2020年11月27日 星期五

資安 | Gartner top 10 security projects for 2020-2021 簡筆與摘要

 
Gartner Top 10 Security Projects @2020-2021



"If you can only do one project, focusing on securing your remote workforce and going back and looking at some of those changes we might have made earlier in the year would be a really good use of time" 
                                    — Brian Reed, senior director analyst at Gartner 

預估市場成長

Gartner expects investments in cloud access security broker (CASB) will see a 41% compound annual growth rate, followed by encryption software (24%), and threat intelligence (20%), between 2018 and 2023.


The top 10 security projects

(以下專案為獨立的,並非按照重要性排列

No. 1: Securing your remote workforce

Security teams need to know if they opened too much access for employees. 

No. 2: Risk-based vulnerability management

It's the security team's job to recommend how to prioritize patches, IT team is to apply them. 

No. 3: Extended detection and response (XDR)

XDR is a unified security and incident response platform that collects and correlates data from multiple proprietary components. It is not just SIEM and SOAR.

The platform-level integration occurs at the point of deployment rather than being added in later.

This consolidates multiple security products into one and may help provide better overall security outcomes, simplify and streamline security.

Centralization of normalized data and a centralized incident response capability.

The capabilities have to be able to "change the state of individual security products as part of the remediation process." 


No. 4: Cloud security posture management


To deliver "risk identification and alerting capabilities by reviewing different cloud audit and cloud operational events.
A CSPM platform...

No. 5: Simplify cloud access controls

CASB give companies real-time security control enforcement or enough flexibility to "start out in an API mode or a monitoring mode of operation."

No. 6: DMARC

"We use email far too often as the single or sole source of trust and verification. And it's incredibly easy to spoof," 
DMARC falls short of protecting other areas, such as "lookalike domains," but it's a "quick win,"  
Advises companies to begin in "monitor mode" and graduate to "reject" emails. 

No. 7: Passwordless authentication

Multi-factor authentication, zero factor authentication


No. 8: Data classification and protection 


Not all users and data have the same value, that' why we need it project.
Start with policies and definitions and really get the process right before we start layering in the technology.

No. 9: Workforce competencies assessment

Install the right people with the right skills in the right roles. 


No. 10: Automating security risk assessments 

Automate workflows extracting data from data sources "critical to risk assessment.

/

最近不經間看到一篇2018 年 Gartner top security projects 的分析。
基於好奇心,順手查了一下最新年度變得如何。

不意外地,看到CASB 和  threat intelligence 的預期成長都超過20%。
其中 CASB 在2014 年就出現了,雖然中間起起伏伏,不過最新趨勢看起來是成長的。


順便帶一下 2019 的 Top security projects, 長得和2020-2021 差了不少。
2020-2021 Top security projects 還存在一樣/相似概念的有 CASB和Cloud security posture management。

另外相近的還有vulnerability management、Detection and response (變成XDR)等。

Email threat 相關的,則由2019 的 BEC 變成了DMARC。老實說,DMARC 的出現還真的讓我有點驚訝,畢竟不算是新技術。

  • Privileged access management
  • CARTA-inspired vulnerability management
  • Detection and response
  • Cloud security posture management (CSPM)
  • CASB
  • Business email compromise 
  • Dark data discovery
  • Security incident response
  • Container security
  • Security ratings services



若有您轉貼需求,請來信討論。 轉貼時禁止修改內容及標題且保持所有連結。禁止商業使用,請註明原文標題、連結以及作者。

2020年11月16日 星期一

讀書筆記 | 大人的閱讀方法—極簡閱讀





"閱讀本身也不能創造價值,理解和記憶知識都不能創造價值,改變行為才有可能創造價值。"



為什麼推薦這本書

現在職場工作者的學習方式和以往學生時代有著本質上的不同,現在更聚焦在是否能解決實際問題。
學習的動力,也不再是學校老師的規定和規劃,而是當我們覺得需要以及想要時。
對於實用類書籍,既然花了珍貴的時間閱讀,放棄從事其他休閒活動的時間,總是期待可以收集到想收集的技能點數,或是可以解某部分的惑。
此書亦屬於此類工匠書,作用在提高閱讀的效用,轉換閱讀中得到的知識,進而創造價值。



誰適合讀這本書

買很多書,但都沒看完而覺得內疚者
想學習大人的閱讀方法,提升閱讀成效者
唸了一堆書,但感覺吸收效率不夠好的朋友
閱讀完許多書,但仔細想想卻好像得到「知識消化不良症」,好像沒有得到什麼?


本書如何幫助讀者提高閱讀的效用,學習大人的閱讀方法?

透過其特有的拆書法 —「便利貼學習法」+「RIA現場學習」協助讀者
1. 拆解書中知識,轉化為自己的能力
2. 協助構建個人知識體系,往成為專家邁進
3. 幫助讀者透過閱讀,快速提升所需的職場競爭力。


那具體的做法是什麼?

拆書法主要有兩種實踐形式:一為供組織學習(由拆書家帶領)的「RIA現場學習」,另一個是供個人學習的「便利貼學習法」。
在本書中,前一個方法比較偏向給講師與引導者參考,而後者 —「便利貼學習法」更適用於個人。透過學習此方法,對於從書中拆出對自己有幫助的那部分知識會更有效率。故Peggy以下的書摘著重在此部分。



首先來看看有效的成人學習五大定理 ,拆書法就是建立在這基礎上。

1. 自我導向
2. 連結經驗
3. 強調實踐
4. 聚焦於解決實際問題
5. 内在驅動


「便利貼學習法」

準備工具:

  • 三個不同顏色的便利貼:分別給 I 、 A1 、A2 三種筆記類型用
  • 標籤


 




「拆書」七部曲: 


 1. 拆書法的適用範圍 —「實用類的書籍」。目的是為提升特定能力,解決具體問題,應用在實際工作和生活中。

2. 先要求自己快速閱讀,卡住時問自己:「這對我有多重要?」 若對現在的我並不重要,那就先不理會。


3. 在「I便利貼」上用自己的語言簡要重新描述相關資訊,或總結自己得到的提醒,最好貼在相應的頁面。

4. 針對書中的某資訊,把自己相關經歷寫在「A1 便利貼」上並貼上在「I便利貼」旁

5. 思考今後如何應用:先考慮目標,再把 action item 寫在「A2 便利貼」,也貼在書頁上。

6. 在貼了便利貼的那頁,也貼上一張標籤,以提醒自己這一頁有學習資料

7. 看完一本書後,把所有的便利貼貼在顯而易見的地方,提醒自己要採取行動




/

「便利貼法的社群軟體訓練法」


因為很多初學者回饋,雖然「便利貼法」易理解,但要真正運用到位並不容易
一個較簡單且有趣的「便利貼法的社群軟體訓練法」因應而生。

1. 一個月内,嚴格要求自己不能在臉書或Line「直接分享」任何內容。

2. 當想分享文章時,先停下來問自己以下幾個問題:能加上自己的重述嗎? 能呈現前因後果或適用範圍嗎?能加上自己的相關經驗嗎? 可以有任何應用或行動嗎?

3. 重點在於透過這個加上自己的思維的練習過程來鍛鍊腦袋。如果想五分鐘還是想不到呢? 就放棄分享吧,看起來這篇文章和你沒什麼相關呢,另外這五分鐘內,腦袋還是有訓練到,這樣就達到目的了。




/

一書一行動:從接下來的一個月,可以先用便利貼法的社群軟體訓練法」來鍛鍊腦袋,把需要的知識萃取出來。


/

書中除了本書摘沒有包含的「RIA現場學習」之外,也有不少篇幅討論學習的謬誤、常見的疑惑、怎麼更有效率的建構自己的知識體系等,也蠻值得翻閱的。





若有您轉貼需求,請來信討論。 轉貼時禁止修改內容及標題且保持所有連結。禁止商業使用,請註明原文標題、連結以及作者。


2020年11月11日 星期三

讀書筆記 | 不要再無助的卡在無效溝通中了! 來看看五星級溝通術如何激發出屬於你的成功巨浪~


Google 亞里斯多德專案發現,團隊裡有誰不重要,重要的是團隊成員互動的方式。

能够和團隊產生共鳴的領導人才是成功互動的催化劑。

研究人員最後認為成功的團隊有以下三個特質:

1. 安全感:讓成員願意承擔與表現脆弱
2. 明確的溝通:清楚的目標和角色
3. 工作的重要性與意義

安全感顯然是必勝團隊中最重要的特質。

「安全感愈強大的團隊成員愈能察覺其他人的感受,更願意承認錯誤、更願意與人合作,並承擔新任務。」

然而以上三個特質,每一個都與好的溝通力息息相關。

另外,也有調查顯示,美國整體收入的四分之一來自溝通說服。(詳見書中p52)

這麼重要的技能點數,這麼易讀、有趣又實用的書,怎麼能不來看看呢。(笑)

哪些人適合看此書?

