資安威脅複雜程度不斷提升,駭客手法隨著科技創新跟著進化的現今,企業應如何規畫資安人才培育,來支援企業營運韌性?資安訓練服務商安碁學苑營運長劉孟昌列出三項企業可自我檢視的問題:是否具備即戰力的資安團隊?是否有分類與分層次的資安人才培育藍圖?以及,是否具備整合內外部資源、持續進化的能力?
劉孟昌進一步解釋,現行環境下,不只資安人才不足成挑戰,培訓資安人才的方式,也可能跟不上日新月異的資安威脅。他觀察,不少企業資安訓練內容,是證照考取導向,或理論導向。這類培訓方法,難以為資安人員應付最新威脅做準備。應該以實務為導向來培育具備即戰力的資安人員,才能對威脅快速反應。
不只IT和資安人員需要具備即戰力。劉孟昌認為,企業應該先意識到,每個部門的每個角色都是資安第一線防線。「公司任何一個職位,都有一定資安職能需求。」他進一步解釋,雖然IT或資安人員具備管理或修補資安缺口的專業知識,不過,每一個職位的工作流程,仍是該職位人員最熟悉。企業須普及資安意識及知識到全體員工,才能靠各職位人員辨別工作流程中易被突破的環節或資訊外洩缺口。
這意味著,資安訓練不能只集中在技術人員,而應規畫全公司跨部門、跨職能的資安職能培訓藍圖,不只如此,就連不同設備、系統的外部廠商及人員,也應該納入資安管理框架。「他是不是公司編制?不是。但他是不是在做公司內部的工作?是。」只有如此,才能徹底管理企業資安風險。
建立資安職能培訓藍圖時,劉孟昌建議,依照不同專業分類和能力分級,逐層建立資安人才梯隊,來確保資安韌性,進而支援企業營運韌性。他推薦企業及資安人才以國家資通安全研究院2023年的《臺灣資安人才培力研究報告》歸納出來的資訊安全核心角色作為參考,將資安人才分成分析、監管治理、營運維護、調查、情資、保護防禦、安全交付7大類,共19個職務。他補充:「在企業中,通常這些職務不會由19個人負責,而是集中於少數人。」,因此他也推薦有意求職的資安人員,盡可能學習全部19種職務內容。
安碁學苑則綜合國家資通安全研究院及NIST資安框架,將資安職能培訓分為專門職能、專業職能、進階職能三階段,從奠定資安工程師的資安專門職能基礎開始,逐漸培訓資安治理主管、弱點防護分析師等管理和技術專業,最後聚焦於資安長、資安產品開發等職位的資安進階職能技能。