เทคโนโลยีการเงิน
PwC เผย 25% ขององค์กรชั้นนำ ที่มีความต้านทานต่อภัยคุกคามสูง ยกระดับแนวปฏิบัติการรับมือภัยไซเบอร์

                      91% ขององค์กรที่มีความต้านทานต่อภัยคุกคามสูงมีการทำรายการสินค้าคงคลังของสินทรัพย์ที่ถูกต้องและอัปเดตรายการอย่างสม่ำเสมอ

                      73% ขององค์กรที่มีความต้านทานต่อภัยคุกคามสูงสามารถระบุบริการทางธุรกิจที่สำคัญที่สุดของตนได้

                      34% ขององค์กรที่มีความต้านทานต่อภัยคุกคามสูง เปลี่ยนแนวความคิดจากการใช้รูปแบบการบริหารความต่อเนื่องทางธุรกิจ และการสำรองระบบแบบเดิมๆ สู่การมีแผนรับมือความปลอดภัยทางด้านดิจิทัลที่มีความยืดหยุ่น รวมถึงมีความพร้อมในการตอบสนองเมื่อถูกโจมตี และมีความสามารถในการดำเนินธุรกิจได้ตามปกติ แม้ว่าจะเกิดเหตุการณ์ภัยคุกคามที่ไม่คาดฝัน

 

PwC เผยองค์กรชั้นนำทั่วโลกยกระดับแนวทางในการรับมือกับภัยคุกคามขั้นสูง หลังถูกโจมตีทางไซเบอร์มากขึ้น พบ 25% ขององค์กรในกลุ่มที่มีความสามารถสูงในการต้านทานภัยคุกคาม (The high resilience-quotient: High-RQ group) สามารถปรับตัวรับการเปลี่ยนแปลง รวมทั้งทนทานต่อการถูกโจมตีและกู้คืนระบบได้อย่างรวดเร็วขณะที่ยังให้บริการหรือดำเนินธุรกิจได้ตามปกติ ชี้องค์กรไทยยังมีการป้องกันแบบเดิม ๆ ต้องเร่งพัฒนาองค์กรให้รับมือกับภัยจากไซเบอร์เชิงรุก

                นางสาววิไลพร ทวีลาภพันทองหุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย เปิดเผยถึงรายงาน Digital Trust Insights ครั้งที่ 4 ของ PwC ซึ่งได้ทำการสำรวจความคิดเห็นของผู้บริหารจำนวน กว่า 3,500 รายทั่วโลกว่า บริษัทชั้นนำของโลกหันมายกระดับขีดความสามารถ และปรับแนวปฏิบัติในการรับมือกับภัยคุกคามในเชิงรุกมากขึ้น โดยสร้างความยืดหยุ่นให้สอดรับกับสถานการณ์หรือประเภทของการบุกรุกโจมตีที่เกิดขึ้น ซึ่งจากผลสำรวจพบว่า โดยภาพรวม องค์กรที่ถูกจัดให้อยู่ในกลุ่มที่มีความต้านทานต่อภัยคุกคามสูง มีคะแนนสูงสุด 25% ใน 3 ด้านดังต่อไปนี้:

                      - มีการมองเห็นได้ถึงสินทรัพย์หลักและกระบวนการทำงานแบบเรียลไทม์

                      - มีแผนงานและการตอบสนองทั่วทั้งองค์กร

                      - มีการออกแบบการให้บริการทางธุรกิจและกระบวนการทางธุรกิจขององค์กรอย่างต่อเนื่อง

                ทั้งนี้ สาระสำคัญของผลสำรวจอยู่ที่การปรับเปลี่ยนความคิด (Mindset) ของสมาชิกขององค์กรที่อยู่ในกลุ่มที่มีระดับ RQ สูงจากการใช้รูปแบบการบริหารความต่อเนื่องทางธุรกิจและการสำรองระบบเดิมๆ ไปสู่การมีแผนรับมือความปลอดภัยทางด้านดิจิทัลที่มีความยืดหยุ่น รวมถึงมีความพร้อมในการตอบสนองเมื่อถูกโจมตี และมีความสามารถในการดำเนินธุรกิจได้ตามปกติ แม้ว่าจะเกิดเหตุการณ์ภัยคุกคามที่ไม่คาดฝัน (Resilience by design) โดยแนวทางนี้รวมถึงความสามารถในการเข้าถึงกระบวนการทำงานที่มีลำดับความสำคัญมากกว่าก่อน เพื่อให้ผู้มีอำนาจในการตัดสินใจและผู้ที่ต้องรับมือกับเหตุการณ์สามารถตอบสนองต่อสถานการณ์ที่เกิดขึ้นได้พร้อมกันโดยส่งผลเสียหายต่อตัวธุรกิจน้อยที่สุด

 

การมองเห็นได้ถึงกระบวนการทำงานหลักสินทรัพย์ และการพึ่งพา

                ทั้งนี้ หากองค์กรปราศจากความเข้าใจว่าสินทรัพย์และกระบวนการต่าง ๆ มีการพึ่งพาและเชื่อมโยงเข้ากับบริการของธุรกิจหลักของตนอย่างไร องค์กรนั้น ๆ ก็จะไม่ทราบว่าเลยว่า ระบบ หรือสินทรัพย์ไหนที่สามารถแยกออกจากกันได้เมื่อธุรกิจเกิดการหยุดชะงัก รายงานชี้ให้เห็นถึงความแตกต่างที่เด่นชัดในจุดนี้ โดย 91% ของบริษัทในกลุ่มที่มีระดับ RQ สูง มีการทำรายการสินค้าคงคลังของสินทรัพย์ที่ถูกต้อง และมีการอัปเดตรายการอย่างสม่ำเสมอ เปรียบเทียบกับ 47% ของบริษัทที่ไม่ได้อยู่ในกลุ่มที่มีระดับ RQ สูง

                สำหรับองค์กรขนาดใหญ่ที่ตามปกติมีการใช้งานสินทรัพย์ด้านไอทีเป็นล้านๆ รายการ และมีการเชื่อมต่อกันเป็นหลายร้อยล้านปัจจุบันมีเทคโนโลยีที่ช่วยในการวางแผนสินทรัพย์ที่สำคัญรวมทั้งกระบวนการในเชิงลึก

                ทั้งนี้ มากกว่าครึ่งของผู้ถูกสำรวจที่อยู่ในกลุ่มที่มีระดับ RQ สูงได้ใช้ระบบอัตโนมัติในการทำรายการสินค้าคงคลังและวางแผนกระบวนการต่างๆ เปรียบเทียบกับผู้ถูกสำรวจที่ไม่ได้อยู่ในกลุ่มที่มีระดับ RQ สูงเพียง10%

 

ระบุและทดสอบความทนทานขององค์กรของคุณต่อการถูกบุกรุกโจมตี

                ไม่น่าแปลกใจเลยว่า 73% ขององค์กรในกลุ่มที่มีระดับ RQ สูงสามารถระบุได้ว่า บริการทางธุรกิจของตนบริการใดที่มีความสำคัญที่สุด ในขณะที่มีเพียง 27% ของบริษัทที่อยู่นอกกลุ่มเท่านั้นที่ระบุได้

                รายงานของ PwC ชี้ว่า องค์กรต้องกำหนดขอบเขตระยะเวลาและต้นทุนค่าใช้จ่ายที่ยอมรับได้ เมื่อเกิดเหตุการณ์ไม่คาดฝัน หรือพูดสั้นๆ ก็คือ ความสามารถในการทนทานต่อผลกระทบจากการถูกบุกรุกโจมตีทั้งนี้ ประมาณ 2 ใน 3 ของผู้ถูกสำรวจในกลุ่มที่มีระดับ RQ สูง ได้กำหนดความสามารถในการยอมรับต่อผลกระทบที่อาจเกิดขึ้นกับบริการที่สำคัญขององค์กรไว้แล้ว ในขณะที่มีเพียง 24% ของผู้ถูกสำรวจที่เหลือเท่านั้นที่ทำเช่นเดียวกัน

                สำหรับปัจจัยสุดท้ายที่สร้างความแตกต่างให้กับองค์กรที่ถูกสำรวจอย่างสิ้นเชิงนั้น รายงานพบว่า ในกลุ่มองค์กรที่มีระดับ RQ สูงด้วยกัน 61% ได้ทำแผนความสามารถในการยอมรับต่อผลกระทบที่อาจเกิดขึ้นกับบริการขององค์กร ไม่เพียงเฉพาะบริการที่สำคัญๆ ขณะที่มีเพียง 18% ที่เหลือเท่านั้นที่มีการทำแผนดังกล่าวซึ่งนี่ถือเป็นสิ่งที่สำคัญมากหากการถูกบุกรุกโจมตีส่งผลให้เกิดการจ่ายค่าปรับตามสัญญาแก่คู่ค้าทางธุรกิจ

 

ออกแบบแผนรับมือความปลอดภัยทางด้านดิจิทัล ให้มีความยืดหยุ่น และสามารถรับมือกับสถานการณ์ต่างๆ ที่เปลี่ยนแปลงไป

                สุดท้าย เมื่อถามผู้ถูกสำรวจว่า “องค์กรของพวกเขาได้มีการออกแบบแผนรับมือความปลอดภัยทางด้านดิจิทัลให้มีความยืดหยุ่น และสามารถรับมือกับสถานการณ์ต่างๆ ที่เปลี่ยนแปลงไป” ทั่วทั้งองค์กรหรือไม่พบว่า มีเพียง 34% ของบริษัทที่อยู่ในกลุ่มที่มีระดับ RQ สูงที่ตอบว่ามี ส่วนกลุ่มที่เหลือมีเพียง 14%

                นางสาว วิไลพร กล่าวสรุปว่า “ในยุคที่ผู้บริหารต้องเตรียมแผนการในการรับมือกับความเสี่ยงด้านต่างๆ เช่น ความเสี่ยงจากภัยไซเบอร์ซึ่งนับวันถือเป็นความเสี่ยงที่หลีกเลี่ยงไม่ได้ เพราะอาชญากรรมทางคอมพิวเตอร์รูปแบบใหม่ๆ ได้เกิดขึ้นอย่างต่อเนื่อง

                ดังนั้น องค์กรต้องคอยพัฒนาและยกระดับขีดความสามารถในการรักษาความปลอดภัยให้มากยิ่งขึ้นไปเรื่อยๆ เพื่อให้ธุรกิจมีความพร้อมในการตอบสนองเมื่อถูกโจมตี มีความต้านทานและมีความสามารถในการดำเนินธุรกิจได้ตามปกติแม้ว่าจะเกิดเหตุการณ์ภัยคุกคามที่ไม่คาดฝันก็ตาม ทั้งหมดนี้คือสิ่งที่เราเรียกว่า Cyber Resilience ซึ่งองค์กรที่มีความพร้อมในการตรวจจับ และตอบสนองต่อการถูกบุกรุกโจมตีจะเป็นองค์กร ที่มีความสามารถในการปรับตัวต่อภัยคุกคามสูง แต่ต้องเรียนว่า ตอนนี้ระดับของความก้าวหน้าขององค์กรในประเทศที่มีความต้านทานต่อภัยคุกคามในขั้นสูงยังมีไม่มากนัก และส่วนใหญ่ยังเป็นไปในลักษณะการป้องกันและรักษาความปลอดภัยเชิงรับมากกว่าเชิงรุก”

 

 

 


Related News