3 ข้อ สำหรับ CISO พรีเซนต์ยังไงให้ได้งบ

จะเข้าสู่ปี 2021 แล้ว เหล่าบรรดา CISO ก็คงกำลังร่างโปรเจ็คสำหรับงบในปีหน้า ซึ่งวันนี้มีแง่คิดจาก darkreading ที่แนะนำขั้นตอนที่อาจจะช่วยเพิ่มโอกาสสำเร็จในการของบด้าน Cybersecurity ในปีหน้า

ปัญหาใหญ่ของ CISO ในทุกวันนี้คือยังไม่สามารถมองภาพของการโจมตีเกี่ยวกับองค์กรได้อย่างครอบคลุม นอกจากนี้ยังต้องสู้กับการคงการป้องกันและการกำเนิดของภัยคุกคามใหม่ๆ ด้วยเหตุนี้เองหากจะตั้งงบกับบอร์ดบริหาร คงจะต้องมีการวางแผนด้วย 3 ขั้นตอนดังนี้

1.) เข้าใจภาพของ Cybersecurity ในองค์กรเสียก่อน

เป็นเรื่องยากมากที่เราจะทราบถึงความเสี่ยงหรือพื้นที่การโจมตีทุกอย่างขององค์กร ดังนั้นอาจจะต้องพึ่งตัวช่วยอย่างเครื่องมือด้าน AI หรือ Deep Learning เพื่อทำให้ CISO สามารถมองเห็นภาพความเสี่ยงได้อย่างต่อเนื่องและหาสิ่งที่มีนัยสำคัญ นอกจากนี้อย่าลืมว่าบอร์ดบริหารไม่เข้าใจศัพท์เทคนิคนัก ดังนั้นควรจะแปลงความเสี่ยงทางไซเบอร์ให้เป็นเรื่องเงินหรือตัวเลขที่บอร์ดมักชอบมากกว่า จึงจะทำให้ท่านๆ นั้นเปิดใจสนับสนุนมากกว่า

2.) เตรียมการพรีเซ็นให้รวบรัด

ควรแบ่งสไลด์เป็นช่วงสำคัญใน 5 ประเด็นเพราะบอร์ดบริหารคงไม่มีเวลามากมาย

  • องค์กรอยู่ตรงไหนในภาพของความเสี่ยงจากภัยทางไซเบอร์ – หน้านี้ต้องแสดงให้บอร์ดเข้าใจไปเลยว่ามีความเสี่ยงคิดเป็นมูลเท่าไหร่ ณ สถานะปัจจุบันขององค์กร รวมถึงชี้คร่าวๆ ว่ามีผลกระทบอะไรตามมาบ้างหากเกิดเหตุรั่วไหล
  • ระบุความเสี่ยงทางไซเบอร์ตามส่วนธุรกิจ – แน่นอนว่าแต่ละธุรกิจมีโครงสร้างไม่เหมือนกัน ดังนั้นสมควรที่จะต้องพิจารณาความเสี่ยงตามธุรกิจหรือชนิดของสินทรัพย์นั้น เอาง่ายๆ ว่าแสดงความเสี่ยงย่อยลงไปในส่วนต่างๆ เพื่อให้เห็นภาพได้ว่าอะไรควรได้รับการดูแลเพิ่มเติม
  • แนวโน้มของความเสี่ยงเป็นอย่างไร – ควรจะสามารถแสดงภาพได้ว่าจะการประชุมคราวก่อน องค์กรของเราได้มีความคืบหน้าไปเป็นอย่างไรแล้ว ลดความเสี่ยงลงแค่ไหน เพื่อประกอบการตัดสินใจ
  • ตั้งความหวังไว้ที่จุดไหน – การได้สนทนากับบอร์ดว่าเราตั้งเป้าหมายไว้อย่างไรคือหัวใจสำคัญ ที่จะได้เห็นว่าองค์กรมีความเสี่ยงเพิ่มจากปริมาณข้อมูลหรือเทคโนโลยีใหม่ๆ นอกจากนี้ยังมีการเปลี่ยนแปลงรูปแบบการทำงานในวิถีใหม่ ที่นำมาซึ่งความเสี่ยงที่เพิ่มขึ้น
  • จะไปถึงเป้าหมายได้อย่างไร – ในช่วงสุดท้ายคุณต้องสรุปแล้วว่า จัดลำดับความสำคัญของโปรเจ็คในไตรมาสหน้าอย่างไร การลงทุนมีความคุ้มค่ากับกับการลดความเสี่ยงยังไง

3.) ตั้งงบในปีหน้า

ไม่มีทางอยู่แล้วที่เราจะสามารถป้องกันความเสี่ยงได้ 100% ดังนั้นเมื่อตอนตั้งงบควรจะคิดถึงอันดับความเสี่ยงว่าอันไหนสำคัญมากน้อย และด้วยงบก้อนนั้นจะทำประโยชน์อะไรได้คุ้มที่สุด หากทำได้ควรจะชี้ให้บอร์ดเห็นว่าสิ่งที่ตัดใจลงทุนไปคุ้มกว่าการถูกลงโทษภายหลัง

หาก CISO ต้องการเพิ่มโอกาสของบสำเร็จ ในด้านเทคนิคท่านควรทราบถึงสินทรัพย์สำคัญ และความเสี่ยงของแต่ละไอเท็ม รวมถึงผลลัพธ์ของการควบคุมว่ามีประโยชน์หรือผลกระทบอย่างไร เพราะเมื่อรู้แล้วท่านจึงจะสามารถประเมินแผนและงบได้ใกล้เคียงขึ้น

ที่มา : https://www.darkreading.com/operations/3-steps-cisos-can-take-to-convey-strategy-for-budget-presentations-/a/d-id/1339337


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner คาดการณ์ยอดส่งมอบ PC ในปีนี้ปรับตัวลดลง 9.5%

Gartner คาดการณ์ยอดส่งมอบ PC ในปีนี้ปรับตัวลดลง 9.5%

Ericsson รายงาน ปี 2022 มียอดผู้ใช้ 5G ทั่วโลก 1 พันล้านราย คาดแตะ 4.4 พันล้าน ภายในปี 2027

Ericsson ออกรายงาน Ericsson Mobility Report ประจำปี 2022 คาดการณ์ว่า ยอดผู้ใช้งาน 5G ในเอเชียตะวันออกเฉียงใต้และโอเชียเนียจะเติบโตสูงขึ้นสองเท่าจาก 15 ล้านบัญชีเมื่อปี 2021 และภายในปี …