“ชื่อเสียงและภาพลักษณ์” เหตุผลที่สำคัญที่สุดที่ต้องปกป้องข้อมูล

Vormetric ผู้ให้บริการ Data Security Solutions ชื่อดัง ออกรายงาน 2016 Vormetric Data Threat Report ซึ่งสำรวจข้อมูลเกี่ยวกับแผนงบประมาณ มุมมองด้านภัยคุกคาม อัตราการเจาะระบบเพื่อขโมยข้อมูล และจุดยืนด้านความมั่นคงปลอดภัย ของผู้เชี่ยวชาญด้าน IT Security จากหลายองค์กรในสหราชอาณาจักร พบประเด็นสำคัญ ดังนี้

“สำหรับองค์กรในสหราชอาณาจักร 50% ระบุว่าการปกป้องชื่อเสียงและความน่าเชื่อถือถือว่าเป็นเหตุผลสำคัญที่สุดในการปกป้องข้อมูลสำคัญขององค์กร แต่แผนงบประมาณของ IT Security กลับทุ่มให้กับประเด็นเรื่อง Compliance แทน คิดเป็น 48% ในขณะที่ประเด็นเรื่องชื่อเสียงและความน่าเชื่อถือลดลงเหลือ 45% เท่านั้น ซึ่งแสดงให้เห็นอย่างชัดเจนว่า องค์กรในปัจจุบันมีปัญหาด้านการจัดลำดับความสำคัญของงบประมาณเพื่อให้มั่นใจได้ว่าลูกค้าจะมีความปลอดภัยสูงสุด และองค์กรประสบความสำเร็จเชิงธุรกิจ” — Garrett Bekker นักวิเคราะห์ความมั่นคงปลอดภัยข้อมูลอาวุโสจาก 451 Research

สถิติอื่นๆ ที่น่าสนใจประกอบด้วย

• 89% ขององค์กรรู้สึกว่าระบบของตนมีช่องโหว่ต่อการถูกโจมตีข้อมูลสำคัญมากกว่าสมัยก่อน ไม่ว่าจะจากทั้งภายในหรือภายนอก ในขณะที่ 23% รู้สึกว่าระบบของตนมี “ช่องโหว่สุดๆ”
• สาเหตุที่ต้องปกป้องข้อมูลสำคัญอันดับหนึ่ง คือ “การปกป้องชื่อเสียงและภาพลักษณ์” (50%) รองลงมาคือ “ข้อกำหนดขององค์กร” (47%) และ “ต้องการสร้างแนวทางปฏิบัติที่มั่นคงปลอดภัยที่สุด” (41%)
• แผนงบประมาณด้าน IT Security ตรงกันข้ามกับสาเหตุ โดย “ข้อกำหนดขององค์กร” เป็นประเด็นอันดับหนึ่ง (48%) ในขณะที่ “ชื่อเสียงและภาพลักษณ์” ตกลงมาเป็นอันดับสอง (45%)
• 46% ขององค์กรเคยประสบกับการถูกเจาะระบบเพื่อขโมยข้อมูล (Data Breach) และประมาณ 1 ใน 5 (19%) เคยถูกขโมยข้อมูลออกไปสำเร็จภายในช่วง 12 เดือนที่ผ่านมา
• 42% ที่วางแผนจะใช้เทคโนโลยี Internet of Things (IoT) ระบุว่า การปกป้องข้อมูลสำคัญที่มาจากอุปกรณ์ IoT เป็นปัญหาใหญ่ที่ต้องสนใจเป็นอันดับแรก
• แผนงบประมาณในช่วง 12 ปีต่อจากนี้ จะทุ่มให้กับ “การป้องกันระบบเครือข่าย” มากที่สุด (42%) รองลงมาคือ “เครื่องมือสำหรับวิเคราะห์และเชื่อมโยงความสัมพันธ์” (39%) ตามด้วย “การป้องกันอุปกรณ์ปลายทางและอุปกรณ์พกพา” (38%)

Compliance ไม่ใช่ตัวชี้วัดความมั่นคงปลอดภัยขององค์กร

Bekker ยังระบุอีกว่า ข้อกำหนด (Compliance) ไม่ได้เป็นตัวชี้วัดความมั่นคงปลอดภัยขององค์กร บางองค์กรที่มีการบังคับให้ปฏิบัติตามข้อกำหนดอย่างเคร่งครัด (เช่น TalkTalk, Morrison และอื่นๆ) ต่างเคยถูกขโมยข้อมูลออกไปทั้งสิ้น การทำตามข้อกำหนดไม่จำเป็นต้องหมายความว่าข้อมูลของบริษัทจะไม่ถูกเจาะและไม่ถูกขโมยออกไป

ลงทุนป้องกัน Data Breach อย่างไร้ประสิทธิภาพ

ไม่ใช่เรื่องน่าแปลกใจที่หลายบริษัทวางแผนเพิ่มงบประมาณด้านความมั่นคงปลอดภัยในปีถัดๆ ไป แต่แผนส่วนใหญ่มักเป็นการลงทุนกับเครื่องมือ เช่น อุปกรณ์สำหรับปกป้องเครือข่ายและเครื่องปลายทาง ซึ่งพิสูจน์แล้วว่าไม่ตอบโจทย์การป้องกันภัยคุกคามที่นับวันจะทันสมัยและทวีความรุนแรงมากยิ่งขึ้น ผลลัพธ์คือมีองค์กรถึง 1 ใน 5 ที่ต้องประสบกับปัยหาเรื่องถูกเจาะระบบเพื่อขโมยข้อมูลในช่วง 12 เดือนที่ผ่านมา

ที่มา: https://www.helpnetsecurity.com/2016/05/25/protecting-data/