เรื่องเล่าจากเบื้องหลังตำแหน่งผู้บริหาร: CISO ที่ใคร ๆ ก็เข้าใจผิด
ย้อนกลับไปปี 1995 Steve Katz ได้รับตำแหน่ง CISO คนแรกของโลกที่ Citicorp หลังจากธนาคารถูกแฮกเกอร์ขโมยเงินกว่า 10 ล้านดอลลาร์ ตั้งแต่นั้นมา ตำแหน่งนี้กลายเป็นหนึ่งในบทบาทสำคัญด้านความปลอดภัยไซเบอร์ แต่ก็ยังถูกเข้าใจผิดอยู่มาก
Andy Ellis อธิบายว่า “CISO คือคนที่ทำทุกอย่างเกี่ยวกับไซเบอร์ที่ไม่มีใครอยากทำ” และมักถูกมองว่าเป็น “อีกครึ่งหนึ่งของ CIO” ที่ต้องเก็บกวาดปัญหาความปลอดภัยที่คนอื่นละเลย
ปัญหาคือหลายองค์กรไม่เข้าใจว่าหน้าที่ของ CISO คืออะไร โดยเฉพาะเมื่อองค์กรอยู่ในระดับความพร้อมด้านไซเบอร์ที่ต่างกัน บางแห่งให้ CISO เป็นแค่ “วิศวกรเก่งที่สุด” ที่คอยดับไฟ ส่วนบางแห่งให้เป็นผู้นำเชิงกลยุทธ์ที่ต้องสร้างคุณค่าให้ธุรกิจผ่านความปลอดภัย
สิ่งที่น่ากังวลคือ แม้จะมีตำแหน่ง “Chief” แต่ CISO กลับไม่มีอำนาจตัดสินใจที่แท้จริง และอาจถูกดึงเข้าสู่ความรับผิดทางกฎหมาย หากเกิดการละเมิดหรือการสื่อสารผิดพลาด—อย่างกรณีของ Tim Brown แห่ง SolarWinds ที่ถูก SEC ฟ้องในคดีเปิดเผยข้อมูลผิดพลาด
CISO เป็นตำแหน่งที่มีความรับผิดชอบสูงแต่มีอำนาจจำกัดในหลายองค์กร
แม้จะมีชื่อ “Chief” แต่หลายคนไม่มีสิทธิ์ตัดสินใจเชิงกลยุทธ์
บางคนรายงานตรงถึง CEO แต่ไม่มีอิทธิพลจริง
บทบาทของ CISO แตกต่างกันตามระดับความพร้อมด้านไซเบอร์ขององค์กร
องค์กรที่ยังไม่ mature จะให้ CISO ทำงานเชิงเทคนิคเป็นหลัก
องค์กรที่ mature จะให้ CISO เป็นผู้นำเชิงกลยุทธ์ที่สร้างคุณค่าทางธุรกิจ
CISO ต้องกำหนดขอบเขตงานของตัวเองตามบริบทขององค์กร
ไม่มีนิยามตายตัวของหน้าที่ CISO
ต้องปรับบทบาทตามความเสี่ยงและวัฒนธรรมองค์กร
การสื่อสารบทบาทของ CISO เป็นสิ่งสำคัญเพื่อสร้างความเข้าใจในองค์กร
ควรเล่าเรื่องจากมุมมองของผู้ใช้ เช่น การลดความเสี่ยงหรือเพิ่มความเชื่อมั่น
หลีกเลี่ยงการใช้แผนภาพหรือคำอธิบายที่ซับซ้อนเกินไป
CISO ที่มีอิทธิพลสูงมักสร้างความสัมพันธ์กับผู้บริหารและบอร์ดได้ดี
ไม่ใช่แค่ตำแหน่ง แต่เป็นพฤติกรรมและความสามารถในการสื่อสาร
การเข้าใจสิ่งที่ผู้บริหารสนใจคือกุญแจสำคัญ
การไม่เข้าใจบทบาทของ CISO อาจนำไปสู่การจัดสรรทรัพยากรผิดพลาด
องค์กรอาจไม่ให้ความสำคัญกับความปลอดภัยเท่าที่ควร
ส่งผลให้เกิดช่องโหว่และความเสี่ยงที่ไม่จำเป็น
CISO อาจถูกดึงเข้าสู่ความรับผิดทางกฎหมายหากเกิดการละเมิดหรือสื่อสารผิด
กรณีของ Tim Brown แห่ง SolarWinds เป็นตัวอย่างที่ชัดเจน
การไม่มีอำนาจแต่ต้องรับผิดชอบเป็นภาระที่ไม่สมดุล
การใช้ตำแหน่ง “Chief” โดยไม่มีอำนาจจริงอาจสร้างความสับสนในองค์กร
ทำให้เกิดความคาดหวังที่ไม่ตรงกับความเป็นจริง
ส่งผลต่อความเชื่อมั่นและการสนับสนุนจากผู้บริหาร
การสื่อสารบทบาทของ CISO ด้วยภาษาทางเทคนิคอาจทำให้ผู้บริหารไม่เข้าใจ
ควรแปลงความเสี่ยงเป็นผลกระทบทางธุรกิจ เช่น ความเสียหายทางการเงินหรือชื่อเสียง
การพูดภาษาธุรกิจคือทักษะสำคัญของ CISO ยุคใหม่
https://www.csoonline.com/article/4026872/the-cisos-challenge-getting-colleagues-to-understand-what-you-do.html
ย้อนกลับไปปี 1995 Steve Katz ได้รับตำแหน่ง CISO คนแรกของโลกที่ Citicorp หลังจากธนาคารถูกแฮกเกอร์ขโมยเงินกว่า 10 ล้านดอลลาร์ ตั้งแต่นั้นมา ตำแหน่งนี้กลายเป็นหนึ่งในบทบาทสำคัญด้านความปลอดภัยไซเบอร์ แต่ก็ยังถูกเข้าใจผิดอยู่มาก
Andy Ellis อธิบายว่า “CISO คือคนที่ทำทุกอย่างเกี่ยวกับไซเบอร์ที่ไม่มีใครอยากทำ” และมักถูกมองว่าเป็น “อีกครึ่งหนึ่งของ CIO” ที่ต้องเก็บกวาดปัญหาความปลอดภัยที่คนอื่นละเลย
ปัญหาคือหลายองค์กรไม่เข้าใจว่าหน้าที่ของ CISO คืออะไร โดยเฉพาะเมื่อองค์กรอยู่ในระดับความพร้อมด้านไซเบอร์ที่ต่างกัน บางแห่งให้ CISO เป็นแค่ “วิศวกรเก่งที่สุด” ที่คอยดับไฟ ส่วนบางแห่งให้เป็นผู้นำเชิงกลยุทธ์ที่ต้องสร้างคุณค่าให้ธุรกิจผ่านความปลอดภัย
สิ่งที่น่ากังวลคือ แม้จะมีตำแหน่ง “Chief” แต่ CISO กลับไม่มีอำนาจตัดสินใจที่แท้จริง และอาจถูกดึงเข้าสู่ความรับผิดทางกฎหมาย หากเกิดการละเมิดหรือการสื่อสารผิดพลาด—อย่างกรณีของ Tim Brown แห่ง SolarWinds ที่ถูก SEC ฟ้องในคดีเปิดเผยข้อมูลผิดพลาด
CISO เป็นตำแหน่งที่มีความรับผิดชอบสูงแต่มีอำนาจจำกัดในหลายองค์กร
แม้จะมีชื่อ “Chief” แต่หลายคนไม่มีสิทธิ์ตัดสินใจเชิงกลยุทธ์
บางคนรายงานตรงถึง CEO แต่ไม่มีอิทธิพลจริง
บทบาทของ CISO แตกต่างกันตามระดับความพร้อมด้านไซเบอร์ขององค์กร
องค์กรที่ยังไม่ mature จะให้ CISO ทำงานเชิงเทคนิคเป็นหลัก
องค์กรที่ mature จะให้ CISO เป็นผู้นำเชิงกลยุทธ์ที่สร้างคุณค่าทางธุรกิจ
CISO ต้องกำหนดขอบเขตงานของตัวเองตามบริบทขององค์กร
ไม่มีนิยามตายตัวของหน้าที่ CISO
