Cybersecurity

Cybersecurity: 5 บทเรียนความปลอดภัยสำหรับทุกคน

5 บทเรียนความปลอดภัยขั้นพื้นฐานสำหรับทุกองค์กร ทั้งในโลกแห่งความเป็นจริงและโลกดิจิตอล

บทความนี้เกี่ยวกับมุมมองใหม่ของแวดวงความปลอดภัยไซเบอร์ ซึ่งมีหลายองค์กรยังทำกันไม่ครบถ้วนเท่าไหร่นัก

บทที่ 1: เริ่มต้นธุรกิจ (และความเสี่ยง)

ถ้าจะพูดถึงแนวทางปฏิบัติของความปลอดภัยนั้นดูเหมือนจะซับซ้อน แต่แก่นแท้ของมันนั้นค่อนข้างชัดเจน ซึ่งก็คือการลดหรือขจัดความเสี่ยงนั่นเอง และสร้างมันขึ้นมาให้เป็นรูปธรรมเพื่อให้รูปแบบของธุรกิจยอมรับและปฏิบัติต่อไป พวกเราในฐานะผู้อยู๋ในวงการความปลอดภัย จะต้องเข้าใจธุรกิจไม่ใช่แค่ในมุมมองของความปลอดภัย แต่เป็นทั้งหมดของธุรกิจ

ขั้นแรกของการเริ่มต้นธุรกิจ เราต้องระบุความเสี่ยง วางแผนและจัดประเภทของความเสี่ยง ต่อมาคือการตัดสินใจร่วมกับธุรกิจ ก่อนที่จะจัดการกับความเสี่ยงอย่างเป็นระบบ

เมื่อร่างทุกอย่างเป็นที่เรียบร้อย ผู้ที่มีหน้าที่จัดการเรื่องความปลอดภัยขององค์กรจะต้อง เริ่มใช้แผนและอธิบายถึงความเปลี่ยนแปลงให้กับคนอื่นๆให้ชัดเจน เพื่อสร้างความเข้าใจ

บทที่ 2: กำหนดโรดแมปที่ชัดเจน และเป็นขั้นเป็นตอน

หัวใจของการกำหนดโรดแมปคือการพูดคุยกันระหว่างผู้ดำเนินการและฝ่ายธุรกิจ เพื่อหาความสมดุลของทั้งสองฝ่ายและการดำเนินการตลอดระยะเวลาไปจนถึงเป้าหมาย

อีกสิ่งที่สำคัญก็คือเป้าหมายของธุรกิจ เพราะแผนความปลอดภัยจะต้องไม่มีลักษณะที่ขัดขวางการดำเนินธุรกิจ และแผนการจะต้องเข้าถึงทุกคนไม่ใช่เฉพาะฝ่าย IT เท่านั้นที่จะเข้าใจ แม้เรื่องนี้จะเป็นของฝ่าย IT แต่ทุกคนต้องรับผิดชอบร่วมกัน

บทที่ 3: พื้นฐานต้องมั่นคงก่อนที่จะเพิ่มระดับการรักษาความปลอดภัย

shutterstock_240564724-1

จากประสบการณ์ทำงานของเราพบว่าองค์กรส่วนมากยังไม่มีพื้นฐานความปลอดภัยที่ดีพอ และเมื่อเราพูดถึงความปลอดภัยในระดับที่สูงขึ้น ฝ่าย IT ขององค์กรก็ต่างงงกันไปเป็นแถว และ 90% ขององค์กรให้ความเห็นว่าจุดอ่อนต่อการ “แฮก” ขององค์กรคือ Phishing, ไฟล์แนบในอีเมล์ อะไรประมาณนี้ ทั้งๆที่จุดอ่อนที่สุดจริงๆก็คือ ตัวผู้ใช้เอง

ดังนั้นองค์กรจึงต้องสร้างพื้นฐานด้านความปลอดภัยที่ดีเสียก่อน เพื่อที่จะพัฒนาและยกระดับความปลอดภัยให้กับองค์กร ถึงแม้การรักษาความปลอดภัยจะต้องอยู่ในระดับที่แน่นหนาที่สุด แต่สิ่งนั้นก็ย่อมมาหลังจากการมีพื้นฐานที่ดีเป็นตัวตั้ง

บทที่ 4: สร้างความร่วมมือที่ดีกับผู้เชี่ยวชาญ IT

shutterstock_424790479-1

ถ้าเปรียบเทียบการสร้างความปลอดภัยเป็นเหมือนบ้าน เราอาจบอกได้ว่าความปลอดภัยเป็นเหมือนกับโครงสร้าง และธุรกิจก็คือตัวบ้าน เพราะโครงสร้างที่ดีจะทำให้บ้านออกมาแข็งแรงทนทาน

ซึ่งทั้งในโลก IT และโลกของความเป็นจริงการสร้างอะไรสักอย่างขึ้นมาก็มีพื้นฐานที่ไม่ต่างกัน เราต้องมีการร่วมมือกันอย่างเต็มที่ เพราะไม่มีสถาปัตยกรรมไหนที่เหมาะสมกับทุกรูปแบบของบ้าน

เพราะฉะนั้นจึงไม่มีธุรกิจรักษาความปลอดภัยไหนที่ดีที่สุดสำหรับทุกๆองค์กร หากองค์กรยังไม่ให้ความร่วมมืออย่างเต็มที่เพื่อดำเนินโรดแมปความปลอดภัยให้ประสบความสำเร็จ

บทที่ 5: ความรับผิดชอบเป็นของทุกๆคน

เพื่อที่ทำให้ความปลอดภัยและองค์กรไปด้วยกันได้ ฝ่าย IT ก็ต้องอธิบายให้องค์กรและผู้ที่เกี่ยวข้องเข้าใจ เพราะหากพวกเขาไม่มีความเข้าใจ ถึงแม้จะซื้อเทคโนโลยีที่ดีขนาดนั้นก็ไม่อาจจะใช้งานมันได้อย่างมีประสิทธิภาพ อย่างที่ Einstein ได้กล่าวไว้ว่า: “ถ้าคุณไม่สามารถอธิบายสิ่งนั้นออกมาอย่างง่ายดายได้ แสดงว่าคุณไม่เข้าใจสิ่งนั้นดีพอ”

Author: Dave Maasland, CEO ESET Netherlands in cooperation with Fred Streefland, IT Security Manager at LeaseWeb.
Source: http://www.welivesecurity.com/2017/01/31/cybersecurity-5-basic-lessons-everyone/
Translated by: Worapon H.

%d bloggers like this: