บริษัทของคุณมีความรับผิดชอบด้านความปลอดภัยทางไซเบอร์เพียงพอแล้วหรือยัง
บริษัทของคุณมีความรับผิดชอบในด้านความปลอดภัยทางไซเบอร์เพียงพอแล้วหรือยัง?
60% ของหลายองค์กรจะมีอย่างน้อยหนึ่งเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยในปีนี้
ทุกองค์กรสมัยใหม่รู้ว่าการรักษาความปลอดภัยทางไซเบอร์เป็นหัวข้อที่กำลังได้รับความสนใจเป็นอย่างมาก จากการที่มีข่าวลือแพร่สะพัดในการลงทุนที่เพิ่มขึ้นในความสามารถด้านความปลอดภัยในอุตสาหกรรม บริษัทต่างๆจึงเริ่มให้ความสำคัญกับความเสี่ยงที่อาจเกิดจากอาชญากรรมไซเบอร์มากขึ้น
แต่สิ่งนี้ก็ไม่ได้แปลว่าจะเป็นการกระทำในระดับวันต่อวันเสมอไป และก็ยังไม่มีความชัดเจนว่าจะมีกี่ธุรกิจที่มีรับผิดชอบในเรื่องความปลอดภัยทางไซเบอร์อย่างเพียงพอ
Socrates Coudounaris ประธานสถาบันการบริหารด้านความเสี่ยงกล่าวในการคาดการณ์ความเสี่ยงขององค์กรในปี 2019 ว่า “ผลกระทบของแนวโน้มและความเสี่ยงระดับมหภาคในปัจจุบัน เช่น ความปลอดภัยทางไซเบอร์ ปัญญาประดิษฐ์ (AI) และ Brexitในสหราชอาณาจักรจะยังคงมีความกดดันและอาจมีการเปลี่ยนแปลงในภาคธุรกิจทั้งหมด”
“ผู้นำที่คิดเชิงวิเคราะห์เกี่ยวกับอนาคตคาดว่าจะเกิดความเสียหายต่อภาคธุรกิจ ในขณะที่พวกเขากำลังสร้างความยืดหยุ่นและความคล่องตัวในแบบจำลองของพวกเขาให้อยู่ในตำแหน่งที่ดีขึ้นเพื่อรับมือกับสภาพแวดล้อมที่มีความเสี่ยงในปี 2019”
จากที่หลายธุรกิจในสหราชอาณาจักรที่ได้รับความเดือดร้อนจากการโจมตีทางไซเบอร์ในทุกๆนาที ผู้นำทางธุรกิจและผู้นำด้านการรักษาความปลอดภัยจำเป็นต้องมั่นใจว่าองค์กรของพวกเขาจะพร้อมที่จะรับมือกับการโจมตีทางไซเบอร์นี้ได้ รวมถึงต้องให้ความรู้แก่พนักงานและวางมาตรการด้านการรักษาความปลอดภัยที่เพียงพอ
ใครเป็นผู้รับผิดชอบ?
โดยพื้นฐานแล้วการกำหนดความเสี่ยงของคุณนั้นคือการกำหนดความเสี่ยงที่บริษัทของคุณเต็มใจที่จะยอมรับได้ แต่ในขณะเดียวกันก็ยังสามารถบรรลุเป้าหมายทางธุรกิจได้อย่างสะดวกสบาย แต่ทั้งหมดนี้ยังขึ้นอยู่กับงวัตถุประสงค์ของบริษัท รวมไปถึงขนาดและความซับซ้อนขององค์กรโดยรวมด้วย
การสูญเสียบางอย่างอาจเป็นที่ยอมรับได้ แต่ในบางรายก็อาจมีค่าใช้ที่จ่ายสูงเกินไป
การแบ่งหน้าที่ความรับผิดชอบนับเป็นกุญแจสำคัญ และหน้าที่นี้ควรแบ่งกันระหว่าง CEO, CISO และ CRO เพื่อให้มั่นใจว่าเป้าหมายทางธุรกิจและความเสี่ยงนั้นมีความสมดุลเพียงพอเพื่อให้สอดคล้องกับเป้าหมายและเรียงลำดับความสำคัญในองค์กรได้
สิ่งนี้ยังเกี่ยวกับบริษัทที่มีส่วนเกี่ยวข้องกับการบริหารด้านความเสี่ยง จากการสำรวจของ RSA ผลกระทบที่เกิดขึ้นเป็นอันดับหนึ่งจากจากความเสี่ยงทางไซเบอร์คือการสูญเสียชื่อเสียง ความเสี่ยงจากไซเบอร์อาจเป็นปัญหาที่ดูจับต้องได้น้อยกว่าการหยุดชะงักทางธุรกิจหรือการละเมิดข้อมูลลูกค้า แต่การสูญเสียด้านชื่อเสียงอาจส่งผลกระทบในระยะยาวและอาจถึงขึ้นส่งผลเสียร้ายแรงจนไม่สามารถประเมินได้
เป็นที่เข้าใจได้ว่า องค์กรส่วนใหญ่ให้ความสำคัญกับภัยคุกคามที่มาจากภายนอกบริษัท แต่ความเสี่ยงที่เกิดขึ้นภายในบริษัทก็อาจเป็นอันตรายต่อธุรกิจได้เช่นเดียวกัน ภัยเหล่านี้อาจเกิดขึ้นจากความไม่ตั้งใจหรือความผิดพลาดจากมนุษย์ แต่มันอาจก็เป็นอันตรายต่อบริษัทได้เช่นกันหากบริษัทไม่สามารถจัดการกับมันได้
