ARTICLES | 02 March 2021

Infosec Rock Star Review

Nuttakorn Dhiraprayudti

ไม่ได้เขียน Blog มานาน โดยปกติจะเขียนให้มีเรื่อง Technical เข้ามาเกี่ยวข้องด้วย แต่ในบทความนี้เราจะไม่พูดถึงเรื่อง Technical นะ(ถ้าใครสนใจแต่เรื่อง Technical ก็ข้ามไปได้เลย) เรื่องของเรื่องมีอยู่ว่าหลังจากสอบ Certificate มามากมายแต่ก็ยังพบว่าตัวเองขาดอะไรบางอย่าง ก็มีโอกาสได้อ่านข้อความใน SANS Advisory Board มีคนแนะนำว่าให้ลองหาหนังสือชื่อว่า Infosec Rock Star มาอ่านดูสิ หนังสือเล่มนี้เขียนโดย Ted Demopoulos สั่งซื้อจาก Kinokuniya ก็ได้

แค่อ่าน Intro ก็คิดว่าเล่มนี้เหมาะกับเราแล้วล่ะ เค้าบอกว่าแค่ Technical skill มันไม่พอ ถ้าอยากเป็น Rock star ต้องมี skill อื่น ๆ ที่คนเทคนิคมักจะมองข้ามไป เช่น Reading, Writing, Speaking, Planning, Time Management, Leadership, Influence, etc.

ความหมายของ Rock Star คืออะไรหละ? ส่วนตัวคิดว่าคือคนที่เป็นคนที่มีความรู้ความสามารถ เป็นที่รู้จักอย่างกว้างขวาง ประสบความสำเร็จ น่าเคารพนับถือ มีความแตกต่าง ซึ่งการที่จะเป็น Rock Star Level ให้ได้ก็ไม่ใช่เรื่องง่าย แต่คนทั่วไปไม่ต้องน้อยใจ อย่ามัวแต่ไปคิดว่าเราไม่เก่งอย่างโน้นอย่างนี้ แต่ละคนก็มี potential ที่จะเป็น Rock star ได้ทั้งนั้น โดยตัวอย่างที่เค้ายกมาคือตัวเค้าเอง Ted นั้นเป็นผู้เชี่ยวชาญด้าน Crypto พอสมควร ประมาณว่ารู้ Math แบบลึกซึ้งในระดับนึงที่สามารถเอามาเข้าใจ Crypto ในเชิงลึกได้ซึ่งนั่นก็สามารถทำให้เค้าเป็น Rock star ในแวดวงที่เค้าอยู่ในเรื่องของ Crypto ได้แล้ว แต่ถ้าเอาเค้าไปเทียบกับนัก Crypto ใน NSA นั้น Skill เค้าก็คงเทียบไม่ติดฝุ่นเลย

อย่ามัวแต่ไปคิดว่าเราไม่เก่งอย่างโน้นอย่างนี้ แต่ละคนก็มี potential ที่จะเป็น Rock star ได้ทั้งนั้น

ขอดึงบางท่อนที่ชอบออกมาเล่า ซึ่งการเล่านี้ก็ขอปนประสบการณ์ตัวเองลงไปด้วยละกันนะครับ

Security is not about Geek/Technology** อันนี้ตรงกับที่เคยเชื่อมาอยู่แล้วว่า **"Security is all about risk management" สุดท้ายแล้วมันก็คือการลดความเสี่ยงโดยใช้ control ต่าง ๆ เข้ามาช่วยนั่นแหละ ไม่ได้มีอะไรมากกว่านั้น เรื่อง Technology ก็เปลี่ยนแปลงไปตามกาลเวลา แต่ Concept นี้ไม่เปลี่ยนแปลง
Trust&Ethics ชอบท่อนที่นี้มาก ๆ ๆ

A Professional is ethical. People will generally forgive you for making mistakes, but not for being unethical. Unethical people are simply not trusted, and trust is essential.

คนจะให้อภัยคุณถ้าคุณทำผิดพลาด แต่จะไม่ให้อภัยถ้าคุณไม่มีจริยธรรม คนไม่มีจริยธรรมก็ไม่น่าเชื่อถือ ในแต่ละสถานการณ์แต่ละช่วงเวลาแต่ละคนย่อมมีข้อจำกัดที่แตกต่างกัน อย่าให้ข้อจำกัดนั้นมาทำลายจริยธรรมและความน่าเชื่อถือที่คุณมี

เรื่องของเวลาและการวางแผนงาน

There is never enough time to do everything you want or think you should do. Conversely, there is exactly enough time for what you do get done.

