เชค พอยต์ ซอฟต์แวร์ เทคโนโลยีส์ เผยสิบอันดับแรกปัญหาด้านความปลอดภัยที่มีผลต่อระบบไอทีในปี 2554
จอห์น ออง ผู้อำนวยการประจำภูมิภาค เอเชียใต้
บริษัท เชค พอยต์ ซอฟต์แวร์ เทคโนโลยีส์ จำกัด
ปี 2553 เป็นปีที่เต็มไปด้วยเรื่องราวมากมาย และแน่นอนว่ามีเรื่องของเหตุการณ์เกี่ยวกับความปลอดภัยรวมอยู่ด้วย ไม่ว่าจะเป็น Operation Aurora ซึ่งเป็นการโจมตีทางไซเบอร์ที่มีกลุ่มเป้าหมายเป็นบริษัทในทำเนียบฟอร์จูน 500 จำนวนหลายสิบบริษัท เหตุการณ์ครั้งนี้ก่อให้เกิดการสูญเสียเงินหลายล้านดอลลาร์สหรัฐฯ และตามมาด้วย Wikileaks หนึ่งในกรณีของการละเมิดข้อมูลครั้งใหญ่ที่สุดเท่าที่เคยมีมา
โดยมีการเปิดเผยเอกสารที่เป็นความลับของรัฐบาลสหรัฐนับพันฉบับ และยังแทรกด้วย Stuxnet หนึ่งในการโจมตีทางไซเบอร์ที่ซับซ้อนที่สุดเท่าที่เคยเกิดขึ้นด้วยการพุ่งเป้าไปที่ระบบคอมพิวเตอร์ของโรงงานไฟฟ้านิวเคลียร์หลายแห่งในอิหร่าน
นอกจากนี้ในปี 2553 ยังแสดงให้เห็นถึงความสำคัญของการรักษาความปลอดภัยด้านไอทีสำหรับองค์กรธุรกิจด้วย นอกจากการโจมตีทางไซเบอร์รู้จักกันดีรวมถึงการละเมิดความปลอดภัยที่เป็นเรื่องเป็นราวกันจนขึ้นหน้าหนึ่งในหน้าหนังสือพิมพ์มาแล้วนั้น ยังมีการโจมตีอีกนับพันรายการที่เกิดขึ้นบนเว็บในแต่ละวันหรือคิดเป็น 69 การโจมตีต่อวินาที และสถานการณ์นี้ยังคงเกิดขึ้นอยู่ในปัจจุบัน
ในช่วงที่ผ่านมาลูกค้ามักจะถามเราว่าในปี 2554 นี้จะมีภัยคุกคามระบบคอมพิวเตอร์ในรูปแบบใดเกิดขึ้นบ้างและมีวิธีการเตรียมป้องกันไว้ล่วงหน้าหรือไม่ แม้ว่าจะไม่มีลูกแก้ววิเศษที่สามารถบอกได้ว่ากำลังจะเกิดความเสี่ยงด้านความปลอดภัยที่สำคัญๆ อะไรบ้าง แต่อยากจะให้พิจารณาถึงสถานะปัจจุบันของความปลอดภัยด้านไอทีและวางกรอบแนวโน้มความปลอดภัยด้านไอทีที่สำคัญที่เราจะต้องจับตาดูรวมทั้งปรับระบบความปลอดภัยเพื่อรับมือกับ 2554 ข้อมูลต่อไปนี้คือแนวโน้มของปัญหาด้านความปลอดภัยที่มีผลต่อระบบไอทีและมีความโดดเด่นที่สุดสิบอันดับแรก ที่สำคัญกำลังสร้างความกังวลให้กับองค์กรธุรกิจปัจจุบันอย่างมาก
แนวโน้ม 1: ระบบเสมือนจริง – ขยายตัวอย่างต่อเนื่อง
ระบบเสมือนจริงถูกนำมาใช้งานกันอย่างแพร่หลายเป็นระยะเวลาหนึ่งแล้ว และมีแนวโน้มที่จะกลายเป็นเทคโนโลยีหลักของแต่ละองค์กร เนื่องจากสามารถรองรับความต้องการขององค์กรได้อย่างหลากหลายนอกเหนือจากความสามารถในการรวมระบบต่างๆ ไว้เป็นหนึ่งเดียวและลดต้นทุนได้อย่างมาก ไม่น่าแปลกใจที่ การเพิ่มจำนวนของระบบเสมือนจริงจะเกิดขึ้นอย่างต่อเนื่องในปี 2554
