繼上期分享完培訓資安人才的幾項考量後,本期將介紹企業主,如何去培訓專業人才,為企業資訊安全加分。
人才培訓四步驟 在瞭解企業組織目標之後,以下以PDCA(Plan–Do–Check–Action)的架構來進行資安人員培訓的運作模式,筆者認為適用於全新成立或是已經運作一段時間的資安管理組織,差異只在於第一個階段(Cycle),新成立資安管理組織因為欠缺過去資訊可供分析,因此可能計畫時間會較久,訓練成效與預期會有較大差異。但隨著重複這P-D-C-A Cycle,應該能得到以下效益:
1. 培訓與預期成效差異縮小。
2. 搭配著工作調整,使得員工更適才適所。例如將不適合培訓的員工安排在較規律的工作項目(即有標準可依循的工作內容)。
3. 瞭解培訓所能達到的極限,能清楚界定委外服務的範圍,這包括內部資源,如有些資安事件調查,可由IT部門員工來協助。
上述的成效不見得直接反映在資訊風險的降低,而是人員有更足夠的能力去控制風險。例如安全監控的能力提升,可能將發現更多的資訊安全事件。在未針對這些事件加以控制之前,資訊風險事實上仍是存在,只是過去不知道,而現在知道風險在何處並知道如何去控制。
以下針對各個階段的一些重要活動簡要說明如下。
P 培訓計畫–Plan 各個組織在建立資訊安全專責組織會賦予不同的使命與責任,針對所賦予來擬定培訓計畫。當組織有新的使命與責任,則依照相同模式,針對新增的部分進行規劃,在此階段有些重要工作必須執行。建立人才職能清單主管在成立資安工作專責組織時,不論是調派既有員工,或是對外招募,都必須先針對組織內需要什麼樣的職能或技能先有初步的分析,例如:1.專案管理能力;2.工作管理;3.溝通與協調
職能清單只是為達成組織使命所需要的人才職能的基本需求項目,它需要主管定期去檢視與修訂。
職能差異分析 建立職能清單的建立有2個目的,除能作為一個基礎衡量現行員工職能的差異,另外也能作為對外招募篩選條件,以找出最符合需求的人才。另外如果限於員額限制無法對外招募,也能作為訓練的主題。
主管在分析同仁的職能分析前,應先依據組織內權責分工將職能依角色區分,加上為因應未來人員計畫性輪調、升職的儲備職能(如適用的話)。再將人選與各角色進行分析以安排適當的工作角色指派,及鑑別其職能差異。有些主管也會依據員工原有職能以及其個人意願來進行工作權責指派。
職能差異分析應有「客觀證據」的支持,我想就人性面來看,一般人都不太願意面對自己職能的問題,也可能根本對於自己的問題渾然不知,因此職能差異分析,並不是只是單純員工的自我評估,或主管的觀察,而需要一些前面所描述「關鍵行為」展現及其他「客觀證據」來分析,以免淪於主管或員工個人主觀判斷。
整合訓練計畫及排定優先順序 在取得職能差異分析結果之後,可以先針對這些差異的部分尋求可用的訓練方式,外部訓練機構套裝課程是一種,On Job Training、自我學習(研讀資料)都是,並非要付費的才是訓練。將訓練計畫安排出來之後,考量日常維運人力需求、經費與預算再針對訓練計畫進行篩選或是排定優先順序。
設定績效指標 前面已經不斷強調培訓的「成效」,為確保預期成效能達成,一些關鍵績效指標(KPI, Key Performance Indicator)便必須先跟被培訓員工達成共識,而這些KPI建議是在年度工作目標設定時,就必須與員工溝通因應新的工作分派,或改善既有工作成效所衍生的訓練需求所設定的KPI。盡可能避免在執行培訓計畫時才談KPI,這對員工可能產生壓力而影響訓練成效。如果是事後臨時新增的訓練需求,也應該與員工規劃臨時性訓練計畫時,就與員工談妥績效指標的衡量方式。
培訓計畫的KPI,應該跟關鍵行為有所關連,透過這些關鍵行為的呈現,以助於釐清培訓計畫之成效,以下是一些範例:
| 職能訓練項目(計畫) |
為關鍵行為展現設定KPI |
| 工作管理 |
1. 在xx年底之前,針對5個工作天以上的工作能運用工具,例如MS Project將工作進行安排。
2 上述工作預期完成日期與實際完成日期差異在2個工作天以內。
3 針對進行中的工作變動,能與相關人員溝通並留下記錄,例如會議記錄。 |
| 專案管理能力 |
1. 至少一個專案運用MS Project來管理並追蹤專案之進行。
2. 專案完成後資源預算差異在±1 0 %以內,如有差異,需要SPONSOR的書面授權。 |
| ISO27001專業知識 |
1. 在xx年底之前,完成訓練課程,並取得證照。
2. 在xx年底之前,完成XX政策之撰寫,並公告完成。 |
上述的KPI,如果能與企業組織績效管理制度相結合,因為能與薪酬、升遷相結合,通常其驅動力更強,但也因為訓練計畫與預期成效並不容易精準規劃,其比重必須謹慎考量。
即使企業組織尚未有績效管理的機制,上述機制同樣可以運用,作為PDCA的Check與Action階段討論的員工培訓成效的議題。
一個完善的培訓計畫,通常在爭取預算時,能給決策主管有較為客觀的決策參考,一般正常情況下,較容易通過,如過無法全數過關,至少知道可優先刪減之項目及順序。
D 執行培訓計畫–Do 當通過培訓計畫也取得相關資源,就應落實執行培訓計畫。執行完教育訓練,並不見的會立即見效,也就是員工是否立即運用所學並產生效益,這部分通常需要一段時間。此時有幾個活動建議可以執行。
檢視訓練目標與訓練方式的差異 當被培訓人員參與訓練時,該有的認知是必須清楚知道其參與訓練的目標,也就是需要獲得什麼樣的知識與內容,必要時得跟訓練單位提供者互動以取得更多資訊,一般而言教育訓練機構,所提供的訓練是適用一般性的內容,因為參與訓練的人來自各個組織,大家程度不同,因此不可能過於著重某些項目,因此在時間允許下,必須參與訓練的人主動提問,才有可能得到。甚至有時候是來自其他參與上課的人,而非講師,而這部分通常是最有價值的「實務經驗」,在教材上絕對找不到。
被培訓的人能事先清楚目標,在訓練過程中能有一個比較基準來評估這訓練方式是否能滿足預期的訓練目標,作為日後參考。
經驗分享,鞏固所學知識 許多學習到的知識,如果不能立即派上用場,或是實際工作並無法立即銜接,過一段時間可能就會漸漸淡忘,因此果能透過與其他同仁的經驗分享,來鞏固其所學,透過這個活動,被培訓員工需要再回顧訓練課程的內容,瞭解其內容才有辦法跟別人分享,這有助於將知識內化成他的能力,即使不完全瞭解內容,僅是「轉述」一次上課內容,也有助於加深其記憶。而這分享,也能將知識擴及其他同仁,不論其份量多寡。
建立訓練機構的品質資料庫 沒有參加過實際課程,並不太容易瞭解訓練機構的品質,透過員工經驗分享,對照員工實際的運用,如果能有系統的整理,可以建立訓練機構品質的資訊資料庫,作為日後選擇的參考。
C 檢視培訓成效–Check 在員工完成培訓計畫之後,主管宜檢視員工是否將所學運用於工作之中,依據當初與員工於KPI的設定協議執行Peer Review,以檢視其運用狀態,如有問題可即時提供協助,完成訓練,不代表員工就可以完全具備相關職能或技術。定期的Peer Review,對於事先未察覺工作態度有問題的員工可以產生某些程度的壓力,促使其運用所學知識,一般而言對於所學知識必須不斷練習一段時間才可能成為習慣,進而內化成自身的職能,例如,原本沒有使用MS Project 來管理專案工作進度,在首次運用該工具時,必然會因為不熟悉而感到不便,如果在未充分瞭解其運用工具效益或真正問題之前就立即捨棄,就失去了訓練的價值,浪費的不僅是經費,還有寶貴的訓練時間。
Peer Review 並不需要刻意安排一個形式,例如固定的會議、時間,建議是在Review其日常工作中來觀察他相關的關鍵行為有展現出來,這樣才能促成與工作結合。
若員工逐漸落實所學,透過定期的 Review,也有機會蒐集到KPI所需資訊,而不是在期末績效Review 才來寫回憶錄,此外如果與預期KPI有所差異,即早提供同仁協助有助於減少對期末於績效成果的歧見。
更重要的,除檢視訓練對於員工職能提升的狀態,更要收集在運用所學專業之後對於資訊風險的管控成效,一般可以對照關鍵風險指標(KRI, Key Risk Indicator)的變化來觀察彼此關連,有助於將訓練成效與風險管理成效產生連結,驗證其效益。關鍵風險指標例如:相同資安事件(如網站遭到攻擊)再發的數量。
A 擬定修正計畫–Action 前面提到資訊風險威脅不斷在改變,別忘了在訓練的同時,這些威脅並不會等在那邊,而人員訓練成效也可能因為人的因素而有所折扣,因此,在變數很多的情況下,檢視培訓計畫的執行成效,擬定修正計畫是必要的,作為後續人員培訓的計畫參考,或是尋求必要外部資源,例如:電腦犯罪鑑識,這職能並非短時間可訓練,取得外部資源有時比自行培訓要更來的有效。
擬定改善方向之後,接下來銜接到計畫階段,將這些方向、策略,轉換成可執行的計畫,而完成一個完全的PDCA Cycle.
結論 資訊安全的外在威脅隨時在變,訓練資源有限,人的問題也關係著訓練成效,透過上述PDCA的過程或方式來執行培訓計畫,能有下列好處:
1. 釐清員工是否適合培訓或需要培訓的職能。
2. 有系統的培訓,將訓練資源投入在適合培訓的員工身上,減少教育訓練資源的浪費。(備註:但無法避免人員跳槽的可能)
3. 與資訊安全管理系統PDCA的架構有一致性的作法,並緊密整合。
4. 拉近企業組織風險管理需求與實務差異。
5. 提升資訊風險管理控制的品質與有效性。
6. 最重要的是,透過持續不斷的PDCA,筆者個人認為還能得到額外的大禮,那就是對於資安趨勢分析的能力,因為趨勢分析能力,很重要的是有足夠的客觀證據為基礎,加上經驗的累積,以及專業的判斷,這對於希望能主動積極管理資訊風險而言是非常重要的職能,而這職能需要長時間的累積,並非一蹴可及。
「人」是在ITIL/IT Service Management管理機制中3個重要元素的其中之一。此外,資訊風險評鑑的過程中,「人員的安全訓練不足」也是關於「人」常見的脆弱點之一。因此人員培訓,不僅是為了讓資訊安全管理工作能更順暢,實際上應該說「資安人員培訓」是資訊安全管理系統中,管理人脆弱點的重要控制措施之一。