บทความนี้เป็นสรุปบทสัมภาษณ์พิเศษจากผู้เชี่ยวชาญด้าน Security และด้านบริหาร 3 ท่านภายในงานสัมมนา Black Hat Asia 2016 ที่เพิ่งจบลงไปเมื่อวานนี้ ได้แก่
- Freddy Tan, Business Development Director จาก Singtel / (ISC)2
- Russell Bunker, Director – Asia Pacific จาก Barclay Simpson
- Meng-chow Kang, PhD, CISSP, CISA, Director of Information Security จาก Cisco / Board Director จาก (ISC)2
ในหัวข้อเรื่อง “Advancing Your Career as a Security Pro” ซึ่งเนื้อหาจะประกอบไปด้วยแนวโน้มทิศทางการทำงานด้าน Cyber Security ความสำคัญของ Certificate และการปรับแต่ง Resume ให้ดียิ่งขึ้น
1. ลักษณะของงานด้านความมั่นคงปลอดภัยที่ตลาดต้องการในปัจจุบันนี้เป็นอย่างไร
Bunker: ผมมองว่ายุคนี้เป็นยุคที่งานด้าน Security มีความสำคัญอย่างแท้จริง ตลาดในปัจจุบันต้องการผู้เชี่ยวชาญด้านนี้หลายสายมาก ไม่ว่าจะเป็น Engineering, Policy Framework, Analyst, Operation Monitoring, Incident-Response หรือที่แน่นอนที่สุดก็คงเป็น Technician
Kang: อย่างที่ Freddy บอกครับ แต่ผมขอเสริมอีกนิดนึง ผมคิดว่างานที่ตอนนี้ตลาดต้องการมากที่สุดคงเป็นคนที่สามารถ Implement ระบบ Security เก่งๆ และคนที่มีความสามารถด้านการเขียนโค้ดให้ปลอดภัย (Secure Coding) รวมไปถึงคนที่สามารถออกแบบระบบ Security ให้เข้ากับเทคโนโลยีใหม่ๆ ได้ เช่น IPv6 หรือ Machine-to-Machine เป็นต้น
Tan: เช่นเดียวกับ Meng-chow ละครับ คือตลาดต้องการคนที่มีทักษะใหม่ๆ สำหรับผมคงเป็นผู้เชี่ยวชาญด้านการค้นหาช่องโหว่ของ Firmware และจัดการทำให้มั่นคงปลอดภัยได้
2. ภัยคุกคามนับวันจะยิ่งพัฒนาทวีความรุนแรงขึ้นเรื่อยๆ คิดว่าในอนาคตอีก 2-3 ปีข้างหน้าคนแบบไหนที่บริษัทต้องการ
Kang: ต้องเป็นคนที่เปิดรับทุกอย่าง พร้อมที่จะเรียนรู้เทคโนโลยีใหม่ๆ มีทักษะเชิงเทคนิคที่ดี สามารถนำความรู้และแนวคิดที่ได้รับมาจากที่ต่างๆ มาประยุกต์ใช้หรือต่อยอดได้ ยิ่งถ้ามีทักษะการเขียนโปรแกรมด้วยล่ะเยี่ยมเลย
Bunker: คนที่มีความสามารด้านประเมินช่องโหว่ และสามารถตรวจจับการโจมตีช่องโหว่เหล่านั้นได้ นอกจากนี้ก็ควรเป็นคนที่มีความรู้พื้นฐานหลายๆ แขนง ตามติดเทคโนโลยีใหม่ๆ และสามารถนำความรู้ที่ตนมีอยู่มาผสานรวมกันเพื่อใช้ให้ก่อประโยชน์สูงสุดได้ ไม่ใช่แค่เพียงอ่านตามตำรา และตอบตามตำราเพียงอย่างเดียว
3. พวกคุณมีความคิดเห็นอย่างไรเกี่ยวกับ Soft Skill เพราะเห็นหลายบริษัทเริ่มต้องการรับคนที่มีพื้นหลังด้าน Social Science เข้ามาทำงานในสายงานนี้
Kang: ทักษะด้าน Social สำคัญก็จริง เนื่องจากเป็นทักษะที่ช่วยให้คุยกับคนอื่นรู้เรื่อง ทำให้คนอื่นคล้อยตามและตระหนักถึงความสำคัญด้าน Security ได้ แต่ทักษะด้านเทคนิคก็สำคัญไม่แพ้กัน เนื่องจากทักษะด้านเทคนิคนั้นเรียนรู้ยากกว่าทักษะด้าน Social มาก ถ้าให้ดีเป็นคนที่มีทั้ง 2 ทักษะเลยก็จะดี
