អ៊ិនធឺណិតត្រូវបានបង្កើតឡើងនៅក្នុងបន្ទប់ពិសោធន៍របស់រដ្ឋាភិបាល ហើយក្រោយមកទៀតត្រូវបានដាក់ឲ្យប្រើប្រាស់ជាលក្ខណៈពាណិជ្ជកម្មសម្រាប់វិស័យឯកជន។ ទាំង hardware, software, និង networks ត្រូវបានគេរៀបចំដំបូងឡើងសម្រាប់ទំនាក់ទំនងចំហរ (open communication)។ ការងារសន្តិសុខព័ត៌មាន (cybersecurity) មិនត្រូវបានគេគិតគូរឡើយនាពេលនោះ។ ការគិតដូចនេះត្រូវបានផ្លាស់ប្តូរដោយសារតែមានការកើនឡើងខ្លាំងនៃការតភ្ជាប់ (connectivity) និងពាណិជ្ជកម្ម (commerce) នៅលើអ៊ិនធឺណិត ។ ការសិក្សានាពេលថ្មីៗនេះដោយ McAffee បានអោយដឹងថា មានការវាយប្រហារថ្មីៗរៀងរាល់៣វិនាទីម្តងនៅក្នុងចុងឆ្នាំ២០១៦។
តួនាទីរបស់ក្រុមប្រឹក្សាភិបាល (board) គឺជាទូទៅត្រូវបានគេផ្តល់ទៅឲ្យបុគ្គលដែលមានជំនាញនិងភាពជាអ្នកដឹកនាំនៅក្នុងការគ្រប់គ្រង និងពោពេញទៅដោយបទពិសោធន៍ល្អៗ។ តាមការអនុវត្តន៍កន្លងមក អ្នកជំនាញការផ្នែកសន្តិសុខព័ត៌មានមិនមែនជាការព្រួយបារម្ភសម្រាប់ Directors ឡើយ ប៉ុន្តែវាបានក្លាយទៅជាការទាមទារមួយដ៏ចាំបាច់នៅក្នុងយុគ្គសម័យឌីជីថលនេះ។
រាល់ប្រភេទអាជីវកម្មទាំងអស់ទោះបីតូច ឬធំ គឺសុទ្ធតែមានពាក់ព័ន្ធទៅនឹងការងារសន្តិសុខព័ត៌មានទាំងអស់ ដោយក្នុងនោះទោះបីជាស្ថិតនៅក្នុងវិស័យហិរញ្ញវត្ថុ, ការដឹកជញ្ជូន, ការលក់រាយ, ទូរគមនាគមន៍, ការកំសាន្តនិងផ្សព្វផ្សាយ, សុខភាពសាធារណៈ ឬក៏ថាមពល។
ការគំរាមគំហែងក្នុងពេលបច្ចុប្បន្ន (រួមមានទាំង Ransomware និង Distributed Denial of Service) គឺមានការកើនឡើងយ៉ាងខ្លាំងចំពោះប្រតិបត្តិការរបស់សហគ្រាស, កេរ្ត៍ឈ្មោះ និងកិត្តិយស, និងការលួចយកនូវកម្មសិទ្ធិបញ្ញា (IP) ដែលនឹងអាចធ្វើឲ្យប៉ៈពាល់ផងដែរទៅលើតម្លៃទីផ្សារភាគហ៊ុនរបស់ក្រុមហ៊ុន។
ការកើនឡើងនៃការលួចទិន្នន័យ (data breaches) ពីសំណាក់ហេគឃ័រ បានធ្វើឲ្យមានការយកចិត្តទុកដាក់ជាខ្លាំងទូទាំងសកលលោក។ យោងទៅតាមតួលេខរបស់ IBM បានឲ្យដឹងថា ចំណាយទៅលើការបាត់បង់ទិន្នន័យដោយការលួច ជាមធ្យមគឺត្រូវចំណាយកើនឡើងដល់ ៤លានដុល្លា។ ផ្អែកទៅលើ Gartner ការចាយវាយទៅលើផ្នែកសន្តិសុខព័ត៌មានក្នុងគោលបំណងដើម្បីទប់ស្កាត់ការលួចទិន្នន័យគឺនឹងកើនឡើងដល់ ៩០ប៊ីលានដុល្លា (billion) ក្នុងឆ្នាំ ២០១៧នេះ។
ក្រៅពីការវាយប្រហារនានាដែលកើតមានឡើង កង្វះខាតការយល់ដឹងអំពីសន្តិសុខព័ត៌មាននៅតែជាបញ្ហាចំណោទ នេះនៅមិនទាន់គិតដល់ចំណេះដឹងជាលក្ខណៈជំនាញផង។ បរិបទសន្តិសុខព័ត៌មានគឺមានលក្ខណៈស្មុគស្មាញ ហើយពិបាកក្នុងការប្រមូលផ្តុំគ្រប់ចំនុច ដែលអាចបកស្រាយនៅចំពោះមុខ corporate board។
ខាងក្រោមនេះគឺជាចំនុចមួយចំនួនដែលនាយកគ្រប់គ្រងអង្គភាព (C-Suite) គួរតែមានការយល់ដឹង៖ ១/ការគ្រប់គ្រងហានិភ័យ ២/ការទទួលខុសត្រូវ ៣/ទំនាក់ទំនង និង ៤/ជំនាញ។