ต้องปรับบทบาทตามความเสี่ยงและวัฒนธรรมองค์กร
การสื่อสารบทบาทของ CISO เป็นสิ่งสำคัญเพื่อสร้างความเข้าใจในองค์กร
ควรเล่าเรื่องจากมุมมองของผู้ใช้ เช่น การลดความเสี่ยงหรือเพิ่มความเชื่อมั่น
หลีกเลี่ยงการใช้แผนภาพหรือคำอธิบายที่ซับซ้อนเกินไป
CISO ที่มีอิทธิพลสูงมักสร้างความสัมพันธ์กับผู้บริหารและบอร์ดได้ดี
ไม่ใช่แค่ตำแหน่ง แต่เป็นพฤติกรรมและความสามารถในการสื่อสาร
การเข้าใจสิ่งที่ผู้บริหารสนใจคือกุญแจสำคัญ
การไม่เข้าใจบทบาทของ CISO อาจนำไปสู่การจัดสรรทรัพยากรผิดพลาด
องค์กรอาจไม่ให้ความสำคัญกับความปลอดภัยเท่าที่ควร
ส่งผลให้เกิดช่องโหว่และความเสี่ยงที่ไม่จำเป็น
CISO อาจถูกดึงเข้าสู่ความรับผิดทางกฎหมายหากเกิดการละเมิดหรือสื่อสารผิด
กรณีของ Tim Brown แห่ง SolarWinds เป็นตัวอย่างที่ชัดเจน
การไม่มีอำนาจแต่ต้องรับผิดชอบเป็นภาระที่ไม่สมดุล
การใช้ตำแหน่ง “Chief” โดยไม่มีอำนาจจริงอาจสร้างความสับสนในองค์กร
ทำให้เกิดความคาดหวังที่ไม่ตรงกับความเป็นจริง
ส่งผลต่อความเชื่อมั่นและการสนับสนุนจากผู้บริหาร
การสื่อสารบทบาทของ CISO ด้วยภาษาทางเทคนิคอาจทำให้ผู้บริหารไม่เข้าใจ
ควรแปลงความเสี่ยงเป็นผลกระทบทางธุรกิจ เช่น ความเสียหายทางการเงินหรือชื่อเสียง
การพูดภาษาธุรกิจคือทักษะสำคัญของ CISO ยุคใหม่
https://www.csoonline.com/article/4026872/the-cisos-challenge-getting-colleagues-to-understand-what-you-do.html
🧠 เรื่องเล่าจากเบื้องหลังตำแหน่งผู้บริหาร: CISO ที่ใคร ๆ ก็เข้าใจผิด
ย้อนกลับไปปี 1995 Steve Katz ได้รับตำแหน่ง CISO คนแรกของโลกที่ Citicorp หลังจากธนาคารถูกแฮกเกอร์ขโมยเงินกว่า 10 ล้านดอลลาร์ ตั้งแต่นั้นมา ตำแหน่งนี้กลายเป็นหนึ่งในบทบาทสำคัญด้านความปลอดภัยไซเบอร์ แต่ก็ยังถูกเข้าใจผิดอยู่มาก
Andy Ellis อธิบายว่า “CISO คือคนที่ทำทุกอย่างเกี่ยวกับไซเบอร์ที่ไม่มีใครอยากทำ” และมักถูกมองว่าเป็น “อีกครึ่งหนึ่งของ CIO” ที่ต้องเก็บกวาดปัญหาความปลอดภัยที่คนอื่นละเลย
ปัญหาคือหลายองค์กรไม่เข้าใจว่าหน้าที่ของ CISO คืออะไร โดยเฉพาะเมื่อองค์กรอยู่ในระดับความพร้อมด้านไซเบอร์ที่ต่างกัน บางแห่งให้ CISO เป็นแค่ “วิศวกรเก่งที่สุด” ที่คอยดับไฟ ส่วนบางแห่งให้เป็นผู้นำเชิงกลยุทธ์ที่ต้องสร้างคุณค่าให้ธุรกิจผ่านความปลอดภัย
