Friday, June 14, 2024
ArticlesColumnistCybersecuritySansiri Sirisantakupt

มองแนวคิด CISO กับการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์

ขอเสนอมุมมองของผู้เชี่ยวชาญที่ตอบคำถามว่า CISO คิดอย่างไร กับการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ทุกความเห็น ทุกมุมมองล้วนน่าติดตาม และสื่อความบางอย่างต่อการรับมือภัยคุกคามไซเบอร์อย่างแท้จริง

หล่าผู้บริหารความมั่นคงปลอดภัยทางไซเบอร์ (CISO: Chief Information Security Officer) มีความตระหนักดีถึง สถานการณ์การขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ที่ส่งผลกระทบในหลายๆ องค์กร โดยในแต่ละปีที่ผ่านมานั้น Enterprise Strategy Group (ESG) บริษัทวิเคราะห์ด้านไอที และ Information Systems Security Association (ISSA) องค์กรวิชาชีพสำหรับผู้เชี่ยวชาญและผู้ปฏิบัติงานด้านความปลอดภัยของข้อมูล

ทั้งสองได้ร่วมมือกันทำงานวิจัยจนได้รายงานชิ้นสำคัญ ในชื่อ The Life and Times of Cybersecurity Professionals ซึ่งตั้งคำถามหลายข้อเกี่ยวกับ การขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ทั่วโลก และข้อมูลจากการวิจัยพบว่า ปัญหาการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์นั้นเกิดขึ้นจริงและมีผลกระทบค่อนข้างมาก

โดยในปีที่ผ่านมา กลุ่มตัวอย่าง 71% คิดว่า องค์กรของตนได้รับผลกระทบจากการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ผลลัพธ์เหล่านี้ไม่น่าแปลกใจ

Perception of the cybersecurity skills shortage, ที่มา: The Life and Times of Cybersecurity Professionals, ESG, ISSA

เพราะจากสถิติที่ ESG และ ISSA ดำเนินโครงการวิจัยลักษณะนี้มาเป็นเวลา 8 ปี ทุกๆ ปีพบว่า 60% ถึง 75% ขององค์กร ได้รับผลกระทบจากการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์

ผลลัพธ์เหล่านี้คล้ายกับการศึกษาวิจัยหัวข้อ Cybersecurity Workforce Study ของ ISC2 (International Information System Security Certification Consortium เป็นองค์กรที่ไม่แสวงหาผลกำไรเชี่ยวชาญด้านการฝึกอบรมและการรับรองผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ถือเป็นองค์กรความปลอดภัยด้านไอทีที่ใหญ่ที่สุดในโลก)

ซึ่งข้อมูลหลายๆ แหล่งที่การเก็บข้อมูลจากบุคลากรด้านไอทีและบุคลากรด้านความปลอดภัยทางไซเบอร์นั้น เห็นไปในทิศทางเดียวกันว่า การขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์มีอยู่จริง, มีอยู่ถาวร และส่งผลกระทบในวงกว้าง

ผู้เขียนขอเสนอมุมมองของผู้เชี่ยวชาญจาก csoonline.com ที่ได้รวบรวมคำตอบในคำถามว่า เหล่า CISO คิดอย่างไร? กับการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ในฐานะของการเป็นผู้นำด้านความปลอดภัยทางไซเบอร์และเป็นเจ้าของโปรแกรมความปลอดภัยในองค์กรต่างๆ ทั่วโลก

ทุกความเห็น ทุกมุมมองล้วนน่าติดตาม และสื่อความบางอย่างต่อการรับมือภัยคุกคามไซเบอร์อย่างแท้จริง

CISO เกือบหนึ่งในสามคิดว่า ได้รับผลกระทบอย่างมาก

ข้อมูลจากผลการวิจัยของ ESG/ISSA แสดงให้เห็นว่า เหล่า CISO ได้รับผลกระทบโดยตรงจากสภาวะการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ตัวอย่างเช่น เกือบ 1 ใน 3 หรือราว 32% นั้นคิดว่า การขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ส่งผลกระทบอย่างมีนัยสำคัญต่อหลายองค์กร (จำนวนนี้เทียบกับ 26% ของผู้ตอบแบบสอบถามคนอื่นๆ ทั้งหมด)

