ถึงเวลาองค์กรไทยตั้ง CISO ดูแลความปลอดภัยไซเบอร์ - CISO ที่ดีต้องไม่อยู่ใต้ CIO

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 24 มิถุนายน 2019.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    Blognone มีโอกาสได้พูดคุยกับผู้บริหารของ RSA บริษัทด้านความปลอดภัยในเครือ Dell Technologies ที่เดินทางมาประเทศไทยช่วงสัปดาห์ที่แล้ว

    Ted Kamionek รองประธานอาวุโส Global Sales ของ RSA ให้ภาพรวมของอุตสาหกรรมความปลอดภัยไซเบอร์ว่า ปัญหาหลักๆ ตอนนี้คือขาดคนที่มีทักษะด้านนี้ มีจำนวนเท่าไรก็ไม่พอ แนวทางแก้ไขจึงเป็นการใช้ machine learning (ML) เข้ามาช่วยตรวจจับภัยคุกคามในชั้นต้น

    RSA มองนักวิเคราะห์ด้านความปลอดภัยเป็น 3 ระดับ คือ level 1 ที่เป็นการตรวจหาภัยคุกคามพื้นฐาน แล้วส่งต่อให้นักวิเคราะห์ level 2 และ level 3 วิเคราะห์ในเชิงลึกต่อไป ปัญหาสำคัญของการวิเคราะห์ระดับ level 1 คือการตรวจจับผิดพลาด (false positive หรือไม่มีภัยคุกคามอยู่จริง แต่เข้าใจว่ามี) ซึ่งการใช้ ML จะช่วยกรองภาระงานตรงนี้ลงไปได้ ช่วยให้นักวิเคราะห์ level 2/3 มีงานน้อยลง เอาเวลาไปโฟกัสกับอันที่เป็นภัยคุกคามจริงๆ จะดีกว่า

    [​IMG]

    นิพนธ์ โกมลสุวรรณ Business Director ของ RSA ประเทศไทย เล่าว่าองค์กรขนาดใหญ่ของไทยเริ่มตื่นตัวเรื่องความปลอดภัยของข้อมูลกันมาก โดยปัจจัยสำคัญคือการผลักดันจากหน่วยงานกำกับดูแล (regulator) ในอุตสาหกรรมนั้นๆ

    ตัวอย่างที่ดีคืออุตสาหกรรมธนาคาร ที่ธนาคารแห่งประเทศไทย (BoT) ออกนโยบายแนะนำว่าบอร์ดบริหารของธนาคาร ควรมีคนที่มีประสบการณ์ด้านไอทีนั่งอยู่ในบอร์ดด้วย และธนาคารควรต้องมีประธานเจ้าหน้าที่ฝ่ายความปลอดภัยของข้อมูล (Chief Information Security Officers หรือ CISO) มาเป็นหัวหน้าเรื่องความปลอดภัยคอมพิวเตอร์โดยเฉพาะ หลัง BoT ออกคำแนะนำนี้แล้ว ทำให้ภาคการธนาคารไทยปรับตัวตาม ซึ่ง RSA ก็หวังจะเห็น regulator ในอุตสาหกรรมอื่นๆ ทำตามเช่นกัน

    George Lee รองประธานประจำภูมิภาคเอเชียแปซิฟิกและญี่ปุ่นของ RSA ให้ข้อสังเกตที่น่าสนใจว่า จากประสบการณ์ของ RSA ในแวดวงความปลอดภัยไซเบอร์ การตั้งบุคคลมาตำแหน่ง CISO ควรแยกจากตำแหน่ง CIO (Chief Information Officer) ที่ดูแลภาพรวมด้านไอทีขององค์กร เหตุเพราะฟังก์ชันงานของ CISO และ CIO นั้นขัดแย้งกันโดยธรรมชาติ

    ภารกิจของ CIO เป็นเรื่องการพัฒนาระบบไอทีเพื่อ "ความเร็ว" ในการทำธุรกิจ ซึ่งสวนทางกับ CISO ที่ทำอย่างไรก็ได้ให้องค์กร "ปลอดภัย" ซึ่งมาตรการความปลอดภัยต่างๆ จะทำให้องค์กรทำงานได้ช้าลง ดังนั้นถ้าหาก CISO อยู่ภายใต้ CIO ก็จะทำให้ CISO ไม่สามารถตรวจสอบหรือคานอำนาจของ CIO ได้

    องค์กรที่ประสบความสำเร็จด้าน CISO จะกำหนดให้ CISO ต้องรายงานกับผู้บริหารระดับ C-level ตำแหน่งอื่นๆ แทน ซึ่งจะเป็น COO (Chief Operating Officer), CTO (Chief Technical Officer) หรือจะเป็น CEO ก็ได้ หากว่า CEO มีเวลามากพอ

    [​IMG]

    จากซ้ายไปขวา: George Lee, Ted Kamionek, นิพนธ์ โกมลสุวรรณ

    Topics: RSASecurityEnterpriseInterview
     
    iPokz, 24 มิถุนายน 2019
    #1

แบ่งปันหน้านี้