ความเร่งด่วนในการสร้างความมั่นคงปลอดภัยด้านไซเบอร์นั้นมีความจำเป็นอย่างยิ่งในทุกองค์กร ทั้งนี้เนื่องจากทรัพย์สินที่มีรูปแบบเป็นดิจิทัล รวมทั้งโครงสร้างพื้นฐานสำคัญด้านดิจิทัล (Critical Infrastructure) มีสภาวะที่เสี่ยงมากขึ้นในทุกขณะที่จะถูกโจมตี อย่างไรก็ตามองค์กรส่วนใหญ่ยังมีบุคลากรที่ไม่พร้อมในสภาวะความเสี่ยงดังกล่าว ไม่ว่าจะเป็นด้านความรู้ ระบบการฝึกอบรม และเครื่องมือที่จะสร้างให้เกิดประสิทธิภาพและสามารถป้องกันทรัพย์สินขององค์กรได้อย่างยั่งยืน
จากรายงานการถูกโจมตีจากองค์กรทั่วโลกมีระดับความรุนแรงและความถี่เพิ่มสูงขึ้นเป็นลำดับทุกปี และที่สำคัญในทุกองค์กรยังมีมุมมองว่าความรับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์เป็นหน้าที่ของฝ่ายเทคนิคด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ซึ่งในปัจจุบันจะเห็นได้ว่าผู้เชี่ยวชาญทางเทคนิค ICT เพียงฝ่ายเดียวนั้น ไม่สามารถปกป้ององค์กรจากความเสี่ยงที่จะถูกโจมตีทางไซเบอร์ได้อีกต่อไป
ดังนั้นความร่วมมือจากทุกฝ่ายในองค์กร รวมทั้งผู้บริหารระดับสูง ต้องให้ความสำคัญเป็นอันดับต้นๆและต้องลงมาให้ความร่วมมือกับผู้บริหารในทุกระดับขององค์กร โดยองค์กรจะต้องมีการบูรณาการตั้งแต่ระดับนโยบาย เชื่อมโยงไปสู่การปฏิบัติรวมทั้งต้องวางแผนทางด้านเทคโนโลยีให้สอดคล้องกับความเสี่ยงขององค์กร รวมทั้งเชื่อมโยงกับบุคลากรอย่างมีความประสานสอดคล้อง
ความสำคัญในประเด็นต่างๆ ที่จะสร้างความมั่นคงปลอดภัยไซเบอร์ให้แก่องค์กรก็คือ องค์กรจะต้องพัฒนาบุคลากรไม่ว่าจะเป็นในด้านการจัดการระบบสารสนเทศ (Managing information systems) การจ้างบุคลากรที่มีความชำนาญด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity talent) การวางนโยบายขององค์กร (Establishing corporate policy) และการสร้างวัฒนธรรมองค์กร (Building corporate culture) ซึ่งการดำเนินการดังกล่าวจะทำให้องค์กรสามารถที่จะระบุ (identify) ตรวจจับ (detect) ตอบสนอง (respond) และฟื้นฟู (recover) จากการถูกโจมตีทางไซเบอร์ (Cyber attacks) ได้อย่างมีประสิทธิภาพ
ความท้าทายขององค์กรที่จะพัฒนาบุคลากรให้สอดคล้องกับการเปลี่ยนแปลงอย่างรวดเร็วของไซเบอร์สเปซนั้นยังเป็นประเด็นที่จะต้องให้ความสำคัญอย่างเร่งด่วน เนื่องจากองค์กรทั่วๆ ไป ยังขาดความชัดเจนและความสอดคล้องกับความเสี่ยง เช่น บทบาทของบุคลากรในแต่ละตำแหน่งไม่มีความชัดเจน ไม่ว่าจะเป็นขอบเขตความรับผิดชอบ และการระบุความเชี่ยวชาญของแต่ละตำแหน่งที่ขาดความชัดเจนและไม่สอดคล้องกับสิ่งแวดล้อมที่เปลี่ยนแปลงไป
