https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

資安人才培育評估

2009 / 03 / 20
王進程
資安人才培育評估

專業資安人才難覓,要如何招募專才?先分析培訓人才的幾項考量,再提供招募專才的建議,為您作上下期的介紹。

資安工作本身有一個特質,由於威脅不斷在改變,因此資安人員必須隨時充實專業知識以因應這些新的威脅,雖然在招募資資安人員時有機會就進行篩選適合人選,然而面對這些威脅變化,一般企業組織不可能無限制擴張人力,因此持續的培訓成為必然的需求,否則企業組織若期待有效管理資訊風險,則可能需要外界的資源,例如委外或聘用外部專家,自行培訓亦或是取得外部資源各有優缺點,但並非是互斥的,而是互補的方案,筆者認為,企業培訓一定人力的資安人員是必要的。
培訓需要考量幾個問題,1、現有的人員或是新招募的人員是否適合培訓?2、培訓所需的時間與商業需求是否能配合?。3、培訓所需要投入資源(例如訓練經費)的多寡?。
因此考量上述3個問題,培訓計畫必須仔細規劃,不僅是成本的考量,其成效如何確保,相信也是企業組織所關注的。此外在人員專業能力到位之前(或說完成訓練之前),企業組織仍可能是暴露在風險之下,因此階段性的外在資源也許是可以考量的補強措施。

人員是否適合訓練
在談如何培訓之前,資安管理主管需先評估員工是否適合培訓,這是一個很大的挑戰,人不像蘋果,可以有儀器量測甜度,以決定是否做罐頭或直接裝箱販售。一般企業人力資源也許有些分析工具可以提供協助,但是如果不適用,可以由一些關鍵行為來判斷員工是否具備執行資安工作所需職能,以下是一些關鍵行為範例來呼應相對應的職能:

一.工作管理
1. 能將工作適當地調整及安排優先順序 。
2. 妥善主動安排相關資源、人力,並能與內外部伙伴協調以利完成工作 。
3. 適當的運用一些工具來管理工作。
二.建立互信、合作團隊
1. 言行一致,信守承諾。
2. 尊重不同意見,並能彙整各方意見來發展解決方案。
3. 有效運用溝通技巧與工作伙伴互動,達成雙方共同目標。
*備註:上述僅供說明之用,並非完全代表資安人員所需之職能。

透過觀察一些關鍵行為的展現,再對照員工實際的工作產出,可以提供培訓計畫的參考依據,但如果是新成立之團隊,對於所屬員工之職能沒有觀察經驗或參考資訊,則可考慮將這些職能及關鍵行為轉換成問題,嘗試由其過去的經驗中找出可供參考資訊。
一般職能(Competency)定義,指的是一組知識、技能,行為與態度的組合,能夠完成工作所需要的能力或幫助提昇個人的工作成效。
關於職能的定義,一般有區分核心職能、專業職能、管理職能及一般職能,對於這些職能在企業人力資源單位針對不同員工角色,例如行政人員、管理人員等都會定義出一些適用的職能字典,例如「工作管理、客戶導向等」,但是對於專業領域所需的職能或者是技術,就比較少見,這些職能通常直接與工作專業領域有關,例如精算、資訊風險管理等,所以對於資安管理工作而言,定義員工所需職能除了專業職能之外,一般共通性的職能,有時甚至比專業職能更重要,例如專案管理、工作管理,少了這些職能,在推動資安工作時,就會變的非常困難,因此主管必須瞭解當下資安工作運作的成熟度,來決定員工職能培訓的重點。
在瞭解職能發展需求之後,實務經驗上,有些關鍵行為的呈現可能關係著培訓的成效,為筆者個人經驗僅供參考,讀者不應該以此為主要判斷依據。

