Cybersecurity for Startup/SME Business ตอนที่ 3/3

Cybersecurity for Startup/SME Business ตอนที่ 2/3

ก่อนจะจัดการกับความเสี่ยงด้าน Cybersecurity ยิ่งถ้าเราไม่ค่อยรู้อะไร เรายิ่งต้องเริ่มจากวางแผนอย่างมีหลักการ หากเริ่มต้นโดยแก้ปัญหาเป็นจุด ๆ จะการทำแบบนั้นก็เหมือนกับเราเดินหลงในป่าตอนกลางคืน ไม่มีไฟฉาย ดูทิศทางไม่เป็น เดินไปเดินมาก็อาจทำให้หลงกว่าเดิม บทความใน Series นี้เราแบ่งเป็น 5 ขั้นตอน

นี่เป็นตอนสุดท้ายของ Series นี้ วัตถุประสงค์ของบทความนี้เราอยากให้องค์กร Startup และ SME เห็นความเสี่ยงและแนวทางในการจัดการด้าน Cybersecurity เพื่อไม่ให้เกิดการสิ้นเปลืองทั้งในด้านของเวลา และ ทรัพยากร (บุคลากร และ เงินที่ใช้)

5 STEPS Cybersecurity Management

ขั้นตอนที่ 3: เดินตาม Roadmap

หลังจากเรามี Roadmap ที่เหมาะสมกับบริษัทแล้วเราก็มีหน้าที่ค่อย ๆ เดินตาม Roadmap นั้น ในกรณีที่เป็น Technology/Solution ปัจจุบันมีตัวเลือกให้ค่อนข้างมากไม่ว่าจะเป็น Solution ที่เป็น Open-source หรือ Commercial ซึ่งโดยมากแล้ว ข้อดีของ commercial tool จะมี support เมื่อเกิดปัญหา ซึ่งในแง่ของราคานั้น Product ประเภทเดียวกันราคาต่างกันหลายเท่าก็มี ขึ้นอยู่กับ Feature และ Deal ที่เราได้

มี 2 สิ่งที่มีความสำคัญที่ควรพิจารณาคือ

1. การ Integration ในภาพรวมระหว่าง Product ใหม่และสิ่งต่าง ๆ ที่มีอยู่ในปัจจุบัน บาง Product อาจใช้ร่วมกันได้ไม่เต็มที่ ต้องมีการ Customize เพิ่มเยอะ นั่นก็จะเป็นการเพิ่ม Cost หรือ เป็นการลงทุนที่ไม่ได้ประโยชน์เต็มที่
2. คนที่จะมาใช้งาน Product/Solution เหล่านั้นมีความสามารถพอหรือไม่? ซึ่งนี่เป็นประเด็นที่สำคัญมาก ๆ การสนับสนุนอบรมให้กับพนักงานมีความรู้ความสามารถด้าน Cybersecurity เป็นสิ่งที่จำเป็นมาก

ถ้าใน Best-case scenario บริษัทให้การสนับสนุนพนักงานเป็นอย่างดี พนักงานคนนั้นอาจสามารถใช้ความรู้ตัวเองในการนำ Open-source มาช่วยแก้ปัญหาภายในองค์กร และทำให้ประหยัดค่าใช้จ่ายในการซื้อ Product ได้มากทีเดียว

ขั้นตอนที่ 4: Workforce

ในองค์กรเรามักจะได้ยินเรื่อง People, Process, Technology สิ่งที่เราให้ความสำคัญก็ไม่พ้น 3 เรื่องนี้ แต่ที่สำคัญที่สุดแล้วในด้าน Cybersecurity ต้องขอยกให้เรื่องของ People

ทีมงานที่มีหน้าที่เกี่ยวข้องกับด้าน Cybersecurity ขอแบ่งเป็น 2 กลุ่ม คือ กลุ่มที่เป็นคนในองค์กร และ คนนอกองค์กร

1. คนในองค์กร: ใครบ้างล่ะที่เกี่ยวข้อง? ทุกคนในองค์กรนั่นแหละที่เกี่ยวข้อง เริ่มแรกเลยเราควรสร้างความตระหนักด้าน Cybersecurity Awareness ให้ทุกคนเข้าใจว่าอะไรสำคัญ และการป้องกันปัญหานั้นทำอย่างไร
2. คนนอกองค์กร: องค์กรควรมีที่ปรึกษาที่องค์กรให้ความเชื่อถือและไว้ใจ เผื่อในกรณีที่เกิดปัญหาจะได้ขอคำปรึกษาได้อย่างรวดเร็ว ซึ่งในกรณีที่เกิดปัญหานั้นมันจะง่ายกว่ามากที่จะไปขอคำปรึกษาจากบริษัทที่ปรึกษาที่ไม่เคย Deal กันมาก่อน ทั้งนี้ที่ปรึกษาต้องมีความรู้ในภาพรวม (เห็นภาพใหญ่ในมุม Cybersecurity) และเข้าใจบริบทขององค์กร

เนื่องจาก Workforce ทางด้านนี้ขาดแคลนอย่างมากทั้งบุคลากรในประเทศและต่างประเทศ ถ้าองค์กรขนาดเล็กจะรอ Build เองจากภายในองค์กร มันเป็นไปได้ยากมากที่จะหาได้พนักงานเก่ง ๆ ด้าน Cybersecurity และทำงานให้องค์กรได้ในระยะยาว

ข้อแนะนำคืองาน IT Operation ทั่วไปให้งานเดินได้ควรจะต้องเป็นพนักงานของบริษัทเอง และควรมีระดับหัวหน้าขึ้นไปที่เข้าใจ Concept สำคัญด้าน Cybersecurity ที่สำคัญ และจ้างที่ปรึกษาภายนอกเข้ามาให้คำปรึกษา ตกลงร่วมกันให้เห็นภาพที่กำลังจะสร้างขึ้นมาร่วมกัน

บริการของ Incognito Lab เราให้บริการครบวงจรตั้งแต่ให้คำปรึกษา วาง Roadmap ให้องค์กร รวมถึงการ Implement solution ทั้งในรูปแบบ Commercial และ Open-source เพื่อให้เป็นไปตามปณิธานของเราตั้งแต่เริ่มต้นนั้นคือ We.Secure.The.Nation

เราหวังเป็นอย่างยิ่งว่าความรู้ความสามารถของเราจะช่วยทำให้ธุรกิจและข้อมูลของทุกท่านปลอดภัย และส่งผลให้ภาพรวมด้าน Cybersecurity ของประเทศเราปลอดภัย

IncognitoLab

IncognitoLab