3 ข้อ สำหรับ CISO พรีเซนต์ยังไงให้ได้งบ

จะเข้าสู่ปี 2021 แล้ว เหล่าบรรดา CISO ก็คงกำลังร่างโปรเจ็คสำหรับงบในปีหน้า ซึ่งวันนี้มีแง่คิดจาก darkreading ที่แนะนำขั้นตอนที่อาจจะช่วยเพิ่มโอกาสสำเร็จในการของบด้าน Cybersecurity ในปีหน้า

ปัญหาใหญ่ของ CISO ในทุกวันนี้คือยังไม่สามารถมองภาพของการโจมตีเกี่ยวกับองค์กรได้อย่างครอบคลุม นอกจากนี้ยังต้องสู้กับการคงการป้องกันและการกำเนิดของภัยคุกคามใหม่ๆ ด้วยเหตุนี้เองหากจะตั้งงบกับบอร์ดบริหาร คงจะต้องมีการวางแผนด้วย 3 ขั้นตอนดังนี้

1.) เข้าใจภาพของ Cybersecurity ในองค์กรเสียก่อน

เป็นเรื่องยากมากที่เราจะทราบถึงความเสี่ยงหรือพื้นที่การโจมตีทุกอย่างขององค์กร ดังนั้นอาจจะต้องพึ่งตัวช่วยอย่างเครื่องมือด้าน AI หรือ Deep Learning เพื่อทำให้ CISO สามารถมองเห็นภาพความเสี่ยงได้อย่างต่อเนื่องและหาสิ่งที่มีนัยสำคัญ นอกจากนี้อย่าลืมว่าบอร์ดบริหารไม่เข้าใจศัพท์เทคนิคนัก ดังนั้นควรจะแปลงความเสี่ยงทางไซเบอร์ให้เป็นเรื่องเงินหรือตัวเลขที่บอร์ดมักชอบมากกว่า จึงจะทำให้ท่านๆ นั้นเปิดใจสนับสนุนมากกว่า

2.) เตรียมการพรีเซ็นให้รวบรัด

ควรแบ่งสไลด์เป็นช่วงสำคัญใน 5 ประเด็นเพราะบอร์ดบริหารคงไม่มีเวลามากมาย

• องค์กรอยู่ตรงไหนในภาพของความเสี่ยงจากภัยทางไซเบอร์ – หน้านี้ต้องแสดงให้บอร์ดเข้าใจไปเลยว่ามีความเสี่ยงคิดเป็นมูลเท่าไหร่ ณ สถานะปัจจุบันขององค์กร รวมถึงชี้คร่าวๆ ว่ามีผลกระทบอะไรตามมาบ้างหากเกิดเหตุรั่วไหล
• ระบุความเสี่ยงทางไซเบอร์ตามส่วนธุรกิจ – แน่นอนว่าแต่ละธุรกิจมีโครงสร้างไม่เหมือนกัน ดังนั้นสมควรที่จะต้องพิจารณาความเสี่ยงตามธุรกิจหรือชนิดของสินทรัพย์นั้น เอาง่ายๆ ว่าแสดงความเสี่ยงย่อยลงไปในส่วนต่างๆ เพื่อให้เห็นภาพได้ว่าอะไรควรได้รับการดูแลเพิ่มเติม
• แนวโน้มของความเสี่ยงเป็นอย่างไร – ควรจะสามารถแสดงภาพได้ว่าจะการประชุมคราวก่อน องค์กรของเราได้มีความคืบหน้าไปเป็นอย่างไรแล้ว ลดความเสี่ยงลงแค่ไหน เพื่อประกอบการตัดสินใจ
• ตั้งความหวังไว้ที่จุดไหน – การได้สนทนากับบอร์ดว่าเราตั้งเป้าหมายไว้อย่างไรคือหัวใจสำคัญ ที่จะได้เห็นว่าองค์กรมีความเสี่ยงเพิ่มจากปริมาณข้อมูลหรือเทคโนโลยีใหม่ๆ นอกจากนี้ยังมีการเปลี่ยนแปลงรูปแบบการทำงานในวิถีใหม่ ที่นำมาซึ่งความเสี่ยงที่เพิ่มขึ้น
• จะไปถึงเป้าหมายได้อย่างไร – ในช่วงสุดท้ายคุณต้องสรุปแล้วว่า จัดลำดับความสำคัญของโปรเจ็คในไตรมาสหน้าอย่างไร การลงทุนมีความคุ้มค่ากับกับการลดความเสี่ยงยังไง

3.) ตั้งงบในปีหน้า

ไม่มีทางอยู่แล้วที่เราจะสามารถป้องกันความเสี่ยงได้ 100% ดังนั้นเมื่อตอนตั้งงบควรจะคิดถึงอันดับความเสี่ยงว่าอันไหนสำคัญมากน้อย และด้วยงบก้อนนั้นจะทำประโยชน์อะไรได้คุ้มที่สุด หากทำได้ควรจะชี้ให้บอร์ดเห็นว่าสิ่งที่ตัดใจลงทุนไปคุ้มกว่าการถูกลงโทษภายหลัง

หาก CISO ต้องการเพิ่มโอกาสของบสำเร็จ ในด้านเทคนิคท่านควรทราบถึงสินทรัพย์สำคัญ และความเสี่ยงของแต่ละไอเท็ม รวมถึงผลลัพธ์ของการควบคุมว่ามีประโยชน์หรือผลกระทบอย่างไร เพราะเมื่อรู้แล้วท่านจึงจะสามารถประเมินแผนและงบได้ใกล้เคียงขึ้น

ที่มา : https://www.darkreading.com/operations/3-steps-cisos-can-take-to-convey-strategy-for-budget-presentations-/a/d-id/1339337