李局長從學界進入公部門,比較容易從宏觀角度看問題,針對資安難為,李局長指出了幾個體制上的問題:
1. 資安專責人員沒有職涯規劃及願景:
公務人員有很清楚的職涯發展,但沒有資安人員的。造成資安工作無法積累它的專業度,公部門本身已不易培養自己的資安專才,而在必須依賴廠商時,如何評估及挑到廠商的專業能量是否足夠,也成為一項挑戰?有時候一些能量夠的廠商,派來的駐點人員,又可能是專業度不夠的人。
資安專才不易培養,即使拿到證照後,如何培養相對應的實務經驗也是一個問題,而且資安能量仍需依賴許多實務的累積,單單光有證照不見得能代表專業能力就好。
如果要從根本解決資安人員的職涯規劃,必須先有資安專職人員的設立,輔以考試院規劃相關職能定義、銓敘部規劃相關職等、再配合院本部設立安全長(Chief Security Officers,CSO)或資訊安全長(Chief Information Security Officer,簡稱CISO),這樣就有一整個資安人員的職涯發展
機制,可以讓資安形成一個職業縱深。
2. 資安問題常常是環環相扣,一個入侵的事件可能牽扯到網路切分、VPN權限、伺服器帳號管理、資安監控機制等多個原因,甚至還可能有未被查覺到的隱藏性問題。這些問題的發生常常是多個互相關聯,單位內每個人的意見又都不同,如何整合不同意見、不同問題,並找出一致性共同的解決方案,實務上需要花費很多時間。
3. 資安出事了,外界看的不是你的反應是否適當,而是專注在「出事了」!
其實真正應該關注的,是在事件當下如何縮小事件帶來的衝擊,以及出事前做了哪些預防動作、事後做了哪些的檢討改善。
現今面對網路兇猛的威脅,不可能不出事。如果我們的社會大眾,關注的方向改為『下一步該怎麼辦?』,資安往前邁進的步伐勢必加快、加大。
將問題往上再拉,就指出資訊單位層級不夠高的問題。資訊單位一直以來,被定位於幕僚單位,這源於資料處理時代的編制。現在談數位國家、數位經濟,資訊單位至少應該是一級單位,這才具備協調的能力,並架在最高主管之下,畢竟對各局處而言,缺乏整合的誘因,對於任務的推動,就可以是統整,而不只是協調。局長更點出一個重要心態,所有資訊推動的過程,如果能融入各局處的原本業務,並共同分享這些成果,或許推動上會更順暢。
對於新科技應用的導入,柯市長可以接受失敗,然後再一步一步修改,這種態度對於執行新作法是很重要的,因此,能夠遇到一位支持新科技、新作法的市長,這對我們來說是很幸運的。
面對網路應用層面越來越深、越來越廣,數位政府、數位經濟將快速導入實體世界,政府與民間的確被迫要拉高視野、加快腳步,重新規劃符合未來需求的靈活體制!