這幾天一個很夯的新聞,就是號稱國內最大的代管主機服務商戰國策,發生了客戶資料在Google的查詢結果中被一覽無遺(請參見-戰國策爆發客戶資料外洩事件)的個資外洩事件。各式各樣的報導與批評,迅速散布於各大大小小的網站。內容不外乎是發生這類事件太過離譜,戰國策處理的方式不夠積極有效,也沒有負責的態度。另外也有人提到,如果事情發生在某某國家,戰國策會被告到倒閉。而對於受到影響的客戶,一致的說法都是覺得不可思議、沒想到。是的,戰國策有很多需要改進的地方。但是今天我要從一個完全不同的角度去看這個事件,那就是那些直呼不可思議的受害客戶,你想過你有甚麼錯嗎?或者換個溫和的方式,你知道你有哪些該盡的義務沒有盡到嗎?
針對戰國策這家公司,我個人在104人力銀行的網站觀察他們求職的資訊接近一年的時間。人力的需求一直以來都不少,但是實際觀看求才的內容,技術方面的人力都還是IT/網路相關的技能。最近,更轉換成以業務人力需求為主。有關資訊安全人力的需求,根據我的觀察,一直以來都是0。有的話,也是屬於工作內容的一小部分。看看他們對於技術長的需求就可以了解我所說的。
1.具備5年以上LINUX或FREEBSD伺服器實務管理經驗
2.具備3年以上資訊安全及網路規劃實務規劃經驗
3.具備3年以上ISP系統管理相關經驗
4.具備3年以上UNIX系統指令及相關service(DNS/Email/Web/FTP等)設定
5.具備3年以上UNIX系統(Linux/FreeBSD等)的安娤 維護
6.具備3年以上shell scriptlanguage 寫作
7.具備3年以上中大型ISP系統架構,包含架構及計畫之經驗
首先,資訊安全僅佔了其中一項,還是跟網路規畫放在一起,而資訊安全早已經不只是網路本身的問題。而年資要求是3年?別傻了,沒有一個人是可以專心從事1-7項的工作,而且符合他要求的年限,因為這樣至少要23的年資。所以通常這種需求的解讀是有3年的時間,工作是跟資訊安全有關的。至於在這3年內所佔的比例為何,那就不知道了。以我個人的經驗與身邊的例子,資安如果跟其他工作混在一起,能夠花到10%的時間已經算是多的了,光講規畫的話會更少。寫出來的條件如此,就可以知道其對於資訊安全的重視程度如何。
除此之外,過去該公司的職務有不少技術人員,但就像我之前說的,多是要求IT/網路相關經驗。當然,通常組織內專職於資訊安全的人力就不多,但是為0似乎是顯示出一些警訊。更何況他們還有一些儲備幹部的需求,IT人員需要儲備,IS(Information Security)人員就不需要嗎?而以現在發展的趨勢,就算客戶數與業務範圍不增加,客戶所面臨的資安問題也會越來越嚴重。如果沒有及早因應,那就只能亡羊補牢了。
所以我要對這些受害客戶說的話就是:「別再說甚麼不可思議這種不負責任的話,好好為自己的失責加以檢討,並予以改進吧。」我這樣說很超過嗎?一點也不!因為我們都知道,當你在選擇第三方廠商的時候,你需要對廠商進行必要的評估。怎麼評估當然各種有不同的方式,但是絕不會是聽信廠商自己的片面之詞。今天洩漏的是你自己的資料,萬一哪天洩露的是你的客戶資料,那你可能就淪為下一個戰國策了(別忘了戰國策有CRM的服務)。
多年前我看到有人說:「要了解一家公司的現在與未來,最好的方式之一就是透過他們的求才資訊。」對此,我深信不疑。當然在解讀時要多加小心,並不能光看表面的描述,不然就有可能被假消息給誤導了。
留言列表
