资安议题逐渐受到重视,但资安工作要如何进行?人才规画与培训如何做?仍然令人头痛,特别是在资安人才方面,不论大型企业、中型企业与一人资安等环境,都有各自不同的需求,也许需要一个更明确的方法论来帮助企业。
关于资安人才的培育,一直都是政府与企业都关心的议题。在2016年底,向来以资通讯科系作为号召的国立交通大学,已经扮演抛砖引玉的角色,成立了针对资安在职人员的培训管道“亥客书院”,在上周举行的第14届台湾骇客年会上,他们的教学发展组组长的张智凯博士,也从这一年半的资安实务教育经验,提出他们的看法与具体建议。
企业常问,一家企业必须具备什么样的资安人才?乍看之下,这是一个很大的题目,不过他们这次提供了一个系统性的方法,让企业能够更容易去落实,那就是从规画企业专属职能地图做起,再因此规画人才需求。
至于企业要如何画出资安职能地图,张智凯也说明了具体的分类方式,就是从“工作性质”与“资安领域”来画分类型。
前者的项目,包括了制度设计、系统设计与实做、营运维护与渗透测试,而后者包含威胁情报、资料保护、认证及稽核,以及可靠性与可用性。
如此一来,将可基于“工作性质”与“资安领域”两个维度,以纵轴与横轴的排列组合方式,将资安职能进一步切分为16种面向。
在这样的资安职能画分下,对于不同规模、性质的公司,初估所需之资安人才,他们更是提供了简单又务实的建议。
例如,大型公司必须设立资安长办公室,负责工作性质中的制度设计。并可依据资安领域的4个项目,成立专责的工作团队,例如云端储存公司,就必需要有资料保护,以及负责可靠性可用性的团队,其他较不核心的技术和工作,像是威胁情报分析或渗透测试的部分,就可以考虑委外执行。
中型企业最好也要设立资安长办公室,或可由资讯长兼任,并下设一级资安部门,负责主导制度设计。不像大型公司的建议,是从资安领域的项目来成立团队,中型公司主要从工作性质项目的角度出发。像是建立营运维护团队,而系统设计与实做、渗透测试的部分,也可以考虑委外来执行。
在大型企业与中型企业之外,张智凯提到很多公司是一人资安的状况,对此,他建议延揽较具资安视野的人才,负责规画与营运的部分,其余技术项目就是靠委外来帮助。
通过资安职能地图盘点资安人才培训的面向
近一步来看,企业该如何帮助内部资安人才的培训?在此之前,先要了解资安课程的分类。
张智凯再次从资安职能地图谈起,因为这也是能用来盘点资安培训方向的工具。他表示,当中可画分出5种学程:例如涵盖制度设计项目的“管理法律专业学程”、关于威胁情报项目的“事故回应与处理学程”,以及渗透测试项目的“渗透测试学程”,另外还有两个维度交错而成的“网络与系统安控学程”,及“可靠性系统学程”。
以产业现况而言,一般产业可能缺乏专职资安人员,现有资讯人员也可能缺乏资安相关基础底子,因为在他们的训练过程中,没有人告诉他们资安是件重要的事。另一方面,高层缺乏资安思维,更是让员工不容易说服高层,毕竟资安领域的投资不容易看到的具体效益,没有事情才表示有效。因此,他们也针对高阶主管、资安人员与一般IT人员,提供资安课程规画的建议。
首先,不要以为老板就不用上课!其实老板的资安教育更不能等。对于高阶主管规画的课程来说,他建议,必须要学习风险控管,其次是资安政策制订。在他们的经验中,很多老板上完课其实就开窍了,接着让员工也来上课。在他的经验中,很多老板不是愿意,只是没有人告诉他资安很重要。
另外,针对资安人员的资安培训,像是威胁管理营运相关单位,主要可从学习事件回应与处理方面的学程开始,深入一点就是营运维护方面的数位鉴识概念实做、网络流量分析与检测,以及恶意程式检测实务。
至于一般IT人员的资安培训,由于没有太多资安方面的基础,因此从资安概念与资安新知开始学习,会更贴切一些,并要重视职务相关的单科,因为太深的内容不见得是他们要的,例如,要让写软件的人知道程式安全与系统渗透测试的事情,让网页开发的人,知道网页安全开发与网页渗透测试。目的是要让他们更有概念,才能在写程式时更懂得要注意。
另外,张智凯也分享了,过去一年半亥客学院的相关开课统计资讯,例如,在修课学员的产业统计上,以金融会计、网通产业、法人和公部门三种产业最多,但其他产业的比例则相差较悬殊。
在不同课程的修课人次统计上,最多的是网页渗透测试,其次为故应变与鉴识、系统渗透测试、程式安全、行动安全与虚拟化资安技术。
在资安人才规画与培训之外,张智凯也提到,骇客、学术与产业界虽存在着资安落差,但也都在资安领域努力,尽管彼此心态、目标可能存在很大差异,但但也能形成一个互利的循环系统。而亥客书院也期望利用学术界的长处,作为骇客界与产业界的桥梁,以协助缩短资安落差。
iThome△Security
I 相关 / Other
看上台湾虚拟货币法规宽松,中国虚拟货币交易管理App也要抢进台湾市场
虚拟货币资产管理应用程序BitUniverse创办人陈勇。 图片来源: 摄影 / 李静宜 各国对加密货币产业的监管不一,以亚洲地区加密货币发展较快速的日本、韩国、中国来说,为了遏阻利用ICO(首次代币发行)进行投机炒作
社交软件 Financial筹备处今正式成立,除揭露三大金融发展目标,也要招揽法遵、金融和懂消费者行为的人才
图片来源: 摄影/王若朴 社交软件台湾今(26日)宣布台湾连线金融科技股份有限公司(社交软件 Financial)筹备处正式成立,计划申请纯网银执照,同时揭露三大金融方向,包括加速普惠金融推广、扩大金融产业生态圈和促
实时热点8点56分,礼德财富官方客服回复董事长已失联。实锤毫不留情地砸向了一万...结合周五传出礼德财富老板跑路的消息。人们更有理由担心,礼德财富已经爆...累计运营资金84亿,运营了4年330天,广州P2P公司礼德财富而
鞋子也要开展览?英国博物馆鞋履乐与苦展览最后一站:北京三里屯太古里 推荐
7月26日至8月26日,英国维多利亚与艾伯特博物馆策划的《鞋履:乐与苦展览》(Shoes:PleasureandPain)亚洲巡展在中国内地的最后一站将来到北京三里屯太古里。《鞋履:乐与苦展览》是英国维多利亚与艾伯特博物馆给亚洲
法律法规网消息 骑士老板是谁他发布了什么声明。对于詹姆斯是什么态度为什么要感谢他的妻儿、詹姆斯对此是怎么回应的今日骑士老板丹-吉尔伯特发表了声明感谢勒布朗-詹姆斯对球队做出的贡献。根据此前的报道,詹