แคสเปอร์สกี้ แนะวิธีพิจารณางบประมาณความปลอดภัยไอทีสำหรับองค์กร

ข้อมูลของการ์ตเนอร์ชี้ว่างบการใช้จ่ายไปกับผลิตภัณฑ์และบริการด้านระบบความปลอดภัยข้อมูลขยายตัวขึ้นอย่างมากทั่วโลกในช่วงปีที่ผ่านมา จาก 114 พันล้านเหรียญสหรัฐ ในปี 2018 (เพิ่มขึ้น 12.4% จากปี 2017) ตามอัตราการเติบโตที่ได้คาดการณ์ไว้ที่ 124 พันล้านเหรียญสหรัฐ ในปี 2019 ผู้นำด้านความปลอดภัยไอทีในองค์กรเอ็นเตอร์ไพรซ์ต่างๆ นั้นต่างมีความคาดหวังเอาไว้สูง โดย 72% กล่าวว่างบประมาณจะเพิ่มขึ้นในปี 2020 เป็นที่น่าสนใจที่จะติดตามดูว่าจากการลงทุนที่เพิ่มขึ้นเช่นนี้กับระบบความปลอดภัยข้อมูล ผลจะออกมาเป็นเช่นไร จะก่อตัวเป็นรูปเป็นร่างเช่นไร

อเล็กซานเดอร์ มอยซีฟ ประธานเจ้าหน้าที่ฝ่ายธุรกิจ บริษัท แคสเปอร์สกี้ แนะนำว่า จากประสบการณ์ สามารถแบ่งการตัดสินใจสำหรับอนาคตออกได้เป็นสองทาง ไม่ว่าจะเป็นทางธุรกิจหรือส่วนบุคคล ประการแรก ฟังสัญชาติญาณและประสบการณ์ที่เคยพบมาก่อนในสถานการณ์เดียวหรือมองหาตัวเลือกอื่นๆ ซึ่งมักปฏิบัติกันแบบนี้เสมอมา ประการที่สอง วิเคราะห์สถานการณ์ของคุณที่คุณกำลังเผชิญอยู่ แบ่งแยกรายละเอียด และพยายามคำนวณหาความเป็นไปได้ของการเปลี่ยนแปลงที่จะเกิดขึ้นในอนาคตอันใกล้ ซึ่งจัดเป็นวิธีการคิดแบบอิงความเสี่ยง

ตอนนี้ก็มาดูเรียนรู้ถึงความแตกต่างของงบประมาณรายจ่ายด้านไอทีซีเคียวริตี้ของแต่ละบริษัท และผลจากวิธีการคิดสองประการนี้ 

วิธีคิดแบบดั้งเดิมในการทำงบประมาณ 

วิธีการที่ดั้งเดิม และธรรมดาทั่วไปที่สุดในการทำงบประมาณซีเคียวริตี้ คือ มักจะอิงกับความต้องการปัจจุบันหรือวัดจากประสบการณ์เก่า ซึ่งเป็นวิธีการที่บริษัทที่กำลังเติบโตมักจะเลือกใช้ เพราะจำเป็นต้องเร่งรีบติดเขี้ยวเล็บให้ธุรกิจมาตรการป้องกันด้านความปลอดภัยไซเบอร์และทูลที่ตนสามารถใช้ได้เร็วในการสร้างการเติบโตให้ธุรกิจ 

สำหรับองค์กรที่อยู่ในขั้นตอนนี้ การวางแผนงบประมาณมักจะเป็นรูปแบบที่ใช้ตกทอดกันมาจากปีก่อนๆ งบมักจะเท่าของเดิม ไม่ค่อยมีการปรับเปลี่ยนตัวเลข มักจะไม่มีเรื่องของการตั้งเป้าหมายกลยุทธ์ด้านความปลอดภัยไอที หรือประเมินความเสี่ยงเฉพาะจุด และงบประมาณก็จะลงไปกับความจำเป็นเร่งด่วนเฉพาะหน้า และการแก้ไขเฉพาะหน้า 

