时间来到1996年的布鲁塞尔。当时26岁的Kevin O'Leary还是一个历史老师,受到欧盟的邀请加入了一个教育委员会,协助欧盟各国建置教育合作数据库,意外找到乐趣。从未接触过IT的O'Leary被这个产业给迷住了。
那时Yahoo成立才一年,Google的搜索引擎也刚创立,还挂名在史丹佛大学的网域内。O'Leary在IT产业正要开始蓬勃发展的年代,从茫茫的史籍书海里,跳上开往未来的科技列车。
23年后,他已成为国际安全大厂Palo Alto Networks的亚太区安全长,在亚洲各地奔走,手边放着他晚点要赶去香港携带的行李。回想过去,O'Leary肯定地说:「不一定要学什么才能当什么。」
从人文学术转向网络世界,安全大师的自修之路
外人恐怕很难想像,安全大师的本科竟不是资工,而是历史。不过,拥有中世纪历史硕士学位的O'Leary,教职之路并不顺畅。「我当了一阵子老师,可是我实在做不太来,教书太难了。」O'Leary说。在欧盟的工作结束后,他决心转战IT领域。
但已经读完硕士的他实在没有财力和时间回到大学重新学起,于是他透过在欧盟整理数据库的经历,找到了IT相关的工作——Levi's的基层工程师。
▲O'Leary第一份和IT相关的工作,就是Levi's的基层工程师。
「在Levi's,他们给了我一个管理数据中心的工作,而那是我接触资讯安全的起点。」万丈高楼平地起,安全大师的基础,就是在值夜班的电脑室内,趁着空档自修程序语言与不同的作业系统,一砖一瓦地架构起来。有经验的积累,从没受过专业训练的他在2000年成功申请到了一份Unix系统安全工程师的工作。自此,O'Leary才终于正式进入安全领域。
安全三重点:机密性、完整性、可得性
一个安全长,在工作中到底会面对哪些事情呢?O'Leary笑着回答:「绝对不是一整天都盯着电脑打code。」他表示,安全长的工作其实非常有趣。针对各式各样的企业客户,他都要提供量身打造的安全策略。
「安全有三个重点,我们称之为CIA,也就是confidentiality(机密性)、integrity(完整性)和availability(可得性)。作为一个安全长,你必须同时顾及到这三点,但也必须针对不同企业找出他们最需要受到保护的是哪一点。」
▲以药厂来说,最重要的东西就是药物的数据数据,也就是资讯的完整性。如果黑客窜改药物上的数据,导致医生在开药时给了错误的剂量,可能会赔上人命。
O'Leary举了几个例子。以药厂来说,最重要的是药物的数据数据,也就是资讯的完整性。如果药物还在测试阶段数据就被流出了,导致机密性受损,或许会使药厂在研发上遭受庞大损失;但如果黑客在不知情的情况下窜改药物上的数据,导致医生在开药时给了错误的剂量,就可能会赔上人命。
对某些制造业来说,他们会认为可得性最重要,因为假设配送出了问题,可能会对工厂造成难以负担的成本损失。至于政府与金融业,优先保护的当然是机密性。
这些产业间的不同需求,都是O'Leary过去20年内接触电信、药厂、金融、航空等产业后亲身累积起来的经验谈。安全长的角色在业界里非常宝贵,因为不是每个人都有能力客制化出最适合某间公司的安全策略,监督并适时进行调整。
