ตื่นตัว รับมือผลกระทบ Cybersecurity
ตื่นตัว รับมือผลกระทบ Cybersecurity
ในขณะที่โลกธุรกิจและโลกของผู้บริโภคเผชิญหน้ากับการเปลี่ยนแปลงด้านเทคโนโลยี disruptive technology ได้มีการนำมาใช้ในประเทศต่างๆเพื่อพัฒนาประเทศตนเองไปสู่ Smart Nation และหรือ smart cities ไม่มีข้อสงสัยเลยว่า disruptive technology นั้นสร้างโอกาสทางธุรกิจมากมาย แต่ในขณะเดียวกันก็เป็นการเปิดประตูให้กับความเสี่ยงและภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ที่มาพร้อมกับเทคโนโลยีในรูปแบบใหม่ๆ ซึ่งอาจเป็นอุปสรรคต่อนวัตกรรมและการเปลี่ยนแปลงทางธุรกิจอย่างหลีกเลี่ยงไม่ได้
ดังนั้นแล้วจะเห็นว่าหน่วยงานกำกับให้ความสำคัญในการกำกับดูและควบคุมความเสี่ยงและภัยคุกคามด้านไซเบอร์มากขึ้น โดยมีการออกกฎหมายและกฎระเบียบใหม่ๆในเรื่องของความมั่นคงปลอดภัยทางไซเบอร์เพื่อรับมือกับเทคโนโลยีและการเปลี่ยนแปลงอย่างรวดเร็วที่เพิ่มมากขึ้นในโลกธุรกิจ เพื่อปกป้องพลเมืองและธุรกิจ รัฐบาลในหลายๆประเทศได้มีการทำงานร่วมกันกับองค์กรระหว่างประเทศและภาคอุตสาหกรรมในการกำหนดนโยบายและมาตรฐานเรื่องความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องกัน ซึ่งเป็นพื้นฐานและโครงสร้างที่สำคัญในการบริหารจัดการความเสี่ยงที่อาจเกิดขึ้นจากการใช้ disruptive technology
ตัวอย่างเช่น สถาบันการเงินมีการใช้ประโยชน์จากข้อมูลมาเสริมสร้างมูลค่าเพิ่มและต่อยอดการให้บริการทางธุรกิจเพิ่มมากขึ้น ซึ่งเป็นผลมาจากการปรับตัวเข้าสู่โลกดิจิทัล ดังนั้นจึงเป็นเรื่องสำคัญที่องค์กรต้องประเมิน Cybersecurity Maturity ของตนแองเพื่อรู้ศักยภาพและเพิ่มขีดความสามารถในการป้องกัน รับมือและตอบสนองต่อภัยคุกคามไซเบอร์ของตนเอง
Cybersecurity Maturity Framework เป็นกรอบการปฏิบัติที่เป็นที่ยอมรับในระดับสากล เพื่อให้องค์กรต่างๆสามารถนำไปใช้เป็นแนวทางในการประเมินศักยภาพด้านความมั่นคงปลอดภัยไซเบอร์ และเป็นเครื่องมือในการบริหารจัดการความเสี่ยงด้านไซเบอร์ อย่างไรก็ตามการบริหารจัดการความเสี่ยงด้านไซเบอร์จะขึ้นอยู่กับสภาวะแวดล้อมด้านเทคโนโลยีสารสนเทศของแต่ละองค์กร
ในปัจจุบันมี Cybersecurity framework ที่องค์กรต่างๆสามารถนำไปใช้เป็นแนวทางในการประเมินศักยภาพของตนเองหลายรูปแบบ อาทิ National Institute of Standards and Technology (NIST)- Cybersecurity Framework เป็นกรอบการปฏิบัติที่ยึดมาตรฐาน แนวทาง และข้อปฏิบัติที่มีอยู่เดิมสำหรับหน่วยงานและองค์กรที่มีความสำคัญและจำเป็นต่อโครงสร้างพื้นฐานของประเทศ เพื่อบริหารจัดการและบรรเทาความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ให้ได้ดียิ่งขึ้น นอกจากนั้นยังถูกออกแบบมาให้บริหารจัดการความเสี่ยงด้านการสื่อสารกับผู้ที่มีส่วนได้ส่วนเสียทั้งภายในและภายนอกองค์กร
