งานบริหารความเสี่ยงไซเบอร์ สำหรับผู้บริหารระดับสูง (ตอนที่ 1)
ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 20 มีนาคม 2562
การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ จำเป็นต้องปรับปรุงวิธีการ กระบวนการตลอดจนแนวคิดใหม่ โดยยกระดับไปสู่การเชื่อมโยงและบูรณาการ Information Security Risk Management เข้ากับ Enterprise Risk Management
ถึงวันนี้คงไม่มีใครปฏิเสธว่าภัยไซเบอร์ หรือปัญหา Cybersecurity Threats เป็นเรื่องไกลตัวอีกต่อไป
เนื่องจากโลกกำลังเปลี่ยนแปลงเข้าสู่ยุคแห่งเศรษฐกิจสังคมดิจิทัลอย่างเต็มรูปแบบ ปัญหาต่างๆ เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล และการบริหารจัดการความเสี่ยงในระดับองค์กร (Enterprise Risk Management) จึงจำเป็นต้องคำนึงถึงเรื่องภัยไซเบอร์ หรือ Cybersecurity Threats
ซึ่งในปัจจุบันความเสี่ยงที่สูงสุดขององค์กรคือ ความเสี่ยงในเรื่องภาพลักษณ์และชื่อเสียงขององค์กร และผู้บริหารระดับสูง ตลอดจน Brand ของสินค้าและบริการที่องค์กรได้สั่งสมมาเป็นเวลาหลายปี
ความเสี่ยงในลักษณะนี้เราเรียกว่า Reputational Risk ซึ่งมีผลกระทบสูงต่อองค์กร ดังนั้นผู้บริหารระดับสูงและกรรมการบริหารองค์กรจำเป็นต้องให้ความสนใจ และให้ความสำคัญกับการป้องกันและปกป้องชื่อเสียงขององค์กร
โดยเฉพาะการเสื่อมเสียชื่อเสียงในโซเชียลมีเดีย ตลอดจนการรั่วไหลของข้อมูลของลูกค้า (Data Leak) หรือข้อมูลลับขององค์กรในช่องทางต่างๆ ไม่ว่าจะเป็น Shadow Data/Shadow IT
การมาถึงของยุคแห่ง Cloud Computing ซึ่งปัญหาต่างๆ อาจเกิดจากแฮกเกอร์ภายนอกองค์กร หรืออาจเกิดจากพนักงานในองค์กร (Insider Threats) ก็มีความเป็นไปได้ทั้งสิ้น
ภัยไซเบอร์ไม่ใช่เรื่องเทคนิคเพียงอย่างเดียว
ผู้บริหารระดับสูงหลายท่านยังคงเข้าใจว่า ภัยไซเบอร์เป็นปัญหาทางด้านเทคนิคเพียงอย่างเดียว เป็นปัญหาของฝ่ายไอที เป็นเรื่องของฝ่ายรักษาความมั่นคงปลอดภัย แต่แท้ที่จริงแล้วภัยไซเบอร์เป็นเรื่องที่ท่านผู้บริหาระดับสูงส่วนใหญ่ที่ไม่ใช่คนไอที (Non-IT) จำเป็นต้องรับรู้และเป็นผู้ที่ต้องรับผิดชอบในความเสียหายที่อาจเกิดขึ้น
ความเสี่ยงอันดับต้นๆ ของทุกองค์กรในวันนี้คงไม่พ้นเรื่องความเสี่ยงจากการเสื่อมเสียชื่อเสียง หรือ Reputational Risk ดังที่กล่าวมาแล้ว
ดังนั้นการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ หรือ IT Risk Management จำเป็นต้องมีการปรับปรุงวิธีการ กระบวนการตลอดจนแนวคิดเสียใหม่ โดยการยกระดับไปสู่การเชื่อมโยงและบูรณาการไปยัง Information Security Risk Management and Enterprise Risk Management ในที่สุด
รูปที่ 1 : มาตรฐาน ISO 31000:2018 – Risk Management — Guidelines
รูปที่ 2 : ISO Guide 73 : 2009 – Risk Management — Vocabulary
แนวทางและกระบวนการในการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์สมัยใหม่
แนวทางและกระบวนการในการบริหารความเสี่ยงในระดับองค์กรนั้น กำลังมีการเปลี่ยนแปลงไปอย่างมีนัยยะ ในปัจจุบันจากการที่องค์กรนิยมใช้ COSO ERM Best Practice กำลังเปลี่ยนมาใช้มาตรฐาน ISO 31000:2018 – Risk Management — Guidelines และ ISO Guide 73 : 2009 – Risk Management — Vocabulary (ดูรูปที่ 1 และ รูปที่ 2) มาประยุกต์ใช้ในการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk) โดยนำมาใช้ในการประเมินความเสี่ยงในกระบวนการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013
ซึ่งปกติแล้วนิยมนำมาตรฐาน ISO/IEC27005:2018 Information technology — Security techniques — Information security risk management มาใช้ในการประเมินความเสี่ยง ทางด้านเทคโนโลยีสารสนเทศ
รูปที่ 3 : New Approach to Enterprise Risk Management – “Scenario- based Risk Management”, “Incident Response” and “Cyber Drill Exercises”
ในปัจจุบันมาตรฐาน ISO/IEC 27001:2013 ได้เปิดให้เราสามารถนำ ISO 31000:2018 มาใช้แทน ISO/IEC 27005:2018 ในการประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศขององค์กรยุคใหม่ โดยเราไม่จำเป็นต้องนำ Asset มานั่งลิสต์หา Threat และ Vulnerability ในแบบเดิมอีกต่อไป
แต่เราสามารถใช้วิธีที่เรียกว่า “Brewer-List Approach” ในการประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ โดยไม่จำเป็นต้องอ้างถึง Assets, Threats and Vulnerability
ซึ่งในขณะนี้ทาง ISACA ได้ออกเอกสารอ้างอิงที่ง่ายต่อการจัดการบริหารความเสี่ยงในแนวใหม่ ที่เป็นไปตามแนวทางของ ISO 31000:2018 ได้แก่ COBIT 5 for Risk และ ISACA Risk Scenarios มาแล้ว
โปรดอ่านต่อในตอนจบ