ผลการศึกษาเผย 36 เปอร์เซ็นต์ขององค์กรในภูมิภาคเอเชีย-แปซิฟิก (APJC) สามารถรับมือกับปัญหาและความท้าทายด้านไซเบอร์ซีเคียวริตี้ได้อย่างเหมาะสม

ท่ามกลางสถานการณ์ปัจจุบันที่ให้ความสำคัญกับการทำงานนอกสถานที่ โดยอาศัยกลยุทธ์ที่มุ่งเน้นการใช้งานซอฟต์แวร์และคลาวด์เป็นหลัก รายงานผลการศึกษาของซิสโก้เกี่ยวกับผลลัพธ์ด้านความปลอดภัย (Security Outcomes Study) สำหรับภูมิภาค APJC ประจำปี 2564 ระบุว่า องค์กรที่อัพเดตเทคโนโลยีอย่างสม่ำเสมอมีแนวโน้มที่จะประสบความสำเร็จด้านการรักษาความปลอดภัยมากที่สุด

รายงานผลการศึกษาทั่วโลกดังกล่าว ซึ่งอ้างอิงผลการสำรวจความคิดเห็นแบบอำพราง (Double-blind Study) โดยเป็นการศึกษาที่ปิดข้อมูลเพื่อป้องกันความเอนเอียงของข้อมูลทั้งสองทาง และมีการวิเคราะห์ข้อมูลอย่างอิสระ โดยสอบถามความคิดเห็นของบุคลากรด้านไอที ไซเบอร์ซีเคียวริตี้ และผู้เชียวชาญด้านความปลอดภัย จาก 13 ประเทศในภูมิภาค APJC รวมถึงประเทศไทย ข้อมูลที่ได้จะช่วยให้บุคลากรด้านไซเบอร์ซีเคียวริตี้สามารถดำเนินมาตรการต่างๆ ที่เฉพาะเจาะจงได้อย่างเหมาะสม และช่วยให้องค์กรธุรกิจสามารถตัดสินใจได้ว่าควรจะให้ความสำคัญกับการรักษาความปลอดภัยในส่วนใดเป็นพิเศษในปีนี้

องค์กรทั่วไปในภูมิภาค APJC ที่มีกลยุทธ์การอัพเดตเทคโนโลยีในลักษณะเชิงรุก มีแนวโน้มที่จะประสบความสำเร็จด้านการรักษาความปลอดภัยมากกว่า 15% ซึ่งนับเป็นตัวเลขสูงสุดเมื่อเทียบกับแนวทางอื่นๆ ส่วนในจีน ตัวเลขดังกล่าวอยู่ในระดับสูงที่สุดเมื่อเทียบกับประเทศอื่นๆ โดยองค์กรในจีนที่ใช้แนวทางดังกล่าวมีแนวโน้มที่จะประสบความสำเร็จด้านการรักษาความปลอดภัย 31% รองลงมาคือประเทศไทย (30%), ออสเตรเลีย (23%) และญี่ปุ่น (20%)

อย่างไรก็ดี ไม่ใช่ว่าทุกองค์กรจะมีงบประมาณหรือความเชี่ยวชาญที่มากพอสำหรับสร้างระบบรักษาความปลอดภัยที่เพียงพอ หรือที่เรียกว่า “Security Bottom Line” การโยกย้ายไปสู่ระบบคลาวด์ และการใช้โซลูชั่นด้านการรักษาความปลอดภัยในรูปแบบ SaaS จะช่วยลดปัญหาช่องว่างดังกล่าวได้

ผลการศึกษายังระบุอีกด้วยว่าโครงการไซเบอร์ซีเคียวริตี้ในภูมิภาค APJC ประสบปัญหาในเรื่องการขอความร่วมมือจากพนักงานมากที่สุด โดยมีองค์กรเพียงหนึ่งในสาม (33%) ที่สามารถดำเนินการดังกล่าวได้สำเร็จ ส่วนปัญหาท้าทายที่สำคัญรองลงมาได้แก่ การลดปริมาณงานที่ไม่ได้วางแผนไว้ (สำเร็จ 34%), การรักษาบุคลากรฝ่ายรักษาความปลอดภัย (สำเร็จ 36%), การจัดการความเสี่ยงที่สำคัญที่สุด (สำเร็จ 37%) ความสามารถในการเลี่ยงปัญหาด้านความปลอดภัยที่สำคัญๆ (สำเร็จ 38%) และการสร้างวัฒนธรรมด้านความปลอดภัย (สำเร็จ 38%)

ข้อมูลสำคัญอื่นๆ ที่พบในภูมิภาค APJC จากรายงานฉบับดังกล่าวมีดังนี้:

