เนื้อหาวันที่ : 2017-11-02 11:45:12 จำนวนผู้เข้าชมแล้ว : 1417 views

F5 ชี้กลยุทธ์การรักษาความปลอดภัยแบบตั้งรับเป็นความท้าทายใหญ่หลวงสำหรับประธานเจ้าหน้าที่รักษาความปลอดภัยสารสนเทศ

F5 เน็ตเวิร์กส์ได้ออกรายงานระดับโลกเกี่ยวกับบทบาทของประธานเจ้าหน้าที่รักษาความปลอดภัยสารสนเทศ (CISO) และวิธีการรักษาความปลอดภัยไอทีที่องค์กรทั่วโลกใช้ดำเนินการอยู่ท่ามกลางภัยคุกคามปัจจุบันที่มีการพัฒนาไม่หยุดหย่อน รายงานดังกล่าวพบว่าเนื่องจากการรักษาความปลอดภัยไอทีกลายเป็นสิ่งสำคัญอันดับต้น จึงทำให้ซีไอเอสโอมีอิทธิพลต่อองค์กรมากขึ้น อย่างไรก็ดี กลยุทธ์ด้านการรักษาความปลอดภัยในหลายองค์กรส่วนใหญ่ยังคงเป็นในเชิงรับและยังไม่สอดคล้องไปในแนวทางเดียวกับบทบาทของธุรกิจ ผลการศึกษา F5 ยังชี้อีกว่ามีเพียง 51% ของบริษัทที่มีกลยุทธ์ด้านการรักษาความปลอดภัยไอทีทั่วถึงทั้งองค์กร ผลการศึกษาซึ่งจัดทำโดยสถาบัน Penemon โดยอาศัยข้อมูลจากการสัมภาษณ์มืออาชีพระดับอาวุโสด้านความปลอดภัยไอทีจำนวน 184 รายใน 7 ประเทศ ได้แก่ สหรัฐอเมริกา สหราชอาณาจักร เยอรมนี บราซิล เม็กซิโก อินเดีย และจีน

ไมค์ คอนเวอร์ติโน ประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยสารสนเทศหรือซีไอเอสโอ บริษัท F5 กล่าวว่าการวิจัยดังกล่าวให้มุมมองที่แตกต่างเกี่ยวกับสิ่งที่ซีไอเอสโอกำลังดำเนินการอยู่ท่ามกลางสภาพแวดล้อมที่ท้าทายในปัจจุบัน เห็นได้อย่างชัดเจนว่าซีไอเอสโอกำลังมีความคืบหน้าในการขับเคลื่อนฟังก์ชั่นด้านการรักษาความปลอดภัยและบทบาทของภาวะผู้นำที่มีต่อองค์กร นอกจากนี้การรักษาความปลอดภัยไอทีในองค์กรอีกหลายแห่งยังไม่มีบทบาทในเชิงกลยุทธ์หรือเชิงรุกเพื่อปกป้องสินทรัพย์ป้องกันการโจมตีที่ซับซ้อนและต่อเนื่องอย่างเต็มรูปแบบ

