Post on 13-Apr-2017
1
การพฒนาบคคลากรดานความมนคงปลอดภยไซเบอร (Cybersecurity) สรางบคคลากรดาน Cybersecurity ทแขงแกรง
โดย พ.อ.ดร.เศรษฐพงค มะลสวรรณ ประธานกจการโทรคมนาคม
รองประธาน กสทช.
CYBERSECURITY คออะไร Cybersecurity คอการใชเทคโนโลยและการปฏบตตางๆ เพอปองกนขอมลและระบบจากการจารกรรม
หรอการโจมต ซงรวมถงปองกนจากการใชขอมลอเลคทรอนคสโดยไมไดรบอนญาตหรอผดกฎหมายและการโจมตบนเครอขายคอมพวเตอร รวมทงจากไวรสคอมพวเตอรหรอโปรแกรมทไมพงประสงค (malicious code) Cybersecurity เปนสงทเราตองใหความส าคญและมความจ าเปนส าหรบทกองคกร เรมตนทการสรางบคคลากรดาน Cybersecurity กนตงแตวนนเพอพฒนาทกษะใหรบกบความทาทายทางดาน Cybersecurity ทจะเกดขนในอนาคต
วางแผนบคคลากรดาน Cybersecurity บคคลากรทท างานดาน Cybersecurity ทมทกษะและความเชยวชาญเฉพาะตวนนหายาก ไมเพยงพอตอ
ความตองการ ดงนนจงมการแขงขนกนอยางดเดอดเพอใหไดคนเกงมาท างาน การสรางทมงานทแขงแกรงนนเปนสงจ าเปน ซงท าใหองคกรตองคดวาจะวางแผนเรองบคคลากรดาน Cybersecurity อยางไรเพอใหมคนทใชในต าแหนงทเหมาะสม หนวยงานดานความมนคงปลอดภยไซเบอร จะตองมงมนในการพฒนาบคคลากรดาน Cybersecurity เพอใหมบคคลากรทมทกษะและเพยงพอตอความตองการในปจจบนและเปนการปทางสการเปนผน าดาน Cybersecurity ในอนาคต
องคกรควรจะมเครองมอ ทชวยใหเราเขาใจสถานะขององคกรมากขน เชนความเสยงดานบคคลากรดาน Cybersecurity แนวทางการวางเสนทางความกาวหนาสายอาชพ (career path) และการคดเลอกคนและรกษาคนเกงดาน Cybersecurity ใหอยกบองคกร ซงแนวคดส าคญๆ ส าหรบการวางแผนบคคลากรดาน Cybersecurity มดงน
การวางแผนบคคลากรดาน Cybersecurity (Cybersecurity Workforce Planning)
โมเดลวฒภาวะของขดความสามารถดาน Cybersecurity (Cybersecurity Capability Maturity Model)
วธปฏบตสความเปนเลศส าหรบวางแผนบคคลากรดาน Cybersecurity (Best Practices for Planning a Cybersecurity Workforce)
กรอบการท างานของบคคลากรดาน Cybersecurity (Cybersecurity Workforce Framework)
คมอการฝกอบรมดาน Cybersecurity (Cybersecurity Training Catalog )
2
เอกสารนมวตถประสงคเพอเปนแนวทางในการวางแผน สรางและพฒนาบคคลากรดาน Cybersecurity
เรมจากการปรกษากบฝายบรหารเกยวกบการสรางทมงานดาน Cybersecurity ดวยการพดคยสอสารกบบคคลากรเกยวกบแนวทางการพฒนาสายอาชพน รวมทงอาจจะบรณาการแนวคดเขากบการวางแผนทางกลยทธส าหรบอนาคตทอาจจะมความตองการบคคลากรดานนมากขน แนวทางจากเอกสารฉบบนมความส าคญทงตอระดบบรหาร ระดบผจดการทงในหนวยงานรฐขนาดใหญรวมถงองคกรเอกชน ซงเกยวของทงเรองทรพยากรบคคล ความมนคงปลอดภยของขอมล การจดการความเสยง ขอมลสารสนเทศและ Cybersecurity
Checklist ในสงทควรท า
- เตรยมตว ประเมนความพรอมขององคกรส าหรบการวางแผนบคคลากรดาน Cybersecurity ประเมนตวเองเพอดความพรอมขององคกรของเราในการวางแผนดานบคคลากร Cybersecurity
- วางแผน วางแผนทม Cybersecurity อยางไร ใชเครองมอส าหรบประเมนความตองการบคคลากรดาน cybersecurity ทงในปจจบนและอนาคต
ส ารวจความเสยงดาน Cybersecurity และมค าแนะน าเพอปดชองวางดานบคคลากรทม - สรางทม
ทม Cybersecurity ควรหนาตาเปนอยางไร อะไรทมบทบาททจะสรางทมดาน Cybersecurity ทดเลศ; รวมถงค าแนะน าส าหรบหาบคคลากรดาน
Cybersecurity - พฒนา
พฒนาบคคลากรของเรา มแนวทางการวางเสนทางความกาวหนาสายอาชพ (career path) เชอมโยงกบการฝกอบรมตางๆ รวมถงแนวคดในการรกษาบคคลากรทกระดบใหอยกบองคกร ประเมนความพรอมขององคกรส าหรบการวางแผนบคคลากรดาน Cybersecurity
ในระดบแรกสดขององคกร ตองจดท าวสยทศนเกยวกบ Cybersecurity และสอสารใหบคคลากรทกคนเขาใจ สรางผน าทมความเขาใจตอเรองน ซงจะชวยใหเราสามารถจดสรรทรพยากรตางๆ ไดอยางเหมาะสม เหนภาพรวม และความเสยงตางๆ ซงมความส าคญมากตอการเปลยนแปลงรปแบบของ Cybersecurity ขององคกร
เ พอท าความเขาใจว าองคกรมความพรอมเพยงพอหรอยง ดวยการประเมนบคคลากรดาน Cybersecurity ขององคกร เพอประเมนสถานะปจจบนขององคกรเพอวางแผนบคคลากรดาน Cybersecurity
3
ระดบวฒภาวะ (Mature) ของขดความสามารถการวางแผนบคคลากรดาน Cybersecurity
องคกรแตละแหงตางกมรปแบบของตนเอง บางแหงอาจจะไมไดตองการขดความสามารถการวางแผนบคคลากรดาน Cybersecurity ในระดบสง ดงนนองคกรควรรวาเราควรจะอยในระดบใด ทสอดคลองกบภารกจขององคกร โดยระดบวฒภาวะของการวางแผนบคลากร สามารถสรปไดตามตาราง ดงน
ระดบวฒภาวะของการวางแผนบคคลากร
ระดบหนง ระดบสอง ระดบสงสด ระดบพนฐานทสด ยงอย ในชวงเรมตน เชน อาจจะยงไมเปนระบบ ขาดการวางแผนทชดเจน
ระดบนคอเรมมมมมองดานการวางแผนบคคลากร Cybersecurity ท ง อ งค ก รแล ว และม ก า ร ว า งโ ค ร งส ร า ง พ น ฐ าน ต า ง ๆ เ พ อสน บ ส น น ก า ร ว า ง แ ผน พ ฒ น าดงกลาว
ระดบวฒภาวะสงสดเปนระดบทหนวยงานด าเนนการปรบปร ง กระบวนการท างานของตนเองและบรณาการเขากบสวนงานตางๆ และยงสนบสนนการท างานของบคคลากรไดทกระดบ
