การปรับใช้ตัวชี้วัดด้านความปลอดภัย เพื่อให้สามารถปรับตัวตามสถานการณ์ทางไซเบอร์ได้ (ตอนที่สอง)

29 ก.ย. 2566

ในตอนที่หนึ่งของบทความนี้ เราได้พูดถึงช่องทางการโจมตีทางไซเบอร์ที่เกิดขึ้นใหม่ ความสำคัญของการปรับตัวตามสถานการณ์ทางไซเบอร์ และการใช้วิธีการตรวจสอบความปลอดภัยทางไซเบอร์ตามความเสี่ยงจะช่วยคุณให้เตรียมรับมือกับอาชญากรรมทางไซเบอร์ได้อย่างไร

สำหรับตอนที่สองนี้ เราจะพูดถึงเรื่อง

  • ตัวชี้วัดด้านความปลอดภัยทางไซเบอร์
  • วิธีการใหม่
  • บทบาทของหัวหน้าแผนกความปลอดภัยทางไอทีที่เปลี่ยนแปลงไป
ตัวชี้วัดด้านความปลอดภัยทางไซเบอร์

ภัยคุกคามด้านความปลอดภัยทางไซเบอร์นั้นมีการพัฒนาอยู่เสมอ แต่โชคดีที่กระบวนการและเทคโนโลยีต่างๆ ที่ใช้เพื่อตรวจจับภัยคุกคามเหล่านี้ก็มีการพัฒนาขึ้นเรื่อยๆ เช่นกัน คุณจึงต้องติดตามตัวชี้วัดด้านความปลอดภัยทางไซเบอร์อยู่เสมอ เพื่อให้เข้าใจถึงฟังก์ชันต่างๆ โดยตัวชี้วัดเหล่านี้ยังช่วยอธิบายได้ว่าข้อมูลที่อ่อนไหวของคุณได้รับการดูแลอย่างเหมาะสมหรือยัง และสามารถสื่อสารได้ว่าคุณมีการสนับสนุนและปฏิบัติตามภารกิจและเป้าหมายของธุรกิจได้ดีเพียงใด

การนำตัวชี้วัดมาใช้สามารถช่วยประเมินประสิทธิภาพของมาตรการด้านความปลอดภัยที่คุณลงทุนไปได้ และยังชี้ให้เห็นว่า ความพยายามต่างๆ ในด้านความปลอดภัยทางไซเบอร์นี้จะช่วยประหยัดเงินขององค์กรได้อย่างไร โดยมีการป้องกัน และ/หรือยับยั้งการโจมตีทางไซเบอร์ที่อาจก่อให้เกิดความเสียหายราคาแพง และในบางธุรกิจจะมีผู้ที่ได้รับมอบหมายให้ทำหน้าที่ในการรายงานเรื่องตัวชี้วัดโดยเฉพาะ โดยมีการระบุกระบวนการสำหรับขั้นตอนนี้อย่างชัดเจน เพื่อให้ประหยัดเวลา เงิน และลดความกังวลของผู้ที่มีหน้าที่ดูแลปกป้องข้อมูลและระบบการทำงานต่างๆ

แล้วคุณควรเลือกตัวชี้วัดทางไซเบอร์แบบไหน

การเลือกวิธีติดตามหรือวัดผลความปลอดภัยด้านไซเบอร์นั้นไม่มีกฎตายตัว บริษัททุกแห่งมักมีวิธีการของตนเองในการระบุและประเมินความเสี่ยง โดยมีตัวแปรตามสถานการณ์ต่างๆ เช่น
ระเบียบการและเอกสารรับรอง

  • วัฒนธรรมองค์กร
  • อุตสาหกรรมที่ดำเนินธุรกิจอยู่
  • โมเดลธุรกิจ
  • ตำแหน่งที่ตั้งตามภูมิประเทศ
  • การเปลี่ยนแปลงงบประมาณ
  • บุคลิกภาพของแต่ละบุคคล

วิธีการตรวจสอบตามความเสี่ยงกับความปลอดภัยทางไซเบอร์สามารถปรับเปลี่ยนได้ตามความต้องการ และทำให้คุณสามารถออกแบบโปรแกรมด้านความปลอดภัยทางไซเบอร์ตามข้อกำหนดและระบุจุดอ่อนในเชิงปฏิบัติได้ตามความต้องการของคุณเอง

ตัวอย่างตัวชี้วัดที่เป็นประโยชน์

  • การตรวจหาช่องโหว่ด้านความปลอดภัยในระบบ – คุณมีอุปกรณ์กี่ชิ้นติดตั้งอยู่ในเครือข่ายของคุณ
  • อุปกรณ์ที่ระบุตัวตนไม่ได้ในเครือข่ายภายใน – พนักงานกำลังนำมัลแวร์เข้ามาในระบบโดยไม่รู้ตัวหรือไม่
  • สถานการณ์ด้านความปลอดภัย – หมายเลขสำหรับติดตามอาจไม่ได้มีค่ามากนัก แต่แนวโน้มในช่วงระยะเวลาหนึ่งจะช่วยให้คุณมีความเข้าใจอย่างลึกซึ้งต่อประสิทธิภาพของโปรแกรมของคุณ และจุดต่างๆ ที่อาจต้องเข้าไปดูแลจัดการ รวมถึงเหตุการณ์สำคัญต่างๆ ก็ควรถูกพูดถึงด้วยเช่นกัน
  • ถึงเวลาแล้วที่จะตรวจจับ แก้ไข และจำกัด – คุณจะใช้เวลาเท่าไหร่ในการดำเนินการแต่ละช่วงระยะวิกฤต

จากมุมมองทางธุรกิจ คุณควรพิจารณาสื่อสารประเด็นเหล่านี้ด้วย

  • คุณสามารถปิดดีลไปได้กี่ครั้ง
  • โครงการที่สำเร็จแล้วหรือดำเนินการอยู่ที่ช่วยส่งเสริม หรือทำให้การเริ่มดำเนินการด้านธุรกิจหลักต่างๆ เป็นไปได้

ประโยชน์อีกอย่างหนึ่งที่เกี่ยวข้องกับวิธีการตรวจสอบตามความเสี่ยง คือ การที่มันช่วยวัดได้ทั้งความพยายามในการลดความเสี่ยงที่คุณมีและความเสี่ยงที่เกิดขึ้นจริง ออกมาให้เห็นเปรียบเทียบกันได้ ขณะที่วิธีการแบบเดิมวัดได้แค่ประสิทธิผลของโปรแกรมโดยรวม ด้วยการพิจารณาจากความสำเร็จของโปรแกรม ถึงแม้ว่าวิธีการใดวิธีการหนึ่งในการวัดผลรูปแบบนี้ จะไม่สามารถบอกถึงความพยายามของคุณ หรือความเสี่ยงทั้งหมดได้ก็ตาม

บ่อยครั้งที่เราตัดสินใจลงไปโดยใช้ตัวชี้วัดที่ขัดแย้งกัน ซึ่งเราจะสามารถตัดสินใจเรื่องที่เกี่ยวข้องกับธุรกิจได้ ซึ่งให้ความสำคัญกับผลกระทบมากยิ่งขึ้น ด้วยการพิจารณาความเชื่อมโยงกันของความพยายามหรือการกระทำเพื่อลดความเสี่ยง กับความเสี่ยงที่ลดลงจริง สิ่งนี้ทำให้การลดความเสี่ยงในทุกระดับสามารถปรับเปลี่ยนได้ ตราบใดที่ความเสี่ยงนั้นยังคงอยู่

ทั้งนี้ ไม่ว่าจะใช้ตัวชี้วัดใดก็ตาม ตัวชี้วัดนั้นก็ควรจะมีความหมายต่อคนหรือกลุ่มคนที่เรานำเสนอให้ นอกจากนี้ คุณอาจมีตัวชี้วัดในหลายระดับขึ้นอยู่กับว่าผู้ชมคือใคร สำหรับผู้ชมบางกลุ่ม ก็อาจต้องใช้ตัวชี้วัดทางเทคนิคที่ละเอียดขึ้น และในบางกรณี ก็อาจต้องใช้ตัวชี้วัดที่สรุปให้เข้าใจง่าย


