【專家主場】略評 Michael Coates 訪談

    Neo 今天讀到一份不錯的訪談,Michael Coates(曾任Twitter 的CISO)分享了心得,針對兩個頗為吸引的問題:一、如何建立強健的資安團隊?二、如何開展自己在 Cybersecurity 的事業?其立論一針見血,所以略為記下,並加評論,以饗讀者。

    Michael 指出一個殘酷的事實:網絡邊界(The perimeter)永遠在改動。上一個世代講要守護network choke points,在今天可能不切實際。為了分秒必爭的業務競爭及發展,愈來愈多的雲運算及外判模式,正在消解(dissolve)網絡邊界。在今天,速度無比重要,所以資安服務要非常貼身。然而,面對眾多業務部門及他們各自獨特的系統結構,IT/資安團隊如何處理快速的變更要求及服務要求?難道要每個部門配置資安技師嗎?這當然是不可能的。

    Michael 走了一條路,叫 Empowerment及Paved path approach。這個思維是去 empower(提升能力、給予信任;「授權」二字太狹窄了)一些 Security Champions去協助公司的資安。中央IT做的工作,近乎鋪路,提供一系列不同的工具,並列出權限界綫,定出不應逾越的底綫。有了這些準備,Security Champions 自然會找出最佳的解決辦法:同時守護資安,以及協助高速的業務發展。

    新思維有待發揚。雲運算是個好例子,他讓我們重新思考資安。以往有防火牆,好人在裡面,壞人在外面。但今天網絡邊界正在解消,雲運算與「防火牆式」的思維格格不入。

    同時,現今企業管治模式複雜,混合了各種第三方分判公司及合約員工,所以,除了有不同種類的人穿梭進出公司,也有很多數據聯網,接駁不同系統。企業面對一個動態的IT運營,網絡安全風險巨大。

    所以問題轉向了:與其死守邊界,不如反思,在企業之中,甚麼是最重要的東西。這就是數據(data)。如果真下定決心,實踐新思維,那麼,資安政策也要以數據為先。所以,整個網絡保安的體系不是由邊界向內發展,而是從保護內部數據、數據系統開始,向外發展。

    [Neo 按:這涉及企業文化,主要是企業的IT與業務的關係。如果視IT為功能,那麼 Michael 所說的仍太前衞了。如果視IT為價值,則資安也可看成是一種 enablement,如此,就可以實現新思維及作風。我建議企業不要只是與他人比較,自己逐年的反本開新更加重要。尤其值得撫心自問:企業中如何作決策?決策過程中,如果考慮IT/資安的價值?還是只是當IT/資安是一個功能,隨其自行運作?IT又如何作決策?考慮了甚麽價值?我覺得這些思考值得 Corporate Board 好好想想。另一個問題是企業的大小及複雜性;企業必須找出一個切合自己大小及複雜性的IT Governance。]

    那麼,如何建立新思維的資安團隊?Michael 認為這的確是難題。全世界都缺人。不過,他也指出,缺人還缺人,企業自己都要懂得反應。企業是否可以考慮自己提拔資安人才?另外,反正聘請到「資安萬能俠」的機會接近零,不如先明白自己最重要的職務(例如 Analyst, Code security, infrastructure control etc.),然後重點聘請/培養該類人才。

    HR不可以單單以證書請人,Michael 認為這是很懶惰的聘請方法;證書課程,與其說是聘請人才的篩選機制,毋寧說是學習工具。當然,若果不單單以證書取人,那麼你的面試就要精心設計,要顧及你真正要保護的是甚麼。Michael 再補充:你要請到好人,首先要令自己吸引到好人。請到的人才,要好好鼓勵他們多加發揮,參與不同的資安 Conference 以擴闊見識等等。HR 倒不如自己也去去這些聚會,接觸不同人才。

    訪談的另一個重點,是如何入行。Michael 認為:不會太早,也不會太遲。若然在學,就去上有關的課程,更要落手試試,下載資安工具好好試用,更開始參加不同聚會組織,擴闊人際網絡。

    若然在職,你已有的經驗,對資安一定有幫助。系統開發出身的,可以投身 Application Security 的專業,如此類推。然後,再逐步加添能力。公司已有的員工,也可能臥虎藏龍,不妨留意。

    [Neo 按:我深有同感。我也認識有良好手藝的資安技師:證書是一件事,但個人的熱忱也很重要。將來必然是人才戰,企業必須以正面、積極的方法論及體系去理解人的存在。]

    相關文章:【專家主場】「資安真經」の國際專業證書CISA/CISM

    #CISO #MichaelCoates #Twitter #職場

    相關文章