3 ความผิดพลาดสำคัญแห่งปี 2018 ด้าน Cyber Security ในองค์กร

3 ความผิดพลาดสำคัญแห่งปี 2018 ด้าน Cyber Security ในองค์กร

3 ความผิดพลาดสำคัญแห่งปี 2018 ด้าน Cyber Security ในองค์กร

นอกจากการเรียนรู้แนวโน้มของภัยคุกคามใหม่ๆ เพื่อหาทางป้องกันล่วงหน้าแล้ว การสำรวจจุดอ่อนด้านความปลอดภัยที่ผ่านมา ก็เป็นหนทางป้องกันอีกทางหนึ่งที่มีประสิทธิภาพ Zach Malone วิศวกรด้านความปลอดภัยจาก Firemon ได้รวบรวม 3 ความผิดพลาดสำคัญด้าน cyber security ขององค์กรต่างๆ ที่เกิดขึ้นในปี 2018 ออกมาดังนี้

 

  1. องค์กรให้ความสำคัญกับธุรกิจมากเกินไปจนมองข้ามเรื่องความปลอดภัย

 

Infrastructure ของ network ซับซ้อนขึ้นมาก และมันต้องใช้เวลาและการลงทุนที่สูง ซึ่งเป็นสิ่งที่ผู้บริหารอาจมองว่าสิ้นเปลือง ก็เลยมองข้ามไป

อีกปัจจัยหนึ่งที่ทำให้เรื่อง security คือการเติบโตของ DevOps ระบบการทำงานแบบนี้ทำให้การสร้างแอปพลิเคชั่นเกิดขึ้นอย่างรวดเร็ว จนทำให้ทีม security ตามไม่ทัน รวมถึงตอนคิดแอปพลิเคชั่น เรื่องความปลอดภัยจะเป็นสิ่งที่ถูกคำนึงถึงลำดับสุดท้าย

นอกจากนี้ การวาง policy ด้านความปลอดภัยยังใช้เวลานานเป็นเดือนๆ ทำให้ DevOps ต้องเปิดตัวแอปฯ ใหม่ได้ช้าลง ทำให้ในหมู่คนทำงานเอง security ถูกมองเป็นตัวขวางกั้นการทำงานด้วยซ้ำไป และนี่คือคำแนะนำในการแก้ไข

– เปลี่ยนโมเดลจาก DevOps เป็น DevSecOps ให้ทีม security มีส่วนร่วมกับทีม DevOps ตั้งแต่แรก วิธีนี้ทำให้ทีม security เห็น workflow ทั้งหมดของ DevOps และค่อยๆ วาง Policy ไปที่ละขั้นตอน ทำให้ความปลอดภัยนั้นรัดกุมขึ้น

– ใช้วิธีคิดแบบ intent-based security ซึ่งก็คือการวางมาตรการความปลอดภัยที่ดูจาก “วัตถุประสงค์” ของเครื่องมือหรืออุปกรณ์ IT แต่ละชิ้นเป็นสำคัญ และค่อยๆ วาง policy ที่สอดคล้องกับวัตถุประสงค์ของเครื่องมือหรืออุปกรณ์ IT เหล่านั้นทีละชิ้นๆ เพื่อให้ความปลอดภัยนั้นครอบคลุม

 

  1. รายงานเรื่อง security ที่ซับซ้อนเข้าใจยากทำให้ผู้บริหารไม่เข้าใจ

 

จุดบอดอีกข้อหนึ่งคือการบรรยายผลงานด้าน security  มันอาจมีภาษาหรือเนื้อหาที่เข้าใจ ทำให้ผู้บริหารระดับสูงไม่เข้าใจว่าทีม security ได้ทำประโยชน์อะไรบ้าง พวกเลยมองแต่เรื่องต้นทุนเป็นสำคัญ

ด้วยเหตุนี้ทีม security ต้องรายงานผลให้ผู้บริหารรู้ว่างานของพวกเขานั้นช่วยให้ธุรกิจเดินหน้าได้อย่างไร ด้วยการใช้ key performance indicators หรือ KPI ให้เห็นว่า performance ของทีมคือการลดความเสี่ยงจากภัยคุกคามต่างๆ และความเสี่ยงลดลงไปได้อย่างไรบ้าง เช่นเดียวกับการชี้แจงว่าถ้าตัดงบด้าน security ไป จะส่งผลกระทบต่อธุรกิจอย่างไร

สามารถเริ่มจากตัวอย่างง่ายๆ เช่นการทำตามมาตรฐานของอุตสหากรรม PCI DSS, HIPAA หรือ GDPR อธิบายว่าองค์กรจะต้องจ่ายค่าปรับอย่างไรบ้าง ถ้าไม่ทำตามมาตรฐานเหล่านั้น เป็นต้น

อีกเรื่องหนึ่งคือการชี้แจงให้ผู้บริหารเห็นว่าการลงทุนกับ security เป็นสิ่งเดียวกับการซื้อประกันสุขภาพหรือประกันรถยนต์ ที่เป็นการจ่ายเพื่อคุ้มครองเหตุร้ายที่ยังไม่ได้เกิดขึ้น

 

  1. เข้าใจผิดว่าการซื้อเทคโนโลยีใหม่ คือการวาง policy ด้านความปลอดภัยแล้ว

 

การซื้อเทคโนโลยีรุ่นใหม่ๆ โดยไม่เข้าใจการใช้งานอย่างถ่องแท้ นอกจากจะเสียเงินเยอะแล้ว ยังไม่สามารถลดความเสี่ยงลงได้จริง ซึ่งเราสามารถแก้ไขด้วยการโฟกัสที่คนและกระบวนการทำงานให้มากขึ้น

 

เริ่มจากดูว่าองค์กรของเรามีความเสี่ยงด้านความปลอดภัยแบบไหนและใช้เครื่องมือให้เหมาะสมกับความเสี่ยงนั้น ยิ่งกว่านั้น ใน policy ต้องระบุให้ชัดเจนว่าต้องมีการตรวจสอบการทำงานของเทคโนโลยีนั้นๆ อย่างต่อเนื่อง มีการอบรมความรู้เรื่อง security best practice และตรวจวัดระดับความปลอดภัยอย่างสม่ำเสมอ

 

ที่สำคัญที่สุด ผู้บริหารต้องเป็นตัวอย่างที่ดีในการบังคับใช้ security policy และต้องเห็นว่าความปลอดภัยก็เป็นภารกิจสำคัญเช่นเดียวกับเป้าหมายทางธุรกิจ

 

ทั้งหมดนี้คือความผิดพลาดหลักที่รวบรวมมาตลอดปี 2018 การเพิ่มความสำคัญของ security จะเป็นทางออกสำคัญในการรับมือกับ cyber attack ที่พัฒนารูปแบบใหม่ๆ ขึ้นทุกปีๆ ได้อย่างมีประสิทธิภาพ

__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.monsterconnect.co.th
☎ : 02-392-3608
📱 : [email protected]

Monster Connect
Monster Connect