台灣大哥大資通訊暨個資安全管理處副處長 陳嘉宏

「資安人員有大約7成工作時間不會直接應用到資安專業技術」這是每次陳嘉宏面試資安人員時一定會講的一句話。「資安工程師不只是學會滲透測試、弱點掃描,考張CEH證照。」他強調:反而要注重溝通、資料整理、簡報製作、上臺報告等能力。例如管理防火牆的資安人員,得定期分析系統紀錄,撰寫文字報告。尤其在金融業和電信業等受到主管機關高度監理的行業,行政作業比重還會更高。

資安工作是種典型的跨領域工作,7成工作不需要資安技術能力,陳嘉宏接著說,要勝任另外3成的專業資安工作,資安人員也不能只靠一兩項技能打天下,還需要在職中不斷進修,更新最新技術發展及業界案例。因此,台哥大資安團隊就十分看重主動學習意願和能力,尤其在面試畢業2年內的新手時,一定會問受試者是否有固定管道接受資安知識與新聞,反而不太注重學歷和科系。

陳嘉宏自身就是一個換跑道到資安的例子,他不是畢業於資安相關科系,而是電機系。他說,電機系課程包含通訊、資訊、IoT等技術原理,這些知識雖然不能直接用於資安工作,卻能作為學習資安專業知識的切入點。舉例來說,他在做資訊科技研究時,了解到資安人員會嚴格管制哪些資科做法。進入資安領域後,他便能以此為出發點,學習資安管制這些做法的原因、技術、程序等專業知識。雖然不是每一個人都像陳嘉宏是跨界工作,不過他強調,「只要你有學習能力,非本科系生也夠格成為資安人員」。如果不清楚從哪裡開始學習,他建議,可以從國內外產學界的資安職能地圖尋找。

陳嘉宏說,新手常問資安人員的職能範疇,最簡單的方法就是,從人力銀行職務介紹,開始了解國內資安職位的薪水區間、畢業科系、必備職能、當前職缺等資訊。

找到了幾個感興趣的資安領域,想要更進一步了解相關職能跟職涯發展可能性,他建議,查找美國NIST Cyberseek Project網站的職涯發展路徑圖。他表示,這張路徑路也是台哥大評估資安人員職務及薪資的參考,尤其,他更建議,對資安陌生的企業在雇用資安人員之前,要先花時間研究這份地圖。

這張路徑圖從網路、系統工程、財經及風險分析等資安領域出發,製作出了初階、中階、進階職務的職涯地圖,依照各領域及職位列出詳細職能、領域所需知識,以及在該領域崛起的技術。陳嘉宏建議,資安人員找到自己職務所需技術後,不只要閱讀相關知識,更要去查找相關開源工具來實際演練,以熟悉這些工具的設定跟操作方法。

教育部也參考了NIST Cyberseek地圖內容及臺灣資安環境,做出一份臺灣版資安職務地圖,定義不同階級資安工作的職能。陳嘉宏透露,像台哥大面試資安人員時,就會特別注重臺版資安職務地圖上的管理職能,也就是專案管理能力。他解釋,資安工作面向多且雜,資安人員必須妥善分配手中資源跟時間,還要懂得溝通當前遭遇問題、預計解法和所需資源,以適時向同事或主管尋求額外支援。

不過,陳嘉宏認為,臺版職務地圖美中不足的是,對高階職務的描述不夠詳盡。他說,金管會政策規定上市櫃公司都要設有資安長及資安專責主管,而這兩個職位的能力、職務、管轄範圍、企業中位階和角色,在教育部版地圖中則沒有明確定義。對想深入了解自己職能的資安長,陳嘉宏推薦,可以改參考金融研訓院的金融資安高階主管課程所定義出的關鍵能力。他先前在金融機構任職時,也擔任過此課程講師及顧問。

陳嘉宏說明,資安長作為管理職,需要規畫企業資安戰略,以台哥大為例,至少要預想到5年後的資安目標。為此,資安長對外必須了解全球資安發展趨勢、產業資安挑戰、法規發展情況,對內則需熟悉自家企業法遵及業務發展需求,還有企業倫理與責任。

顧好自家資安後,資安長還需要考慮委外廠商的資安管理,以免遭受供應鏈攻擊。他說明,攻擊者通常不會直接挑戰資安防護嚴謹的金融機構或大型企業,而是從防護相對薄弱的上下游廠商下手。關聯廠商淪陷,也有可能影響營運或公關。他舉例,近日統一超跟臺鐵的螢幕遭到入侵,就是委外廠商受攻擊帶給自家企業風險的例子。

 相關報導  

熱門新聞

Advertisement