บทวิเคราะห์การนำ NICE’s National Cybersecurity Workforce Framework มาประยุกต์ใช้เพื่อเตรียมความพร้อมประเทศไทยเข้าสู่ AEC 2015 | ACIS Professional Center Co., Ltd.

บทวิเคราะห์การนำ NICE’s National Cybersecurity Workforce Framework มาประยุกต์ใช้เพื่อเตรียมความพร้อมประเทศไทยเข้าสู่ AEC 2015

Nov, 21

2897 Views
0 Likes

ปัจจุบันเทคโนโลยีด้านคอมพิวเตอร์ และ อินเทอร์เน็ต ได้ก้าวหน้าไปอย่างรวดเร็ว และ มีการใช้งานที่แพร่หลายทั้งในส่วนภาครัฐ เอกชน ประชาชนทั่วไปสามารถเข้าถึงข้อมูลข่าวสารผ่านอุปกรณ์พกพาที่เชื่อมโยงกับระบบอินเทอร์เน็ตตลอด 24 ชั่วโมง ได้อย่างรวดเร็ว ก่อให้เกิดประโยชน์ต่อองค์กร และ สังคม BYOD (Bring Your Own Device) และ BYOD (Bring Your Own Cloud) กำลังได้รับความนิยมอย่างมาก แต่ก็มาพร้อมกับความเสี่ยงที่เพิ่มมากขึ้นทั้งปริมาณและความสลับซับซ้อน โดยเฉพาะความเสี่ยงด้าน Cybersecurity ทั้ง 3 ด้านได้แก่ People, Process และ Technology ซึ่งจุดอ่อนที่สุดก็คือ “People” ดังนั้นจึงเป็นความท้าทายอย่างมากของทุกองค์กรในทุกประเทศ ที่จะต้องเตรียมความพร้อมในด้านบุคลากรให้มีความรู้ ทักษะความสามารถ ในการวิเคราะห์ วางแผน และ จัดการ ความเสี่ยงด้าน Cybersecurity ได้อย่างมีประสิทธิผล และ ประสิทธิภาพ

เนื่องจากงานทางด้าน Cybersecurity มีความหลากหลาย ทั้งในด้านหน้าที่ความรับผิดชอบ และ ความรู้ทักษะที่จำเป็นในการปฏิบัติงาน ซึ่งมีทั้งงารนในเชิงการบริหารจัดการ และ เชิงเทคนิค รัฐบาลประเทศสหรัฐอเมริกาได้ตระหนักถึงความสำคัญในการจัดการบุคคลากรด้าน Cybersecurity เพื่อช่วยเสริมสร้างความมั่นคงของประเทศชาติ ดังนั้นในสมัยประธานาธิบดี George W. Bush จึงได้ริเริ่มให้มีโครงการ Comprehensive National Cybersecurity Initiative (CNCI) ขึ้นมารับผิดชอบงานด้าน Cybersecurity ของประเทศ และในสมัยประธานาธิบดี Barack Obama ก็ได้สานต่อโครงการ และ เพิ่มความสำคัญในด้านการพัฒนาบุคลากรด้าน Cybersecurity มากขึ้น โดยได้จัดตั้งโครงการ National Initiative for Cybersecurity Education (NICE) ซึ่งมีเป้าหมายในการสร้างความตระหนัก การให้การศึกษา ฝึกอบรม และ พัฒนาบุคคลากรด้าน Cybersecurity ให้สามารถรับมือกับภัยคุกคามด้าน Cybersecurity ที่กระทบต่อความมั่นคงประเทศ เพื่อให้มีการกำหนดมาตรฐานกลางในการบริหารจัดการบุคลากรด้าน Cybersecurity ทาง NICE จึงได้ร่วมมือกับหน่วยงานภาครัฐ และ เอกชนต่างๆ ของประเทศสหรัฐในการกำหนดกรอบดำเนินงานการบริหารบุคคลากรด้าน Cybersecurity ที่เรียกว่า National Cybersecurity Workforce Framework ซึ่งสามารถนำไปประยุกต์ใช้ได้ทั้งหน่วยงานภาครัฐ และ เอกชน ในทุกอุตสาหกรรม


ในโครงสร้างของ National Cybersecurity Workforce Framework ได้มีการแบ่งความชำนาญพิเศษ (specialty area) ออกเป็นทั้งหมด 31 หัวข้อ และจัดความชำนาญพิเศษที่มีความเกี่ยวข้องกันให้อยู่ในกลุ่มหน้าที่เดียวกัน ซึ่ง NICE ได้จัดแบ่งกลุ่มหน้าที่ ของงานด้าน Cybersecurity ออกเป็น 7 กลุ่มหน้าที่ ดังนี้

  1. กลุ่มหน้าที่ จัดทำและส่งมอบ “SECURELY PROVISION”
    ประกอบด้วยความชำนาญพิเศษ ด้านการออกแบบ และ จัดสร้างระบบ IT ที่มั่นคงปลอดภัย
  2. กลุ่มหน้าที่ ปฎิบัติการและบำรุงรักษา “OPERATE AND MAINTAIN”
    ประกอบด้วยความชำนาญพิเศษ ด้านการให้การบริการ จัดการระบบ และ บำรุงรักษาระบบ IT
  3. กลุ่มหน้าที่ ป้องกันและต้านทาน “PROTECT AND DEFEND”
    ประกอบด้วยความชำนาญพิเศษ ด้านการระบุและจัดการภัยคุกคามต่อระบบ IT
  4. กลุ่มหน้าที่ ตรวจสอบ “INVESTIGATE”
    ประกอบด้วยความชำนาญพิเศษ ด้านการตรวจสอบเหตุการณ์ที่เกิดขึ้น หรือ การกระทำผิดที่เกี่ยวกับระบบ IT
  5. กลุ่มหน้าที่ เก็บรวบรวมและปฏิบัติการ “COLLECT AND OPERATE”
    ประกอบด้วยความชำนาญพิเศษ ด้านการเก็บรวบรวมข้อมูลเพื่อใช้ในการตัดสินใจ
  6. กลุ่มหน้าที่ วิเคราะห์ “ANALYZE”
    ประกอบด้วยความชำนาญพิเศษ ด้านการวิเคราะห์ ตรวจทาน และประเมิน
  7. กลุ่มหน้าที่ ควบคุมและพ้ฒนา “OVERSIGHT AND DEVELOPMENT”
    ประกอบด้วยความชำนาญพิเศษ ด้านการบริหาร กำหนดทิศทาง และ การพัฒนา

การนำกรอบดำเนินงาน National Cybersecurity Workforce Framework นี้ไปใช้อย่างเหมาะสม จะช่วยให้องค์กรสามารถกำหนดรายละเอียด วิเคราะห์ และคาดการณ์ องค์ประกอบหรือความต้องการที่เกี่ยวกับงานด้าน Cybersecurity ได้อย่างมีประสิทธิภาพ ตามขั้นตอนในภาพ

เพื่อให้มีความชัดเจนในด้านบทบาทของผู้ปฏิบัติงาน NICE ได้กำหนดรายชื่อตำแหน่งงาน (Job Role) ในแต่ละความชำนาญพิเศษ (specialty area) ดังตัวอย่างในรูปข้างล่าง

และในแต่ละความชำนาญพิเศษ (specialty area) สามารถกำหนดงานที่ต้องปฏิบัติ (Task) และ ความรู้ (Knowledge) ทักษะ (Skill) ความสามารถ (Ability) ที่จำเป็นในการปฏิบัติงานที่เรียกว่า “KSA” ดังตัวอย่างข้างล่างเป็น Task และ KSA ของความชำนาญพิเศษ (specialty area) ในกลุ่มหน้าที่ จัดทำและส่งมอบ “Securely Provision”



ทางทีมงาน ACIS Cyber LAB โดย ACIS Professional Center เห็นถึงความสำคัญในการพัฒนาบุคคลากรด้าน Cybersecurity ของประเทศไทยเพื่อรองรับกับการเติบโตทางเศรษกิจของประเทศ และเตรียมความพร้อมในการเข้าร่วมเขตการค้าเสรีอาเซียน (AEC 2015) ซึ่งจะมีการใช้และเชื่อมโยงระบบ IT ของประเทศสมาชิก เพื่อสนับสนุนกิจกรรมทางเศษฐกิจที่มากขึ้น จึงได้มีการประยุกต์ใช้ NICE’s Framework เข้ากับระบบจำลองยุทธ์ทางไซเบอร์ที่เรียกว่า “Cyber Range” เพื่อใช้ในการทดสอบ การอบรม ฝึกปฏิบัติ และการประเมินความรู้ ทักษะ ความสามารถ ที่จำเป็นในการทำงานใน Task ต่างๆ ตาม NICE Cybersecurity Framework โดยใช้วิธีการ “Gamafication” ด้วยกระบวนการ “CTF” (Capture The Flag) ในการผ่านด่านแต่ละด่านของ Cyber Range และเป็นการพิสูจน์สมรรถนะความสามารถของบุคคลากรที่เข้ารับการประเมินความสามารถได้อย่างแท้จริง


สำหรับรายละเอียดของการทำ Knowledge, Ability and Skill (KSA) Mapping และ การนำ NICE’s Cybersecurity Framework ไปใช้งานจริงในองค์กร ผู้เขียนขอกล่าวถึงในฉบับหน้า อย่าลืมติดตามนะครับ

Messenger
Messenger