ผู้มีอำนาจ
ในส่วนของผู้บริหารระดับสูงที่มีส่วนเกี่ยวข้องกับ
Security
ภายในองค์กรนั้นก็คงหนีไม่พ้น 2 ตำแหน่งที่จะกล่าวถึงดังต่อไปนี้
- Chief Security Officer (CSO)
- Chief Information Security Officer (CISO)
Chief
Security Officer (CSO)
ตำแหน่ง
CSO หรือ Chief Security Officer
นั้นเริ่มมีการใช้กันภายในตำแหน่งความรับผิดชอบที่ต้องดูแลในหน่วยงานของ Information
Technology เพื่อที่จะหาผู้ที่จะมารับผิดชอบในส่วนของ IT
Security และในปัจจุบันก็ยังมีหลายบริษัทนั้นยังคงใช้ตำแหน่ง CSO
นั้นเพื่อที่จะดูแลรับผิดชอบในส่วนของ IT Security อยู่
แต่ว่าอีกหลายต่อหลายบริษัทเริ่มที่จะแยกหน้าที่รับผิดชอบนั้นแบ่งให้กับตำแหน่งใหม่นั้นคือ
CISO แทน เมื่อพูดเช่นนี้แล้วเหมือนกับว่าตำแหน่ง CSO
นั้นคือตำแหน่งเดียวกันกับ CISO หรือปล่าว
หรืปว่าตำแหน่ง CSO นั้นถูกแทนที่ด้วย CISO ซะแล้ว เมื่อเป็นเช่นนี้แล้วทำไมถึงต้องมีตำแหน่ง CSO กันด้วยเล่า ทำไมไม่ลดให้เหลือแค่ CISO ซะเลยละ
คำตอบของเรื่องนี้ก็คือ ตำแหน่ง CSO กับ CISO นั้นมีหน้าที่รับผิดชอบที่ค่อนข้างแตกต่างกันทีเดียวครับ
ดังนั้นคงจะไม่เหมาะที่จะเอาตำแหน่ง CSO และ CISO นั้นไปประกบกันแล้วหาว่าเป็นตำแหน่งเดียวกัน
ตำแหน่ง CSO ในใช้เพื่อที่จะนิยามตำแหน่งหน้าที่ของผู้ที่จะมารับผิดชอบในส่วนของความปลอดภัยของทั้งองค์กรหรือ
“Corporate Security” ซึ่งความหมายของความปลอดภัยทั้งองค์กรนั้นรวมไปถึงความปลอดภัยทางกายภาพ
“Physical Security” และความปลอดภัย (Safety) ในการทำงานของบุคคลากรภายในองค์กร อุปกรณ์ที่ใช้ในการปฏิบัติหน้าที่
อีกทั้งทรัพย์สินต่าง ๆ ขององค์กรอีกด้วย ซึ่งถ้าจะว่าไปแล้วหน้าที่ความรับผิดชอบของ
CSO
ดังที่กล่าวมาแล้วนั้นก็คือหนึ่งในหน้าที่ความรับผิดชอบของ Vice President หรือ Director of Corporate Security นั้นเอง
ซึ่งถ้าจะว่าไปแล้วหน้าที่ความรับผิดชอบนั้นก็จะแตกต่างจากแหล่งที่มาในตอนแรกซึ่งก็คือ
Information Security พอสมควรทีเดียว
ในปัจจุบันอย่างที่กล่าวไปแล้วว่าหน้าที่ความรับผิดชอบของ
CSO นั้น คือตำแหน่งที่ต้องรับผิดชอบดูแลในส่วนของความปลอดภัยของทั้งองค์กร
ไม่ว่าจะเป็นในส่วนของ Physical หรือ Logical ซึ่งความรับผิดชอบของ CSO นั้นยังหมายรวมไปถึงการวางแผนเตรียมพร้อมที่จะรับมือกับเหตุการณ์ที่อาจจะเกิดขึ้น
ใช่แล้วครับผมกำลังพูดถึง BCP หรือ Business