การวางแผนส าหรบทมดาน cybersecurity อยางมประสทธภาพ
เราตองมนใจวาองคกรของเรามการปองกนทดตอภยคกคามตางๆ ตอระบบสารสนเทศ มฉะนนอาจจะ
เกดความเสยงตอองคกร การลกลอบเขาถงขอมลทเกดขนบางทกไมไดเกดจากความลมเหลวทางเทคโนโลย แตมก
มาจากความลมเหลวของโครงสรางองคกรมากกวา ดงนนตองท าความเขาใจกบสถานะบคคลากรดาน
Cybersecurity ขององคกรกอนรวมถงกลยทธส าหรบวางโครงสรางการจดการบคคลากรในอนาคต
ขนตอนการวางแผนส าหรบทม cybersecurity นน ตองรวมถงการส ารวจบคคลากรดาน cybersecurity
ทมอย ทงเรองปรมาณงานวาเหมาะสมหรอไม และ career path ของบคลากร โดยมประเดนส าคญทควร
พจารณาดงน
1. ส ารวจความเสยงดาน Cybersecurity ศกษาเพอดวาองคกรมความเสยงดาน Cybersecurity เรองใดบางและรบไดกบผลทจะเกดขนจากความ
เสยงนนไดมากเพยงใด ยงมความเสยงมากกยงตองการบคคลากรดาน Cybersecurity มากขน Cybersecurity Workforce Planning Diagnostic จะชวยคนหาความเสยงขององคกรและระดบท
สามารถรบไดตอผลทจะเกดจากความเสยงนน และจะชวยปรบแผนบคคลากรดาน Cybersecurity ใหเหมาะกบความตองการ แตอยางไรกดกยงจ าเปนทจะตองมการวเคราะหและประเมนความเสยงขององคกรในเชงลกดวยโดยผบรหาร ผเชยวชาญดานทรพยากรบคคลและผจดการดาน Cybersecurity ดวย
4
2. ส ารวจบคคลากรดาน Cybersecurity ทมอย ผบรหารระดบสงตองวางแผนรวมกบผบรหารดาน Cybersecurity เพอก าหนดขนาดของทมทเหมาะสม
จ านวนต าแหนงทควรม ก าหนดทกษะของทม และรายละเอยดของงานทตองท า ผบรหารระดบสงปรบใชผลทไดเพอท าความเขาใจสถานะปจจบนของบคคลากรดาน Cybersecurity ของ
องคกร วเคราะหดานบคคลากรอยางสม าเสมอทกๆ ป นอกจากส ารวจทกษะของบคคลากรทมแลว ตอไปนเปนลกษณะของทม Cybersecurity ทมประสทธภาพสงทควรพจารณาดวย
ลกษณะของทม Cybersecurity ทมประสทธภาพสง
วองไว (Agile) – การโจมตทางไซเบอรเกดขนไดตลอดเวลา ดงนนทมตองพรอมรบมอและแกปญหาไดอยางทนทวงท
ท างานไดหลากหลาย (Multifunctional) – ทมตองมทกษะและความรทหลากหลายเพอรบมอใหไดกบทกสถานการณ
กระตอรอรน (Dynamics) - เพอตอบสนองตอภยคกคามตางๆ ทมตองเรยนรทกษะและกระบวนการตางๆ เพอความมนคงของระบบ
ยดหยน (Flexible) – ทมทแขงแกรงสามารถทจะปรบเปลยนและปรบตวเพอเผชญตอความทาทายทเกดขนไดตลอดเวลา
เวลาท างานทยดหยน (Informal) – ทมไซเบอรตองมชวโมงการท างานทยดหยนและตองมทกษะในการแกไขปญหาทเกดขนไดอยางทนทวงท
3. คนหาชองวางตางๆ : เมอประเมนความเสยงองคกรและตรวจสอบบคคลากรทมอยแลว ท าการส ารวจความตองการในอนาคตพรอมทงปดชองวางทม เชน
