雲端資安產業跨域人力高峰論壇會後報導
隨著數位轉型的推進,企業上雲蔚為風潮,但同時導致資安威脅越演越烈;因此各行各業迫切需要引進資安人才,以期強化防護能量。鑒於此,教育部推動「先進資通安全實務人才培育計畫」,以實務與產學鏈結的創新培育模式,打造以需求為導向的培訓環境,幫助產業延攬優質資安人才。
文/明雲青
日前「教育部先進資通安全實務人才培育計畫辦公室」偕同 CIO IT 經理人雜誌,共同舉辦「雲端資安產業跨域人力高峰論壇」,邀請知名企業資訊或資安主管現身說法,分享對雲端資安人才職能的看法,以拉近產業與學界的距離,鼓舞更多年輕學子投入資安領域。
藉由實習與競賽,提升資安技術力
來自教育部先進資通安全實務人才培育計畫辦公室的林燕卿博士指出,其積極建立資安教材、題庫與實作演練平臺,以提升學校資安實務教學能量。為加強高中職資安教育推動,近兩年邀請許多高中職老師參與教材編撰,落實資安觀念向下扎根。此外針對高中職生、大學生舉辦研習營,讓不曾接觸資安的同學理解資安箇中內容,藉此培養資安認知與素養,進而引導對資安學習有興趣的同學,投入更進階的學習。
何謂進階學習?譬如為期一週的 AIS3 資安暑期課程,逾九成老師來自業界,藉由實務經驗分享與演練,提升學員的資安實務能力。另有培訓時程為一年的「臺灣好厲駭」,搭配業界實習,協助學生鍛鍊資安技術能力。每年也固定辦理資安競賽活動,讓學生在學習技術之餘,透過比賽瞭解實務上的資安攻防之道。
新世代資安人才,須同時理解虛實環境
中菲行商業智慧科技部總監陳立人指出,其猶如貨物旅行社,負責協助貨物出口,安全送到收貨人手上。自 2017 年起採用混合雲,資訊架構逐漸趨向虛實整合,既有雲端服務、也有實體機房服務,資安顯得更重要。「去年全球大型貨代公司頻頻遇駭,導致許多貨物停滯於港口一個月以上。」陳立人說,足見資安威脅確實可怕。三年前中菲行導入以 ISO 27001 為核心的資安管理架構,藉由對人的管理、對新技術的引進,對新流程的導入,實現 RPO 兩小時、RTO 四小時目標。
中菲行對資安人才的內部培訓,要求對虛(雲端)、實(機房)管理皆有一定理解;此外亦與外部資安廠商合作,當有新 Issue 出現,便徵詢外部專家的意見,接著啟動 PDCA 循環,一步步將資安管理打造得更穩健。
透過溝通協作 實現資安與業務的最佳平衡
家樂福數位資訊科技部資訊長丁平碩表示,2018年起家樂福展開轉型,力求以數據驅動全方位 CRM,以 AI/ML 驅動全通路成長,蛻變為數位零售公司。經由轉型,家樂福從實體賣場走向全通路,經營環境由封閉走向開放,風險隨之提高,因而更需資安專業的介入。
家樂福有兩類型資安人力需求,一是管理型,協助公司通過 ISO 27001 認證並落實後續管理,另一是技術型。內部資安同仁偏向前者,至於後者則借重外部專業廠商的支援。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
在資安佈建過程,他體認到任何資安措施都無法脫離商業流程,故需在資安、業務間尋求最佳平衡;一個好的資安從業人員,須有能力與其他單位溝通協作,否則縱使技術再強,也很難在企業生存。
網管轉任資安 爭取晉升與調薪待遇
億光電子資訊處處長李瑞民表示,為管理資通安全風險,億光於 2021 年成立資安專責單位,包含專責主管及專責人員;儘管人不多,卻是幫助公司通過 ISO 27001 認證的功臣。
因製造業招募資安人員不易,多由內部網管人員轉任而施訓,誘因來自職務調整後晉升與調薪,如上述資安人員,三年月薪皆大幅調升。其工作執掌甚廣,舉凡 ISO 27001 導入與維持、視通訊軟體、eMail、防毒、營業秘密保護、資料備份、個資保護、主機更新、漏洞修補、資安意識教育訓練…皆有之。
論及小規模製造業對雲端資安需求,主要涵括防火牆情資訂閱與更新、資安託管與異常行為分析與阻擋(MDR)、雲端備份/備援。
雲時代來臨 身分識別與授權更顯重要
遠傳電信資安辦公室資安長朱建國說,資安人才階梯分三部份,由淺到深首先是「基礎」,負責維運與防護;再來是「中階」,負責策略定義、領導與執行;最後由「高階」(如資安長)制定策略、設定目標。
資安所需能力非常多。以基礎工作為例,包括資安管理系統、身分認證與資料傳輸安全、日誌分析、安全開發…等等;係因數位環境複雜,駭客憑藉什麼管道與手法攻進、期待拿到什麼資源,很難預先想像。意謂有志投入資安的學生,需學習許多職能和知識。
他提醒,從前資安偏重資訊、基礎建設、資料的防護,但隨著雲時代來臨,應將身分識別列為首要,對存取權限做適當管理及設定。
不只學技術 還要懂策略與管理
CIO 價值學院暨 CISO 資安學院院長盛敏成表示,資安訓練內容多元,技術只排第四順位,包含意識、策略、管理都更加重要。畢竟系統由人所設計,沒有人是完美的,所以系統一定有漏洞、一定會被駭,需要融入日誌紀錄、Roll Back…等應變機制。
雲會造成主客觀環境的全面變化,故雲端資安格外重要。現今人們重視「雲端」資安,意即雲端環境的資安;但雲端「資安」其實更重要,也就是使用雲端的技術與商業模式來提供資安服務。
總括而言,這場論壇堪稱難得契機,讓對資安有興趣的學生,及早洞察產業界雲端資安需求,掌握能力精進的方向,以便後續以最佳狀態進入職場,補強企業資安人才需求缺口。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