วิธีการเช่นนี้อาจใช้ได้ดีหากไม่มีความต้องการทางธุรกิจแบบเร่งด่วน หรือแบบไม่ได้วางแผนมาก่อน เช่น การตัดสินใจที่จะเพิ่มเติมส่วนที่เป็นดิจิทัลเข้าในกระบวนการทำงาน ติดตั้งบริการคลาวด์เบสเพื่อรองรับงานด้านลูกค้าสัมพันธ์ CRM หรือ งานบัญชี หรือเปิดสาขาใหม่ เป็นต้น การตัดสินใจเหล่านี้หมายความว่างบประมาณความปลอดภัยไอที รวมทั้งบุคลากร จะต้องถูกจัดสรรออกมาอย่างเร็ว เพื่ออุดช่องโหว่ที่อาจมี เลยไปกินเวลา เลื่อนตารางงานที่จัดไว้ก่อนหน้าแล้ว ให้เกิดความล่าช้า งานทับซ้อนกัน 

แต่โชคร้ายที่ วิธีแบบนี้อาจคุมงบไม่อยู่ เกิดการบานปลาย เนื่องเมื่อมีเหตุเกิดขึ้นมาโดยไม่คาดคิด ก็ต้องแก้ไขโดยเร็วไม่ว่าจะมีค่าใช้จ่ายเท่าไรก็ตาม และขณะเดียวกันองค์กรที่มีขนาดใหญ่กว่าที่มีวิธีการที่รัดกุมกว่าในการจัดการความเสี่ยง ก็อาจจะใช้เงินน้อยกว่าด้วยซ้ำไปในการจัดการระบบความปลอดภัยขององค์กร

วิธีการแบบอิงความเสี่ยง (A risk-based approach)

ไม่น่าแปลกใจที่ปี 2562 ความเชี่ยวชาญในการบริหารความเสี่ยงจัดเป็นทักษะ 3 อันดับแรก สำหรับผู้บริหารตำแหน่ง สูงสุดด้านความปลอดภัยข้อมูล องค์กรที่เติบโตเต็มที่ทางด้านการบริหารองค์กรนั้น การประเมินความเสี่ยงเป็นแกนหลักของกระบวนการดำเนินธุรกิจเลยทีเดียว และระบบความปลอดภัยด้านไอทีขององค์กรก็เช่นเดียวกัน

องค์กรเหล่านี้มิได้พยายามไล่ตามอุดรูรั่วให้ได้มากที่สุด แต่ประการแรก จะพิจารณาความเสี่ยงต่อธุรกิจว่าเป็นดาวน์ไทม์ที่ทำให้ทำงานไม่ได้ หรือกระทบต่อการให้บริการ หรือเป็นการเสี่ยงต่อชื่อเสียงของบริษัทหรือเสียโอกาสทางการค้า หรือการสูญเสียเงินตราโดยตรง เพราะความปลอดภัยไซเบอร์ไม่ใช่นิสัย หรือเป็นการลงทุนที่ต้องทำไปตามที่ตื่นกลัวกันตามข่าว แต่เป็นเหตุเป็นผลและอิงตามการคำนวณความเสี่ยง (คือการสำรวจความเป็นไปได้ของสิ่งที่อาจเกิดขึ้นคูณค่าใช้จ่าย) 

