จากบทความที่แล้ว เราได้รู้จักกับ NIST Cybersecurity Framework 2.0 ซึ่งเป็นกรอบการบริหารจัดการความเสี่ยงทางไซเบอร์ที่ช่วยให้องค์กรทุกขนาดสามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพกันไปแล้ว ในบทความนี้เราจะแนะนำแนวทางบริหารจัดการความเสี่ยงตามมาตรฐานเพิ่มเติม ได้แก่ NIST Risk Management Framework (RMF) ซึ่งเป็นแนวทางเฉพาะสำหรับการประเมินและจัดการความเสี่ยงไซเบอร์ และ ISO 31000 ที่มาตรฐานควบคุมกรอบการทำงานที่ครอบคลุมสำหรับการจัดการความเสี่ยงทุกประเภท
มาเริ่มกันที่ส่วนแรก ได้แก่ NIST Risk Management Framework (RMF) ซึ่งเป็นแนวทางการจัดการความเสี่ยง ที่ได้แบ่งขั้นตอนเอาไว้ทั้งหมด 7 ขั้นตอน ดังต่อไปนี้
- การเตรียมการ (Prepare): ขั้นตอนแรกคือการเตรียมความพร้อมสำหรับดำเนินการบริหารจัดการความเสี่ยง โดยกำหนดบทบาทความรับผิดชอบ กำหนดขอบเขตของระบบที่ต้องการจัดการความเสี่ยง กำหนดเป้าหมายความปลอดภัย และระบุทรัพยากรที่จำเป็น
- การจัดหมวดหมู่ (Categorize System): วิเคราะห์และจัดหมวดหมู่ระบบตามระดับความเสี่ยง รวมถึงการพิจารณาถึงข้อกำหนดด้านกฎหมายที่เกี่ยวข้อง เช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) หรือ มาตรฐานความปลอดภัยข้อมูลชำระเงินแบบอุตสาหกรรมการชำระเงิน (PCI DSS) จะถูกจัดอยู่ในหมวดหมู่ที่มีระดับความเสี่ยงสูง องค์กรจำเป็นต้องเพิ่มมาตรการควบคุมความปลอดภัยเพื่อป้องกันภัยคุกคามทางไซเบอร์
- การเลือกมาตรการควบคุม (Select Controls): เลือกมาตรการควบคุมความปลอดภัยให้เหมาะสมกับความเสี่ยงแต่ละประเภท โดยพิจารณาปัจจัยต่างๆ เช่น งบประมาณ ทรัพยากร และความซับซ้อนในการใช้งาน องค์กรควรจัดทำแผนติดตามมาตรการอย่างสม่ำเสมอ เพื่อประเมินประสิทธิภาพ ปรับปรุงแก้ไข พร้อมรับมือกับภัยคุกคามใหม่ๆ ที่เกิดขึ้น
- การนำมาตรการควบคุมไปใช้ (Implement Controls): การนำมาตรการควบคุมความปลอดภัยมาใช้งานจริง โดยเริ่มจากการติดตั้ง กำหนดค่าให้เหมาะสม และทดสอบมาตรการควบคุมความปลอดภัยอย่างละเอียด เพื่อให้มั่นใจว่าองค์กรสามารถลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ นอกจากนี้ควรฝึกอบรมเกี่ยวกับมาตรการควบคุมความเสี่ยงไซเบอร์และวิธีการป้องกันให้แก่พนักงานทุกคน
- การประเมินผล (Assess Controls): การประเมินผลเป็นการตรวจสอบประสิทธิภาพของมาตรการควบคุมความปลอดภัยเพื่อตรวจสอบว่าระบบทำงานได้ตามที่ออกแบบไว้หรือไม่ ช่วยให้ระบุช่องโหว่ที่ยังคงมีอยู่และนำไปปรับปรุงการรักษาความปลอดภัยให้ดียิ่งขึ้น ซึ่งมีหลายวิธี เช่น การตรวจสอบบันทึกการทำงานที่ผิดปกติ การทดสอบเจาะระบบ (Penetration Testing) และการใช้เครื่องมืออัตโนมัติเพื่อค้นหาช่องโหว่ โดยให้ความสำคัญกับการประเมินระบบที่มีความเสี่ยงสูงก่อนและทำการประเมินผลอย่างสม่ำเสมอเมื่อมีการเปลี่ยนแปลงสภาพแวดล้อมเพื่อให้องค์กรรักษาความปลอดภัยทางไซเบอร์ได้ในระยะยาว
