導讀

終於來到了最後一篇了，倒數這兩篇較偏向日常與資安相關的議題細節，不從技術面探討，從各個面相作好資安工作。及在求職過程中該注意的細節，哪些細項得作的。

利害關係人的目的和影響

您之前了解了事件升級和各種安全事件分類類型。您也了解了這些事件可能對組織的業務運作產生的影響。

本文將探討對這些業務運作有重大興趣的個人：利害關係人。

誰是利害關係人？

利害關係人被定義為對組織的任何決策或活動感興趣的個人或團體。作為安全分析師，您要做的很大一部分工作就是向各個安全利害關係人報告您的發現。

利害關係人的級別

較大的組織內有許多層級的利害關係人。作為入門級分析師，您可能只會與其中的少數人直接溝通。儘管您可能無法與組織中的所有安全利益相關者進行溝通，但了解關鍵利益相關者是誰非常重要：

• 網路安全風險經理：負責領導識別、評估和減輕組織內安全風險的專業人員。
• 首席執行官 (CEO)：組織中級別最高的人員。作為入門級分析師，您不太可能直接與該利害關係人溝通。
• 財務長 (CFO)：另一位您不太可能直接溝通的高層利害關係人。
• 首席資訊安全官 (CISO)：最高層級的安全利益相關者，您也不太可能與該利害關係人直接溝通。
• 營運經理：負責監督日常安全營運，領導開發和實施安全策略的團隊，以保護組織免受網路威脅。

財務長和首席資訊安全長專注於大局，例如安全事件的潛在財務負擔，而營運經理等其他角色則更關注對日常營運的影響。儘管您很少與高階安全利害關係人直接互動，但認識到他們的相關性仍然很重要。

入門分析師的利害關係人溝通

您可能經常與之溝通的安全利害關係人的兩個例子是營運經理和風險經理。當您向這些利害關係人報告時，您需要清楚地傳達當前的安全問題及其可能的原因。然後，營運經理將確定後續步驟並協調其他團隊成員來修復或解決問題。

例如，您可以向營運經理報告員工多次登入嘗試失敗。該利害關係人可能會聯絡員工的主管，以確保發生的情況確實是輸入錯誤密碼的問題，或確定帳戶是否已洩露。如果真正失敗的登入嘗試可能導致帳戶鎖定，從而可能影響業務運營，那麼利害關係人和主管可能還需要討論對日常營運的後果。作為入門級安全分析師，一旦確定了後續步驟，您可能會在實施預防措施方面發揮作用。

從一個利害關係人到下一個利害關係人

營運經理和風險經理是利益相關者，他們依靠入門級分析師和其他團隊成員來隨時了解日常營運中的安全事件。這些利害關係人通常會向 CISO 和 CFO 報告，以更廣泛地描述組織的整體安全狀況。儘管您不會定期與高層利害關係人進行溝通，但重要的是要認識到您的努力仍然會影響組織中最高層級的安全利害關係人。團隊中的其他成員讓頂級利害關係人了解持續幫助保護組織的安全措施和協議。

與利害關係人進行有效溝通

重點

• 進入正題：

  • 問自己以下問題，以確保溝通重點明確：
    • 我想讓這個人知道什麼？
    • 為什麼他們知道這一點很重要？
    • 他們什麼時候需要採取行動？
    • 我如何以非技術方式解釋這種情況？

• 遵循協議：

  • 了解與利害關係人溝通的協議和程序。
  • 確定哪些應用程式和通訊形式是可接受的（面對面會議、視訊、電子郵件、聊天應用程式等）。

• 有影響力的溝通：

  • 根據利害關係人的職責調整溝通內容。
  • 與營運經理等較低層級的利害關係人溝通時，專注於日常操作細節。
  • 與高層利害關係人溝通時，專注於潛在風險和財務負擔。

• 通訊方式：

  • 選擇適合的溝通方式：
    • 即時通訊：適合簡單訊息
    • 電話：適合快速溝通
    • 電子郵件：適合描述多層次的情況
    • 視訊通話或面對面會議：適合討論複雜情況
    • 共享資料電子表格：適合分享大量數據
    • 投影片簡報：適合展示圖表和數據

建立可視化儀表板以進行有影響力的網路安全通信

重點

• 使用視覺效果進行有效溝通：

  • 安全涉及保護公司免受威脅，影響聲譽與財務。
  • 利害關係人通常忙於其他職責，視覺效果能快速、有效地傳達資訊。
  • 視覺化幫助決策者理解潛在的安全風險，做出更明智的決策。

