งาน IT Security ในประเทศไทย

คงปฏิเสธไม่ได้ว่าทุกวันนี้งานที่ถูกใจก็หายากเหลือเกิน ยิ่งเป็นเด็กจบใหม่ไม่รู้เรื่องเกี่ยวกับงานที่สมัคร โชคดีก็อาจได้ทำงานที่ตัวเองชอบมีอนาคตดี แต่ถ้าโชคร้ายล่ะก็……หึหึ

ปัจจุบันงาน IT มีหลากหลาย เลือกไม่ค่อยถูก แต่วันนี้จะขอพูดถึงงานในสายที่เป็น Security ที่มีความต้องการมากขึ้นทุกวัน ทีนี้เรามาเริ่มต้นดูกันดีกว่าว่างานทางด้าน Security มีอะไรบ้าง โดยจะแบ่งเป็น 3 หมวดหมู่ดังนี้

1. พวกขายของ

กลุ่มงานที่จัดอยู่ในพวกขายของนั้นจะมีบริษัทอยู่ 3 ประเภทหลักคือ Vendor, Distributor และ System Integrator

• Vendorคือเจ้าของ Product นั่นเอง ซึ่ง Security Product ก็มีมากมายเช่น Cisco, Juniper, Checkpoint, Symantec, McAfee โดยคนที่ทำงานให้กับบริษัท Vendor ก็จะต้องเป็นผู้เชี่ยวชาญใน Product ของตัวเองอย่างมาก ชนิดที่ว่าถามอะไรมาต้องตอบได้หมด หน้าที่ที่ต้องทำคือ
  • 1.ไป Present ความสุดยอดของ Product ของตัวเองให้ลูกค้าฟัง
  • 2.Implement Product ให้ลูกค้าใช้งาน
  • 3.แก้ปัญหาของ Product ที่ตัวเองดูแล
    ทั้ง 3 อย่างนี้ก็มักจะต้องทำในกรณีที่พวก Distributor และ System Integrator ไม่สามารถทำได้
• Distributor คือพ่อค้าคนกลาง ก็แล้วกัน โดยพวก Product ต่างๆนั้นทาง Vendor จะไม่ได้ขายให้ลูกค้าโดยตรง แต่จะขายผ่าน Distributor ดังนั้น Distributor ก็จะมี Product หลายๆอย่างขาย โดย Distributor จะนำ Product ไปขายผ่าน System Integrator อีกทอดนึงก่อนขายให้ลูกค้า หน้าที่ของ Distributor ก็จะมีการไป Present, Implement และแก้ปัญหาให้กับลูกค้า กรณีที่ System Integrator ไม่สามารถทำได้ จริงๆแล้ว Distributor ก็เปรียบเสมือน Second tier support โดยคนที่ทำงานอยู่ในบริษัทที่เป็น Distributor ก็จะมีความเชี่ยวชาญใน Product ที่หลากหลาย แต่อาจจะไม่ได้ลึกซึ้งเท่ากับ Vendor หาก Distributor ทำอะไรไม่ได้ก็จะมีการติดต่อไปที่ Vendor เจ้าของ Product เพื่อช่วยขอความช่วยเหลือ
• System Integratorคือบริษัทที่มีหน้าที่เข้าไปขาย ติดตั้งระบบ และ support ให้กับลูกค้าโดยตรง เรียกว่าเป็นคนรับหน้าเลย โดยส่วนใหญ่งานในบริษัทมักจะแบ่งเป็น 3 ตำแหน่งหลักๆคือ
  • Sale มีหน้าที่เข้าไปติดต่อหาลูกค้าแต่ละที่ ดูว่า Requirement ของลูกค้าคืออะไร เช่นอยากได้ Antivirus, Firewall ส่วนใหญ่มักจะใช้ผู้หญิงหน้าตาดีๆ มีมนุษยสัมพันธ์ เข้าหาลูกค้าเก่ง พอรู้ว่าลูกค้าต้องการอะไรก็จะพาคนที่เป็น Pre-sale เข้าไปหาลูกค้าด้วยกันเพื่อนำเสนอ Product หน้าที่อีกอย่างหนึ่งของ Sale นอกจากขายของก็คือ เสนอราคาแข่งกับบริษัทอื่นๆกรณีที่จะต้องมีการ Bid Project
  • Pre-sale/System Engineer มีหน้าที่นำ Requirement จาก Sale มาคิดว่าจะต้องเอา Product อะไรเข้าไป Present Product ให้ลูกค้าฟังบ้าง ซึ่งในบางครั้ง 1 Project ก็อาจจะใช้หลาย Product ก็ได้ ซึ่ง Pre-sale จะต้องมีหน้าที่เสนอ Product ที่วิเคราะห์มาแล้วว่าจะเอาอะไรไปเสนอดี แล้วก็ติดต่อ Distributor หรือ Vendor ผู้เชี่ยวชาญไปด้วยกรณีที่ไม่เชี่ยวชาญ Product นั้นมาก หน้าที่อีกอย่างของ Pre-sale ก็คือทำเอกสาร Proposal ส่งให้ลูกค้าแสดงให้ลูกค้าเห็นว่า Product ที่นำเสนอนั้น Comply ตาม Requirement ของลูกค้าอย่างไร
  • Post-sale/Implementer/Support Engineer จะเริ่มมีหน้าที่ขายของเสร็จเรียบร้อยแล้วเริ่มเข้าไปปฏิบัติการติดตั้งระบบให้ลูกค้า สิ่งที่ต้องทำก็คือเข้าไปหาลูกค้านำอุปกรณ์ไปติดตั้ง set config ให้ใช้งานได้ตาม Requirement และจะต้องเข้าไป Support กรณีที่อุปกรณ์นั้นมีปัญหา รวมถึงการทำ Preventive Maintenance (PM หรือ การตรวจสอบสภาพเช่นตรวจดู performance, ปัดฝุ่นป้องกันอุปกรณ์เสีย) หลายๆครั้งที่เห็น Post-Sale ต้องทำงานกลางคืน เนื่องจากว่าการแก้ไข Configuration หรือติดตั้งระบบนั้น หากทำช่วงกลางวันอาจจะกระทบต่อ Business ได้

