จากบทความในฉบับที่แล้วเราได้ทำความเข้าใจเกี่ยวกับกรอบดำเนินงานการบริหารบุคคลากรด้าน Cybersecurity ที่เรียกว่า National Cybersecurity Workforce Framework ของประเทศสหรัฐอเมริกา ซึ่งมีส่วนช่วยให้องค์กรเข้าใจถึงองค์ประกอบที่สำคัญในการวางแผนพัฒนาบุคคลากรด้าน Cybersecurity ให้มีความรู้ ทักษะ และ ความสามารถ ในการช่วยป้องกันภัยคุกคามทางไซเบอร์ที่นับวันจะมีจำนวนที่เพิ่มขึ้น และ ซับซ้อนมากขึ้นโดยลำดับ
บทความฉบับนี้ ผมขอกล่าวถึงแนวทางในการใช้ National Cybersecurity Workforce Framework นี้ในรายละเอียด ที่องค์กรสามารถนำมาประยุกต์ใช้เพื่อตอบสนองความต้องการบุคคลากรทางด้าน Cybersecurity
จากการที่ NICE’s National Cybersecurity Workforce Framework ได้มีการแบ่งความชำนาญพิเศษ (specialty area) ออกเป็นทั้งหมด 31 หัวข้อ และจัดความชำนาญพิเศษที่มีความเกี่ยวข้องกันให้อยู่ในกลุ่มหน้าที่เดียวกัน ซึ่งทาง NICE ได้จัดแบ่งกลุ่มหน้าที่ของงานด้าน Cybersecurity ออกเป็น 7 กลุ่มหน้าที่ ดังนี้
- กลุ่มหน้าที่ จัดทำและส่งมอบ “SECURELY PROVISION”
ประกอบด้วยความชำนาญพิเศษ ด้านการออกแบบ และ จัดสร้างระบบ IT ที่มั่นคงปลอดภัย - กลุ่มหน้าที่ ปฎิบัติการและบำรุงรักษา “OPERATE AND MAINTAIN”
ประกอบด้วยความชำนาญพิเศษ ด้านการให้การบริการ จัดการระบบ และ บำรุงรักษาระบบ IT - กลุ่มหน้าที่ ป้องกันและต้านทาน “PROTECT AND DEFEND”
ประกอบด้วยความชำนาญพิเศษ ด้านการระบุและจัดการภัยคุกคามต่อระบบ IT - กลุ่มหน้าที่ ตรวจสอบ “INVESTIGATE”
ประกอบด้วยความชำนาญพิเศษ ด้านการตรวจสอบเหตุการณ์ที่เกิดขึ้น หรือ การกระทำผิดที่เกี่ยวกับระบบ IT - กลุ่มหน้าที่ เก็บรวบรวมและปฏิบัติการ “COLLECT AND OPERATE”
ประกอบด้วยความชำนาญพิเศษ ด้านการเก็บรวบรวมข้อมูลเพื่อใช้ในการตัดสินใจ - กลุ่มหน้าที่ วิเคราะห์ “ANALYZE”
ประกอบด้วยความชำนาญพิเศษ ด้านการวิเคราะห์ ตรวจทาน และประเมิน - กลุ่มหน้าที่ ควบคุมและพ้ฒนา “OVERSIGHT AND DEVELOPMENT”
ประกอบด้วยความชำนาญพิเศษ ด้านการบริหาร กำหนดทิศทาง และ การพัฒนา
เราสามารถนำกลุ่มหน้าที่ของงานด้าน Cybersecurity ทั้ง 7 กลุ่มใน National Cybersecurity Workforce Framework มาใช้เป็นแนวทางในการทำ Knowledge, Ability and Skill (KSA) Mapping เข้ากับตำแหน่งงานต่างๆ ด้าน Cybersecurity โดยช่วยให้องค์กรสามารถวางแผนการจัดการทรัพยากรบุคคลตลอดทั้งวงจรชีวิตได้อย่างมีประสิทธิภาพมากขึ้น ดังรูปที่ 1
รูปที่ 1 : Human Capital Management Lifecycle
โดยมีกระบวนการหลักประกอบด้วยสี่ขั้นตอนที่องค์กรสามารถนำมาปฏิบัติเพื่อนำ Framework นี้มาใช้ได้อย่างเหมาะสม ดังในรูปที่ 2
รูปที่ 2 : The Four Steps
ซึ่งแนวทางในการปฏิบัติในแต่ละขั้นตอนมีรายละเอียดดังต่อไปนี้
STEP 1: การกำหนดตำแหน่งงาน และ บทบาทหน้าที่ของบุคคลากรด้าน Cybersecurity (Define Cybersecurity Roles)
