‘ผู้นำ’ กับไซเบอร์ซีเคียวริตี้

“อินเทอร์เน็ต” โครงสร้างพื้นฐานของการดำรงชีวิตและการทำงาน ถือเป็นสิ่งสำคัญที่ “ผู้นำ” ต้องกำกับดูแลความมั่นคงทางไซเบอร์ให้ได้เพื่อให้มีความั่นคง ทั้งการกำกับนโยบาย รวมถึงในแง่การปฏิบัติและตัวบทกฎหมาย

อินเทอร์เน็ต เป็นโครงสร้างพื้นฐานของการดำรงชีวิตและการงานทั้งปวง ใครที่เป็นผู้นำมีหน้าที่ในการนำและกำกับดูแลความมั่นคงทางไซเบอร์ แต่มีผู้นำจำนวนไม่น้อยที่ทำเหมือนกับกำลังต่อยมวยวัดคือ ทำแบบมั่วๆ ไม่มีขั้นมีตอนที่แน่นอน วันไหนหน้าเว็บถูกแฮ็ก วันนั้นก็ด่าลูกน้องในแผนกไอทีว่าไม่ดูแลให้ดี วันไหนแอพพ์ล่มเพราะมีคนแห่กันมาใช้บริการพร้อมๆ กัน ก็ให้ลูกน้องไปเล่นงานผู้ให้บริการอินเทอร์เน็ต ซึ่งผู้นำที่นำและกำกับดูแลแบบมั่วๆ ย่อมทำให้ระบบไซเบอร์ขององค์กรนั้นไม่มีความมั่นคงอย่างแท้จริง เป็นแค่ความมั่นคงต่อความสบายใจและความสะใจของผู้นำเท่านั้นเอง

ผู้นำควรเข้าใจว่าการรักษาความมั่นคงทางไซเบอร์ประกอบด้วยหน้าที่หลักๆ อยู่แค่ 5 ฟังก์ชัน คือ กำหนดว่าองค์กรอยู่ในสภาพแวดล้อมที่มีความเสี่ยงทางไซเบอร์อย่างไรบ้าง มีข้อมูลใดบ้างที่เสี่ยงมากเสี่ยงน้อยแค่ไหน มีทรัพย์สินทางไซเบอร์อะไรบ้างที่มีความเสี่ยง รวมทั้งกำหนดชัดเจนว่ามีขีดความสามารถมากน้อยเพียงใดในการสู้กับความเสี่ยงนั้นได้ ซึ่งทำให้ทราบทันทีว่า เรื่องใดควรทำเรื่องใดยังไม่จำเป็นต้องทำ

ฟังก์ชันที่ 2 คือป้องกันโครงสร้างพื้นฐานทางไซเบอร์ที่ได้กำหนดไว้นั้นให้มีความมั่นคง ป้องกันไม่ให้ใครต่อใครมาแฮ็กมาขโมยข้อมูล หรือแม้แต่มาด่าผ่านช่องทางไซเบอร์ หากได้กำหนดไว้ว่าการถูกด่าทางไซเบอร์เป็นความเสี่ยงอย่างหนึ่ง ฟังก์ชันที่ 3 คือตรวจสอบการกระทำใดๆ ที่คุกคามความมั่นคงทางไซเบอร์ว่ามีขึ้นหรือไม่ ซึ่งหากพบวี่แววว่ากำลังจะเกิดการคุกคาม 

ฟังก์ชันที่ 4 คือหาหนทางตอบโต้การคุกคามนั้นเสียตั้งแต่ต้นมือ โดยไม่รอให้เกิดความเสียหายขึ้นมาแล้วจึงค่อยมาโวยวายโดยเปล่าประโยชน์ ฟังก์ชันที่ 5 คือฟื้นฟูระบบไซเบอร์ให้คืนสู่สภาพเดิมหรือมีสภาพที่มั่นคงมากกว่าที่เป็นอยู่ก่อนมีการคุกคาม ไม่ใช่กระทำเป็นวงรอบย้อนกลับไปกลับมา คือ รอให้เกิดการคุกคามจนเสียหายแล้วจึงตอบโต้ ตามด้วยการฟื้นฟูซ้ำซาก ซึ่งแปลว่ากระบวนการป้องกันไม่ได้มีการปรับปรุงให้ดีขึ้นกว่าที่มีอยู่เดิมเคยทำอย่างไรก็ทำอย่างนั้นซ้ำซาก