• 視覺化儀表板：

  • 儀表板可快速顯示各種資料，幫助傳達安全事件的資訊。
  • 儀表板的簡單或複雜取決於要傳達的訊息，可能包括圖表、圖形、表格。
  • 溝通數據時，細節準確性非常重要。
  • 工具推薦：Google Sheets、Apache OpenOffice 等。

• 何時使用視覺傳達：

  • 團隊合作是網路安全的重要部分，視覺溝通可增進團隊協作。
  • 簡單的更新或電話可能已足夠，視覺化適合更複雜的數據和結果展示。
  • 例子：向主管匯報內部審計結果時，使用圖表來顯示數據能更清晰地呈現點擊網路釣魚電子郵件的情況。

參與網路安全社群的策略

重點

• 安全組織和會議：

  • 參加安全會議和加入安全組織，能從經驗豐富的專業人士那裡學習，提升安全技能和知識。

• 找到合適的組織：

  • 加入組織前先了解自己的安全興趣，這有助於選擇專注於安全事件反應、防止攻擊或法醫安全的組織。

• 開始搜尋：

  • 根據興趣搜尋適合的安全組織或會議，例如「事件回應網路安全會議」或「取證安全組織」。

• 使用社群媒體：

  • LinkedIn® 是搜尋網路安全組織的好工具，透過搜尋「事件回應網路安全小組」等關鍵詞找到相關團體。

• 了解社會工程：

  • 使用社群媒體時警惕社會工程攻擊，不要點擊不熟悉用戶發來的連結或附件。

• 安全郵件列表：

  • 註冊網路安全郵件清單，如網路安全與基礎設施安全局 (CISA) 提供的列表：
    • 一個關注安全威脅和最佳實踐的郵件列表。
    • 一個提供新漏洞和風險週報摘要的郵件列表。

與其他網路安全專業人員聯繫

重點

• 與網路安全社群保持聯繫的重要性：

  • 安全產業快速發展，保持與社群的互動對職業生涯有重要幫助。

• LinkedIn® 與 CISO：

  • 在 LinkedIn® 上關注 CISO，瞭解他們分享的最新趨勢和新聞，有助於提升安全思維和職業發展。

• 在 LinkedIn® 上尋找其他安全專業人士：

  • 無論是入門級分析師還是經驗豐富的專業人士，LinkedIn® 是與他人聯繫的好工具。

• 發送有效訊息的提示：

  • 使用對話語氣。
  • 提供想要聯繫的明確原因。
  • 避免拼字和語法錯誤。

• 範例訊息：

  • 「嗨，提姆。我最近完成了 Google 網路安全憑證計劃，我想與其他安全專業人員建立聯繫。看來您在安全產業有很多經驗值得我學習。我們保持聯繫吧！」
  • 該範例展示了清楚的聯繫目的，並保持對話式的語氣，避免讓對方感到不安或可疑。

履歷表範本

面試過程及相關細節

1. 招募人員聯絡您

   • 申請後可能會收到招募人員的聯絡（電話、電子郵件等）。
   • 需盡快回覆，表明積極回應和興趣。

2. 初步面試或電話篩選

   • 第一階段是初步面試，通常短於常規面試。
   • 招募人員將介紹公司及職位，並問您有關背景和經驗的問題。
   • 面試前準備問題，例如：「公司的工作文化是什麼？」或「這個職位的平均一天會是什麼樣子？」。
   • 面試後24小時內發送感謝電子郵件。

3. 額外採訪

   • 通過初步面試後，可能會有多次面試，包括與招募經理、未來隊友或技術面試。
   • 面試時間較長，通常是面對面、電話或視訊通話。
   • 採訪後也應發送感謝信。

4. 最終報價

   • 收到工作機會後，需決定是否接受或談判。
   • 可以請求一兩天時間來做決定。

5. 培養毅力

   • 如果未獲得工作機會，表達感謝並詢問未來其他職位的機會。
   • 尋求回饋以改進下次表現。

準備技術面試

1. 什麼是技術面試？

   • 技術面試著重於特定工具和技術的知識，與其他面試不同。
   • 網路安全職位的技術面試通常包含對特定技能的測試。

2. Python

   • Python 是一種廣泛應用於安全領域的程式語言。
   • 面試中可能會要求展示 Python 基礎知識，甚至在白板上寫 Python 偽代碼。
   • 熟悉 Python 的語法和應用可以讓您在面試中表現出色。

3. 一般技術

   • 技術面試會涵蓋通用的安全概念，例如安全框架和網路安全。
   • 了解特定安全框架，如 NIST 的網路安全框架 (CSF) 是一個加分項。
   • 網路安全知識也非常關鍵，涵蓋如何保護組織的網路基礎設施。

4. 答題策略

   • 在回答問題之前，將問題寫下來以幫助提供結構化的答案。
   • 技術面試問題可能涉及多個部分，寫下問題有助於確保完整回答。

5. 可能的技術面試問題

   • TCP/IP 模型是什麼？

     • TCP/IP 模型是用來視覺化資料如何在網路上組織和傳輸的框架。

   • OSI 模型是什麼？

     • OSI 模型是描述電腦透過網路通訊和發送資料的七層標準化概念。

   • 什麼是 SIEM 工具及其用途？

     • SIEM 工具（安全資訊和事件管理）用於識別和分析安全威脅、風險和漏洞。

面試中應用 STAR 方法

STAR 方法介紹

在工作面試中，有效傳達職業經歷和技能可能具有挑戰性。使用 STAR 方法 可以幫助您有策略地分享成功經驗。STAR 代表 情境 (Situation)、任務 (Task)、行動 (Action) 和 結果 (Result)。這種方法幫助您描述挑戰並展示如何解決問題。

1. 情況 (Situation)

• 描述您面臨的專案或挑戰。
• 例子：處理不滿客戶、系統錯誤導致交易減慢、獨自解決問題。
• 目標：充分描述情況，讓面試官了解挑戰。

2. 任務 (Task)

• 說明您在情況中的關鍵職責或角色。
• 清楚描述您的目標和角色在解決挑戰中的作用。

3. 行動 (Action)

• 描述為解決問題採取的具體步驟。
• 重要性：這部分展示您如何快速思考、做出決策並解決挑戰。
• 行動步驟可以顯示您如何應對真實情境中的壓力。

4. 結果 (Result)

• 分享您採取行動後的結果，如何解決挑戰。
• 建議：確保範例結果是積極的，表明您能有效解決問題。
• 若結果不完全正面，重點放在您從中學到的經驗和成長。

STAR 方法的應用

• 使用 STAR 方法回答面試問題，可以展示您面對挑戰的應對策略，並向雇主展示您具備成功解決問題的能力。

• 在GOOGLE的教材中講的都是相關的面試細節，不是太重要。

對於證書的心得

關於本次文章的結論，Google於課程中的規劃匴是排的蠻緊湊的，於課程中的內容定位是給沒有任何經驗的人員上的，我個人認為還是需要對於網路有些許概念的人，及有相關背景的科系學員來學習會是較為適合的，當中講師是用比較淺顯易懂的舉例開頭之後，再透過教材中的觀念建立補充，最後再透過線上雲端實作的方式來完成課程，我個人建議若無相關背景的人員還是先看過一般大學所開的上課教科書先有完整且系統及架構的方式將書本中的先看過一次後，再配合影片中的講師所規劃的課程，會是較為妥當的。

個人的看法，在台灣的就業環境當中，跟國外的或許不太一樣，國外偏向某個領域某個技術有專門負責的人員，但台灣本土企業並不會多聘請專業的人員，台灣的僱主會是希望降低任何的人事開銷，由一名網管人員就統包全部的資安及網管內容，我所知道的產業環境就是這樣，所以單靠上完這些課程後就能就業，我持保留的態度。

資安背景的人員多數都得對於組織當中的各式路由器及防火牆設定必需要知道如何設定，這也是課程中所欠缺的部分。在企業中的防火牆及路由器也不是一般員工能碰觸的，我個人建議讀者可以去拍賣網站買組織汰舊換新後退下的各廠牌防火牆及路由器，自己去學著架設，去學著切割網段，用語法或是GUI去設定各類的封包規則，學著備份及相關雲端的設定，別設定只是資訊安全分析師，得想辦法了解在網路上各種伺服器的參數內容，各種伺服器如何架設，各種Log的匯總及關連，最重要的是如何有架構的自動化來保護組織內部的各種資源。

以上是個人對於這門課的建議，以上謝謝。