ชีวิต CISO แต่ละวัน พันกว่าเรื่อง ตอนที่ 1

Chalermchai Wonggate

Chief Security Service and Innovation Officer

จากบทความก่อนหน้านี้ที่เป็นเรื่องเกี่ยวกับภัยคุกคามต่อโครงสร้างพื้นฐานสำคัญของปี 2026 ที่ผู้บริหารควรรู้นั้น ทำให้เกิดแนวคิดว่าแล้วมีอะไรอีกบ้างที่ผู้บริหารต้องให้ความสนใจ หรือต้องเผชิญอยู่ในแต่ละวันซึ่งแน่นอนว่าไม่ใช่เรื่องทางเทคนิคเพียงอย่างเดียวแน่ ๆ จึงเป็นที่มาแนวคิดสำหรับบทความนี้ ที่ต้องการสะท้อนหน้าที่อันหลากหลายและความท้าทายที่ Chief Information Security Officer หรือ CISO ต้องเผชิญ รวมทั้งคาดหวังให้ผู้ที่ปฏิบัติงานเกี่ยวข้องได้มีความเข้าใจในตัวตนของ CISO อันนำไปสู่ความเข้าใจและการร่วมมืออย่างราบรื่น โดยเฉพาะผู้ที่กำลังมองตำแหน่ง CISO เป็นเป้าหมายในอาชีพ จะได้เตรียมความพร้อมและรับรู้ความคาดหวังไว้ตั้งแต่ปัจจุบัน เพื่อที่จะสามารถปฏิบัติหน้าที่นี้ได้อย่างมีความสุขเมื่อโอกาสมาถึง เปรียบได้กับเป็นจิ๊กซอว์ชิ้นสำคัญที่องค์กรรอคอยให้มาเติมเต็มประสิทธิภาพในมิติด้านความมั่นคงปลอดภัย

CIO มาแล้ว แล้ว CISO ล่ะ

เป็นธรรมดาที่ CIO ซึ่งเป็นผู้บริหารระดับสูงจำเป็นต้องมีทีมงานคอยสนับสนุนการดำเนินงานและข้อมูลประกอบการตัดสินใจ ซึ่งงานของ CIO นั้นไม่ได้มีเพียงเรื่องทางเทคนิคว่าจะทำอะไร แต่ต้องตอบบอร์ดบริหารได้ว่าไอทีที่นำมาใช้นั้นส่งผลดีที่เป็นรูปธรรมต่อการดำเนินธุรกิจหรือการให้บริการประชาชนอย่างไร ผลลัพธ์ต้องสามารถจับต้องได้วัดค่าได้ ตอบคำถามด้านความคุ้มค่าในมุมมองของธุรกิจได้ เช่น งบประมาณการบำรุงรักษาหรือพัฒนาเพิ่มขีดความสามารถ จะทำให้หน่วยงานสร้างผลกำไรได้เพิ่มขึ้นหรือต่อเนื่องซึ่งมีมูลค่าสูงกว่าเงินที่ลงทุนไปกับไอที เป็นต้น ไหนจะมีงานด้านบริหารตามความรับผิดชอบของตำแหน่งอีก เมื่อไอทีได้รับการนำมาใช้งานอย่างกว้างขวางขึ้นกระทั่งกลายเป็นส่วนหนึ่งของการปฏิบัติงานทั้งในหน่วยงานภาครัฐและเอกชน ประเทศไทยก็มาถึงการเปลี่ยนแปลงที่สำคัญอีกครั้งหนึ่ง โดยได้มีจัดตั้งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารขึ้นเมื่อปี พ.ศ.2545 เพื่อรับผิดชอบงานด้านเทคโนโลยีสารสนเทศและการสื่อสารของประเทศให้ตอบสนองต่อการบริหารประเทศอย่างเป็นระบบ มีประสิทธิภาพ และเป็นมาตรฐาน สิ่งนี้เป็นเครื่องพิสูจน์ว่าการพัฒนาด้านเทคโนโลยีสารสนเทศและการสื่อสาร หรือไอซีทีของไทยก้าวหน้ามากเพียงใด แต่โลกก็ไม่ได้มีแค่ทุ่งลาเว้นเดอร์ แต่มีทุ่งกุลาร้องไห้ด้วย อะไรก็ตามเป็นที่นิยมหรือใช้งานอย่างแพร่หลายจนเป็นส่วนหนึ่งในชีวิตประจำวันของประชาชน  สิ่งนั้นย่อมดึงดูดผู้ไม่ประสงค์ดีให้เข้ามาด้วยเช่นกัน และโลกได้เปลี่ยนแปลงอีกครั้งเมื่อเกิดมีผู้ที่มีความเชี่ยวชาญทางเทคโนโลยี ที่คิดและทำอะไรแปลก ๆ ว่าถ้าทำให้ระบบไอที/ไอซีทีทำงานอย่างผิดปกติจะเกิดอะไรขึ้น  ใส่ข้อมูลตัวอักษรลงไปในช่องที่รับค่าตัวเลขจะเกิดอะไรขึ้น ใส่ชุดคำสั่งลบข้อมูลลงไปในช่องรับคำที่ค้นหาจะเกิดอะไรขึ้น เป็นต้น ซึ่งจะกล่าวโทษว่าบุคคลเหล่านั้นเป็นผู้ร้ายเพียงฝ่ายเดียวก็จะดูไม่เป็นธรรมเกินไป เพราะข้อเท็จจริงคือ ระบบไอที/ไอซีทีในยุคแรกเริ่มนั้น ออกแบบและสร้างขึ้นบนแนวคิดของการใช้งานแบบปกติ ไม่ได้ออกแบบเผื่อถึงการป้องกันการใช้งานที่ผิดไปจากปกติ ประเทศไทยเองในฐานะผู้ใช้งานเทคโนโลยีก็ได้รับผลกระทบนี้เช่นกัน งานของฝ่ายไอทีจึงไม่ได้จำกัดเพียงแค่การทำให้ระบบไอที/ไอซีทีทำงานได้อย่างต่อเนื่อง ตอบสนองความต้องการใช้งานของผู้ใช้เท่านั้น แต่ยังต้องรับมือกับงานมิติใหม่ที่งอกขึ้นมา ต้องเพิ่มหน้าที่ตรวจสอบ ป้องกัน และแก้ไขความบกพร่องของระบบไอที/ไอซีทีที่ในยุคนั้นให้รอดปลอดภัยจากภัยคุกคามด้วย ทำให้หนึ่งวันของฝ่ายไอที ไม่เพียงพอต่อการทำงานทั้งสองด้านดังที่กล่าวมา 

นอกจากนี้ การรักษาความมั่นคงปลอดภัยระบบไอที/ไอซีที ก็เป็นองค์ความรู้อีกอาณาจักรหนึ่งที่ต้องใช้เวลาในการศึกษา ติดตามข้อมูลข่าวสารอย่างต่อเนื่อง ซึ่งงานด้านไอที/ไอซีทีเองก็ต้องการเวลาและการเอาใจใส่ลักษณะนั้นเช่นกัน โลกจึงถึงคราวที่ต้องแตกแขนงงานด้านรักษาความมั่นคงปลอดภัยเทคโนโลยีขึ้นมาอีกแขนงหนึ่ง และแน่นอนว่างานด้านการรักษาความมั่นคงปลอดภัย ก็เป็นสิ่งที่ต้องรายงานข้อมูลขึ้นไปสู่ระดับบริหาร เป็นสิ่งที่ต้องใช้งบประมาณ เป็นสิ่งที่ต้องการการบำรุงรักษา ต้องการการวางแผนดำรงขีดความสามารถไม่ต่างจากงานด้านไอที/ไอซีที ถึงจุดนี้หลายท่านคงดักทางได้ว่า จะมาขอแต่งตั้งผู้บริหารระดับสูงด้านความมั่นคงปลอดภัยอีกแล้วใช่ไหม ก็ให้ CIO ดูแลไปสิ จะไปตั้งแยกอีกทำไมคนก็มีอยู่เท่านี้ จะต้องไปเชื่อฝรั่งทำไม งานด้านเทคนิคเหมือนกันให้รองเทคนิคท่านดูแลไป  ฯลฯ ซึ่งเหตุผลเหล่านั้นก็ล้วนเป็นข้อเท็จจริงที่ฟังขึ้นอีกเช่นกัน 

แม้ว่าข้อจำกัดด้านอัตรากำลังของหน่วยงานจะดูเป็นอุปสรรค แต่เชื่อว่าผู้บริหารในยุคนั้นคงมีบ้างที่เกิดคำถามแว้บขึ้นมาในเซ้นส์ของการเป็นผู้บริหารว่า ภัยคุกคามจากผู้ไม่ประสงค์ดีนั้น มีโอกาสมาถึงเราไหม หน่วยงานเราเสี่ยงไหม ถ้าเกิดกับเราแล้วสร้างความเสียหายรุนแรงจะทำให้การให้บริการประชาชนเกิดความเสียหายไหม ทำธุรกิจเสียชื่อเสียงเสียหายเป็นมูลค่าเท่าไหร่ ทำให้เกิดอันตรายต่อชีวิตคนหรือผู้รับบริการไหม อาจลุกลามส่งผลต่อความมั่นคงของชาติไหม และที่สำคัญคือ เรารับไหวไหมถ้าความเสียหายเกิดขึ้น แล้วเราอ้างว่าก็มันมีข้อจำกัดมากมายเลยยังไม่ท้นได้ทำเรื่องด้านการความมั่นคงปลอดภัยนี้ ลูกค้า ผู้ถือหุ้น ชาวเน็ต รัฐมนตรีกระทรวง ฯลฯ ได้ยินแล้วเขาจะรู้สึกเห็นใจเราใช่ไหม เก้าอี้ตำแหน่งบริหารเรายังมั่นคงอยู่ใช่ไหม นั่นคือความท้าทายของผู้บริหารน่าจะทั้งโลกในยุคนั้น เมื่อโลกเห็นแล้วว่า CIO กับฝ่ายไอทีแค่นี้ ไม่เพียงพอต่อการรับมือทั้งงานด้านไอที/ไอซีทีและงานด้านความมั่นคงปลอดภัยพร้อมกันได้ไหว รวมทั้งอาจมีเหตุการณ์ที่ CIO เพียงท่านเดียว ไม่สามารถแบกรับความรับผิดชอบในการที่จะตัดสินใจฟันธงลงไปได้ว่าหน่วยงานอยู่รอดปลอดภัยหากเลือกทำไอทีก่อนแล้วปล่อยเรื่องการรักษาความมั่นคงปลอดภัยไว้ทำทีหลัง (หรือเลือกปลอดภัยไว้ก่อนโดยยอมทิ้งโอกาสทางธุรกิจ) ซึ่งการที่จะตัดสินใจฟันธงในเรื่องที่มีผลกระทบสูงอย่างนี้ เป็นหน้าที่ตามตำแหน่งความรับผิดชอบของ Chief Executive Officer หรือ CEO ที่ต้องตัดสินใจ แต่ท่านก็ต้องได้รับข้อมูล ผลการวิเคราะห์ และข้อเสนอแนะอย่างรอบคอบจาก CIO และ ผู้บริหารระดับสูงด้านความมั่นคงปลอดภัย หรือที่เรียกว่า Chief Information Security Officer หรือ CISO นั่นเอง  

คนทั่วไปมอง CISO อย่างไร

ในช่วงที่ผู้เขียนยังปฏิบัติหน้าที่ผู้อำนวยการสำนักบริหารโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ก็ได้มีโอกาสเข้าพบพี่ ๆ หน่วยงานของรัฐและเอกชน ณ สำนักงานของท่าน และเป็นโอกาสอันดียิ่งที่ CISO ท่านกรุณาให้การต้อนรับ แนะนำข้อมูล แลกเปลี่ยนมุมมองและรับทราบเสียงสะท้อนที่มีต่อการดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ เท่าที่เวลาของท่านจะอำนวย บางท่านสามารถอยู่สนทนาได้นาน บางท่านแจ้งว่าเข้าประชุมได้สักพักหนึ่งแล้วก็ต้องขอตัวไปงานอื่นต่อ ไม่ว่าแต่ละท่านจะดูมีภารกิจมากเพียงใด ภาพที่พบและทำให้เกิดความประทับใจคือ CISO คือผู้บริหารที่มีความสุขุม สง่างาม แต่งกายประณีตตามแบบของหน่วยงานของท่าน อารมณ์ดีและเป็นมิตรเหมือนชีวิตปราศจากความเครียดใด ๆ  และส่วนใหญ่ CISO ท่านจะนำเสนอแผนและผลสัมฤทธิ์ของการปฏิบัติตามพระราชบัญญัติฯ รวมทั้งแผนดำเนินงานในอนาคตให้ฟังด้วยตัวท่านเอง บ่งบอกถึงความเอาใจใส่ และความเชี่ยวชาญของงานในหน้าที่ CISO ของท่านอย่างแท้จริง หลายท่านอ้างอิงถึงสาระสำคัญของกฎหมายหรือประกาศที่เกี่ยวข้องได้อย่างแม่นยำ ซึ่งเป็นสิ่งที่น่าชื่นชมและน่าภูมิใจกับหน่วยงานนั้น ๆ ด้วยอย่างยิ่งที่มีผู้บริหารที่เพียบพร้อมด้วยความรู้ความสามารถในหน้าที่รับผิดชอบ แม้ว่าแต่ละหน่วยงานอาจจะมีระดับความพร้อมด้านการรักษาความมั่นคงปลอดภัยไซเบอร์แตกต่างกัน แต่สิ่งหนึ่งที่ CISO ทุกท่านมีเหมือนกันและสัมผัสได้จากการพูดคุยคือ ความเชื่อมั่นอย่างแรงกล้าว่า การบริหารงานด้านความมั่นคงปลอดภัยไซเบอร์ของท่าน ยังอยู่บนเส้นทางที่เป็นไปตามแผน โดยที่ไม่ได้มีท่าทีกังวลใด ๆ ว่าข้อจำกัดจะมีผลทำให้แผนงานไม่สำเร็จ เหมือนแต่ละท่านมีแนวทางจัดการอยู่ในใจอยู่แล้ว และกำลังสนุกกับการขับเคลื่อนงานท่ามกลางอุปสรรคนั้น อีกทั้งหลายท่านยังคิดเผื่อให้ด้วยอีกว่า หากหน่วยงานหลักควรกำหนดแผนงานสนับสนุนใด ๆ ในภาพรวม ที่จะช่วยให้เกิดการพัฒนาด้านความมั่นคงปลอดภัยไซเบอร์แก่หน่วยงานอื่น ๆ ในเซ็กเตอร์ได้อย่างครอบคลุมยิ่งขึ้น  เป็นต้น

ถึงตรงนี้ก็อยากชวนผู้อ่านคิดเล่น ๆ ว่า อะไรที่หล่อหลอมหรือส่งผลให้ CISO เป็นผู้มีความรู้ความสามารถขนาดนั้น? ชีวิต CISO ไม่เครียด ชิลด์ ๆ จริงหรือ? แต่ละวัน CISO มีเวลาพอในการศึกษาหลักเกณฑ์ กฎหมาย ติดตามข่าวสารความเคลื่อนไหวด้านไซเบอร์จริงหรือ? CISO ทราบสถานะการดำเนินโครงการได้อย่างไรทั้งที่ไม่ได้รันโครงการเอง?  CISO จำเป็นต้องมองไกลไปถึงระดับเซ็กเตอร์ หรือระดับชาติ/นานาชาติขนาดนั้นไหม? 

