ความเสี่ยงด้านความปลอดภัย เป้าหมายสูงสุดของความพยายาม ในการรักษาความปลอดภัยทางไซเบอร์หรือโครงการฝึกอบรมด้านความปลอดภัย ในโลกไซเบอร์คือการป้องกันการโจมตี และ เน้นย้ำถึงความจำเป็นในการฝึกอบรมผู้คนและระบบเพื่อรับรู้การแทรกซึมในเวลา ส่วนใหญ่ของความพยายามนี้คือการประเมินความเสี่ยงขององค์กรอย่างเหมาะสมและใช้กลยุทธ์เพื่อจัดการความเสี่ยงด้วยวิธีที่เหมาะสมที่สุดเท่าที่จะเป็นไปได้
ในบล็อกนี้เรากล่าวถึง:
- เสาหลัก 5 ประการที่จำเป็นสำหรับการจัดการความเสี่ยงด้านความปลอดภัยบนโลกไซเบอร์
- เกณฑ์การยอมรับความเสี่ยงและเกณฑ์สำหรับการดำเนินการประเมินความเสี่ยงด้านความปลอดภัยของข้อมูล
- การระบุความเสี่ยง
- วิธีการจัดการความเสี่ยง
หลาย บริษัท ได้ทำการปรับปรุงอย่างมีนัยสำคัญในการปกป้องข้อมูลของตน พวกเขาใช้ไฟร์วอลล์ขั้นตอนและการฝึกอบรมการตอบสนองต่อเหตุการณ์ทางไซเบอร์ที่ดีขึ้นเป็นประจำเพื่อลดโอกาสในการโจมตี แม้ว่าขั้นตอนเหล่านี้จะมีความสำคัญ แต่การใช้โปรแกรมความยืดหยุ่นในโลกไซเบอร์มุ่งเน้นไปที่วิธีที่องค์กรสามารถดำเนินธุรกิจต่อไปได้ในระหว่างและหลังการโจมตี ความเสี่ยงด้านความปลอดภัย
การบริหารความเสี่ยง
การระบุความเสี่ยง
ความเสี่ยงเป็นเหตุการณ์ที่อาจเกิดขึ้นคาดว่าจะเกิดขึ้นหรือไม่คาดคิดซึ่งอาจส่งผลเสียต่อรายได้เงินทุนหรือชื่อเสียงของสถาบัน ความเสี่ยงได้รับการพิจารณาในแง่ของประเภทซึ่งหนึ่งในนั้นคือความเสี่ยงด้านปฏิบัติการ
การบริหารความเสี่ยงเป็นกระบวนการในการระบุความเสี่ยงการประเมินความเสี่ยงและดำเนินการเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ องค์กรใช้การประเมินความเสี่ยงซึ่งเป็นขั้นตอนแรกในวิธีการจัดการความเสี่ยงเพื่อกำหนดขอบเขตของภัยคุกคามช่องโหว่และความเสี่ยงที่อาจเกิดขึ้นกับระบบไอที
ความเสี่ยงด้านปฏิบัติการคือความเสี่ยงของความล้มเหลวหรือการสูญเสียที่เกิดจากกระบวนการคนหรือระบบที่ไม่เพียงพอหรือล้มเหลว เหตุการณ์ภายในและภายนอกอาจส่งผลต่อความเสี่ยงด้านปฏิบัติการ เหตุการณ์ภายในรวมถึงความผิดพลาดของมนุษย์การประพฤติมิชอบและการโจมตีจากบุคคลภายใน เหตุการณ์ภายนอกที่ส่งผลกระทบต่อ IT และความสามารถของสถาบันในการบรรลุวัตถุประสงค์ในการดำเนินงาน ได้แก่ ภัยธรรมชาติการโจมตีทางไซเบอร์การเปลี่ยนแปลงสภาพตลาดคู่แข่งรายใหม่เทคโนโลยีใหม่การดำเนินคดีและกฎหมายหรือข้อบังคับใหม่ เหตุการณ์เหล่านี้ ก่อให้เกิดความเสี่ยงและโอกาสและสถาบันควรนำปัจจัยเหล่านี้เข้าสู่กระบวนการระบุ ความเสี่ยงความเสี่ยงด้านปฏิบัติการสรุปความเสี่ยงที่ บริษัท ดำเนินการเมื่อพยายามดำเนินงานภายใน สาขาหรืออุตสาหกรรมที่กำหนด ความเสี่ยงด้านปฏิบัติการคือความเสี่ยง ที่ไม่มีอยู่ในความเสี่ยงทางการเงินระบบหรือทั้งตลาด เป็นความเสี่ยงที่เหลืออยู่หลังจากพิจารณา การจัดหาเงินทุน และ ความเสี่ยงอย่างเป็นระบบและรวมถึงความเสี่ยงที่เกิดจากความผิดพลาดของกระบวนการภายในบุคคลและระบบ
คำกระตุ้นการตัดสินใจใหม่
ความเสี่ยงด้านปฏิบัติการสามารถสรุปได้ว่าเป็นความเสี่ยงของมนุษย์ซึ่งเป็นความเสี่ยงที่การดำเนินธุรกิจล้มเหลวเนื่องจากความผิดพลาดของมนุษย์ ซึ่งจะเปลี่ยนไปในแต่ละกรณีและเป็นการพิจารณาที่สำคัญเมื่อพิจารณาถึงการตัดสินใจลงทุนที่อาจเกิดขึ้น
การยอมรับความเสี่ยงเกิดขึ้นเมื่อธุรกิจยอมรับว่าความสูญเสียที่อาจเกิดขึ้นจากความเสี่ยงนั้นไม่เพียงพอที่จะรับประกันการใช้จ่ายเงินเพื่อหลีกเลี่ยง หรือที่เรียกว่า “การรักษาความเสี่ยง” เป็นลักษณะของการบริหารความเสี่ยงที่มักพบในธุรกิจหรือสาขาการลงทุน มีความเสี่ยงเล็กน้อย (สิ่งที่ไม่มีความสามารถในการเกิดภัยพิบัติหรือมีราคาแพงเกินไป) ควรค่าแก่การยอมรับโดยยอมรับว่าปัญหาใด ๆ จะได้รับการจัดการหากเกิดขึ้นและเมื่อใด การแลกเปลี่ยนดังกล่าวเป็นเครื่องมือที่มีค่าในกระบวนการจัดลำดับความสำคัญและการจัดทำงบประมาณ
วิธีการรักษาความเสี่ยง
นอกเหนือจากการยอมรับความเสี่ยงแล้วยังมีอีกหลายวิธีในการเข้าถึงและรักษาความเสี่ยงในการบริหารความเสี่ยง ได้แก่ :
โครงสร้าง -โปรดทราบว่าเมื่อเรือสุภาษิตของคุณกำลังจะจมคุณจะต้องมีเอกสารที่มีโครงสร้างดีมีระเบียบและอ่านง่ายภายในไม่กี่นาที ขอแนะนำให้ละทิ้งสิ่งต่างๆเช่น ‘วิธีการเตรียมตัว’ สำหรับการโจมตีเนื่องจากเอกสารนี้ควรเน้นเฉพาะกลยุทธ์และขั้นตอนการตอบสนอง อย่าถ่วงมันมากเกินไป ทำให้เป็นระเบียบเรียบง่ายและสั้น
ประสิทธิผล – แม้ว่าคุณอาจจะสร้างแผนรับมือเหตุการณ์ทางไซเบอร์เสร็จแล้ว แต่คุณต้องตรวจสอบให้แน่ใจว่าแผนตอบคำถามต่อไปนี้ – ใครจะโทรหาในกรณีที่เกิดวิกฤตไซเบอร์ผู้ที่สามารถอนุญาตการดำเนินการที่สำคัญใครไปที่สื่อมวลชนและกับ คำแถลงใดบุคคลที่สามที่เรียกร้องให้มีการพิสูจน์หลักฐานและผู้ที่จะขอคำแนะนำทางกฎหมาย หากแผนของคุณตอบคำถามที่สำคัญเหล่านี้ได้ทั้งหมดคุณมีโอกาสที่จะตอบสนองต่อการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ
พวกเราทุกคนรู้ดีว่าการปกป้องทรัพย์สินทั้งหมดของเราอย่างเท่าเทียมกันนั้นเป็นเรื่องไม่จริงแม้ว่าจะสามารถเข้าถึงโซลูชันที่ล้ำสมัยได้ก็ตาม แม้ในสถานการณ์ที่ดีที่สุดเรามักจะมีข้อ จำกัด บางอย่างในชีวิตจริง (เช่นเวลาและต้นทุน) ดังนั้นเราจึงต้องมุ่งเน้นไปที่ความพยายามของเราในสินทรัพย์ที่สำคัญที่สุดทั้งในแง่ของระบบและข้อมูลโดยไม่สูญเสียมุมมองโดยรวมของ ธุรกิจทั้งหมด
ISO 27001 กำหนดห้าเสาหลักที่สำคัญที่มีความจำเป็นสำหรับการจัดการความเสี่ยง Cybersecurity และขั้นตอนที่เจ็ดที่จะต้องใช้ในการดำเนินการประเมินความเสี่ยง:
การระบุความเสี่ยง
การลดช่องโหว่
การลดภัยคุกคาม
การบรรเทาผลกระทบ
เปิดใช้ผลการรักษาความปลอดภัยทางไซเบอร์
ISO 27001 กำหนดให้องค์กร (ในข้อ 6.1.2) กำหนดเกณฑ์การยอมรับความเสี่ยงและเกณฑ์ในการดำเนินการประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลดังนี้
ระบุความเสี่ยงที่เกี่ยวข้องกับการสูญเสียความลับความพร้อมใช้งานและความสมบูรณ์ของข้อมูลภายในขอบเขตของ ISMS (6.1.2.c.1)
ระบุเจ้าของความเสี่ยง (6.1.2.c.2);
ประเมินผลที่อาจเกิดขึ้นหากความเสี่ยงที่ระบุเกิดขึ้นจริง (6.1.2.d.1)
ประเมินความเป็นไปได้ที่จะเกิดความเสี่ยงนั้น (6.1.2.d.2);
กำหนดระดับความเสี่ยง (6.1.2.d.3);
เปรียบเทียบผลการวิเคราะห์กับเกณฑ์ความเสี่ยง (6.1.2.e.1)
จัดลำดับความสำคัญของความเสี่ยงในการรักษา (6.1.2.e.2)
องค์กรต่างๆควรพิจารณานำโซลูชันการป้องกันทางไซเบอร์ใหม่ ๆ มาใช้โดยขยายไปไกลกว่าการรักษาความปลอดภัยด้านไอทีและมุ่งเน้นไปที่การตรวจจับวิศวกรรมสังคมและฟิชชิงการจัดการซัพพลายเชนการรักษาความปลอดภัย IoT ตลอดจนการรักษา“ รากแห่งความไว้วางใจ” ขององค์ประกอบที่สำคัญต่อภารกิจภายในเครือข่าย
ผู้มีส่วนได้ส่วนเสีย -เมื่อคุณเริ่มสร้างแผนรับมือกับเหตุการณ์ทางไซเบอร์โดยใช้เทมเพลตของเราหนึ่งในแบบฝึกหัดหลักที่คุณต้องทำคือสร้างรายชื่อผู้มีส่วนได้ส่วนเสียหลักที่กำหนดไว้อย่างชัดเจนซึ่งจะต้องดำเนินการในช่วงวิกฤต . คุณสามารถจำแนกผู้มีส่วนได้ส่วนเสียเป็นทีมตอบโต้ทีมจัดการเหตุการณ์ไซเบอร์เจ้าของผลิตภัณฑ์และระบบและบุคคลที่สามและผู้จัดจำหน่าย อย่างไรก็ตามการจัดประเภทและการจัดสรรความรับผิดชอบขั้นสุดท้ายจะขึ้นอยู่กับโครงสร้างเฉพาะของแต่ละองค์กรของคุณบุคคล ที่สามและทีมภายนอกที่เกี่ยวข้องกับลักษณะและขนาดของธุรกิจของคุณ
