CDIC 2023

Scenario-based Risk Assessment เหมาะหรือไม่กับองค์กรของท่าน

acinfotec_logo_h50 zolventure_logo
การประเมินและบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นกระบวนการที่สำคัญที่องค์กรทุกระดับพึงจัดให้มีขึ้น เพื่อปกป้องธุรกิจและสร้างความสอดคล้องกับกฎหมาย เพราะความเสี่ยงในธุรกิจทุกวันนี้มีการเปลี่ยนแปลงทุกวัน อีกทั้งภัยคุกคามปัจจุบันก็มีมากมายและมีความชำนาญขึ้นเรื่อยๆ

วิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement ISO 27001:2005 คือวิธีการที่เรียกว่า Asset-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนง่ายๆ ดังนี้

Credit: ShutterStock.com
Credit: ShutterStock.com
  1. จัดทำทะเบียนทรัพย์สิน (Inventory of Asset) เพื่อระบุทรัพย์สินสารสนเทศที่สำคัญที่ต้องได้รับการปกป้อง
  2. พิจารณาถึงภัยคุกคาม (Threat) ที่อาจทำอันตรายต่อทรัพย์สินสารสนเทศ และจุดอ่อน (Vulnerability) ในตัวทรัพย์สินกระบวนการหรือมาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่อาจเป็นช่องทางให้ภัยคุกคามเหล่านั้นเข้าทำอันตรายต่อทรัพย์สินได้
  3. ประเมินระดับผลกระทบ (Impact) ต่อองค์กรและโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น
  4. คำนวณระดับความเสี่ยง โดยสูตรพื้นฐานที่นิยมใช้กันคือ
    ผลกระทบ (Impact) x โอกาส (Probability) = ระดับความเสี่ยง (Risk)

 

ในปี 2009 องค์กร ISO ได้ตีพิมพ์มาตรฐาน ISO 31000 ซึ่งเป็นแนวปฏิบัติ (Guideline) ในการบริหารความเสี่ยงขององค์กร โดยใช้วิธีการประเมินความเสี่ยงในลักษณะ Scenario-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนหลักๆ ดังนี้

  1. ระบุความเสี่ยง (Risk Identification) โดยการพิจารณาถึงเหตุการณ์ความเสี่ยง (Risk Scenario) ที่เป็นไปได้ โดยเหตุการณ์ความเสี่ยงอาจเกี่ยวข้องกับทรัพย์สิน (Asset-related) หรือไม่ก็ได้
  2. วิเคราะห์ความเสี่ยง (Risk Analysis) เป็นการประเมินระดับผลกระทบ (Impact) ต่อองค์กรและโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น รวมถึงคำนวณระดับความเสี่ยง (Risk Level)

 

จากขั้นตอนข้างต้นจะเห็นว่าไม่จำเป็นต้องจัดทำทะเบียนทรัพย์สินก่อนการประเมินความเสี่ยง และไม่จำเป็นต้องแยกพิจารณาภัยคุกคาม (Threat) และจุดอ่อน (Vulnerability) ของแต่ละความเสี่ยง หากแต่สามารถกำหนดเหตุการณ์ความเสี่ยง (Risk Scenario) และทำการวิเคราะห์ความเสี่ยงได้เลย

วิธีการประเมินความเสี่ยงทั้งสองแบบ ล้วนมีข้อดี-ข้อเสีย ที่แตกต่างกัน ดังนั้นองค์กรควรเลือกวิธีการที่เหมาะสมกับลักษณะงานและความต้องการขององค์กร อย่างไรก็ตาม ด้วยข้อเท็จจริงที่ว่าวิธีการประเมินความเสี่ยงแบบ Scenario-based Risk Assessment มีความยืดหยุ่น และสามารถประยุกต์ใช้ได้กับความเสี่ยงทุกรูปแบบองค์กรชั้นนำส่วนใหญ่จึงเริ่มปรับวิธีการประเมินความเสี่ยงของตนตามแนวทาง Scenario-based Risk Assessment ของ ISO 31000 เพื่อให้มีกระบวนการบริหารความเสี่ยงที่เป็นมาตรฐานกลางสำหรับความเสี่ยงของทั้งองค์กร (Enterprise Risk Management หรือ ERM) นอกจากนี้ มาตรฐาน ISO 27001:2013 (เวอร์ชั่นใหม่) หรือมาตรฐาน ISO ฉบับใหม่ๆ ที่มีข้อกำหนดเรื่องการประเมินความเสี่ยง ยังได้อ้างถึง ISO 31000 ว่าเป็นวิธีการประเมินความเสี่ยงที่แนะนำ (Recommended) ให้ใช้งานอีกด้วย

การประเมินความเสี่ยงแบบ Scenario-based Risk Assessment จึงถือได้ว่าเป็นทิศทางที่องค์กรต่างๆ ควรมุ่งไปอย่างแท้จริง รวมไปถึงปัจจุบันก็มีเทคโนโลยีที่สามารถช่วยท่านได้หลายๆ รูปแบบ ท่านสามารถติดต่อขอรายละเอียดเพิ่มเติมได้ที่ www.zolventure.com หรือ www.acinfotec.com

 

บทความโดย จริญญา จันทร์ปาน – Sales and Solution Delivery Director, ACinfotec Co.,Ltd. และ Zolventure Co.,Ltd.

 

เกี่ยวกับ ACinfotec

acinfotec_logo_h50

ACinfotec เป็นผู้นำในการเป็นที่ปรึกษาด้าน GRC Services ทั้งในส่วน Process และด้านเทคนิค โดยบริษัทมีการให้บริการหลายๆ แบบ ได้แก่

  • IT Standards – ISO 27001, ISO 20000, ISO 22301 CMMI, ISO31000, COBIT5, ISO 29100
  • Assessment services – Penetration test, Vulnerability assessment, Incident Handling, Forensics
  • Training – PECB, IRCA, EC-Council, CISA, CISM, CISSP, COBIT5, ITIL, Project management

 

เกี่ยวกับ Zolventure

zolventure_logo

Zolventure เป็นผู้นำด้านการ Implement และการให้บริการทั้งในส่วน Software tools, Managed service และ Data/Content services ซึ่งบริษัทมีการให้บริการในหลายๆรูปแบบ ได้แก่

  • Big Data service
  • GRC services – PCI PA-DSS, Risk Management tools, IT Service Management tools, Business Management tools
  • Intelligent gather – Zirious

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยกระดับบริการขององค์กรอย่างมั่นใจด้วย HPE Aruba Networking SASE โดย ยิบอินซอย

HPE Aruba Networking นำเสนอ Unified SASE ที่รวมเอาความสามารถของเทคโนโลยี SD-WAN และ SSE เข้าไว้ด้วยกัน เพื่อความง่ายดายในการบริหารจัดการ SD-WAN, Routing, WAN Optimization ตลอดจนการบังคับใช้นโยบายความปลอดภัยได้แบบ end-to-end เพื่อให้การทำงานของแอปพลิเคชันมีประสิทธิภาพสูงขึ้น มั่นคงปลอดภัย ลดต้นทุน และพร้อมให้บริการเสมอ

Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว