การบริหารจัดการความเสี่ยง ธรรมาภิบาล และ แนวนโยบายและแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัยของสารสนเทศ ดร.ชาลี วรกุลพิพัฒน์ CISSP, CISA, PMP, ISO/IEC 27001 Lead Auditor หัวหน้าห้องปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ Chalee.vorakulpipat@nectec.or.th 1 1 1

วัตถุประสงค์หลักของ security คือ? ปกป้องสินทรัพย์ (Asset) ขององค์กร 2 2 2

Security Management Risk management Policies Procedures Standards Guidelines Information classification Security organization Security education 3 3 3

4

ความรับผิดชอบต่อ Security ผู้บริหาร? ทุกคน? 5 5 5

การดำเนินการด้าน Security วิธี Top Down 6 6 6

Security Controls Technical Administrative controls controls Physical 7 7 7

ใครคือเจ้าของข้อมูลในระบบคอมพิวเตอร์? เจ้าหน้าที่ IT? ผู้บริหาร? หัวหน้าฝ่ายต่างๆ? ทุกคน? 8 8 8

เรามี Security เพื่อให้ข้อมูลเกิด CIA Confidentiality Availability Information Security Integrity CIA Again! 9 9 9

คำสำคัญ Security ภัยคุกคาม (Threat) ช่องโหว่ จุดอ่อน (Vulnerability) ความเสียหายที่เกิดขึ้น ช่องโหว่ จุดอ่อน (Vulnerability) เปิดช่องให้ภัยคุกคามเข้ามา ความเสี่ยง (Risk) โอกาสที่จะเกิด 10 10 10

ความเชื่อผิดๆ Security Through Obscurity คิดว่าทำ (ง่ายๆ) แบบนี้ ก็ไม่เป็นไรแล้ว 11 11 11

Confusion and Security From: Shon Harris, CISSP All-in-One Exam Guide 12 12 12

มาตรฐาน Security ตระกูล ISO/IEC 27000 ISO/IEC 27001 Control ISO/IEC 27002 Code of practice ISO/IEC 27004 Measurement ISO/IEC 27005 Risk management ISO/IEC 27006 Certification process ISO/IEC 27799 Personal health information 13 13 13

Security Governance ความเข้าใจใน security ในมุมมองผู้บริหาร สำคัญหรือไม่ ความรับผิดชอบของใคร บริหารจัดการความเสี่ยง ระดับพนักงานปฏิบัติตามกฎ ระเบียบ นโยบาย วิเคราะห์ผลกระทบของกฎ ระเบียบ นโยบาย ก่อนนำไปใช้จริง ทบทวน แก้ไขอย่างสม่ำเสมอ ไม่ใช่ผิดซ้ำซาก 14 14 14

Security Program Plan and organize (วางแผน) Implement (พัฒนา) Operate and maintain (ปฏิบัติ) Monitor and evaluate (ประเมิน) 15 15 15

ความเสี่ยงอาจเกิดมาจาก… ระบบน้ำ ไฟ สาธารณูปโภคเสียหาย ความผิดพลาดของคน อุปกรณ์ทำงานผิดพลาด การบุกรุกทั้งจากภายนอกและภายใน การใช้ข้อมูลอย่างผิดๆ ข้อมูลหาย โปรแกรมผิดพลาด 16 16 16

ความเสี่ยงอาจเกิดมาจาก… ระบบน้ำ ไฟ สาธารณูปโภคเสียหาย ความผิดพลาดของคน อุปกรณ์ทำงานผิดพลาด การบุกรุกทั้งจากภายนอกและภายใน การใช้ข้อมูลอย่างผิดๆ ข้อมูลหาย โปรแกรมผิดพลาด 17 17 17

การวิเคราะห์ความเสี่ยง (Risk Analysis) เมื่อคิดจะริเริ่ม security program จะต้อง วิเคราะห์ความเสี่ยง เป็นอันดับแรก สินทรัพย์มีอะไรบ้าง มีค่ามากน้อยแค่ไหน จุดอ่อน ช่องโหว่ ภัยคุกคามที่อาจเกิดขึ้นมีอะไรบ้าง โอกาสที่จะเกิด (กี่ครั้ง/วัน,เดือน,ปี) ผลกระทบทางธุรกิจเป็นอย่างไร วิเคราะห์ว่าคุ้มหรือไม่! ระหว่าง ความเสียหายที่เกิด vs เงินลงทุนที่จ่ายไปกับ security Cost/benefit analysis! 18 18 18

