เมื่อวานนี้ทีมงาน TechTalkThai ได้ไปร่วมฟังบรรยายเกี่ยวกับมาตรฐานและกรอบการทำงานด้านความมั่นคงปลอดภัยที่กำลังเป็นที่นิยมในประเทศไทยและทั่วโลกในงาน C-Sec 2016 ที่จัดโดย ACinfotec ร่วมกับ Bureau Veritas จึงนำมาแชร์ให้ได้อ่านกันครับ เผื่อองค์กรหรือหน่วยงานที่สนใจจะได้เอาไปเป็นไอเดียในการวางแผน Implement หรือขอใบรับรองครับ
เกริ่นนำเกี่ยวกับงาน C-Sec 2016
C-Sec 2016 เป็นงานสัมมนาด้านความมั่นคงปลอดภัยประจำปีของ ACinfotec บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยชั้นนำของประเทศไทย ซึ่งปีนี้จัดร่วมกับ Bureau Veritas บริษัทผู้เชี่ยวชาญด้านการตรวจสอบและให้การรับรองมาตรฐานต่างๆ ซึ่งหัวข้องานสัมมนาครั้งนี้คือ Plan to Win: Gettting Ahead of Cyber Threats โดยเน้นให้ความรู้ ความเข้าใจเกี่ยวกับมาตรฐานและกรอบการทำงานต่างๆ ที่กำลังเป็นที่นิยมในปัจจุบัน เช่น ISO 27001, NIST Cyber Security Framework และ CSA STAR เป็นต้น เพื่อให้แต่ละองค์กรสามารถนำความรู้ที่ได้ไปต่อยอดเพื่อพัฒนาองค์กรให้มีความมั่นคงปลอดภัยตามมาตรฐานสากลได้

Thailand 4.0 กับมาตรฐานด้านความมั่นคงปลอดภัย
คุณบรรณกิจ ศรีสวย ที่ปรึกษาด้านความมั่นคงปลอดภัยจาก ACinfotec ระบุว่า ประเทศไทยกำลังก้าวเข้าสู่ยุค Thailand 4.0 หรือ Smart Thailand ซึ่งเป็นยุคแห่ง Connectivity กล่าวคือ ทุกอย่างมีการเชื่อมโยงหากันทั้งหมด เพื่อนำมาสร้างเป็นนวัตกรรมใหม่ ให้เกิดมูลค่าและประโยชน์ต่อองค์กรและประเทศชาติ ซึ่งการที่จะเป็น Thailand 4.0 ได้นั้น จำเป็นต้องอาศัย Core Technology หลัก 7 ประการ ได้แก่ Cyber Physical Systems, Cloud Computing, Big Data, System Security, 3D Printing, Augmented Reality และ Humanoid Robots
“คำถามคือ เมื่อถูกอย่างเชื่อมต่อหากันทั้งหมด เราจะประเมินความเสี่ยงและตรวจจับภัยคุกคามบนระบบที่มีความซับซ้อนมากขึ้นได้อย่างไร และจะทำอย่างไรให้ระบบเหล่านั้นมีความมั่นคงปลอดภัย” — คุณบรรณกิจตั้งข้อสงสัย
ในอดีต ขณะที่ระบบ IT ยังเป็นระบบขนาดเล็ก ไม่ใหญ่มาก เพียงแค่ซื้ออุปกรณ์ฮาร์ดแวร์มาติดตั้ง หรือลงซอฟต์แวร์ด้านความมั่นคงปลอดภัย ก็ช่วยปกป้องระบบเครือข่ายและผู้ใช้จากภัยคุกคามได้แล้ว แต่เมื่อระบบมีขนาดใหญ่ขึ้น การบริหารจัดการจึงเป็นสิ่งสำคัญ องค์กรจำเป็นต้องมีการกำหนดนโยบายและมาตรการควบคุมเพื่อให้ระบบสารสนเทศทั้งหมดที่อยู่ภายใต้การกำกับดูแลมีแนวปฏิบัติด้านความมั่นคงปลอดภัยเดียวกัน และเป็นไปตามที่องค์กรกำหนด ซึ่งมาตรฐานด้านความมั่นคงปลอดภัยที่ทั่วโลกนิยมใช้ ได้แก่ ISO (ยุโรป) และ NIST (สหรัฐฯ)
มาตรฐานด้านความมั่นคงปลอดภัยก่อให้เกิดประโยชน์ต่อองค์กรอย่างไร
สิ่งที่เห็นชัดที่สุดเมื่อองค์กร Implement มาตรฐาน คือ กระบวนการด้านความมั่นคงปลอดภัยที่ดียิ่งขึ้น กล่าวคือ แทนที่จะลงทุนด้านความมั่นคงปลอดภัยอย่างไร้จุดหมาย กรณีที่มีการดำเนินงานตามมาตรฐาน เช่น ISO 27001 องค์กรจำเป็นต้องประเมินความเสี่ยง และจัดอันดับความเสี่ยงที่ต้องลงมาตรการควบคุมก่อน สิ่งนี้ช่วยให้องค์กรสามารถโฟกัสกับระบบที่สำคัญ และเลือกใช้โซลูชันได้อย่างถูกต้อง เป็นการนำงบประมาณมาใช้ให้เกิดประโยชน์สูงสุด นอกจากนี้ การมีใบรับรองมาตรฐานยังช่วยเพิ่มความน่าเชื่อถือ และสร้างความไว้วางใจให้แก่ลูกค้าผู้ใช้บริการอีกด้วย
แนะนำมาตรฐานด้านความมั่นคงปลอดภัยที่น่าสนใจสำหรับประเทศไทย
