觀點

[ 資安人甘苦談 ] - 溝通,也是門教育訓練

2014 / 09 / 17
魯智深
[ 資安人甘苦談 ] - 溝通,也是門教育訓練
這年頭願意做資安的人越來越少了,公司的職務一直有空缺的,稍為培養出一些經驗,很快的又轉進到其他的公司。新人又要從頭開始,但真正適當的人真不好找。趁著畢業的時候,趕快再補充一些新血輪。面試有的時候是當天工作歡樂的泉源,有些應徵者就是過度自信,一 副你不用我就是你公司的損失,再不然就冒出文不對題的回答。好不容易勉強地找到一位,最近的一位是內部查核人員,這算是他在公司的初登板。

也許是太過小心,總還是不敢放手讓他一個人做,但又怕這種被認為老古板的方式,現在年輕朋友又覺得沒有表現的空間,就只好先起個頭,然後就在旁邊看著他怎麼做。原本以為這樣的過程都還算順當,也就慢慢的放手。沒有想到後面寫報告的時候又讓我跳了起來。

也許是我當初沒有講清楚,或是同仁有自己的想法,第一版的報告放眼望去就只有兩個字「符合」,沒有前文也沒有結語,就連查核了那些項目也支字未提。如果我不是自身有參與一部分,根本不知道有查了那些。於是乎趕緊把新進的同事找來。
「怎麼你的報告上只有這兩個字,其他查核過程呢?」
「我之前在上XX標準課程的時候就這樣說阿,這是標準的查核語法呀。」
「但我們現在不是在做XX標準的查核,更何況這兩個字一定有需要比較的項目,那你在比較什麼呢?另外到底查了那些呢?」
「不是只要看標準的條款有做那些就好了嗎? 那既然是只要看標準,當然用那兩個字有什麼問題?」

聽了這樣的回答,趕快再把這次的查核目的及希望呈現的報告內容,重頭再講一次,又拿出以前其他同事做的當作參考範例,希望這樣的說明能對新進的同事有些幫助。只見他一臉不願意的表情拿回了報告。第二版的報告很快就回傳回來,但一樣讓我昏倒,除了把同樣的段落在不停的地方不斷的複製,明明在查應用系統開發,卻把防火牆的安裝也擺上去。看權限控管則寫備份程序,也不看看主要查核的項目,反正就塞了一大篇,有些明顯看得出來就是從網路上截取下來的。真是把查核報告當成以前在學校的期末報告在寫。

事情到這還沒有結束,就在收到報告後沒多久,其他同事就傳了一張社群網站的截圖,上面就是這位新同事的留言:「今天交完報告,那有資安主管可以不依照標準在查核,深深的覺得,需要再教育的是這位主管。」

我真的不曉得,什麼時候做資安只能看標準? 一切都需要照著標準的說法,超過了標準所列的控制項目就不能查,甚至連報告的內容也要照著標準格式。是我們過度迷失在標準的窠臼中? 還是我們不明白標準的精神? 甚至我們只是拿著標準做做樣子,但我知道當務之急,不是要和我們人事討論一下,這樣的同仁要如何處理,要不然我就是要趕快去參加「如何與e世代的同事共事」的教育訓練。