企業面臨更嚴重的資安嚴峻風險,最重要的資安技術與資安人才缺口該如何迎頭趕上?當資訊安全成為企業邁向永續的剛性需求,政府也從法規面積極督促企業組織,導入更多「資安人才」來拉高企業的資安防禦力。政府大動作掀起市場搶人大戰,初估資安人才缺口高達五千人。全台最大資安服務商安碁資訊總經理吳乙南建議,企業可以透過員工在職進修,以及與第三方專業資安服務商合作,及早將資安防禦策略化被動為主動。
金管會加大力道 全台資安人力缺口破五千人
有別於隨機出現的黑天鵝,灰犀牛指的是有跡可循的潛在危機,而資訊安全正是威脅著企業能否兌現永續承諾的「灰犀牛」,當兩噸重的灰犀牛向你衝來的時候,企業能夠全身而退嗎?
為此,金管會力推「上市櫃公司資通安全管理措施」,將上市櫃公司分為三級,要求第一級115家在111年底、第二級1387家在112年底設置資安長及資安人員,市場預估相關人力需求高達五千人,但反觀大學端並沒有相對應的資安科系來產出人才,供需嚴重失衡。
再加上,俄烏戰爭經驗中發現,當前駭客攻擊不只是可以單兵作戰,更進化到一個動作就能發阻斷服務攻擊(DDos),但攻防端卻需要經過頻寬監測、流程監控、攻擊判斷、流量清洗及恢復服務等步驟,攻防不對等,讓防守方至少需要多出三到四倍人力。人從哪裡來?安碁資訊總經理吳乙南認為,大學目前尚無資安科系,且缺乏實務經驗,無法成為企業資安即戰力,「在職進修」才能快速補足人才缺口。
理論+實戰經驗 安碁學苑為企業量身培訓資安人才
安碁資訊從兩年前開辦「安碁學苑」,協助多家企業包班進行員工教育訓練,導入正規資安意識、日常維運防駭及危機處理等程序;隨後,再針對垂直面的應用,包括企業資安韌性的攻防演練、滲透測試的攻擊手法等專業面向做加強;近半年,面對市場對資安人力需求急劇攀升,客製產業特性專屬課程,以回應企業資安專才不足的需求。
「我們常常很多駐點工程師,做一做就直接被挖角了」,吳乙南笑著說,也一語道出企業對資安人才需求孔急。吳乙南強調,資訊安全是不斷升級進化的動態學習歷程,沒有終止的一天;安碁學苑的成立,提供企業員工隨時可以進修的機會,唯有越多人接受資安教育訓練,才真正有助於提升整體產業的資安防禦力。
除了理論,資訊安全攻防等同作戰,實戰經驗更加寶貴。吳乙南指出,安碁資訊服務全台最多、逾300個客戶,等於擁有最多元的場域,並累積最多的實戰經驗。經由大量的情資與案例分析,可以提高資安人員判斷精準度,越精準判斷能力才能縮短反應時間,協助企業將災損降到最低。
這些實務經驗與場域會同步與安碁學苑的學員分享外,學員也能與第一線技術人員交流經驗;同時,學苑還會針對不同屬性的企業,客製相對應的課程,希望經由教育訓練,在企業內部資訊人員現有的技術能力上,疊加安碁資訊的資安專業,為企業強化資安韌性,讓企業組織在永續營運管理綜效上,挹注穩定的動能。
喝牛奶不必養牛 專業資安服務商深化組織防禦力
回歸到產業日常維運,以製造業為例,光是定期更新數百、甚至上千台的端點、機台及產線作業系統,如此龐大且瑣碎的工作,幾乎佔據企業內部IT人員的工作量。再加上,無預警的勒索病毒、釣魚程式或是阻斷式服務攻擊,駭客只要發動其中任何一項,防守方就必須啟動日誌分析、事件鑑識、情資比對等多重作為,從至高點做通盤評估與判斷,遠超過一般企業內部員工或是設備商的專業。
「真的有必要為了擠牛奶,而養一頭牛嗎?」吳乙南建議,選擇客戶量最大、事件涵蓋範圍最廣,且經過認證的專業資安服務商所提供的全年無休SOC監控平台服務,可大幅助力共同協防公司資訊安全,確保企業邁向永續。