ขั้นตอนการวิเคราะห์ความเสี่ยง กำหนด “ค่า” ของสินทรัพย์ มีค่าต่อองค์กรเท่าไหร่, ให้กำไรเท่าไหร่, ค่าซ่อมแซมให้กลับสู่สภาพเดิม, องค์กรเสียหายเท่าไหร่ถ้าสินทรัพย์นั้นเสียหาย ฯลฯ คำนวณค่าความเสียหายต่อภัยคุกคาม 1 อย่าง Single Loss Expectancy (SLE) ต่อสินทรัพย์ ต่อภัยคุกคาม 1 อย่าง วิเคราะห์ภัยคุกคาม คำนวณโอกาสเกิดต่อปี Annualized Rate of Occurrence (ARO) หาค่าความสูญเสียต่อปี คำนวณความสูญเสียต่อปี Annualized Loss Expectancy (ALE) ลงมือจัดการความเสี่ยง –reduce, transfer, avoid, accept 19 19 19

การวิเคราะห์ความเสี่ยงแบบ Quantitative Asset value x exposure factor (EF) = SLE SLE x Annualized Rate of Occurrence (ARO) = Annualized Loss Expectancy (ALE) 20 20 20

การยอมรับความเสี่ยง ค่า ALE จะบอกความสูญเสียต่อปีถ้าไม่มี security ใช้วิเคราะห์ว่าเงินที่ลงทุนสำหรับ security นั้นคุ้มกันหรือไม่ สามารถเทียบกับ ALE ถ้าองค์กรยอมรับความเสี่ยง ค่าลงทุน security > ค่าความสูญเสีย องค์กรสามารถอยู่รอดได้แม้ว่าจะเกิดความสูญเสีย 21 21 21

ผลลัพธ์จากการวิเคราะห์ความ มูลค่าของสินทรัพย์ ภัยคุกคามทั้งหมดที่อาจเกิด โอกาสที่จะเกิดภัยคุกคามนั้นๆ ความสูญเสียต่อปีต่อภัยคุกคาม วิธีการรับมือ ป้องกัน (safeguard) ที่เหมาะสม 22 22 22

ความเสี่ยงที่หลงเหลือ (Residual risk) ต่อให้ลงทุนกับ safeguard มากแค่ไหน ก็ไม่สามารถกำจัดความเสี่ยงได้หมด ยังคงเหลือความเสี่ยงอยู่ (residual risk) การวิเคราะห์ว่า safeguard ที่เลือกใช้นั้นคุ้มค่าหรือไม่ ให้วิเคราะห์ร่วมกับ residual risk ด้วย Residual risk เทียบได้กับค่า ALE ใหม่หลังจากที่องค์กรมี safeguard ALE ก่อนมี safeguard – ALE หลังมี safeguard – ค่าใช้จ่ายต่อปีของ safeguard = มูลค่าที่ safeguard คืนให้กับองค์กร 23 23 23

มูลค่าการลงทุน safeguard ไม่ใช่มีแค่ค่าโปรแกรม (เช่น anti virus) เท่านั้น ค่า maintenance ค่าทดสอบระบบ ค่า update ค่าแรง ค่าเสียเวลาในการ monitoring ค่าปรับปรุงสถานที่ สภาพแวดล้อมอื่นๆ และอื่นๆ อีกมากมาย 24 24 24

สรุปขั้นตอนการวิเคราะห์ความเสี่ยง From: Shon Harris, CISSP All-in-One Exam Guide 25 25 25

จัดการกับความเสี่ยงอย่างไร Risk avoidance ไม่รับ/ปฏิเสธความเสี่ยง Risk mitigation ลดความเสี่ยง Accept the risk ยอมรับได้ Transfer the risk ถ่ายเทความเสี่ยงให้บุคคลที่สาม เช่น บริษัทประกัน 26 26 26

Policy, standard, guideline, procedure ระดับบนสุด, กว้างๆ, ไม่เจาะจงเทคนิคเฉพาะ เพื่อถ่ายทอดความต้องการของผู้บริหารได้ยังทุกคนขององค์กร Standard (มาตรฐาน) กฎ ระเบียบ ข้อบังคับ อิงตามนโยบาย Guideline (แนวปฏิบัติ) คำแนะนำว่าจะต้องทำอย่างไรบ้าง อธิบายเพิ่มเติมจากนโยบาย Procedure (ขั้นตอน) ขั้นตอน Step-by-step อย่างละเอียดสำหรับงานเฉพาะ 27 27 27

Policy, standard, guideline, procedure From: Shon Harris, CISSP All-in-One Exam Guide 28 28 28

การแยกประเภทข้อมูล (Classification) แบ่งแยกตามความสำคัญ ชั้นความลับ ผู้ที่สามารถแบ่งแยกประเภทข้อมูลได้คือ เจ้าของข้อมูล เท่านั้น ไม่ใช่เจ้าหน้าที่ IT ไม่ใช่ผู้บริหาร ไม่ใช่ใครก็ได้ แล้วใครคือเจ้าของข้อมูล? เจ้าของข้อมูลคือผู้ที่รู้ดีที่สุดว่า เอกสารใด ข้อมูลใด ที่ตนเองรับผิดชอบ มีความสำคัญ ความลับในระดับใด ดังนั้น เจ้าของข้อมูลคือ หัวหน้าของฝ่ายนั้นๆ (functional manager / business unit manager) 29 29 29

ใครเป็นผู้บริหาร security ใครรับผิดชอบระหว่าง CEO หรือ CIO? ปัจจุบัน หลายหน่วยงานมีตำแหน่ง CSO (Chief Security Officer) เข้าใจความเสี่ยงที่อาจเกิดขององค์กร เชื่อมโยง business และ security ได้ มี security แต่ธุรกิจต้องไม่สะดุด! บริหารจัดการ security program บางหน่วยงานใช้ตำแหน่งว่า CISO (Chief Information Security Officer) ต่างจาก CSO ตรงที่ CISO เน้น security ที่เป็นเรื่อง IT โดยเฉพาะเลย ขณะที่ CSO จะดูแล security ทั่วๆ ไป 30 30 30

CEO – CIO – CSO (CISO) CIO CEO CSO 31 31 31

วิธีการลดความเสี่ยงโดยทั่วไป แยกหน้าที่ (Separation of duties) ไม่ให้งานสำคัญยิ่งยวดถูกจัดการโดยตัวคนเดียว ให้มีข้อตกลงการไม่เปิดเผยข้อมูล (Nondisclosure agreement) สำหรับพนักงานเข้าใหม่ช่วงเซ็นสัญญา สำหรับหน่วยงานภายนอกที่ร่วมงานกัน ตรวจประวัติพนักงานเข้าใหม่หรือหน่วยงานภายนอกที่จะร่วมงานกัน ตรวจภูมิหลังทุกอย่าง 32 32 32

วิธีการลดความเสี่ยงโดยทั่วไป เวียนหน้าที่ (Rotation of duties) บังคับพักร้อน (Mandatory vacation) 33 33 33

วิธีการลดความเสี่ยงโดยทั่วไป เมื่อพนักงานไม่ได้ทำงานให้องค์กรแล้ว ให้ออกจากองค์กรทันที คืนบัตรประจำตัว กุญแจ และสมบัติขององค์กรอื่นๆ Username และ password ต้องถูก disable ทันที สิทธิการเข้าถึง facility ต่างๆ ถูก disable ทันที คิดว่าโหดร้ายหรือไม่??? 34 34 34

การฝึกอบรม ฝึกอบรมเรื่องความตระหนัก “Security awareness training” การประเมินผลการฝึกอบรม แบบสอบถาม ที่สำคัญกว่าคือ ดูว่าปริมาณการแจ้งเหตุ (security incidents) มีเพิ่มขึ้นหรือไม่ – เทียบก่อนและหลังฝึกอบรม ไม่ใช่ไปดูว่าระบบถูก hack น้อยลงหรือไม่ หรือติดไวรัสน้อยลงหรือไม่... 35 35 35

แนวนโยบายและแนวปฏิบัติ ประเมินตนเอง ตรวจสอบภายใน หรือ จ้างผู้ตรวจสอบจากภายนอก ดำเนินการตามแนวของกระทรวง ICT หรือ มาตรฐานสากล ISO/IEC 27001 หลายหน่วยงานเน้นไปที่ Data Center พิจารณาว่ามีความสำคัญที่สุดเนื่องจากเก็บข้อมูลสำคัญขององค์กร กำหนด scope ที่ชัดเจนกว่า เน้นความมั่นคงปลอดภัยด้านกายภาพ (Physical) 36 36 36

แบบประเมินของกระทรวงสาธารณสุข 37 37 37

แบบประเมินของกระทรวงสาธารณสุข 38 38 38

แบบประเมินของกระทรวงสาธารณสุข 39 39 39

ขอบคุณครับ