ทบทวนบทบาทของ CISO

เนื่องจากความปลอดภัยทางไซเบอร์กลายเป็นข้อพิจารณาที่สำคัญมากขึ้นในการตัดสินใจขององค์กร จึงมีการเคลื่อนไหวที่สอดคล้องกันเพื่อยกระดับบทบาทของหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ไปสู่จุดที่สูงกว่าในลำดับชั้นของผู้บริหาร เหตุผลดูเหมือนจะเป็น “ถ้าไซเบอร์มีความสำคัญ CISO ก็ต้องมีความสำคัญ” อย่างไรก็ตาม การยกระดับบทบาททำให้ CISO กลายเป็นกระบอกเสียงเดียวในทะเลทรายที่ร้องว่า "ความปลอดภัย" โดยมีความเกี่ยวข้องเพียงเล็กน้อยกับผู้มีอำนาจตัดสินใจในแต่ละวันในด้านไอที วิศวกรรม หรือผลิตภัณฑ์

สิ่งนี้นำไปสู่ผลลัพธ์ที่ไม่พึงประสงค์บางอย่าง เช่น ผู้บริหาร Facebook ที่คิดว่ามาตรการรักษาความปลอดภัยของบริษัทก็โอเค ทำให้เกิดความล่าช้านานหลายชั่วโมง ในการตอบสนองต่อการหยุดทำงานในวันที่ 4 ตุลาคม 2021 หรือผู้บริหาร Uber ที่ จ่ายให้กับแฮกเกอร์ ผู้ที่ละเมิดระบบของเขา แทนที่จะรับทราบการละเมิด หรือ CISO จำนวนมากที่ลงทุนใน "การรักษาความปลอดภัยเพิ่มเติม" แทนที่จะยอมรับว่าพวกเขาทำการเลือกที่ไม่ดีในตอนแรก ในกรณีทั้งหมดเหล่านี้ การแยกตัวของ CISO ออกจากหน่วยธุรกิจเชิงหน้าที่มีบทบาทในอุโมงค์อย่างไม่ต้องสงสัย โดยคิดว่าการตัดสินใจเหล่านี้สะท้อนให้เห็น

ผลกระทบต่อองค์กร

บางทีอาจถึงเวลาที่ต้องทบทวนบทบาทของ CISO ใหม่ บางทีอาจเป็นการดีกว่าที่จะเห็นความสำคัญของ CISO สะท้อนให้เห็นในผลกระทบต่อองค์กรมากกว่าสถานะขององค์กร บางทีการฝังการรักษาความปลอดภัยในหน่วยงานอาจส่งผลให้มีการรักษาความปลอดภัยที่ดีขึ้น

ลองนึกภาพ CISO เป็นส่วนหนึ่งของระบบนิเวศขององค์กรไอที พวกเขาจะมีส่วนร่วมในการตัดสินใจทุกครั้งเกี่ยวกับโครงสร้างพื้นฐาน และข้อกังวลด้านความปลอดภัยจะเป็นส่วนสำคัญในการตัดสินใจเหล่านั้น แทนที่จะแก้ไขในภายหลัง ซึ่งจะช่วยให้ชุดโซลูชัน "ความปลอดภัย" ขึ้นอยู่กับวิธีการจัดโครงสร้างและการจัดการเครือข่าย แทนที่จะใช้ความสามารถพิเศษด้านความปลอดภัยที่แทรกลงในโครงสร้างพื้นฐานโดยกลุ่มภายนอก

ลองนึกภาพผู้เชี่ยวชาญด้านความปลอดภัยที่ฝังตัวอยู่ในองค์กรพัฒนาซอฟต์แวร์ พวกเขาจะสามารถปรับแต่งกระบวนการพัฒนาเพื่อให้แน่ใจว่าโค้ดถูกเขียนและทดสอบโดยคำนึงถึงความปลอดภัย โดยไม่ต้องแบกรับนักพัฒนาด้วยกระบวนการที่แปลกสำหรับพวกเขา ซึ่งจะช่วยลดช่องโหว่ในโค้ดของบริษัท ลองนึกภาพผู้เชี่ยวชาญด้านความปลอดภัยที่ฝังตัวอยู่ในสายผลิตภัณฑ์ พวกเขาจะสามารถตรวจสอบให้แน่ใจว่าโครงสร้างพื้นฐานขององค์กรปกป้อง IP ของตน และกระบวนการพัฒนาจะช่วยลดช่องโหว่ในผลิตภัณฑ์ของตน

