Standard และ Framework ที่น่าสนใจในยุค Thailand 4.0 โดย ACinfotec

acinfotec_logo_white

เมื่อวานนี้ทีมงาน TechTalkThai ได้ไปร่วมฟังบรรยายเกี่ยวกับมาตรฐานและกรอบการทำงานด้านความมั่นคงปลอดภัยที่กำลังเป็นที่นิยมในประเทศไทยและทั่วโลกในงาน C-Sec 2016 ที่จัดโดย ACinfotec ร่วมกับ Bureau Veritas จึงนำมาแชร์ให้ได้อ่านกันครับ เผื่อองค์กรหรือหน่วยงานที่สนใจจะได้เอาไปเป็นไอเดียในการวางแผน Implement หรือขอใบรับรองครับ

เกริ่นนำเกี่ยวกับงาน C-Sec 2016

C-Sec 2016 เป็นงานสัมมนาด้านความมั่นคงปลอดภัยประจำปีของ ACinfotec บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยชั้นนำของประเทศไทย ซึ่งปีนี้จัดร่วมกับ Bureau Veritas บริษัทผู้เชี่ยวชาญด้านการตรวจสอบและให้การรับรองมาตรฐานต่างๆ ซึ่งหัวข้องานสัมมนาครั้งนี้คือ Plan to Win: Gettting Ahead of Cyber Threats โดยเน้นให้ความรู้ ความเข้าใจเกี่ยวกับมาตรฐานและกรอบการทำงานต่างๆ ที่กำลังเป็นที่นิยมในปัจจุบัน เช่น ISO 27001, NIST Cyber Security Framework และ CSA STAR เป็นต้น เพื่อให้แต่ละองค์กรสามารถนำความรู้ที่ได้ไปต่อยอดเพื่อพัฒนาองค์กรให้มีความมั่นคงปลอดภัยตามมาตรฐานสากลได้

acinfotec_c-sec_2016_1
คุณบรรณกิจ ศรีสวย และคุณชัชภณ คุณาฉัตราธร ที่ปรึกษาด้านความมั่นคงปลอดภัยของ ACinfotec เริ่มบรรยาย

Thailand 4.0 กับมาตรฐานด้านความมั่นคงปลอดภัย

คุณบรรณกิจ ศรีสวย ที่ปรึกษาด้านความมั่นคงปลอดภัยจาก ACinfotec ระบุว่า ประเทศไทยกำลังก้าวเข้าสู่ยุค Thailand 4.0 หรือ Smart Thailand ซึ่งเป็นยุคแห่ง Connectivity กล่าวคือ ทุกอย่างมีการเชื่อมโยงหากันทั้งหมด เพื่อนำมาสร้างเป็นนวัตกรรมใหม่ ให้เกิดมูลค่าและประโยชน์ต่อองค์กรและประเทศชาติ ซึ่งการที่จะเป็น Thailand 4.0 ได้นั้น จำเป็นต้องอาศัย Core Technology หลัก 7 ประการ ได้แก่ Cyber Physical Systems, Cloud Computing, Big Data, System Security, 3D Printing, Augmented Reality และ Humanoid Robots

“คำถามคือ เมื่อถูกอย่างเชื่อมต่อหากันทั้งหมด เราจะประเมินความเสี่ยงและตรวจจับภัยคุกคามบนระบบที่มีความซับซ้อนมากขึ้นได้อย่างไร และจะทำอย่างไรให้ระบบเหล่านั้นมีความมั่นคงปลอดภัย” — คุณบรรณกิจตั้งข้อสงสัย

