觀點

讓「興趣」和「理念」成就專業資安顧問服務人

2005 / 11 / 04
徐國祥
讓「興趣」和「理念」成就專業資安顧問服務人

承攬顧問服務專案經常會遭遇資源、控管和效能如何取得平衡的問題,這也是與客戶之間最難溝通的癥結,當無法達成共識時,只能憑藉專業、法規等說服客戶,這類過程也絕非一般人可輕易達成的,且看吳佳翰以何種心態和觀點看待資安顧問服務一職。
『興趣』是走入顧問服務的關鍵
人們總依所學來從事相關職場工作,但吳佳翰踏上資安顧問服務卻有不同際遇,他表示:「自己原先就讀大眾傳播,在美國則攻讀公共行政有關新聞法規的領域,這與資安領域可說完全無關。」但由於本身對Security研究存有狂熱心態,因此平日除了經常蒐集Security相關資訊,也會實際測試和建置Security工具,例如家中電腦安裝了指紋辨識系統,必須通過辨識才能上機;也運用許多不同Token裝置進行加解密防護等。而在美國就讀之際正值網際網路興起,因緣際會下也曾在美國學校的電算中心服務,因此對Security產生了更濃厚的研究興趣。
畢業後即在美國從事資安相關工作,自身就曾領導專案團隊協助美國財政部線上報稅系統制定安全政策,如門禁控管、資料保密、法規等層面,目前已超過1/3的美國人口使用該系統,大幅增加使用的便利性,也從承辦專案中學習不少資安經驗。吳佳翰強調,一般人直覺認為從事資安顧問服務者比較傾向操控事件發展,但對我而言,卻有另一種不同心態的見解,因為客戶只有遭遇重大或無法解決問題時才會尋求顧問協助,假如能夠幫助客戶解決問題,不但可獲得某種程度的成就感,更可分享自身資安經歷等。因此資安顧問服務不僅僅是一份工作,也是自身的興趣所在,無論工作多累也都能自得其樂。

從資安問題中思索最佳出路
由於具有參與美國政府的資訊安全專案經驗,回到台灣後曾在政府機構擔任顧問諮詢角色與教育訓練等工作,吳佳翰表示,由於各單位常有資源分配不均的問題,自身的感受也格外深刻;此外,雖然所接觸的公務人員都很努力、用功,但“人才”問題仍有部分問題,這是由於政府人員多由考選制度錄取,不像高科技公司可精選所需人才,因此人員專業與否往往成為推動資訊化過程必須面對問題。
其次,以自身專精於電腦鑑識工作來看,從事電腦鑑定必須建立實驗室來找尋有力證據,否則將嚴重危害人民權利,因此必須非常嚴肅看待,但觀察國內資安現況時發現,除了調查單位具有相關電腦鑑識業務,其它機構也有職掌,往往可能造成相互爭取主導權現象,其實這是很沒有必要的,反而應將資源整合建立單一實驗室的標準規範。又以政府推動BS7799而言,嚴格說來是好的開始,足見政府已經正視資安問題,可是由於政府不甚了解何謂BS7799,導致同一單位會依層級狀況來導入BS7799的怪現象,大幅增加導入BS7799的困難度。吳佳翰強調,如果不認真思考這類問題,想在數年間追上歐美國家的風險管理制度所要付出的代價將更大,縱使台灣成為通過BS7799之世界密度最高的國家,不過只是徒具數字呈現而已。
雖然政府機構破例引用顧問服務來做管理諮詢,但執行過程由於考量“預算”因素,往往必須降低導入認證與顧問服務的收費標準,所衍生問題將可能導致藉由購買文件方式來通過標準,吳佳翰就舉了一個實際案例談論,曾在稽核不是管轄財務的機關竟出現票券稽核條文,如此不但浪費預算,也讓稽核機制流於形式。另外,政府機構常執行個案後再做重整,導致哪裡有攻擊漏洞才去進行彌補的做事心態,相較於美國的資安策略早已定好相關遊戲規則,只要依循此一管理機制就能確保資訊安全,反觀台灣民眾多數知曉『個資法』,但如何遵循相關內容必定所知者無幾,這將造成台灣資安推動的重大障礙。

堅持顧問服務宣達資安觀點
其實多數人對於資安顧問服務工作並不了解,多半認為顧問只是協助安裝軟、硬體工作,甚至會將顧問和售後服務綁在一起,也就是買設備就必須贈送顧問服務的錯誤觀念,吳佳翰以親身經歷:「曾在某會議時遇到政府機關的主管人員,詢問有關『安裝有BS7799的系統要多少錢,在哪裡可以買得到?』但其實導入BS7799必須考量許多不同層面,因此在當下實在無法評估,此時,他又追問到:『難道連一台機器都沒辦法評估嗎?』…。」由此談話不難得知,許多人的觀點都停留在舊思維中,認為只要買了Firewall、防毒等產品就能夠解決任何資安問題的迷思,往往忽略安全繫於“人”的重要層面。基本上,顧問服務較偏向管理層次與安全策略制定,反而不會碰觸各類資安工具,但假使客戶都聽從廠商的建議也不見得是最好的,因為廠商多半想趕快結案收到金錢,不像顧問能提供較完備的查核與分析建議。也由於顧問所扮演角色如同客戶與廠商之間的防火牆,所以經常與國內外大廠的技術顧問唇槍舌劍,對此,吳佳翰強調,既然身為顧問就必須堅持顧問所應負起的專業與責任,這是一種必要的顧問素養。
台灣急起直追歐美資安制度過程中難免會產生腳步錯亂的問題,可是其用意仍值得肯定,因為以往只有牽涉國家或商業機密的案件才被要求取得BS7799認證,但藉由上級機關推動,下級機構也必將跟隨,這對國內產業會有很正面的提升作用,吳佳翰再三提醒:「精神可以引用,但特質是無可取代的。」台灣當局在推動相關認證時必須注意的,除了學習國外制度,也要制定符合自身的一套標準規範。另外,與國際資安市場接軌也是值得關注的問題,以歐洲瑞士銀行對於個人資料保護不遺餘力,除非牽涉國家機密可去查緝,否則不能隨便洩露個人資料,甚至如果美國產品沒有達到歐洲隱私權的標準,都不准其進口至歐洲國家,因此想要代工國際大廠業務,如Nokia、英特爾等都需通過BS7799認證來證明資安工作已達某種層級,BS7799是足以說服顧客最佳安全佐證,但不能只是口頭上說安全就可以的。

後記
誠如上述提及的內容,吳佳翰表示,其實擔任顧問角色真的非常忙碌,自身花費在工作的時間非常多,因此工作和生活早已無法分開,但由於自身對於Security存有濃厚興趣,心中想的都是協助客戶解決問題,已經讓自己很開心了,吳佳翰重申:「能以個人經驗貢獻資安領域更是未來最佳期許。」在顧問工作之餘並不覺得生活空虛,反而感受更踏實的人生觀。

吳佳翰
學歷
美國 George Washington University 公共行政碩士 & 刑事科學碩士:主修電腦犯罪
淡江大學大眾傳播

專業與認證
認證資訊安全專家(CISSP)
認證電腦稽核師(CISA)
認證資訊安全管理師(CISM)
英國BSi認證國際BS7799導入建置顧問
Deloitte i-MMAP identity Management 安控解決方案訓練