- การอนุมัติ (Authorize System): การอนุมัติอย่างเป็นทางการว่าให้นำเอามาตรการควบคุมความปลอดภัยมาใช้งานหรือไม่ องค์กรต้องมั่นใจว่าระบบมีความปลอดภัยเป็นไปตามข้อกำหนดด้านกฎหมาย สามารถลดความเสี่ยงทางไซเบอร์และปกป้องข้อมูลและทรัพย์สินขององค์กรได้อย่างมีประสิทธิภาพ การพิจารณาอนุมัติมีปัจจัยที่ต้องพิจารณา ได้แก่ ระดับความเสี่ยงขององค์กร ประสิทธิภาพของมาตรการควบคุม ผลลัพธ์จากการทดสอบระบบ และความสอดคล้องกับข้อกำหนดด้านกฎหมาย องค์กรควรมีแนวทางปฏิบัติที่ชัดเจน โดยกำหนดกระบวนการเป็นเอกสาร กำหนดผู้มีอำนาจตัดสินใจ บันทึกผลการตัดสินใจ และทบทวนเป็นประจำเพื่อให้การอนุญาตให้ใช้งานมาตรการควบคุมความปลอดภัยเป็นไปอย่างมีประสิทธิภาพ
- การติดตามผล (Monitor Controls): การติดตามผลเป็นขั้นตอนที่ต้องดำเนินการอย่างต่อเนื่องเพื่อประเมินและปรับปรุงประสิทธิภาพของมาตรการควบคุมความปลอดภัยที่ใช้อยู่ ประกอบด้วย การตรวจสอบเฝ้าระวังระบบอย่างสม่ำเสมอ วิเคราะห์ข้อมูลและจัดทำรายงานสถานะความปลอดภัยให้ผู้บริหารใช้ในการตัดสินใจวางแผนกลยุทธ์ด้านความปลอดภัยขององค์กร การติดตามผลจะช่วยให้องค์กรสามารถรับมือกับภัยคุกคามรูปแบบใหม่ได้อย่างทันท่วงที นอกจากนี้องค์กรควรใช้เครื่องมือตรวจสอบอัตโนมัติร่วมกับการวิเคราะห์โดยผู้เชี่ยวชาญช่วยเพิ่มความแม่นยำ
ถัดมาในส่วนของมาตรฐาน ISO 31000 ถูกพัฒนาขึ้นโดยองค์การระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization: ISO) เป็นกรอบการทำงานที่เหมาะสำหรับองค์กรที่ต้องการสร้างระบบบริหารความเสี่ยงที่ครอบคลุมทุกด้านขององค์กร ซึ่งปัจจุบันถูกนำมาใช้เป็นมาตรฐานการจัดการความเสี่ยงในหลากหลายอุตสาหกรรมทั้งภาคการเงิน พลังงาน สาธารณสุข และภาครัฐ มีความยืดหยุ่นสามารถปรับให้สอดคล้องกับความต้องการเฉพาะของแต่ละองค์กรได้ โดยมาตรฐานการบริหารความเสี่ยง ISO 31000 มี 6 ขั้นตอนดังนี้
- กำหนดขอบเขต (Scope, Context & Criteria): ขั้นตอนแรกคือการระบุขอบเขตของการบริหารความเสี่ยง วิเคราะห์สภาวะแวดล้อมและกำหนดเกณฑ์ในการประเมินความเสี่ยง
- ประเมินความเสี่ยง (Risk Assessment): ประกอบด้วย 3 ขั้นตอนย่อย ดังนี้
– ระบุความเสี่ยง (Risk Identification): ค้นหาและระบุเหตุการณ์ความเสี่ยงที่อาจส่งผลกระทบต่อองค์กร
– วิเคราะห์ความเสี่ยง (Risk Analysis): ประเมินระดับความรุนแรงของผลกระทบที่อาจเกิดขึ้นกับองค์กร เพื่อพิจารณาประสิทธิภาพของมาตรการควบคุมที่มีอยู่
– ประเมินผลความเสี่ยง (Risk Evaluation): ประเมินผลกระทบของความเสี่ยงแต่ละประเภทเพื่อจัดลำดับความสำคัญ ช่วยในการตัดสินใจว่าความเสี่ยงใดอยู่ในระดับที่องค์กรสามารถยอมรับได้หรือจำเป็นต้องแก้ไข
- จัดการความเสี่ยง (Risk Treatment): กำหนดมาตรการและแนวทางปฏิบัติที่เหมาะสมรวมถึงพัฒนาแผนปฏิบัติการจัดการความเสี่ยงเพื่อลดผลกระทบที่อาจเกิดขึ้น
