จากบทความที่แล้ว เราได้ทราบถึงสถิติของผลกระทบจากภัยคุกคามทางไซเบอร์ที่เคยเกิดขึ้นกับองค์กรกันไปแล้ว ว่าภัยคุกคามทางไซเบอร์มีรูปแบบที่หลากหลายมากขึ้น สามารถส่งผลกระทบต่อระบบข้อมูลสารสนเทศและการดำเนินธุรกิจขององค์กร ดังนั้นการบริหารจัดการความเสี่ยงไซเบอร์ (Cyber Risk Management) จึงมีความจำเป็นสำหรับองค์กรทุกประเภท โดยมีวัตถุประสงค์เพื่อปกป้ององค์กรจากภัยคุกคามทางไซเบอร์ รวมถึงการปฏิบัติตามกฎระเบียบข้อบังคับทางด้านความปลอดภัยทางไซเบอร์ได้อย่างถูกต้องสอดคล้องกับหน่วยงานกำกับดูแล โดยบทความนี้เราจะมาเล่าถึง NIST Cybersecurity Framework 2.0 ซึ่งเป็นกรอบการทำงานด้านการบริหารจัดการความเสี่ยงทางไซเบอร์ที่กำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ที่บังคับใช้สำหรับหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเพื่อเป็นแนวทางการสร้างความปลอดภัยในการดำเนินงานสำหรับองค์กรต่างๆ รวมถึงหน่วยงานด้านสาธารณสุข การเงิน พลังงาน และโทรคมนาคม ซึ่งเป็นหน่วยงานที่มีการบริหารจัดการข้อมูลที่มีความละเอียดอ่อน และต้องปฏิบัติตามข้อกำหนดที่เข้มงวด
กรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ NIST Cybersecurity Framework 2.0 นั้น มีแนวทางปฏิบัติที่เป็นขั้นตอน เข้าใจง่าย และครอบคลุมตั้งแต่การประเมินความเสี่ยง การจัดลำดับความสำคัญของความเสี่ยงที่ส่งผลกระทบต่อการดำเนินงานองค์กร ไปจนถึงการวางแผนรับมือกับเหตุการณ์ภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น กรอบการทำงานนี้ช่วยให้องค์กรสามารถตอบสนองต่อภัยคุกคามได้อย่างเหมาะสม รวมถึงสามารถสรุปข้อมูลที่สำคัญเพื่อใช้ประกอบการตัดสินใจของผู้บริหารและบุคลากรที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ภายในองค์กร ซึ่งปัจจุบันมีได้มีการพัฒนาโครงสร้างของกรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ออกมาเป็นหลายเวอร์ชั่น โดยปรับปรุงและเพิ่มเติมรายละเอียดให้มีความครอบคลุมและทันสมัยมากขึ้น เพื่อให้องค์กรสามารถนำไปประยุกต์ใช้ได้อย่างมีประสิทธิภาพสูงสุด ไว้ดังนี้
- NIST Cybersecurity Framework Version 1.0: เผยแพร่ครั้งแรกในปี 2014 โดยมุ่งเน้นไปที่การระบุ ประเมิน และจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์เป็นหลัก
- NIST Cybersecurity Framework Version 1.1: เผยแพร่ในปี 2018 เป็นการปรับปรุงให้เนื้อหามีความชัดเจน และใช้งานง่ายขึ้น
- NIST Cybersecurity Framework Version 2.0: เป็นเวอร์ชันล่าสุดที่เผยแพร่ในปี 2023 มีการปรับเปลี่ยนโครงสร้างที่สำคัญโดยเพิ่มกรอบการทำงานใหม่เข้ามาคือ “การกำกับดูแลและนโยบายที่เหมาะสม (Governance)” ประกอบด้วย 3 องค์ประกอบหลัก ได้แก่
- กลยุทธ์การจัดการความเสี่ยง (Risk Management Strategy)
- กำหนดนโยบายและกระบวนการที่ชัดเจน (Policies and Processes)
- การจัดการสินทรัพย์ (Asset Management)
กรอบการทำงานนี้ช่วยส่งเสริมให้องค์กรสามารถบริหารจัดการระบบความมั่นคงปลอดภัยไซเบอร์ได้อย่างครอบคลุมมากยิ่งขึ้น ทำให้สามารถดำเนินงานได้ตรงตามเป้าหมายที่กำหนด รวมถึงปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับต่างๆ ได้อย่างถูกต้อง ซึ่ง NIST CFS 2.0 นั้น มุ่งเน้นไปที่การบูรณาการบริหารจัดการความเสี่ยงด้านไซเบอร์เข้ากับการกำกับดูแลความเสี่ยงโดยรวมขององค์กร เพื่อให้สามารถบริหารจัดการความเสี่ยงได้อย่างครอบคลุมทุกด้าน
- การกำกับดูแล (Govern) การปฏิบัติตามหน้าที่ด้านการกำกับดูแลนั้นจำเป็นต้องมีความเข้าใจบริบทขององค์กร กำหนดระดับความเสี่ยงที่ยอมรับได้ กำหนดบทบาทหน้าที่และความรับผิดชอบอย่างชัดเจน และบังคับใช้นโยบายอย่างสม่ำเสมอ ซึ่งความท้าทายที่มักเกิดขึ้นคือความซับซ้อนในการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องกับวัตถุประสงค์ขององค์กร และการจัดการความเสี่ยงที่เกิดจากผู้ให้บริการภายนอก รวมไปถึงการควบคุมกำกับดูแลให้ครอบคลุมทั่วทั้งองค์กร จึงจำเป็นต้องมีมาตรการควบคุมที่มีประสิทธิภาพ เพื่อส่งเสริมความรับผิดชอบและผลักดันให้เกิดการปรับปรุงอย่างต่อเนื่องในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
- การระบุความเสี่ยง (Identify) องค์กรต้องมีการจัดทำรายงานเพื่อระบุความเสี่ยงของอุปกรณ์ต่างๆ จัดลำดับความสำคัญของสินทรัพย์ภายในองค์กรตามระดับความสำคัญ และมีกระบวนการจัดการสินทรัพย์ตั้งแต่เริ่มต้นจนวันที่หมดอายุการใช้งาน (Asset Lifecycle Management – ALM) ซึ่งจะต้องตรวจสอบและรวบรวมข่าวกรองด้านภัยคุกคาม เพื่อใช้ในการประเมินความเสี่ยงในปัจจุบันขององค์กร
- การป้องกัน (Protect) ใช้มาตรการรักษาความปลอดภัยเพื่อปกป้องระบบการทำงานหรือข้อมูลขององค์กร เช่น การกำหนดสิทธิการเข้าถึง การใช้เทคโนโลยีป้องกันระบบ รวมไปถึงการจัดอบรมเพื่อให้พนักงานตระหนักรู้ถึงภัยคุกคามทางไซเบอร์
- การตรวจจับ (Detect) องค์กรจำเป็นต้องมีกระบวนการในการติดตามสินทรัพย์ต่างๆ อย่างต่อเนื่อง เพื่อตรวจจับสิ่งผิดปกติและสัญญาณที่บ่งชี้ถึงภัยคุกคาม รวมถึงความสามารถในการวิเคราะห์เหตุการณ์ที่น่าสงสัยหรืออาจก่อให้เกิดอันตรายอย่างรวดเร็ว เเพื่อระบุลักษณะและตรวจพบพฤติกรรมหรือสถานการณ์ที่ผิดปกติของระบบ ซึ่งอาจเป็นสัญญาณบ่งชี้ถึงการถูกคุกคามทางด้านความมั่นคงปลอดภัยไซเบอร์ การมีกระบวนการตรวจจับที่มีประสิทธิภาพนั้นจะช่วยให้องค์กรสามารถระบุถึงภัยคุกคามทางไซเบอร์ได้อย่างรวดเร็ว นำไปสู่การตอบสนองและแก้ไขปัญหาได้อย่างทันท่วงที ช่วยลดผลกระทบที่อาจเกิดขึ้น
- การรับมือกับภัยคุกคาม (Respond) องค์กรต้องมีการจัดทำแผนรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (Incident Response Plan) อย่างเป็นระบบเพื่อรับมือกับภัยคุกคามที่อาจเกิดขึ้น โดยต้องกำหนดนโยบายและขั้นตอน รวมถึงระบุหน้าที่ความรับผิดชอบของผู้เกี่ยวข้องอย่างชัดเจน จะช่วยให้องค์กรสามารถตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ ช่วยลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น
