องค์กรมีความเสี่ยงต่อการโจมตีทางไซเบอร์มากขึ้นเนื่องจากพนักงานทำงานจากที่บ้าน (Shutterstock)
นักกีฬากลางแจ้งที่มีประสบการณ์รู้ดีว่าฤดูหนาวกำลังใกล้เข้ามาอย่างรวดเร็ว เคล็ดลับสู่ความสำเร็จอยู่ที่การปกป้องแกนกลางลำตัว กล่าวคือ อุณหภูมิแกนกลางของร่างกายผ่านการแบ่งชั้น การดูด และผ้าเทคนิคที่ปรับปรุงตลอดเวลา ซึ่งป้องกันไม่ให้ความหนาวเย็น หิมะ และน้ำแข็งส่งผลต่อประสิทธิภาพการทำงาน
อาจกล่าวได้เช่นเดียวกันสำหรับความปลอดภัยทางไซเบอร์ เนื่องด้วยองค์กรและพนักงานในช่วงเดือนที่ 19 ของโควิด-XNUMX ถึงเวลาที่ต้องเตรียมพร้อมแล้ว เนื่องจากภัยคุกคามจากการโจมตีทางอินเทอร์เน็ตเริ่มคุกคามมากขึ้น
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์คาดการณ์ว่าในปี 2021 จะมี การโจมตีทางไซเบอร์ทุกๆ 11 วินาที. นี่คือ เกือบสองเท่าของในปี 2019 (ทุกๆ 19 วินาที) และสี่เท่าของอัตราเมื่อห้าปีที่แล้ว (ทุกๆ 40 วินาทีในปี 2016). คาดว่าอาชญากรไซเบอร์จะ ทำลายเศรษฐกิจโลก 6.1 ล้านล้านเหรียญต่อปีทำให้เป็นเศรษฐกิจที่ใหญ่เป็นอันดับสามของโลก รองจากสหรัฐอเมริกาและจีน
เนื่องจากการระบาดใหญ่อย่างต่อเนื่องทำให้ประชากรส่วนใหญ่ทำงานจากที่บ้าน — ด้วยความฟุ้งซ่านของผู้ดูแลทั้งหมด — และการตั้งค่านั้นสุกงอมสำหรับการเอารัดเอาเปรียบ เราเตอร์ที่บ้านที่อ่อนน้อมถ่อมตนได้กลายเป็นการโจมตีพื้นผิวและพนักงานที่วุ่นวายเร่งรีบเหนื่อยและเครียดเป็นเป้าหมายที่เลือก ไม่น่าแปลกใจเลยที่ภายในไม่กี่เดือนหลังจากการล็อกดาวน์ครั้งแรกของการระบาดใหญ่จบลง ไซต์ COVID ที่เป็นอันตราย 4,000 แห่งปรากฏขึ้นบนอินเทอร์เน็ต.
การระบาดใหญ่ได้บีบให้องค์กรต้องคิดค้นและปรับตัวให้เร็วยิ่งขึ้น การศึกษา การแพทย์ การเดินทาง การค้าปลีก และบริการด้านอาหารเป็นเพียงอุตสาหกรรมบางส่วนที่มีการเปลี่ยนแปลงอย่างรุนแรงจากโควิด-19 น่าเสียดายที่นวัตกรรมและความปลอดภัยไม่ค่อยไปด้วยกัน
องค์กรสามารถเตรียมการอะไรได้บ้าง? การปกป้องแกนหลัก ได้แก่ บุคลากร กระบวนการ และข้อมูลที่สำคัญที่สุดต่อองค์กร
ปกป้องประชาชน
ผู้คนนำนิสัยส่วนตัวทั้งดีและไม่ดีมาสู่ชีวิตการทำงาน ผู้ที่ใช้รหัสผ่านซ้ำสำหรับเว็บไซต์ช็อปปิ้งออนไลน์ต่างๆ หรือใช้รหัสผ่านที่ไม่รัดกุมและจดจำได้ง่าย (ชื่อสัตว์เลี้ยง ใครก็ตาม) มักจะมีความหละหลวมเช่นเดียวกันเมื่อสร้างหรือใช้รหัสผ่านและฐานข้อมูลขององค์กร พวกเขามีและมีแนวโน้มที่จะคลิกอีเมลฟิชชิ่งต่อไปและมีส่วนร่วม (ไม่ว่าจะไร้เดียงสาหรือไม่ก็ตาม) ในแนวทางปฏิบัติที่อาจเป็นอันตราย
สำหรับพวกเขา Winterizing หมายถึงโปรแกรมการฝึกอบรมอย่างเป็นทางการอย่างต่อเนื่องและการตรวจสอบเพื่อลดโอกาสที่จะถูกเปิดเผยโดยไม่ได้ตั้งใจหรือการอัปโหลดที่เป็นอันตราย หากพวกเขาอยู่ในตำแหน่งที่ละเอียดอ่อน โดยสามารถเข้าถึงข้อมูลที่เป็นความลับได้ นั่นหมายถึงการเฝ้าระวังอีกชั้นหนึ่ง และอาจถึงขั้นจำกัดและเครื่องมือขั้นสูง เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย สำหรับผู้บริหารและกรรมการ การทำให้แน่ใจว่าพวกเขามีความคุ้นเคยและปฏิบัติตามความเป็นส่วนตัวและข้อบังคับอื่นๆ
