ความสำคัญของการใช้ Six Sigma ในการรักษาความปลอดภัยทางธุรกิจ

เผยแพร่แล้ว: 2023-03-18

ภัยคุกคามด้านความปลอดภัยมีการพัฒนาอย่างต่อเนื่อง จากอาชญากรไซเบอร์ที่กำหนดเป้าหมายสินทรัพย์ดิจิทัลผ่านการละเมิดความปลอดภัย ไปจนถึงการพยายามดำเนินการโจมตีทางไซเบอร์ด้วยแผนการบีบบังคับองค์กร ความสำคัญของการรักษาโครงสร้างพื้นฐานความปลอดภัยดิจิทัลของคุณให้ปลอดภัยนั้นมีความสำคัญมากกว่าที่เคย เพื่อเสริมสร้างความสมบูรณ์ องค์กรควรเริ่มใช้ Six Sigma สำหรับการรักษาความปลอดภัยทุกระดับ

แสดง สารบัญ
  • Six Sigma & Security จัดแนวอย่างไร?
  • DMAIC, Six Sigma และความปลอดภัย
    • กำหนดปัญหาและเป้าหมายของโครงการ
    • วัดแง่มุมต่างๆ ของกระบวนการปัจจุบันโดยละเอียด
    • วิเคราะห์ข้อมูลเพื่อค้นหาข้อบกพร่องหลักในกระบวนการ
    • ปรับปรุงกระบวนการ
    • ควบคุมวิธีการดำเนินการในอนาคต
  • บทสรุป

Six Sigma & Security จัดแนวอย่างไร?

เว็บไซต์-ความปลอดภัย-ความปลอดภัย-อินเทอร์เน็ต

ขั้นแรก สิ่งสำคัญคือต้องเข้าใจว่า Six Sigma คืออะไร ในรูปแบบพื้นฐานที่สุด Six Sigma สามารถกำหนดได้ว่าเป็นเทคนิคการจัดการที่มีจุดประสงค์เพื่อปรับปรุงกระบวนการทางธุรกิจโดยลดความเสี่ยงของข้อผิดพลาด แต่สิ่งนี้สอดคล้องกับความปลอดภัยอย่างไร อีกครั้ง ในบริบทพื้นฐานที่สุด ความปลอดภัยของข้อมูลถูกนำมาใช้เพื่อรักษาความปลอดภัยและความปลอดภัยของสินทรัพย์ดิจิทัลขององค์กร

เนื่องจากมีโปรโตคอลและกระบวนการรักษาความปลอดภัยของข้อมูลอยู่แล้ว จึงเหมาะสมที่จะใช้ Six Sigma เพื่อปรับปรุงกระบวนการเหล่านั้นเพื่อลดความเสี่ยงของภัยคุกคามด้านความปลอดภัยในทุกความสามารถ ด้วยการใช้หนึ่งในวิธีการหลักของ Six Sigma, DMAIC บุคคลสามารถแยกย่อยกระบวนการรักษาความปลอดภัยเพื่อระบุจุดอ่อน จากจุดนั้น พวกเขาสามารถใช้มาตรการเชิงรุกเพื่อลดหน้าต่างการคุกคามและรักษาความปลอดภัยของข้อมูล

แนะนำสำหรับคุณ: 7 วิธีที่ดีในการรักษาความปลอดภัยให้ธุรกิจของคุณหลังจากการละเมิดข้อมูล

DMAIC, Six Sigma และความปลอดภัย

dmaic-six-sigma-lean-กระบวนการปรับปรุง

วิธีการของ Six Sigma หรือ DMAIC ใช้เป็นหลักในการเพิ่มประสิทธิภาพกระบวนการทางธุรกิจในปัจจุบัน วิธีการ DMAIC แบ่งออกเป็นห้าขั้นตอน: กำหนด วัด วิเคราะห์ ปรับปรุง และควบคุม ข้อมูลเป็นองค์ประกอบสำคัญของการดำเนินธุรกิจ และขั้นตอนทั้ง 5 นี้สามารถนำไปใช้กับกระบวนการรักษาความปลอดภัยข้อมูลที่มีอยู่แล้วได้ ด้วยการนำวิธี DMAIC ไปใช้ในแนวทางปฏิบัติและโปรโตคอลด้านความปลอดภัยของข้อมูล องค์กรจะสามารถเข้าใจถึงสาเหตุเบื้องหลังสิ่งที่ทำในระดับองค์กรเกี่ยวกับการรักษาความปลอดภัยข้อมูลได้ดีขึ้น ระบุจุดอ่อนและลดความเสี่ยงโดยรวม

กำหนดปัญหาและเป้าหมายของโครงการ

โจมตีรหัสไซเบอร์ข้อมูลแฮ็คความปลอดภัย

ก่อนที่คุณจะแก้ปัญหาบางอย่างได้ คุณต้องระบุปัญหาให้ได้ก่อน ในบางครั้ง ปัญหาเหล่านี้จะตอบสนอง เช่น องค์กรประสบปัญหาการละเมิดความปลอดภัย และตอนนี้พวกเขากำลังพยายามเสริมความแข็งแกร่งให้กับความปลอดภัยทางดิจิทัลเพื่อป้องกันการละเมิดในอนาคต หรือบางองค์กรอาจใช้มาตรการเชิงรุกเพื่อปิดช่องโหว่ด้านความปลอดภัยที่พบระหว่างการประเมินความเสี่ยงด้านความปลอดภัย ปัญหาเหล่านี้อาจเป็นแบบละเอียดเป็นกระบวนการเดียว หรือภาพรวมทั้งหมดของกระบวนการรักษาความปลอดภัยข้อมูลโดยรวม

หากองค์กรยังไม่ได้ใช้ Six Sigma ในแนวปฏิบัติด้านความปลอดภัยของข้อมูล ขอแนะนำให้ดูภาพรวมทั้งหมด ในขณะที่บริษัทดำเนินการตามแต่ละขั้นตอนทั้งห้า ปัญหาเพิ่มเติมอาจปรากฏขึ้น สิ่งเหล่านี้มักมีความเฉพาะเจาะจงมากขึ้นสำหรับโปรโตคอลและกระบวนการแต่ละรายการ เมื่อสิ่งนี้เกิดขึ้น เป้าหมายโครงการเฉพาะสามารถตั้งขึ้นสำหรับแต่ละเป้าหมายได้

เมื่อระบุปัญหาโดยรวมได้แล้ว ต้องมีการกำหนดเป้าหมายของโครงการ คุณไม่สามารถกำหนดความสำเร็จได้หากปราศจากเป้าหมายสุดท้ายในใจ

วัดแง่มุมต่างๆ ของกระบวนการปัจจุบันโดยละเอียด

อินเทอร์เน็ต-ความปลอดภัยทางไซเบอร์-เครือข่าย-เทคโนโลยี-ข้อมูล-ความปลอดภัย-ปัญญาประดิษฐ์-ไอ

สิ่งนี้ต้องการการวิเคราะห์เชิงลึกที่มักเริ่มต้นด้วยการแมปกระบวนการเริ่มต้น เพื่อความสอดคล้อง สมมติว่านี่เป็นองค์กรที่เพิ่งเริ่มนำ Six Sigma ไปใช้ในกระบวนการรักษาความปลอดภัยข้อมูล เมื่อองค์กรเริ่มการแมปกระบวนการ ลักษณะแมปอาจเริ่มต้นด้วยผังงานพื้นฐานเพื่อดูขั้นตอนการรักษาความปลอดภัย

ในขณะที่กระบวนการเหล่านี้กำลังถูกแม็ปออกมา บุคคลที่พัฒนาแผนที่จะต้องเข้าใจว่ากระบวนการดำเนินไปตั้งแต่ต้นจนจบอย่างไร นอกจากนี้ พนักงานต้องเข้าใจเหตุผลเบื้องหลังกระบวนการปัจจุบัน อาจมีบางกรณีที่กระบวนการที่แตกต่างกัน สมเหตุสมผลกว่า อย่างไรก็ตาม หากไม่มีการพูดคุยถึงเหตุผลที่อยู่เบื้องหลังโปรโตคอลปัจจุบัน การเปลี่ยนแปลงอาจเกิดขึ้นซึ่งลดประสิทธิภาพและประสิทธิผล

ในการใช้ประโยชน์จากวิธีการของ Six Sigma นี้อย่างเต็มที่ ฝ่ายต่างๆ จะต้องมีความรู้เชิงลึกอย่างครบถ้วนเกี่ยวกับกระบวนการ โฟลว์ของพวกเขา เหตุใดพวกเขาจึงทำงานในลักษณะที่พวกเขาทำ และวิธีที่พวกเขาสามารถเพิ่มประสิทธิภาพได้

คุณอาจชอบ: เอกสารและโปรโตคอลที่ธุรกิจของคุณต้องการสำหรับความปลอดภัยทางไซเบอร์

วิเคราะห์ข้อมูลเพื่อค้นหาข้อบกพร่องหลักในกระบวนการ

การเขียนแผนองค์กรกระบวนการทำงานการจัดการธุรกิจกลยุทธ์

ณ จุดนี้ คุณได้ระบุปัญหาและเป้าหมายและรวบรวมความเข้าใจอย่างถ่องแท้ของขั้นตอนด้วยการใช้การแมปกระบวนการ ตอนนี้ คุณต้องรวบรวมข้อมูลเพื่อค้นหาข้อบกพร่องของรูทในกระบวนการ ผู้ที่มีส่วนร่วมใน DMAIC เพื่อเพิ่มประสิทธิภาพกระบวนการรักษาความปลอดภัยน่าจะมีแนวคิดทั่วไปว่าปัญหาต้นตอคืออะไร

ในบางครั้ง องค์กรอาจมีความเข้าใจที่ถูกต้องเกี่ยวกับข้อบกพร่องภายในระบบของตนอยู่แล้ว แต่พวกเขาไม่รู้ว่าจะแก้ไขอย่างไร ตัวอย่างเช่น พวกเขาอาจตระหนักดีว่าระบบปฏิบัติการของตนนั้นล้าสมัย หรือจำเป็นต้องเพิ่มวิธีการแบบหลายชั้นให้กับสแตกความปลอดภัยที่มีอยู่ การใช้ DMAIC ช่วยให้ผู้มีอำนาจตัดสินใจที่สำคัญขององค์กรเข้าใจอย่างถ่องแท้ว่าเหตุใดจึงเกิดปัญหานี้ และกระบวนการใดบ้างที่ต้องได้รับการพิจารณาก่อนที่จะดำเนินการได้

การรวบรวมข้อมูลเพื่อพิจารณาว่าภัยคุกคามใดเกิดขึ้น วิธีการลดผลกระทบ และความเป็นไปได้ที่ความสมบูรณ์ของโครงสร้างพื้นฐานด้านความปลอดภัยจะถูกบุกรุก จึงเป็นองค์ประกอบสำคัญของขั้นตอนนี้ ก้าวไปอีกขั้น สิ่งสำคัญคือผู้เกี่ยวข้องทั้งหมดจะต้องเข้าใจข้อมูลที่รวบรวมมา รวมถึงแนวทางที่ดีที่สุดในการดำเนินการต่อไป

เมื่อรวบรวมข้อมูลนี้ ไม่เพียงแต่จะพิจารณาถึงปัญหารากเหง้าเท่านั้น แต่บุคคลจะมีความพร้อมที่ดีกว่าในการค้นหาแนวทางแก้ไขเพื่อปรับปรุงกระบวนการ

ปรับปรุงกระบวนการ

เทคโนโลยี - ปัญญาประดิษฐ์ - วิทยาศาสตร์ - ข้อมูล - การสื่อสารแบบดิจิทัล - เว็บ - เครือข่าย - เซิร์ฟเวอร์

การรักษาเป้าหมายระยะยาวไว้ในใจ ตลอดจนข้อมูลที่รวบรวมในขั้นตอนที่แล้ว แต่ละคนสามารถพิจารณาแนวทางแก้ไขสำหรับข้อบกพร่องที่เป็นรากเหง้าได้แล้ว นี่อาจเป็นการใช้ AI ในการรักษาความปลอดภัยทางไซเบอร์ การเปลี่ยนไปใช้แนวทางการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) หรือการเข้ารหัสข้อมูล ท้ายที่สุดแล้ว จะขึ้นอยู่กับปัญหา เป้าหมาย และข้อบกพร่องของบริษัทที่กำหนดไว้

ผู้ตัดสินใจควรคำนึงถึงหลายสิ่งหลายอย่างเมื่อปรับปรุงกระบวนการ เช่น ประสบการณ์ของพนักงาน ความปลอดภัยไม่ควรถูกบุกรุก เนื่องจากการตรวจสอบสิทธิ์แบบสองปัจจัยอาจดูไม่สะดวก จึงไม่ควรยกเลิก อย่างไรก็ตาม เมื่อมีการเปลี่ยนแปลงกระบวนการ สิ่งสำคัญคือต้องคำนึงถึงพนักงานทุกคนที่เกี่ยวข้อง นอกจากนี้ ผู้มีอำนาจตัดสินใจควรพิจารณาราคาและการผสานรวมที่เป็นไปได้กับซอฟต์แวร์ปัจจุบัน

เพื่อให้พนักงานทุกคนเข้าใจการเปลี่ยนแปลงที่จะส่งผลกระทบโดยตรงต่อพวกเขา สิ่งสำคัญคือต้องให้ความรู้แก่พวกเขาเกี่ยวกับเหตุผลที่อยู่เบื้องหลังการเปลี่ยนแปลง ตัวอย่างเช่น หากมีการใช้ MFA อาจส่งผลกระทบต่อการเข้าถึงหรือกระบวนการเข้าสู่ระบบขั้นพื้นฐาน หากพนักงานรู้สึกถึงความเจ็บปวดของสิ่งนี้โดยไม่เข้าใจว่าทำไม พวกเขาจะต่อต้าน หาทางแก้ไข และกระบวนการทั้งหมดจะถูกบั่นทอน อย่างไรก็ตาม หากพนักงานทราบว่ากระบวนการใหม่นี้เพิ่มความปลอดภัยให้กับข้อมูล ลดความเสี่ยงของการละเมิดข้อมูล ปรับปรุงชื่อเสียงขององค์กรโดยรวม และส่งผลกระทบต่อเงินดอลลาร์ที่ต่ำที่สุด ในทางกลับกัน อาจส่งผลกระทบต่อค่าจ้าง พวกเขาจะดำเนินการเปลี่ยนแปลงเหล่านี้ ทำไม เพราะตอนนี้พวกเขาเข้าใจสิ่งที่อยู่ในนั้นสำหรับพวกเขาแล้ว

หากบริษัทสูญเสียตัวเลข 7 หลักเนื่องจากการโจมตีของมัลแวร์ที่ขัดขวางประสิทธิภาพการทำงานและรายได้ โบนัสสิ้นปีจะได้รับผลกระทบ หรือหากความเสียหายด้านชื่อเสียงมีผลกระทบระยะยาวต่อบริษัทหลังจากการละเมิดข้อมูล การปลดพนักงานอาจมีความจำเป็น ตัวอย่างเหล่านี้อาจดูสุดโต่ง แต่ลองพิจารณาดู 99.9% ของธุรกิจในอเมริกาเป็นธุรกิจขนาดเล็ก และเมื่อธุรกิจขนาดเล็กประสบกับการโจมตีทางไซเบอร์ 60% ของพวกเขาจะปิดกิจการภายในหกเดือนหลังจากเหตุการณ์ดังกล่าว เมื่อรู้เช่นนี้แล้ว ตัวอย่างเหล่านี้ก็ดูไม่สุดโต่งอีกต่อไป

มีหลายสิ่งที่ต้องพิจารณาเมื่อนำกระบวนการใหม่และ/หรือซอฟต์แวร์ไปใช้ เช่น ประสบการณ์ของผู้ใช้ ราคา และการรวมที่เป็นไปได้กับโซลูชันที่มีอยู่