คณะผู้บริหารด้านความมั่นคงปลอดภัยไซเบอร์ (Chief Information Security Officer (CISO)) ที่อาจประกอบด้วย Chief Information Officer (CIO), Chief Security Officer (CSO), Chief Risk Officer (CRO) และตำแหน่งอื่นๆ ที่เกี่ยวข้อง ที่ยังขาดการวางแผนในด้านเครื่องมือที่ครบถ้วนและมีประสิทธิภาพ ซึ่งการที่องค์กรขาดการจัดสรรทรัพยากรอย่างมีประสิทธิภาพเป็นเหตุให้ขาดความชัดเจนและความสอดคล้อง จะยิ่งทำให้ผู้บริหารด้านความมั่นคงปลอดภัยไซเบอร์มีความยากลำบากในการวางแผนงบประมาณ ซึ่งอาจก่อให้เกิดการใช้งบประมาณเกินความจำเป็นได้ในบางส่วน
ความไม่เข้าใจของผู้บริหารที่ไม่มีความเกี่ยวข้องทางเทคนิค (Non-technical leaders) ที่ขาดการฝึกอบรมในการบูรณาการการบริหารความเสี่ยงที่มีความซับซ้อน และเกี่ยวข้องกับส่วนต่างๆ ขององค์กรในวงกว้าง อาจเป็นสาเหตุให้องค์กรวางแผนผิดพลาดในการจัดการทรัพยากรในภาพรวมได้ ดังนั้นการวางแผนทรัพยากรบุคคล จะต้องมีภาพที่ชัดเจนในการเชื่อมโยงระหว่างการวางแผนบุคลากร (workforce planning) และการลำดับความสำคัญของความมั่นคงปลอดภัยขององค์กร
การสร้างกรอบความคิดในการวางแผนทรัพยากรบุคคลในด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity workforce) จะต้องสอดคล้องกับกลยุทธ์หลักขององค์กร โดยหลักการพื้นฐานการควบคุมความมั่นคงปลอดภัยไซเบอร์ (Critical security controls) ในขั้นตอนแรกคือ การที่จะต้องทำให้องค์กรชี้ชัดในด้านการจัดลำดับความสำคัญในการปฏิบัติ (Prioritized action) โดยจะต้องมีการกำหนดวิธีการในการป้องกันการโจมตีทางไซเบอร์ ซึ่งจะต้องอ้างอิงกับมาตรฐาน ที่อาจมีการให้คำแนะนำจากแผนยุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์
องค์กรทุกขนาด ทุกภาคส่วน ไม่ว่าจะเป็นภาคเอกชน และภาครัฐ มีความจำเป็นที่จะต้องปกป้องทรัพย์สิน ระบบ และโครงสร้างพื้นฐานด้านดิจิทัล โดยองค์กรจะต้องมียุทธศาสตร์และกลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ที่มีประสิทธิภาพ (Effective Cybersecurity Strategy) และจะต้องมีแผนบริหารทรัพยากรบุคคลที่ดี โดยขั้นตอนไปสู่ความสำเร็จจะต้องมีการออกแบบวงจรการขับเคลื่อนที่ยั่งยืนและเหมาะสม โดยเอกสาร Cybersecurity Workforce Handbook ของ Council on Cybersecurity, Department of Homeland security ของสหรัฐอเมริกา ได้เสนอแนะวงจรการบริหารทรัพยากรบุคคลด้านความมั่นคงปลอดภัยไซเบอร์ โดยแต่ละขั้นตอนประกอบไปด้วย การปฏิบัติขั้นพื้นฐานที่องค์กรกำหนดขึ้น และจะต้องสอดคล้องกับกระบวนการและกรอบความคิดทางยุทธศาสตร์ และกลยุทธ์ขององค์กร
Reference
http://pellcenter.org/wp-content/uploads/2015/05/Cybersecurity-Workforce-Handbook.pdf
นอกจากนี้สามารถดาวน์โหลดเอกสารได้ที่นี่ (ไฟล์ PDF )
พ.อ.ดร.เศรษฐพงค์ มะลิสุวรรณ
กรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.)
ประวัติ: http://www.xn--42cf0a8cxa3ai5ple.com/?p=165
18 ตุลาคม 2560