ถ้าไม่อยากเป็นแค่ผู้นำทำอย่างซ้ำซากให้ทำอย่างมีหลักการ ซึ่งมีหลากหลายแนวทาง แต่แนวทางตาม Baldrige Cybersecurity Excellence Builder ดูเหมือนจะกำหนดบทบาทของผู้นำไว้อย่างชัดเจนที่สุด

โดยบอกไว้ว่าบทบาทพื้นฐานในด้านไซเบอร์ซีเคียวริตี้ สำหรับคนที่เป็นผู้นำขององค์กรนั้นมีแค่ 2 ประการ คือ ประการแรก ผู้นำต้องกำหนดนโยบายและเป็นผู้นำในการปฏิบัติการที่เกี่ยวข้องกับไซเบอร์ซีเคียวริตี้ ประการที่ 2 ผู้นำต้องกำกับดูแลการปฏิบัติให้เป็นไปตามนโยบายและกฎหมายโดยต้องเป็นประโยชน์กับชุมชนและสังคมในด้านไซเบอร์ซีเคียวริตี้

การกำหนดนโยบายฟังแล้วดูเป็นเรื่องใหญ่แต่ที่จริงทำได้ง่ายๆ โดยทำ 2 เรื่อง คือ ผู้นำบอกว่าอะไรคือสิ่งที่ต้องการให้มีความมั่นคงและจะรักษาความมั่นคงไว้โดยใช้ขีดความสามารถใดบ้าง พร้อมกับบอกกล่าวให้บุคลากรตระหนักถึงความสำคัญของสิ่งที่ต้องการรักษาความมั่นคง ให้เกิดขึ้นกับบุคลากรแต่ละคนจะได้รู้ว่าใครต้องทำอะไรบ้าง โดยใช้เครื่องมืออะไรบ้าง 

เน้นชัดๆ อีกครั้งว่าบทบาทในการนำไซเบอร์ซีเคียวริตี้ คือ กำหนดว่าอะไรบ้างที่ต้องการให้มีความมั่นคงและสื่อสารว่า ใครบ้างต้องทำอะไรโดยใช้อะไรในการตอบโต้และฟื้นฟูจากการคุกคาม

หน้าที่สำคัญหนึ่งของผู้นำคือ การกำกับการทำงานงานด้านความมั่นคงทางไซเบอร์ ก็ต้องมีการกำกับดูแลเช่นเดียวกันและอาจต้องการมากกว่างานอื่นอีกหลายงานที่ผู้นำดูแลอยู่การกำกับดูแลไซเบอร์ซีเคียวริตี้ที่ต้องกระทำ อย่างน้อยที่สุด คือ กำกับให้องค์กรดำเนินงานอย่างถูกต้องตามกฎหมายที่เกี่ยวข้อง ผู้นำต้องรู้ดีว่าแค่ไหนกฎหมายให้ทำแค่ไหนเกินกว่าที่กฎหมายบอกไว้ ผู้นำยังต้องกำกับการดูแลการดำเนินงานไม่ให้ไปสร้างความเดือดร้อนยุ่งยากกับสังคมและชุมชนโดยไม่จำเป็น ต้องกำกับให้การรักษาความมั่นคงทางไซเบอร์เป็นไปในทางที่เอื้อประโยชน์กับสังคมอีกด้วย

บทบาทผู้นำมีเพียง 3 จาก 5 ฟังก์ชันของการรักษาความมั่นคงทางไซเบอร์ ผู้นำเพียงกำหนดสภาพแวดล้อมให้ครบถ้วน สื่อสารให้รู้เรื่อง และกำกับดูแลให้เป็นไปตามกฎหมายและเกิดประโยชน์ต่อสังคม ผู้นำไม่มีบทบาทในการไปตอบโต้การคุกคามใดๆ เพราะอย่างไรก็ทำได้ไม่ดีเท่าช่างเทคนิค เว้นแต่ท่านอยากเป็นผู้นำที่ทำหน้าที่แค่ช่างเทคนิค