ขณะที่ความเสี่ยงทางไซเบอร์กำลังกลายเป็นประเด็นเชิงการดำเนินธุรกิจ บทบาทและหน้าที่ของผู้บริหารด้านความปลอดภัยสารสนเทศ (Chief Information Security Officer) หรือ CISO ขององค์กรก็กำลังเปลี่ยนแปลงไปเช่นกัน โดยที่ CISO ยุคใหม่นี้มิได้เป็นเพียงหัวหน้าแผนก คอยรับผิดชอบดูแลเรื่องการติดตั้งและบริหารจัดการระบบค่าความปลอดภัย เช่น ต้องคอยดูว่าคอมพิวเตอร์ทุกเครื่องในบริษัทต้องลงซอฟต์แวร์เอนด์พอยต์ซิเคียวริตี้เวอร์ชั่นล่าสุดเรียบร้อยแล้ว หรือคอยเช็คให้แน่ใจว่าพอร์ตหลักสำคัญๆ ยังปลอดภัยดีอยู่ไม่ล่อแหลมต่อการต่อเชื่อมอินเทอร์เน็ต เป็นต้น บทบาทเหล่านี้คงไม่เหมาะกับ CISO อีกต่อไปแล้ว ที่จะต้องมุ่งมั่นอยู่แค่เพียงทำให้องค์กรของตนปลอดภัยที่สุดในโลก เพราะจะเป็นการสกัดกั้นความก้าวหน้าและการสร้างผลกำไรให้แก่องค์กร ผู้บริหารระดับ C-เลเวล จึงมีบทบาทหน้าที่ที่ประกอบขึ้นด้วยสองสิ่งที่สำคัญ ดังนี้ อย่างแรก สนับสนุนให้องค์กรสามารถไปถึงเป้าหมายทางธุรกิจให้ได้ เช่น เปิดตัวผลิตภัณฑ์ใหม่ที่พัฒนาดีขึ้นกว่าเดิมได้รวดเร็วแซงหน้าคู่แข่ง ผู้ถือหุ้นเห็นผลงานแล้วเชื่อถือ ชื่นใจ และเพิ่มผลประกอบการ อย่างที่สอง ต้องเป็นมืออาชีพด้านความมั่นคงปลอดภัยไซเบอร์ และลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ที่คุกคามต่อธุรกิจของบริษัทได้ การสร้างสมดุลระหว่างสองสิ่งนี้จะต้องมีความเชี่ยวชาญด้านความปลอดภัยดีเยี่ยม และยังต้องตามทันเทคโนโลยีใหม่อยู่เสมอ พร้อมด้วยทักษะด้านอารมณ์ ซึ่งอาจจะมิได้มีติดตัวมาโดยธรรมชาติสำหรับคนที่เติบโตในสายงานทางแผนกไอที

นายแม็กซิม โฟรลอฟ รองประธานฝ่ายขายระดับโลก (Global Sales) บริษัท แคสเปอร์สกี้ แลป จึงขอแนะนำทักษะสำคัญ 4 ประการที่จะช่วยให้ CISO ในยุคปัจจุบันประสบความสำเร็จในบทบาทหน้าที่รับผิดชอบได้เป็นอย่างดี
1. ต้องมีความรู้เชิงธุรกิจ
แต่ก่อนตำแหน่ง CISO รับผิดชอบการพัฒนาแผนการป้องกันตัวโดยอิงจากสภาพการณ์ทั่วไปทางไอทีของบริษัท กลยุทธ์นี้ไม่เพียงพอแล้วสำหรับยุคนี้ และวิธีการทุกวันนี้จำเป็นที่จะต้องสอดคล้องไปได้ดีกับวิสัยทัศน์ทางธุรกิจ ดังที่จะเห็นจากประกาศรับสมัคร CISO จะต้องมีคุณสมบัตินอกเหนือจากความรู้ด้านระบบความปลอดภัยไอที และใบรับรองประกาศนียบัตรมาอีกยาว แต่ต้องพ่วงความเชี่ยวชาญความเข้าใจเชิงธุรกิจมากด้วย
