วันพุธที่ 13 ตุลาคม พ.ศ. 2553

ปัญหาใหญ่เรื่อง Security ในองค์กร

เคยคิดบ้างไหมครับว่าปัญหาที่สำคัญที่สุดในเรื่องการพัฒนาระบบ Security ภายในองค์กรคืออะไร เรื่องของอันตรายต่างๆ ภายในอินเตอร์เน็ตหรือแม้แต่กระทั่งภายในองค์กรนั้นคงเป็นเรื่องที่ท่านผู้อ่านหลายต่อหลายท่านก็คงจะทราบกันดีอยู่แล้ว จำนวนการโจมตีและอันตรายต่างๆ ที่เกี่ยวข้องกับ Security นั้นมีเพิ่มขึ้นอย่างมากมายในช่วงหลายปีที่ผ่านมาแน่นอนว่าเราสามารถหาทางที่จะป้องกันอันตรายที่จะเกิดขึ้นได้อยู่แล้ว เพราะในปัจจุบันนั้นมีเครื่องมือและเทคโนโลยีมากมายที่เราสามารถเลือกมาตอบสนองความต้องการขององค์กรได้ แต่ปัญหาที่สำคัญที่สุดก็คือเราไม่ใช่คนตัดสินใจเราว่าจะใช้ Solution นี้ เราไม่ใช่คนอนุมัติงบประมาณ เราไม่ใช่คนที่มีอำนาจในการสั่งการเพื่อให้มีผลการใช้งานทั้งองค์กร นั่นต่างหากคือปัญหาที่สำคัญในการพัฒนาระบบ Security ภายในองค์กร

ผู้มีอำนาจ 

ในส่วนของผู้บริหารระดับสูงที่มีส่วนเกี่ยวข้องกับ Security ภายในองค์กรนั้นก็คงหนีไม่พ้น 2 ตำแหน่งที่จะกล่าวถึงดังต่อไปนี้
  • Chief Security Officer (CSO)
  • Chief Information Security Officer (CISO)
Chief Security Officer (CSO)
ตำแหน่ง CSO หรือ Chief Security Officer นั้นเริ่มมีการใช้กันภายในตำแหน่งความรับผิดชอบที่ต้องดูแลในหน่วยงานของ Information Technology เพื่อที่จะหาผู้ที่จะมารับผิดชอบในส่วนของ IT Security และในปัจจุบันก็ยังมีหลายบริษัทนั้นยังคงใช้ตำแหน่ง CSO นั้นเพื่อที่จะดูแลรับผิดชอบในส่วนของ IT Security อยู่ แต่ว่าอีกหลายต่อหลายบริษัทเริ่มที่จะแยกหน้าที่รับผิดชอบนั้นแบ่งให้กับตำแหน่งใหม่นั้นคือ CISO แทน เมื่อพูดเช่นนี้แล้วเหมือนกับว่าตำแหน่ง CSO นั้นคือตำแหน่งเดียวกันกับ CISO หรือปล่าว หรืปว่าตำแหน่ง CSO นั้นถูกแทนที่ด้วย CISO ซะแล้ว เมื่อเป็นเช่นนี้แล้วทำไมถึงต้องมีตำแหน่ง CSO กันด้วยเล่า ทำไมไม่ลดให้เหลือแค่ CISO ซะเลยละ คำตอบของเรื่องนี้ก็คือ ตำแหน่ง CSO กับ CISO นั้นมีหน้าที่รับผิดชอบที่ค่อนข้างแตกต่างกันทีเดียวครับ ดังนั้นคงจะไม่เหมาะที่จะเอาตำแหน่ง CSO และ CISO นั้นไปประกบกันแล้วหาว่าเป็นตำแหน่งเดียวกัน