Tan: ปัจจุบันนี้การบริหารจัดการความเสี่ยงถือเป็นสิ่งสำคัญที่ทางฝั่งบริหารเองก็ให้ความสนใจ ถ้าฝ่าย IT รู้แต่เทคนิคอย่างเดียว เวลาคุยกับฝั่งบริหารหรือ C-Level ก็ต้องฝากคนอื่นไปคุย ซึ่งอาจทำให้ตกหล่นประเด็นที่สำคัญไปได้ แต่ถ้าฝ่าย IT มีความเข้าใจด้านธุรกิจก็จะช่วยให้สามารถสื่อสารกับทีมบริหารได้สะดวกยิ่งขึ้น การโน้มน้าว ชี้ให้เห็นถึงความสำคัญของ Security ต่อธุรกิจก็ทำได้ง่าย
Bunker: ผมมองว่า Soft Skill สามารถเรียนรู้ได้นะ ไม่ใช่เรื่องยากเย็นอะไรถ้าค่อยๆ ฝึกฝนไป ตรงกันข้าม ต่อให้เก่ง Soft Skill แค่ไหน ก็เรียนรู้ทักษะด้านเทคนิคไม่ได้หรอก เนื่องจากต้องอาศัยความสนใจ เวลา ประสบการณ์ และความรู้มากมายมหาศาล
4. คุณมีความเห็นอย่างไรกับลักษณะงานในปัจจุบัน ที่เริ่มระบุว่าสาย IT ต้องเป็น .. เอ่อ .. เทพ? .. รู้ไปหมดทุกอย่าง ความรู้ดี ทักษะได้ เขียนโปรแกรมเป็น เก่งเน็ตเวิร์ค คอนฟิกเซิร์ฟเวอร์คล่อง มี CISSP ประสบการณ์ด้าน IT ไม่ต่ำกว่า 5 ปี พูดอังกฤษฉะฉาน แต่เงินเดือน .. ก็รู้ๆ กันนะคะ
Bunker: เจอแบบนี้รับรองไม่มีใครสมัครแน่ๆ ต้องปรับลักษณะงานลดลงมาหน่อย โฟกัสเฉพาะสิ่งที่เราต้องการจริงๆ ใครเก่งด้านไหนก็ทำด้านนั้น แต่ต้องให้ทุกฝ่ายสามารถประสานงานกันได้ เรื่องนี้ต้องอธิบายให้ HR เข้าใจ
Kang: บริษัทต้องเข้าใจว่าเรียนคอมไม่ได้ทำได้ทุกอย่างหรอกนะ หรือต่อให้รู้ทุกอย่างจริง แต่ไม่เชี่ยวชาญสักอย่าง คนแบบนี้บริษัทตัองการจริงงั้นหรือ?
5. Certificate มีความสำคัญมากน้อยแค่ไหนสำหรับสายงานด้าน Security
Bunker: สำคัญและจำเป็นเป็นอย่างมาก เนื่องจาก Certificate เป็นตัวชี้วัดว่าคุณรู้จริง คุณมีความสามารถด้านนั้นจริงๆ และเป็นที่เหมาะสมกับตัวงานที่องค์กรต้องการ
Kang: ผมย้อนนึกไปช่วงปี 1998 ที่ผมได้ CISSP ซึ่งเป็น Certificate ใบแรก ตอนนั้นรหัสยังรันอยู่ที่เลข 4 หลักอยู่เลย ซึ่งสมัยก่อนเรียกว่ามันเป็นการท้าทายตัวเอง เราจะต้องเอา Certificate มาให้ได้เพื่อพิสูจน์ว่าเราแน่จริง แต่สมัยนี้ CISSP มีกันเป็นแสน แนวคิดมันเปลี่ยนไปละ กลายเป็นว่าการมี Certificate เป็นเรื่องที่ธรรมดามาก ถ้าคุณต้องการทำงานสาย Security ให้รุ่ง ยังไงคุณก็ต้องมี CISSP ถ้าไม่มี HR ก็คงรู้สึกแปลกใจแทน อะไรแบบนี้
Tan: ผมมองว่า Certificate เป็น Tool อย่างหนึ่งที่ทำให้เราประสบความสำเร็จในด้านการงาน ลองดูงานสายอื่นๆ สิ พวกเขาก็มี Certificate การันตีความสามารถกันให้พรึ่บ ถ้าคุณไม่มี Certificate คุณอาจต้องใช้เวลาและความพยายามมากกว่าคนที่มี Certificate เพื่อให้บุคคลอื่นยอมรับในความสามารถของคุณ
6. เราสามารถเขียนเรื่องทักษะด้านการสื่อสาร เพื่อระบุว่าเรามีความสามารถที่จะคุยกับคนอื่นได้รู้เรื่อง ลงบน Resume ไหมคะ