ท้ายที่สุด CISO ก็จำเป็นต้องประเมินความเสี่ยงและนำเสนอกลยุทธ์แผนงานที่ให้ความปลอดภัยที่สุดที่จะไม่เป็นอุปสรรคต่อความก้าวหน้าในการดำเนินธุรกิจ หากพนักงานจำเป็นที่จะต้องเรียกใช้ทรัพยากรของคอร์ปอเรทผ่านทางอุปกรณ์สื่อสารของพวกเขา ก็เป็นเรื่องที่ CISO จะต้องหาทางวางแผนงานนโยบาย BYOD ติดตั้งรองรับลงบนระบบเครือข่ายขององค์กร
ผู้ที่อยู่ในตำแหน่ง CISO กล่าวว่า วิธีที่ดีที่สุด ให้ผลดีที่สุด คือ การแนะผู้อื่นเสมือนเป็นผู้จัดการความเสี่ยง (risk manager) ไปพร้อมๆ กับการให้คำแนะนำความช่วยเหลือในการดำเนินงาน “ก่อนนำเทคโนโลยีใหม่เข้ามาใช้ เราจะมีการประชุมกับแผนกที่จะเป็นคนใช้งานให้ชัดเจน เพื่อให้แน่ใจว่าการเปลี่ยนแปลงที่เกิดขึ้นนี้ จะไม่สร้างความเสี่ยงต่อระบบความปลอดภัยของบริษัท ดังนั้น เราจึงจะเริ่มเปลี่ยนแปลงในส่วนที่จำเป็น เพื่อให้สอดคล้องกันกับระบบเครือข่ายของเราอย่างลงตัว”
2. ทักษะการสื่อสารและการนำเสนอ
การอยู่ในระดับผู้บริหารนั้นย่อมต้องรับมือและทำงานร่วมกับผู้บริหารระดับ C รวมทั้งคณะกรรมการผู้อำนวยการทั้งหลาย ซึ่งจะมีน้อยคนมากที่มีความรู้ทางด้านระบบความมั่นคงปลอดภัย ซึ่งจัดเป็นความท้าทายในการปฏิบัติงานประการหนึ่งทีเดียว และ CISO ก็จำจะต้องคิดหาวิธีการที่จะสื่อสารให้คณะกรรมการเหล่านี้ได้เข้าใจถึงความเสี่ยงที่ต้องรับมือไม่สามารถเพิกเฉยได้ โดยละการใช้ศัพท์เทคนิคต่างๆ ที่คุ้นเคย
ถึงแม้ว่าความสามารถในการนำเสนอแนวคิดซับซ้อนให้ฟังเข้าใจง่ายนั้นจะเป็นคำที่เราได้ยินกันจนเบื่อ แต่ทักษะการแปลภาษาที่ใช้กันในแวดวงระบบความมั่นคงปลอดภัยให้เป็นภาษาธุรกิจนั้นจะเป็นเรื่องที่ช่วยเติมเต็มช่องว่างระหว่างสองโลกนี้ได้อย่างมาก และยังช่วยได้ในยามจำเป็นที่สุด คือ เมื่อตอนที่ CISO ต้องนำเสนองบประมาณความปลอดภัยไอทีนั่นเอง เพราะว่าเรื่องของความปลอดภัยเป็นเพียงส่วนหนึ่งของงบไอทีทั้งหมด และเงินมักจะถูกเทไปให้กับโครงการไอทีที่เห็นได้ชัดเจนกว่าในการสร้างผลกำไรและคืนทุนได้เร็วกว่า ทักษะการสื่อสาร เช่น ความสามารถในการปรับข้อมูลให้เข้ากับผู้ฟังที่ไม่ได้เชี่ยวชาญหรือคุ้นเคยกับเทคโนโลยีต่างๆ และยังต้องสามารถตอบโต้อธิบายให้เกิดความเชื่อถือ จนเห็นคล้อยตามได้ว่าประโยชน์ที่จะได้รับจากการลงทุนด้านระบบความมั่นคงปลอดภัยนี้มากกว่าค่าใช้จ่ายที่จะลงไปแน่นอน
3. ทักษะในการจัดการรับมือกับวิกฤตการณ์ที่เป็นภัยต่อความปลอดภัย
