การดูแลรักษาความปลอดภัยบนโลกไซเบอร์เป็นสิ่งที่ไม่ควรวางใจเป็นอย่างยิ่งเพราะหากปล่อยให้เกิดช่องว่างเมื่อใด อาจนำองค์กรไปสู่ความเสียหายอย่างมหาศาล การรักษาความมั่นคงปลอดภัยทางไซเบอร์จึงมีความจำเป็นอย่างยิ่ง เนื่องจากสามารถช่วยปกป้องข้อมูลจากการจารกรรมและความเสียหายด้านข้อมูลต่าง ๆ ที่อาจเกิดขึ้นซึ่งรวมถึงข้อมูลอันละเอียดอ่อน ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (Personally Identifiable Information: PII) ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (Protected Health Information: PHI) ข้อมูลส่วนบุคคล ทรัพย์สินทางปัญญา ข้อมูล และระบบข้อมูลของทุกภาคส่วน
ยักษ์ใหญ่ด้านเทคโนโลยีสร้างความยืดหยุ่นบนโลกไซเบอร์ได้อย่างไร
ปัจจุบัน องค์กรไม่สามารถพึ่งพาโซลูชันความปลอดภัยทางไซเบอร์ที่พร้อมใช้งานอย่างซอฟต์แวร์ป้องกันไวรัสหรือไฟร์วอลล์เพียงอย่างเดียวอีกต่อไป อาชญากรไซเบอร์ฉลาดขึ้นและมีกลยุทธ์ที่ยืดหยุ่นมากขึ้นเมื่อเปรียบเทียบกับการป้องกันทางไซเบอร์ทั่วไป ดังนั้น การสร้างความมั่นใจในความปลอดภัยด้านไซเบอร์จะต้องครอบคลุมการรักษาความปลอดภัยทุกด้านบนโลกไซเบอร์
ถ้าเช่นนั้น เรามาดูกันว่าบริษัทชั้นนำด้านไอทีอย่าง Microsoft, Apple, Google, Intel และ IBM มีอะไรที่เหมือนกันบ้าง คำตอบคือ ทุกบริษัทต่างก็นำมาตรฐาน ISO/IEC 27001 ไปใช้งานเช่นเดียวกับบริษัททั่วโลกที่ติดอันดับ Fortune500 ซึ่งมาตรฐาน ISO/IEC 27001 ได้กลายเป็นมาตรฐานที่ได้รับการยอมรับว่าสามารถนำไปใช้จัดการระบบข้อมูลความปลอดภัยได้อย่างมีประสิทธิผล และช่วยให้องค์กรสามารถปรับตัวบนโลกไซเบอร์ได้อย่างมั่นใจ
ในการที่จะปกป้องทรัพย์สินข้อมูลที่สำคัญขององค์กรจากภัยคุกคามทางดิจิทัลและปิดช่องว่างต่างๆ องค์กรจำเป็นต้องปรับใช้ความคิดที่ยืดหยุ่นทางไซเบอร์ ซึ่งต้องถือว่าเป็นส่วนสำคัญ และไม่เพียงแต่กับระบบทางเทคนิคเท่านั้น แต่ยังรวมถึงทีม วัฒนธรรมองค์กร และการปฏิบัติงานประจำวันด้วย ในความเป็นจริง ผู้นำธุรกิจในปัจจุบันตระหนักถึงภัยคุกคามทางไซเบอร์มากกว่าปีก่อนๆ เป็นอย่างมาก จากรายงาน Global Security Outlook 2023 ของ World Economic Forum (WEF) พบว่า 91% ของผู้ตอบแบบสอบถามกล่าวว่าพวกเขาเชื่อว่าเหตุการณ์ทางไซเบอร์ที่ขยายวงกว้างและเป็นหายนะนั้นอย่างน้อยก็น่าจะเกิดขึ้นบ้างในอีก 2 ปีข้างหน้า
บริษัทต่างๆ ทั่วโลกได้ตอบสนองต่อแรงกดดันของภัยคุกคามทางดิจิทัลโดยการนำ ISO/IEC 27001 ไปใช้ มาตรฐานนี้เป็นมาตรฐานที่รู้จักกันดีที่สุดในโลกสำหรับระบบการจัดการความปลอดภัยของข้อมูล (Information Security Management Systems: ISMS) ซึ่งเป็นเอกสารชุดนโยบาย ขั้นตอน กระบวนการ และระบบที่จัดการความเสี่ยงของข้อมูลสูญหายจากการโจมตีทางไซเบอร์ การเจาะข้อมูล การรั่วไหลของข้อมูล หรือการโจรกรรม ดังนั้น องค์กรต่างๆ จำเป็นต้องปรับใช้กรอบความคิดที่ยืดหยุ่นต่อโลกไซเบอร์
