ปิดช่องว่างการสื่อสารความปลอดภัยด้านไอที

  • Oct 16, 2023

ทุกคนในองค์กรเข้าใจความเสี่ยงด้านไอทีแตกต่างกันมาก และมีวิธีแสดงความเสี่ยงที่แตกต่างกัน การเอาตัวชี้วัดทางการเงินมาจัดการกับความเสี่ยงด้านไอทีทำให้ทุกคนมีภาษาที่เหมือนกัน

ความเสี่ยงด้านไอทีขององค์กรขนาดใหญ่อาจมีมากเช่น คำอุปมาเรื่องชายตาบอดสามคน พูดถึงลำต้น เชือก และเสาขณะสัมผัสช้าง จริงๆ แล้วทุกคนทำงานในภาพรวมเดียวกัน แต่มุมมองของเรื่องที่อยู่ในมืออาจแตกต่างกันโดยสิ้นเชิง

คณะกรรมการต้องการขับเคลื่อนผลกำไรของผู้ถือหุ้นและลดความเสี่ยง ไม่ต้องการเข้าไปเกี่ยวข้องกับการปฏิบัติงาน นั่นคืองานของฝ่ายบริหาร และผู้จัดการมักจะห่างไกลจากการเป็นผู้เชี่ยวชาญด้านไอที

ฝ่ายบริหารไม่เข้าใจไอทีจริงๆ เช่นกัน มันแค่รู้ว่ามันต้องได้ผล เงินทุกดอลลาร์ที่ใช้ไปกับภารกิจ "ฟ้าจะถล่มเว้นแต่เราจะซื้อของเล่นใหม่นี้" ของแผนกไอที ไม่สามารถใช้กับการเติบโตต่อไปเพื่อรายงานต่อคณะกรรมการได้ และหลายโครงการไม่มี ROI โดยตรง ดังที่ Yuval Illuz รอง CIO ของ ECI Telecom ประเทศอิสราเอลกล่าวไว้ว่า: "การให้ฝ่ายบริหารให้ความสนใจกับ การรักษาความปลอดภัยของข้อมูลอาจเป็นเรื่องยาก เนื่องจากเรากำลังพยายามป้องกันสิ่งที่ยังไม่เกิดขึ้น ยัง."

สุดท้ายนี้ แผนกไอทีถูกมองว่าเป็นศูนย์ต้นทุนเมื่อฝ่ายบริหารพยายามลดต้นทุนอย่างต่อเนื่อง มันไม่ได้รับความสนใจมากนักในขณะที่พยายามรวบรวมสิ่งต่าง ๆ ไว้ด้วยกันโดยใช้ทรัพยากรที่มีอยู่น้อยนิด แต่ทันทีที่เกิดวิกฤติ มันเป็นความผิดของแผนกไอที (และปัญหา)

คุณจะสร้างความเข้าใจในกระบวนการข้ามองค์กรเกี่ยวกับความเสี่ยงด้านไอทีอย่างเป็นทางการได้อย่างไร สิ่งแรกที่อาจนึกถึงคือกระบวนทัศน์การรับรองและการควบคุมคุณภาพ แต่ Colin Lobley ไม่ใช่แฟนของมาตรฐานความปลอดภัยด้านไอที แม้ว่าเขากล่าวว่าสิ่งนี้จะแสดงให้ลูกค้าหรือผู้ซื้อเห็นตราสัญลักษณ์ที่ดีเพื่อให้เป็นไปตามมาตรฐานของตนเอง ผู้ซื้อส่วนใหญ่พึ่งพาการรับรองแทนปัญหาร้ายแรงด้านประสิทธิภาพและการบริหารความเสี่ยง

“คุณสามารถบรรลุมาตรฐาน ISO ได้อย่างง่ายดายและราคาถูก” Lobley ผู้อำนวยการของบริษัทบริหารความเสี่ยง Manigent กล่าว “หากคณะกรรมการมี ทำไมพวกเขาจึงควรให้ความสนใจหรืองบประมาณด้านความปลอดภัยด้านไอทีเพิ่มเติม? แม้ว่าบริษัทจะประสบกับเหตุการณ์ดังกล่าว แต่ดูเหมือนว่าพวกเขาจะได้รับความคุ้มครองในระดับหนึ่งในแง่ของการรับรู้ของตลาด หากพวกเขามี ISO"