จากการศึกษาของบริษัท มอร์แกน สแตนลีย์ พบว่าบรรดาประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (ซีไอโอ) จะยังคงเดินหน้าปรับระบบเซิร์ฟเวอร์ของตนให้เป็นระบบเสมือนจริงในปี 2554 อย่างต่อเนื่องโดยจะมีสัดส่วนเพิ่มขึ้นเป็น 55% เมื่อเทียบกับปี 2553 ซึ่งอยู่ที่ระดับ 42% ขณะที่ผลการสำรวจของอินฟอร์เมชั่นวีคเมื่อเดือนมิถุนายน 2553 พบว่า 28% ของบริษัทมีระบบคลาวด์ส่วนตัวใช้งานแล้ว และ 30% มีแผนที่จะปรับใช้ระบบคลาวด์เช่นกัน
นอกจากจะสร้างประโยชน์ให้อย่างมากแล้ว ระบบเสมือนจริงยังนำมาซึ่งปัญหาอย่างมากด้วย อันเป็นผลมาจาก การขาดทักษะเฉพาะทางด้านระบบเสมือนจริงของทีมรักษาความปลอดภัยและค่าใช้จ่ายของโซลูชั่นใหม่ด้านการรักษาความปลอดภัยข้อมูลที่มีราคาสูงมาก ถือเป็นอุปสรรคที่สำคัญสองประการที่ผู้มีอำนาจตัดสินใจต้องพิจารณาถึง
นอกจากนี้ ปัญหาด้านการปฏิบัติตามกฎระเบียบ การขาดแนวทางปฏิบัติที่ดีที่สุดด้านการรักษาความปลอดภัยสำหรับระบบเซิร์ฟเวอร์เสมือนจริง และความจริงที่ว่ายังไม่มีผู้ใดที่สามารถนำเครื่องมือรักษาความปลอดภัยที่มีอยู่ในโลกจริงเข้าไปใช้งานได้สำเร็จในโลกเสมือนจริง ดูเหมือนว่าจะเป็นปัญหาสำคัญที่ฉุดรั้งการก้าวข้าสู่สภาพแวดล้อมการทำงานแบบเสมือนจริง
แนวโน้ม 2: การประมวลผลแบบคลาวด์
ทั้งนี้เป็นที่คาดกันว่าในปี 2554 นี้องค์กรขนาดใหญ่รวมถึงองค์กรขนาดกลางและย่อม (เอสเอ็มบี) ส่วนใหญ่กำลังต้องการสร้างระบบบคลาวด์ส่วนตัวภายในองค์กรของตน ขณะที่บริการในระบบคลาวด์ก็กำลังขยายตัวอย่างมากด้วย จะเห็นได้ว่าในปีนี้แอพพลิเคชั่นในจำนวนที่มากขึ้นกำลังได้รับการนำเสนอผ่านบริการของระบบคลาวด์
แต่การประมวลผลแบบคลาวด์ (เช่นเดียวกับระบบเสมือนจริง) ได้แสดงให้เห็นถึงปัญหาสำคัญที่มีต่อการรักษาความปลอดภัย และองค์กรขนาดใหญ่ควรได้รับการแจ้งเตือนถึงความเสี่ยงที่จะเกิดขึ้นก่อนที่จะก้าวเข้าสู่แนวโน้มนี้ จากผลการสำรวจบรรดาซีอีโอในเรื่องที่เกี่ยวกับระบบคลาวด์เมื่อปี 2553 ของบริษัท มอร์แกน สแตนลีย์ ระบุว่าการรักษาความปลอดภัยข้อมูลและการสูญเสียการควบคุมจะเป็นข้อกังวลที่สำคัญยิ่งสำหรับองค์กรที่มาพร้อมกับการประมวลผลแบบคลาวด์ และตามมาด้วยปัญหาด้านการใช้ข้อมูลนอกสถานที่ การปฏิบัติตามกฎระเบียบ และคำถามเกี่ยวกับความเชื่อถือได้
นอกจากนี้ การรักษาความปลอดภัยยังเกี่ยวข้องกับการควบคุมด้วย องค์กรไม่ควรมองข้ามการควบคุมแอพพลิเคชั่นทางธุรกิจที่สำคัญ เนื่องจากองค์กรที่ใช้บริการของระบบคลาวด์มักจะไม่ทราบว่าใครกำลังใช้สภาพแวดล้อมการทำงานร่วมกันอยู่กับตน ซึ่งอาจก่อให้เกิดช่องโหว่จำนวนมากได้
