ทุกวันนี้เรื่องความปลอดภัยขององค์กรนับเป็นเรื่องที่ไม่อาจมองข้าม เนื่องจากภัยคุกคามทางไซเบอร์มีรูปแบบที่ซับซ้อนมากขึ้น และบ่อยครั้งบุคลากรที่ทำงานด้าน Information Security ขององค์กรไม่สามารถทำให้แผนกอื่น ๆ ตระหนักรู้หรือรู้เท่าทันในเรื่องของความปลอดภัยจนทำให้องค์กรมีความเสี่ยงอย่างหลีกเลี่ยงไม่ได้
คำว่า Cyber Security ถือได้ว่าเป็นคำที่ถูกหยิบยกมากล่าวถึงมากที่สุดคำหนึ่งเมื่อพูดถึงเรื่องความมั่นคงปลอดภัย ไม่ว่าจะเป็นภาพของบริษัทเอกชน รัฐบาล รัฐวิสาหกิจ ตลอดจนหน่วยงานด้านการทหารที่มีหน้าที่คุ้มครองความปลอดภัยให้กับประชาชนในประเทศเองก็ถือว่าเรื่อง Cyber Security เป็นเรื่องเร่งด่วนที่จะต้องมีการพัฒนาทีมงานให้มีความสามารถทางด้าน Information Security มาเสริมให้กับกองทัพ
เพราะ Cyber War ถือเป็นรูปแบบของการทำสงครามรูปแบบใหม่ที่ยากนักที่เราจะหลีกเลี่ยงการรุกรานของผู้บุกรุก แล้วคุณคิดว่าตอนนี้องค์กรของคุณมีทีมงานด้าน Information Security ที่พร้อมจะต่อกรกับผู้รุกรานขนาดไหน
องค์กรส่วนใหญ่มอง Cyber Security อย่างไร?
สำหรับองค์กรขนาดเล็ก-กลางนั้น การจะจัดตั้งทีมงานด้าน Information Security ขึ้นมาโดยเฉพาะถือได้ว่าเป็นเรื่องยากมาก ส่วนใหญ่จะฝากงานนี้เอาไว้กับหน่วยงานไอทีที่มีความชำนาญในการบริหารจัดการเทคโนโลยีเป็นผู้ทำหน้าที่ Information Security ไปด้วย
ในขณะที่องค์กรที่มีขนาดใหญ่มีพนักงานตั้งแต่ 500 คนขึ้นไปนั้นมีความพร้อมที่จะจัดตั้งหน่วยงานทางด้าน Information Security เพื่อดูแลงานด้านความปลอดภัยขององค์กรโดยเฉพาะตามหลักมาตรฐานสากล ISO27002 ที่เน้นให้ผู้บริหารมีความเข้าใจในเรื่อง Security และส่งเสริมให้องค์กรมีความปลอดภัยด้วยการจัดตั้งหน่วยงาน Information Security ขึ้นมาทำหน้าที่ดูแลความปลอดภัยให้กับองค์กร และ Security Incident ที่เกิดขึ้นกับองค์กรจะต้องมีการรายงานให้ผู้บริหารทราบตามลำดับความสำคัญของเหตุการณ์ที่กำหนดเอาไว้
ในรูปที่ 1 จะเป็นการถามเกี่ยวกับความชำนาญของผู้ทำงานด้าน Security ที่ขาดอยู่ในปัจจุบัน โดยอันดับ 1 ที่องค์กรส่วนใหญ่จะเห็นตรงกันก็คือเรื่องของการขาดความเข้าใจในธุรกิจ เพราะคนทำงานด้าน Information Security ส่วนใหญ่นั้นมาจากสายคอมพิวเตอร์ซึ่งมักจะมีความรู้ทางด้านไอทีมากกว่าความรู้ทางด้านธุรกิจ
