Sarunya Chaiduangsri
การผนวกรวมความปลออดภัยทางกายภาพ และไซเบอร์ เกิดขึ้นได้จริงไหม ?

#SecurityUpdate | การผนวกรวมความปลออดภัยทางกายภาพ และไซเบอร์ เกิดขึ้นได้จริงไหม ?
การผนวกรวมกันของความปลอดภัยทางกายภายและไซเบอร์ ไม่ใช่เรื่องใหม่สำหรับวงการความปลอดภัยทั่วโลก เพราะนับตั้งแต่ปี 2005 ที่บริษัทยักษ์ใหญ่ด้านความปลอดภัยอย่าง ASIS International และสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ (ISACA) มีการร่วมมือกัน เพื่อสร้างพันธมิตรด้านการจัดการความเสี่ยงด้านความปลอดภัยขององค์กร และทำให้การผนวกรวมด้านความปลอดภัยเกิดขึ้นได้จริง ก็ได้มีการคาดการณ์จากนักวิจัยด้านความปลอดภัยว่า ในอนาคตความปลอดภัยในด้านต่าง ๆ จะถูกผนวกรวมกันเป็นหนึ่งเดียว ด้วยทั้ง 2 องค์กรล้วนมีความเชื่อว่า การผนวกรวมกันของความปลอดภัยนั้นไม่ได้จำกัดอยู่แค่เพียงความปลอดภัยทางกายภาพ และไซเบอร์เท่านั้น แต่รวมถึงการตระหนักรู้ด้านความปลอดภัย และความรับผิดชอบในการจัดสรรทรัพยากรมนุษย์ และสายงานอื่น ๆ ในความรับผิดชอบ
ทว่าแนวคิดของพวกเขากลับไม่ได้รับการสนับสนุนเท่าที่ควร เพราะในปี 2007 มีการรายงานผ่านสมุดปกขาวของ Deloitte ว่า จากการศึกษาวิจัยพบว่า มีเพียง 24% ของผู้ตอบแบบสอบถามเท่านั้นที่มีการผนวกรวมด้านความปลอดภัย เนื่องจากในขณะนั้นผู้คนส่วนใหญ่คิดว่าการตระหนักรู้ด้านความปลอดภัยจะยิ่งทำให้การผนวกรวมด้านความปลอดภัยในทุกมิติเป็นเรื่องที่ยากมากขึ้น แต่ก็ใช่ว่าจะไม่สามารถเกิดขึ้นได้ เพราะ Adel Melek หุ้นส่วนของบริษัทด้านความปลอดภัยและบริการความเป็นส่วนตัว Deloitte และ Ray O’Hara CPP ซึ่งในขณะนั้นดำรงตำแหน่งประธานของสมาพันธ์ AESRM ได้เผยว่า
“การผนวกรวมด้านกายภาพ และความปลอดภัยทางไซเบอร์จะเกิดขึ้นก็ต่อเมื่อมีบางสิ่งมากระตุ้นให้ผู้คนเปลี่ยนแปลงการรับรู้ด้านความปลอดภัย จากนั้นการผนวกรวมจะเกิดขึ้นได้อย่างง่ายดาย เพียงแต่ยังไม่ใช่ในขณะนี้”
ทว่าหลังจากเหตุการณ์ใหญ่ ๆ ที่เกิดขึ้นทั่วโลก ไม่ว่าจะเป็นเหตุการณ์ 9-11 การได้รับความนิยมอย่างมากของอุปกรณ์ IoT การแข่งขันกันอย่างรุนแรงในระบบ Supply Chain การขาดกำลังพลด้านการรักษาความปลอดภัย รวมไปถึงการแพร่ระบาดของโรค COVID-19 ก็ทำให้ความเปลี่ยนแปลงด้านความปลอดภัยที่นักวิจัยคิดว่าไม่อาจเกิดขึ้นได้โดยง่ายนั้นได้เกิดขึ้นจริง และจากผลงานวิจัยล่าสุดในหัวข้อ Security Convergence and Business Continuity: Reflecting on the Pandemic