- บันทึกและรายงาน (Recording & Reporting): จัดทำเอกสารบันทึกข้อมูลและรายงานผลการบริหารความเสี่ยงกับผู้ที่เกี่ยวข้อง เพื่อเป็นพื้นฐานสำหรับการตัดสินใจปรับปรุงกระบวนการบริหารความเสี่ยงในอนาคต
- สื่อสารและปรึกษา (Communication & Consultation): กระบวนการบริหารความเสี่ยงจำเป็นต้องมีการสื่อสารและเปิดรับฟังความคิดเห็นจากผู้มีส่วนได้ส่วนเสียทุกระดับในองค์กร เพื่อสร้างความเข้าใจร่วมกันเกี่ยวกับจัดการความเสี่ยง รวมถึงการปรึกษาหารือกับผู้เชี่ยวชาญด้านการจัดการความเสี่ยงเมื่อจำเป็น
- ติดตามและทบทวน (Monitoring & Review): ตรวจสอบและปรับปรุงกรอบการบริหารความเสี่ยงที่ใช้อยู่เป็นประจำ เพื่อระบุความเสี่ยงใหม่ที่อาจเกิดขึ้นและปรับเปลี่ยนแผนการจัดการความเสี่ยงตามความเหมาะสม
ระบบบริหารจัดการความเสี่ยงที่มีประสิทธิภาพสูงสุดนั้น จำเป็นต้องครอบคลุมความเสี่ยงหลากหลายประเภท มาตรฐาน ISO 31000 นำเสนอแนวทางทั่วไปสำหรับการบริหารความเสี่ยง ในขณะที่ NIST Risk Management Framework (RMF) มุ่งเน้นไปที่ความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์โดยเฉพาะ การใช้ทั้งสองมาตรฐานร่วมกัน ช่วยให้องค์กรสามารถสร้างระบบที่ครอบคลุมและตอบสนองต่อความท้าทายด้านความปลอดภัยทางไซเบอร์ในยุคดิจิทัลได้ดียิ่งขึ้น
จากที่ได้นำเสนอตัวอย่างกรอบการทำงานเพื่อควบคุมความเสี่ยงทางไซเบอร์สำหรับองค์กรไปทั้ง 3 แบบแล้ว จะเห็นได้ว่าขั้นตอนในการบริหารจัดการและควบคุมนั้นมีหลากหลายและแต่ละขั้นตอนมีความซับซ้อนทางกระบวนการค่อนข้างมาก องค์กรส่วนใหญ่เอง มีความขาดแคลนบุคลากรที่มีองค์ความรู้เกี่ยวกับทางด้านการบริหารความเสี่ยงนี้ ทำให้องค์กรมีความจำเป็นต้องใช้ที่ปรึกษา หรือแพลตฟอร์มบางอย่างที่สามารถเข้ามาช่วยบริหารจัดการความเสี่ยงเหล่านี้แบบทั้งกระบวนการได้
ในบทความหน้าเราจะมาเล่าถึง OVERSIGHT Cyber Risk Management Platform แพลตฟอร์มที่พัฒนาโดยทีมวิจัยและพัฒนาของ CYBER ELITE ที่จะเข้ามาช่วยยกระดับการบริหารจัดการความเสี่ยงขององค์กร ช่วยให้ผู้ใช้งานสามารถติดตามสถานะความเสี่ยงไซเบอร์ขององค์กรได้แบบเรียลไทม์ ผ่านหน้าจอแสดงผล (Dashboard) ที่ปรับแต่ง นำเสนอข้อมูลได้ตามหัวข้อที่องค์กรให้ความสนใจ อีกทั้งยังสามารถเชื่อมต่อกับศูนย์รักษาความมั่นคงปลอดภัยทางไซเบอร์ Cybersecurity Operation Center (CSOC) ที่คอยเฝ้าระวังภัยคุกคามตลอด 24×7 จึงมั่นใจได้ว่าข้อมูลความเสี่ยงที่สำคัญขององค์กรได้ถูกบริหารจัดการตามมาตรฐานสากล
สนใจรับบริการด้าน Cybersecurity ติดต่อ CYBER ELITE ได้ทุกช่องทาง
- Email: [email protected]
- Tel: 094-480-4838
- LINE Official: https://line.me/R/ti/p/@cyberelite
- Website: https://www.cyberelite.co
- LinkedIn: https://bit.ly/36M3T7J
- Youtube: https://bit.ly/3sCqOen