ถ้าคุณสามารถแยกแยะได้ คุณควรจะวางแผนงานเป็น 2 ประเภท High-level planning กับ Low-level planning
High-level planning คือ Long-term strategy อะไรที่เป็นสิ่งที่เราต้องการในระยะยาว
Low-level planning แบ่งเป็น 2 กลุ่มคือ Tactics อะไรที่ทำแล้วส่งผลต่อ Long-term strategy ให้เราเข้าใกล้ Strategy ของเรามากขึ้น กับ สิ่งอื่น ๆ ที่เราต้องทำให้เสร็จ ซึ่งไม่ได้ส่งผลต่อ Strategy ของเรา โดยสิ่งนี้ถ้าเปรียบเทียบกับชีวิตปกติคงเรียกว่างาน Operation นั่นแหละ

Strategy without tactics is the slowest role to victory. Tactics without strategy is the noise before defeat. — Sun Tzu

No is a complete sentence. บางครั้งเราก็ควรที่จะบอกปฎิเสธโดยไม่ต้องมีคำอธิบายใด ๆ บางทีเจอพวกเวิ่นเว้อต้องอธิบายมากมาย เสียเวลาชีวิตพอสมควร หรือในบางสถานการณ์นั้นเราอาจจะโดนบังคับให้ทำสิ่งที่เราไม่ต้องการทำ โดยเฉพาะในการทำงานนั้นไม่ใช่ทุกครั้งที่เราสามารถเลือกงานได้ งานอาจจะถูกส่งมาให้เราทำเนื่องด้วยเหตุผลทางธุรกิจเป็นหลัก (ส่วนใหญ่คงหนีไม่พ้นเรื่องเงิน หรือ การรักษาสัมพันธ์กับลูกค้า)

The difference between successful people and really successful people is that really successful people say no to almost everything. — Warren Buffet

ส่วนตัวแนะนำว่าถ้าเลือกได้ก็ไม่จำเป็นต้องทำงานที่ไม่ส่งผลต่อ Strategy ของเรา

เรื่องการทำงานให้ Effective คิดว่าเป็นเรื่องทั่ว ๆ ไปที่ทุกคนรู้ด้วย common sense ของตัวเองอยู่แล้ว เช่น
– การทำ To-do list โดยส่วนตัวชอบมาก เพราะว่าเมื่อไหร่ที่เขียน To-do list แล้วงานนั้นเสร็จแน่นอน
– เทคนิค Time Blocking การตั้ง Time Block ให้งานแต่ละงานให้ชัดเจน หมายถึงว่างานนั้น ๆ เราจะให้เวลาเริ่มต้นและสิ้นสุดเมื่อไร ในระหว่างนั้นเราควรจะใช้เวลาให้เต็มที่กับงานที่เราตั้งใจไว้ บางครั้งถ้าคนที่จัดการไม่ดี พอมีงานอะไรมาแทรกเท่านั้นแหละก็จะเปลี่ยนไปทำงานที่เพิ่งเข้ามาแทรกทันที ซึ่งสุดท้ายแล้วถ้าบริหารจัดการไม่ดี ก็อาจทำให้งานไม่เสร็จซักอย่าง
– การแบ่งงานตามความสำคัญและเร่งด่วน คือให้ทำงานที่สำคัญและเร่งด่วนก่อน ถ้างานที่ไม่สำคัญและไม่เร่งด่วนก็ไม่ต้องทำหรือว่าไว้ว่าง ๆ ค่อยทำ
Work Life Balance มันมีอยู่จริงไหม? เคยได้ยินว่าในสมัยก่อนนั้นสังคมทำงานเป็นแบบการแบ่งช่วงเวลาชัดเจน working hours 8am-5pm ซึ่งนั่นอาจจะเหมาะกับสมัยก่อนที่เป็นยุคปฏิวัติอุตสาหรรมเป็นคนไป operate เครื่องจักรในโรงงาน แล้วถัดมาก็เป็นยุคที่คนมักพูดถึง work life balance ซึ่งทำอย่างไรให้มันสมดุลกันในชีวิต ไม่ให้ทำงานหนักเกินไป แล้วก็ยุคปัจจุบันที่ทำ work life balance ลำบากละ เพราะว่าการสื่อสารมันรวดเร็วมาก หัวหน้า/ลูกค้ามีไรก็ส่ง line, email มาได้ตลอดเรียกว่ามีโอกาสที่จะต้องทำงานตลอดเวลา ถ้าจัดเวลา หรือ prioritize งานไม่เป็นก็สามารถที่พาตัวเองไปสู่ความพินาศได้พอสมควร ส่วนตัวคิดว่าตัวเองค่อนข้างโชคดีที่ไม่สนใจคำว่า Work Life Balance เท่าไร เพราะว่างานที่เราทำอยู่นั้นเป็นสิ่งที่เราชอบแล้วมันถูก Blend-in เข้ามาเป็นส่วนหนึ่งของชีวิตแล้ว เสาร์ อาทิตย์ ก็ทำงานไม่แปลก บางครั้งดีใจใกล้ถึงวันจันทร์ 55555 (แต่ไม่ใช่ช่วงนี้นะ)
Responsibility** ความรับผิดชอบ แน่นอนว่าระดับ Rock Star ต้องมีความรับผิดชอบ เรื่องนี้เข้าใจง่ายแต่ทำยากในบางสถานการณ์ หลักการคือ ทำงาน/ส่งงานที่เรารับผิดชอบให้เสร็จเร็วที่สุด อะไรที่ไม่เป็นไปตามแผนที่วางไว้ควรจะบอกผู้เกี่ยวข้องให้ทราบ อย่าสร้าง **negative surprise เด็ดขาด
Certificate ตอนแรกก็คิดว่าอยากมีดูท้าทายดี แต่ว่าพอมีไปซักพักก็คิดว่าเปลืองมากที่จะต้องคอยมา Maintain แล้วเวลาที่จะต้อง List บนนามบัตรยาว ๆ นี่ส่วนตัวไม่ค่อยชอบเลย ถ้าเราเคยคุยกันผ่าน Email จะยิ่งรู้เลยว่าเป็นคนที่ไม่เคยเขียน Certificate ลงใน Email signature เลย ดูเขิน ๆ นะ แต่ในบางสถานการณ์มันจำเป็นต้องใส่ก็ใส่ไป ซึ่งแนะนำว่าไม่ต้องสนใจหรอกว่าตัวเราเองคิดอย่างไรกับ Certificate มันอยู่ที่ว่าคนที่เราคุยด้วยเค้าสนใจมั้ยต่างหาก
Appearance การแต่งการ โดยทั่วไปกฎง่าย ๆ ก็คือการแต่งกายที่ดีกว่าลูกค้า/คนที่เราไปคุยด้วย 1 Step เช่น ลูกค้าใส่เสื้อ Polo เราก็ควรใส่เสื้อเชิ๊ต, ถ้าลูกค้าใส่เสื้อเชิ๊ต เราก็ควรใส่เสื้อเชิ๊ตผูก necktie แต่โดยส่วนตัวเป็นคนที่ชอบแต่งง่าย ๆ ยีนส์ กับ t-shirt ก็พอ ถ้าต้องแต่งตัวเป็นทางการมาก ๆ แล้วรู้สึกว่า performance ลดลง 30% 555 ตัวอย่างที่เค้ายกมาก็น่าสนใจพอสมควร

