不正經的先寫

做資訊安全經常遇到鬼打牆的狀況，打太極的情況，最終都沒有結論...
找了一些梗圖來會心一笑。

找工作 要經驗篇

轉系 成績篇

資安 說服篇
筆者依樣畫葫蘆，也做了一個梗圖...

老闆的領導承諾，取決你的腳本是否為好戲，才能夠上場

「從誠實面對自身後，檢討改善精進才開始」，這句話筆者在資安顧問的路上，非常深刻，實務上很多大老闆其實對資安都很重視，只是常常遇見下面的人或工程師提出的改善方案或問題，只是增加老闆的問題，並沒有解決老闆的問題。

• 理念技術不如 有量化數據支持可執行的方案
• 升級、優化太抽象，不如提供數字提升多少效益來的好
• 拿顧問的數據或文章報導的數據，不如公司花時間去量測發現的數據好

一般的組織大概如下：大家同舟共濟，大老闆指揮，大家各司其職前進，只要不要指揮不當，造成大家方向不一致就好

往往筆者遇到的，不是資安演練做不起來，也不是資安導入不起來，而是利用外部顧問勢力的機關算盡，在業界身經百戰的資深處長／副總／職場前輩怎麼可能看不懂呢... 最後會變成如下圖，大家拿槍互指

導入資安，還是要搞清楚公司文化，最好的方法是從自身做起

先透過檢討自己(如資訊處資安處)，透過量化指標協助公司提升效率(降低資安風險／提高安全開發／降低財務風險／提高公司維運韌性等)，找出對全公司都好的方針(具體可執行，要有數據)，不要淪為檯面下的政治工具，才能優雅面對。

透過OWASP CDM (技術／人員／流程)，來分析

Day17 社交工程事件, 從NIST CSF 到 OWASP CDM框架，有提到CDM框架，透過它可以知道全貌，達到跟長官溝通全貌，跟底下可以說明作法。

依樣畫葫蘆，借用NIST CSF 的IPDRR，進行 優雅面對資安事件的分析工具，如果可以幫助大家釐清，早點下班何樂而不為呢?

應變事件最常使用的框架為：事前預防／事中應變／事後復原，琅琅上口的三階段流程，下圖套用NIST CSF IDPRR跟治理層／管理層／基層，再加上輔以說明的事前／事中／事後，會變成如下圖：

再根據筆者的經驗，以 建立流程(Process)來說，如下圖。
當然各位讀者如果有注意到的話，CDM框架還有 技術(Technology) 和 人員(People) 需要評估，這個就是各位的功課了，要依據組織的特性、現況、資源進行分析。

實作與控制的資源很多，可以參考如下

• 美國NIST/NIST 800-53...
• 台灣技服中心/共通規範
• 美國CIS/控制基準

後記

筆者最後想說，遇到大老闆有時候會把顧問拉到旁邊，指導指導談心談心，那就稱為 "政治風險" 或 "利害關係" 的識別， 這當然很重要，要想想為啥承辦窗口，老闆不跟他談，要跟顧問談呢?

有些人總是想要拿雞毛當令箭，拿資安這把刀抵著老闆的脖子，如果換個心態，先檢討自身部門的數據，以檢討自己出發，給老闆量化數據，示範典範，更容易去推動公司其他單位， 而不是搬了一套法典就要大老闆拿來k其他部門~~