เมื่อพิจารณาข้อกำหนดของหน่วยงานกำกับดูแลเรื่องความมั่นคงปลอดภัยทางไซเบอร์ ไม่ว่าจะเป็นภายในประเทศ เช่น ประกาศธนาคารแห่งประเทศไทย (ธปท.) ประกาศคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) หรือ ระหว่างประเทศ ในบางครั้งแยกตามกลุ่มอุตสาหกรรม เช่น PCI-DSS ต่างก็กำหนดให้มีการทดสอบเจาะระบบ (Penetration Test) อยู่เสมอ องค์กรไหนที่มีความเชี่ยวชาญในข้อกำหนด และมีประสบการณ์ในการทดสอบเจาะระบบอยู่แล้ว ย่อมสามารถปฏิบัติตามได้ไม่ยาก แต่หากองค์กรไหนที่เพิ่งเริ่มหรือพอมีข้อมูลอยู่บ้างแล้ว บทความนี้แนะนำหลักสำคัญว่าจะต้องทำการทดสอบเจาะระบบอย่างไร เพื่อให้ตอบโจทย์เรื่องของความเสี่ยง (Risk) ตามข้อกำหนด นอกจากนั้น บทความนี้ยังเหมาะกับผู้ที่ต้องการใช้ประโยชน์จากการทดสอบเจาะระบบให้เกิดประโยชน์สูงสุดกับองค์กรและหน้าที่การงานของทุกคน ไม่ใช่ให้การทดสอบเจาะระบบเป็นเพียงกิจกรรมทางเทคนิคของฝ่าย IT และ Cybersecurity เท่านั้น 1. ทราบสภาพแวดล้อมทางธุรกิจ กฎข้อบังคับ และข้อกำหนด ที่ต้องทำตาม เริ่มต้นจากทราบให้แน่ชัดก่อนว่ามีข้อกำหนดหรือกฎหมายใดบ้างที่มีผลบังคับใช้กับองค์กร และเนื้อหากล่าวไว้ว่าอย่างไร การมีข้อมูลในส่วนนี้ที่ชัดเจนจะสามารถช่วยเหลือเราได้อย่างมากเฉพาะในเรื่อง ลดความซ้ำซ้อนในการดำเนินการทดสอบและออกรายงาน หากเราทราบข้อกำหนดที่เกี่ยวข้องครบถ้วน เราสามารถที่จะดำเนินการทดสอบครั้งเดียวให้ผลที่ได้สอดคล้องกับข้อกำหนดทั้งหมดได้ เราอาจจะสามารถใช้วิธีอื่นที่ประหยัดงบประมาณกว่า ซึ่งบางครั้งอาจหมายถึงการดำเนินการทดสอบในรูปแบบอื่น ๆ เช่น การประเมินช่องโหว่ (Vulnerability Assessment), การตรวจสอบการตั้งค่าของระบบ (Configuration Review), การตรวจสอบความผิดพลาดด้านความปลอดภัยของ […]
Tag Archives: risk assessment
คุณเคยสงสัยบ้างไหม เมื่อคุณคิดอยากจะจัดการให้องค์กรของคุณมีความมั่นคงปลอดภัยทางไซเบอร์ แต่ไม่รู้จะเริ่มต้นตรงไหนก่อนดี? กระบวนการอะไรที่ต้องมี? เครื่องมืออะไรที่ต้องใช้? ตำแหน่งงานไหนที่จำเป็น? ฯลฯ คำถามเหล่านี้จะได้คำตอบชัดเจนมากขึ้น เมื่อคุณรู้จักองค์กรของตัวเองมากขึ้น และ เมื่อคุณได้รู้จักกับคำว่า “Risk Assessment” หรือ “ การประเมินความเสี่ยง ” การประเมินความเสี่ยง (Cyber Risk Assessment) Risk assessment เป็นส่วนหนึ่งของกระบวนการ Risk Management ตามที่ถูกกล่าวถึงใน NIST Special Publication 800-39 และยังเป็นส่วนหนึ่งของ NIST Cybersecurity Framework (NIST CSF) ในขั้นตอนที่ 4 (จาก 7 ขั้นตอน) – Conduct a Risk Assessment อีกด้วย กล่าวคือเป็นการประเมินความเสี่ยง เพื่อให้ทราบว่ากระบวนการ/ทรัพย์สิน มีความเสี่ยงที่จะถูกโจมตี หรือถูกคุกคามทางไซเบอร์มากน้อยเพียงใด คำถามถัดมาคือ แล้วเราจะประเมินความเสี่ยงอะไร?เพื่อให้ง่ายต่อความเข้าใจ ทางเราขอแบ่งขั้นตอนหลัก […]