"วิธีการตรวจสอบตามความเสี่ยงช่วยให้ตัดสินใจเรื่องเกี่ยวกับธุรกิจที่ให้ความสำคัญกับผลกระทบได้อย่างมีประสิทธิภาพมากขึ้น โดยพิจารณาความเชื่อมโยงกันของข้อมูลขาเข้าและขาออก"
สร้างโครงสร้างด้วยวิธีการใหม่ๆ

การตัดสินใจว่าวิธีการลดความเสี่ยงทางไซเบอร์วิธีใดดีที่สุดอาจเป็นที่ถกเถียงกันได้ และมักขึ้นอยู่กับความต้องการเฉพาะและสิ่งที่คุณให้ความสำคัญ ในบางกรณี คุณอาจใช้วิธีการที่เป็นกิจจะลักษณะ ที่ทำให้ได้ข้อมูลเชิงลึกและกระบวนการที่ปรับแต่งตามความต้องการได้ ในการประเมินความเสี่ยงสำหรับสถานการณ์ทางธุรกิจเฉพาะแต่ละสถานการณ์ วิธีการประเภทนี้จะวัดและจัดการความเสี่ยงทางไซเบอร์โดยใช้แนวปฏิบัติที่ดีที่สุด ซึ่งมุ่งเน้นที่นวัตกรรมและการศึกษา

ตัวอย่างหนึ่งของวิธีการนี้คือ การวิเคราะห์ปัจจัยของข้อมูลด้านความเสี่ยง (Factor Analysis of Information Risk: FAIRTM) (https://www.fairinstitute.org/) เป็นแบบจำลองการวิเคราะห์ความเสี่ยงเชิงปริมาณมาตรฐานแบบเปิด ที่อธิบายว่าความเสี่ยงคืออะไร ทำงานอย่างไร และระบุปริมาณของมันได้อย่างไร วิธีการนี้จะมีเครื่องมือที่ช่วยระบุว่าคุณมีความเสี่ยงอยู่มากแค่ไหน มีปัจจัยความเสี่ยงมากแค่ไหน ความเสี่ยงเหล่านี้จะเพิ่มขึ้นหรือลดลงแค่ไหนเมื่อปัจจัยบางอย่างเปลี่ยนไป และทางเลือกที่คุ้มค่าที่สุดนั้นใช้จัดการอะไรได้บ้าง

FAIR สามารถใช้ในสถานการณ์ใดก็ได้ที่คุณต้องการรู้ว่าความเสี่ยงมีมากแค่ไหน เช่น ผลลัพธ์จากการตรวจประเมิน คำร้องขอยกเว้นในเรื่องนโยบาย การเปรียบเทียบประเด็นความเสี่ยง (ทางเลือก A หรือทางเลือก B แสดงให้เห็นถึงความเสี่ยงในบริษัทมากกว่ากัน) การเพิ่มขอบเขตการคุ้มครองประกันภัยทางไซเบอร์ การสร้างกรณีศึกษาทางธุรกิจสำหรับมาตรการความปลอดภัยใหม่ๆ หรือสำหรับการรักษางบประมาณด้านความปลอดภัย

วิธีการอื่นๆ ที่มีโครงสร้างชัดเจน มักจะถูกนำมาใช้เดี่ยวๆ หรือใช้ร่วมกับวิธีการอื่น อย่าง FAIR เพื่อเสริมการบริหารจัดการความเสี่ยงให้สมบูรณ์

เช่น วิธีการที่ยึดกฎระเบียบเป็นหลัก และวิธีตรวจสอบตามรายการเป็นวิธีการที่กำหนดความปลอดภัยทางไซเบอร์อย่างเป็นระบบ โดยมีรายการข้อกำหนดด้านความปลอดภัยไว้อยู่แล้ว วิธีการนี้ใช้ได้ดีในการสร้างมาตรฐาน โดยเฉพาะอย่างยิ่งในการตั้งเป้าหมายและประเมินความคืบหน้า โดยวิธีการ คือ ระบุช่องโหว่ในการควบคุมดูแลและเปรียบเทียบกับองค์กรอื่น หรือประเมินคุณภาพของกระบวนการ การตั้งเป้าหมาย และความคืบหน้า อย่างไรก็ตามจงจำไว้ว่า ทุกวิธีการไม่ได้มีประโยชน์ในการทำความเข้าใจถึงผลกระทบของความเสี่ยงที่จับต้องได้ หรือความแตกต่างเล็กน้อยหลายประการที่เกี่ยวข้องไปทั้งหมด

