4 ทักษะจำเป็น ที่ CISOs ต้องมีไว้เพื่อเช็คให้แน่ใจว่าพอร์ทหลักสำคัญๆ ยังปลอดภัยดี ในปี 2019 ทั้งในเรื่องการติดตั้ง และบริหารจัดการระบบความปลอดภัย..
highlight
- ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ในปี 2019 จำเป็นต้องพัฒนา ทักษะที่เชี่ยวชาญมากกว่า 1 ด้าน ได้แก่ ต้องมีความรู้เชิงธุรกิจ, ต้องมีทักษะการสื่อสารและการนำเสนอ, ต้องมีทักษะในการจัดการรับมือกับวิกฤตการณ์ที่เป็นภัยต่อความปลอดภัย และทักษธในด้านการกำกับดูแล และความเป็นผู้นำในสถานการณ์
- 62% ที่เห็นด้วยว่าเรากำลังเผชิญภาวะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ การหาผู้รู้ ผู้เชี่ยวชาญก็หาได้ยากขึ้นทุกที
- 86% ของ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ คิดว่าการที่ระบบความมั่นคงปลอดภัยไซเบอร์ถูกล่วงละเมิดนั้นจะต้องเกิดขึ้นอย่างแน่นอนไม่ช้าก็เร็ว
- 62% ที่เห็นด้วยว่าเรากำลังเผชิญภาวะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ การหาผู้รู้ ผู้เชี่ยวชาญก็หาได้ยากขึ้นทุกที
4 ทักษะจำเป็น ที่ CISOs ต้องมีในปี 2019
ขณะที่ความเสี่ยงทางไซเบอร์กำลังกลายเป็นประเด็นเชิงการดำเนินธุรกิจ บทบาท และหน้าที่ของ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (CISO) ขององค์กรก็กำลังเปลี่ยนแปลงไปเช่นกัน โดยที่ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ยุคใหม่นี้มิได้เป็นเพียงหัวหน้าแผนก คอยรับผิดชอบดูแลเรื่องการติดตั้ง
และบริหารจัดการระบบคค่าวามปลอดภัย เช่น ต้องคอยดูว่าคอมพิวเตอร์ทุกเครื่องในบริษัทต้องลงซอฟท์แวร์เอนด์พอยนท์ซีเคียวริตี้เวอร์ชั่นล่าสุดเรียบร้อยแล้ว หรือคอยเช็คให้แน่ใจว่าพอร์ทหลักสำคัญๆ ยังปลอดภัยดีอยู่ไม่ล่อแหลมต่อการต่อเชื่อมอินเตอร์เน็ต เป็นต้น
บทบาทเหล่านี้คงไม่เหมาะกับ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ อีกต่อไปแล้ว ที่จะต้องมุ่งมั่นอยู่แค่เพียงทำให้องค์กรของตนปลอดภัยที่สุดในโลก เพราะจะเป็นการสกัดกั้นความก้าวหน้าและการสร้างผลกำไรให้แก่องค์กร ผู้บริหารระดับ C-เลเวล
จึงมีบทบาทหน้าที่ที่ประกอบขึ้นด้วยสองสิ่งที่สำคัญ ดังนี้ อย่างแรก สนับสนุนให้องค์กรสามารถไปถึงเป้าหมายทางธุรกิจให้ได้ เช่น เปิดตัวผลิตภัณฑ์ใหม่ที่พัฒนาดีขึ้นกว่าเดิมได้รวดเร็วแซงหน้าคู่แข่ง ผู้ถือหุ้นเห็นผลงานแล้วเชื่อถือ ชื่นใจ และเพิ่มผลประกอบการ
อย่างที่สอง ต้องเป็นมืออาชีพด้านความมั่นคงปลอดภัยไซเบอร์ และลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ที่คุกคามต่อธุรกิจของบริษัทได้การสร้างสมดุลระหว่างสองสิ่งนี้จะต้องมีความเชี่ยวชาญด้านความปลอดภัยดีเยี่ยม และยังต้องตามทันเทคโนโลยีใหม่อยู่เสมอ
พร้อมด้วยทักษะด้านอารมณ์ ซึ่งอาจจะมิได้มีติดตัวมาโดยธรรมชาติสำหรับคนที่เติบโตในสายงานทางแผนกไอที ต่อไปนี้เป็นทักษะสำคัญ 4 ประการที่จะช่วยให้ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ในยุคปัจจุบันประสบความสำเร็จในบทบาทหน้าที่รับผิดชอบได้เป็นอย่างดี
ต้องมีความรู้เชิงธุรกิจ
เมื่อก่อนนี้ ตำแหน่ง ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ รับผิดชอบการพัฒนาแผนการป้องกันตัวโดยอิงจากสภาพการณ์ทั่วไปทางไอทีของบริษัท กลยุทธ์นี้ไม่เพียงพอแล้วสำหรับยุคนี้ และวิธีการทุกวันนี้จำเป็นที่จะต้องสอดคล้องไปได้ดีกับวิสัยทัศน์ทางธุรกิจ
ดังที่จะเห็นจากประกาศรับสมัคร ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ จะต้องมีคุณสมบัตินอกเหนือจากความรู้ด้านระบบความปลอดภัยไอที และใบรับรองประกาศนียบัตรมาอีกยาว แต่ต้องพ่วงความเชี่ยวชาญความเข้าใจเชิงธุรกิจมากด้วยผลก็คือ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ไม่สามารถที่จะทำเพิกเฉย หรือกีดกันเทคโนโลยีที่โลกธุรกิจต้องการใช้งานได้อีกแล้ว
ตรงกันข้ามพวกเขากลับจำเป็นต้องประเมินความเสี่ยง และนำเสนอกลยุทธ์แผนงานที่ให้ความปลอดภัยที่สุด ที่จะไม่เป็นอุปสรรคต่อความก้าวหน้าในการดำเนินธุรกิจ หากพนักงานจำเป็นที่จะต้องเรียกใช้ทรัพยากรของคอร์ปอเรทผ่านทางอุปกรณ์สื่อสารของพวกเขา
ก็เป็นเรื่องที่ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ จะต้องหาทางวางแผนงานนโยบาย BYOD ติดตั้งรองรับลงบนระบบเครือข่ายขององค์กรผู้ที่อยู่ในตำแหน่ง ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ซึ่ง Best Practice วิธีที่ดีที่สุด ให้ผลดีที่สุด คือ การแนะผู้อื่นเสมือนเป็นผู้จัดการความเสี่ยง (Risk Manager) ไปพร้อม ๆ
กับการให้คำแนะนำความช่วยเหลือในการดำเนินงาน ก่อนนำเทคโนโลยีใหม่เข้ามาใช้ เราจะมีการประชุมกับแผนกที่จะเป็นคนใช้งานให้ชัดเจน เพื่อให้แน่ใจว่าการเปลี่ยนแปลงที่เกิดขึ้นนี้ จะไม่สร้างความเสี่ยงต่อระบบความปลอดภัยของบริษัท ดังนั้น เราจึงจะเริ่มเปลี่ยนแปลงในส่วนที่จำเป็น เพื่อให้สอดคล้องกันกับระบบเครือข่ายของเราอย่างลงตัว
ทักษะการสื่อสาร และการนำเสนอ
การอยู่ในระดับผู้บริหารนั้นย่อมต้องรับมือ และทำงานร่วมกับผู้บริหารระดับ C รวมทั้งคณะกรรมการผู้อำนวยการทั้งหลาย ซึ่งจะมีน้อยคนมากที่มีความรู้ทางด้านระบบความมั่นคงปลอดภัย ซึ่งจัดเป็นความท้าทายในการปฏิบัติงานประการหนึ่งทีเดียว และผู้บริหารความมั่นคงปลอดภัยสารสนเทศ
ก็จำจะต้องคิดหาวิธีการที่จะสื่อสารให้คณะกรรมการเหล่านี้ได้เข้าใจถึงความเสี่ยงที่ต้องรับมือไม่สามารถเพิกเฉยได้ โดยละการใช้ศัพท์เทคนิคต่าง ๆ ที่คุณแสนจะคุ้นเคย ถึงแม้ว่าความสามารถในการนำเสนอแนวคิดซับซ้อนให้ฟังเข้าใจง่ายนั้นจะเป็นคำที่เราได้ยินกันจนเบื่อ
แต่ทักษะการแปลภาษาที่ใช้กันในแวดวงระบบความมั่นคงปลอดภัยให้เป็นภาษาธุรกิจนั้นจะเป็นเรื่องที่ช่วยเติมเต็มช่องว่างระหว่างสองโลกนี้ได้อย่างมาก และยังช่วยได้ในยามจำเป็นที่สุด คือ เมื่อตอนที่ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ต้องนำเสนองบประมาณความปลอดภัยไอทีนั่นเอง
เพราะว่าเรื่องของความปลอดภัยเป็นเพียงส่วนหนึ่งของงบไอทีทั้งหมด และเงินมักจะถูกเทไปให้กับโครงการไอทีที่เห็นได้ชัดเจนกว่าในการสร้างผลกำไร และคืนทุนได้เร็วกว่า ทักษะการสื่อสาร เช่น ความสามารถในการปรับข้อมูลให้เข้ากับผู้ฟังที่ไม่ได้เชี่ยวชาญหรือคุ้นเคยกับเทคโนโลยีต่าง ๆ
และยังต้องสามารถตอบโต้อธิบายให้เกิดความเชื่อถือ ไม่ว่าจะเป็น ค่าปรับจากการไม่ปฏิบัติกฎข้อบังคับ, ค่าความเสียหายจากการเป็นเหยื่อถูกโจมตีที่ผ่านมา รายงานการถูกละเมิดแบบต่าง ๆ จนเห็นคล้อยตามได้ว่าประโยชน์ที่จะได้รับจากการลงทุนด้านระบบความมั่นคงปลอดภัยนี้มากกว่าค่าใช้จ่ายที่จะลงไปแน่นอน
ทักษะในการจัดการรับมือกับวิกฤตการณ์ที่เป็นภัยต่อความปลอดภัย
จากข้อมูลที่ปรากฏในรายงานการสำรวจโดย แคสเปอร์สกี้ แลป เมื่อเร็วๆ นี้ ชี้ว่า 86% ของ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ คิดว่าการที่ระบบความมั่นคงปลอดภัยไซเบอร์ถูกล่วงละเมิดนั้นจะต้องเกิดขึ้นอย่างแน่นอนไม่ช้าก็เร็ว ย่อมหมายความว่าบริษัทองค์กรหน่วยงานธุรกิจต่างๆ ต้องเตรียมพร้อมรับมือเรื่องเหล่านี้
เช่นเดียวกับที่ทุกออฟฟิศมีแผนการรองรับหากเกิดอัคคีภัย องค์กรหรือบริษัทธุรกิจควรที่จะต้องวางแผนนโยบายวิธีการจัดการกรณีเกิดการคุกคามล่วงละเมิดขึ้นกับระบบเครือข่ายของบริษัท เพราะความตื่นตระหนก และความวุ่นวายไร้ระเบียบวิธีการที่เป็นระบบรังแต่จะทำให้สถานการณ์ย่ำแย่ลง
แผนปฏิบัติการ (Action Plan) นั้นมีมากกว่าเพียงแค่เปลี่ยนพาสเวิร์ดหรือกู้ระบบ ในการกำจัดหยุดยั้งการจู่โจมให้ได้อย่างรวดเร็วนั้น เป็นเรื่องสำคัญที่จะต้องระบุตัวผู้รับผิดชอบขั้นตอนต่างๆ ให้ชัดเจนลงไป รวมทั้งผู้ที่ต้องรับการแจ้งเหตุประจำแต่ละแผนก ไม่ว่าจะเป็น แผนกกฎหมาย, สื่อสารองค์กร หรือทีมลูกค้าสัมพันธ์ก็ตาม
ซึ่งพวกเขาเหล่านี้ก็จะเข้ามามีส่วนร่วมในการแก้ไขปัญหาวิกฤตที่เกิดขึ้น หากมีการล่วงละเมิดข้อมูลระบบ เป็นเรื่องสำคัญที่ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ จะต้องร่วมรับรู้ความเป็นไปทุกขั้นตอน
และเป็นตัวเชื่อมโยงรายงานสถานการณ์ให้แก่ผู้ที่เกี่ยวข้องทุกฝ่าย ประสานข้อมูลไปยังทีมงานที่ดูแลรับผิดชอบด้านความปลอดภัยเพื่อให้ดำเนินการตามขั้นตอน แจ้งไปยังหน่วยงานต่าง พร้อมข้อปฏิบัติเพื่อบรรเทาสถานการณ์
การกำกับดูแล และความเป็นผู้นำในสถานการณ์
มี ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ถึง 62% ที่เห็นด้วยว่าเรากำลังเผชิญภาวะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ การหาผู้รู้ ผู้เชี่ยวชาญก็หาได้ยากขึ้นทุกที อย่างไรก็ตาม นี่เป็นเพียงปัญหาเล็ก เท่านั้น แต่ปัญหาใหญ่ที่เราต่างต้องเผชิญคือการเก็บรักษาดูแลพนักงานไว้ให้อยู่กับองค์กร
ซึ่งการที่องค์กรไม่มีผู้เชี่ยวชาญด้านความปลอดภัยมาคอยดูแล หมายความว่าพนักงานได้รับข้อเสนอจากที่อื่นเมื่อตัดสินใจเปลี่ยนงาน และการที่บริษัทไม่มีเจ้าหน้าที่ด้านนี้โดยตรง ทำให้งานด้านนี้ตกเป็นภาระรับผิดชอบของพนักงานในองค์กร ด้วยจำนวนขั้นตอนยิบย่อย
ที่ต้องทำซ้ำ ๆ ก็เป็นงานที่น่าเบื่อ แถมเลี่ยงไม่ได้ พอ ๆ กับอาชญากรรมไซเบอร์เลย ใช่หรือไม่? ในฐานะของ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ พวกเขามีอิทธิพลต่อเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ ต้องปฏิบัติตัวให้เป็นผู้นำ ที่ได้รับความเชื่อถือ และยินดีปฏิบัติตาม เป็นผู้ที่ให้คำแนะนำหรือกฎระเบียบใด ๆ แล้วได้รับการยอมรับ ให้การสนับสนุนจากลูกทีม
และเป็นแรงบันดาลใจเชิงบวกให้แก่พนักงานทั่วไปในองค์กร แรงจูงใจมิใช่ผูกติดอยู่กับเงินพิเศษเท่านั้น แต่สามารถที่จะโยงไปกับสิทธิ์พิเศษในการเข้าไปส่วนหนึ่งในทีมที่มีอำนาจตัดสินใจ,โอกาสในการเรียนรู้และพัฒนาตนเอง เช่น การมีส่วนร่วมในการประชุมด้านความมั่นคงปลอดภัย เป็นต้น
หรือจะเป็นประกาศนียบัตร รางวัลตอบแทนจูงใจ มอบให้แก่การอุทิศตนของพนักงาน ซึ่งแต่ละคนก็จะมีเรื่องจูงใจที่แตกต่างกัน ดังนั้นการเป็น ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ที่มีประสิทธิภาพ จำเป็นต้องรู้จักเลือก สิ่งจูงใจที่เหมาะสมที่สุด หรือแหล่งสร้างแรงกระตุ้นแรงจูงใจให้แก่ทุกคนในทีมได้ตรงใจที่สุด
บทบาทที่เปลี่ยนไป ถนัดด้านเดียวอาจไม่พอ
เห็นได้ชัดว่าบทบาทของ ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ กำลังแปรเปลี่ยนไป จำเป็นต้องมีส่วนผสมที่ลงตัวระหว่างทักษะด้านความรู้และด้านอารมณ์ มีคุณสมบัติที่ดีของผู้นำและด้านการบริหาร ที่ต้องเข้าใจในด้านไอที พร้อมด้วยความเชี่ยวชาญทางด้านธุรกิจ และที่สำคัญต้องมีความรู้เชี่ยวชาญในด้านความมั่นคงปลอดภัยไซเบอร์อีกด้วย
ขณะที่ทักษะทางเทคนิคัลเป็นรากฐานสำคัญของตำแหน่งหน้าที่ ก็จะมีปัจจัยอื่นๆ ที่เข้ามามีผลกระทบต่อทักษะทั้งสองด้านนี้ เช่น การเติบโตของทูลในแบบ Artificial Intelligence Powered ที่เข้ามาช่วยรับมือกับอาชญากรรมไซเบอร์ วึ่งมิได้หมายความว่าหุ่นยนต์จะเข้ามาแย่งงาน
เพราะยังไงๆ ก็ขาดทักษะด้านอารมณ์ วันหนึ่งข้างหน้า เครื่องจักรมาชีนต่างๆ อาจจะมีความเชี่ยวชาญในการจัดการกับอาชญากรรมไซเบอร์ได้ดีกว่ามนุษย์ และปัญหาจุกจิกด้านเทคนิคได้ดีกว่า แต่ไม่ว่าจะอย่างไรก็ตาม ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ ยังจะต้องเป็นผู้บริหารที่มีทักษะด้านอารมณ์
เช่น บริหารเวลาและทีมงาน ประสานความเชี่ยวชาญทางธุรกิจ ซึ่งจะทำให้บทบานหน้าที่นี้ยังเป็นตำแหน่งจำเป็นสำคัญในองค์กรธุรกิจในอนาคตอยู่ต่อไป
ส่วนขยาย * บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ ** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) *** ข้อมูล โดย แม็กซิม โฟรลอฟ รองประธานฝ่ายขายระดับโลก บริษัท แคสเปอร์สกี้ แลป **** ขอขอบคุณภาพประกอบบางส่วนจาก www.pexels.com
สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่