Kang: อันนี้นี่ขึ้นอยู่กับตำแหน่งนะครับ บางตำแหน่ง เช่น ทีม Support หรือทีม Technician อาจไม่จำเป็นต้องเขียนลงไป เนื่องจากทักษะด้านการสื่อสารไม่ได้เป็นสิ่งจำเป็นมากนัก แต่บางตำแหน่งที่จำเป็นต้องสื่อสารกับฝั่งบริหารหรือติดต่อกับลูกค้า ถ้าเขียนลงไปและสามารถพิสูจน์ให้เห็นได้ตอนสัมภาษณ์ก็ถือว่าเป็นเรื่องดี แต่โดยปกติแล้ว CISO ทุกคนมักจะหวังว่า ฝ่าย IT ทุกคนจะคุยรู้เรื่อง
Tan: ผมว่าคุณต้องถามตัวเองก่อนนะ ว่าคุณคุยรู้เรื่องมากน้อยแค่ไหน .. จริงๆ เรื่องนี้พิสูจน์ได้ไม่ยาก ลองให้คนอื่นที่ไม่ใช่สาย IT ตั้งคำถามใส่คุณ คุณจะต้องอธิบายให้เขาเข้าใจให้ได้ภายในเวลา 5 นาที ถ้าทำได้ นั่นคือคุณคุยกับคนอื่นรู้เรื่อง
Bunker: เขียนใน Resume ไปเลย อย่าไปกลัว Resume ก็เปรียบเสมือนเป็นหน้าต่างโชว์สินค้าที่ใช้แสดงทุกอย่างเกี่ยวกับตัวคุณ แต่ผมแนะนำว่า คุณไม่ควรมี Resume แค่อันเดียว และกระจายส่งไปทั่ว คุณควรอ่านลักษณะงานที่คุณกำลังสมัครให้ดี ปรับแต่ง Resume ให้เข้ากับลักษณะงานของบริษัทนั้นๆ แล้วค่อยส่งไป วิธีนี้จะช่วยให้คุณมีโอกาสถูกเรียกตัวมาสัมภาษณ์มากยิ่งขึ้น
7. Connection มีความสำคัญแค่ไหน ช่วยให้เราได้งานที่ต้องการได้ไหม แล้วเราจะหา Connection ได้อย่างไร
Bunker: การที่มี Connection หรือรู้จักคนเยอะไม่ได้หมายความว่าบริษัทจะจ้างคุณเข้ามาทำงานหรอกนะ โอเค คนเหล่านั้นอาจจะช่วยเชียร์คุณได้ในระดับหนึ่ง แต่ตัวคุณเองจำเป็นต้องมีทักษะที่ดีเพียงพอ การสนับสนุนของคนเหล่านั้นจึงจะสามารถแสดงผลได้อย่างเต็มที่
Tan: Connection หาได้ไม่ยากนะ ก็ Vendor หรือ Reseller ที่เข้ามาขายของให้คุณนั่นแหละ การรู้จักคนไว้เยอะๆ อาจช่วยเหลือเราในอนาคตก็เป็นได้ อีกอย่างหนึ่งที่สำคัญคือ Linkedin ถ้าใครยังไม่มีหรือไม่ได้ใช้ คุณควรจะต้องมีเดี๋ยวนี้เลย เพราะ HR บริษัทดังๆ หลายบริษัทมักหาคนที่พวกเขาต้องการผ่าน Linkedin
Kang: ผมยังคงมองว่าศักยภาพและประสบการณ์เป็นสิ่งสำคัญกว่า Connection นะ เพราะถ้าคุณเก่งจริง รู้จริง ยังไงบริษัทก็รับคุณ เพียงแต่ว่า ถ้าคุณมีคนอื่นคอยสนับสนุน คอยผลักดันด้วยเนี่ย คุณก็จะยิ่งไปได้ไกลมากยิ่งขึ้น
8. คำถามสุดท้ายนะคะ และคงเป็นคำถามที่ใครหลายคนกำลังรอ .. Certificate ด้าน Security ตัวไหนสำคัญที่สุด
Kang: จะให้ผมเป็นคนตอบก็กระไรอยู่นะครับ .. ถ้าด้าน Security คงหนีไม่พ้น CISSP ล่ะครับ เพราะเป็น Certificate หนึ่งเดียวที่ครอบคลุมความรู้สาย Security ทุกด้าน แล้วก็อาจจะสอบ SSCP ซึ่งเน้นเทคนิคมากกว่าด้วยก็ได้ นอกจากนี้ของสถาบันอื่นที่น่าสนใจก็มี CompTIA Security+ .. อันที่จริงแล้วมันก็ขึ้นอยู่กับเนื้อหางานที่คุณทำด้วย แต่คุณควรเริ่มต้นที่สอบ Certificate พื้นฐานก่อน แล้วค่อยลงลึกไปยังสายงานที่คุณทำ เช่น สายเจาะระบบก็เป็น C|EH ของ EC-Council หรือสาย Auditor ก็เป็น CISA ของ ISACA
ขอขอบคุณทีมงานจาก Dark Reading ที่ช่วยเป็นพิธีกรในการสัมภาษณ์ผู้เชี่ยวชาญด้าน Security ทั้ง 3 ท่านนี้