我在美國工作時, 實在像是派遣人力, 到處接洋工. 那時候因為指導老師的師兄弟在Boston有合作研究計畫, 所以我找到一份不賴, 又在波士頓的Research Job, 是BU的兩個教授接受EY Boston先進研究實驗室的委任. 作BPR的研究. 其中一位教授就是Michael Hammer. 所以那時候發我口糧的就是Ernst & Young Boston. 這也是我對MIC蔡義昌老闆拿出Michael Hammer的課本時特別有感的緣故. 某個程度來說是發我口糧的金主啊.....

早前我還在永豐金控擔任數位長的時候, 有次和MIC時代的同事, 陳志明副總聊天(那時候他還在Deloitte勤業眾信), 他問我到底待過四大哪些事務所啊, 我說憑我這麼資深怎麼可能是四大時代, 那一定是八大和六大時代啊.

美國EY的養成訓練是很有資源的. 讚賞的說, 我當時上班的感覺從沒覺得EY竟是一個會計師事務所, 因為我上班的樓層, 充滿了一流設施與管理還有人員, 早前一Post我說過學了很多系統與Coding. 那些都是在EY Boston被打磨習得的.

甚且可以說我很多資安實務經驗或是專案經驗是那時候受訓養成的, 如果資安領域早一點的同業, 可能都曾經拜讀過一本 Hacking Exposed. 這本巨著可以說是教入侵的第一本教科書啊, 作者就是當時我在EY Lab的PM. 老實說書裡面好些內容我不得不謙虛的說我也有些貢獻的.

當時的工作就是玩設備玩機器, 但也種下壞習慣, 回台之後, 我走資安這行, 想要自己研究就把在美撈的薪水都砸了買設備在家裡自己架. 我在1997年的Hinet, 是有8個自有IP的ADSL. 家裡有內網還分Token Ring, Ethernet. Linux, Window若干. 印表伺服器, Web主機. emal主機. 我一度以為自己可以有個網路公司...XD....以至於我媽說沒賺多少, 浪費電我可是一流...直到2014我才整個收掉. 回首浪費的感覺....真是....這也是後來我搞挖礦只玩了半年就棄守的緣故之一.

美國安永的工作讓我累積一些收入奉養家人, 還貸款買了一間房(雖然後來賣了), 但也算是在東岸有個根, 不過諷刺的是我竟沒吃過幾次龍蝦. 那時候研究工作緊俏, 我就是Debug, 改模型是演算法, 主要課題是要整合System Dynamic還有BPR. 細節都不記得了, 但基礎功增加不少. 那時馬大兩個博生到Boston去, 就我和同學, 後來他回學校寫完論文. 我因為父親身體之故回台北, 申請Field Study. 據說好些年前馬大外面有間店開起來賣珍珠奶茶. 如果那時候就有. 我應該會留在DC, Baltimore, 找Intern, 申請H1...哀哀. 我就是無法經的起美食的誘惑...

然EY Boston也給我很多全新體驗, 不打卡要求極端自律的工作. 計畫管理與預算管理也有掌握的工程師任務. 最重要是要飛來飛去這種搭通勤班機的生活. 我猜我腸胃不好，睡覺淺眠的長期習慣, 應當是當時養成的. 以前住在瑞安街的時候, 家人問我牆上美國地圖釘那麼多紅圖釘, 是都去過嗎? 答曰然也. 所以之後我與家族的旅遊, 除了派訓與會議, 我幾乎沒有選擇美國當成旅遊地點..哈哈...想想我可能機場, 客戶Site, 旅館. 應該少有太多的浪漫心情吧. George Clooney的型男飛行日誌, 根本難以想像......一度懷疑是因為我是太基層, 還是太不夠型男 XD...

(我的日本自由行次數之旅還沒結束前, 美國旅遊還是往後排排...)

這段EY Boston經歷, 還有MIC的經歷, 讓我後來申請到資誠(PwC), 印象中那時候團隊一直改名, 最後名稱應該是GRMS (Global Risk Management Service), 不過沒到一年就躬逢六大整併大浪潮, 當時Price Watherhouse, 要合併 Coopers & Lybrand. 我只是個小資安經理. 但是會知悉一些整併的故事. 沒多久就出了一個PwC (現在的普華). 所以概念來說, 那時幾大事務所, 我已經待過EY Boston, PW,PwC. 這只是短短幾年吶.

那時代資安市場, 軟體最大是組合國際(CA), 整合服務是IBM, 防火牆是CheckPoint , 還有鈺松ISS Scanner. 哪裡有四大說話的份額啊, 跑市場和人家說會計師事務所懂資安, 敲門人家都不願見你的. 但那時候人才喔, 鈺松那時候考上CISSP可是加月薪一萬的大手筆, 我一度不解, 我大概是在離開美國前考到CISSP, 回台時我知道只有叡揚還有我還有一位有CISSP. 據說台灣那時只有三個人有這個認證. 以至於那時我還撈了一點小機會.

鈺松此舉讓我好羨慕也很佩服啊. 這可不是一次性獎金. 說我是極早些年CISSP的老骨頭我也沒覺得太那個啥, 算起來付過二十多年Certification維護費, 年輕人才會知道我講什麼. 現在看ISC2那麼多社群...我很無感就是因為這美好的路, 我已經走過..

還是好好把憲法法庭111年憲判字第13號與第14好判決弄清楚為要.

但當時國內還是有六大事務所做電腦稽核為主, 資安諮詢（營收比例應該沒人超過兩成）為輔的顧問服務, 當時最大的團隊在安永的徐敏玲副總(Liza Hsu), 第二大或第三大差相彷彿是KPMG安侯的陳瑞祥副總(後來他去海爾任總稽核了). PwC資誠的吳素環協理(幾大中最靈巧的美女主管). 兩家事務所論人手是都三十餘人, 安永那時候特色是有技術安全團隊, 我記得主管叫諾亞. 很厲害的網路安全高手. 其他兩家大概是以稽核與評估為主的.

現在最大的Andersen勤業當時應該正值於風雨飄搖的組織變革, 除了Andersen Consulting 鬧分家（要獨立成Accenture), Andersen Consulting 要改成AA Business Consulting. (板上很多好同學都是當時校友,), 資安部門的前身Computer Risk Management的主管是林淳一協理, 他離任後. 手下的業務協理們賣POS, 賣顧問(SyMix), 賣資安的. 幾乎半年內離任一空. 我若沒記錯, 當時只剩電腦稽核的部門八個人 (因為這八個人後來和我變成重組後的種子團隊）. 可說是六大的資安圈中, 倒數第二小.

當時的眾信Deloitte, 資安諮詢主管是很有來頭的, 曾任兆豐金的副總曾垂紀. 當時也比勤業多了一些人來, 大概排第四. 除了Coopers之外, Andersen 勤業只好出手找Head Hunter找人. 否則可能在資安市場上就很難有起色了.所以說將相本無種, 男兒當自強, 誰強誰弱, 關鍵在於好的人手好的理念好的風格好的創新吧.

至於我後來怎麼加入勤業, 這和921大地震有不可分解之緣. 有機會再分享了.