สิ่งที่น่ากังวลคือ แม้จะมีตำแหน่ง “Chief” แต่ CISO กลับไม่มีอำนาจตัดสินใจที่แท้จริง และอาจถูกดึงเข้าสู่ความรับผิดทางกฎหมาย หากเกิดการละเมิดหรือการสื่อสารผิดพลาด—อย่างกรณีของ Tim Brown แห่ง SolarWinds ที่ถูก SEC ฟ้องในคดีเปิดเผยข้อมูลผิดพลาด
✅ CISO เป็นตำแหน่งที่มีความรับผิดชอบสูงแต่มีอำนาจจำกัดในหลายองค์กร
➡️ แม้จะมีชื่อ “Chief” แต่หลายคนไม่มีสิทธิ์ตัดสินใจเชิงกลยุทธ์
➡️ บางคนรายงานตรงถึง CEO แต่ไม่มีอิทธิพลจริง
✅ บทบาทของ CISO แตกต่างกันตามระดับความพร้อมด้านไซเบอร์ขององค์กร
➡️ องค์กรที่ยังไม่ mature จะให้ CISO ทำงานเชิงเทคนิคเป็นหลัก
➡️ องค์กรที่ mature จะให้ CISO เป็นผู้นำเชิงกลยุทธ์ที่สร้างคุณค่าทางธุรกิจ
✅ CISO ต้องกำหนดขอบเขตงานของตัวเองตามบริบทขององค์กร
➡️ ไม่มีนิยามตายตัวของหน้าที่ CISO
➡️ ต้องปรับบทบาทตามความเสี่ยงและวัฒนธรรมองค์กร
✅ การสื่อสารบทบาทของ CISO เป็นสิ่งสำคัญเพื่อสร้างความเข้าใจในองค์กร
➡️ ควรเล่าเรื่องจากมุมมองของผู้ใช้ เช่น การลดความเสี่ยงหรือเพิ่มความเชื่อมั่น
➡️ หลีกเลี่ยงการใช้แผนภาพหรือคำอธิบายที่ซับซ้อนเกินไป
✅ CISO ที่มีอิทธิพลสูงมักสร้างความสัมพันธ์กับผู้บริหารและบอร์ดได้ดี
➡️ ไม่ใช่แค่ตำแหน่ง แต่เป็นพฤติกรรมและความสามารถในการสื่อสาร
➡️ การเข้าใจสิ่งที่ผู้บริหารสนใจคือกุญแจสำคัญ
‼️ การไม่เข้าใจบทบาทของ CISO อาจนำไปสู่การจัดสรรทรัพยากรผิดพลาด
⛔ องค์กรอาจไม่ให้ความสำคัญกับความปลอดภัยเท่าที่ควร
⛔ ส่งผลให้เกิดช่องโหว่และความเสี่ยงที่ไม่จำเป็น
‼️ CISO อาจถูกดึงเข้าสู่ความรับผิดทางกฎหมายหากเกิดการละเมิดหรือสื่อสารผิด
⛔ กรณีของ Tim Brown แห่ง SolarWinds เป็นตัวอย่างที่ชัดเจน
⛔ การไม่มีอำนาจแต่ต้องรับผิดชอบเป็นภาระที่ไม่สมดุล
‼️ การใช้ตำแหน่ง “Chief” โดยไม่มีอำนาจจริงอาจสร้างความสับสนในองค์กร
⛔ ทำให้เกิดความคาดหวังที่ไม่ตรงกับความเป็นจริง
⛔ ส่งผลต่อความเชื่อมั่นและการสนับสนุนจากผู้บริหาร
‼️ การสื่อสารบทบาทของ CISO ด้วยภาษาทางเทคนิคอาจทำให้ผู้บริหารไม่เข้าใจ
⛔ ควรแปลงความเสี่ยงเป็นผลกระทบทางธุรกิจ เช่น ความเสียหายทางการเงินหรือชื่อเสียง
⛔ การพูดภาษาธุรกิจคือทักษะสำคัญของ CISO ยุคใหม่
https://www.csoonline.com/article/4026872/the-cisos-challenge-getting-colleagues-to-understand-what-you-do.html
0 ความคิดเห็น
0 การแบ่งปัน
43 มุมมอง
0 รีวิว
English