https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

是該讓專業分工了

2008 / 09 / 15
編輯部
是該讓專業分工了
企業決策者,若有心提升資安工作,應該把資安工作獨立出來,讓「IT人」與「資安人」能明確區隔,專業分工。

過去在招募資安工作人員時,總是非常不容易找到所謂名副其實的「資安人」,如果將人員資格限制在例如有規劃建置ISMS的相關工作者,或是通過CISSP認證者,則人力銀行所提供的履歷表,平均一個月大約只有1、2件,但如果放寬前述條件,而只要IT管理背景者,則履歷表會稍微增加,大約每個月會有6、7件。
是條件太高?是求職者對於資安工作沒興趣?不瞭解?還是我們國家的資安人員養成非常缺乏?到底這些資安人才在哪裡?

企業需要什麼樣的資安人?
現在談資安管理,並不只是談防火牆、IDS等資安技術系統的建置,企業需要的資安人才,就以筆者所服務的公司來說,需要負責建置及維護資訊安全管理系統─也就是ISMS。不論是否是為了通過認證為目的,為確保資訊安全,有效控管資訊風險,需要有專責或專職人員持續的觀察並依據資訊風險內外在改變,隨時調整政策、程序甚至技術方案,並透過監控(Monitoring)、覆核(Review)、測試(Test)的管理作為來確保安全措施的有效性,同時也維護ISMS之有效性。
然而筆者在招募資安人員時,具備上述工作經驗人並不多,應徵者多是擁有IT技術背景,雖然具有IT背景對於資安管理工作有重要的幫助,但是對於上述工作,卻不一定能勝任。而在實務面談過程中,對於所謂資安管理也多是一知半解,對於資安管理工作整體面的認識有限。例如:我會詢問他過去有無實際經驗,為管理資訊安全規劃過什麼樣的作業程序及系統,之類的問題。結果顯示,資安系統方面多少都有接觸過,但也都侷限在防火牆、IDS/IPS、Anti virus等,作業流程規劃面幾乎沒有。
因此我們在招募時,也會特別去找有過會計師事務所、稽核工作相關經驗的人,這些人員對於資安管理作業面有較多的經驗,但雖然從事電腦稽核或輔導專案(例如建置ISMS,或輔導認證)相關工作,但對於IT技術專業來說卻並不如一般IT人才的深度或廣度,如果同時具有較深的IT技術Know-How,那可真是難得一見的人才,但這通常也是各大企業競相網羅的對象,所以也不容易找到。

與其等待現狀改變,不如嘗試去改變現狀!
資安工作不能等待,如果沒有需求,學校、教育機構並不會輕易去投資相關教育資源提供學生,等待這類學成的學生並不能滿足企業立即的需求,而委外服務又可能有成本與效益的問題,如果確實需要資安管理正職員工,在這些現實條件下,通常只能選擇自行培養資安人才,如果招募到具有IT背景而缺乏管理經驗的人,通常是在聘任之後,公司再安排管理相關教育訓練,例如CISSP,BS7799/ISO27001等訓練,然而這對企業而言是一項風險,員工的心態問題會影響教育訓練的成效,除非當事人有心轉型,否則這些管理知識,只是一堆密密麻麻的描述文件,並不容易讓這些知識在他腦袋裡發酵,並反映在實際工作作為之上,因為這跟看得到摸得到系統管理是截然不同的工作性質,但是如果當事人願意投入,對工作或對於其個人專業的成長是一個加值的契機。
對於具有會計師事務所或電腦稽核工作經驗的人而言,要加強IT專業訓練卻不是那麼容易的事,主要限制是在於實務經驗的累積,我所指的IT專業訓練是指例如作業系統、資料庫系統、網路設備等System Administration的知識與技能的訓練,即使完成訓練,基於權責分工,沒有機會接觸系統維運,沒有實務管理維運經驗,對於實務資訊安全管理工作的助益就相當有限,所以我也不認為有必要刻意去安排這些訓練,建議著重在例如專案管理、簡報、溝通技巧、流程規劃、法規、Best practice (e.g. ITIL)、CISSP等之類的專業訓練,透過這些專業知識,讓他可以去協調其他IT專業人士來達成資訊安全管理工作的目標。

