จากบทความในฉบับที่แล้วเราได้ทำความเข้าใจเกี่ยวกับกรอบดำเนินงานการบริหารบุคคลากรด้าน Cybersecurity ที่เรียกว่า National Cybersecurity Workforce Framework ของประเทศสหรัฐอเมริกา ซึ่งมีส่วนช่วยให้องค์กรเข้าใจถึงองค์ประกอบที่สำคัญในการวางแผนพัฒนาบุคคลากรด้าน Cybersecurity ให้มีความรู้ ทักษะ และ ความสามารถ ในการช่วยป้องกันภัยคุกคามทางไซเบอร์ที่นับวันจะมีจำนวนที่เพิ่มขึ้น และ ซับซ้อนมากขึ้นโดยลำดับ

บทความฉบับนี้ ผมขอกล่าวถึงแนวทางในการใช้ National Cybersecurity Workforce Framework นี้ในรายละเอียด ที่องค์กรสามารถนำมาประยุกต์ใช้เพื่อตอบสนองความต้องการบุคคลากรทางด้าน Cybersecurity

จากการที่ NICE’s National Cybersecurity Workforce Framework ได้มีการแบ่งความชำนาญพิเศษ (specialty area) ออกเป็นทั้งหมด 31 หัวข้อ และจัดความชำนาญพิเศษที่มีความเกี่ยวข้องกันให้อยู่ในกลุ่มหน้าที่เดียวกัน ซึ่งทาง NICE ได้จัดแบ่งกลุ่มหน้าที่ของงานด้าน Cybersecurity ออกเป็น 7 กลุ่มหน้าที่ ดังนี้

1. กลุ่มหน้าที่ จัดทำและส่งมอบ “SECURELY PROVISION”
   ประกอบด้วยความชำนาญพิเศษ ด้านการออกแบบ และ จัดสร้างระบบ IT ที่มั่นคงปลอดภัย
2. กลุ่มหน้าที่ ปฎิบัติการและบำรุงรักษา “OPERATE AND MAINTAIN”
   ประกอบด้วยความชำนาญพิเศษ ด้านการให้การบริการ จัดการระบบ และ บำรุงรักษาระบบ IT
3. กลุ่มหน้าที่ ป้องกันและต้านทาน “PROTECT AND DEFEND”
   ประกอบด้วยความชำนาญพิเศษ ด้านการระบุและจัดการภัยคุกคามต่อระบบ IT
4. กลุ่มหน้าที่ ตรวจสอบ “INVESTIGATE”
   ประกอบด้วยความชำนาญพิเศษ ด้านการตรวจสอบเหตุการณ์ที่เกิดขึ้น หรือ การกระทำผิดที่เกี่ยวกับระบบ IT
5. กลุ่มหน้าที่ เก็บรวบรวมและปฏิบัติการ “COLLECT AND OPERATE”
   ประกอบด้วยความชำนาญพิเศษ ด้านการเก็บรวบรวมข้อมูลเพื่อใช้ในการตัดสินใจ
6. กลุ่มหน้าที่ วิเคราะห์ “ANALYZE”
   ประกอบด้วยความชำนาญพิเศษ ด้านการวิเคราะห์ ตรวจทาน และประเมิน
7. กลุ่มหน้าที่ ควบคุมและพ้ฒนา “OVERSIGHT AND DEVELOPMENT”
   ประกอบด้วยความชำนาญพิเศษ ด้านการบริหาร กำหนดทิศทาง และ การพัฒนา

เราสามารถนำกลุ่มหน้าที่ของงานด้าน Cybersecurity ทั้ง 7 กลุ่มใน National Cybersecurity Workforce Framework มาใช้เป็นแนวทางในการทำ Knowledge, Ability and Skill (KSA) Mapping เข้ากับตำแหน่งงานต่างๆ ด้าน Cybersecurity โดยช่วยให้องค์กรสามารถวางแผนการจัดการทรัพยากรบุคคลตลอดทั้งวงจรชีวิตได้อย่างมีประสิทธิภาพมากขึ้น ดังรูปที่ 1

รูปที่ 1 : Human Capital Management Lifecycle

โดยมีกระบวนการหลักประกอบด้วยสี่ขั้นตอนที่องค์กรสามารถนำมาปฏิบัติเพื่อนำ Framework นี้มาใช้ได้อย่างเหมาะสม ดังในรูปที่ 2

รูปที่ 2 : The Four Steps

ซึ่งแนวทางในการปฏิบัติในแต่ละขั้นตอนมีรายละเอียดดังต่อไปนี้

STEP 1: การกำหนดตำแหน่งงาน และ บทบาทหน้าที่ของบุคคลากรด้าน Cybersecurity (Define Cybersecurity Roles)
โดยในขั้นตอนนี้องค์กรสามารถนำตำแหน่งงานที่ได้มีการกำหนดไว้ใน Framework อยู่แล้วที่เรียกว่า General Role มาใช้ได้เลย หรือ อาจจะมีการเพิ่มตำแหน่งงาน และ บทบาทหน้าที่ ที่สอดคล้องกับความต้องการที่เฉพาะเจาะจงขององค์กรก็สามารถทำได้ โดยมีขั้นตอนในรายละเอียดดังนี้

1. “Compare” เปรียบเทียบตำแหน่งงานด้าน Cybersecurity ในองค์กรกับ General role
2. “Develop” พัฒนาตำแหน่งงานด้าน Cybersecurity ที่จำเป็น เฉพาะเจาะจงสำหรับองค์กร
3. “Validate” ตรวจสอบว่ารายละเอียดของตำแหน่งงาน กับ Task และ KSA statement ของ Framework
4. “Apply” ประยุกต์ใช้ Framework เข้ากับส่วนงานอื่นๆ ในองค์กร เช่น Training development

ตัวอย่าง General Role ที่ระบุไว้ใน NICE’s National Cybersecurity Workforce Framework ดังรูปที่ 3

รูปที่ 3: General Role in NICE’s National Cybersecurity Workforce Framework

โดยที่ในต่ละ General Role จะมี Template ที่ระบุรายละเอียดเช่นความชำนาญพิเศษ (specialty area) ที่จำเป็น ดังรูปที่ 4

รูปที่ 4: Sample Cybersecurity Role Template

ส่วนในกรณีที่องค์กรต้องการระบุตำแหน่งงาน และ บทบาทหน้าที่ ที่เฉพาะเจาะจงขององค์กร ก็สามารถทำได้โดยใช้ Template นี้

STEP 2: พัฒนารูปแบบสมรรถนะความสามารถด้าน Cybersecurity (Develop Cybersecurity Competency Models)
ในขั้นตอนนี้ องค์กรควรกำหนด Cybersecurity Competency Model ขึ้นมา เพื่อใช้เป็นบรรทัดฐานในการประเมิน เปรียบเทียบ และ พัฒนาบุคคลากร โดยที่ Competency Model จะมีองค์ประกอบดังนี้

1. Competency title
2. Competency definition
3. Behavioral indicator
4. Proficiency target

ตัวอย่าง Competency model

โดยมีกระบวนการในการพัฒนา Competency Model ดังนี้

STEP 3: วางแผนพัฒนาบุคลากร (Conduct Workforce Planning)
การวางแผนพัฒนาบุคคลกรในองค์กรจะช่วยให้องค์กรเข้าใจสถานการณ์ด้านบุคคลากร ทั้งในปัจจุบัน และ เตรียมความพร้อมสำหรับอนาคตได้อบ่างเหมาะสม

โดยมี Workforce Planning Process แบ่งเป็น 4 Phases ดังนี้

STEP 4: วางแผนเพื่ออนาคต (Plan for the Future)
หลังจากที่องค์กรได้ทำการกำหนดตำแหน่งงาน บทบาทหน้าที่ และ พัฒนารูปแบบสมรรถนะความสามารถ รวมถึง การวางแผนด้านการพัฒนาบุคคลากรแล้วนั้น องค์กรก็จะได้ข้อมูลเบื้องต้นเพื่อใช้ในการตัดสินใจ และ วางแผนพัฒนาบุคคลากรในอนาคต ได้อย่างมีประสิทธิภาพ โดยที่องค์กรสามารถนำ NICE’s Cybersecurity Workforce Framework นี้มาใช้อย่างครบวงจรในการพัฒนาบุคคลากรด้าน Cybersecurity และทำการ Map ตำแหน่งงาน และ องค์ประกอบต่างๆ ของ Framework เข้าด้วยกันดังตัวอย่างในรูปที่ 5

รูปที่ 5: Tasks and KSAs Mapping

กล่าวโดยสรุปจะเห็นได้ว่า NICE’s Cybersecurity Workforce Framework เป็น Cybersecurity Framework ที่ออกแบบมาเพื่อพัฒนานักรบไซเบอร์ หรือ Cyber Warrior อย่างแท้จริง ดังนั้นประเทศไทยจึงควรนำ NICE’s Cybersecurity Workforce Framework มาประยุกต์ใช้พัฒนาบุคคลากรด้าน Cybersecurity ให้มีความรู้ ทักษะ และ ความสามารถ ในการช่วยป้องกันภัยคุกคามทางไซเบอร์ให้แก่องค์กรของท่าน ตลอดจนเพื่อความมั่นคงของชาติในระยะยาวต่อไป.