นยุคที่ทุกอย่างขับเคลื่อนด้วยข้อมูล เรามักได้ยินข่าวองค์กรยักษ์ใหญ่ถูกเจาะระบบอยู่บ่อยครั้ง ทั้งที่องค์กรเหล่านั้นทุ่มงบประมาณมหาศาลไปกับระบบรักษาความปลอดภัยไซเบอร์ ความย้อนแย้งนี้กำลังตะโกนบอกเราว่า “การจ่ายเงินมากขึ้น ไม่ได้หมายความว่าจะปลอดภัยขึ้นเสมอไป”
รัฐบาลสหรัฐฯ เตือนธุรกิจต่าง ๆ ให้รักษาความปลอดภัยบัญชีองค์กรภายในระบบอินจูนระบบอินจูน (Intune) ซึ่งเป็นเครื่องมือบริหารจัดการยอดนิยมของบริษัทไมโครซอฟท์ คอร์ป (Microsoft Corp) หลังเกิดเหตุโจมตีทางไซเบอร์ต่อบริษัทสไตรเกอร์ คอร์ป (Stryker Corp) เมื่อสัปดาห์ที่แล้ว
ผู้บริหารด้านความปลอดภัยไซเบอร์มีความกังวลมากขึ้นเกี่ยวกับการใช้ AI ในองค์กร โดยเฉพาะโมเดลภาษาขนาดใหญ่ (Large Language Models: LLMs) และเครื่องมือเพิ่มประสิทธิภาพการทำงานที่ใช้ AI ซึ่งอาจขยาย “พื้นที่โจมตี” (Attack Surface) ให้กว้างขึ้น ทำให้ทั้งผู้โจมตีจากภายนอกและบุคคลภายในองค์กรสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้ได้ง่ายขึ้น
ในโลกดิจิทัลที่ภัยคุกคามทางไซเบอร์ทวีความรุนแรงและซับซ้อนยิ่งขึ้น ข้อมูลจาก การ์ทเนอร์ ชี้ให้เห็นถึงความท้าทายสำคัญที่องค์กรกำลังเผชิญ เมื่อพนักงานถึง 93% รับทราบถึงพฤติกรรมของตนเองที่อาจนำมาซึ่งความเสี่ยง และน่าตกใจยิ่งกว่านั้นคือ 74% ยอมที่จะละเมิดนโยบายความปลอดภัยเพื่อบรรลุเป้าหมายทางธุรกิจ ซึ่งสะท้อนให้เห็นว่าแนวทางการสร้างความตระหนักรู้แบบเดิมๆ อาจไม่เพียงพอต่อการเปลี่ยนแปลงพฤติกรรมเสี่ยงเหล่านั้นอย่างยั่งยืน Leigh McMullen รองประธาน นักวิเคราะห์ และ Gartner Fellow ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ซึ่งได้นำเสนอแนวคิดอันน่าสนใจภายใต้หัวข้อ “ปลุกสำนึกพนักงานให้เห็นความสำคัญของความเสี่ยงไซเบอร์มากขึ้น” เพื่อเป็นแนวทางให้องค์กรต่างๆ ปรับกลยุทธ์ในการเสริมสร้างวัฒนธรรมความปลอดภัยที่เข้มแข็งและยั่งยืน แม้ว่าองค์กรส่วนใหญ่จะทุ่มเททรัพยากรไปกับการสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์และการลดความเสี่ยง แต่ผลลัพธ์ที่ได้กลับไม่เป็นที่น่าพอใจนัก สาเหตุสำคัญไม่ได้อยู่ที่การขาดความเข้าใจในหลักการพื้นฐาน แต่เป็นเพราะพนักงานส่วนใหญ่มองข้ามผลกระทบที่อาจเกิดขึ้นกับตนเองและองค์กร พวกเขาคุ้นชินกับการหาทางลัดในการทำงาน ซึ่งรวมถึงการละเลยมาตรการความปลอดภัยโดยไม่ได้ตระหนักถึงผลลัพธ์ที่ตามมาอย่างแท้จริง เพื่อแก้ไขปัญหานี้ องค์กรจำเป็นต้องปรับเปลี่ยนมุมมองและสร้างการเปลี่ยนแปลงทางวัฒนธรรมอย่างจริงจัง ผู้บริหารด้านความปลอดภัยต้องก้าวข้ามกรอบของการสื่อสารเชิงเทคนิค ไปสู่การสร้างความรู้สึกร่วมและความเข้าใจในระดับบุคคล เพื่อให้พนักงานตระหนักถึงความเสี่ยงทางไซเบอร์ในฐานะที่เป็นเรื่องใกล้ตัวและมีผลกระทบที่จับต้องได้ นอกเหนือจาก การบังคับใช้บทลงโทษ องค์กรควรให้ความสำคัญกับการสร้างกลไกเชิงวัฒนธรรม