Continuity Plan การป้องกันความสูญเสียต่าง ๆ ที่อาจจะเกิดขึ้นได้
อย่างที่กล่าวไปแล้วในตอนต้นว่าความรับผิดชอบของ CSO นั้นคือรับผิดชอบทั้ง
Physical และ Logical ดังนั้นในการที่จะสร้าง
BCP นั้นเขาจำเป็นต้องทำทั้งในส่วนของ Physical เช่น ระบบรักษาความปลอดภัยในองค์กร ระบบจ่ายพลังงาน
หรือระบบป้องกันเพลิงไหม้เป็นต้น และส่วนที่สองคือส่วนของ Logical ก็คือระบบ Information Technology ที่เปรียบเสมือนเครื่องมือสำคัญในการดำเนินธรุกิจในปัจจุบัน
Chief
Information Security Officer (CISO)
จากบทความที่กล่าวมาแล้วในข้างต้นท่านผู้อ่านก็พอจะทราบพอคร่าว
ๆ แล้วว่าตำแหน่งความรับผิดชอบของ CSO นั้นมีมากแค่ไหนหากท่านใดต้องการที่จะมารับตำแหน่งนี้ก็คงต้องมีความรู้รอบด้านในเรื่องของ
Security พอสมควร ไม่ว่าจะเป็นในส่วนของ Physical
Security และ Information Security และหากจะกล่าวถึงตำแหน่งที่สำคัญและเป็นตำแหน่งที่ค่อนข้างจะเป็นตำแหน่งใหม่ในองค์กรปัจจุบันกันบ้าง
ใช่แล้วครับผมกำลังพูดถึงตำแหน่ง CISO หรือ Chief
Information Security Officer ซึ่งถ้าจะดูจากคำแล้ว CISO ก็ต่างจาก CSO คือมีตัว I เพิ่มเข้ามานั่นเอง
แล้วไอ้เจ้า I หรือ Information นั่นทำให้หน้าที่ความรับผิดชอบของ
CISO แตกต่างไปจาก CSO อย่างไรบ้างเดียวเราจะได้มาดูกันครับ
ตำแหน่ง
CISO นั้นมีความสำคัญอย่างไรกับองค์กรในปัจจุบัน
ถ้าจะดูจากชื่อแล้วสิ่งที่แตกต่างจาก CSO ก็คือเรื่องของ Information
ที่เพิ่มขึ้นมาเพื่อที่จะเน้นจำเพาะเจาะจงลงไปว่าความสำคัญและหน้าที่รับผิดชอบของตำแหน่ง
CISO นี้อยู่ตรงไหน และเพื่อที่จะได้รู้ว่าตำแหน่ง CISO
นั้นต้องรับผิดชอบอะไรบ้าง เราก็ควรจะไปทำความเข้าใจก่อนว่า Information
นั่นคืออะไรและมีความสำคัญมากแค่ไหนในองค์กรแล้วทำไม่ถึงจำเป็นต้องมีคนเข้ามาดูแลในส่วนนี้โดยเฉพาะ
C-Level
Executive
ทั้ง
2 ตำแหน่งคือ CSO และ CISO นั้นก็ยังไม่ใช่ผู้บริหารระดับสูงปรี๊ดที่เราหมายความถึง
ทั้งทีมของ CSO และ CISO นั้นต่างก็เป็นกลุ่มที่เข้ามารับผิดชอบโดยตรงในการบริหารจัดการระบบ
Security ภายในองค์กร คือกลุ่มคนที่ลงมือทำงานจริงๆ
แต่ว่าผู้ที่ตัดสินใจในเรื่องของอำนาจและเงินทุนนั้นก็ยังคงเป็นกลุ่มผู้บริหารระดับสูงกว่าซึ่งได้แก่
CEO และ CIO
สองคนนี้ต่างหากที่มีอำนาจในการตัีดสินใจ จะอนุมัีติหรือไม่อนุมัีติ งบประมาณจะได้หรือไม่ได้ก็ขึ้นอยู่กับสองท่านนี้
หนทางก็คือต้องทำอย่างไรจึงจะให้ทั้งสองท่านนี้มองเห็นปัญหาเหมือนกับคนไอทีมอง