ตำแหน่ง CSO ในใช้เพื่อที่จะนิยามตำแหน่งหน้าที่ของผู้ที่จะมารับผิดชอบในส่วนของความปลอดภัยของทั้งองค์กรหรือ “Corporate Security” ซึ่งความหมายของความปลอดภัยทั้งองค์กรนั้นรวมไปถึงความปลอดภัยทางกายภาพ “Physical Security” และความปลอดภัย (Safety) ในการทำงานของบุคคลากรภายในองค์กร อุปกรณ์ที่ใช้ในการปฏิบัติหน้าที่ อีกทั้งทรัพย์สินต่าง ๆ ขององค์กรอีกด้วย ซึ่งถ้าจะว่าไปแล้วหน้าที่ความรับผิดชอบของ CSO ดังที่กล่าวมาแล้วนั้นก็คือหนึ่งในหน้าที่ความรับผิดชอบของ Vice President หรือ Director of Corporate Security นั้นเอง ซึ่งถ้าจะว่าไปแล้วหน้าที่ความรับผิดชอบนั้นก็จะแตกต่างจากแหล่งที่มาในตอนแรกซึ่งก็คือ Information Security พอสมควรทีเดียว
ในปัจจุบันอย่างที่กล่าวไปแล้วว่าหน้าที่ความรับผิดชอบของ CSO นั้น คือตำแหน่งที่ต้องรับผิดชอบดูแลในส่วนของความปลอดภัยของทั้งองค์กร ไม่ว่าจะเป็นในส่วนของ Physical หรือ Logical ซึ่งความรับผิดชอบของ CSO นั้นยังหมายรวมไปถึงการวางแผนเตรียมพร้อมที่จะรับมือกับเหตุการณ์ที่อาจจะเกิดขึ้น ใช่แล้วครับผมกำลังพูดถึง BCP หรือ Business Continuity Plan การป้องกันความสูญเสียต่าง ๆ ที่อาจจะเกิดขึ้นได้ อย่างที่กล่าวไปแล้วในตอนต้นว่าความรับผิดชอบของ CSO นั้นคือรับผิดชอบทั้ง Physical และ Logical ดังนั้นในการที่จะสร้าง BCP นั้นเขาจำเป็นต้องทำทั้งในส่วนของ Physical เช่น ระบบรักษาความปลอดภัยในองค์กร ระบบจ่ายพลังงาน หรือระบบป้องกันเพลิงไหม้เป็นต้น และส่วนที่สองคือส่วนของ Logical ก็คือระบบ Information Technology ที่เปรียบเสมือนเครื่องมือสำคัญในการดำเนินธรุกิจในปัจจุบัน  
Chief Information Security Officer (CISO)
จากบทความที่กล่าวมาแล้วในข้างต้นท่านผู้อ่านก็พอจะทราบพอคร่าว ๆ แล้วว่าตำแหน่งความรับผิดชอบของ CSO นั้นมีมากแค่ไหนหากท่านใดต้องการที่จะมารับตำแหน่งนี้ก็คงต้องมีความรู้รอบด้านในเรื่องของ Security พอสมควร ไม่ว่าจะเป็นในส่วนของ Physical Security และ Information Security และหากจะกล่าวถึงตำแหน่งที่สำคัญและเป็นตำแหน่งที่ค่อนข้างจะเป็นตำแหน่งใหม่ในองค์กรปัจจุบันกันบ้าง ใช่แล้วครับผมกำลังพูดถึงตำแหน่ง CISO หรือ Chief Information Security Officer ซึ่งถ้าจะดูจากคำแล้ว CISO ก็ต่างจาก CSO คือมีตัว I เพิ่มเข้ามานั่นเอง แล้วไอ้เจ้า I หรือ Information นั่นทำให้หน้าที่ความรับผิดชอบของ CISO แตกต่างไปจาก CSO อย่างไรบ้างเดียวเราจะได้มาดูกันครับ
ตำแหน่ง CISO นั้นมีความสำคัญอย่างไรกับองค์กรในปัจจุบัน ถ้าจะดูจากชื่อแล้วสิ่งที่แตกต่างจาก CSO ก็คือเรื่องของ Information ที่เพิ่มขึ้นมาเพื่อที่จะเน้นจำเพาะเจาะจงลงไปว่าความสำคัญและหน้าที่รับผิดชอบของตำแหน่ง CISO นี้อยู่ตรงไหน และเพื่อที่จะได้รู้ว่าตำแหน่ง CISO นั้นต้องรับผิดชอบอะไรบ้าง เราก็ควรจะไปทำความเข้าใจก่อนว่า Information นั่นคืออะไรและมีความสำคัญมากแค่ไหนในองค์กรแล้วทำไม่ถึงจำเป็นต้องมีคนเข้ามาดูแลในส่วนนี้โดยเฉพาะ
C-Level Executive
ทั้ง 2 ตำแหน่งคือ CSO และ CISO นั้นก็ยังไม่ใช่ผู้บริหารระดับสูงปรี๊ดที่เราหมายความถึง ทั้งทีมของ CSO และ CISO นั้นต่างก็เป็นกลุ่มที่เข้ามารับผิดชอบโดยตรงในการบริหารจัดการระบบ Security ภายในองค์กร คือกลุ่มคนที่ลงมือทำงานจริงๆ แต่ว่าผู้ที่ตัดสินใจในเรื่องของอำนาจและเงินทุนนั้นก็ยังคงเป็นกลุ่มผู้บริหารระดับสูงกว่าซึ่งได้แก่ CEO และ CIO สองคนนี้ต่างหากที่มีอำนาจในการตัีดสินใจ จะอนุมัีติหรือไม่อนุมัีติ งบประมาณจะได้หรือไม่ได้ก็ขึ้นอยู่กับสองท่านนี้ หนทางก็คือต้องทำอย่างไรจึงจะให้ทั้งสองท่านนี้มองเห็นปัญหาเหมือนกับคนไอทีมอง มองเห็นถึงผลที่จะเกิดหากไม่มีการพัฒนาด้าน Security นี่ต่างหากคือปัญหาใหญ่ที่คนไอทีอย่างเราจะต้องฝ่าฟันไปให้ได้
พวกใช้เงิน
แผนกไอทีของทุกองค์กรนั้นมักจะมีการทำงบประมาณที่เพิ่มขึ้นทุกๆ ปี เพราะว่าเราจำเป็นต้องมีการปรับปรุงเปลี่ยนแปลงให้ระบบขององค์กรเรานั้นสามารถต้านท้านการโจมตีใหม่ๆ ที่เกิดขึ้นตลอดเวลา แต่ว่างานส่วนใหญ่ที่ทำนั้นล้วนแล้วแต่เป็นงานที่มุ่งเน้นไปในด้านการป้องกันเสียเป็นส่วนใหญ่ เพราะเราคงไม่สามารถปล่อยให้เกิดเหตุการณ์ต่างๆ ขึ้นมาก่อนแล้วค่อยไปล้อมคอกเอาทีหลังได้ เพราะว่าข้อมูลและการดำเนินการอย่างต่อเนื่องขององค์กรนั้นเป็นสิ่งที่สำคัญเกินกว่าจะเอามาล้อเล่นได้
ในการสร้างระบบป้องกันนั้นจำเป็นต้องใช้งบประมาณเป็นจำนวนมาก และไม่ใช่ว่าลงทุนไปครับเดียวแล้วจบเลย เพราะเราจำเป็นต้องมีการปรับปรุงอยู่อย่างสม่ำเสมอ แต่ว่าเงินทุนที่นำไปลงในส่วนของพัฒนาเรื่อง Security นั้น ถ้าเราดูอย่างผิวเผินแล้วก็จะเหมือนว่าเงินงบประมาณที่ใช้ไปตั้งเยอะนั้นไม่ได้ทำให้อะไรดีขึ้นเลย เพราะว่าในส่วนของผู้ใช้นั้นก็ยังคงมีการทำงานเหมือนเดิม ผู้ใช้ไม่ได้รู้สึกถึงความแตกต่างที่เปลี่ยนไป ในขณะที่ฝ่ายไอทีนั้นลงอุปกรณ์ต่างๆ ลงไปอย่างมากมาย นอกจากชีวิตจะไม่ง่ายขึ้นแล้วการทำงานยังมีข้อจำกัดมากขึ้นอยู่เรื่อยๆ ทำโน่นก็ไม่ได้ ทำนี่ก็ไม่ได้ ทำอะไรก็ต้องขออนุญาติ เป็นต้น
