ทำยังไงไม่ให้การลงทุนใน Cybersecurity เสียเปล่า?

– How not to f*ck up your cybersecurity investment –


cybersecurity

ความหนักใจของ CIO/CISO/CSO เกี่ยวกับเรื่องของ Cybersecurity หนีไม่พ้นยุคปัจจุบันที่ความต้องการใช้งานระบบเทคโนโลยีที่ทำงานบนเครือข่าย หรือ Cyber System มีมากขึ้นทุกวัน โครงการใหม่ ๆ ที่จะนำเทคโนโลยีใหม่ ๆ มาใช้มีนับไม่ถ้วน ลำพังดูแลของเดิมที่มีก็แทบจะไม่ไหวแล้ว ของใหม่เพิ่มขึ้นทุกวันอีก หนำซ้ำยังมีอาชญากรทางไซเบอร์ (Cyber Criminal) คอยโจมตีหาผลประโยชน์กันอย่างไม่ขาดสาย พอจะหาทางออกก็มีคนกรูกันเข้ามาเสนอทั้งสินค้าทั้งบริการ ทุกอย่างดีไปหมด แต่บางทีเอามาใช้งานหรือทำไปแล้วยังมีความรู้สึกกังวล หรือยังมี Major Incident ที่ไม่น่าเกิดขึ้นมาอีก !!!

ไม่หรอกครับ — ไม่ใช่ความผิดของ Solution ที่ซื้อมา, ไม่ใช่ทีมงานคุณไม่เก่งพอ, ไม่ใช่โจรเก่งเกินไป (แล้วก็ไม่ใช่ Auditor ที่เขี้ยวลากดินด้วยครับ) — จากประสบการณ์ที่แก้ปัญหาให้กับองค์กรทุกประเภทและขนาดของ Advisor จาก CYNIUS ส่วนใหญ่เกิดจากการที่ไม่ได้ทำตามหลักการ ACBC และ CEVSหรือเต็ม ๆ คือ “Align Cybersecurity with Business Context” และ “Cover the Entire Value Stream”

ในบทความนี้ CYNIUS Advisor จะพาไปดูกันว่าหลักการ ACBC และ CEVS คืออะไร (What is) และจะทำยังไง (How to) เพื่อไม่ให้การลงทุนใน Cybersecurity เสียเปล่า (Extra Hint: เอาไปใช้กับ Privacy ก็ได้นะครับ)

เนื้อหาของบทความนี้จะใช้ตัวอย่างของธุรกิจ E-Commerce เพื่อให้เห็นภาพ


Estimated reading time: 4 minutes



Align Cybersecurity with Business Context (ACBC)

ก่อนอื่นเลย ไม่ว่าคุณกำลังจะลงทุนด้าน Cybersecurity เรื่องอะไร ด้วยเป้าหมายอะไร จะเป็นด้วยข้อบังคับหรือ ความเสี่ยงที่กำลังเผชิญให้ดูบริบท (Context) ของธุรกิจคุณให้ชัดเจนเสียก่อน แล้วจึงมาดำเนินการพัฒนาหรือปรับปรุงด้าน Cybersecurity ให้สอดรับ (Align) กับบริบทในที่ที่คุณอยู่ ซึ่งประกอบไปด้วย:

  • Business Goal – ส่วนนี้จะทำให้คุณรู้ว่า ในเวลาที่คุณเผชิญสถานการณ์ที่ต้องตัดสินใจ หรือคับขัน ทั้งระดับกลยุทธ์และปฏิบัติการ คุณจะเลือกตัวเลือกไหนที่วางอยู่ตรงหน้าในเวลานั้น
    • ตัวอย่าง: ถ้าธุรกิจของคุณคือ E-commerce ที่ต้องให้บริการทั่วโลก 24 ชั่วโมง 7 วัน และได้รับการจัดสรรงบประมาณมาให้ทดสอบเจาะระบบ ซึ่งพอสำหรับการทดสอบแค่ Application เดียว คุณจะเลือกทดสอบที่ระบบ Web E-Commerce หลัก ที่ให้บริการคนทั้งโลก หรือระบบ Human resource management ที่ให้บริการเฉพาะภายในองค์กรก่อนกัน? (นี่เป็นหนึ่งในตัวอย่าง Tough Choice ที่เกือบทุกคนต้องเจอ จริง ๆ แล้วปัจจัยที่ต้องพิจารณามีมากกว่านี้อีกมากครับ โดยเฉพาะเรื่องการเมืองภายใน ถือเป็นเรื่องธรรมดาที่ต้องใช้ศิลปะอย่างยิ่ง)
  • Business Functions – คุณมีทรัพยากรจำกัดครับ คุณต้องทำความเข้าใจว่า Function ไหนในการดำเนินธุรกิจของคุณจำเป็นต่อความอยู่รอดของธุรกิจคุณที่สุด ก็ควรที่จะได้รับการจัดสรรทรัพยากรที่มีตามความเหมาะสม และลำดับความสำคัญ รวมถึงเรื่องของการพึ่งพากันและกัน (Dependency) ของแต่ละ Function ซึ่ง Function เหล่านี้ทำงานร่วมกันก่อเกิดเป็นสิ่งที่เรียกว่า Value Stream จะกล่าวถึงในหัวข้อถัดไป
    • ตัวอย่าง: ต่อเนื่องจากตัวอย่างก่อนหน้าเลยครับ E-Commerce นอกจาก Function ในการเข้าถึง (Access) สินค้าซึ่งคุณใช้ Website เป็นหลักแล้วคุณจะต้องมี Function ที่สำคัญ ๆ อะไรอีกครับ? ว่าไปเลยตั้งแต่ การจัดการ Stock สินค้า, การขนส่ง, การกระจายสินค้า ฯลฯ ยังไม่รวมถึงระบบหลังบ้านที่สนับสนุนการดำเนินกิจการ เช่น การเงินการบัญชี, การบริหารจัดการทรัพยากรมนุษย์ ฯลฯ  การที่จะทราบและจัดลำดับความสำคัญและ Dependency ได้ต้องทำ Business Impact Analysis (BIA)
  • Business Process – ในแต่ละ Function จะมีกระบวนการภายใน (Process) ซึ่งรับ Input จาก Function ก่อนหน้าและส่งต่อ Output ไปยัง Function ถัดไป ซึ่งท้ายที่สุดแล้วกิจกรรม (Activity) ในกระบวนการเหล่านี้จะต้องถูก Break Down ออกมาเป็นทรัพยากรและทรัพย์สินที่ทำให้กิจกรรมเหล่านี้ดำเนินไปได้ (Supporting Asset/Resource) โดยปกติจะแบ่งเป็น Hardware, Software, Data/Information (ข้อมูลและสารสนเทศ) และบุคลากร ซึ่งจุดนี้เองที่เราจะมองเห็นสิ่งที่เรียกว่าจุดปะทะ (Attack Surface) เพื่อใช้ในการพิจารณาว่า Cybersecurity จะเข้ามาสร้างมูลค่าให้กับธุรกิจได้อย่างไร และจะทำยังไงให้การลงทุนไม่เสียเปล่า ผ่านกระบวนการที่เรียกว่า การประเมินความเสี่ยง (Risk Assessment)
  • Standard/Framework Mapping – การใช้ Standard/Framework ใด ๆ (ไม่ว่าคุณจะเลือกมันเอง หรือเป็นความจำเป็นที่อุตสาหกรรมของคุณจะต้องทำ) ให้เหมาะสมกับสิ่งที่เรา Break Down มาจากขั้นตอนก่อนหน้า
    • ตัวอย่าง: ในขั้นนี้ลองหยิบ Control มาสักหนึ่งตัวที่มีให้เห็นแน่ ๆ ใน Security Framework หรือ Standard ที่เป็นที่รู้จักครับ เอาเรื่องการพัฒนา Software ให้มีความปลอดภัย (Secure Software Development) เป็นตัวอย่างนะครับ คุณคิดว่าองค์กรที่พัฒนา Software ใช้เอง (in-house development) กับองค์กรที่จ้างคนนอกพัฒนาให้ (Outsource) จะใช้วิธีการควบคุมความปลอดภัยของ Software เหมือนกันหรือไม่ครับ? ไม่แน่นอนครับ องค์กรที่ In-house ต้อง Control หลายอย่างด้วยตัวเอง เช่น กำหนดมาตรฐานความปลอดภัยของ Software ให้สอดคล้องกับความเสี่ยงองค์กร, สร้างทักษะ Secure Coding ให้กับ Programmer, กระบวนการและ Software ที่ใช้สำหรับ CI/CD ฯลฯ ในขณะที่องค์กรที่ Outsource ต้องใช้เวลาไปกับการคัดเลือก ควบคุม และตรวจสอบ Outsourcer ให้พัฒนา Software ให้ได้เป็นไปตามมาตรฐานความปลอดภัยของ Software ขององค์กร ซึ่งจะทำผ่านข้อความในสัญญา (Contract) เป็นส่วนใหญ่ นี่ยังไม่นับองค์กรที่มีทุก Model ทั้ง In-house, outsource และ Off-the-shelf นะครับ การบริหารจัดการและกิจกรรมที่จะให้บรรลุผลตาม Control ข้อเดียวนี้ก็แตกต่างกันมากแล้วครับ
  • Emerging Business Needs – ในส่วนนี้เป็นการมองไปยังอนาคตที่คาดการณ์ได้ (Foreseeable Future) ขององค์กรเราว่าจะมีการขยับขยายไปในทิศทางใด การใช้งาน Cyber System ควรจะเป็นอย่างไร เทคโนโลยีที่จะเข้ามามีอะไรบ้าง ความเสี่ยงเพิ่มหรือลดอย่างไร (ลดได้ครับ กรณีที่เป็นการถูกแทนที่กันด้วยเทคโนโลยีใหม่ หรือต้องเลิกใช้งานไป) และจะเตรียมการรับมืออย่างไร

