เนื่องจากความปลอดภัยทางไซเบอร์กลายเป็นข้อพิจารณาที่สำคัญมากขึ้นในการตัดสินใจขององค์กร จึงมีการเคลื่อนไหวที่สอดคล้องกันเพื่อยกระดับบทบาทของหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ไปสู่จุดที่สูงกว่าในลำดับชั้นของผู้บริหาร เหตุผลดูเหมือนจะเป็น “ถ้าไซเบอร์มีความสำคัญ CISO ก็ต้องมีความสำคัญ” อย่างไรก็ตาม การยกระดับบทบาททำให้ CISO กลายเป็นกระบอกเสียงเดียวในทะเลทรายที่ร้องว่า "ความปลอดภัย" โดยมีความเกี่ยวข้องเพียงเล็กน้อยกับผู้มีอำนาจตัดสินใจในแต่ละวันในด้านไอที วิศวกรรม หรือผลิตภัณฑ์
สิ่งนี้นำไปสู่ผลลัพธ์ที่ไม่พึงประสงค์บางอย่าง เช่น ผู้บริหาร Facebook ที่คิดว่ามาตรการรักษาความปลอดภัยของบริษัทก็โอเค ทำให้เกิดความล่าช้านานหลายชั่วโมง ในการตอบสนองต่อการหยุดทำงานในวันที่ 4 ตุลาคม 2021 หรือผู้บริหาร Uber ที่ จ่ายให้กับแฮกเกอร์ ผู้ที่ละเมิดระบบของเขา แทนที่จะรับทราบการละเมิด หรือ CISO จำนวนมากที่ลงทุนใน "การรักษาความปลอดภัยเพิ่มเติม" แทนที่จะยอมรับว่าพวกเขาทำการเลือกที่ไม่ดีในตอนแรก ในกรณีทั้งหมดเหล่านี้ การแยกตัวของ CISO ออกจากหน่วยธุรกิจเชิงหน้าที่มีบทบาทในอุโมงค์อย่างไม่ต้องสงสัย โดยคิดว่าการตัดสินใจเหล่านี้สะท้อนให้เห็น
ผลกระทบต่อองค์กร
บางทีอาจถึงเวลาที่ต้องทบทวนบทบาทของ CISO ใหม่ บางทีอาจเป็นการดีกว่าที่จะเห็นความสำคัญของ CISO สะท้อนให้เห็นในผลกระทบต่อองค์กรมากกว่าสถานะขององค์กร บางทีการฝังการรักษาความปลอดภัยในหน่วยงานอาจส่งผลให้มีการรักษาความปลอดภัยที่ดีขึ้น
ลองนึกภาพ CISO เป็นส่วนหนึ่งของระบบนิเวศขององค์กรไอที พวกเขาจะมีส่วนร่วมในการตัดสินใจทุกครั้งเกี่ยวกับโครงสร้างพื้นฐาน และข้อกังวลด้านความปลอดภัยจะเป็นส่วนสำคัญในการตัดสินใจเหล่านั้น แทนที่จะแก้ไขในภายหลัง ซึ่งจะช่วยให้ชุดโซลูชัน "ความปลอดภัย" ขึ้นอยู่กับวิธีการจัดโครงสร้างและการจัดการเครือข่าย แทนที่จะใช้ความสามารถพิเศษด้านความปลอดภัยที่แทรกลงในโครงสร้างพื้นฐานโดยกลุ่มภายนอก
ลองนึกภาพผู้เชี่ยวชาญด้านความปลอดภัยที่ฝังตัวอยู่ในองค์กรพัฒนาซอฟต์แวร์ พวกเขาจะสามารถปรับแต่งกระบวนการพัฒนาเพื่อให้แน่ใจว่าโค้ดถูกเขียนและทดสอบโดยคำนึงถึงความปลอดภัย โดยไม่ต้องแบกรับนักพัฒนาด้วยกระบวนการที่แปลกสำหรับพวกเขา ซึ่งจะช่วยลดช่องโหว่ในโค้ดของบริษัท ลองนึกภาพผู้เชี่ยวชาญด้านความปลอดภัยที่ฝังตัวอยู่ในสายผลิตภัณฑ์ พวกเขาจะสามารถตรวจสอบให้แน่ใจว่าโครงสร้างพื้นฐานขององค์กรปกป้อง IP ของตน และกระบวนการพัฒนาจะช่วยลดช่องโหว่ในผลิตภัณฑ์ของตน
