จขกท ทำงานด้าน Information security ในอเมริกา เป็นตำแหน่ง Senior แล้ว และได้มีโอกาสสัมภาษณ์คนที่จะมาร่วมงานหลายครั้ง ซึ่งการสัมภาษณ์ฝรั่ง ก็คงจะธรรมดา ไม่ได้มีอะไรน่าสนใจ แต่มีเคสหนึ่ง ที่คิดว่าน่าจะมีประโยชน์สำหรับคนไทยที่อยากมาทำงานที่อเมริกา
เมื่อเดือนที่แล้ว มีโอกาสได้สัมภาษณ์คนเนปาล ที่มาเรียนจบ IT ที่อเมริกา แล้วมาสมัครเป็น Jr Information security แล้วรู้สึกเสียดายที่เขาพลาด เลยอยากมาแชร์ในแง่คนสัมภาษณ์ว่า ทำไมเขาถึงพลาด
1. เขาจบ Com science ที่เนปาล เคยทำ Help desk มา 2 -3 ปีที่เนปาล ก่อนจะมาอเมริกา
2. เมื่อมาอเมริกา เขาตัดสินใจเรียน security ป ตรี ใหม่ ใช้เวลา 9 ปี พร้อมกับทำงานเป็นบาร์เทนเดอร์
3. เขาได้ Security+ Certificate แล้วกำลังศึกษา เพื่อที่จะเอา CCNA
4. ใน resume เขา list คำ ที่ทำให้โปรแกรมจับคำเกี่ยวกับ security เยอะ มีการกล่าวอ้างถึงเรื่อง DNS, Servers และพวก network เลยทำให้เราสนใจเขา
แล้วเขาก็ได้เข้ามาในรอบสัมภาษณ์ ดูจากประวัติแล้ว เขาจบมาตั้งแต่มีนา ปีที่แล้ว และวันที่เราสัมภาษณ์คือ มกราคม ปีนี้ สิ่งที่เราสนใจจริงๆคือ สิ่งที่เขาทำตอนที่เคยเป็น Help desk ที่เนปาล และ Certificate ที่เพิ่งจะสอบผ่านไปหมาดๆ
เมื่อเราถามถึงสิ่งที่เขาทำเป็น Help desk ก็มีบางส่วนนะ ที่อาจจะช่วยทีมเราได้ การลงโปรแกรม Antivirus ต่างๆ การ remote เข้าไปแก้ปัญหา end users การ Data disposal ที่เราไม่อยากทำพอดี เลยเริ่มมาได้ดี
แต่เราก็ต้องผิดหวัง เมื่อเริ่มคำถามเกี่ยวกับ Technique เขาไม่สามารถตอบคำถามพื้นฐานสำหรับ security และ Network ได้ ทั้งๆที่เพิ่งสอบ Certificate ผ่าน เช่น Switch กับ Router ต่างกันอย่างไร Encryption กับ Hash ต่างกันอย่างไร หรือเมื่อไหร่ที่เราจะเห็น Syn/Ack ก็คงไม่ต้องไปถามถึงพวก security control ต่างๆ หรือพวก standard อะไรต่างๆ คงจะเสียเวลาเปล่า
และก็มาถึงคำถามที่เป็นคำถามฆ่าตัวตาย เมื่อเราถามว่า คุณเคยทำโปรเจคอะไร ที่รู้สึกว่ายาก และคุณใช้วิธีไหนแก้ปัญหา คำตอบเขาคือ มีครั้งหนึ่ง เขาได้รับ email จาก Bank of America ก็เป็นธนาคารที่เขาใช้อยู่ ให้ verify account เขาจึง click เข้าไป แล้วเริ่มกรอกข้อความ หลังจากนั้น เขาเหมือนเหลือบไปเห็นว่า URL นั้นไม่ใช่ Https หรือ มันไม่มี encryption และมันผิดวิสัยของธนาคาร (คือ เขาต้องการโชว์ว่า ตัวเองรู้นะว่า Http กับ Https ต่างกันอย่างไร) เขาจึงรีบโทรไปที่ธนาคาร ธนาคารก็บอกว่า คุณโดน Spam เข้าแล้ว รีบเปลี่ยน Password โดยด่วน -- ทุกคนรู้ใช่ไหม