งานบริหารความเสี่ยงไซเบอร์ สำหรับผู้บริหารระดับสูง(1)
ถึงวันนี้คงไม่มีใครปฏิเสธว่าภัยไซเบอร์ หรือปัญหาเรื่อง Cybersecurity Threats เป็นเรื่องไกลตัวอีกต่อไป
เนื่องจากโลกกำลังเปลี่ยนแปลงเข้าสู่ยุคแห่งเศรษฐกิจสังคมดิจิทัลอย่างเต็มรูปแบบ ปัญหาต่างๆเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล และ การบริหารจัดการความเสี่ยงในระดับองค์กร (Enterprise Risk Management) จึงจำเป็นต้องคำนึงถึง เรื่องภัยไซเบอร์ หรือ Cybersecurity Threats ซึ่งในปัจจุบันความเสี่ยงที่สูงสุดขององค์กรคือ ความเสี่ยงในเรื่องภาพลักษณ์และชื่อเสียงขององค์กร และผู้บริหารระดับสูง ตลอดจน Brand ของสินค้าและบริการที่องค์กรได้สั่งสมมาเป็นเวลาหลายปี ความเสี่ยงในลักษณะนี้เราเรียกว่า Reputational Risk ซึ่งมีผลกระทบสูงต่อองค์กร ดังนั้นผู้บริหารระดับสูงและกรรมการบริหารองค์กรจำเป็นต้องให้ความสนใจ และให้ความสำคัญกับการป้องกันและปกป้องชื่อเสียงขององค์กร โดยเฉพาะการเสื่อมเสียชื่อเสียงใน Social Media ตลอดจนการรั่วไหลของข้อมูลของลูกค้า (Data Leak) หรือข้อมูลลับขององค์กรในช่องทางต่างๆ ไม่ว่าจะเป็น Shadow Data / Shadow IT การมาถึงของยุคแห่ง Cloud Computing ซึ่งปัญหาต่างๆอาจเกิดจากแฮกเกอร์ภายนอกองค์กร หรืออาจเกิดจากพนักงานในองค์กร (Insider Threats) ก็มีความเป็นไปได้ทั้งสิ้น
ภัยไซเบอร์ไม่ใช่เรื่องเทคนิคเพียงอย่างเดียว
ผู้บริหารระดับสูงหลายท่านยังคงเข้าใจว่าภัยไซเบอร์เป็นปัญหาทางด้านเทคนิคเพียงอย่างเดียว เป็นปัญหาของฝ่ายไอที เป็นเรื่องของฝ่ายรักษาความมั่นคงปลอดภัย แต่แท้ที่จริงแล้วภัยไซเบอร์เป็นเรื่องที่ท่านผู้บริหาระดับสูงส่วนใหญ่ที่ไม่ใช่คนไอที (Non-IT) จำเป็นต้องรับรู้และเป็นผู้ที่ต้องรับผิดชอบในความเสียหายที่อาจเกิดขึ้น ความเสี่ยงอันดับต้นๆของทุกองค์กรในวันนี้คงไม่พ้นเรื่องความเสี่ยงจากการเสื่อมเสียชื่อเสียง หรือ Reputational Risk ดังที่กล่าวมาแล้ว ดังนั้นการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ หรือ IT Risk Management จำเป็นต้องมีการปรับปรุงวิธีการ กระบวนการตลอดจนแนวคิดเสียใหม่ โดยการยกระดับไปสู่การเชื่อมโยงและบูรณาการไปยัง Information Security Risk Management and Enterprise Risk Management ในที่สุด
รูปที่ 1 : มาตรฐาน ISO 31000:2018 – Risk Management -- Guidelines
รูปที่ 2 : ISO Guide 73 : 2009 - Risk Management -- Vocabulary
แนวทางและกระบวนการในการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์สมัยใหม่
แนวทางและกระบวนการในการบริหารความเสี่ยงในระดับองค์กรนั้นกำลังมีการเปลี่ยนแปลงไปอย่างมีนัยยะ ในปัจจุบันจากการที่องค์กรนิยมใช้ COSO ERM Best Practice กำลังเปลี่ยนมาใช้มาตรฐาน ISO 31000:2018 – Risk Management -- Guidelines และ ISO Guide 73 : 2009 - Risk Management -- Vocabulary (ดูรูปที่ 1 และ รูปที่ 2) มาประยุกต์ใช้ในการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk) โดยนำมาใช้ในการประเมินความเสี่ยง ในกระบวนการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 ซึ่งปกติแล้วนิยมนำมาตรฐาน ISO/IEC27005:2018 Information technology -- Security techniques -- Information security risk management มาใช้ในการประเมินความเสี่ยง ทางด้านเทคโนโลยีสารสนเทศ
New Approach to Enterprise Risk Management – “Scenario- based Risk Management”, “Incident Response” and “Cyber Drill Exercises”
ในปัจจุบันมาตรฐาน ISO/IEC 27001:2013 ได้เปิดให้เราสามารถนำ ISO 31000:2018 มาใช้แทน ISO/IEC 27005:2018 ในการประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศขององค์กรยุคใหม่ โดยเราไม่จำเป็นต้องนำ Asset มานั่งลิสต์หา Threat และ Vulnerability ในแบบเดิมอีกต่อไป แต่เราสามารถใช้วิธีที่เรียกว่า “Brewer-List Approach” ในการประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ โดยไม่จำเป็นต้องอ้างถึง Assets, Threats and Vulnerability อีกต่อไป ซึ่งในขณะนี้ทาง ISACA ได้ออกเอกสารอ้างอิงที่ง่ายต่อการจัดการบริหารความเสี่ยงในแนวใหม่ ที่เป็นไปตามแนวทางของ ISO 31000:2018 ได้แก่ COBIT 5 for Risk และ ISACA Risk Scenarios (ดูรูปที่ 3)
[โปรดติดตาม บทความตอนจบ ฉบับวันที่ 3 เม.ย.2562]