จากข้อมูลที่ปรากฏในรายงานการสำรวจโดยแคสเปอร์สกี้ แลป เมื่อเร็วๆ นี้ ชี้ว่า CISO จำนวน 86% คิดว่าการที่ระบบความมั่นคงปลอดภัยไซเบอร์ถูกล่วงละเมิดนั้นจะต้องเกิดขึ้นอย่างแน่นอนไม่ช้าก็เร็ว ย่อมหมายความว่าบริษัทองค์กรหน่วยงานธุรกิจต่างๆ ต้องเตรียมพร้อมรับมือเรื่องเหล่านี้ เช่นเดียวกับที่ทุกออฟฟิศมีแผนการรองรับหากเกิดอัคคีภัย องค์กรหรือบริษัทธุรกิจควรที่จะต้องวางแผนนโยบายวิธีการจัดการกรณีเกิดการคุกคามล่วงละเมิดขึ้นกับระบบเครือข่ายของบริษัท เพราะความตื่นตระหนกและความวุ่นวายไร้ระเบียบวิธีการที่เป็นระบบรังแต่จะทำให้สถานการณ์ย่ำแย่ลง
แผนปฏิบัติการ (action plan) นั้นมีมากกว่าเพียงแค่เปลี่ยนพาสเวิร์ดหรือกู้ระบบ ในการกำจัดหยุดยั้งการจู่โจมให้ได้อย่างรวดเร็วนั้น เป็นเรื่องสำคัญที่จะต้องระบุตัวผู้รับผิดชอบขั้นตอนต่างๆ ให้ชัดเจนลงไป รวมทั้งผู้ที่ต้องรับการแจ้งเหตุประจำแต่ละแผนก ไม่ว่าจะเป็น แผนกกฎหมาย สื่อสารองค์กร หรือทีมลูกค้าสัมพันธ์ก็ตาม ซึ่งพวกเขาเหล่านี้ก็จะเข้ามามีส่วนร่วมในการแก้ไขปัญหาวิกฤตที่เกิดขึ้น หากมีการล่วงละเมิดข้อมูลระบบ เป็นเรื่องสำคัญที่ CISO จะต้องร่วมรับรู้ความเป็นไปทุกขั้นตอน และเป็นตัวเชื่อมโยงรายงานสถานการณ์ให้แก่ผู้ที่เกี่ยวข้องทุกฝ่าย ประสานข้อมูลไปยังทีมงานที่ดูแลรับผิดชอบด้านความปลอดภัยเพื่อให้ดำเนินการตามขั้นตอน แจ้งไปยังหน่วยงานต่าง พร้อมข้อปฏิบัติเพื่อบรรเทาสถานการณ์
4. การกำกับดูแลและความเป็นผู้นำในสถานการณ์
มี CISO จำนวนมากถึง 62% ที่เห็นด้วยว่าเรากำลังเผชิญภาวะขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ ผู้รู้ ผู้เชี่ยวชาญก็หาได้ยากขึ้นทุกที อย่างไรก็ตาม นี่เป็นเพียงปัญหาเล็ก เท่านั้น แต่ปัญหาใหญ่ที่เราต่างต้องเผชิญคือการเก็บรักษาดูแลพนักงานไว้ให้อยู่กับองค์กร การที่องค์กรไม่มีผู้เชี่ยวชาญด้านความปลอดภัยมาคอยดูแล หมายความว่าพนักงานได้รับข้อเสนอจากที่อื่นเมื่อตัดสินใจเปลี่ยนงาน ดังที่ CISO คนหนึ่งได้กล่าวดังนี้: “ผมเป็นผู้จัดการดูแลกลุ่มผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ที่มีพรสวรรค์ มากความสามารถ ซึ่งจัดได้ว่าเป็นเป้าหมายของบรรดาพวกสรรหาบุคลากรเลยทีเดียว” และการที่บริษัทไม่มีเจ้าหน้าที่ด้านนี้โดยตรง ทำให้งานด้านนี้ตกเป็นภาระรับผิดชอบของพนักงานในองค์กร ด้วยจำนวนขั้นตอนยิบย่อย ที่ต้องทำซ้ำๆ ก็เป็นงานที่น่าเบื่อ แถมเลี่ยงไม่ได้ พอๆ กับอาชญากรรมไซเบอร์เลย ใช่หรือไม่?
ในฐานะของ CISO พวกเขามีอิทธิพลต่อเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ ต้องปฏิบัติตัวให้เป็นผู้นำ ที่ได้รับความเชื่อถือ และยินดีปฏิบัติตาม เป็นผู้ที่ให้คำแนะนำหรือกฎระเบียบใดๆ แล้วได้รับการยอมรับ ให้การสนับสนุนจากลูกทีม และเป็นแรงบันดาลใจเชิงบวกให้แก่พนักงานทั่วไปในองค์กร แรงจูงใจมิใช่ผูกติดอยู่กับเงินพิเศษเท่านั้น แต่สามารถที่จะโยงไปกับสิทธิ์พิเศษในการเข้าไปส่วนหนึ่งในทีมที่มีอำนาจตัดสินใจ โอกาสในการเรียนรู้และพัฒนาตนเอง (เช่น การมีส่วนร่วมในการประชุมด้านความมั่นคงปลอดภัย เป็นต้น) หรือจะเป็นประกาศนียบัตร รางวัลตอบแทนจูงใจ มอบให้แก่การอุทิศตนของพนักงาน ซึ่งแต่ละคนก็จะมีเรื่องจูงใจที่แตกต่างกัน ดังนั้นการเป็น CISO ที่มีประสิทธิภาพ จำเป็นต้องรู้จักเลือก สิ่งจูงใจที่เหมาะสมที่สุด หรือแหล่งสร้างแรงกระตุ้นแรงจูงใจให้แก่ทุกคนในทีมได้ตรงใจที่สุด
เป็นที่ประจักษ์ชัดว่าบทบาทของ CISO กำลังแปรเปลี่ยนไป จำเป็นต้องมีส่วนผสมที่ลงตัวระหว่างทักษะด้านความรู้และด้านอารมณ์ มีคุณสมบัติที่ดีของผู้นำและด้านการบริหาร ที่ต้องเข้าใจในด้านไอที พร้อมด้วยความเชี่ยวชาญทางด้านธุรกิจ และที่สำคัญต้องมีความรู้เชี่ยวชาญในด้านความมั่นคงปลอดภัยไซเบอร์อีกด้วย
ขณะที่ทักษะทางเทคนิคัลเป็นรากฐานสำคัญของตำแหน่งหน้าที่ ก็จะมีปัจจัยอื่นๆ ที่เข้ามามีผลกระทบต่อทักษะทั้งสองด้านนี้ เช่น การเติบโตของทูลในแบบ Artificial Intelligence-powered ที่เข้ามาช่วยรับมือกับอาชญากรรมไซเบอร์ วึ่งมิได้หมายความว่าหุ่นยนต์จะเข้ามาแย่งงาน เพราะยังไงๆ ก็ขาดทักษะด้านอารมณ์ วันหนึ่งข้างหน้า เครื่องจักรมาชีนต่างๆ อาจจะมีความเชี่ยวชาญในการจัดการกับอาชญากรรมไซเบอร์ได้ดีกว่ามนุษย์ และปัญหาจุกจิกด้านเทคนิคได้ดีกว่า แต่ไม่ว่าจะอย่างไรก็ตาม CISO ยังจะต้องเป็นผู้บริหารที่มีทักษะด้านอารมณ์ เช่น บริหารเวลาและทีมงาน ประสานความเชี่ยวชาญทางธุรกิจ ซึ่งจะทำให้บทบาทหน้าที่นี้ยังเป็นตำแหน่งจำเป็นสำคัญในองค์กรธุรกิจในอนาคตอยู่ต่อไป
###