เส้นทางสู่ “Cyber Resilience” การประเมินองค์กรด้วย “CRR”(ตอนจบ)
ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 15 พฤษภาคม 2562
องค์กรยุคใหม่ควรมีความตื่นตัวในการนำ Cyber Resilience Review (CRR) มาประเมินตนเอง เพื่อให้ทราบสถานะปัจจุบัน และนำไปพัฒนาแนวทางการสร้างความมั่นคงปลอดภัยไซเบอร์ เพื่อนำองค์กรสู่ “Cyber Resilience” ได้ในที่สุด
บทความตอนที่แล้ว ได้กล่าวถึงแนวคิดและปรัชญาของการบริการจัดการความมั่นคงปลอดภัยไซเบอร์ จาก “Information Security” สู่ “Cyber Resilience” ให้เป็นไปกระแสเปลี่ยนแปลงของ “Threat Landscape” เพื่อให้องค์กรรับมือกับความเสี่ยงที่อยู่บนความไม่แน่นอนได้อย่างทันท่วงที
โดยในบทความนี้จะกล่าวถึงองค์ประกอบที่ได้จากการพัฒนาเพื่อให้การบริหารจัดการความปลอดภัยเป็นไปอย่างมีประสิทธิภาพ
Cyber Resilience Review (CRR) : Self-Assessment Tools for implement NIST Cybersecurity Framework
ทาง US–CERT ร่วมกับ Software Engineering Institute (SEI) แห่งมหาวิทยาลัยคาร์เนกี เมล่อน (CMU) ได้ร่วมกันพัฒนากระบวนการที่จะนำ NIST Cybersecurity Framework ไปใช้ในรูปแบบ Voluntary Program ทั้งหน่วยงานภาครัฐและเอกชน เรียกว่า C3 Voluntary Program
โดยเน้นไปที่กระบวนการ Self-Assessment เพื่อช่วยเหลือให้หน่วยงานต่างๆ สามารถพึ่งพาตนเองได้ด้วยการประเมินตนเองแบบ Self-Assessment โดยใช้เอกสารที่เรียกว่า “Cyber Resilience Review” หรือ CRR (see https://www.us-cert.gov/ccubedvp/assessments)
CRR เปิดให้ดาวน์โหลดฟรี ถูกออกแบบเป็น Non-Technical Assessment ผู้ที่จะนำไปใช้ไม่จำเป็นต้องมีความรู้ลึกซึ้งทางเทคนิคมากนัก เป็นจุดเริ่มต้นในการประเมิน
องค์กรในด้าน “Operational Resilience” ที่ดี โดย CRR ประกอบด้วย 10 หัวข้อ ที่องค์กรจะต้องถูกประเมินในแบบ Self-Assessment หรือประเมินโดย 3rd Party Audit ที่มีความรู้ในระดับ Cybersecurity Professional
CRR ได้ถูกพัฒนาโดยอ้างอิงมาจาก CERT Resilience Management Model (RMM) (see http://www.cert.org/resilience/rmm.html) ซึ่งพัฒนาโดย Software Engineering Institute (SEI) แห่งมหาวิทยาลัย คาร์เนกี เมล่อน (CMU) เช่นกัน
โดยทั้ง 10 หัวข้อ ของ CRR มีรายละเอียด ดังนี้
- Asset Management (AM) การบริหารจัดการทรัพย์สินทั้ง 4 ประเภทขององค์กร ได้แก่ People, Information and Data, Technology และ Facilities ประกอบไปด้วย 7 เป้าหมาย และ 29 แนวปฏิบัติที่ดี
- Controls Management (CM) การบริหารจัดการตัวควบคุมต่างๆ สำหรับ Critical Service ขององค์กร ประกอบไปด้วย 4 เป้าหมายและ 16 แนวปฏิบัติที่ดี
- Configuration and Change Management (CCM) การบริหารจัดการเพื่อให้ทรัพย์สินต่างๆ ที่เป็น Critical Service Asset สามารถรักษา Integrity และมีการบริหารจัดการการเปลี่ยนแปลงของระบบที่ได้มาตรฐาน ประกอบไปด้วย 3 เป้าหมาย และ 23 แนวปฏิบัติที่ดี
- Vulnerability Management (VM) การบริหารจัดการช่องโหว่ของระบบที่เป็น Critical Service ขององค์กร ประกอบไปด้วย 4 เป้าหมาย และ 5 แนวทางปฏิบัติที่ดี
- Incident Management (IM) การบริหารจัดการเหตุการณ์ไม่พึงประสงค์ โดยเน้นไปที่ความสามารถในการตรวจจับสิ่งผิดปกติได้อย่างรวดเร็ว และสามารถตอบสนองต่อผลกระทบจากการถูกโจมตีได้อย่างทันท่วงที ประกอบไปด้วย 5 เป้าหมาย และ 23 แนวทางปฏิบัติที่ดี
- Service Continuity Management (SCM) การบริหารจัดการความต่อเนื่องของระบบในการให้บริการ Critical Service ขององค์กร เพื่อให้แน่ใจได้ว่าระบบจะไม่หยุดชะงักหลังจากถูกโจมตี ประกอบไปด้วย 4 เป้าหมาย และ 15 แนวทางปฏิบัติที่ดี
- Risk Management (RM) การบริหารความเสี่ยงที่จะเกิดกับ Critical Service Asset ซึ่งจะส่งผลกระทบต่อการให้บริการขององค์กร ประกอบด้วย 5 เป้าหมาย และ 13 แนวทางปฏิบัติที่ดี
- External Dependencies Management (EDM) การบริหารจัดการการติดต่อกับหน่วยงานภายนอกองค์กร เช่น Outsourcer ประกอบด้วย 5 เป้าหมาย และ 14 แนวทางปฏิบัติที่ดี
- Training and Awareness (TA) การพัฒนาความรู้ความสามารถบุคลากรขององค์กรในการตอบรับกับการโจมตีรูปแบบต่างๆ ควบคู่กับการให้ความรู้บุคลากรในองค์กรที่มีความเกี่ยวข้องกับ Critical Service ให้เกิดความตระหนักถึงภัยคุกคามทางไซเบอร์ ประกอบด้วย 2 เป้าหมาย และ 11 แนวทางปฏิบัติที่ดี
- Situation Awareness (SA) องค์กรจำเป็นต้องมีระบบในการเฝ้าระวังภัยคุกคามต่างๆ (Threat Monitoring) และต้องมีระบบในการติดต่อสื่อสารแจ้งเตือนภัยคุกคามดังกล่าวได้อย่างทันท่วงที ประกอบด้วย 3 เป้าหมาย และ 8 แนวทางปฏิบัติที่ดี
เอกสาร CRR ยังมีการแมปปิ้งเข้ากับ NIST Cybersecurity Framework เรียกว่า CRR NIST Cybersecurity Framework Crosswalks และยังมีเอกสารสำหรับเป็นแนวทางในการอิมพลีเม้นต์สำหรับ Industry Sector ที่แตกต่างกันอีกด้วย
จะเห็นได้ว่าองค์กรสามารถนำเอกสาร CRR และเอกสารประกอบ CRR โดยดาวน์โหลดได้จาก Web Site US-CERT (https://www.us-cert.gov/ccubedvp/assessments) มาประเมินตนเองในเบื้องต้นเพื่อให้เห็น GAP หรือช่องว่างที่องค์กรยังห่างจากมาตรฐานที่ควรจะเป็น เป็นแนวทางในการนำพาองค์กรไปสู่สภาวะ “Cyber Resilience”
ดังนั้นองค์กรทุกองค์กรโดยเฉพาะองค์กรที่อยู่ใน Critical Infrastructure ควรมีความตื่นตัวในการนำ CRR เข้าไปประเมินตนเองหรือทำงานร่วมกับผู้เชี่ยวชาญในการประเมิน เพื่อที่จะได้ทราบสถานะปัจจุบันขององค์กรและมีแนวทางการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ขององค์กรให้ได้มาตรฐานระดับโลก เพื่อนำพาองค์กรไปสู่สภาวะ “Cyber Resilience” ได้ในที่สุด