
Chalermchai Wonggate
Cybersecurity Columnist
หลังจากบทความ “ชีวิต CISO แต่ละวันพันกว่าเรื่อง ตอนที่ 1” ได้ผ่านสายตาของท่านผู้อ่าน
ไปแล้วในเดือนที่ผ่านมา จากสถิติการเข้าอ่านพบว่าได้รับความสนใจจากท่านผู้อ่านจำนวนมาก ผู้เขียนจึงขอกราบขอบพระคุณเป็นอย่างสูง ซึ่งสิ่งนี้ทำให้ผู้เขียนต้องเอาใจใส่ยิ่งขึ้นในการค้นคว้าข้อมูล คัดเลือกส่วนที่น่าสนใจและเป็นประโยชน์ และควบคุมโทนการนำเสนอเรื่อง เพื่อให้บทความในซีรีส์นี้มีความเป็น “เพื่อน” กับท่านผู้อ่าน ช่วยสะท้อนสิ่งที่อยู่ในใจ CISO ให้บุคคลรอบข้างที่ทำงานด้วยได้รับรู้ ช่วยเติมเต็มข้อมูลปัจจุบันที่ CISO ควรทราบ ช่วยชี้ถึงสาระสำคัญหรือผลกระทบ เพื่อให้ท่านผู้อ่านได้รับประโยชน์
ในแบบที่ไม่ใช่พาท่านมาอ่าน Whitepaper แต่เป็นแบบที่มุ่งตรงไปยังประเด็นที่เรื่องนั้นมีผลต่อองค์กร ในเรื่องที่องค์กรต้องมองหาท่านเป็นคนแรก
ผู้เขียนได้ทบทวนบทความตอนที่ 1 ซึ่งส่วนใหญ่เป็นเรื่องราวของงานด้านไอที/ไอซีทีในอดีต ดังนั้น เพื่อเป็นการกล่าวถึงจุดเริ่มต้นให้ถึงแก่น จึงขอใช้พื้นที่ส่วนหนึ่งเล่าถึงสภาพชีวิตของคนไอทีในช่วงก่อนปี พ.ศ. 2540 (เกือบสามสิบปีก่อน) เพื่อให้พอนึกสภาพความเป็นไปของงานไอทีโดยเฉพาะในภาครัฐก่อนที่จะมี CIO และ CISO ได้ชัดยิ่งขึ้น ก่อนอ่านเนื้อหาส่วนนี้ขอเชิญท่านสมมุติว่ากำลังดูภาพยนตร์สารคดีเก่า ๆ แนวน้ำตาล ๆ ซีเปีย (Sepia) ไปด้วยเพื่อความอินในบรรยากาศ……..

| ผู้เขียนก็เป็นคนหนึ่งที่เริ่มต้นสายอาชีพคอมพิวเตอร์ตั้งแต่ปี พ.ศ.2537 มีหน้าที่ซ่อมคอมพิวเตอร์ เครื่องพิมพ์ และเน็ตเวิร์คในสำนักงานให้ทำงานได้ตามที่มันควรเป็น ถ้าพังแค่ซอฟต์แวร์ก็ยังพอแก้ไขได้ แต่ถ้าพังที่ฮาร์ดแวร์และหมดประกันแล้วก็ต้องรวบรวมไว้ของบประมาณซ่อม ซึ่งแน่นอนกว่าการเสนอขอใช้งบประมาณจากไอทีนั้น แทบจะอยู่ในลำดับท้ายสุด คนสำนักงานยุคนั้นอาจจะรู้สึกว่าคอมพิวเตอร์ มีความสำคัญประมาณเครื่องพิมพ์ดีด ซึ่งก็ไม่ผิดเพราะในสำนักงานมีไม่กี่คนเท่านั้นที่เป็นเจ้าหน้าที่ปฏิบัติการคอมพิวเตอร์ ได้เห็นอยู่กับตาทำอยู่กับมือว่าคอมพิวเตอร์ทำงานได้มากกว่าแค่พิมพ์เอกสาร และคนพวกนี้ชีวิตส่วนใหญ่ก็จะเข้าเวรอยู่ใน ”ห้องเครื่อง” ไม่ค่อยมีโอกาสมาเล่าให้คนอื่นฟังว่า “คอม” มันทำงานอะไรได้บ้าง (หรือเล่าแล้วแต่ไม่มีใครอยากฟัง) กลับมาที่ยูสเซอร์บ้าง เมื่อนานวันเข้าเสียงบ่นของยูสเซอร์ที่รอการซ่อมก็เริ่มถี่และดังขึ้น บุคคลหนึ่งที่พอจะเป็นปากเสียงของยูสเซอร์ได้ก็คงจะเป็นหัวหน้า ไอที แต่ตัวหน้าไอทีเองแม้ว่าจะรวบรวมข้อมูลเสนอผู้บังคับบัญชาตามลำดับชั้นขึ้นไป ก็แทบไม่มีโอกาสเข้าประชุมชี้แจงความต้องการงบประมาณที่เสนอขึ้นไปนั้นเองเลย หรือถ้าโชคดีได้เข้าประชุมก็อาจไม่มีเวลาพอที่จะทำให้ผู้อนุมัติเข้าใจได้ว่างบประมาณที่ขอใช้นั้นจะช่วยเซฟหน่วยงานจากความเสียหาย/ล่าช้าในการปฏิบัติภารกิจเป็นมูลค่าเท่าใด เรื่องราวของพวกเราชาวไอทีในยุคนั้นก็เป็นอย่างนี้ คือมีชื่อเสียงโด่งดังมากในหมู่ยูสเซอร์ แต่กลับเงียบกริบไร้ตัวตนในการรับรู้ของระดับบน แต่ในปี พ.