2. พวกซื้อของ

กลุ่มนี้เรียกว่าเป็นกลุ่มบริษัททั่วๆไปที่ต้องการความปลอดภัย ซึ่งปัจจุบันมีเยอะมาก ตัวอย่างเช่น ธนาคาร, โรงพยาบาล, กลุ่มสื่อสาร

งานในกลุ่มนี้มักจะมีตำแหน่งที่เรียกว่า IT Security Administrator และ User Administrator

• IT Security Administrator ก็คือคนที่ต้องคอยดูแลอุปกรณ์ทั้งหลายในองค์กรให้มีความสมบูรณ์ สิ่งที่ต้องทำก็มีทั้ง set configuration ของอุปกรณ์ให้เป็นไปตามความต้องการของ User ที่รักทั้งหลาย, การ Backup configuration ที่จะต้องทำเป็นประจำ, การตรวจสอบสิ่งผิดปกติต่างๆ, ลง Patch, Update Firmware เป็นต้น กรณีที่ิเกิดปัญหาในการปฏิบัติงานแล้วไม่สามารถแก้ไขได้ด้วยตัวเองก็จะสามารถโทรเรียกตัวช่วยได้มากมาย เช่น System Integrator, Distributor, Vendor และผองเพื่อนทั้งหลาย ในบางองค์กร IT Security Administrator อาจจะมีหน้าที่ต้องคอยอัพเดท Technology และคิด Project ให้เป็นไปตาม Business Requirement แล้วก็เรียก System Integrator เข้ามาติดตั้ง เช่น Business อยากได้ Data Loss Prevention เป็นต้น
• User Administrator ซึ่งหน้าที่ก็จะเป็นการสร้าง User ให้พนักงานเข้าใหม่, แก้ไขสิทธิให้พนักงานที่มีการเลื่อนตำแหน่งหรือย้ายฝ่าย และมีการลบ User สำหรับพนักงานที่ลาออก งานของ User Administrator ก็จะรับ Request จาก User ค่อนข้างบ่อย และก็จะเจอกับ IT Auditor อยู่เป็นประจำ เพราะว่า IT Auditor ก็มักจะมาตรวจว่าพบว่าพนักงานคนโน้นคนนี้ลาออกไปแล้วทำไมยังมี User อยู่ งาน User Administrator เหมือนจะเป็นงานง่าย แต่ในความจริงแล้วองค์กรใหญ่ๆๆมีระบบมากมายเป็น 100 ระบบ จะจัดการสิทธิของ User บนระบบอย่างมีประสิทธิภาพได้อย่างไร?