- ระบทกษะทตองการใหสอดคลองกบปรมาณงานและความตองการของทมรวมทงก าหนดจ านวนคนทตองการสรรหาเพมเตมทงจากหนวยงานภายในและภายนอก
- ดต าแหนงทวางและจ านวนคนทตองการสรรหาเพมเตม 4. จดการปดชองวาง สามารถด าเนนการได เชน
- พจารณาวาสามารถปรบต าแหนงหรอและทกษะตางๆ เพมเตมไดหรอไมเพอสรางบคคลากรดาน Cybersecurity
- จดการฝกอบรมใหแกบคคลากร - พจารณาดวาสามารถเพมงานทตองรบผดชอบเพมเตมใหแกบคคลากรทมอยแลวไดหรอไม
5
- พฒนาหลกสตรเพอสรางผน าดาน Cybersecurity - ประชมหารอกบกลมผบรหารทมอ านาจตดสนใจ เชน ผบรหารระดบสง ตวแทนฝายการเงน ฝาย
ทรพยากรบคคลและหวหนาฝาย Cybersecurity อยางสม าเสมอ - ก าหนดแผนงานดานบคคลากรใหสอดคลองกบงบประมาณขององคกรเพอสรรหาบคคลากรดาน
cybersecurity ไดอยางเหมาะสม 5. ตรวจสอบและอพเดทขอมล เมอท าตามทง 4 ขอทผานมาแลว ลองพจารณาอกครงวายงมอะไรทเราสามารถด าเนนการเพมเตมไดอกบาง ทม Cybersecurity ควรหนาตาเปนอยางไร
ตองมการจดท า Cybersecurity Workforce Framework ทก าหนดมาตรฐานบคคลากรดาน Cybersecurity ทงรายละเอยดของต าแหนง หนาทงานทตองท า ความร ทกษะและความสามารถทตองม ดงนนหากเราน าขอมลเหลานมาใชในการวางแผน รบรองไดวาเราจะไดทม Cybersecurity ทด
1. สราง Workforce framework ไดชดเจน 2. ก าหนดบคคลากรดาน Cybersecurity ขององคกรใหสอดคลองกบ National Standard: ท าให
แนใจวางานแตละต าแหนงนนสอดคลองกบ National standard แลวโดย
- เลอกจากรายละเอยดความเชยวชาญเฉพาะทาง ดาน Cybersecurity ทระบไวใน Workforce Framework
- เปรยบเทยบงานทตองรบผดชอบตอนนกบงานเพมเตมตามทไดแนะน าส าหรบแตละความเชยวชาญเฉพาะทาง
3. ก าหนดรายละเอยดของต าแหนงงานดานไซเบอรทตองการตามหวขอตอไปน ชอต าแหนงงาน (ระบ) ความเชยวชาญเฉพาะทางหลก (ระบ) ความเชยวชาญเฉพาะทางรองลงมา (ระบ) งานปจจบนทรบผดชอบ (ระบ) งานทไดรบมอบหมายเพมเตม (ระบ)
คณสมบตของผเชยวชาญระดบสงดาน Cybersecurity
สวนหนงทส าคญในการสรางทม cybersecurity คอตองรวามคณสมบตใดทเราตองการเปนพเศษเพอเตมเตมทมของเรา ไมวาองคกรเราจะตองการจางบคคลากรเพมบางสวนหรอตองการสรางทงทมนน การท าความเขาใจวาอะไรจะท าใหทมเราสมบรณเปนสงจ าเปนอยางยง เพอใหไดทมทใชจรงๆ
6
คณสมบตของผเชยวชาญระดบสงดาน cybersecurity แสดงดงตารางตอไปน โดยตองพจารณาวาแตละคนในทมมทกษะตามคณสมบตตอไปนหรอไมและสามารถทจะพฒนาทกษะเพอเตมเตมสงททมตองการไดหรอไม
นอกจากน ควรหาวธทจะสามารถดงดดผเชยวชาญดาน Cybersecurity ทมคณสมบตเหลานเขาสทม
ตวอยางค าถามส าหรบการสมภาษณผสมครงานทม cybersecurity มความสนใจ นกคดเปนระบบ นกแกปญหา มความคดสรางสรรค คณสมบต - สนใจงานดานไซเบอร
อยางแทจรง - เรยนรเทคโนโลยไดอยางรวดเรว - มความกระตอรอรนเมอพดถงเรองเทคโนโลย
- เขาใจความเชอมดยงของการท างานทงระบบ - ถนดกบเรองความซบซอน
-ร ส กท า ท า ยก บก า รแกปญหาตางๆ - มวธการเฉพาะในการแกปญหาตางๆ
- มแนวโนมทจะคดนอกกรอบ -ประเมนความทาทาย จากหลายๆ มมมองกอนด าเนนการ
ค าถาม ใหอธบายความสนใจและเปาหมายการท างาน -ในอก 2-3 ปขางหนา คดวาเ ร าม อง เห นต ว เ อ ง เ ป นอยางไร - อธบายชวงเวลาทคณไดแสดงความสามารถหรอใชความพยายามเพอใหบรรลเปาหมายนน
ใหอธบายเหตการณทคณไดเคยวเคราะหปญหาโดยท าความเขาใจสวนตางๆ - สวนตางๆ ทเกยวของนนคออะไร - ผลลพธทไดคออะไร
ใหอธบายเหตการณทค ณ ไ ด แ ก ป ญ ห า ทซบซอน - ตองใชขอมลอะไรบาง -คณตดสนใจแกปญหานนอยางไร -ผลลพธทไดคออะไร
ใหอธบายเหตการณทเคยเจอและตองแกปญหา - ปญหานนคออะไร - แลวแกปญหานนอยางไร
วธการสรรหาคนเกงดาน Cybersecurity กระบวนการคดสรรเพอหาคนเกงเขามาท างานกบองคกรมดงน ก าหนดต าแหนงงานทตองการ
- ท างานรวมกบฝายบคคลเพอก าหนดวาองคกรก าลงตองการสรรหาคนท างานดาน Cybersecurity
- ก าหนดคาตอบแทนทยดหยนได
- ก าหนดคณสมบตของคนทเราตองการทงในดาน ความชอบในงาน ความร ทกษะและประสบการณการท างาน
หาแหลงทจะสรรหาคนเกง
- ตดตอหนวยงานตางๆ ทเกยวของทสามารถเขาถงแหลงคนเกงได เชน วทยาลย มหาวทยาลย และการแขงขนดาน cybersecurity เปนตน
7
- จดล าดบความส าคญของเปาหมายและแหลงทเราจะหาคนเกงได เชน จากเวบไซตจดหางาน การแขงขนดานไซเบอร การแนะน าจากคนรจกและสอสงคมออนไลน
- ออกนอกสถานทเพอเขาถงคนเกง เชน จดงาน Job fair หรอไปรบสมครงานตามมหาวทยาลย
- ใชระบบ Employee Referral Program คอใหบคคลากรเปนผแนะน าผสมครเพอคดเลอกคนเกง
พฒนาสอและกลยทธการตลาด
- เตรยมรายละเอยด ขอมลเกยวกบขอดและความส าคญของต าแหนงนตอองคกร ในการประชาสมพนธเพอหาคนเกงมาท างาน
- เนนใหชดเจนถงความสามารถดานตางๆ ทเราตองการเพอดงดดใหคนเกงดาน Cybersecurity ทตรงตามความตองการมาท างานกบองคกร
- ออกแบบสอตางๆ ส าหรบท าการสงขอมลเรองรบสมครงาน เชน ขอความรบสมครงานหรอการสงขอความทางสอสงคมออนไลน
- ใชชองทางสอสารทสามารถสอสารกบผสมครไดโดยตรง เชน สอสงคมออนไลน เพอทผสมครจะไดเหนและรบทราบขาวสารการรบสมครงาน
