การ์ทเนอร์ อิงค์ เผย 50% ของผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officers หรือ CISOs) จะใช้การออกแบบที่เน้นมนุษย์เป็นศูนย์กลาง (Human Centric Design) เพื่อลดแรงต้านจากการปฏิบัติงานด้านความปลอดภัยในโลกไซเบอร์
โดยองค์กรขนาดใหญ่จะให้ความสำคัญกับการนำโปรแกรม Zero-Trust ไปใช้ ขณะที่ครึ่งหนึ่งของผู้บริหารด้านความปลอดภัยทางไซเบอร์ยังไม่ประสบความสำเร็จในการประเมินความเสี่ยงทางไซเบอร์เพื่อขับเคลื่อนการตัดสินใจได้
ริชาร์ด แอดดิสคอตต์ ผู้อำนวยการอาวุโสฝ่ายวิจัยของการ์ทเนอร์ อิงค์ กล่าวว่า “ไม่ต้องสงสัยเลยว่า ผู้บริหาร CISO และทีมงานด้านความปลอดภัยจะต้องมุ่งไปยังสิ่งที่เกิดขึ้นในวันนี้ เพื่อให้มั่นใจว่าองค์กรของพวกเขาปลอดภัยที่สุดเท่าที่จะเป็นไปได้ แต่พวกเขายังต้องใช้เวลาเพื่อมองให้เห็นความท้าทายในแต่ละวันและเข้าใจรายละเอียดอย่างรอบด้านเพื่อให้รู้ว่ากำลังจะเกิดอะไรขึ้นตามมา และอาจส่งผลกระทบต่อโปรแกรมด้านความปลอดภัยในอีกไม่กี่ปีข้างหน้า”
“การคาดการณ์เหล่านี้เป็นการส่งสัญญาณถึงบางสิ่งบางอย่างที่เราเห็นว่ามันจะเกิดขึ้น และผู้บริหาร CISO ควรนำมาพิจารณา เพื่อนำไปสร้างโปรแกรมความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพและยั่งยืน”
การ์ทเนอร์แนะนำผู้บริหารความปลอดภัยทางไซเบอร์ต้องสร้างสมมุติฐานและวางแผนเชิงกลยุทธ์ดังต่อไปนี้ เพื่อใช้เป็นยุทธศาสตร์ด้านการรักษาความปลอดภัยในอีกสองปีข้างหน้า
1. ภายในปี 2570 50% ของผู้บริหาร CISO จะนำแนวทางปฏิบัติการออกแบบความปลอดภัยที่ยึดมนุษย์เป็นศูนย์กลางมาปรับใช้ เพื่อลดแรงเสียดทานที่เกิดจากความปลอดภัยไซเบอร์และเพิ่มการควบคุมในระดับสูงสุด
ผลการวิจัยของการ์ทเนอร์พบว่า มากกว่า 90% ของพนักงานยอมรับว่าได้กระทำการที่ไม่ปลอดภัยในระหว่างการทำงานแม้ทราบดีว่าการกระทำนั้นจะเพิ่มความเสี่ยงให้องค์กรแต่ก็ยังทำอยู่ดี ซึ่งการออกแบบการรักษาความปลอดภัยที่ยึดมนุษย์เป็นศูนย์กลาง (Human-Centric Security Design) นั้นเป็นแบบจำลองที่เน้นไปยังปัจเจกบุคคล ไม่ใช่เทคโนโลยี หรือภัยคุกคาม หรือสถานที่ โดยจะมุ่งให้ความสำคัญไปกับการออกแบบการควบคุมและการนำไปใช้เพื่อลดแรงเสียดทานให้น้อยลงมากที่สุด
2. ภายในปี 2567 กฎระเบียบข้อบังคับด้านความเป็นส่วนตัวที่ทันสมัยจะครอบคลุมข้อมูลส่วนใหญ่ของผู้บริโภค แต่กลับมีองค์กรไม่ถึง 10% ที่ประสบความสำเร็จในการใช้ประโยชน์ของความเป็นส่วนตัวให้กลายเป็นข้อได้เปรียบสำหรับการแข่งขัน
องค์กรต่าง ๆ เริ่มตระหนักว่าโปรแกรมความเป็นส่วนตัวนั้นสามารถช่วยให้พวกเขาใช้ข้อมูลได้กว้างขึ้น สร้างความต่างจากคู่แข่ง และสร้างความไว้วางใจให้กับลูกค้า คู่ค้า นักลงทุน และหน่วยงานกำกับดูแล ซึ่งการ์ทเนอร์แนะนำให้ผู้นำด้านความปลอดภัยบังคับใช้มาตรฐานความเป็นส่วนตัวอย่างครอบคลุม และสอดคล้องกับกฎหมาย GDPR (General Data Protection Regulation) เพื่อสร้างความต่างในตลาดที่มีการแข่งขันสูงขึ้นและเติบโตอย่างไร้ขีด
3. ภายในปี 2569 ประมาณ 10% ขององค์กรขนาดใหญ่จะมีโปรแกรม Zero-Trust ที่ใช้ได้อย่างสมบูรณ์และวัดผลได้เพิ่มขึ้นจากในปัจจุบันที่มีไม่ถึง 1%
การจะนำ Zero-Trust ไปใช้งานได้อย่างครอบคลุมและสมบูรณ์นั้น ต้องอาศัยการผสานรวมและการกำหนดองค์ประกอบต่าง ๆ ซึ่งอาจกลายเป็นความซับซ้อนทางเทคนิคได้ โดยองค์กรจะประสบความสำเร็จอย่างสูงหรือไม่นั้นขึ้นอยู่กับการแปลงข้อมูลให้เป็นมูลค่าทางธุรกิจ เริ่มต้นจากจุดเล็ก ๆ และปลูกฝัง Zero-Trust mindset ที่พัฒนาไปเรื่อย ๆ เพื่อช่วยให้เข้าใจประโยชน์ของโปรแกรมได้ดีขึ้นและจัดการความซับซ้อนบางอย่างทีละขั้นตอนได้ง่ายขึ้น
4. ภายในปี 2570 75% ของพนักงานจะมีส่วนในการปรับ แก้ไข หรือสร้างเทคโนโลยีที่อยู่นอกเหนือการมองเห็นของฝ่ายไอที เพิ่มขึ้นจาก 41% ในปี 2565
บทบาทและขอบเขตความรับผิดชอบของผู้บริหาร CISO กำลังเปลี่ยนจากการเป็นผู้ควบคุมเป็นผู้อำนวยความสะดวกในการตัดสินใจด้านความเสี่ยง ซึ่งการปรับเปลี่ยนรูปแบบการปฏิบัติการด้านความปลอดภัยในโลกไซเบอร์นี้เป็นกุญแจสำคัญเพื่อรับมือต่อการเปลี่ยนแปลงที่กำลังจะเกิดขึ้น การ์ทเนอร์แนะนำผู้บริหารควรคิดนอกกรอบไปกว่าแค่เรื่องของเทคโนโลยีและระบบอัตโนมัติเพื่อสร้างการมีส่วนร่วมอย่างใกล้ชิดกับพนักงานเพื่อให้พวกเขามีบทบาทในกระบวนการตัดสินใจ และเพื่อให้มั่นใจว่าพนักงานมีความรู้อย่างเหมาะสมกับการปฏิบัติหน้าที่โดยมีข้อมูลเพียงพอ
5. ภายในปี 2568 ผู้นำด้านความปลอดภัยทางไซเบอร์ 50% จะพยายามใช้คุณสมบัติของความเสี่ยงทางไซเบอร์มาประเมินเพื่อขับเคลื่อนการตัดสินใจขององค์กร ถึงแม้ไม่ประสบความสำเร็จ
การวิจัยของการ์ทเนอร์ชี้ว่า 62% ของผู้ที่ประเมินความเสี่ยงทางไซเบอร์กล่าวว่า องค์กรได้รับความน่าเชื่อถือและการรับรู้ถึงความเสี่ยงทางไซเบอร์เพิ่มขึ้นเล็กน้อย แต่มีเพียง 36% เท่านั้นที่ได้ผลลัพธ์ตามที่ตั้งใจ ประกอบด้วย การลดความเสี่ยง การประหยัดเงินหรือช่วยในการตัดสินใจได้จริง ผู้นำด้านการรักษาความปลอดภัยควรให้ความสำคัญกับพลังการป้องกันและการประเมินความเสี่ยงที่ผู้มีอำนาจตัดสินใจ (Decision Makers) ร้องขอมา แทนที่จะสร้างการวิเคราะห์ด้วยตนเองและต้องโน้มน้าวให้ธุรกิจหันมาสนใจ
