現任(ISC)<sup>2</sup>聯盟委員的Howard Schmidt,曾經擔任過微軟CSO、eBay CISO及白宮電腦安全顧問,在經歷過多個實務職位之後,目前協助推廣各項資訊安全認證,希望能藉由這些資訊安全認證,落實並強化資安概念,讓所有電腦使用者都可以體會資訊安全的原則、做法及其重要性。
在他周遊列國參與與政府或企業對話的過程中,發現全球對於資訊安全的意識並沒有太大的差異,因此並沒有「西方國家較發達」的常見錯覺,相反的,就連資訊發展起步較晚的大陸地區,也有接近的資安概念。
「晚發展並不見得代表程度較差,」Howard表示,「因為資訊安全是一條佈滿迷霧的道路,後起的人可以從前人足跡中學得經驗,所以進步很快且更準確。」由於資訊發展本身就是一項不斷創新的過程,因此每個人每項技術都是在失敗中成長,在親身經歷多年資訊安全實務經驗之後,Howard更能體會經驗傳承的重要性,因此特別強調資安證照的重要性。
證照是有系統且連貫的訓練
 |
| ▲「證照是證明資安從業人員的能力,」現任(ISC)2聯盟委員的Howard Schmidt認為,「雖然沒有證照同樣也可以完成相同工作,但證照代表的是完整且有系統的訓練內容,也較能受到他人認可。」 |
目前專業知識或技能都不斷推動證照化,資訊安全領域自然也不例外。(ISC)2本身就推出SSCP、CAP與CISSP等資訊安全證照,其中CISSP甚至被稱之為資訊安全界的黃金證照,「事實上每項證照是用來評估人員素質與能力的指標,並不代表沒有證照就不能從事相關工作,」Howard認為,「但考取證照背後的意義就相當於該員已經吸收並記取經驗累積的成果,並接受完整且有系統的訓練,自然對資安有更完整的概念。」
事實上,亞洲地區對證照的認同程度也較低,這點從薪資比較上就可一窺端倪。亞太地區擁有證照的平均年薪為美金65,732元,沒有證照的員工則為美金61,103元,相差不過美金4,629元,但全球平均差距則為美金20,644元,更遑論差距最大的歐洲地區(美金27,364元)。對證照的認同度不夠,就自然不會刺激從業人員學習或進修,永遠都只能從經驗中摸索,而沒辦法藉由其他人的經驗學習更進階的知識。
亞太地區與全球有無證照者薪資比較圖
 |
| ▲亞太地區擁有證照與沒有證照者,相差不過美金4,629元,但全球平均差距則為美金20,644元。 |
資安架構由教育、政策及科技構成
為什麼(ISC)2與Howard如此在意證照的發展?「資訊安全不能只仰賴產品跟技術維護,」Howard鄭重地表示,「也不是用法令強制限制就能補強,還需要加上人員訓練及對資安的覺醒,才能建立起完整的資訊安全架構。」
如果說好的技術跟產品是一把寶劍,法令規章就是相搭配的武術招式,但如果使用者沒有基本的認知與素養,揮舞起那把寶劍只會傷到自己或他人,而沒有辦法達到抵禦外敵的功效。因此要能夠打造完整且穩固的資安架構,一定要兼顧這三者,不然企業中有可能因為使用者的疏失,而導致重要資料外洩,或是無法可管。
「使用者沒有觀念,就像是把帳號密碼公布在桌上,」Howard認為,「法令政策不夠完備,隨時就會讓人有可趁之機,設備不夠好就有可能發生系統漏洞。」而這三者也必須要平衡發展,不能有先集中發展某一項而忽略其他兩項,「資訊安全處在一個不平衡基礎上的話,隨時都會崩潰。」
資安是全球化趨勢
「資訊安全已經成為全球隱憂,」Howard根據目前情勢表示,「因為網路的連接越來越密切,我們可以發現有許多攻擊是由第三地發起,因此需要以全球化的角度看待整體資訊安全。」
其實就台灣最近幾起攻擊事件中可以發現到,攻擊發起者往往都不是台灣本地的伺服器或個人,有許多都是來自於對岸,雖然網路加速我們的通訊,但同樣的也暴露了更多弱點。「在這種狀況之下,不管是不是資訊工作者,都應該加強資訊安全意識,才能夠減少這些事情帶來的危害,」Howard如此期盼。