這兩天剛看過一篇文章提到了一些IT人所需要的學習方式應該是如何,主要是提供給科技公司訓練IT人員時之用。之所以會有這樣的文章,是因為近年IT Security已經成為每間公司IT部門最重要的任務,因為資訊科技的大躍進也造成資安攻擊日趨精密與繁盛,因此IT人員面對新的資安環境有必要做相對的改變與因應。
“IT Security is everyone’s job !” 過去資訊安全似乎理所當然是資訊部門的事,但現在資安攻擊已經無所不在,每個公司員工都是可以被利用與攻擊的漏洞或對象,因此資訊安全部再只是IT部門的責任,更是公司每一個人員工作的一部分,這表示資訊安全的基礎知識必須落實到公司每一個員工身上。
而對IT部門而言,有兩種選擇來提升IT Security 能力,一種是花錢找更多IT專業人員,但這會造成HR Cost上升,因為今天的IT安全人員供不應求,且IT安全是不斷進步的議題,所需安全人員又是必須具有一定的質與量,因此再公司成本承受力有限情況下,聘請新的足量IT安全專業人員並非是最佳選擇。
所以另一個方式就是藉由訓練員工的IT Security Skill來取代聘請額外的資安專業人員。這有幾個好處: 1). 降低HR成本. 2). 同時提升全體員工IT Security能力,達到一致姓. 3). 符合IT安全需要持續學習的特性,不可能永遠靠聘請新的安全專業人員來確保公司內部的IT Security隨時都能站在資訊安全防護的高點。
因此訓練員工的IT Security是發展整個公司資安基礎的起點,而不是靠聘用大量新的IT Security專員,而要訓練公司員工的IT Security技能,需要符合下面幾種學習需求:
- Expert-led instruction – 專家演講,針對最新的安全議題與趨勢讓員工可以隨時了解IT Security的專注點。
- On-demand Video – 數位學習,方便所有員工可以方便學習。
- Hands-on Learning – 做中學,讓員工可以把學習的IT Security實際運用在工作上,增進經驗與熟悉度。
- Brevity – 簡短, 讓員工有效率的學習,避免上課時間過長史學習掌握力下降。
- Accessibility – 可存取性,訓練教材方便員工從行動裝置或電腦網路等數位媒體存取。
這篇文章雖然說是以公司訓練員工的角度來說明IT Security的專業如何精進,但其實也符合一般組織或個人學習,最重要是這一套學習方式是要能適應持續演進的資安議題,所以有一套能夠與時俱進的不斷學習方法對IT人員來說是不可或缺的必要能力。
[Reference] (White Paper) The Bedrock of IT Security: It starts with training. - By Jim Zimmermann
2017年8月30日星期三
留言列表