Audio Quick Take: KPMG ของ Fred Rica เกี่ยวกับวิธีที่ทีมรักษาความปลอดภัยทางไซเบอร์สามารถพัฒนาเพื่อให้องค์กรมีความยืดหยุ่นและสามารถแข่งขันได้
เสียงอย่างรวดเร็ว: Fred Rica จาก KPMG เกี่ยวกับวิธีที่ทีมรักษาความปลอดภัยทางไซเบอร์สามารถพัฒนาเพื่อให้องค์กรมีความยืดหยุ่นและสามารถแข่งขันได้ ดาวน์โหลดพอดคาสต์นี้ อดีตนักแข่งรถ Mario Andretti กล่าวอย่างมีชื่อเสียงว่า “น่าทึ่งมากที่หลายคนคิดว่าเบรกมีไว้เพื่อชะลอรถ” และเขาพูดถูก—เบรกมีไว้เพื่อให้รถวิ่งเร็วขึ้นและปลอดภัย Fred Rica หัวหน้าฝ่ายบริการความปลอดภัยทางไซเบอร์ของ KPMG รู้สึกว่านี่เป็นการสรุปบทบาทของการรักษาความปลอดภัยทางไซเบอร์ในองค์กรในปัจจุบันได้อย่างสมบูรณ์แบบ เพื่อให้พวกเขาได้รับประโยชน์อย่างเต็มที่จากการเปลี่ยนแปลงทางดิจิทัลในขณะที่จัดการความเสี่ยงมากมาย โควิด-19 ได้ขยายทั้งโอกาสและภัยคุกคามของการแปลงเป็นดิจิทัล องค์กรต่างๆ ได้ก้าวหน้าอย่างไม่น่าเชื่อในการทำงานทางไกลและการทำงานร่วมกันสำหรับพนักงาน ตลอดจนในการปรับปรุงประสบการณ์ลูกค้าดิจิทัล แต่สิ่งนี้เตือนเราด้วยว่าปริมณฑลทางกายภาพไม่มีอยู่แล้ว ด้วยการพึ่งพาบุคคลที่สามที่เพิ่มขึ้นและการแพร่กระจายของอินเทอร์เน็ตของสิ่งต่าง ๆ และอุปกรณ์อื่น ๆ การรักษาความปลอดภัยทางไซเบอร์ในปัจจุบันเกี่ยวข้องกับระบบนิเวศที่ซับซ้อนพร้อมศักยภาพในการคุกคามที่เพิ่มขึ้นอย่างมาก ในตลาดที่ซึ่งความรวดเร็วในการทำตลาดเป็นสิ่งสำคัญ ตอนนี้ทีมรักษาความปลอดภัยทางไซเบอร์มีหน้าที่สร้างความไว้วางใจและความยืดหยุ่นด้วยการปลอมแปลงวัฒนธรรมการรักษาความปลอดภัยที่ใช้งานได้จริง และช่วยฝังการรักษาความปลอดภัยด้วยแนวคิดในการออกแบบในทุกด้านของโครงสร้างพื้นฐานและข้อมูลดิจิทัล ในการทำเช่นนี้ พวกเขาต้องมองว่าตัวเองเป็นผู้ขับเคลื่อนและผู้อำนวยความสะดวก ช่วยเหลือผู้อื่นในการส่งมอบบริการและแบรนด์ที่สมควรได้รับความไว้วางใจในโลกไซเบอร์จากลูกค้า พนักงาน และสังคมโดยรวม Todd Pruzan, HBR ยินดีต้อนรับสู่ HBR Audio Quick Take ฉันชื่อทอดด์ พรูซาน บรรณาธิการอาวุโสด้านการวิจัยและโครงการพิเศษที่ Harvard Business Review วันนี้กับฉันคือเฟร็ด ริกา เฟร็ดเป็นครูใหญ่ในแนวทางปฏิบัติบริการความปลอดภัยทางไซเบอร์ของ KPMG