ปัญหาที่เกิดขึ้นจากการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ที่เหมือนกันในแนวคิดของเหล่าผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และเหล่า CISO คือ การขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ทำให้ปริมาณงานนั้นเพิ่มขึ้น, ส่งผลต่ออัตราความเหนื่อยหน่ายที่สูงขึ้นของพนักงาน และที่สำคัญส่งผลให้งานต่างๆ ไม่ถูกดำเนินการ มาเป็นเวลาหลายสัปดาห์หรือหลายเดือน

นอกเหนือจากปัญหาที่กล่าวไว้ เหล่า CISO ได้เพิ่มเติมด้วยความคิดเห็นเฉพาะบางประการเกี่ยวกับ ผลกระทบจากการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์

ตัวอย่างเช่น เกือบ 1 ใน 3 หรือราว 32% ของเหล่า CISO นั้นคิดว่า การขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ทำให้เกิดข้อผิดพลาดของพนักงานที่เพิ่มขึ้นในงานด้านความปลอดภัยทางไซเบอร์ เทียบกับ 16% ของผู้ตอบแบบสอบถามคนอื่นๆ

ซึ่งนี่คงเป็นหน้าที่ในขอบเขตที่กว้างของเหล่า CISO โดยที่เหล่า CISO นั้นมองเห็นปัญหาข้อผิดพลาดของพนักงานทั่วทั้งองค์กร เมื่อถูกนำมาเปรียบเทียบกับผู้ที่ทำหน้าที่ผู้จัดการหรือระดับปฏิบัติการให้ความสำคัญกับงานที่ทำอยู่มากกว่า

นอกจากนี้ 38% ของเหล่า CISO_นั้นคิดว่า การขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ส่งผลให้มีการทำงานร่วมกันที่น้อยลงระหว่างทีมงานด้านรักษาความปลอดภัยทางไซเบอร์และทีมงานด้านธุรกิจ เทียบกับ 26% ของผู้ตอบแบบสอบถามคนอื่นๆ

นี่อาจเป็นปัญหาร้ายแรงสำหรับผู้บริหารด้านความปลอดภัยทางไซเบอร์ เนื่องจากการจัดการด้านความปลอดภัยทางไซเบอร์ให้สอดคล้องกับลำดับความสำคัญทางธุรกิจ ถือเป็นหัวใจสำคัญของงานในความรับผิดชอบของเหล่า_CISO

ในขณะที่ 43% ของเหล่า CISO_นั้นคิดว่า “การขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ได้นำไปสู่การจ้างพนักงานใหม่มากกว่าจ้างพนักงานที่มีประสบการณ์ (จำนวนนี้เทียบกับ 28% ของผู้ตอบแบบสอบถามคนอื่นๆ) ทำให้เหล่า CISO_ถูกบังคับในการจ้างงานและการตัดสินใจลงทุนที่ไม่ดีนัก ซึ่งแน่นอนส่งผลต่อประสิทธิภาพของทีมงานและประสิทธิภาพโดยรวม

Perception of the cybersecurity skills shortage, ที่มา: The Life and Times of Cybersecurity Professionals, ESG, ISSA
อะไรคือ ปัจจัยที่ทำให้เกิดการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์

คำถามจากแบบสอบถามอีกข้อหนึ่ง ผู้ตอบแบบสอบถามถูกขอให้ระบุถึง ปัจจัยที่มีส่วนทำให้เกิดการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ในองค์กรของตน

เป็นอีกครั้งการตอบคำถามของ CISO_จากแนวคิดแสดงให้เห็นถึงความชัดเจน โดย 68% ของเหล่า_CISO คิดว่า องค์กรของตนไม่ได้เสนอเงินค่าตอบแทนที่เหมาะสมให้แก่พนักงาน จึงเป็นเรื่องที่ยากในการรับสมัครและจ้างพนักงานที่มีความสามารถด้านความปลอดภัยทางไซเบอร์ (จำนวนนี้เทียบกับ 42% ของผู้ตอบแบบสอบถามคนอื่นๆ)

สิ่งดังกล่าวเป็นเรื่องที่น่าหงุดหงิดอย่างยิ่ง อันทำให้เหล่า_CISO ส่งเสียงเตือนภัยให้แก่เหล่าคณะกรรมการบริหารในองค์กร ซึ่งนอกเหนือจากนี้ 41% ของเหล่า_CISO นั้นคิดว่า องค์กรของตนไม่มีชื่อเสียงในฐานะเป็นผู้นำด้านความปลอดภัยทางไซเบอร์ จึงเป็นเหตุที่ทำให้การรับสมัครและจ้างพนักงานที่มีความสามารถด้านความปลอดภัยทางไซเบอร์นั้นทำได้ยาก (จำนวนนี้เทียบกับ 25% ของผู้ตอบแบบสอบถามคนอื่นๆ)

เหล่า_CISO ในสถานการณ์นี้คงต้องให้ความสำคัญอย่างยิ่งกับสิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้แนะนำ เช่น โปรแกรมการให้คำปรึกษา, โอกาสในการฝึกอบรมอย่างต่อเนื่อง และการพัฒนาอาชีพ

สุดท้ายผู้ตอบแบบสอบถามหลายคนถูกถามว่า เชื่อหรือไม่ว่า องค์กรของตนที่ผ่านมาได้ดำเนินการกันอย่างเพียงพอ ในการแก้ไขการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ ซึ่งเหล่า_CISO ไม่ถึง 1 ใน 3 หรือ 32% นั้น ตอบว่า “เชื่อ” เทียบกับ 26% ของผู้ตอบแบบสอบถามคนอื่นๆ

แต่ที่น่าตกใจก็คือ 41% ของเหล่า CISO_คิดว่า “องค์กรของตนน่าจะทำอะไรได้มากกว่านั้น” เทียบกับ 35% ของผู้ตอบแบบสอบถามคนอื่นๆ

ข้อคิดที่ฝากไว้
บทความโดย: น.อ.สรรสิริ สิริสันตคุปต์ นักวิชาการกองทัพอากาศ เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ การสื่อสาร และการรักษาความมั่นคงปลอยภัย ด้านอวกาศและไซเบอร์

แม้ว่าเหล่า CISO_นั้นจะไม่สามารถโคลนผู้เชี่ยวชาญที่มีประสบการณ์ด้าน ความปลอดภัยทางไซเบอร์ให้มาเป็นทีมงานได้ แต่ก็ยังมีแนวทางปฏิบัติที่ดีที่สุดในบางประการ (Best Practices) ที่ได้จากผู้บริหารหลายคนด้านความปลอดภัยทางไซเบอร์ ซึ่งจะทำให้เหล่า CISO_ได้พบหนทางที่สามารถช่วยทำอะไรได้บ้าง ดังต่อไปนี้

1. มุ่งเน้นในการรักษาพนักงาน ผู้เชี่ยวชาญที่มีประสบการณ์ด้านความปลอดภัยทางไซเบอร์เป็นพนักงานที่ทุกองค์กรต้องการ, ได้รับค่าตอบแทนที่สูงขึ้น และมีเส้นทางการทำงานที่ดีขึ้น

สิ่งสำคัญเหล่า_CISO ที่ประสบความสำเร็จมักช่วยดูแลความพึงพอใจของพนักงานและช่วยทีมงานในการจัดการกับความเครียด นอกจากนี้เหล่า_CISO ที่กระตือรือร้นยังเปิดช่องทางให้กับทีมงานได้พัฒนาชุดทักษะและโอกาสในการทำงาน

2. ทำหน้าที่เป็นเชียร์ลีดเดอร์ให้แก่ผู้บริหารและคณะกรรมการ เป็นเรื่องที่ไม่สมเหตุสมผลที่ทีมงานด้านความปลอดภัยทางไซเบอร์ (Cybersecurity Staff) นั้น ได้รับค่าจ้างที่ต่ำหรือถูกประเมินค่าที่ต่ำ

เหล่า CISO_ควรให้ความรู้แก่เหล่าผู้บริหารและคณะกรรมการที่เกี่ยวกับความคุ้มค่าของเงินที่จ่ายให้ทีมพนักงานด้านความปลอดภัยทางไซเบอร์เทียบกับความเสี่ยงที่มีพนักงานด้านความปลอดภัยทางไซเบอร์ที่ไม่เพียงพอหรือลาออกจากองค์กร

ที่สำคัญทุกครั้งเมื่อพูดถึงการจัดหาพนักงานด้านความปลอดภัยทางไซเบอร์ ผู้บริหารและคณะกรรมการควรเข้าใจถึงการลงทุนจำนวนมาก เพื่อสร้างความปลอดภัยทางไซเบอร์

3. การทำงานร่วมกับไอทีในกระบวนการอัตโนมัติแบบ End-to-End CISO_สนับสนุนประสิทธิภาพของพนักงานฯ โดยไม่ต้องเพิ่มหน่วยงานได้อย่างไร? คำตอบคือ ทำงานร่วมกับกระบวนการใดๆ ที่สามารถเป็นไปได้ในแบบอัตโนมัติ…ก็ให้เป็นแบบอัตโนมัติ ซึ่งการทำให้กระบวนการด้านความปลอดภัยนั้น..ดำเนินการเป็นไปในแบบอัตโนมัติ ถือเป็นการเริ่มต้นที่ดี

องค์กรที่ใช้เทคโนโลยีขั้นสูงนั้นได้ก้าวไปไกลมากกว่า การทำการรักษาความปลอดภัยในแบบอัตโนมัติเพียงอย่างเดียวนั้นไม่พอ เรายังต้องคิดถึงกระบวนการอัตโนมัติแบบครบวงจรที่ครอบคลุมการรักษาความปลอดภัยทางไซเบอร์ เช่น การค้นหา/ปิดช่องโหว่ของซอฟต์แวร์ (Finding/Patching) เพื่อความปลอดภัยของซอฟต์แวร์

การดำเนินงานด้านไอที เช่น การแบ่งเครือข่ายคอมพิวเตอร์ออกเป็นส่วนเล็กๆ (Network Segmentation) เพื่อปรับปรุงประสิทธิภาพความปลอดภัยของเครือข่าย รวมทั้งการพัฒนาซอฟต์แวร์ เช่น แนวทางปฏิบัติในการบูรณาการการทดสอบความปลอดภัยในทุกขั้นตอน (DevSecOps Programs) เพื่อสร้างซอฟต์แวร์ที่ปลอดภัยและมีประสิทธิภาพ

4. การให้ความร่วมมือ ที่ถือเป็นส่วนหนึ่งในการวางแผนโปรแกรมด้านความปลอดภัย เหล่า_CISO ต้องตั้งสมมติฐานเกี่ยวกับ ผลกระทบของการขาดแคลนทักษะด้านความปลอดภัยทางไซเบอร์ที่มีต่อเป้าหมาย

ซึ่งหมายถึงเหล่า_CISO จำเป็นต้องสร้างโมเดลความปลอดภัยทางไซเบอร์แบบเปิด (Open Cybersecurity Model) ที่เหล่าผู้ให้บริการซึ่งมีหน้าที่ในการจัดการนั้นสามารถบูรณาการได้อย่างราบรื่นเข้ากับการควบคุมที่มีอยู่, กระบวนการที่ได้กำหนดไว้ตลอดจนจุดแข็งและจุดอ่อนของชุดทักษะ

อ่านบทความทั้งหมดของ ..สรรสิริ สิริสันตคุปต์

Featured Image: Image by rawpixel.com on Freepik