ทั่วโลกมอง CISO อย่างไร

ผู้เขียนได้สืบค้นและรวบรวมข้อมูลที่เกี่ยวกับบทบาทหน้าที่ของ CISO จากอินเทอร์เน็ต และได้พบข้อมูลหนึ่งที่ระบุว่าเป็นการสัมภาษณ์ CISO คนแรกของโลก (เท่าที่มีการบันทึกไว้) ชื่อของเขาคือคุณสตีฟ แคทซ์ (Steve Katz) และเหตุที่บุคคลท่านนี้ได้ชื่อว่าเป็น CISO คนแรกของโลก เนื่องจากได้รับการเชิญเข้าไปทำหน้าที่ผู้ดูแลความมั่นคงปลอดภัยให้กับ Citicorp (บริษัทแม่ของ Citibank) ซึ่งถูกแฮ็กเมื่อปี ค.ศ.1994 (หรือ พ.ศ.2537 – สามสิบปีก่อน) โดยโปรแกรมเมอร์ชาวรัสเซียชื่อ Vladimir Levin ที่ใช้การ dial-up เจาะเข้าระบบบริหารเงินสดของ Citibank และโอนเงินออกจำนวน 40 ครั้ง ในช่วง มิ.ย. – ต.ค. พ.ศ.2537 รวมมูลค่าประมาณ 10.7 ล้านดอลลาร์  ซึ่ง ธนาคารสังเกตเห็นความผิดปกติหลังจากที่ลูกค้าหลายรายร้องเรียนเกี่ยวกับการโอนเงินออกจากบัญชีดังกล่าว โดย Citibank ยังคงปล่อยให้การโอนเงินดำเนินต่อไป เพื่อให้ FBI และหน่วยงานบังคับใช้กฎหมายระหว่างประเทศสามารถติดตามและอายัดบัญชีเหล่านั้น เงินที่ถูกขโมยไปส่วนใหญ่สามารถนำกลับมา (ซึ่งนั่นคือเหตุการณ์เมื่อสามสิบปีก่อนที่เรื่องบัญชีม้าอาจยังไม่ซับซ้อนเท่าปัจจุบัน) Vladimir Levin ถูกจับกุมในกรุงลอนดอนในปี 1995 ถูกส่งตัวกลับสหรัฐอเมริกาในปี 1997 และถูกตัดสินจำคุกในปี 1998 ผู้อ่านสามารถรับทราบข้อมูลเพิ่มเติมของเรื่องดังกล่าวได้จากอินเทอร์เน็ต หรือที่ลิ้งก์ https://www.nytimes.com/1995/08/19/business/citibank-fraud-case-raises-computer-security-questions.html  

ส่วนข้อมูลที่กล่าวถึงคุณสตีฟ แคทซ์ ต่อกรณีเหตุการณ์ของ Citicorp ดังกล่าว ก็สามารถสืบค้นได้จากอินเทอร์เน็ต หรืออ่านเพิ่มเติมจากบทความซึ่งเขียนโดย CISO ของบริษัท F5 ที่กล่าวถึงเรื่องดังกล่าว ที่ลิ้งก์ https://www.f5.com/labs/articles/looking-forward-looking-back-a-quarter-century-as-a-ciso รวมทั้งสามารถเห็นหน้าตาของคุณสตีฟ แคทซ์ ตัวเป็น ๆ ได้จากบันทึกการสัมภาษณ์ที่  https://www.youtube.com/watch?v=xVGQdR09hPE 

เรื่องราวของสตีฟ แคทซ์

คุณสตีฟ แคทซ์ ได้ให้สัมภาษณ์ต่อ SecurityWeek สื่อออนไลน์ด้านความมั่นคงปลอดภัยไซเบอร์ โดยผู้อ่านสามารถรับทราบข้อมูลเพิ่มเติมได้ที่ https://www.securityweek.com/ciso-conversations-steve-katz-worlds-first-ciso/

คุณสตีฟเล่าต่อว่า ในช่วงที่ตนทำงานที่ Morgan Guaranty นั้น เป็นยุคที่กำลังมีการนำคอมพิวเตอร์ส่วนบุคคลมาใช้งานในองค์กร ซึ่งไวรัสคอมพิวเตอร์ก็เริ่มระบาด ตนพิจารณานำซอฟต์แวร์แอนติไวรัสมาใช้ และพบว่าเครื่องคอมพิวเตอร์ส่วนบุคคลใน Morgan Guaranty นั้นติดไวรัส แต่สิ่งที่คุณสตีฟนำเสนอต่อคณะกรรมการของ Morgan Guaranty คือ ไม่ได้เป็นการพยายามอธิบายว่าไวรัสคอมพิวเตอร์สร้างป้ญหาทางเทคนิคให้คอมพิวเตอร์อย่างไร เขาได้อธิบายโดยเปรียบเทียบสถานการณ์ว่า “หากคุณนั่งอยู่ในห้องซื้อขายที่หน้าเครื่องเทอร์มินัลซื้อขาย และคุณเห็นต่อหน้าต่อตาว่า  เลขหกและเจ็ดกลายเป็นเก้า เลขห้ากลายเป็นแปด และเลขสามกลายเป็นศูนย์ สิ่งนั้นส่งผลต่อการซื้อขายของคุณอย่างไร” คณะกรรมการถามว่าพอจะมีอะไรแก้ไขได้บ้าง คุณสตีฟบอกว่าเขาเคยเห็นผลิตภัณฑ์ที่อาจช่วยได้ กรรมการถามว่า “ราคาเท่าไหร่” เขาตอบว่า “400,000 ดอลลาร์” พวกเขาจึงบอกว่า “ไปหาซื้อมาสิ”

เรื่องราวนี้อธิบายมุมมองของคุณสตีฟเกี่ยวกับการเป็นผู้นำด้านความมั่นคงปลอดภัย ซึ่งเกี่ยวข้องกับการลดความเสี่ยงทางธุรกิจเป็นหลัก การกำจัดไวรัสเป็นเพียงส่วนหนึ่งของการลดความเสี่ยงทางธุรกิจ การที่จะได้รับการสนับสนุนจากผู้นำองค์กรนั้น จำเป็นต้องพูดคุยกับพวกเขาด้วยภาษาที่พวกเขาเข้าใจ ไม่ใช่เรื่องคอมพิวเตอร์หรือไวรัส แต่เป็นเรื่องของความเสี่ยงทางธุรกิจที่เกิดจากไวรัส และวิธีการลดความเสี่ยงนั้น

มาถึงเรื่องของ Citicorp บ้าง 

มีข่าวลือตั้งแต่ปี ศ.ศ.1990 แล้วว่า Citicorp ถูกแฮก แต่เพิ่งมีหลักฐานเมื่อ มิ.ย. ค.ศ. 1994 ซึ่งกว่าที่เรื่องจะเป็นที่รับรู้แก่สาธารณะก็เมื่อ FBI ขอส่งตัวผู้ต้องหาที่ถูกควบคุมตัวอยู่ในสหราชอาณาจักร คณะกรรมการบริหาร Citicorp มั่นใจว่าเรื่องนี้ต้องส่งผลกระทบต่อชื่อเสียงขององค์กรอย่างรุนแรง จึงสั่งให้ CEO หาผู้มาทำหน้าที่ผู้บริหารความมั่นคงปลอดภัยและไม่ให้เรื่องเช่นนี้เกิดขึ้นอีก ในครั้งนั้นชื่อของคุณสตีฟเป็นที่รู้จักในแวดวงการเงินอยู่แล้ว เขาได้รับเชิญให้ไปพูดคุยกับ Citicorp และตอบตกลงเพราะต้องการเรียนรู้สิ่งที่เกิดขึ้นกับ Citicorp เพื่อที่ป้องกันไม่เกิดกับ Morgan Guaranty แต่หลังการหารืออยู่ระยะหนึ่ง Citicorp เสนอตำแหน่งผู้บริหารด้านความมั่นคงปลอดภัยให้  ทำให้เขาย้ายจากตำแหน่งหัวหน้าแผนกความปลอดภัยของ Morgan Guaranty ไปอยู่ Citicorp เป็นผู้บริหารด้านความมั่นคงปลอดภัยระดับสูงคนแรกของโลก

หลังจากเข้ารับตำแหน่ง ภารกิจแรกของเขาคือการป้องกันความเสียหายต่อชื่อเสียงและการสูญเสียลูกค้าองค์กรรายใหญ่ คุณสตีฟเดินทางไปทั่วโลกเพื่อเยี่ยมลูกค้ารายใหญ่ที่สุด 20 รายของ Citicorp เขาอธิบายอย่างเปิดเผยถึงสิ่งที่เกิดขึ้นและการดำเนินการเพื่อป้องกันไม่ให้เกิดขึ้นซ้ำอีก รวมทั้งการปรับปรุงความมั่นคงปลอดภัยในอนาคต

เขายังแนะนำว่าลูกค้าของ Citicorp ควรสอบถามธนาคารของตนเองว่าพวกเขากำลังทำอะไรอยู่ ลูกค้าหลายรายโทรมาหาเขาในภายหลัง เพื่อบอกว่า 

Citicorp ปฏิเสธที่จะพูดคุยเกี่ยวกับมาตรการรักษาความปลอดภัยของตนเอง ซึ่งทำให้ตนรู้สึกประหลาดใจ โดยคุณสตีฟกล่าวว่า “ลูกค้ามีสิทธิ์และความจำเป็นที่จะต้องรู้ว่าพวกเราจะปกป้องเงินของเขาอย่างไร” นั่นแสดงให้เห็นว่ามุมมองเกี่ยวกับ CISO ได้ถูกกำหนดไว้แล้ว นั่นคือ ทุกสิ่งเป็นไปเพื่อการลดความเสี่ยงทางธุรกิจ รวมทั้งการสื่อสารและความโปร่งใสจากผู้บริหารองค์กรด้วย

สถานการณ์ระหว่าง CISO กับ CIO

ในบทสัมภาษณ์ดังกล่าวช่วงหนึ่งมีเนื้อหาเกี่ยวข้องกับ CIO โดยระบุว่าทำไม CISO ยุคใหม่ถึงเพิ่งกลับมาเน้นย้ำบทบาทของตน ว่าจำเป็นต้องบูรณาการเข้ากับการบริหารความเสี่ยงทางธุรกิจโดยรวม คุณสตีฟกล่าวว่าปัญหาคือความสัมพันธ์ระหว่าง CISO และ CIO เห็นได้จาก CISO ยังคงต้องรายงานต่อ CIO ซึ่งสิ่งนี้ทำให้เกิดความเชื่อโดยปริยายว่าความมั่นคงปลอดภัย มีไว้เพื่อสนับสนุนไอทีมากกว่าสนับสนุนธุรกิจ ปัญหาอยู่ที่ความขัดแย้งระหว่างบทบาทของ CIO และ CISO หน้าที่ของ CIO คือการนำโครงสร้างพื้นฐาน แอปพลิเคชัน และกระบวนการใหม่ ๆ มาใช้เพื่อปรับปรุงการทำงานของธุรกิจ แต่ความโหดร้ายคือ ระบบไอทีที่ทำงานได้ดี ๆ อยู่ ไม่นานนักก็พบว่ามีความเสี่ยงด้านความปลอดภัย อย่างไรก็ตาม เนื่องจาก CISO รายงานตรงต่อ CIO ทำให้ CISO ดูมีบทบาทที่ต่ำกว่า และทำให้ CISO ไม่สามารถทำงานได้อย่างเต็มประสิทธิภาพ คุณสตีฟกล่าวว่า (ในครั้งนั้น) อยากให้เปลี่ยนชื่อตำแหน่ง CISO เป็น Chief Information Risk Officer และให้ขึ้นตรงกับ CRO (Chief Risk Officer)  หรือไม่ก็ขึ้นตรงกับ CEO ไปเลย เพราะ ไม่ว่าจะมีการให้คำจำกัดความของ CISO อย่างไร องค์กรต่าง ๆ ก็ยังคงอยู่บนความเชื่อที่ว่า CISO อยู่ภายใต้ CIO ซึ่งคุณสตีฟเล่าให้ฟังว่า เขาเคยมีข้อพิพาทกับ CIO ในเรื่องการติดตั้งระบบใหม่ คุณสตีฟแย้งว่าทำไม่ได้เพราะมีความเสี่ยงทางธุรกิจ CIO กล่าวว่า ฉันเป็นเจ้านายของคุณและเราจะทำตามที่ฉันสั่ง ไม่เช่นนั้นจะไล่คุณออก ซึ่งคุณสตีฟกล่าวว่า “ตกลง คุณไล่ผมออกได้ แต่ต้องรอจนกว่าผมจะได้คุยกับคณะกรรมการบริหารก่อน และคุณจะต้องอธิบายว่าทำไมคุณถึงปฏิเสธคำแนะนำด้านความปลอดภัยของหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยด้านสารสนเทศ”

