Tag Archives: cissp

ทดสอบเจาะระบบอย่างไร ให้ตอบโจทย์หน่วยงานกำกับดูแล

เมื่อพิจารณาข้อกำหนดของหน่วยงานกำกับดูแลเรื่องความมั่นคงปลอดภัยทางไซเบอร์ ไม่ว่าจะเป็นภายในประเทศ เช่น ประกาศธนาคารแห่งประเทศไทย (ธปท.) ประกาศคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) หรือ ระหว่างประเทศ ในบางครั้งแยกตามกลุ่มอุตสาหกรรม เช่น PCI-DSS ต่างก็กำหนดให้มีการทดสอบเจาะระบบ (Penetration Test) อยู่เสมอ องค์กรไหนที่มีความเชี่ยวชาญในข้อกำหนด และมีประสบการณ์ในการทดสอบเจาะระบบอยู่แล้ว ย่อมสามารถปฏิบัติตามได้ไม่ยาก แต่หากองค์กรไหนที่เพิ่งเริ่มหรือพอมีข้อมูลอยู่บ้างแล้ว บทความนี้แนะนำหลักสำคัญว่าจะต้องทำการทดสอบเจาะระบบอย่างไร เพื่อให้ตอบโจทย์เรื่องของความเสี่ยง (Risk) ตามข้อกำหนด นอกจากนั้น บทความนี้ยังเหมาะกับผู้ที่ต้องการใช้ประโยชน์จากการทดสอบเจาะระบบให้เกิดประโยชน์สูงสุดกับองค์กรและหน้าที่การงานของทุกคน ไม่ใช่ให้การทดสอบเจาะระบบเป็นเพียงกิจกรรมทางเทคนิคของฝ่าย IT และ Cybersecurity เท่านั้น 1. ทราบสภาพแวดล้อมทางธุรกิจ กฎข้อบังคับ และข้อกำหนด ที่ต้องทำตาม เริ่มต้นจากทราบให้แน่ชัดก่อนว่ามีข้อกำหนดหรือกฎหมายใดบ้างที่มีผลบังคับใช้กับองค์กร และเนื้อหากล่าวไว้ว่าอย่างไร การมีข้อมูลในส่วนนี้ที่ชัดเจนจะสามารถช่วยเหลือเราได้อย่างมากเฉพาะในเรื่อง ลดความซ้ำซ้อนในการดำเนินการทดสอบและออกรายงาน หากเราทราบข้อกำหนดที่เกี่ยวข้องครบถ้วน เราสามารถที่จะดำเนินการทดสอบครั้งเดียวให้ผลที่ได้สอดคล้องกับข้อกำหนดทั้งหมดได้ เราอาจจะสามารถใช้วิธีอื่นที่ประหยัดงบประมาณกว่า ซึ่งบางครั้งอาจหมายถึงการดำเนินการทดสอบในรูปแบบอื่น ๆ เช่น การประเมินช่องโหว่ (Vulnerability Assessment), การตรวจสอบการตั้งค่าของระบบ (Configuration Review), การตรวจสอบความผิดพลาดด้านความปลอดภัยของ […]

Cyber Risk Assessment (การประเมินความเสี่ยงทางไซเบอร์)

คุณเคยสงสัยบ้างไหม เมื่อคุณคิดอยากจะจัดการให้องค์กรของคุณมีความมั่นคงปลอดภัยทางไซเบอร์ แต่ไม่รู้จะเริ่มต้นตรงไหนก่อนดี? กระบวนการอะไรที่ต้องมี? เครื่องมืออะไรที่ต้องใช้? ตำแหน่งงานไหนที่จำเป็น? ฯลฯ คำถามเหล่านี้จะได้คำตอบชัดเจนมากขึ้น เมื่อคุณรู้จักองค์กรของตัวเองมากขึ้น และ เมื่อคุณได้รู้จักกับคำว่า “Risk Assessment” หรือ “ การประเมินความเสี่ยง ” การประเมินความเสี่ยง (Cyber Risk Assessment) Risk assessment เป็นส่วนหนึ่งของกระบวนการ Risk Management ตามที่ถูกกล่าวถึงใน NIST Special Publication 800-39 และยังเป็นส่วนหนึ่งของ NIST Cybersecurity Framework (NIST CSF) ในขั้นตอนที่ 4 (จาก 7 ขั้นตอน) – Conduct a Risk Assessment อีกด้วย กล่าวคือเป็นการประเมินความเสี่ยง เพื่อให้ทราบว่ากระบวนการ/ทรัพย์สิน มีความเสี่ยงที่จะถูกโจมตี หรือถูกคุกคามทางไซเบอร์มากน้อยเพียงใด คำถามถัดมาคือ แล้วเราจะประเมินความเสี่ยงอะไร?เพื่อให้ง่ายต่อความเข้าใจ ทางเราขอแบ่งขั้นตอนหลัก […]

ทำยังไงไม่ให้การลงทุนใน Cybersecurity เสียเปล่า?

– How not to f*ck up your cybersecurity investment – ความหนักใจของ CIO/CISO/CSO เกี่ยวกับเรื่องของ Cybersecurity หนีไม่พ้นยุคปัจจุบันที่ความต้องการใช้งานระบบเทคโนโลยีที่ทำงานบนเครือข่าย หรือ Cyber System มีมากขึ้นทุกวัน โครงการใหม่ ๆ ที่จะนำเทคโนโลยีใหม่ ๆ มาใช้มีนับไม่ถ้วน ลำพังดูแลของเดิมที่มีก็แทบจะไม่ไหวแล้ว ของใหม่เพิ่มขึ้นทุกวันอีก หนำซ้ำยังมีอาชญากรทางไซเบอร์ (Cyber Criminal) คอยโจมตีหาผลประโยชน์กันอย่างไม่ขาดสาย พอจะหาทางออกก็มีคนกรูกันเข้ามาเสนอทั้งสินค้าทั้งบริการ ทุกอย่างดีไปหมด แต่บางทีเอามาใช้งานหรือทำไปแล้วยังมีความรู้สึกกังวล หรือยังมี Major Incident ที่ไม่น่าเกิดขึ้นมาอีก !!! ไม่หรอกครับ — ไม่ใช่ความผิดของ Solution ที่ซื้อมา, ไม่ใช่ทีมงานคุณไม่เก่งพอ, ไม่ใช่โจรเก่งเกินไป (แล้วก็ไม่ใช่ Auditor ที่เขี้ยวลากดินด้วยครับ) — จากประสบการณ์ที่แก้ปัญหาให้กับองค์กรทุกประเภทและขนาดของ Advisor จาก CYNIUS ส่วนใหญ่เกิดจากการที่ไม่ได้ทำตามหลักการ ACBC […]