แนวโน้ม 3: การทำงานผ่านอุปกรณ์เคลื่อนที่และปรากฎการณ์ที่ขับเคลื่อนโดยผู้บริโภคในแวดวงไอที
เทคโนโลยีจำนวนมากที่เริ่มต้นในตลาดผู้บริโภคค้นพบวิธีที่จะเข้าสู่สภาพแวดล้อมทางธุรกิจแล้ว จะเห็นได้ว่าฮาร์ดแวร์สำหรับผู้บริโภค เช่น สมาร์ทโฟน (เช่น iPhone, Blackberry หรืออุปกรณ์ที่ใช้ Android) และบริการต่างๆ สำหรับผู้บริโภค
เช่น การรับส่งข้อความด่วนแบบออนไลน์ เครือข่ายสังคม และระบบโทรศัพท์ไอพี (เช่น Facebook, Gmail, Twitter, YouSendIt, MSN Messenger หรือ Skype) ได้กลายเป็นฟังก์ชันใหม่สำหรับใช้งานภายในสถานที่ทำงานด้วย แนวโน้มนี้เรียกว่า "ปรากฏการณ์ที่ขับเคลื่อนโดยผู้บริโภคในแวดวงไอที " (IT consumerization)
การผสานรวมอุปกรณ์ส่วนตัว แอพพลิเคชั่น และเทคโนโลยีทั้งหมดนี้เข้าไว้ในองค์กร ได้สร้างปัญหาให้เห็นอย่างชัดเจน โดยเฉพาะองค์กรจะต้องแน่ใจให้ได้ว่าข้อมูลและทรัพยากรทั้งหมดขององค์กรที่กำลังส่งผ่านอยู่บนอุปกรณ์เหล่านั้นหรือบริการที่มีอยู่ได้รับการป้องกันแล้วหรือยัง และการป้องกันดังกล่าวจะต้องการรับประกันได้ว่าจะไม่ขัดขวางความสามารถในการเข้าถึงเครือข่ายได้ทุกที่ทุกเวลาของพนักงาน
ปัจจุบันระบบคอมพิวเตอร์เคลื่อนที่ได้กลายเป็นส่วนหนึ่งในชีวิตทำงานประจำวันของบริษัทส่วนใหญ่ จริงๆ แล้ว จำนวนอุปกรณ์เคลื่อนที่ขององค์กรได้ขยายตัวอย่างมหาศาลในช่วงเวลาไม่กี่ปีที่ผ่านมานี้โดยมีสัดส่วนเกิน 100% ของส่วนแบ่งตลาดโทรศัพท์มือถือในหลายตลาด
ขณะเดียวกันทางด้านซีไอโอเองก็กำลังพยายามที่จะไล่ตามให้ทันอุปกรณ์ทั้งหมดที่พนักงานใช้เพื่อเชื่อมต่อกับเครือข่ายองค์กรของตน นอกจากนี้ ในปี 2554 ยังคาดว่าจะเกิดหลายเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับอุปกรณ์เคลื่อนที่ด้วย ดังนั้นองค์กรต่างๆ จึงจำเป็นที่จะต้องเริ่มให้การรักษาความปลอดภัยแก่พนักงานที่ทำงานแบบเคลื่อนที่ของตนโดยเร่งด่วน
แนวโน้ม 4: ความซับซ้อนของภัยคุกคาม
ในช่วงปีที่ผ่านมา ภัยคุกคามทางอินเทอร์เน็ตกำลังก้าวสู่ระดับใหม่ที่ซับซ้อนมากขึ้น จากไวรัสและหนอนธรรมดา การโจมตีได้กลายเป็นลักษณะลูกผสม มีความซับซ้อน และหลากหลายมากขึ้น โดยสามารถใช้เทคนิคการเจาะระบบที่หลากหลายได้ภายในการโจมตีเดียว นอกจากนี้ การโจมตีทางอินเทอร์เน็ตหลายอย่างยังแพร่กระจายด้วยการใช้ "ระบบหุ่นยนต์" (Robot) อัตโนมัติที่จะสแกนเว็บเพื่อหาช่องโหว่ที่มีอยู่ จึงไม่แปลกที่ทุกคนมีสิทธิ์ตกเป็นเป้าหมายของการโจมตีได้เหมือนกัน