6. ภายในปี 2568 เกือบครึ่งหนึ่งของผู้บริหารความปลอดภัยไซเบอร์จะเปลี่ยนงาน โดยที่ 25% จะหันไปสู่บทบาทการทำงานที่แตกต่างอย่างสิ้นเชิง เนื่องจากปัจจัยกดดันที่เกี่ยวข้องกับงานหลายอย่าง
การแพร่ระบาดที่รวดเร็วและการขาดแคลนพนักงานทั่วทั้งอุตสาหกรรม แรงกดดันการทำงานของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังเพิ่มขึ้นและกลายเป็นไม่ยั่งยืน การ์ทเนอร์แนะนำว่า แม้การขจัดความเครียดของการทำงานให้หมดไปจะดูเป็นไปไม่ได้ แต่ผู้คนก็สามารถจัดการงานที่ท้าทายและมีความกดดันได้หากพวกเขาเชื่อมั่นและสนับสนุนวัฒนธรรมองค์กรที่ทำงานอยู่ ซึ่งการเปลี่ยนแปลงกฎการมีส่วนร่วมเพื่อส่งเสริมการเปลี่ยนแปลงทางวัฒนธรรมจะช่วยได้
7. ภายในปี 2569 70% ของคณะกรรมการจะมีสมาชิกหนึ่งท่านที่เป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์
ผู้บริหาร CISO ได้รับการตระหนักว่าเป็นหุ้นส่วนธุรกิจ พวกเขาจำเป็นต้องรับทราบความต้องการ ทราบความเสี่ยงขององค์กรและคณะกรรมการ หรือหมายความว่า CISO ไม่เพียงทำให้เห็นว่าโปรแกรมความปลอดภัยทางไซเบอร์สามารถป้องกันภัยคุกคามที่เกิดขึ้นได้อย่างไร แต่ยังขยายไปถึงการช่วยเพิ่มความสามารถขององค์กรในการรับความเสี่ยงได้อย่างมีประสิทธิภาพอีกด้วย การ์ทเนอร์แนะนำให้ผู้บริหาร CISO ก้าวนำหน้าการเปลี่ยนแปลง เพื่อส่งเสริมและสนับสนุนการรักษาความปลอดภัยทางไซเบอร์แก่คณะกรรมการบริหารขององค์กรและสร้างความสัมพันธ์ที่แน่นแฟ้นยิ่งขึ้นเพื่อเพิ่มความไว้วางใจและให้การสนับสนุน
8. ภายในปี 2569 มากกว่า 60% ของระบบการตรวจจับ ตรวจสอบ และตอบสนองต่อภัยคุกคาม (Threat Detection, Investigation and Response หรือ TDIR) จะใช้ข้อมูลการจัดการความเสี่ยงเพื่อตรวจสอบความถูกต้องและจัดลำดับความสำคัญภัยคุกคามที่ตรวจพบ เพิ่มขึ้นจากปัจจุบันที่น้อยกว่า 5%
เมื่อพื้นที่การโจมตีขององค์กรขยายตัวอันเป็นผลมาจากการเชื่อมต่อที่เพิ่มขึ้น การใช้บริการ SaaS และแอปพลิเคชันบนคลาวด์ที่เพิ่มขึ้น ทำให้บริษัทต่าง ๆ ต้องการขอบเขตการมองเห็นที่กว้างขึ้นและศูนย์กลางสำหรับการตรวจสอบภัยคุกคามรวมถึงช่องโหว่อย่างต่อเนื่อง โดยความสามารถของระบบ TDIR นั้นจะรวมแพลตฟอร์มหรือระบบนิเวศครบวงจรไว้ในแพลตฟอร์มเพื่อบริหารจัดการด้านการตรวจจับ ตรวจสอบ และตอบสนองได้ ทำให้ทีมปฏิบัติการด้านความปลอดภัยเห็นภาพภัยคุกคามและผลกระทบที่อาจเกิดขึ้นต่อองค์กรได้อย่างครบถ้วน
แหล่งข้อมูล