3 ใน 4 ของ 'CISO' อยากเปลี่ยนงาน
CISO ต้องเผชิญแรงกดดันในการทำงานที่เพิ่มขึ้น บวกกับสภาพแวดล้อมในการปฏิบัติงานที่มีความยุ่งยากซับซ้อน
จากปัญหาภัยคุกคามทางไซเบอร์ในรูปแบบต่างๆ ที่มีเพิ่มมากขึ้นเรื่อยๆ ในปัจจุบัน ส่งผลให้เกิดความวิตกกังวลกับผู้มีส่วนเกี่ยวข้องที่ต้องรับผิดชอบดูแลรักษาความปลอดภัยของระบบในองค์กร
เพราะจากการสำรวจผู้บริหารด้านการรักษาความปลอดภัยเครือข่ายและความปลอดภัยข้อมูลสารสนเทศ (Chief Information Security Officer หรือ CISO) จำนวน 663 คนและอีก 100 คนที่เกี่ยวข้องกับอุตสาหกรรมนี้ในสหรัฐและแคนาดาพบว่า
ช่วง 1 ปีที่ผ่านมา CISO มากถึง 75% มีความพึงพอใจกับงานลดลงถึง 10 คะแนน และตัดสินใจว่าจะเปลี่ยนสายงานมากถึง 3 ใน 4 เลยทีเดียว
เป็นที่น่าสังเกตว่า ก่อนหน้านี้ระดับความพึงพอใจในการทำงานของ CISO ได้เพิ่มขึ้นอย่างต่อเนื่องมาโดยตลอด แต่กลับลดลงในปีที่แล้ว สาเหตุส่วนหนึ่งน่าจะมาจากความกดดันที่เพิ่มขึ้นอย่างมาก ด้วยกฎใหม่ของก.ล.ต. ที่ได้ประกาศว่า บริษัทมหาชนจำเป็นต้องเปิดเผยการละเมิดที่มีสาระสำคัญภายใน 4 วันทำการหลังจากตรวจพบเหตุการณ์และมีผลกระทบอย่างมีสาระสำคัญ
โดยการประกาศของก.ล.ต.ครั้งนี้ ได้สร้างความวิตกกังวลให้กับผู้นำด้านความปลอดภัยทางไซเบอร์ในหลากหลายอุตสาหกรรม เพราะการใช้ภาษาที่ค่อนข้างคลุมเครือและบทลงโทษในกฏนี้ ทำให้ CISO ทราบดีว่ากฎระเบียบเหล่านี้จะส่งผลกระทบต่อการทำงานและอาจทำให้ถูกฟ้องร้องดำเนินคดีได้อย่างไรบ้าง
เนื่องจากเป็นที่รู้กันโดยทั่วไปว่า ผลกระทบทั้งหมดจากการละเมิดข้อมูลอาจใช้เวลานานหลายเดือนจึงจะทราบผลหลังจากการสอบสวนอย่างเข้มงวด
สิ่งที่ CISO ต้องเผชิญอยู่ในขณะนี้คือ แรงกดดันในการทำงานที่เพิ่มขึ้นบวกกับสภาพแวดล้อมในการปฏิบัติงานที่มีความยุ่งยากซับซ้อน ซึ่งสาเหตุหลักมาจากข้อจำกัดต่างๆ แต่ผลตอบแทนที่ CISO ได้รับกลับไม่เป็นเช่นนั้น
เห็นได้จากที่หลายองค์กรในภาคธุรกิจต่างๆ ยังไม่คำนึงความสำคัญของตำแหน่งงานและการให้ค่าตอบแทนรวมถึงสวัสดิการกับ CISO ที่ไม่โดดเด่น จากสถิติล่าสุดมีจำนวนคดีที่ CISO ถูกฟ้องร้องอยู่ในระดับสูงสุดเป็นประวัติการณ์ ซึ่งคดีความส่วนใหญ่เป็นสิ่งที่อยู่นอกเหนือการควบคุมของพวกเขา
อย่างที่ทราบกันดีว่า ในทุกธุรกิจมีความต้องการในการบริหารจัดการความเสี่ยงทางดิจิทัลและต้องการให้ CISO เข้ามาดูแลรับผิดชอบ แต่การจะทำให้เป็นจริงได้นั้น องค์กรควรเปิดโอกาสให้ CISO เข้าไปศึกษาระบบของส่วนงานต่างๆ และการเข้าไปมีส่วนร่วมในการประชุมคณะกรรมการบริษัทเพื่อหารือเกี่ยวกับกลยุทธ์ทางไซเบอร์
เพราะ CISO เองก็พยายามหาช่องทางติดต่อสื่อสารกับคณะกรรมการบริษัท เพราะหากต้องรายงานผ่านหน่วยงานอื่นความถูกต้องของข้อมูลอาจถูกลดทอนลงได้ ทุกวันนี้ CISO มีความรับผิดชอบสูงเหมือนกับระดับผู้บริหาร แต่ก็ยังต้องประสบกับปัญหาเรื่องการเป็นที่ยอมรับจากองค์กรและไม่มีโอกาสได้ร่วมประชุม
จากการสำรวจพบว่า มี CISO ที่ได้ดำรงตำแหน่งเป็นผู้บริหารในองค์กรเพียง 20% ของจำนวน CISO ทั้งหมด โดย 15% ทำงานอยู่ในบริษัทมหาชนและมีเพียง 50% เท่านั้นที่ได้เข้าร่วมประชุมคณะกรรมการบริษัททุกไตรมาส
นอกจากนี้ 85% ของ CISO ยังต้องการให้คณะกรรมการเสนอแนวทางที่ชัดเจนเกี่ยวกับความเสี่ยงขององค์กรเพื่อให้ CISO สามารถดำเนินการต่อได้ แต่พบว่ามีเพียงคณะกรรมการบริษัทบางองค์กรเท่านั้นที่เข้าใจเรื่องนี้
ส่วนที่เหลือโดยรวมแล้วยังขาดการใส่ใจและให้ความสำคัญ ทำให้ CISO ไม่ได้รับคำแนะนำที่เพียงพอ ฉะนั้น CISO อาจจำเป็นต้องดำเนินการเชิงรุกให้มากขึ้นเพื่อให้องค์กรหันมาให้ความสำคัญกับเรื่องนี้ครับ