台灣大哥大資安長陳啓昌

【資安人才大聲公】讓前輩親口告訴你

數位轉型風潮下,資訊安全威脅日益嚴峻,促使企業越加重視資安,甚至設置專責資安工作的單位與高階主管職位。台灣大哥大資安長陳啓昌在臺灣資安大會上,以自己一路走來累積的資安長工作經驗,向有意晉升資安長,成為企業核心管理團隊一員的資安人,分享資安長須具備哪些能力和觀念。

了解資安長需具備哪些能力與態度前,陳啓昌先提出資安治理金字塔,來說明不同資安管理階層的職責。資安治理金字塔分為三層面向,從上往下看,分別是戰略、戰術到底層的維運。他表示,每個資安治理層面對應著不同的職位,且每個職位負責不同的工作內容。

最頂端的戰略層面對應的是,資安長、處長以上的職位,負責規畫企業中長期的資安發展方向;接著,戰術面對應的是部長或經理級職位,負責執行年度專案;再來,維運面對應的是課長或副理,負責每日維運工作。

陳啓昌表示,從時程來看,越上層的職位要關注的時間軸越長,廣度也越高,而越下方職位關注的單點深度則越深。因此,資安長如果只看年度專案,便無法顧及自身職位負責的中長期方向規畫,所以,他特別強調,資安長需清楚高層未來想做什麼,才能提早布局、培養團隊具備相對應的資安能力,確保資安能量可滿足業務發展。

陳啓昌以自身2月接任台灣大哥大(簡稱台灣大)資安長後,面對的職務內容為例。因了解高層要積極發展5G、IoT服務,他便著手開始培養有能力進行5G滲透測試與IoT檢測的團隊。他表示,資安長該著眼的是3到5年後的需求,而不是只管理今年的專案規畫,像是EDR導入等專案。

此外,因了解高層對區塊鏈、5G等議題有興趣,他更曾利用連假拼命研究新技術,了解技術採用上會面對的資安問題,而因應台灣大現與許多新創合作,他也協助高層評估可能面臨的資安議題,以便事前做準備。

找出問題的最合適解法,是獲得高層信任的關鍵

談到資安長可為公司帶來的價值,他認為,資安長需先認知到找問題和解問題的區別。很多人認為,能發現問題就很厲害,但他提醒,如果向高層提出公司資安上的缺失,卻缺乏可改善問題的解法,對高層來說,知道這些問題的意義不大,因為沒有解法就沒有任何改變。對於只有想到找問題的資安長,他認為:「必須調整心態。」

他表示,資安長須為公司解決資安上的問題,而不是單純找問題,因為「老闆知道的問題不會比較少,找你來是要解決問題。」

「所有事物沒有100分的答案、最佳解,只有最合適的解。」陳啓昌自己一直用這樣的信念,督促自己為公司找尋更好的解決方式,而這樣的態度更成為他獲得高層信任的關鍵。他強調,「沒有老闆的信任,很難做資安。」

除了不斷找尋問題更好的解法,資安長也需隨時間推移,在各階段交出不同的成果,來獲得老闆信任。陳啓昌提醒,高層在各階段著眼資安長有不同的表現。一般來說,資安長到任第一年,需提出資安發展方向的計畫;到任第二年,須落實規畫;第三年之後,需持續改善規畫落地後不足之處。

現在許多企業發展新業務時,也會需要評估日後可能面臨的資安風險。陳啓昌提到,「資安最難的是說Yes,」不過,他提醒,資安長要盡量避免以資安問題為由,向高層說該業務推動不可行,反之,應向高層提出推動該業務需要哪些資源,以及有什麼解決方案,而若是受限法規,應讓高層了解法規面限制,他強調,業務最終能否推行應由高層做決策,不過,資安長應讓老闆了解所有的風險和選項。

資安長對上扮演幕僚,充分提供資訊,而在向下管理上,「相信專業,並充分授權,」也是陳啓昌認為一名資安長須具備的觀念。他表示,資安長需相信部屬,授權部屬承接事務,且給予部屬發生錯誤的空間,讓他們從錯誤中學習求進步。

但,他也提醒資安長需建立代理人與接班人制度,確保任何一名人員離開都不會威脅公司營運,包含自己在內,他強調,資安長需確保自己離開公司後,至少半年內都不會發生維運問題,他直言,如果資安長一離開就出現重大問題,「那就是資安長失職了。」

