หลายองค์กรในปัจจุบันต่างเริ่มวางมาตรการควบคุมสำหรับป้องกันเหตุ Data Breach จัดทำนโยบายและนำกลยุทธ์ต่างๆ เข้ามาใช้เพื่อให้รู้สึกว่าตัวเองได้รับการคุ้มครองจากภัยคุกคามไซเบอร์ อย่างไรก็ตาม การป้องกันที่มีอยู่อาจไม่ได้แข็งแกร่งอย่างที่ตนเองคิด ภัยคุกคามมีการอัปเดตอยู่ตลอดเวลาและเราต้องคอยเฝ้าระวังและรู้ให้เท่าทันการโจมตีไซเบอร์ล่าสุด พยายามอย่าติดกับดักความคิดตัวเองดัง 4 ข้อต่อไปนี้
1. ไม่ใช่ความเสี่ยงใหญ่โตอะไร
ธุรกิจขนาดเล็กมักจะมีแนวคิดว่าองค์กรขนาดใหญ่จะตกเป็นเป้าหมายของการโจมตีก่อนเป็นแน่ อย่างไรก็ตาม ความจริงคือแฮ็กเกอร์นิยมพุ่งเป้าไปยังเป้าหมายที่โจมตีได้ง่ายกว่า ถ้าธุรกิจของคุณมีมาตรการควบคุมที่ไม่แข็งแกร่งพอ ย่อมตกเป็นหนึ่งในเหยื่ออันโอชะของแฮ็กเกอร์ นอกจากนี้ ความคิดที่ว่าธุรกิจของตนไม่ได้มีข้อมูลอะไรที่สำคัญก็ถือเป็นความเสี่ยงสำคัญ เนื่องจากจุดประสงค์ของแฮ็กเกอร์ไม่ได้มีเพียงการขโมยข้อมูลเพียงอย่างเดียว แต่อาจใช้ระบบของคุณเป็นฐานในการโจมตีแบบ DDoS หรือทำ Cryoptocurrency Mining เพื่อสร้างรายได้ให้แฮ็กเกอร์โดยตรงได้
2. เราผ่านมาตรฐานด้านความมั่นคงปลอดภัยแล้ว
มันเป็นเรื่องดีที่จะทำให้ระบบและกระบวนการต่างๆ ขององค์กรผ่านมาตรฐานและข้อกำหนดต่างๆ เช่น GDPR, PCI-DSS หรือ ISO 27001 อย่างไรก็ตาม การยกระดับการรักษาความมั่นคงปลอดภัยขององค์กรได้ดียิ่งขึ้นตามมาตรฐานเหล่านี้ไม่ได้การันตีว่าจะรอดพ้นจากการโจมตีไซเบอร์และเหตุ Data Breach องค์กรจำเป็นต้องมีการประเมินความเสี่ยงและปรับปรุงมาตรการควบคุมอย่างต่อเนื่องเพื่อให้พร้อมรับมือกับภัยคุกคามแบบใหม่ และจำไว้เสมอว่า มาตรฐานและข้อกำหนดเหล่านั้นไม่ได้เป็นเพียงแค่ Checklist ที่ติ๊กว่าทำแล้วก็จบไป
3. พนักงานของเราผ่านการอบรมเรียบร้อย
การอบรมเพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัยเป็นสิ่งที่พึงกระทำ แต่เช่นเดียวกับมาตรฐานด้านความมั่นคงปลอดภัย การอบรมไม่ใช่สิ่งที่ทำขึ้นครั้งเดียวแล้วจบไป แล้วพนักงานจะกลายเป็นนักรบไซเบอร์ที่พร้อมรับมือกับการโจมตีทุกรูปแบบ การอบรมควรจัดขึ้นเป็นประจำและมีการอัปเดตเนื้อหาใหม่ๆ ในตรงกับสิ่งที่เกิดขึ้นจริงไนปัจจุบัน รวมไปถึงควรมีการจำลองสถานการณ์โจมตีจริง เพื่อฝึกซ้อมทักษะภาคปฏิบัตินอกเหนือจากการให้ความรู้เชิงทฤษฎีเพียงอย่างเดียว เพื่อให้มั่นใจว่าพนักงานสามารถรับมือได้อย่างถูกต้องและรวดเร็วเมื่อเกิดเหตุจริง
4. เรามีประกันภัยด้านไซเบอร์อยู่แล้ว
ประกันภัยด้านไซเบอร์นับว่าเป็นนิยามใหม่ทางด้านความมั่นคงปลอดภัย หลายองค์กรซื้อประกันภัยด้านไซเบอร์เพื่อให้ตัวเองอุ่นใจว่าถ้ามีปัญหาจะได้ค่าชดเชยแน่นอน แล้วละเลยการวางมาตรการควบคุมเพื่อลดความเสี่ยง อย่างไรก็ตาม ประกันภัยไซเบอร์ก็ไม่ได้ครอบคลุมการเกิดเหตุทุกกรณีหรือมีวาระซ่อนเร้นที่ทำให้คุณไม่ได้รับค่าชดเชยอย่างที่ควรจะเป็น ที่สำคัญคือ ประกันภัยด้านไซเบอร์ก็มีลักษณะเช่นเดียวกับประกันสุขภาพ เราไม่สามารถละเลยการทำให้สุขภาพของตนแข็งแรงและลดสาเหตุการเกิดโรคต่างๆ เนื่องจากมีประกันสุขภาพแล้วได้ เพราะเมื่อมีเหตุผิดปกติเกิดขึ้น ผลเสียก็เกิดขึ้นกับตัวเรา ถึงแม้ว่าจะมีเงินมาชดเชยให้ก็ตาม
ที่มา: https://www.csoonline.com/article/3316438/security/4-dangerous-security-assumptions-to-avoid.html