Breaking News

การบริหารจัดการความเสี่ยงด้วย ‘Three Line of Defense Model’

หัวหน้าด้านความมั่นคงปลอดภัยของข้อมูล (CISO) มีงานล้นมืออยู่เสมอ วันนี้เราจึงสรุปบทความที่แนะนำการบริหารจัดการความเสี่ยงด้วยโมเดล 3 ข้อเพื่อให้ผู้บริหารสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพเพื่อเตรียมรับมือกับความท้าทายด้านไซเบอร์ที่อาจะเกิดขึ้นได้ตลอด อย่างที่มีคำกล่าวจากประธานาธิบดี Ronald Regan ว่า ‘Trust, but verify’

ควบคุมการบริหาร (Management Control)

ผู้บริหารด้านความมั่นคงปลอดภัยต้องเข้าใจว่าอะไรคือทรัพย์สินที่มีค่าขององค์กรและบริหารจัดการความเสี่ยงในด้านไซเบอร์ให้อยู่ในเกณฑ์ที่องค์กรสามารถยอมรับได้ ฟังก์ชันนี้ประกอบด้วยการควบคุมในหลายปัจจัยเช่น เหตุการณ์ความเสี่ยง การอัปเดตมาตรวัดด้านความเสี่ยง (Key Risk Indicators) บริหารจัดการผลกระทบเกี่ยวพันกับ คน กระบวนการทำงาน หรือเทคโนโลยี

การบริหารจัดการความเสี่ยง (Risk Management)

ขั้นตอนนี้คือความเสี่ยงในระดับองค์กรซึ่งจะเกี่ยวเนี่องไปถึง ข้อกำหนดขององค์กร ข้อกฏหมาย การควบคุมคุณภาพและการควบคุมด้านการเงิน โดยจะมองไปถึงการกำหนดกรอบเพื่อควบคุมการทำงานเช่น นิยามมาตรวัดด้านความเสี่ยงและวิธีการวัดผล สร้างการประเมินทรัพย์สิน ทดสอบ ติดตามและวิเคราะห์ผลกระทบที่เกิดจากขั้นตอนควบคุมการบริหารและปรับการทำงานให้สามารถลดทอนความเสี่ยงไปในจุดที่องค์กรยอมรับได้

การตรวจสอบภายใน (Internal Audit)

ขั้นตอนนี้อาจต้องใช้ผู้ตรวจสอบหรือผู้ควบคุมจากนอกองค์กร โดยขั้นตอนนี้เป็นการรับประกันว่าองค์กรมีกรอบการควบคุมความเสี่ยงภายในเหมาะสมกับความเสี่ยงขององค์กรนั้นๆ

แนวคิดที่ผู้อำนวยการหรือกรรมการระดับสูงควรหลีกเลี่ยง

กรรมการบริษัทมักได้รายงานจาก CISO อยู่เรื่อยๆ นั่นทำให้กรรมการระดับสูงเข้ามาเกี่ยวพันกับกระบวนการเหล่านี้ ซึ่งมีบางอย่างที่ผู้บริหารระดับสูงควรหลีกเลี่ยงแนวคิดดังนี้

  • เทคโนโลยีความมั่นคงปลอดภัยด้านไซเบอร์ชิ้นเดียวจะสามารถแก้ปัญหาได้ทุกอย่าง
  • ความมั่นคงปลอดภัยด้านไซเบอร์เป็นอะไรที่กะเกณฑ์ได้ กรรมการระดับสูงควรจะมองกระบวนการภาพรวมขององค์กรที่จะเกิดขึ้นในอนาคตอีก 10 ปีข้างหน้า
  • เชื่อว่ากลไกในการบริหารจัดการดีอยู่แล้ว กรรมการบริหารควรจะสนับสนุนความต้องการของ CISO เพื่อให้สามารถตอบโจทย์ขององค์กรได้อย่างเหมาะสมด้วย
  • CISO คนเดียวสามารถจัดการได้ทุกอย่าง
  • CISO จะสามารถทำอย่างที่พูดได้ ผู้นำสูงสุดและกรรมการบริหารควรจะทราบการเปลี่ยนแปลงต่างๆ เป็นลำดับแรก

ที่มา : https://securityintelligence.com/take-a-load-off-delegate-cyber-risk-management-using-the-three-lines-of-defense-model/?


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบช่องโหว่ Zero-day บน iPhone X, Samsung Galaxy 9 และ Xiaomi Mi6 ในงาน Pwn2Own

ภายในการแข่งขัน Mobile Hacking ในงาน Pwn2Own ที่เพิ่งจัดไป ณ เมืองโตเกียว ประเทศญี่ปุ่น เมื่อวันที่ 13 – 14 พฤศจิกายนที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยหลายรายได้ออกมาสาธิตการแฮ็กสมาร์ตโฟนยอดนิยมหลายรุ่น …

ร่วมฟัง Cisco Webinar รับ Cisco Meraki Switch ไปใช้ฟรี

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชั้นนำ เปิดให้ผู้ที่สนใจสามารถเข้าฟัง On-Demand Webinar เรื่อง “Introduction to Cloud-Managed Switching”  พร้อมรับ Cisco …