กรุงเทพฯ 28 กุมภาพันธ์ 2566 — การ์ทเนอร์ อิงค์ คาดการณ์ว่าภายในสองปีข้างหน้านี้ (พ.ศ. 2568) เกือบครึ่งหนึ่งของผู้บริหารความปลอดภัยทางไซเบอร์ (Cybersecurity Leaders) จะเปลี่ยนงาน โดยที่ 25% จะทำงานในบทบาทที่แตกต่างไปจากเดิมอย่างสิ้นเชิง อันเป็นผลมาจากปัจจัยความกดดันหลากหลายที่เกี่ยวข้องกับการทำงาน
ดีฟติ โกพอล ผู้อำนวยการฝ่ายวิจัยของการ์ทเนอร์ กล่าวว่า “คนทำงานด้านความปลอดภัยไซเบอร์กำลังเผชิญกับความเครียดในระดับที่แตกต่างกันออกไป โดยผู้บริหาร CISOs อยู่ในโหมดที่ต้องปกป้ององค์กรโดยมีผลลัพธ์ที่เป็นไปได้อย่างเดียวคือต้องไม่โดนแฮกหรือไม่ทำให้เกิดช่องโหว่เสียเอง ผลกระทบทางจิตวิทยาของสิ่งนี้ส่งผลโดยตรงต่อคุณภาพการตัดสินใจและประสิทธิภาพการทำงานของทั้งผู้นำและทีมงานไซเบอร์ซีเคียวริตี้”
ด้วยพลวัตเหล่านี้รวมถึงโอกาสในตลาดที่มีอยู่อย่างมหาศาลสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ทำให้การเปลี่ยนย้ายบุคลากรที่มีทักษะความสามารถกลายเป็นสัญญาณอันตรายต่อทีมงานความปลอดภัย จากการวิจัยของการ์ทเนอร์ชี้ให้เห็นว่าโปรแกรมการรักษาความปลอดภัยทางไซเบอร์ที่เน้นปฏิบัติตามกฎระเบียบ การที่ผู้บริหารให้ความร่วมมือต่ำและเกณฑ์มาตรฐานความปลอดภัยที่ต่ำกว่าในอุตสาหกรรม ล้วนเป็นปัจจัยชี้วัดไปยังองค์กรที่ไม่เห็นว่าการจัดการความเสี่ยงด้านความปลอดภัยนั้นมีความสำคัญต่อความสำเร็จ โดยองค์กรประเภทนี้มีแนวโน้มที่จะเผชิญกับปัญหาพนักงานที่มีความสามารถในตำแหน่งต่างๆ เพิ่มสูงขึ้นผันแปรไปตามผลกระทบที่มีต่อความรู้สึกและคุณค่าในการทำงานของพวกเขา
“ภาวะหมดไฟ (Burnout) และการทำงานแบบจำยอมคือผลลัพธ์ของวัฒนธรรมองค์กรที่แย่ แม้การขจัดความเครียดของการทำงานให้หมดไปจะเป็นเป้าหมายที่ดูเป็นไปไม่ได้ แต่พนักงานก็สามารถจัดการงานที่ท้าทายและมีความกดดันได้อย่างเหลือเชื่อหากพวกเขาเชื่อมั่นและสนับสนุนวัฒนธรรมองค์กรที่ทำงานอยู่” โกพอล กล่าวเพิ่มเติม
มนุษย์เป็นต้นเหตุหลักของเหตุการณ์ด้านความปลอดภัยต่าง ๆ
การ์ทเนอร์คาดว่าภายในปี 2568 ปัญหาการขาดบุคลากรหรือความผิดพลาดของมนุษย์มีส่วนรับผิดชอบโดยตรงต่อเหตุการณ์ทางไซเบอร์สำคัญ ๆ มากกว่าครึ่ง โดยตัวเลขการโจมตีทางไซเบอร์และการหลอกลวงแบบวิศวกรรมทางสังคม (หรือ Social Engineering) ต่อผู้คนจะเพิ่มขึ้นอย่างรวดเร็ว เนื่องจากผู้โจมตีมองว่ามนุษย์คือจุดเปราะบางที่สุดในการแสวงหาผลประโยชน์
การสำรวจของการ์ทเนอร์เมื่อเดือนพฤษภาคมและมิถุนายน ปี 2565 สำรวจพนักงานจำนวน 1,310 ราย พบว่าในช่วง 12 เดือนที่ผ่านมา 69% ของพนักงานนั้นละเลยคำแนะนำด้านความปลอดภัยทางไซเบอร์ขององค์กร และยังพบว่า 74% ของพนักงานกล่าวว่า พวกเขาเต็มใจที่จะละเลยคำแนะนำด้านความปลอดภัยไซเบอร์นั้น ถ้ามันจะช่วยให้พวกเขาหรือทีมบรรลุเป้าหมายทางธุรกิจ
พอล เฟอทาโด รองประธานฝ่ายวิจัยของการ์ทเนอร์ กล่าวว่า “แรงเสียดทานที่เป็นตัวถ่วงการทำงานของพนักงานและนำไปสู่พฤติกรรมที่สร้างความไม่ปลอดภัย คือ ปัจจัยขับเคลื่อนสำคัญที่ก่อให้เกิดความเสี่ยงจากภายในองค์กร”
เพื่อรับมือกับภัยคุกคามที่เพิ่มขึ้นนี้ การ์ทเนอร์คาดการณ์ว่า ภายในปี 2568 ครึ่งหนึ่งขององค์กรขนาดกลางถึงขนาดใหญ่จะใช้โปรแกรมที่ต้องมี (Formal Programs) เพื่อจัดการความเสี่ยงจากภายในองค์กร เพิ่มขึ้นจาก 10% ณ ปัจจุบัน โดยโปรแกรมการจัดการความเสี่ยงนี้ควรมุ่งเน้นไปที่การระบุและคาดการณ์พฤติกรรมต่าง ๆ ของทีมงานแบบเชิงรุกที่อาจทำให้เกิดการรั่วไหลทางทรัพย์สินขององค์กรหรือการกระทำที่เป็นอันตรายด้านอื่น ๆ นอกจากนี้ยังต้องสามารถให้คำแนะนำเพื่อการแก้ไข ไม่ใช่เป็นเพียงบทลงโทษ
“ผู้บริหาร CISOs ต้องเพิ่มการพิจารณาความเสี่ยงจากภายในมากขึ้น เพื่อพัฒนาโปรแกรมความปลอดภัยไซเบอร์ ซึ่งเครื่องมือรักษาความปลอดภัยไซเบอร์แบบดั้งเดิมนั้นยังมีข้อจำกัดในการมองเห็นภัยคุกคามที่มาจากข้างใน” เฟอทาโด กล่าวสรุป