By | May 26, 2023
0 Comment

“ความเสี่ยงไม่สามารถวัดได้” เป็นวลีทางวิทยาศาสตร์และคณิตศาสตร์ทั่วไปที่มักใช้กับการรักษาความปลอดภัยข้อมูล แม้ว่าการวัดความเสี่ยงบางอย่างจะเป็นเรื่องจริง แต่ก็ไร้เดียงสาที่จะเชื่อว่าการวัดนั้นไม่สามารถบรรลุผลได้ ความเสี่ยงไม่ใช่ตัวเลข แต่การวัดความเสี่ยงคือ

ตัวอย่างเช่น คุณสามารถวัด:

* เปอร์เซ็นต์ของผู้ขายที่ตรงตามมาตรฐานขององค์กร

* ระดับร้อยละของการปฏิบัติตามกฎข้อบังคับ และ

* จำนวนช่องโหว่ที่มีอยู่ในสภาพแวดล้อม

สหภาพเครดิตจำเป็นต้องระบุ จัดลำดับความสำคัญ และจัดการความเสี่ยง ฝ่ายจัดการและฝ่ายเทคนิคต้องร่วมกันกำหนดเกณฑ์การวัดประสิทธิภาพการรักษาความปลอดภัยของข้อมูล และการวัดผลเหล่านี้ควรสอดคล้องกับเป้าหมายและกลยุทธ์ทางธุรกิจอย่างชัดเจน

เมื่อพัฒนาเกณฑ์การวัดผล ให้หลีกเลี่ยงศัพท์แสงทางเทคนิค กฎหมาย และหัวข้อเรื่อง เน้นการวัดผลการให้บริการ กำหนดเป้าหมาย กลยุทธ์ และการวัดผลอย่างชัดเจน สิ่งนี้อำนวยความสะดวกในการสื่อสารแบบเปิด การวางแผนอย่างรอบคอบ และผลตอบแทนทางการเงิน

ต่อไปนี้เป็นข้อแก้ตัวทั่วไปในการหลีกเลี่ยงการวัดความเสี่ยง:

* “ผู้บริหารไม่เข้าใจ” ความปลอดภัยของข้อมูลครอบคลุมประเด็นด้านความปลอดภัยทางเทคนิคและทางกายภาพ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานจำเป็นต้องมีข้อมูลเชิงลึกเกี่ยวกับเทคโนโลยี การสร้างแบบจำลองความเสี่ยง ความปลอดภัยทางกายภาพ กฎหมาย และระเบียบข้อบังคับ ความซับซ้อนทางเทคนิคมักขัดขวางการสื่อสารระหว่างเจ้าหน้าที่ฝ่ายจัดการและฝ่ายเทคโนโลยีสารสนเทศ (IT) ความท้าทายสำหรับเจ้าหน้าที่ไอที: ถ่ายทอดข้อมูลที่ซับซ้อนอย่างเรียบง่ายและชัดเจน ความท้าทายในการจัดการ: เต็มใจที่จะยอมรับการเปลี่ยนแปลง

* “การวัดความปลอดภัยสำหรับสหภาพเครดิตขนาดใหญ่เท่านั้น” การรวมการวัดความเสี่ยงด้านความปลอดภัยของข้อมูลเข้ากับกระบวนการขององค์กรต้องใช้เวลา ความต่อเนื่อง และมักจะเป็นการเปลี่ยนแปลงทางวัฒนธรรม ผู้คนมักรู้สึกถูกคุกคาม ไม่ชอบการเปลี่ยนแปลง หรือมีแรงจูงใจทางสังคมที่ทำให้กระบวนการนี้ช้าลง แต่สหภาพเครดิตทุกขนาดได้รับประโยชน์จากกิจกรรมการวัดความเสี่ยง อาจใช้เวลา แต่ความเพียรพยายามให้ผลตอบแทนเมื่อการวัดผลสนับสนุนคำของบประมาณและให้ข้อมูลผลตอบแทนจากการลงทุนที่มีค่า

