1

การพฒนาบคคลากรดานความมนคงปลอดภยไซเบอร (Cybersecurity) สรางบคคลากรดาน Cybersecurity ทแขงแกรง

โดย พ.อ.ดร.เศรษฐพงค มะลสวรรณ ประธานกจการโทรคมนาคม

รองประธาน กสทช.

CYBERSECURITY คออะไร Cybersecurity คอการใชเทคโนโลยและการปฏบตตางๆ เพอปองกนขอมลและระบบจากการจารกรรม

หรอการโจมต ซงรวมถงปองกนจากการใชขอมลอเลคทรอนคสโดยไมไดรบอนญาตหรอผดกฎหมายและการโจมตบนเครอขายคอมพวเตอร รวมทงจากไวรสคอมพวเตอรหรอโปรแกรมทไมพงประสงค (malicious code) Cybersecurity เปนสงทเราตองใหความส าคญและมความจ าเปนส าหรบทกองคกร เรมตนทการสรางบคคลากรดาน Cybersecurity กนตงแตวนนเพอพฒนาทกษะใหรบกบความทาทายทางดาน Cybersecurity ทจะเกดขนในอนาคต

วางแผนบคคลากรดาน Cybersecurity บคคลากรทท างานดาน Cybersecurity ทมทกษะและความเชยวชาญเฉพาะตวนนหายาก ไมเพยงพอตอ

ความตองการ ดงนนจงมการแขงขนกนอยางดเดอดเพอใหไดคนเกงมาท างาน การสรางทมงานทแขงแกรงนนเปนสงจ าเปน ซงท าใหองคกรตองคดวาจะวางแผนเรองบคคลากรดาน Cybersecurity อยางไรเพอใหมคนทใชในต าแหนงทเหมาะสม หนวยงานดานความมนคงปลอดภยไซเบอร จะตองมงมนในการพฒนาบคคลากรดาน Cybersecurity เพอใหมบคคลากรทมทกษะและเพยงพอตอความตองการในปจจบนและเปนการปทางสการเปนผน าดาน Cybersecurity ในอนาคต

องคกรควรจะมเครองมอ ทชวยใหเราเขาใจสถานะขององคกรมากขน เชนความเสยงดานบคคลากรดาน Cybersecurity แนวทางการวางเสนทางความกาวหนาสายอาชพ (career path) และการคดเลอกคนและรกษาคนเกงดาน Cybersecurity ใหอยกบองคกร ซงแนวคดส าคญๆ ส าหรบการวางแผนบคคลากรดาน Cybersecurity มดงน

การวางแผนบคคลากรดาน Cybersecurity (Cybersecurity Workforce Planning)

โมเดลวฒภาวะของขดความสามารถดาน Cybersecurity (Cybersecurity Capability Maturity Model)

วธปฏบตสความเปนเลศส าหรบวางแผนบคคลากรดาน Cybersecurity (Best Practices for Planning a Cybersecurity Workforce)

กรอบการท างานของบคคลากรดาน Cybersecurity (Cybersecurity Workforce Framework)

คมอการฝกอบรมดาน Cybersecurity (Cybersecurity Training Catalog )

2

เอกสารนมวตถประสงคเพอเปนแนวทางในการวางแผน สรางและพฒนาบคคลากรดาน Cybersecurity

เรมจากการปรกษากบฝายบรหารเกยวกบการสรางทมงานดาน Cybersecurity ดวยการพดคยสอสารกบบคคลากรเกยวกบแนวทางการพฒนาสายอาชพน รวมทงอาจจะบรณาการแนวคดเขากบการวางแผนทางกลยทธส าหรบอนาคตทอาจจะมความตองการบคคลากรดานนมากขน แนวทางจากเอกสารฉบบนมความส าคญทงตอระดบบรหาร ระดบผจดการทงในหนวยงานรฐขนาดใหญรวมถงองคกรเอกชน ซงเกยวของทงเรองทรพยากรบคคล ความมนคงปลอดภยของขอมล การจดการความเสยง ขอมลสารสนเทศและ Cybersecurity

Checklist ในสงทควรท า

- เตรยมตว ประเมนความพรอมขององคกรส าหรบการวางแผนบคคลากรดาน Cybersecurity ประเมนตวเองเพอดความพรอมขององคกรของเราในการวางแผนดานบคคลากร Cybersecurity

- วางแผน วางแผนทม Cybersecurity อยางไร ใชเครองมอส าหรบประเมนความตองการบคคลากรดาน cybersecurity ทงในปจจบนและอนาคต

ส ารวจความเสยงดาน Cybersecurity และมค าแนะน าเพอปดชองวางดานบคคลากรทม - สรางทม

ทม Cybersecurity ควรหนาตาเปนอยางไร อะไรทมบทบาททจะสรางทมดาน Cybersecurity ทดเลศ; รวมถงค าแนะน าส าหรบหาบคคลากรดาน

Cybersecurity - พฒนา

พฒนาบคคลากรของเรา มแนวทางการวางเสนทางความกาวหนาสายอาชพ (career path) เชอมโยงกบการฝกอบรมตางๆ รวมถงแนวคดในการรกษาบคคลากรทกระดบใหอยกบองคกร ประเมนความพรอมขององคกรส าหรบการวางแผนบคคลากรดาน Cybersecurity

ในระดบแรกสดขององคกร ตองจดท าวสยทศนเกยวกบ Cybersecurity และสอสารใหบคคลากรทกคนเขาใจ สรางผน าทมความเขาใจตอเรองน ซงจะชวยใหเราสามารถจดสรรทรพยากรตางๆ ไดอยางเหมาะสม เหนภาพรวม และความเสยงตางๆ ซงมความส าคญมากตอการเปลยนแปลงรปแบบของ Cybersecurity ขององคกร

เ พอท าความเขาใจว าองคกรมความพรอมเพยงพอหรอยง ดวยการประเมนบคคลากรดาน Cybersecurity ขององคกร เพอประเมนสถานะปจจบนขององคกรเพอวางแผนบคคลากรดาน Cybersecurity

3

ระดบวฒภาวะ (Mature) ของขดความสามารถการวางแผนบคคลากรดาน Cybersecurity

องคกรแตละแหงตางกมรปแบบของตนเอง บางแหงอาจจะไมไดตองการขดความสามารถการวางแผนบคคลากรดาน Cybersecurity ในระดบสง ดงนนองคกรควรรวาเราควรจะอยในระดบใด ทสอดคลองกบภารกจขององคกร โดยระดบวฒภาวะของการวางแผนบคลากร สามารถสรปไดตามตาราง ดงน

ระดบวฒภาวะของการวางแผนบคคลากร

ระดบหนง ระดบสอง ระดบสงสด ระดบพนฐานทสด ยงอย ในชวงเรมตน เชน อาจจะยงไมเปนระบบ ขาดการวางแผนทชดเจน

ระดบนคอเรมมมมมองดานการวางแผนบคคลากร Cybersecurity ท ง อ งค ก รแล ว และม ก า ร ว า งโ ค ร งส ร า ง พ น ฐ าน ต า ง ๆ เ พ อสน บ ส น น ก า ร ว า ง แ ผน พ ฒ น าดงกลาว

ระดบวฒภาวะสงสดเปนระดบทหนวยงานด าเนนการปรบปร ง กระบวนการท างานของตนเองและบรณาการเขากบสวนงานตางๆ และยงสนบสนนการท างานของบคคลากรไดทกระดบ

การวางแผนส าหรบทมดาน cybersecurity อยางมประสทธภาพ

เราตองมนใจวาองคกรของเรามการปองกนทดตอภยคกคามตางๆ ตอระบบสารสนเทศ มฉะนนอาจจะ

เกดความเสยงตอองคกร การลกลอบเขาถงขอมลทเกดขนบางทกไมไดเกดจากความลมเหลวทางเทคโนโลย แตมก