想提升溝通力,讓對方更容易了解、接受自己想法
苦惱於對方有時候會聽不懂自己說什麼、或聽不進去
想更有效的傳播腦中厲害的點子
常需要提出構想的專業人士
喜歡邊看故事邊學實用技能者


本書如何幫助提升溝通力?
書中有三大主題:
  • 首先,藉由數個調查數據與歷史上有名的真實故事讓讀者了解為什麼優秀的溝通者無可取代。
  • 第二部分為透過分享包含著名科學家、創業家、專業人士、領袖人物與TED之星等各行各業高手的故事,讓讀者體會到溝通力在各行業內的實際效益與運用。
  • 最後,介紹七個五星級的溝通技巧來具體地幫助讀者提升溝通力。

具體的細節與整理 ,請參考以下書摘。Peggy主要著重於那七大技巧囉。

/
     

具體的七個五星級溝通術



1. 情感訴求


  • 「神經震盪同步」— 講者和聽者的大腦想著同一件事。 若在說故事的時候可以找出共通點,就比較有機會說服你從我的觀點去看世界。

  • 情感訴求大師—馬雲。他會根據觀眾屬性來刻畫故事。對中國的觀眾,馬雲常引用他最喜歡的武俠小說或中國革命歷史。若在美國,馬雲說他則會改講華盛頓與櫻桃樹的故事來激勵聽眾。

  • 要影響别人去採取行動,可在簡報或對話時結合這三種故事。
    • 個人親身經歷
    • 真實用戶或顧客的故事
    • 品牌或企業歷史裡的重要事件
  • 好故事七元素
    • 故事性:有開頭、過程和結局(解決)
    • 讓人著迷:新鮮、有趣、讓人聽完了會認真想一想
    • 真實感
    • 細節:生動、重要、微妙的細節都會提升故事的真實感。
    • 驚喜感
    • 投射:聽故事的人可以在故事人物的身上看到自己。
    • 衝突與張力:讓聽眾投射情感的英雄克服了難關,最后成功,這樣的故事讓人無法抗拒。
  • 若缺少情感訴求,就沒有說服力。要建立情感訴求,故事則是最好的語言工具,因為人類天生喜歡聽故事。

2. 三幕式故事結構


  • 三幕式說故事結構:布局(情境)、衝突(問題)、結局(解答)。如《星際大戰》、《新娘百分百》等許多有名的電影與麥肯錫的簡報都是用這個架構。
  • 讓觀眾維持緊張的情緒的秘訣就是設定難關,讓主角先去克服,之後順利完成任務。
  • 啟動觀眾腦内的催產素—來個戲劇性的故事,有張力、挣扎的過程與最後圓滿結局。


3. 用一句話讓人秒懂


  • 宣傳詞就是電影的釣鉤,好的釣鉤能把人鉤著不放,想全部看完,它一句話就能傳遞大腦想要的完整畫面。
  • 賣座强片的成功宣傳詞:
    • 「犯罪組織帝國年邁的首領要將控制權傳給不願接班的兒子。」――《教父》
  • TED主辦單位建議所有的講者選一個概念,盡量把它講得清楚、具體且生動。
  • 人的專注力和耐心有限,最好在簡報一開始,就用十五秒的時間介紹你的主軸。

4. 巧字勝萬言


  • 持續編輯、去蕪存菁,直到小學生也聽得懂
  • Ex. 甘迺迪名句「別問你的國家能為你做什麼,問問自己能為你的國家做什麼」
  • 美國航空五四九號班機遭鳥襲,引擎起火,薩利機長決定迫降在河上。他只用「機長報告,準備迫降」少少幾個字,讓機上的空服員開始採取了行動,引導乘客,最後奇蹟般的全員生還。
  • 練習在十分鐘之内推銷你的想法,因為你的聽眾大約十分鐘后就會恍神。腦神經科學研究證實了人的注意力最多十五分鐘。大腦會覺得無聊,最好早一點講重點。

5. 如何用文字美化你的點子


  • 亞里斯多德在《修辭學》裡提到,最具說服力的人都會利用「比喻」和「類比」來為演說提味。
  • 「類比」: 就是拿兩件不一樣的事情並列在一起,呈現出相似之處。這逼聽眾用不同的角度去消化你的想法。如,莎士比亞曾寫下「茱麗葉就像太陽」。
  • 著名故事—甘迺迪如何啟動阿波羅計畫。
    • 首先,甘迺迪將美國太空總署的理想與抱負聚焦在一個目標上—「這個國家將致力完成目標,在十年内把人類送上月球並安全地帶回地球。」。用一個明確易懂且有期限的共同目標來凝聚和動員團隊。
    • 利用里程碑讓員工感受到他們的日常工作都和這個具體的目標習習相關。甘迺迪列出了三項計畫和三項目標:
      • 水星計畫:讓太空人進入軌道
      • 雙子星計畫:教導美國太空總署學會太空漫步,且連接兩艘太空船
      • 阿波羅計畫:讓人類踏上月球
    • 甘迺迪利用比喻、隱喻和類比來強調這目標的規模的遠大。他說:「太空就在那裡,我們要攀上去,月球和行星就在那裡,知識與和平的新希望也在那裡。」這讓知識、和平與探險等抽象的理想有了一個新的位置。
    • 其他有意思的故事:類比給LinkedIn機會與類比大師賈伯斯
    • 延伸閱讀:如需要靈感就閱讀巴菲特的年度電子報和約翰·波拉克的書《創新的本能:類比思維的力量》。


6. 達文西、畢卡索和你的共通點


“ 新奇的想法憑空出現很難,其往往是我們把不同的想法用沒人試過的方式組合了起來”
—作家 詹姆斯・派特森

  • 用這四招顛覆心智,引爆原創想法
    • 創意俯拾皆是,只要你能串連它們
    • 找到你的主題曲:音樂可以引發許多情緒,協助你書寫、思考、創作最棒的音樂是電影配樂。
    • 閱讀是溝通技巧的磨刀石
      • 幾乎永遠都可以回頭看歷史小說、回憶錄與傳記,從其中發現各種有意思的問題且不斷問自己:「如果是我,會怎麼做?」
      • 閱讀能提升領導人的能力,創造充滿情緒與魄力的文藻來刺激團隊
      • 史塔伏瑞迪斯上將說溝通是領導人最重要的工具。要能把挑戰說清楚,為什麼這很重要,還有你要用什麼方式從頭到尾去解決這個問題。
    • 去陌生的地方旅行:要用與眾不同的觀點來看事情,最有效的方法就是用新鮮事來轟炸大腦。

7.克服恐懼,挺身而進


  • 沒有人天生就是傑出的溝通人才,都需要訓練。
  • 腦神經科學家找出了兩個方法讓你在壓力下也能閃閃發光: 重新評估和反覆練習。
    • 「重新評估」是重新建構你對自己的想法與看待事情的角度。把負面想轉為正面就是獲勝的關鍵。
    • 一旦你改變了想法,你就可以不斷練又一遍地「反覆演練」,可以加强你的信心來面對大日子。

/

一書一行動試著在最近的一次簡報或溝通中,特意至少選一個技巧來練習使用,並記錄下來。


若有您轉貼需求,請來信討論。 轉貼時禁止修改內容及標題且保持所有連結。禁止商業使用,請註明原文標題、連結以及作者。

2020年11月1日 星期日

讀書筆記 | 怎麼提升生活品質與幸福感呢?來看看「心流」(Flow)這本經典書怎麼說說囉~

 



作者契克森米哈伊,被譽為「全球正向心理學研究的領航者」。他基於十數萬筆經驗取樣研究,而提出「心流」(Flow) 這一個開創的新概念,至今被翻譯超過30國語言。不但如此,「心流」這一個概念也啟發了《刻意練習》、《異數》與《深度工作力》等優質好書。


什麼人適合看本書呢?

喜歡閱讀科普書者。
對「心流」這一個概念感到好奇,想有更全面的了解。
已有心流體驗,且想擁有更多的優質心流體驗,提升幸福感者。

本書如何幫助讀者了解心流,提升生活幸福感呢?