ควบคุมวิธีการดำเนินการในอนาคต

หลังจากเสร็จสิ้นสี่ขั้นตอนแรกของ DMAIC แล้ว ขั้นตอนสุดท้ายและบางทีขั้นตอนที่สำคัญที่สุดคือการใช้นโยบายเพื่อให้แน่ใจว่ากระบวนการใหม่ได้รับการดำเนินการ ไม่เพียงแต่ในตอนนี้เท่านั้น แต่ในอนาคตด้วย ความจริงก็คือมีการตรวจสอบกระบวนการรักษาความปลอดภัยข้อมูลทั้งหมดอย่างสมบูรณ์ ขณะนี้องค์กรทราบจุดแข็งและจุดอ่อนของตน และมีแผนและกระบวนการเพื่อลดความเสี่ยง โดยรวมแล้วช่วยเสริมความสมบูรณ์ของโครงสร้างพื้นฐานด้านความปลอดภัย หากไม่มีนโยบายเพื่อรักษากระบวนการใหม่เหล่านี้ไว้ องค์กรจะพบว่าตัวเองอยู่ในสถานะประนีประนอมเร็วเกินไป

การสร้างนโยบายเพื่อให้แน่ใจว่าไม่เพียงแค่กระบวนการเกิดขึ้นเท่านั้น แต่พนักงานปฏิบัติตามโปรโตคอลความปลอดภัยใหม่เหล่านี้จะมีความสำคัญ การให้พนักงานทุกคนเข้าร่วมกระบวนการใหม่อย่างรวดเร็วและมีประสิทธิภาพมากที่สุดเท่าที่จะเป็นไปได้ ช่องโหว่ด้านความปลอดภัยจะลดลง เพียงอย่างเดียวนี้ช่วยลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามความปลอดภัยทางไซเบอร์ ซึ่งหากมีการดำเนินการ จะส่งผลกระทบอย่างมากต่อรายได้ของบริษัทเนื่องจากการสูญเสียประสิทธิภาพการทำงาน การหยุดทำงาน ค่าใช้จ่ายในการกู้คืน ความเสียหายด้านชื่อเสียง และอื่นๆ

การกำหนดนโยบายเพื่อให้แน่ใจว่ากระบวนการใหม่ถูกนำมาใช้ทั้งในปัจจุบันและในอนาคตเป็นองค์ประกอบสุดท้ายของกระบวนการ DMAIC

คุณอาจชอบ: 12 ประเภทของการรักษาความปลอดภัยปลายทางที่ทุกธุรกิจควรรู้

บทสรุป

บทสรุปสุดท้ายคำสิ้นสุดบรรทัดล่างสุด

Six Sigma ได้รับการพิสูจน์แล้วว่าเป็นวิธีการที่มีประสิทธิภาพในการปรับปรุงการดำเนินธุรกิจทั่วทุกแผนกในหลากหลายภาคส่วน การใช้แนวทางเดียวกันนี้เมื่อตรวจสอบและปรับปรุงแนวทางปฏิบัติด้านความปลอดภัย จะไม่เพียงเสริมความสมบูรณ์ของโครงสร้างพื้นฐานด้านความปลอดภัยเท่านั้น แต่ยังทำให้ความเสี่ยงลดลงในทันทีต่อเงินดอลลาร์ที่ต่ำที่สุดขององค์กร 



ผู้เขียน-Image-Aaron-Smith

บทความนี้เขียนโดยแอรอน สมิธ Aaron เป็นนักวางกลยุทธ์ด้านเนื้อหาใน LA และที่ปรึกษาในการสนับสนุนบริษัท STEM และบริษัทที่ปรึกษาด้านการเปลี่ยนแปลงทางดิจิทัล เขาครอบคลุมการพัฒนาอุตสาหกรรมและช่วยให้บริษัทต่างๆ ติดต่อกับลูกค้า ในเวลาว่าง แอรอนชอบว่ายน้ำ เต้นสวิง และอ่านนิยายไซไฟ