บทบาทของ CISO ในอดีต

ข้อมูลจาก IBM ซึ่งเข้าถึงได้จาก https://www.ibm.com/think/insights/ciso-role-evolution

ได้กล่าวถึงวิวัฒนาการบทบาทของ CISO โดยเริ่มต้นเหตุการณ์ตั้งแต่ที่

สตีฟ แคทซ์ กลายเป็น CISO คนแรกของโลกเมื่อเขารับตำแหน่งที่ Citicorp ในปี ค.ศ.1995 ตั้งแต่เริ่มต้นเส้นทางอาชีพ CISO เขาตระหนักว่าบทบาทนี้ไม่ใช่แค่ตำแหน่งด้านไอทีเท่านั้น แต่เป็นการให้บริการต่อธุรกิจโดยการลดความเสี่ยง หลังจากนั้นมา องค์กรอื่น ๆ ได้เพิ่มตำแหน่งใหม่นี้ โดย CISO จะรายงานต่อ CIO ในโครงสร้างองค์กรส่วนใหญ่ แม้ว่า CISO หลายคนจะตระหนักถึงแก่นแท้ของบทบาทของตน แต่ความเชื่อในยุคนั้นก็ไม่ได้เอื้ออำนวย CISO สักเท่าไหร่

เมื่อเวลาผ่านไป CISO พบว่าตนเองต้องจัดการกับประเด็นต่าง ๆ ที่อยู่ภายนอกองค์กร เช่น การสร้างความร่วมมือ การทำงานร่วมกับซัพพลายเออร์ และการจัดการการส่งข้อมูลภายนอก อย่างไรก็ตาม หลายองค์กรยังคงรู้สึกว่าบทบาทหลักยังคงอยู่ในขอบเขตของไอที ​​โดยมีความรับผิดชอบสำคัญที่สุดคือการป้องกันไม่ให้ธุรกิจตกเป็นข่าวพาดหัวว่าข้อมูลรั่วไหลหรือถูกโจมตีทางไซเบอร์ ทำให้ CISO มุ่งไปที่การปฏิบัติตามกฎระเบียบและการบริหารความเสี่ยงเป็นหลัก

รายงาน CISO 2026 ของ Splunk

ในช่วงไม่กี่ปีที่ผ่านมาบทบาทของ CISO ได้เปลี่ยนแปลงไปอย่างมากอีกครั้งเนื่องจากมีการโจมตีทางไซเบอร์เพิ่มมากขึ้น และความเสี่ยงที่เพิ่มขึ้นของการหยุดชะงักทางธุรกิจ ค่าปรับ รวมทั้งความเสียหายต่อชื่อเสียง จากรายงาน CISO 2026 ของ Splunk ซึ่งเข้าถึงได้จาก https://www.splunk.com/en_us/form/ciso-report.html ที่ได้สัมภาษณ์กลุ่มเป้าหมายคือผู้ดำรงตำแหน่ง CISO พบว่า 86% เห็นว่า บทบาทของ CISO เปลี่ยนไปมากนับตั้งแต่วันที่พวกเขาเข้ามารับตำแหน่ง จนแทบจะเป็นงานที่แตกต่างไปจากเดิม บทบาทได้เปลี่ยนจากเรื่องทางเทคนิคเป็นหลัก มาเป็นบทบาทของผู้นำทางธุรกิจมากขึ้น โดยหันมาให้ความสำคัญกับการช่วยให้ผู้นำองค์กรเข้าใจถึงความสำคัญของระบบรักษาความปลอดภัยทางไซเบอร์ และเป็นผู้นำด้านสำหรับกลยุทธ์ด้านไซเบอร์ขององค์กร CISO ทำหน้าที่เชื่อมช่องว่างระหว่างภาษาทางเทคนิคของฝ่ายไอที การเปลี่ยนแปลงบทบาทของ CISO นี้ยังก่อให้เกิดการปรับโครงสร้างองค์กรใหม่ด้วย โดยรายงานของ Splunk ระบุว่า 47% ของ CISO ในปัจจุบันรายงานตรงต่อ CEO สิ่งนี้แสดงให้เห็นว่าองค์กรให้ความสำคัญกับความมั่นคงปลอดภัยไซเบอร์ในฐานะเรื่องที่มีความสำคัญสูงสุดเรื่องหนึ่งขององค์กร 

บทบาทปัจจุบันของ CISO

ข้อมูลจาก Whitepaper ของ Network Intelligence สามารถเข้าถึงได้จาก https://www.networkintelligence.ai/resources/whitepapers/The_Evolving_Role_of_CISO.pdf ระบุว่า CISO มีขอบเขตความรับผิดชอบที่กว้างขวางมาก ในฐานะผู้บริหารระดับสูงที่รับผิดชอบด้านความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร งานของพวกเขาครอบคลุมหลายด้าน ดังรูป

จากรูป สรุปบทบาทของ CISO ยุคปัจจุบันออกเป็น 4 ด้าน ได้แก่

• นักวางกลยุทธ์ (Strategist) ขับเคลื่อนการจัดแนวกลยุทธ์ธุรกิจและความเสี่ยงทางไซเบอร์ให้สอดคล้องกัน ริเริ่มและผลักดันการเปลี่ยนแปลง เพื่อบริหารความเสี่ยงผ่านการลงทุนที่คุ้มค่า
• ที่ปรึกษา (Advisor) บูรณาการเข้ากับธุรกิจเพื่อให้ความรู้ คำแนะนำ และมีอิทธิพลต่อกิจกรรมต่าง ๆ ที่มีนัยสำคัญด้านความเสี่ยงทางไซเบอร์
• ผู้พิทักษ์ (Guardian) ปกป้องสินทรัพย์ทางธุรกิจโดยการทำความเข้าใจภูมิทัศน์ของภัยคุกคาม และบริหารจัดการประสิทธิผลของโปรแกรมความเสี่ยงทางไซเบอร์
• นักเทคโนโลยี (Technologist) ประเมินและนำเทคโนโลยีและมาตรฐานด้านความมั่นคงปลอดภัยมาใช้ เพื่อสร้างขีดความสามารถขององค์กร

ถ้าสรุปบทบาทยังไม่เห็นบทบาทที่ชัดเจน ลองดูตัวอย่างต่อไปนี้ 

1. ทำความเข้าใจข้อกำหนดด้านการปฏิบัติตามกฎระเบียบ (Compliance)

CISO ต้องเข้าใจกฎหมายและข้อบังคับที่เกี่ยวข้องกับธุรกิจตามอุตสาหกรรม ประเทศที่ดำเนินงาน และประเภทของข้อมูลที่จัดการ เช่น PDPA ในไทย, GDPR ในยุโรป, HIPAA สำหรับข้อมูลสุขภาพในสหรัฐฯ หรือ PCI-DSS สำหรับธุรกรรมบัตรเครดิต

เหตุการณ์จริงที่เกี่ยวข้อง: ในปี ค.ศ. 2024 บริษัท Meta ถูกปรับโดยคณะกรรมการ GDPR ของสหภาพยุโรปเป็นเงินกว่า 91 ล้านยูโร จากการจัดเก็บรหัสผ่านผู้ใช้แบบ plaintext โดยไม่มีการเข้ารหัส นี่คือตัวอย่างที่ชัดเจนว่าความบกพร่องด้าน compliance ก่อให้เกิดปัญหาต่อองค์กรที่รุนแรงเพียงใด

2. การประเมินความเสี่ยงและวางแผนแก้ไข (Risk Assessment)

CISO ต้องดำเนินการประเมินความเสี่ยงอย่างมีประสิทธิภาพ และจัดทำแผนบรรเทาความเสี่ยงที่ได้รับการสนับสนุนจาก C-Suite ทั้งหมด

เหตุการณ์จริงที่เกี่ยวข้อง: กรณีของ MGM Resorts ในปี ค.ศ.2023 ที่ถูกโจมตีทางไซเบอร์จนต้องปิดระบบไอทีทั่วทั้งองค์กร สร้างความเสียหายกว่า 100 ล้านดอลลาร์ ผู้เชี่ยวชาญวิเคราะห์ว่าหากมีการประเมินความเสี่ยงด้าน Social Engineering อย่างรอบคอบและได้รับงบประมาณจากผู้บริหารในการแก้ไขช่องโหว่ก่อนหน้านี้ ความเสียหายอาจลดลงได้มาก

3. ติดตามการใช้งาน Security Controls ตามกรอบมาตรฐานสากล

เช่น NIST-CSF, ISO 27001, SOC 2 ซึ่งเป็นมาตรฐานที่องค์กรชั้นนำทั่วโลกยึดถือเป็นแนวทาง

เหตุการณ์จริงที่เกี่ยวข้อง: หลังจากเหตุการณ์ SolarWinds Supply Chain Attack (2020) รัฐบาลสหรัฐฯ ได้ออกคำสั่งบริหาร (Executive Order 14028) ในปี ค.ศ. 2021 กำหนดให้หน่วยงานรัฐบาลกลางต้องนำ NIST Cybersecurity Framework มาใช้อย่างเข้มงวด ซึ่งส่งผลให้องค์กรเอกชนในหลายประเทศเร่งปรับตัวตามมาตรฐานนั้นด้วย

4. จัดโปรแกรมฝึกอบรมความตระหนักด้านความปลอดภัย (Security Awareness Training)

ครอบคลุมทั้งพนักงานประจำและผู้รับเหมาภายนอก เพราะทุกคนคือจุดอ่อนที่อาจถูกโจมตีได้

เหตุการณ์จริงที่เกี่ยวข้อง: รายงานของ IBM Security ปี ค.ศ. 2024 ระบุว่ากว่า 68% ของการละเมิดข้อมูล มีสาเหตุมาจากความผิดพลาดของมนุษย์ (Human Error) ไม่ว่าจะเป็นการคลิก Phishing Email หรือการตั้งค่าระบบผิดพลาด การฝึกอบรมจึงเป็นการลงทุนที่จำเป็นสำหรับในการรักษาความมั่นคงปลอดภัยไซเบอร์

5. จัดการความเสี่ยงจากบุคคลที่สาม (Third-Party Risk Management)

ผ่านโปรแกรมติดตามความปลอดภัยของ Vendor และพันธมิตรทางธุรกิจ

เหตุการณ์จริงที่เกี่ยวข้อง: เหตุการณ์ MOVEit Transfer Breach ในปี ค.ศ. 2023 กระทบองค์กรกว่า 2,500 แห่ง และข้อมูลผู้คนกว่า 66 ล้านคนทั่วโลก เพียงเพราะช่องโหว่ในซอฟต์แวร์ของ Third-party นี่แสดงให้เห็นว่าความเสี่ยงจาก Supply Chain และ Third Party นั้นสำคัญยิ่งกว่าที่คิด