- กระบวนการกู้คืนระบบหากถูกโจมตี (Recover) ปฏิบัติตามแผนการกู้คืนระบบที่ได้จัดเตรียมไว้อย่างเป็นขั้นตอน ตรวจสอบความครบถ้วนสมบูรณ์ของข้อมูลสำรองที่ใช้ในการกู้คืน จัดทำแผนการสื่อสารแจ้งความคืบหน้าให้บุคคลที่เกี่ยวข้องทราบ เพื่อให้สามารถวางแผนการดำเนินงานได้อย่างต่อเนื่องโดยไม่หยุดชะงัก รวมถึงการจัดทำเอกสารบันทึกรายละเอียดเหตุการณ์ที่เกิดขึ้น ปัญหาที่พบ ขั้นตอนการแก้ไข เพื่อนำข้อมูลจากเอกสารมาวิเคราะห์และประเมินเพื่อปรับปรุงแนวปฏิบัติ แผนรับมือเหตุการณ์ในอนาคต
การเลือกใช้ระหว่าง NIST CSF 1.0 หรือ NIST CSF 2.0 นั้น ขึ้นอยู่กับขนาดและความซับซ้อนขององค์กร รวมถึงกฎระเบียบด้านความปลอดภัยที่องค์กรต้องปฏิบัติตาม องค์กรสามารถพิจารณาตามความเหมาะสมและการนำไปปฏิบัติจริง โดย NIST CSF 2.0 เป็นกรอบการทำงานใหม่ที่มีข้อกำหนดและมาตรฐานที่เข้มงวดมากขึ้นในการจัดการความเสี่ยงไซเบอร์ จึงเหมาะกับองค์กรขนาดใหญ่หรือองค์กรที่มีข้อกำหนดด้านความปลอดภัยสูง เพื่อให้สามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพเป็นไปตามกฎระเบียบอย่างครบถ้วน ในขณะที่ NIST CSF 1.0 จะมีความยืดหยุ่นมากกว่า จึงเหมาะสำหรับองค์กรทุกขนาด สามารถประยุกต์ใช้ได้ความต้องการเฉพาะขององค์กร
สำหรับประเทศไทยนั้น ได้นำกรอบการบริหารความเสี่ยงทางไซเบอร์ NIST CSF มาใช้เป็นแนวทางในดำเนินงานของหน่วยงานต่างๆ ทั้งภาครัฐและเอกชนที่มีระบบการทำงานพื้นฐานอยู่บนเทคโนโลยีสารสนเทศ โดยถูกกำหนดในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เป็นมาตรฐานที่เข้ามาช่วยปรับปรุงความปลอดภัยให้กับองค์กรได้ ไม่ว่าจะเป็นองค์กรขนาดเล็กหรือขนาดใหญ่ โดยกระบวนการบริหารจัดการความเสี่ยงไซเบอร์นั้น ควรมีการตรวจสอบ ทบทวน และปรับปรุงกระบวนการอย่างสม่ำเสมอ สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป เพื่อให้สามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพสูงสุด
ในบทความหน้าเราจะมาเล่าถึงแนวทางการบริหารความเสี่ยงตาม NIST Risk Management Framework (NIST RMF) และ ISO 31000 ที่สามารถนำมาประยุกต์ใช้ในองค์กรในการกระบวนการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยไซเบอร์มีความสอดคล้องตามมาตรฐานสากล ช่วยลดความเสี่ยงและเพิ่มประสิทธิภาพการบริหารจัดการได้ดียิ่งขึ้น
สนใจรับบริการด้าน Cybersecurity ปรึกษาผู้เชี่ยวชาญ CYBER ELITE
สนใจรับบริการด้าน Cybersecurity ติดต่อ CYBER ELITE ได้ทุกช่องทาง
- Email: [email protected]
- Tel: 094-480-4838
- LINE Official: https://line.me/R/ti/p/@cyberelite
- Website: https://www.cyberelite.co
- LinkedIn: https://bit.ly/36M3T7J
- Youtube: https://bit.ly/3sCqOen