ธุรกิจทุกขนาดยังคงเชื่อว่าการมีกลยุทธ์ความปลอดภัยทางไซเบอร์และการนำนโยบายที่ถูกต้องไปใช้ก็เป็นคำตอบที่สมบูรณ์ในการป้องกันอาชญากรรมทางไซเบอร์ อย่างไรก็ตาม ความจริงก็คือ จำเป็นต้องมีอีกมากเพื่อสร้างการป้องกันที่แข็งแกร่งในภาพรวมภัยคุกคามในปัจจุบัน ตามการสำรวจการละเมิดความปลอดภัยทางไซเบอร์ของรัฐบาลสหราชอาณาจักรประจำปี 2020 พบว่าเกือบครึ่งหนึ่งของธุรกิจในอังกฤษ (46%) รายงานการละเมิดหรือการโจมตีด้านความปลอดภัยทางไซเบอร์ในช่วง 12 เดือนที่ผ่านมา เกี่ยวกับผู้เขียน David Emm เป็นนักวิจัยด้านความปลอดภัยอาวุโสของ Kaspersky การละเมิดข้อมูลบางอย่างสามารถป้องกันได้ง่าย แต่สามารถแทรกซึมระบบได้สำเร็จเนื่องจากขาดความรู้และความตระหนักภายในองค์กร เพื่อให้บรรลุความปลอดภัยทางไซเบอร์ที่เหมาะสมที่สุด บริษัทต่างๆ จะต้องแน่ใจว่าพวกเขานำวัฒนธรรมและทัศนคติที่ถูกต้องมาใช้ การเปลี่ยนแปลงนี้จะต้องเป็นผู้นำจากผู้บริหารระดับสูง โดยผู้นำธุรกิจได้ฝังวัฒนธรรมการรับรู้ทางไซเบอร์ทั่วทั้งองค์กร และสร้างความมั่นใจว่าพนักงานได้รับการฝึกอบรมและให้ความรู้เพื่อป้องกันภัยคุกคามทางไซเบอร์ เครือข่ายจะแข็งแกร่งพอๆ กับจุดอ่อนที่สุดเท่านั้น และจุดอ่อนที่สุดในการปกป้องความปลอดภัยทางไซเบอร์ของบริษัทก็มักจะเป็นบุคลากรในเครือข่าย ดังนั้น รากฐานของการบรรลุความปลอดภัยทางไซเบอร์ที่แท้จริง นอกเหนือจากนโยบายและแนวปฏิบัติที่ดีแล้ว ก็คือการศึกษา
ไฟร์วอลล์ของมนุษย์
การฝึกอบรมด้านความปลอดภัยทางไซเบอร์มีความจำเป็นต่อความสำเร็จของสถานที่ทำงานยุคใหม่ ในขณะที่ความก้าวหน้าทางเทคโนโลยียังคงเพิ่มผลผลิตและประสิทธิภาพในการทำงานอย่างต่อเนื่อง ความก้าวหน้าเดียวกันนี้ยังทำให้หลายองค์กรเสี่ยงต่อการโจมตีทางไซเบอร์ในรูปแบบขั้นสูงมากขึ้น ในความเป็นจริง พนักงานมักเป็นเป้าหมายหลักสำหรับแฮกเกอร์ที่ต้องการแทรกซึมระบบธุรกิจที่สำคัญ เนื่องจากมีข้อมูลจำนวนมาก รวมถึงข้อมูลลูกค้าจำนวนมากด้วย ในความเป็นจริง พนักงานยังคงเป็นจุดอ่อนที่สุดในห่วงโซ่การรักษาความปลอดภัย โดย 52% ของบริษัทยอมรับว่าพนักงานคือจุดอ่อนที่ใหญ่ที่สุดในแง่ของความปลอดภัยด้านไอที แม้ว่าบริษัทต่างๆ จะต้องดำเนินการป้องกันทางเทคนิค เช่น การกรองอีเมลและซอฟต์แวร์ป้องกันไวรัส บริษัทต่างๆ จะต้องลงทุนในไฟร์วอลล์ "มนุษย์" เพื่อปกป้องเครือข่ายของตนอย่างมีประสิทธิภาพ สิ่งนี้กำหนดให้บริษัทต่างๆ ต้องลงทุนและแนะนำโปรแกรมการศึกษาและการฝึกอบรมอย่างต่อเนื่องมากขึ้น และช่วยลดความเสี่ยงของการละเมิดข้อมูล พนักงานจะต้องสามารถปกป้องธุรกิจจากแหล่งที่มาที่เป็นอันตรายเป็นแนวหน้าได้
วัฒนธรรมความปลอดภัยทางไซเบอร์ในบริษัท
ในขณะที่ธุรกิจและบุคคลต่างๆ ยังคงนำเทคโนโลยีใหม่ๆ มาใช้ในสถานที่ทำงาน ซอฟต์แวร์และโซลูชันทางเทคนิคที่ออกแบบมาเพื่อป้องกันภัยคุกคามด้านความปลอดภัยทางไซเบอร์ก็มีจำนวนเพิ่มมากขึ้น อย่างไรก็ตาม จำนวนการละเมิดข้อมูลที่รายงานยังคงเพิ่มขึ้นอย่างต่อเนื่อง โดยเกือบครึ่งหนึ่ง (46%) ของบริษัทในสหราชอาณาจักรรายงานว่าเคยประสบปัญหาการละเมิดความปลอดภัยหรือการโจมตีทางไซเบอร์ในปีที่แล้ว สิ่งนี้ตอกย้ำว่าองค์กรต่างๆ ไม่สามารถพึ่งพาการป้องกันเพียงอย่างเดียวได้ พวกเขายังต้องรักษาและปรับวัฒนธรรมความปลอดภัยทางไซเบอร์เพื่อตอบสนองความต้องการทางธุรกิจที่เปลี่ยนแปลงไป