– How not to f*ck up your cybersecurity investment –
ความหนักใจของ CIO/CISO/CSO เกี่ยวกับเรื่องของ Cybersecurity หนีไม่พ้นยุคปัจจุบันที่ความต้องการใช้งานระบบเทคโนโลยีที่ทำงานบนเครือข่าย หรือ Cyber System มีมากขึ้นทุกวัน โครงการใหม่ ๆ ที่จะนำเทคโนโลยีใหม่ ๆ มาใช้มีนับไม่ถ้วน ลำพังดูแลของเดิมที่มีก็แทบจะไม่ไหวแล้ว ของใหม่เพิ่มขึ้นทุกวันอีก หนำซ้ำยังมีอาชญากรทางไซเบอร์ (Cyber Criminal) คอยโจมตีหาผลประโยชน์กันอย่างไม่ขาดสาย พอจะหาทางออกก็มีคนกรูกันเข้ามาเสนอทั้งสินค้าทั้งบริการ ทุกอย่างดีไปหมด แต่บางทีเอามาใช้งานหรือทำไปแล้วยังมีความรู้สึกกังวล หรือยังมี Major Incident ที่ไม่น่าเกิดขึ้นมาอีก !!!
ไม่หรอกครับ — ไม่ใช่ความผิดของ Solution ที่ซื้อมา, ไม่ใช่ทีมงานคุณไม่เก่งพอ, ไม่ใช่โจรเก่งเกินไป (แล้วก็ไม่ใช่ Auditor ที่เขี้ยวลากดินด้วยครับ) — จากประสบการณ์ที่แก้ปัญหาให้กับองค์กรทุกประเภทและขนาดของ Advisor จาก CYNIUS ส่วนใหญ่เกิดจากการที่ไม่ได้ทำตามหลักการ ACBC และ CEVSหรือเต็ม ๆ คือ “Align Cybersecurity with Business Context” และ “Cover the Entire Value Stream”
ในบทความนี้ CYNIUS Advisor จะพาไปดูกันว่าหลักการ ACBC และ CEVS คืออะไร (What is) และจะทำยังไง (How to) เพื่อไม่ให้การลงทุนใน Cybersecurity เสียเปล่า (Extra Hint: เอาไปใช้กับ Privacy ก็ได้นะครับ)
เนื้อหาของบทความนี้จะใช้ตัวอย่างของธุรกิจ E-Commerce เพื่อให้เห็นภาพ
Estimated reading time: 4 minutes
Table of contents
Align Cybersecurity with Business Context (ACBC)
ก่อนอื่นเลย ไม่ว่าคุณกำลังจะลงทุนด้าน Cybersecurity เรื่องอะไร ด้วยเป้าหมายอะไร จะเป็นด้วยข้อบังคับหรือ ความเสี่ยงที่กำลังเผชิญให้ดูบริบท (Context) ของธุรกิจคุณให้ชัดเจนเสียก่อน แล้วจึงมาดำเนินการพัฒนาหรือปรับปรุงด้าน Cybersecurity ให้สอดรับ (Align) กับบริบทในที่ที่คุณอยู่ ซึ่งประกอบไปด้วย:
- Business Goal – ส่วนนี้จะทำให้คุณรู้ว่า ในเวลาที่คุณเผชิญสถานการณ์ที่ต้องตัดสินใจ หรือคับขัน ทั้งระดับกลยุทธ์และปฏิบัติการ คุณจะเลือกตัวเลือกไหนที่วางอยู่ตรงหน้าในเวลานั้น
- ตัวอย่าง: ถ้าธุรกิจของคุณคือ E-commerce ที่ต้องให้บริการทั่วโลก 24 ชั่วโมง 7 วัน และได้รับการจัดสรรงบประมาณมาให้ทดสอบเจาะระบบ ซึ่งพอสำหรับการทดสอบแค่ Application เดียว คุณจะเลือกทดสอบที่ระบบ Web E-Commerce หลัก ที่ให้บริการคนทั้งโลก หรือระบบ Human resource management ที่ให้บริการเฉพาะภายในองค์กรก่อนกัน? (นี่เป็นหนึ่งในตัวอย่าง Tough Choice ที่เกือบทุกคนต้องเจอ จริง ๆ แล้วปัจจัยที่ต้องพิจารณามีมากกว่านี้อีกมากครับ โดยเฉพาะเรื่องการเมืองภายใน ถือเป็นเรื่องธรรมดาที่ต้องใช้ศิลปะอย่างยิ่ง)
- Business Functions – คุณมีทรัพยากรจำกัดครับ คุณต้องทำความเข้าใจว่า Function ไหนในการดำเนินธุรกิจของคุณจำเป็นต่อความอยู่รอดของธุรกิจคุณที่สุด ก็ควรที่จะได้รับการจัดสรรทรัพยากรที่มีตามความเหมาะสม และลำดับความสำคัญ รวมถึงเรื่องของการพึ่งพากันและกัน (Dependency) ของแต่ละ Function ซึ่ง Function เหล่านี้ทำงานร่วมกันก่อเกิดเป็นสิ่งที่เรียกว่า Value Stream จะกล่าวถึงในหัวข้อถัดไป
- ตัวอย่าง: ต่อเนื่องจากตัวอย่างก่อนหน้าเลยครับ E-Commerce นอกจาก Function ในการเข้าถึง (Access) สินค้าซึ่งคุณใช้ Website เป็นหลักแล้วคุณจะต้องมี Function ที่สำคัญ ๆ อะไรอีกครับ? ว่าไปเลยตั้งแต่ การจัดการ Stock สินค้า, การขนส่ง, การกระจายสินค้า ฯลฯ ยังไม่รวมถึงระบบหลังบ้านที่สนับสนุนการดำเนินกิจการ เช่น การเงินการบัญชี, การบริหารจัดการทรัพยากรมนุษย์ ฯลฯ การที่จะทราบและจัดลำดับความสำคัญและ Dependency ได้ต้องทำ Business Impact Analysis (BIA)
- Business Process – ในแต่ละ Function จะมีกระบวนการภายใน (Process) ซึ่งรับ Input จาก Function ก่อนหน้าและส่งต่อ Output ไปยัง Function ถัดไป ซึ่งท้ายที่สุดแล้วกิจกรรม (Activity) ในกระบวนการเหล่านี้จะต้องถูก Break Down ออกมาเป็นทรัพยากรและทรัพย์สินที่ทำให้กิจกรรมเหล่านี้ดำเนินไปได้ (Supporting Asset/Resource) โดยปกติจะแบ่งเป็น Hardware, Software, Data/Information (ข้อมูลและสารสนเทศ) และบุคลากร ซึ่งจุดนี้เองที่เราจะมองเห็นสิ่งที่เรียกว่าจุดปะทะ (Attack Surface) เพื่อใช้ในการพิจารณาว่า Cybersecurity จะเข้ามาสร้างมูลค่าให้กับธุรกิจได้อย่างไร และจะทำยังไงให้การลงทุนไม่เสียเปล่า ผ่านกระบวนการที่เรียกว่า การประเมินความเสี่ยง (Risk Assessment)
- Standard/Framework Mapping – การใช้ Standard/Framework ใด ๆ (ไม่ว่าคุณจะเลือกมันเอง หรือเป็นความจำเป็นที่อุตสาหกรรมของคุณจะต้องทำ) ให้เหมาะสมกับสิ่งที่เรา Break Down มาจากขั้นตอนก่อนหน้า
- ตัวอย่าง: ในขั้นนี้ลองหยิบ Control มาสักหนึ่งตัวที่มีให้เห็นแน่ ๆ ใน Security Framework หรือ Standard ที่เป็นที่รู้จักครับ เอาเรื่องการพัฒนา Software ให้มีความปลอดภัย (Secure Software Development) เป็นตัวอย่างนะครับ คุณคิดว่าองค์กรที่พัฒนา Software ใช้เอง (in-house development) กับองค์กรที่จ้างคนนอกพัฒนาให้ (Outsource) จะใช้วิธีการควบคุมความปลอดภัยของ Software เหมือนกันหรือไม่ครับ? ไม่แน่นอนครับ องค์กรที่ In-house ต้อง Control หลายอย่างด้วยตัวเอง เช่น กำหนดมาตรฐานความปลอดภัยของ Software ให้สอดคล้องกับความเสี่ยงองค์กร, สร้างทักษะ Secure Coding ให้กับ Programmer, กระบวนการและ Software ที่ใช้สำหรับ CI/CD ฯลฯ ในขณะที่องค์กรที่ Outsource ต้องใช้เวลาไปกับการคัดเลือก ควบคุม และตรวจสอบ Outsourcer ให้พัฒนา Software ให้ได้เป็นไปตามมาตรฐานความปลอดภัยของ Software ขององค์กร ซึ่งจะทำผ่านข้อความในสัญญา (Contract) เป็นส่วนใหญ่ นี่ยังไม่นับองค์กรที่มีทุก Model ทั้ง In-house, outsource และ Off-the-shelf นะครับ การบริหารจัดการและกิจกรรมที่จะให้บรรลุผลตาม Control ข้อเดียวนี้ก็แตกต่างกันมากแล้วครับ
- Emerging Business Needs – ในส่วนนี้เป็นการมองไปยังอนาคตที่คาดการณ์ได้ (Foreseeable Future) ขององค์กรเราว่าจะมีการขยับขยายไปในทิศทางใด การใช้งาน Cyber System ควรจะเป็นอย่างไร เทคโนโลยีที่จะเข้ามามีอะไรบ้าง ความเสี่ยงเพิ่มหรือลดอย่างไร (ลดได้ครับ กรณีที่เป็นการถูกแทนที่กันด้วยเทคโนโลยีใหม่ หรือต้องเลิกใช้งานไป) และจะเตรียมการรับมืออย่างไร
เมื่ออ่านมาถึงตรงนี้ ทุกท่านคงตระหนัก และเห็นภาพแล้วว่า การจะลงทุนด้าน Cybersecurity เป็นเรื่องของแต่ละองค์กรที่จะต้องใช้วิธีการที่แตกต่างกัน ขึ้นอยู่กับบริบท (Context) ถึงแม้จะใช้ Framework เดียวกัน เพื่อให้ได้ผลลัพธ์เดียวกัน
Cover the Entire Value Stream (CEVS)
Value Stream หรือ สายธารคุณค่า คือ การไหลของทรัพยากรและข้อมูลสารสนเทศตลอดทั้งห่วงโซ่อุปทาน (Supply Chain) ว่ากันง่าย ๆ คือตั้งแต่จัดหาวัตถุดิบ จนสินค้าถึงมือลูกค้า ในส่วนนี้มีความสำคัญมากครับ เพราะในทางไซเบอร์เองก็เผชิญกับสิ่งที่เรียกว่า Cyber Supply Chain Attack อยู่และมีแนวโน้มว่าจะมีมากขึ้นด้วย
Value Stream ของธุรกิจสามารถวิเคราะห์ได้ โดยใช้วิธีการที่เรียกว่า Value Stream Mapping (VSM) เพื่อแยกแยะว่า Business Process/Activity อยู่ในประเภทใดจาก 3 ประเภทต่อไปนี้
- กิจกรรมที่เพิ่มมูลค่า (Value Adding)
- กิจกรรมที่ไม่เพิ่มมูลค่า แต่ มีความจำเป็น (Necessary but non-vale adding)
- กิจกรรมที่ไม่เพิ่มมูลค่า และ ไม่มีความจำเป็น (Non-value adding)
โดยหลักของ VSM เมื่อได้ผลลัพธ์มาแล้วคือ เราจะกำจัด Non-value adding Process ครับ ในบทความนี้เราไม่ได้พูดถึงการทำ VSM ครับ แต่เราจะเอาผลที่ได้จากการทำมาใช้ในการปกป้องและรับมือภัยคุกคามทางไซเบอร์ (Cyber threat, Cyber Incident) ให้เกิดประสิทธิผลสูงสุด ในทุกจุดที่สำคัญ และไม่พลาดจุดใดจุดหนึ่งไป โดยเฉพาะเมื่อเราต้อง Outsource เรามาดูตัวอย่าง Value Stream ของธุรกิจ E-Commerce กัน
Figure 1 E-Commerce Value Stream (https://www.researchgate.net/profile/Alessandro-Bramucci/publication/312332710/figure/fig1/AS:461999554469889@1487160685623/E-commerce-value-chain.png)
เมื่อเราเห็นภาพอย่างนี้แล้ว เราจะรู้ได้ทันทีเลยว่าจุดไหนควรได้รับการดูแลอย่างไร ใครเป็นคนรับผิดชอบ
- ตัวอย่าง: เลือกมา 1 Process เป็น Web front end (online shop) ละกันครับ แล้วสมมติว่าถ้า Web นี้เราเป็นคนพัฒนาเอง แต่ Host อยู่บน Cloud และมีการรับชำระค่าสินค้าผ่านบัตร Credit/Debit การลงทุนที่เหมาะสมจะเป็นเรื่องต่อไปนี้ เป็นอย่างน้อย และอาจไม่จำเป็นต้องทำทุกอย่างพร้อมกันก็ได้ (สมมติว่า Cybersecurity Policy ของเรามีพร้อมแล้วนะครับ)
- การอบรมเสริมสร้างทักษะ เรื่อง Secure Software Development Life Cycle (SSDLC) และ หลักการของ Development, Security and Operation (DevSecOps) ให้กับทีมผู้พัฒนาระบบ
- เครื่องมือที่ใช้ในกระบวนการ SSDLC และ DevSecOps
- Feature ด้านความมั่นคงปลอดภัยบน Cloud (ส่วนใหญ่ Cloud Provider ที่ใหญ่ ๆ จะมีเป็น Option ให้เลือก หรือมีบริการให้พร้อมซื้อมาใช้งานได้อยู่แล้ว หรือเราจะเลือกใช้ Solution ที่เรามีไป Integrate กับ Cloud ก็ได้ครับ)
- ในการป้องกันการโจมตี Website
- การสำรองข้อมูล
- ระบบสอดส่องดูแลภัยคุกคามเพื่อตรวจจับความผิดปกติ
- Cloud Provider ต้องมีความสามารถในการปฏิบัติตามข้อกำหนดของ PCI-DSS (มีการรับชำระค่าสินค้าผ่านบัตร Credit/Debit)
- Cloud Provider ต้องมีความสามารถในการปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองความเป็นส่วนตัวของประเทศเราได้เป็นอย่างน้อย (การซื้อขายของต้องมีการใช้ข้อมูลส่วนบุคคลในการสื่อสารกัน)
- บุคลากรและทักษะในการตรวจสอบ Cloud Security ตั้งแต่ Feasibility Analysis, Control Effectiveness ไปจนถึง Compliance เพราะเราต้องมั่นใจว่าเรา Cloud Provider ได้ปฏิบัติตามที่ได้กล่าวอ้างจริง ๆ
- ทดสอบเจาะระบบ Web Application เพื่อประเมินความปลอดภัยและให้แน่ใจว่า SSDLC และ Security Feature ต่าง ๆ ให้ผลที่คาดหวัง หากพบช่องโหว่จะได้พัฒนาปรับปรุงกระบวนการได้เหล่านั้นได้
ให้ทำเช่นนี้กับทุก Process ใน Value Stream โดยอาจจะจัดสรรตามลำดับก่อนหลังได้ตามความเหมาะสมที่ได้จาก Business Impact Analysis
เมื่อเราพิจารณา Value Stream และเลือกการลงทุนด้าน Cybersecurity ที่เหมาะสมกับทุก Process ใน Value Stream และ Asset/Resource (Hardware, Software, Data/Information, Human) ย่อมไม่เสียเปล่าอย่างแน่นอน นอกจากจะได้ผลตอบกลับ (Return on Security Investment) แล้ว บางครั้งเรายังสามารถเลือกลงทุนในวิธีการทดแทนที่ใช้เงินน้อยกว่า (Alternative Solution) หรือลงทุนครั้งเดียวแต่ใช้ได้กับหลาย ๆ Process ใน Value Stream ได้
คำถาม
- องค์กรไม่เคยทำ Value Stream Mapping ทำยังไง? มีทางออกตามนี้ครับ
- ทำ Value Stream Mapping ซึ่งปกติเรื่องของ Value Stream Mapping จะเกิดขึ้นเมื่อองค์กรพยายามจะ Lean ถึงเราไม่ได้จะ Lean องค์กรเรา เราก็สามารถใช้เป็นเครื่องมือในการจัดลำดับความสำคัญของ Function และ Process ได้
- ใช้ข้อมูล Business Process Flow ที่องค์กรมีอยู่ (ข้อมูลส่วนนี้เป็นตัวตั้งต้นในการ Lean) และเป็นข้อมูลที่อย่างน้อยต้องมีก่อนการดำเนินการใด ๆ ในทาง Cybersecurity
- ไม่มี Value Stream ไม่มี Business Process Flow ที่บันทึกไว้แน่ชัดจะดำเนินการใด ๆ ในทาง Cybersecurity ไม่ได้เลยใช่มั้ย? CYNIUS Advisor เจอบ่อยครับ ให้พิจารณาตามนี้
- แน่นอนว่า Business Process มันมีของมันอยู่แล้วต่อให้ไม่มีการบันทึกไว้ แต่ถ้าเราต้องการวิเคราะห์ธุรกิจเราเพื่อปรับปรุงอะไรสักอย่าง (ซึ่งในกรณีของเราคือ Cybersecurity) แล้วไม่มีอะไรให้อ้างอิงเลย จะใช้เวลามาก
- เมื่อไม่มีอะไรให้อ้างอิง ส่วนใหญ่จะบริหารจัดการกันแบบที่เรียกว่า Ad-Hoc ซึ่งเสี่ยงต่อการเสียเปล่าสูง และคุณจะไม่มีทางได้ Maturity Level หรือ Tier สูง ๆ ของ Standard หรือ Framework ใด ๆ เลย
- เป็นหนึ่งในเหตุผลที่ผู้เขียนเลือกเขียนบทความนี้ครับ
สรุป
- Align Cybersecurity with Business Context (ACBC) คือเราต้องรู้บริบทเพื่อการจัดลำดับความสำคัญและเลือกใช้วิธีการหรือเครื่องมือที่เหมาะสมในการบรรลุเป้าหมายด้าน Cybersecurity สำหรับองค์กรเราโดยเฉพาะ โดยการ Know และ Breakdown.
- Know – รู้จัก Business Goal และ Function ทั้งหมด
- Breakdown Business Process เพื่อให้เห็นถึง Technology, บุคลากร และข้อมูลสารสนเทศที่ต้องใช้ในการดำเนินธุรกิจเพื่อให้ทราบความเสี่ยงที่จะเกิดกับทรัพยากรเหล่านี้และการลงทุนที่ควรจะทำเพื่อปกป้อง
- Cover the Entire Value Stream (CEVS) การ Align Cybersecurity ต้องทำทั้ง Value Stream (ไม่จำเป็นต้องทำทั้ง Stream ในคราวเดียว สามารถแบ่งออกเป็น Phase ได้) เพื่อให้แน่ใจว่าทุกจุดมีความมั่นคงปลอดภัย มีความพร้อมตลอดทั้ง Supply Chain
- Balance ระหว่าง การป้องกัน และ ความพร้อมในการตอบสนอง (Incident Response) เพราะไม่มีการป้องกันใดให้ผล 100% การถูกโจมตีไม่ได้ขึ้นอยู่กับว่าจะสำเร็จหรือไม่ แต่จะสำเร็จเมื่อไหร่
Sunt-tanarit Prapassaraporn
Founder & CEO
PCI-QSA, CISSP, HCISPP, GXPN, GWAPT, OSCP, CCSK, CDFE