วิกฤติโควิด-19 ที่เกิดขึ้นส่งผลกระทบต่อการปรับเปลี่ยนการดำเนินวิถีชีวิตใหม่ที่ต้องใช้เทคโนโลยีดิจิทัลมากขึ้น ทำให้มีโอกาสทำให้เกิดการเพิ่มขึ้นของภัยคุกคามทางไซเบอร์ ความปลอดภัยทางไซเบอร์ หรือ Cyber Security จึงกลายเป็น 1 ใน 3 ความเสี่ยงที่คณะกรรมการบริษัททั่วโลกให้ความสำคัญมากที่สุด
คุณฐิติรัตน์ ศิริพัฒนาเลิศ Chief Information Security Office and Chief Data Officer จาก True Digital Group เครือเจริญโภคภัณฑ์ กล่าวว่า จากแนวโน้มของภัยคุกคามทางไซเบอร์ที่เกิดขึ้นค่อนข้างสูงตลอดระยะเวลาที่ผ่านมา เครือเจริญโภคภัณฑ์ตระหนักถึงความสำคัญของการรับมือกับภัยดังกล่าว จึงพัฒนาและวางแผนรับมือทั้งในเชิงนโยบาย มาตรฐาน และกระบวนการ ตลอดจนการพัฒนาบุคลากรภายในให้มีความตระหนักรู้ในเรื่องความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security)
เครือฯ จัดทำชุดนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) เพื่อใช้เป็นต้นแบบกลางให้บริษัทในเครือฯ นำไปปฏิบัติ ซึ่งประกอบด้วย การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ การบริหารจัดการความเสี่ยง และการตอบสนองต่อภัยคุกคามทางไซเบอร์
โดยเครือฯ ได้สื่อสารชุดนโยบายดังกล่าวแก่บริษัทในเครือฯ เพื่อให้เกิดการปฏิบัติที่เป็นไปในทิศทางเดียวกัน ซึ่งบริษัทในเครือฯ เอง ก็ได้ดำเนินงานร่วมกับผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ ทำให้เกิดการแลกเปลี่ยนความรู้ และช่วยสร้างวัฒนธรรมด้านความปลอดภัยไซเบอร์ที่เข็มแข็งมากยิ่งขึ้น
ความท้าทาย…คือการนำไปปฏิบัติและความร่วมมือของทุกคนทั่วทั้งองค์กร
เนื่องจากรูปแบบการดำเนินธุรกิจของบริษัทในเครือฯ มีความหลากหลายตั้งแต่การค้าปลีก การเกษตร ไปจนถึงธุรกิจด้านเทคโนโลยี ดังนั้นการควบคุมหรือกำกับดูแลให้มีการนำชุดนโยบายไปประยุกต์ใช้ในองค์กรนั้น จึงถือเป็นความท้าทายอย่างยิ่ง นอกจากนี้ความพร้อมทั้งในแง่ของทรัพยากร บุคลากร และความรู้ความสามารถของแต่ละบริษัทก็มีความแตกต่างกัน
ดังนั้น การทำให้แต่ละบริษัทนำนโยบายด้านความมั่นคงปลอดภัยทางไซเบอร์ไปปฏิบัติจริงได้นั้น จึงต้องอาศัยความร่วมมือกันภายในเครือฯ ทั้งการประสานงาน การให้คำแนะนำ รวมถึงการกำหนดเป้าหมายและตัวชี้วัดที่เหมาะสม เพื่อให้สามารถสะท้อนถึงผลลัพธ์ในการดำเนินการได้อย่างมีประสิทธิภาพ
เครือฯ ได้ออกประกาศกรอบแม่แบบในการปฏิบัติ (Master Security controls) ที่ใช้เป็นเครื่องมือในการกำกับ ควบคุมและตรวจประเมินบริษัทในเครือฯ เพื่อให้เกิดความสอดคล้องในทิศทางเดียวกัน โดยเนื้อหาสาระของกรอบแม่แบบ ถูกออกแบบมาจากมาตรฐานและแนวปฏิบัติที่ได้รับการยอมรับในอุตสาหกรรม ครอบคลุมในเรื่องการจัดทำนโยบาย การใช้งานมาตรการควบคุมต่าง ๆ ซึ่งต้องพิจารณาเพิ่มเติมถึงความสอดคล้องของการนำนโยบายไปปฏิบัติให้เหมาะสมกับบริบทของแต่ละธุรกิจด้วย
คุณฐิติรัตน์มองว่า การกำกับดูแล Cyber Security อย่างมีประสิทธิภาพบนพื้นฐานของ Ethic & Compliance คือ การบริหารจัดการและกำกับดูแลให้องค์กรมีการดำเนินการอย่างถูกต้องเหมาะสม สอดคล้องตามนโยบาย กระบวนการและแนวปฏิบัติที่กำหนดไว้