Experience ซึ่งตีพิมพ์ในเดือนกันยายน 2022 ที่ได้มีการสอบถามผู้เข้าร่วมงานวิจัยกว่า 1,092 คนจาก 89 ประเทศ ก็พบว่า กว่า 60% ของผู้ตอบแบบสอบถามได้เผยว่า องค์กรของตนได้มีการเปลี่ยนผ่านสู่การผนวกรวมด้านความปลอดภัยทางกายภาพ และไซเบอร์แล้ว แต่ก็ยังมีองค์กรใหญ่ ๆ ทั่วโลกอยู่ไม่น้อยที่การผนวกรวมด้านความปลอดภัยทางกายภาพและไซเบอร์นั้นเป็นไปได้ช้ากว่าที่ควรจะเป็น โดยสาเหตุสำคัญนั้นเกิดจากการขาดแคลนบุคลากรที่มีความเชี่ยวชาญพิเศษ ทั้งด้านความปลอดภัยทางกายภาพ และความปลอดภัยทางไซเบอร์ จึงทำให้ต้องใช้ทรัพยากรบุคคลเท่าที่มีในการเปลี่ยนผ่านไปสู่ระบบที่ผนวกรวมระหว่างกายภาพและไซเบอร์เป็นไปได้ช้าลง
ทั้งนี้ก็มีเหตุผลมาจากบุคลากรด้านความปลอดภัยทั้งทางกายภาพและไซเบอร์มีทักษะ และความรู้ที่แตกต่างกัน บุคคลากรด้านความปลอดภัยทางกายภาพมักจะมีทักษะในการทำงานร่วมกับคนมากกว่า ส่วนบุคลากรด้านความปลอดภัยทางไซเบอร์ก็มีความเชี่ยวชาญกับด้านข้อมูล และระบบไซเบอร์มากกว่า ดังนั้นจึงยากที่จะทำให้การเปลี่ยนผ่านนั้นเป็นไปได้โดยไร้อุปสรรค
อย่างไรก็ตาม ในองค์กรใหญ่ ๆ การผนวกรวมความปลอดภัยทางด้านกายภาพ และไซเบอร์ก็ได้มีการวางแผนเพื่อให้เกิดความต่อเนื่องทางธุรกิจ และช่วยรักษาความปลอดภัยทางกายภาพและทางไซเบอร์ ด้วยการเริ่มฝึกอบรม และจัดวางบุคลากรที่มีความเชี่ยวชาญให้อยู่ในตำแหน่งที่เหมาะสม ปรับความเข้าใจเพื่อให้บุคลากรที่มีความเชี่ยวชาญในทั้งสองด้านเข้าใจ และมีมุมมองในด้านความปลอดภัยที่กว้างขึ้น เพื่อให้สามารถร่วมงานกันได้อย่างมีประสิทธิภาพ แต่ในทางกลับกัน องค์กรขนาดเล็ก และขนาดกลางกลับมีแนวทางในการผนวกรวมความปลอดภัยทั้งสองด้านไปในทิศทางที่ต่างกัน โดยจากการศึกษาพบว่า องค์กรที่มีขนาดเล็กมักให้ความสนใจในเรื่องของการผนวกรวมความปลอดภัยเกี่ยวกับปัญหาที่ตามมา และหาแนวทางในการแก้ปัญหาแทนที่จะใช้กระบวนการมากมายที่ใช้เช็กลิสต์ในการทำงาน
ทั้งนี้ จากการศึกษาพบว่า มีองค์กรขนาดเล็กกว่า 74% ที่สามารถผนวกรวมความปลอดภัยทางกายภาพ และทางไซเบอร์เข้าด้วยกันได้สำเร็จแล้ว ซึ่งสร้างความแปลกใจให้กับนักวิจัย และผู้เชี่ยวชาญด้านความปลอดภัย เพราะพวกเขาล้วนคิดว่าการที่องค์กรใหญ่ ๆ จะสามารถเปลี่ยนผ่านได้เร็วกว่าองค์กรเล็ก ๆ เพราะมีทรัพยากรที่พร้อมกว่า และมีการสนับสนุนจากภาครัฐมากกว่า เนื่องจากองค์กรใหญ่ ๆ มักมีความเสี่ยงที่จะตกเป็นเป้าหมายการโจมตีด้านความปลอดภัยมากกว่า
และเมื่อทำการวิจัยเพิ่มเติมว่าผู้คนมีความคิดอย่างไรในการผนวกรวมของความปลอดภัย ก็มีกว่า 80% ของผู้ตอบแบบสอบถาม ที่คิดว่าการผนวกรวมกันด้านความปลอดภัยจะช่วยเสริมความแข็งแกร่งให้กับฟังก์ชันต่าง ๆ ของธุรกิจได้ และ 83% คิดว่าช่วยให้การทำงานธุรกิจมีความต่อเนื่องมากขึ้น อีก 86% คิดว่าสามารถช่วยเพิ่มความปลอดภัยโดยรวมได้ ขณะที่ 73% ของผู้ตอบแบบสอบถาม ก็มีความคิดว่าการควบรวมความปลอดภัยทางกายภาพ-ไซเบอร์นั้นช่วยเพิ่มความปลอดภัยทางไซเบอร์ในองค์กรได้ ทว่าตัวเลขเหล่านี้กลับสวนทางกับการควบรวมด้านความปลอดภัยที่มีเปอร์เซ็นต์เกิดขึ้นจริงที่ค่อนข้างต่ำ อีกด้านหนึ่งก็มี 23.7% เท่านั้นที่คิดว่าไม่ได้ช่วยให้เกิดความเปลี่ยนแปลงด้านการรักษาความปลอดภัยโดยรวมแต่อย่างใด
สิ่งเหล่านี้สะท้อนให้เห็นได้ 2 ประการว่า ในองค์กรนั้นมีทั้งคนที่คิดว่าการผนวกรวมด้านความปลอดภัยนั้นมีประโยชน์ต่อการพัฒนาธุรกิจ และมีบางส่วนที่คิดว่าไม่ได้ส่งผลให้เกิดความเปลี่ยนแปลงด้านความปลอดภัยให้กับองค์กร ทั้งนี้อาจเป็นเพราะว่าโดยส่วนใหญ่แล้วกระบวนการทำงาน หรือรายละเอียดต่าง ๆ เกี่ยวกับระบบไซเบอร์ภายในองค์กรมักจะถูกเก็บเป็นความลับ และขาดความเข้าใจว่าระบบไซเบอร์ส่งผลกระทบอะไรต่อความปลอดภัยทางกายภาพ และความต่อเนื่องทางธุรกิจได้บ้าง กว่าคนในองค์กรจะมีการตระหนักรู้ก็ต้องรอให้เกิดเหตุการณ์โจมตีที่ส่งผลกระทบต่อองค์กรก่อน
ดังนั้นหากองค์ต้องการให้การผนวกรวมของความปลอดภัยด้านกายภาพ และไซเบอร์ประสบความสำเร็จ นอกจากการวางแผนที่ดีแล้วก็ต้องมีการสื่อสารภายในองค์กรที่ดีด้วย เพื่อให้บุคลากรในองค์กรรู้ถึงจุดประสงค์ของการผนวกรวมความปลอดภัย ขั้นตอนการทำงาน และความคืบหน้าของงาน อีกทั้งยังควรสร้างความรู้ความเข้าใจให้พนักงานในองค์กรทราบไปในทิศทางเดียวกันว่า การเข้ามาผนวกรวมด้านความปลอดภัยนั้นไม่ได้มีเพื่อลดจำนวนบุคลากรในองค์กร หรือเพิ่มงานให้กับเจ้าหน้าที่ แต่เป็นวิธีการเสริมความแข็งแกร่งให้กับระบบรักษาความปลอดภัยขององค์กร และทำให้องค์กรสามารถดำเนินได้อย่างราบรื่นไร้รอยต่อ ที่สำคัญคือเจ้าหน้าที่ระดับบริหารเองก็ต้องมีความรู้ ความเข้าใจ และมองว่าความปลอดภัยเป็นสิ่งที่สำคัญ และหากสามารถทำได้จนประสบความสำเร็จแล้ว ไม่เพียงแต่จะช่วยให้ระบบการทำงานในองค์เป็นไปได้อย่างไร้รอยต่อ แต่ยังช่วยให้ความปลอดภัยเป็นรูปเป็นร่างในทุกมิติ รวมถึงสร้างความยั่งยืน และความเชื่อมั่นให้กับองค์กรได้
ขอบคุณข้อมูลจาก - ASIS International