มองเห็นถึงผลที่จะเกิดหากไม่มีการพัฒนาด้าน Security นี่ต่างหากคือปัญหาใหญ่ที่คนไอทีอย่างเราจะต้องฝ่าฟันไปให้ได้
พวกใช้เงิน
แผนกไอทีของทุกองค์กรนั้นมักจะมีการทำงบประมาณที่เพิ่มขึ้นทุกๆ
ปี เพราะว่าเราจำเป็นต้องมีการปรับปรุงเปลี่ยนแปลงให้ระบบขององค์กรเรานั้นสามารถต้านท้านการโจมตีใหม่ๆ
ที่เกิดขึ้นตลอดเวลา
แต่ว่างานส่วนใหญ่ที่ทำนั้นล้วนแล้วแต่เป็นงานที่มุ่งเน้นไปในด้านการป้องกันเสียเป็นส่วนใหญ่
เพราะเราคงไม่สามารถปล่อยให้เกิดเหตุการณ์ต่างๆ
ขึ้นมาก่อนแล้วค่อยไปล้อมคอกเอาทีหลังได้
เพราะว่าข้อมูลและการดำเนินการอย่างต่อเนื่องขององค์กรนั้นเป็นสิ่งที่สำคัญเกินกว่าจะเอามาล้อเล่นได้
ในการสร้างระบบป้องกันนั้นจำเป็นต้องใช้งบประมาณเป็นจำนวนมาก
และไม่ใช่ว่าลงทุนไปครับเดียวแล้วจบเลย
เพราะเราจำเป็นต้องมีการปรับปรุงอยู่อย่างสม่ำเสมอ
แต่ว่าเงินทุนที่นำไปลงในส่วนของพัฒนาเรื่อง Security นั้น
ถ้าเราดูอย่างผิวเผินแล้วก็จะเหมือนว่าเงินงบประมาณที่ใช้ไปตั้งเยอะนั้นไม่ได้ทำให้อะไรดีขึ้นเลย
เพราะว่าในส่วนของผู้ใช้นั้นก็ยังคงมีการทำงานเหมือนเดิม
ผู้ใช้ไม่ได้รู้สึกถึงความแตกต่างที่เปลี่ยนไป ในขณะที่ฝ่ายไอทีนั้นลงอุปกรณ์ต่างๆ
ลงไปอย่างมากมาย
นอกจากชีวิตจะไม่ง่ายขึ้นแล้วการทำงานยังมีข้อจำกัดมากขึ้นอยู่เรื่อยๆ
ทำโน่นก็ไม่ได้ ทำนี่ก็ไม่ได้ ทำอะไรก็ต้องขออนุญาติ เป็นต้น
ทีมไอทีนั้นมักจะถูกมองจากทีมอื่นๆ
ว่าเป็นพวกใช้เงิน ชอบผลานเงินงบประมาณของบริษัท มีแต่อุปกรณ์ใหม่ๆ ใช้
มีแต่เครื่องแรงๆ ใช้
แต่ฝ่ายอื่นเช่นฝ่ายขายผู้ที่หาเงินเข้าบริษัทกลับไม่ค่อยได้รับการดูแลเท่าที่ควร
ทำให้เกิดความอิจฉาเล็กๆ น้อยใจหน่อยๆ ฝ่ายไอทีมักถูกมองเป็น Cost Center ที่คอยแต่จะจ่ายเงินอยู่ตลอดเวลา
เงินที่ลงทุนไปก็ไม่เห็นได้กำไรกลับมาเลย
ไม่มีรายได้เกิดขึ้นจากการลงทุนของทีมไอทีเลยแม้แต่น้อย
ถ้าหากองค์กรยังมอง IT เป็นค่าใช้จ่ายองค์กรนั้นก็คงไม่มีทางใช้ IT เป็นหัวหอกในการสร้างโอกาสการแข่งขันทางธุรกิจได้
มองคนละมุม
ผู้บริหารระบบ
Security
มองมุมไหน
ในส่วนของผู้พัฒนาและผู้บริหารระบบ
Security
ขององค์กรนั้นก็จะพยายามสร้างระบบขององค์กรตนเอง
พยายามที่จะสร้างระบบนั้นให้มีการป้องกันอย่างดี ระดับ Security สูงสุด พอมีเทคโนโลยีอะไรออกมาใหม่ที่ก็อยากจะนำมาทดสอบ
อยากจะนำมาใช้เพื่อที่จะช่วยทำให้การป้องกันอันตรายนั้นมีระดับของความปลอดภัยสูงขึ้น
เทคโนโลยีใหม่ๆ ก็มักจะตามมาด้วยความสามารถใหม่ๆ
ที่เพิ่มขึ้นทำให้เป็นสิ่งล่อตาล่อใจของเหล่าคนไอทีที่อยากจะเข้าไปสำผัสอยากจะเข้าไปนำมาใช้เพื่อนำมาสามารถประโยชน์ให้กับองค์กร
ผู้บริหารระบบ Security นั้นมุ่งที่จะสร้่างความเป็นเลิศในด้านของเทคโนโลยี่เพื่อที่จะนำเทคโนโลยีนั้นมารองรับการทำงานขององค์กรเพื่อให้ไอทีนั้นทำงานไ้ด้ง่ายขึ้นมีเครื่องไม้เครื่องมือในการตรวจสอบการทำงานของระบบ
มีเครื่องมือในการป้องกันระบบ มีเครื่องมือในการตรวจจับผู้บุุกรุก
และเครื่องมือในการตอบโต้การโจมตี เป็นต้น สิ่งต่างๆ
เหล่านี้เป็นตัวช่วยให้ระบบพื้นฐานของบริษัทนั้นสามารถทำงานได้อย่างราบรื่น
สามารถรองรับการทำงานขององค์กรได้อย่างต่อเนื่องไม่มีการหยุดชะงัก
ผู้บริหารระดับสูงมองมุมไหน
แน่นอนว่าผู้บริหารระดับสูงนั้นก็ต้องนึกถึงเรื่องรายได้หรือผลกำไรเป็นหลักรวมไปถึงความอยู่รอดขององค์กร
หน้าที่ของผู้บริหารระดับสูงนั้นไม่ได้ต้องรับผิดชอบเฉพาะส่วนของงานไอทีที่เป็นส่วนสนับสนุนการทำงานหลักขององค์กรเท่านั้นแต่ว่าคือการดูแลทั้งองค์กรเพื่อให้องค์กรนั้นสามารถขับเคลื่อนไปในโลกธรุกิจได้อย่างต่อเนื่องและมีการเติบโตอยู่อย่างสม่ำเสมอ
ส่วนที่่ผู้บริหารระดับสูงจะให้ความสนใจเป็นพิเศษก็คือส่วนกิจกรรมหลักขององค์ซึ่งส่วนใหญ่ก็คือส่วนของการขายหรือส่วนของการตลาดที่สร้างรายได้ให้กับองค์กรเป็นหลัก
จะเห็นได้ว่าเหล่าผู้บริหารระดับสูงนั้นมัีกจะเติบโตมาจากสายของการทำงานเหล่านี้
น้อยคนนักที่เติบโตมาจากสายการทำงานด้านไอที แต่นั้นก็ไม่ใช่ประเด็นหลัก
สิ่งที่ผู้บริหารระดับสูงสนใจก็คือไอทีนั้นจะเข้ามาช่วยอะไรองค์กรได้ และความคุ้มค่าของการนำไิอทีมาใช้นั้นเป็นอย่างไรต่างหาก
ผู้บริหารระดับสูงนั้นสนใจในเรื่องของความเสี่ยงในการดำเนินธรุกิจและสิ่งที่จะเข้ามาทำให้การดำเนินธรุกิจนั้นหยุดชะงักลง
ในเชิง
Security ก็คือเรื่องความเสี่ยงของ Information Security ข้อมูลต่างๆ เหล่านี้ต่างหากที่เป็นที่สนใจของเหล่าผู้บริหาร
เขาไม่สนใจเรื่องการติดตั้ง IPS แต่อย่างใด เพราะ IPS
นั้นไม่ได้สร้างรายได้ให้เขาแม้แต่น้อย
แถมยังต้องเสียเงินไปซื้อมาอีกด้วย
เทคนิคในการสื่อสารกับผู้บริหารระดับสูง
อย่างที่กล่าวไปแล้วในตอนต้นว่าจริงหรือที่ผู้บริหารระดับสูงนั้นไม่สนใจกับการจัดการด้าน
Security
จริงหรือที่เหล่าผู้บริหารจ้องจะลดงบประมาณเพื่ิอตัดค่าใช้จ่าย