ดังนั้น การปฏิบัติที่ดีและมีประสิทธิภาพในเรื่องความมั่นคงปลอดภัยทางไซเบอร์นั้น จำเป็นต้องอาศัยทั้งความร่วมมือของบุคลากรทุกคนภายในองค์กร เพื่อทำให้สามารถระบุ ป้องกัน ตรวจจับ รับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพและทันท่วงที หากมีส่วนใดส่วนหนึ่งในองค์กรที่ไม่มีความตระหนักรู้และความรู้ความเข้าใจที่เพียงพอ จะส่งผลให้องค์กรตกเป็นเหยื่อของอาญชากรทางไซเบอร์อย่างหลีกเลี่ยงไม่ได้
หากมีการกำกับดูแลทางด้านความมั่นคงปลอดภัยทางไซเบอร์ที่ดีและมีประสิทธิภาพในองค์กรแล้ว จะช่วยส่งเสริมเรื่องธรรมาภิบาล จริยธรรม และการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ขององค์กรไปในตัว เสมือนเป็นการสร้างวัฒนธรรมในเรื่องการกำกับดูแลและบริหารจัดการภายในองค์กรให้เข้มแข็ง
สร้างภูมิคุ้มกันการคุกคามทางไซเบอร์ให้แข็งแกร่ง
“เรื่องการคุกคามทางไซเบอร์ไม่ใช่เรื่องไกลตัวพนักงาน จริง ๆ เราพยายามทำให้เป็นส่วนหนึ่งของการทำงานของเขา นอกจากมี e-learning แล้ว เราพยายามเดินสายไปพูดคุยกับแต่ละกลุ่มธุรกิจ เพื่อทำความเข้าใจ ตอบข้อซักถามและข้อสงสัยจากที่เราประกาศใช้ policy standard ต่าง ๆ เพราะการรักษาความปลอดภัยด้วยระบบอุปกรณ์เพียงส่วนเดียวไม่สามารถป้องกันการโจมตีได้ หากมี Phishing email แล้ว พนักงานคลิกลิงค์ไป มัลแวร์ก็จะกระจายไปได้ ดังนั้นความรู้เท่าทันของพนักงานนั้นสำคัญและจำเป็นมาก”
สำหรับการส่งเสริมและเตรียมความพร้อมให้แก่บุคลากรในองค์กรนั้น เครือฯ ได้จัดการฝึกอบรมเพื่อเสริมสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัย (Security awareness training) รวมถึงการจัดทำแคมเปญในเรื่องภัยคุกคามทางไซเบอร์ต่าง ๆ เช่น การทำสื่อโฆษณา (Security Ads) การรณรงค์ให้มีการแจ้งเหตุภัยคุกคามอย่างทันท่วงที การเล่นเกมเพื่อชิงรางวัล รวมถึงการจัดทดสอบความตระหนักรู้ของบุคลากรด้วยการส่งอีเมลหลอกลวง (Phishing email) และวัดผลจากการกระทำของบุคลากร เพื่อสรุปเป็นข้อมูลในการปรับปรุงให้ดียิ่งขึ้นอีกด้วย
คุณฐิติรัตน์ยังได้กล่าวถึง 2 ภารกิจสำคัญเพื่อป้องกันการคุกคามทางไซเบอร์ของเครือฯ ที่ต้องดำเนินการต่อไป คือ 1. ทุกกลุ่มธุรกิจในเครือฯ จะต้องมีแผน Security Control เพื่อรักษาความปลอดภัยทางไซเบอร์ เนื่องจากการดำเนินธุรกิจในปัจจุบันนั้นต้องการความรวดเร็ว ดังนั้นแผน Security Control ที่สามารถรักษาความปลอดภัย และปกป้องข้อมูลลูกค้าได้อย่างเหมาะสม ครอบคลุม และทันกับการออกแคมเปญใหม่ๆ จึงมีความสำคัญอย่างยิ่ง
2. การแพร่ระบาดเชื้อโควิด-19 ทำให้รูปแบบของการทำงานเปลี่ยนไปสู่รูปแบบ Work from Home จากเดิมที่ทำงานในสำนักงาน ซึ่งการทำงานในสำนักงานนั้นมีระบบและอุปกรณ์ในการดูแลเรื่องรักษาความปลอดภัยด้านไซเบอร์
แต่เมื่อเปลี่ยนรูปแบบเป็น Work from Home ซึ่งเป็นการทำงานที่ใช้อินเทอร์เน็ตจากที่บ้าน ทำให้ไม่มีระบบหรืออุปกรณ์ในการช่วยดูแลความปลอดภัย เป็นการเปิดช่องโหว่ ทำให้ผู้ไม่ประสงค์ดีสามารถเข้าโจมตีระบบ อุปกรณ์และเกิดภัยคุกคามทางไซเบอร์มากขึ้น เช่น การพยายามเรียกค่าไถ่ข้อมูลจากองค์กร การโจมตีและการขโมยข้อมูลลูกค้ามากขึ้น
“จึงเป็นภารกิจสำคัญของเครือฯ ที่จะต้องปรับปรุงมาตรการรักษาความปลอดภัยให้ทันท่วงทีกับสภาพแวดล้อมของการทำงานที่บ้าน รวมทั้งพัฒนาแอปพลิเคชั่นที่ใช้ภายใน และระบบป้องกันความปลอดภัยในการเข้าถึงข้อมูล ซึ่งต้องดำเนินการให้ครอบคลุมทุกกลุ่มบริษัทในเครือฯ”
ติดตามธรรมาภิบาลเครือซีพี ได้ที่เพจ facebook: CG VOICES