การให้ความสำคัญที่เพิ่มขึ้นในเรื่องของความปลอดภัยของข้อมูล
ความปลอดภัยของข้อมูลกำลังเป็นที่สนใจในหมู่ผู้เชี่ยวชาญด้านความปลอดภัย เนื่องจากกระแสข้อมูลที่ละเอียดอ่อนหรือการละเมิดข้อมูลที่เป็นความลับเป็นหัวข้อที่กำลังมา
อุตสาหกรรมได้มีการยืนยันว่ามีการละเมิดโปรไฟล์ที่เกิดขึ้นในการใช้บริการจากคลาวด์ (Cloud services) ซึ่งปัญหานี้ยังพบว่าระบบคลาวด์มีช่องโหว่ที่เกิดขึ้นอย่างต่อเนื่อง
จากการวิจัยของ Forreater พบว่ามีเพียง 29% ของผู้นำด้านความปลอดภัยที่เห็นพ้องต้องกันว่าพวกเขาเข้าใจในจุดแข็งของโปรแกรมรักษาความปลอดภัยและในหลายจุดสำคัญที่พวกเขาสามารถพัฒนาได้ นี้จึงเป็นสาเหตุสำคัญที่ทำให้เกิดความกังวล เพราะพวกเขาไม่รู้ว่าช่องโหว่นั้นไม่สามารถแก้ไขได้และส่งผลทำให้เกิดช่องโหว่ในการทำลายข้อมูล
นอกจากนี้การแนะนำของกฎหมายอย่าง GDPR ได้เพิ่มความรุนแรงให้กับภัยคุกคามของการละเมิดกฎ โดยให้มีการจ่ายค่าปรับจากการละเมิดกฎระเบียบ อย่างบริษัทยักษ์ใหญ่เยอรมันก็ถูกปรับเป็นเงินถึง 12.5 ล้านปอนด์
และการปรับที่เกิดจากการที่ไม่ปฎิบัติตามจะถูกเรียกเก็บจากภายในเพื่อให้บริษัทได้ทำตามกฎของการรักษาความปลอดภัยของข้อมูล จากการวิจัยของ Forrester แสดงให้เห็นว่า 34% ของหัวหน้ารักษาความปลอดภัยนั้นจะต้องพยายามที่จะทำตามและรักษาข้อกำหนดของกฎการรักษาความปลอดภัย ซึ่งการปฎิบัติตามกฎของการรักษาความปลอดภัยที่มั่นคงนี้จะช่วยให้องค์กรบรรลุเป้าหมายการปฎิบัติตามกฎระเบียบหรืออย่างน้อยก็ลดช่องโหว่ด้านความปลอดภัยของข้อมูลนั่นเอง
ผู้นำด้านไอทีและธุรกิจควรให้ความสำคัญกับการสร้างกลยุทธ์และโปรโตคอลในการจัดการข้อมูลที่ปลอดภัย เพราะสิ่งนี้จะช่วยลดความเสี่ยงของการรั่วไหลของข้อมูล และยังเป็นโอกาสที่ดีในการตรวจสอบ และทำให้มั่นใจว่ามันสามารถป้องกันข้อมูลและจัดการกับข้อบังคับต่างๆได้
ความเสี่ยงทางไซเบอร์ควรได้รับการตรวจสอบบ่อยแค่ไหน?
ความเสี่ยงทางไซเบอร์นั้นเป็นสิ่งที่ไม่คงที่ และความเสี่ยงทางไซเบอร์ของบริษัทก็ควรรับการพิจรณาอย่างต่อเนื่อง จากการสำรวจการละเมิดความปลอดภัยทางไซเบอร์ของ gov.ukปี2019 พบว่า 60% ของธุรกิจขนาดกลางและขนาดใหญ่รายงานว่ามีการละเมิดความปลอดภัยทางไซเบอร์ในช่วง 12 เดือนที่ผ่านมา ซึ่งสิ่งนี้ได้ลดลงมาแล้วเมื่อเทียบกับหลายปีก่อน
ดูเหมือนว่าบริษัทจะมีความรับผิดชอบในเรื่องความปลอดภัยทางไซเบอร์มากขึ้น โดย 58% ของบริษัทขนาดใหญ่ได้รับการปรับปรุงด้านความปลอดภัยทางไซเบอร์อย่างน้อยเดือนละครั้ง แต่ก็ยังมีอีก 26% ของธุรกิจขนาดใหญ่ก็ยังคงไม่มีนโยบายความปลอดภัยทางไซเบอร์ที่เป็นทางการ ซึ่งเป็นเหตุทำให้พวกเขาเปิดรับการโจมตีทางไซเบอร์อย่างหนักและเกิดการสูญเสียข้อมูลและอื่นๆ
ความเสี่ยงทางไซเบอร์ไม่เคยมีความสำคัญมากเท่านี้มาก่อน ผู้นำทางธุรกิจต่างๆจึงจำเป็นต้องนำเรื่องเหล่านี้เข้าอภิปรายกับคณะกรรมการบ่อยมากขึ้น เพราะในขณะที่โลกไซเบอร์กำลังพัฒนาขึ้นเรื่อย ๆ ผู้เคราะห์ร้ายก็ต้องตกเป็นเหยื่อเพิ่มขึ้นเช่นกัน
