Business

Audio Quick Take: KPMG ของ Fred Rica เกี่ยวกับวิธีที่ทีมรักษาความปลอดภัยทางไซเบอร์สามารถพัฒนาเพื่อให้องค์กรมีความยืดหยุ่นและสามารถแข่งขันได้

บันทึกเสียงอย่างรวดเร็ว: Fred Rica จาก KPMG เกี่ยวกับวิธีที่ทีมรักษาความปลอดภัยทางไซเบอร์สามารถพัฒนาเพื่อให้องค์กรมีความยืดหยุ่นและแข่งขันได้

ดาวน์โหลดพอดคาสต์นี้

อดีตนักแข่งรถ Mario Andretti กล่าวอย่างมีชื่อเสียงว่า “น่าทึ่งมากที่หลายคนคิดว่าเบรกมีไว้เพื่อชะลอรถ” และเขาพูดถูก—เบรกมีไว้เพื่อให้รถวิ่งเร็วขึ้นและปลอดภัย Fred Rica หัวหน้าฝ่ายบริการความปลอดภัยทางไซเบอร์ของ KPMG รู้สึกว่านี่เป็นการสรุปบทบาทของการรักษาความปลอดภัยทางไซเบอร์ในองค์กรในปัจจุบันได้อย่างสมบูรณ์แบบ เพื่อให้พวกเขาได้รับประโยชน์อย่างเต็มที่จากการเปลี่ยนแปลงทางดิจิทัลในขณะที่จัดการความเสี่ยงต่างๆ

Covid-19 ได้ขยายทั้งโอกาสและภัยคุกคามของการแปลงเป็นดิจิทัล องค์กรต่างๆ ได้ก้าวหน้าอย่างไม่น่าเชื่อในการทำงานทางไกลและการทำงานร่วมกันสำหรับพนักงาน ตลอดจนในการปรับปรุงประสบการณ์ลูกค้าดิจิทัล แต่สิ่งนี้เตือนเราด้วยว่าปริมณฑลทางกายภาพไม่มีอยู่แล้ว ด้วยการพึ่งพาบุคคลที่สามที่เพิ่มขึ้นและการแพร่กระจายของอินเทอร์เน็ตของสิ่งต่าง ๆ และอุปกรณ์อื่น ๆ การรักษาความปลอดภัยทางไซเบอร์ในปัจจุบันเกี่ยวข้องกับระบบนิเวศที่ซับซ้อนพร้อมศักยภาพในการคุกคามที่เพิ่มขึ้นอย่างมาก ในตลาดที่ซึ่งความรวดเร็วในการทำตลาดเป็นสิ่งสำคัญ ตอนนี้ทีมรักษาความปลอดภัยทางไซเบอร์มีหน้าที่สร้างความไว้วางใจและความยืดหยุ่นด้วยการปลอมแปลงวัฒนธรรมการรักษาความปลอดภัยที่ใช้งานได้จริง และช่วยฝังการรักษาความปลอดภัยด้วยแนวคิดในการออกแบบในทุกด้านของโครงสร้างพื้นฐานและข้อมูลดิจิทัล ในการทำเช่นนี้ พวกเขาต้องมองว่าตัวเองเป็นผู้ขับเคลื่อนและผู้อำนวยความสะดวก ช่วยเหลือผู้อื่นในการให้บริการและแบรนด์ที่สมควรได้รับความไว้วางใจในโลกไซเบอร์ในหมู่ลูกค้า พนักงาน และสังคมโดยรวม

ทอดด์ พรูซาน HBR


ยินดีต้อนรับสู่ HBR บันทึกเสียงอย่างรวดเร็ว ฉันชื่อทอดด์ พรูซาน บรรณาธิการอาวุโสด้านการวิจัยและโครงการพิเศษที่ Harvard Business Review วันนี้กับฉันคือเฟร็ด ริกา เฟร็ดเป็นครูใหญ่ในแนวทางปฏิบัติบริการความปลอดภัยทางไซเบอร์ของ KPMG และมีประสบการณ์ที่สำคัญในความปลอดภัยทางไซเบอร์และการจัดการความเสี่ยงด้านเทคโนโลยี เขาเป็นหน่วยงานที่ได้รับการยอมรับในระดับประเทศเกี่ยวกับความปลอดภัยของข้อมูล และเขาได้ดำเนินการหรือจัดการโครงการประเมินความปลอดภัย ออกแบบ และใช้งานหลายร้อยโครงการในสภาพแวดล้อมการประมวลผลขนาดใหญ่และซับซ้อน เฟร็ด ขอบคุณมากที่มาร่วมงานกับเราในวันนี้

Fred Rica, KPMG

ยินดีที่ได้มาที่นี่ ขอบคุณ.

ทอดด์ พรูซาน, HBR

CISO จำเป็นต้องพูดภาษาของ C-suite ดังนั้นคุณสามารถบอกเราเกี่ยวกับการดำเนินการเฉพาะที่ CISO ต้องทำเพื่อให้ได้ตำแหน่งใน C-suite ?

เฟร็ด ริก้า เคพีเอ็มจี

หลายครั้งที่เราพบว่า CISO พูดภาษาเทคนิคและเป็นภาษาที่ผู้บริหารและสมาชิกในคณะกรรมการ C-suite ไม่เข้าใจ เมื่อพวกเขาเริ่มพูดถึงไฟร์วอลล์และการปิดกั้นและ IPS และ IDS โดยปกติแล้ว สายตาของผู้บริหารจะย้อนกลับมาอยู่ในหัว สิ่งที่ CISO สมัยใหม่ต้องสามารถทำได้คือการแปลเทคโนโลยีนั้นลงในบริบทของธุรกิจ นี่หมายถึงการพูดถึงความเสี่ยงที่ธุรกิจอาจเผชิญ สิ่งที่เราเตรียมไว้เพื่อลดความเสี่ยงเหล่านั้น และความเสี่ยงที่เราอาจจะทิ้งไว้บนโต๊ะ

ทั้งหมดนี้ควรเชื่อมโยงกับ: เราช่วยให้ธุรกิจเติบโตได้อย่างไร เราจะช่วยเปิดใช้กลยุทธ์ทางธุรกิจได้อย่างไร เรามีคำพูดดีๆ จาก Mario Andretti เกี่ยวกับคุณ ไม่ต้องเบรกให้ขับช้าๆ คุณมีเบรกเพื่อให้วิ่งได้เร็ว CISO สมัยใหม่จะต้องสามารถพูดคุยเกี่ยวกับวิธีที่เบรกเหล่านั้นจะช่วยให้ธุรกิจเติบโต—พวกเขาจะช่วยให้ธุรกิจบรรลุวัตถุประสงค์เชิงกลยุทธ์ได้อย่างไร

หลายครั้ง เมื่อฉันให้คำปรึกษาแก่คณะกรรมการ สิ่งหนึ่งที่ฉันพูดแบบกึ่งตลกคือถ้า CISO ของคุณเข้ามาและพูดคำว่า “ไฟร์วอลล์” ในการนำเสนอ คุณจะต้องไล่พวกเขาออก พวกเขากำลังพูดภาษาผิด พวกเขากำลังพูดถึงเทคโนโลยี พวกเขาไม่ได้พูดถึงการเปิดใช้ธุรกิจ และนั่นคือสิ่งที่แยก CISO ที่ทันสมัยและมีประสิทธิภาพมากกว่าในปัจจุบันออกจากรุ่นก่อน เหล่านี้คือ CISO ที่ได้รับตำแหน่งใน C-suite

Todd Pruzan, HBR

รูปลักษณ์และลักษณะของทีมรักษาความปลอดภัยในวันพรุ่งนี้กำลังเปลี่ยนแปลงอย่างรวดเร็ว ทำให้เกิดช่องว่างร้ายแรงในกลุ่มผู้มีความสามารถทางไซเบอร์ที่มีอยู่ มืออาชีพ นอกจากนี้ การทำงานจากที่บ้านและเศรษฐกิจแบบกิ๊กกำลังทำให้การจ้างงานและการรักษาในโลกไซเบอร์เป็นเรื่องท้าทาย ดังนั้น CISO สามารถทำอะไรได้บ้างเพื่อปิดช่องว่างนั้นและรับรองทีมไซเบอร์ที่แข็งแกร่งและมีความสามารถ

Fred Rica , KPMG


ขณะนี้มีช่องว่างที่แท้จริงในความสามารถด้านความปลอดภัยทางไซเบอร์ มีการว่างงานเชิงลบเป็นหลัก มีงานมากกว่าคนที่มีคุณสมบัติ ดังนั้นการสรรหา ดึงดูด และรักษาผู้มีทักษะในโลกไซเบอร์จึงเป็นความท้าทายที่ยิ่งใหญ่สำหรับทุกคนในตอนนี้ จากนั้นเมื่อคุณเริ่มดูว่าการแพร่ระบาดได้ทำอะไรกับรูปแบบการทำงานแบบเดิมๆ เมื่อคุณคิดถึงเศรษฐกิจแบบกิ๊ก เมื่อคุณคิดถึงคนทำงานรุ่นที่อาจจะไม่สนใจงานแบบ 10-, 20- หรือ อาชีพ 30 ปีอย่างที่เคยเป็นมา ซึ่งสร้างปัญหาที่แท้จริงบางประการในการทำให้แน่ใจว่าเรามีคนที่เหมาะสมเพียงพอ CISO สมัยใหม่จำเป็นต้องเริ่มคิดเกี่ยวกับรูปแบบการจัดบุคลากรที่แตกต่างกัน รูปแบบการมีส่วนร่วมที่แตกต่างกัน และเกี่ยวกับวิธีการต่างๆ เพื่อให้แน่ใจว่าพวกเขามีทรัพยากรที่เหมาะสมในทีม

เป็นเรื่องง่ายที่จะจินตนาการถึงเกือบทุกคนในสถานการณ์ของผู้รับเหมา ซึ่ง CISO สามารถเริ่มดึงจากกลุ่มผู้มีความสามารถที่เชื่อถือได้ หากคุณนึกภาพกลุ่มคนที่ผ่านการตรวจสอบจากคนอื่นและถือว่าน่าเชื่อถือ คุณก็มีสิทธิ์เข้าถึงแหล่งทรัพยากรที่คุณสามารถนำขึ้นเครื่องและลงจากรถได้ตามต้องการ ใช่ไหม คุณมีความจุไฟกระชาก คุณมีทักษะเฉพาะที่คุณอาจต้องการในช่วงเวลาที่ไม่ต่อเนื่อง ดังนั้น CISO ที่ชาญฉลาดจึงเริ่มมองข้ามรูปแบบการจ้างงานแบบเดิมๆ และพวกเขาเริ่มมองหารูปแบบอื่นๆ ที่พวกเขาได้มาซึ่งทรัพยากรแบบออนดีมานด์ และพวกเขารู้ว่าทรัพยากรเหล่านั้นน่าเชื่อถือ และช่วยให้พวกเขาอุดช่องว่างนั้น ไม่เพียงแต่ในระยะสั้นแต่อาจในระยะยาวด้วยเช่นกัน ดังนั้นพวกเขาจึงทำงานกับกลุ่มคนหลัก แต่พวกเขาขยายและทำสัญญาโดยใช้ “ผู้รับเหมาทุกคน” ในลักษณะที่ก้าวร้าวมากกว่าที่เป็นอยู่ในปัจจุบัน

Todd Pruzan, HBR


Covid-19 และ การทำงานจากที่บ้านได้แสดงให้เห็นว่าการหยุดชะงักสามารถเร่งความเร็วและส่งผลกระทบต่อโปรไฟล์ความเสี่ยงขององค์กรได้อย่างมาก มันบังคับให้เราต้องทบทวนการยอมรับความเสี่ยงของเราใหม่ ดังนั้น CISO สามารถทำอะไรได้บ้างเพื่อคาดการณ์และยอมรับการหยุดชะงักอย่างต่อเนื่อง?

Fred Rica, KPMG

เห็นได้ชัดว่าเรากำลังมุ่งหน้าไปยังโลกที่เชื่อมต่อกันอย่างไฮเปอร์ เมื่อคุณเริ่มคิดถึงอินเทอร์เน็ตของสิ่งต่าง ๆ และอุปกรณ์ที่เชื่อมต่อ เมื่อคุณเริ่มคิดถึงพลังของเทคโนโลยี สิ่งต่างๆ เช่น เครือข่าย 5G จะเพิ่มประสิทธิภาพอย่างมาก มันจะทำให้วิธีการทำธุรกิจแตกต่างกันอย่างสิ้นเชิง ซึ่งดีมาก แต่ก็จะเปิดองค์กรให้เข้าถึงรูปแบบการโจมตีใหม่ การโจมตีประเภทใหม่ และข้อกังวลด้านความเป็นส่วนตัวใหม่ด้วย

ดังนั้น CISO ที่มองไปข้างหน้าจะต้องทำสองสิ่ง หนึ่ง พวกเขาจะต้องเข้าใจว่าการเปลี่ยนแปลงนี้กำลังมา—และไม่ว่าพวกเขาต้องการหรือไม่ มันก็กำลังจะมา พวกเขาต้องพร้อมสำหรับมัน พวกเขาต้องพร้อมที่จะเปลี่ยนไป พวกเขาต้องเริ่มคิดเกี่ยวกับโมเดลที่มีข้อมูลเป็นศูนย์กลางมากขึ้น ในอดีต เราเคยพูดถึงปริมณฑล และเราเคยพูดถึงอัตลักษณ์ ฉันคิดว่า ในอนาคต เราจะพูดถึงโมเดลที่เน้นข้อมูลมากขึ้น จะมีเทคโนโลยีมากมายที่มาพร้อมกับสิ่งนี้ เราได้ยินสิ่งต่างๆ เช่น Zero trust และทีมสีแดงอย่างต่อเนื่อง การใช้ระบบอัตโนมัติ การเรียนรู้ของเครื่อง ปัญญาประดิษฐ์มากขึ้น สิ่งเหล่านั้นจะมีความสำคัญ แต่สิ่งที่สำคัญที่สุดคือการตระหนักว่ารูปแบบธุรกิจกำลังเปลี่ยนแปลงอย่างรวดเร็ว สามารถประเมินภัยคุกคามใหม่และช่องโหว่ใหม่ที่จะนำเสนอ และจากนั้นก็สามารถใช้ประโยชน์จากเทคโนโลยีใหม่เพื่อช่วยจัดการกับภัยคุกคามเหล่านั้นและจัดการกับความเสี่ยงเหล่านั้น และอีกครั้ง ดังที่เราพูดถึงในตอนเริ่มต้น ความสามารถในการช่วยให้ธุรกิจก้าวไปข้างหน้า ทำงานอย่างมีประสิทธิภาพมากขึ้น เติบโตเร็วขึ้น และบรรลุวัตถุประสงค์เชิงกลยุทธ์

Todd Pruzan, HBR


มันยากสำหรับ CISO และองค์กรต่างๆ ที่ต้องดำเนินการตามลำพังในโลกที่มีการเชื่อมต่อแบบไฮเปอร์ลิงก์ในปัจจุบัน ที่ซึ่งภัยคุกคามและความเสี่ยงใหม่ๆ เกิดขึ้นในอัตราที่ไม่เคยได้ยินมาก่อน CISO สามารถใช้ระบบนิเวศที่กว้างขึ้นเพื่อช่วยรักษาความปลอดภัยให้กับองค์กรได้อย่างไร

Fred Rica, KPMG


ไม่ว่าคุณจะชอบหรือไม่ก็ตาม ตอนนี้องค์กรของคุณเป็นส่วนหนึ่งของระบบนิเวศที่ซับซ้อนมาก คุณมีซัพพลายเออร์ คุณมีหุ้นส่วน เราได้พูดคุยกันมานานหลายปีเกี่ยวกับการขาดขอบเขต ดังนั้นบริการที่ใช้ร่วมกันและข้อมูลที่ใช้ร่วมกันที่คุณมีกับบุคคลที่สามเหล่านี้เป็นวิธีการสำคัญที่เราทำธุรกิจในขณะนี้ แต่พวกเขายังนำเสนอชุดของความเสี่ยงใหม่

