
Cybersecurity for Startup/SME Business ตอนที่ 3/3

Nuttakorn Dhiraprayudti

Cybersecurity for Startup/SME Business ตอนที่ 2/3
ก่อนจะจัดการกับความเสี่ยงด้าน Cybersecurity ยิ่งถ้าเราไม่ค่อยรู้อะไร เรายิ่งต้องเริ่มจากวางแผนอย่างมีหลักการ หากเริ่มต้นโดยแก้ปัญหาเป็นจุด ๆ จะการทำแบบนั้นก็เหมือนกับเราเดินหลงในป่าตอนกลางคืน ไม่มีไฟฉาย ดูทิศทางไม่เป็น เดินไปเดินมาก็อาจทำให้หลงกว่าเดิม บทความใน Series นี้เราแบ่งเป็น 5 ขั้นตอน
นี่เป็นตอนสุดท้ายของ Series นี้ วัตถุประสงค์ของบทความนี้เราอยากให้องค์กร Startup และ SME เห็นความเสี่ยงและแนวทางในการจัดการด้าน Cybersecurity เพื่อไม่ให้เกิดการสิ้นเปลืองทั้งในด้านของเวลา และ ทรัพยากร (บุคลากร และ เงินที่ใช้)

5 STEPS Cybersecurity Management
ขั้นตอนที่ 3: เดินตาม Roadmap
หลังจากเรามี Roadmap ที่เหมาะสมกับบริษัทแล้วเราก็มีหน้าที่ค่อย ๆ เดินตาม Roadmap นั้น ในกรณีที่เป็น Technology/Solution ปัจจุบันมีตัวเลือกให้ค่อนข้างมากไม่ว่าจะเป็น Solution ที่เป็น Open-source หรือ Commercial ซึ่งโดยมากแล้ว ข้อดีของ commercial tool จะมี support เมื่อเกิดปัญหา ซึ่งในแง่ของราคานั้น Product ประเภทเดียวกันราคาต่างกันหลายเท่าก็มี ขึ้นอยู่กับ Feature และ Deal ที่เราได้
มี 2 สิ่งที่มีความสำคัญที่ควรพิจารณาคือ
- การ Integration ในภาพรวมระหว่าง Product ใหม่และสิ่งต่าง ๆ ที่มีอยู่ในปัจจุบัน บาง Product อาจใช้ร่วมกันได้ไม่เต็มที่ ต้องมีการ Customize เพิ่มเยอะ นั่นก็จะเป็นการเพิ่ม Cost หรือ เป็นการลงทุนที่ไม่ได้ประโยชน์เต็มที่
- คนที่จะมาใช้งาน Product/Solution เหล่านั้นมีความสามารถพอหรือไม่? ซึ่งนี่เป็นประเด็นที่สำคัญมาก ๆ การสนับสนุนอบรมให้กับพนักงานมีความรู้ความสามารถด้าน Cybersecurity เป็นสิ่งที่จำเป็นมาก
ถ้าใน Best-case scenario บริษัทให้การสนับสนุนพนักงานเป็นอย่างดี พนักงานคนนั้นอาจสามารถใช้ความรู้ตัวเองในการนำ Open-source มาช่วยแก้ปัญหาภายในองค์กร และทำให้ประหยัดค่าใช้จ่ายในการซื้อ Product ได้มากทีเดียว
ขั้นตอนที่ 4: Workforce
ในองค์กรเรามักจะได้ยินเรื่อง People, Process, Technology สิ่งที่เราให้ความสำคัญก็ไม่พ้น 3 เรื่องนี้ แต่ที่สำคัญที่สุดแล้วในด้าน Cybersecurity ต้องขอยกให้เรื่องของ People
ทีมงานที่มีหน้าที่เกี่ยวข้องกับด้าน Cybersecurity ขอแบ่งเป็น 2 กลุ่ม คือ กลุ่มที่เป็นคนในองค์กร และ คนนอกองค์กร
- คนในองค์กร: ใครบ้างล่ะที่เกี่ยวข้อง? ทุกคนในองค์กรนั่นแหละที่เกี่ยวข้อง เริ่มแรกเลยเราควรสร้างความตระหนักด้าน Cybersecurity Awareness ให้ทุกคนเข้าใจว่าอะไรสำคัญ และการป้องกันปัญหานั้นทำอย่างไร
- คนนอกองค์กร: องค์กรควรมีที่ปรึกษาที่องค์กรให้ความเชื่อถือและไว้ใจ เผื่อในกรณีที่เกิดปัญหาจะได้ขอคำปรึกษาได้อย่างรวดเร็ว ซึ่งในกรณีที่เกิดปัญหานั้นมันจะง่ายกว่ามากที่จะไปขอคำปรึกษาจากบริษัทที่ปรึกษาที่ไม่เคย Deal กันมาก่อน ทั้งนี้ที่ปรึกษาต้องมีความรู้ในภาพรวม (เห็นภาพใหญ่ในมุม Cybersecurity) และเข้าใจบริบทขององค์กร
เนื่องจาก Workforce ทางด้านนี้ขาดแคลนอย่างมากทั้งบุคลากรในประเทศและต่างประเทศ ถ้าองค์กรขนาดเล็กจะรอ Build เองจากภายในองค์กร มันเป็นไปได้ยากมากที่จะหาได้พนักงานเก่ง ๆ ด้าน Cybersecurity และทำงานให้องค์กรได้ในระยะยาว
ข้อแนะนำคืองาน IT Operation ทั่วไปให้งานเดินได้ควรจะต้องเป็นพนักงานของบริษัทเอง และควรมีระดับหัวหน้าขึ้นไปที่เข้าใจ Concept สำคัญด้าน Cybersecurity ที่สำคัญ และจ้างที่ปรึกษาภายนอกเข้ามาให้คำปรึกษา ตกลงร่วมกันให้เห็นภาพที่กำลังจะสร้างขึ้นมาร่วมกัน
บริการของ Incognito Lab เราให้บริการครบวงจรตั้งแต่ให้คำปรึกษา วาง Roadmap ให้องค์กร รวมถึงการ Implement solution ทั้งในรูปแบบ Commercial และ Open-source เพื่อให้เป็นไปตามปณิธานของเราตั้งแต่เริ่มต้นนั้นคือ We.Secure.The.Nation
เราหวังเป็นอย่างยิ่งว่าความรู้ความสามารถของเราจะช่วยทำให้ธุรกิจและข้อมูลของทุกท่านปลอดภัย และส่งผลให้ภาพรวมด้าน Cybersecurity ของประเทศเราปลอดภัย

