把員工培養成一代駭客吧 這對你管好公司有太多好處了

駭客其實是數字時代的「模範公民」。

馬騰·米考斯 · 2018/02/08 20:05

圖片來源：攝圖網

企業要想幫助員工更了解如何維持網路安全，單靠一般有關密碼安全和其他基本規範的訓練還不夠。訓練員工對抗駭客的最好方式，就是教他們像駭客一樣思考。

第一步是要了解究竟何謂「駭客」。首先要忘了媒體跟娛樂產業所塑造的駭客形象。媒體向來以極煽動的方式，用這個詞來稱呼網路罪犯。這種觀點其實過度狹隘。

就許多方面而言，駭客其實是數字時代的「模範公民」。

他們有創意、有毅力，懂得善用資源。他們用數字語言來思考，並且有好奇心與動力要去了解科技如何運作。他們把每個問題都看成機會。他們捍衛自己相信的事情，想要讓這個世界變得更安全。

駭客對於科技的局限也略知一二。他們對電腦系統的不信任是良性的，他們知道沒有任何軟體是完全沒有錯誤的（即使沒有錯誤，軟體也還是會有安全漏洞）。他們也知道，雖說電腦跟軟體可以做不少好事，但它們也能用來做許多壞事。對他們而言，軟體可以做到的，必然一定會多於它原先被開發要拿來做的事情，所以駭客們始終持續關注有哪些安全漏洞。

對那些在數字時代之前出生的人來說（大部分你公司的人應該都是)，上述那些概念可能很陌生。但對駭客來說，世界就是這樣運作的，而他們這麼想是對的。

正因如此，企業應該要開始在自家組織內部培養駭客心態。這麼做不僅能改變員工對網路安全的看法，使得整個公司的網路安全情況改善，也可以協助你的員工變得更有好奇心、更懂得利用資源，而這兩者，在人工智慧和自動化都很普及的未來，會是兩項最有價值的技能。

任何規模的公司都可以用以下幾個方法，教導員工用駭客的方式來思考：

鼓勵員工參加「駭客松」（hackathon），就算只是去觀察或學習也可以。這些活動讓人們有機會暫離日常工作，用創意的方式去思考如何解決某種問題，而這就是所謂的「駭客行為」。

駭客松，又名編程馬拉松，在該活動當中，電腦程序員以及其他與軟體發展相關的人員，如圖形設計師、界面設計師與項目經理，相聚在一起，以緊密合作的形式去進行某項軟體項目。編程馬拉松的精髓在於：很多人，在一段特定的時間內，相聚在一起，以他們想要的方式，去做他們想做的事情——整個編程的過程幾乎沒有任何限制或者方向。

有時候這些活動與產品或是業務有關，但也可能與這些完全無關。這概念是讓人們有機會改變思維，用新的方式思考。這種做法可以幫助團隊跳脫狹隘的觀點和團體迷思，試著用更有創意的方式思考。它也讓每個人對周遭世界更有觀察力、更好奇，而這正是良好「網路衛生」（cyber hygiene，指電腦使用者可採取用來維護網路安全的做法）的核心。

要進行實操性質更強的網路安全學習活動，可以在公司舉辦競賽和遊戲，鼓勵員工設想，網路犯罪可能是怎樣發生的。你還可以更進一步，進行一個虛構的網路安全事件的角色扮演活動。模仿駭客入侵的情節，可以協助技術性和非技術性的員工，更能體會公司會面臨的危機，增強他們對網路安全的意識。

當你的產業里有重大事情發生時，應鼓勵團隊分享他們的發現跟分析。這不是要每個人都撰寫十頁報告，只要分享幾個簡單想法就可以了。重點在於訓練你的員工把分享資訊與想法，變成一種自然習慣。

目前很多企業內部單位往往各自為政，如果能打破這些內部藩籬，有助於建立社區，並創造一個共同的使命，這會是對抗網路安全威脅的強力防護。這麼做也能協助員工提高警覺，他們更可能會偵測到威脅，並做出回應。

這對網路安全團隊尤其重要。當安全事件發生時，他們應該要詳細詢問多方有關人士事情發生的經過，還有他們的反應。如果已發現並解決了安全漏洞問題，他們就應該與軟體架構師、設計師和工程師合作，協助他們避免在未來發生類似問題。產業一旦遭到重大的網路攻擊，或是安全漏洞事件，網路安全團隊應該積極提供最新消息和資訊給全公司，並為那些想要了解更多的人，主持公開的說明會。

正式要求員工進行跨部門和跨團隊的合作。這樣做能促進整個組織有更好的溝通，協助團隊用新角度來解決各式各樣的挑戰。

就算你有業界最強的網路安全團隊，但實際上所有人都可能會犯錯。同樣的人每天盯著同一組代碼或儀錶板，難免會忽略了重要狀況。正因如此，最注重網路安全的組織會向外尋求協助，也就是從外面邀請優秀且可靠的安全專家，協助找出安全漏洞。

在開發新產品和功能時，他們也會讓公司內部的安全與產品團隊密切協調工作。雖然有些安全漏洞是源自代碼里的瑕疵，但有些安全漏洞是刻意設計的隱藏功能。

若能早點讓安全團隊參與這個流程，就能及早發現與解決這些潛在問題，以免將來成為真正的安全漏洞。

放眼未來幾十年，我們全都必須學習駭客的思考方式。當你採用駭客思維，就不會被快速進步的電腦科技所擊倒。相反的，你能夠接受他們，認可他們可以讓世界變得更好、更安全的能力。這不只對網路安全有益，對業務也有好處。

（本文作者是網路安全平台HackerOne的CEO。在此之前，他是雲端服務平台公司Eucalyptus的CEO，該公司被惠普收購之後，他擔任惠普雲端事業部的資深副總裁。）

來源：家族企業雜誌

原標題：教員工像駭客那樣思考