งานวิจัยจากแคสเปอร์สกี้ (Kaspersky) เผยให้เห็นว่าผู้บริหารธุรกิจ 37% มองว่าการหารือกับผู้บริหารฝ่ายไอทีเกี่ยวกับการเลือกโซลูชั่นรักษาความปลอดภัยเข้ามาใหม่นั้น ถือเป็นความหนักใจของผู้บริหารระดับ C-Level เลยทีเดียว ขณะที่ผู้บริหารส่วนอื่น ๆ มองว่าการเพิ่มงบประมาณด้านระบบรักษาความปลอดภัยไซเบอร์ต่างหากที่เป็นประเด็นน่าหนักใจกว่า เมื่อต้องนำมาหารือร่วมกับฝ่ายบริหารที่ไม่เกี่ยวข้องกับงานไอที
ทั้งนี้จากการสำรวจความคิดเห็นของผู้ปฏิบัติงานฝ่ายไอทีพบว่า สาเหตุหลักที่ทำให้งบประมาณด้านการบำรุงระบบรักษาความปลอดภัยทางไซเบอร์มักถูกหั่นออกนั้น เป็นผลพวงจากการที่เหล่าผู้บริหารมองไม่เห็นความสำคัญของการลงทุนด้านนี้ แคสเปอร์สกี้จึงได้ทำการสำรวจในเรื่องดังกล่าวเป็นกรณีพิเศษเพื่อหาข้อสรุปว่า สถานการณ์นี้เป็นผลจากการสื่อสารที่ไม่ชัดเจนระหว่างผู้บริหารกับเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยทางไอทีหรือไม่ รวมถึงตรวจสอบด้วยว่ายังมีความเข้าใจที่คลาดเคลื่อนระหว่างฟันเฟืองทั้งสองขององค์กรอีกหรือไม่
และผลสำรวจเผยว่าผู้บริหารสูงสุดในเอเชียตะวันออกเฉียงใต้จำนวน 60% มองว่าพนักงานรักษาความปลอดภัยทางไซเบอร์ขององค์กรควรเป็นฝ่ายชี้แจงถึงความเสี่ยงทางไซเบอร์ให้กับทางองค์กรมากกว่า และมีผู้ปฏิบัติงานด้านการรักษาความปลอดภัยทางไซเบอร์จากภูมิภาคนี้เพียงแค่ 6% เท่านั้นที่ยอมรับว่าเป็นเรื่องยากลำบากไม่น้อยเลยในการชี้แจงให้ผู้บริหารและเพื่อนร่วมงานสายอื่น ๆ ได้เข้าใจถึงปัญหาในการทำงานของตน
นายคริส คอนเนลล์ กรรมการผู้จัดการประจำภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ ชี้ว่า "ปัญหาช่องว่างการสื่อสารภายในองค์กรระหว่างผู้มีอำนาจตัดสินใจ ซึ่งในที่นี้คือผู้บริหารระดับสูงที่ไม่ใช่บุคลากรไอที และพนักงานฝ่ายรักษาความปลอดภัยที่รับผิดชอบด้านความมั่นคงทางไซเบอร์ขององค์กรนั้นมีอยู่จริง และเป็นเรื่องที่ต้องกังวลเพราะผลการศึกษาฉบับเดียวกันได้เผยให้เห็นว่า การสื่อสารที่คลาดเคลื่อนระหว่างกลุ่มคนทั้งสองนี้สามารถสร้างผลกระทบเชิงลบที่รุนแรง หรือการดำเนินโครงการที่ต้องหยุดชะงักจากความล่าช้าได้ โดยมีโอกาสเกิดขึ้นได้สูงถึง 67% ขณะที่โอกาสในการถูกโจมตีทางไซเบอร์นั้นมีอยู่ 66% และมีโอกาสสูญเสียรายได้ถึง 60%"
นอกจากนี้ความแตกต่างกันระหว่างคนสองกลุ่ม คือ บุคลากรด้านไอทีกับไม่ใช่ไอทีในเอเชียตะวันออกเฉียงใต้ ยังมีความซับซ้อนในจุดที่ยากต่อการสื่อสาร ถกเถียงในประเด็นเหล่านั้น สำหรับผู้บริหารระดับ C-level แล้วหัวข้อหนักใจที่จะต้องพูดถึงกับพนักงานฝ่ายไอที ได้แก่ 37% ในหัวข้อการปรับใช้โซลูชั่นระบบรักษาความปลอดภัยใหม่ 37% ในหัวข้อการปฏิบัติตามมาตรการรักษาความปลอดภัย และ 33% ในหัวข้อการปรับเปลี่ยนนโยบายการรักษาความปลอดภัยทางไซเบอร์
เช่นเดียวกันในฝั่งของบุคลากรด้านไอทีก็มีหัวข้อหนักใจที่จะสื่อสารกับผู้บริหารที่ไม่ใช่บุคลากรไอที ได้แก่ 55% ในหัวข้อความจำเป็นในการเพิ่มงบประมาณด้านการรักษาความปลอดภัยทางไอที 54% ในหัวข้อการขอเพิ่มเจ้าหน้าที่รักษาความปลอดภัยทางไอที และ 52% ในหัวข้อการกระตุ้นให้เกิดความตระหนักต่อประเด็นด้านการรักษาความปลอดภัยทางไอทีในพนักงานองค์กร
ในส่วนของการแสวงหาจุดยืนร่วมกัน ผู้ตอบแบบสอบถามในเอเชียตะวันออกเฉียงใต้ส่วนใหญ่เห็นพ้องว่า วิธีที่มีประสิทธิภาพที่สุดในการตั้งประเด็นนำเสนอปัญหาด้านระบบรักษาความปลอดภัยทางไอที คือ การยกตัวอย่างในชีวิตจริง และอ้างอิงรายงานรวมถึงสถิติต่าง ๆ นอกจากหัวข้อนำเสนอเหล่านี้แล้ว บรรดาผู้บริหารระดับ C-level ยังระบุด้วยว่าการอ้างอิงจากหลักฐานที่มีน้ำหนักความน่าเชื่อถือมากเพียงพอในการแสดงความคิดเห็น จะช่วยให้ทำความเข้าใจกับบุคลากรฝ่ายรักษาความปลอดภัยทางไอทีได้ในโอกาสสูงถึง 49% และในทางกลับกัน เรื่องราวที่น่าเชื่อถือจะช่วยให้พนักงานไอทีสามารถสื่อสารกับผู้บริหารได้อย่างมีประสิทธิภาพมากยิ่งขึ้นถึง 52%
นายไอวาน วาสซูนอฟ รองประธานฝ่ายผลิตภัณฑ์องค์กร แคสเปอร์สกี้ กล่าวว่า "เป็นเรื่องที่อนุมานได้ว่าผู้บริหารที่ไม่ใช่สายงานไอที มีความลำบากใจในการหารือเรื่องการใช้โซลูชั่นระบบรักษาความปลอดภัยทางไซเบอร์ใหม่ เพราะปัญหาเรื่องของศัพท์เทคนิคและภาษาเฉพาะทางต่าง ๆ มากมายที่บุคลากรไอทีชอบนำมาใช้ รองลงมาคือการไม่อยากพูดถึงการเพิ่มงบประมาณ เนื่องจากผู้บริหารระดับสูงนั้นคาดหวังให้ใช้ตัวชี้วัดทางธุรกิจในการปรับแต่งให้เหมาะสมต่อความจำเป็นที่ต้องการ"
