พฤติกรรมเสี่ยงของ CEO ที่อาจกระทบระบบรักษาความปลอดภัยขององค์กร
ในเวลาที่ผู้มีอำนาจตัดสินใจในองค์กรเลือกที่จะออกนอกกรอบของระบบรักษาความปลอดภัย พวกเขาอาจบอกว่า ที่ทำไปเพราะอยากให้การทำงานมีประสิทธิภาพมากขึ้น และจะไม่ทำให้บริษัทตกอยู่ในความเสี่ยงแน่นอน แต่ถึงแม้ว่าจะทำด้วยความตั้งใจดี แต่พวกเขาเหล่านั้นก็กำลังสร้างความเสี่ยงขึ้นมาแล้ว
โดยมีการศึกษาวิจัยของ Code42 พบว่า ซีอีโอของบริษัทคือหนึ่งในตัวการที่ทำให้ระบบไอทีอยู่ในความเสี่ยง เนื่องจากพบว่า 75% ของซีอีโอ และ 52% ของผู้มีอำนาจตัดสินใจในองค์กร มีการติดตั้งแอปพลิเคชันหรือโปรแกรมที่ไม่ได้ผ่านการรับรองจากฝ่ายไอทีเสียก่อน
Rick Orloff รองประธานและ CSO ของ Code42 กล่าวว่า “นี่เป็นตัวอย่างที่เห็นได้ชัดว่าผู้บริหารก็อยากจะทำอย่างที่ตนเองต้องการ หรือพฤติกรรมนี้อาจชี้ได้ว่าบุคคลระดับอาวุโสในด้านรักษาความปลอดภัยไม่ได้มีส่วนร่วมในองค์กรมากพอ”
เมื่อกลุ่มคนในสาขารักษาความปลอดภัยอาวุโสเหล่านี้รายงานต่อ CEO หรือ COO พวกเขามีความเข้าใจดีว่า อะไรจะเกิดข้ึน และสามารถทำความตกลงกันเพื่อที่จะยอมให้การประยุกต์ใช้เครื่องมือนั้นเกิดขึ้นอย่างถูกต้อง Orloff กล่าวว่า มันคือปัญหาที่สามารถหลีกเลี่ยงได้ง่ายมาก หากผู้มีอำนาจตัดสินใจด้านรักษาความปลอดภัยทำการรายงานต่อ ผู้บริหารระดับ C ก่อน
แน่นอนว่า กลุ่มผู้บริหารระดับ C นั้นไม่ใช่คนที่จะรู้สึกผิดกับการก้าวข้ามข้อกำหนดด้านรักษาความปลอดภัยนี้แค่กลุ่มเดียว ในบางกรณี ฝ่ายรักษาความปลอดภัยเองก็เป็นผู้ทำให้เกิดความเสี่ยงขึ้นมาเองได้ ยกตัวอย่างเช่น มีพนักงานรายหนึ่งดาวน์โหลดเครื่องมือแกะรหัสผ่านเพื่อมาทดสอบว่า คนในองค์กรนั้น ตั้งพาสเวิร์ดได้ดีเพียงใด ซึ่ง Orloff มองว่า การ Crack พาสเวิร์ดคนอื่นนั้น จะกลายเป็นประเด็นเสียมากกว่า
ในกรณีที่ผู้บริหารมีส่วนในการทำให้ระบบไอทีไม่ปลอดภัยนี้ Orloff กล่าวว่า อาจมาจากการที่ผู้บริหารกับฝ่ายไอที (ที่ดูแลเรื่องรักษาความปลอดภัย) ไม่มีสายสัมพันธ์อันดีต่อกัน ขณะที่ Ryan Stolte ผู้ก่อตั้ง Bay Dynamics ชี้ว่าอีกปัญหาหนึ่งที่ทำให้พวกเขารู้สึกยุ่งยากก็คือการมีข้อมูลเกี่ยวกับช่องโหว่และภัยคุกคามต่าง ๆ ส่งมาที่ผู้เชี่ยวชาญของบริษัทมากเกินไป
“เมื่อพนักงานรู้สึกยุ่งยาก พวกเขาก็จะหันไปเชื่อสัญชาติญาณของตัวเอง พวกเขาจะดึงประสบการณ์ขึ้นมาใช้ และทึกทักว่าไม่สามารถเชื่อถือในข้อมูลที่เข้ามาได้”
สำหรับผู้ทำงานในสาขารักษาความปลอดภัยและรู้สึกว่าตนเองกำลังอยู่ท่ามกลางเสียงเตือนนั้น อาจจะดีกว่าหากจะสวมวิญญาณนักล่าเข้าค้นหาความจริงในทุก ๆ อย่าง โดยใช้ประสบการณ์ความสำเร็จที่ผ่านมาเป็นตัวช่วย เพราะหลาย ๆ ครั้ง มีความจริงที่ว่า มันมีหลักฐานอยู่แล้วเพียงแต่ไม่มีใครมองเห็นนั่นเอง
http://www.csoonline.com/article/3198492/security/ceos-risky-behaviors-compromise-security.html