building-1210022_1920

Types of Company

July 30 / 2016

“เพราะเราไม่ได้ทำ Security แบบเล่นๆ
ดังนั้นบริษัทที่เราทำงานนั้น Security ต้องเป็น Core Business” 

บทความก่อนๆเคยพูดถึงประเภทงานไปแล้ว (http://incognitolab.com/th/thailand-it-security-career/) คราวนี้มาพูดเรื่องประเภทบริษัทดีกว่า ขอแบ่งง่ายๆเป็น 2 ประเภทครับ

1.บริษัทที่ไม่ได้มี Core Business เป็นเรื่อง Security

บริษัทในกลุ่มนี้ก็คือบริษัททั่วๆไปที่ งาน IT หรืองาน Security เป็นงาน Support ธุรกิจหลักของบริษัท เช่น กลุ่มธุรกิจการเงิน (ธนาคาร, ประกัน, หลักทรัพย์, ปล่อยกู้เช่า-ซื้อ) กลุ่มโรงงานอุตสาหกรรม กลุ่มปิโตรเลียม หน่วยงานราชการ และอื่นๆอีกมากมาย เรียกว่าเกือบทุกบริษัทล่ะครับ ซึ่งกลุ่มนี้ถ้ามีงาน Security เปิดรับล่ะก็ จะต้องเป็นบริษัทที่ค่อนข้างใหญ่ เป็นที่รู้จัก ถ้าได้ทำงานที่นี่คนรู้จักรอบข้างคงจะเห็นดีเห็นงามด้วย เพราะว่าเป็นบริษัทขนาดใหญ่ ใครๆก็รู้จัก รวมถึงมีความมั่นคงสูง “แต่ Security ไม่ใช่ Core Business เท่านั้นเอง”

อีกทั้งในบางครั้งบริษัทที่แกร่งมาก พอมีการ Reorganisation ก็จะมีการแยกงานด้าน IT ออกมาจากบริษัทแม่แล้วตั้งเป็นบริษัทลูก ซึ่งบริษัทประเภทนี้ก็เหมือนจะเป็นบริษัททำ IT อย่างเดียว แต่จริงๆแล้วโดยภาพรวม Core Business ก็คือการ Support บริษัทแม่อยู่ดีแหละครับ การทำงานกับบริษัทใหญ่ ชีวิตมักจะขึ้นอยู่กับ นโยบาย และ ผู้บริหาร เป็นหลักถึง Idea คุณจะกระฉูด แต่บางทีแม้แต่โอกาสที่จะนำเสนอผู้บริหารก็ยังไม่มี

ถ้าทำงานบริษัทประเภทนี้และบริษัทไม่อยากลงทุนด้าน Security ล่ะ “ตัวคุณ” จะเป็นอย่างไร? ส่วนใหญ่มักจะเรียกว่า Maintain Skill คนซะมากกว่า เน้นการดูแล Operation ของอุปกรณ์ต่างๆให้ทำงาน Support ส่วนที่เป็น Core Business ไปก็พอ ถ้าคิดจะพัฒนาตัวเองโดยหวังว่าบริษัทกลุ่มนี้จะส่งคุณไป อาจจะต้องทำใจ เพราะว่าบริษัทส่วนใหญ่เจียดงบค่า Training ต่อคนต่อปี น้อยกว่าเรียนคอร์สอาจารย์อุ๊ สมัยมัธยมปลายเสียอีก ทั้งนี้บางบริษัทถ้าผู้บริหารให้ความสำคัญด้าน Security ก็อาจจะดีกว่านี้บ้างนะครับ

2.บริษัทที่มี Core Business เป็นเรื่อง Security

บริษัทในกลุ่มนี้ได้แก่ บริษัทที่เป็น SI ขาย Solution ด้าน Security หรือบริษัท Consult ที่ให้บริการด้าน Security ซึ่งในเมื่อรายได้หลักของบริษัทมาจาก Security แล้วล่ะก็บริษัทในกลุ่มนี้มีโอกาสที่จะลงทุนในตัวพนักงานค่อนข้างมาก เพราะว่า Asset ของบริษัทก็คือ Know-how ของพนักงานที่ออกไปให้บริการกับลูกค้า ถ้าพนักงานไม่เก่งลูกค้าด่า บริษัทอาจเสียรายได้

เราไม่ขอเอ่ยชื่อบริษัทที่อยู่ในกลุ่มนี้ในประเทศไทยดีกว่า แต่ถ้าในต่างประเทศ ก็มีมากมายครับ เช่น พวกแนว Product ก็จะเป็น CheckPoint, Palo Alto ถ้าแนวให้บริการ เช่น Mandiant, InGuardians, Comsecgroup ถ้าเป็นแนว SI ก็มี Frequentis, Thales Group

โดยบริษัทในกลุ่มนี้จะทั้งที่เป็นบริษัทขนาดใหญ่และเล็ก ถ้าพูดถึงความมั่นคงแล้วล่ะก็ต้องดูว่าแต่ละบริษัทเป็นอย่างไร แต่ความมั่นคงในหน้าที่การงานสมัยนี้พูดยากครับ ขนาดบริษัทใหญ่แบบ Chevron ยังให้คนออกตั้งเยอะเลย จะหาความแน่นอนอะไรได้ 555 แต่ถ้าเราแกร่งจริงล่ะก็ ชีวิตมั่นคงแน่นอนครับ

นอกจากบริษัท 2 กลุ่มนี้แล้วมีอีกกลุ่มคือบริษัทที่อยู่ใน Gray area ระหว่าง 2 กลุ่มนี้คือมีทั้ง Core Business ที่เกี่ยวข้องและไม่เกี่ยวข้องกับ Security บริษัทในกลุ่มนี้ยกตัวอย่างง่ายๆเลยคือ Big4 ซึ่งงานหลักจะเป็นทั้งให้คำปรึกษาและทำตรวจสอบให้กับบริษัทต่างๆทั้งทางด้าน Finance และด้าน IT

ถามว่าถ้าทำงานกับ Big4 จะเป็นการ Combination ที่สวยหรู หรือไม่ เพราะว่าอยู่บริษัทที่มั่นคงและทำงานด้าน Security ที่ต้องใช้ความรู้ อยากให้ลองทำความเข้าใจกับบริษัทเหล่านี้ให้ดีครับว่าจริงๆแล้ว Core Business เค้าคืออะไร รายได้หลักเค้ามาจากงาน Security เหรอ?? ถ้าไม่ใช่แล้วเค้าจะลงทุนด้านนี้มากแค่ไหนกัน??

ลองถามตัวเองครับว่าเราต้องการอะไร ชีวิตการทำงานที่เราต้องอยู่กับมันอย่างน้อยก็หลายชั่วโมงต่อวัน
เลือกดีๆวางแผนดีๆครับ จะได้สนุกในแต่ละวันครับ

Comparing Pentest Certificates

บทความนี้ขอพูดถึง Certificate ยอดนิยมที่เกี่ยวข้องกับการทดสอบเจาะระบบ (Pentest) เพื่อ ให้คนที่สนใจจะเรียนมีข้อมูลเพิ่มขึ้นเพื่อใช้ในการตัดสินใจ สำหรับ HR ที่กำลังต้องการหาคนด้านนี้อยู่ก็คงจะมีประโยชน์เพิ่มมากขึ้นไม่ใช่หาแต่ CEH หน่วยงานหรือองค์กรต่างๆที่ขาดความเข้าใจในเรื่องของ Certificate เข้าใจว่า Certificate ด้าน Pentest เหมือนกันเอามาทดแทนกันได้ แต่ Certificate บางอันนั้นไม่ควรเอามาเปรียบเทียบกัน เพราะ level…

Types of Company

“เพราะเราไม่ได้ทำ Security แบบเล่นๆ ดังนั้นบริษัทที่เราทำงานนั้น Security ต้องเป็น Core Business”  บทความก่อนๆเคยพูดถึงประเภทงานไปแล้ว (http://incognitolab.com/th/thailand-it-security-career/) คราวนี้มาพูดเรื่องประเภทบริษัทดีกว่า ขอแบ่งง่ายๆเป็น 2 ประเภทครับ 1.บริษัทที่ไม่ได้มี Core Business เป็นเรื่อง Security บริษัทในกลุ่มนี้ก็คือบริษัททั่วๆไปที่ งาน…

