近年許多法規要求企業對軟體系統進行安全檢測,讓企業發現應用程式存在的漏洞不僅風險值高且層出不窮,連帶著開發人員的能力也遭受考驗。企業通常會採購內訓課程、派員外訓,或組織讀書會,期待開發人員能提升能力,交付安全的程式碼,但這個願望並不容易實現。
造成資安培訓成效不彰的原因主要有三個:缺乏動機、目標不可行,以及參與度低下。以安全漏洞問題為例,許多組織並不認為這是一個必須盡早解決的問題,因為沒有充足明確的動機,培訓計畫就難以推行。然而,正因為多數企業輕忽修補漏洞的成本,使得安全漏洞修補成本高昂。
以下是結合OWASP SAMM安全軟體開發成熟度模型與企業培訓實務經驗的系統化作法:
首先是「現況盤點」,盤點企業的動機(例如合規ISO 27001)、能用於培訓的資源,以及思考團隊能花多少時間在培訓上,當企業高層認同團隊需要培訓,才能支持團隊投入時間提升能力。而資源是否充足則反映了培訓方案的品質,能否找到專業的講師、實用的教材及多元的學習方式。
接著「訂定目標及驗證方式」,目標需要能被客觀的量化,例如全公司須通過基礎課程的佔比,高風險新漏洞數量降低及既有漏洞的數量要減少等。這種類型的目標能明確驗證是否達成,且可快速地疊代調整作法。除了注意驗證方式要客觀外,訂定目標過程中,務必邀請開發主管參與,因為他們將會是落實培訓最有力的推手。
最後是「執行方法與策略」,這個環節要順應人性,增加動機、降低培訓阻力。量化數值並設立排行榜,讓受訓者們互相督促前行,並創立友善的討論平台,提供知識分享及幫助。透過這三個步驟,就能為企業規劃出可行且具體的培訓計畫,預先知道投入的資源、期程與效益,並根據培訓後的資料進行調整。
微學習(Microlearning)的興起為企業提供了更靈活和多元的培訓方式。由於已將課程內容分門別類劃分為易於消化的小篇章,開發者們可以在繁忙的工作中利用碎片時間學習。以微學習為基礎,能提升成敏捷式培訓,結合短期目標和持續反饋機制,完美契合「訂定目標及驗證方式」的要求。例如,企業可以設置每月或每季的訓練主題,搭配競賽的方式來檢驗員工對特定資安弱點知識的掌握情況,期間的數據除了可以用於衡量階段目標是否達成以外,還可做為「執行方法與策略」的燃料,持續增加學習動機。
總結來說,敏捷培訓作為一種創新的資安培訓方法,企業可以根據實際需求和動機,設計專屬培訓內容,確保資源的最佳配置,不斷提升員工的資安能力,大幅降低開發成本,同時還保障軟體系統的安全性與穩定性。
<本文作者:李佳凌現為叡揚資訊資安直屬事業處副處長>