ศ.2541 ประเทศไทยมีการเปลี่ยนแปลงที่สำคัญ คือมีการกำหนดให้หน่วยงานภาครัฐแต่งตั้ง CIO (Chief Information Officer) หรือ “ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง” เป็นครั้งแรก โดยคณะรัฐมนตรีมีมติเห็นชอบตามที่ กระทรวงวิทยาศาสตร์ เทคโนโลยีและสิ่งแวดล้อม (นามกระทรวง ในขณะนั้น) ร่วมกับศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) เสนอ จึงมอบหมายให้สำนักงานคณะกรรมการข้าราชการพลเรือน เป็นผู้กำหนดแนวทางปฏิบัติ หน้าที่ความรับผิดชอบ และคุณสมบัติของตำแหน่ง CIO ภาครัฐ ซึ่งในครั้งนั้น สำนักงานคณะกรรมการข้าราชการ พลเรือนได้กำหนดให้ใช้วิธีแต่งตั้งควบตำแหน่งจากข้าราชการประจำระดับสูงที่มีอยู่เดิม โดยระดับกระทรวง ให้แต่งตั้ง รองปลัดกระทรวงท่านหนึ่ง ทำหน้าที่เป็น CIO ระดับกระทรวง (Ministry CIO หรือ MCIO) ส่วนระดับกรม ให้แต่งตั้ง รองอธิบดีท่านหนึ่ง ทำหน้าที่เป็น CIO ระดับกรม (Department CIO หรือ DCIO) ซึ่งเป็นถือเป็นจุดเริ่มต้นที่สำคัญของการที่เสียงของฝ่ายไอทีมีผู้บริหารระดับสูงนำเข้าสู่การตัดสินใจในระดับบริหาร ส่งผลให้หน่วยงานสามารถนำไอทีมาใช้เพื่อเพิ่มประสิทธิภาพการปฏิบัติภารกิจได้อย่างบังเกิดผลเป็นรูปธรรมตั้งแต่นั้นมา |
สาระสำคัญของตอนที่ 2
ในบทความตอนที่ 1 ที่ผ่านมา เป็นการกล่าวถึงบุคคลที่ได้ชื่อว่าเป็น CISO คนแรก สถานการณ์บทบาทหน้าที่ และความคาดหวังที่ต้องการให้เขาเข้ามาบริหารจัดการ ท่ามกลางสภาพแวดล้อม ความสัมพันธ์กับบุคคลในองค์กรโดยเฉพาะ CIO เหมือนดั่งพจมานก้าวเข้ามาเป็นสมาชิกใหม่ในบ้านทรายทอง บทความตอนที่ 2 นี้ต้องการชวนผู้อ่านมาสำรวจสภาพแวดล้อมของ CISO ในประเทศไทย การพัฒนาบุคลากรขึ้นมาเป็น CISO สถานภาพปัจจุบันของการให้บริการ CISO หรือที่เรียกว่า CISO as a Service ในประเทศไทยและต่างประเทศที่น่าสนใจ รวมทั้งความเห็นต่ออนาคตการให้บริการในด้านนี้ ซึ่งผู้เขียนเชื่อว่าหากวันหนึ่งประเทศไทยไปถึงจุดที่การให้บริการ CISO สามารถพบเห็นได้อย่างแพร่หลายนั้น สามารถบ่งชี้ได้ว่าองค์กรในไทยมีการยกระดับด้านการบริหารจัดการความมั่นคงปลอดภัยที่สูงขึ้น CISO เป็นที่ต้องการตัวมากขึ้น ทำนองเดียวกับความเชื่อที่ว่า จำนวนผู้ถือประกาศนียบัตร CISSP ของแต่ละประเทศ สามารถบ่งชี้ถึงความต้องแรงงานคุณภาพที่มาช่วยยกระดับการพัฒนาด้านความมั่นคงปลอดภัยไซเบอร์และธุรกิจด้านความมั่นคงปลอดภัยไซเบอร์ภายในประเทศนั้น ๆ

