www.cioworldmagazine.com

 Breaking News

ทักษะจำเป็นสี่ประการที่ CISOs พึงมีไว้เพื่อคว้าชัยชนะปี 2019

ทักษะจำเป็นสี่ประการที่ CISOs  พึงมีไว้เพื่อคว้าชัยชนะปี 2019
March 19
12:07 2019

“วันหนึ่งข้างหน้า เครื่องจักรอาจจะมีความเชี่ยวชาญในการจัดการกับอาชญากรรมไซเบอร์ได้ดีกว่ามนุษย์ แต่อย่างไรก็ตาม CISO ยังจะต้องเป็นผู้บริหารที่มีทักษะด้านอารมณ์ บริหารเวลาและทีมงาน ประสานความเชี่ยวชาญทางธุรกิจ ซึ่งจะทำให้บทบาทหน้าที่นี้ยังเป็นตำแหน่งจำเป็นสำคัญในองค์กรธุรกิจในอนาคตอยู่ต่อไป”

ขณะที่ความเสี่ยงทางไซเบอร์กำลังกลายเป็นประเด็นเชิงการดำเนินธุรกิจ บทบาทและหน้าที่ของ CISO ขององค์กรก็กำลังเปลี่ยนแปลงไปเช่นกัน โดยที่ CISO ยุคใหม่นี้มิได้เป็นเพียงหัวหน้าแผนก คอยรับผิดชอบดูแลเรื่องการติดตั้งและบริหารจัดการระบบความปลอดภัย เช่น ต้องคอยดูว่าคอมพิวเตอร์ทุกเครื่องในบริษัทต้องลงซอฟต์แวร์เอนด์พอยนท์ซีเคียวริตี้เวอร์ชั่นล่าสุดเรียบร้อยแล้ว หรือคอยเช็คให้แน่ใจว่าพอร์ทหลักสำคัญๆ ยังปลอดภัยดีอยู่ไม่ล่อแหลมต่อการต่อเชื่อมอินเทอร์เน็ต เป็นต้น

CISO จึงมีบทบาทหน้าที่ที่ประกอบขึ้นด้วยสองสิ่งที่สำคัญ ดังนี้ อย่างแรก สนับสนุนให้องค์กรสามารถไปถึงเป้าหมายทางธุรกิจให้ได้ เช่น เปิดตัวผลิตภัณฑ์ใหม่ที่พัฒนาดีขึ้นกว่าเดิมได้รวดเร็วแซงหน้าคู่แข่งผู้ถือหุ้นเห็นผลงานแล้วเชื่อถือ ชื่นใจ และเพิ่มผลประกอบการ

อย่างที่สอง ต้องเป็นมืออาชีพด้านความมั่นคงปลอดภัยไซเบอร์ และลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ที่คุกคามต่อธุรกิจของบริษัทได้ การสร้างสมดุลระหว่างสองสิ่งนี้จะต้องมีความเชี่ยวชาญด้านความปลอดภัยดีเยี่ยม และยังต้องตามทันเทคโนโลยีใหม่อยู่เสมอพร้อมด้วยทักษะด้านอารมณ์ ซึ่งอาจจะมิได้มีติดตัวมาโดยธรรมชาติสำหรับคนที่เติบโตในสายงานทางแผนกไอที

ต่อไปนี้เป็นทักษะสำคัญ 4 ประการที่จะช่วยให้ CISO ในยุคปัจจุบันประสบความสำเร็จในบทบาทหน้าที่รับผิดชอบได้เป็นอย่างดี