คุณบรรณกิจให้ความเห็นว่า วิวัฒนาการด้านระบบ IT ในประเทศไทยที่เห็นชัดเจนที่สุดในตอนนี้คือ การนำระบบ Cloud เข้ามาใช้งานในองค์กร ไม่ว่าจะเป็นการย้าย Data Center ไปยังระบบ Cloud การใช้ระบบ Cloud เป็น DR Site หรือให้บริการเซอร์วิสผ่านระบบ Cloud เป็นต้น เหล่านี้ ทำให้ข้อมูลของพนักงานและข้อมูลของลูกค้ามีการเคลื่อนย้ายไปยังระบบ Cloud
ดังนั้น มาตรฐานและกรอบการดำเนินงานด้านความมั่นคงปลอดภัยสมัยใหม่ที่ควรพิจารณาถึงตอนนี้ประกอบด้วย
- ISO/IEC 27001:2013 มาตรฐานด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) เรียกได้ว่าเป็นมาตรฐานยอดนิยมขององค์กรในประเทศไทยที่มีการดำเนินงานหรือบริการเกี่ยวกับสารสนเทศ จากสถิติทั่วโลกพบว่าปี 2015 มีองค์กรที่ได้รับการรับรองมาตรฐานดังกล่าวเพิ่มขึ้นจากปี 2014 ถึง 20% รวมเป็น 23,005 แห่ง
- ISO/IEC 27002:2013 ข้อปฏิบัติสำหรับสนับสนุน ISO 27001 ซึ่งระบุแนวทางปฏิบัติที่ดีที่สุด (Best Practice) สำหรับการเริ่มต้น การพัฒนา และการบำรุงรักษา ISMS
- ISO/IEC 20000-1:2011 มาตรฐานด้านการบริหารจัดการการให้บริการ (SMS) ซึ่งเป็นข้อปฏิบัติสำหรับ Service Provider ในการวางแผน เริ่มต้น พัฒนา ดำเนินการ ติดตาม ทบทวน บำรุงรักษา และปรับปรุง SMS อย่างต่อเนื่อง
- ISO 22301:2012 มาตรฐานด้านการบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management Systems) เป็นมาตรฐานที่ช่วยให้แต่ละองค์กรสามารถวางแผนรับมือกับภัยพิบัติรูปแบบต่างๆ ได้อย่างเป็นระบบ โดยเฉพาะอย่างยิ่ง การโจมตีไซเบอร์
- ISO/IEC 27032:2012 ส่วนขยายของ ISO 27001 ซึ่งเน้นโฟกัสที่การธำรงไว้ซึ่ง Confidentiality, Integrity และ Availability ใน Cyberspace หรือก็คือความมั่นคงปลอดภัยของทรัพย์สินในโลกไซเบอร์ เช่น ฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล บริการ รวมไปถึงสิ่งที่จับต้องไม่ได้ (Virtual Assets) เช่น ชื่อเสียง แบรนด์ เป็นต้น
- ISO 31000:2009 มาตรฐานด้านการบริหารจัดการความเสี่ยงระดับองค์กร เป็นแกนหลักสำคัญของทุกมาตรฐาน ISO
- ISO/IEC 27017:2015 ส่วนขยายของ ISO 27001 ที่มีขอบเขตครอบคลุมบริการบนระบบ Cloud โดยมีการขยายความข้อปฏิบัติบน ISO 27002 เช่น สิทธิในการลบข้อมูลบนระบบ Cloud เมื่อเปลี่ยนไปใช้ Cloud Provider เจ้าใหม่ เป็นต้น โดยมาตรฐานนี้ครอบคลุมมาตรการควบคุมสำหรับผู้ให้บริการและผู้ใช้บริการ
- ISO/IEC 27018:2014 เช่นเดียวกับ ISO 27017 มาตรฐานนี้เป็นข้อปฏิบัติสำหรับการปกป้องข้อมูลส่วนบุคคล (PII) บนระบบ Cloud สาธารณะ โดยมีการขยายความเพิ่มเติมจาก ISO 27002 และเพิ่มมาตรการควบคุมจาก ISO 29100 เข้าไป
- CSA STAR มาตรฐานด้านความมั่นคงปลอดภัยในการให้บริการระบบ Cloud โดยผู้ที่ขอใบรับรองจำเป็นต้องได้รับการรับรองมาตรฐาน ISO 27001 เสียก่อน แบ่งออกเป็น 3 ระดับ คือ
- Self-Assessment – Cloud Provider ประเมินตนเองตาม Cloud Control Matrix
- 3rd Party Assessment-based Certification – มี Auditor ภายนอกเป็นผู้ตรวจ ในประเทศไทยมี Cloud Provider ที่ได้รับการรับรองแล้ว 3 ราย
- Continuous Monitoring-based Certification – กำลังพัฒนาอยู่ โดยมีจุดประสงค์เพื่อให้มีความมั่นคงปลอดภัยอย่างต่อเนื่อง
- NIST Cyber Security Framework กรอบการดำเนินด้านความมั่นคงปลอดภัยไซเบอร์ ประกอบด้วย 5 องค์ประกอบหลัก คือ Identity, Protect, Detect, Response, Recovery
ปิดท้ายด้วยรูปทีมงานของ ACinfotec และ Bureau Veritas