ว่าเขาฆ่าตัวตายอย่างไร เขาพลาดตั้งแต่คลิ๊ก link นั้นแล้ว ที่บริษัทนี้ ทุกคนจะได้รับการอบรมว่า ต้องเลื่อนเม้าท์ไปที่ link แล้วจะเห็น URL เต็มๆ ก็จะรู้ว่าเป็น Spam หรือเปล่า ซึ่งทุกคนในบริษัทจับผิด Spam เก่งมาก เราเลยรู้ว่า ถ้ารับคนนี้มา เขาต้องเป็นคนที่ทำให้โดน Ransomware แน่นอน น่าอับอายที่คนทำงานด้าน security กลับพลาดเอง
สิ่งที่อยากจะสื่อคือ
1. ไม่สำคัญว่าคุณเคยมีประสบการณ์ IT ที่ไหนในโลก ยังไงมันก็คือ IT
2. ไม่สำคัญว่าคุณจะมีปริญญาที่อเมริกาหรือไม่ สิ่งที่เรามองกลับเป็น Certificate
3. การสัมภาษณ์ IT ที่อเมริกา เขาจะถามคำถามด้าน technique เสมอ เราเคยไปสัมภาษณ์ที่ Amazon และอีกบริษัทหนึ่งมา เขาจะถาม IT พื้นฐาน แม้กระทั่ง OSI layer ฉะนั้น เรียนที่ไทยมาก็ตอบได้
4. เรียนรู้จากข้อผิดพลาด ตีโจทย์ให้แตก ว่าเขาต้องการคนแบบไหนไปทำงานด้วย อย่างเช่นกรณีนี้ เราอยากได้ คนทำ Security ซึ่งแปลว่า วันๆหนึ่ง เราจะได้รับเมล์จากคนในบริษัทถามว่า อันนี้ Spam หรือเปล่า เราคงไม่อยากได้คนที่คลิ๊ก Link โดยไม่คิดมาร่วมทีมหรอก
5. การใช้เวลา 9 ปี เพื่อไปเรียนใหม่ ความเห็นส่วนตัว คิดว่าเสียเวลามาก จนทำให้ความรู้ต่างๆด้าน IT ลบเลือนไป ถึงจะบอกว่า ทำงานไปด้วย เรียนไปด้วย แต่แค่ลงเรียนไม่กี่วิชาต่อปี ทำให้เราลืมสิ่งที่เคยเรียนในปีแรกๆ ไปหมด
เมื่อเป็น senior Information security ที่อเมริกา แล้วต้องมาสัมภาษณ์คนต่างชาติที่สมัครมาเป็น Jr
เมื่อเดือนที่แล้ว มีโอกาสได้สัมภาษณ์คนเนปาล ที่มาเรียนจบ IT ที่อเมริกา แล้วมาสมัครเป็น Jr Information security แล้วรู้สึกเสียดายที่เขาพลาด เลยอยากมาแชร์ในแง่คนสัมภาษณ์ว่า ทำไมเขาถึงพลาด
1. เขาจบ Com science ที่เนปาล เคยทำ Help desk มา 2 -3 ปีที่เนปาล ก่อนจะมาอเมริกา
2. เมื่อมาอเมริกา เขาตัดสินใจเรียน security ป ตรี ใหม่ ใช้เวลา 9 ปี พร้อมกับทำงานเป็นบาร์เทนเดอร์
3. เขาได้ Security+ Certificate แล้วกำลังศึกษา เพื่อที่จะเอา CCNA
4. ใน resume เขา list คำ ที่ทำให้โปรแกรมจับคำเกี่ยวกับ security เยอะ มีการกล่าวอ้างถึงเรื่อง DNS, Servers และพวก network เลยทำให้เราสนใจเขา
แล้วเขาก็ได้เข้ามาในรอบสัมภาษณ์ ดูจากประวัติแล้ว เขาจบมาตั้งแต่มีนา ปีที่แล้ว และวันที่เราสัมภาษณ์คือ มกราคม ปีนี้ สิ่งที่เราสนใจจริงๆคือ สิ่งที่เขาทำตอนที่เคยเป็น Help desk ที่เนปาล และ Certificate ที่เพิ่งจะสอบผ่านไปหมาดๆ