員工慣用的行為模式不會因訓練而改變
一般訓練多是講師說明,學員聆聽,如果沒有去實作,過一陣子很容易就會忘記。此外一些習慣的養成,通常需要一段時間重複的練習。因此對於所學的實作是必要的要求。實作方式很多,直接運用在該員工工作上當然是最直接的,與其他同仁分享或請受訓員工提供其他員工較正式的訓練也是可以運用的。
不論訓練所提供的內容好或不好,適不適合該員工,在完成訓練之後,您可以觀察員工是否嘗試運用在工作上? 如果員工嘗試過而後又改變回原來習慣的工作方式,或是員工回到原工作崗位之後,對於所學沒有運用在實務工作上,還是使用其慣用的方式。透過分享也無法有系統的呈現所學的知識或方法。
上述問題主管可以試著找機會與員工討論改變的或未運用的原因。是訓練機構品質問題?還是員工相關基礎知識欠缺無法吸收該訓練內容?或者是新知識、技術沒有原來好?當時對於訓練的需求有所誤解?還是員工將訓練當福利來看?等等上述原因沒有釐清,對於未來培訓計畫的成效改善是沒有幫助的。
根據筆者經驗,大部分問題都容易解決,例如,您可以再仔細評估需求,選擇合適訓練機構或方式,但如果是員工心態問題,通常並不容易解決,因為你並沒辦法強迫他「上課要用心聽講」,主管可得要用其他方式解決「人」的問題。

面對或處理問題時無法快速連結或運用過去培訓所學
這關鍵行為典型的會在問題處理時呈現出來,問題處理需要經驗的累積及專業知識的支持,經驗可以加速問題的判斷及釐清,專業知識能擴大問題判斷的領域以及處理的品質,舉一個極端的例子,例如系統當機,經驗告訴你重新開機最快解決眼前問題,但是如果有足夠的專業知識,可以有能力更進一步的分析問題真正的原因(Root Cause),讓解決方案品質提升甚至降低問題再發機率。
在問題處理時,如果員工處理時間較一般常態或經驗值要久,或是在一個合理時間內仍找不到原因,可能是經驗不足,也可能是知識技能不足,訓練是可以改善一部份問題,但是如果將員工送去參加相關專業訓練,回來之後仍然是以「重新開機」來處理。無法運用過去所學的知識,事後也不會另找機會去分析找出根本原因,主管當然關注問題是否能解決,但就檢視員工「是否適合培訓」的角度上的,可以觀察員工是否嘗試運用其所學來解決問題,才有可能釐清,是同仁上課吸收不良,或是同仁其本身具備專業知識卻無法運用在問題處理上,那需要訓練的可能是問題處理的技巧,而非相關專業領域的培訓。
但如果是工作態度有問題,未來針對該員工的培訓方式及內容就需要調整。

只關心自己的工作不在乎周遭所發生的事
只關心自己的工作並不能說有什麼不對,特別是自身日常瑣碎工作已經讓人忙不過來時,周遭的事就很難去關注,但是許多經驗知識並非都可以透過訓練課程取得的,例如當別的部門在介紹該部門的工作流程時,如果可以瞭解,雖然跟自身工作沒有直接上下游關係,但是如果能花些時間去瞭解,在處理資安問題、風險評鑑等重要工作時,可提供非常重要的資訊。
資安管理工作需要非常敏銳的意識能力,才能發覺一些潛在問題而及早因應。許多資安事件事前都有一些徵兆,非常挑戰的是,這些徵兆並不全然可以透過一些工具來偵測,特別是關於人的資安事件徵兆。但員工對於周遭(至少企業組織或部門內)的事物漠不關心著,一些徵兆的出現,並不會引發進一步的思考這些徵兆背後可能的問題。即使他有所學,這外在的事件,並不容易促使他的參與,貢獻他的所學,即使主管或其他同事請他協助,也已錯失事件處理關鍵時間,培訓的專業知識封鎖在在他的身上,而沒有於工作上展現培訓成效。
以上僅是筆者個人的觀點,並非評斷員工是否適合的培訓的絕對要素,某些情況下,可能因為培訓的參與,而間接改變一些行為模式,例如上述範例,員工無法妥善進行問題處理,可能是問題方法欠缺,透過例如魚骨圖的運用,也許能幫助他將他把滿腦袋的知識作有系統的歸類及思考方式將其知識作妥善運用。主管必須更花心思瞭解員工,培訓才能發會最大的成效。