本書對心流有著許多不同面向的探討,讓讀者瞭解什麼是心流?怎麼更加理解心流? 進入心流帶來哪些好處?怎麼進入心流,以創造更多心流體驗。

具體的例子、內容與做法,就請參考以下書摘囉。

///

什麼是心流(Flow)?


“Flow - The Psychology of Optimal Experience”

「心流 Flow 」是意識上和諧而有序的心理狀態,發生在一個人有意地將身體或心智能力發揮至極致的時候。

令人最感覺美好的幸福時刻,常發生在一個人遇到挑戰他現有能力的事,專注地將能力發揮到極致的時後。在這種狀態中,會忘卻時間和自我,進入「自動運轉」模式,也就是「心流」模式。

///

進入心流有哪些好處?


可以改善生活品質,提升幸福感。

生命最美好的時刻不是發生在一個人無牽無慮、隨心所欲之時,而人有意識地將能力發揮到極限,去完成有難度或有價值的事的時候。

喜歡爬山的朋友,可以想像攻頂的成就感。喜歡路跑的朋友,可以回想跑完比自己極限更長的馬拉松後的愉悅與滿足。

這些最優體驗是需要靠我們去創造的。


///

如何進入心流,創造更多優質體驗? 


能引發心流的活動和它們的内容設計有很大的關係,他們通常都有以下幾個共同點:

  • 需要學習技能
  • 有明確目標
  • 可提供回饋讓參與者有掌握權
  • 有利於參與者集中注意力

常見的如樂器演奏、登山、跳舞、航海、下棋、慢跑等。

心流的產生和一件事情的難度與我們是否將能力發揮極限十分相關。太簡單、太難、高於能力太多、低於能力太多者都不太會進入心流狀態。

可以用下圖搭配打網球作為例子來理解。


 A 為剛學習網球的Alex 的狀態,此時唯一的挑戰就是把球打過網。因為難度剛好和他的能力相符合,所以這時候很有可能處於心流的狀態中。

但,經過練習後,隨著技能提升,這時後光是把球打過網對他來說變得無聊了(B)。
又或者遇見更厲害的對手,而感到焦慮(C) 。
無論是無聊或焦慮都不是正向經驗,所以他會渴望回到心流狀態中。
那要怎么做呢? 只有一個選擇,也就是往右上角的心流路線一路前行,一邊磨練技巧,一邊提高遇到的挑戰難度。

這也解釋了為什么心流活動可以促使人不斷成長與探索,成為越來越厲害的高手。

值得注意的是,真正决定我們感受的,是我們自認為擁有的技能,而不一定是實際上擁有的技能。例如喜歡登山的人見到高山時,內心會澎湃汹湧,但提到要學音樂卻無動於衷。

年幼時的經驗會影響一個人將來能不能時常感受心流。在一個提供明確的目標與回饋、父母對他們本身感興趣、孩子有選擇權、感受到足夠信任、有機會接受更高挑戰的家庭長大的孩子,將來得到心流的機會也比較高。

可以透過以下步驟,嘗試將體驗轉換成心流...
  1. 設定明確目標,對其回饋進行監控
  2. 全心投入
  3. 注意當下發生的事:持續投入
  4. 學習樂在當下


/// 
寫在最後....

一書一行動: 看完本書摘的朋友可以試著觀察自己什麼情況下/做什麼事情的時候進入心流?筆記下來,可以提醒自己多做這些事喔。

祝福妳/你生活品質與幸福感++ ☺️

若有您轉貼需求,請來信討論。 轉貼時禁止修改內容及標題且保持所有連結。禁止商業使用,請註明原文標題、連結以及作者。

Peggy的實驗空間| 小書庫 Index card ( 讀書筆記總目錄/書單 )

  一直很喜歡閱讀,也常從閱讀好書中與讀書會得到許多的力量與啟發,不管是在人生的低潮抑或是順遂的時候。在閱讀之路上,這幾年也保持一個習慣。當閱讀到喜歡的書籍,且那陣子時間允許,就會提醒自己閱讀完後整理出心得筆記。一方面藉機鍛鍊寫作肌肉與思路,方便之後的複習和查閱。另一方面,也可以...