วิธีควบคุมค่าใช้จ่ายด้านความปลอดภัยระบบในยุครัดเข็มขัด

          ปัจจุบันองค์กรต่าง ๆ ให้ความสำคัญกับการควบคุมค่าใช้จ่ายและต้นทุนในการดำเนินงานด้านต่าง ๆ มากขึ้น ความจะเป็นด้านไอทีก็ทุกนำมาพิจารณาในหลายประเด็น เพื่อลดค่าใช้จ่ายส่วนที่ไม่จำเป็นออกไปได้บ้าง แต่เรื่องหนึ่งที่บริษัท ควรให้ความระมัดระวังเป็นอย่างมากนั่นคือ การตัดงบประมาณในส่วนของการรักษาความปลอดภัยระบบ

          เมื่อพูดถึงเรื่องความปลอดภัย หากเกิดข้อผิดพลาด เกิดแฮกเกอร์ขึ้นในขณะที่เราไม่มีการรักษาความปลอดภัยที่ดีนั้น ไม่ต้องนึกถึงผลเสียที่ตามมาเลยว่าจะรุนแรงขนาดไหน การลดต้นทุนได้เล็ก ๆ น้อย ๆ คงไม่คุ้มกันกับความเสียหายที่เกิดขึ้นอย่างแน่นอน

          การลดงบประมาณด้านการรักษาความปลอดภัยระบบแสดงให้เห็นถึง การละเลยอย่างไม่น่าให้อภัยเลยก็ว่าได้ เพราะสำหรับอาชญากรรมในโลกไซเบอร์ จะไม่มีวันหยุดลงด้วยสาเหตุของนโยบายด้านค่าใช้จ่ายขององค์กร ซึ่งสิ่งเหล่านี้อาจชี้นำให้ผู้บริหารเล็กงเห็นความสำคัญ ของการคงไว้ หรือเพิ่มงบประมาณ ด้านการรักษาระบบให้มากขึ้นอีกต่างหาก

          แต่หากการลดค่าใช้จ่ายดังกล่าวเป็นสิ่งที่หลีกเลี่ยงไม่ได้แล้วละก็ ควรพิจารณาดำเนินการให้เกิดความเสี่ยงและผลกระทบน้อยที่สุด ดังนี้

  • การระบุภัยคุกคามที่มีผลโดยตรงต่อรายได้ขององค์กรออกมาให้ได้ เพื่อพิจารณาการป้องกันที่เหมาะสมเท่านั้น
  • จัดทำโครงการในลักษณะที่ช่วยประหยัดค่าใช้จ่าย หรือพิจารณาเลื่อนการใช้จ่ายที่มีมูลค่าสูงออกไปก่อน
  • เลือกระบบไอทีที่คุ้มค่าต่อการลงทุน เช่น ใช้ระบบอัตโนมัติตรวจสอบสิทธิของพนักงาน เพื่อให้มั่นใจว่าไม่มีใครที่มีสิทธิในการเข้าถึงข้อมูล หรือระบบมากเกินไป หรือใช้ระบบอัตโนมัติ เพื่อยกเลิกสิทธิของพนักงานที่ถูกเลิกจ้าง หรือพนักงานที่ลาออกไปแล้ว ในการเข้าถึงข้อมูลที่มีค่าในระบบขององค์กร แทนขั้นตอนการปฏิบัติ แบบแมนวล ซึ่งมักพบปัญหาความผิดพลาด และดำเนินการได้รวดเร็วมากขึ้น
  • การบริหารจัดการโครงสร้างการรักษาความปลอดภัยและอุปกรณ์ไอทีต่าง ๆ โดยพิจารณาว่ามีอะไรที่ตกรุ่น และอะไรที่ต้องซ่อมบำรุงให้ใช้งานได้เต็มประสิทธิภาพ
  • นำอุปกรณ์เก่ากลับมาใช้งานใหม่
  • ควรพิจารณาลงทุนระบบป้องกัน และเฝ้าระวังความปลอดภัยให้กับระบบเครือข่าย และแอปพลิเคชันที่มีความสามารถในการเรียนรู้ และตรวจจับพฤติกรรม ที่ผิดปกติต่าง ๆ ได้
  • นำอุปกรณ์พวกไฟร์วอลล์มาป้องกันระบบหรือบริการที่ไม่ค่อยมีความสำคัญมากนัก
  • ควบคุมค่าใช้จ่ายด้านไอทีจ้างผู้ให้บริการภายนอกเข้ามาช่วยดูแลระบบการรักษาความปลอดภัย ช่วยกำจัดค่าใช้จ่าย และงบประมาณด้านการให้บริการ และการจัดการต่าง ๆ การอบรมพนักงานและเจ้าหน้าที่ การอัปเดตซอฟต์แวร์และฮาร์ดแวร์ รวมถึงค่าใช้จ่ายในการดูแบบริหารจัดการแนวทางป้องกันที่มีอยู่ ไม่ว่าจะเป็นการอัปเดต Anti-Malware Signature หรือการแก้ไขค่าคอนฟิกูเรชันที่เกี่ยวกับรายการ Filtering ต่าง ๆ ซึ่งล้วนเป็นค่าใช้จ่ายที่สูง และต้องเสียเวลาดำเนินการค่อนข้างมาก

          ความอยู่รอดของธุรกิจไม่ใช่เพียงการลดค่าใช้จ่ายให้ได้มากที่สุด แต่จะต้องพิจารณาถึงความคุ้มค่าในการตัด ลดทอน หรือ เพิ่มในสิ่งที่จำเป็นเข้ามาแทนที่ระบบเดิม ๆ เพื่อความคุ้มค่าในระยะยาวด้วย ซึ่งในเรื่องการรักษาความปลอดภัยเป็นสิ่งที่ไม่ควรละเลยความสำคัญ