成為資安分析師後頭幾個禮拜，除了每次發薪資看到新的數字眉開眼笑，具體工作內容暫時沒有太大改變。原有的工作照舊，新的計劃還在籌備，開會的次數增加了，於是開始蒐尋資料提供ㄧ些（現在看來不太成熟的）意見供主管們參考，可能主管還在思考要怎麼走下一步吧？

「我們需要加強內部員工的資安意識」，某天主管走到桌旁和我這麼指示著。我略做思索，看來之前提的一些意見還是有上達天聽的，於是按照準備的資料回覆道：「沒問題。很多資料顯示員工資安教育是有效的投資，近80%的事件起源於內部疏失，如果提升員工資安意識，他們比較不會被phishing email釣魚郵件和social engineering 社交工程手法所騙，對於經手的data資料也會注意，間接減少重要資料外洩的失誤，只要大家不亂開啟電郵附件、不隨便相信接收的訊息、不亂點來路不明的連結，我們的整體環境會更安全，花在incident response事後處理的時間將會減少，我們也能騰出手來，把時間花在執行其他重要工作上，提升部門整體效能…」講到這裡，忽然覺得主管不愧是主管。領導人風範就是不同，能虛心聆聽下屬意見，做出明確的決定，錢花在刀口上，果然英明。該是提出下ㄧ步，討論具體執行方案了吧？

「那麼老闆，下一步要怎麼執行？要和HR人資商量，看是否請得到專業講師嗎？這次預算多少？」
「我們自己來。」
「嗯？您是指…我們自己找嗎？」
「你覺得HR懂得去那裡找這樣的講師嗎？這要有資安專業背景，何況…」主管反問道：「講到專業背景，全公司有誰比你更適合？當然…如果你…有難處，我們可以再想辦法。」

雖然ㄧ直覺得「我不行」、「從沒上台講過」、「會緊張」、「這不是企業講師該做的事嗎？我應該是做技術和這無關啊？」但是想起星雲大師在《迷悟之間》提到：「人只要肯承擔，就能有成就。」後來就ㄧ口答應了。

*來自網路截圖

當時第一輪員工教育在三個星期內安排二十幾個時段，每次一小時，主題是資安概論。辛苦準備PowerPoint ， 慢慢用不同的方法引起聽眾興趣，避免大家睡著。例如我會先歡迎大家來參與，接著逐位詢問參加這堂課的原因和目的，在講解PowerPoint的資料時，也盡量滿足大家當初所提的需求：有人想多聽phishing email我就多講ㄧ些；有人想聽Wi-Fi Security 我就多講如何安全連上無線網路；最後Q & A 時間連自己家裡的問題也歡迎大家ㄧ起討論，也分享一些樣本讓大家猜哪封郵件是真？哪封是釣魚郵件？

在講演的過程與互動中，漸漸對不同層次聽眾有所了解。高級主管對於一些資安政策的意見和新進公司的PM不同，大學剛畢業的年輕員工總覺得自己熟悉電腦，天不怕地不怕(其實反而因此中標)。由於反應不錯，也贏得大家認同與信賴，聽從建議接受資安政策的人變多，幾個月後又舉辦第二輪、第三輪，乃至每年兩輪，每輪資安教育課程內容也盡量不重複，有的著重Phishing Email，有的強調旅遊使用公司手提電腦安全須知、有的是針對防範季節性social engineering攻擊宣導、有的專門講公司BYOD政策等等。行筆至此，想起當初接下資安分析師的工作，從未想過有朝一日自己要上台講演，如果當時沒有承擔員工資安教育，亦不會有現在的成長。

「『承擔』能給人力量，也可以具足信心；人只要肯承擔，就能有成就。」--星雲大師《迷悟之間》

你有舉辦資安教育或參加的經驗嗎？有什麼特別的妙招吸引聽眾？歡迎分享。