และให้แน่ใจว่าทุกคนเข้าใจถึงความเสี่ยงของการละเมิดที่ประสบความสำเร็จ แนวทางปฏิบัติด้านความปลอดภัยที่ไม่ดีอาจนำไปสู่การสูญเสียทางการเงินอย่างมีนัยสำคัญและความเสียหายต่อชื่อเสียง ผู้บริหารระดับสูงควรทำความคุ้นเคยกับมาตรการรักษาความปลอดภัยขององค์กร เนื่องจากจะช่วยให้พวกเขาเข้าใจขอบเขตและความรุนแรงของการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นได้ดีขึ้น ในขณะเดียวกัน พนักงานทุกคน ตั้งแต่ผู้บริหารไปจนถึงซีอีโอ จะต้องตระหนักถึงภัยคุกคามที่อาจเกิดขึ้นและเข้าใจวิธีจัดการอย่างชัดเจน นับตั้งแต่เปิดตัวกฎระเบียบคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) ในปี 2018 บริษัทสามในสิบ (30%) รายงานว่าได้เปลี่ยนแปลงนโยบายหรือกระบวนการรักษาความปลอดภัยทางไซเบอร์อันเป็นผลมาจาก GDPR การนำนโยบายนี้ไปใช้หมายความว่าบางองค์กรในช่วง 12 เดือนที่ผ่านมาได้มีส่วนร่วมอย่างเป็นทางการในเรื่องความปลอดภัยทางไซเบอร์เป็นครั้งแรก ในขณะที่องค์กรอื่นๆ ได้เสริมความแข็งแกร่งให้กับนโยบายและกระบวนการที่มีอยู่ เป็นสิ่งสำคัญสำหรับองค์กรในการสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ที่ทุกคนเข้าใจกฎเกณฑ์ในการปกป้องข้อมูลส่วนบุคคลและองค์กร การแนะนำนโยบายและแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่กำหนดไว้จะช่วยลดภัยคุกคามจากการโจมตีได้อย่างมาก ขณะเดียวกันก็ช่วยสร้างรากฐานที่แข็งแกร่งที่ปกป้องธุรกิจและข้อมูลลูกค้าขององค์กร
ใครเป็นผู้รับผิดชอบในการทำให้เกิดการเปลี่ยนแปลงทางวัฒนธรรม?
ความจำเป็นในการตระหนักรู้และการศึกษาของพนักงานอย่างต่อเนื่องทำให้เกิดคำถามว่าท้ายที่สุดแล้วใครเป็นผู้รับผิดชอบในการดำเนินการเปลี่ยนแปลงวัฒนธรรมนี้ และใครเป็นผู้รับผิดชอบในการดำเนินโครงการการศึกษาและการฝึกอบรม สำหรับพนักงานในบริษัทอังกฤษ ด้วยภูมิทัศน์ทางธุรกิจที่ตอนนี้เต็มไปด้วยความสับสนอลหม่าน โดยสถานการณ์โควิด-19 ทำให้พนักงานต้องทำงานจากระยะไกลในหลายภาคส่วน การให้การศึกษาในทุกแผนก ในทุกบริษัท จึงมีความสำคัญกว่าที่เคย เนื่องจากพนักงานที่เชี่ยวชาญด้านเทคโนโลยีน้อยลงในขณะนี้ทำงานออนไลน์โดยใช้อุปกรณ์ระยะไกลมากขึ้นกว่าที่เคย พวกเขาจึงเสี่ยงต่อการรั่วไหลจากการโจมตีทางไซเบอร์ ขึ้นอยู่กับธุรกิจที่จะต้องแน่ใจว่าพนักงานของตนเชี่ยวชาญด้านไซเบอร์และปฏิบัติตามแนวปฏิบัติที่ดีที่บ้าน และเมื่อพวกเขากลับมาทำงาน รัฐบาลมีบทบาทในการเป็นตัวอย่างที่ดีและช่วยให้ธุรกิจต่างๆ มีความปลอดภัย การรับรอง Cyber Essentials ของพวกเขาเป็นตัวอย่างที่ดี แต่ความร่วมมือระหว่างหน่วยงานภาครัฐและธุรกิจจะต้องดำเนินต่อไปหากวัฒนธรรมความปลอดภัยทางไซเบอร์จำเป็นต้องเปลี่ยนแปลง และท้ายที่สุด มันก็ขึ้นอยู่กับบริษัทต่างๆ ที่จะสร้างวัฒนธรรมด้านความปลอดภัยทั่วทั้งบริษัท ตั้งแต่บนลงล่าง ซีอีโอและ MD มีบทบาทสำคัญในการเผยแพร่ความตระหนักรู้ การเปลี่ยนแปลงวัฒนธรรม และการจัดการฝึกอบรม และทุกคนในบริษัทก็มีบทบาทในการรับรองความปลอดภัยและการรักษาความปลอดภัยของบริษัท เมื่อทุกคนมารวมตัวกันเพื่อนำแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีและปฏิบัติตามโปรโตคอลเท่านั้น บริษัทต่างๆ จึงมีวัฒนธรรมทางไซเบอร์ที่มีประสิทธิภาพอย่างแท้จริง