ในกรณีเหล่านี้ทั้งหมด การรักษาความปลอดภัยจะกลายเป็นปัจจัยในการตัดสินใจขององค์กรซึ่งมีพื้นฐานมาจากความเป็นจริงในการดำเนินงานขององค์กร ความเชี่ยวชาญทางเทคนิคของ CISO กลายเป็นส่วนสำคัญในการทำงานในแต่ละวัน แทนที่จะเป็นข้อจำกัดที่กำหนด ในทำนองเดียวกัน การรักษาความปลอดภัยและการปฏิบัติตามกฎระเบียบจำเป็นต้องทำงานได้อย่างราบรื่น เพื่อให้ระบบทางการเงินและการสื่อสารกับคู่ค้าและผู้ขายยังคงปลอดภัย สิ่งนี้ขยายไปถึงระบบโทรคมนาคมและฮาร์ดแวร์อื่นๆ

ปัจจัยเสี่ยง

ดูเหมือนว่าจะเป็นวิธีที่มีประสิทธิภาพมากขึ้นในการทำให้มิติทางเทคนิคของการรักษาความปลอดภัยเป็นกระบอกเสียงที่ทรงพลังในการดำเนินการของบริษัท อย่างไรก็ตาม อาจมีคนสงสัยว่าสิ่งนี้จะทำให้มิตินโยบายลดน้อยลงหรือไม่ โดยลดขนาดลงเพื่อจัดการกับผลประโยชน์พิเศษของหน่วยงานแต่ละหน่วยงาน ข้อกังวลนี้สามารถแก้ไขได้ด้วยการขยายบทบาทของประธานเจ้าหน้าที่ฝ่ายความเสี่ยงให้ครอบคลุมถึงฟังก์ชันนโยบายความปลอดภัยที่ CISO ดำเนินการอยู่ในปัจจุบัน 

สิ่งนี้มีประโยชน์ในการรักษานโยบายความปลอดภัยไว้ที่ระดับ C ซึ่งได้รับความสนใจตามที่ต้องการ ยังมีประโยชน์เพิ่มเติมจากการคำนึงถึงความเสี่ยงด้านความปลอดภัยทางไซเบอร์ในบริบทของความเสี่ยงอื่นๆ (ความเสี่ยงต่อความพร้อมใช้งาน ความเสี่ยงต่อชื่อเสียง เพื่อจัดการกับกรณีข้างต้น) การรักษาความปลอดภัยจะไม่ใช่จุดสิ้นสุดในตัวเองอีกต่อไป แต่เป็นมิติของการทำธุรกิจ นี่ไม่ได้หมายความว่าการรักษาความปลอดภัยจำเป็นต้องต่อสู้กับข้อกังวลอื่นๆ และต้องอำนวยความสะดวกที่กระทบต่อมาตรการรักษาความปลอดภัยขององค์กร แต่เป็นการสร้างสภาพแวดล้อมที่แลกเปลี่ยนความคิดหรือความคิดอย่างใดอย่างหนึ่งกับสภาพแวดล้อมที่พยายามตอบสนองความต้องการทั้งหมด

มีเทคโนโลยีควบคุมการเข้าถึงมากมายที่จะปกป้อง Facebook ได้อย่างมีประสิทธิภาพโดยไม่ต้องปิดกั้นบุคลากรของตัวเอง เมื่อพิจารณาความเสี่ยงด้านความปลอดภัยควบคู่ไปกับความเสี่ยงด้านความพร้อมใช้งานแล้ว วิธีแก้ปัญหาเชิงปฏิบัติเพิ่มเติมเหล่านั้นก็จะเกิดขึ้น