มาจากความลมเหลวของโครงสรางองคกรมากกวา ดงนนตองท าความเขาใจกบสถานะบคคลากรดาน

Cybersecurity ขององคกรกอนรวมถงกลยทธส าหรบวางโครงสรางการจดการบคคลากรในอนาคต

ขนตอนการวางแผนส าหรบทม cybersecurity นน ตองรวมถงการส ารวจบคคลากรดาน cybersecurity

ทมอย ทงเรองปรมาณงานวาเหมาะสมหรอไม และ career path ของบคลากร โดยมประเดนส าคญทควร

พจารณาดงน

1. ส ารวจความเสยงดาน Cybersecurity ศกษาเพอดวาองคกรมความเสยงดาน Cybersecurity เรองใดบางและรบไดกบผลทจะเกดขนจากความ

เสยงนนไดมากเพยงใด ยงมความเสยงมากกยงตองการบคคลากรดาน Cybersecurity มากขน Cybersecurity Workforce Planning Diagnostic จะชวยคนหาความเสยงขององคกรและระดบท

สามารถรบไดตอผลทจะเกดจากความเสยงนน และจะชวยปรบแผนบคคลากรดาน Cybersecurity ใหเหมาะกบความตองการ แตอยางไรกดกยงจ าเปนทจะตองมการวเคราะหและประเมนความเสยงขององคกรในเชงลกดวยโดยผบรหาร ผเชยวชาญดานทรพยากรบคคลและผจดการดาน Cybersecurity ดวย

4

2. ส ารวจบคคลากรดาน Cybersecurity ทมอย ผบรหารระดบสงตองวางแผนรวมกบผบรหารดาน Cybersecurity เพอก าหนดขนาดของทมทเหมาะสม

จ านวนต าแหนงทควรม ก าหนดทกษะของทม และรายละเอยดของงานทตองท า ผบรหารระดบสงปรบใชผลทไดเพอท าความเขาใจสถานะปจจบนของบคคลากรดาน Cybersecurity ของ

องคกร วเคราะหดานบคคลากรอยางสม าเสมอทกๆ ป นอกจากส ารวจทกษะของบคคลากรทมแลว ตอไปนเปนลกษณะของทม Cybersecurity ทมประสทธภาพสงทควรพจารณาดวย

ลกษณะของทม Cybersecurity ทมประสทธภาพสง

วองไว (Agile) – การโจมตทางไซเบอรเกดขนไดตลอดเวลา ดงนนทมตองพรอมรบมอและแกปญหาไดอยางทนทวงท

ท างานไดหลากหลาย (Multifunctional) – ทมตองมทกษะและความรทหลากหลายเพอรบมอใหไดกบทกสถานการณ

กระตอรอรน (Dynamics) - เพอตอบสนองตอภยคกคามตางๆ ทมตองเรยนรทกษะและกระบวนการตางๆ เพอความมนคงของระบบ

ยดหยน (Flexible) – ทมทแขงแกรงสามารถทจะปรบเปลยนและปรบตวเพอเผชญตอความทาทายทเกดขนไดตลอดเวลา

เวลาท างานทยดหยน (Informal) – ทมไซเบอรตองมชวโมงการท างานทยดหยนและตองมทกษะในการแกไขปญหาทเกดขนไดอยางทนทวงท

3. คนหาชองวางตางๆ : เมอประเมนความเสยงองคกรและตรวจสอบบคคลากรทมอยแลว ท าการส ารวจความตองการในอนาคตพรอมทงปดชองวางทม เชน

- ระบทกษะทตองการใหสอดคลองกบปรมาณงานและความตองการของทมรวมทงก าหนดจ านวนคนทตองการสรรหาเพมเตมทงจากหนวยงานภายในและภายนอก