ทีมไอทีนั้นมักจะถูกมองจากทีมอื่นๆ ว่าเป็นพวกใช้เงิน ชอบผลานเงินงบประมาณของบริษัท มีแต่อุปกรณ์ใหม่ๆ ใช้ มีแต่เครื่องแรงๆ ใช้ แต่ฝ่ายอื่นเช่นฝ่ายขายผู้ที่หาเงินเข้าบริษัทกลับไม่ค่อยได้รับการดูแลเท่าที่ควร ทำให้เกิดความอิจฉาเล็กๆ น้อยใจหน่อยๆ ฝ่ายไอทีมักถูกมองเป็น Cost Center ที่คอยแต่จะจ่ายเงินอยู่ตลอดเวลา เงินที่ลงทุนไปก็ไม่เห็นได้กำไรกลับมาเลย ไม่มีรายได้เกิดขึ้นจากการลงทุนของทีมไอทีเลยแม้แต่น้อย 

ถ้าหากองค์กรยังมอง IT เป็นค่าใช้จ่ายองค์กรนั้นก็คงไม่มีทางใช้ IT เป็นหัวหอกในการสร้างโอกาสการแข่งขันทางธุรกิจได้
 มองคนละมุม
ผู้บริหารระบบ Security มองมุมไหน
ในส่วนของผู้พัฒนาและผู้บริหารระบบ Security ขององค์กรนั้นก็จะพยายามสร้างระบบขององค์กรตนเอง พยายามที่จะสร้างระบบนั้นให้มีการป้องกันอย่างดี ระดับ Security สูงสุด พอมีเทคโนโลยีอะไรออกมาใหม่ที่ก็อยากจะนำมาทดสอบ อยากจะนำมาใช้เพื่อที่จะช่วยทำให้การป้องกันอันตรายนั้นมีระดับของความปลอดภัยสูงขึ้น เทคโนโลยีใหม่ๆ ก็มักจะตามมาด้วยความสามารถใหม่ๆ ที่เพิ่มขึ้นทำให้เป็นสิ่งล่อตาล่อใจของเหล่าคนไอทีที่อยากจะเข้าไปสำผัสอยากจะเข้าไปนำมาใช้เพื่อนำมาสามารถประโยชน์ให้กับองค์กร
ผู้บริหารระบบ Security นั้นมุ่งที่จะสร้่างความเป็นเลิศในด้านของเทคโนโลยี่เพื่อที่จะนำเทคโนโลยีนั้นมารองรับการทำงานขององค์กรเพื่อให้ไอทีนั้นทำงานไ้ด้ง่ายขึ้นมีเครื่องไม้เครื่องมือในการตรวจสอบการทำงานของระบบ มีเครื่องมือในการป้องกันระบบ มีเครื่องมือในการตรวจจับผู้บุุกรุก และเครื่องมือในการตอบโต้การโจมตี เป็นต้น สิ่งต่างๆ เหล่านี้เป็นตัวช่วยให้ระบบพื้นฐานของบริษัทนั้นสามารถทำงานได้อย่างราบรื่น สามารถรองรับการทำงานขององค์กรได้อย่างต่อเนื่องไม่มีการหยุดชะงัก
ผู้บริหารระดับสูงมองมุมไหน
แน่นอนว่าผู้บริหารระดับสูงนั้นก็ต้องนึกถึงเรื่องรายได้หรือผลกำไรเป็นหลักรวมไปถึงความอยู่รอดขององค์กร หน้าที่ของผู้บริหารระดับสูงนั้นไม่ได้ต้องรับผิดชอบเฉพาะส่วนของงานไอทีที่เป็นส่วนสนับสนุนการทำงานหลักขององค์กรเท่านั้นแต่ว่าคือการดูแลทั้งองค์กรเพื่อให้องค์กรนั้นสามารถขับเคลื่อนไปในโลกธรุกิจได้อย่างต่อเนื่องและมีการเติบโตอยู่อย่างสม่ำเสมอ
ส่วนที่่ผู้บริหารระดับสูงจะให้ความสนใจเป็นพิเศษก็คือส่วนกิจกรรมหลักขององค์ซึ่งส่วนใหญ่ก็คือส่วนของการขายหรือส่วนของการตลาดที่สร้างรายได้ให้กับองค์กรเป็นหลัก จะเห็นได้ว่าเหล่าผู้บริหารระดับสูงนั้นมัีกจะเติบโตมาจากสายของการทำงานเหล่านี้ น้อยคนนักที่เติบโตมาจากสายการทำงานด้านไอที แต่นั้นก็ไม่ใช่ประเด็นหลัก สิ่งที่ผู้บริหารระดับสูงสนใจก็คือไอทีนั้นจะเข้ามาช่วยอะไรองค์กรได้ และความคุ้มค่าของการนำไิอทีมาใช้นั้นเป็นอย่างไรต่างหาก
