資安讀書會與NEX Foundation在HITCON的贊助下在六月中舉辦了一場訪談活動,活動邀請到在美國各大企業資安領域深耕多年的重量級前輩 YM Chen 與大家分享海外工作二十年的資安職涯經驗。我們覺得這次活動機會難得,因此決定也將他上架到 Podcast 上讓所有有興趣的人都可以聽到 YM 的經驗分享。
這次的內容同步上架在 NEX Foundation 的 Podcast - NEX Wave 未來知音上
00:00:00 開場
00:02:10 如何踏入資安領域
00:09:22 不同公司在面對資安上的差異
00:15:47 自己建軟體還是買服務比較安全?
00:19:46 資安團隊如何與其他團隊合作並減少摩擦?
00:31:01 怎麼在資安與效率中找到平衡?
00:36:24 歐美與台灣在面對資安上的差別
00:40:40 我們能如何改變台灣的資安問題?
00:45:01 給對資安有興趣的人才/學生的建議
00:49:02 Q&A - 身在台灣怎麼找到海外的第一份資安工作?
00:53:29 Q&A - 如何改變公司內部整體對資安的態度?
00:56:39 Q&A - 國外對開源軟體在資安上的態度?
00:57:32 Q&A - 如何在眾多資安工具中找到學習的方向?
00:59:35 Q&A - 想成為PM該如何準備?
01:02:10 Q&A - 想去海外發展透過申請海外研究所是合適的嗎?
01:03:28 Q&A - 大學不是念資安相關科系該如何入門?
01:05:29 Q&A - 國外重視資安相關證照嗎?
01:06:55 Q&A - 訪談中提到的資安小老師該如何挑選?
01:07:48 Q&A - 如何在眾多資安的領域中調適?
01:10:07 Q&A - 資安主管如何帶領員工一起成長?
01:12:39 Q&A - 當公司內資安小老師淪為形式時該怎麼辦?
01:14:47 結語與YM想分享的話
當公司在面對資安時,會因為所處年代、公司規模、產品和文化的不同而有所差異
過去:需要透過行銷 Hacking Exposed 駭客現形 等相關工具與技術的方式,告訴大家資安問題的存在 現在:資安的重要性已經很普及了,大家都知道自己公司需要資安工具和資安人才
達到一定規模的公司會開始有預算投入資安,甚至可能很多軟體與工具都在內部進行開發。在資安事件發生時,組織內有專業資安人員也能處理得更專業有效率。
文化會影響對於資安重要性的看法不同,好的資安意識需要時間影響公司文化,我們可以透過 Raise awareness 提升資安意識 和 Culture change 改變公司文化 來改變公司內部對於資安的看法、改變制度規則
是否自行開發資安工具還是要購買現成的產品會因為目的和使用者等不同因素而有不同的考量點。
如果公司使用的產品都是自己開發的就有更高的掌控度,也能因應公司內部的需求而對工具客製化,只是在開發這些工具的時候也不能僅僅考慮資安,還需考慮到穩定性、可用性等等其他面向,並沒有絕對的好與壞。
一個常見的做法是把資安做成遊戲讓人理解資安的重要性,但一間公司中本來就會有很多職位,而不同的職位想要達成的事情與目標本質上就有差異,看事情的角度也因此不同,所以摩擦在所難免。
以下為兩個可以著手的方向:
資安和其他團隊並不是敵對的關係,而應該是隊友,彼此合作才能讓產品和公司都可以更完整更有競爭力
兩邊的差異主要是因為文化上的不同而影響到處理事情的方式有所不同。
先了解規定是什麼,並了解制定規定的人真正想達到的目的是什麼,當現行的做法不可行或是沒有實質效益時,我們可以再去想看看在不影響資安的前提下有沒有其他方式可以解決問題,去和公司內部的人員做討論合作,畢竟大家的目的肯定都是為了公司好。
遇到模糊不清的狀況,我們要想辦法去理解它並把它轉化成能夠實際執行的項目來提供給工程師交給他們執行,這就是我們的價值所在。
找到交叉點,在想要的東西和外在的因素與情況的交集點就會是適合你的工作,持續學習與成長的路上慢慢篩選出自己想要也適合自己的!