ผู้บริหารด้านความปลอดภัยและผู้บริหารด้านการจัดการความเสี่ยงควรให้ความสนใจในสุดยอด 10 Security Project นี้ นอกจากจะสามารถขับเคลื่อนให้บริษัทมีมูลค่าแล้ว โครงการเหล่านี้ยังช่วยลดความเสี่ยงในการทำธุรกิจได้อีกด้วย
“คุณกำลังพยายามรักษาความปลอดภัยให้กับระบบของพนักงานที่ Work from home แต่ไม่ต้องการให้ประสิทธิภาพการทำงานในธุรกิจของคุณลดลงใช่หรือไม่”
“คุณกำลังดิ้นรนกับการระบุความเสี่ยงและช่องว่างด้านการรักษาความปลอดภัยหรือไม่”
“CISO ควรให้ความสำคัญกับเวลาและทรัพยากรที่ไหน”
ผู้เชี่ยวชาญด้านความปลอดภัยและผู้เชี่ยวชาญด้านการจัดการความเสี่ยงมักจะต้องประสบพบเจอกับคำถามเหล่านี้อยู่เสมอ แต่จริง ๆ แล้วพวกเขาควรจะเจอคำถามที่ว่า โปรเจคใดที่สามารถผลักดันมูลค่าทางธุรกิจได้มากที่สุดและสามารถลดความเสี่ยงจากการเกิดภัยคุกคามด้านความปลอดภัยให้กับองค์กรได้
Brian Reed ผู้บริหารด้านการวิเคราะห์ กล่าวในการประชุมสุดยอดความปลอดภัยและการจัดการความเสี่ยงของ Gartner ในปี 2020 ว่า “พวกเราใช้เวลาอันมีค่ามากเกินไปกับการมองหาระบบรักษาความปลอดภัยที่ดีที่สุด สมบูรณ์แบบที่สุด ซึ่งมันเป็นไปไม่ได้เลยเพราะไม่มีระบบใดที่ปลอดภัย 100% พวกเราต้องเริ่มจากมองข้ามการป้องกันขั้นพื้นฐานซะก่อนและปรับปรุงความยืดหยุ่นขององค์กร ซึ่งหมายถึง ความสามารถขององค์กรในการปรับเปลี่ยนตามสถานการณ์ทางเศรษฐกิจที่มักจะเปลี่ยนแปลงอยู่เสมอ ด้วยวิธีการใหม่ ๆ เพื่อตรวจจับ ตอบสนอง รวมไปถึงแก้ไขปัญหาที่เกิดขึ้นจากเหตุการณ์ที่ไม่ได้คาดคิด กุญแจสำคัญก็คือการเรียงลำดับความสำคัญของการใช้งานทางธุรกิจและการลดความเสี่ยง จากนั้นสื่อสารลำดับความสำคัญเหล่านี้กลับไปยังหน่วยธุรกิจ”
โครงการด้านความปลอดภัย 10 อันดับแรกในช่วงปี 2020 – 2021 เป็นไปตามการคาดการณ์ของ Gartner และอาจจะปรับเปลี่ยนบางโครงการเนื่องจากสถานการณ์การแพร่ระบาดของไวรัสโคโรนา โดยมี 8 โครงการใหม่ที่เน้นไปในเรื่องของการจัดการความเสี่ยงและความเข้าใจถึงการหยุดชะงักของกระบวนการทางธุรกิจ อย่างไรก็ตาม 10 โครงการเหล่านี้ไม่ได้ถูกเรียงลำดับตามความสำคัญหรือความนิยมใด ๆ
อันดับที่ 1 โครงการการรักษาความปลอดภัยให้กับพนักงานที่ทำงานจากระยะไกล (Securing your remote workforce)
ผู้บริหารควรให้ความสำคัญในเรื่องความต้องการทางธุรกิจและต้องเข้าใจว่าพนักงานและผู้คนสามารถเข้าถึงข้อมูลและแอปพลิเคชันได้อย่างไร เนื่องจาก การทำงาน 2 - 3 เดือนนี้ได้ผ่านไปกับการควบคุมจากระยะไกลซึ่งมันค่อนข้างที่จะควบคุมได้ยาก เนื่องจากเวลามีปัญหาเกี่ยวกับระบบ พนักงานไม่สามารถแก้ไขได้ด้วยตัวเอง พวกเขาจะต้องรอทีมแก้ไข ซึ่งก็ใช้เวลานานในการแก้ไขปัญหาแต่ละอย่าง ตอนนี้ถึงเวลาแล้วที่จะต้องมีการประเมินความต้องการและทบทวนว่ามีอะไรต้องเปลี่ยนแปลงบ้างเพื่อพิจารณาระดับการเข้าใช้งานว่าเหมาะสมแค่ไหนรวมไปถึงดูว่ามาตรฐานการรักษาความปลอดภัยไปขัดขวางการทำงานที่เป็นอยู่หรือไม่เพื่อที่จะรักษาความปลอดภัยให้กับพนักงานทุกคนที่ทำงานจากระยะไกล
อันดับที่ 2 โครงการการบริหารจัดการช่องโหว่ตามความเสี่ยง (Risk-based vulnerability management)
ทางผู้บริหารไม่ต้องพยายามไปแก้ไขช่องโหว่ให้ระบบมีความสมบูรณ์แบบมากที่สุด แต่จะต้องมุ่งเน้นไปที่ช่องโหว่ที่สามารถสร้างผลกระทบให้แก่องค์กรได้เป็นอันดับแรก ผู้บริหารต้องดูการประเมินภัยคุกคาม การวิเคราะห์ข้อมูลเชิงลึก การกระทำของผู้โจมตี และระบบที่เสียหาย เพื่อที่จะได้เห็นมุมมองความเสี่ยงที่แท้จริงขององค์กรว่าจริง ๆ แล้วระบบมีจุดบอดตรงไหนกันแน่
อันดับที่ 3 โครงการ Extended detection and response (XDR)
XDR เป็นแพลตฟอร์มที่รวมการรักษาความปลอดภัยและการตอบสนองต่อเหตุการณ์ แพลตฟอร์มจะรวบรวมข้อมูลและเชื่อมโยงข้อมูลจากหลาย ๆ ผลิตภัณฑ์ด้านการรักษาความปลอดภัย การรวมแพลตฟอร์มแบบนี้จะเกิดขึ้นตอนที่กำลังจะใช้งานมากกว่าถูกเพิ่มเข้ามาในภายหลัง แพลตฟอร์มที่รวมผลิตภัณฑ์ด้านการรักษาความปลอดภัยที่สามารถทำได้หลายอย่างไว้ในผลิตภัณฑ์เดียว อาจจะช่วยให้ผลลัพธ์ด้านการปลอดภัยดีขึ้น หลาย ๆ องค์กรควรพิจารณาใช้เทคโนโลยีเหล่านี้เพื่อลดความซับซ้อนและเพิ่มความปลอดภัยให้แก่ระบบภายในองค์กร
อันดับที่ 4 โครงการการจัดการความปลอดภัยบนคลาวด์ (Cloud security posture management)
หลาย ๆ องค์กรจำเป็นที่จะต้องตรวจสอบอย่างละเอียดเพื่อให้แน่ใจว่ามีการควบคุมทั้ง laaS (Infrastructure as a Service) และ PaaS (Platform as a Service) รวมไปถึงต้องมีการประเมินและแก้ไขโดยอัตโนมัติ แอปพลิเคชันระบบคลาวด์มีไดนามิกที่สูงมาก อีกทั้งยังต้องการการดูแลโดยอัตโนมัติจากทีม DevSecOps อีกด้วย ซึ่งเป็นเรื่องที่ยากมากถ้าหากต้องการที่จะรักษาความปลอดภัยบนระบบคลาวด์สาธารณะโดยไม่มีตรวจสอบนโยบายการรักษาความปลอดภัยของระบบอย่างสม่ำเสมอ
อันดับที่ 5 โครงการการลดความซับซ้อนในการเข้าใช้ระบบคลาวด์ (Simplify cloud access controls)
โดยทั่วไปแล้ว การควบคุมการเข้าใช้งานระบบคลาวด์มักจะทำผ่าน CASB (Cloud Access Security Broker) ซึ่งบังคับใช้แบบReal time ผ่านทาง Proxy ที่มีนโยบายการบังคับใช้และสามารถปิดกั้นการใช้งานได้ การมี CASB มากกว่าหนึ่ง จะช่วยเพิ่มความยืดหยุ่นให้กับระบบได้ ยกตัวอย่างเช่น มี Monitoring Mode เพื่อให้แน่ใจว่าการรับส่งข้อมูลภายในระบบมีความเสถียรและเข้าใจการเข้าถึงความปลอดภัย
อันดับที่ 6 โครงการ DMARC
หลาย ๆ องค์กรมักจะใช้อีเมลเป็นทางเลือกเดียวในการตรวจสอบข้อมูล ซึ่งผู้ใช้งานจะต้องพยายามดูด้วยตนเอง ว่าอีเมลไหนเป็นอีเมลปลอม DMARC (Domian-based message authentication, reporting and conformance) เป็นระบบยืนยันตัวตนในอีเมลของผู้ใช้งาน หรือ การตรวจสอบอีเมล จะช่วยดูแลอีเมลไม่ให้แฮ็กเกอร์หรือผู้อื่น ๆ ปลอมแปลงโดเมนขององค์กรได้ DMARC อาจจะไม่ใช่วิธีแก้ไขที่ดีที่สุดในการรักษาความปลอดภัยในระบบอีเมล แต่ก็เป็นระบบที่สามารถทำงานได้มีประสิทธิภาพมากที่สุดในตอนนี้ เนื่องจากระบบ DMARC สามารถ Double Check โดเมนของผู้ส่งได้ ถึงแม้ว่า DMARC สามารถช่วยแก้ไขปัญหาในเรื่องการปลอมแปลงโดเมนได้ แต่ไม่สามารถแก้ปัญหาด้านความปลอดภัยให้อีเมลได้ทั้งหมด
