‘PwC’เผยผลสำรวจองค์กรทั่วโลก ยังขาดความพร้อมรับมือความเสี่ยงโลกไซเบอร์ ขาดมาตรการป้องกันธุรกิจและลูกค้าที่ดีพอ แนะ 10 โอกาสร้างความเชื่อมั่นองค์กรในโลกดิจิทัล ย้ำธุรกิจไทยต้องปรับตัวรับกฎหมายจีดีพีอาร์ของอียู และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยใกล้บังคับใช้ รวมถึงมีมาตรการป้องกันภัยไซเบอร์ เพื่อสร้างความไว้วางใจในโลกดิจิทัลให้ผู้บริโภคชาวไทยที่ใช้ออนไลน์มากขึ้น
นางสาววิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย เปิดเผยถึงผลสำรวจ “Digital Trust Insights” ซึ่งมาจากผลสำรวจ “Global State of Information Security® Survey (GSISS)”ของ PwC ที่ได้จัดทำติดต่อกันเป็นเวลาถึง 20 ปี โดย PwC ทำหน้าที่เป็นแหล่งข้อมูลด้านความเสี่ยงบนโลกไซเบอร์ ซึ่งถือเป็นปัญหาสำคัญที่ส่งผลกระทบต่อการดำเนินธุรกิจ โดยในปีนี้ ได้ทำการสำรวจความคิดเห็นของผู้นำธุรกิจจำนวน 3,000 ราย ใน 81 ประเทศ จากกลุ่มอุตสาหกรรมต่างๆ ทั่วโลก โดยระบุว่า การดำเนินธุรกิจในโลกที่ถูกขับเคลื่อนด้วยเทคโนโลยี และเชื่อมโยงถึงกันมากขึ้น ทำให้บริษัทต่างต้องมีความรับผิดชอบต่อผู้ถือหุ้น และผู้มีส่วนได้ส่วนเสียอื่นๆ ในการดำเนินการตามขั้นตอนที่จำเป็น เพื่อจัดการกับความเสี่ยงด้านดิจิทัล รวมทั้งมีมาตรการป้องกันภัยคุกคามทางไซเบอร์ ซึ่งถือเป็นเรื่องที่มีความสำคัญมาก แต่ผลจากการสำรวจกลับพบว่า องค์กรไม่ว่าจะขนาดเล็ก กลาง หรือใหญ่ ต่างยังไม่มีความพร้อมที่จะระบุความเสี่ยง และป้องกันองค์กและลูกค้า
ประเด็นที่น่าสนใจจากผลสำรวจ ได้แก่
- มีธุรกิจเพียง 53% เท่านั้นที่มีการบริหารจัดการความเสี่ยงในเชิงรุกหรือ “แบบเต็มที่ตั้งแต่เริ่มต้น” เพื่อเปลี่ยนถ่ายธุรกิจเข้าสู่ดิจิทัล
- มีบริษัทเพียงส่วนน้อย (23%) ซึ่งเป็นองค์กรที่มีรายได้มากกว่า 100 ล้านดอลลาร์สหรัฐฯ ขึ้นไป ที่มีแผนจัดให้มีระบบและมาตรการป้องกันความปลอดภัยสอดคล้องไปกับวัตถุประสงค์ทางธุรกิจ
- มีผู้บริหารเพียง 27% เท่านั้นที่เชื่อว่า คณะกรรมการของพวกเขามีตัวชี้วัดสำหรับการจัดการความเสี่ยงในโลกไซเบอร์ความเสี่ยงด้านข้อมูล และความเป็นส่วนตัวที่เพียงพอ
- มีองค์กรที่มีรายได้มากกว่า 100 ล้านดอลลาร์ จากกลุ่มอุตสาหกรรมหลักทั่วโลกน้อยกว่าครึ่ง ที่บอกว่า มีความพร้อมอย่างเต็มที่ในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ จีดีพีอาร์ (General Data Protection Regulation: GDPR) ที่มีผลบังคับใช้ไปเมื่อเดือนพฤษภาคม 2561
- แม้ว่า 81% ของผู้บริหารจะเล็งเห็นถึงความสำคัญของเทคโนโลยีอินเทอร์เน็ตของสรรพสิ่ง หรือ ไอโอที (The Internet of Things: IoT) ต่อธุรกิจของพวกเขา แต่มีเพียงแค่ 39% เท่านั้นที่มีความมั่นใจมากว่า ได้มีการนำระบบการควบคุมความเสี่ยงด้านดิจิทัลมาประยุกต์ใช้อย่างเพียงพอ
ทั้งนี้ ความเชื่อมั่นต่อบุคลากร กระบวนการ และเทคโนโลยี ถือเป็นปัจจัยสำคัญต่อการสร้างความปลอดภัยในโลกดิจิทัล องค์กรต่างๆ มีความจำเป็นที่จะต้องนำความกังวลด้านไซเบอร์ มาประเมินและบรรจุอยู่ในแผนกลยุทธ์ทางธุรกิจอย่างรอบคอบ มากกว่าการลดผลกระทบจากความเสี่ยงทั่วไป เพื่อสร้างแต้มต่อในการแข่งขัน และทำให้องค์กรของตน กลายเป็นองค์กรที่ได้รับความไว้วางใจ ทั้งในด้านของความปลอดภัย ความมั่นคง ความไว้วางใจได้ ความเป็นส่วนตัว และการมีจริยธรรมด้านข้อมูล
