Archived content
NOTE: this is an archived page and the content is likely to be out of date.
ปัจจัยสำคัญในการฝึกอบรมวิศวกรความปลอดภัยภายใน
ในพื้นที่ส่วนตัวและพื้นที่สาธารณะส่วนใหญ่มักพบปัญหาการขาดแคลนวิศวกรรักษาความปลอดภัย ถึงกระนั้น เพียงแค่บ่นเกี่ยวกับเรื่องนี้ไม่สามารถแก้ปัญหาได้ขั้นตอนแรกในการหาผู้สมัครที่เหมาะสมก็คือการกระตุ้นความน่าสนใจด้านความปลอดภัยของพนักงานจากนั้นปัจจัยสำคัญก็คือการสร้างระบบเพื่อรับรองและ / หรือฝึกอบรมพนักงานที่มีศักยภาพในด้านวิศวความปลอดภัยเพิ่มความตระหนักรู้ของตนเองเสริมสร้างแรงจูงใจและได้รับการสนับสนุนจากทางบริษัทฯรวมถึงผู้บริหารดังนั้นเพื่อพัฒนาทรัพยากรมนุษย์เราจะสร้างวัฏจักรการเจริญเติบโตในเชิงบวกได้อย่างไร?
ในปีคศ.2016เต็มไปด้วยความน่ารำคาญอันเนื่อมาจากการโจมตีไซเบอร์อีกครั้งบริษัทและรัฐบาลประสบความสูญเสียอย่างมากเมื่อเร็วๆนี้แรนซัมแวร์ (Ransomware) กลายเป็นภัยคุกคามผู้โจมตีเข้ารหัสข้อมูลของคุณหรือล็อกคอมพิวเตอร์ของคุณเพื่อแบล็กเมล์องค์กรใดๆจะต้องเสริมสร้างมาตรการรักษาความปลอดภัยทันที
เราจำเป็นต้องป้องกันตัวเองแม้ว่ามีบริษัทมากขึ้นกำลังสร้างทีมตอบสนองต่อความปลอดภัยของคอมพิวเตอร์ (CSIRT) แต่บริษัทมากมายพบว่ายากที่จะหาพนักงานรักษาความปลอดภัยที่สามารถปฏิบัติหน้าที่ได้ดังนั้น CSIRT เกือบจะไม่สามารถทำงานได้อย่างเต็มที่
ปัญหาการขาดแคลนพนักงานรักษาความปลอดภัยเป็นปัญหาร้ายแรงจากรายงาน”การวิจัยพื้นฐานเกี่ยวกับการพัฒนาทรัพยากรบุคลากรด้านไอที/การรักษาความปลอดภัย (พ.ศ. 2557) ของสำนักงานส่งเสริมเทคโนโลยีสารสนเทศ (IPA) ปัจจุบันขาดแคลนวิศวกรความปลอดภัยจำนวน 22,000 คนยังมีวิศวกรด้านความปลอดภัยที่มีทักษะที่ไม่คุ้นเคยจำนวนนี้เพิ่มขึ้นเป็น 140,000 คน
การฝึกอบรมวิศวกรความปลอดภัยภายในไม่ใช่เรื่องง่ายซึ่งง่ายที่จะกำหนดทักษะที่จำเป็นสำหรับเส้นทางอาชีพของวิศวกรความปลอดภัยและง่ายที่จะสร้างโครงสร้างการพัฒนาแต่ถ้าไม่มีผู้สมัครซึ่งเป็นปัจจัยที่สำคัญมากนี้ทุกสิ่งทึกอย่างจะไม่มีความจำเป็นต้องพูดถึงอีกต่อไป
มีบริษัทมากมายบ่นว่ายากที่จะหาพนักงานที่เหมาะสำหรับการรักษาความปลอดภัยด้านไอทีอย่างไรก็ตามถ้าเพิ่มความตระหนักรู้ของตนเองเสริมสร้างแรงจูงใจกระตุ้นความน่าสนใจและศักยภาพก็มีโอกาสที่จะขยายทักษะโดยรวมเพื่อใช้งานได้ในตำแหน่งต่างๆฟูจิตสึปรับปรุงรูปแบบนี้ให้สมบูรณ์แบบและปรับปรุงระบบให้ดีขึ้นจัดพนักงานรักษาความปลอดภัยอย่างระมัดระวัง
ก่อนอื่นการสร้างมโนภาพพนักงานรักษาความปลอดภัย
ในเดือนมกราคมปีคศ.2014 ฟูจิตสึได้เปิดตัว“โปรแกรมรักษาความปลอดภัยฟูจิตสึ”ซึ่งเป็นระบบเริ่มต้านเพื่อรับรองวิศวกรด้านความปลอดภัยเครือข่ายมีวัดถุประสงค์เพื่อค้นหาวิศวกรที่มีทักษะด้านความปลอดภัยวิเคราะห์ระดับทักษะของพนักงานรักษาความปลอดภัยในแผนกต่างๆและพัฒนาทรัพยากรมนุษย์เหล่านี้อย่างเป็นระบบและกำหนดพนักงานรักษาความปลอดภัยที่ดีเยี่ยมตามขอบข่ายแรงงานด้านการรักษาความปลอดภัยเครือข่ายNICEของอเมริกาและแหล่งที่มานๆ
พนักงานที่มีความรู้และความน่าสนใจด้านความปลอดภัยไม่จำกัดเฉพาะแผนก ICT ควรแสวงหาผู้สมัครในแต่ละแผนกประกอบกิจการภายในบริษัทฯโดยผ่านการกำหนดทักษะและระบบการรับรองพนักงานรักษาความปลอดภัยครอบคลุมแผนกการประกอบกิจการต่างๆจะช่วยเสริมความมั่นคงของบริษัทฯ
ฟูจิตสึจัดแบ่งพนักงานรักษาความปลอดภัยเครือข่ายเป็น3 ประเภทประเภทแรกเป็นนักวิชาชีพในสถานที่ทำงานก็คือวิศวกรรมระบบทั่วไปที่คุ้นเคยกับราการความปลอดภัย (SE) มีวัตถุประสงค์เพื่อเพิ่มความปลอดภัยในการให้บริการของบริษัทฯเป้าหมายขั้นต้นก็คือการรับรองนักวิชาชีพในสถานที่ทำงานหนึ่งคนในพนักงานแต่ละ50 คนจำนวนรวมนักวิชาชีพในสถานที่ทำงานเป็น560 คนแต่ละแผนกมีพนักงานประมาณ50 คนดังนั้นแต่ละแผนกจะมีพนักงานรักษาความปลอดภัย
รูปที่1: ประมาณการโดยขนาดบริษัทที่มาของพนักงานรักษาความปลอดภัยด้านไอที (การสำรวจIPA )
: รายงานIPA ประจำปีคศ.2014 "การค้นคว้าขั้นพื้นฐานสำหรับการพัฒนาทรัพยากรมนุษย์ด้านความปลอดภัย/ไอที"
รูปที่2: แนวความคิดนักวิชาชีพ
Masayuki OKUHARA
ผู้รับผิดชอบศูนย์ฯ
ศูนย์ป้องกันเครือข่าย
หน่วยกลยุทธ์ธุรกิจด้านความปลอดภัยเครือข่าย
บริษัทฟูจิตสึจำกัด
ประเภทที่สองก็คือวิศวกรที่มีความสามารถด้านความปลอดภัยขั้นสูงโปรแกรมนี้จะรับรองผู้เชี่ยวชาญ100 คน
ประเภทสุดท้ายเป็นผู้เชี่ยวชาญอาวุโสพวกเขาเป็นผู้เชี่ยวชาญด้านความปลอดภัยที่มีความสาสามารขั้นสูง Masayuki Okuhara ผู้อำนวยการศูนย์ป้องกันเครือข่ายของสำนักงานใหญ่ของฟูจิตสึระบุว่ากลุ่มคนดังกล่าวเป็น"คนที่มีความสามารถที่ยอดเยี่ยมเช่นเดียวกันกับซูเปอร์แฮกเกอร์สุ" ในบริษัทอื่นๆผู้เชี่ยวชาญอาวุโสมักจะอยู่ในระดับผู้เชี่ยวชาญซึ่งเป็นผู้เชี่ยวชาญระดับสูงสุดแต่ผู้เชี่ยวชาญของฟูจิตสึจะแบ่งระดับของตัวเอง "ผู้เชี่ยวชาญอาวุโสกล่าวสุนทรพจน์ในงานสัมมนานอกแผนกทำการวิจัยอย่างมืออาชีพงานของพวกเขาแตกต่างไปจากผู้เชี่ยวชาญทั่วไป" (Okuhara) หน้าที่ของพวกเขายังรวมถึงการวิจัยพื้นฐานที่กว้างขวางไม่ว่าจะเอื้อประโยชน์ต่อการดำเนินธุรกิจในฐานะบริษัท ICT ชั้นนำของญี่ปุ่นฟูจิตสึเตรียมที่จะค้นหาฝึกอบรมและรับรองผู้เชี่ยวชาญอาวุโส 20 คน
เมื่อเราเริ่มมองหาพนักงานรักษาความปลอดภัยในบริษัทฯเราพบอย่างน่าประหลาดใจว่ามีบุคลากรเกินความคาดหมายนักวิชาชีพในสถานที่ทำงานที่ผ่านการรับรองของเราเกินกว่าเป้าหมายสองเท่ามี1,300 คนผู้เชี่ยวชาญ140 คน ยังพบผู้เชี่ยวชาญอาวุโส7คน การสร้างระบบการรับรองและการสร้างมโนภาพบุคคลที่มีความสามารถที่กระจายทั่วทั้งบริษัทฯทำให้เราตระหนักถึงความสำคัญของความปลอดภัยและคุณค่าของพนักงานอีกครั้งหนึ่งในฐานะบริษัทแห่งหนึ่ง
ไม่เพียงแต่มีทักษะด้านความปลอดภัยเท่านั้น
วิศวกรด้านความปลอดภัยของฟูจิตสึควรจะมีทักษะอะไรบ้าง?ผู้อำนวยการศูนย์ฯ Okuharaกล่าวว่า:"เห็นได้ชัดว่าพวกเขาควรมีความรู้ด้านเทคนิคที่จำเป็นในคุณวุฒิการรักษาความปลอดภัยแต่นี่ไม่ใช่ทั้งหมด "ถ้าขาดทักษะด้านไอทีที่จำเป็นในการใช้งานจริงเช่นทักษะด้านเค้าร่างซอฟต์แวร์เครือข่ายและฐานข้อมูลพวกเขาจะไม่สามารถแก่ไขปัญหาได้
ในทำนองเดียวกันวิศวกรความปลอดภัยในอนาคตจะต้องมีทักษะที่ไม่ใช่ด้านไอทีหากไม่สามารถเข้าใจสถิติศาสตร์ได้จะไม่สามารถใช้เทคโนโลยีAI ในการใช้เพื่อความปลอดภัยได้อย่างเต็มที่ขึ้นอยู่กับวงการที่ทำงานอยู่ที่นั่นอาจจำเป็นต้องใช้ความรู้ด้านกฎหมายและการตรวจสอบบัญชีนอกจากนี้หากไม่สามารถเข้าใจสังคมได้อย่างกว้างขวางคุณจะไม่สามารถติดต่อสื่อสารกับผู้บริหาร
รูปที่3: แผนภาพแสดงทักษะพนักงานรักษาความปลอดภัย
นอกจากการค้นพบและฝึกอบรมวิศวกรความปลอดภัยแล้วฟูจิตสึยังมีจุดประสงค์อีกด้านหนึ่งเพื่อสร้างระบบการรับรองของตนเอง "เราโฆษณาระบบนี้ให้ทุกคนเพื่อเพิ่มความตระหนักถึงความปลอดภัยและกระตุ้นให้พนักงานของเรากลายเป็นวิศวกรความปลอดภัย " Okuhara ผู้อำนวยการศูนย์ฯกล่าวดังนั้นแนวทางของฟูจิตสึเพื่อสร้างวัฏจักรการเจริญเติบโตเชิงบวกเริ่มต้นจากการค้นพบบุคคลที่มีความสามารถพิเศษแล้วฝึกอบรมและรับรองเพื่อทำผลงานให้กับวิสาหกิจ
ค้นพบบุคคลที่มีความสามารถพิเศษโดยผ่านการแข่งขันภายในบริษัทฯ
วิธีการค้นพบพนักงานที่มีความสนใจสำหรับความปลอดภัยก็คือการแข่งขันภายในบริษัทฯซึ่งจะดำเนินการในระบบที่เรียกว่า "ไซเบอร์เร้นจ์ " ไซเบอร์เร้นจ์เป็นระบบเป็นระบบที่จำลองบริษัทในสภาพแวดล้อมแบบเสมือน
ไซเบอร์เร้นจ์มีหน้าจอเวิร์กสเตชันเพื่อควบคุมเซิร์ฟเวอร์เสมือนและระบบอื่นๆไซเบอร์เร้นจ์ยังมีหน้าจอแดชบอร์ดเพื่ออธิบายถึงการโจมตีของไวรัสโดยรูปแบบ3Dที่มองเห็นได้ซี่งมีผล CG
ผ่านหน้าจอแดชบอร์ดฟูจิตสึจะดำเนินการฝึกอบรมวิศวกรความปลอดภัยและจัดการแข่งขันด้านความปลอดภัยสำหรับพนักงานทั่วไป
การแข่งขันด้านความปลอดภัยมักจัดขึ้นปีละครั้งโดยมีพนักงานที่เข้าร่วม 20-40 คนแดชบอร์ดจะแสดงคะแนนของพนักงานในแบบเรียลไทม์การแข่งขันด้านความปลอดภัยจะช่วยให้ปัญหาด้านความปลอดภัยเฉพาะสำหรับพนักงานในระบบเครือข่ายไซเบอร์เร้นจ์ (Cyber Range) ของบริษัท
Okuhara กล่าวว่า "เรากำลังพยายามทำให้การแข่งขันด้านความปลอดภัยกลายเป็นกิจกรรมที่พนักงานสนใจและยินดีที่จะเข้าร่วมนั้นเรากำลังมองหาซูเปอร์สตาร์ใหม่เพื่อให้พวกเขาส่องแสงประกาย" เขาอธิบายต่อไปว่า "ถึงแม้ว่าถนนยังคงยาวมากแต่เราหวังว่าจะสร้างวัฒนธรรมที่มีภาคภูมิใจโดยวิศวกรความปลอดภัยฉันรอคอยวันนี้ที่จะมาถึง: เมื่อคุณถามนักเรียนระดับประถมศึกษาว่าคุณอยากทำอะไรเมื่อโตขึ้น?พวกเขากล่าวว่าอยากจะเป็นวิศวกรความปลอดภัย
สำหรับบริษัทที่ขาดแคลนพนักงานรักษาความปลอดภัยแม้ว่าขั้นตอนแหวงหาการสร้างมโนภาพและการฝึกอบรมพนักงานอาจจะเป็นความท้าทายที่สำคัญแต่ก็เป็นโอกาสที่จะเพิ่มความสามารถในการตอบสนองต่อความเสี่ยงของบริษัทฯนี่ไม่แสดงว่าง่ายที่จะทำได้คุณจำเป็นต้องจัดทำโปรแกรมนี้เป็นเรื่องการจัดการอย่างรอบคอบโฆษณาไปทั่วบริษัทฯแล้วประสบความสำเร็จนี่จะต้องพิจารณาถึงหลายสิ่งหลายอย่างรวมทั้งการสร้างโครงสร้างการวางแผนมาตรการเฉพาะและการสร้างระบบโดยผ่านICTs
นี่คือสิ่งที่ไม่เหมือนใครของฟูจิตสึเราหวังว่าจะให้การสนับสนุนแก่บริษัทผู้ใช้ต่อไปเนื่องจากเรามีประสบการณ์ในการค้นหาและฝึกอบรมพนักงานรักษาความปลอดภัยหลายๆปีรักษาทีมพนักงานรักษาความปลอดภัยที่มีเสถียรภาพโดยใช้"โปรแกรมรักษาความปลอดภัยฟูจิตสึ" และ "ไซเบอร์เร้นจ์ (Cyber Range )" และเครื่องมืออื่นๆ
เราจะให้บริการให้คำปรึกษาครบวงจรรวมทั้งความรู้การรับรองและมาตรฐานทางเทคนิคที่จำเป็นโครงการค้นหาพนักงานรักษาความปลอดภัยที่ไม่ได้หาพบนั้นวิธีการจัดการขึ้นอยู่กับขนาดของบริษัทการบริการฝึกอบรมด้านสื่อการเรียนรู้ของฟูจิตสึจะให้ทางเลือกแก่บริษัทภายนอกจัดงานสัมมนาโดยใช้ "ไซเบอร์เร้นจ์ (Cyber Range ) การโจมตีทางไซเบอร์แบบจำลองให้ฟอรัมสำหรับวิศวกรเพื่อแสดงความสามารถของพวกเขาผู้เข้าร่วมยังสาสารถเรียนรู้ถึงวิธีการแก้ไขปัญหาแรกและวิธีการใช้ในการปฏิบัติงาน
ในกรณีที่พนักงานรักษาความปลอดภัยของบริษัทขาดแคลนมากการใช้บริการของเราหรือใช้มาตรการและอ้างอิงวิธีการของบริษัทอื่นๆอาจเป็นทางลัดในการสร้างโครงสร้าง
สิ่งที่สำคัญที่สุดคือบริษัทฯสามารถให้ความสำคัญและยืนยันการฝึกอบรมและค้นพบพนักงานรักษาความปลอดภัยได้หรือไม่
รูปที่ 4: ไซเบอร์เร้นจ์ (Cyber Range ) - สภาพแวดล้อมเสมือนที่จำลองระบบภายใน
* ในเดือนมกราคมคศ. 2017 เนื้อหานี้ปรากฏขึ้นในTechTarget Japan