อาณัติของผู้บริหาร -สิ่งสำคัญในการสร้างแผนรับมือกับเหตุการณ์ทางไซเบอร์คือการร่างคำสั่งผู้บริหารและหลักการสำคัญที่ต้องปฏิบัติตาม คุณสามารถให้ฝ่ายทรัพยากรบุคคลและทีมกฎหมายขององค์กรของคุณดำเนินการตามหลักการเหล่านี้เมื่อคุณกำหนดหลักการเหล่านี้ แนวคิดของแง่มุมนี้คือการทำให้ชัดเจนว่าอะไรคือสิ่งที่ยอมรับไม่ได้ในระหว่างขั้นตอนการตอบสนองต่อเหตุการณ์ หลักการบางประการที่เราคิดว่าคุณต้องให้ความสำคัญกับการขอมอบอำนาจของผู้บริหารนั้นรวมถึงความสมบูรณ์ของหลักฐานและนิติวิทยาศาสตร์ความโปร่งใสกับเจ้าหน้าที่ลูกค้าและหน่วยงานกำกับดูแลการใช้ช่องทางที่ได้รับการอนุมัติและปลอดภัยสำหรับการสื่อสารในภาวะวิกฤตความเป็นส่วนตัวและการทำให้การดำเนินธุรกิจหยุดชะงักน้อยที่สุด .
การหลีกเลี่ยง:สิ่งนี้หมายถึงการเปลี่ยนแผนเพื่อขจัดความเสี่ยง กลยุทธ์นี้เหมาะสำหรับความเสี่ยงที่อาจส่งผลกระทบอย่างมีนัยสำคัญต่อธุรกิจหรือโครงการ
โอน:ใช้ได้กับโครงการที่มีหลายฝ่าย ไม่ได้ใช้บ่อย มักจะรวมถึงการประกันภัย หรือที่เรียกว่า “การแบ่งปันความเสี่ยง”
การบรรเทา: การจำกัด ผลกระทบของความเสี่ยงเพื่อที่ว่าหากเกิดปัญหาขึ้นจะได้แก้ไขได้ง่ายขึ้น นี่เป็นเรื่องธรรมดาที่สุด หรือที่เรียกว่า “การเพิ่มประสิทธิภาพความเสี่ยง” หรือ “การลด”
การแสวงหาประโยชน์:ความเสี่ยงบางอย่างเป็นสิ่งที่ดีเช่นหากสินค้าเป็นที่นิยมมีพนักงานไม่เพียงพอที่จะรักษายอดขายได้ ในกรณีเช่นนี้ความเสี่ยงสามารถถูกใช้โดยการเพิ่มพนักงานขายมากขึ้น
เพื่อให้มีประสิทธิภาพโปรแกรมรักษาความปลอดภัยข้อมูลควรมีเอกสารกระบวนการเพื่อระบุภัยคุกคามและช่องโหว่อย่างต่อเนื่อง การระบุความเสี่ยงควรก่อให้เกิดการรวมกลุ่มของภัยคุกคามรวมถึงภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่สำคัญ การจัดหมวดหมู่[i]สำหรับการจัดประเภทภัยคุกคามแหล่งที่มาและช่องโหว่สามารถช่วยสนับสนุนกระบวนการระบุความเสี่ยง ฝ่ายบริหารควรดำเนินกิจกรรมการระบุความเสี่ยงเหล่านี้เพื่อกำหนดโปรไฟล์ความเสี่ยงด้านความปลอดภัยข้อมูลของสถาบันรวมถึงความเสี่ยงด้านความปลอดภัยทางไซเบอร์
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th
Leave A Comment?