โดยในขั้นตอนนี้องค์กรสามารถนำตำแหน่งงานที่ได้มีการกำหนดไว้ใน Framework อยู่แล้วที่เรียกว่า General Role มาใช้ได้เลย หรือ อาจจะมีการเพิ่มตำแหน่งงาน และ บทบาทหน้าที่ ที่สอดคล้องกับความต้องการที่เฉพาะเจาะจงขององค์กรก็สามารถทำได้ โดยมีขั้นตอนในรายละเอียดดังนี้
- “Compare” เปรียบเทียบตำแหน่งงานด้าน Cybersecurity ในองค์กรกับ General role
- “Develop” พัฒนาตำแหน่งงานด้าน Cybersecurity ที่จำเป็น เฉพาะเจาะจงสำหรับองค์กร
- “Validate” ตรวจสอบว่ารายละเอียดของตำแหน่งงาน กับ Task และ KSA statement ของ Framework
- “Apply” ประยุกต์ใช้ Framework เข้ากับส่วนงานอื่นๆ ในองค์กร เช่น Training development
ตัวอย่าง General Role ที่ระบุไว้ใน NICE’s National Cybersecurity Workforce Framework ดังรูปที่ 3
รูปที่ 3: General Role in NICE’s National Cybersecurity Workforce Framework
โดยที่ในต่ละ General Role จะมี Template ที่ระบุรายละเอียดเช่นความชำนาญพิเศษ (specialty area) ที่จำเป็น ดังรูปที่ 4
รูปที่ 4: Sample Cybersecurity Role Template
ส่วนในกรณีที่องค์กรต้องการระบุตำแหน่งงาน และ บทบาทหน้าที่ ที่เฉพาะเจาะจงขององค์กร ก็สามารถทำได้โดยใช้ Template นี้
STEP 2: พัฒนารูปแบบสมรรถนะความสามารถด้าน Cybersecurity (Develop Cybersecurity Competency Models)
ในขั้นตอนนี้ องค์กรควรกำหนด Cybersecurity Competency Model ขึ้นมา เพื่อใช้เป็นบรรทัดฐานในการประเมิน เปรียบเทียบ และ พัฒนาบุคคลากร โดยที่ Competency Model จะมีองค์ประกอบดังนี้
- Competency title
- Competency definition
- Behavioral indicator
- Proficiency target
ตัวอย่าง Competency model
โดยมีกระบวนการในการพัฒนา Competency Model ดังนี้
STEP 3: วางแผนพัฒนาบุคลากร (Conduct Workforce Planning)
การวางแผนพัฒนาบุคคลกรในองค์กรจะช่วยให้องค์กรเข้าใจสถานการณ์ด้านบุคคลากร ทั้งในปัจจุบัน และ เตรียมความพร้อมสำหรับอนาคตได้อบ่างเหมาะสม
โดยมี Workforce Planning Process แบ่งเป็น 4 Phases ดังนี้
STEP 4: วางแผนเพื่ออนาคต (Plan for the Future)
หลังจากที่องค์กรได้ทำการกำหนดตำแหน่งงาน บทบาทหน้าที่ และ พัฒนารูปแบบสมรรถนะความสามารถ รวมถึง การวางแผนด้านการพัฒนาบุคคลากรแล้วนั้น องค์กรก็จะได้ข้อมูลเบื้องต้นเพื่อใช้ในการตัดสินใจ และ วางแผนพัฒนาบุคคลากรในอนาคต ได้อย่างมีประสิทธิภาพ โดยที่องค์กรสามารถนำ NICE’s Cybersecurity Workforce Framework นี้มาใช้อย่างครบวงจรในการพัฒนาบุคคลากรด้าน Cybersecurity และทำการ Map ตำแหน่งงาน และ องค์ประกอบต่างๆ ของ Framework เข้าด้วยกันดังตัวอย่างในรูปที่ 5
รูปที่ 5: Tasks and KSAs Mapping
กล่าวโดยสรุปจะเห็นได้ว่า NICE’s Cybersecurity Workforce Framework เป็น Cybersecurity Framework ที่ออกแบบมาเพื่อพัฒนานักรบไซเบอร์ หรือ Cyber Warrior อย่างแท้จริง ดังนั้นประเทศไทยจึงควรนำ NICE’s Cybersecurity Workforce Framework มาประยุกต์ใช้พัฒนาบุคคลากรด้าน Cybersecurity ให้มีความรู้ ทักษะ และ ความสามารถ ในการช่วยป้องกันภัยคุกคามทางไซเบอร์ให้แก่องค์กรของท่าน ตลอดจนเพื่อความมั่นคงของชาติในระยะยาวต่อไป.
