【Mr. Smith週記】外判好唔好 唔係靠彩數
家陣公司為咗節省資源,好多嘢都靠外判,等自己唔使養咁多人。就連網絡安全工作都係,一來市場上唔夠人手,二來逐樣產品買亦負擔唔起。理解嘅,在商言商,老闆又錯唔晒,不過如果公司連一個識 IT Security 嘅同事都無,又可以點去評估外判商做緊啲嘢掂唔掂?好似好多企業都鍾意搵公司做 consultation,但公司入面無人識 cyber security,根本唔知點揀,所以有多啲 budget 嘅就會搵 Big 4,因為連銀行金融業都搵佢哋做評估,差極都有個譜啩,但 Mr. Smith 真係要再強調一次,好易中伏!
試過有次公司要搵美國一間大公司做 code review,評估一隻用嚟保護其他 application 嘅軟件有無漏洞。結果報告返咗嚟,話隻軟件嘅 loophole 有方法可以 bypass,於是腦細就揸住份報告叫我搞搞佢。睇完啲 finding,就發現所謂嘅 bug 只係喺某啲條件下有可能發生,但實際去驗證一下,就會發現呢個推論根本係錯,相信對方連 PoC 都無做就一口咬定有問題。呢個時候 Mr. Smith 即刻拎返份報告俾腦細,同佢講話驗證咗發現係錯㗎喎,言下之意自然係乜你無睇過啦?點估到佢又真係咁坦白,笑笑口認自己無特別 check,因為對方係龍頭大公司嘛!
講到尾名氣呢家嘢真係好虛幻,呢間大公司嘅本業已經係專做 cyber security,都可以出現呢啲失誤,更何況係其他半途出家嘅公司?其實有時候管理層根本唔 care 對方嘅實力,純粹都係搵個有公信力嘅公司簽名,之後即使有事無事,總之就唔關佢事。
所以話,外判好唔好,唔係靠彩數,點都要請返個識 cyber security 嘅人先得㗎!
相關文章:【Mr. Smith週記】做人上司唔好太 on cloud