ผู้อ่านคงเห็นด้วยว่าตำแหน่ง CISO เกิดมาเพื่อภารกิจหลักในการจัดการอุปสรรคปัญหาทางเทคโนโลยีที่ส่งผลเสียต่อการดำเนินธุรกิจ เครื่องหมายการค้าของตำแหน่ง CISO คือผู้ที่รู้เรื่องและมีวิธีจัดการเรื่องทางเทคนิค ในแง่มุมที่บอกได้ว่าเรื่องเทคนิคนั้นหากทำ (หรือไม่ทำ) แล้วจะเกิดผลดี/ผลเสียต่อธุรกิจเป็นมูลค่าเท่าไหร่ทั้งในรูปแบบตัวเงิน ภาพลักษณ์ความเชื่อมั่นของลูกค้า/คู่ค้า/ผู้มีส่วนได้ส่วนเสีย และค่าปรับหรือการรายงานต่อหน่วยเหนือหากไม่ดำเนินการให้สอดคล้องตามกฎหมาย แต่ด้วยการที่ CISO เป็นผู้บริหารระดับ C-level จึงต้องเพิ่มเติมด้วยคุณสมบัติของผู้บริหารระดับสูง มุมมอง ประสบการณ์ในการบริหารองค์กร ซึ่งคำว่า “บริหาร” ที่ฟังดูเท่นั้น แท้จริงคือศาสต์และศิลป์ในการกำกับให้ “คน” ทำงานให้องค์กรไปตามแนวทางที่กำหนด และติดตามตรวจสอบ ประเมิน ป้องกัน แก้ไขปัจจัยที่จะทำให้เป็นอุปสรรคต่อการดำเนินไปตามแผนขององค์กร มันคือตำแหน่งที่จ้างมาให้เครียด (แต่แสดงออกไม่ได้) เพราะมีเรื่องที่ต้องดูแลหลายเรื่อง ไหนจะเรื่องที่ปฏิบัติอยู่ประจำตามวงรอบ ไหนจะเรื่องใหม่ที่มาพร้อมการพัฒนาอย่างรวดเร็วของเทคโนโลยี ซึ่งหน่วยงานกำกับดูแลหรือหน่วยงานมาตรฐานก็ขยันประกาศระเบียบ ข้อบังคับ มาตรฐาน ออกมาอย่างต่อเนื่องเสียเหลือเกิน แต่ก็เป็นสิ่งจำเป็นเพราะประเทศต้องมีกลไก/มาตรการกำกับให้การใช้เทคโนโลยีเป็นไปอย่างถูกต้องและมั่นคงปลอดภัยสอดคล้องกับแนวทางระดับโลก ซึ่ง CISO ก็ต้องคอยติดตามประกาศพวกนั้น ทำความเข้าใจและกำหนดแนวทางให้องค์กรปฏิบัติตาม ดูแล้วชีวิต CISO คล้ายกับโค้ชกีฬาที่ต้องยืนเกาะติดเกมการแข่งขันของลูกทีมอยู่ข้างสนาม ต้องติดตามแก้เกม กระตุ้นลูกทีม เปลี่ยนตัวผู้เล่น กติกาเดิมกติกาใหม่ต้องแม่น ตาต้องไว การกดดันกรรมการต้องมาถูกที่ถูกเวลา ทีมสตาฟ (Staff) ก็ต้องไปหามือดีมา
แล้วแบ่งหน้าที่ให้ทำเพราะทุกอย่างต้องทำไปพร้อม ๆ กัน สุดท้ายไม่ว่าเกมแพ้หรือชนะ โค้ชต้องพร้อมเป็นตัวแทนของทีมสื่อสารไปยังสาธารณชน สร้างภาพลักษณ์ความมั่นใจให้แก่แฟนกีฬาหรือสปอนเซอร์ได้ว่า จะสามารถสร้างผลงานที่ดีได้อีก หรือแก้ไขฟอร์มการเล่นที่แย่ได้ในการแข่งขันครั้งต่อไป เมื่อการแข่งขันจบโค้ชยังได้พัก แต่ CISO เป็นแล้วเป็นตลอดไม่มีวันพัก
บริบทของ CISO ในประเทศไทย

แม้ว่าที่มาหรือแรงผลักดันของการมีตำแหน่ง CISO ในองค์กรต่าง ๆ ทั่วโลกจะดูเป็นไปในทำนองเดียวกัน แต่บริบทของ CISO ในไทยโดยเฉพาะในหน่วยงานของรัฐจะมีความเป็นเอกลักษณ์อยู่บ้าง จากเนื้อหาตอนต้นเราทราบว่า CIO เป็นตำแหน่งที่คณะรัฐมนตรีมีมติให้หน่วยงานของรัฐแต่งตั้งขึ้น แต่สำหรับตำแหน่ง CISO นั้น ได้รับการกำหนดไว้ใน นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ ซึ่งอยู่ท้ายประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง นโยบายและแผนปฏิบัติการว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2565 – 2570) สามารถเข้าถึงได้จาก https://ratchakitcha.soc.go.th/documents/17236495.pdf ซึ่งมีผลใช้บังคับกับหน่วยงานตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ได้แก่ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (มีทั้งที่เป็นหน่วยงานของรัฐและหน่วยงานเอกชน) หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานของรัฐ ซึ่งในส่วนของหน่วยงานของรัฐนั้น ก็ใช้วิธีการลักษณะเดียวกับการตั้ง CIO คือแต่งตั้งรองท่านหนึ่งเป็น CISO
สภาพโดยทั่วไปของการตั้ง CISO ในหน่วยงานภาครัฐแม้ว่าจะดูเป็นไปโดยเรียบร้อย มีบางหน่วยงานที่อาจมีข้อจำกัดคือมีรองท่านเดียว ซึ่งรองท่านนั้นก็ต้องทำหน้าที่ทั้ง CIO และ CISO จะเห็นได้ว่า CISO ของหน่วยงานภาครัฐนั้นมีจุดเด่นคือการเป็นผู้บริหารระดับสูง คือเป็น C-level อยู่แล้ว สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ สกมช. ซึ่งเป็นหน่วยงานรับผิดชอบหลักด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ ได้จัดให้มีหลักสูตรอบรม “Executive CISO” ขึ้น โดยปัจจุบันจัดการอบรมอย่างต่อเนื่องเป็นปีที่สาม ผู้เข้าอบรมประกอบด้วยผู้บริหารระดับสูงจากหน่วยงานของรัฐและเอกชน หลักสูตรอบรมนี้เป็นกลไกสำคัญที่ช่วยเสริมขีดความสามารถ ประสบการณ์ ทักษะที่จำเป็นสำหรับ CISO โดยผู้บริหารระดับสูงของหน่วยงานของรัฐนั้นท่านมีจุดแข็งในการด้านการเป็นผู้บริหารระดับสูงอยู่แล้ว เมื่อได้รับการเพิ่มเติมความรู้ประสบการณ์ทางเทคนิคและหลักการเชิงธุรกิจอีกเล็กน้อยท่านก็สามารถเป็น CISO ที่สมบูรณ์ พร้อมทั้งยังมีเครือข่าย CISO ในรุ่น
ที่พร้อมเป็นเพื่อนคู่คิดในยามติดขัดยกหูหากันได้ การจัดการอบรม Executive CISO โดย สกมช. นี้จึงเป็นสิ่งที่ตอบสนองความต้องการในการผลิต CISO ของประเทศเทศได้อย่างตรงจุด
ซึ่งผลที่เกิดขึ้นคือ สถานภาพความพร้อมของการแต่งตั้ง CISO ในหน่วยงานของรัฐจึงอยู่ในระดับสูง เหลือเพียงการเข้ารับการอบรมเพื่อให้เกิดเครือข่าย (Connection) ซึ่งทยอยดำเนินการอย่างต่อเนื่องอยู่แล้วในปัจจุบัน
เมื่อการแต่งตั้ง CISO หน่วยงานของรัฐดูไม่มีอะไรที่เป็นอุปสรรค แล้วในภาคเอกชนล่ะ
เป็นอย่างไรบ้าง จากที่กล่าวมาตอนต้นว่า หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (ซึ่งประกอบด้วยหน่วยงานภาครัฐและภาคเอกชนจำนวนหนึ่ง) เป็นหน่วยงานที่ต้องแต่งตั้ง CISO