และมีประสบการณ์ที่สำคัญในความปลอดภัยทางไซเบอร์และการจัดการความเสี่ยงด้านเทคโนโลยี เขาเป็นหน่วยงานที่ได้รับการยอมรับในระดับประเทศเกี่ยวกับความปลอดภัยของข้อมูล และเขาได้ดำเนินการหรือจัดการโครงการประเมินความปลอดภัย ออกแบบ และใช้งานหลายร้อยโครงการในสภาพแวดล้อมการประมวลผลขนาดใหญ่และซับซ้อน เฟร็ด ขอบคุณมากที่มาร่วมงานกับเราในวันนี้ Fred Rica, KPMG ดีใจมากที่ได้มาอยู่ที่นี่ ขอขอบคุณ. Todd Pruzan, HBR CISOs จำเป็นต้องพูดภาษาของ C-suite ดังนั้นคุณช่วยบอกเราเกี่ยวกับการดำเนินการเฉพาะที่ CISO ต้องทำเพื่อให้ได้ตำแหน่งใน C-suite หรือไม่? Fred Rica, KPMG หลายครั้งที่เราพบว่า CISO พูดภาษาเทคนิค และเป็นภาษาที่ผู้บริหารและสมาชิกในคณะกรรมการ C-suite ไม่เข้าใจ เมื่อพวกเขาเริ่มพูดถึงไฟร์วอลล์และการปิดกั้นและ IPS และ IDS โดยปกติแล้ว สายตาของผู้บริหารจะย้อนกลับมาอยู่ในหัว สิ่งที่ CISO สมัยใหม่ต้องสามารถทำได้คือการแปลเทคโนโลยีนั้นลงในบริบทของธุรกิจ นี่หมายถึงการพูดถึงความเสี่ยงที่ธุรกิจอาจเผชิญ สิ่งที่เราเตรียมไว้เพื่อลดความเสี่ยงเหล่านั้น และความเสี่ยงที่เราอาจจะทิ้งไว้บนโต๊ะ ทั้งหมดนี้ควรเชื่อมโยงกับ: เราช่วยให้ธุรกิจเติบโตได้อย่างไร เราจะช่วยเปิดใช้กลยุทธ์ทางธุรกิจได้อย่างไร เรามีคำพูดดีๆ จาก Mario Andretti เกี่ยวกับคุณ ไม่ต้องเบรกให้ขับช้าๆ คุณมีเบรกเพื่อให้วิ่งได้เร็ว CISO สมัยใหม่จะต้องสามารถพูดคุยเกี่ยวกับวิธีที่เบรกเหล่านั้นจะช่วยให้ธุรกิจเติบโต—พวกเขาจะช่วยให้ธุรกิจบรรลุวัตถุประสงค์เชิงกลยุทธ์ได้อย่างไร หลายครั้ง เมื่อฉันให้คำปรึกษาแก่คณะกรรมการ สิ่งหนึ่งที่ฉันพูดแบบกึ่งตลกคือถ้า CISO ของคุณเข้ามาและพูดคำว่า “ไฟร์วอลล์” ในการนำเสนอ คุณต้องไล่พวกเขาออก พวกเขากำลังพูดภาษาผิด พวกเขากำลังพูดถึงเทคโนโลยี พวกเขาไม่ได้พูดถึงการเปิดใช้ธุรกิจ และนั่นคือสิ่งที่แยก CISO ที่ทันสมัยและมีประสิทธิภาพมากกว่าในปัจจุบันออกจากรุ่นก่อน เหล่านี้คือ CISO ที่ได้รับตำแหน่งใน C-suite Todd Pruzan, HBR ลักษณะและลักษณะของทีมรักษาความปลอดภัยในอนาคตกำลังเปลี่ยนแปลงอย่างรวดเร็ว ทำให้เกิดช่องว่างร้ายแรงในกลุ่มผู้มีความสามารถพิเศษที่มีอยู่ของผู้เชี่ยวชาญด้านไซเบอร์ นอกจากนี้ การทำงานจากที่บ้านและเศรษฐกิจแบบกิ๊กกำลังทำให้การจ้างงานและการรักษาในโลกไซเบอร์เป็นเรื่องท้าทาย