จับตา 2 ปี สัญญาณอันตราย ปัญหาบุคลากร ‘ไซเบอร์ซิเคียวริตี้’
การ์ทเนอร์ อิงค์ คาดการณ์ว่า ภายในปี 2568 หรือสองปีข้างหน้านี้เกือบครึ่งหนึ่งของผู้บริหารความปลอดภัยทางไซเบอร์ (Cybersecurity Leaders) จะเปลี่ยนงาน
Keypoints
- ผู้บริหาร 25% จะหันไปทำงานในบทบาทที่แตกต่างไปจากเดิมอย่างสิ้นเชิง
- ปัญหาขาดบุคลากรหรือความผิดพลาดของมนุษย์มีส่วนโดยตรงต่อเหตุการณ์ทางไซเบอร์มากกว่าครึ่ง
โดยที่ผู้บริหาร 25% จะหันไปทำงานในบทบาทที่แตกต่างไปจากเดิมอย่างสิ้นเชิง อันเป็นผลมาจากปัจจัยความกดดันหลากหลายที่เกี่ยวข้องกับการทำงาน
ดีฟติ โกพอล ผู้อำนวยการฝ่ายวิจัยของการ์ทเนอร์ เผยว่า คนทำงานด้านความปลอดภัยไซเบอร์กำลังเผชิญกับความเครียดในระดับที่แตกต่างกันออกไป
ผู้บริหารระดับสูงด้านการรักษาความปลอดภัย (Chief Information Security Officer : CISOs) อยู่ในโหมดที่ต้องปกป้ององค์กรโดยมีผลลัพธ์ที่เป็นไปได้อย่างเดียวคือ “ต้องไม่โดนแฮก” หรือไม่ทำให้เกิดช่องโหว่เสียเอง ผลกระทบทางจิตวิทยาของสิ่งนี้ส่งผลโดยตรงต่อคุณภาพการตัดสินใจและประสิทธิภาพการทำงานของทั้งผู้นำและทีมงานไซเบอร์ซิเคียวริตี้
ช่องโหว่ 'มนุษย์’ ต้นเหตุหลักภัยไซเบอร์
ข้อมูลระบุว่า ด้วยพลวัตเหล่านี้รวมถึงโอกาสในตลาดที่มีอยู่อย่างมหาศาลสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ทำให้การเปลี่ยนย้ายบุคลากรที่มีทักษะความสามารถกลายเป็นสัญญาณอันตรายต่อทีมงานความปลอดภัย
การวิจัยของการ์ทเนอร์ชี้ให้เห็นว่า โปรแกรมการรักษาความปลอดภัยทางไซเบอร์ที่เน้นปฏิบัติตามกฎระเบียบ การที่ผู้บริหารให้ความร่วมมือต่ำ รวมไปภึงเกณฑ์มาตรฐานความปลอดภัยที่ต่ำกว่าในอุตสาหกรรม ล้วนเป็นปัจจัยชี้วัดไปยังองค์กรที่ไม่เห็นว่า การจัดการความเสี่ยงด้านความปลอดภัยนั้นมีความสำคัญต่อความสำเร็จ
นอกจากนี้ องค์กรมีแนวโน้มที่จะเผชิญกับปัญหาพนักงานที่มีความสามารถในตำแหน่งต่างๆ เพิ่มสูงขึ้นผันแปรไปตามผลกระทบที่มีต่อความรู้สึกและคุณค่าในการทำงานของพวกเขา
อย่างไรก็ดี “ภาวะหมดไฟ (Burnout)” และ “การทำงานแบบจำยอม” คือผลลัพธ์ของวัฒนธรรมองค์กรที่แย่ แม้การขจัดความเครียดของการทำงานให้หมดไปจะเป็นเป้าหมายที่ดูเป็นไปไม่ได้ แต่พนักงานก็สามารถจัดการงานที่ท้าทายและมีความกดดันได้อย่างเหลือเชื่อ หากพวกเขาเชื่อมั่นและสนับสนุนวัฒนธรรมองค์กรที่ทำงานอยู่
การ์ทเนอร์คาดว่าภายในปี 2568 ปัญหาการขาดบุคลากรหรือความผิดพลาดของมนุษย์มีส่วนรับผิดชอบโดยตรงต่อเหตุการณ์ทางไซเบอร์สำคัญๆ มากกว่าครึ่งหนึ่ง
โดยตัวเลขการโจมตีทางไซเบอร์และการหลอกลวงแบบวิศวกรรมทางสังคม หรือ “Social Engineering” ต่อผู้คนจะเพิ่มขึ้นอย่างรวดเร็ว เนื่องจากผู้โจมตีมองว่ามนุษย์คือจุดเปราะบางที่สุดในการแสวงหาผลประโยชน์
ต้องขจัดความเสี่ยงจากภายใน
การสำรวจของการ์ทเนอร์เมื่อเดือนพ.ค.และมิ.ย.ปี 2565 ซึ่งได้ทำการสำรวจพนักงานจำนวน 1,310 ราย พบว่า ในช่วง 12 เดือนที่ผ่านมา 69% ของพนักงานนั้นละเลยคำแนะนำด้านความปลอดภัยทางไซเบอร์ขององค์กร ทั้งพบด้วยว่า 74% ของพนักงานกล่าวว่า พวกเขาเต็มใจที่จะละเลยคำแนะนำด้านความปลอดภัยไซเบอร์นั้น ถ้ามันจะช่วยให้พวกเขาหรือทีมบรรลุเป้าหมายทางธุรกิจ
พอล เฟอทาโด รองประธานฝ่ายวิจัย การ์ทเนอร์ กล่าวว่า แรงเสียดทานที่เป็นตัวถ่วงการทำงานของพนักงานและนำไปสู่พฤติกรรมที่สร้างความไม่ปลอดภัยคือปัจจัยขับเคลื่อนสำคัญที่ก่อให้เกิดความเสี่ยงจากภายในองค์กร
เพื่อรับมือกับภัยคุกคามที่เพิ่มขึ้นนี้ การ์ทเนอร์คาดการณ์ว่า ภายในปี 2568 ครึ่งหนึ่งขององค์กรขนาดกลางถึงขนาดใหญ่จะใช้โปรแกรมที่ต้องมี Formal Programs เพื่อจัดการความเสี่ยงจากภายใน เพิ่มขึ้นจาก 10% ณ ปัจจุบัน
โปรแกรมการจัดการความเสี่ยงนี้ควรมุ่งเน้นไปที่การระบุและคาดการณ์พฤติกรรมต่างๆ ของทีมงานแบบเชิงรุกที่อาจทำให้เกิดการรั่วไหลทางทรัพย์สินขององค์กรหรือการกระทำที่เป็นอันตรายด้านอื่น ๆ นอกจากนี้ยังต้องสามารถให้คำแนะนำเพื่อการแก้ไข ไม่ใช่เป็นเพียงบทลงโทษ
“ผู้บริหาร CISOs ต้องเพิ่มการพิจารณาความเสี่ยงจากภายในมากขึ้น เพื่อพัฒนาโปรแกรมความปลอดภัยไซเบอร์ ซึ่งเครื่องมือรักษาความปลอดภัยไซเบอร์แบบดั้งเดิมนั้นยังมีข้อจำกัดในการมองเห็นภัยคุกคามที่มาจากข้างใน”