- ดต าแหนงทวางและจ านวนคนทตองการสรรหาเพมเตม 4. จดการปดชองวาง สามารถด าเนนการได เชน

- พจารณาวาสามารถปรบต าแหนงหรอและทกษะตางๆ เพมเตมไดหรอไมเพอสรางบคคลากรดาน Cybersecurity

- จดการฝกอบรมใหแกบคคลากร - พจารณาดวาสามารถเพมงานทตองรบผดชอบเพมเตมใหแกบคคลากรทมอยแลวไดหรอไม

5

- พฒนาหลกสตรเพอสรางผน าดาน Cybersecurity - ประชมหารอกบกลมผบรหารทมอ านาจตดสนใจ เชน ผบรหารระดบสง ตวแทนฝายการเงน ฝาย

ทรพยากรบคคลและหวหนาฝาย Cybersecurity อยางสม าเสมอ - ก าหนดแผนงานดานบคคลากรใหสอดคลองกบงบประมาณขององคกรเพอสรรหาบคคลากรดาน

cybersecurity ไดอยางเหมาะสม 5. ตรวจสอบและอพเดทขอมล เมอท าตามทง 4 ขอทผานมาแลว ลองพจารณาอกครงวายงมอะไรทเราสามารถด าเนนการเพมเตมไดอกบาง ทม Cybersecurity ควรหนาตาเปนอยางไร

ตองมการจดท า Cybersecurity Workforce Framework ทก าหนดมาตรฐานบคคลากรดาน Cybersecurity ทงรายละเอยดของต าแหนง หนาทงานทตองท า ความร ทกษะและความสามารถทตองม ดงนนหากเราน าขอมลเหลานมาใชในการวางแผน รบรองไดวาเราจะไดทม Cybersecurity ทด

1. สราง Workforce framework ไดชดเจน 2. ก าหนดบคคลากรดาน Cybersecurity ขององคกรใหสอดคลองกบ National Standard: ท าให

แนใจวางานแตละต าแหนงนนสอดคลองกบ National standard แลวโดย

- เลอกจากรายละเอยดความเชยวชาญเฉพาะทาง ดาน Cybersecurity ทระบไวใน Workforce Framework

- เปรยบเทยบงานทตองรบผดชอบตอนนกบงานเพมเตมตามทไดแนะน าส าหรบแตละความเชยวชาญเฉพาะทาง

3. ก าหนดรายละเอยดของต าแหนงงานดานไซเบอรทตองการตามหวขอตอไปน ชอต าแหนงงาน (ระบ) ความเชยวชาญเฉพาะทางหลก (ระบ) ความเชยวชาญเฉพาะทางรองลงมา (ระบ) งานปจจบนทรบผดชอบ (ระบ) งานทไดรบมอบหมายเพมเตม (ระบ)

คณสมบตของผเชยวชาญระดบสงดาน Cybersecurity

สวนหนงทส าคญในการสรางทม cybersecurity คอตองรวามคณสมบตใดทเราตองการเปนพเศษเพอเตมเตมทมของเรา ไมวาองคกรเราจะตองการจางบคคลากรเพมบางสวนหรอตองการสรางทงทมนน การท าความเขาใจวาอะไรจะท าใหทมเราสมบรณเปนสงจ าเปนอยางยง เพอใหไดทมทใชจรงๆ

6

คณสมบตของผเชยวชาญระดบสงดาน cybersecurity แสดงดงตารางตอไปน โดยตองพจารณาวาแตละคนในทมมทกษะตามคณสมบตตอไปนหรอไมและสามารถทจะพฒนาทกษะเพอเตมเตมสงททมตองการไดหรอไม

นอกจากน ควรหาวธทจะสามารถดงดดผเชยวชาญดาน Cybersecurity ทมคณสมบตเหลานเขาสทม

ตวอยางค าถามส าหรบการสมภาษณผสมครงานทม cybersecurity มความสนใจ นกคดเปนระบบ นกแกปญหา มความคดสรางสรรค คณสมบต - สนใจงานดานไซเบอร

