iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 4
0
Security

資安分析師的轉職升等之路系列 第 4

Day 4 雙重轉職 : 上臺當講師

成為資安分析師後頭幾個禮拜,除了每次發薪資看到新的數字眉開眼笑,具體工作內容暫時沒有太大改變。原有的工作照舊,新的計劃還在籌備,開會的次數增加了,於是開始蒐尋資料提供ㄧ些(現在看來不太成熟的)意見供主管們參考,可能主管還在思考要怎麼走下一步吧?

「我們需要加強內部員工的資安意識」,某天主管走到桌旁和我這麼指示著。我略做思索,看來之前提的一些意見還是有上達天聽的,於是按照準備的資料回覆道:「沒問題。很多資料顯示員工資安教育是有效的投資,近80%的事件起源於內部疏失,如果提升員工資安意識,他們比較不會被phishing email釣魚郵件和social engineering 社交工程手法所騙,對於經手的data資料也會注意,間接減少重要資料外洩的失誤,只要大家不亂開啟電郵附件、不隨便相信接收的訊息、不亂點來路不明的連結,我們的整體環境會更安全,花在incident response事後處理的時間將會減少,我們也能騰出手來,把時間花在執行其他重要工作上,提升部門整體效能…」講到這裡,忽然覺得主管不愧是主管。領導人風範就是不同,能虛心聆聽下屬意見,做出明確的決定,錢花在刀口上,果然英明。該是提出下ㄧ步,討論具體執行方案了吧?

「那麼老闆,下一步要怎麼執行?要和HR人資商量,看是否請得到專業講師嗎?這次預算多少?」
「我們自己來。」
「嗯?您是指…我們自己找嗎?」
「你覺得HR懂得去那裡找這樣的講師嗎?這要有資安專業背景,何況…」主管反問道:「講到專業背景,全公司有誰比你更適合?當然…如果你…有難處,我們可以再想辦法。」

雖然ㄧ直覺得「我不行」、「從沒上台講過」、「會緊張」、「這不是企業講師該做的事嗎?我應該是做技術和這無關啊?」但是想起星雲大師在《迷悟之間》提到:「人只要肯承擔,就能有成就。」後來就ㄧ口答應了。

https://ithelp.ithome.com.tw/upload/images/20171223/200848063FUom7JyL9.jpg

*來自網路截圖

當時第一輪員工教育在三個星期內安排二十幾個時段,每次一小時,主題是資安概論。辛苦準備PowerPoint , 慢慢用不同的方法引起聽眾興趣,避免大家睡著。例如我會先歡迎大家來參與,接著逐位詢問參加這堂課的原因和目的,在講解PowerPoint的資料時,也盡量滿足大家當初所提的需求:有人想多聽phishing email我就多講ㄧ些;有人想聽Wi-Fi Security 我就多講如何安全連上無線網路;最後Q & A 時間連自己家裡的問題也歡迎大家ㄧ起討論,也分享一些樣本讓大家猜哪封郵件是真?哪封是釣魚郵件?

在講演的過程與互動中,漸漸對不同層次聽眾有所了解。高級主管對於一些資安政策的意見和新進公司的PM不同,大學剛畢業的年輕員工總覺得自己熟悉電腦,天不怕地不怕(其實反而因此中標)。由於反應不錯,也贏得大家認同與信賴,聽從建議接受資安政策的人變多,幾個月後又舉辦第二輪、第三輪,乃至每年兩輪,每輪資安教育課程內容也盡量不重複,有的著重Phishing Email,有的強調旅遊使用公司手提電腦安全須知、有的是針對防範季節性social engineering攻擊宣導、有的專門講公司BYOD政策等等。行筆至此,想起當初接下資安分析師的工作,從未想過有朝一日自己要上台講演,如果當時沒有承擔員工資安教育,亦不會有現在的成長。

「『承擔』能給人力量,也可以具足信心;人只要肯承擔,就能有成就。」--星雲大師《迷悟之間》

你有舉辦資安教育或參加的經驗嗎?有什麼特別的妙招吸引聽眾?歡迎分享。


上一篇
Day 3 關於資安證照兩三事
下一篇
Day 5 玩遊戲學資安 : 數位學習管理平台
系列文
資安分析師的轉職升等之路32

1 則留言

0
allenjung
iT邦新手 5 級 ‧ 2017-12-23 10:14:35

目前我是用發資安通報,一季發一次,因為公司也沒有給任何額外的加給或者補助
我就做罷了!!
我之前meeting的時候,講到關於security的部分我會用短片去做一個資安教育宣導
還有一種就是互動式討論(有獎徵答)

Sergeyau iT邦研究生 3 級‧ 2017-12-23 10:36:21 檢舉

互動式討論真的比較有效果。最好是先把大家嚇得半死,隨時會被駭,接下來就會專心聽了~^^

沒錯~~~實務上可以用wireshak 去抓msn的封包告訴user明碼傳輸的危險

我要留言

立即登入留言