ถ้าเป็นเศรษฐีที่สร้างเนื้อสร้างตัวได้ด้วยตัวเอง แล้วเค้าเข้าประชุม Board โดยแต่งตัวแค่ T-shirt กับ กางเกงขาสั้น มันแปลว่าเค้าไม่เคารพคนอื่นเหรอ? มันอาจจะแปลว่าเค้าต้องการสื่อแรง ๆ ว่าที่เค้ามาเพราะว่าสกิล ความสามารถของเค้า ไม่ได้เกี่ยวอะไรกับการแต่งกายก็เป็นได้

ยกมา 9 ประเด็นก่อนละกัน ใครที่สนใจแนวนี้ แนะนำให้ไปอ่านมาก ๆ แต่มีคำเตือนนิดนึงคือพออ่านแล้วจะเจอหนังสือที่เค้า reference ต่ออีกหลายเล่ม ก็เตรียมตัวอ่านเพิ่มได้เลย

Up Next

ARTICLES

Mar

2021

007 Skyfall : the untold story

สวัสดีปีใหม่ สำหรับในปี 2012 ที่ผ่านมาทางทีมงาน Incognito Lab ของเรา ขอขอบคุณทุก ๆ ท่านที่คอยติดตามเรา และ ส่งเมล์เข้ามาให้กำลังใจทีมงานอย่างมากครับ

ARTICLES

Mar

2021

Bangkok Governor Election

สิ่งที่อยากจะแชร์ในวันนี้คือ Security ในเขตเลือกตั้งครับ

ARTICLES

Mar

2021

Banking Trojan Hunting — g01pack's fundamental analysis

1-2 วันที่ผ่านมาผมคิดว่าหลาย ๆ คนที่เข้าไปดูข่าวออนไลน์บ่อย ๆ อาจจะตกใจเนื่องจาก Google และ Google Chrome มีการแจ้งเตือนภัยคุกคามว่า website ดังกล่าวอาจเป็นอันตรายต่อคอมพิวเตอร์ของผู้ใช้งาน