สิ่งนี้ส่งผลให้การตรวจหาการโจมตีเป็นเรื่องที่ยากมากขึ้นสำหรับองค์กรธุรกิจทั่วไป ตัวอย่างเช่น Zeus ม้าโทรจันที่จะขโมยข้อมูลทางธนาคารผ่านคีย์ล็อกกิ้ง (การกดแป้นพิมพ์ของผู้ใช้) เป็นหนึ่งในรูปแบบมัลแวร์ทางการเงินที่ตรวจจับยากที่สุดในปี 2553 (ตรวจพบเพียง 23%) และได้รับการจัดอันดับว่าเป็นโทรจันทางการเงินอันดับหนึ่ง คิดเป็น 44% ของจำนวนรวมทั้งหมดของมัลแวร์ทางการเงินปัจจุบัน
สำหรับในประเภทอื่น พบว่าไวรัส Stuxnet ที่ถูกใช้เพื่อพุ่งเป้าโจมตีไปที่โรงงานไฟฟ้าในอิหร่านนั้น ได้รับการพิจารณาว่าเป็นหนึ่งในภัยคุกคามคอมพิวเตอร์ที่มีความซับซ้อนมากที่สุดกว่าที่เคยมีการสร้างขึ้นมา ซึ่งเป็นการใช้ประโยชน์ช่องโหว่ที่แตกต่างกัน 4 อย่างพร้อมกัน
การโจมตีทางอินเทอร์เน็ตปัจจุบันไม่เพียงแต่ส่งผลต่อรายบุคคลเท่านั้น แต่ยังกำลังตั้งเป้าไปที่องค์การมากขึ้นด้วย อันเป็นผลมาจากการสนับสนุนของอาชญากรไซเบอร์ที่กระจายตัวกันอยู่ทั่วโลกและจัดตั้งขึ้นมาเป็นเครือข่าย นอกจากนี้ยังได้รับแรงจูงใจจากผลกำไรในรูปตัวเงินที่ได้มาอย่างรวดเร็วและยากที่จะติดตามด้วย ในปี 2553 อาชญากรรมไซเบอร์ทำให้องค์กรธุรกิจสูญเงินไปแล้วกว่าสองพันล้านดอลลาร์สหรัฐฯ เราคาดว่าตัวเลขนี้จะเพิ่มขึ้นอย่างมากในปี 2554 ซึ่งกระตุ้นให้องค์กรจะต้องหาทางป้องกันเครือข่ายให้เข้มแข็งขึ้นและเป็นไปในลักษณะเชิงรุกมากขึ้น เช่น การป้องกันการบุกรุก (Intrusion Prevention: IPS)
แนวโน้ม 5: การรวมระบบไอทีเป็นหนึ่งเดียวและความซับซ้อนด้านการรักษาความปลอดภัย
การจัดการความปลอดภัยที่มีความซับซ้อนกำลังสร้างความกังวลอย่างมากและเกิดขึ้นในองค์กรทุกขนาด จากผลการสำรวจผู้มีอำนาจในการตัดสินใจเมื่อปี 2553 ของอินฟอร์เมชั่นวีค พบว่าในปัจจุบันองค์กรต่างๆ กำลังประสบกับปัญหาด้านการรักษาความปลอดภัยเครือข่ายและข้อมูลอย่างมาก
สิ่งนี้เป็นที่เข้าใจได้ เนื่องจากสภาพแวดล้อมการรักษาความปลอดภัยในปัจจุบันมีความซับซ้อนกว่าที่เคย ส่งผลให้องค์กรธุรกิจต้องพยายามเพิ่มระดับการรักษาความปลอดภัยของตนให้สูงขึ้นและต้องสามารถจัดการกับภัยคุกคามความปลอดภัยล่าสุดได้ด้วย เมื่อองค์กรเพิ่มระดับชั้นมากขึ้นให้กับโครงสร้างพื้นฐานระบบรักษาความปลอดภัยของตนและปรับใช้ผลิตภัณฑ์ที่หลากหลายสำหรับการป้องกันเฉพาะ
องค์กรก็มักจะลงเอยด้วยปัญหาเกี่ยวกับการจัดการระบบที่มีความแตกต่างกันซึ่งมาจากหลากหลายผู้ค้าและหลายแพลตฟอร์มที่มากถึง 15 รายการ ไม่เพียงแต่สิ่งนี้จะสร้างความยุ่งยากมากขึ้นในการจัดการเท่านั้น แต่ยังไม่มีประสิทธิภาพอย่างมากและส่งผลให้เกิดค่าใช้จ่ายเพิ่มขึ้นด้วย ผู้ดูแลระบบจำเป็นที่จะต้องจัดการกับเทคโนโลยีรักษาความปลอดภัยเครือข่ายและอุปกรณ์ที่ใช้งานจำนวนมาก
เช่น IPS, ไฟร์วอลล์, VPN, โปรแกรมป้องกันไวรัส, โปรแกรมป้องกันสแปม, การควบคุมการเข้าถึงเครือข่าย (Network Access Control: NAC), การป้องกันข้อมูลสูญหาย (Data Loss Prevention: DLP) และการกรอง URL เหล่านี้เป็นเพียงบางส่วนเท่านั้น เพราะองค์กรยังจะต้องให้การป้องกันอุปกรณ์ปลายทางที่กำลังขยายตัวเพิ่มมากขึ้นด้วย เช่น สมาร์ทโฟน แล็ปท็อป และอุปกรณ์พกพาอื่นๆ ที่ใช้สำหรับการดำเนินธุรกิจ
นอกจากนี้การจราจรทางเครือข่ายก็กำลังมีความซับซ้อนมากยิ่งขึ้น แอพพลิเคชั่นจำนวนมากกำลังถูกใช้งานผ่านเครือข่าย ซึ่งบางอย่างเป็นการใช้งานส่วนตัว บางอย่างใช้ในทางธุรกิจ และในปัจจุบันแอพพลิเคชั่นถูกให้บริการทั้งจากภายในองค์กรและจากผู้ค้าภายนอกในรูปของแอพพลิเคชั่นบนระบบคลาวด์ สิ่งสุดท้ายที่สำคัญไม่แพ้กันก็คือการปฏิบัติตามกฎระเบียบซึ่งเป็นอีกองค์ประกอบหนึ่งที่ได้เพิ่มความซับซ้อนให้กับการรักษาความปลอดภัย ส่งผลให้การทำงานของผู้ดูแลระบบยุ่งยากมากขึ้นไปอีก
แนวโน้ม 6: การรักษาความปลอดภัยข้อมูลและการสูญหายของข้อมูล
จะเห็นได้ว่าข้อมูลอิเล็กทรอนิกส์จำนวนมาก ตั้งแต่ฐานข้อมูลของลูกค้า ข้อมูลบัตรเครดิต แผนธุรกิจ และบันทึกทางการเงินไปจนถึงอีเมลองค์กร กำลังแพร่กระจายอยู่ภายในองค์กร การรักษาความปลอดภัยข้อมูลสำคัญเหล่านี้เป็นสิ่งจำเป็นสำหรับองค์กรธุรกิจต่างๆ ถ้าไม่ต้องการให้ความลับขององค์กรรั่วไหลและเปิดเผยต่อโลกภายนอก
จากผลการสำรวจของโพเนมอนในปี 2553 พบว่าค่าใช้จ่ายโดยเฉลี่ยขององค์กรเกี่ยวกับการละเมิดข้อมูลยังคงเพิ่มขึ้นอย่างต่อเนื่องในช่วงปีที่ผ่านมา เฉพาะในปี 2552 เพียงปีเดียวมีมูลค่ามหาศาลถึงระดับ 6.75 ล้านดอลลาร์
เป็นเรื่องที่น่าสนใจมากที่กลุ่มบริษัทเหล่านี้ต้องพบกับภาวะข้อมูลสูญหายซึ่งส่วนใหญ่แล้วเป็นผลมาจากการที่ไม่ได้ปฏิบัติตามข้อกำหนด PCI DSS