ในอดีต ขณะที่ระบบ IT ยังเป็นระบบขนาดเล็ก ไม่ใหญ่มาก เพียงแค่ซื้ออุปกรณ์ฮาร์ดแวร์มาติดตั้ง หรือลงซอฟต์แวร์ด้านความมั่นคงปลอดภัย ก็ช่วยปกป้องระบบเครือข่ายและผู้ใช้จากภัยคุกคามได้แล้ว แต่เมื่อระบบมีขนาดใหญ่ขึ้น การบริหารจัดการจึงเป็นสิ่งสำคัญ องค์กรจำเป็นต้องมีการกำหนดนโยบายและมาตรการควบคุมเพื่อให้ระบบสารสนเทศทั้งหมดที่อยู่ภายใต้การกำกับดูแลมีแนวปฏิบัติด้านความมั่นคงปลอดภัยเดียวกัน และเป็นไปตามที่องค์กรกำหนด ซึ่งมาตรฐานด้านความมั่นคงปลอดภัยที่ทั่วโลกนิยมใช้ ได้แก่ ISO (ยุโรป) และ NIST (สหรัฐฯ)

thailand_4-0_2

มาตรฐานด้านความมั่นคงปลอดภัยก่อให้เกิดประโยชน์ต่อองค์กรอย่างไร

สิ่งที่เห็นชัดที่สุดเมื่อองค์กร Implement มาตรฐาน คือ กระบวนการด้านความมั่นคงปลอดภัยที่ดียิ่งขึ้น กล่าวคือ แทนที่จะลงทุนด้านความมั่นคงปลอดภัยอย่างไร้จุดหมาย กรณีที่มีการดำเนินงานตามมาตรฐาน เช่น ISO 27001 องค์กรจำเป็นต้องประเมินความเสี่ยง และจัดอันดับความเสี่ยงที่ต้องลงมาตรการควบคุมก่อน สิ่งนี้ช่วยให้องค์กรสามารถโฟกัสกับระบบที่สำคัญ และเลือกใช้โซลูชันได้อย่างถูกต้อง เป็นการนำงบประมาณมาใช้ให้เกิดประโยชน์สูงสุด นอกจากนี้ การมีใบรับรองมาตรฐานยังช่วยเพิ่มความน่าเชื่อถือ และสร้างความไว้วางใจให้แก่ลูกค้าผู้ใช้บริการอีกด้วย

แนะนำมาตรฐานด้านความมั่นคงปลอดภัยที่น่าสนใจสำหรับประเทศไทย

คุณบรรณกิจให้ความเห็นว่า วิวัฒนาการด้านระบบ IT ในประเทศไทยที่เห็นชัดเจนที่สุดในตอนนี้คือ การนำระบบ Cloud เข้ามาใช้งานในองค์กร ไม่ว่าจะเป็นการย้าย Data Center ไปยังระบบ Cloud การใช้ระบบ Cloud เป็น DR Site หรือให้บริการเซอร์วิสผ่านระบบ Cloud เป็นต้น เหล่านี้ ทำให้ข้อมูลของพนักงานและข้อมูลของลูกค้ามีการเคลื่อนย้ายไปยังระบบ Cloud

ดังนั้น มาตรฐานและกรอบการดำเนินงานด้านความมั่นคงปลอดภัยสมัยใหม่ที่ควรพิจารณาถึงตอนนี้ประกอบด้วย