อันดับ 2 ก็คือการขาดความรู้ทางด้านเทคนิคนั้นก็เกิดจากสถานศึกษายังไม่ได้มีการผลิตสาขาด้าน Information Security มากเท่ากับความต้องการขององค์กรต่าง ๆ ที่เติบโตมากขึ้น โดยเฉพาะองค์กรที่อยู่ภายใต้กฎหมายหรือข้อบังคับของหน่วยงานกำกับดูแลต่าง ๆ ทำให้ได้คนที่ไม่ได้มีความชำนาญทางด้าน Information Security เข้ามาร่วมงาน
และสุดท้ายก็คือเรื่องของการขาดทักษะในการสื่อสาร เพราะคนทางด้านไอทีส่วนใหญ่จะไม่ชำนาญในการพูดคุยกับคนเท่าไหร่ ทำให้บ่อยครั้งคนที่ทำงานด้าน Information Security ไม่สามารถทำให้ฝ่ายอื่น ๆ โดยเฉพาะฝ่ายขายและฝ่ายการเงินมีความตระหนักรู้ในเรื่องของ Information Security และ Security Incident จนทำให้องค์กรเกิดความเสี่ยงขึ้นมา ดังนั้นถ้าองค์กรใดที่ไม่สามารถเลือกบุคลากรที่มีคุณสมบัติครบถ้วนมาร่วมงานได้ ก็คงจะต้องเติมเต็มให้กับบุคลากรที่เลือกมาแล้ว เพื่อให้สามารถช่วยดูแลความปลอดภัยขององค์กรให้ดีที่สุด
ผลการสำรวจว่าใครคือผู้คุกคามองค์กรของท่านมากที่สุด (ที่มา : “State of Cybersecurity : Implications ของ ISACA และ RSA โดยทำการสำรวจผู้ชำนาญการด้านไอที 636 คน)” จากรูป ที่ถามเกี่ยวกับว่าใครคือผู้ที่คุกคามองค์กรมากที่สุดในปีที่ผ่านมา จะเห็นได้ว่าคนในองค์กรที่เป็นเหยื่อโดยไม่รู้ตัวนั้นมีมากพอ ๆ กับอาชญกรทางไซเบอร์และแฮกเกอร์ที่เป็นความเสี่ยงที่องค์กรส่วนใหญ่จะตระหนักและหาทางป้องกันอยู่แล้ว
แต่คนในที่ไม่ได้มีส่วนรู้เห็นใด ๆ เมื่อเป็นเหยื่อของมัลแวร์ โทรจัน หรือ APT หรือเครื่องมือใด ๆ ที่ถูกติดตั้งโดยไม่ตั้งใจก็จะทำให้ข้อมูลที่ตนเองมีสิทธิ์นั้นตกไปอยู่ในมือของคนไม่ดีได้ เพราะองค์กรส่วนใหญ่จะประมาทว่าคนในองค์กรนั้นสามารถไว้วางใจได้
แต่จะเห็นได้ว่าเกือบ 30% นั้นก็เกิดจากคนในตั้งใจโกงหรือละเมิดต่อองค์กร ซึ่งเมื่อรวมทั้งสองส่วนเข้าด้วยกันจะเห็นได้ว่าคนในก็เป็นความเสี่ยงที่น่ากลัวไม่น้อยกว่าบรรดาอาชญากรที่มีความชำนาญเลย ดังนั้นองค์กรควรจะต้องมีมาตรการในการควบคุมพนักงานให้เหมาะสม สามารถทำงานได้เท่ากับหน้าที่ที่ได้รับผิดชอบ มีการตรวจสอบการทำงานโดยหัวหน้างาน และมีการเก็บล็อกเอาไว้ตรวจสอบในตอนที่เกิดปัญหาขึ้นในภายหลังด้วย
