是該讓專業分工了

2008 / 09 / 15

編輯部

企業決策者，若有心提升資安工作，應該把資安工作獨立出來，讓「IT人」與「資安人」能明確區隔，專業分工。

過去在招募資安工作人員時，總是非常不容易找到所謂名副其實的「資安人」，如果將人員資格限制在例如有規劃建置ISMS的相關工作者，或是通過CISSP認證者，則人力銀行所提供的履歷表，平均一個月大約只有1、2件，但如果放寬前述條件，而只要IT管理背景者，則履歷表會稍微增加，大約每個月會有6、7件。
是條件太高？是求職者對於資安工作沒興趣？不瞭解？還是我們國家的資安人員養成非常缺乏？到底這些資安人才在哪裡？

企業需要什麼樣的資安人？
現在談資安管理，並不只是談防火牆、IDS等資安技術系統的建置，企業需要的資安人才，就以筆者所服務的公司來說，需要負責建置及維護資訊安全管理系統─也就是ISMS。不論是否是為了通過認證為目的，為確保資訊安全，有效控管資訊風險，需要有專責或專職人員持續的觀察並依據資訊風險內外在改變，隨時調整政策、程序甚至技術方案，並透過監控(Monitoring)、覆核(Review)、測試(Test)的管理作為來確保安全措施的有效性，同時也維護ISMS之有效性。
然而筆者在招募資安人員時，具備上述工作經驗人並不多，應徵者多是擁有IT技術背景，雖然具有IT背景對於資安管理工作有重要的幫助，但是對於上述工作，卻不一定能勝任。而在實務面談過程中，對於所謂資安管理也多是一知半解，對於資安管理工作整體面的認識有限。例如：我會詢問他過去有無實際經驗，為管理資訊安全規劃過什麼樣的作業程序及系統，之類的問題。結果顯示，資安系統方面多少都有接觸過，但也都侷限在防火牆、IDS/IPS、Anti virus等，作業流程規劃面幾乎沒有。
因此我們在招募時，也會特別去找有過會計師事務所、稽核工作相關經驗的人，這些人員對於資安管理作業面有較多的經驗，但雖然從事電腦稽核或輔導專案（例如建置ISMS，或輔導認證）相關工作，但對於IT技術專業來說卻並不如一般IT人才的深度或廣度，如果同時具有較深的IT技術Know-How，那可真是難得一見的人才，但這通常也是各大企業競相網羅的對象，所以也不容易找到。

與其等待現狀改變，不如嘗試去改變現狀！
資安工作不能等待，如果沒有需求，學校、教育機構並不會輕易去投資相關教育資源提供學生，等待這類學成的學生並不能滿足企業立即的需求，而委外服務又可能有成本與效益的問題，如果確實需要資安管理正職員工，在這些現實條件下，通常只能選擇自行培養資安人才，如果招募到具有IT背景而缺乏管理經驗的人，通常是在聘任之後，公司再安排管理相關教育訓練，例如CISSP，BS7799/ISO27001等訓練，然而這對企業而言是一項風險，員工的心態問題會影響教育訓練的成效，除非當事人有心轉型，否則這些管理知識，只是一堆密密麻麻的描述文件，並不容易讓這些知識在他腦袋裡發酵，並反映在實際工作作為之上，因為這跟看得到摸得到系統管理是截然不同的工作性質，但是如果當事人願意投入，對工作或對於其個人專業的成長是一個加值的契機。
對於具有會計師事務所或電腦稽核工作經驗的人而言，要加強IT專業訓練卻不是那麼容易的事，主要限制是在於實務經驗的累積，我所指的IT專業訓練是指例如作業系統、資料庫系統、網路設備等System Administration的知識與技能的訓練，即使完成訓練，基於權責分工，沒有機會接觸系統維運，沒有實務管理維運經驗，對於實務資訊安全管理工作的助益就相當有限，所以我也不認為有必要刻意去安排這些訓練，建議著重在例如專案管理、簡報、溝通技巧、流程規劃、法規、Best practice (e.g. ITIL)、CISSP等之類的專業訓練，透過這些專業知識，讓他可以去協調其他IT專業人士來達成資訊安全管理工作的目標。

