ผู้บริหารธุรกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้จำนวนทุกหนึ่งในสี่คน มักไม่อยากให้ใครรู้ว่าตนขาดความรู้เรื่องความปลอดภัยทางไซเบอร์ จากการสำรวจข้อมูลโดยแคสเปอร์สกี้ล่าสุดเผยว่า ผู้บริหารระดับ C-level จำนวนหนึ่งในสิบนั้นไม่เคยได้ยินเรื่องภัยคุกคามไซเบอร์อย่าง Botnet, APT หรือ Zero-Day exploit และยังมีอีกส่วนหนึ่งที่ก็ไม่เคยคุ้นเรื่องคอนเซ็ปต์ความปลอดภัยไซเบอร์อย่าง DecSexOps, ZeroTrust, SOC หรือ Pentesting
ข้อมูลจากการศึกษาของ PwC ชี้ว่า แม้ระบบรักษาความปลอดภัยทางไซเบอร์จะกลายมาเป็นส่วนหนึ่งในการตัดสินใจทางธุรกิจของเกือบจะทุกองค์กรธุรกิจไปแล้วก็ตามในปัจจุบัน แต่ก็พบว่าผู้บริหารเกือบครึ่งก็ยังขาดความมั่นใจในการจัดสรรเงินลงทุนว่าได้ลงไปในส่วนที่เป็นความเสี่ยงที่ร้ายแรงที่สุดขององค์กรหรือไม่ แคสเปอร์สกี้เองก็ได้สำรวจข้อมูลในส่วนนี้เพื่อสนับสนุนฝ่ายไอทีและผู้บริหาร C-Level ในการหาจุดร่วม ระบุสาเหตุของความเข้าใจคลาดเคลื่อน โดยสำรวจผู้บริหารจำนวน 300 คนในภูมิภาคเอเชียตะวันออกเฉียงใต้
ผลการสำรวจความคิดเห็นของแคสเปอร์สกี้ระบุว่าผู้บริหารระดับ C-level ในบางครั้งก็ไม่เข้าใจผู้บริหารจากฝ่ายความปลอดภัยไอทีเท่าใดนัก แต่ก็ไม่อยากจะให้อีกฝ่ายหนึ่งจับได้ว่าตนไม่รู้เรื่อง มีผู้บริหารนอกสายไอทีจำนวน 26% ที่เห็นว่าตนไม่สะดวกใจที่จะยอมรับว่ามีเนื้อหาเกี่ยวกับไอทีหรือความปลอดภัยทางไอทีที่ไม่เข้าใจในระหว่างการประชุม
อย่างไรก็ตาม ผู้บริหารส่วนมากมักเลือกที่จะกลบเกลื่อนความงุนงงจากความไม่เข้าใจของตนไว้ระหว่างประชุม นั่นเพราะพอใจที่จะมาซักถามเพิ่มเติมหลังจากนั้นนอกที่ประชุม หรือเลือกที่จะหาหนทางทำความเข้าใจด้วยตนเองมากกว่า ผู้บริหารเกินครึ่ง (55%) ไม่ซักถามเพิ่มเติม เพราะเชื่อว่าเพื่อนร่วมงานสายไอทีไม่สามารถให้คำอธิบายให้กระจ่างได้ ผู้บริหารเกือบสองในห้ารู้สึกกระดากใจที่จะรับว่าตนไม่เข้าใจ และอีก 42% ไม่ต้องการดูเขลาในสายตาเพื่อนผู้บริหารจากสายไอทีนั่นเอง
แม้ว่าจริงๆ แล้วผู้บริหารระดับสูงในเอเชียตะวันออกเฉียงใต้ระบุว่า ได้พูดคุยปรึกษาเรื่องระบบความปลอดภัยกับผู้บริหารสายความปลอดภัยทางไอทีอยู่เสมอ แต่ผู้บริหารมากกว่าหนึ่งในสิบกลับไม่เคยได้ยินเรื่องภัยคุกคามทางไซเบอร์ อาทิ Zero-Day exploit (11%), Botnet (9%) หรือแม้แต่ APT (9%) กันเลย แต่พอจะมีความคุ้นเคยกับ Spyware, Malware, Trojan และ Phishing อยู่บ้าง
ผู้จัดการระดับสูงจำนวนมากกว่าหนึ่งในสิบที่ระบุว่า ไม่เคยได้ยินศัพท์ด้านความทางไซเบอร์ต่อไปนี้มาก่อน DecSecOps (10%), SOC (10%), Pentesting (10%) และ ZeroTrust (6%)
นายเซอร์เจย์ ซูวคอฟ สถาปนิกด้านโซลูชัน แคสเปอร์สกี้ กล่าวว่า “กลุ่มผู้บริหารระดับสูงที่ไม่ใช่สายไอทีนั้นไม่จำเป็นต้องเป็นผู้เชี่ยวชาญคำศัพท์ซับซ้อนหรือคอนเซ็ปต์ต่างๆ ด้านความปลอดภัยทางไซเบอร์ และที่สำคัญ คือสายไอทีเองก็ควรตระหนักในจุดนี้ไว้เสมอเมื่อสื่อสารกับคณะผู้บริหาร เพื่อเป็นการสร้างรากฐานที่มั่นคง ความร่วมมือที่มีประสิทธิภาพแข็งแกร่งจากฝ่ายบริหาร เมื่อทีม CISO ต้องรายงานสื่อสาร ควรเน้นรายละเอียดสำคัญและอธิบายมาตรการต่างๆ ที่กำลังดำเนินการเพื่อลดความเสี่ยงทางไซเบอร์ ให้ผู้ที่มีส่วนเกี่ยวข้องได้รับทราบอย่างชัดเจน เช่นนี้คือการสื่อสารเพื่อแจ้งถึงการแก้ปัญหาแทนการเน้นไปที่ปัญหานั่นเอง”
