TTT Virtual Summit: Enterprise Cybersecurity & Privacy 2023
CDIC 2023

การบริหารจัดการความเสี่ยงด้วย ‘Three Line of Defense Model’

December 8, 2017 IT Knowledge, IT Trends and Updates

หัวหน้าด้านความมั่นคงปลอดภัยของข้อมูล (CISO) มีงานล้นมืออยู่เสมอ วันนี้เราจึงสรุปบทความที่แนะนำการบริหารจัดการความเสี่ยงด้วยโมเดล 3 ข้อเพื่อให้ผู้บริหารสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพเพื่อเตรียมรับมือกับความท้าทายด้านไซเบอร์ที่อาจะเกิดขึ้นได้ตลอด อย่างที่มีคำกล่าวจากประธานาธิบดี Ronald Regan ว่า ‘Trust, but verify’

ควบคุมการบริหาร (Management Control)

ผู้บริหารด้านความมั่นคงปลอดภัยต้องเข้าใจว่าอะไรคือทรัพย์สินที่มีค่าขององค์กรและบริหารจัดการความเสี่ยงในด้านไซเบอร์ให้อยู่ในเกณฑ์ที่องค์กรสามารถยอมรับได้ ฟังก์ชันนี้ประกอบด้วยการควบคุมในหลายปัจจัยเช่น เหตุการณ์ความเสี่ยง การอัปเดตมาตรวัดด้านความเสี่ยง (Key Risk Indicators) บริหารจัดการผลกระทบเกี่ยวพันกับ คน กระบวนการทำงาน หรือเทคโนโลยี

การบริหารจัดการความเสี่ยง (Risk Management)

ขั้นตอนนี้คือความเสี่ยงในระดับองค์กรซึ่งจะเกี่ยวเนี่องไปถึง ข้อกำหนดขององค์กร ข้อกฏหมาย การควบคุมคุณภาพและการควบคุมด้านการเงิน โดยจะมองไปถึงการกำหนดกรอบเพื่อควบคุมการทำงานเช่น นิยามมาตรวัดด้านความเสี่ยงและวิธีการวัดผล สร้างการประเมินทรัพย์สิน ทดสอบ ติดตามและวิเคราะห์ผลกระทบที่เกิดจากขั้นตอนควบคุมการบริหารและปรับการทำงานให้สามารถลดทอนความเสี่ยงไปในจุดที่องค์กรยอมรับได้

การตรวจสอบภายใน (Internal Audit)

ขั้นตอนนี้อาจต้องใช้ผู้ตรวจสอบหรือผู้ควบคุมจากนอกองค์กร โดยขั้นตอนนี้เป็นการรับประกันว่าองค์กรมีกรอบการควบคุมความเสี่ยงภายในเหมาะสมกับความเสี่ยงขององค์กรนั้นๆ

แนวคิดที่ผู้อำนวยการหรือกรรมการระดับสูงควรหลีกเลี่ยง

กรรมการบริษัทมักได้รายงานจาก CISO อยู่เรื่อยๆ นั่นทำให้กรรมการระดับสูงเข้ามาเกี่ยวพันกับกระบวนการเหล่านี้ ซึ่งมีบางอย่างที่ผู้บริหารระดับสูงควรหลีกเลี่ยงแนวคิดดังนี้

  • เทคโนโลยีความมั่นคงปลอดภัยด้านไซเบอร์ชิ้นเดียวจะสามารถแก้ปัญหาได้ทุกอย่าง
  • ความมั่นคงปลอดภัยด้านไซเบอร์เป็นอะไรที่กะเกณฑ์ได้ กรรมการระดับสูงควรจะมองกระบวนการภาพรวมขององค์กรที่จะเกิดขึ้นในอนาคตอีก 10 ปีข้างหน้า
  • เชื่อว่ากลไกในการบริหารจัดการดีอยู่แล้ว กรรมการบริหารควรจะสนับสนุนความต้องการของ CISO เพื่อให้สามารถตอบโจทย์ขององค์กรได้อย่างเหมาะสมด้วย
  • CISO คนเดียวสามารถจัดการได้ทุกอย่าง
  • CISO จะสามารถทำอย่างที่พูดได้ ผู้นำสูงสุดและกรรมการบริหารควรจะทราบการเปลี่ยนแปลงต่างๆ เป็นลำดับแรก

ที่มา : https://securityintelligence.com/take-a-load-off-delegate-cyber-risk-management-using-the-three-lines-of-defense-model/?

Tags


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Raceku Webinar: Biggest Trends and Challenges Reshaping the Future of Service Industry

IFS ร่วมกับ Raceku Thai ขอเรียนเชิญผู้ประกอบการธุรกิจ รวมถึงผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าร่วมงานสัมมนาออนไลน์เรื่อง “Biggest Trends and Challenges Reshaping the Future …

ขอเชิญผู้สนใจทุกท่านเข้าร่วมสัมมนาออนไลน์ “Enhance Your Business Growth with Google Cloud Vertex AI”

iZeno ขอเชิญชวนผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์ “Enhance Your Business Growth with Google Cloud Vertex AI” หรือแพลตฟอร์มที่ช่วยให้การทำงานด้าน AI/ML ด้วยพลังของ Google …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand