https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

沒有共識的組織 再多驗證也做不好個資保護

2013 / 04 / 09
魯智深
沒有共識的組織  再多驗證也做不好個資保護

老長官的退休餐會上,許多曾經共事的同仁也都陸續出現,然而最讓我訝異的,是一位離職一年多的同仁,那時離職後就開始了資安顧問的生涯,只是沒想到短短的時間,年紀輕輕的頭髮就變成花白,眼神呆滯,看得出來一臉倦容。原本以為是轉換跑道不適應所引起的,畢竟是兩個完全不同的領域,很多著重的技能是不一樣的。簡短的聊了一下,才發現與我當初所想的完全不一樣。

那位同仁語重心長的說:「以前在資訊單位,總覺得顧問可以受到客戶尊重,雖然知道這不是熟悉的領域,但就當作是對自己的投資,也去外面上了些課,拿了一兩張證照。周遭的人也都說現在越來越重視資安,未來前景看好,想想一定要去顧問公司歷練一下,當下毫不猶豫的提出了辭呈,原本以為可以一展長才,結果發現完全不是那麼回事。」

「顧問業本來就像八爪章魚一樣,要想辦法幫客戶解決問題,相對的壓力也就大很多,是因為作業型態不同而不適應嗎?」

「那倒也不是,我不曉得是我幸運,還是流年不利,到新公司沒多久就分配到一個新承接的客戶,說是要做驗證,驗證的範圍也很小,想想用這種案子來練身手好了,結果進去之後才發現,根本是上面的主管一頭熱,下面一點動力都沒有,要請各部門推派一位聯絡窗口,就連這樣的事,也可以拖上二、三個星期。開會決議的事情都可以翻案,真的和以前在公司裡的氛圍完全不同。」

「這樣也就算了,連專案當中所有的文件都是顧問產生出來,甚至日常要留的記錄也都跟說不知如何填寫,要我幫他填一填再給他簽名就好。更誇張的是連和專案無關的作業也丟給我們,一下要做資安事故統計表,一下說要回覆內部稽核的意見。美其名說是尊重我們的專業,但我真的覺得他們是把顧問當成作業助理,做個內部查核,查太嚴就說顧問要求太多,其他同業都沒有做到這種地步,查的太鬆又說顧問什麼事都沒做,還要拿那麼多的顧問費,反正怎麼做都有理由,一副當初找顧問就是花錢買心安的態度。什麼事情都不要找我,要做是你的事,我只要能通過驗證就好。」

其實這不是現今社會的縮影嗎?如果組織沒有形成共識,只要靠1~2位人員去推動,要不就是螳臂擋車,把自己累個半死,再不然就認為事不關己,或是事情也不會發生,反正運氣沒有那麼差,等到真的出事的時候再說,這樣的惡性循環,就算通過了驗證也不會有太多助益。不從組織文化去做調整,那麼因為火災斷電造成企業無法運作的案例,還是會不斷的上演著。