2023 ISC2 Security Congress 研討會 會後報導
全球資安領域非營利教育認證組織 ISC2 年度盛會 Security Congress 於 2023 年 10 月在美國田納西州鄉村音樂搖籃納什維爾(Nashville)盛大舉行,本文作者前往參與及領獎,並將會議重點進行摘要。
文/吳明璋(Bright)
本次參與 ISC2(International Information System Security Certification Consortium)資安界盛會,同時 ISC2 領取 2023 年亞太區全球成就獎(Global Achievement Awards,APAC)中級專家獎(Mid-Career Award),以下為本次活動會後的重點整理提供讀者參考。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
ISC2 執行長 Clar Rosso 彙整資安六大議題:威脅環境、勞動力缺口、技能缺口、人工智慧、安全設計(secure by design)和法規政策,並從 ISC2 角度提出因應之道。
一、威脅環境
因應駭客攻擊日益遽增,ISC2 因應之道為自身組織持續演化,以確保會員獲得所需的學習,以達到更好的認證成效。關於資安險、第三方風險、供應鏈風險和新興議題,ISC2 已成立任務小組,以便在會員拓展這些議題領域中即時提供所需的資訊和資源。
二、勞動力缺口
過去 ISC2 資安人員勞動力調查報告中,勞動力缺口一直是首要威脅。2023 年,ISC2 預估全球資安從業人員為 550 萬人;此數據相較於去年,成長幅度大約 8.7%,在疫情期間約有 39% 增長。儘管求職者不斷挹注資安領域,全球人力缺口仍高達 400 萬左右。
儘管勞動力缺口為全球普遍存在的資安問題,弔詭的是在調查報告中 49% 回覆者認為 2024 年將減少資安人員數量。Clar 強調,資安人手不足將會造成五大嚴重的管理問題:
- 缺乏足夠時間進行適當的風險評估。
- 流程和程序的疏忽。
- 系統配置錯誤(misconfiguration)。
- 對關鍵性系統的修補更新緩慢。
- 威脅意識不足。
ISC2 因應之道為推廣初階的資訊安全認證 Certified in Cybersecurity(簡稱 CC)。針對有意從事資安(如學生和轉換職場跑道者),ISC2 推薦考取資訊安全認證 CC。目前全球約百萬人取得了 CC 認證,ISC2 初步分析此證照的成效:
- 獲得 CC 認證學生,30% 目前已有工作,其中 38% 擔任資安職務;
- 獲得 CC 但尚未就業者,29% 目前已經上班,其中 44% 擔任資安職務。
在全球各地,ISC2 與合作夥伴的計畫已產生不同的成效。在迦納(Ghana),合作夥伴在一個月內培訓 200 人獲得 CC;新加坡將近有 1 萬 2 千名全職資安專業人士。網路安全局(Cybersecurity Agency)承諾將拓展資安人才訓練計畫,以培訓 1 萬人獲得 CC 為目標;在日本,ISC2 與東京海上產險公司(Tokyo Marine)簽署合作協議,將資安認證課程與相關計畫拓展至旗下的保險組織和現有客戶。
[ 推薦閱讀:資安法歷經五年 順應時事修法完善 ]
除了培訓課程之外,資安人才配套措施也很重要。根據 ISC2 調查報告,建議的因應之道包括:
- 解決薪酬和升遷管道的差距;
- 實施工作任務之輪替;
- 導師計劃;
- 依態度和能力招聘人才;
- 鼓勵 IT 和資安以外人員從事資安工作。
尤其是 69% 受訪者同意,包容性環境對他們的成功至關重要,促進團隊成員和管理者的人際關係。如果你是遠距工作者,包容性環境尤其重要。如果資安人在團隊中缺乏建立良好的人際關係,優秀人才將離開組織;另一個關鍵的資安議題為指責文化。每個人都在同一艘船上,都是指責文化的接受方。最好的方法就是停止指責,確保在自己的團隊中不會發生。
三、技能缺口
以往,資安技能缺口和資安勞動力缺口畫上等號,這兩者觀念相互替代。為了凸顯資安技能的重要性,ISC2 調查報告將技能缺口的議題獨立出來。
資安人員裁員不僅影響到公司資產負債表,更造成公司處於脆弱的環境。此舉不單純僅是人員離職,更重要的是喪失資安團隊中關鍵性技能。
ISC2 調查常見的技能缺口包括:
- 雲端安全;
- 治理、風險、合規(GRC);
- 安全工程;
- 風險評估、分析和管理;
- 人工智慧;
- 零信任實施;
- 溝通技能;
- 軟體資安開發 SecOps;
- 數位鑑識和事件應變;
- 應用安全。
四、人工智慧
Clar 強調,人工智慧是資訊安全的核心。然而,企業面對人工智慧充滿著矛盾的兩難:一方面要如何保護科技(AI)的發展,但另一方面如何確保 AI 的安全和道德使用?
如果我們重新詮釋狄更斯《雙城記》的經典,在面對人工智慧時「這是一個最壞的時代,也是一個最好的時代」。人工智慧給資安帶來前所未見的難題,但也可以能創造資安人的新角色與定位。Clar 回顧以往 IT 屬於後勤辦公室。當組織進行策略規劃時,並沒有 IT人談論技術。當今人工智慧為資安帶來新的轉折點。人工智慧促使 IT/資安人進入董事會,參與策略規劃會議,資安人不需要額外辯解自己的價值。
ISC2 因應之道為以 AI 釋放資安人潛能。Clar 鼓勵資安人:「這是你發揮解決問題、分析與批判的能力」,都是協助資安人適應 AI 的安全和道德使用的能力。ISC2 協助整理 AI 使用案例或情境,以便學習觀察 AI 如何發展與應用。
五、安全設計
安全設計是 ISC2 CSSLP(Certified Secure Software Lifecycle Professional)證照的核心。ISC2 宣布與 Linux 基金會和開放安全基金會合作,共同努力確保開源社群中的原始碼安全。
六、法規和政策
Clar 以機會角度,詮釋資安法規與政策如何為資安人發聲。她提到,資安人可能認為高階主管董事會並不重視資安;然而,全球政策制定者注意到資安的價值,他們理解資安對國家安全和經濟安全的重要性。尤其自去年起,美國、歐盟、英國、加拿大、日本、澳洲、新加坡等資安法規像是「洪水般湧現」。這些法規主要關注到資安勞動力發展、人工智慧安全、事故和漏洞報告、關鍵性國家基礎設施,以及將資安壓力從消費者移轉至開發者。所以,ISC2 將協調全球不同的資安法規和政策,以減輕會員面對眾多法規的壓力。
最後,Clar 詮釋資安認證的力量:ISC2 認證在正確的時間做對的事情。它不僅僅是一張證書,也不同於供應商的證書。ISC2 證書認可資安人的專業知識,以建構具有韌性(resilience)和敏捷(agility)的資安策略;不僅保護我們的資訊和關鍵資產,還推動創新、驅動全球數位經濟的發展,並捍衛我們的國家。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