อันดับที่ 7 โครงการระบบการยืนยันตัวตนโดยไม่ต้องใช้รหัสผ่าน (Passwordless authentication)
พนักงานส่วนใหญ่มักจะมีรหัสการเข้าใช้งานเพียงรหัสเดียว ไม่ว่าจะตอนเข้าใช้คอมพิวเตอร์หรือการ Log in เข้าใช้งานอีเมล การทำแบบนี้เป็นสาเหตุหลัก ๆ ที่ทำให้ระบบความปลอดภัยล้มเหลว การมีระบบการยืนยันตัวตนโดยไม่ต้องใช้รหัสผ่านจึงเป็นอีกวิธีหนึ่งที่ช่วยในการรักษาความปลอดภัย หลัก ๆ เลยก็คือจะต้องเพิ่มความเชื่อใจและปรับปรุง User Experience
อันดับที่ 8 โครงการการแยกประเภทข้อมูลและการป้องกัน (Data classification and protection)
ข้อมูลแต่ละประเภทล้วนแตกต่างกัน การเก็บข้อมูลทุกประเภทไว้ที่เดียวกันเป็นการเพิ่มความเสี่ยงให้แก่องค์กร เนื่องจากถ้าข้อมูลถูกโจรกรรม ก็จะถูกโจรกรรมไปทั้งหมด หรือถ้าระบบที่เก็บข้อมูลเสียหาย ข้อมูลก็อาจจะหายไปทั้งหมด ในกรณีที่มีการสำรองข้อมูลก็อาจมีทางแก้ไขได้ ซึ่งการมีการแยกข้อมูลควรจะเริ่มต้นจากการมีนโยบายการรักษาความปลอดภัยที่ดีก่อน
อันดับที่ 9 โครงการการประเมินความสามารถของพนักงาน (Workforce competencies assessment)
ผู้บริหารด้านไอทีจะต้องใช้คนให้ถูกงาน จะต้องให้พนักงานแต่ละคนต้องอยู่ในตำแหน่งที่เหมาะสมตามความสามารถที่พวกเขามี ซึ่งเป็นสิ่งที่สำคัญมาก ๆ สำหรับผู้บริหารเนื่องจากเป็นการผสมผสานระหว่างทักษะเฉพาะทาง (Hard skill) กับทักษะด้าน Soft skill ไม่มีพนักงานคนไหนที่สมบูรณ์แบบ สามารถทำงานได้ทุกอย่าง แต่ผู้บริหารจะต้องรู้ความสามารถของพนักงานแต่ละคน อย่างไรก็ตาม ผู้บริหารจะต้องสามารถระบุทักษะการที่จำเป็นในการทำงานในแต่ละโครงการได้อย่างน้อย 5 - 6 ทักษะ นอกจากนี้ผู้บริหารจะต้องมีการประเมินความสามารถของพนักงานในหลาย ๆ วิธี เช่น การประเมิน Cyber-ranging (ระบบการจำลองยุทธ์ทางไซเบอร์ เป็นระบบที่ใช้ฝึกซ้อมเมื่อถูกโจมตีและรับมือกับภัยคุกคามทางด้านไซเบอร์ต่าง ๆ ), Cyber Ssimulations และทักษะด้าน Soft skill อีกด้วย
อันดับที่ 10 โครงการการประเมินความปลอดภัยด้านความเสี่ยงโดยอัตโนมัติ (Automating security risk assessments)
นี่เป็นวิธีหนึ่งที่จะสามารถช่วยให้ทีมรักษาความปลอดภัยเข้าใจถึงความเสี่ยงที่อาจจะเกิดในระหว่างการดำเนินการด้านความปลอดภัยในโครงการใหม่หรือในโปรแกรมความเสี่ยงต่าง ๆ สำหรับองค์กรการประเมินความเสี่ยงมักจะถูกข้ามไม่ทำทั้งหมดหรือทำแบบมีข้อจำกัด ซึ่งจริง ๆ แล้วการประเมินความเสี่ยงจะช่วยให้องค์กรสามารถมองเห็นจุดบอดที่ทำให้เกิดความเสี่ยงให้แก่องค์กรได้