2022/06/10
隨著烏克蘭戰爭的進展,美國的 CISA ( Cybersecurity and Infrastructure Security Agency ) 已針對政府機關及企業發出通知,對重大網路攻擊保持警戒,並做好對任何突發資訊安全事件做出快速反應的準備。以保護您的組織免受勒索軟體和其他快速且持續發展的駭客攻擊行為的危害。人們更希望政府組織及企業可以注意到這些警告,並採取相對應的預防措施。但全球各產業所面臨的現況皆然 – 資訊安全的人才及技能高度短缺。如果沒有合適的工具和人員,企業及組織光有意識和警惕性是遠遠不足以對付潛藏於各處的威脅。
2021 年 11 月 9 日的《網絡犯罪雜誌》(Cybercrime Magazine) 公布了一個令人乍舌的數字:根據統計,在2021 年所開放的資訊安全職缺的數量足以填滿 50 個 NFL 體育場。事實上,僅在美國,950,000 個工作崗位之中,有 465,000 名資訊安全的位置目前是處於空缺的狀態,比 2013 年增加了 350%。目前更有超過 106,000 個職位空缺需要 CISSP 認證,但全國總共只有大約 90,000 個 CISSP。資訊安全人員和專業知識技能高度缺乏,使得當前資訊安全監控維運中心 (Security Operation Center, SOC) 的工作人員,針對資訊安全事件的偵測、捕獲及反應,面臨到前所未有的壓力。
資訊安全專業人員高度短缺,導致資訊安全從業人員的疲於奔命
為什麼資訊安全人才如此短缺?在資訊系統安全組織和企業策略集團 (Information System Security Organization and the Enterprise Strategy Group) 的一份報告《2021 年資訊安全專業人員的生活和時代》 (The Life and Times of Cybersecurity Professionals 2021) 中,接受采訪的近 500 名安全專業人員中的許多人都提到了他們組織中對資訊安全專業人員的投資高度不足。近三分之一的受訪者認為他們的組織可以採取更多措施來解決技能短缺問題,59% 的受訪者表示,組織若有認清且正視所面臨的資訊安全問題,更應該投注更多的資源來處理其所面臨的困難與挑戰。 38% 的人表示,即使在如此高度緊張及高壓的工作之下,組織亦未提供合理的薪資待遇。而在這樣的環境之下,也導致近三分之一的資訊安全專業人員離開當前職位,以獲得更佳的薪資待遇。
如此的人力及技能短缺,導致資訊安全人員宜於奔命以致精疲力竭。在同一項調查中,62% 的受訪者表示資訊安全團隊的負擔越來越重,38% 的受訪者表示同伴中的職業倦怠程度都很高。 95% 的人表示,資訊安全技能短缺及其相關影響在過去幾年中並未受到正視及得到改善。長久累積下來,這些損耗以,生產力及關鍵知識的損失,將對企業造成很高的財務損失,甚至造成營運衝擊。
最後,疫情並未讓企業認清其所面臨的資訊安全問題。在疫情之下,企業被迫快速的轉向更脆弱的遠距工作模式,但是企業並沒有足夠的時間做好因應這種模式所需要的資訊安全規劃與建置。 50% 的資訊安全受訪者表示,這種新模式帶來了更大的資訊安全維運壓力。根據 ZDNet 上的一篇文章,隨著遠距工作的增加,更具挑戰性的是加速使用各式各樣的雲端服務。而雲端服務的安全管理服務,更需不同的資訊安全專業及技能。 39% 的受訪者表示,他們的組織正在努力填補雲端安全管理的職缺。
上市櫃公司需設置資安長、資安專責單位及資安人員
2021年底,台灣的金管會已完成「公開發行公司建立內部控制制度處理準則」第九條之一、第四十七條的修正中,規範上市櫃公司應配置適當資訊安全人力,並將以循序漸進方式推動辦理。在這個規範之下,企業需要循序漸進的設立資安專責單位,資安長,資安主管及資安專責人員。不管是政府及企業,都知道資安很重要,但是並非每個政府組織與企業都有配置資安人才。估計在未來的三年內,將有數萬名資訊安全人力的職缺需要被填補。
企業需要更多的自動化功能的協助
在資訊安全威脅和新攻擊不斷增加的情況下,組織如何應對人員短缺和資訊安全從業人員的疲於奔命?對於許多人來說,答案可能是讓他們的資訊安全基礎設施更加自動化,特別是在事件的通報與反應方面。這也是諸多資訊安全設備及解決方案提供商努力的方向。雖然自動化技術永遠無法完全取代人為判讀,但許多自動化的解決方案,可以人工智慧或是機械學習的方式,讓資訊安全維運人員以更少的人力阻止更多威脅,並專注於最優先的高風險問題,而不是一般的重複性任務。這樣做不僅可以增強組織的安全整體執行情形,更可以提高員工工作滿意度和員工留任率。
資料來源:臺灣證券交易所,Securonix site。