IncognitoLab

IncognitoLab
Up Next

ARTICLES
Mar
03
2021
Secure Code Warrior
วันก่อนเจอ Tweet ที่คุณ Troy Hunt เจ้าของ haveibeenpwned ได้ share มาเกี่ยวกับ paper อันนึงที่น่าสนใจมาก
READ MORE

ARTICLES
Mar
03
2021
หลักแห่งการออกแบบระบบอย่างมั่นคงปลอดภัย (Secure Design Principles)
ธนาคารรายใหญ่มีกฎระเบียบข้อบังคับในการคัดเลือกผู้ให้บริการหลายข้อ ทั้งในแง่ขีดความสามารถและความมั่นคงทางการเงินของบริษัท แต่เมื่อมีการจัดซื้อจัดจ้างผลิตภัณฑ์หรือบริการไปแล้ว
READ MORE

ARTICLES
Mar
02
2021
ทำความรู้จักกับ Application Sandboxing บน Mobile Platform
เมื่อพูดถึงกลไกการรักษาความปลอดภัยของ Smartphone ในปัจจุบัน ไม่ว่าจะ iOS, Android หรือ Windows Phone ล้วนมีกลไกการรักษาความปลอดภัยพื้นฐานมาอยู่แล้วซึ่งช่วยให้ผู้ใช้งานทั่วไปสามารถใช้งาน Smartphone ได้อย่างมั่นคงปลอดภัยในระดับหนึ่ง
READ MORE