ความยืดหยุ่นบนโลกไซเบอร์คืออะไร
ความยืดหยุ่นทางไซเบอร์คือความสามารถขององค์กรในการดำเนินการเมื่อเผชิญกับการโจมตีทางไซเบอร์หรือเหตุการณ์ทางไซเบอร์อื่นๆ ซึ่งเกี่ยวข้องกับการมีมาตรการทางเทคนิคและองค์กรที่จำเป็นเพื่อตรวจจับ ตอบสนอง และกู้คืนจากเหตุการณ์ดังกล่าว ตลอดจนความสามารถในการปรับตัวและเรียนรู้จากเหตุการณ์เหล่านั้นเพื่อปรับปรุงความยืดหยุ่นในอนาคต
อันเดรียส วูล์ฟ ซึ่งเป็นหัวหน้ากลุ่มผู้เชี่ยวชาญที่รับผิดชอบมาตรฐานความปลอดภัยด้านไอทีของ ISO/IEC กล่าวว่าความยืดหยุ่นทางไซเบอร์คือสิ่งที่เข้ามาแทนที่เมื่อมาตรการป้องกันความปลอดภัยหยุดชะงัก ซึ่งในเศรษฐกิจดิจิทัล ความสามารถในการก้าวข้ามการหยุดชะงักทางไซเบอร์จะสร้างความแตกต่างให้กับองค์กรชั้นนำที่สามารถเปลี่ยนความเปราะบางให้กลายเป็นความแข็งแกร่ง และมีความมั่นใจในการรับมือกับความเสี่ยงได้เป็นอย่างดี
อันเดรียส วูล์ฟ และทีมงานได้ร่วมรับผิดชอบในการพัฒนามาตรฐาน ISO/IEC 27001 ฉบับใหม่ที่ได้รับการปรับปรุงซึ่งเผยแพร่เมื่อเดือนตุลาคม 2565 (ค.ศ.2022) ทั้งนี้ เพื่อรับมือกับความท้าทายด้านความปลอดภัยด้านเทคโนโลยีสารสนเทศทั่วโลกและปรับปรุงความน่าเชื่อถือทางดิจิทัล ซึ่งเป็นประโยชน์กับองค์กรโดยสนับสนุนให้สามารถรักษาความปลอดภัยของข้อมูลทุกรูปแบบ พัฒนากรอบการทำงานที่มีการจัดการจากส่วนกลาง ลดการใช้จ่ายในเทคโนโลยีการป้องกันที่ไม่มีประสิทธิภาพ รวมทั้งปกป้องความสมบูรณ์ ความลับ และความพร้อมใช้งานของข้อมูล
มาตรฐานไอเอสโอและความปลอดภัยทางไซเบอร์
ความยืดหยุ่นไม่ได้หมายถึงการทำงานภายในองค์กรเท่านั้น แต่จะต้องนำไปใช้กับพันธมิตรบุคคลที่สามทั้งหมดและตลอดห่วงโซ่อุปทาน ดังนั้น สภาเศรษฐกิจโลก (WEF) จึงได้จัดพิมพ์ The Cyber Resilience Index (CRI): Advancing Organizational Cyber Resilience เพื่อให้มีการนำไปใช้เป็นกรอบอ้างอิงให้สามารถมองเห็นได้ชัดเจนและมีความโปร่งใสเกี่ยวกับแนวปฏิบัติด้านความยืดหยุ่นทางไซเบอร์ตลอดทั้งอุตสาหกรรม เพื่อนร่วมงาน และห่วงโซ่อุปทาน
CRI ช่วยให้ผู้นำทางไซเบอร์ทั้งภาครัฐและเอกชนมีกรอบแนวทางปฏิบัติที่ดีที่สุดร่วมกันสำหรับความยืดหยุ่นทางไซเบอร์อย่างแท้จริง ซึ่งเป็นกลไกในการวัดประสิทธิภาพขององค์กร และเป็นภาษาที่ชัดเจนในการสื่อสารคุณค่า และภายใต้หลักการของ CRI นั้น มีแนวทางปฏิบัติที่ตามมาและแนวทางปฏิบัติย่อยสำหรับความยืดหยุ่นทางไซเบอร์ที่ดีขององค์กรซึ่งก็คือการใช้กรอบความปลอดภัยซึ่งเป็นที่ยอมรับและเป็นมาตรฐานสากล เช่น ISO/IEC 27001 นั่นเอง
ที่มา: