Cyber Risk Assessment (การประเมินความเสี่ยงทางไซเบอร์)


Estimated reading time: 3 minutes


คุณเคยสงสัยบ้างไหม เมื่อคุณคิดอยากจะจัดการให้องค์กรของคุณมีความมั่นคงปลอดภัยทางไซเบอร์ แต่ไม่รู้จะเริ่มต้นตรงไหนก่อนดี? กระบวนการอะไรที่ต้องมี? เครื่องมืออะไรที่ต้องใช้? ตำแหน่งงานไหนที่จำเป็น? ฯลฯ คำถามเหล่านี้จะได้คำตอบชัดเจนมากขึ้น เมื่อคุณรู้จักองค์กรของตัวเองมากขึ้น และ เมื่อคุณได้รู้จักกับคำว่า “Risk Assessment” หรือ “ การประเมินความเสี่ยง ”



การประเมินความเสี่ยง (Cyber Risk Assessment)

Risk assessment เป็นส่วนหนึ่งของกระบวนการ Risk Management ตามที่ถูกกล่าวถึงใน NIST Special Publication 800-39 และยังเป็นส่วนหนึ่งของ NIST Cybersecurity Framework (NIST CSF) ในขั้นตอนที่ 4 (จาก 7 ขั้นตอน) – Conduct a Risk Assessment อีกด้วย กล่าวคือเป็นการประเมินความเสี่ยง เพื่อให้ทราบว่ากระบวนการ/ทรัพย์สิน มีความเสี่ยงที่จะถูกโจมตี หรือถูกคุกคามทางไซเบอร์มากน้อยเพียงใด คำถามถัดมาคือ แล้วเราจะประเมินความเสี่ยงอะไร?
เพื่อให้ง่ายต่อความเข้าใจ ทางเราขอแบ่งขั้นตอนหลัก ๆ เป็น สามขั้นตอน คือ การเตรียมการ, การประเมินความเสี่ยง และ การนำผลการประเมินความเสี่ยงไปใช้งาน


การเตรียมความพร้อม (Preparation)

ก่อนที่จะทำการประเมินความเสี่ยง (Cyber Risk Assessment) องค์กรควรรู้จักตัวเองก่อน กล่าวคือ ควรมีการเตรียมการ อันดับแรกคือจะต้องทราบขอบเขต (Scope) ที่จะประเมินความเสี่ยง โดยเราอาจจะเลือกออกมาเป็นกระบวนการใหญ่ เช่น กระบวนการขาย (Sale process) หรือเจาะจงลงไปอีก เช่น กระบวนการจัดซื้ออุปกรณ์สำนักงาน หรืออื่น ๆ โดยองค์กรควรจะมีข้อมูลเบื้องต้นต่าง ๆ สำหรับกระบวนการที่เลือกตามหัวข้อดังต่อไปนี้เป็นอย่างน้อย คือ กระบวนการทางธุรกิจและกิจกรรมในกระบวนการ  (Business process and Activity within Process), แผนภาพทางเครือข่าย (Network Diagram), รายการทรัพย์สิน (Asset Inventories), ข้อมูลและแผนภาพของข้อมูล (Data & Data Flow diagram) และ บุคคลากรที่เกี่ยวข้อง


ระบุความเสี่ยง (Risk Identification)

โดยเราจะนำกิจกรรมในกระบวนการ มาวิเคราะห์ความเสี่ยงต่างๆ ที่สามารถเกิดขึ้นได้ โดยระบุทรัพย์สิน, ข้อมูล, บุคลากร สำหรับกิจกรรมนั้นๆ คู่กับเหตุการณ์ที่เป็นภัยคุกคามที่สามารถเกิดขึ้นได้ ผลลัพธ์ที่ได้คือสิ่งที่เรียกว่า Risk Statement ในส่วนนี้ต้องอาศัยความรู้ความเชี่ยวชาญจากหน่วยงานที่เกี่ยวข้อง และผู้เชี่ยวชาญด้าน Cybersecurity เพื่อที่จะประเมินได้รอบด้าน

Risk Statement Sample
Risk Statement Sample

การวิเคราะห์ความเสี่ยง (Risk Analysis)

เราจะทำการวิเคราะห์ช่องโหว่ (Vulnerability) และภัยคุกคาม (Threat) ที่สามารถทำให้ Risk Statement ตามที่เราวิเคราะห์ไว้ในขึ้นตอน Risk Identification เป็นจริงขึ้นมาได้ เช่นเดียวกับขั้นตอนก่อนหน้า ต้องวิเคราะห์ออกมาให้ได้รอบด้าน ครบถ้วน

Risk Analysis Sample
Risk Analysis Sample

การให้ระดับความเสี่ยง (Risk Evaluation)

เราจะทำการวิเคราะห์หาค่าความเสี่ยงของแต่ละช่องโหว่ โดยสามารถทำได้ทั้งแบบเชิงปริมาณ (Quantitative analysis) ที่วิเคราะห์ออกมาเป็นค่าเงิน และเชิงคุณภาพ (Qualitative analysis) ที่วิเคราะห์ออกมาเป็นระดับความเสี่ยง สูง กลาง ต่ำ นั่นเอง (อาจจะมีมากกว่านี้ ขึ้นอยู่กับมาตรฐาน และนิยามของแต่ละระดับ สำคัญคือต้องเหมาะสมกับองค์กร) ซึ่งในขั้นตอนนี้ จะให้คำตอบกับทางองค์กรตามที่กล่าวตอนเริ่มต้นบทความนี้ ได้แล้ว ว่า ช่องโหว่ใด (หมายความว่า ท่านจะทราบด้วยว่า มีทรัพย์สินอะไรบ้างที่เกี่ยวกับช่องโหว่นั้น) ควรจัดการก่อน-หลัง

การประเมินในส่วนนี้ นอกจากการ Brain Storm แล้ว ยังสามารถใช้ การทดสอบเจาะระบบ (Penetration Test; Pentest), การประเมินช่องโหว่ (Vulnerability Assessment; VA), การตรวจสอบการตั้งค่าด้านความปลอดภัย (Security Configuration review) ฯลฯ ในการระบุค่าความเสี่ยงที่แม่นยำยิ่งขึ้นไปได้

Risk Evaluation Sample
Risk Evaluation Sample

การตอบสนองต่อความเสี่ยง (Risk Response/Treatment)

สุดท้าย เป็นขั้นตอนในการจัดการความเสี่ยง โดยทางองค์กรจะระบุวิธีการแก้ไขหรือการควบคุมความเสี่ยงของช่องโหว่ที่จัดลำดับมาในขั้นตอนก่อนหน้า จนอยู่ในระดับที่องค์กรสามารถรับได้ หลังจากทำกระบวนการ Cyber Risk assessment เรียบร้อย เรายังจะทราบ ความเสี่ยงที่หลงเหลืออยู่ (Residual Risk) หลังจากขั้นตอนของ Risk Treatment อีกด้วย โดยองค์กร จะต้องคอยเฝ้าระวัง (Monitoring) และจัดการความเสี่ยงเหล่านี้ ต่อไป

Risk Response/Treatment Sample
Risk Response/Treatment Sample

สรุป

ประโยชน์ของการประเมินความเสี่ยง อย่างเป็นขั้นตอน (Robust Risk Assessment Methodology) คือ เราจะสามารถนำความเสี่ยงที่ได้จากการประเมินความเสี่ยงในขั้นตอนเหล่านี้สื่อสารไปยังผู้มีอำนาจตัดสินใจขององค์กรเพื่อสนับสนุนการตอบสนองความเสี่ยง และสามารถแจกแจงไปยังผู้รับผิดชอบให้จัดการความเสี่ยงที่ถูกประเมินได้อย่างมีประสิทธิภาพและมีเหตุมีผล  ดังนั้น ผู้เขียนจะขอสรุปตอบคำถาม “จะทำอะไรก่อนดี” สำหรับบทความนี้ อย่างสั้นๆว่า “ประเมินความเสี่ยงก่อน แล้วจะรู้ว่าทำอะไรก่อนดี” ครับ

ในโอกาสต่อไปทางซีเนียสจะพาไปทำความเข้าใจกับ การบริหารจัดการความเสี่ยง (Risk Management) ที่ถือเป็น Super Set ของ Risk Assessment โดยมีวัตถุประสงค์คือการผนวกภาพรวมของการจัดการความเสี่ยงด้านต่าง ๆ ขององค์กรเข้าด้วยกัน โดยเฉพาะทางด้าน Cybersecurity เพื่อให้เกิดความเป็นอันเดียวกันตลอดทั้งองค์กรในด้านการจัดการความเสี่ยง


Natchaphon Burapanonte
Co-Founder & Consulting Manager

CISSP, GPEN, OSWP, CRTP, CEH, CSFPC, SLAE64

Leave a Reply

Your email address will not be published. Required fields are marked *

error: Content is protected !!