องค์กรใน APAC มากกว่าครึ่งไม่ทำแบบประเมินความเสี่ยงตามมาตรฐาน
พบความเข้าใจเรื่องการทำแบบประเมินความเสี่ยงขององค์กรขนาดใหญ่ในภูมิภาค APAC และญี่ปุ่นอาจมีความคลาดเคลื่อน โดยมีเพียง 45% ขององค์กรที่ทำแบบประเมินตามมาตรฐาน ขณะที่อีก 55% จะทำแบบประเมินเมื่อเกิดปัญหาด้านซีเคียวริตี้ขึ้นเท่านั้น
การสำรวจดังกล่าวจัดทำโดยบริษัท LoyRhythm ในประเด็นเรื่อง “Exploring Cyber Security Maturity in Asia” พบข้อมูลที่น่าสนใจว่า 80 เปอร์เซ็นต์ขององค์กรขนาดใหญ่ในภูมิภาคเอเชียแปซิฟิก (APAC) นั้นมีความมั่นใจในระบบซีเคียวริตี้ขององค์กรว่าจะสามารถป้องกันการบุกรุกของผู้ไม่ประสงค์ดีได้ และมี 50 เปอร์เซ็นต์เลยทีเดียวที่เชื่อมั่นว่า อย่างน้อยภายใน 12 เดือนข้างหน้านี้ บริษัทของพวกเขาจะไม่ถูกเจาะระบบอย่างแน่นอน
โดยการศึกษาดังกล่าวได้สำรวจความคิดเห็นของบุคลากรในวงการไอทีระดับผู้มีอำนาจตัดสินใจจำนวน 400 คนในฮ่องกง มาเลเซีย และสิงคโปร์ (จัดทำโดย Frost & Sullivan) อย่างไรก็ดี รายงานชิ้นนี้ยังพบด้วยว่า แม้ว่าองค์กรส่วนมากจะมั่นใจในความแข็งแกร่งของระบบซีเคียวริตี้ที่องค์กรใช้งานอยู่ แต่ก็มีถึง 55 เปอร์เซ็นต์ที่ไม่เคยทำแบบประเมินความเสี่ยง หรือบอกว่าจะทำก็ต่อเมื่อมีช่องโหว่เกิดขึ้น หรือมีความเสี่ยงที่จะเกิดช่องโหว่ขึ้นเท่านั้น
ในจุดนี้ Bill Taylor-Mountford รองประธาน LoyRhythm ในภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น กล่าวว่า “น่าตื่นเต้นที่เราได้ทราบว่า องค์กรขนาดใหญ่ใน APAC มีความมั่นใจว่าจะสามารถปกป้องข้อมูลจากการรุกรานได้ อย่างไรก็ดี องค์กรเหล่านี้ต้องตระหนักด้วยว่า ความมั่นใจเหล่านั้นจะไม่ได้เกิดมาจากความเข้าใจเรื่องการทำแบบประเมินความเสี่ยงจากภัยคุกคามบนโลกไซเบอร์ที่ผิดพลาดจากสิ่งที่ควรจะเป็น”
เหตุที่กล่าวเช่นนั้นเนื่องจากข้อมูลจากงานวิจัยชี้ด้วยว่า ส่วนหนึ่งขององค์กรขนาดใหญ่ในภูมิภาคนี้จะทำการประเมินความเสี่ยงด้านภัยคุกคามก็ต่อเมื่อมีปัญหาด้านซีเคียวริตี้เกิดขึ้นแล้วเท่านั้น โดยกำแพงสำคัญที่ทำให้องค์กรไม่ตระหนักในการทำแบบประเมินความเสี่ยงตามมาตรฐานที่ควรจะเป็นมาจากปัญหาด้านงบประมาณ รวมถึงการขาดประสบการณ์ด้านการถูกเจาะระบบที่รุนแรงที่บริษัทในภูมิภาคนี้ยังไม่เคยเจอนั่นเอง ซึ่งในจุดนี้ เขายังชี้ด้วยว่า การประเมินความเสี่ยงที่ทำอย่างถูกต้องตามมาตรฐานสามารถช่วยให้องค์กรเข้าใจได้ว่าจุดที่องค์กรอยู่นั้นอยู่ในระดับใดใน Security Maturity Model
“อดีตที่ผ่านมา และซอฟต์แวร์ด้านการตรวจจับภัยคุกคามอาจไม่เพียงพออีกต่อไปแล้วในสงครามด้านไซเบอร์ซีเคียวริตี้ยุคหน้า ซึ่งการจะรับมือได้อย่างมีประสิทธิภาพนั้น องค์กรต้องยกระดับรูปแบบการจัดการด้านไซเบอร์ซีเคียวริตี้โดยการดึงทั้ง security intelligence, analytics และผู้เชี่ยวชาญเข้ามาทำงานร่วมกัน และนี่ไม่ใช่ช้อยส์ให้องค์กรเลือก แต่คือสิ่งที่จำเป็นต้องทำ” Charles Lim นักวิเคราะห์จาก Frost & Sullivan กล่าวปิดท้าย