เทคโนโลยีสารสนเทศที่ก้าวหน้ากำลังเกิดขึ้นมาพร้อมกับภัยคุกคามทางไซเบอร์ องค์กรต่างๆ จึงเกิดความเสี่ยงที่จะตกอยู่ในสถานการณ์ที่อันตรายและต้องมีการเตรียมพร้อมสำหรับการจัดการความเสี่ยงดังกล่าว

ภัยจากความเสี่ยงของการคุกคามทางไซเบอร์นั้น มาจากตัวบุคคลที่มีความประสงค์ร้ายในการก่อภัยคุกคามทางไซเบอร์ซึ่งเปรียบเสมือนปีศาจที่มองไม่เห็นและด้วยความซับซ้อนทางเทคโนโลยีที่มากขึ้นในทุกวันนี้ ทำให้การก่ออาชญากรรมทำได้อย่างแนบเนียนยิ่งขึ้น  ในอดีต อาชญากรต้องคอยทีเผลอและขโมยกระเป๋าที่บรรจุเอกสารสำคัญที่คนลืมทิ้งไว้บนโต๊ะ แต่ปัจจุบัน อาชญากรสามารถขโมยข้อมูลได้อย่างง่ายดายเพียงแค่ใช้ยูเอสบีแฟลชไดรฟ์ก็สามารถดูดข้อมูลนับล้านกิกะไบต์มาเก็บไว้ได้

ไม่ใช่แค่การเก็บข้อมูลเท่านั้นที่มีความซับซ้อนซึ่งเปลี่ยนจากกระดาษไปเป็นดิจิตอล แต่ยังรวมถึงธรรมชาติและวัตถุประสงค์ของข้อมูลที่มีความซับซ้อนมากขึ้นด้วย เช่น หากอาชญากรตั้งใจจะขโมยผลิตภัณฑ์ทางการแพทย์ที่มีลิขสิทธิ์ พวกเขาก็ไม่จำเป็นต้องบุกเข้าไปในห้องเก็บเอกสาร แค่หาวิธีก๊อปปี้ข้อมูลในรูปดิจิตอลแล้วทำสินค้าเลียนแบบผลิตภัณฑ์ผ่านพริ้นเตอร์สามมิติ เป็นต้น

ดังนั้น องค์กรจึงหลีกเลี่ยงไม่ได้ที่จะต้องทำการปกป้องไม่ให้เกิดการก่ออาชญากรรมทางไซเบอร์ ซึ่งจำเป็นต้องมีระบบที่รวดเร็วและเข้มแข็งเพียงพอในการเตือนภัยหากถูกจู่โจม

ภัยคุกคามโลกไซเบอร์นั้นอยู่ภายใต้สองกลุ่ม กลุ่มแรกคือเรื่องภายใน และเรื่องภายนอก ในการออกแบบให้ระบบสามารถปกป้องได้อย่างสมบูรณ์จากภัยคุกคามภายนอกนั้น จำเป็นต้องเข้าใจถึงความตั้งใจและความสามารถของอาชญากรไซเบอร์ด้วยว่าพวกเขากำลังติดตามอะไรอยู่ แล้วทำไมพวกเขาจึงติดตามสิ่งเหล่านั้น และเทคโนโลยีอะไรที่พวกเขามีอยู่

แต่องค์กรก็จำเป็นต้องเตรียมการสำหรับคนในองค์กรที่อาจประสงค์ร้ายด้วยซึ่งเมื่อกระทำการแล้วมีการจงใจทำระบบให้อ่อนแอลงเพื่อให้ระบบเป็นอันตราย ซึ่งการใช้งานข้อมูลส่วนบุคคลอย่างประมาทก็อาจเปิดช่องให้มีการแบล็คเมล์บุคคลได้

องค์กรสามารถมีระบบการป้องกันด้วยไฟร์วอลล์ที่ดีที่สุดในโลกแต่มันก็ไม่มีความหมายอะไรเมื่อต้องเผชิญหน้ากับคนภายในองค์กรที่สามารถเข้าถึงระบบข้อมูลได้โดยองค์กรไม่อาจปกป้องได้เลย