เมื่อเราถามถึงสิ่งที่เขาทำเป็น Help desk ก็มีบางส่วนนะ ที่อาจจะช่วยทีมเราได้ การลงโปรแกรม Antivirus ต่างๆ การ remote เข้าไปแก้ปัญหา end users การ Data disposal ที่เราไม่อยากทำพอดี เลยเริ่มมาได้ดี
แต่เราก็ต้องผิดหวัง เมื่อเริ่มคำถามเกี่ยวกับ Technique เขาไม่สามารถตอบคำถามพื้นฐานสำหรับ security และ Network ได้ ทั้งๆที่เพิ่งสอบ Certificate ผ่าน เช่น Switch กับ Router ต่างกันอย่างไร Encryption กับ Hash ต่างกันอย่างไร หรือเมื่อไหร่ที่เราจะเห็น Syn/Ack ก็คงไม่ต้องไปถามถึงพวก security control ต่างๆ หรือพวก standard อะไรต่างๆ คงจะเสียเวลาเปล่า
และก็มาถึงคำถามที่เป็นคำถามฆ่าตัวตาย เมื่อเราถามว่า คุณเคยทำโปรเจคอะไร ที่รู้สึกว่ายาก และคุณใช้วิธีไหนแก้ปัญหา คำตอบเขาคือ มีครั้งหนึ่ง เขาได้รับ email จาก Bank of America ก็เป็นธนาคารที่เขาใช้อยู่ ให้ verify account เขาจึง click เข้าไป แล้วเริ่มกรอกข้อความ หลังจากนั้น เขาเหมือนเหลือบไปเห็นว่า URL นั้นไม่ใช่ Https หรือ มันไม่มี encryption และมันผิดวิสัยของธนาคาร (คือ เขาต้องการโชว์ว่า ตัวเองรู้นะว่า Http กับ Https ต่างกันอย่างไร) เขาจึงรีบโทรไปที่ธนาคาร ธนาคารก็บอกว่า คุณโดน Spam เข้าแล้ว รีบเปลี่ยน Password โดยด่วน -- ทุกคนรู้ใช่ไหม ว่าเขาฆ่าตัวตายอย่างไร เขาพลาดตั้งแต่คลิ๊ก link นั้นแล้ว ที่บริษัทนี้ ทุกคนจะได้รับการอบรมว่า ต้องเลื่อนเม้าท์ไปที่ link แล้วจะเห็น URL เต็มๆ ก็จะรู้ว่าเป็น Spam หรือเปล่า ซึ่งทุกคนในบริษัทจับผิด Spam เก่งมาก เราเลยรู้ว่า ถ้ารับคนนี้มา เขาต้องเป็นคนที่ทำให้โดน Ransomware แน่นอน น่าอับอายที่คนทำงานด้าน security กลับพลาดเอง
สิ่งที่อยากจะสื่อคือ
1. ไม่สำคัญว่าคุณเคยมีประสบการณ์ IT ที่ไหนในโลก ยังไงมันก็คือ IT
2. ไม่สำคัญว่าคุณจะมีปริญญาที่อเมริกาหรือไม่ สิ่งที่เรามองกลับเป็น Certificate
3. การสัมภาษณ์ IT ที่อเมริกา เขาจะถามคำถามด้าน technique เสมอ เราเคยไปสัมภาษณ์ที่ Amazon และอีกบริษัทหนึ่งมา เขาจะถาม IT พื้นฐาน แม้กระทั่ง OSI layer ฉะนั้น เรียนที่ไทยมาก็ตอบได้
4. เรียนรู้จากข้อผิดพลาด ตีโจทย์ให้แตก ว่าเขาต้องการคนแบบไหนไปทำงานด้วย อย่างเช่นกรณีนี้ เราอยากได้ คนทำ Security ซึ่งแปลว่า วันๆหนึ่ง เราจะได้รับเมล์จากคนในบริษัทถามว่า อันนี้ Spam หรือเปล่า เราคงไม่อยากได้คนที่คลิ๊ก Link โดยไม่คิดมาร่วมทีมหรอก
5. การใช้เวลา 9 ปี เพื่อไปเรียนใหม่ ความเห็นส่วนตัว คิดว่าเสียเวลามาก จนทำให้ความรู้ต่างๆด้าน IT ลบเลือนไป ถึงจะบอกว่า ทำงานไปด้วย เรียนไปด้วย แต่แค่ลงเรียนไม่กี่วิชาต่อปี ทำให้เราลืมสิ่งที่เคยเรียนในปีแรกๆ ไปหมด