บทบาทของหัวหน้าฝ่ายความปลอดภัยทางไอทีที่เปลี่ยนแปลงไป

ทุกวันนี้ หัวหน้าฝ่ายความปลอดภัยทางไอทีในบริษัทก็มักมีส่วนในการวางแผนของบริษัททั้งแบบรายไตรมาสและรายปี ทั้งในแง่ของข้อมูลและผลลัพธ์ ในทางตรงข้าม ทีมผู้บริหารขององค์กรก็ตระหนักถึงประเด็นภัยคุกคามและความไม่มั่นคงทางไซเบอร์อยู่เสมอ และลงทุนกับการตัดสินใจ การสั่งซื้อกระบวนการต่างๆ และการวางแผนป้องกันที่แจ้งให้ทุกคนที่มีส่วนเกี่ยวข้องกับความปลอดภัยทางไซเบอร์ทราบ ไม่ใช่แค่ CIO และ CSO

การที่มีผู้เกี่ยวข้องมากขึ้นนี้อาจฟังดูขัดกับความว่องไวและประสิทธิภาพในการทำงาน แต่คุณจะตระหนักได้ถึงประโยชน์มากมายในการที่ทั้งทีมมีส่วนช่วยในประเด็นนี้ เพราะมันทำให้ทั้งแผนกและสมาชิกทุกคนในทีมเข้าใจและปฏิบัติไปในทิศทางเดียวกัน เพื่อเป้าหมายเดียวกัน คือ การลดความเสี่ยง

แนวโน้มนี้จะดำเนินต่อไป เมื่อการวางแผนด้านความปลอดภัยย้ายจากงานส่วนหลังบ้านมาเป็นงานส่วนหน้าบ้าน และหัวหน้าแผนกความปลอดภัยด้านไอทีกลายเป็นที่ปรึกษาที่น่าเชื่อถือ และคนสำคัญของบริษัท

สิ่งที่ต้องทำเพื่อประสบความสำเร็จในด้านความปลอดภัยทางไซเบอร์

ถ้าวิธีการด้านความปลอดภัยทางไซเบอร์ ถูกพูดถึงด้วยความกลัว ความไม่มั่นใจ และความสงสัย จะทำให้เส้นทางสู่ความสำเร็จนี้สั้นลงไป ผู้เกี่ยวข้องจะสูญเสียความอดทนและศรัทธาไป รวมถึงความเชื่อมั่นก็จะหายไป ดังนั้น เพื่อคอยระวังอยู่เสมอ คุณต้องทำดังนี้

  • รู้จักช่องทางเดิม และคอยสอดส่องช่องทางใหม่สำหรับการโจมตีทางไซเบอร์อยู่เสมอ
  • ทำตัวเองให้คุ้นชินกับตัวชี้วัดด้านความปลอดภัย และหาสิ่งที่เหมาะกับคุณที่สุด
  • นำวิธีการตรวจสอบตามความเสี่ยงมาใช้ในการระบุจุดอ่อนที่มีความเสี่ยงสูงที่สุด
  • ให้ความรู้กับพนักงานทุกคนในบริษัทเรื่องความปลอดภัยทางไซเบอร์
  • และให้ความปลอดภัยด้านไอทีมีส่วนร่วม

ในการรับมือกับความเสี่ยงที่ส่งผลกระทบร้ายแรงที่สุดต่อธุรกิจ คุณต้องก้าวข้ามผ่านกฎระเบียบ และให้ความสำคัญกับภัยคุกคามที่ร้ายแรงที่สุดก่อน วิธีการที่ครอบคลุมนี้ทำให้คุณสามารถปรับตัวต่อสถานการณ์ทางไซเบอร์ได้ดี และท้ายที่สุดแล้ว มันจะให้ผลตอบแทนที่คุ้มค่ากับคุณมากทีเดียว

Using security metrics to achieve cyber resilience

ที่มา:  RICOH USA   

 


News & Events

Keep up to date