ดังนั้น รัฐบาล ธุรกิจ และบุคคลจะปกป้องตนเองให้พ้นจากภัยคุกคามทางไซเบอร์ได้อย่างไร คณะกรรมการวิชาการ ISO/TC 262 – Risk management ได้พัฒนามาตรฐานการจัดการความเสี่ยง ISO 31000 ซึ่งสร้างกรอบการทำงานในหลักการและกระบวนการสำหรับการจัดการความเสี่ยงโดยทั่วไป

เจสัน บราวน์ ประธานคณะกรรมการวิชาการ ISO/TC 262 และรับผิดชอบด้านการจัดการการประเมินความมั่นคงปลอดภัยทางไซเบอร์และการประกันของกระทรวงกลาโหมออสเตรเลีย ชี้ให้เห็นว่า สำหรับการจัดการความเสี่ยงทั้งหมด หากองค์กรจริงจังกับการปกป้องตนเองจากความเสี่ยงทางไซเบอร์แล้ว ก็จำเป็นต้องกลับไปพิจารณาที่วัตถุประสงค์ขององค์กรหรือธุรกิจว่าอะไรคือสิ่งที่องค์กรให้คุณค่าอย่างแท้จริง

ธุรกิจและรัฐบาลต้องประเมินคุณค่าและลักษณะของงานที่ทำอยู่อย่างรอบคอบ ตัวอย่างเช่น ถ้าองค์กรเป็นผู้ปกป้องทรัพย์สินทางปัญญาด้านวิชาการในระดับสูงในรูปแบบของข้อมูลแล้ว ก็แน่ใจได้ว่าการรั่วไหลหรือการขโมยข้อมูลเช่นนั้นจะมีผลเสียอย่างมหาศาลตามมา ซึ่งอาจก่อให้เกิดความเสียหายได้ยิ่งกว่าถ้าข้อมูลนั้นถูกนำไปใช้ในนามของคนอื่นซึ่งพึ่งพาอยู่กับองค์กรนั้นโดยถือเป็นส่วนหนึ่งของซัพพลายเชน ซึ่งเป็นการละเมิดในระบบและอาจหมายถึงความเสียหายของทั้งซัพพลายเชน

ดังนั้น สิ่งที่ต้องคิดถึงในตอนแรกก็คือระบบเชิงกลยุทธ์โดยรวม ไม่ใช่การประเมินเทคโนโลยีแต่อย่างใด

แนวทางนี้สอดคล้องกับแนวทางของดร.โดนัลด์ ดอยช์ รองประธานและหัวหน้าเจ้าหน้าที่มาตรฐานของออราเคิลและประธานคณะกรรมการวิชาการ ISO/IEC JTC 1, Information technology, คณะอนุกรรมการที่ 38, Cloud computing and distributed platforms ซึ่งเป็นกลุ่มผู้เชี่ยวชาญที่ทำงานภายใต้การดูแลร่วมของไอเอสโอและไออีซี คณะกรรมการวิชาการนี้กล่าวถึงความเสี่ยงในแง่ของคลาวด์อย่างไร โปรดติดตามได้ในครั้งต่อไปซึ่งเป็นตอนจบค่ะ

ที่มา: https://www.iso.org/news/ref2359.html

Related posts

• การสร้างองค์กรให้เป็น SFO ตอนที่ 5 การทบทวนวิสัยทัศน์ พันธกิจ และค่านิยม
• 5 นวัตกรรมเปลี่ยนโลก
• ฝันหวานๆ ไปกับคุณภาพและช็อกโกแลต
• ไอเอสโอร่วมจัดงานสมาร์ทซิตี้ระดับโลก
• แนะนำมาตรฐานใหม่อุปกรณ์ทางการแพทย์

Tags: IT, Standardization, Strategic Management