  • ISO/IEC 27001:2013 มาตรฐานด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) เรียกได้ว่าเป็นมาตรฐานยอดนิยมขององค์กรในประเทศไทยที่มีการดำเนินงานหรือบริการเกี่ยวกับสารสนเทศ จากสถิติทั่วโลกพบว่าปี 2015 มีองค์กรที่ได้รับการรับรองมาตรฐานดังกล่าวเพิ่มขึ้นจากปี 2014 ถึง 20% รวมเป็น 23,005 แห่ง
  • ISO/IEC 27002:2013 ข้อปฏิบัติสำหรับสนับสนุน ISO 27001 ซึ่งระบุแนวทางปฏิบัติที่ดีที่สุด (Best Practice) สำหรับการเริ่มต้น การพัฒนา และการบำรุงรักษา ISMS
  • ISO/IEC 20000-1:2011 มาตรฐานด้านการบริหารจัดการการให้บริการ (SMS) ซึ่งเป็นข้อปฏิบัติสำหรับ Service Provider ในการวางแผน เริ่มต้น พัฒนา ดำเนินการ ติดตาม ทบทวน บำรุงรักษา และปรับปรุง SMS อย่างต่อเนื่อง
  • ISO 22301:2012 มาตรฐานด้านการบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management Systems) เป็นมาตรฐานที่ช่วยให้แต่ละองค์กรสามารถวางแผนรับมือกับภัยพิบัติรูปแบบต่างๆ ได้อย่างเป็นระบบ โดยเฉพาะอย่างยิ่ง การโจมตีไซเบอร์
  • ISO/IEC 27032:2012 ส่วนขยายของ ISO 27001 ซึ่งเน้นโฟกัสที่การธำรงไว้ซึ่ง Confidentiality, Integrity และ Availability ใน Cyberspace หรือก็คือความมั่นคงปลอดภัยของทรัพย์สินในโลกไซเบอร์ เช่น ฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล บริการ รวมไปถึงสิ่งที่จับต้องไม่ได้ (Virtual Assets) เช่น ชื่อเสียง แบรนด์ เป็นต้น
  • ISO 31000:2009 มาตรฐานด้านการบริหารจัดการความเสี่ยงระดับองค์กร เป็นแกนหลักสำคัญของทุกมาตรฐาน ISO
  • ISO/IEC 27017:2015 ส่วนขยายของ ISO 27001 ที่มีขอบเขตครอบคลุมบริการบนระบบ Cloud โดยมีการขยายความข้อปฏิบัติบน ISO 27002 เช่น สิทธิในการลบข้อมูลบนระบบ Cloud เมื่อเปลี่ยนไปใช้ Cloud Provider เจ้าใหม่ เป็นต้น โดยมาตรฐานนี้ครอบคลุมมาตรการควบคุมสำหรับผู้ให้บริการและผู้ใช้บริการ
  • ISO/IEC 27018:2014 เช่นเดียวกับ ISO 27017 มาตรฐานนี้เป็นข้อปฏิบัติสำหรับการปกป้องข้อมูลส่วนบุคคล (PII) บนระบบ Cloud สาธารณะ โดยมีการขยายความเพิ่มเติมจาก ISO 27002 และเพิ่มมาตรการควบคุมจาก ISO 29100 เข้าไป
  • CSA STAR มาตรฐานด้านความมั่นคงปลอดภัยในการให้บริการระบบ Cloud โดยผู้ที่ขอใบรับรองจำเป็นต้องได้รับการรับรองมาตรฐาน ISO 27001 เสียก่อน แบ่งออกเป็น 3 ระดับ คือ
    1. Self-Assessment – Cloud Provider ประเมินตนเองตาม Cloud Control Matrix
    2. 3rd Party Assessment-based Certification – มี Auditor ภายนอกเป็นผู้ตรวจ ในประเทศไทยมี Cloud Provider ที่ได้รับการรับรองแล้ว 3 ราย
    3. Continuous Monitoring-based Certification – กำลังพัฒนาอยู่ โดยมีจุดประสงค์เพื่อให้มีความมั่นคงปลอดภัยอย่างต่อเนื่อง

csa_star_level_2

  • NIST Cyber Security Framework กรอบการดำเนินด้านความมั่นคงปลอดภัยไซเบอร์ ประกอบด้วย 5 องค์ประกอบหลัก คือ Identity, Protect, Detect, Response, Recovery

nist_cybersecurity_framework

ปิดท้ายด้วยรูปทีมงานของ ACinfotec และ Bureau Veritas

acinfotec_c-sec_2016_2

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ฟรี eBook: Securing Cloud Applicaions & Services โดย Symantec Blue Coat

Symantec Blue Coat ผู้ให้บริการโซลูชัน Web & Cloud Security ชื่อดัง เปิดให้ดาวน์โหลด eBook เรื่อง Securing Cloud Applicaions …

แนะนำ One Stop ICT Service บริการโซลูชัน IT ครบวงจรจาก CS LOXINFO

พร้อมเสนอแนวคิด 3 ต่อ – “ต่อเชื่อม ต่อเนื่อง และต่อยอด” เพื่อลดความเหลื่อมล้ำในยุค Digital ประเทศไทยกำลังเดินหน้าเข้าสู่ยุค Thailand 4.0 หรือ Smart Thailand …