3 ข้อ สำหรับ CISO พรีเซนต์ยังไงให้ได้งบ

จะเข้าสู่ปี 2021 แล้ว เหล่าบรรดา CISO ก็คงกำลังร่างโปรเจ็คสำหรับงบในปีหน้า ซึ่งวันนี้มีแง่คิดจาก darkreading ที่แนะนำขั้นตอนที่อาจจะช่วยเพิ่มโอกาสสำเร็จในการของบด้าน Cybersecurity ในปีหน้า

ปัญหาใหญ่ของ CISO ในทุกวันนี้คือยังไม่สามารถมองภาพของการโจมตีเกี่ยวกับองค์กรได้อย่างครอบคลุม นอกจากนี้ยังต้องสู้กับการคงการป้องกันและการกำเนิดของภัยคุกคามใหม่ๆ ด้วยเหตุนี้เองหากจะตั้งงบกับบอร์ดบริหาร คงจะต้องมีการวางแผนด้วย 3 ขั้นตอนดังนี้

1.) เข้าใจภาพของ Cybersecurity ในองค์กรเสียก่อน

เป็นเรื่องยากมากที่เราจะทราบถึงความเสี่ยงหรือพื้นที่การโจมตีทุกอย่างขององค์กร ดังนั้นอาจจะต้องพึ่งตัวช่วยอย่างเครื่องมือด้าน AI หรือ Deep Learning เพื่อทำให้ CISO สามารถมองเห็นภาพความเสี่ยงได้อย่างต่อเนื่องและหาสิ่งที่มีนัยสำคัญ นอกจากนี้อย่าลืมว่าบอร์ดบริหารไม่เข้าใจศัพท์เทคนิคนัก ดังนั้นควรจะแปลงความเสี่ยงทางไซเบอร์ให้เป็นเรื่องเงินหรือตัวเลขที่บอร์ดมักชอบมากกว่า จึงจะทำให้ท่านๆ นั้นเปิดใจสนับสนุนมากกว่า

2.) เตรียมการพรีเซ็นให้รวบรัด

ควรแบ่งสไลด์เป็นช่วงสำคัญใน 5 ประเด็นเพราะบอร์ดบริหารคงไม่มีเวลามากมาย

  • องค์กรอยู่ตรงไหนในภาพของความเสี่ยงจากภัยทางไซเบอร์ – หน้านี้ต้องแสดงให้บอร์ดเข้าใจไปเลยว่ามีความเสี่ยงคิดเป็นมูลเท่าไหร่ ณ สถานะปัจจุบันขององค์กร รวมถึงชี้คร่าวๆ ว่ามีผลกระทบอะไรตามมาบ้างหากเกิดเหตุรั่วไหล
  • ระบุความเสี่ยงทางไซเบอร์ตามส่วนธุรกิจ – แน่นอนว่าแต่ละธุรกิจมีโครงสร้างไม่เหมือนกัน ดังนั้นสมควรที่จะต้องพิจารณาความเสี่ยงตามธุรกิจหรือชนิดของสินทรัพย์นั้น เอาง่ายๆ ว่าแสดงความเสี่ยงย่อยลงไปในส่วนต่างๆ เพื่อให้เห็นภาพได้ว่าอะไรควรได้รับการดูแลเพิ่มเติม
  • แนวโน้มของความเสี่ยงเป็นอย่างไร – ควรจะสามารถแสดงภาพได้ว่าจะการประชุมคราวก่อน องค์กรของเราได้มีความคืบหน้าไปเป็นอย่างไรแล้ว ลดความเสี่ยงลงแค่ไหน เพื่อประกอบการตัดสินใจ
  • ตั้งความหวังไว้ที่จุดไหน – การได้สนทนากับบอร์ดว่าเราตั้งเป้าหมายไว้อย่างไรคือหัวใจสำคัญ ที่จะได้เห็นว่าองค์กรมีความเสี่ยงเพิ่มจากปริมาณข้อมูลหรือเทคโนโลยีใหม่ๆ นอกจากนี้ยังมีการเปลี่ยนแปลงรูปแบบการทำงานในวิถีใหม่ ที่นำมาซึ่งความเสี่ยงที่เพิ่มขึ้น
  • จะไปถึงเป้าหมายได้อย่างไร – ในช่วงสุดท้ายคุณต้องสรุปแล้วว่า จัดลำดับความสำคัญของโปรเจ็คในไตรมาสหน้าอย่างไร การลงทุนมีความคุ้มค่ากับกับการลดความเสี่ยงยังไง

3.) ตั้งงบในปีหน้า

ไม่มีทางอยู่แล้วที่เราจะสามารถป้องกันความเสี่ยงได้ 100% ดังนั้นเมื่อตอนตั้งงบควรจะคิดถึงอันดับความเสี่ยงว่าอันไหนสำคัญมากน้อย และด้วยงบก้อนนั้นจะทำประโยชน์อะไรได้คุ้มที่สุด หากทำได้ควรจะชี้ให้บอร์ดเห็นว่าสิ่งที่ตัดใจลงทุนไปคุ้มกว่าการถูกลงโทษภายหลัง

หาก CISO ต้องการเพิ่มโอกาสของบสำเร็จ ในด้านเทคนิคท่านควรทราบถึงสินทรัพย์สำคัญ และความเสี่ยงของแต่ละไอเท็ม รวมถึงผลลัพธ์ของการควบคุมว่ามีประโยชน์หรือผลกระทบอย่างไร เพราะเมื่อรู้แล้วท่านจึงจะสามารถประเมินแผนและงบได้ใกล้เคียงขึ้น

ที่มา : https://www.darkreading.com/operations/3-steps-cisos-can-take-to-convey-strategy-for-budget-presentations-/a/d-id/1339337

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Dell ชี้ ภูมิภาค APJ ยังมีโอกาสในด้าน AI อีกมาก พร้อมเผยคาดการณ์ 5 เทรนด์ AI แห่งปี 2025 

แม้ว่า Generative AI กำลังเริ่มมีการปรับใช้ในภาคธุรกิจอย่างจริงจังมากขึ้น แต่ก็ต้องยอมรับว่าวิวัฒนาการของเทคโนโลยีนั้นยังดูไม่ได้แผ่วหรือว่าช้าลงไปแม้แต่น้อย เพราะเราสามารถเห็น Breakthrough หรือนวัตกรรมใหม่ ๆ ออกมาจากอุตสาหกรรมได้ภายในระยะเวลาไม่กี่เดือนเท่านั้น หรือบางครั้งอาจจะเป็นรายสัปดาห์ก็ว่าได้ จากงานแถลงข่าว Dell Technologies (Dell) …

CU Webinar : The Future of API Security – Innovations and Strategies to Prevent Data [ศุกร์ 13 ธ.ค. 67–14.00น.]

รู้หรือไม่ว่าทุก 39 วินาทีจะมีการโจมตีทางไซเบอร์เกิดขึ้นหนึ่งครั้ง แน่นอนว่าการโจมตีเว็บไซต์ยังคงเป็นประเด็นสำคัญในธุรกิจ ซึ่ง API คือกลไกหลักที่อยู่ในทุกภาคส่วนของซอฟต์แวร์สมัยใหม่หรือการทำงานร่วมกันระหว่างธุรกิจ ด้วยเหตุนี้เองการป้องกันทางเว็บปัจจุบันจึงต้องมองให้ครอบคลุมเรื่อง API ด้วย Computer Union และ IBM ขอเชิญ …