想要轉職成為資安工程師,會很難嗎?在台灣,許多中小企業的MIS從基層開始磨練,工作內容包山包海,幾乎什麼都會、什麼都做,有時候還要開發一些程式小工具來改善窮忙的IT生活,可以說是點滿了全屬性「技能樹」。但每天忙得像停不下來的陀螺,薪資水準跟職涯發展卻相當受限?
數位化的時代趨勢下,不論學子、社會新鮮人或已經在職場上翻滾過的轉職者,面對千千百百種的資訊相關職類,或許還是有些抓不準自己的職涯走向,這幾年又有熱度竄升的資安議題躍至社會大眾面前,讓眾多資訊人或非資訊人趨之若鶩,紛紛期望能跟上未來趨勢,在資安領域發光發熱。
資安工程師、MIS、RD、IT,都幾?
在老一輩人或是不熟悉資訊職類的人們眼裡,往往將有關電腦的工作都當成「修電腦的」,實際上,同樣是與電腦為伍的工作卻可能大相逕庭,在此列舉幾個常見的資訊職類,淺談其職務內容與不同之處。
程式設計師-研發或開發程式就找他
一般稱作RD,編制於研發部門或開發團隊的職位,負責企業內外部系統、網站、韌體、應用程式、套裝軟體等開發設計,因實務上需存取或介接不同來源的資料庫,所以也要具備相關知識。
累積足夠資歷的程式設計師可以選擇從「碼農」畢業,升級為技術門檻較高的DBA資料庫工程師,負責資料庫架構設計和效能維護等,或是一躍而至開發流程前期,擔當分析、規劃項目的系統分析師,若擁有獨力Hold一個專案的本領,更可做為專案經理與使用者、有關單位及人員進行需求訪談,有效助力團隊溝通協調的角色。
系統工程師-開帳號或電腦問題就找他
俗稱的MIS,也是企業裡僅次於總務人員的萬能角色,舉凡系統平台、網路伺服器、資料庫設備等建置、整合或管理,再加上現今資訊架構中常涉及跨系統、跨平台與跨場域,諸如重擔通通都壓在系統工程師的肩頭之上。
頗具規模的公司可能會用部門別、系統別等劃分方式,使MIS像里長伯一樣負責權責範圍內的資訊事務,但小公司的編制不一定養得起複數以上的系統工程師,因此會看到MIS東奔西跑,一下幫忙開系統帳號的權限,一下幫忙修電腦(有時候只是使用者踢到電源線而已),在部門間忙得腳不點地的窘迫場景。
網路工程師-網路斷線或連VPN就找他
被稱為網管的網路工程師通常與系統工程師兼稱MIS,「往往什麼都管」地攬下大雜燴般的資訊業務,不過網管人員的工作主軸仍是網路設備的建設及管理,技術能力必須在一定程度之上,可靈活運用相關通訊協定,才能因應企業內外部需求和優化線路規劃,日常運營時也要監控網路流量並分析、統計,以利調整效能或處理異常狀況。
網管最常接觸的設備像是路由器、交換器等硬體,連接公司各部門及不同樓層的線路,所以和系統工程師一樣會奔波在部門間,解決網路斷線(有時候也是使用者自己踢到網路線了)之類的問題,而現在許多公司為了提升工作機動性,會配置無線基地台(AP)方便同仁使用筆電及行動裝置,也讓網路工程師的網管生活多了一些變數。(延伸閱讀:誰懂網管人的苦?資安鐵三角能幫上的五個忙)
資安工程師-守衛資通安全就找他
如果RD、MIS或網管人員沒有資安基本常識,很容易誤踩地雷,畢竟資安範疇涉及網路安全、系統安全、電腦安全、防毒系統,程式開發完畢也需通過弱點掃描,修補高風險甚至中風險的漏洞後,才可正式更版上線,故資安工程師有別於以上職類,但又與之息息相關。
反過來說,資安工程師也應具備基本的程式設計能力,了解網路架構、系統架構,並有管理防火牆、防毒系統的能力,方可避免紙上談兵,從實際面維持企業資安防護力,完善資安基礎建設。
哪泥?資安工程師居然是二轉職業?
資訊人的求職之路其實很廣,但您看出來了嗎?資安工程師與其他職類相比更像是一個「二轉職業」,無論從資安治理面或技術面而言,擁有程式、系統、網路等相關基礎的資安工程師更吃香,不過資安領域的相關專業職能也分得很細,想要順利更上一層樓,必須把握機會展現軟硬實力。
資安管理-台灣資安職缺市場需求量最大的人才
政府在2021年底發布的「上市上櫃公司資通安全管控指引」,提供企業資安的落實方向,也說明了治理是資安的根本,首先站在基本面訂立資安策略及目標後,才能開枝散葉地完成對應建置,但管理可不是動動嘴、寫寫文件就算做得好,此時具有實務經驗的資安管理人員便派上用場了。資安管理人員可就過往管理網路、系統的角度,執行實際面的資安治理,包含建立ISMS流程與文件、風險評估、辦理資安教育訓練課程、通過資安稽核或認證等。(延伸閱讀:面對資安法規So Easy 超實用課程在這裡)
資安防護-大多由網路工程師或系統工程師兼任
常態來說,駭客會從網路入侵攻擊系統、設備漏洞,故企業大多會指派最了解系統及設備的那群人,也就是原本的網路工程師或系統工程師兼任,負責事前的風險評估和弱點掃描測試、資安事件發生時的緊急應變,以及事後的追蹤檢討、改善。多數人以為資安防護的工作只需要設定一下防火牆、產出弱掃報告即可,卻忽略了後續溝通協調的過程,比如說菜鳥程式設計師不一定看得懂弱掃報告,如果摸不透安全漏洞如何修正,則需仰賴資安人員解釋說明,以順利完成修補並通過複掃。
資安稽核-避免發生「球員兼裁判」的弊端
訂定了資安規範及防護措施後,需要由稽核部門或會計師事務所等第三方資安稽核單位和人員,針對流程、管控措施進行評估、驗證,確保企業資安合規或符合認證標準。資安稽核人員雖非站在防護戰區第一線,但必須是一名「文武雙全」的資安人,畢竟制定且執行稽核計劃可不只是為了交付稽核報告而已,更需要看懂公司提供的資安文件、紀錄等,全盤解析企業資安的合規度,以合宜證據為基礎引領企業持續精進,不應為開缺失而開缺失,讓稽核淪為形式。(延伸閱讀:資安策略再精進 您要知道的定期稽核與風險評估)
滲透測試-屬於資安領域的進階職能
一般的資安防護歸類在Blue Team範疇,是企業裡肩負防禦入侵、偵測異常事件及隨機應變的運維角色,但面對攻擊手法變化多端的駭客組織,閉門造車並不合適。滲透測試將模擬攻擊行為,試圖攻破企業資安的堡壘,藉此找尋存在於系統中的安全漏洞與缺陷,擔任此職務的人員需具備技術能力,也要對資安架構全面了解,才能成為稱職的「假駭客」,並於滲透測試結束後給予防範惡意程式的建議。
逆向工程-資安職缺市場中門檻較高的稀缺職種
除了因應資安事件、修補已知漏洞外,也可藉由逆向工程解析惡意程式或系統軟體,確認其特性、行為及追查入侵途徑和來源,日常生活中常聽到的「遊戲外掛」就運用了逆向工程的概念,透過研究遊戲系統釐清程式背後的機制,開發可反向操縱遊戲的外掛程式,以達到預期目的。逆向工程常用於資安鑑識工作上,是更高階的資安研究員技能,也是近似駭客樣態的職能,但提醒有志於此的高手務必珍惜自己的羽毛,遵守相關法規和規定,以免觸法。
我想轉職!先來了解資安工程師的前景
國際資訊系統安全認證協會(International Information Systems Security Certification Consortium,ISC)在2023年10月底發布的資安人力研究報告指出,雖然這一年來全球資安人力的漲幅達到8.7%,但仍有400萬以上的職缺需求,顯現了人才市場的缺口未曾停止擴張。而台灣的資安人力也同樣緊缺,可以說是補了一個資安人才後,發現還要再補滿三個職位,才能迎擊來勢洶洶的惡意攻擊,根據2023 iThome 資安大調查結果來看,金融業、政府機關與學校、醫療業皆是急需填補資安人力缺口的產業。
雖然每年從資訊相關領域畢業的學子超過15,000人,但從事資安工作的人並不多,國立台灣科技大學為培育「資訊安全架構師」,於2023年第一學期新設「資訊安全科技與管理碩士班」,藉由鏈結產官學資源,期望強化資安學子的實務技能,為資安人才市場注入新血。非本科系的朋友也不用緊張,資安工作是跨領域的職類,就算不是資安背景,只要具備基礎概念與相關基本能力,求才若渴的企業也願意投入培訓資源,培養守護企業資安的優秀人才。
在ChatGPT、Claude等生成式AI襲捲全球的風潮之下,黑色產業鏈也馬不停蹄發展WormGPT之類的AI黑化工具,因此,為了因應未來更加多變的駭客攻擊,資安是為全球持續重視的議題,台灣更喊出了「資安即國安」的口號,號召各大企業與社會大眾「硬」起來。
人才需求擴張的趨勢將是資訊人轉換跑道的一大機會!建議有志朝向資安工程師發展的網管或MIS,規劃職涯時除了考取ISO 27001 LA、CEH等資安人員必備證照外,還要持續累積實戰經驗,穩扎穩打地朝進階專業人員的目標前進。
※ 本篇內文三張圖片可用於不營利之商用、私用,來源標註「鼎新電腦」即可。
※ 素材圖源:梗圖倉庫。