Yehuda Cagen จาก Xvand Technology Corporation ยอมรับว่าจาระบีที่เป็นทางการและทนทานนั้นมีคุณค่า "เริ่มต้น — และตกลงตาม — การประเมินความเสี่ยงภายในที่คำนึงถึงขอบเขตธุรกิจที่อาจได้รับผลกระทบ ผลกระทบและความน่าจะเป็นของความล้มเหลว จำนวนเหตุการณ์ที่อาจเกิดขึ้นโดยประมาณ และค่าใช้จ่ายในการลดความเสี่ยง” Cagen พูดว่า. "จากนั้น คุณสามารถร่างโครงร่างสิ่งที่บริษัทสามารถซื้อได้อย่างสมเหตุสมผลสำหรับการบริหารความเสี่ยง

Cagen พูดถึงกรณีทางธุรกิจที่ประธานคนใหม่และรองประธานคนใหม่เข้าร่วมองค์กรเพียงเพื่อให้ทีมไอทีปฏิเสธที่จะเชื่อมต่ออุปกรณ์เคลื่อนที่ของตนกับเครือข่ายของบริษัท เหตุผลที่ให้ไว้คือ "นโยบายความปลอดภัย" ที่คลุมเครือและไม่ชัดเจน

“เมื่อทีมไอทีพูดด้วยถ้อยคำคลุมเครือหรือปกปิด ฝ่ายบริหารมักถือว่าพวกเขาไร้ความสามารถหรือซ่อนอะไรบางอย่างไว้” Cagen กล่าว ในกรณีนี้ พบว่าคำสั่งด้านไอทีถูกต้อง แต่เขากล่าวว่าต้นตอของปัญหาคือการสื่อสารที่ผิดพลาดระหว่างแผนก

ปัญหาของทุกคน

ยิ่งองค์กรมีขนาดใหญ่เท่าใด ช่องว่างระหว่างผู้มีส่วนได้ส่วนเสียก็จะยิ่งมากขึ้นเท่านั้น ทำให้การประเมินความเสี่ยงด้านความปลอดภัยเป็นปัญหาของแผนกไอทีเป็นอย่างมากและไม่มีใครเป็นปัญหาอีกเลย แต่การกำหนดขั้นตอนและการสื่อสารอย่างเป็นทางการจะเกิดขึ้นเฉพาะเมื่อทุกคนยอมรับเท่านั้น ดังที่ Stephane Charbonneau, CTO ของ Titus ผู้จำหน่ายระบบรักษาความปลอดภัยในออตตาวากล่าวว่า "ความปลอดภัยของข้อมูลไม่ใช่ปัญหาด้านไอที แต่เป็นความจำเป็นทางธุรกิจ"

กุญแจสำคัญในการทำให้ทุกคนเข้าใจตรงกันคือการใช้นโยบายที่เป็นทางการเพื่อทลายกำแพงด้านภาษา ซึ่ง Colin Lobley คิดว่าจะอยู่ตรงนั้นตลอดไป “ช่องว่างทางวัฒนธรรมและอุปสรรคทางภาษาระหว่างแผนกไอทีหรือ CISO และคณะกรรมการนั้นใหญ่เกินกว่าจะเชื่อมโยงได้” เขากล่าว “โครงสร้างองค์กรที่ได้รับการยอมรับอย่างดีนั้นเพียงพอที่จะสนับสนุนรูปแบบการจัดการความปลอดภัยด้านไอทีที่มีประสิทธิภาพมากขึ้นได้อย่างสมบูรณ์แบบ หมายความว่าการใช้จ่ายในการพัฒนาไอทีหรือการรักษาความปลอดภัยจะเพียงพอ และ CISO ก็สามารถทำสิ่งที่พวกเขาเก่งได้ นั่นก็คือการรักษาความปลอดภัย"

Lobley เสริมเกี่ยวกับโครงสร้างทั้งหมดนั่นคือทั้งหมด การรักษาความปลอดภัยเป็นเพียงวิธีเดียวในการจัดการความเสี่ยง และหัวหน้าเจ้าหน้าที่ความเสี่ยงในองค์กรขนาดใหญ่ก็มีภาระหน้าที่ที่กว้างกว่า แต่เนื่องจาก CRO มักจะอยู่ในบทบาทคณะกรรมการหรือผู้บริหาร จึงเหมาะสมที่จะใช้เขาหรือเธอเป็นผู้แปลระหว่างหัวหน้าฝ่ายรักษาความปลอดภัยข้อมูลและคณะกรรมการ

