แคสเปอร์สกี้เแนะทักษะที่จำเป็นของ CISO
ไอที
Webmaster
2019-03-16 13:23:00
14
Webmaster
2019-03-16 13:23:00
14
-
สนับสนุนเนื่อหา
ขณะที่ความเสี่ยงทางไซเบอร์กำลังกลายเป็นประเด็นเชิงการดำเนินธุรกิจ บทบาทและหน้าที่ของผู้บริหารด้านความปลอดภัยสารสนเทศ (Chief Information Security Officer) หรือ CISO ขององค์กรก็กำลังเปลี่ยนแปลงไปเช่นกัน
CISO ยุคใหม่ มิได้เป็นเพียงหัวหน้าแผนก คอยรับผิดชอบดูแลเรื่องการติดตั้งและบริหารจัดการระบบค่าความปลอดภัย เช่น ต้องคอยดูว่าคอมพิวเตอร์ทุกเครื่องในบริษัทต้องลงซอฟต์แวร์เอนด์พอยต์ซิเคียวริตี้เวอร์ชั่นล่าสุดเรียบร้อยแล้ว หรือคอยเช็คให้แน่ใจว่าพอร์ตหลักสำคัญๆ ยังปลอดภัยดีอยู่ไม่ล่อแหลมต่อการต่อเชื่อมอินเทอร์เน็ต เป็นต้น
บทบาทเหล่านี้คงไม่เหมาะกับ CISO อีกต่อไปแล้ว ที่จะต้องมุ่งมั่นอยู่แค่เพียงทำให้องค์กรของตนปลอดภัยที่สุดในโลก เพราะจะเป็นการสกัดกั้นความก้าวหน้าและการสร้างผลกำไรให้แก่องค์กร ผู้บริหารระดับ C-เลเวล จึงมีบทบาทหน้าที่ที่ประกอบขึ้นด้วยสองสิ่งที่สำคัญ ดังนี้ อย่างแรก สนับสนุนให้องค์กรสามารถไปถึงเป้าหมายทางธุรกิจให้ได้ เช่น เปิดตัวผลิตภัณฑ์ใหม่ที่พัฒนาดีขึ้นกว่าเดิมได้รวดเร็วแซงหน้าคู่แข่ง ผู้ถือหุ้นเห็นผลงานแล้วเชื่อถือ ชื่นใจ และเพิ่มผลประกอบการ อย่างที่สอง ต้องเป็นมืออาชีพด้านความมั่นคงปลอดภัยไซเบอร์ และลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ที่คุกคามต่อธุรกิจของบริษัทได้
การสร้างสมดุลระหว่างสองสิ่งนี้จะต้องมีความเชี่ยวชาญด้านความปลอดภัยดีเยี่ยม และยังต้องตามทันเทคโนโลยีใหม่อยู่เสมอ พร้อมด้วยทักษะด้านอารมณ์ ซึ่งอาจจะมิได้มีติดตัวมาโดยธรรมชาติสำหรับคนที่เติบโตในสายงานทางแผนกไอที
"นายแม็กซิม โฟรลอฟ" รองประธานฝ่ายขายระดับโลก (Global Sales) บริษัท แคสเปอร์สกี้ แลป ได้แนะนำทักษะสำคัญ 4 ประการที่จะช่วยให้ CISO ในยุคปัจจุบันประสบความสำเร็จในบทบาทหน้าที่รับผิดชอบได้เป็นอย่างดี
อย่างแรกคือต้องมีความรู้เชิงธุรกิจ
แต่ก่อนตำแหน่ง CISO รับผิดชอบการพัฒนาแผนการป้องกันตัวโดยอิงจากสภาพการณ์ทั่วไปทางไอทีของบริษัท กลยุทธ์นี้ไม่เพียงพอแล้วสำหรับยุคนี้ และวิธีการทุกวันนี้จำเป็นที่จะต้องสอดคล้องไปได้ดีกับวิสัยทัศน์ทางธุรกิจ ดังที่จะเห็นจากประกาศรับสมัคร CISO จะต้องมีคุณสมบัตินอกเหนือจากความรู้ด้านระบบความปลอดภัยไอที และใบรับรองประกาศนียบัตรมาอีกยาว แต่ต้องพ่วงความเชี่ยวชาญความเข้าใจเชิงธุรกิจมากด้วย เพราะท้ายที่สุด CISO จำเป็นต้องประเมินความเสี่ยงและนำเสนอกลยุทธ์แผนงานที่ให้ความปลอดภัยที่สุดที่จะไม่เป็นอุปสรรคต่อความก้าวหน้าในการดำเนินธุรกิจ
สองคือทักษะการสื่อสารและการนำเสนอ
การอยู่ในระดับผู้บริหารนั้นย่อมต้องรับมือและทำงานร่วมกับผู้บริหารระดับ C รวมทั้งคณะกรรมการผู้อำนวยการทั้งหลาย ซึ่งจะมีน้อยคนมากที่มีความรู้ทางด้านระบบความมั่นคงปลอดภัย ซึ่งจัดเป็นความท้าทายในการปฏิบัติงานประการหนึ่งทีเดียว และ CISO ก็จำจะต้องคิดหาวิธีการที่จะสื่อสารให้คณะกรรมการเหล่านี้ได้เข้าใจถึงความเสี่ยงที่ต้องรับมือไม่สามารถเพิกเฉยได้ โดยละการใช้ศัพท์เทคนิคต่างๆ ที่คุ้นเคย
สามคือทักษะในการจัดการรับมือกับวิกฤตการณ์ที่เป็นภัยต่อความปลอดภัย
จากข้อมูลที่ปรากฏในรายงานการสำรวจโดยแคสเปอร์สกี้ แลป เมื่อเร็วๆ นี้ ชี้ว่า CISO จำนวน 86% คิดว่าการที่ระบบความมั่นคงปลอดภัยไซเบอร์ถูกล่วงละเมิดนั้นจะต้องเกิดขึ้นอย่างแน่นอนไม่ช้าก็เร็ว ย่อมหมายความว่าบริษัทองค์กรหน่วยงานธุรกิจต่างๆ ต้องเตรียมพร้อมรับมือเรื่องเหล่านี้ เช่นเดียวกับที่ทุกออฟฟิศมีแผนการรองรับหากเกิดอัคคีภัย องค์กรหรือบริษัทธุรกิจควรที่จะต้องวางแผนนโยบายวิธีการจัดการกรณีเกิดการคุกคามล่วงละเมิดขึ้นกับระบบเครือข่ายของบริษัท เพราะความตื่นตระหนกและความวุ่นวายไร้ระเบียบวิธีการที่เป็นระบบรังแต่จะทำให้สถานการณ์ย่ำแย่ลง
แผนปฏิบัติการ (action plan) นั้นมีมากกว่าเพียงแค่เปลี่ยนพาสเวิร์ดหรือกู้ระบบ ในการกำจัดหยุดยั้งการจู่โจมให้ได้อย่างรวดเร็วนั้น เป็นเรื่องสำคัญที่จะต้องระบุตัวผู้รับผิดชอบขั้นตอนต่างๆ ให้ชัดเจนลงไป รวมทั้งผู้ที่ต้องรับการแจ้งเหตุประจำแต่ละแผนก หากมีการล่วงละเมิดข้อมูลระบบ เป็นเรื่องสำคัญที่ CISO จะต้องร่วมรับรู้ความเป็นไปทุกขั้นตอน และเป็นตัวเชื่อมโยงรายงานสถานการณ์ให้แก่ผู้ที่เกี่ยวข้องทุกฝ่าย ประสานข้อมูลไปยังทีมงานที่ดูแลรับผิดชอบด้านความปลอดภัยเพื่อให้ดำเนินการตามขั้นตอน แจ้งไปยังหน่วยงานต่าง พร้อมข้อปฏิบัติเพื่อบรรเทาสถานการณ์
และสี่คือการกำกับดูแลและความเป็นผู้นำในสถานการณ์
มี CISO จำนวนมากถึง 62 % ที่เห็นด้วยว่าเรากำลังเผชิญภาวะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ผู้รู้ ผู้เชี่ยวชาญก็หาได้ยากขึ้นทุกที อย่างไรก็ตาม นี่เป็นเพียงปัญหาเล็ก เท่านั้น แต่ปัญหาใหญ่ที่ต้องเผชิญคือการดูแลพนักงานเหล่านี้ให้อยู่กับองค์กร ไม่ตัดสินใจเปลี่ยนงานเมื่อได้รับข้อเสนอจากที่อื่น ๆ
