Wednesday, November 13, 2024
ArticlesCybersecurityGenerative AI

การ์ทเนอร์แนะนำ CISO วางแผนกลยุทธ์ความปลอดภัยไซเบอร์ในอีก 2 ปี

การ์ทเนอร์แนะนำ CISO เตรียมวางแผนกลยุทธ์ความปลอดภัยไซเบอร์ในอีกสองปีข้างหน้า จากสมมติฐาน 8 ข้อสำคัญของความปลอดภัยทางไซเบอร์ในปี 2567

าร์ทเนอร์เผยสมมติฐาน 8 ประการสำคัญของความปลอดภัยทางไซเบอร์ในปี 2567 ที่ CISO สามารถใช้เตรียมวางแผนกลยุทธ์ความปลอดภัยไซเบอร์ในอีกสองปีข้างหน้า และในอนาคต รวมถึงยังพบว่าการใช้ Generative AI จะช่วยลดช่องว่างทักษะและลดเหตุความปลอดภัยทางไซเบอร์ที่เกิดโดยพนักงาน

โดยที่ 2 ใน 3 ขององค์กร 100 แห่งทั่วโลกจะขยายการประกันภัยความรับผิดสำหรับกรรมการและผู้บริหาร (Directors & Officers Liability Insurance: D&O) เพิ่มให้กับผู้นำด้านความปลอดภัยทางไซเบอร์ ตามกฎหมายการเปิดเผยข้อมูลส่วนบุคคล และการรับมือกับข้อมูลที่บิดเบือนจะสร้างต้นทุนแก่องค์กรมากกว่า 5 แสนล้านดอลลาร์

ดีปตี โกปาล ผู้อำนวยการฝ่ายวิจัย การ์ทเนอร์ กล่าวว่า “GenAI ทำให้เราก้าวข้ามขีดจำกัดความเป็นไปไม่ได้ และมอบโอกาสที่ดีในการแก้ไขปัญหาด้านความปลอดภัยทางไซเบอร์ที่ยืดเยื้อมายาวนาน โดยเฉพาะอย่างยิ่ง ในเรื่องของการขาดแคลนทักษะและพฤติกรรมเสี่ยงของมนุษย์”

“การคาดการณ์ในปีนี้ไม่ได้อยู่ในขอบเขตของเทคโนโลยีเท่านั้น เนื่องจากองค์ประกอบของมนุษย์ได้รับความสนใจมากขึ้น โดยผู้บริหาร CISO ใดก็ตามที่ต้องการสร้างโปรแกรมความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพและยั่งยืน จะต้องให้ความสำคัญกับเรื่องนี้”

การ์ทเนอร์แนะนำให้ผู้บริหารความปลอดภัยทางไซเบอร์สร้างสมมติฐานต่างๆ ต่อไปนี้ขึ้นมาเพื่อวางแผนและใส่ไว้ในกลยุทธ์ด้านความปลอดภัยในอีกสองปีข้างหน้า

สมมติฐานที่ 1 ในปี 2571 การนำ GenAI มาใช้จะช่วยลดช่องว่างด้านทักษะ โดยขจัดความจำเป็นในด้านการศึกษาเฉพาะทางจาก 50% ของตำแหน่งงานด้านความปลอดภัยทางไซเบอร์ในระดับเริ่มต้น

การนำ GenAI มาใช้ จะเปลี่ยนแนวทางการว่าจ้างขององค์กรและการสอนให้พนักงานรักษาความปลอดภัยทางไซเบอร์ที่กำลังมองหาความถนัดเช่นเดียวกันกับการศึกษาที่มีความเหมาะสม แพลตฟอร์มเมนสตรีมต่างๆ เสนอบริการการสนทนาเพิ่มเติมอยู่แล้ว แต่จะมีการพัฒนายิ่งขึ้น

การ์ทเนอร์แนะนำให้ทีมไซเบอร์ซีเคียวริตี้มุ่งเน้นไปที่เคสการใช้งานภายในที่สนับสนุนการทำงานของผู้ใช้ การประสานงานกับพันธมิตรด้านทรัพยากรบุคคล และการหาตัวพนักงานที่มีทักษะความสามารถใกล้เคียงกันเพื่อเพิ่มบทบาทด้านความปลอดภัยทางไซเบอร์เป็นทักษะสำคัญ

สมมติฐานที่ 2 ในปี 2569 องค์กรที่รวม GenAI เข้ากับสถาปัตยกรรมบนแพลตฟอร์มบูรณาการใน Security Behavior and Culture Programs หรือ SBCP จะพบเหตุการณ์ความปลอดภัยทางไซเบอร์ที่เกิดโดยพนักงานน้อยลง 40%

องค์กรต่างๆ ให้ความสำคัญกับการมีส่วนร่วมส่วนบุคคลมากขึ้นเรื่อยๆ ซึ่งเป็นองค์ประกอบสำคัญของ SBCP ที่มีประสิทธิผล GenAI มีศักยภาพในการสร้างเนื้อหาและใช้เป็นเครื่องมือในการฝึกอบรมที่มีความเป็นส่วนตัวสูง โดยคำนึงถึงบริบทของคุณลักษณะเฉพาะของพนักงาน

จากข้อมูลของการ์ทเนอร์ การให้ความสำคัญนี้จะเพิ่มโอกาสที่พนักงานจะใช้พฤติกรรมที่ปลอดภัยมากขึ้นในการทำงานแต่ละวัน ส่งผลให้เหตุการณ์ด้านความปลอดภัยทางไซเบอร์ลดน้อยลงไปด้วย

“องค์กรที่ยังไม่ยอมรับความสามารถของ GenAI ควรประเมินความเชี่ยวชาญของพันธมิตรด้านความปลอดภัยภายนอกในปัจจุบัน เพื่อทำความเข้าใจว่าจะใช้ประโยชน์จาก GenAI เป็นส่วนหนึ่งในแผนงานด้านโซลูชันได้อย่างไร” โกปาล กล่าวเพิ่ม

สมมติฐานที่ 3, 75% ขององค์กรจะคัดระบบที่ไม่มีการจัดการระบบเก่า และระบบทางกายภาพด้านไซเบอร์ออกไปจากกลยุทธ์ Zero Trust จนถึงปี 2569

ภายใต้กลยุทธ์ Zero Trust ผู้ใช้ปลายทางจะได้สิทธิการเข้าถึงเฉพาะที่จำเป็นในการทำงานเท่านั้น และถูกตรวจสอบจำแนกตามภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา

ในสภาพแวดล้อมการผลิตหรือสภาพแวดล้อมที่มีความสำคัญต่อภารกิจ แนวคิดเหล่านี้ไม่ได้แปลเป็นภาษาสากลสำหรับใช้อุปกรณ์ที่ไม่มีการจัดการแอปพลิเคชันรุ่นเก่า และระบบทางกายภาพทางไซเบอร์ (CPS) ที่ได้รับการออกแบบมาเพื่อปฏิบัติงานเฉพาะในสภาพแวดล้อมด้านความปลอดภัยและความน่าเชื่อถือที่มีเอกลักษณ์เฉพาะตัว

สมมติฐานที่ 4 ภายในปี 2570 สองในสามขององค์กร 100 แห่งทั่วโลกจะขยายการประกันภัย D&O ให้กับผู้นำด้านความปลอดภัยทางไซเบอร์ ตามกฎหมายการเปิดเผยข้อมูลส่วนบุคคล

กฎหมายและข้อบังคับใหม่ เช่น กฎการเปิดเผยและการรายงานความปลอดภัยทางไซเบอร์ของ SEC ทำให้ผู้บริหารด้านไซเบอร์ต้องรับผิดชอบต่อข้อมูลส่วนบุคคล บทบาทและความรับผิดชอบของผู้บริหาร CISO จำเป็นต้องได้รับการอัปเดตสำหรับการรายงานและการเปิดเผยที่เกี่ยวข้อง

การ์ทเนอร์แนะนำให้องค์กรต่างๆ สำรวจประโยชน์ของการครอบคลุมบทบาทนี้ด้วยการขยายประกันภัย D&O รวมถึงการประกันภัยและค่าตอบแทนอื่นๆ เพื่อบรรเทาความรับผิดส่วนบุคคล ความเสี่ยงทางวิชาชีพ และค่าใช้จ่ายทางกฎหมาย

สมมติฐานที่ 5 ในปี 2571 การใช้จ่ายขององค์กรเพื่อต่อสู้กับข้อมูลบิดเบือนจะสูงถึง 5 แสนล้านดอลลาร์ ซึ่งไปตัดงบการตลาดและความปลอดภัยทางไซเบอร์ถึง 50%

การผสมผสานระหว่าง AI, การวิเคราะห์, พฤติกรรมศาสตร์, โซเชียลมีเดีย, Internet of Things และเทคโนโลยีอื่นๆ ทำให้ผู้ไม่ประสงค์ดีสามารถสร้างและเผยแพร่ข้อมูลที่ไม่ถูกต้อง (หรือข้อมูลที่ผิด) ประสิทธิภาพสูงและปรับแต่งเฉพาะตัวบุคคลได้เป็นจำนวนมาก

การ์ทเนอร์แนะนำให้ผู้บริหารกำหนดความรับผิดชอบในการกำกับดูแล คิดค้น และดำเนินโปรแกรมต่อต้านข้อมูลที่บิดเบือนเหล่านั้นทั่วทั้งองค์กร โดยลงทุนในเครื่องมือและเทคนิคที่ต่อกรปัญหาโดยใช้ Chaos Engineering เพื่อทดสอบความยืดหยุ่น

สมมติฐานที่ 6 ปี 2569 40% ของผู้นำด้าน Identity And Access Management (IAM) จะรับผิดชอบในการตรวจจับและตอบสนองต่อการละเมิดที่เกี่ยวข้องกับ IAM เป็นหลัก 

ผู้บริหาร IAM มักจะพยายามระบุความปลอดภัยและมูลค่าทางธุรกิจเพื่อขับเคลื่อนการลงทุนที่แม่นยำ และไม่เกี่ยวข้องกับการอภิปรายเรื่องการจัดหาทรัพยากรด้านความปลอดภัยและการกำหนดงบประมาณ

ในขณะที่ผู้บริหาร IAM ยังคงมีความสำคัญมากขึ้นเรื่อยๆ โดยแต่ละคนจะพัฒนาไปในทิศทางที่แตกต่างกัน ทั้งความรับผิดชอบ การมองเห็น และอิทธิพลต่างๆ ที่เพิ่มขึ้น

การ์ทเนอร์แนะนำให้ผู้บริหาร CISO เลิกทำงานด้านไอทีแบบไซโลและความปลอดภัยแบบเดิมๆ โดยให้ผู้มีส่วนได้ส่วนเสียเห็นบทบาทของ IAM โดยปรับให้สอดรับกับโปรแกรม IAM และโครงการด้านความปลอดภัย

สมมติฐานที่ 7 ในปี 2570 70% ขององค์กรจะรวมการป้องกันข้อมูลสูญหายและการบริหารความเสี่ยงจากภายในเข้ากับบริบท IAM เพื่อระบุพฤติกรรมที่น่าสงสัยได้อย่างมีประสิทธิภาพมากขึ้น

ความสนใจที่เพิ่มขึ้นในการควบคุมแบบรวมได้กระตุ้นให้ผู้จำหน่ายพัฒนาความสามารถที่แสดงถึงการทับซ้อนกันระหว่างการควบคุมที่เน้นพฤติกรรมผู้ใช้และการป้องกันข้อมูลสูญหาย สิ่งนี้แนะนำชุดความสามารถที่ครอบคลุมมากขึ้นสำหรับทีมรักษาความปลอดภัยเพื่อสร้างนโยบายเดียวสำหรับการใช้งานแบบคู่ในการรักษาความปลอดภัยของข้อมูลและการลดความเสี่ยงจากภายใน

การ์ทเนอร์แนะนำให้องค์กรต่างๆ ระบุความเสี่ยงของข้อมูลและความเสี่ยงด้านข้อมูลส่วนบุคคล และใช้ความเสี่ยงเหล่านี้เป็นแนวทางหลักสำหรับเป็นกลยุทธ์รักษาความปลอดภัยของข้อมูล

สมมติฐานที่ 8 ในปี 2570 30% ของฟังก์ชันไซเบอร์ซิเคียวริตี้จะออกแบบแอปพลิเคชันความปลอดภัยใหม่ เพื่อให้ผู้ที่ไม่ใช่ผู้เชี่ยวชาญด้านไซเบอร์หรือเป็นเจ้าของแอปพลิเคชันก็สามารถใช้งานได้ 

ปริมาณ ความหลากหลาย และบริบทของแอปพลิเคชันที่นักเทคโนโลยีธุรกิจและทีมงานแจกจ่ายจัดส่งสร้างขึ้น หมายถึงศักยภาพในการเปิดเผยข้อมูล นอกเหนือจากที่ทีมรักษาความปลอดภัยแอปพลิเคชันเฉพาะจะจัดการได้

“เพื่อลดช่องว่าง หน่วยงานด้านความปลอดภัยทางไซเบอร์จะต้องสร้างความเชี่ยวชาญที่มีประสิทธิภาพขั้นต่ำในทีมเหล่านี้ โดยผสมผสานระหว่างเทคโนโลยีและการฝึกอบรม เพื่อสร้างความสามารถมากเท่าที่จำเป็นสำหรับการตัดสินใจ โดยอาศัยข้อมูลช่วยตัดสินใจความเสี่ยงทางไซเบอร์แบบอัตโนมัติ” โกปาลกล่าว