6. รับมือกับเหตุการณ์ทางไซเบอร์ผ่านทีม CIRT (Cybersecurity Incident Response Team) เพื่อประสานงานและควบคุมสถานการณ์ได้อย่างรวดเร็ว

เหตุการณ์จริงที่เกี่ยวข้อง: เหตุการณ์ Crowdstrike Outage ในเดือนกรกฎาคม ค.ศ. 2024 ทำให้ระบบ Windows กว่า 8.5 ล้านเครื่อง ทั่วโลกล่มพร้อมกัน องค์กรที่มี CIRT ที่แข็งแกร่งสามารถกู้คืนระบบได้ภายในไม่กี่ชั่วโมง ขณะที่องค์กรที่ไม่มีแผนรับมือชัดเจนใช้เวลาเป็นวันหรือสัปดาห์

7. ติดตามแนวโน้มภัยคุกคามและรูปแบบการโจมตีใหม่ (Threat Intelligence)

เพื่อประเมินว่าภัยคุกคามเหล่านั้นส่งผลกระทบต่อองค์กรอย่างไร

เหตุการณ์จริงที่เกี่ยวข้อง: การเติบโตของ AI-Powered Cyberattacks ในปี ค.ศ. 2024–2025 ทำให้ CISO ทั่วโลกต้องปรับกลยุทธ์ใหม่ เช่น การโจมตีด้วย Deepfake Voice เพื่อหลอกโอนเงิน (เกิดขึ้นกับบริษัทในฮ่องกงที่สูญเงินกว่า 25 ล้านดอลลาร์) และการใช้ AI สร้าง Phishing Email ที่แทบแยกไม่ออกจากอีเมลจริง

8. สร้างและพัฒนาทีม (People & Talent Management)

รวมถึงการกระตุ้น สร้างแรงจูงใจ และพัฒนาทักษะสมาชิกในทีมอย่างต่อเนื่อง

เหตุการณ์จริงที่เกี่ยวข้อง: รายงาน ISC2 Cybersecurity Workforce Study ปี ค.ศ.2024 ชี้ว่าโลกขาดแคลนผู้เชี่ยวชาญด้าน cybersecurity กว่า 4 ล้านตำแหน่ง CISO จึงต้องทุ่มเทในการสรรหาและรักษาบุคลากรที่มีคุณภาพ รวมถึงลงทุนในการ Upskill ทีมงานที่มีอยู่

9. ตามทันการเปลี่ยนแปลงทางธุรกิจในยุค DevOps และ Cloud

ยุคปัจจุบันองค์กรใช้ Container, Cloud, และ CI/CD Pipeline อย่างแพร่หลาย CISO ต้องผนวก Security เข้าไปในทุกขั้นตอน (DevSecOps)

เหตุการณ์จริงที่เกี่ยวข้อง: ในปี 2024 มีรายงานการรั่วไหลของข้อมูลจาก S3 Bucket ที่ตั้งค่าผิดพลาด บน AWS จำนวนมาก รวมถึงกรณีที่ข้อมูลของรัฐบาลหลายประเทศถูกเปิดเผยโดยไม่ตั้งใจ นี่คือปัญหาที่เกิดขึ้นเมื่อความเร็วของ Cloud Adoption แซงหน้าความพร้อมด้านความปลอดภัย

10. รายงานสถานะความปลอดภัยต่อผู้บริหารและคณะกรรมการบริษัท

คัดเลือกประเด็นที่สื่อสารได้ชัดเจนและสัมพันธ์กับความเสี่ยงทางธุรกิจ

เหตุการณ์จริงที่เกี่ยวข้อง: ในปี ค.ศ.2023 SEC (สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ ก.ล.ต.) ของ สหรัฐฯ ออกกฎใหม่บังคับให้บริษัทจดทะเบียนต้องรายงานเหตุการณ์ cybersecurity ที่สำคัญภายใน 4 วันทำการ และต้องเปิดเผยความสามารถด้าน cybersecurity ของบริษัท ส่งผลให้ CISO ต้องสื่อสารกับบอร์ดบริหาร อย่างสม่ำเสมอและเป็นระบบมากขึ้น

ก่อนจบตอนที่ 1

กำลังค้นคว้าเนื้อหาอยู่เพลิน ๆ แต่ก็ต้องขอตัดจบตอนที่ 1 ไว้เท่านี้ก่อนเพราะเดี๋ยวยาวเกินไป จากที่ได้เล่าให้ฟังตั้งแต่ยุคที่ฝ่ายไอทีเงียบกริบไร้ตัวตน จนมาถึงวันที่ CISO มีที่นั่งบนโต๊ะระดับบริหารและรายงานตรงต่อ CEO จะเห็นได้ว่าการเดินทางของตำแหน่งนี้ไม่ได้ราบรื่น ต้องผ่านการพิสูจน์ ผ่านบททดสอบ และต้องใช้ความรู้ความสามารถเพื่อสร้างจุดยืนและคุณค่าของการมีอยู่ของตนเองในองค์กร

และสำหรับผู้อ่านที่กำลังมองตำแหน่งนี้เป็นเป้าหมายในอาชีพ สิ่งที่ควรเตรียมไม่ได้มีแค่เพียงใบประกาศนียบัตรหรือทักษะเทคนิค แต่ยังต้องพัฒนาสามารถในการเข้าใจธุรกิจ สื่อสารกับผู้บริหาร และวิธีอันเหมาะสมในการยืนหยัดในสิ่งที่เกิดประโยชน์ต่อองค์กรแม้จะเผชิญแรงกดดัน

แล้วพบกันครับในตอนต่อไปครับ