Help Net Security ได้อ้างถึงผลสำรวจที่ชี้ว่า CISO อาจจะยังไม่เข้าใจถึงคุณค่าของข้อมูล Security Control ที่แม่นยำ ซึ่งสามารถสร้างประโยชน์ในก้าวต่อไปได้ โดยสถิติได้กล่าวถึงประเด็นสำคัญดังต่อไปนี้
Help Net Security ได้อ้างถึงผลสำรวจที่ชี้ว่า CISO อาจจะยังไม่เข้าใจถึงคุณค่าของข้อมูล Security Control ที่แม่นยำ ซึ่งสามารถสร้างประโยชน์ในก้าวต่อไปได้ โดยสถิติได้กล่าวถึงประเด็นสำคัญดังต่อไปนี้
- CISO ที่เพิ่งได้รับตำแหน่งใหม่กังวลว่าจะได้ข้อมูล Security Posture ขององค์กรที่ไม่แม่นยำ มากกว่าประเด็นว่าจะไม่มีงบประมาณ หรือตกเป็นแพะรับบาปในเหตุการณ์ Breach เสียอีก
- การมีข้อมูล Security Control จะช่วยให้ CISO สามารถเข้าใจภาพจุดอ่อนที่แท้จริงขององค์กรได้ รวมถึงภูมิทัศน์ของภัยคุกคาม ตลอดจนการนำไปใช้ตัดสินใจเชิงกลยุทธ์
- มีผู้นำด้านความมั่นคงปลอดภัยเพียง 36% เท่านั้นที่มั่นใจในข้อมูลของพวกเขา และนำไปใช้ในการตัดสินใจเชิงกลยุทธ์
- ผู้ตอบแบบสอบถามราว 95% เชื่อว่า Security Control ของตนทำงานได้ดีตลอดเวลา
- 88% เชื่อว่าข้อมูล Security Control ของตนแม่นยำพอ
- 54% ของผู้นำด้านความมั่นคงปลอดภัยมั่นใจอย่างยิ่งว่านำข้อมูล Security Control มาช่วยลำดับความสำคัญของกิจกรรม เพื่อลดผลกระทบความเสี่ยงได้
แม้เสียงส่วนใหญ่จะดูมั่นใจสูงต่อการปกป้องหรือข้อมูลที่ได้รับ แต่กว่า 79% ยังประหลาดใจว่าทำไมเหตุการณ์ incident ถึงเล็ดลอดการควบคุมเข้ามาได้ ซึ่งอาจเพราะข้อมูลอาจไม่แม่นยำ หรือนำข้อมูลมาใช้ปรับปรุงได้ไม่ดีพอ
อย่างไรก็ดีผู้ถูกสัมภาษณ์ราว 38% ไม่สามารถพิสูจน์ว่าความล้มเหลวได้ถูกแก้ไขแล้ว อีกทั้ง 37% จัดว่าการควบคุมที่ล้มเหลวมีความสำคัญระดับต่ำ แม้กระทั่งในธุรกิจการเงินเองก็แทบไม่ต่างกัน
ในช่วงท้ายข้อสรุปก็คือบอร์ดบริหารจำเป็นต้องเปลี่ยนความคิดเกี่ยวกับข้อมูลว่าเป็นเพียงแค่รายงาน สู่การนำข้อมูลไปใช้เพื่อตัดสินใจทางธุรกิจให้ได้ รวมถึงตัดวงจรก่อนเกิดเหตุ โดย CISO ควรต้องเข้าใจว่าข้อมูล Security Control จะช่วยให้พวกเขารู้ว่าจะก้าวต่อไปอย่างไร และรับมือกับความท้าทายได้เช่น
- เข้าใจภาพของ Security Posture
- เข้าใจกระบวนการเก็บและวิเคราะห์ข้อมูล
- ตรวจสอบการใช้เครื่องมือด้าน Security
ที่มา : https://www.helpnetsecurity.com/2023/10/26/security-controls-data-value/