ดังนั้นในฐานะของ CISO ที่มีอิทธิพลต่อเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ ควรจะต้องปฏิบัติตัวให้เป็นผู้นำ ที่ได้รับความเชื่อถือ และยินดีปฏิบัติตาม เป็นผู้ที่ให้คำแนะนำหรือกฎระเบียบใดๆ แล้วได้รับการยอมรับ ให้การสนับสนุนจากลูกทีม และเป็นแรงบันดาลใจเชิงบวกให้แก่พนักงานทั่วไปในองค์กร
CISO ยุคใหม่ มิได้เป็นเพียงหัวหน้าแผนก คอยรับผิดชอบดูแลเรื่องการติดตั้งและบริหารจัดการระบบค่าความปลอดภัย เช่น ต้องคอยดูว่าคอมพิวเตอร์ทุกเครื่องในบริษัทต้องลงซอฟต์แวร์เอนด์พอยต์ซิเคียวริตี้เวอร์ชั่นล่าสุดเรียบร้อยแล้ว หรือคอยเช็คให้แน่ใจว่าพอร์ตหลักสำคัญๆ ยังปลอดภัยดีอยู่ไม่ล่อแหลมต่อการต่อเชื่อมอินเทอร์เน็ต เป็นต้น
บทบาทเหล่านี้คงไม่เหมาะกับ CISO อีกต่อไปแล้ว ที่จะต้องมุ่งมั่นอยู่แค่เพียงทำให้องค์กรของตนปลอดภัยที่สุดในโลก เพราะจะเป็นการสกัดกั้นความก้าวหน้าและการสร้างผลกำไรให้แก่องค์กร ผู้บริหารระดับ C-เลเวล จึงมีบทบาทหน้าที่ที่ประกอบขึ้นด้วยสองสิ่งที่สำคัญ ดังนี้ อย่างแรก สนับสนุนให้องค์กรสามารถไปถึงเป้าหมายทางธุรกิจให้ได้ เช่น เปิดตัวผลิตภัณฑ์ใหม่ที่พัฒนาดีขึ้นกว่าเดิมได้รวดเร็วแซงหน้าคู่แข่ง ผู้ถือหุ้นเห็นผลงานแล้วเชื่อถือ ชื่นใจ และเพิ่มผลประกอบการ อย่างที่สอง ต้องเป็นมืออาชีพด้านความมั่นคงปลอดภัยไซเบอร์ และลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ที่คุกคามต่อธุรกิจของบริษัทได้
การสร้างสมดุลระหว่างสองสิ่งนี้จะต้องมีความเชี่ยวชาญด้านความปลอดภัยดีเยี่ยม และยังต้องตามทันเทคโนโลยีใหม่อยู่เสมอ พร้อมด้วยทักษะด้านอารมณ์ ซึ่งอาจจะมิได้มีติดตัวมาโดยธรรมชาติสำหรับคนที่เติบโตในสายงานทางแผนกไอที
"นายแม็กซิม โฟรลอฟ" รองประธานฝ่ายขายระดับโลก (Global Sales) บริษัท แคสเปอร์สกี้ แลป ได้แนะนำทักษะสำคัญ 4 ประการที่จะช่วยให้ CISO ในยุคปัจจุบันประสบความสำเร็จในบทบาทหน้าที่รับผิดชอบได้เป็นอย่างดี
อย่างแรกคือต้องมีความรู้เชิงธุรกิจ
แต่ก่อนตำแหน่ง CISO รับผิดชอบการพัฒนาแผนการป้องกันตัวโดยอิงจากสภาพการณ์ทั่วไปทางไอทีของบริษัท กลยุทธ์นี้ไม่เพียงพอแล้วสำหรับยุคนี้ และวิธีการทุกวันนี้จำเป็นที่จะต้องสอดคล้องไปได้ดีกับวิสัยทัศน์ทางธุรกิจ ดังที่จะเห็นจากประกาศรับสมัคร CISO จะต้องมีคุณสมบัตินอกเหนือจากความรู้ด้านระบบความปลอดภัยไอที และใบรับรองประกาศนียบัตรมาอีกยาว แต่ต้องพ่วงความเชี่ยวชาญความเข้าใจเชิงธุรกิจมากด้วย เพราะท้ายที่สุด CISO จำเป็นต้องประเมินความเสี่ยงและนำเสนอกลยุทธ์แผนงานที่ให้ความปลอดภัยที่สุดที่จะไม่เป็นอุปสรรคต่อความก้าวหน้าในการดำเนินธุรกิจ
สองคือทักษะการสื่อสารและการนำเสนอ
การอยู่ในระดับผู้บริหารนั้นย่อมต้องรับมือและทำงานร่วมกับผู้บริหารระดับ C รวมทั้งคณะกรรมการผู้อำนวยการทั้งหลาย ซึ่งจะมีน้อยคนมากที่มีความรู้ทางด้านระบบความมั่นคงปลอดภัย ซึ่งจัดเป็นความท้าทายในการปฏิบัติงานประการหนึ่งทีเดียว และ CISO ก็จำจะต้องคิดหาวิธีการที่จะสื่อสารให้คณะกรรมการเหล่านี้ได้เข้าใจถึงความเสี่ยงที่ต้องรับมือไม่สามารถเพิกเฉยได้ โดยละการใช้ศัพท์เทคนิคต่างๆ ที่คุ้นเคย
สามคือทักษะในการจัดการรับมือกับวิกฤตการณ์ที่เป็นภัยต่อความปลอดภัย
จากข้อมูลที่ปรากฏในรายงานการสำรวจโดยแคสเปอร์สกี้ แลป เมื่อเร็วๆ นี้ ชี้ว่า CISO จำนวน 86% คิดว่าการที่ระบบความมั่นคงปลอดภัยไซเบอร์ถูกล่วงละเมิดนั้นจะต้องเกิดขึ้นอย่างแน่นอนไม่ช้าก็เร็ว ย่อมหมายความว่าบริษัทองค์กรหน่วยงานธุรกิจต่างๆ ต้องเตรียมพร้อมรับมือเรื่องเหล่านี้ เช่นเดียวกับที่ทุกออฟฟิศมีแผนการรองรับหากเกิดอัคคีภัย องค์กรหรือบริษัทธุรกิจควรที่จะต้องวางแผนนโยบายวิธีการจัดการกรณีเกิดการคุกคามล่วงละเมิดขึ้นกับระบบเครือข่ายของบริษัท เพราะความตื่นตระหนกและความวุ่นวายไร้ระเบียบวิธีการที่เป็นระบบรังแต่จะทำให้สถานการณ์ย่ำแย่ลง
แผนปฏิบัติการ (action plan) นั้นมีมากกว่าเพียงแค่เปลี่ยนพาสเวิร์ดหรือกู้ระบบ ในการกำจัดหยุดยั้งการจู่โจมให้ได้อย่างรวดเร็วนั้น เป็นเรื่องสำคัญที่จะต้องระบุตัวผู้รับผิดชอบขั้นตอนต่างๆ ให้ชัดเจนลงไป รวมทั้งผู้ที่ต้องรับการแจ้งเหตุประจำแต่ละแผนก หากมีการล่วงละเมิดข้อมูลระบบ เป็นเรื่องสำคัญที่ CISO จะต้องร่วมรับรู้ความเป็นไปทุกขั้นตอน และเป็นตัวเชื่อมโยงรายงานสถานการณ์ให้แก่ผู้ที่เกี่ยวข้องทุกฝ่าย ประสานข้อมูลไปยังทีมงานที่ดูแลรับผิดชอบด้านความปลอดภัยเพื่อให้ดำเนินการตามขั้นตอน แจ้งไปยังหน่วยงานต่าง พร้อมข้อปฏิบัติเพื่อบรรเทาสถานการณ์
และสี่คือการกำกับดูแลและความเป็นผู้นำในสถานการณ์
มี CISO จำนวนมากถึง 62 % ที่เห็นด้วยว่าเรากำลังเผชิญภาวะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ผู้รู้ ผู้เชี่ยวชาญก็หาได้ยากขึ้นทุกที อย่างไรก็ตาม นี่เป็นเพียงปัญหาเล็ก เท่านั้น แต่ปัญหาใหญ่ที่ต้องเผชิญคือการดูแลพนักงานเหล่านี้ให้อยู่กับองค์กร ไม่ตัดสินใจเปลี่ยนงานเมื่อได้รับข้อเสนอจากที่อื่น ๆ
ดังนั้นในฐานะของ CISO ที่มีอิทธิพลต่อเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ ควรจะต้องปฏิบัติตัวให้เป็นผู้นำ ที่ได้รับความเชื่อถือ และยินดีปฏิบัติตาม เป็นผู้ที่ให้คำแนะนำหรือกฎระเบียบใดๆ แล้วได้รับการยอมรับ ให้การสนับสนุนจากลูกทีม และเป็นแรงบันดาลใจเชิงบวกให้แก่พนักงานทั่วไปในองค์กร