สำหรับองค์กรใหญ่ก็จะมีการแบ่งหน้าที่กันอย่างชัดเจนในการทำงาน เช่น ฝ่ายนโยบาย, ฝ่ายปฏิบัติการ, ฝ่ายตรวจสอบ ซึ่งเป็นเรื่องเกี่ยวกับโครงสร้างองค์กรด้วย ซึ่งจะขออธิบายเกี่ยวกับหน้าที่พนักงาน IT Security ในองค์กรใหญ่ในบทความในอนาคต

3. พวกขายบริการ หรือผู้เชี่ยวชาญ

ในกลุ่มนี้ค่อนข้างเฉพาะทางมากๆ อาจจะไม่สามารถอธิบายได้หมด ขอยกตัวอย่างดังนี้

• Managed Security Service (MSS) เป็นกลุ่มที่รับ Monitor log เพื่อตรวจสอบเหตุการณ์ผิดปกติ เพื่อที่จะได้แจ้งให้ผู้เกี่ยวข้องทราบและแก้ไขได้ทัน ตัวอย่างเช่น ธนาคาร A ไม่มีคนที่จะคอยดูแลระบบตลอด 24 ชั่วโมงหรือ IT Security Administrator มีไม่พอ ก็อาจจะมีการจ้างบริษัทที่ให้บริการ MSS ช่วยดูให้ โดยปกติธนาคาร A ก็จะต้องส่ง log ไปให้บริษัท MSS แล้วบริษัท MSS ก็จะมีคนนั่ง Monitor ให้ตลอด 24 ชั่วโมง โดยพนักงานที่ทำก็จะมีการแบ่งกะกันทำ เมื่อดู log แล้ววิเคราะห์ว่าเกิดเหตุการณ์ผิดปกติก็โทรไปแจ้งธนาคาร A
• IT Security Consultant มีหน้าที่ให้คำปรึกษาด้าน Security เรียกว่าจะต้องมีความรู้รอบด้านเลย ตั้งแต่ เรื่อง Process ยันเรื่อง Technical เรื่อง Network ยันเรื่อง Programming นอกจากนี้ยังต้องรู้พวกข้อกฏหมายด้วย ซึ่งงานให้คำปรึกษาก็มักจะเป็นการให้คำปรึกษาเรื่อง IT Security ทั่วไป ไม่ก็การให้คำปรึกษาทางด้าน ISO27001 ซึ่งเป็น IT Security Standard ที่สำคัญ โดยการให้คำปรึกษาก็จะเริ่มจากการไปตรวจสอบ Existing environment รวมถึงการสัมพาษณ์ผู้เกี่ยวข้องดูว่าปัจจุบันระบบเป็นอย่างไร แล้วก็ต้องหาจุดที่จะต้องปรับปรุงพร้อมทั้งแนะนำวิธีการในการปรับปรุงเพื่อให้เป็นไปตาม Standard บริษัทที่มีงาน Consult ก็เป็นพวก Big4 ในวงการ Audit เช่น PwC, Deloitte
• IT Auditor แปลตรงๆเลยผู้ตรวจสอบ ตรวจสอบ IT ว่ามีข้อบกพร่องอะไร Process ตรงไหนไม่ดี ระบบขาดอะไร โดยการตรวจสอบก็เพื่อที่จะช่วยพัฒนาให้องค์กรดีขึ้น แต่โดยทั่วไปคนที่ถูกตรวจสอบมักจะคิดว่ามาจับผิด การตรวจสอบของ Auditor ก็มักจะอิงตามมาตรฐานต่างๆ เช่น ISO27001, OWASP บางบริษัทที่มีหน้าที่ออกใบรับรอง (Certify) ของ ISO27001 ก็มีหน้าที่ตรวจว่าองค์กรมีระบบเป็นไปตาม Standard หรือไม่ ถ้าเป็นก็ออกใบรับรองให้ได้ บริษัทที่มีงาน Audit ก็เป็นพวก Big4เหมือนกัน