ดังนั้น CISO สามารถทำอะไรได้บ้างเพื่อปิดช่องว่างนั้นและรับรองทีมไซเบอร์ที่แข็งแกร่งและมีความสามารถ Fred Rica, KPMG ขณะนี้มีช่องว่างที่แท้จริงในความสามารถด้านความปลอดภัยทางไซเบอร์ มีการว่างงานเชิงลบเป็นหลัก มีงานมากกว่าคนที่มีคุณสมบัติ ดังนั้นการสรรหา ดึงดูด และรักษาผู้มีทักษะในโลกไซเบอร์จึงเป็นความท้าทายที่ยิ่งใหญ่สำหรับทุกคนในตอนนี้ จากนั้นเมื่อคุณเริ่มดูว่าการแพร่ระบาดได้ทำอะไรกับรูปแบบการทำงานแบบเดิมๆ เมื่อคุณคิดถึงเศรษฐกิจแบบกิ๊ก เมื่อคุณคิดถึงคนทำงานรุ่นที่อาจจะไม่สนใจงานแบบ 10-, 20- หรือ อาชีพ 30 ปีอย่างที่เคยเป็นมา ซึ่งสร้างปัญหาที่แท้จริงบางประการในการทำให้แน่ใจว่าเรามีคนที่เหมาะสมเพียงพอ CISO สมัยใหม่จำเป็นต้องเริ่มคิดเกี่ยวกับรูปแบบการจัดบุคลากรที่แตกต่างกัน รูปแบบการมีส่วนร่วมที่แตกต่างกัน และเกี่ยวกับวิธีการต่างๆ เพื่อให้แน่ใจว่าพวกเขามีทรัพยากรที่เหมาะสมในทีม เป็นเรื่องง่ายที่จะจินตนาการถึงเกือบทุกคนในสถานการณ์ของผู้รับเหมา ซึ่ง CISO สามารถเริ่มดึงจากกลุ่มผู้มีความสามารถที่เชื่อถือได้ หากคุณนึกภาพกลุ่มคนที่ผ่านการตรวจสอบจากคนอื่นและถือว่าน่าเชื่อถือ คุณก็มีสิทธิ์เข้าถึงแหล่งทรัพยากรที่คุณสามารถนำขึ้นเครื่องและลงจากรถได้ตามต้องการ ใช่ไหม คุณมีความจุไฟกระชาก คุณมีทักษะเฉพาะที่คุณอาจต้องการในช่วงเวลาที่ไม่ต่อเนื่อง ดังนั้น CISO ที่ชาญฉลาดจึงเริ่มมองข้ามรูปแบบการจ้างงานแบบเดิมๆ และพวกเขาเริ่มมองหารูปแบบอื่นๆ ที่พวกเขาได้มาซึ่งทรัพยากรแบบออนดีมานด์ และพวกเขารู้ว่าทรัพยากรเหล่านั้นน่าเชื่อถือ และช่วยให้พวกเขาอุดช่องว่างนั้น ไม่เพียงแต่ในระยะสั้นแต่อาจในระยะยาวด้วยเช่นกัน ดังนั้นพวกเขาจึงทำงานกับกลุ่มคนหลัก แต่พวกเขาขยายและทำสัญญาโดยใช้ “ผู้รับเหมาทุกคน” ในเชิงรุกมากกว่าที่เป็นอยู่ทุกวันนี้ Todd Pruzan, HBR Covid-19 และการทำงานจากที่บ้านได้แสดงให้เห็นว่าการหยุดชะงักอย่างรวดเร็วสามารถเร่งและส่งผลต่อโปรไฟล์ความเสี่ยงขององค์กรได้อย่างไร มันบังคับให้เราต้องทบทวนการยอมรับความเสี่ยงของเราใหม่ ดังนั้น CISO สามารถทำอะไรได้บ้างเพื่อคาดการณ์และยอมรับการหยุดชะงักอย่างต่อเนื่อง? Fred Rica, KPMG เห็นได้ชัดว่าเรากำลังมุ่งสู่โลกที่เชื่อมต่อกันแบบไฮเปอร์ เมื่อคุณเริ่มคิดถึงอินเทอร์เน็ตของสิ่งต่าง ๆ และอุปกรณ์ที่เชื่อมต่อ เมื่อคุณเริ่มคิดถึงพลังของเทคโนโลยี สิ่งต่างๆ เช่น เครือข่าย 5G จะเพิ่มประสิทธิภาพอย่างมาก มันจะทำให้วิธีการทำธุรกิจแตกต่างไปจากเดิมอย่างสิ้นเชิง ซึ่งดีมาก แต่ก็จะเปิดองค์กรให้เข้าถึงรูปแบบการโจมตีใหม่ๆ การโจมตีรูปแบบใหม่ และข้อกังวลด้านความเป็นส่วนตัวใหม่ ๆ ด้วย ดังนั้น CISO ที่มองไปข้างหน้าจะต้องทำสองสิ่ง หนึ่ง พวกเขาจะต้องเข้าใจว่าการเปลี่ยนแปลงนี้กำลังมา—และไม่ว่าพวกเขาต้องการหรือไม่ มันก็กำลังจะมา พวกเขาต้องพร้อมสำหรับมัน พวกเขาต้องพร้อมที่จะเปลี่ยนไป พวกเขาต้องเริ่มคิดเกี่ยวกับโมเดลที่มีข้อมูลเป็นศูนย์กลางมากขึ้น ในอดีต เราเคยพูดถึงปริมณฑล และเราเคยพูดถึงอัตลักษณ์ ฉันคิดว่า ในอนาคต เราจะพูดถึงโมเดลที่เน้นข้อมูลมากขึ้น จะมีเทคโนโลยีมากมายที่มาพร้อมกับสิ่งนี้ เราได้ยินสิ่งต่างๆ เช่น Zero trust และทีมสีแดงอย่างต่อเนื่อง การใช้ระบบอัตโนมัติ การเรียนรู้ของเครื่อง ปัญญาประดิษฐ์มากขึ้น สิ่งเหล่านั้นจะมีความสำคัญ แต่สิ่งที่สำคัญที่สุดคือการตระหนักว่ารูปแบบธุรกิจกำลังเปลี่ยนแปลงอย่างรวดเร็ว สามารถประเมินภัยคุกคามใหม่และช่องโหว่ใหม่ที่จะนำเสนอ และจากนั้นก็สามารถใช้ประโยชน์จากเทคโนโลยีใหม่เพื่อช่วยจัดการกับภัยคุกคามเหล่านั้นและจัดการกับความเสี่ยงเหล่านั้น และอีกครั้ง ดังที่เราได้พูดคุยกันในตอนเริ่มต้น ความสามารถในการช่วยให้ธุรกิจก้าวไปข้างหน้า ทำงานอย่างมีประสิทธิภาพมากขึ้น เติบโตเร็วขึ้น และบรรลุวัตถุประสงค์เชิงกลยุทธ์ Todd Pruzan, HBR เป็นเรื่องยากสำหรับ CISO และองค์กรที่จะไปคนเดียวในโลกที่มีการเชื่อมต่อแบบไฮเปอร์ (hyperconnected world) ในปัจจุบัน ที่ซึ่งภัยคุกคามและความเสี่ยงใหม่ๆ CISO สามารถใช้ระบบนิเวศที่กว้างขึ้นเพื่อช่วยรักษาความปลอดภัยให้กับองค์กรด้วยวิธีใดบ้าง Fred Rica, KPMG ไม่ว่าคุณจะชอบหรือไม่ก็ตาม ตอนนี้องค์กรของคุณเป็นส่วนหนึ่งของระบบนิเวศที่ซับซ้อนมาก คุณมีซัพพลายเออร์ คุณมีหุ้นส่วน เราได้พูดคุยกันมานานหลายปีเกี่ยวกับการขาดขอบเขต ดังนั้นบริการที่ใช้ร่วมกันและข้อมูลที่ใช้ร่วมกันที่คุณมีกับบุคคลที่สามเหล่านี้เป็นวิธีที่สำคัญที่เราทำธุรกิจในขณะนี้ แต่พวกเขายังนำเสนอชุดของความเสี่ยงใหม่ ในอดีต