Information Risk Management คืออะไร? ทำไมองค์กรยุคใหม่ถึงขาดไม่ได้

By Thanayut Maktheppong,

Penetration Tester Team, Datafarm Company Limited

ที่มา : https://www.mygreatlearning.com/blog/wp-content/uploads/2022/08/iStock-1189050206.jpg

ในโลกธุรกิจปัจจุบัน ข้อมูลคือ สินทรัพย์ที่ล้ำค่าที่สุด ซึ่งมีอำนาจขับเคลื่อนองค์กรไปข้างหน้า แต่ในขณะเดียวกัน มันก็เปรียบเสมือน ดาบสองคม ที่สามารถสร้างและทำลายองค์กรได้ในเวลาเดียวกัน

การปล่อยให้ข้อมูลโดนขโมยหรือถูกนำไปใช้ผิดวัตถุประสงค์ ก็ไม่ต่างจากการเปิดทางให้คู่แข่งหรือแฮกเกอร์เข้ามาทำลายรากฐานธุรกิจของเราเอง

ผู้บริหารที่มองการณ์ไกลจึงมักจะทราบดีว่า การลงทุนในการบริหารจัดการ “ความเสี่ยงด้านสารสนเทศ” ไม่ใช่ค่าใช้จ่าย แต่เป็นเหมือน การป้องกันอนาคตขององค์กร ซึ่งยิ่งสำคัญขึ้นเรื่อยๆ ในทุกๆ ปี

Information Risk Management โปรแกรมจึงถูกสร้างขึ้นมาเพื่อช่วยให้องค์กรรู้เท่าทันและป้องกันภัยไซเบอร์อย่างมีระบบ ไม่ใช่แค่การตั้งรหัสผ่านยากๆ แล้วจบ แต่ต้องวางแผนและร่วมมือกันทั้งองค์กร

1.จุดประสงค์และขอบเขตของ IRM โปรแกรม

เป้าหมายหลักของ IRM มีอยู่ 3 ข้อ

- รู้ให้ทันความเสี่ยงที่เกี่ยวกับข้อมูล

- ประเมินว่าแต่ละความเสี่ยงจะส่งผลกระทบแค่ไหน

- เลือกมาตรการรับมือให้เหมาะสม

พูดง่ายๆ คือ ช่วยให้ข้อมูลสำคัญของบริษัทปลอดภัย ไม่โดนแฮก ไม่ถูกแก้ไขโดยไม่ได้รับอนุญาต และพร้อมใช้งานเสมอ (CIA)

ใครรับผิดชอบอะไรบ้าง?

ที่มา : https://image-optimizer.cyberriskalliance.com/unsafe/1920x0/https://files.cyberriskalliance.com/wp-content/uploads/2022/11/111622_presentation.jpg

· คณะกรรมการบริหารความเสี่ยง (Risk Governance Board): กำหนดนโยบายและกลยุทธ์หลัก

· ผู้จัดการด้านความเสี่ยงสารสนเทศ (ISRM Manager): ประสานงานและดำเนินการตามแผน

· เจ้าของระบบ (System Owners): ตรวจสอบและประเมินความเสี่ยงของระบบที่รับผิดชอบ

· ผู้ใช้ระบบ (End Users): ปฏิบัติตามนโยบายด้านความปลอดภัยอย่างเคร่งครัด

การกำกับดูแล (Governance)

ต้องมีกรอบนโยบายชัดเจน เช่น ISO/IEC 27001,27005 เพื่อให้มั่นใจว่าการจัดการความเสี่ยงถูกดำเนินการอย่างต่อเนื่องและมีการตรวจสอบเป็นระยะ

เกณฑ์การจัดการความเสี่ยงสารสนเทศ

องค์กรควรกำหนดเกณฑ์การยอมรับความเสี่ยง (Risk Appetite) เพื่อให้สามารถตัดสินใจได้ว่าความเสี่ยงใดควรยอมรับ ลด หรือต้องหลีกเลี่ยง

2. การระบุความเสี่ยง (Risk Identification)

ที่มา : https://media.makeameme.org/created/risk-risk-everywhere.jpg

คือ ขั้นตอนแรกในกระบวนการบริหารความเสี่ยง ซึ่งเป็นกระบวนการค้นหาและบันทึกเหตุการณ์หรือสถานการณ์ต่างๆ ที่อาจส่งผลกระทบในทางลบต่อวัตถุประสงค์ขององค์กร

เรื่องนี้ผมนึกถึงเคสที่เกิดขึ้นกับบริษัททั้งในไทยและต่างประเทศคือ การเจอปัญหาไวรัสเรียกค่าไถ่ สุดท้ายเราต้องถอยหลังไปดูทุกจุดที่อาจเป็นช่องโหว่ซึ่งส่งผลให้ข้อมูลอาจรั่วไหล ตั้งแต่ระบบคอมฯ พนักงาน ยันผู้รับเหมาภายนอก

เริ่มจากการรวบรวมข้อมูลจากหลายแหล่ง เช่น ระบบสารสนเทศ โครงสร้างพื้นฐาน บุคลากร และข้อมูลคู่ค้า

เทคนิคที่ใช้ เช่น:

- การระดมสมอง (Brainstorming): เป็นการประชุมกลุ่มเพื่อแลกเปลี่ยนความคิดเห็นเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นได้อย่างอิสระ

- การวิเคราะห์ SWOT: ใช้ประเมินปัจจัยภายใน (จุดแข็ง จุดอ่อน) และปัจจัยภายนอก (โอกาส อุปสรรค) ที่อาจส่งผลต่อโครงการหรือธุรกิจ

- การสัมภาษณ์ผู้มีส่วนได้ส่วนเสีย: การพูดคุยกับผู้เชี่ยวชาญหรือผู้ที่มีความเกี่ยวข้องโดยตรงกับโครงการ เพื่อให้ได้ข้อมูลเชิงลึกเกี่ยวกับความเสี่ยงที่อาจไม่ชัดเจน

- การทบทวนเอกสาร: ตรวจสอบเอกสารที่เกี่ยวข้อง เช่น แผนโครงการ รายงานในอดีต หรือข้อมูลทางสถิติ เพื่อค้นหาความเสี่ยงที่เคยเกิดขึ้น

- การวิเคราะห์สาเหตุหลัก (Root Cause Analysis): การสืบสวนหาสาเหตุที่แท้จริงของปัญหาที่เคยเกิดขึ้นในอดีต เพื่อป้องกันไม่ให้เกิดขึ้นซ้ำ

- การจัดทำรายการตรวจสอบ (Checklists): การใช้รายการความเสี่ยงที่เคยเกิดขึ้นในอดีตหรือความเสี่ยงที่พบบ่อย เพื่อเป็นแนวทางในการตรวจสอบความเสี่ยงในโครงการปัจจุบัน

- การทำ “Threat Modeling” (ลองจินตนาการโจรจะบุกเข้ามาตรงไหนได้บ้าง)

การประเมินผลกระทบ (Impact Assessment)

ประเมินว่าหากเกิดเหตุการณ์ความเสี่ยงขึ้น จะส่งผลต่อธุรกิจอย่างไร เช่น การสูญหายของข้อมูลสำคัญ หรือการหยุดชะงักของระบบและธุรกิจ

3. ประเมินภัยคุกคามและหาช่องโหว่

คือ กระบวนการเชิงรุกที่ใช้เพื่อระบุ วิเคราะห์ และประเมินภัยคุกคามและจุดอ่อนด้านความปลอดภัยที่อาจเกิดขึ้นกับระบบ โครงสร้างพื้นฐาน และข้อมูลขององค์กร โดยมีเป้าหมายเพื่อตรวจหาและระบุช่องโหว่ (Vulnerability) ต่างๆ ก่อนที่ผู้ไม่หวังดีจะเข้ามาโจมตีหรือนำไปใช้ประโยชน์

ระบุแหล่งที่มาของภัยคุกคาม เช่น

- Human error

- ภัยธรรมชาติ เช่น ไฟดับ น้ำท่วม ถนนยุบ

- ซอฟต์แวร์ที่ยังไม่ได้อัปเดต

ตัวอย่างง่ายๆ เหมือนบ้านที่ลืมล็อกหน้าต่าง ต่อให้มีกล้องวงจรปิดกี่ตัว โจรก็ยังเข้ามาได้อยู่ดี

การประเมินช่องโหว่

ตรวจสอบระบบเพื่อหาจุดอ่อน เช่น ช่องโหว่ทางเทคนิค หรือการตั้งค่าระบบที่ไม่ปลอดภัย

การระบุการควบคุมที่มีอยู่

สำรวจมาตรการควบคุมที่ใช้อยู่ เช่น Firewall, การเข้ารหัส, หรือการตรวจสอบสิทธิ์ผู้ใช้

4. วิเคราะห์และประเมินความเสี่ยง

TL; DR

พิจารณาความน่าจะเป็นของการเกิดเหตุ → คำนวณระดับความเสี่ยงโดยพิจารณาทั้งผลกระทบและโอกาส -> เปรียบเทียบระดับความเสี่ยงกับเกณฑ์การยอมรับ เพื่อจัดลำดับความสำคัญในการจัดการ

ที่มา: https://financialcrimeacademy.org/wp-content/uploads/2022/05/fff-4-1024x576.jpg

คือ ขั้นตอนในการทำความเข้าใจลักษณะและธรรมชาติของความเสี่ยง รวมถึงระดับความเสี่ยง โดยอาศัยการพิจารณารายละเอียด เช่น โอกาสในการเกิด ความรุนแรง ความซับซ้อนของความเสี่ยง และมาตรการควบคุมความเสี่ยงที่มีอยู่ เพื่อช่วยให้เราสามารถประเมินระดับของความเสี่ยงและผลกระทบที่ตามมาได้ รวมถึงได้ความเข้าใจเชิงลึกก่อนทำการประเมินผลของความเสี่ยงในขั้นตอนต่อไป

ตัวอย่าง เช่น

- โอกาสเกิดเหตุ (เช่น เคยโดนแฮกมาแล้ว 2 ครั้งในปีเดียว)

- ผลกระทบถ้าเกิดปัญหา (ระบบล่ม ข้อมูลลูกค้าหาย)

- เปรียบเทียบกับเกณฑ์ที่รับได้ (รับความเสี่ยงได้แค่ไหน?)

5. การจัดการความเสี่ยง

ที่มา: https://getriskmanager.com/wp-content/uploads/2022/03/Untitled-design.png

คือ กระบวนการที่เลือกทางเลือกและนำไปปฏิบัติเพื่อลดความรุนแรงของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ โดยอาจใช้วิธีการต่างๆ เช่น การหลีกเลี่ยง, การลด, การโอนย้าย, หรือการยอมรับความเสี่ยง

ตัวอย่าง เช่น:

- หลีกเลี่ยง: ตัดบริการหรือระบบที่เสี่ยงออกไปเลย

- โอนย้าย: ซื้อประกัน หรือจ้างพาร์ทเนอร์ที่เชี่ยวชาญ

- ยอมรับ: ถ้าความเสี่ยงเล็กน้อยไม่คุ้มค่าการจัดการก็ปล่อยไว้ได้

อีกทั้งเรายังสามารถเพิ่มมาตรการเสริม เช่น

- เข้ารหัสข้อมูล

- ตั้งรหัสผ่านหลายชั้น (MFA)

- สำรองข้อมูลทุกวัน

6. การรายงานและนำเสนอ

ที่มา:https://s31345.pcdn.co/wp-content/uploads/Business-woman-presenting-to-colleagues-in-meeting-room-1-1024x454.jpg.optimal.jpg

คือ การจัดทำรายงานและนำเสนอข้อมูลเกี่ยวกับความเสี่ยงที่องค์กรต้องเผชิญ เพื่อให้ผู้มีส่วนเกี่ยวข้อง เช่น ผู้บริหาร คณะกรรมการ หรือหน่วยงานกำกับดูแล เข้าใจสถานะความเสี่ยงในปัจจุบัน สามารถใช้ประกอบการตัดสินใจและดำเนินการเพื่อบริหารจัดการความเสี่ยงได้อย่างเหมาะสม

รายงานความเสี่ยงที่ดีควรรวบรวมข้อมูลสำคัญ ดังนี้

- สรุปความเสี่ยงให้ผู้บริหารเข้าใจง่ายๆ

- เสนอแผนรับมือ ขออนุมัติ

- วางแผนสำรองและซ้อมกู้ข้อมูลบ่อยๆ (เผื่อวันจริงไฟดับหรือข้อมูลหาย)

7. สื่อสารและติดตามผล

ที่มา:https://www.bitlyft.com/hubfs/Imported\_Blog\_Media/soc-woman-leader.jpeg

เป็นกระบวนการที่องค์กรจะต้องมีเพื่อติดตามทุกกระบวนการเพื่อให้ทราบถึงผลการดำเนินงานว่าเหมาะสมและสุดท้ายแล้วผลลัพธ์ที่ต้องการคือสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพหรือไม่โดยนำข้อมูลการติดตามไปทบทวน (Review) เทียบกับเป้าหมายที่วางไว้เพื่อตัดสินใจความเหมาะสม ความเพียงพอ และประสิทธิผล

ตัวอย่าง เช่น

- ประชุมทีมงานทุกเดือน อัปเดตข่าวสารความเสี่ยงใหม่ๆ

- ประเมินซ้ำปีละครั้ง หรือบ่อยกว่านั้นถ้าจำเป็น

— -

สรุป

อย่ามอง Information Risk Management ว่าเป็นแค่เทคนิคหรือกระบวนการที่ต้องทำไปเพื่อให้ได้มาตราฐานและผ่านการ Audit เท่านั้น แต่คือการวางแผนและร่วมมือกันทั้งองค์กรเหมือนสร้าง เกราะป้องกันให้องค์กร ที่ช่วยให้เราเข้าใจและจัดการภัยคุกคามได้อย่างมีหลักการท่ามกลางโลกออนไลน์ที่เปลี่ยนแปลงเร็ว การมี Information Risk Management โปรแกรม ทำให้คุณมั่นใจได้ว่าไม่ว่าภัยคุกคามในโลกดิจิทัลจะร้ายแรงแค่ไหน ธุรกิจของคุณก็พร้อมเผชิญและดำเนินต่อไปได้อย่างมั่นคง