คดเลอกและจางงาน
- สมภาษณผสมครงานจากแนวค าถามทใหไว
- เมอตดสนใจจางงานแลว ก าหนดคาตอบแทนทดงดดคนเกงและมการพฒนาอยางตอเนองเพอรกษาคนเกงเอาไว
พฒนาบคลากร รกษาบคคลากรในทกระดบใหอยกบองคการนานๆ ขนตอนงายๆ ทเปนแนวทางในการรกษาบคคลากรในทกระดบใหอยกบองคการนานๆ มดงน ระดบเจาหนาท ระดบผเชยวชาญ ระดบบรหาร - คนทเพงท างานดาน Cybersecurity - เนนเรยนรทกษะดานไซเบอร และท างานตามทไดมอบหมาย ปรบตวใหเขากบองคกร
- คนทมประสบการณและเคยท างานดานไซเบอรมาแลว - เนนความชดเจนของ career path และพฒนาทกษะโดยมการหมนเวยนงาน การอบรมเพมเตมและใหโอกาสในการควบคมและสงการ
- คนทมความช านาญเฉพาะดานไซเบอรและมประสบการณในงานบรหาร - เนนการพฒนาภาวะความเปนผน า การใชความช านาญเฉพาะดานทมใหเกดประโยชนตอองคกร
วธการรกษาบคคลากรระดบเจาหนาท -สรางบรรยากาศการท างานทเหมาะสม ยอมรบฟงความคดเหนทแตกตาง
ว ธ ก า ร ร ก ษ า บ ค ค ล า ก ร ร ะ ด บผเชยวชาญ - เนนความสมดลของชวตงานและชวต
วธการรกษาบคคลากรระดบบรหาร - ใหโอกาสในการฝกอบรมเพอพฒนาตวเอง
8
- เปดโอกาสใหมการสอสารจากบคคลากร - มการประเมนผลการปฏบตงานอยางสม า เสมอและรบฟ งความ เหนจากบคคลากร - มการดแลและใหค าปรกษาอยางใกลชด - ใหโอกาสในการเรยนรทกษะใหมๆ จากการฝกอบรม มอบหมายงานททาทายใหท ารวมถงม career path ทชดเจน - ยกยองบคคลากรทมผลการปฏบตงานทด
การท างาน -ใหโอกาสไดรบการฝกอบรมตางๆ -ใหมการสอสารแบงปนขอมลกนระหวางบคคลากรและองคกร - มอบหมายงานททาทายใหท า - ใหมสวนรวมในการตดสนใจตางๆ - พจารณาผลตอบแทนทเหมาะสม
-ก าหนดแผนการพฒนาทเนนเรองภาวะภาวะความเปนผน า -ยกยองผน าทประสบความส าเรจ - พจารณาผลการปฏบตงานและใหคาตอบแทนพเศษเพอจงใจใหบคคลากรอยกบองคกรนานๆ - สนบสนนผบรหารดานไซเบอรใหมการพฒนาความสามารถอยางสม าเสมอและก าหนดกลไกการแบงปนขอมล
ท าใหบคคลากรมความกาวหนาในงาน
เมอไดทมงานดาน cybersecurity ตามตองการแลว การพฒนาศกยภาพและการรกษาบคคลากรใหอยกบองคกรตางกมความส าคญพอกน จากผลการศกษา (ISC)2 Global Information Workforce study พบวา เมอป 2015 แรงงานดาน cybersecurity ไดมการเปลยนงานประมาณ 20% จงเปนเรองส าคญมากทฝายบคคลและผบรหารตองรวมมอกนหาทางทจะรกษาบคคลากรดาน Cybersecurity ไวกบองคกร โดยองคกรจะตองมการวางเสนทางความกาวหนาสายอาชพ (career path) พรอมทงสอสารใหบคคลากรเขาใจ เพอใหพวกเขาไดมเสนทางในการเตบโตไดในองคกร ตามผลงาน ทกษะ ความรและความสามารถทเพมสงขนของบคคลากร