១. ចំនុចស្នូលចំបងបំផុតនៃការអនុវត្តសន្តិសុខព័ត៌មានគឺការគ្រប់គ្រងហានិភ័យ (risk management)។ វាទាមទារឲ្យមានភាពវៀងវ័យ និងរួមផ្សំនឹងការអប់រំដល់បុគ្គលិក, កំណត់ឲ្យបាននូវគំលាតសន្តិសុខ (security gap), ស្វែងរកចំណុចខ្សោយ (vulnerabilities), ដោះស្រាយការគំរាមគំហែង (mitigating threats), និងមានផែនការដើម្បីឆ្លើយតបឧប្បទេវហេតុសន្តិសុខនានា។ Board directors គួរតែមានការយល់ដឹងនូវការគ្រប់គ្រងហានិភ័យ និងមានចំណេះដឹងទៅលើបរិបទនៃការគំរាមគំហែងនានា (threats and threats actors)។ ទន្ទឹមនឹងនេះផងដែរ ចំណេះដឹងទៅលើ NIST Framework: Identify, Protect, Detect, Respond និង Recover គួរតែមានផងដែរ។
២. សន្តិសុខព័ត៌មានគឺជាទទួលខុសត្រូវ (responsibility)។ ធាតុផ្សេងៗនៃសន្តិសុខព័ត៌មានរួមមាន គោលនយោបាយ (policies), ដំណើរការ (processes) និងបច្ចេកវិទ្យា (technologies)។ អង្គភាពនីមួយៗគឺមានលក្ខណៈតែមួយគត់ (unique) នៃវប្បធម៌ (culture), គោលដៅ (mission) និងសមត្ថភាព (capabilities) ប៉ុន្តែនៅក្នុងន័យសន្តិសុខព័ត៌មាន (cybersecurity) ការគ្រប់គ្រង (រួមមានសមាជិកក្រុមប្រឹក្សាភិបាល) និងបុគ្គលិកទាំងអស់គឺមានការទទួលខុសត្រូវទៅលើចំណុចខាងលើនេះទាំងអស់ (policies, processes, and technology)។ ចំពោះសមាជិកក្រុមប្រឹក្សាទាំងអស់ សន្តិសុខព័ត៌មានគួរតែត្រូវបានចាត់ទុកគឺជាអាទិភាពរបស់អង្គភាព។
៣. ឆ្អឹងខ្នងនៃសន្តិសុខព័ត៌មាន គឺជាប្រសិទ្ធិភាពនៃទំនាក់ទំនង (communication) ។ CISO, CTO, CIO និងថ្នាក់ដឹកនាំប្រតិបត្តិត្រូវតែធ្វើការបន្ស៊ីគ្នារវាងយុទ្ធសាស្ត្រអង្គភាពជាមួយនឹងកម្មវធីសន្តិសុខព័ត៌មាន។ ការទំនាក់ទំនងគ្នា នឹងផ្តល់នូវភាពរួចរាល់សម្រាប់ធ្វើការចែករំលែកព័ត៌មានអំពីការគំរាមគំហែង និងនាវានុវត្តន៍សន្តិសុខថ្មីៗ។ ការបណ្តុះបណ្តាល ក៏ជាយន្តការសំខាន់ផងដែរសម្រាប់អ្នកទាំងអស់គ្នានៅក្នុងអង្គភាព ជាពិេសសគឺក្រុមប្រឹក្សាភិបាល (board)។
៤. សន្តិសុខព័ត៌មានគឺទាមទារជំនាញពិតប្រាកដ (expertise)។ ជាការអនុវត្តដ៏ល្អបំផុតនោះ គឺសមាជិកក្រុមប្រឹក្សាភិបាលគួរតែមានបញ្ចូលនូវអ្នកជំនាញការខាងក្នុងអង្គភាព និងពីខាងក្រៅ (internal and external subject matter experts)។ ជាទូទៅវាតែងតែមានសារៈសំខាន់ណាស់សម្រាប់ថ្នាក់ដឹកនាំប្រតិបត្តិក្នុងការទទួលបាននូវគំនិតយោបល់ពីអ្នកជំនាញការទាំងនោះ។ វានឹងជួយដល់រំលែកនូវកង្វល់នានាដែលមាន ដែលក្នុងនោះចំណេះដឹងគួរតែមាន: ផ្លូវច្បាប់ (legal), អនុលោមភាព (compliance), ដំណោះស្រាយបច្ចេកវិទ្យានិងសេវា (tech solution and service), ការបណ្តុះបណ្តាល (training), ធានារ៉ាប់រង និងបំណុល (insurance and liability), អភិបាលកិច្ច (governance) និងគោលនយោបាយ (policy)។ ការគ្រប់គ្រងសន្តិសុខព័ត៌មានគួរតែបញ្ចូលនូវធនធានមនុស្សជាមួយនឹងចំណេះដឹង ISO27001 និងបទពិសោធន៍ល្អៗផ្សេងទៀត។
ខាងលើនេះ គឺជាគ្រាន់តែជាចំនុចចាប់ផ្តើមតែប៉ុណ្ណោះ។ នៅមានចំនុចជាច្រើនផ្សេងទៀតដែលអ្នកត្រូវស្វែងយល់៕