แหล่งใหญ่ที่ทำให้ข้อมูลองค์กรเกิดการสูญหาย ได้แก่ ผ่านทางไดรฟ์ USB และแล็ปท็อป อีเมลองค์กร บริการอีเมลสาธารณะ เครือข่ายไว-ไฟ ซีดีและดีวีดี จริงๆ แล้ว หนึ่งในห้าของอีเมลที่ออกจากเครือข่ายองค์กรนั้นจะมีเนื้อหาที่มีความเสี่ยงทางด้านกฎหมาย การเงิน หรือต่อกฎระเบียบต่างๆ โชคดีที่มีมาตรการรักษาความปลอดภัย เช่น การเข้ารหัสสื่อ/ฮาร์ดแวร์หรือโซลูชั่นป้องกันข้อมูลสูญหายที่สามารถช่วยองค์การลดความเสี่ยงดังกล่าวได้ ในกรณีของ Wikileaks ถือเป็นบทเรียนสำหรับทุกองค์กรเกี่ยวกับความจำเป็นที่จะต้องมีแนวทางรักษาความปลอดภัยสำหรับข้อมูลแบบหลายระดับชั้นและครอบคลุม ซึ่งจะช่วยป้องกันไม่ให้เกิดเหตุการณ์ซ้ำรอยนี้ขึ้นได้
แนวโน้ม 7: Web 2.0 และสื่อสังคม
Web 2.0 กลายเป็นเครื่องมือทางธุรกิจที่สำคัญในปัจจุบันและพบว่าเป็นสิ่งใหม่ที่ได้รับความเห็นชอบให้ใช้งานได้แล้วภายในที่ทำงาน ผู้ใช้โดยเฉลี่ยจะใช้เวลาประมาณ 1 ใน 4 ของวันทำงานของตนในการท่องเว็บ แบ่งปันเนื้อหา ดาวน์โหลดไฟล์ สนทนา เขียนบล็อก หรือดูวิดีโอออนไลน์ Facebook ซึ่งเป็นเครือข่ายสังคมชั้นนำในตลาด ได้กลายเป็นแพลตฟอร์มแอพพลิเคชั่นยอดนิยมเป็นอันดับสามของโลกและผูกขาดการใช้งานเครือข่ายองค์กรทั้งหมดในแต่ละวันที่ประมาณ 7%
องค์กรธุรกิจควรเตรียมที่จะรับมือกับความเสี่ยงที่จะเพิ่มขึ้นอันเป็นผลมาจากการใช้เครือข่ายสังคมและแอพพลิเคชั่น Web 2.0 โดยจากการสำรวจของนิตยสารอีโคโนมิสต์ พบว่าเว็บไซต์ยอดนิยม 45% สนับสนุนเนื้อหาที่สร้างโดยผู้ใช้ และ 60% ติดมัลแวร์ นอกจากนี้ แอพพลิเคชั่นบนเว็บจำนวนมากยังมีช่องโหว่ ซึ่งผู้จำหน่ายไม่มีโปรแกรมแก้ไข (แพตช์) จัดเตรียมไว้ให้
ดังนั้นในปี 2554 จึงจำเป็นที่องค์กรจะต้องเดินหน้าเสริมสร้างความแข็งกร่งให้กับนโยบายการรักษาความปลอดภัยของตนและกระตุ้นให้พนักงานเข้ามามีส่วนร่วมด้วย ระบบการควบคุมแอพพลิเคชั่นเหล่านี้จะช่วยให้องค์กรสามารถบังคับใช้การรักษาความปลอดภัยได้ดียิ่งขึ้นและมีประสิทธิภาพมากขึ้น โดยที่จะต้องไม่ขัดขวางการทำงานของพนักงานตน
เนื่องจากเครื่องมือดั้งเดิม อย่าง การกรอง URL และนโยบายไฟร์วอลล์ที่ใช้ไอพีนั้น ไม่สามารถรองรับการใช้งานในสภาพแวดล้อม Web 2.0 ได้อย่างครอบคลุม ดังนั้นองค์กรจึงจำเป็นที่จะต้องมีระบบควบคุมความปลอดภัยแบบใหม่ที่สามารถแยกแยะความแตกต่างระหว่างแอพพลิเคชั่นนับพันรายการที่ทำงานอยู่บนอินเทอร์เน็ตได้ องค์กรธุรกิจควรสามารถมองเห็นและรับรู้เกี่ยวกับแอพพลิเคชั่นได้อย่างละเอียดเพื่อให้สามารถแยกความแตกต่างของแอพพลิเคชั่นต่างๆ ที่ใช้โปรโตคอลและพอร์ตเดียวกันได้อย่างครอบคลุมทั้งไฟร์วอลล์ ซึ่งสิ่งเหล่านี้จะช่วยให้พวกเขาสามารถติดตามตรวจสอบและจัดการการใช้แอพพลิเคชั่นและแพลตฟอร์มได้ในที่สุด
แนวโน้ม 8: การกำกับดูแลองค์กร การบริหารจัดการความเสี่ยง และการปฎิบัติตามกฎระเบียบ (GRC): อุปสรรคขององค์กร
องค์กรต่างๆ จะต้องปฏิบัติตามกฎระเบียบที่มีอยู่อย่างเคร่งครัด จะเห็นได้ว่าไม่เพียงแต่ต้องพยายามปฏิบัติตามกฎระเบียบเฉพาะที่มีอยู่อย่างหลากหลายเท่านั้น แต่ยังต้องปฏิบัติตามกฎหมายของรัฐต่างๆ ข้อกำหนดของอียู และกฎหมายการแจ้งให้ทราบเกี่ยวกับการละเมิดความปลอดภัยข้อมูลและความเป็นส่วนตัวของข้อมูลภายในประเทศอื่นๆ ด้วย
ตัวอย่างเช่น บริษัทมหาชนต่างๆ จำเป็นต้องปฏิบัติตามกฎหมาย SOX (Sarbanes-Oxley Act) องค์กรด้านสาธารณสุขต้องปฏิบัติตาม HIPAA (Health Insurance Portability and Accountability Act) และ HITECH (Health Information Technology for Economic and Clinical Health) รวมถึง PCI DSS (PCI Data Security Standard) สถาบันบริการทางการเงินต้องปฏิบัติตาม GLBA (Gramm-Leach-Bliley Act) และ BASEL II เหล่านี้เป็นกฎระเบียบมาตรฐานทั่วไปที่มีอยู่
กฎระเบียบดังกล่าวมีเพื่อป้องกันลูกค้า พนักงาน คู่ค้า หรือนักลงทุนจากการหลอกลวงและการขโมยข้อมูลเฉพาะตัว แต่สำหรับองค์กรต่างๆ แล้วสิ่งเหล่านี้ได้สร้างภาระที่ยิ่งใหญ่ให้กับพนักงานไอทีและก่อให้เกิดการใช้งบประมาณด้านการรักษาความปลอดภัยที่เพิ่มขึ้น ตัวอย่างเช่น องค์กรที่อยู่ในประเทศที่บังคับใช้กฎหมายการเปิดเผยการละเมิดข้อมูลต่างๆ มีแนวโน้มที่จะใช้จ่ายเงินไปกับการรักษาความปลอดภัยข้อมูลมากกว่าในประเทศที่ไม่มีกฎหมายดังกล่าว
จากการสำรวจของอินฟอร์เมชั่นวีคในปี 2554 พบว่าการปฎิบัติตามกฎระเบียบของรัฐบาลและอุตสาหกรรมเป็นปัจจัยที่มีอิทธิพลอย่างมากต่อโปรแกรมรักษาความปลอดภัยในปัจจุบัน เนื่องจากบริษัทเริ่มหันมาแปรรูปศูนย์ข้อมูลและสภาพแวดล้อมไอทีของตนให้เป็นระบบเสมือนจริงมากขึ้น ดังนั้นระดับความซับซ้อนของการรักษาความปลอดภัยจึงเพิ่มขึ้นอย่างต่อเนื่อง
แนวโน้ม 9: การลดต้นทุน
แม้ว่าการฟื้นตัวทางเศรษฐกิจจะกำลังดำเนินอยู่ แต่องค์กรธุรกิจยังคงอยู่ภายใต้แรงกดดันในการลดต้นทุนโครงสร้างพื้นฐานและการดำเนินงานให้น้อยลง งบประมาณด้านไอทียังคงจำกัดและซีไอโอต้องตัดรายการงบประมาณที่ไม่จำเป็นออกให้มากที่สุด อาทิ ต้นทุนต่างๆ ในการดำเนินงานปัจจุบัน สำหรับผู้ดูแลระบบไอทีแล้ว สถานการณ์นี้แปลเป็นวลีง่ายๆ ได้ว่า จะต้อง ‘ได้งานมากขึ้นแต่จ่ายน้อยลง’ นั่นเอง
การเพิ่มประสิทธิภาพสูงสุดให้กับเงินที่จ่ายไปสำหรับการรักษาความปลอดภัย ปรับใช้ทรัพยากรการรักษาความปลอดภัยให้มีประสิทธิภาพ และใช้ประโยชน์ระบบรักษาความปลอดภัยและโครงสร้างพื้นฐานให้ได้เหมาะสมที่สุดนั้น เป็นสิ่งสำคัญสำหรับองค์กรธุรกิจในปี 2554 เนื่องจากสามารถเพิ่มผลตอบแทนจากการลงทุน (RIO) ได้อย่างสูงสุด
สิ่งสำคัญอีกประการสำหรับองค์กรก็คือแนวโน้มของการ ‘ต้องมี’ เทคโนโลยี ไม่ใช่ ‘มีก็ได้’ และโซลูชั่นที่มีนั้นจะต้องสามารถปรับเปลี่ยนได้เมื่อธุรกิจขยายตัวและเมื่อเกิดภัยคุกคามใหม่ๆ ขึ้น ซึ่งสร้างแรงกดดันทางการเงินให้กับองค์กรเพิ่มขึ้นอย่างมาก ด้วยเหตุนี้เทคโนโลยีที่ช่วยประหยัดต้นทุนได้จึงกลายเป็นความหวังใหม่ในอุตสาหกรรม อาทิ ระบบเสมือนจริงและการประมวลผลแบบคลาวด์
แนวโน้ม 10: ไอทีสีเขียว
สุดท้ายแต่มีความสำคัญไม่แพ้กัน ไอทีสีเขียวยังคงเป็นแนวโน้มที่สำคัญในสิบอันดับแรกที่เราจะต้องคำนึงถึงด้วยในปี 2554 จากต้นทุนด้านพลังงานที่เพิ่มสูงขึ้นและการตื่นตัวของผู้บริโภคถึงอันตรายที่กระทบต่อสิ่งแวดล้อม องค์กรต่างๆ จะต้องจริงจังต่อการปรับเปลี่ยนไปใช้เทคโนโลยีสีเขียวให้มากขึ้น อย่างไรก็ตาม ดูเหมือนว่าแนวโน้มไอทีสีเขียวนี้ได้รับการนำมาใช้แล้วในกลุ่มผู้นำไอทีที่มีความเชี่ยวชาญเนื่องจากพวกเขามองเห็นแล้วว่าระบบนิเวศน์สามารถเดินไปพร้อมกับผลประโยชน์ทางการเงินได้
บทสรุป
ความพยายามในการเกาะติดแนวโน้มเหล่านี้และตอบสนองความต้องการที่หลากหลายถือเป็นความท้าทายที่สำคัญสำหรับองค์กรต่างๆ จะเห็นได้ว่าแผ่นรายการที่จะต้องตรวจสอบของผู้ดูแลระบบไอทีในปี 2554 นั้นมีความยาวอย่างมาก ซึ่งได้แก่ 1) การตอบสนองข้อกำหนดด้านการกำกับดูแลองค์กร การบริหารจัดการความเสี่ยง และการปฏิบัติกตามกฎระเบียบ (Governance, Risk and Compliance: GRC)
2) การป้องกันข้อมูลสำคัญสูญหาย 3) การรักษาความปลอดภัยและจัดการแอพพลิเคชั่น Web 2.0 4) การรักษาความปลอดภัยสำหรับอุปกรณ์ปลายทางแบบเคลื่อนที่และอยู่กับที่ 5) การป้องกันการโจมตีและภัยคุกคามที่เปลี่ยนแปลงไป 6) การรักษาความปลอดภัยสภาพแวดล้อมเสมือนจริงและแบบคลาวด์ 7) การลดการใช้จ่ายด้านไอทีให้น้อยลง
องค์กรที่พยายามจัดการกับปัญหาด้านความปลอดภัยที่หลากหลายเหล่านี้จำเป็นต้องมีแนวทางที่สามารถจัดการปัญหาดังกล่าวได้อย่างครอบคลุมแทนที่จะมัวแต่สะสมผลิตภัณฑ์รักษาความปลอดภัยต่างๆ มาไว้กับตัว โดยแนวทางดังกล่าวจะต้องสามารถจัดการปัญหาแต่ละอย่าง ช่วยสร้างโครงสร้างพื้นฐานที่ยืดหยุ่นและปรับขยายได้เพื่อสนับสนุนการรักษาความปลอดภัยในส่วนต่างๆ อีกทั้งยังจะต้องสามารถปรับเปลี่ยนได้เมื่อองค์กรเกิดการเปลี่ยนแปลงไปด้วย