3 คุณสมบัติที่ CISO รุ่นใหม่ต้องมี
ก่อนอื่นเราต้องยอมรับว่า ผู้บริหารด้านการรักษาความปลอดภัยเครือข่ายและความปลอดภัยข้อมูลสารสนเทศ (Chief Information Security Officer หรือ CISO) เป็นที่ต้องการในตลาดอย่างมากในปัจจุบัน
เนื่องจากมีการโจมตีทางไซเบอร์ที่มาในหลากหลายรูปแบบซึ่งเกิดขึ้นอยู่ตลอดเวลา ระดับความรุนแรงและผลกระทบมากน้อยแตกต่างกันไป
เพื่อหลีกเลี่ยงปัญหาและความเสียหายที่อาจเกิดขึ้นได้ หลายองค์กรจึงต่างพากันลงทุนกับระบบรักษาความปลอดภัยและคัดเลือกผู้เชี่ยวชาญที่มีความสามารถในการเติมเต็มให้องค์กรแข็งแกร่งมากยิ่งขึ้น
องค์กรต่างๆ โดยเฉพาะในสหรัฐอเมริกาต้องการ CISO ที่สามารถเข้ามาช่วยดูแลความเสี่ยงทางไซเบอร์ที่ธุรกิจต้องเผชิญ และให้คำแนะนำเกี่ยวกับวิธีการลดความเสี่ยงโดยไม่ขัดกับเป้าหมายทางธุรกิจ
ขณะที่คณะกรรมการและผู้บริหารของบริษัทมหาชนต้องเผชิญกับการกำกับดูแลที่เข้มงวดมากขึ้นจากกฎความปลอดภัยทางไซเบอร์เบอร์ของคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) และการรายงานความเสี่ยงและเหตุการณ์ต่างๆ ทางไซเบอร์ที่เกิดขึ้นให้ SEC รับทราบ
แต่สิ่งที่องค์กรต้องประสบคือ ปัญหาที่ผู้บริหารไม่สามารถทำงานกับ CISO ที่เชี่ยวชาญเฉพาะทางเทคนิคย่างเดียวโดยไม่เข้าใจบริบท เป้าหมายทางธุรกิจ หรือแม้กระทั้งงบการเงิน ทำให้ไม่สามารถสื่อสารกับคนในองค์กรในกรอบการอภิปรายด้านความปลอดภัยทางไซเบอร์ในภาษาทางธุรกิจแทนที่จะเป็นศัพท์เฉพาะทางเทคนิค นี่จึงเป็นสาเหตุให้องค์กรต้องการ CISO ที่มีคุณสมบัติเด่นๆ 3 อย่างนี้
ปฏิบัติงานในฐานะผู้นำธุรกิจที่มีความรู้ด้านเทคนิค : การ์ทเนอร์ ได้สำรวจความคิดเห็นของคณะกรรมการบริษัทในเรื่องความปลอดภัยทางไซเบอร์ และมากถึง 88% คิดว่าความปลอดภัยทางไซเบอร์เป็นความเสี่ยงทางธุรกิจไม่ใช่ปัญหาทางเทคโนโลยี เห็นได้ชัดว่ามุมมองในเรื่องนี้ได้เปลี่ยนไปแล้ว
ผู้บริหารต้องการ CISO ที่สามารถหารือเกี่ยวกับความปลอดภัยทางไซเบอร์บนพื้นฐานของความเข้าใจเดียวกันคือ ไม่มุ่งจัดการทางเทคนิคมากจนไม่เข้าใจความเสี่ยงทางธุรกิจในภาพรวม
มุ่งความสนใจไปที่เรื่องงบประมาณและการเงิน : CISO ที่ต้องการก้าวจากผู้จัดการด้านเทคนิคไปสู่ผู้นำด้านความเสี่ยงทางธุรกิจจะต้องพัฒนาด้านการเงินคือ การควบคุมงบประมาณให้มีความคุ้มค่า ให้คำแนะนำทางธุรกิจเกี่ยวกับสินทรัพย์ที่มีความเสี่ยง และคำนวณความเสี่ยงทางไซเบอร์
โดยพิจารณาจากความเสี่ยงทางการเงินของสินทรัพย์แต่ละรายการและกระบวนการที่ดำเนินการอยู่เพื่อเป็นการช่วยตัดสินใจเลือกการลงทุนโปรแกรมความปลอดภัยทางไซเบอร์ได้อย่างถูกต้อง
มีทักษะการสื่อสารและการทำงานร่วมกันที่ดี : CISO ควรจะให้ความสำคัญในเรื่องของทักษะการสื่อสารและการทำงานร่วมกันกับผู้บริหาร เพราะผลสำรวจชี้ให้เห็นว่า 98% ของคณะกรรมการบริษัทและผู้บริหารสนับสนุนเงินทุนสำหรับการสื่อสารและการฝึกอบรมการนำเสนองานของ CISO ซึ่งถือว่ามีความจำเป็นอย่างเร่งด่วนเพื่อช่วยให้ธุรกิจสามารถคาดการณ์ภัยคุกคาม เพิ่มความตระหนักรู้ของพนักงาน และสื่อสารความเสี่ยงและ ROI ในการลงทุนด้านความปลอดภัยได้ดีขึ้น โดยเฉพาะการสื่อสารในภาวะวิกฤติ หากสำนักงาน ก.ล.ต. ออกคำสั่งอย่างเร่งด่วนให้รายงานเหตุการณ์ทางไซเบอร์ที่สำคัญ ซึ่งเป็นหน้าที่ CISO ที่จะต้องใช้ความสามารถในการเป็นผู้นำและสื่อสารเหตุการณ์ต่างๆ เหล่านี้
เราจะเห็นได้ชัดว่า มีความจำเป็นอย่างเร่งด่วนสำหรับ CISO ที่จะต้องเปลี่ยนแปลง DNA และเพิ่มศักยภาพความเป็นผู้นำของตนทั้งในด้านความคิดและทักษะเพื่อตอบสนองต่อความต้องการของตลาดและเปิดโอกาสสู่เส้นทางอาชีพในอนาคตต่อไปครับ