Cyber Resilience

เส้นทางสู่ “Cyber Resilience” การประเมินองค์กรด้วย “CRR”(ตอนจบ)

February 21, 2022March 2, 2022

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 15 พฤษภาคม 2562

องค์กรยุคใหม่ควรมีความตื่นตัวในการนำ Cyber Resilience Review (CRR) มาประเมินตนเอง เพื่อให้ทราบสถานะปัจจุบัน และนำไปพัฒนาแนวทางการสร้างความมั่นคงปลอดภัยไซเบอร์ เพื่อนำองค์กรสู่ “Cyber Resilience” ได้ในที่สุด

บทความตอนที่แล้ว ได้กล่าวถึงแนวคิดและปรัชญาของการบริการจัดการความมั่นคงปลอดภัยไซเบอร์ จาก “Information Security” สู่ “Cyber Resilience” ให้เป็นไปกระแสเปลี่ยนแปลงของ “Threat Landscape” เพื่อให้องค์กรรับมือกับความเสี่ยงที่อยู่บนความไม่แน่นอนได้อย่างทันท่วงที

โดยในบทความนี้จะกล่าวถึงองค์ประกอบที่ได้จากการพัฒนาเพื่อให้การบริหารจัดการความปลอดภัยเป็นไปอย่างมีประสิทธิภาพ

Cyber Resilience Review (CRR) : Self-Assessment Tools for implement NIST Cybersecurity Framework

ทาง US–CERT ร่วมกับ Software Engineering Institute (SEI) แห่งมหาวิทยาลัยคาร์เนกี เมล่อน (CMU) ได้ร่วมกันพัฒนากระบวนการที่จะนำ NIST Cybersecurity Framework ไปใช้ในรูปแบบ Voluntary Program ทั้งหน่วยงานภาครัฐและเอกชน เรียกว่า C3 Voluntary Program

โดยเน้นไปที่กระบวนการ Self-Assessment เพื่อช่วยเหลือให้หน่วยงานต่างๆ สามารถพึ่งพาตนเองได้ด้วยการประเมินตนเองแบบ Self-Assessment โดยใช้เอกสารที่เรียกว่า “Cyber Resilience Review” หรือ CRR (see https://www.us-cert.gov/ccubedvp/assessments)

CRR เปิดให้ดาวน์โหลดฟรี ถูกออกแบบเป็น Non-Technical Assessment ผู้ที่จะนำไปใช้ไม่จำเป็นต้องมีความรู้ลึกซึ้งทางเทคนิคมากนัก เป็นจุดเริ่มต้นในการประเมิน

องค์กรในด้าน “Operational Resilience” ที่ดี โดย CRR ประกอบด้วย 10 หัวข้อ ที่องค์กรจะต้องถูกประเมินในแบบ Self-Assessment หรือประเมินโดย 3rd Party Audit ที่มีความรู้ในระดับ Cybersecurity Professional

CRR ได้ถูกพัฒนาโดยอ้างอิงมาจาก CERT Resilience Management Model (RMM) (see http://www.cert.org/resilience/rmm.html) ซึ่งพัฒนาโดย Software Engineering Institute (SEI) แห่งมหาวิทยาลัย คาร์เนกี เมล่อน (CMU) เช่นกัน

โดยทั้ง 10 หัวข้อ ของ CRR มีรายละเอียด ดังนี้

Asset Management (AM) การบริหารจัดการทรัพย์สินทั้ง 4 ประเภทขององค์กร ได้แก่ People, Information and Data, Technology และ Facilities ประกอบไปด้วย 7 เป้าหมาย และ 29 แนวปฏิบัติที่ดี
Controls Management (CM) การบริหารจัดการตัวควบคุมต่างๆ สำหรับ Critical Service ขององค์กร ประกอบไปด้วย 4 เป้าหมายและ 16 แนวปฏิบัติที่ดี
Configuration and Change Management (CCM) การบริหารจัดการเพื่อให้ทรัพย์สินต่างๆ ที่เป็น Critical Service Asset สามารถรักษา Integrity และมีการบริหารจัดการการเปลี่ยนแปลงของระบบที่ได้มาตรฐาน ประกอบไปด้วย 3 เป้าหมาย และ 23 แนวปฏิบัติที่ดี
Vulnerability Management (VM) การบริหารจัดการช่องโหว่ของระบบที่เป็น Critical Service ขององค์กร ประกอบไปด้วย 4 เป้าหมาย และ 5 แนวทางปฏิบัติที่ดี
Incident Management (IM) การบริหารจัดการเหตุการณ์ไม่พึงประสงค์ โดยเน้นไปที่ความสามารถในการตรวจจับสิ่งผิดปกติได้อย่างรวดเร็ว และสามารถตอบสนองต่อผลกระทบจากการถูกโจมตีได้อย่างทันท่วงที ประกอบไปด้วย 5 เป้าหมาย และ 23 แนวทางปฏิบัติที่ดี
Service Continuity Management (SCM) การบริหารจัดการความต่อเนื่องของระบบในการให้บริการ Critical Service ขององค์กร เพื่อให้แน่ใจได้ว่าระบบจะไม่หยุดชะงักหลังจากถูกโจมตี ประกอบไปด้วย 4 เป้าหมาย และ 15 แนวทางปฏิบัติที่ดี
Risk Management (RM) การบริหารความเสี่ยงที่จะเกิดกับ Critical Service Asset ซึ่งจะส่งผลกระทบต่อการให้บริการขององค์กร ประกอบด้วย 5 เป้าหมาย และ 13 แนวทางปฏิบัติที่ดี
External Dependencies Management (EDM) การบริหารจัดการการติดต่อกับหน่วยงานภายนอกองค์กร เช่น Outsourcer ประกอบด้วย 5 เป้าหมาย และ 14 แนวทางปฏิบัติที่ดี
Training and Awareness (TA) การพัฒนาความรู้ความสามารถบุคลากรขององค์กรในการตอบรับกับการโจมตีรูปแบบต่างๆ ควบคู่กับการให้ความรู้บุคลากรในองค์กรที่มีความเกี่ยวข้องกับ Critical Service ให้เกิดความตระหนักถึงภัยคุกคามทางไซเบอร์ ประกอบด้วย 2 เป้าหมาย และ 11 แนวทางปฏิบัติที่ดี
Situation Awareness (SA) องค์กรจำเป็นต้องมีระบบในการเฝ้าระวังภัยคุกคามต่างๆ (Threat Monitoring) และต้องมีระบบในการติดต่อสื่อสารแจ้งเตือนภัยคุกคามดังกล่าวได้อย่างทันท่วงที ประกอบด้วย 3 เป้าหมาย และ 8 แนวทางปฏิบัติที่ดี

เอกสาร CRR ยังมีการแมปปิ้งเข้ากับ NIST Cybersecurity Framework เรียกว่า CRR NIST Cybersecurity Framework Crosswalks และยังมีเอกสารสำหรับเป็นแนวทางในการอิมพลีเม้นต์สำหรับ Industry Sector ที่แตกต่างกันอีกด้วย

จะเห็นได้ว่าองค์กรสามารถนำเอกสาร CRR และเอกสารประกอบ CRR โดยดาวน์โหลดได้จาก Web Site US-CERT (https://www.us-cert.gov/ccubedvp/assessments) มาประเมินตนเองในเบื้องต้นเพื่อให้เห็น GAP หรือช่องว่างที่องค์กรยังห่างจากมาตรฐานที่ควรจะเป็น เป็นแนวทางในการนำพาองค์กรไปสู่สภาวะ “Cyber Resilience”

ดังนั้นองค์กรทุกองค์กรโดยเฉพาะองค์กรที่อยู่ใน Critical Infrastructure ควรมีความตื่นตัวในการนำ CRR เข้าไปประเมินตนเองหรือทำงานร่วมกับผู้เชี่ยวชาญในการประเมิน เพื่อที่จะได้ทราบสถานะปัจจุบันขององค์กรและมีแนวทางการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ขององค์กรให้ได้มาตรฐานระดับโลก เพื่อนำพาองค์กรไปสู่สภาวะ “Cyber Resilience” ได้ในที่สุด

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cybersecurity Management, Cyber Sovereignty,
Transparency VS. Privacy, Data Governance

Articles by Prinya

เส้นทางสู่ “Cyber Resilience” การประเมินองค์กรด้วย “CRR”(ตอนจบ)