การบริหารจัดการความเสี่ยงด้วย ‘Three Line of Defense Model’

หัวหน้าด้านความมั่นคงปลอดภัยของข้อมูล (CISO) มีงานล้นมืออยู่เสมอ วันนี้เราจึงสรุปบทความที่แนะนำการบริหารจัดการความเสี่ยงด้วยโมเดล 3 ข้อเพื่อให้ผู้บริหารสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพเพื่อเตรียมรับมือกับความท้าทายด้านไซเบอร์ที่อาจะเกิดขึ้นได้ตลอด อย่างที่มีคำกล่าวจากประธานาธิบดี Ronald Regan ว่า ‘Trust, but verify’

ควบคุมการบริหาร (Management Control)

ผู้บริหารด้านความมั่นคงปลอดภัยต้องเข้าใจว่าอะไรคือทรัพย์สินที่มีค่าขององค์กรและบริหารจัดการความเสี่ยงในด้านไซเบอร์ให้อยู่ในเกณฑ์ที่องค์กรสามารถยอมรับได้ ฟังก์ชันนี้ประกอบด้วยการควบคุมในหลายปัจจัยเช่น เหตุการณ์ความเสี่ยง การอัปเดตมาตรวัดด้านความเสี่ยง (Key Risk Indicators) บริหารจัดการผลกระทบเกี่ยวพันกับ คน กระบวนการทำงาน หรือเทคโนโลยี

การบริหารจัดการความเสี่ยง (Risk Management)

ขั้นตอนนี้คือความเสี่ยงในระดับองค์กรซึ่งจะเกี่ยวเนี่องไปถึง ข้อกำหนดขององค์กร ข้อกฏหมาย การควบคุมคุณภาพและการควบคุมด้านการเงิน โดยจะมองไปถึงการกำหนดกรอบเพื่อควบคุมการทำงานเช่น นิยามมาตรวัดด้านความเสี่ยงและวิธีการวัดผล สร้างการประเมินทรัพย์สิน ทดสอบ ติดตามและวิเคราะห์ผลกระทบที่เกิดจากขั้นตอนควบคุมการบริหารและปรับการทำงานให้สามารถลดทอนความเสี่ยงไปในจุดที่องค์กรยอมรับได้

การตรวจสอบภายใน (Internal Audit)

ขั้นตอนนี้อาจต้องใช้ผู้ตรวจสอบหรือผู้ควบคุมจากนอกองค์กร โดยขั้นตอนนี้เป็นการรับประกันว่าองค์กรมีกรอบการควบคุมความเสี่ยงภายในเหมาะสมกับความเสี่ยงขององค์กรนั้นๆ

แนวคิดที่ผู้อำนวยการหรือกรรมการระดับสูงควรหลีกเลี่ยง

กรรมการบริษัทมักได้รายงานจาก CISO อยู่เรื่อยๆ นั่นทำให้กรรมการระดับสูงเข้ามาเกี่ยวพันกับกระบวนการเหล่านี้ ซึ่งมีบางอย่างที่ผู้บริหารระดับสูงควรหลีกเลี่ยงแนวคิดดังนี้

  • เทคโนโลยีความมั่นคงปลอดภัยด้านไซเบอร์ชิ้นเดียวจะสามารถแก้ปัญหาได้ทุกอย่าง
  • ความมั่นคงปลอดภัยด้านไซเบอร์เป็นอะไรที่กะเกณฑ์ได้ กรรมการระดับสูงควรจะมองกระบวนการภาพรวมขององค์กรที่จะเกิดขึ้นในอนาคตอีก 10 ปีข้างหน้า
  • เชื่อว่ากลไกในการบริหารจัดการดีอยู่แล้ว กรรมการบริหารควรจะสนับสนุนความต้องการของ CISO เพื่อให้สามารถตอบโจทย์ขององค์กรได้อย่างเหมาะสมด้วย
  • CISO คนเดียวสามารถจัดการได้ทุกอย่าง
  • CISO จะสามารถทำอย่างที่พูดได้ ผู้นำสูงสุดและกรรมการบริหารควรจะทราบการเปลี่ยนแปลงต่างๆ เป็นลำดับแรก

ที่มา : https://securityintelligence.com/take-a-load-off-delegate-cyber-risk-management-using-the-three-lines-of-defense-model/?


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft เปิดตัว Office Version 16.64 (Build 22080400) สำหรับ Mac

การอัปเดต Current Channel Office Preview ใหม่มาพร้อมกับเวอร์ชัน 16.64 (ฺBuild 22080400) และเพิ่มฟังก์ชันการจัดการข้อความและอาร์เรย์ใหม่ ความสามารถในการสร้างรายการโปรดโฟลเดอร์ในบัญชีที่แชร์หรือที่ได้รับมอบสิทธิ์ใน Outlook

ขอเชิญร่วมงานสัมมนาออนไลน์ “Sangfor: Leading the future of education, The Hybrid Learning & Cyber Security Solution” [18 Aug 2022 — 14.00น.]

Sangfor ขอเชิญทุกท่านเข้าร่วมงานสัมมนาในหัวข้อ “Sangfor: Leading the future of education, The Hybrid Learning & Cyber Security Solution” …