ผู้บริหารระดับสูงนั้นสนใจในเรื่องของความเสี่ยงในการดำเนินธรุกิจและสิ่งที่จะเข้ามาทำให้การดำเนินธรุกิจนั้นหยุดชะงักลง ในเชิง Security ก็คือเรื่องความเสี่ยงของ Information Security ข้อมูลต่างๆ เหล่านี้ต่างหากที่เป็นที่สนใจของเหล่าผู้บริหาร เขาไม่สนใจเรื่องการติดตั้ง IPS แต่อย่างใด เพราะ IPS นั้นไม่ได้สร้างรายได้ให้เขาแม้แต่น้อย แถมยังต้องเสียเงินไปซื้อมาอีกด้วย
เทคนิคในการสื่อสารกับผู้บริหารระดับสูง
อย่างที่กล่าวไปแล้วในตอนต้นว่าจริงหรือที่ผู้บริหารระดับสูงนั้นไม่สนใจกับการจัดการด้าน Security จริงหรือที่เหล่าผู้บริหารจ้องจะลดงบประมาณเพื่ิอตัดค่าใช้จ่าย หรือในอีกแง่หนึ่งคือทางฝ่ายผู้บริหารระดับสูงนั้นไม่ได้รับข้อมูลที่ถูกต้อง หรือจะพูดอีกนัยหนึ่งก็คือพวกเขานั้นไม่ได้รับข้อมูลที่ย่อยเรียบร้อยออกมานำเสนอในรูปที่เหล่าผู้บริการระดับสูงนั้นเข้าใจ เพื่อที่จะใช้ข้อมูลเหล่านั้นเป็นข้อมูลสนับสนุนในการตัดสินใจ หรือจะกล่าวได้ว่าผู้บริหารระบบไอทีนั้นไม่มีความสามารถเพียงพอที่จะทำให้ผู้บริหารระดับสูงนั้นเข้าใจถึงความจำเป็นที่จะต้องมีระบบ Security ตามที่เขาได้ออกแบบมา ส่งผลให้โครงการนั้นไม่ได้รับการอนุมัติ หรืองบประมาณนั้นไม่ได้รับการพิจารณา ผลที่ตามมาคือองค์กรต้องตกอยู่ในความเสี่ยง ธรุกิจเองก็ต้องตกอยู่ในความเสี่ยงเช่นเดียวกัน เราลองมาดูกันดีกว่าว่าจะมีเทคนิคไหนพอที่จะช่วยให้เราสามารถสื่อสารกับเหล่าผู้บริหารระดับสูงปรี๊ดนี้ได้
ไม่ใช้ศัพท์เทคนิค
เป็นเรื่องง่ายที่จะพูดเรื่อง Security ให้กับผู้ที่อยู่ในวงการ Security ด้วยกันเองการพูดที่เยินเย้อหรือการเปรียบเทียบอาจไม่ใช่วิธีที่จะใช้เพราะจะทำให้เราเหมือนไม่ใช่ผู้ที่รู้จริงในด้านนี้ การใช้ศัพท์เทคนิคดูจะเป็นเรื่องที่ง่ายต่อการนำเสนอและง่ายต่อการเข้าใจในกลุ่มของผู้ที่สนใจในเรื่อง Security ด้วยกันเอง แต่ว่าไม่ใช่สำหรับผู้บริหารระดับสูงแน่ๆ ผู้บริหารระัดับสูงนั้นไม่สนใจหรอกว่าเราจะมี Firewall กี่ตัว หรือเขาไม่สนใจด้วยซ้ำว่าไวรัสคืออะไร ฟิชชิ่งคืออะไร หน้าที่ที่ต้องสนใจสิ่งเหล่านั้นเป็นหน้าที่ของเรา สิ่งที่ผู้บริหารระดับสูงนั้นสนใจก็คือ พวกเรื่องความเสี่ยงที่จะเกิดขึ้นกับธรุกิจ หรือความเสี่ยงที่จะเกิดขึ้นกับข้อมูลที่ใช้่ในการดำเนินธรุกิจมากกว่า เราจึงจำเป็นต้องโยงสองเรื่องที่เหมือนอยู่คนละฝากนี้เข้าด้วยกันและนำเสนอออกมาในรูปที่ท่านผู้บริหารเหล่านั้นเข้าใจ
คุยแบบตัวต่อตัว
การพูดคุยแบบตัวต่อตัวก็เป็นอีกวิธีหนึ่งที่สามารถสื่อสารกับผู้บริหารระดับสูงให้เข้าใจว่าเรากำลังทำอะไรอยู่ แน่นอนว่าผู้บริหารระดับสูงนั้นคงไม่สามารถลงไปพูดคุยกับทีมผู้ดูแลและพัฒนาระบบ Security ทุกคนได้ แต่คนที่ผมกำลังพูดถึงก็คือหัวหน้าทีมซึ่งอาจจะเป็น CISO หรือ CSO ก็ตามแต่ ซึ่งหัวหน้าทีม Security นี้ควรจะมีโอกาสพบปะผู้บริหารระดับสูงแบบตัวต่อตัวอย่างน้อยปีละสองครั้ง ไม่ใช่การพบกันในแบบการประชุมผู้บริหารของบริษัทซึ่งมีคนมานั่งคุยรวมกันเป็นสิบๆ คน เพราะการประชุมอย่างนี้มักไม่ได้น้ำได้เนื้ออะไร
การนำเสนอ
ในการนำเสนอผู้บริหารระดับสูงนั้น เวลาเป็นสิ่งที่สำคัญอย่างยิ่งสำหรับท่านผู้บริหารดังนั้นในการนำเสนอนั้นเราควรจะมีการเตรียมตัวอย่างดี สร้าง Presentation Slide ในระดับที่ผู้บริหารนั้นเข้าใจ และไม่เยิ่นเย้อมีการสรุปข้อมูลในแบบ Executive Summary แสดงให้เห็นถึงภาพรวมว่าอะไรเป็นอะไร ส่วนในเรื่องรายละเอียดของแต่ละเรื่องนั้นก็ควรจะเตรียมพร้อมไว้เช่นเดียวกันแต่ไม่ต้องนำเสนอ เอาไว้เพื่อถ้าท่านผู้บริหารนั้นถามถึงว่าข้อมูลเหล่านี้ได้มาอย่างไร เราก็จะสามารถอธิบายได้อย่างมีเหตุมีผล
อธิบายความเสี่ยง
เราควรจะอธิบายข้อมูลทางด้านเทคนิคออกมาในรูปที่ท่านผู้บริหารระดับสูงเข้าใจซึ่งก็คือ ความเสี่ยงในการดำเนินธรุกิจตัวอย่างเช่นถ้าเราต้องการจะติดตั้ง IPS ในระบบเรา เราไม่ควรจะไปนั่งอธิบายว่า IPS นั้นมีความสามารถอะไรบ้าง สามารถตรวจจับการโจมตีได้ สามารถป้องกันการโจมตีได้ อะไรอย่างนี้ เพราะว่าผู้บริหารนั้นเขาไม่สนใจหรอกว่าเจ้า IPS นั้นจะทำอะไรได้บ้าง แต่เราสามารถนำเสนอในแง่ของความเสี่ยงในการดำเนินธรุกิจ ถ้าเราไม่มี IPS แล้วอะไรสามารถเกิดขึ้นกับข้อมูลที่เราใช้ในการดำเนินธุรกิจได้บ้าง การสูญเสียข้อมูลเหล่านี้จะส่งผลอย่างไรกับธรุกิจ ความเสี่ยหายที่เกิดขึ้นถ้าคิดเป็นตัวเงินแล้วเราจะต้องเสียเงินไปเท่าไรเพราะความเสี่ยงในการสูญเสียข้อมูลก็คือความเสี่ยงในการดำเนินธรุกิจนั่นเอง การอธิบายออกมาในรูปนี้น่าจะดูดีกว่าวิธีแรก
ความต่อเนื่อง