• ชุดเทคโนโลยีแบบครบวงจรที่บูรณาการเข้าด้วยกันอย่างเหมาะสม (A well-integrated technology stack) เป็นปัจจัยสำคัญอันดับที่สองในการสร้างความสำเร็จด้านไซเบอร์ซีเคียวริตี้ โดยส่งผลดีในเกือบทุกผลลัพธ์ที่มีการประเมิน และเพิ่มโอกาสในการประสบความสำเร็จโดยรวมที่อัตราเฉลี่ย 7% และที่น่าสนใจก็คือ การใช้ระบบแบบครบวงจรช่วยให้องค์กรสามารถดึงดูดและรักษาบุคลากรที่มีความรู้ความสามารถ เพราะทีมงานฝ่ายรักษาความปลอดภัยต้องการใช้งานเทคโนโลยีที่ดีที่สุด และหลีกเลี่ยงภาวะหมดไฟในการทำงาน

• ระบบที่ครบวงจร (Integration) คือปัจจัยสำคัญที่สุดในการสร้างวัฒนธรรมด้านความปลอดภัยทั่วทั้งองค์กร แทนที่จะดำเนินการฝึกอบรมเรื่องความปลอดภัยในรูปแบบเดิมๆ ซึ่งไม่ได้เกื้อหนุนการสร้างวัฒนธรรมความปลอดภัยที่เหมาะสม องค์กรที่เลือกลงทุนในเทคโนโลยีที่ยืดหยุ่นและมีความคล่องตัวสูงสามารถสร้างผลลัพท์ที่ดีต่อการรักษาความปลอดภัยโดยรวมได้มากกว่า
• “การทำงานร่วมกัน” ของทีมงานฝ่ายไอที และฝ่ายรักษาความปลอดภัยมีความเกี่ยวโยงน้อยมากในการสร้างความสำเร็จ ประเด็นนี้ดูเป็นเรื่องที่น่าประหลาดใจ แต่อาจเป็นเพราะว่าการรักษาความปลอดภัยถือเป็นงานส่วนหนึ่งของฝ่ายไอทีภายใต้การดูแลของซีไอโอ (CIO) ในหลายๆ องค์กร ซึ่งบ่งบอกว่าความร่วมมือของทีมงานทั้งสองถือเป็นเรื่องปกติ และไม่จำเป็นต้องได้รับการประเมินหรือการจัดการเพิ่มเติมเป็นพิเศษแต่อย่างใด นอกจากนี้ ยังอาจเป็นไปได้ว่าหลายๆ องค์กรมองว่าโครงการไอทีขนาดใหญ่ เช่น Zero Trust หรือการติดตั้งระบบ SASE/SD-WAN ถือว่าอยู่ภายใต้การกำกับดูแลและความรับผิดชอบของฝ่ายรักษาความปลอดภัย และโดยมากแล้วเป็นการทำงานที่ cross-domain ระหว่างฝ่ายไอทีและฝ่ายรักษาความปลอดภัยอยู่แล้ว

เคอรี่ ซิงเกิลตัน กรรมการผู้จัดการฝ่ายไซเบอร์ซีเคียวริตี้ประจำภูมิภาค APJC ของซิสโก้ กล่าวว่า “บุคลากรด้านไซเบอร์ซีเคียวริตี้เผชิญกับแรงกดดันที่เพิ่มมากขึ้นในการตัดสินใจอย่างฉับไว เพื่อรองรับรูปแบบ ‘การทำงานจากทุกที่’ ซึ่งแพร่หลายภายในเวลาอันรวดเร็ว และในขณะเดียวกันยังต้องรับมือกับภัยคุกคามทางไซเบอร์ที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง และมุ่งที่จะใช้ประโยชน์จากช่องโหว่ของระบบ”

“เนื่องจากบริษัทส่วนใหญ่ไม่ได้มีทรัพยากรมากพอสำหรับการลงทุนในส่วนที่เกี่ยวกับการปรับปรุงเทคโนโลยีหรือวัฒนธรรมด้านความปลอดภัย รวมถึงการว่าจ้างบุคลากรเพิ่มเติม หรือการปรับใช้เทคโนโลยีใหม่ๆ รายงานฉบับนี้จึงเสนอแนวทางที่จะช่วยให้บริษัทต่างๆ สามารถดำเนินการตัดสินใจในเรื่องสำคัญๆ ที่เกี่ยวกับการรักษาความปลอดภัยได้อย่างเหมาะสมเพื่อให้เกิดประโยชน์สูงสุด” เคอรี่ ซิงเกิลตัน กล่าว

ประเทศในภูมิภาค APJC ที่กล่าวถึงในรายงาน Security Outcomes Study ประจำปี 2564 ของซิสโก้ ได้แก่ ไทย ออสเตรเลีย จีน ฮ่องกง อินเดีย อินโดนีเซีย ญี่ปุ่น มาเลเซีย ฟิลิปปินส์ สิงคโปร์ เกาหลีใต้ ไต้หวัน และเวียดนาม