ส่องโมเดลปั้นทีมคุม"ภัยไซเบอร์"
เร่งองค์กรรัฐ-เอกชน ควรมีการวางแนวทางการพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์
ความเร่งด่วนในการสร้างความมั่นคงปลอดภัยด้านไซเบอร์นั้นมีความจำเป็นอย่างยิ่งในทุกองค์กร เนื่องจากทรัพย์สินที่มีรูปแบบเป็นดิจิทัล รวมทั้งโครงสร้างพื้นฐานสำคัญด้านดิจิทัล มีสภาวะที่เสี่ยงมากขึ้นในทุกขณะที่จะถูกโจมตี แต่ในทางกลับกันองค์กรส่วนใหญ่ ยังมีบุคลากรที่ไม่พร้อมในสภาวะความเสี่ยงดังกล่าว ไม่ว่าจะเป็นด้านความรู้ ระบบการฝึกอบรม และเครื่องมือที่จะสร้างให้เกิดประสิทธิภาพ เพื่อป้องกันทรัพย์สินขององค์กรได้อย่างยั่งยืน
องค์กรต้องเปลี่ยนมุมมอง
พ.อ.เศรษฐพงค์ มะลิสุวรรณ กรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ให้ความเห็นว่า จากรายงานการถูกโจมตีจากองค์กรทั่วโลกมีระดับความรุนแรงและความถี่เพิ่มสูงขึ้นเป็นลำดับทุกปี และที่สำคัญในทุกองค์กรยังมีมุมมองว่าความรับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์เป็นหน้าที่ของฝ่ายเทคนิคด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ไอซีที) ขององค์กร แต่ในปัจจุบันจะเห็นได้ว่าผู้เชี่ยวชาญทางเทคนิคฝ่ายเดียวนั้น ไม่สามารถปกป้ององค์กรจากความเสี่ยงที่จะถูกโจมตีทางไซเบอร์ได้อีกต่อไป
ดังนั้น ความร่วมมือจากทุกฝ่ายในองค์กร รวมทั้งผู้บริหารระดับสูง ต้องให้ความสำคัญเป็นอันดับต้นๆและต้องลงมาให้ความร่วมมือกับผู้บริหารในทุกระดับขององค์กร โดยองค์กรจะต้องมีการบูรณาการตั้งแต่ระดับนโยบาย เชื่อมโยงไปสู่การปฏิบัติรวมทั้งต้องวางแผนทางด้านเทคโนโลยีให้สอดคล้องกับความเสี่ยงขององค์กร รวมทั้งเชื่อมโยงกับบุคลากรอย่างมีความประสานสอดคล้อง
ความสำคัญในประเด็นต่างๆ ที่จะสร้างความมั่นคงปลอดภัยไซเบอร์ให้แก่องค์กรก็คือ องค์กรจะต้องพัฒนาบุคลากรไม่ว่าจะเป็นในด้านการจัดการระบบสารสนเทศ การจ้างบุคลากรที่มีความชำนาญด้านความมั่นคงปลอดภัยไซเบอร์ การวางนโยบายขององค์กร และการสร้างวัฒนธรรมองค์กร ซึ่งการดำเนินการดังกล่าวจะทำให้องค์กรสามารถที่จะระบุ ตรวจจับ ตอบสนอง และฟื้นฟู จากการถูกโจมตีทางไซเบอร์ ได้อย่างมีประสิทธิภาพ
พัฒนาคนรับมือภัยคุกคาม
ความท้าทายขององค์กรที่จะพัฒนาบุคลากรให้สอดคล้องกับการเปลี่ยนแปลงอย่างรวดเร็วของภัยคุกคามไซเบอร์นั้น ยังเป็นประเด็นที่จะต้องให้ความสำคัญอย่างเร่งด่วน เนื่องจากองค์กรทั่วๆ ไป ยังขาดความชัดเจนและความสอดคล้องกับความเสี่ยง เช่น บทบาทของบุคลากรในแต่ละตำแหน่งไม่มีความชัดเจน ไม่ว่าจะเป็นขอบเขตความรับผิดชอบ และการระบุความเชี่ยวชาญของแต่ละตำแหน่งที่ขาดความชัดเจนและไม่สอดคล้องกับสิ่งแวดล้อมที่เปลี่ยนแปลงไป
โดยโครงสร้างขององค์กรซึ่งทั่วๆไป อย่าง คณะผู้บริหารด้านความมั่นคงปลอดภัยไซเบอร์ และตำแหน่งอื่นๆ ที่เกี่ยวข้อง อาจยังขาดการวางแผนในด้านเครื่องมือที่ครบถ้วน และมีประสิทธิภาพ ซึ่งการที่องค์กรขาดการจัดสรรทรัพยากรอย่างมีประสิทธิภาพเป็นเหตุให้ขาดความชัดเจน และความสอดคล้อง จะยิ่งทำให้ผู้บริหารด้านความมั่นคงปลอดภัยไซเบอร์มีความยากลำบากในการวางแผนงบประมาณ ซึ่งอาจก่อให้เกิดการใช้งบประมาณเกินความจำเป็นได้ในบางส่วน
กำหนดยุทธ์ศาสตร์ควบคู่
การสร้างกรอบความคิดในการวางแผนทรัพยากรบุคคลในด้านความมั่นคงปลอดภัยไซเบอร์ จะต้องสอดคล้องกับกลยุทธ์หลักขององค์กร โดยหลักการพื้นฐานการควบคุมความมั่นคงปลอดภัยไซเบอร์ (Critical security controls) ในขั้นตอนแรกคือ การที่จะต้องทำให้องค์กรชี้ชัดในด้านการจัดลำดับความสำคัญในการปฏิบัติ โดยจะต้องมีการกำหนดวิธีการในการป้องกันการโจมตีทางไซเบอร์ ซึ่งจะต้องอ้างอิงกับมาตรฐาน ที่อาจมีการให้คำแนะนำจากแผนยุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์
องค์กรทุกขนาด ทุกภาคส่วน ไม่ว่าจะเป็นภาคเอกชน และภาครัฐ มีความจำเป็นที่จะต้องปกป้องทรัพย์สิน ระบบ และโครงสร้างพื้นฐานด้านดิจิทัล โดยองค์กรจะต้องมียุทธศาสตร์และกลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ที่มีประสิทธิภาพ และจะต้องมีแผนบริหารทรัพยากรบุคคลที่ดี โดยขั้นตอนไปสู่ความสำเร็จจะต้องมีการออกแบบวงจรการขับเคลื่อนที่ยั่งยืนและเหมาะสม โดยแต่ละขั้นตอนประกอบไปด้วย การปฏิบัติขั้นพื้นฐานที่องค์กรกำหนดขึ้น และจะต้องสอดคล้องกับกระบวนการและกรอบความคิดทางยุทธศาสตร์ และกลยุทธ์ขององค์กรด้วย