GTM-MGX65ZP
Skip to main content
  1. 首頁 >
  2. 集團概要 >
  3. 更多訊息 >
  4. Feature Stories >
  5. 在內部培養資安工程師的關鍵因素

在內部培養資安工程師的關鍵因素

在許多私人企業和公共領域,常有資安工程師短缺的問題困擾。對此抱怨是無法解決問題。找尋合適候選人的第一步是激發員工對於資安的興趣。此後,關鍵的因素是建立一個體系,認證或培訓具有資安工程師潛力的員工,提高其自我意識,強化動機,並且獲得包括公司管理層的支持。為了開發人力資源,我們要如何建立這個積極成長的循環?

2016年受到充滿網路攻擊帶來的困擾,私人公司和政府單位遭到重大損失。最近,勒索軟體成為威脅,攻擊者對你的資料進行加密或者鎖定你的電腦,從而進行勒索。任何組織都必須立即加強資安政策。

我們需要保護自己。雖然越來越多的公司正在建立“電腦資安事故反應團隊”(CSIRT),但是許多公司發現,很難找到能夠勝任的資安人員履行職責。因此,CSIRT幾乎都無法充分運行。

資安人員短缺是一個嚴重問題。根據資訊技術促進署(IPA)發佈的“IT/資安人力資源發展基本研究”(2014),目前缺乏22,000名資安工程師。加上技能不熟練的資安工程師,該數字增至140,000名。

在內部培訓資安工程師並非易事。為資安工程師職業路徑確定必要的技能並且創建發展結構比較容易,但是如果沒有候選人這個非常重要的因素,則一切都無從談起。

許多公司抱怨:在內部很難找到適合IT資安工作的人員。然而,如果提高其自我意識,強化動機,激發興趣和潛力,則有機會擴展其整體技能,從而在各種崗位予以使用。富士通完善了這一模式,甚至對系統進行改進,安排詳細資安人員。

首先,資安人員視覺化

2014年1月,富士通啟動“富士通安全方案”,這是認證網路資安工程師的初始系統,旨在發現具有資安技能的工程師,分析不同部門資安人員的技能水準,系統地開發這些人力資源。根據“美國NICE網路安全勞動力框架”和其它來源對理想的資安人員進行定義。

具有資安知識、興趣的人員並非限於ICT部門,應當通過技能定義和認證系統在公司內的每個運營部門尋找候選人。資安人員遍佈各個運營部門將會加強公司的資訊安全。

富士通將網路安全人員分為三類。第一類是現場專業人員,即熟悉安全事宜的一般系統工程師(SE),旨在提高公司提供的服務安全性。最初的目標是在每50名員工中認證一名現場專業人員,現場專業人員的總數為560名。每個部門約有50名員工,因此每個部門將有自己的資安人員。

圖1:按照公司規模估計IT安全人員(IPA調查)
來源:2014IPA報告,“IT/安全人力資源發展基本研究”

圖2:專業人員概念

Masayuki OKUHARA
中心負責人
網路防禦中心
網路安全業務戰略單位
富士通有限公司

第二類是專家,即具有專業資安能力的工程師。該計畫將認證100名專家。

最後一類是資深專家。他們是擁有極高能力的安全專家。富士通網路安全戰略總部網路防禦中心主任Masayuki Okuhara將這一群體描述為“擁有高超能力的人,如同超級駭客”。在其它公司,資深專家通常屬於專家層,作為水準最高的專家,但是富士通的專家自行劃分層次。“資深專家在遠離部門的研討會上發言,進行極具專業性的研究,他們的工作與一般專家完全不同。”(Okuhara)。他們的職責還包括廣泛的基礎研究,無論是否有助於業務的實施。作為領先的日本ICT公司,富士通準備找尋、培訓和認證20名資深專家。

當我們開始在公司內尋找安全人員時,我們驚奇地發現人員超出了預期。我們認證的現場專業人員超過目標的兩倍,達到1,300名;專家達到140名;發現了7名資深專家。

通過創建認證體系以及將分散於公司的人才視覺化,作為一家公司我們能夠再次認識到資安重要性和員工價值。

不僅擁有資安技能

富士通的資安工程師應當具有哪些技能?中心主任Okuhara指出:“很明顯,他們應當具有資安資格所需的技術知識,但這並非全部。“如果缺乏在實際工作中使用的必要IT技能,例如架構、軟體、網路、資料庫方面的技能,他們就無法處理現場問題。

同樣地,未來的資安工程師也必須擁有非IT技能。如果不能理解統計學,則無法充分應用資安全方面的AI技術。根據所處領域,可能會需要法律和監察知識。而且,如果不能對社會有一個廣泛的瞭解,則無法與高層管理直接交流。

圖3:資安人員技能圖

除了發現和培訓資安工程師,富士通還有另外一個目的,即創建自己的認證系統。“我們向大家宣傳該系統,提高對於資安的認識,從而鼓勵我們的員工成為資安工程師。”中心主任Okuhara表示。因此,富士通的方法旨在創建積極的成長迴圈,從發現人才開始,然後進行培訓和認證,使其為企業作出貢獻。

通過公司競賽發現人才

發現對資安感興趣的員工的一種方法是公司競賽,在稱為“網路靶場”的系統中進行。網路靶場是一個系統,在虛擬環境中類比公司的系統。

網路靶場具有工作站螢幕,用於控制虛擬伺服器和其它系統,網路靶場還有一個儀錶盤螢幕,以具有CG效果的可視3D方式描述病毒攻擊。

通過儀錶盤螢幕,富士通對資安工程師進行培訓,對一般員工安排資安競賽。

資安競賽一般每年舉辦一次,20-40名員工參加。儀錶盤即時顯示員工的分數。安全競賽在公司創建的網路靶場系統上向員工提供獨特的資安問題。

Okuhara表示:“我們力圖使安全競賽成為員工感興趣並且願意參加的活動。我們正在尋找新的超級明星,讓他們閃耀光芒。”他繼續解釋:“雖然路還很長,但我們希望創建一個以資安工程師為榮的文化。我盼望著這一天的到來:當你問一個小學生長大後想從事什麼工作,他們說想當資安工程師。”

對於資安人員短缺的公司來說,雖然發現、視覺化和培訓員工的過程可能是一項重大挑戰,但也是提高公司風險應對能力的機會。這並非表示容易做到。你需要將該方案作為管理事宜精心制定,向全公司宣傳,然後取得成果。這需要考慮很多事情,包括創建結構,規劃具體政策,通過ICT建立系統。

這正是富士通的獨到之處。我們希望向用戶公司持續提供支持,基於我們發現和培訓安全人員的多年經驗,通過使用“富士通安全方案”和“網路靶場”等工具保持穩定的安全人員隊伍。

我們提供全面的諮詢服務,包括必須的認證知識和技術標準,找到未被發現的安全人員的專案,基於公司規模的安排方法。富士通學習媒體的培訓服務向外部公司提供另一種選擇,使用網路靶場舉辦研討會。類比的網路攻擊向工程師提供論壇,展示他們的能力。參加者還會學到處理問題的首選方法以及如何在實際工作中應用。

在公司安全人員極其缺乏的情況下,使用我們的服務或採取方法和借鑒其它公司的方法可能是結構建設的捷徑。

最重要的是,公司是否能夠始終重視和確認培養和發現安全人員。

圖4:網路靶場-類比內部系統的虛擬環境

* 2017年1月,本內容出現於TechTarget Japan。