IT部門主管的兩難！
就筆者所接觸過的經驗，多數公司組織的資安管理工作多只是IT工作的一部份，通過資訊安全相關認證的公司，也許有專職人員負責資安，但通常也是建置在IT組織下。也聽到絕大多數公司的IT資源通常是受到限制的，因此筆者之前所發表的文章- 「成功提報資安採購計畫」一文中，提到一些提報資安投資計畫需要注意的事項，但即使準備充分，一個提案被拒，有可能的狀況是預算的排擠效應。一般公司IT部門提出年度預算，其中必然包括例行費用，例如專線、軟體授權、設備擴充升級等，或是其他為商業需求的專案預算，組織越大，對IT系統越依賴，預算佔公司總預算可能相對越高，如果資安相關預算（包括人事、專案等）也編列於IT預算之中，當公司管理階層欲刪減預算時，對於IT主管而言是非常兩難的，例行費用是每天開門營業都需要付的，刪不得，為因應新的商業需求的專案預算，是要賺錢用的，也刪不得，資訊安全嘛，以後有錢再說吧！
以上並不代表所有IT主管都是如此，也有IT主管對於資訊安全非常的重視，但是最終給不給錢，卻不是IT主管可以決定的，對於資訊安全相關投資的決策是不是應該由他來決定？這是大家可以思考的問題。
IT主管就好像家庭主婦，總要先確保家裡的人都有飯吃，這是基本需求，至於吃的多好，多高檔，那就得看預算夠不夠再說，這是個現實問題，因預算排擠而被刪掉，是可以理解的，但是資安人員卻少了個直接向決策高層說明的機會。
但如果資安管理獨立於IT組織之外，會不會就沒有上述問題？不會，但是讓決策主管來審視IT與資安預算是在一個對等的基礎上，而不是資安預算只是IT預算下的一個項目，多些機會去爭取，增加溝通的機會，這是從預算的角度來看。

一人分飾兩角的工作，衝突與掙扎，很不健康！
就權責分工來看，IT人員兼職資安工作，本身就是利益衝突的，不論是就組織或個人而言，會併在一起，是限於資源，是對於資安工作的認知問題：資安就是管理防火牆、IDS等。但是就如同預算一般，公司對於IT資源總是希望越精簡越好，1個人當2個人用，當IT人員同時面臨系統工作：「系統明天一定要上線…」「系統當機必須馬上處理」以及資安管理工作：「系統上線，要經過變更管理程序…」，除非他打算整晚熬夜，資安？嗯，再說吧！
此外對於IT工作以及資安工作的績效指標(KPI)有些也是相互衝突的，例如網頁系統被攻擊的頻率，是資安工作一項需要關注的指標，然而這數字一高，對於IT人員管理績效卻是一項負分，所以當發生網頁被攻擊事件時，IT會不會即時通報此事件？我想應該會很掙扎的，這是人性，但是讓IT人員常常活在衝突與掙扎的工作下，非常不健康。

讓專業分工吧！
過去筆者曾經提到，管理工作需要程序的建立與落實，但為確保管理機制的落實，需要持續的監督與改善（Plan–Do –Check -Action），監督工作在大部分公司組織通常是歸屬於公司稽核或外部稽核、認證單位稽核等，但是這些監督工作都不具即時性，成本也相當高，同時這些稽核工作，基於其稽查時間限制，未必能全面性看出問題所在，因此有必要在公司內部需培養專人專職的資安（風險）管理的人員，而如前面所描述的，這類人才需要時間培養，除了相關專業知識，還需要瞭解公司維運狀況以及風險文化才能逐步上手。
此外，對於「資安管理」或目前大家也越來越常聽到的「資訊風險管理」，其實是可以找到明確定義的，事實上有些大專院校也有開設相關風險管理或資訊安全相關課程，只是因為企業需求的問題，這些學生畢業之後，不見得都能找到名符其實的「資訊風險管理」或資安相關工作，多還是IT管理相關的工作居多。
基於以上考量，企業決策者，若有心提升資安工作，是該讓資安工作獨立出來了，我想這除了在資安管理工作上符合權責分工的基本要求，另外也是確立資安人員專業角色。

結語
「IT人」與「資安人」能夠明確區隔，我想對於推廣資訊安全是有正面意義的─專業的分工，而對於有心提昇資安的公司組織來說，也比較容易取得人才，當然前提是他不是想把「資安人」順便當「IT人」來用。
而對於有心從事資安工作的人而言，資安工作可以是非常需要高度技術，非常專業，例如電腦犯罪鑑識、滲透測試、資安技術研發等，也可以管理為主的角色，例如針對ISMS規劃建置於維護工作。
我相信有明確定位，會讓有志從事資安工作或是現在應該改稱「資訊風險管理」的人有明確目標。因為這是一份非常專業的工作，誠懇建議企業決策者，您若有心提昇資訊風險管理來貫徹您的企業責任，是該讓專業分工了！

IT人員資安人員