ผลสำรวจในประเด็นหลัก

  • ความรับผิดชอบของซีไอเอสโอที่เพิ่มมากขึ้น – แม้ว่าซีไอเอสโอจะมีอิทธิพลในกลุ่มผู้บริหารระดับสูงขององค์กรในระดับที่แตกต่างกันไปก็ตาม ซีไอเอสโอส่วนใหญ่จะมีอิทธิพลหรืออำนาจในการบริหารจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์ของบริษัทซึ่งสร้างผลกระทบมากขึ้น 68 เปอร์เซ็นต์ของผู้ตอบสำรวจกล่าวว่าซีไอเอสโอเป็นผู้มีอำนาจในการตัดสินเรื่องการใช้จ่ายเกี่ยวกับการรักษาความปลอดภัยไอทีทั้งหมด ในขณะที่ในอีก 64 เปอร์เซ็นต์กล่าวว่าซีไอเอสโอนั้นมีอิทธิพลในทางตรงและมีอำนาจในการใช้จ่ายเกี่ยวกับการรักษาความปลอดภัยทั้งหมดในองค์กร ทั้งนี้ 87 เปอร์เซ็นต์ของผู้ตอบสำรวจกล่าวว่างบประมาณด้านการรักษาความปลอดภัยไอทีเพิ่มขึ้นอย่างมีนัย (18 เปอร์เซ็นต์) เพิ่มขึ้นบางส่วน (29 เปอร์เซ็นต์) หรือไม่มีการเปลี่ยนแปลง (40 เปอร์เซ็นต์)
  • ขาดแนวทางที่สอดคล้องกับธุรกิจ - การมีกลยุทธ์ด้านการรักษาความปลอดภัยไอทีที่ครอบคลุมทั่วทั้งบริษัทนับว่าหาได้ยาก 58 เปอร์เซ็นต์ของผู้ตอบสำรวจชี้ว่าระบบรักษาความปลอดภัยไอทีนั้นเป็นฟังก์ชั่นแบบสแตนด์อโลน มีเพียง 22 เปอร์เซ็นต์ที่กล่าวว่ามีการผสานการรักษาความปลอดภัยร่วมกับทีมธุรกิจอื่นๆ ในขณะที่ 45 เปอร์เซ็นต์กล่าวว่าฟังก์ชั่นด้านการรักษาความปลอดภัยไม่มีการกำหนดเส้นแบ่งความรับผิดชอบที่ชัดเจน 75 เปอร์เซ็นต์ของผู้ตอบสำรวจกล่าวว่าเนื่องจากขาดการผสานการทำงานร่วมกับฟังก์ชั่นทางธุรกิจ ทำให้ปัญหาเรื่องของการทำงานแบบไซโลส่งผลอย่างมีนัย (36 เปอร์เซ็นต์) หรือส่งผลบางประการ (39 เปอร์เซ็นต์) ต่อกลยุทธ์และยุทธวิธีในการรักษาความปลอดภัยไอที
  • การตระหนักเรื่องการรักษาความปลอดภัยซึ่งเป็นสิ่งที่ธุรกิจให้ความสำคัญยังเป็นเชิงรับอยู่ - 60 เปอร์เซ็นต์ของผู้ตอบแบบสำรวจเชื่อว่าองค์กรของตนมองว่าการรักษาความปลอดภัยเป็นความสำคัญอันดับต้นของธุรกิจ ในขณะที่มีเพียง 51 เปอร์เซ็นต์กล่าวว่าองค์กรของตนมีกลยุทธ์ด้านการรักษาความปลอดภัย เพียง 43 เปอร์เซ็นต์กล่าวว่าผู้บริหารระดับสูงได้มีการนำกลยุทธ์มาทบทวน อนุมัติ พร้อมให้การสนับสนุนในการดำเนินการ ผลศึกษายังชี้ว่าการเปลี่ยนแปลงที่เกิดขึ้นในโปรแกรมการรักษาความปลอดภัยส่วนใหญ่จะเป็นการตั้งรับในเรื่องของข้อมูลรั่วไหล (45 เปอร์เซ็นต์) และช่องโหว่ของระบบรักษาความปลอดภัยไซเบอร์ (43 เปอร์เซ็นต์) ซึ่งเป็น 2 เหตุการณ์หลักที่ผู้บริหารระดับอาวุโสได้ให้ความสนใจ
  • วิกฤติขับเคลื่อนอำนาจด้วยภาวะผู้นำของผู้บริหาร - 65 เปอร์เซ็นต์ของผู้ตอบสำรวจกล่าวว่าซีไอเอสโอสื่อสารโดยตรงกับผู้บริหารระดับอาวุโส แต่ไม่ค่อยเป็นการพูดคุยในเชิงกลยุทธ์ถึงภัยคุกคามทั้งหมดให้องค์กรได้รับทราบ 56 เปอร์เซ็นต์ยอมรับว่าจะมีการสื่อสารกับซีอีโอและกรรมการบริหารก็ต่อเมื่อมีเหตุการณ์ในประเด็นของข้อมูลรั่วไหลและเกิดการโจมตีบนไซเบอร์ ในขณะที่มีเพียง 19 เปอร์เซ็นต์ ที่มีการรายงานเกี่ยวกับข้อมูลรั่วไหลทั้งหมดให้ซีอีโอและกรรมการบริหารได้รับทราบ
  • ปัญญาประดิษฐ์หรือ AI (Artificial Intelligence) เป็นโซลูชั่นที่มีศักยภาพในแบบที่พนักงานต้องการ - การขาดแคลนผู้มีความสามารถด้านการรักษาความปลอดภัยไอทียังคงเป็นเรื่องสำคัญสำหรับซีไอเอสโอ บุคลากรด้านการรักษาความปลอดภัยไอทีซึ่งเป็นที่ต้องการในองค์กรโดยเฉลี่ยจะมีพนักงานทำงานแบบเต็มเวลาในจำนวนที่เพิ่มจาก 19 คนเป็น 32 คน (หรือเทียบเท่า) ภายในอีก 2 ปีข้างหน้า ซึ่งเกือบครึ่งของผู้ตอบแบบสำรวจ (42 เปอร์เซ็นต์) รู้สึกว่าพนักงานในองค์กรไม่เพียงพอ โดย 58 เปอร์เซ็นต์กล่าวว่าประสบความยากลำบากในการจ้างพนักงานดูแลเรื่องความปลอดภัยที่มีคุณภาพ เนื่องจากความท้าทายที่ใหญ่ที่สุดคือการหาและว่าจ้างผู้สมัครที่มีคุณภาพ (56 เปอร์เซ็นต์) และไม่สามารถเสนอเงินเดือนเท่าราคาที่จ่ายอยู่ในตลาดได้ (48 เปอร์เซ็นต์) ความท้าทายเหล่านี้กดดันให้บริษัทต้องหาโซลูชั่นจากที่อื่น ซึ่งครึ่งหนึ่ง (50 เปอร์เซ็นต์) ของผู้ตอบสำรวจเชื่อว่าการเรียนรู้ของเครื่องคอมพิวเตอร์และปัญญาประดิษฐ์สามารถตอบโจทย์เรื่องการขาดแคลนบุคลากรได้ 70 เปอร์เซ็นต์เชื่อว่าเทคโนโลยีเหล่านี้เป็นสิ่งสำคัญยิ่งต่อบทบาทการรักษาความปลอดภัยไอทีในอีก 2 ปีข้างหน้า