การตรวจสอบสิทธิ์แบบหลายปัจจัยกำหนดให้พนักงานแสดงหลักฐานความปลอดภัยอย่างน้อยสองชิ้น (เช่น รหัสผ่าน) เพื่อเข้าถึงเนื้อหาหรือบริการ (Shutterstock)
โดยสรุป องค์กรต้องใช้เวลามากขึ้นในการดูแลพนักงานเนื่องจากทำงานจากระยะไกล ไม่น้อย
ปกป้องกระบวนการ
ที่องค์กรควรจัดสรรทรัพยากรในลำดับความสำคัญของพวกเขาดูเหมือนจะเป็นคำสั่งที่ชัดเจน อย่างไรก็ตาม หากรูปแบบธุรกิจเปลี่ยนไปโดยสิ้นเชิง กระบวนการขององค์กรมีความเป็นผู้นำหรือล้าหลังหรือไม่? บ่อยครั้ง ในช่วงเวลาของการเปลี่ยนแปลงอย่างรวดเร็ว กระบวนการล่าช้า ปล่อยให้เฉพาะกิจปรากฏขึ้น หากไม่มีการระบุตัวบุคคล ก็ยากที่จะเข้าใจความเสี่ยง ดังนั้นจึงเป็นหน้าที่ของฝ่ายเทคโนโลยีสารสนเทศ (IT) ขององค์กรที่ต้องติดตาม ตรวจสอบ และปรับปรุงขั้นตอนอย่างต่อเนื่อง
เงาไอทีคือ แอปพลิเคชันหรือซอฟต์แวร์ที่บุคคลใช้บนคอมพิวเตอร์ โดยไม่มีความรู้หรืออนุมัติบริการด้านไอที เช่น เกมหรือส่วนขยายเบราว์เซอร์สำหรับช็อปปิ้ง อย่างดีที่สุด ไม่มีอะไรเลวร้ายเกิดขึ้น ที่แย่ที่สุด ซอฟต์แวร์ที่ไม่ได้รับการตรวจสอบจะทำให้ระบบหยุดทำงาน หรือทำให้สามารถอัปโหลดซอฟต์แวร์เฝ้าระวังหรือโค้ดที่เป็นอันตรายได้
Shadow IT อาจหลีกเลี่ยงไม่ได้ โดยเฉพาะอย่างยิ่งเนื่องจากหลายคนในบ้านอาจใช้คอมพิวเตอร์ด้วยเหตุผลหลายประการ องค์กรสามารถและควรตรวจสอบช่องโหว่ที่ทราบและควรได้รับการตรวจสอบ และสื่อสารให้พนักงานทุกคนทราบอย่างชัดเจน
นอกจากนี้ยังอาจหมายความว่าองค์กรจัดหาคอมพิวเตอร์ที่ได้รับการป้องกันและล็อกไว้ให้กับพนักงานที่ทำงานที่บ้านซึ่งจำกัดไม่ให้ติดตั้งซอฟต์แวร์
การปกป้องข้อมูล
พื้นที่สุดท้ายและสำคัญที่สุดในการปกป้องคือข้อมูลขององค์กร ผู้จัดการ ผู้บริหาร และกรรมการต้องเข้าใจข้อมูลที่องค์กรครอบครอง ประมวลผล และส่งต่อ
ผลการศึกษาล่าสุดพบว่าบริษัทต่างๆ แบ่งปันข้อมูลที่เป็นความลับและละเอียดอ่อนกับบุคคลที่สามกว่า 500 ราย. ขั้นตอนแรกในการป้องกันคือการดำเนินการสินค้าคงคลัง และหากจำเป็น ให้แยกวิเคราะห์บุคคลที่สามเหล่านี้
ประการที่สอง องค์กรจำเป็นต้องติดตามมาตรฐานอุตสาหกรรมด้านความปลอดภัยทางไซเบอร์ กล่าวคือ แนวโน้มความถี่ ลักษณะการเปลี่ยนแปลง และความรุนแรงของการโจมตี. พวกเขาสามารถเปรียบเทียบตัวเองและปรับทรัพยากรให้เหมาะสม ซึ่งรวมถึงการติดตามตัวชี้วัดหลักสามตัว: เวลาที่ใช้ในการตรวจจับการโจมตี เวลาที่ใช้ในการตอบสนองต่อการโจมตี และเวลาที่ใช้ในการแก้ไขความเสียหายใดๆ
สุดท้ายนี้ การสนทนาเกี่ยวกับความปลอดภัยทางไซเบอร์จำเป็นต้องไปไกลกว่าวาทกรรมร้ายแรงที่บ่งบอกถึงการอภิปรายส่วนใหญ่ โดยเฉพาะอย่างยิ่งในช่วงวันที่มืดมนของฤดูหนาว เช่นเดียวกับเสื้อโค้ทที่อบอุ่นหรือยางสำหรับฤดูหนาว การลงทุนในความยืดหยุ่นทางไซเบอร์สามารถส่งเสริมการเติบโตและประสิทธิภาพในเชิงบวก
การโจมตีทางไซเบอร์กำลังเพิ่มขึ้น เช่นเดียวกับนักกีฬาที่แต่งตัวและเตรียมพร้อมสำหรับสภาพอากาศ องค์กรสามารถดำเนินการเชิงรุกในการเสริมสร้างความเข้มแข็งให้กับผู้คน กระบวนการ และข้อมูลได้อย่างต่อเนื่อง
เกี่ยวกับผู้เขียน
Michael Parent, ศาสตราจารย์, ระบบสารสนเทศเพื่อการจัดการ, มหาวิทยาลัย Simon Fraser
บทความนี้ตีพิมพ์ซ้ำจาก สนทนา ภายใต้ใบอนุญาตครีเอทีฟคอมมอนส์ อ่าน บทความต้นฉบับ.