ในกรณีที่เรามีการพบปะพูดคุยหรือนำเสนองานให้กับทางผู้บริหารระดับสูงมาบ้างแล้วและหากเป็นการนำเสนองานต่อเนื่อง ข้อมูลที่มานำเสนอนั้นต้องเป็นข้อมูลชุดเดิมที่เคยนำเสนอเมื่อครั้งก่อน ไม่ใช่การเปลี่ยนไปเปลี่ยนมาทำให้เราต้องเริ่มนับหนึ่งใหม่ในการนำเสนอแต่ละครั้ง เหตุผลอย่างแรกคือเหล่าท่านผู้บริหารเองก็งงในการเปลี่ยนไปเปลี่ยนมาของข้อมูลทำให้เกิดการสับสนและเกิดการต่อต้านในที่สุด อีกเหตุผลหนึ่งก็คือในส่วนของผู้นำเสนอเองก็ต้่่องเหนื่อยกว่าปรกติเพราะต้องเริ่มตั้งแต่ต้นใหม่ ต้องพยายามลบความทรงจำเก่าๆ ของเหล่าผู้บริหารและปลูกถ่ายความจำใหม่ ข้อมูลใหม่ๆ ลงไปในสมองของเหล่าผู้บริหาร
ความเข้าใจในเชิงธรุกิจ
ผู้ที่จะนำเสนอข้อมูลต่างๆ ในด้าน Security ให้กับเหล่าผู้บริหารระดับสูงนั้นแน่นอนว่าเขาหรือเธอนั้นจำเป็นต้องมีความรู้ด้าน Security อย่างแน่ปึ๊ก แต่อีกด้านหนึ่งเขาและเธอนั้นก็จำเป็นต้องมีความรู้และความเข้าใจในเชิงธรุกิจด้วย เพราะว่าต้องนำความรู้และความเข้าใจในด้านของ Security นั้นนำมาแปรเปลี่ยนเป็นถ้อยคำในเชิงธรุกิจที่สามารถสื่อสารให้ผู้คนที่อยู่ในวงการธรุกิจนั้นสามารถเข้าใจความหมายที่ชาวไอทีนั้นพยายามจำนำเสนอได้
กล้าๆ หน่อย
อีกหนึ่งสิ่งที่ควรจะมีก็คือความมั่นใจในตนเองและกล้าแสดงออก กล้าที่จะร้องขอความช่วยเหลือจากผู้บริหารระดับสูงในกรณีที่เราต้องการอำนาจในการบังคับใช้งานระบบที่ทีมงานของเราพัฒนาขึ้น เพราะในการสร้างระบบ Security ภายในองค์กรนั้นประกอบไปด้วยหลายขั้นตอน เช่นการทดสอบ การสร้าง การนำไปใช้ และการบำรุงรักษาเป็นต้น ในบางขั้นตอนของการทำงานเราควรจะได้รับการสนับสนุนจากผู้บริหารระดับสูงอย่างเต็มที่เพื่อให้การทำงานในขั้นตอนนั้นๆ สามารถนำไปปฏิบัติได้อย่างมีประสิทธิภาพ และเมื่อเวลานั้นมาถึงก็กล้าๆ หน่อยที่จะขอความช่วยเหลือจากเหล่าผู้บริหารระดับสูง


ส่งท้าย
ในปัจจุบันนั้นในฐานะของผู้พัฒนาและดูแลระบบ Security นั้นเราต้องพบเจอกับปัญหาต่างๆ ที่เข้ามาโจมตีระบบของเรามากมาย ซึ่งในแต่ละวันปัญหามีแต่จะเพิ่มขึ้นเรื่อยๆ ไม่มีวันไหนที่ปัญหาจะลดลงไปได้ แต่นั่นก็ไม่ใช่ปัญหาทั้งหมดของผู้พัฒนาและผู้ดูแลระบบ อีกปัญหาหนึ่งที่ผมพยายามจะชี้ให้เห็นในบทความนี้ก็คือปัญหาที่อยู่เหนือปัญหาที่เราเจออยู่ทุกว่า ปัญหาในการสื่อสาร เพื่อที่จะทำให้สารที่เราจะพยามส่งนั้นไปถึงมือผู้รับแบบไม่ขาดตกบกพร่อง ซึ่งในการที่จะทำอย่างนั้นได้เราจำเป็นต้องเข้าใจผู้ที่จะรับสารเสียก่อนว่าเขามีความสามารถในการรับสารของเรามากน้อยเพียงใด เราจึงจำเป็นต้องย่อยสารที่เราอยากจะส่งนั้นออกมาในรูปที่ผู้รับนั้นคุ้นเคยและเข้าใจง่าย เพื่อให้เขานั้นเข้าใจในเนื้อความทั้งหมดที่เราต้องการจะส่งและสามารถนำสารที่เราส่งนั้นไปเป็นข้อมูลเพื่อที่จะนำไปใช้ได้อย่างถูกต้อง