IT部門主管的兩難!
就筆者所接觸過的經驗,多數公司組織的資安管理工作多只是IT工作的一部份,通過資訊安全相關認證的公司,也許有專職人員負責資安,但通常也是建置在IT組織下。也聽到絕大多數公司的IT資源通常是受到限制的,因此筆者之前所發表的文章- 「成功提報資安採購計畫」一文中,提到一些提報資安投資計畫需要注意的事項,但即使準備充分,一個提案被拒,有可能的狀況是預算的排擠效應。一般公司IT部門提出年度預算,其中必然包括例行費用,例如專線、軟體授權、設備擴充升級等,或是其他為商業需求的專案預算,組織越大,對IT系統越依賴,預算佔公司總預算可能相對越高,如果資安相關預算(包括人事、專案等)也編列於IT預算之中,當公司管理階層欲刪減預算時,對於IT主管而言是非常兩難的,例行費用是每天開門營業都需要付的,刪不得,為因應新的商業需求的專案預算,是要賺錢用的,也刪不得,資訊安全嘛,以後有錢再說吧!
以上並不代表所有IT主管都是如此,也有IT主管對於資訊安全非常的重視,但是最終給不給錢,卻不是IT主管可以決定的,對於資訊安全相關投資的決策是不是應該由他來決定?這是大家可以思考的問題。
IT主管就好像家庭主婦,總要先確保家裡的人都有飯吃,這是基本需求,至於吃的多好,多高檔,那就得看預算夠不夠再說,這是個現實問題,因預算排擠而被刪掉,是可以理解的,但是資安人員卻少了個直接向決策高層說明的機會。
但如果資安管理獨立於IT組織之外,會不會就沒有上述問題?不會,但是讓決策主管來審視IT與資安預算是在一個對等的基礎上,而不是資安預算只是IT預算下的一個項目,多些機會去爭取,增加溝通的機會,這是從預算的角度來看。

一人分飾兩角的工作,衝突與掙扎,很不健康!
就權責分工來看,IT人員兼職資安工作,本身就是利益衝突的,不論是就組織或個人而言,會併在一起,是限於資源,是對於資安工作的認知問題:資安就是管理防火牆、IDS等。但是就如同預算一般,公司對於IT資源總是希望越精簡越好,1個人當2個人用,當IT人員同時面臨系統工作:「系統明天一定要上線…」「系統當機必須馬上處理」以及資安管理工作:「系統上線,要經過變更管理程序…」,除非他打算整晚熬夜,資安?嗯,再說吧!
此外對於IT工作以及資安工作的績效指標(KPI)有些也是相互衝突的,例如網頁系統被攻擊的頻率,是資安工作一項需要關注的指標,然而這數字一高,對於IT人員管理績效卻是一項負分,所以當發生網頁被攻擊事件時,IT會不會即時通報此事件?我想應該會很掙扎的,這是人性,但是讓IT人員常常活在衝突與掙扎的工作下,非常不健康。

讓專業分工吧!
過去筆者曾經提到,管理工作需要程序的建立與落實,但為確保管理機制的落實,需要持續的監督與改善(Plan–Do –Check -Action),監督工作在大部分公司組織通常是歸屬於公司稽核或外部稽核、認證單位稽核等,但是這些監督工作都不具即時性,成本也相當高,同時這些稽核工作,基於其稽查時間限制,未必能全面性看出問題所在,因此有必要在公司內部需培養專人專職的資安(風險)管理的人員,而如前面所描述的,這類人才需要時間培養,除了相關專業知識,還需要瞭解公司維運狀況以及風險文化才能逐步上手。
此外,對於「資安管理」或目前大家也越來越常聽到的「資訊風險管理」,其實是可以找到明確定義的,事實上有些大專院校也有開設相關風險管理或資訊安全相關課程,只是因為企業需求的問題,這些學生畢業之後,不見得都能找到名符其實的「資訊風險管理」或資安相關工作,多還是IT管理相關的工作居多。
基於以上考量,企業決策者,若有心提升資安工作,是該讓資安工作獨立出來了,我想這除了在資安管理工作上符合權責分工的基本要求,另外也是確立資安人員專業角色。

結語
「IT人」與「資安人」能夠明確區隔,我想對於推廣資訊安全是有正面意義的─專業的分工,而對於有心提昇資安的公司組織來說,也比較容易取得人才,當然前提是他不是想把「資安人」順便當「IT人」來用。
而對於有心從事資安工作的人而言,資安工作可以是非常需要高度技術,非常專業,例如電腦犯罪鑑識、滲透測試、資安技術研發等,也可以管理為主的角色,例如針對ISMS規劃建置於維護工作。
我相信有明確定位,會讓有志從事資安工作或是現在應該改稱「資訊風險管理」的人有明確目標。因為這是一份非常專業的工作,誠懇建議企業決策者,您若有心提昇資訊風險管理來貫徹您的企業責任,是該讓專業分工了!