8 เรื่องใหญ่ ความปลอดภัยไซเบอร์ ยึดมนุษย์เป็นศูนย์กลาง

09 เม.ย. 2566 | 14:46 น.
อัปเดตล่าสุด :09 เม.ย. 2566 | 14:54 น.

การ์ทเนอร์ เผยผู้บริหารความมั่นคงปลอดภัยสารสนเทศ 50% มุ่งออก แบบความปลอดภัยที่ยึดมนุษย์เป็นศูนย์กลางมาปรับใช้ เพื่อลดแรงเสียดทานที่เกิดจากความปลอดภัยไซเบอร์และเพิ่มการควบคุมในระดับสูงสุด ขณะที่ครึ่งหนึ่งไม่ประสบความสำเร็จในการประเมินความเสี่ยงทางไซเบอร์

นายริชาร์ด แอดดิสคอตต์ ผู้อำนวยการอาวุโสฝ่ายวิจัยของการ์ทเนอร์ อิงค์ เปิดเผยว่า ผลการศึกษาของการ์ทเนอร์ พบว่า 50% ของผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officers หรือ CISOs) จะใช้การออกแบบที่เน้นมนุษย์เป็นศูนย์กลาง (Human Centric Design) เพื่อลดแรงต้านจากการปฏิบัติงานด้านความปลอดภัยไซเบอร์ โดยองค์กรขนาดใหญ่จะให้ความสำคัญกับการนำโปรแกรม Zero-Trust ไปใช้

ขณะที่ครึ่งหนึ่งของผู้บริหารด้านความปลอดภัยไซเบอร์ยังไม่ประสบความสำเร็จในการประเมินความเสี่ยงทางไซเบอร์เพื่อขับเคลื่อนการตัดสินใจได้

8 เรื่องใหญ่ ความปลอดภัยไซเบอร์ ยึดมนุษย์เป็นศูนย์กลาง

การ์ทเนอร์แนะนำผู้บริหารความปลอดภัยไซเบอร์ต้องสร้างสมมุติฐานและวางแผนเชิงกลยุทธ์ดังต่อไปนี้ เพื่อใช้เป็นยุทธศาสตร์ด้านการรักษาความปลอดภัยในอีกสองปีข้างหน้า

ภายในปี 2570 ประมาณ 50% ของผู้บริหาร CISO จะนำแนวทางปฏิบัติการออกแบบความปลอดภัยที่ยึดมนุษย์เป็นศูนย์กลางมาปรับใช้ เพื่อลดแรงเสียดทานที่เกิดจากความปลอดภัยไซเบอร์และเพิ่มการควบคุมในระดับสูงสุด โดยผลการวิจัยของการ์ทเนอร์พบว่า มากกว่า 90% ของพนักงานยอมรับว่าได้กระทำการที่ไม่ปลอดภัยในระหว่างการทำงานแม้ทราบดีว่าการกระทำนั้นจะเพิ่มความเสี่ยงให้องค์กรแต่ก็ยังทำอยู่ดี ซึ่งการออกแบบการรักษาความปลอดภัยที่ยึดมนุษย์เป็นศูนย์กลาง (Human-Centric Security Design) นั้นเป็นแบบจำลองที่เน้นไปยังปัจเจกบุคคล ไม่ใช่เทคโนโลยี หรือภัยคุกคาม หรือสถานที่ โดยจะมุ่งให้ความสำคัญไปกับการออกแบบการควบคุมและการนำไปใช้เพื่อลดแรงเสียดทานให้น้อยลงมากที่สุด

ภายในปี 2567 กฎระเบียบข้อบังคับด้านความเป็นส่วนตัวที่ทันสมัยจะครอบคลุมข้อมูลส่วนใหญ่ของผู้บริโภค แต่กลับมีองค์กรไม่ถึง 10% ที่ประสบความสำเร็จในการใช้ประโยชน์ของความเป็น ส่วนตัวให้กลายเป็นข้อได้เปรียบสำหรับการแข่งขัน