แม็กซิม โฟรลอฟ

แม็กซิม โฟรลอฟ รองประธานฝ่ายขายระดับโลก บริษัท แคสเปอร์สกี้ แลป

1. ต้องมีความรู้เชิงธุรกิจ
เมื่อก่อนนี้ ตำแหน่ง CISO รับผิดชอบการพัฒนาแผนการป้องกันตัวโดยอิงจากสภาพการณ์ทั่วไปทางไอทีของบริษัทกลยุทธ์นี้ไม่เพียงพอแล้วสำหรับยุคนี้ และวิธีการทุกวันนี้จำเป็นที่จะต้องสอดคล้องไปได้ดีกับวิสัยทัศน์ทางธุรกิจ ดังที่จะเห็นจากประกาศรับสมัคร CISO จะต้องมีคุณสมบัตินอกเหนือจากความรู้ด้านระบบความปลอดภัยไอที และใบรับรองประกาศนียบัตรมาอีกยาว แต่ต้องพ่วงความเชี่ยวชาญความเข้าใจเชิงธุรกิจมากด้วย

ผลก็คือ CISO ไม่สามารถที่จะทำเพิกเฉยหรือกีดกันเทคโนโลยีที่โลกธุรกิจต้องการใช้งานได้อีกแล้วตรงกันข้ามพวกเขากลับจำเป็นต้องประเมินความเสี่ยงและนำเสนอกลยุทธ์แผนงานที่ให้ความปลอดภัยที่สุดที่จะไม่เป็นอุปสรรคต่อความก้าวหน้าในการดำเนินธุรกิจ

ผู้ที่อยู่ในตำแหน่ง CISO กล่าวว่า best practice วิธีที่ดีที่สุด ให้ผลดีที่สุด คือ การแนะผู้อื่นเสมือนเป็นผู้จัดการความเสี่ยง (risk manager) ไปพร้อมๆ กับการให้คำแนะนำความช่วยเหลือในการดำเนินงาน “ก่อนนำเทคโนโลยีใหม่เข้ามาใช้ เราจะมีการประชุมกับแผนกที่จะเป็นคนใช้งานให้ชัดเจน เพื่อให้แน่ใจว่าการเปลี่ยนแปลงที่เกิดขึ้นนี้ จะไม่สร้างความเสี่ยงต่อระบบความปลอดภัยของบริษัท ดังนั้น เราจึงจะเริ่มเปลี่ยนแปลงในส่วนที่จำเป็น เพื่อให้สอดคล้องกันกับระบบเครือข่ายของเราอย่างลงตัว”

2. ทักษะการสื่อสารและการนำเสนอ
การอยู่ในระดับผู้บริหารนั้นย่อมต้องรับมือและทำงานร่วมกับผู้บริหารระดับ C รวมทั้งคณะกรรมการผู้อำนวยการทั้งหลาย ซึ่งจะมีน้อยคนมากที่มีความรู้ทางด้านระบบความมั่นคงปลอดภัย ซึ่งจัดเป็นความท้าทายในการปฏิบัติงานประการหนึ่งทีเดียวและ CISO ก็จำจะต้องคิดหาวิธีการที่จะสื่อสารให้คณะกรรมการเหล่านี้ได้เข้าใจถึงความเสี่ยงที่ต้องรับมือไม่สามารถเพิกเฉยได้ โดยละการใช้ศัพท์เทคนิคต่างๆ ที่คุณแสนจะคุ้นเคย

ทักษะการแปลงภาษาที่ใช้กันในแวดวงระบบความมั่นคงปลอดภัยให้เป็นภาษาธุรกิจนั้นจะเป็นเรื่องที่จำเป็นที่สุด เมื่อตอนที่ CISO ต้องนำเสนองบประมาณความปลอดภัยไอทีนั่นเอง เพราะว่าเรื่องของความปลอดภัยเป็นเพียงส่วนหนึ่งของงบไอทีทั้งหมด และเงินมักจะถูกเทไปให้กับโครงการไอทีที่เห็นได้ชัดเจนกว่าในการสร้างผลกำไรและคืนทุนได้เร็วกว่า

โปรย3. การจัดการรับมือกับวิกฤตการณ์ที่เป็นภัยต่อความปลอดภัย
แผนปฏิบัติการ (action plan)ในกรณีเกิดภัยคุกคามมีความจำเป็น มากกว่าเพียงแค่เปลี่ยนพาสเวิร์ดหรือกู้ระบบ ในการกำจัดหยุดยั้งการจู่โจมให้ได้อย่างรวดเร็วนั้น เป็นเรื่องสำคัญที่จะต้องระบุตัวผู้รับผิดชอบขั้นตอนต่างๆ ให้ชัดเจนลงไป รวมทั้งผู้ที่ต้องรับการแจ้งเหตุประจำแต่ละแผนก ไม่ว่าจะเป็น แผนกกฎหมายสื่อสารองค์กร หรือทีมลูกค้าสัมพันธ์ก็ตาม ซึ่งพวกเขาเหล่านี้ก็จะเข้ามามีส่วนร่วมในการแก้ไขปัญหาวิกฤตที่เกิดขึ้น

หากมีการล่วงละเมิดข้อมูลระบบ เป็นเรื่องสำคัญที่ CISO จะต้องร่วมรับรู้ความเป็นไปทุกขั้นตอน และเป็นตัวเชื่อมโยงรายงานสถานการณ์ให้แก่ผู้ที่เกี่ยวข้องทุกฝ่าย ประสานข้อมูลไปยังทีมงานที่ดูแลรับผิดชอบด้านความปลอดภัยเพื่อให้ดำเนินการตามขั้นตอนแจ้งไปยังหน่วยงานต่าง พร้อมข้อปฏิบัติเพื่อบรรเทาสถานการณ์

4. การกำกับดูแลและความเป็นผู้นำในสถานการณ์
ปัญหาใหญ่ที่เราต่างต้องเผชิญคือการเก็บรักษาดูแลพนักงานไว้ให้อยู่กับองค์กรการที่องค์กรไม่มีผู้เชี่ยวชาญด้านความปลอดภัยมาคอยดูแล หมายความว่าพนักงานได้รับข้อเสนอจากที่อื่นเมื่อตัดสินใจเปลี่ยนงาน

ในฐานะของ CISO พวกเขามีอิทธิพลต่อเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ต้องปฏิบัติตัวให้เป็นผู้นำ ที่ได้รับความเชื่อถือ และยินดีปฏิบัติตาม เป็นผู้ที่ให้คำแนะนำหรือกฎระเบียบใดๆ แล้วได้รับการยอมรับ ให้การสนับสนุนจากลูกทีม และเป็นแรงบันดาลใจเชิงบวกให้แก่พนักงานทั่วไปในองค์กรแรงจูงใจมิใช่ผูกติดอยู่กับเงินพิเศษเท่านั้น

แต่สามารถที่จะโยงไปกับสิทธิ์พิเศษในการเข้าไปส่วนหนึ่งในทีมที่มีอำนาจตัดสินใจโอกาสในการเรียนรู้และพัฒนาตนเอง หรือจะเป็นประกาศนียบัตร รางวัลตอบแทนจูงใจมอบให้แก่การอุทิศตนของพนักงานซึ่งแต่ละคนก็จะมีเรื่องจูงใจที่แตกต่างกัน ดังนั้นการเป็น CISO ที่มีประสิทธิภาพ จำเป็นต้องรู้จักเลือก สิ่งจูงใจที่เหมาะสมที่สุด หรือแหล่งสร้างแรงกระตุ้นแรงจูงใจให้แก่ทุกคนในทีมได้ตรงใจที่สุด

เป็นที่ประจักษ์ชัดว่าบทบาทของ CISO กำลังแปรเปลี่ยนไป จำเป็นต้องมีส่วนผสมที่ลงตัวระหว่างทักษะด้านความรู้และด้านอารมณ์มีคุณสมบัติที่ดีของผู้นำและด้านการบริหารที่ต้องเข้าใจในด้านไอทีพร้อมด้วยความเชี่ยวชาญทางด้านธุรกิจและที่สำคัญต้องมีความรู้เชี่ยวชาญในด้านความมั่นคงปลอดภัยไซเบอร์อีกด้วย

Tags

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.