เราเคยพูดถึงสัญญาและรูปแบบความรับผิด แต่ดูเหมือนมันจะไม่ทำงานในห่วงโซ่อุปทานที่เติบโตอย่างรวดเร็วและเติบโตอย่างรวดเร็วนี้ เราเห็นภัยคุกคามที่เพิ่มมากขึ้นในองค์กรจากบุคคลที่สามและแม้กระทั่งจากบุคคลที่สาม CISO ที่มองการณ์ไกลต้องเริ่มคิดเกี่ยวกับ: รูปแบบการเป็นหุ้นส่วนใหม่มีลักษณะอย่างไร ฉันจะเข้าใจในแบบที่ใกล้ชิดกว่าที่ฉันเคยทำในอดีตได้อย่างไร ฉันทำธุรกิจกับใคร ความเสี่ยงประเภทใดที่เสนอต่อองค์กรของฉัน ข้อมูลประเภทใดที่พวกเขาจัดการให้ฉัน ธุรกรรมประเภทใดที่พวกเขาดำเนินการในนามของฉัน ฉันเข้าใจความเสี่ยงที่ระบบนิเวศของฉันมอบให้ฉันอย่างแท้จริงหรือไม่ และฉันกำลังวางการควบคุมที่เหมาะสมที่ไม่เพียงแต่ลดความเสี่ยงนั้นเท่านั้น แต่ยังต้องติดตามอย่างต่อเนื่องหรือไม่ หลายครั้งที่สิ่งที่เกิดขึ้นคือบุคคลที่สามหรือคู่ค้าที่เราร่วมงานด้วยในปัจจุบันซึ่งมีความเสี่ยงค่อนข้างต่ำ เมื่อเวลาผ่านไปอาจมีความเสี่ยงสูงขึ้นเรื่อยๆ สำหรับเรา เราเคยเห็นหลายองค์กรมีปัญหาเพราะไม่ได้ทำการประเมินอย่างต่อเนื่อง พวกเขาไม่มีความเข้าใจที่ทันสมัยเกี่ยวกับความเสี่ยงที่ระบบนิเวศนำเสนอต่อพวกเขา ความจริงก็คือคุณไม่สามารถไปคนเดียวได้อีกต่อไป ระบบนิเวศของคุณกำลังจะขยายตัวอย่างต่อเนื่องในอัตราแบบทวีคูณ และแบบจำลองต่างๆ ของการประเมินความเสี่ยง การติดตามความเสี่ยง และการจัดการความเสี่ยงนั้นเมื่อเวลาผ่านไป คือสิ่งที่จะแยก CISO ที่ดีออกจาก CISO ที่อาจมีปัญหา ทอดด์ พรูซาน การฝึกอบรมและการตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ของ HBR ไม่ได้เกิดขึ้นเพียงครั้งเดียวแล้ว และเสื้อยืดและแก้วกาแฟก็ไม่ถูกตัดอีกต่อไป CISO จะฝังการรักษาความปลอดภัยทางไซเบอร์ไว้ใน DNA ขององค์กรและคิดเกี่ยวกับไซเบอร์เป็นกระบวนการและไม่ใช่เหตุการณ์ได้อย่างไร เราจะเปลี่ยนจากการกระทำอย่างมีสติไปสู่นิสัยได้อย่างไร? Fred Rica, CISO สมัยใหม่ของ KPMG ต้องเป็นนักสื่อสารที่มีความซับซ้อนมากกว่าที่เคยเป็นมา พวกเขาต้องเป็นผู้ประกาศข่าวประเสริฐสำหรับโปรแกรมความปลอดภัยทางไซเบอร์ เราทราบจากข้อมูลเชิงประจักษ์ว่าการฝึกอบรมและการตระหนักรู้ด้านการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพช่วยลดความเสี่ยง โอกาส ค่าใช้จ่าย และผลกระทบของเหตุการณ์ในโลกไซเบอร์ได้อย่างมาก ดังนั้น การให้เสื้อยืดและแก้วกาแฟปีละครั้งไม่เพียงพอ สิ่งที่เราต้องเริ่มคิดจริงๆ คือ เราจะสร้างแบรนด์จากโปรแกรมความปลอดภัยทางไซเบอร์ได้อย่างไร เราจะรับคนมาซื้อภารกิจได้อย่างไร? เราทำให้พวกเขาตื่นเต้นได้อย่างไรว่าการรักษาความปลอดภัยทางไซเบอร์มีความสำคัญ และมีบทบาทอย่างมากในการปกป้องบริษัท สิ่งที่เราพบคือโปรแกรมสมัยใหม่ที่มีประสิทธิภาพสูงมีบางสิ่งที่เหมือนกัน หนึ่งคือการยอมรับว่าผู้ใหญ่เรียนรู้แตกต่างจากเด็ก ดังนั้นคุณต้องมีโปรแกรมที่สร้างจากรูปแบบการเรียนรู้ของผู้ใหญ่ เรารู้ว่าสิ่งต่าง ๆ เช่น gamification, Augmented Reality, Virtual Reality—กลไกการส่งประเภทนั้น—สามารถส่งผลกระทบอย่างมหาศาล ทำให้ผู้คนตื่นเต้นที่จะเข้าร่วมการฝึกอบรม หากคุณถามผู้คนว่าพวกเขาตั้งตารอการฝึกอบรมหรือไม่ มีคนจำนวนไม่มากที่ยกมือขึ้น แต่เมื่อคุณเริ่มเพิ่มสิ่งต่างๆ เช่น เกมและระบบอัตโนมัติ ผู้คนจะรู้สึกตื่นเต้นกับมันมาก ในที่สุด สิ่งที่เราพบคือเราควรสร้างการฝึกอบรมส่วนบุคคลสำหรับผู้คน โปรแกรมที่ดีจริงๆ ในปัจจุบัน ไม่เพียงแต่สอนผู้คนถึงวิธีการปกป้องบริษัทเท่านั้น แต่ในสภาพแวดล้อมการทำงานจากที่บ้าน หลังโควิด-19 ที่ทุกคนเป็น CISO ของบ้านหรือที่บ้าน โปรแกรมต่างๆ ก็ควรคำนึงถึงสิ่งนั้นด้วยและ แสดงให้ผู้คนเห็นถึงวิธีการปกป้องครอบครัวของพวกเขา—วิธีปกป้องลูก ๆ ของคุณที่อาจออนไลน์มากกว่าปกติ พ่อแม่ที่อาจอาศัยอยู่กับคุณซึ่งออนไลน์มากกว่าปกติ ไปโรงเรียนทางไกล เมื่อโปรแกรมเริ่มคำนึงถึงสิ่งนั้นและเราแสดงให้พนักงานของเราเห็นว่าเราใส่ใจพวกเขาเป็นการส่วนตัวเช่นกัน เรารู้ว่านั่นแปลกลับไปเป็นความปรารถนาที่แรงกล้าที่จะปกป้องบริษัท ข้อความที่สม่ำเสมอและสม่ำเสมอของพวกเราทุกคนในเรื่องนี้ เป็นส่วนหนึ่งของภารกิจ ปกป้องบริษัท และปกป้องคุณเป็นการส่วนตัว [that] นำโปรแกรมเหล่านั้นไปสู่ระดับที่ทันสมัยยิ่งขึ้น และทำให้มีประสิทธิภาพมากขึ้น ภัยคุกคามใหม่ทั้งหมดที่เรายังคงพบเห็น Todd Pruzan, HBR Fred Rica จาก KPMG ขอขอบคุณที่เข้าร่วมกับเราในวันนี้ Fred Rica, KPMG ด้วยความยินดี ขอขอบคุณ. หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่ KPMG ช่วยให้ลูกค้าได้รับความไว้วางใจจากผู้มีส่วนได้ส่วนเสีย โปรดไปที่ read.kpmg.us/trust
