2018農曆年節後「資安」感觸: 台灣資訊安全人才

2018 / 02 / 26

編輯部

爭議多時的「資通安全管理法」，已經在去年看到草案出爐，也許大家的焦點，還是會放在行政檢查權上面。但從另外一個觀點，至少對台灣整體的資訊安全環境，又跨越了一步。只是背後凸顯出諸多台灣資訊安全的議題，尤其是台灣資訊安全人才的不足，這也是很根本性的問題。

今日您去問問大多數的高階主管，資訊安全這個議題重不重要，百分之九十九會告訴您類似的話語:「在這個資訊爆炸的時代，資訊安全當然是越來越重要，我們組織平日都有注意到這個議題…」。但等到編列年度預算時，類似的聲音就出現了:「現在經濟不景氣，所以我們要開源節流，我們會針對各位所編的預算，逐一審查。」於是就先向資訊單位砍一刀，沒有單位要出錢的再砍一刀，好不容易送到高階主管那，頭一句話就可以聽到哀鴻遍野的慘叫聲:「我們要有成本效益分析，請問做這一項它的績效在什麼地方呢? 為什麼我們一定要做? 有沒有同業不做的前例呢? 有法令規定一定要做嗎? 如果一定要做，有沒有不花錢的方法、還是局部做就可以了? 主管機關會不會真的開罰? 我們先來算算罰金多少，再來決定要不要做…等到這一連串的問題問完，滿腔的熱血也都澆熄了。

諸位大家千萬不要忘記一件事，這些高階主管的資訊化概念呈現的是相對性薄弱的，他們雖然知道可以利用資訊降低工作時間，但決策思考模式，還是會依照以前傳統的方式在進行，也正因為如此，才會把資訊安全這個議題，當成是商品計價模式在思考。

然而實際執行的這個階層的單位，除了我們之前曾經提到，資安專業人員的缺乏外，以前可能是專職於撰寫中、大型主機程式的人員，礙於工作環境的變遷，一下子變成資安人員角色，有可能連ISO網路七層架構都需要花些時間摸索，因此更遑論編出適當的資安計畫或預算。同時這群資安人員，還必須忍受寂寞的孤單，資安圈曾經流傳一句話「資安人在辦公室唯一的朋友只有稽核。」這句話真是道盡資安人員的辛酸，在許多場合，我們可以看到資安人員和資訊人員彼此針鋒相對的場景，資訊人員忙著上線，很多與安全有關的作業都先跳過，但資安人員則會基於工作上的考量而加以阻擋，這下子衝突就開始發生了。還有的是因為過去沒有做的，現在卻因為資安的需求而開始考慮。當一啟動全面要求改善之時，就會聽到一連串似曾相似的這種聲音:「過去也是這樣阿，為什現在要我來改?」、「我們需要全面性的調整嗎? 還是只要有一、兩個系統改，來檢查的時候做做樣子就可?」、「您沒有實務經驗啦，這種都是理想值。」甚至，某一天不小心誤觸地雷，還要有接受黑函的心理準備，「這個人難溝通，過於堅持自己的想法」、「愛表現、不關他的事還硬要出面」、「拿著雞毛當令箭」。但是，很不幸，一但真的出了事，馬上就有人說「如果這個東西很重要，當初就要堅持阿，一點專業能力都沒有。」、「要提前和我們講，或是要告訴我其他的解決方案」、「資安人員都不講，我們不知道該做什麼」。這些種種的聲音，對於資安人員來說，也許久了，麻木了，或者變得只有消極的面對，只求安全下莊，但這是我們所期望的資安人員嗎?

時代的跟進，對於更年輕的一代，雖說是依賴3C產品長大的，但是對於資訊安全的概念並未進步，別的不說，管他是不是機敏性資料或是一般性的資訊，都往網路上丟，說不定丟出的資料越奇特，還能夠換到更多的「讚!」。

資訊安全教育，理應從小培養，但是如果教學者，傳達者沒有認真重視與嚴謹地傳受，而只是拿些教條式的注意事項傳遞給下一代接棒者，當這一開始的觀念就不正確了，那將來要調整就會趨於越艱難。

「資安」，您是把它看成為一個工作? 還是一個志業呢? 當高度不同，我們所看到的視野就會完全不同，不過我們可以確定一件事，資訊安全人才的培養、培訓是不可以斷的，許多基礎的資訊安全工作的維護是需要平日的運作與全體人員一起有著相同目標的共識與合作。

資安人才資安