• Penetration Tester มีหน้าที่ในการตรวจสอบหาช่องโหว่ของระบบ และทำรายงานรวมถึงให้คำแนะนำในการแก้ไข ปัจจุบันมีหลายๆ Standard ที่บังคับให้ต้องมีการทำ Penetration Test เป็นประจำทุกๆปี ซึ่งคนที่จะเป็น Penetration Tester ได้ก็จะต้องมี Technical Skill สูง รวมถึงมีความสามารถในการวิเคราะห์ Business Logic ทั้งหลายเพื่อสรุปออกมาเป็นความเสี่ยงที่เกิดขึ้น และจะต้องมี Skill ด้านมืดด้วย บริษัทที่รับทำ Penetration Test ก็มี Incognito Lab และพวก Big4 ทั้งหลาย รวมถึงตอนนี้มีบริษัทเปิดใหม่รับทำค่อนข้างเยอะครับ
• Digital Forensics ก็คล้ายๆกับคุณหญิงแพทย์พรทิพย์ เวอร์ชั่น online นั่นแหละ ตัวอย่างหน้าที่คือจะต้องคอยวิเคราะห์หาสาเหตุของ incident ต่างๆที่เกิดขึ้น งานนี้ค่อนข้างใช้ Skill สูงมากเช่นกัน โดยจะเน้นไปที่ ความรู้ของ OS, Network และการวิเคราะห์ Log การหางาน Digital Forensics ในไทยค่อนข้างหายาก ที่เคยเจอก็เป็นหน่วยงานของรัฐบาล
• Professor หรือ อาจารย์ ก็มีหน้าที่สอนในระดับมหาวิทยาลัยครับ ซึ่งงานสอนในมหาวิทยาลัยนี่ค่อนข้างน่าสนใจเพราะว่าจะมีเครือข่ายที่เยอะมาก เนื่องจากปริมาณนักเรียนแต่ละรุ่นที่จบไป นอกจากงานสอนและงานวิจัยด้าน Security แล้ว มักจะเห็นว่าอาจารย์จะรับ Project ส่วนตัว รวมถึงรับไปเป็นที่ปรึกษาให้กับหน่วยงานต่างๆ คำว่าอาจารย์ในมหาวิทยาลัยนี่ก็ต้องแยกก่อนว่าเป็นคนที่จบปริญญาที่เกี่ยวข้องกับด้าน Security มาเลย หรือว่า เป็นผู้เชี่ยวชาญด้าน Security แล้วไปสอนในมหาวิทยาลัยนะครับ ซึ่ง Skill ก็แตกต่างกันไปแล้วแต่คนเลยครับ
• Security Researcher คำนี้เป็นคำที่กว้างมากๆสื่อได้ถึงการทำงาน วิจัยทฤษฏีใหม่ๆ, ทำ Product ใหม่ๆ หรือหาเทคนิคใหม่ๆไม่ว่าจะเป็น Offensive หรือ Defensive หาเจอได้ตามงาน Security Conference ใหญ่ๆๆ (มีบ้างในไทยไม่เยอะ) รวมถึงอีกกลุ่มคือเน้นหาช่องโหว่ Zero day ซึ่งหา Zero day นี่ถ้าเป็น Software ยอดนิยม ผลตอบแทนที่ได้รับจะดีมากๆๆครับ

สุดท้ายนี้ก็หวังว่าบทความนี้จะสามารถใช้เป็นแนวทางสำหรับผู้ที่สนใจในงานด้าน Security จะได้ตัดสินใจถูกว่าตัวเราเองนั้นเหมาะกับงานแบบไหน เนื่องจากคนเราก็ทำงานวันนึงไม่น้อยกว่า 8 ชั่วโมง เราก็ควรจะเลือกงานที่เรารักที่จะทำ