ในอดีต เราเคยพูดถึงสัญญาและรูปแบบความรับผิด แต่ดูเหมือนมันจะไม่ทำงานในห่วงโซ่อุปทานที่เติบโตอย่างรวดเร็วและเติบโตอย่างรวดเร็วนี้ เราเห็นภัยคุกคามที่เพิ่มมากขึ้นในองค์กรจากบุคคลที่สามและแม้กระทั่งจากบุคคลที่สาม CISO ที่มองการณ์ไกลต้องเริ่มคิดเกี่ยวกับ: รูปแบบการเป็นหุ้นส่วนใหม่มีลักษณะอย่างไร ฉันจะเข้าใจในแบบที่ใกล้ชิดกว่าที่ฉันเคยทำในอดีตได้อย่างไร ฉันทำธุรกิจกับใคร ความเสี่ยงประเภทใดที่เสนอต่อองค์กรของฉัน ข้อมูลประเภทใดที่พวกเขาจัดการให้ฉัน ธุรกรรมประเภทใดที่พวกเขาดำเนินการในนามของฉัน ฉันเข้าใจความเสี่ยงที่ระบบนิเวศของฉันมอบให้ฉันจริงหรือไม่ และฉันกำลังวางการควบคุมที่เหมาะสมที่ไม่เพียงแต่ลดความเสี่ยงนั้นเท่านั้น แต่ยังต้องติดตามอย่างต่อเนื่องหรือไม่

หลายครั้งที่สิ่งที่เกิดขึ้นคือบุคคลที่สามหรือคู่ค้าที่เราร่วมงานด้วยในวันนี้ซึ่งมีความเสี่ยงค่อนข้างต่ำ เมื่อเวลาผ่านไปอาจมีความเสี่ยงสูงขึ้นเรื่อยๆ สำหรับเรา เราเคยเห็นหลายองค์กรมีปัญหาเพราะไม่ได้ทำการประเมินอย่างต่อเนื่อง พวกเขาไม่มีความเข้าใจที่ทันสมัยเกี่ยวกับความเสี่ยงที่ระบบนิเวศนำเสนอต่อพวกเขา ความจริงก็คือคุณไม่สามารถไปคนเดียวได้อีกต่อไป ระบบนิเวศของคุณกำลังจะขยายตัวอย่างต่อเนื่องแบบทวีคูณ และแบบจำลองต่างๆ ของการประเมินความเสี่ยง การติดตามความเสี่ยง และการจัดการความเสี่ยงนั้นเมื่อเวลาผ่านไป คือสิ่งที่จะแยก CISO ที่ดีออกจาก CISO ที่อาจมีปัญหาได้

ทอดด์ พรูซาน HBR

การฝึกอบรมและการตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ไม่ได้เกิดขึ้นแล้วเสร็จอีกต่อไป เสื้อยืดและแก้วกาแฟก็ไม่ถูกตัดอีกต่อไป CISO จะฝังการรักษาความปลอดภัยทางไซเบอร์ไว้ใน DNA ขององค์กรและคิดเกี่ยวกับไซเบอร์เป็นกระบวนการและไม่ใช่เหตุการณ์ได้อย่างไร เราจะเปลี่ยนจากการกระทำที่มีสติไปสู่นิสัยได้อย่างไร

Fred Rica, KPMG

CISO สมัยใหม่จำเป็นต้องเป็นนักสื่อสารที่มีความซับซ้อนมากกว่าที่เคยเป็นมา พวกเขาต้องเป็นผู้ประกาศข่าวประเสริฐสำหรับโปรแกรมความปลอดภัยทางไซเบอร์ เราทราบจากข้อมูลเชิงประจักษ์ว่าการฝึกอบรมและการตระหนักรู้ด้านการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพช่วยลดความเสี่ยง โอกาส ค่าใช้จ่าย และผลกระทบของเหตุการณ์ในโลกไซเบอร์ได้อย่างมาก ดังนั้น การให้เสื้อยืดและแก้วกาแฟปีละครั้งไม่เพียงพอ สิ่งที่เราต้องเริ่มคิดจริงๆ คือ เราจะสร้างแบรนด์จากโปรแกรมความปลอดภัยทางไซเบอร์ได้อย่างไร เราจะรับคนมาซื้อภารกิจได้อย่างไร? เราทำให้พวกเขาตื่นเต้นได้อย่างไรว่าความปลอดภัยในโลกไซเบอร์มีความสำคัญ และมีบทบาทอย่างมากในการปกป้องบริษัท

สิ่งที่เราพบคือโปรแกรมสมัยใหม่ที่มีประสิทธิภาพสูง มีบางสิ่งที่เหมือนกัน หนึ่งคือการยอมรับว่าผู้ใหญ่เรียนรู้แตกต่างจากเด็ก ดังนั้นคุณต้องมีโปรแกรมที่สร้างจากรูปแบบการเรียนรู้ของผู้ใหญ่ เรารู้ว่าสิ่งต่าง ๆ เช่น gamification, Augmented Reality, Virtual Reality—กลไกการส่งประเภทนั้น—สามารถส่งผลกระทบอย่างมหาศาล ทำให้ผู้คนรู้สึกตื่นเต้นที่จะเข้าร่วมการฝึกอบรม

หากคุณถามผู้คนว่าพวกเขากำลังรอคอยการฝึกอบรมหรือไม่ มีคนจำนวนไม่มากที่ได้รับการยกมือขึ้น แต่เมื่อคุณเริ่มเพิ่มสิ่งต่างๆ เช่น เกมและระบบอัตโนมัติ ผู้คนจะรู้สึกตื่นเต้นกับมันมาก ในที่สุด สิ่งที่เราพบคือเราควรสร้างการฝึกอบรมส่วนบุคคลสำหรับผู้คน โปรแกรมที่ดีจริงๆ ในปัจจุบัน ไม่เพียงแต่สอนผู้คนถึงวิธีการปกป้องบริษัทเท่านั้น แต่ในสภาพแวดล้อมการทำงานจากที่บ้าน หลังโควิด-19 ที่ทุกคนเป็น CISO ของบ้านหรือที่บ้าน โปรแกรมต่างๆ ก็ควรคำนึงถึงสิ่งนั้นด้วยและ แสดงให้ผู้คนเห็นถึงวิธีการปกป้องครอบครัวของพวกเขา—วิธีปกป้องลูก ๆ ของคุณที่อาจออนไลน์มากกว่าปกติ ของคุณ ผู้ปกครองที่อาจอาศัยอยู่กับคุณซึ่งออนไลน์มากกว่าปกติ ไปโรงเรียนทางไกล เมื่อโปรแกรมเริ่มคำนึงถึงสิ่งนั้นและเราแสดงให้คนของเราเห็นว่าเราห่วงใยพวกเขาเป็นการส่วนตัวเช่นกัน เรารู้ว่านั่นแปลว่ากลับมามีความปรารถนาอย่างแรงกล้าที่จะปกป้องบริษัท

ข้อความที่สม่ำเสมอและสม่ำเสมอของพวกเราทุกคนในเรื่องนี้ เป็นส่วนหนึ่งของภารกิจ ปกป้องบริษัท และปกป้องคุณเป็นการส่วนตัว [that] นำโปรแกรมเหล่านั้นไปสู่ระดับที่ทันสมัยยิ่งขึ้นและทำให้พวกเขา มีประสิทธิภาพมากขึ้นในการต่อต้านภัยคุกคามใหม่ทั้งหมดที่เรายังคงพบเห็น

Todd Pruzan, HBR

Fred Rica จาก KPMG ขอขอบคุณที่เข้าร่วมกับเราในวันนี้

เฟร็ด ริก้า, เคพีเอ็มจี

ด้วยความยินดี. ขอขอบคุณ.


หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่ KPMG ช่วยให้ลูกค้าได้รับความไว้วางใจจากผู้มีส่วนได้ส่วนเสีย โปรดไปที่ read.kpmg.us/trust.

  • ธุรกิจ
  • การดูแลสุขภาพ ไลฟ์สไตล์

  • เทค
  • โลก
  • เกม
  • การท่องเที่ยว
  • Leave a Reply

    Your email address will not be published.

    Back to top button