จะเข้าสู่ปี 2021 แล้ว เหล่าบรรดา CISO ก็คงกำลังร่างโปรเจ็คสำหรับงบในปีหน้า ซึ่งวันนี้มีแง่คิดจาก darkreading ที่แนะนำขั้นตอนที่อาจจะช่วยเพิ่มโอกาสสำเร็จในการของบด้าน Cybersecurity ในปีหน้า
ปัญหาใหญ่ของ CISO ในทุกวันนี้คือยังไม่สามารถมองภาพของการโจมตีเกี่ยวกับองค์กรได้อย่างครอบคลุม นอกจากนี้ยังต้องสู้กับการคงการป้องกันและการกำเนิดของภัยคุกคามใหม่ๆ ด้วยเหตุนี้เองหากจะตั้งงบกับบอร์ดบริหาร คงจะต้องมีการวางแผนด้วย 3 ขั้นตอนดังนี้
1.) เข้าใจภาพของ Cybersecurity ในองค์กรเสียก่อน
เป็นเรื่องยากมากที่เราจะทราบถึงความเสี่ยงหรือพื้นที่การโจมตีทุกอย่างขององค์กร ดังนั้นอาจจะต้องพึ่งตัวช่วยอย่างเครื่องมือด้าน AI หรือ Deep Learning เพื่อทำให้ CISO สามารถมองเห็นภาพความเสี่ยงได้อย่างต่อเนื่องและหาสิ่งที่มีนัยสำคัญ นอกจากนี้อย่าลืมว่าบอร์ดบริหารไม่เข้าใจศัพท์เทคนิคนัก ดังนั้นควรจะแปลงความเสี่ยงทางไซเบอร์ให้เป็นเรื่องเงินหรือตัวเลขที่บอร์ดมักชอบมากกว่า จึงจะทำให้ท่านๆ นั้นเปิดใจสนับสนุนมากกว่า
2.) เตรียมการพรีเซ็นให้รวบรัด
ควรแบ่งสไลด์เป็นช่วงสำคัญใน 5 ประเด็นเพราะบอร์ดบริหารคงไม่มีเวลามากมาย
- องค์กรอยู่ตรงไหนในภาพของความเสี่ยงจากภัยทางไซเบอร์ – หน้านี้ต้องแสดงให้บอร์ดเข้าใจไปเลยว่ามีความเสี่ยงคิดเป็นมูลเท่าไหร่ ณ สถานะปัจจุบันขององค์กร รวมถึงชี้คร่าวๆ ว่ามีผลกระทบอะไรตามมาบ้างหากเกิดเหตุรั่วไหล
- ระบุความเสี่ยงทางไซเบอร์ตามส่วนธุรกิจ – แน่นอนว่าแต่ละธุรกิจมีโครงสร้างไม่เหมือนกัน ดังนั้นสมควรที่จะต้องพิจารณาความเสี่ยงตามธุรกิจหรือชนิดของสินทรัพย์นั้น เอาง่ายๆ ว่าแสดงความเสี่ยงย่อยลงไปในส่วนต่างๆ เพื่อให้เห็นภาพได้ว่าอะไรควรได้รับการดูแลเพิ่มเติม
- แนวโน้มของความเสี่ยงเป็นอย่างไร – ควรจะสามารถแสดงภาพได้ว่าจะการประชุมคราวก่อน องค์กรของเราได้มีความคืบหน้าไปเป็นอย่างไรแล้ว ลดความเสี่ยงลงแค่ไหน เพื่อประกอบการตัดสินใจ
- ตั้งความหวังไว้ที่จุดไหน – การได้สนทนากับบอร์ดว่าเราตั้งเป้าหมายไว้อย่างไรคือหัวใจสำคัญ ที่จะได้เห็นว่าองค์กรมีความเสี่ยงเพิ่มจากปริมาณข้อมูลหรือเทคโนโลยีใหม่ๆ นอกจากนี้ยังมีการเปลี่ยนแปลงรูปแบบการทำงานในวิถีใหม่ ที่นำมาซึ่งความเสี่ยงที่เพิ่มขึ้น
- จะไปถึงเป้าหมายได้อย่างไร – ในช่วงสุดท้ายคุณต้องสรุปแล้วว่า จัดลำดับความสำคัญของโปรเจ็คในไตรมาสหน้าอย่างไร การลงทุนมีความคุ้มค่ากับกับการลดความเสี่ยงยังไง
3.) ตั้งงบในปีหน้า
ไม่มีทางอยู่แล้วที่เราจะสามารถป้องกันความเสี่ยงได้ 100% ดังนั้นเมื่อตอนตั้งงบควรจะคิดถึงอันดับความเสี่ยงว่าอันไหนสำคัญมากน้อย และด้วยงบก้อนนั้นจะทำประโยชน์อะไรได้คุ้มที่สุด หากทำได้ควรจะชี้ให้บอร์ดเห็นว่าสิ่งที่ตัดใจลงทุนไปคุ้มกว่าการถูกลงโทษภายหลัง
หาก CISO ต้องการเพิ่มโอกาสของบสำเร็จ ในด้านเทคนิคท่านควรทราบถึงสินทรัพย์สำคัญ และความเสี่ยงของแต่ละไอเท็ม รวมถึงผลลัพธ์ของการควบคุมว่ามีประโยชน์หรือผลกระทบอย่างไร เพราะเมื่อรู้แล้วท่านจึงจะสามารถประเมินแผนและงบได้ใกล้เคียงขึ้น