ที่อาศัยแรงกดดันจากกลุ่มเพื่อนร่วมงานและการปลูกฝังค่านิยมที่ถูกต้อง ตัวอย่างที่น่าสนใจในอดีตคือแคมเปญ “ปากพล่อย พลอยล่มจม” ในช่วงสงครามโลกครั้งที่สองของสหรัฐอเมริกา ซึ่งสามารถสร้างความตระหนักถึงผลกระทบของการเปิดเผยข้อมูลแม้เพียงเล็กน้อยได้อย่างมีประสิทธิภาพ โดยเชื่อมโยงการกระทำของแต่ละบุคคลเข้ากับผลลัพธ์ที่ร้ายแรงต่อส่วนรวม ในบริบทขององค์กรปัจจุบัน คำถามที่น่าพิจารณาคือ เราจะออกแบบโปรแกรมด้านพฤติกรรมและวัฒนธรรมความปลอดภัยอย่างไรให้มีประสิทธิภาพเทียบเท่า หัวใจสำคัญคือการทำให้พนักงานตระหนักว่าการละเมิดนโยบายความปลอดภัยไม่ใช่เพียงแค่การฝ่าฝืนกฎระเบียบ แต่เป็นการกระทำที่ “ไม่ภักดีต่อองค์กร”…
รายงานประจำปีครั้งนี้ยังได้เปิดเผยถึงปัญหาการรั่วไหลของข้อมูลส่วนบุคคลโดยตรวจสอบผ่านฟีเจอร์ “ID Security” ซึ่งถูกพัฒนาขึ้นเพื่อช่วยให้ผู้ใช้สามารถตรวจสอบความปลอดภัยของข้อมูล ส่วนบุคคลของตนเองได้ ในปีที่ผ่านมา ฟีเจอร์ ID Security กลายเป็นตัวช่วยสำคัญที่ช่วยเพิ่ม ความระมัดระวังความปลอดภัยของข้อมูลส่วนบุคคล
ปัจจุบันหลายๆ องค์กร ได้พึ่งพาการใช้บริการบุคคลหรือหน่วยงานภายนอก (เช่น คู่ค้าทางธุรกิจ ซัพพลายเออร์ ผู้ให้บริการด้าน IT และอื่นๆ) เข้ามาช่วยในงานด้านต่างๆ มากขึ้นอย่างมีนัยสำคัญ เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจและเทคโนโลยีสารสนเทศ รวมทั้งเพื่อเพิ่มขีดความสามารถในการแข่งขัน แต่การใช้บริการบุคคลหรือหน่วยงานภายนอกอาจส่งผลให้องค์กรต้องเผชิญความเสี่ยงในหลายด้านได้เช่นกัน ยกตัวอย่างเช่น การใช้บริการ Cloud Computing เพื่อใช้ระบบงาน ประมวลผล และเก็บข้อมูลส่วนบุคคลของลูกค้าหรือข้อมูลที่มีความอ่อนไหว อาจทำให้องค์กรต้องเผชิญกับความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ ความเสี่ยงด้านการปฏิบัติตามกฎหมายหรือข้อบังคับของทางการ รวมไปถึงอีกหนึ่งความเสี่ยงซึ่งมีแนวโน้มที่จะขยายตัวเพิ่มสูงขึ้น นั่นคือความเสี่ยงด้านไซเบอร์ ที่องค์กรอาจถูกโจมตีและนำไปสู่การรั่วไหลของข้อมูลลูกค้า ปัจจัยที่ทำให้องค์กรอาจต้องเผชิญความเสี่ยงด้านต่างๆ อาจมาจากหลายสาเหตุ อาทิ พนักงานขาดความรู้ความเข้าใจอย่างเพียงพอ (People) ไม่มีกรอบหรือนโยบายการบริหารความเสี่ยงฯ ที่ชัดเจน (Framework & Policy) ไม่มีระบบหรือเครื่องมือที่สนับสนุนการทำงานอย่างมีประสิทธิภาพ (System/Tool) รวมทั้งกระบวนการที่สนับสนุนการบริหารความเสี่ยงฯ ที่ยังไม่เหมาะสม (Process) ซึ่งกระบวนการในที่นี้ เริ่มตั้งแต่การคัดเลือกบุคคลหรือหน่วยงานภายนอก การบริหารจัดการเรื่องสัญญาที่เหมาะสม การควบคุมการเข้าถึงและความปลอดภัยของระบบหรือข้อมูลลูกค้า การประเมินผลการปฎิบัติงานและความเสี่ยงฯ อย่างสม่ำเสมอ รวมไปถึง เรื่องที่ควรพิจารณาในกรณีที่มีการยกเลิกหรือสิ้นสุดสัญญา …
เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว
