资安威胁复杂程度不断提升,骇客手法随著科技创新跟著进化的现今,企业应如何规画资安人才培育,来支援企业营运韧性?资安训练服务商安碁学苑营运长刘孟昌列出三项企业可自我检视的问题:是否具备即战力的资安团队?是否有分类与分层次的资安人才培育蓝图?以及,是否具备整合内外部资源、持续进化的能力?
刘孟昌进一步解释,现行环境下,不只资安人才不足成挑战,培训资安人才的方式,也可能跟不上日新月异的资安威胁。他观察,不少企业资安训练内容,是证照考取导向,或理论导向。这类培训方法,难以为资安人员应付最新威胁做准备。应该以实务为导向来培育具备即战力的资安人员,才能对威胁快速反应。
不只IT和资安人员需要具备即战力。刘孟昌认为,企业应该先意识到,每个部门的每个角色都是资安第一线防线。「公司任何一个职位,都有一定资安职能需求。」他进一步解释,虽然IT或资安人员具备管理或修补资安缺口的专业知识,不过,每一个职位的工作流程,仍是该职位人员最熟悉。企业须普及资安意识及知识到全体员工,才能靠各职位人员辨别工作流程中易被突破的环节或资讯外泄缺口。
这意味著,资安训练不能只集中在技术人员,而应规画全公司跨部门、跨职能的资安职能培训蓝图,不只如此,就连不同设备、系统的外部厂商及人员,也应该纳入资安管理框架。「他是不是公司编制?不是。但他是不是在做公司内部的工作?是。」只有如此,才能彻底管理企业资安风险。
建立资安职能培训蓝图时,刘孟昌建议,依照不同专业分类和能力分级,逐层建立资安人才梯队,来确保资安韧性,进而支援企业营运韧性。他推荐企业及资安人才以国家资通安全研究院2023年的《台湾资安人才培力研究报告》归纳出来的资讯安全核心角色作为参考,将资安人才分成分析、监管治理、营运维护、调查、情资、保护防御、安全交付7大类,共19个职务。他补充:「在企业中,通常这些职务不会由19个人负责,而是集中于少数人。」,因此他也推荐有意求职的资安人员,尽可能学习全部19种职务内容。
安碁学苑则综合国家资通安全研究院及NIST资安框架,将资安职能培训分为专门职能、专业职能、进阶职能三阶段,从奠定资安工程师的资安专门职能基础开始,逐渐培训资安治理主管、弱点防护分析师等管理和技术专业,最后聚焦于资安长、资安产品开发等职位的资安进阶职能技能。