องค์กรต่างๆ เริ่มตระหนักว่าโปรแกรมความเป็นส่วนตัวนั้นสามารถช่วยให้พวกเขาใช้ข้อมูลได้กว้างขึ้น สร้างความต่างจากคู่แข่ง และสร้างความไว้วางใจให้กับลูกค้า คู่ค้า นักลงทุน และหน่วยงานกำกับดูแล ซึ่งการ์ทเนอร์แนะนำให้ผู้นำด้านความปลอดภัยบังคับใช้มาตรฐานความเป็นส่วนตัวอย่างครอบคลุม และสอดคล้องกับกฎหมาย GDPR (General Data Protection Regulation) เพื่อสร้างความต่างในตลาดที่มีการแข่งขันสูงขึ้นและเติบโตอย่างไร้ขีด

ภายในปี 2569 ประมาณ 10% ขององค์กรขนาดใหญ่จะมีโปรแกรม Zero-Trust ที่ใช้ได้อย่างสมบูรณ์และวัดผลได้เพิ่มขึ้นจากในปัจจุบันที่มีไม่ถึง 1% โดยการจะนำ Zero-Trust ไปใช้งานได้อย่างครอบคลุมและสมบูรณ์นั้น ต้องอาศัยการผสานรวมและการกำหนดองค์ประกอบต่างๆ ซึ่งอาจกลายเป็นความซับซ้อนทางเทคนิคได้ โดยองค์กรจะประสบความสำเร็จอย่างสูงหรือไม่นั้นขึ้นอยู่กับการแปลงข้อมูลให้เป็น มูลค่าทางธุรกิจ เริ่มต้นจากจุดเล็กๆ และปลูกฝัง Zero-Trust mindset ที่พัฒนาไปเรื่อยๆ เพื่อช่วยให้เข้าใจประโยชน์ของโปรแกรมได้ดีขึ้นและจัดการความซับซ้อนบางอย่างทีละขั้นตอนได้ง่ายขึ้น

ภายในปี 2570 ประมาณ 75% ของพนักงานจะมีส่วนในการปรับ แก้ไข หรือสร้างเทคโนโลยีที่อยู่นอกเหนือการมองเห็นของฝ่ายไอที เพิ่มขึ้นจาก 41% ในปี 2565 โดยบทบาทและขอบเขตความรับผิดชอบของผู้บริหาร CISO กำลังเปลี่ยนจากการเป็นผู้ควบคุมเป็นผู้อำนวยความสะดวกในการตัดสินใจด้านความเสี่ยง ซึ่งการปรับเปลี่ยนรูปแบบการปฏิบัติการด้านความปลอดภัยไซเบอร์นี้เป็นกุญแจสำคัญเพื่อรับมือต่อการเปลี่ยนแปลงที่กำลังจะเกิดขึ้น การ์ทเนอร์แนะนำผู้บริหารควรคิดนอกกรอบไปกว่าแค่เรื่องของเทคโนโลยีและระบบอัตโนมัติเพื่อสร้างการมีส่วนร่วมอย่างใกล้ชิดกับพนักงานเพื่อให้พวกเขามีบทบาทในกระบวนการตัดสินใจ และเพื่อให้มั่นใจว่าพนักงานมีความรู้อย่างเหมาะสมกับการปฏิบัติหน้าที่โดยมีข้อมูลเพียงพอ

ภายในปี 2568 ผู้นำด้านความปลอดภัยไซเบอร์ 50% จะพยายามใช้คุณสมบัติของความเสี่ยงทางไซเบอร์มาประเมินเพื่อขับเคลื่อนการตัดสินใจขององค์กร ถึงแม้ไม่ประสบความสำเร็จ โดยการวิจัยของการ์ทเนอร์ชี้ว่า 62% ของผู้ที่ประเมินความเสี่ยงทางไซเบอร์กล่าวว่า องค์กรได้รับความน่าเชื่อถือและการรับรู้ถึงความเสี่ยงทางไซเบอร์เพิ่มขึ้นเล็กน้อย แต่มีเพียง 36% เท่านั้นที่ได้ผลลัพธ์ตามที่ตั้งใจ ประกอบด้วย การลดความเสี่ยง การประหยัดเงินหรือช่วยในการตัดสินใจได้จริง ผู้นำด้านการรักษาความปลอดภัยควรให้ความสำคัญกับพลังการป้องกันและการประเมินความเสี่ยงที่ผู้มีอำนาจตัดสินใจ (Decision Makers) ร้องขอมา แทนที่จะสร้างการวิเคราะห์ด้วยตนเองและต้องโน้มน้าวให้ธุรกิจหันมาสนใจ