แล้วภาคเอกชนที่ไม่ได้เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะแต่งตั้ง CISO อย่างไร
ที่จริงแล้วภาคเอกชนปรับตัวและตอบสนองต่อการพัฒนาทางเทคโนโลยีได้อย่างรวดเร็วอยู่แล้วโดยไม่ต้องรอให้มีกฎหมายใดมาบังคับ แต่หากมองว่ามีมาตรฐานใดที่ภาคเอกชนสามารถนำมาเป็นมาตรฐาน
ในการปฏิบัติและเป็นที่ยอมรับระดับสากลได้บ้าง ก็คงต้องกล่าวถึง ISO/IEC 27001:2022 ซึ่งข้อกำหนด Clause 5.3 และ Annex A 5.2 ระบุว่า องค์กรต้องจัดทำเอกสารที่แสดงโครงสร้าง บทบาท หน้าที่ และความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ แม้ว่าไม่ได้ระบุชื่อตำแหน่งว่าต้องเป็น CISO แต่หน่วยงานเอกชนก็พิจารณาใช้ชื่อตำแหน่งนี้อย่างแพร่หลาย มาตรฐาน ISO/IEC 27001:2022 เป็นเวอร์ชันปัจจุบันที่หน่วยงานขอการรับรอง โดยเฉพาะหน่วยงานที่จะมีการร่วมทุนกับต่างประเทศ จำเป็นต้องได้รับการรับรองมาตรฐานนี้เพื่อเป็นสิ่งบ่งชี้ว่า หน่วยงานมีการดำเนินการรักษาความมั่นคงปลอดภัยข้อมูลที่สอดคล้องตามมาตรฐานที่เป็นที่ยอมรับในสากล ซึ่งนำไปสู่การลดโอกาสเสี่ยงของการที่ข้อมูลอ่อนไหวทางธุรกิจที่แบ่งปันกันในการร่วมทุนนั้นจะหลุดรั่วออกไปลงได้
วิเคราะห์การให้บริการ CISO ในไทย

เมื่อไม่นานมานี้ ผู้เขียนได้มีโอกาสรับผิดชอบงานด้านการสำรวจการดำเนินธุรกิจความมั่นคงปลอดภัยไซเบอร์ในประเทศ และกำหนดมาตรการส่งเสริม สร้างโอกาส ยกระดับมาตรฐานการให้บริการด้านนี้ ส่วนตัวมีความตื่นเต้นที่เห็นภาคเอกชนไทยรายใหม่ประกาศเปิดตัวธุรกิจ ยินดีที่ได้เห็นภาคเอกชนรายเดิมเปิดตัวผลิตภัณฑ์หรือบริการใหม่ สิ่งเหล่านี้เป็นตัวบ่งชี้ว่าธุรกิจของพวกเขาเข้มแข็งอยู่ แสดงถึงความต้องการผลิตภัณฑ์และบริการด้านนี้ในไทยยังดำเนินไปได้ จึงทำให้ผู้เขียนสำรวจข้อมูลบริบทด้าน CISO ในประเทศไทย ความต้องการตัว CISO ในหน่วยงานของรัฐและภาคเอกชน รวมทั้ง หากภาคเอกชนไทยต้องการให้บริการด้าน CISO นั้น มีอะไรที่เป็นจุดพิจารณาที่สำคัญบ้าง จึงได้วิเคราะห์ข้อมูลร่วมกับประสบการณ์และความเห็นส่วนตัว สรุปดังนี้
- การให้บริการ CISO แก่หน่วยงานของรัฐ แบบที่จัดผู้เชี่ยวชาญระดับ CISO เข้าไปนั่งในหน่วยงานของรัฐโดยตรงนั้นอาจยังไม่ใช่โอกาสทองในขณะนี้ เนื่องจากหน่วยงานของรัฐมีความพร้อมในการแต่งตั้ง CISO ในระดับสูง และมีกลไกในการพัฒนาประสบการณ์และเครือข่ายโดยหลักสูตรอบรมของ สกมช. ทั้งนี้ การแต่งตั้ง CISO ของหน่วยงานของรัฐ ดำเนินการโดยพิจารณารองท่านหนึ่ง ซึ่งให้ความสำคัญกับการเป็นผู้บริหารระดับสูงของหน่วยงาน มากกว่าการว่าจ้างผู้เชี่ยวชาญภายนอกเข้ามาเป็น CISO โดยตรง แต่อาจมีความเป็นไปได้ที่หน่วยงานภาครัฐอาจพิจารณาว่าจ้างภาคเอกชนเป็นที่ปรึกษาแก่ CISO ในลักษณะเป็นส่วนหนึ่งของโครงการด้านไอทีของหน่วยงาน