ผู้เชี่ยวชาญด้านความปลอดภัยอื่นๆ ที่เราพูดคุยด้วยเห็นด้วย แม้ว่าพวกเขาจะไม่ระบุชื่อลูกค้า แต่ก็มีคนกล่าวว่า "มีบริษัทเพียงไม่กี่แห่ง ทั้งที่เป็นเทคโนโลยีและไม่ใช่เทคโนโลยี ที่มีความเป็นผู้ใหญ่เพียงพอในการคิดเกี่ยวกับความเสี่ยงเพื่อระบุความเสี่ยงในลักษณะเดียวกับประสิทธิภาพการทำงาน และไม่มีวุฒิภาวะเพียงพอที่จะประเมินและรายงานการจัดตำแหน่งความเสี่ยงเทียบกับระดับความเสี่ยงขององค์กรที่ตกลงกันไว้เพื่อให้บรรลุวัตถุประสงค์เหล่านั้น

ภาษาสากล

หากมีเวทย์มนตร์ในการสื่อสารระหว่างไอทีกับองค์กรหรือคณะกรรมการองค์กร การกำหนดกรอบความเสี่ยงในแง่การเงินก็ใกล้เคียงกัน

จากข้อมูลของ Lobley ธุรกิจจำนวนมากเกินไปล้มเหลวในการตั้งค่าพารามิเตอร์เชิงปริมาณสำหรับความเสี่ยง (สิ่งที่เขาเรียกว่าความเสี่ยง) และประเมินความเสี่ยงด้วยตัวชี้วัดที่ไม่มีความหมายเช่น "1 ถึง 5" หรือ "ต่ำมากไปสูงมาก" “มันไม่มีประโยชน์” เขากล่าว “มันเหมือนกับการพูดว่า 'เราคิดว่ามีความเสี่ยง แต่เราไม่รู้ว่าสูงแค่ไหน' ทำให้เป็นเรื่องยากมากสำหรับคณะกรรมการที่จะลงทุนในการควบคุมอย่างมั่นใจ"

ให้จัดแนวภาษาแทน สมมติว่าคุณเข้าสู่ตลาดใหม่ด้วย KPI ที่มีรายได้ 3 ล้านดอลลาร์ในปีแรก และคณะกรรมการมีความอยากที่จะรับความเสี่ยงสูงที่ 25 เปอร์เซ็นต์ หรือ 750,000 ดอลลาร์สำหรับโครงการริเริ่มนี้ ผู้จัดการความเสี่ยงจำเป็นต้องประเมินความเสี่ยงตามเงื่อนไขเหล่านั้น ดังนั้น หากความเสี่ยง A มีมูลค่า 100,000 ดอลลาร์ ความเสี่ยง B 500,000 ดอลลาร์ และความเสี่ยง C 300,000 ดอลลาร์ นั่นคือความเสี่ยงทั้งหมด 900,000 ดอลลาร์ คณะกรรมการสามารถเห็นได้อย่างรวดเร็วว่าสิ่งนี้อยู่เหนือความเสี่ยงที่ตกลงไว้และตอบสนองได้อย่างเหมาะสม

ในตัวอย่างโลกแห่งความเป็นจริง Lobley ทำงานร่วมกับลูกค้าที่อยู่นอกภาคส่วนเทคโนโลยี เมื่อเขาถามเจ้าหน้าที่แนวหน้าว่าธุรกิจได้รับผลกระทบอย่างไรจากเหตุการณ์ที่ทำให้ระบบ IT หยุดทำงานเป็นเวลาสองชั่วโมง คำตอบก็คือ "ไม่มาก" อย่างไรก็ตาม เมื่อพูดคุยกับฝ่ายบริหาร ในไม่ช้าก็เห็นได้ชัดว่าบริษัทต้องเผชิญกับความเสี่ยงที่สำคัญ สัญญาของลูกค้าและ SLA สัญญาว่าจะตอบคำถามของลูกค้าภายใน 90 นาที ซึ่งละเมิดการหยุดทำงานสองชั่วโมง

“พวกเขาโชคดีเพราะไม่มีบทลงโทษ” โลบลีย์กล่าว “แต่เรื่องการต่อสัญญาลูกค้าจะไม่พอใจหรือกังวลเรื่องระดับการให้บริการหรือไม่? พวกเขาจะต่อรองราคาลงเนื่องจากบริการไม่เพียงพอ หรือแย่กว่านั้นคือไปหาคู่แข่ง?”