ส่วนการประเมินแบบ Federal Financial Institutions Examination Council (FFIEC)- Cybersecurity Assessment Tool แบบประเมินนี้เป็นเครื่องมือ เพื่อระบุความเสี่ยงสืบเนื่อง (Inherent risk) และการเตรียมความพร้อมเรื่องความมั่นคงปลอดภัยไซเบอร์สำหรับสถาบันทางการเงิน เครื่องมือนี้เป็นการพัฒนาร่วมกันระหว่าง FFIEC กับ NIST Cybersecurity Framework โดย The Financial Service Sector Coordinating Council (FSSCC) ได้ร่วมมือกับ Financial Services Information Sharing and Analysis Centre (FS-ISAC) เพื่อพัฒนาแบบประเมินในรูปแบบอัตโนมัติ (automated assessment tool)
นอกจากนี้ยังมีด้าน Information Security Forum (ISF)- Maturity Model โดยโมเดลนี้จะนำข้อมูลปัจจุบันขององค์กร วัตถุประสงค์ทางธุรกิจขององค์กรมากำหนดเป้าหมายของ Maturity เพื่อพัฒนาแผนงานที่สามารถนำไปปฏิบัติได้จริงและสามารถบรรลุเป้าหมายดังกล่าว และ Hong Kong Monetary Authority- Cyber Resilience Assessment Framework (C-RAF) ซึ่งเป็นกรอบการประเมินผลสำหรับ HKMA Authorized Institutions เพื่อประเมินความเสี่ยงสืบเนื่องและระดับ Maturity ของมาตรการการรักษาความมั่นคงปลอดภัยไซเบอร์ต่อ “หลักการการควบคุม- control principle” ที่ได้กำหนดไว้ใน C-RAF ในกระบวนการนี้ Authorized Institutions จะสามารถเข้าใจ ประเมิน เสริมสร้างพัฒนาและปรับปรุง cyber resilience อย่างต่อเนื่อง
Framework และ model เหล่านี้มีสาระสำคัญร่วมกันคือเพื่อสร้างขีดความสามารถในการลดความเสี่ยงทางด้านความมั่นคงปลอดภัยไซเบอร์ ในขณะเดียวกันก็สร้างสมดุลที่ธุรกิจต้องการในการสร้างผลกำไร โดยการนำแนวทางและมาตรการที่เป็นรูปธรรมไปประยุกต์ใช้งาน
การยอมรับความเสี่ยง การลงทุนทรัพยากรด้านนวัตกรรมและความปลอดภัย การพัฒนาผลิตภัณฑ์หรือบริการใหม่ๆ ต้องมีความเข้าใจในการดำเนินธุรกิจและใช้ประโยชน์จากเทคโนโลยี ในองค์กรสมัยใหม่ ที่มีการใช้งานโครงสร้างพื้นฐานและงานบริการด้านเทคโนโลยีสารสนเทศจากผู้ให้บริการภายนอก ดังนั้นการสร้างความน่าเชื่อด้านดิจิทัลให้กับลูกค้า การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ และความมั่นคงปลอดภัยไซเบอร์จึงเป็นหัวใจหลักในการส่งมอบคุณค่าของบริการให้ลูกค้า องค์กรควรที่จะประเมินด้านความมั่นคงปลอดภัยไซเบอร์ของตนเองอย่างต่อเนื่อง เพื่อรักษาระดับความเสี่ยงด้านดิจิทัลให้อยู่ในระดับที่ยอมรับได้