ในกรณีเหล่านี้ทั้งหมด การรักษาความปลอดภัยจะกลายเป็นปัจจัยในการตัดสินใจขององค์กรซึ่งมีพื้นฐานมาจากความเป็นจริงในการดำเนินงานขององค์กร ความเชี่ยวชาญทางเทคนิคของ CISO กลายเป็นส่วนสำคัญในการทำงานในแต่ละวัน แทนที่จะเป็นข้อจำกัดที่กำหนด ในทำนองเดียวกัน การรักษาความปลอดภัยและการปฏิบัติตามกฎระเบียบจำเป็นต้องทำงานได้อย่างราบรื่น เพื่อให้ระบบทางการเงินและการสื่อสารกับคู่ค้าและผู้ขายยังคงปลอดภัย สิ่งนี้ขยายไปถึงระบบโทรคมนาคมและฮาร์ดแวร์อื่นๆ
ปัจจัยเสี่ยง
ดูเหมือนว่าจะเป็นวิธีที่มีประสิทธิภาพมากขึ้นในการทำให้มิติทางเทคนิคของการรักษาความปลอดภัยเป็นกระบอกเสียงที่ทรงพลังในการดำเนินการของบริษัท อย่างไรก็ตาม อาจมีคนสงสัยว่าสิ่งนี้จะทำให้มิตินโยบายลดน้อยลงหรือไม่ โดยลดขนาดลงเพื่อจัดการกับผลประโยชน์พิเศษของหน่วยงานแต่ละหน่วยงาน ข้อกังวลนี้สามารถแก้ไขได้ด้วยการขยายบทบาทของประธานเจ้าหน้าที่ฝ่ายความเสี่ยงให้ครอบคลุมถึงฟังก์ชันนโยบายความปลอดภัยที่ CISO ดำเนินการอยู่ในปัจจุบัน
สิ่งนี้มีประโยชน์ในการรักษานโยบายความปลอดภัยไว้ที่ระดับ C ซึ่งได้รับความสนใจตามที่ต้องการ ยังมีประโยชน์เพิ่มเติมจากการคำนึงถึงความเสี่ยงด้านความปลอดภัยทางไซเบอร์ในบริบทของความเสี่ยงอื่นๆ (ความเสี่ยงต่อความพร้อมใช้งาน ความเสี่ยงต่อชื่อเสียง เพื่อจัดการกับกรณีข้างต้น) การรักษาความปลอดภัยจะไม่ใช่จุดสิ้นสุดในตัวเองอีกต่อไป แต่เป็นมิติของการทำธุรกิจ นี่ไม่ได้หมายความว่าการรักษาความปลอดภัยจำเป็นต้องต่อสู้กับข้อกังวลอื่นๆ และต้องอำนวยความสะดวกที่กระทบต่อมาตรการรักษาความปลอดภัยขององค์กร แต่เป็นการสร้างสภาพแวดล้อมที่แลกเปลี่ยนความคิดหรือความคิดอย่างใดอย่างหนึ่งกับสภาพแวดล้อมที่พยายามตอบสนองความต้องการทั้งหมด
มีเทคโนโลยีควบคุมการเข้าถึงมากมายที่จะปกป้อง Facebook ได้อย่างมีประสิทธิภาพโดยไม่ต้องปิดกั้นบุคลากรของตัวเอง เมื่อพิจารณาความเสี่ยงด้านความปลอดภัยควบคู่ไปกับความเสี่ยงด้านความพร้อมใช้งานแล้ว วิธีแก้ปัญหาเชิงปฏิบัติเพิ่มเติมเหล่านั้นก็จะเกิดขึ้น
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์