ภัยไซเบอร์ไม่เลือกหน้าอินทร์หน้าพรหม แต่ละองค์กรล้วนต้องเผชิญความเสี่ยงต่อระบบความปลอดภัยไซเบอร์ไม่ทางใดก็ทางหนึ่ง สำหรับบริษัทอีคอมเมิร์ซที่กิจกรรมธุรกิจส่วนใหญ่เป็นดิจิทัล ก็มีโอกาสสูงที่ต้องเสี่ยงกับการโจมตีของ DDoS บนเว็บไซต์ สร้างความเสียหายทั้งรายได้และชื่อเสียง ขณะเดียวกันองค์กรการเงินและภาครัฐต้องถูกลงโทษ ถูกปรับจากบรรดาผู้คุมกฎต่างๆ กรณีเกิดระบบเสียหาย ถูกเจาะละเมิดความปลอดภัยไซเบอร์ ดังนั้นงบประมาณจะมาลงตรงจุดนี้ค่อนข้างมาก นอกจากนี้แม้แต่นักพัฒนาซอฟต์แวร์และเซอร์วิสโปรวายเดอร์เองก็เป็นเป้าหมายเช่นกัน พูดง่ายๆ ว่า รูปแบบภัยคุกคามทางไซเบอร์ก็มากมายพอๆ กับรูปแบบธุรกิจ ต่างมีความเสี่ยง มีแบบการเปลี่ยนแปลงแตกต่างกันไปแต่ละประเภท 

ทุกความเสี่ยงคือโอกาสความน่าจะเป็น ความเชี่ยวชาญชำนาญงานความปลอดภัยไอทีจึงกลายมาเป็นส่วนสำคัญของกระบวนการประเมินความเสี่ยง จึงจะต้องรวมเอาผู้เชี่ยวชาญทั้งภายในองค์กรและจากภายนอกมาเข้าร่วมในการประเมินโอกาสความน่าจะเป็นความเสี่ยง และร่วมให้ข้อมูลความคิดเห็นแนวทางเพื่อสนับสนุนการตัดสินใจที่ครอบคลุม (รวมเรื่องความเสี่ยงของระบบความปลอดภัยเข้าไปด้วย) และพิจารณาเลือกผลลัพธ์ที่เหมาะสมที่สุดต่อองค์กร 

ท้ายที่สุด เมื่อได้ตัดสินใจคัดเลือกโซลูชั่นหรือบริการด้านความปลอดภัยไซเบอร์ตามวิธีการนี้แล้ว ยังต้องมีกระบวนการอนุมัติที่มีความโปร่งใสจากทีมงานผู้บริหารอีกระดับขั้น เพื่อไม่ให้บริษัทต้องตกอยู่ในสถานการณ์ที่ใครคนใดคนหนึ่งในสายความปลอดภัยไอทีบังคับการตัดสินใจไปทางใดทางหนึ่ง เช่น ไม่ให้ซื้อโซลูชั่นที่คุ้มค่าเงินและให้ประสิทธิภาพสูงสุด แต่ไปเลือกโซลูชั่นอื่นแทน เพียงเพราะอาจจะเคยใช้แพลตฟอร์มนั้นมาตลอดชีวิตการทำงาน เป็นต้น 

แน่นอนว่ากระบวนการประเมินความเสี่ยงนั้นต่างกันไปในแต่ละองค์กรและพัฒนาปรับเปลี่ยนอยู่เสมอ อย่างไรก็ตาม มี 3 องค์ประกอบหลักๆ ได้แก่ ผู้เชี่ยวชาญ การประเมินความเสี่ยง และห่วงโซ่การตัดสินใจที่มีความโปร่งใส ที่ยังคงความสำคัญในการเพิ่มประสิทธิภาพให้แก่การวางงบประมาณ และทำให้แน่ใจได้ว่าการลงทุนขององค์กรในความปลอดภัยด้านไอทีนั้นสอดคล้องไปในทิศทางเดียวกับความต้องการธุรกิจขององค์กร

บทเรียน

พูดง่ายๆ ก็คือ การวางแผนงบประมาณด้านความปลอดภัยนั้นคล้ายๆ กันอยู่กับวิธีการที่แต่ละคนเลือกวิธีการบำรุงรักษารถยนต์ของตน เจ้าของรถย่อมพอจะประเมินคร่าวๆ ถึงค่าใช้จ่ายทั่วไปที่จะเกิดขึ้นได้อยู่แล้ว แต่สำหรับคนที่ชื่นชอบความเร็ว อาจจะต้องเน้นให้มากหน่อย เผื่องบไว้สำหรับช่วงฤดูกาลแข่ง เปลี่ยนอะไหล่เสื่อมเร็ว เช่น เบรก ยาง เป็นต้น ดังนั้น วิธีการที่สองก็ดูจะเหมาะสมและน่าจะช่วยประหยัดค่าใช้จ่ายได้มากกว่า แต่ย่อมต้องใช้ความเชี่ยวชาญ ความรู้ เวลา และความทุ่มเท เพื่อช่วยในการวางแผนงบประมาณนั่นเอง 

สรุปได้ว่า เมื่อต้องการวางแผนงบประมาณความปลอดภัยไอทีขององค์กร มีข้อควรคิด ดังต่อไปนี้:

1. เมื่อประเมินความเสี่ยง องค์กรธุรกิจควรมองไปที่ภัยคุกคามที่เกี่ยวข้องกับอุตสาหกรรม ขนาดองค์กรของตนเองให้มากที่สุด และวางแผนงบประมาณให้สอดคล้องรองรับตามนั้น การที่มีแหล่งข้อมูล รายงานวิเคราะห์ภัยไซเบอร์ต่างๆ ที่มันสมัย อัพเดทไว้ศึกษามีประโยชน์อย่างยิ่งต่อการทำงบประมาณ
2. เป็นเรื่องสำคัญอย่างยิ่งที่จะต้องมีผู้เชี่ยวชาญ (ไม่ว่าจากภายใน หรือภายนอก หรือทั้งสองแบบ) เพื่อประเมินความเสี่ยง และศักยภาพของไซเบอร์ซีเคียวริตี้โซลูชั่นและบริการ แคสเปอร์สกี้และเวนเดอร์อื่นๆ มีบริการอบรมมากมายหลากหลายเพื่อช่วยให้องค์กรพัฒนาปรับปรุงระดับความเชี่ยวชาญภายในองค์กร
3. การว่าจ้างบุคคลภายนอกให้เข้ามารับดูแลงาน หรือ outsourcing ก็เป็นอีกทางเลือกที่ดีมากสำหรับองค์กรที่ยังไม่มีความพร้อมจากบุคลากรภายในองค์กร หรือยังขาดกระบวนการประเมินความเสี่ยง ณ จุดนี้ การมีข้อตกลงเรื่องการบริการที่รับประกันได้ (SLA) และย้ายค่าใช้จ่ายจาก CapEx มาเป็น OpEx เป็นวิธีการควบคุมการใช้จ่ายด้านความปลอดภัยที่ดีอีกวิธีหนึ่ง 
4. ขณะที่มาตรฐานอุตสาหกรรมเพียงอย่างเดียวให้ข้อมูลไม่เพียงพอต่อการตัดสินใจเรื่องงบประมาณ เครื่องมืออย่าง Kaspersky IT Security Calculator ก็เป็นจุดเริ่มที่ดีอีกอย่างสามารถใช้ในการค้นคว้าหาข้อมูลเกี่ยวกับภัยไซเบอร์ มาตรการป้องกัน ตัวเลขต่างๆ ที่น่าศึกษาไว้สำหรับองค์กรบางประเภท บางขนาด ที่อยู่ในอุตสาหกรรมต่างๆ และสถานที่ตั้งต่างๆ กันไป 

เมื่อต้องรับมือกับสิ่งที่มีความสำคัญมากๆ อย่างระบบความปลอดภัยไอทีขององค์กร (หรือการแข่งขันความเร็วสูงก็ได้) เป็นสิ่งที่ดีที่สุดที่จะให้เวลาไปกับการตระเตรียมตัวล่วงหน้า ปรึกษากับผู้เชี่ยวชาญ และวางแผนว่าจะต้องเผชิญกับอะไรบ้าง ก็อย่างที่พูดกัน ช้าแต่มั่นคงสม่ำเสมอจะพาคุณสู่ชัยชนะ

###