เป็นอีกกรณีหนึ่งที่เขากล่าวว่าความเสี่ยงของการหยุดทำงานด้านไอทีอยู่ในระดับต่ำมากถึงสูงมาก “มันไม่ได้ขัดแย้งกับวัตถุประสงค์ของธุรกิจ — ดอลลาร์ [ความเสี่ยง] การสูญเสียการต่ออายุสัญญาจากการหยุดทำงานด้านไอทีเพียงเล็กน้อยนั้นต่ำมาก สมมติว่าอยู่ที่ 2 เปอร์เซ็นต์ แต่หากการต่อสัญญามีมูลค่า 5 ล้านดอลลาร์ ความเสี่ยงโดยรวมของโอกาสที่จะได้รับผลกระทบคือ 100,000 ดอลลาร์"

การวางกรอบภัยคุกคามไม่ใช่ความเสี่ยงด้านไอที แต่เป็นวัตถุประสงค์ทางธุรกิจยังช่วยให้คุณตรวจสอบความเสี่ยงต่อขีดจำกัดความเสี่ยงที่คุณตั้งไว้ล่วงหน้าได้ เปิดเผยมากเกินไป และคุณจะต้องลงทุนในการควบคุมมากขึ้น เปิดรับแสงน้อยเกินไป และคุณสามารถลดการควบคุมและเพิ่มเงินทุนที่แผนกอื่นๆ เรียกร้องอย่างไม่ต้องสงสัย

เพื่อส่งเสริมแนวคิดข้างต้น สมมติว่าคุณมีไปป์ไลน์ผลิตภัณฑ์ 2 ล้านดอลลาร์ และยืนยันความเสี่ยงด้านไอทีที่ 600,000 ดอลลาร์ หากความเสี่ยงที่คุณยอมรับได้คือ 500,000 ดอลลาร์ คุณสามารถใช้จ่าย 100,000 ดอลลาร์เพื่อควบคุมความเสี่ยง หากสิ่งนั้นช่วยลดความเสี่ยงได้ ก็สามารถสร้างชื่อเสียงของคุณในฐานะผู้ให้บริการที่ปลอดภัยและเชื่อถือได้ หากการตลาดครั้งต่อไปของคุณเพิ่มขึ้น 10 เปอร์เซ็นต์หรือ 200,000 ดอลลาร์ การลงทุนด้านการจัดการความเสี่ยงของคุณจะเพิ่มเงินของคุณเป็นสองเท่า

มองออกไปข้างนอก

กระทรวงศึกษาธิการของรัฐเคนตักกี้ใช้พอร์ทัลข้อมูลที่เรียกว่า Infinite Campus ในการส่งมอบ คะแนน การเข้าเรียน บริการลงทะเบียน ตารางเรียน ฯลฯ สำหรับนักเรียนและผู้ปกครองทั่วทั้ง สถานะ. ประมาณสองสัปดาห์ก่อนเปิดภาคเรียนฤดูใบไม้ร่วง 2013 องค์กรไอทีของแผนกสังเกตเห็น รูปแบบการโจมตีที่มุ่งตรงไปยังเว็บไซต์ Infinite Campus ดูเหมือนว่าผู้โจมตีกำลังตรวจหาช่องโหว่ ไม่นานหลังจากนั้น การโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายก็ถูกเปิดตัวขึ้นเพื่อล็อคนักเรียน ผู้ปกครอง และผู้ดูแลระบบ

แผนกใช้เทคนิคการทำแผนที่ IP และการเลือกแพ็คเก็ตหลายอย่างเพื่อสกัดกั้นการโจมตีและการสู้รบ มักต่อสู้กันแบบเรียลไทม์ ซึ่งเชื่อมโยงทรัพยากรไอทีในขณะที่พวกเขาพยายามตามทันคลื่นลูกใหม่ การโจมตี เจ้าหน้าที่แผนกซึ่งไม่รู้ว่าการโจมตี DDoS คืออะไร กำลังเรียกร้องให้ดำเนินการ โรงเรียนเริ่มในอีกสองสัปดาห์ ไม่มีใครรู้ว่าคนอื่นกำลังพูดถึงเรื่องอะไร และสถานการณ์ก็ทวีความรุนแรงขึ้น

บริการรักษาความปลอดภัยของผู้ให้บริการโทรคมนาคม AT&T ถูกเรียกเข้ามาเมื่อแผนกตระหนักว่าต้องการใครสักคนเพื่อเชื่อมโยงผลประโยชน์ของทั้งสองแผนกให้เป็นแนวร่วม AT&T ใช้อัลกอริธึมที่เป็นกรรมสิทธิ์และฐานข้อมูลลายเซ็นภัยคุกคามมากกว่า 1 ล้านรายการ เพื่อช่วยเจ้าหน้าที่ไอทีของแผนกตรวจสอบ วิเคราะห์ และตอบสนองต่อภัยคุกคาม และบริการได้รับการฟื้นฟู