นายคริส คอนเนลล์ กรรมการผู้จัดการภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ กล่าวว่า “อีกด้านหนึ่ง มีฝ่ายความปลอดภัยทางไอทีในเอเชียตะวันออกเฉียงใต้เพียง 6% ที่รับว่าเผชิญความยุ่งยากเมื่อต้องนำเรื่องงานขึ้นปรึกษากับผู้บริหารระดับ C-level หมายความว่าคนในสายงานเทคนิคส่วนมากนั้นเข้าใจเอาเองว่าผู้มีอำนาจในการตัดสินใจนั้นมีความเข้าใจในเรื่องงานที่ตนนำไปพูดคุยด้วย ซึ่งถือเป็นช่องว่างอันตรายที่ทีมงานระบบความปลอดภัยทางไซเบอร์ต้องจัดการให้ได้ ใช้เครื่องมือสื่อสารที่มีประสิทธิภาพในการช่วยอธิบาย ไม่ว่าจะเป็น การยกตัวอย่างจริง ประกอบรายงาน ตัวเลขสถิติต่างๆ เพื่อให้บรรลุผล และเข้าใจชัดเจน”
แคสเปอร์สกี้มีคำแนะนำเพื่อช่วยให้การสื่อสารภายในองค์กรระหว่างฝ่ายความปลอดภัยทางไอทีและงานสายธุรกิจดำเนินไปได้อย่างมีประสิทธิภาพ ดังต่อไปนี้
- ความปลอดภัยทางไอทีนั้นควรได้รับการวางตำแหน่งไว้เป็นตัวขับเคลื่อนการเติบโตและนวัตกรรมทางธุรกิจขององค์กร ซึ่งทางทีมไอทีก็ควรต้องละเลิกการสื่อสารในรูปแบบการห้าม แต่กลับมาอธิบายให้ข้อมูล ให้ทางแก้หรือลดปัญหาที่อาจจะเกิดมาจากความเสี่ยงทางไซเบอร์ที่จะกระทบต่อธุรกิจ
- CISO ควรเข้าไปมีส่วนร่วมในขั้นตอนการปฏิบัติงาน สร้างสัมพันธ์กับผู้ที่มีส่วนเกี่ยวข้องกับธุรกิจ ทีม CISO ไม่ถึง 20% ที่ได้มีการสร้างระบบความร่วมมือกับทางผู้บริหารฝ่ายขาย การเงิน การตลาด ดังนั้น ก็ย่อมจะเป็นการยากที่จะเข้าใจถึงความเป็นไปของการดำเนินธุรกิจ
- เมื่อต้องสื่อสารรายงานต่อคณะกรรมการบริหาร ควรสร้างความสำคัญให้แก่เนื้อหาด้วยการอ้างอิง ภาพรวมของภัยคุกคามทางไซเบอร์โดยผู้เชี่ยวชาญ สถานภาพขององค์กรในส่วนการถูกคุกคามทางไซเบอร์ และเสนอแนวทางปฏิบัติที่ให้ผลเลิศต่อองค์กร (best practices)
- อธิบายความรับผิดชอบของทีมระบบรักษาความปลอดภัยทางไซเบอร์ต่อคณะกรรมการบริหาร หากทำได้ ให้ผู้บริหารได้ลองมาเป็น CISO เพื่อให้เห็นภาพที่ชัดเจนของความสำคัญที่มีต่อการรับมือความท้าทายด้านความปลอดภัยไซเบอร์
- จัดสรรงบสำหรับเครื่องมือที่มีผลการทำงานเป็นที่ยอมรับและให้ผลคุ้มค่าต่อการลงทุน เป็นเครื่องมือที่ลดการแจ้งเตือนผิดพลาด และลดเวลาในการตรวจจับการโจมตี เพราะเวลาที่ใช้และวิธีการนั้นสำคัญและมีความหมายต่อความสำเร็จในการปฏิบัติงานของทีมความปลอดภัยไซเบอร์
แคสเปอร์สกี้ภูมิภาคเอเชียตะวันออกเฉียงใต้ยังได้เปิดตัวโปรโมชั่นซื้อ 1 ฟรี 1 สำหรับธุรกิจ SMB และองค์กรขนาดกลาง องค์กรธุรกิจสามารถใช้งานการป้องกันอุปกรณ์เอ็นด์พอยต์ระดับองค์กรเป็นเวลาสองปีในราคาหนึ่งปี ด้วย Kaspersky Endpoint Security for Business หรือ Cloud หรือ Kaspersky Endpoint Detection and Response Optimum พร้อมการสนับสนุนทางโทรศัพท์ทุกวันตลอด 24 ชั่วโมง ลูกค้าที่สนใจสามารถติดต่อได้ที่ [email protected]
ท่านสามารถโหลดรายงานฉบับเต็ม และการวิเคราะห์เชิงลึก เกี่ยวกับหัวข้อการสื่อสารระหว่าง C-level กับผู้บริหารสายไอทีได้ที่ https://www.kaspersky.com/blog/speak-fluent-infosec-2023/
ที่มา: พิตอน คอมมิวนิเคชั่น