เส้นทางสู่ “Cyber Resilience” การประเมินองค์กรด้วย “CRR"(จบ)
บทความตอนที่แล้ว ได้กล่าวถึง แนวคิดและปรัชญาของการบริการจัดการความมั่นคงปลอดภัยไซเบอร์ จาก“Information Security” สู่ “Cyber Resilience”
ให้เป็นไปกระแสเปลี่ยนแปลงของ “Threat Landscape” เพื่อให้องค์กรรับมือกับความเสี่ยงที่อยู่บนความไม่แน่นอนได้อย่างทันท่วงที โดยในบทความนี้จะกล่าวถึงองค์ประกอบที่ได้จากการพัฒนาเพื่อให้การบริหารจัดการความปลอดภัยเป็นไปอย่างมีประสิทธิภาพ
CYber Resilience Review(CRR)
Self-Assessment Tools for implement NIST Cybersecurity Framework
ทาง US–CERT ร่วมกับ Software Engineering Institute (SEI) แห่งมหาวิทยาลัย คาร์เนกี เมล่อน (CMU) ได้ร่วมกันพัฒนากระบวนการที่จะนา NIST Cybersecurity Framework ไปใช้ในรูปแบบ Voluntary Program ทั้งหน่วยงานภาครัฐและเอกชน เรียกว่า C3 Voluntary Program โดยเน้นไปที่กระบวนการ Self-Assessment เพื่อช่วยเหลือให้หน่วยงานต่างๆ สามารถพึ่งพาตนเองได้ด้วยการประเมินตนเองแบบ Self-Assessment โดยใช้เอกสารที่เรียกว่า“Cyber Resilience Review” หรือ CRR( see https://www.us-cert.gov/ccubedvp/assessments) ซึ่ง CRR นั้นเปิดให้ดาวน์โหลดฟรี ถูกออกแบบเป็น Non-Technical assessment ผู้ที่จะนาไปใช้ไม่จาเป็นต้องมีความรู้ลึกซึ้งทางเทคนิคมากนัก เป็นจุดเริ่มต้นในการประเมิน
องค์กรในด้าน “Operational Resilience” ที่ดี โดย CRR ประกอบด้วย 10 หัวข้อ ที่องค์กรจะต้องถูกประเมินในแบบ Self-Assessment หรือ ประเมินโดย 3rd Party Audit ที่มีความรู้ในระดับ Cybersecurity Professional
CRR ได้ถูกพัฒนาโดยอ้างอิงมาจาก CERT Resilience Management Model (RMM) (see http://www.cert.org/resilience/rmm.html ) ซึ่งพัฒนาโดย Software Engineering Institute (SEI) แห่งมหาวิทยาลัย คาร์เนกี เมล่อน (CMU) เช่นกัน
โดยทั้ง 10 หัวข้อ ของ CRR มีรายละเอียดดังนี้
- Asset Management (AM )การบริหารจัดการทรัพย์สินทั้ง 4 ประเภทขององค์กร ได้แก่ People, Information and Data, Technology และ Facilities ประกอบไปด้วย 7 เป้าหมาย และ 29 แนวปฏิบัติที่ดี
- Controls Management (CM )การบริหารจัดการตัวควบคุมต่างๆ สาหรับ Critical Service ขององค์กร ประกอบไปด้วย 4 เป้าหมายและ 16 แนวปฏิบัติที่ดี
- Configuration and Change Management (CCM )การบริหารจัดการเพื่อให้ทรัพย์สินต่างๆที่เป็น Critical Service Asset สามารถรักษา Integrity และมีการบริหารจัดการการเปลี่ยนแปลงของระบบที่ได้มาตรฐาน ประกอบไปด้วย 3 เป้าหมาย และ 23 แนวปฏิบัติที่ดี
- Vulnerability Management (VM )การบริหารจัดการช่องโหว่ของระบบที่เป็น Critical Service ขององค์กร ประกอบไปด้วย 4 เป้าหมาย และ 5 แนวทางปฏิบัติที่ดี
- Incident Management (IM)การบริหารจัดการเหตุการณ์ไม่พึงประสงค์ โดยเน้นไปที่ความสามารถในการตรวจจับสิ่งผิดปกติได้อย่างรวดเร็ว และสามารถตอบสนองต่อผลกระทบจากการถูกโจมตีได้อย่างทันท่วงที ประกอบไปด้วย 5 เป้าหมาย และ 23 แนวทางปฏิบัติที่ดี
- Service Continuity Management (SCM)การบริหารจัดการความต่อเนื่องของระบบในการให้บริการ Critical Service ขององค์กร เพื่อให้แน่ใจได้ว่าระบบจะไม่หยุดชะงักหลังจากถูกโจมตี ประกอบไปด้วย 4 เป้าหมาย และ 15 แนวทางปฏิบัติที่ดี
- Risk Management (RM)การบริหารความเสี่ยงที่จะเกิดกับ Critical Service Asset ซึ่งจะส่งผลกระทบต่อการให้บริการขององค์กร ประกอบด้วย 5 เป้าหมาย และ 13 แนวทาวปฏิบัติที่ดี
- External Dependencies Management (EDM)การบริหารจัดการการติดต่อกับหน่วยงานภายนอกองค์กร เช่น Outsourcer ประกอบด้วย 5 เป้าหมาย และ 14 แนวทางปฏิบัติที่ดี
- Training and Awareness (TA)การพัฒนาความรู้ความสามารถบุคลากรขององค์กรในการตอบรับกับการโจมตีรูปแบบต่างๆ ควบคู่กับการให้ความรู้บุคลากรในองค์กรที่มีความเกี่ยวข้องกับ Critical Service ให้เกิดความตระหนักถึงภัยคุกคามทางไซเบอร์ ประกอบด้วย 2 เป้าหมาย และ 11 แนวทางปฏิบัติที่ดี
- Situation Awareness (SA)องค์กรจาเป็นต้องมีระบบในการเฝ้าระวังภัยคุกคามต่างๆ (Threat Monitoring) และต้องมีระบบในการติดต่อสื่อสารแจ้งเตือนภัยคุกคามดังกล่าวได้อย่างทันท่วงที ประกอบด้วย 3 เป้าหมาย และ 8 แนวทางปฏิบัติที่ดี
เอกสารCRR ยังมีการ Mapping เข้ากับ NIST Cybersecurity Framework เรียกว่า CRR NIST Cybersecurity Framework Crosswalksและ ยังมีเอกสารสาหรับเป็นแนวทางในการ Implement สาหรับ Industry Sector ที่แตกต่างกันอีกด้วย
จะเห็นได้ว่าองค์กรสามารถนาเอกสาร CRR และเอกสารประกอบ CRR โดยดาวน์โหลดได้จาก Web Site US-CERT (https://www.us-cert.gov/ccubedvp/assessments) มาประเมินตนเองในเบื้องต้นเพื่อให้เห็น GAP หรือ ช่องว่าง ที่องค์กรยังห่างจากมาตรฐานที่ควรจะเป็น เป็นแนวทางในการนาพาองค์กรไปสู่ สภาวะ “Cyber Resilience”
ดังนั้นองค์กรทุกองค์กรโดยเฉพาะองค์กรที่อยู่ใน Critical Infrastructure ควรมีความตื่นตัวในการนำ CRRเข้าไปประเมินตนเองหรือทางานร่วมกับผู้เชี่ยวชาญในการประเมินเพื่อที่จะได้ทราบสถานะปัจจุบันขององค์กรและมีแนวทางการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ขององค์กรให้ได้มาตรฐานระดับโลกเพื่อนาพาองค์กรไปสู่สภาวะ“Cyber Resilience”ได้ในที่สุด