ซึ่งสิ่งเหล่านี้เป็นสิ่งที่กำหนดอยู่ในมาตรฐานของ Information Security Policy ที่องค์กรส่วนใหญ่มีการประกาศใช้ในองค์กรอยู่แล้ว แต่จะมีสักกี่องค์กรที่สามารถปฏิบัติตาม Policy ที่ได้ประกาศเอาไว้อย่างครบถ้วน เพียงแค่ทำให้คนส่วนใหญ่ในองค์กรเกิดความตระหนักรู้ถึงภัยคุกคามและเริ่มปฏิบัติตาม Policy ก็ทำให้องค์กรเกิดความปลอดภัยเพิ่มขึ้นแล้วนะครับ
ผลการสำรวจคนในองค์กรเชื่อมั่นในความสามารถของทีม Security ในการวิเคราะห์และจัดการ Security Incident แค่ไหน? (ที่มา : “State of Cybersecurity ของ ISACA และ RSA โดยทำการสำรวจผู้ชำนาญการด้านไอที 839 คน)” นั้นจะกล่าวถึงความเชื่อมั่นของคนในองค์กรเกี่ยวกับความสามารถของทีม Security ในการวิเคราะห์และจัดการ Security Incident ซึ่งจะเห็นว่าทีม Information Security สามารถจัดการกับ Security Incident ได้
แม้ว่าครึ่งหนึ่งจะเชื่อว่าสามารถจัดการได้เฉพาะปัญหาง่าย ๆ เท่านั้น แต่ก็ยังถือว่าคนส่วนใหญ่ยังมีศรัทธาและเชื่อว่าทีมงาน Information Security นั้นมีการจัดการกับ Security Incident ได้อย่างเหมาะสม
การจัดการปัญหา Cyber Security
การจะจัดการกับปัญหานี้ได้ก็ต้องเริ่มจากความเข้าใจก่อนว่าอะไรคือความเสี่ยงด้าน Cyber Security ที่องค์กรต้องเผชิญ แล้วจึงค่อยประเมินต่อว่าความเสียหายที่มีโอกาสที่จะเกิดกับองค์กรนั้นมากน้อยแค่ไหน สิ่งนั้นคุ้มค่าที่จะลงทุนหาวิธีการปกป้ององค์กรจากภัยคุกคามดังกล่าวหรือไม่
ซึ่งถ้าประเมินแล้วความเสี่ยงออกมาต่ำกว่าการลงทุน ก็คงจะไม่เหมาะสมนักที่เราจะต้องเสียเงินมากมายเหมือนกับการขี่ช้างจับตั๊กแตนที่ทำอย่างไรก็ไม่ทำให้เกิดความคุ้มค่าต่อองค์กรแต่อย่างใด แต่ถ้าความเสี่ยงนั้นสูงกว่ามูลค่าของการป้องกัน ก็ควรจะเลือกวิธีการป้องกันที่เหมาะสมมาปกป้ององค์กร แต่ถ้าทำการป้องกันไม่ได้จริง ๆ การเปิดล็อกไฟล์เพื่อให้มีหลักฐานเพียงพอต่อการตรวจสอบและแก้ไขปัญหาในภายหลังก็เป็นสิ่งที่ต้องทำ
หรือถ้าสามารถทำการป้องกันและตรวจสอบพร้อมกันได้ก็เป็นสิ่งที่ดีต่อองค์กร แต่สุดท้ายก็คงจะต้องขึ้นกับว่าองค์กรพร้อมที่จะจ่ายมากน้อยแค่ไหนเพื่อจัดการกับความเสี่ยงดังกล่าว เพราะความเสี่ยงนั้นมักจะเหมือนกับการทำประกัน ตอนที่ทำประกันอยู่มักจะไม่เกิดอะไรขึ้น แต่ถ้าไม่ทำเมื่อไหร่ ภัยต่าง ๆ ก็รุมเข้ามาแบบไม่ทันตั้งตัว
ติดตามเรื่องราว ความปลอดภัยทางไซเบอร์ได้กับ Theeleader.com