企業面臨資訊安全威脅早已不是新鮮的新聞,不論是病毒、木馬、蠕蟲還是駭客,在企業e化日益普及的今日,網路安全的重要性更甚以往,面對的挑戰也愈來愈嚴苛,光是每年被揭露資料外洩的個案就足以讓人心驚膽跳。
捍衛企業內部重要資料人人有責,但最根本的防禦機制,除了各式有效的解決方案之外,另一個重點還是在於具備資訊安全專業技能的人才。包括台灣在內的亞太各國早已意識到要加強資訊競爭力,資訊安全絕對是首要任務,對於相關人才也需之若渴。
對此(ISC)2亞太區業務發展主管Clayton Jones分享了今年3月才公布的調查報告,並且提出了一些看法。
資安應內化到流程
他提到,目前網路駭客首要的攻擊對象不再是IT基礎架構,而是從應用工具或軟體著手,而這也是為什麼在這次(ISC)2的調查訪談過程中,許多人事或IT主管在招募人員時,著眼於應用安全以及存取控制等方面。「事實上,應用程式的每一個開發環結都應該考量到資訊安全,而不是在最後的測試階段才把資訊安全納入,如此一來,才不會花費更多的成本與時間調整架構,而且推出市面的時間也不會被延遲,如果在一開始就把資訊安全就考量進去,結果就會更不一樣。」
「而這也是(ISC)2推廣一系列CISSP(Certified Information Systems Security Professional)、CSSLP(Certified Secure Software Lifecycle Professional)、CAP(Certification and Accreditation Professional)以及SSCP(Systems Security Certified Practitioner)等資安認證的用心。」
Jones認為不只是管理基礎架構的資訊從業人員,研發甚至於主管都必須要對於資訊安全有所認知,才能在每個環結都做好資安的防範與保護。
資安人才需求若渴
(ISC)2公布的調查內容是關於2009年資安專業人員的薪資收入以及就業前景狀況分析,報告中指出,市場對於資安技術人才需求殷切,而且以亞太區的就業前景最為樂觀。幾項令人振奮的消息包括:2009年亞太區資安專業人員有51.4%獲得加薪,只有不到一成的比重在薪資及福利中受到影響;有68.4%以上的招聘主管打算在2010年招募新血,這其中透露打算招募三位或以上的資安人員比例就佔了53.4%;與去年的預測相比,2010年多數人較為樂觀看待就業前景。
報告中內容也提到,即使面臨困難的經濟環境,市場對於資訊安全專業人員的重視依然不減,希望能物色到適當技能和相當水平經驗的人選,這個情況在亞太地區更為顯著。目前,包括資訊風險管理(information risk management)、資安管理常規(security management practice)、稽核、資安架構與模組化以及電訊與網路安全等都有相當的人力需求。
Jones表示,企業需求人數與擁有資安人員專業技能的人才目前有著明顯落差,這反應出亞太區國家已經開始意識到專業資安人員的重要性,或許也是在此次受訪者中,從超過3000位從業人員的回應看出結果,資訊安全人員在這波全球經濟不景氣下,受到的影響相對較小的原因之一。
台灣重視程度 有待加強
在一般的印象中,亞太地區的市場發展幾乎落後歐美國家五年,這在資訊安全領域上也行得通,「這並不代表歐美的網站較為安全,而是成熟性的問題。重點是亞太區國家已經開始知道資安的從業人員的重要性,並且急起直追。」
不過,相較於亞太各國的努力,Jones看到台灣仍有很多空間可以成長,「雖然,資安市場的發展並不能只從證照數來推斷,但這或許也可以看出台灣與其他各國的差異性,根據(ISC)2的統計,截至2010年3月為止,(ISC)2具有66,000名成員,遍佈135個國家,共頒發了71,000份證書,其中超過10,000名專業人員來自於亞太地區,台灣則約莫有230名會員。在這230會員之中,考過CISSP共有214名、CSSLP有4名、CISSP-AP有3名、CISSP-MP有3名、SSCP有10名。」
Jones提出(ISC)2的統計分析圖作為參考,從文章中的兩張圖示中可以看出,亞太區包含日本、韓國以及新加坡等地擁有(ISC)2資安證照數遠遠超過台灣。
(ISC)2在台合作伙伴晨宇資訊總經理黃蕙菁分析,台灣IT人員普遍對於英文考題就懷有畏懼,在過去的經驗中IT人員上完課程卻不考試的比例也不低,她認為,應該回歸到專業來看待資安證照,而不是在語言上就產生排斥。
「政府的推動力量也是一項關鍵,」Jones提到,新加坡以及香港等地都對取得證照者提供全額或部分的補助,這對於IT從業人員是項很大的激勵。
Jones接著表示,「這次來台也希望能造會政府單位,希望透過政府的力量,來加強資安證照的推廣,畢竟資訊安全的重要性日益攀升,企業內部具有更多資安專才,才能因應技術以及環境上的挑戰。」