隨著資安長職務經驗的積累,陳啓昌也逐漸感覺到,許多資安作法常無效率,所以,他進一步學習各種IT治理的框架,他表示:「資安為骨,治理為肉,」資安可以確保底子不跑掉,但要讓肌肉長得順,容易施力,需靠IT治理,因此,他建議資安長們,「把IT治理內容套用在資安。」

臺灣各企業近年紛紛導入資安管理國際認證標準ISO 27001,陳啓昌提醒,導入標準外,還需確實了解標準的內容,才能真正地掌握每件事是否有缺失。

為了確實了解標準,陳啓昌每年會熟讀認證標準逾10次,甚至背條款,再針對每件事列出相關聯的條款,以真正熟悉標準的內容。他表示,資安長需練習如何將所學的理論,應用在工作上,把理論與現實結合,甚至轉化為可以依循的資安制度,他也進一步提醒,如果學習認證標準卻沒有與工作結合,「就白學了。」

像是他把自身當作服務提供商(SP),就是從IT治理學習得出的心得。他建議資安長把自己當作SP,列出自身可為公司提供之服務的清單,再與高層提出的服務要求清單對照,兩方吻合了才能彰顯資安長的價值。

溝通力不可少,練習用舉例來說明專業術語

陳啓昌更提到,資安長與非技術人員溝通時,要用對方容易理解的方式,他打趣的比喻就是「要講人話」。特別是與高層的溝通更要留意,他強調,若使用對方聽不懂的術語,則溝通效果不彰。也就是說,資安長需練習如何與人溝通,不能只會用專業術語。

陳啓昌自己就經常用舉例的方式與高層溝通,以說明抽象的IT治理概念為例,他會用一家餐廳為比喻,IT容量不足,就像是椅子量不足,就很難支撐大量顧客的狀況,而IT可用性不夠就用椅子壞掉來描述,讓這些抽象IT概念更加具體來說明。

懂得與人溝通還不夠,陳啓昌提醒,還要考慮每個人熟悉的領域,與不同人溝通使用的詞語也要有差異,須找出雙方的共同語言。

陳啓昌回溯自身溝通能力的養成,有賴職涯的經歷,一個是在英國標準協會(BSI)擔任稽核員,另一個是擔任資策會、BSI等單位的講師,讓他累積了許多演講經驗,培養與人溝通的能力。

過往的工作經歷除了讓陳啓昌具備擔任資安長,不可欠缺的溝通能力外,也讓他體認IT與資安密不可分的關係。進入台灣大前,陳啓昌在104人力銀行擔任資安長,除了管理資安工作外,他也管理IT基礎建設,這段經歷讓他體會IT的辛勞。

他比喻,IT就像背著一堆黑鍋的烏龜,當中的辛酸外人很難體會。特別是基礎設施團隊,平時團隊確保網路順暢大家沒有感覺,甚至覺得這是應該的,然而,網路一旦斷線,抱怨聲就四起。他提醒,IT是推行資安重要的夥伴,資安人必須尊重IT,才能找到與IT相處的平衡,共同合作解決資安問題。

針對想爭取成為資安長的資安人,陳啓昌也分享自已求職的經驗,像是撰寫履歷和面試時需留意的事項。比如說,自傳部分要避免流於基本自我介紹的呈現,他直言,這樣的履歷表無法引起面試官的興趣,自傳一開場更要點出重點,吸引面試官往下看。此外,撰寫過往工作經驗的內容時,需避免使用大量的形容詞,他建議,使用量化數字呈現過去工作上的成就,才具說服力。

接到面試通知後,更不可鬆懈,像他自己在面試前的準備,包含搜尋面試企業的新聞、產品、業務等訊息,還有企業高層的資訊也需一併掌握。他表示,面試過程中,面試官對面試者掌握企業資訊的程度,「會有感覺。」

另外,他建議,面試者要事先設想面試官會提出的問題,掌握哪些問題對自身不利,以準備簡短答覆的內容,把問題帶到對自身有利的另一個問題,來控制面試節奏。他強調,做這麼多事前功課,就是要盡量「控制面試場合,不被面試官帶著走。」

相關報導


熱門新聞

Advertisement