นายฌอน จอยซ์ หัวหน้าสายงานรักษาความปลอดภัยด้านไซเบอร์และความเป็นส่วนตัว ของ PwC ประเทศสหรัฐอเมริกา กล่าวว่า ภารกิจสำคัญของการจัดการความเสี่ยงด้านไซเบอร์ ถือได้ว่ามีวิวัฒนาการมาเรื่อยๆ จากเดิมที่มุ่งเน้นในเรื่องของความปลอดภัยของข้อมูล วันนี้เน้นไปที่การบริหารจัดการความเสี่ยงด้านดิจิทัลแบบองค์รวม ดังนั้นผลสำรวจของเราต้องการที่จะช่วยให้ผู้บริหาร สามารถจัดการกับความท้าทายในวันพรุ่งนี้ให้ได้
องค์กรใดแสดงให้โลกเห็นว่าสามารถสร้างความปลอดภัย-มั่นคง-ไว้วางใจความเป็นส่วนตัวด้านข้อมูลและมีจริยธรรม องค์กรนั้นจะก้าวขึ้นเป็นใหญ่ได้
ผลสำรวจของ PwC ฉบับนี้ ได้แบ่งแยกกลไกที่บริษัทต่างๆ ควรต้องมี เพื่อสร้างความไว้วางใจด้านดิจิทัล และเตรียมรับมือกับความเสี่ยงทางไซเบอร์ที่เปลี่ยนแปลงไปตลอดเวลา โดยได้ระบุถึง 10 โอกาสที่องค์กรจะสามารถนำไปใช้ เพื่อปรับปรุงระบบความปลอดภัยและความเป็นส่วนตัว รวมถึงสร้างความไว้วางใจจากผู้บริโภคได้ ประกอบด้วย
- ร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัย ตั้งแต่ช่วงเริ่มต้นของการเปลี่ยนองค์กรไปสู่ดิจิทัล
- ยกระดับทีมบุคลากรมากความสามารถ และทีมผู้นำขององค์กร
- เพิ่มการตระหนักรู้ของพนักงาน และความสำนึกในหน้าที่รับผิดชอบของตน
- ปรับปรุงการสื่อสาร และการมีส่วนร่วมกับคณะกรรมการบริษัท
- บรรจุให้แผนความปลอดภัย ให้เชื่อมโยงกับเป้าหมายทางธุรกิจ
- สร้างความไว้วางใจด้านข้อมูลที่ยั่งยืน
- เพิ่มความยืดหยุ่นทางไซเบอร์
- รู้ว่าศัตรูหรือภัยขององค์กรคืออะไร
- มีความตื่นตัวในการปฏิบัติตามกฎระเบียบข้อบังคับ
- ก้าวให้ทันนวัตกรรม
นางสาววิไลพร กล่าวว่า ปัจจุบันธุรกิจไทยแทบทุกกลุ่มอุตสาหกรรม ไม่ว่าจะเป็น ธนาคารพาณิชย์ ค้าปลีก และสื่อสาร มีการนำเทคโนโลยีดิจิทัลมาใช้ในการให้บริการแก่ผู้บริโภคอย่างแพร่หลาย ไม่ว่าจะเป็นโมบายแบงก์กิ้ง ชอปปิงออนไลน์ หรือ อีวอลเล็ต แต่ความเสี่ยงที่ตามมาคือ จำนวนอาชญากรรมคอมพิวเตอร์ในรูปแบบใหม่ ที่ปรับตัวเพิ่มขึ้นเป็นเงาตามตัว เพราะฉะนั้น ผู้บริหารต้องมีมาตรการ รวมถึงแผนลงทุนด้านการรักษาความปลอดภัยของข้อมูล และการป้องกันภัยทางไซเบอร์ที่มากขึ้น
ยิ่งไปกว่านั้น อยากแนะนำให้ผู้บริหารตื่นตัวในเรื่องของการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกระแสที่ทั่วโลกรวมถึงไทยกำลังให้ความสนใจเป็นอย่างมาก โดยร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย ได้ผ่านการเห็นชอบจากคณะรัฐมนตรี และที่ประชุมสภานิติบัญญัติแห่งชาติได้รับหลักการของร่างพ.ร.บ. ดังกล่าวเรียบร้อยแล้วเมื่อปลายปีที่ผ่านมา ซึ่งนี่จะเป็นการสร้างกลไกการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นมาตรฐานเดียวกัน และสอดคล้องกับมาตรฐานสากล
“แนวโน้มการละเมิดสิทธิในข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนตัวของไทยจะยิ่งมีเพิ่มมากขึ้น จึงอยากเตือนผู้ประกอบการว่า ควรต้องเตรียมพร้อมในเรื่องนี้ ไม่ว่าจะเป็นขอความยินยอมในการเข้าถึงข้อมูลจากลูกค้า หรือการต้องระบุวัตถุประสงค์การใช้ข้อมูลที่ชัดเจน ไปจนถึงการมีระบบหลังบ้านเพื่อที่ดูแลข้อมูล โดยอาจปรึกษาทีมผู้เชี่ยวชาญตั้งแต่เนิ่นๆ เพราะประเด็นเรื่องของการคุ้มครองข้อมูลส่วนบุคคล จะถือเป็นเรื่องที่บริษัทไทยหลีกเลี่ยงไม่ได้อย่างแน่นอน” นางสาววิไลพร กล่าว