ผลสำรวจเผย CISO อาจยังไม่เข้าใจคุณค่าของข้อมูล Security Control

Help Net Security ได้อ้างถึงผลสำรวจที่ชี้ว่า CISO อาจจะยังไม่เข้าใจถึงคุณค่าของข้อมูล Security Control ที่แม่นยำ ซึ่งสามารถสร้างประโยชน์ในก้าวต่อไปได้ โดยสถิติได้กล่าวถึงประเด็นสำคัญดังต่อไปนี้

Help Net Security ได้อ้างถึงผลสำรวจที่ชี้ว่า CISO อาจจะยังไม่เข้าใจถึงคุณค่าของข้อมูล Security Control ที่แม่นยำ ซึ่งสามารถสร้างประโยชน์ในก้าวต่อไปได้ โดยสถิติได้กล่าวถึงประเด็นสำคัญดังต่อไปนี้

• CISO ที่เพิ่งได้รับตำแหน่งใหม่กังวลว่าจะได้ข้อมูล Security Posture ขององค์กรที่ไม่แม่นยำ มากกว่าประเด็นว่าจะไม่มีงบประมาณ หรือตกเป็นแพะรับบาปในเหตุการณ์ Breach เสียอีก
• การมีข้อมูล Security Control จะช่วยให้ CISO สามารถเข้าใจภาพจุดอ่อนที่แท้จริงขององค์กรได้ รวมถึงภูมิทัศน์ของภัยคุกคาม ตลอดจนการนำไปใช้ตัดสินใจเชิงกลยุทธ์
• มีผู้นำด้านความมั่นคงปลอดภัยเพียง 36% เท่านั้นที่มั่นใจในข้อมูลของพวกเขา และนำไปใช้ในการตัดสินใจเชิงกลยุทธ์
• ผู้ตอบแบบสอบถามราว 95% เชื่อว่า Security Control ของตนทำงานได้ดีตลอดเวลา
• 88% เชื่อว่าข้อมูล Security Control ของตนแม่นยำพอ
• 54% ของผู้นำด้านความมั่นคงปลอดภัยมั่นใจอย่างยิ่งว่านำข้อมูล Security Control มาช่วยลำดับความสำคัญของกิจกรรม เพื่อลดผลกระทบความเสี่ยงได้

แม้เสียงส่วนใหญ่จะดูมั่นใจสูงต่อการปกป้องหรือข้อมูลที่ได้รับ แต่กว่า 79% ยังประหลาดใจว่าทำไมเหตุการณ์ incident ถึงเล็ดลอดการควบคุมเข้ามาได้ ซึ่งอาจเพราะข้อมูลอาจไม่แม่นยำ หรือนำข้อมูลมาใช้ปรับปรุงได้ไม่ดีพอ

อย่างไรก็ดีผู้ถูกสัมภาษณ์ราว 38% ไม่สามารถพิสูจน์ว่าความล้มเหลวได้ถูกแก้ไขแล้ว อีกทั้ง 37% จัดว่าการควบคุมที่ล้มเหลวมีความสำคัญระดับต่ำ แม้กระทั่งในธุรกิจการเงินเองก็แทบไม่ต่างกัน

ในช่วงท้ายข้อสรุปก็คือบอร์ดบริหารจำเป็นต้องเปลี่ยนความคิดเกี่ยวกับข้อมูลว่าเป็นเพียงแค่รายงาน สู่การนำข้อมูลไปใช้เพื่อตัดสินใจทางธุรกิจให้ได้ รวมถึงตัดวงจรก่อนเกิดเหตุ โดย CISO ควรต้องเข้าใจว่าข้อมูล Security Control จะช่วยให้พวกเขารู้ว่าจะก้าวต่อไปอย่างไร และรับมือกับความท้าทายได้เช่น

• เข้าใจภาพของ Security Posture
• เข้าใจกระบวนการเก็บและวิเคราะห์ข้อมูล
• ตรวจสอบการใช้เครื่องมือด้าน Security

ที่มา : https://www.helpnetsecurity.com/2023/10/26/security-controls-data-value/