永豐金證券資訊安全部協理的謝佳龍,以自己曾在海外與國內從事資安工作的經驗出發,提供資安初階人員,養成資安技能及心態的方法。

圖片來源: 

圖/iThome

【資安人才大聲公】讓前輩親口告訴你

日本知名網站資安社群OWASP中,有一名活躍的臺灣人。早在2013年,他就熱心翻譯現在業界年年必看的英文版OWASP網站十大安全風險名單,帶進日本資安圈,讓日本社群驚訝不已。他就是現在任職永豐金證券資訊安全部協理的謝佳龍,不只與OWASP結緣近10年,更兼具企業端與廠商端的海內外資安工作經驗,近日他在臺灣資安大會中,以自身經驗為例,向3年以下資歷年輕資安人才分享磨練資安技能及心態養成的作法,盼更多新血加入,為資安領域貢獻。

繪製資安職涯動力曲線,詮釋自身職涯發展的困境與收穫

謝佳龍過去曾在日本求學與工作長達11年。他大學時就讀美國卡內基·梅隆大學的日本神戶分校,而後在攻讀碩、博士時,開始學習資安,研究了數位隱私權的相關議題。畢業後,進入一家臺灣資料外洩防護(DLP)廠商的日本分公司,接著先後進入日本最大電信集團的資安子公司以及日本最大電商企業的資安辦公室。回到臺灣之後,曾在臺灣最大電信集團內工作,也短暫在日商銀行工作,目前為永豐金證券的資安主管。

為了更進一步說明每個工作經歷所面臨的困境與收穫,謝佳龍繪製出自己的資安職涯動力曲線,來剖析從事資安工作的動力起伏。比如剛開始在唸研究所時,謝佳龍對於資安領域的興趣濃厚,卻在實際接軌就業時,發現日本企業聘用博士生的意願低,加上非本國籍的身份,使他求職面臨求職不易的困境。因此,他的動力曲線在歷經第一個高峰之後,逐漸走下坡。

進入臺灣DLP企業的日本子公司工作後,雖然與客戶逐漸建立起信任關係,動力曲線稍微回升,但在公司撤出日本市場後,又開始下降。直到謝佳龍重新找了一份工作,進入了日本最大電信集團的資安子公司任職,他的動力曲線才又開始穩定成長。

這份在日本電信業的工作,讓謝佳龍接觸了滲透測試、弱點掃描等資安檢測工作,也巧合地加入了資安社群OWASP(Open Web Application Security Project,開放Web軟體安全計畫),開始與社群產生連結。當時,他甚至翻譯了著名的2013年OWASP Top 10,從英文翻譯成日文版本,「連社群的人都一嚇一跳,日文版居然是外國人翻的!」

在社群耕耘的經驗,也將謝佳龍帶到了第三份工作,進入日本最大電商企業的資安辦公室。原先工作是執行滲透測試,後來受到主管指示,他開始對內部員工進行資安教育訓練,對象從開發者、系統維運人員,陸續擴大到全公司,工作之餘也持續在社群中活躍,他的動力曲線也在這時候達到第二個高峰。

離開這份工作後,他在日本的職涯也告一段落,選擇搬回臺灣。謝佳龍比喻,在日本找工作遭遇了一次文化衝擊,但回到臺灣工作後,卻又面臨了一次「逆文化衝擊」,「因為我已經習慣日本產業了,回來臺灣的第一份工作就感受到思維的不同。」由於在臺灣零工作經驗,他在面對臺灣客戶時,發現客戶所在意之處與過去從業經驗有許多不同,需要重新適應。過程中,他也接觸到銀行資安專案,開始對金融界資安有更多了解。

這時,他的動力曲線也因逆文化衝擊而下降,不過就在進入現任職場,擔任永豐金證券資訊安全部協理後,動力曲線也持續回升,來到第三個高峰。

謝佳龍解釋,在金控公司任職資安主管一職,工作內容與過去有很大差別。比如需要全盤式的進行策略規劃,來決定組織該如何分工,甚至得進行決策;還有一個與過去截然不同的學習,是以往不曾任主管時,總是想著要做什麼,但任職主管後,反而得決定哪些事不要做,「主管時間非常有限,要把精力花在對公司有幫助的地方。」

這份工作,更讓謝佳龍深刻體悟了溝通的重要性,從部門內、跨部門溝通,到與資訊單位、業務單位協調,更需向上級報告。由於溝通的對象不一定具有資安背景,為了讓對方能了解自己的想法,就需要培養自己的溝通技巧。

至此,謝佳龍曾任前端的售前規劃顧問(Pre-Sales),負責與客戶討論需求、規劃架構,也曾任後端技術支援的溝通協調者,向開發團隊反應客戶使用上的問題、需客製化的功能;後續也曾在企業內辦理資安教育訓練、進行資安推廣,更熟悉安全系統發展生命週期(SSDLC)的流程。這些橫跨廠商與企業兩端的工作經驗,以及從日本到臺灣的廣闊視野,都是他累積至今奠下的能力基石。

以自身經驗出發,提供資安初階人員技能與心態養成建議

面對學生、或工作未滿三年資安人才新鮮人,謝佳龍建議,每個人都得規劃自己的職涯發展方向,「雖然計劃很常趕不上變化,但不代表就不用規劃,自己的職涯該怎麼走。」

除了了解自己的職涯發展方向,也需要培養自己的技能(Skillset),從技術到軟實力都得具備。在技術方面,可以分為包括密碼學、網路安全、逆向工程、程式安全、數位鑑識等領域,而要熟悉這些知識或技能,謝佳龍建議,透過參與社群來學習是一個切入點,國內外社群包括包括UCCU、TDOH、BambooFox、AIS3、OWASP、HITCON等,都能積極參與來深化技術實力,因為在職場上,「沒有人會平白無故的教你東西,老闆、前輩都不會!」

在軟實力方面,則是要具備五大技能。一是溝通能力,無論在企業端或廠商端都同等重要,若身為企業端,需透過溝通來說服上級或其他員工,也能認同自己的決策或建議,如果身為廠商端,更得具備溝通技巧,才能說服企業採用自家的服務。二則是要具備團隊合作能力,才能在資安領域合作對抗敵人,比如透過不同角色分工來蒐集情資、布建資安防護、監控防火牆Log、進行事件回應等,分工合作來面對駭客集團的攻擊。

三是適應性(Adaptability),指的是面對不同產業的客戶,或是在身處不同產業從事資安工作時,不能用同一套思維套用到所有場景,要根據不同產業或環境的需求,來提供服務。四與五,則是需具備解決衝突的能力,以及領導能力。

「Fit yourself/security into scenarios.(調整自己,適應不同的資安場景。)」謝佳龍以這句英文來強調,在投入職場的過程中,關鍵是要先讓自己適應不同的資安場景,才能進一步發揮自身的經驗與能力。

另外,考取證照也是一大重點,網路上也有些整理圖表,告訴資安人在不同能力程度及不同專業下,應該考取哪些證照較為合適。比如美國計算機行業協會CompTIA 2019年更新的IT證照地圖(IT Certification Roadmap),就可以做為參考標準;此外,美國國家標準暨技術研究院(NIST)也公佈了國家網路安全教育倡議框架(National Initiative for Cybersecurity Education,NICE框架),將資安工作分為7大類33個專業領域,詳細查看NIST SP 800-181的規範,還能了解不同工作角色的任務,成為技能學習的參考依據。

除了資安技能之外,心態養成(Mindset)也是重要的一環。謝佳龍提出了一個資安VIP的心法。他解釋,這裡的VIP指的是專業(Professional)、正直(Integrity)與價值(Value)。首先,從事資安工作要具備專業性,再來,則是要將專業用在光明面,做正直的事,才能進一步產生價值,「專業與正直結合,來產生價值,就是資安VIP。」為企業帶來價值的同時,也會為自己帶來價值,讓職涯發展更進一步。

選擇進入廠商端與企業端也需有不同的心態,謝佳龍以他自身經驗來看,他建議,若進入廠商端工作,「用專業解決問題,成為企業的夥伴。」有了這個態度,才能讓企業感到信任,在面對資安需求的時候,訴諸自家服務來解決問題。

而在企業端資安職場工作時,謝佳龍則建議:「應用問題來培養專業,」由於資安專業領域的範圍太廣泛,但不同產業面臨的挑戰不同,因此,身在不同產業的資安工作者,不需要什麼專業都得學會,而是得根據身處不同情境下面臨的挑戰,來培養專業能力。同時,也要具備「被討厭的勇氣」,他指出,許多人不了解資安人員的工作,時常覺得資安人員無所事事,只會突然丟漏洞要開發人員修補,而面對他人的不理解,資安人員需要具備良好的心態來面對。

點明資安產業零失業率、高人才缺口,盼更多新血投身貢獻

雖然資安工作辛苦,但謝佳龍也提出幾項數據,來增加新鮮人跨進資安產業的動力。首先,是根據美國資安研究與出版商Cybersecurity Ventures的一項數據,顯示到2019年為止,美國資安工作者的失業率已經連續8年為零,同時,2021年的資安職缺將達到350萬個,相較於2014年的100萬個,在7年之間成長了3.5倍。

「哪一個產業能成長的如此快速?」他鼓勵學生與資安初階人員,要有被討厭的勇氣、努力追求新知,更要加強技術與軟實力,從各方面精進自身能力,來滿足資安人力需求的大量缺口。

同時,他也引述金管會去年8月發布的金融資安行動方案,其中規定,具一定規模的金融機構,必須設置副總經理層級的資安長,這意味著,未來金融資安領域的從業工作者,有一定程度的機會,能擔任主管職,來承擔金融機構需肩負的資安重任。他藉此給予資安人員一個願景,盼人才更有動力留在資安產業耕耘。

最後,謝佳龍也點明:「資安非常重要,不只是對金融重要,更是國家安全的一環。」他期許有更多資安新血,願意秉持著資安與每個人同在的精神,持續對資安產業投注心力與貢獻。

 

相關報導


熱門新聞

Advertisement