購買文件方式來通過標準，吳佳翰就舉了一個實際案例談論，曾在稽核不是管轄財務的機關竟出現票券稽核條文，如此不但浪費預算，也讓稽核機制流於形式。另外，政府機構常執行個案後再做重整，導致哪裡有攻擊漏洞才去進行彌補的做事心態，相較於美國的資安策略早已定好相關遊戲規則，只要依循此一管理機制就能確保資訊安全，反觀台灣民眾多數知曉『個資法』，但如何遵循相關內容必定所知者無幾，這將造成台灣資安推動的重大障礙。

堅持顧問服務宣達資安觀點
其實多數人對於資安顧問服務工作並不了解，多半認為顧問只是協助安裝軟、硬體工作，甚至會將顧問和售後服務綁在一起，也就是買設備就必須贈送顧問服務的錯誤觀念，吳佳翰以親身經歷：「曾在某會議時遇到政府機關的主管人員，詢問有關『安裝有BS7799的系統要多少錢，在哪裡可以買得到？』但其實導入BS7799必須考量許多不同層面，因此在當下實在無法評估，此時，他又追問到：『難道連一台機器都沒辦法評估嗎？』…。」由此談話不難得知，許多人的觀點都停留在舊思維中，認為只要買了Firewall、防毒等產品就能夠解決任何資安問題的迷思，往往忽略安全繫於“人”的重要層面。基本上，顧問服務較偏向管理層次與安全策略制定，反而不會碰觸各類資安工具，但假使客戶都聽從廠商的建議也不見得是最好的，因為廠商多半想趕快結案收到金錢，不像顧問能提供較完備的查核與分析建議。也由於顧問所扮演角色如同客戶與廠商之間的防火牆，所以經常與國內外大廠的技術顧問唇槍舌劍，對此，吳佳翰強調，既然身為顧問就必須堅持顧問所應負起的專業與責任，這是一種必要的顧問素養。
台灣急起直追歐美資安制度過程中難免會產生腳步錯亂的問題，可是其用意仍值得肯定，因為以往只有牽涉國家或商業機密的案件才被要求取得BS7799認證，但藉由上級機關推動，下級機構也必將跟隨，這對國內產業會有很正面的提升作用，吳佳翰再三提醒：「精神可以引用，但特質是無可取代的。」台灣當局在推動相關認證時必須注意的，除了學習國外制度，也要制定符合自身的一套標準規範。另外，與國際資安市場接軌也是值得關注的問題，以歐洲瑞士銀行對於個人資料保護不遺餘力，除非牽涉國家機密可去查緝，否則不能隨便洩露個人資料，甚至如果美國產品沒有達到歐洲隱私權的標準，都不准其進口至歐洲國家，因此想要代工國際大廠業務，如Nokia、英特爾等都需通過BS7799認證來證明資安工作已達某種層級，BS7799是足以說服顧客最佳安全佐證，但不能只是口頭上說安全就可以的。

後記
誠如上述提及的內容，吳佳翰表示，其實擔任顧問角色真的非常忙碌，自身花費在工作的時間非常多，因此工作和生活早已無法分開，但由於自身對於Security存有濃厚興趣，心中想的都是協助客戶解決問題，已經讓自己很開心了，吳佳翰重申：「能以個人經驗貢獻資安領域更是未來最佳期許。」在顧問工作之餘並不覺得生活空虛，反而感受更踏實的人生觀。

吳佳翰
學歷
美國 George Washington University 公共行政碩士 & 刑事科學碩士：主修電腦犯罪
淡江大學大眾傳播

專業與認證
認證資訊安全專家（CISSP）
認證電腦稽核師（CISA）
認證資訊安全管理師（CISM）
英國BSi認證國際BS7799導入建置顧問
Deloitte i-MMAP identity Management 安控解決方案訓練