* “การรักษาความปลอดภัยเคลื่อนไหวเร็วเกินไป” เทคโนโลยียังคงเปลี่ยนแปลงในอัตราที่น่าตกใจ หลายคนรู้สึกว่าการวัดความปลอดภัยของข้อมูลตามการเปลี่ยนแปลงทางเทคโนโลยีไม่ทัน แต่ปัญหาจริงๆ อาจอยู่ที่การวัดที่ออกแบบมาไม่ดี จุดประสงค์ของการวัดผลคือการปรับกลยุทธ์องค์กรให้สอดคล้องกับไอที กำหนดเป้าหมายและวัตถุประสงค์ขององค์กรให้ชัดเจน จากนั้นวัดความปลอดภัยของข้อมูลที่เกี่ยวข้องกับเป้าหมายและวัตถุประสงค์เหล่านั้น

การวัด SMART

การตัดสินใจที่รอบคอบต้องการข้อมูลที่เรียบง่าย วัดผลได้ ทำซ้ำได้ และทันเวลา (SMART) เก็บการวัดความเสี่ยงด้านความปลอดภัยของข้อมูล:

* เรียบง่าย. วัตถุประสงค์ของการวัดแต่ละรายการจะต้องเข้าใจอย่างชัดเจนโดยทุกฝ่ายที่ตั้งใจ สร้างรายการตัวบ่งชี้ประสิทธิภาพหลัก หลีกเลี่ยงศัพท์เทคนิค กฎหมาย และศัพท์แสงอื่นๆ หลีกเลี่ยงการโอเวอร์โหลดข้อมูลและมุ่งเน้นไปที่การวัดประสิทธิภาพเฉพาะ

* วัดได้ แม้ว่าการรักษาความปลอดภัยและความเสี่ยงหลายๆ ด้านจะวัดได้ยาก แต่ให้โฟกัสกับสิ่งที่วัดได้ เช่น จำนวนช่องโหว่หรือจำนวนเหตุการณ์

* บรรลุ. การวัดบางอย่างเป็นผลลัพธ์โดยตรงจากรายงานและระบบที่มีอยู่ คนอื่นอาจต้องการการวิเคราะห์เพื่อให้ได้มาซึ่งค่า ตรวจสอบให้แน่ใจว่าเป้าหมายการวัดผลของคุณสามารถทำได้เมื่อเวลาผ่านไป เนื่องจากต้องได้รับการประเมินและจัดการอย่างต่อเนื่องโดยมีค่าใช้จ่ายน้อยที่สุด

* ทำซ้ำได้ เนื่องจากคุณจะต้องการแสดงแนวโน้มเพื่อสร้างข้อมูลที่เป็นประโยชน์ ตรวจสอบให้แน่ใจว่าการวัดนั้นใช้เวลาผ่านไปอย่างง่ายดายและสามารถทำซ้ำได้

* ทันเวลา ข้อมูลที่ล้าสมัยสามารถบิดเบือนการวิเคราะห์และส่งผลกระทบโดยตรงต่อการตัดสินใจ ความทันเวลาของข้อมูลมักจะกำหนดค่าของมัน ตรวจสอบให้แน่ใจว่าการวัดนั้นง่ายต่อการจัดส่งตามต้องการ มุ่งสู่ระบบอัตโนมัติสูงสุดโดยมีกิจกรรมแบบแมนนวลน้อยที่สุด กำหนดสิทธิ์ในการสื่อสารและการเข้าถึงที่ชัดเจนตั้งแต่เริ่มต้น

เครดิตยูเนี่ยนของคุณสามารถวัดประสิทธิภาพการรักษาความปลอดภัยข้อมูลได้ แบบจำลองความเสี่ยง การวัดทางการเงิน ตัวบ่งชี้ประสิทธิภาพหลัก และการวัดอื่น ๆ สามารถช่วยให้คุณจัดแนวการรักษาความปลอดภัยข้อมูลให้สอดคล้องกับเป้าหมายและกลยุทธ์ขององค์กร