หรือในอีกแง่หนึ่งคือทางฝ่ายผู้บริหารระดับสูงนั้นไม่ได้รับข้อมูลที่ถูกต้อง
หรือจะพูดอีกนัยหนึ่งก็คือพวกเขานั้นไม่ได้รับข้อมูลที่ย่อยเรียบร้อยออกมานำเสนอในรูปที่เหล่าผู้บริการระดับสูงนั้นเข้าใจ
เพื่อที่จะใช้ข้อมูลเหล่านั้นเป็นข้อมูลสนับสนุนในการตัดสินใจ หรือจะกล่าวได้ว่าผู้บริหารระบบไอทีนั้นไม่มีความสามารถเพียงพอที่จะทำให้ผู้บริหารระดับสูงนั้นเข้าใจถึงความจำเป็นที่จะต้องมีระบบ
Security ตามที่เขาได้ออกแบบมา
ส่งผลให้โครงการนั้นไม่ได้รับการอนุมัติ หรืองบประมาณนั้นไม่ได้รับการพิจารณา
ผลที่ตามมาคือองค์กรต้องตกอยู่ในความเสี่ยง
ธรุกิจเองก็ต้องตกอยู่ในความเสี่ยงเช่นเดียวกัน เราลองมาดูกันดีกว่าว่าจะมีเทคนิคไหนพอที่จะช่วยให้เราสามารถสื่อสารกับเหล่าผู้บริหารระดับสูงปรี๊ดนี้ได้
ไม่ใช้ศัพท์เทคนิค
เป็นเรื่องง่ายที่จะพูดเรื่อง
Security
ให้กับผู้ที่อยู่ในวงการ Security ด้วยกันเองการพูดที่เยินเย้อหรือการเปรียบเทียบอาจไม่ใช่วิธีที่จะใช้เพราะจะทำให้เราเหมือนไม่ใช่ผู้ที่รู้จริงในด้านนี้
การใช้ศัพท์เทคนิคดูจะเป็นเรื่องที่ง่ายต่อการนำเสนอและง่ายต่อการเข้าใจในกลุ่มของผู้ที่สนใจในเรื่อง
Security ด้วยกันเอง แต่ว่าไม่ใช่สำหรับผู้บริหารระดับสูงแน่ๆ
ผู้บริหารระัดับสูงนั้นไม่สนใจหรอกว่าเราจะมี Firewall กี่ตัว
หรือเขาไม่สนใจด้วยซ้ำว่าไวรัสคืออะไร ฟิชชิ่งคืออะไร
หน้าที่ที่ต้องสนใจสิ่งเหล่านั้นเป็นหน้าที่ของเรา
สิ่งที่ผู้บริหารระดับสูงนั้นสนใจก็คือ
พวกเรื่องความเสี่ยงที่จะเกิดขึ้นกับธรุกิจ หรือความเสี่ยงที่จะเกิดขึ้นกับข้อมูลที่ใช้่ในการดำเนินธรุกิจมากกว่า
เราจึงจำเป็นต้องโยงสองเรื่องที่เหมือนอยู่คนละฝากนี้เข้าด้วยกันและนำเสนอออกมาในรูปที่ท่านผู้บริหารเหล่านั้นเข้าใจ
คุยแบบตัวต่อตัว
การพูดคุยแบบตัวต่อตัวก็เป็นอีกวิธีหนึ่งที่สามารถสื่อสารกับผู้บริหารระดับสูงให้เข้าใจว่าเรากำลังทำอะไรอยู่
แน่นอนว่าผู้บริหารระดับสูงนั้นคงไม่สามารถลงไปพูดคุยกับทีมผู้ดูแลและพัฒนาระบบ Security ทุกคนได้ แต่คนที่ผมกำลังพูดถึงก็คือหัวหน้าทีมซึ่งอาจจะเป็น CISO หรือ CSO ก็ตามแต่ ซึ่งหัวหน้าทีม Security นี้ควรจะมีโอกาสพบปะผู้บริหารระดับสูงแบบตัวต่อตัวอย่างน้อยปีละสองครั้ง
ไม่ใช่การพบกันในแบบการประชุมผู้บริหารของบริษัทซึ่งมีคนมานั่งคุยรวมกันเป็นสิบๆ
คน เพราะการประชุมอย่างนี้มักไม่ได้น้ำได้เนื้ออะไร
การนำเสนอ
ในการนำเสนอผู้บริหารระดับสูงนั้น
เวลาเป็นสิ่งที่สำคัญอย่างยิ่งสำหรับท่านผู้บริหารดังนั้นในการนำเสนอนั้นเราควรจะมีการเตรียมตัวอย่างดี
สร้าง Presentation
Slide ในระดับที่ผู้บริหารนั้นเข้าใจ
และไม่เยิ่นเย้อมีการสรุปข้อมูลในแบบ Executive Summary แสดงให้เห็นถึงภาพรวมว่าอะไรเป็นอะไร
ส่วนในเรื่องรายละเอียดของแต่ละเรื่องนั้นก็ควรจะเตรียมพร้อมไว้เช่นเดียวกันแต่ไม่ต้องนำเสนอ
เอาไว้เพื่อถ้าท่านผู้บริหารนั้นถามถึงว่าข้อมูลเหล่านี้ได้มาอย่างไร
เราก็จะสามารถอธิบายได้อย่างมีเหตุมีผล
อธิบายความเสี่ยง
เราควรจะอธิบายข้อมูลทางด้านเทคนิคออกมาในรูปที่ท่านผู้บริหารระดับสูงเข้าใจซึ่งก็คือ
ความเสี่ยงในการดำเนินธรุกิจตัวอย่างเช่นถ้าเราต้องการจะติดตั้ง IPS ในระบบเรา
เราไม่ควรจะไปนั่งอธิบายว่า IPS นั้นมีความสามารถอะไรบ้าง
สามารถตรวจจับการโจมตีได้ สามารถป้องกันการโจมตีได้ อะไรอย่างนี้
เพราะว่าผู้บริหารนั้นเขาไม่สนใจหรอกว่าเจ้า IPS นั้นจะทำอะไรได้บ้าง
แต่เราสามารถนำเสนอในแง่ของความเสี่ยงในการดำเนินธรุกิจ ถ้าเราไม่มี IPS แล้วอะไรสามารถเกิดขึ้นกับข้อมูลที่เราใช้ในการดำเนินธุรกิจได้บ้าง
การสูญเสียข้อมูลเหล่านี้จะส่งผลอย่างไรกับธรุกิจ
ความเสี่ยหายที่เกิดขึ้นถ้าคิดเป็นตัวเงินแล้วเราจะต้องเสียเงินไปเท่าไรเพราะความเสี่ยงในการสูญเสียข้อมูลก็คือความเสี่ยงในการดำเนินธรุกิจนั่นเอง
การอธิบายออกมาในรูปนี้น่าจะดูดีกว่าวิธีแรก
ความต่อเนื่อง
ในกรณีที่เรามีการพบปะพูดคุยหรือนำเสนองานให้กับทางผู้บริหารระดับสูงมาบ้างแล้วและหากเป็นการนำเสนองานต่อเนื่อง
ข้อมูลที่มานำเสนอนั้นต้องเป็นข้อมูลชุดเดิมที่เคยนำเสนอเมื่อครั้งก่อน
ไม่ใช่การเปลี่ยนไปเปลี่ยนมาทำให้เราต้องเริ่มนับหนึ่งใหม่ในการนำเสนอแต่ละครั้ง
เหตุผลอย่างแรกคือเหล่าท่านผู้บริหารเองก็งงในการเปลี่ยนไปเปลี่ยนมาของข้อมูลทำให้เกิดการสับสนและเกิดการต่อต้านในที่สุด
อีกเหตุผลหนึ่งก็คือในส่วนของผู้นำเสนอเองก็ต้่่องเหนื่อยกว่าปรกติเพราะต้องเริ่มตั้งแต่ต้นใหม่
ต้องพยายามลบความทรงจำเก่าๆ ของเหล่าผู้บริหารและปลูกถ่ายความจำใหม่ ข้อมูลใหม่ๆ
ลงไปในสมองของเหล่าผู้บริหาร
ความเข้าใจในเชิงธรุกิจ
ผู้ที่จะนำเสนอข้อมูลต่างๆ
ในด้าน Security
ให้กับเหล่าผู้บริหารระดับสูงนั้นแน่นอนว่าเขาหรือเธอนั้นจำเป็นต้องมีความรู้ด้าน
Security อย่างแน่ปึ๊ก
แต่อีกด้านหนึ่งเขาและเธอนั้นก็จำเป็นต้องมีความรู้และความเข้าใจในเชิงธรุกิจด้วย
เพราะว่าต้องนำความรู้และความเข้าใจในด้านของ Security นั้นนำมาแปรเปลี่ยนเป็นถ้อยคำในเชิงธรุกิจที่สามารถสื่อสารให้ผู้คนที่อยู่ในวงการธรุกิจนั้นสามารถเข้าใจความหมายที่ชาวไอทีนั้นพยายามจำนำเสนอได้
กล้าๆ
หน่อย
อีกหนึ่งสิ่งที่ควรจะมีก็คือความมั่นใจในตนเองและกล้าแสดงออก กล้าที่จะร้องขอความช่วยเหลือจากผู้บริหารระดับสูงในกรณีที่เราต้องการอำนาจในการบังคับใช้งานระบบที่ทีมงานของเราพัฒนาขึ้น เพราะในการสร้างระบบ Security ภายในองค์กรนั้นประกอบไปด้วยหลายขั้นตอน เช่นการทดสอบ การสร้าง การนำไปใช้ และการบำรุงรักษาเป็นต้น ในบางขั้นตอนของการทำงานเราควรจะได้รับการสนับสนุนจากผู้บริหารระดับสูงอย่างเต็มที่เพื่อให้การทำงานในขั้นตอนนั้นๆ สามารถนำไปปฏิบัติได้อย่างมีประสิทธิภาพ และเมื่อเวลานั้นมาถึงก็กล้าๆ หน่อยที่จะขอความช่วยเหลือจากเหล่าผู้บริหารระดับสูง
อีกหนึ่งสิ่งที่ควรจะมีก็คือความมั่นใจในตนเองและกล้าแสดงออก กล้าที่จะร้องขอความช่วยเหลือจากผู้บริหารระดับสูงในกรณีที่เราต้องการอำนาจในการบังคับใช้งานระบบที่ทีมงานของเราพัฒนาขึ้น เพราะในการสร้างระบบ Security ภายในองค์กรนั้นประกอบไปด้วยหลายขั้นตอน เช่นการทดสอบ การสร้าง การนำไปใช้ และการบำรุงรักษาเป็นต้น ในบางขั้นตอนของการทำงานเราควรจะได้รับการสนับสนุนจากผู้บริหารระดับสูงอย่างเต็มที่เพื่อให้การทำงานในขั้นตอนนั้นๆ สามารถนำไปปฏิบัติได้อย่างมีประสิทธิภาพ และเมื่อเวลานั้นมาถึงก็กล้าๆ หน่อยที่จะขอความช่วยเหลือจากเหล่าผู้บริหารระดับสูง
ส่งท้าย
ในปัจจุบันนั้นในฐานะของผู้พัฒนาและดูแลระบบ
Security
นั้นเราต้องพบเจอกับปัญหาต่างๆ ที่เข้ามาโจมตีระบบของเรามากมาย
ซึ่งในแต่ละวันปัญหามีแต่จะเพิ่มขึ้นเรื่อยๆ ไม่มีวันไหนที่ปัญหาจะลดลงไปได้
แต่นั่นก็ไม่ใช่ปัญหาทั้งหมดของผู้พัฒนาและผู้ดูแลระบบ
อีกปัญหาหนึ่งที่ผมพยายามจะชี้ให้เห็นในบทความนี้ก็คือปัญหาที่อยู่เหนือปัญหาที่เราเจออยู่ทุกว่า
ปัญหาในการสื่อสาร
เพื่อที่จะทำให้สารที่เราจะพยามส่งนั้นไปถึงมือผู้รับแบบไม่ขาดตกบกพร่อง
ซึ่งในการที่จะทำอย่างนั้นได้เราจำเป็นต้องเข้าใจผู้ที่จะรับสารเสียก่อนว่าเขามีความสามารถในการรับสารของเรามากน้อยเพียงใด
เราจึงจำเป็นต้องย่อยสารที่เราอยากจะส่งนั้นออกมาในรูปที่ผู้รับนั้นคุ้นเคยและเข้าใจง่าย
เพื่อให้เขานั้นเข้าใจในเนื้อความทั้งหมดที่เราต้องการจะส่งและสามารถนำสารที่เราส่งนั้นไปเป็นข้อมูลเพื่อที่จะนำไปใช้ได้อย่างถูกต้อง
ไม่มีความคิดเห็น:
แสดงความคิดเห็น