Basic Covert Channel

Covert (adj.) = Hidden or Secret คำว่า Covert Channel ในเรื่องของ Security หมายถึง การส่งข้อมูลโดยใช้ช่องทางที่ไม่ได้ถูกออกแบบมาให้ส่งข้อมูลนั้นๆ ใครที่งงแนะนำว่าอ่าน Definition ภาษาอังกฤษ จะเข้าใจง่ายกว่า “A covert channel…

Comparing Pentest Certificates

บทความนี้ขอพูดถึง Certificate ยอดนิยมที่เกี่ยวข้องกับการทดสอบเจาะระบบ (Pentest) เพื่อ ให้คนที่สนใจจะเรียนมีข้อมูลเพิ่มขึ้นเพื่อใช้ในการตัดสินใจ สำหรับ HR ที่กำลังต้องการหาคนด้านนี้อยู่ก็คงจะมีประโยชน์เพิ่มมากขึ้นไม่ใช่หาแต่ CEH หน่วยงานหรือองค์กรต่างๆที่ขาดความเข้าใจในเรื่องของ Certificate เข้าใจว่า Certificate ด้าน Pentest เหมือนกันเอามาทดแทนกันได้ แต่ Certificate บางอันนั้นไม่ควรเอามาเปรียบเทียบกัน เพราะ level…

Basic Covert Channel

Covert (adj.) = Hidden or Secret คำว่า Covert Channel ในเรื่องของ Security หมายถึง การส่งข้อมูลโดยใช้ช่องทางที่ไม่ได้ถูกออกแบบมาให้ส่งข้อมูลนั้นๆ ใครที่งงแนะนำว่าอ่าน Definition ภาษาอังกฤษ จะเข้าใจง่ายกว่า “A covert channel…

Rubber Ducky in action Quack!! Quack!!

1 ในอุปกรณ์สุดฮิตที่ Hacker ทั้งหลายควรจะต้องมี คงจะหนีไม่พ้นเจ้า USB Rubber Ducky อุปกรณ์นี้ไม่ได้น่ารักใสซื่อเหมือนชื่อมันเท่าไรนัก เพราะว่ามันสามารถ Bypass Security Control ทั้งหลายได้อย่างง่ายดาย หลักการของ USB Rubber Ducky นั้นคือ ให้คิดว่ามันเป็น USB…

Comparing Pentest Certificates

บทความนี้ขอพูดถึง Certificate ยอดนิยมที่เกี่ยวข้องกับการทดสอบเจาะระบบ (Pentest) เพื่อ ให้คนที่สนใจจะเรียนมีข้อมูลเพิ่มขึ้นเพื่อใช้ในการตัดสินใจ สำหรับ HR ที่กำลังต้องการหาคนด้านนี้อยู่ก็คงจะมีประโยชน์เพิ่มมากขึ้นไม่ใช่หาแต่ CEH หน่วยงานหรือองค์กรต่างๆที่ขาดความเข้าใจในเรื่องของ Certificate เข้าใจว่า Certificate ด้าน Pentest เหมือนกันเอามาทดแทนกันได้ แต่ Certificate บางอันนั้นไม่ควรเอามาเปรียบเทียบกัน เพราะ level…

Types of Company

“เพราะเราไม่ได้ทำ Security แบบเล่นๆ ดังนั้นบริษัทที่เราทำงานนั้น Security ต้องเป็น Core Business”  บทความก่อนๆเคยพูดถึงประเภทงานไปแล้ว (http://incognitolab.com/th/thailand-it-security-career/) คราวนี้มาพูดเรื่องประเภทบริษัทดีกว่า ขอแบ่งง่ายๆเป็น 2 ประเภทครับ 1.บริษัทที่ไม่ได้มี Core Business เป็นเรื่อง Security บริษัทในกลุ่มนี้ก็คือบริษัททั่วๆไปที่ งาน…

Basic Covert Channel

Covert (adj.) = Hidden or Secret คำว่า Covert Channel ในเรื่องของ Security หมายถึง การส่งข้อมูลโดยใช้ช่องทางที่ไม่ได้ถูกออกแบบมาให้ส่งข้อมูลนั้นๆ ใครที่งงแนะนำว่าอ่าน Definition ภาษาอังกฤษ จะเข้าใจง่ายกว่า “A covert channel…