ภายในปี 2568 เกือบครึ่งหนึ่งของผู้บริหารความปลอดภัยไซเบอร์จะเปลี่ยนงาน โดยที่ 25% จะหันไปสู่บทบาทการทำงานที่แตกต่างอย่างสิ้นเชิง เนื่องจากปัจจัยกดดันที่เกี่ยวข้องกับงานหลายอย่าง โดยการแพร่ระบาดที่รวดเร็วและการขาดแคลนพนักงานทั่วทั้งอุตสาหกรรม แรงกดดันการทำงานของผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กำลังเพิ่มขึ้นและกลายเป็นไม่ยั่งยืน การ์ทเนอร์ แนะนำว่า แม้การขจัดความเครียดของการทำงานให้หมดไปจะดูเป็นไปไม่ได้ แต่ผู้คนก็สามารถจัดการงานที่ท้าทายและมีความกดดันได้หากพวกเขาเชื่อมั่นและสนับสนุนวัฒนธรรมองค์กรที่ทำงานอยู่ ซึ่งการเปลี่ยนแปลงกฎการมีส่วนร่วมเพื่อส่งเสริมการเปลี่ยนแปลงทางวัฒนธรรมจะช่วยได้

ภายในปี 2569 ประมาณ 70% ของคณะกรรมการจะมีสมาชิกหนึ่งท่านที่เป็นผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ โดยผู้บริหาร CISO ได้รับการตระหนักว่าเป็นหุ้นส่วนธุรกิจ พวกเขาจำเป็นต้องรับทราบความต้องการ ทราบความเสี่ยงขององค์กรและคณะกรรมการ หรือหมายความว่า CISO ไม่เพียงทำให้เห็นว่าโปรแกรมความปลอดภัยไซเบอร์สามารถป้องกันภัยคุกคามที่เกิดขึ้นได้อย่างไร แต่ยังขยายไปถึงการช่วยเพิ่มความสามารถขององค์กรในการรับความเสี่ยงได้อย่างมีประสิทธิภาพอีกด้วย การ์ทเนอร์แนะนำให้ผู้บริหาร CISO ก้าวนำหน้าการเปลี่ยนแปลง เพื่อส่งเสริมและสนับสนุนการรักษาความปลอดภัยไซเบอร์แก่คณะกรรมการบริหารขององค์กรและสร้างความสัมพันธ์ที่แน่นแฟ้นยิ่งขึ้นเพื่อเพิ่มความไว้วางใจและให้การสนับสนุน

ภายในปี 2569 มากกว่า 60% ของระบบการตรวจจับ ตรวจสอบ และตอบสนองต่อภัยคุกคาม (Threat Detection, Investigation and Response หรือ TDIR) จะใช้ข้อมูลการจัดการความเสี่ยงเพื่อตรวจสอบความถูกต้องและจัดลำดับความสำคัญภัยคุกคามที่ตรวจพบ เพิ่มขึ้นจากปัจจุบันที่น้อยกว่า 5% โดยเมื่อพื้นที่การโจมตีขององค์กรขยายตัวอันเป็นผลมาจากการเชื่อมต่อที่เพิ่มขึ้น การใช้บริการ SaaS และแอปพลิเคชันบนคลาวด์ที่เพิ่มขึ้น ทำให้บริษัทต่างๆ ต้องการขอบเขตการมองเห็นที่กว้างขึ้นและศูนย์กลางสำหรับการตรวจสอบภัยคุกคามรวมถึงช่องโหว่อย่างต่อเนื่อง โดยความสามารถของระบบ TDIR นั้นจะรวมแพลตฟอร์มหรือระบบนิเวศครบวงจรไว้ในแพลตฟอร์มเพื่อบริหารจัดการด้านการตรวจจับ ตรวจสอบ และตอบสนอง ได้ ทำให้ทีมปฏิบัติการด้านความปลอดภัยเห็นภาพภัยคุกคามและผลกระทบที่อาจเกิดขึ้นต่อองค์กรได้อย่างครบถ้วน