สิ่งที่สำคัญที่สุดคือดำเนินการทั้งหมดบนคลาวด์ ซึ่งหมายความว่าฝ่ายไอทีไม่ต้องขออะไรจากฝ่ายบริหารเพิ่มเติม เงินเพื่อใช้ในการเปลี่ยนแปลงโครงสร้างพื้นฐานหรือซอฟต์แวร์ที่อาจต้องใช้เวลาในการอธิบายและวางแผนมากขึ้น สำหรับ. การแก้ไขไม่ได้ส่งผลกระทบต่อเจ้าหน้าที่มากไปกว่าปัญหาที่มีอยู่แล้ว และผลลัพธ์ก็เร็วเท่าที่พวกเขาต้องการ

โลกแห่งภัยคุกคาม

อ่านนี่

  • การรักษาความปลอดภัยด้านไอทีไม่ใช่ทางเลือกเพิ่มเติม
  • การกำกับดูแลความปลอดภัยด้านไอที: บอร์ดต้องดำเนินการ
  • ปิดช่องว่างการสื่อสารความปลอดภัยด้านไอที
  • ความปลอดภัยด้านไอทีทำให้ประเทศต่างๆ เสียหายมากกว่าที่ได้รับ: รายงาน

แน่นอนว่า การประเมินความเสี่ยงต้องครอบคลุมมากกว่าแค่ภัยคุกคามต่อเนื่องขั้นสูงและอาชญากรรมทางไซเบอร์ ตัวอย่างเช่น เมื่อพนักงานถูกไล่ออก องค์กรจำเป็นต้องมีนโยบายและขั้นตอนการทำงานเชิงรุกที่เข้มงวดมากเพื่อรับผิดชอบและตรวจสอบการเข้าถึงและสิทธิพิเศษของผู้ใช้ การละเมิดข้อมูลขนาดใหญ่ เช่น เหตุการณ์บัตรเครดิต Target ล่าสุดนั้นน่าอับอายพอสมควร แต่การกระทำดังกล่าวเกิดจากอดีตผู้ไม่พอใจ พนักงานส่งข้อความที่ชัดเจนไปยังตลาดว่าคุณไม่มีบ้านของตัวเองตามลำดับ ไม่ต้องสนใจคนเลว ข้างนอก.

เงินที่ชาญฉลาดยังอยู่ที่การให้ไอทีมีส่วนร่วมในโครงการขนาดใหญ่หรือการเปลี่ยนแปลงตั้งแต่เริ่มต้น ทุกอย่างตั้งแต่การเปิดตัวผลิตภัณฑ์ วันที่ของการควบรวมและซื้อกิจการ (ซึ่งอาจเปิดเผยสภาพแวดล้อมด้านไอทีต่อระบบและข้อมูลใหม่ที่ต้องดำเนินการ บูรณาการ)

ในรายงานล่าสุดจาก SolarWinds ซึ่งผลิตซอฟต์แวร์การจัดการไอทีและเครื่องมือตรวจสอบ ผู้เชี่ยวชาญด้านไอที 300 รายในสหรัฐอเมริกาและแคนาดาได้รับการสำรวจเกี่ยวกับบทบาทของไอทีในการบริหารความเสี่ยง จากผลการวิจัย ผู้เขียนกล่าวว่าเทคโนโลยีมีความสำคัญมากพอที่ "ผู้เชี่ยวชาญด้านไอทีหลังบ้าน" จำเป็นต้องนั่งที่โต๊ะ มีเพียงหนึ่งในสามของผู้ตอบแบบสำรวจที่รู้สึกมั่นใจในความสามารถในการให้คำแนะนำทางธุรกิจเชิงกลยุทธ์ที่เกี่ยวข้องกับไอที ในการทำเช่นนั้น มากกว่าครึ่งกล่าวว่าพวกเขาต้องการการฝึกอบรมเพิ่มเติมในพื้นที่ของตน และเพียงไม่ถึง 40 เปอร์เซ็นต์กล่าวว่าพวกเขาต้องการความเข้าใจที่ดีขึ้นเกี่ยวกับธุรกิจของบริษัทของตน

การจัดการความเสี่ยงกลายเป็นปัจจัยเร่งด่วนมากขึ้นในการดำเนินธุรกิจ เนื่องจากความก้าวหน้าและการขยายตัวของไอที ​​และความเข้าใจระหว่างผู้มีส่วนได้ส่วนเสียในองค์กรของคุณเป็นสิ่งสำคัญ เมื่อ (ไม่ใช่ถ้า) การหยุดทำงาน ข้อมูลเสียหาย การโจมตีจากภายนอก หรือภัยพิบัติอื่นๆ คุณจะพร้อมหรือไม่