- การให้บริการ CISO แก่หน่วยงานภาคเอกชน ยังพอมีความเป็นไปได้เนื่องจากภาคเอกชนให้ความสำคัญต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และมีความจำเป็นทางธุรกิจในการดำเนินการตามกฎระเบียบ อย่างไรก็ตาม ตำแหน่งนี้มีความสำคัญและเข้าถึงชั้นความลับขององค์กรลูกค้า จึงอาจเป็นลักษณะจ้างเป็นพนักงานขององค์กรนั้นเลย หรือจ้างระยะยาว แต่สำหรับการจ้างแบบพาร์ทไทม์ (Part-time) นั้น อาจเป็นลักษณะการจ้างเป็นที่ปรึกษาเฉพาะเรื่อง เช่น หากบริษัทของไทยกำลังจะผู้ขายหรือผู้ให้บริการใน Supply Chain ของบริษัทยุโรปที่อยู่ในขอบเขต NIS2 ก็ต้องเตรียมความพร้อมปฏิบัติตามข้อกำหนดของ NIS2 เป็นต้น ท่านที่สนใจรับทราบรายละเอียดของ NIS2 สามารถเข้าถึงได้จาก https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- รูปแบบการให้บริการ CISO as s Service หรือ vCISO ของต่างประเทศ พบว่า Deloitte เป็นผู้ให้บริการรายหนึ่ง ซึ่งมีการให้บริการแบ่งออกได้หลายรูปแบบ เหมาะแก่การนำมาพิจารณาเป็นตัวอย่างการให้บริการของภาคเอกชนไทย โดยสามารถเข้าถึงได้จาก https://www.deloitte.com/cz-sk/en/services/consulting/services/cyber-risk/ciso-as-a-service.html
- Part-Time vCISO
เป็นบริการการจัดผู้เชี่ยวชาญระดับ CISO เข้าไปปฏิบัติงาน ณ หน่วยงานลูกค้า 4-12 วันต่อเดือน และมีทีมสนับสนุนในด้านความเสี่ยง กฎหมาย และการปฏิบัติให้สอดคล้องกับกฎหมาย เหมาะกับองค์กรขนาดกลางที่ยังไม่พร้อมมี CISO เอง
- Interim / Transitional CISO Support
เป็นบริการที่เหมาะกับองค์กรที่อยู่ระหว่างรอการแต่งตั้งสรรหา CISO ท่านใหม่ เพื่อดำรงความต่อเนื่องของการจัดการความเสี่ยง การปฏิบัติตามกฎหมาย และความพร้อมในการตอบสนองภัยคุกคาม
- Project-Based Engagements
เป็นบริการจัดผู้เชี่ยวชาญตามความต้องการเฉพาะด้านของลูกค้า เมื่อลูกค้าต้องดำเนินการตามระเบียบ/ข้อบังคับใหม่ที่มีผลใช้บังคับ การร่างระเบียบ/นโยบาย การเตรียมพร้อมรับการตรวจ (Audit) และทดสอบการตอบสนองภัยคุกคาม
- CISO Retainer with On-Demand Hours
เป็นบริการจองตัว CISO หรือเหมาจ่ายแบบยืดหยุ่นตามความต้องการของลูกค้า จ่ายเฉพาะช่วงเวลาที่ใช้งานหรือเฉพาะที่จองไว้
- Regulatory Remediation as s Service
เป็นบริการที่เข้าแก้ปัญหาให้ลูกค้าอย่างรวดเร็วกรณีพบความไม่สอดคล้องกับกฎหมาย การเร่งแก้ไขจุดอ่อนในการตอบสนองต่อภัยคุกคาม การแก้ไขสิ่งที่ตรวจพบจากผลการตรวจ (Audit) การดำรงรักษาระดับความสอดคล้องกับกฎหมาย
- Full-Time Secondment / Staff Loan Model
เป็นการบริการจัด CISO พร้อมทีม Security เข้าปฏิบัติงานเต็มเวลา ระยะเวลา 6-18 เดือน หรือระยะยาว ณ หน่วยงานของลูกค้า
- Shared or Fractional CISO Model
เป็นบริการ CISO สำหรับกลุ่มธุรกิจหรือหน่วยงานในเซ็กเตอร์ ที่ต้องการการอำนวยความสะดวกในการดำเนินการตามระเบียบของกลุ่ม เพื่อให้เกิดความมั่นใจในการสอดคล้องของนโยบาย
- CISO Enablement & Co-Sourcing
เป็นบริการเสมือนเป็นผู้ช่วยของ CISO ขององค์กรลูกค้า เพื่อให้เกิดความมั่นใจในการดำเนินการที่สอดคล้องตามกฎหมาย และการกำกับติดตามขององค์กร
- Managed Governance as a Service
เป็นบริการที่ครบถ้วนที่สุดครอบคลุม vCISO การประเมินความเสี่ยง การจัดการความเสี่ยงจาก third-party การจัดการฝึกแบบ Tabletop การจัดทำเอกสาร/ระเบียบ/ข้อบังคับ เหมาะสำหรับองค์กรที่ต้องการกำกับดูแลด้านความมั่นคงปลอดภัยในระดับสูงแต่ไม่มีทีมดำเนินการ
- การให้บริการ CISO as s Service หรือ vCISO ในไทย พบว่ามีจำนวนและรูปแบบบริการอย่างจำกัดเมื่อเปรียบเทียบกับต่างประเทศ แต่อย่างน้อยก็เป็นสิ่งที่ดีสามารถพบเห็นการให้บริการอยู่ ไม่เช่นนั้นหน่วยงานในประเทศหากต้องการใช้บริการคงต้องพึ่งพาบริการนี้จากต่างชาติซึ่งเป็นสิ่งที่น่าเสียดาย แนวโน้มทิศทางการพัฒนาด้านดิจิทัลในประเทศ สภาพการใช้บังคับกฎหมายหรือระเบียบที่เกี่ยวข้อง อาจเป็นแรงผลักดันให้หน่วยงานภาครัฐหรือเอกชนมีความต้องการบริการด้าน CISO เพิ่มมากขึ้นในอนาคตอันใกล้ นโยบายรัฐบาลที่สำคัญ เช่น นโยบายด้าน AI, นโยบาย Cloud First Policy หรือการใกล้สิ้นสุดระยะเตรียมความพร้อมของมาตรฐานความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ และมาตรฐานความปลอดภัยเว็บไซต์ ก็เป็นแรงขับเคลื่อนให้หน่วยงานในประเทศต้องทบทวนมาตรการของตน อีกทั้งสถานการณ์ภัยคุกคามไซเบอร์ที่มีการพัฒนาความซับซ้อนและเปลี่ยนแปลงอย่างรวดเร็ว ก็มีส่วนสำคัญในการผลักดันให้บริการ CISO as a Service หรือ vCISO มีความสำคัญและเป็นที่ต้องการยิ่งขึ้น เพราะตำแหน่งนี้คือผู้รับผิดชอบหลักที่ช่วยให้องค์กรอยู่รอดได้ท่ามกลางสภาพภัยคุกคามที่รุนแรงและการใช้บังคับกฎหมายที่เกี่ยวข้องตามนโยบายระดับชาติ รวมทั้งเมื่อองค์กรต้องเกี่ยวข้องกับต่างประเทศซึ่งมีระเบียบข้อบังคับด้านความมั่นคงปลอดภัยไซเบอร์ที่แตกต่างกับไทย
- การให้บริการ CISO as a Service หรือ vCISO ที่น่าจะมีความเหมาะสมในไทย อาจพิจารณาจัดให้มีทางเลือกที่สอดคล้องกับสถานการณ์ปัจจุบันคือ รองรับการมีผลใช้บังคับของกฎหมาย รองรับการทำธุรกรรมกับต่างประเทศที่มีมาตรฐานบังคับใช้ที่แตกต่างกับไทย เป็นต้น ทั้งนี้ การให้บริการจัดส่งผู้เชี่ยวชาญระดับ CISO ไปให้บริการ ณ หน่วยงานของลูกค้าอาจต้องใช้เวลาในการกระตุ้นเกิดการแพร่หลายในตลาดไทย ภาคเอกชนที่สนใจเปิดบริการด้านนี้อาจพิจารณาจัดส่งผู้เชี่ยวชาญระดับ CISO ไปพร้อมกับการบริการด้านที่ปรึกษาและฝึกอบรมด้านความมั่นคงปลอดภัยก่อนในขั้นต้น เพื่อพูดคุยกับผู้บริหารของหน่วยงานลูกค้าในการแนะนำบริการและสร้างความคุ้นเคยไปพลางก่อน อีกทั้งการส่งผู้เชี่ยวชาญไปพูดคุยเป็นการแสดงออกถึงความเอาใจใส่ต่อลูกค้า ซึ่งช่วยเสริมภาพลักษณ์
ที่ดีและกระตุ้นให้ลูกค้าเปิดใจรับบริการอื่น ๆ ได้ง่ายขึ้นในอนาคต - คำแนะนำสำหรับภาคเอกชนที่สนใจเปิดบริการด้านที่ปรึกษาและฝึกอบรมด้านความมั่นคงปลอดภัยไซเบอร์ อาจพิจารณาจัดให้มีบริการตามความพร้อมของผู้เชี่ยวชาญและประสบการณ์ของบุคลากรทางเทคนิคที่มีอยู่ เช่น บริการประเมินความสอดคล้องกับเฟรมเวิร์ค มาตรฐาน กฎระเบียบด้านความมั่นคงปลอดภัยไซเบอร์ รวมทั้งให้บริการปิด Gap ให้ลูกค้าตามผลการประเมินนั้น โดยให้บริการอย่างครบวงจรตั้งแต่บริการจัดทำร่างนโยบาย/ประกาศ บริการกำกับติดตามผลการดำเนินการตามนโยบาย/ประกาศ บริการประเมินสถาปัตยกรรมความมั่นคงปลอดภัยพร้อมบริการปรับข้อกำหนดพื้นฐานของมาตรการและทางเทคนิคให้มีความมั่นคงปลอดภัย เป็นต้น ทั้งนี้มีข้อพิจารณาที่สำคัญคือ งานด้านที่ปรึกษาและฝึกอบรม เป็นงานที่ขายความน่าเชื่อถือและต้องเรียกหาได้ทันใจ หากลูกค้ารู้สึกได้ว่าบุคลากรส่งมาให้บริการนั้นยังมีความรู้หรือประสบการณ์ไม่เพียงพอหรือต้องรอคิวนาน อาจทำให้ลูกค้าเสียความประทับใจและไม่ทนที่เปลี่ยนไปใช้ผู้ให้บริการรายอื่น
ส่งท้ายตอนที่ 2

ตอนที่ 2 นี้ เชื่อว่าผู้อ่านจะได้ทราบถึงสภาพแวดล้อมในปัจจุบันที่เกี่ยวข้องกับเรื่องของ CISO ในไทย ทั้งในมุมมองของหน่วยงานภาครัฐและมุมมองทางธุรกิจสำหรับภาคเอกชน และคงเอาใจช่วยให้ประเทศไทยไปถึงวันที่การให้บริการด้าน CISO เบ่งบานแพร่หลายในประเทศ จากบทความตอนที่ 1
ที่เราได้ทราบถึงมุมมองของหน่วยงานต่างประเทศชั้นนำที่มีต่อ CISO มาแล้ว ในซีรีส์ของบทความจากนี้ไป จะเป็นการนำเสนอผลสำรวจล่าสุดเมื่อปี ค.ศ.2025 ในแง่มุมต่าง ๆ ของผู้ปฏิบัติหน้าที่ตำแหน่ง CISO ผู้อ่านจะได้ดำดิ่งและอินไปกับสภาพแวดล้อมปัจจุบันของ CISO ที่มีผลต่อการตัดสินใจ การรับความเสี่ยงทั้งต่อความมั่นคงปลอดภัยขององค์กรและความมั่นคงปลอดภัยในตำแหน่งของตนเอง รวมทั้งการรวบรวมและสกัดเรื่องสำคัญสำหรับ CISO ทั้งในมุมของเทคโนโลยี เช่น เทคโนโลยีที่จะมาเปลี่ยนโลก (เปลี่ยนจริง ๆ โดยเฉพาะเทคโนโลยีเบื้องหลังแอปธนาคาร ลายเซ็นดิจิทัล เป็นต้น) เทคโนโลยีที่เป็นตัวเร่งปฏิกิริยาในความขัดแย้งในภูมิภาคและการเมืองระหว่างประเทศ และมาตรฐานที่ CISO ต้องเอาไว้ใช้ทำงาน และอื่น ๆ อีก โปรดอดใจรอและคอยติดตามตอนต่อไปครับ
