Information Security Risk Management เข้าใจความเสี่ยง !

ระบุเป้าหมายเข้าใจระดับของความเสี่ยง

 

At a Glance:

การจัดการความเสี่ยงและความปลอดภัยด้านข้อมูลขององค์กรหรือ Information Security Risk Management (ISRM) คือกระบวนการจัดการความเสี่ยงที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ (IT) เข้ามาเป็นส่วนเกี่ยวข้องในการจัดการและระบุภัยคุกคาม รวมไปถึงการเก็บรักษาและสร้างความปลอดภัยให้พร้อมรับมืออยู่ตลอดเวลาอีกด้วย

อย่างไรก็ตาม “ทรัพย์สินขององค์กร” ไม่ว่าจะเป็นทั้งแบบ Hardware หรือ Software คือเป้าหมายสุดท้ายในการรักษาเอาไว้ให้ได้ดีที่สุด เพื่อเป็นการสร้างความปลอดภัยขั้นสูงการจัดการความเสี่ยงทั้งหมด ระบุเป้าหมายให้ชัดเจน และกำหนดระดับของความเสี่ยงได้ คือทางออกที่ดีที่สุด

 

Stages of ISRM:

 

Identification

 

Identify assets: ข้อมูลที่ถูกเก็บอยู่ขององค์กรภายในระบบเปรียบได้กับ “เพชรที่แสนล้ำค่า” ที่หากเสียหายหรือสูญเสียไปจะต้องส่งผลมากมาย ตัวอย่างเช่น หมายเลขประกันสังคม และระบบทรัพย์สินทางปัญญา หรือจะเป็นข้อมูลด้านการเงินขององค์กร และส่วนอื่นๆที่หากโดนคุกคามไปแล้วอาจจะส่งผลเสียหายให้กับองค์กรได้ในระดับสูงมากเลยทีเดียว

 

Identify vulnerabilities: ระบุให้ได้ว่าตอนนี้ในองค์กรมี “ช่องโหว่” ด้านความปลอดภัยที่ส่วนใดบ้าง โดยเฉพาะในเรื่องของระบบ Software ที่ใช้ในการรักษาความปลอดภัยอยู่ เพื่อสร้างความตื่นตัวในการป้องกันให้ได้มากที่สุด

 

Identify threats: ระบุสาเหตุที่จะทำให้องค์กรของคุณเสียหาย เช่นหากเป็นภัยคุกคามทางกายภาพเช่น คุณสามารถระบุได้ว่าจะมีพายุทอร์นาโดและน้ำท่วมได้เมื่อไร ในทิศทางเดียวกัน การระบุความเสี่ยงที่องค์กรของคุณอาจจะเจอได้ในระบบไอที ไม่ว่าจะเป็น กลุ่มแฮกเกอร์ มัลเวอร์ที่น่าสงสัย หรือจะเป็นกลุ่มอาชญากรรมในระบบต่างๆ

 

Identify controls: ระบุให้ได้ว่า “คุณมีหน้าที่อะไรบ้างในการป้องกันทรัพย์สินขององค์กร” ในส่วนนี้จะหมายถึงการระบุขอบเขตของการป้องกัน ควบคุม แก้ไขช่องโหว่ ที่เกิดขึ้น เพื่อลดและป้องกันภัยที่จะเข้ามาทำลายองค์กรให้ได้โดยอัตโนมัติ ตัวอย่างเช่น “หากคุณระบุความเสี่ยงเกี่ยวกับผู้ใช้ที่สามารถเข้าถึงแอปพลิเคชั่นได้ ว่าผู้ใช้ที่ถูกยกเลิกระบบการเข้าใช้ จะโดนยกเลิกใบอนุญาตในการเข้าถึงข้อมูลทันทีโดยอัตโนมัติ”

 

Assessment

 

สร้างความมั่นใจในกระบวนการ “ประเมินผล” ที่จะแสดงผลของการเตรียมตัว ความรุนแรงของภัยคุกคาม และการจัดการช่องโหว่ที่เกิดขึ้นในองค์กรของคุณ โดยมีสมการดังนี้

 

ความเสี่ยง = (ความเสี่ยง x ความเสี่ยง (ความเป็นไปได้ที่จะเกิดผลกระทบ x ผลประโยชน์) ค่าทรัพย์สิน x) – การควบคุมความปลอดภัย

 

Note: สมการนี้เป็นเพียงการเปรียบเทียบอย่างง่ายในการคำนวณความเสี่ยง และโอกาสที่จะเกิดขึ้น ซึ่งผลลัพธ์จะออกมาได้อย่างชัดเจนเลยทีเดียว

 

Treatment

 

Remediation: เป็นการใช้ระบบควบคุมที่สามารถแก้ไขความเสี่ยงที่เกิดขึ้นได้ ตัวอย่างเช่น “คุณจะสามารถระบุช่องโหว่ที่เกิดขึ้นได้บนเซิร์ฟเวอร์ที่มีการจัดเก็บข้อมูล และแพทซ์ที่คุณใช้อยู่ตอนนี้ เพื่อให้ง่ายต่อการปรับแก้ไขความเสี่ยงได้”

 

Mitigation: ลดโอกาสที่จะเกิด ความเป็นไปได้ของความเสี่ยง และผลกระทบทั้งหมดของความเสี่ยง ตัวอย่างเช่น “เมื่อคุณสามารถระบุช่องโหว่ที่เกิดขึ้นได้ แทนในคุณจะแก้ไขช่องโหว่นี้ คุณสามารถเลือกใช้วิธีการสร้างกฎในไฟร์วอลล์ที่จะอนุญาตเฉพาะบางระบบเท่านั้นที่จะสามารถสื่อสารกับบริการส่วนที่มีช่องโหว่ในเซิร์ฟเวอร์ได้”

 

Transference: การโอนความเสี่ยงทั้งหมดไปให้ส่วนอื่นดูแลแทนองค์กรของคุณ ซึ่งคุณเองก็จะสามารถกู้ความเสียหายทั้งหมดได้จากการชดเชย ตัวอย่างเช่น “การซื้อที่คุณเลือกซื้อประกันความเสี่ยงไว้ ซึ่งเมื่อเกิดความเสียหาย คุณเองก็จะได้รับการชดเชย”

 

Risk acceptance: ในบางครั้งช่องโหว่ที่เกิดขึ้นอาจจะไม่สามารถระบุได้ว่าส่งผลต่อความเสียหายขององค์กรคุณได้อย่างไร ในกรณีนี้หากมัวหาวิธีจัดการช่องโหว่นั้นก็เหมือนการเสียค่าใช้จ่ายไปโดยไม่รู้สาเหตุ ตัวอย่างเช่น “หากตรวจพบช่องโหว่ที่ไม่สามารถระบุได้ว่าจะส่งภัยคุกคามให้ข้อมูลของคุณในส่วนใน คุณควรจะตัดสินใจไม่จำเป็นจะต้องไปเสียเวลาและทรัพยากรในการแก้ไขช่องโหว่นั้นจะดีกว่า”

 

Risk avoidance: กำจัดความเสี่ยงทั้งหมดที่เกิดขึ้น ตัวอย่างเช่น “เมื่อคุณใช้ระบบปฏิบัตการที่ตรวจพบว่าไม่ได้รับความปลอดภัยจากแพทซ์ความปลอดภัยจากผู้สร้างระบบปฏิบัติการอีกต่อไป วิธีการจัดการที่ง่ายและปลอดภัยที่สุดก็คือการโยกย้ายข้อมูลไปยังระบบปฏิบัติการใหม่ที่ปลอดภัยกว่า โดยที่คุณไม่ต้องเสียเวลาในการหาช่องโหว่ หรือแก้ไขส่วนใดอีก”

 

Communication

 

ไม่ว่าผลของความเสี่ยงจะเป็นเช่นไร การตัดสินใจในการสื่อสารที่ถูกต้องและครบถ้วนจะต้องส่งถึงผู้มีส่วนได้ส่วนเสียขององค์กรทุกคน เพื่อให้เข้าใจถึงสถานการณ์ที่เกิดขึ้น ต้นทุนที่จะเกิดขึ้น และการเชื่อมโยงกับบุคลากรคนอื่นๆอีกด้วย

 

Rinse and Repeat

 

                กระบวนการสร้างความปลอดภัยนี้เป็นกระบวนการในรูปแบบ “ต่อเนื่อง” ที่คุณจะต้องเฝ้าติดตามแพทซ์ใหม่ให้ปลอดภัยอยู่ตลอดเวลา เพื่ออุดช่องโหว่ในระบบ ซึ่งหากปล่อยละเลยเพียงแค่เดือน หรือสองเดือน ก็อาจจะเกิดปัญหากับองค์กรคุณได้ไม่น้อยเลยทีเดียว

 

Ownership:

มีผู้ที่มีส่วนได้ส่วนเสียกับ ISRM มากมาย ซึ่งแต่ละคนก็จะมีบทบาทที่แตกต่างกันออกไป ซึ่งแน่นอนว่าการกำหนดบทบาทต่างๆ ในกระบวนการนี้หมายถึงการเชื่อมโยงความรับผิดที่จะทำให้กระบวนการความปลอดภัยเกิดขึ้นอย่างราบรื่น

 

Process Owners: ในองค์กรใหญ่ๆ อาจจะมีทีมสำหรับงานเงินและการตรวจสอบโครงการ Enterprise Risk Management (ERM) และในขณะที่ทีมรักษาความปลอดภัยของข้อมูลจะทำหน้าที่เป็นเจ้าของโปรแกรม ISRM ควบคุมการดำเนินงานด้านกระบวนการความปลอดภัย

 

Risk Owners: ความเสี่ยงส่วนบุคคลที่เกิดขึ้น คือความเสี่ยงชองสมาชิกในองค์กรเองที่ใช้งบประมาณในการจัดการปัญหาโดยตรง กล่าวคือ “เจ้าของความเสี่ยงที่เกิดขึ้นจะต้องรับผิดชอบจัดการปัญหาและค่าใช้จ่ายด้วยตัวเอง” และนอกจากนี้ยังรวมไปถึงผู้มีส่วนเกี่ยวข้องกับระบบที่เสียหายอีกด้วย เช่น วิศวกรผู้ดูแลระบบ เป็นต้น

               

“Managing risk is an ongoing task. การจัดการความเสี่ยงคือกระบวนการที่จะต้องเกิดขึ้นอย่างต่อเนื่อง และความสำเร็จของโครงการเหล่านี้ก็จะต้องขึ้นอยู่กับ ความสามารถในการจัดการความเสี่ยง บทบาทและการประสานกันของแต่บุคลากรแต่ละฝ่าย และเทคโนโลยีที่สำคัญ ทั้งหมดนี้จะสามารถสร้างรากฐานที่มั่นคงสำหรับกลยุทธ์และโปรแกรมการบริหารความเสี่ยงในองค์กรของคุณ และสามารถพัฒนาต่อไปได้ตลอดเวลา”