"วันนี้ ในช่วงเศรษฐกิจขาดสภาพคล่องและภัยคุกคามมีแนวโน้มการโจมตีที่มีความซับซ้อนมากขึ้น การทำความเข้าใจระหว่างองค์กรกับบุคลากรด้านระบบรักษาความปลอดภัยไอทีมีความสำคัญต่อการดำเนินธุรกิจยิ่งกว่าเดิมเสียอีก ดังนั้นเพื่อหลีกเลี่ยงไม่ให้เกิดความเสี่ยงต่อการรักษาความปลอดภัยทางไซเบอร์มากไปกว่านี้ ทั้งสองฝ่ายจึงควรเรียนรู้วิธีที่จะพูดคุยด้วยภาษาเดียวกันโดยอาศัยตัวเลขสถิติ ข้อมูลอ้างอิงที่มีความน่าเชื่อถือ และมีข้อโต้แย้งที่สามารถนำมาปรับความเข้าใจซึ่งกันและกันได้"
แคสเปอร์สกี้ขอเสนอแนวทางเพื่อสร้างการสื่อสารระหว่างบุคลากรฝ่ายรักษาความปลอดภัยไอที และส่วนงานธุรกิจภายในองค์กรที่มีความชัดเจน โปร่งใส เข้าใจตรงกัน ดังต่อไปนี้
- จัดสรรการลงทุนด้านระบบรักษาความปลอดภัยทางไซเบอร์ ให้เป็นเครื่องมือที่สามารถพิสูจน์ประสิทธิภาพได้ และนำเสนอแนวคิดการรักษาความปลอดภัยใหม่ ๆ เช่น SASE, XDR และ Zero Trust แก่คณะกรรมการบริหารในรูปแบบของโปรเจ็กต์การลงทุน หรือเคสทางธุรกิจที่มีการคำนวน ROI เป็นที่เรียบร้อยแล้ว ตัวอย่างเช่น กรณีของการติดตั้งโซลูชั่น XDR (Extend Detection and Response) และ SASE (Secure Access Service Edge) การสื่อสารให้เกิดความเข้าใจว่าเทคโนโลยีเหล่านี้สามารถเข้ามาช่วยลดภาระของฝ่ายรักษาความปลอดภัยไอที และยังสามารถนำมาใช้พัฒนาประสิทธิภาพของแนวทางระบบรักษาความปลอดภัยทางไซเบอร์ขององค์กร จากกระบวนการทำงานอัตโนมัติแบบรวมศูนย์ได้เป็นสิ่งสำคัญอย่างยิ่ง
- ใช้ทรัพยากร เช่น IT Security Calculator และรายงานที่อิงจากการสำรวจโดยผู้เชี่ยวชาญ ซึ่งมีข้อมูลเชิงโครงสร้างของภัยคุกคาม และตัวชี้วัดความปลอดภัยที่มีความใกล้เคียงกับอุตสาหกรรมและขนาดองค์กรของคุณให้มากที่สุด เพื่อทำการระบุความเป็นไปได้ที่จะเกิดความเสี่ยงและมาตรการรักษาความปลอดภัยที่จำเป็น
- ศึกษาหาความรู้เพิ่มเติมเพื่อสร้างความรู้ความเข้าใจที่มีต่อผู้ชำนาญการจากสายงานอื่นได้ดียิ่งขึ้น โดยสามารถศึกษาเพิ่มเติมพื้นฐานทางธุรกิจได้จากหลักสูตรการอบรม ซึ่งผู้บริหารที่ไม่ใช่บุคลากรไอทีนั้นก็สามารถที่จะคว้าโอกาสในการสวมบทบาทของ CIO ได้เพื่อศึกษาข้อมูลเชิงลึกที่มีความใกล้เคียงกับความท้าทายด้านการรักษาความปลอดภัยทางไอทีอย่างถึงที่สุดได้
ติดตามรายงานฉบับเต็มและข้อมูลเชิงลึกในประเด็นปัญหาการสื่อสารระหว่างผู้บริหารระดับ C-level และผู้จัดการฝ่ายรักษาความปลอดภัยทางไอทีได้ที่
https://www.kaspersky.com/blog/speak-fluent-infosec-2023/