อยางแทจรง - เรยนรเทคโนโลยไดอยางรวดเรว - มความกระตอรอรนเมอพดถงเรองเทคโนโลย

- เขาใจความเชอมดยงของการท างานทงระบบ - ถนดกบเรองความซบซอน

-ร ส กท า ท า ยก บก า รแกปญหาตางๆ - มวธการเฉพาะในการแกปญหาตางๆ

- มแนวโนมทจะคดนอกกรอบ -ประเมนความทาทาย จากหลายๆ มมมองกอนด าเนนการ

ค าถาม ใหอธบายความสนใจและเปาหมายการท างาน -ในอก 2-3 ปขางหนา คดวาเ ร าม อง เห นต ว เ อ ง เ ป นอยางไร - อธบายชวงเวลาทคณไดแสดงความสามารถหรอใชความพยายามเพอใหบรรลเปาหมายนน

ใหอธบายเหตการณทคณไดเคยวเคราะหปญหาโดยท าความเขาใจสวนตางๆ - สวนตางๆ ทเกยวของนนคออะไร - ผลลพธทไดคออะไร

ใหอธบายเหตการณทค ณ ไ ด แ ก ป ญ ห า ทซบซอน - ตองใชขอมลอะไรบาง -คณตดสนใจแกปญหานนอยางไร -ผลลพธทไดคออะไร

ใหอธบายเหตการณทเคยเจอและตองแกปญหา - ปญหานนคออะไร - แลวแกปญหานนอยางไร

วธการสรรหาคนเกงดาน Cybersecurity กระบวนการคดสรรเพอหาคนเกงเขามาท างานกบองคกรมดงน ก าหนดต าแหนงงานทตองการ

- ท างานรวมกบฝายบคคลเพอก าหนดวาองคกรก าลงตองการสรรหาคนท างานดาน Cybersecurity

- ก าหนดคาตอบแทนทยดหยนได

- ก าหนดคณสมบตของคนทเราตองการทงในดาน ความชอบในงาน ความร ทกษะและประสบการณการท างาน

หาแหลงทจะสรรหาคนเกง

- ตดตอหนวยงานตางๆ ทเกยวของทสามารถเขาถงแหลงคนเกงได เชน วทยาลย มหาวทยาลย และการแขงขนดาน cybersecurity เปนตน

7

- จดล าดบความส าคญของเปาหมายและแหลงทเราจะหาคนเกงได เชน จากเวบไซตจดหางาน การแขงขนดานไซเบอร การแนะน าจากคนรจกและสอสงคมออนไลน

- ออกนอกสถานทเพอเขาถงคนเกง เชน จดงาน Job fair หรอไปรบสมครงานตามมหาวทยาลย

- ใชระบบ Employee Referral Program คอใหบคคลากรเปนผแนะน าผสมครเพอคดเลอกคนเกง

พฒนาสอและกลยทธการตลาด

- เตรยมรายละเอยด ขอมลเกยวกบขอดและความส าคญของต าแหนงนตอองคกร ในการประชาสมพนธเพอหาคนเกงมาท างาน

- เนนใหชดเจนถงความสามารถดานตางๆ ทเราตองการเพอดงดดใหคนเกงดาน Cybersecurity ทตรงตามความตองการมาท างานกบองคกร

- ออกแบบสอตางๆ ส าหรบท าการสงขอมลเรองรบสมครงาน เชน ขอความรบสมครงานหรอการสงขอความทางสอสงคมออนไลน

- ใชชองทางสอสารทสามารถสอสารกบผสมครไดโดยตรง เชน สอสงคมออนไลน เพอทผสมครจะไดเหนและรบทราบขาวสารการรบสมครงาน

คดเลอกและจางงาน

- สมภาษณผสมครงานจากแนวค าถามทใหไว

- เมอตดสนใจจางงานแลว ก าหนดคาตอบแทนทดงดดคนเกงและมการพฒนาอยางตอเนองเพอรกษาคนเกงเอาไว

พฒนาบคลากร รกษาบคคลากรในทกระดบใหอยกบองคการนานๆ ขนตอนงายๆ ทเปนแนวทางในการรกษาบคคลากรในทกระดบใหอยกบองคการนานๆ มดงน ระดบเจาหนาท ระดบผเชยวชาญ ระดบบรหาร - คนทเพงท างานดาน Cybersecurity - เนนเรยนรทกษะดานไซเบอร และท างานตามทไดมอบหมาย ปรบตวใหเขากบองคกร

- คนทมประสบการณและเคยท างานดานไซเบอรมาแลว - เนนความชดเจนของ career path และพฒนาทกษะโดยมการหมนเวยนงาน การอบรมเพมเตมและใหโอกาสในการควบคมและสงการ

- คนทมความช านาญเฉพาะดานไซเบอรและมประสบการณในงานบรหาร - เนนการพฒนาภาวะความเปนผน า การใชความช านาญเฉพาะดานทมใหเกดประโยชนตอองคกร

วธการรกษาบคคลากรระดบเจาหนาท -สรางบรรยากาศการท างานทเหมาะสม ยอมรบฟงความคดเหนทแตกตาง

ว ธ ก า ร ร ก ษ า บ ค ค ล า ก ร ร ะ ด บผเชยวชาญ - เนนความสมดลของชวตงานและชวต

วธการรกษาบคคลากรระดบบรหาร - ใหโอกาสในการฝกอบรมเพอพฒนาตวเอง

8

- เปดโอกาสใหมการสอสารจากบคคลากร - มการประเมนผลการปฏบตงานอยางสม า เสมอและรบฟ งความ เหนจากบคคลากร - มการดแลและใหค าปรกษาอยางใกลชด - ใหโอกาสในการเรยนรทกษะใหมๆ จากการฝกอบรม มอบหมายงานททาทายใหท ารวมถงม career path ทชดเจน - ยกยองบคคลากรทมผลการปฏบตงานทด

การท างาน -ใหโอกาสไดรบการฝกอบรมตางๆ -ใหมการสอสารแบงปนขอมลกนระหวางบคคลากรและองคกร - มอบหมายงานททาทายใหท า - ใหมสวนรวมในการตดสนใจตางๆ - พจารณาผลตอบแทนทเหมาะสม

-ก าหนดแผนการพฒนาทเนนเรองภาวะภาวะความเปนผน า -ยกยองผน าทประสบความส าเรจ - พจารณาผลการปฏบตงานและใหคาตอบแทนพเศษเพอจงใจใหบคคลากรอยกบองคกรนานๆ - สนบสนนผบรหารดานไซเบอรใหมการพฒนาความสามารถอยางสม าเสมอและก าหนดกลไกการแบงปนขอมล

ท าใหบคคลากรมความกาวหนาในงาน

เมอไดทมงานดาน cybersecurity ตามตองการแลว การพฒนาศกยภาพและการรกษาบคคลากรใหอยกบองคกรตางกมความส าคญพอกน จากผลการศกษา (ISC)2 Global Information Workforce study พบวา เมอป 2015 แรงงานดาน cybersecurity ไดมการเปลยนงานประมาณ 20% จงเปนเรองส าคญมากทฝายบคคลและผบรหารตองรวมมอกนหาทางทจะรกษาบคคลากรดาน Cybersecurity ไวกบองคกร โดยองคกรจะตองมการวางเสนทางความกาวหนาสายอาชพ (career path) พรอมทงสอสารใหบคคลากรเขาใจ เพอใหพวกเขาไดมเสนทางในการเตบโตไดในองคกร ตามผลงาน ทกษะ ความรและความสามารถทเพมสงขนของบคคลากร