เมื่ออ่านมาถึงตรงนี้ ทุกท่านคงตระหนัก และเห็นภาพแล้วว่า การจะลงทุนด้าน Cybersecurity เป็นเรื่องของแต่ละองค์กรที่จะต้องใช้วิธีการที่แตกต่างกัน ขึ้นอยู่กับบริบท (Context) ถึงแม้จะใช้ Framework เดียวกัน เพื่อให้ได้ผลลัพธ์เดียวกัน


Cover the Entire Value Stream (CEVS)

Value Stream หรือ สายธารคุณค่า คือ การไหลของทรัพยากรและข้อมูลสารสนเทศตลอดทั้งห่วงโซ่อุปทาน (Supply Chain) ว่ากันง่าย ๆ คือตั้งแต่จัดหาวัตถุดิบ จนสินค้าถึงมือลูกค้า ในส่วนนี้มีความสำคัญมากครับ เพราะในทางไซเบอร์เองก็เผชิญกับสิ่งที่เรียกว่า Cyber Supply Chain Attack อยู่และมีแนวโน้มว่าจะมีมากขึ้นด้วย

Value Stream ของธุรกิจสามารถวิเคราะห์ได้ โดยใช้วิธีการที่เรียกว่า Value Stream Mapping (VSM) เพื่อแยกแยะว่า Business Process/Activity อยู่ในประเภทใดจาก 3 ประเภทต่อไปนี้

  • กิจกรรมที่เพิ่มมูลค่า (Value Adding)
  • กิจกรรมที่ไม่เพิ่มมูลค่า แต่ มีความจำเป็น (Necessary but non-vale adding)
  • กิจกรรมที่ไม่เพิ่มมูลค่า และ ไม่มีความจำเป็น (Non-value adding)

โดยหลักของ VSM เมื่อได้ผลลัพธ์มาแล้วคือ เราจะกำจัด Non-value adding Process ครับ ในบทความนี้เราไม่ได้พูดถึงการทำ VSM ครับ แต่เราจะเอาผลที่ได้จากการทำมาใช้ในการปกป้องและรับมือภัยคุกคามทางไซเบอร์ (Cyber threat, Cyber Incident) ให้เกิดประสิทธิผลสูงสุด ในทุกจุดที่สำคัญ และไม่พลาดจุดใดจุดหนึ่งไป โดยเฉพาะเมื่อเราต้อง Outsource เรามาดูตัวอย่าง Value Stream ของธุรกิจ E-Commerce กัน

Diagram, timelineDescription automatically generated

Figure 1 E-Commerce Value Stream (https://www.researchgate.net/profile/Alessandro-Bramucci/publication/312332710/figure/fig1/AS:461999554469889@1487160685623/E-commerce-value-chain.png)

เมื่อเราเห็นภาพอย่างนี้แล้ว เราจะรู้ได้ทันทีเลยว่าจุดไหนควรได้รับการดูแลอย่างไร ใครเป็นคนรับผิดชอบ

  • ตัวอย่าง: เลือกมา 1 Process เป็น Web front end (online shop) ละกันครับ แล้วสมมติว่าถ้า Web นี้เราเป็นคนพัฒนาเอง แต่ Host อยู่บน Cloud และมีการรับชำระค่าสินค้าผ่านบัตร Credit/Debit การลงทุนที่เหมาะสมจะเป็นเรื่องต่อไปนี้ เป็นอย่างน้อย และอาจไม่จำเป็นต้องทำทุกอย่างพร้อมกันก็ได้ (สมมติว่า Cybersecurity Policy ของเรามีพร้อมแล้วนะครับ)
    • การอบรมเสริมสร้างทักษะ เรื่อง Secure Software Development Life Cycle (SSDLC) และ หลักการของ Development, Security and Operation (DevSecOps) ให้กับทีมผู้พัฒนาระบบ
    • เครื่องมือที่ใช้ในกระบวนการ SSDLC และ DevSecOps
    • Feature ด้านความมั่นคงปลอดภัยบน Cloud (ส่วนใหญ่ Cloud Provider ที่ใหญ่ ๆ จะมีเป็น Option ให้เลือก หรือมีบริการให้พร้อมซื้อมาใช้งานได้อยู่แล้ว หรือเราจะเลือกใช้ Solution ที่เรามีไป Integrate กับ Cloud ก็ได้ครับ)
      • ในการป้องกันการโจมตี Website
      • การสำรองข้อมูล
      • ระบบสอดส่องดูแลภัยคุกคามเพื่อตรวจจับความผิดปกติ
      • Cloud Provider ต้องมีความสามารถในการปฏิบัติตามข้อกำหนดของ PCI-DSS (มีการรับชำระค่าสินค้าผ่านบัตร Credit/Debit)
      • Cloud Provider ต้องมีความสามารถในการปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองความเป็นส่วนตัวของประเทศเราได้เป็นอย่างน้อย (การซื้อขายของต้องมีการใช้ข้อมูลส่วนบุคคลในการสื่อสารกัน)
    • บุคลากรและทักษะในการตรวจสอบ Cloud Security ตั้งแต่ Feasibility Analysis, Control Effectiveness ไปจนถึง Compliance เพราะเราต้องมั่นใจว่าเรา Cloud Provider ได้ปฏิบัติตามที่ได้กล่าวอ้างจริง ๆ
    • ทดสอบเจาะระบบ Web Application เพื่อประเมินความปลอดภัยและให้แน่ใจว่า SSDLC และ Security Feature ต่าง ๆ ให้ผลที่คาดหวัง หากพบช่องโหว่จะได้พัฒนาปรับปรุงกระบวนการได้เหล่านั้นได้

ให้ทำเช่นนี้กับทุก Process ใน Value Stream โดยอาจจะจัดสรรตามลำดับก่อนหลังได้ตามความเหมาะสมที่ได้จาก Business Impact Analysis

เมื่อเราพิจารณา Value Stream และเลือกการลงทุนด้าน Cybersecurity ที่เหมาะสมกับทุก Process ใน Value Stream และ Asset/Resource (Hardware, Software, Data/Information, Human) ย่อมไม่เสียเปล่าอย่างแน่นอน นอกจากจะได้ผลตอบกลับ (Return on Security Investment) แล้ว บางครั้งเรายังสามารถเลือกลงทุนในวิธีการทดแทนที่ใช้เงินน้อยกว่า (Alternative Solution) หรือลงทุนครั้งเดียวแต่ใช้ได้กับหลาย ๆ Process ใน Value Stream ได้


คำถาม

  • องค์กรไม่เคยทำ Value Stream Mapping ทำยังไง? มีทางออกตามนี้ครับ
  1. ทำ Value Stream Mapping ซึ่งปกติเรื่องของ Value Stream Mapping จะเกิดขึ้นเมื่อองค์กรพยายามจะ Lean ถึงเราไม่ได้จะ Lean องค์กรเรา เราก็สามารถใช้เป็นเครื่องมือในการจัดลำดับความสำคัญของ Function และ Process ได้
  2. ใช้ข้อมูล Business Process Flow ที่องค์กรมีอยู่ (ข้อมูลส่วนนี้เป็นตัวตั้งต้นในการ Lean) และเป็นข้อมูลที่อย่างน้อยต้องมีก่อนการดำเนินการใด ๆ ในทาง Cybersecurity
  • ไม่มี Value Stream ไม่มี Business Process Flow ที่บันทึกไว้แน่ชัดจะดำเนินการใด ๆ ในทาง Cybersecurity ไม่ได้เลยใช่มั้ย?  CYNIUS Advisor เจอบ่อยครับ ให้พิจารณาตามนี้
  1. แน่นอนว่า Business Process มันมีของมันอยู่แล้วต่อให้ไม่มีการบันทึกไว้ แต่ถ้าเราต้องการวิเคราะห์ธุรกิจเราเพื่อปรับปรุงอะไรสักอย่าง (ซึ่งในกรณีของเราคือ Cybersecurity) แล้วไม่มีอะไรให้อ้างอิงเลย จะใช้เวลามาก
  2. เมื่อไม่มีอะไรให้อ้างอิง ส่วนใหญ่จะบริหารจัดการกันแบบที่เรียกว่า Ad-Hoc ซึ่งเสี่ยงต่อการเสียเปล่าสูง และคุณจะไม่มีทางได้ Maturity Level หรือ Tier สูง ๆ ของ Standard หรือ Framework ใด ๆ เลย
  3. เป็นหนึ่งในเหตุผลที่ผู้เขียนเลือกเขียนบทความนี้ครับ

สรุป

  1. Align Cybersecurity with Business Context (ACBC) คือเราต้องรู้บริบทเพื่อการจัดลำดับความสำคัญและเลือกใช้วิธีการหรือเครื่องมือที่เหมาะสมในการบรรลุเป้าหมายด้าน Cybersecurity สำหรับองค์กรเราโดยเฉพาะ โดยการ Know และ Breakdown.
    1. Know – รู้จัก Business Goal และ Function ทั้งหมด
    1. Breakdown Business Process เพื่อให้เห็นถึง Technology, บุคลากร และข้อมูลสารสนเทศที่ต้องใช้ในการดำเนินธุรกิจเพื่อให้ทราบความเสี่ยงที่จะเกิดกับทรัพยากรเหล่านี้และการลงทุนที่ควรจะทำเพื่อปกป้อง
  2. Cover the Entire Value Stream (CEVS) การ Align Cybersecurity ต้องทำทั้ง Value Stream (ไม่จำเป็นต้องทำทั้ง Stream ในคราวเดียว สามารถแบ่งออกเป็น Phase ได้) เพื่อให้แน่ใจว่าทุกจุดมีความมั่นคงปลอดภัย มีความพร้อมตลอดทั้ง Supply Chain
  3. Balance ระหว่าง การป้องกัน และ ความพร้อมในการตอบสนอง (Incident Response) เพราะไม่มีการป้องกันใดให้ผล 100% การถูกโจมตีไม่ได้ขึ้นอยู่กับว่าจะสำเร็จหรือไม่ แต่จะสำเร็จเมื่อไหร่
sunt-tanarit

Sunt-tanarit Prapassaraporn
Founder & CEO

PCI-QSA, CISSP, HCISPP, GXPN, GWAPT, OSCP, CCSK, CDFE

Leave a Reply

Your email address will not be published.