เรื่องเล่าจากแนวหน้าไซเบอร์: เมื่อ CISO ต้องลดงบแต่ยังต้องป้องกันองค์กร

David Mahdi อดีต CISO และที่ปรึกษาด้านความปลอดภัยของ Transmit Security เคยเผชิญกับการตัดงบกลางปีแบบไม่ทันตั้งตัวจากแรงกดดันหลายด้าน ทั้งหนี้เทคโนโลยีเก่า ตลาดผันผวน และภูมิรัฐศาสตร์ เขาเรียนรู้ว่า “การลดแบบบาง ๆ ทุกส่วน” เป็นกับดักที่สร้างความเปราะบางโดยไม่รู้ตัว

เขาเสนอกรอบการตัดสินใจ 3 มิติ:
- ความเสี่ยงเชิงกลยุทธ์: ถ้าควบคุมล้มเหลว จะเกิดอะไรขึ้น?
- การสอดคล้องกับธุรกิจ: สิ่งนี้ช่วยสร้างรายได้ ความไว้วางใจ หรือการปฏิบัติตามกฎหมายหรือไม่?
- สิ่งที่ควรตัดทันที: เครื่องมือซ้ำซ้อนหรือ “ละครความปลอดภัย” ที่ดูดีแต่ไม่มีผลจริง

CISO ที่มีประสิทธิภาพจะใช้ทีมข้ามสายงานร่วมกันประเมิน และใช้ข้อมูลจริงในการตัดสินใจ ไม่ใช่แค่ความรู้สึกหรือภาพลวงตา

CISOs เผชิญกับการตัดงบประมาณในปี 2024–2025
1 ใน 8 รายงานว่าถูกลดงบ
เกือบ 1 ใน 3 บอกว่างบไม่เพียงพอ

งบประมาณส่วนใหญ่ใช้กับบุคลากรและซอฟต์แวร์
37% ไปที่เงินเดือนและค่าตอบแทน
23% สำหรับซอฟต์แวร์นอกองค์กร
4% เท่านั้นสำหรับการฝึกอบรม

แนวทางลดงบโดยไม่ลดความปลอดภัย2
ตัดเครื่องมือซ้ำซ้อน
ใช้โอเพ่นซอร์สหรือพัฒนาเอง
ปรับปรุงกระบวนการแทนการพึ่งเครื่องมือ
พักโครงการทดลองที่ไม่เร่งด่วน

CISO ที่ดีต้องเป็นผู้นำเชิงกลยุทธ์ ไม่ใช่แค่ผู้เชี่ยวชาญเทคนิค
สื่อสารกับผู้บริหารเรื่อง ROI ของความปลอดภัย
สร้างวัฒนธรรมความปลอดภัยในองค์กร
ใช้ AI อย่างมีกรอบกำกับและจริยธรรม

การประเมินควรใช้ข้อมูลจริง ไม่ใช่ความรู้สึกหรือภาพลวงตา
ความมั่นใจของผู้บริหารมักสูงกว่าความเป็นจริง
ผู้ปฏิบัติงานเห็นปัญหาเช่น alert fatigue และระบบเก่า

https://www.csoonline.com/article/4029274/how-cisos-can-scale-down-without-compromising-security.html
🧠 เรื่องเล่าจากแนวหน้าไซเบอร์: เมื่อ CISO ต้องลดงบแต่ยังต้องป้องกันองค์กร David Mahdi อดีต CISO และที่ปรึกษาด้านความปลอดภัยของ Transmit Security เคยเผชิญกับการตัดงบกลางปีแบบไม่ทันตั้งตัวจากแรงกดดันหลายด้าน ทั้งหนี้เทคโนโลยีเก่า ตลาดผันผวน และภูมิรัฐศาสตร์ เขาเรียนรู้ว่า “การลดแบบบาง ๆ ทุกส่วน” เป็นกับดักที่สร้างความเปราะบางโดยไม่รู้ตัว เขาเสนอกรอบการตัดสินใจ 3 มิติ: - ความเสี่ยงเชิงกลยุทธ์: ถ้าควบคุมล้มเหลว จะเกิดอะไรขึ้น? - การสอดคล้องกับธุรกิจ: สิ่งนี้ช่วยสร้างรายได้ ความไว้วางใจ หรือการปฏิบัติตามกฎหมายหรือไม่? - สิ่งที่ควรตัดทันที: เครื่องมือซ้ำซ้อนหรือ “ละครความปลอดภัย” ที่ดูดีแต่ไม่มีผลจริง CISO ที่มีประสิทธิภาพจะใช้ทีมข้ามสายงานร่วมกันประเมิน และใช้ข้อมูลจริงในการตัดสินใจ ไม่ใช่แค่ความรู้สึกหรือภาพลวงตา ✅ CISOs เผชิญกับการตัดงบประมาณในปี 2024–2025 ➡️ 1 ใน 8 รายงานว่าถูกลดงบ ➡️ เกือบ 1 ใน 3 บอกว่างบไม่เพียงพอ ✅ งบประมาณส่วนใหญ่ใช้กับบุคลากรและซอฟต์แวร์ ➡️ 37% ไปที่เงินเดือนและค่าตอบแทน ➡️ 23% สำหรับซอฟต์แวร์นอกองค์กร ➡️ 4% เท่านั้นสำหรับการฝึกอบรม ✅ แนวทางลดงบโดยไม่ลดความปลอดภัย2 ➡️ ตัดเครื่องมือซ้ำซ้อน ➡️ ใช้โอเพ่นซอร์สหรือพัฒนาเอง ➡️ ปรับปรุงกระบวนการแทนการพึ่งเครื่องมือ ➡️ พักโครงการทดลองที่ไม่เร่งด่วน ✅ CISO ที่ดีต้องเป็นผู้นำเชิงกลยุทธ์ ไม่ใช่แค่ผู้เชี่ยวชาญเทคนิค ➡️ สื่อสารกับผู้บริหารเรื่อง ROI ของความปลอดภัย ➡️ สร้างวัฒนธรรมความปลอดภัยในองค์กร ➡️ ใช้ AI อย่างมีกรอบกำกับและจริยธรรม ✅ การประเมินควรใช้ข้อมูลจริง ไม่ใช่ความรู้สึกหรือภาพลวงตา ➡️ ความมั่นใจของผู้บริหารมักสูงกว่าความเป็นจริง ➡️ ผู้ปฏิบัติงานเห็นปัญหาเช่น alert fatigue และระบบเก่า https://www.csoonline.com/article/4029274/how-cisos-can-scale-down-without-compromising-security.html
WWW.CSOONLINE.COM
How CISOs can scale down without compromising security
When budget cuts hit, CISOs face tough choices. But clear priorities, transparency, and a focus on people and processes can help them navigate the moment.
0 ความคิดเห็น 0 การแบ่งปัน 70 มุมมอง 0 รีวิว