การโจมตีทางไซเบอร์ เปลี่ยนวิกฤตเป็นโอกาส

การโจมตีทางไซเบอร์ เปลี่ยนวิกฤตเป็นโอกาส

การโจมตีทางไซเบอร์หรือ Cyber attack เป็นประเด็นความท้าทายหรือภัยคุกคามที่ติดห้าอันดับแรกเสมอ ในเรื่องของปัจจัยที่ส่งผลกระทบต่อองค์กร

           ในปัจจุบัน ไม่ว่าจะเป็นการจัดอันดับหรือสำรวจขององค์กรระดับโลกใดก็ตาม เกี่ยวกับเรื่องของปัจจัยที่ส่งผลกระทบต่อองค์กร เรื่องของการโจมตีทางไซเบอร์หรือ Cyber attack มักจะขึ้นมาเป็นประเด็นความท้าทายหรือภัยคุกคามที่ติดห้าอันดับแรกเสมอ ขณะเดียวกันก็มีข่าวออกมาอย่างต่อเนื่องเป็นรายสัปดาห์ถึงการที่องค์กรต่างๆ ทั้งหน่วยงานรัฐและเอกชน ต้องตกเป็นเหยื่อของการโจมตีทางไซเบอร์ ทำให้ต้องสูญเสียเงิน ข้อมูล ชื่อเสียงและความน่าเชื่อถือขององค์กรไปอย่างน่าเสียดาย

        ผู้บริหารหลายท่านอาจจะมองเรื่องการโจมตีทางไซเบอร์เป็นสิ่งที่อาจจะไกลตัว เป็นความรับผิดชอบของหน่วยงานไอที และเป็นเรื่องในเชิงของการป้องกันและความเสี่ยงมากกว่าเป็นเรื่องในระดับกลยุทธ์ ทำให้ถึงแม้ผู้บริหารจะมีความตระหนัก แต่ในทางปฏิบัติก็ไม่ได้เตรียมพร้อมรวมถึงใช้ประโยชน์จากเรื่องนี้ได้ดีเท่าที่ควร

        ล่าสุดมีงานวิจัยที่ตีพิมพ์ลงใน Sloan Management Review ชื่อ Make Cybersecurity a Strategic Asset ซึ่งผู้เขียนได้ทำการศึกษาและถอดบทเรียนจากบริษัทที่ประสบกับการโจมตีทางไซเบอร์จริงๆ และได้ถอดบทเรียนมานำเสนอในมุมมองที่แตกต่าง นั้นคือ แทนที่จะมองเรื่องของความปลอดภัยทางไซเบอร์ หรือ  Cybersecurity เป็นเรื่องของระดับปฏิบัติการ (ที่มักจะมอบเป็นความรับผิดชอบของฝ่ายไอที) ก็ให้มองว่าเป็นประเด็นในระดับกลยุทธ์ขององค์กร อีกทั้งแทนที่จะมองเป็นเรื่องของการลงทุน ค่าใช้จ่ายที่ต้องสูญเสีย ก็ให้มองเป็นโอกาสในการพัฒนาและปรับปรุงองค์กรแทน

        งานวิจัยดังกล่าวพบว่าผู้บริหารที่มีประสบการณ์การถูกโจมตีทางไซเบอร์นั้นจะเปลี่ยนมุมมองในเรื่องของความปลอดภัยทางไซเบอร์ไปทันที โดยได้ยอมรับเลยว่าความผิดพลาดที่สำคัญของทีมบริหารก็คือในอดีตจะมองเรื่องดังกล่าวเป็นเรื่องในระดับปฏิบัติการ (Operation) แต่ในปัจจุบันเรื่องของความปลอดภัยทางไซเบอร์ได้ถูกยกระดับให้กลายเป็นประเด็นในระดับกลยุทธ์ที่มีความสำคัญ เนื่องจากเมื่อถูกโจมตีจริงๆ ความเสียหายจะไม่ได้เกิดขึ้นกับเพียงหน่วยงานไอที แต่จะเป็นความเสียหายต่อชื่อเสียงและ และการดำเนินงานของทั้งองค์กร

        การถูกโจมตีทางไซเบอร์ไม่ใช่สิ่งที่จะป้องกันไม่ให้เกิดได้ แต่เป็นสิ่งที่สามารถเตรียมพร้อมที่จะรับมือได้ การเตรียมพร้อมที่จะรับมือการโจมตีทางไซเบอร์นั้น จะต้องเริ่มต้นจากการเปลี่ยน Mindset ของผู้บริหารจากเรื่องระดับปฏิบัติการเป็นเรื่องที่มีความสำคัญเชิงกลยุทธ์ และแทนที่จะมองเรื่องของความปลอดภัยทางไซเบอร์เป็นสิ่งที่ต้องทำเพื่อตอบสนองภัยคุกคามก็กลายเป็นสิ่งที่ทำเพื่อสร้างโอกาสทางธุรกิจใหม่ๆ ได้

        การเปลี่ยนมุมมองจะสำเร็จได้นั้น กรรมการและผู้บริหาระดับสูงจะต้องตระหนักและเห็นถึงความสำคัญของการสร้างความปลอดภัยทางไซเบอร์และมองว่าเป็นประเด็นในระดับกลยุทธ์ที่ควรจะมีการให้ความสำคัญพอๆ กับประเด็นในระดับกลยุทธ์ด้านอื่นๆ

        สำหรับการมองให้เป็นโอกาสนั้นก็สามารถถอดบทเรียนได้จากบริษัทที่เคยโดนโจมตีทางไซเบอร์มาก่อนแล้ว และจากงานวิจัยที่ได้มีการสำรวจบริษัทที่เคยถูกโจมตีทางไซเบอร์ก็ทำให้พบว่า สิ่งสำคัญที่บริษัทควรจะทบทวนก่อนคือตัวกระบวนการในการทำงานหลักที่มีความสำคัญต่อธุรกิจ เนื่องจากกระบวนการเหล่านี้มักจะเป็นจุดที่เมื่อถูกโจมตีทางไซเบอร์จะส่งผลเสียหายต่อองค์กรมากที่สุด

        การทบทวนกระบวนการที่สำคัญ รวมถึงความสัมพันธ์ระหว่างกระบวนการที่สำคัญต่างๆ นั้น เป็นโอกาสให้องค์กรได้พิจารณาว่าในกระบวนการต่างๆ นั้นโครงสร้างและระบบการสนับสนุนด้านไอทียังมีช่องว่างหรือจุดอ่อนในส่วนใดบ้าง จะต้องพัฒนาหรือปรับปรุงในด้านใดบ้าง ทั้งเพื่อการทำงานที่ดีขึ้นและการลดโอกาสหรือความเสียหายที่จะเกิดขึ้นเมื่อถูกโจมตีทางไซเบอร์

        สรุปง่ายๆ ก็คือการทำให้เรื่องความปลอดภัยทางไซเบอร์เป็นโอกาสนั้น ก็คือเป็นโอกาสในการทบทวนและปรับปรุงกระบวนการหลักขององค์กร รวมทั้งการปรับปรุงโครงสร้างและระบบไอทีต่างๆ ที่สนับสนุนและเกี่ยวข้อง ซึ่งการปรับปรุงดังกล่าวจะเกิดขึ้นได้ ก็จะต้องเริ่มจากการมองเรื่องของความปลอดภัยทางไซเบอร์เป็นเรื่องระดับกลยุทธ์ที่สำคัญ ไม่ใช่เพียงเรื่องในระดับปฏิบัติการ