การโน้มน้าวผู้บริหาร ด้านการประมาณมูลค่าผลประโยชน์ทางการเงิน ว่าทำไมจึงต้องมี PAM มีแนวทาง highlight ได้ดังต่อไปนี้
การจะกำหนดค่าตัวเลข หรือการหาจำนวนผลประโยชน์ของการนำ Privileged Access Management (PAM) ไปใช้กับองค์กรนั้น หลักๆ จะต้องเอ่ยถึงการประมาณมูลค่าทางการเงินที่เกี่ยวข้องกับการปรับปรุง หรือการประหยัดที่ได้รับจากความปลอดภัย ประสิทธิภาพ และการลดความเสี่ยง ต่อไปนี้เป็นแนวทางบางส่วนในการหาจำนวนผลประโยชน์:
1. ประหยัดต้นทุน
• ต้นทุนโดยประมาณของการละเมิดความปลอดภัย: วิจัยค่าเฉลี่ยของอุตสาหกรรมหรือข้อมูลในอดีต เพื่อประเมินความสูญเสียทางการเงินที่อาจเกิดขึ้นจากการละเมิดความปลอดภัย รวมถึงค่าใช้จ่ายที่เกี่ยวข้องกับการโจรกรรมข้อมูล ค่าปรับตามกฎระเบียบ ค่าธรรมเนียมทางกฎหมาย และความเสียหายต่อชื่อเสียง
• ประหยัดเวลา: ประมาณเวลาที่ประหยัดได้ด้วยการดำเนินการด้วยตนเองโดยอัตโนมัติหรือลดเวลาที่ใช้ในงานการจัดการการเข้าถึง เช่น การรีเซ็ตรหัสผ่านหรือการร้องขอการเข้าถึง แปลงเวลาที่บันทึกไว้นี้เป็นมูลค่าทางการเงินโดยพิจารณาจากค่าจ้างรายชั่วโมงโดยเฉลี่ยของพนักงานที่เกี่ยวข้อง
• ต้นทุนการปฏิบัติตามกฎระเบียบ: ประเมินการประหยัดต้นทุนที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับการบรรลุและรักษาการปฏิบัติตามกฎระเบียบและมาตรฐานอุตสาหกรรม ซึ่งอาจรวมถึงการหลีกเลี่ยงค่าปรับ บทลงโทษ และค่าใช้จ่ายในการตรวจสอบ
• ลดต้นทุนการดำเนินงาน: พิจารณาประสิทธิภาพการดำเนินงานใดๆ ที่ได้รับจากการปรับปรุงกระบวนการจัดการ access management เช่น การลดจำนวนการเปิด ticket ของฝ่าย user / IT support ที่เกี่ยวข้องกับคำขอ access ID หรือลดความต้องการด้าน IT human resource ในด้านที่เกี่ยวข้องอื่นๆ
2. การลดความเสี่ยง:
• มูลค่าความเสียหายของความเสี่ยง: ประมาณความน่าจะเป็นและความรุนแรงของเหตุการณ์ที่อาจเกิดขึ้นเหตุการณ์ด้านความปลอดภัย ภัยคุกคามภายใน และการโจมตีทางไซเบอร์ และค่าใช้จ่ายที่เกี่ยวข้อง หากไม่ได้นำ PAM มาใช้
• ลดค่าใช้จ่ายเบี้ยประกัน: การมี PAM ใช้งานและปรับปรุงมาตรการรักษาความปลอดภัยโดยรวม มีผลในการลดเบี้ยประกันด้านความปลอดภัยทางไซเบอร์ ที่องค์กรได้ทำประกันความเสียหายด้านไซเบอร์ไว้กับบริษัทประกันภัย
3. ผลกระทบทางธุรกิจ:
• การคุ้มครองรายได้: ประมาณการการสูญเสียรายได้ที่อาจเกิดขึ้นซึ่งอาจเป็นผลจาก การละเมิดความปลอดภัย การหยุดชะงักของธุรกิจจากการเกิด downtime หรือความเสียหายต่อชื่อเสียงขององค์กร รวมถึงการสูญเสียจากลูกค้ายกเลิกการใช้งาน การลดลงของยอดขาย หรือความเสียหายต่อมูลค่าแบรนด์สินค้า
• ความต่อเนื่องทางธุรกิจ: วัดหรือประเมินมูลค่าของการรักษาการดำเนินธุรกิจได้อย่างต่อเนื่อง ประเมินมูลค่าที่ได้มาจากการหลีกเลี่ยงหรือธุรกิจไม่มีการหยุดชะงักจากเหตุการณ์ด้านความปลอดภัยไซเบอร์หรือการเข้าถึงระบบที่สำคัญโดยไม่ได้รับอนุญาต
4.การคำนวณผลตอบแทนจากการลงทุน (ROI)
เมื่อเราประมาณผลประโยชน์ในรูปทางการเงินได้ออกมาเป็นตัวเลขแล้ว เราจะสามารถคำนวณเปอร์เซ็นต์ของ ROI ได้โดยการลบต้นทุนทั้งหมดออกจากผลประโยชน์ทั้งหมด แล้วหารผลลัพธ์ด้วยต้นทุนทั้งหมด จากนั้นคูณด้วย 100 เพื่อแสดงเป็นเปอร์เซ็นต์ ดังนี้
สูตรคำนวณเปอร์เซ็นต์ ผลตอบแทนจากการลงทุน (Return of Investment ROI)
ROI Percentage = (จำนวนผลประโยชน์ในรูปการเงิน – ต้นทุนเงินลงทุนด้าน PAM) / ต้นทุนเงินลงทุนด้าน PAM x 100
บทสรุป
โดยสรุป Privileged Access Management (PAM) เป็นระบบบริหารระบบที่จำเป็นอย่างยิ่งสำหรับองค์กรที่ต้องการปรับปรุงการป้องกันความปลอดภัยทางไซเบอร์และป้องกันภัยคุกคามที่พัฒนาหรือเปลี่ยนแปลงอยู่ตลอดเวลา การใช้โซลูชัน PAM ที่มีประสิทธิภาพจะ ช่วยให้องค์กรสามารถลดความเสี่ยงที่เกิดจากภัยคุกคามภายใน การโจมตีจากภายนอก และการละเมิดการปฏิบัติตามข้อกำหนดได้ จึงเป็นการปกป้องทรัพย์สินที่สำคัญและรักษาการปฏิบัติตามกฎระเบียบ หรือ compliance
ในสภาพแวดล้อมภัยคุกคามด้านไอที ที่พัฒนาอย่างรวดเร็วในปัจจุบัน การลงทุนใน PAM ไม่เพียงแต่เป็นมาตรการรักษาความปลอดภัย การเฝ้าระวังที่รอบคอบเท่านั้น แต่ยังเป็นความจำเป็นเชิงกลยุทธ์ในการรับรองความต่อเนื่องทางธุรกิจ และการเสริมสร้างความไว้วางใจของลูกค้าและองค์กรคู่ค้า
เขียนโดย : Udorn
วันที่เผยแพร่ : 4 เม.ย. 2567