OVERVIEW การจัดการความปลอดภัยทางไซเบอร์ มีวัตถุประสงค์เพื่อศึกษาทำความเข้าใจถึงความเสี่ยงที่อาจเกิดขึ้นกับองค์กร ทั้งที่เกิดจากการโจมตีทางไซเบอร์จากภายนอก และช่องโหว่ภายในองค์กรเอง โดยการหมั่นตรวจสอบ และประเมินความเสี่ยงหลักด้านต่าง ๆ ซึ่งอย่างน้อยควรดำเนินการให้สอดคล้องกับมาตรฐานและกฎหมาย ในประเทศไทยประกาศใช้ ได้แก่ การป้องกันและเฝ้าระวังภัยคุกคามทางไซเบอร์ เพื่อปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ตามมาตรา 56 การเฝ้าระวังภัยคุกคามทางไซเบอร์ และมาตรา 37 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกัน การสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องดำเนินการอย่างต่อเนื่อง จึงจะก่อให้เกิดประสิทธิผล และประสิทธิภาพของการจัดการความปลอดภัยทางไซเบอร์ PROBLEM STATEMENT สำหรับการจัดการความเสี่ยงด้านภัยทางไซเบอร์ องค์กรส่วนใหญ่มักจะเลือกดำเนินการเฉพาะส่วน เช่น ระบบงานที่สำคัญ หรือเลือกจำลองสถานการณ์เพื่อซ้อมใหญ่ในการเผชิญเหตุภัยคุกคามที่หากเกิดขึ้นแล้วจะส่งผลกระทบต่อการดำเนินธุรกิจหลักปีละ 1-2 ครั้ง ซึ่งในโลกของความจริง ภัยคุกคามทางไซแบอร์จากทั้งภายนอกองค์กร และช่องโหว่ภายในองค์กร เกิดขึ้นได้เกือบจะทุกวัน แต่องค์กรยังขาดการเตรียมการจัดการความปลอดภัยทางไซเบอร์ที่ควรดำเนินการในรูปแบบที่มีความต่อเนื่อง |  |
BENEFITS OF CYBERSECURITY MANAGEMENT
Cybersecurity Rating: CSR
มีขอบเขตบริการระดับคะแนนความปลอดภัยทางไซเบอร์ขององค์กร อาทิ
1. มุมมองจากภายนอกองค์กร/มุมมองผ่านสายตาของแฮ็กเกอร์ (Outside-in)
1. จัดทำรายงานระดับคะแนนความปลอดภัยทางไซเบอร์ขององค์กรภาพรวม (Cybersecurity Rating Report) รายเดือน ครอบคลุมความเสี่ยงหลัก 10 ด้าน ประกอบด้วย
1.1 Network Security การตรวจจับการตั้งค่าเครือข่ายที่ไม่ปลอดภัย
1.2 DNS Health การตรวจจับการกำหนดค่า DNS
1.3 Patching Cadence ทรัพย์สินล้าสมัยที่อาจมีช่องโหว่
1.4 Endpoint Security การวัดระดับความปลอดภัยพื้นที่ทำงานของพนักงาน
1.5 IP Reputation การตรวจจับกิจกรรมที่น่าสงสัย
1.6 Application Security การตรวจจับช่องโหว่
1.7 Cubit Score การตรวจสอบค่าความเสี่ยงจากฐานข้อมูลภัยคุกคามทางไซเบอร์
1.8 Hacker Chatter การตรวจสอบฝั่งแฮกเกอร์
1.9 Information Leak ข้อมูลความลับรั่วไหลโดยไม่ตั้งใจ
1.10 Social Engineering การวัดความตระหนักขององค์กรต่อภัยไซเบอร์
2. รายงานการแจ้งเตือนเมื่อเกิดเหตุการณ์ที่สร้างผลกระทบต่อองค์กรผ่านอีเมล และแชทไลน์กลุ่ม ประกอบด้วย
2.1 แจ้งเตือนเมื่อพบโอกาสถูก Ransomware ซอฟต์แวร์เรียกค่าไถ่
2.2 แจ้งเตือนเมื่อพบ CVE Score ระดับความเสี่ยงสูง เช่น พบ Log4j ที่อยู่ในระบบ
2.3 แจ้งเตือนเมื่อพบว่าปรับปรุงระบบแล้ว แต่ไม่ครบถ้วนตามมาตรฐานสากล เช่น ISO27001, PCI/DSS และ GDPR/PDPA
3. จัดทำรายงานสรุปแนวทางการปรับปรุงระดับคะแนนความปลอดภัยทางไซเบอร์ขององค์กร
3.1 บริการให้คำปรึกษาโดยทำการปรับปรุงระดับคะแนน/เกรดที่ได้ให้ดีขึ้น
3.2 อธิบายหลักเกณฑ์การพิจารณาระดับความซับซ้อน (ยาก-ง่าย) ของแต่ละประเด็นที่ได้จากการประเมินความเสี่ยงเพื่อเป็นแนวทางเสนอต่อองค์กรให้ดำเนินการปรับปรุง
3.3 เสนอแผนกิจกรรมที่องค์กรต้องเร่งดำเนินการ
2. มุมมองจากช่องโหว่ภายในองค์กร (Inside-out)
4. บริการประเมินความเสี่ยงเพื่อหาช่องโหว่ภายในองค์กร (Vulnerability Assessment) โดยจัดทำรายงานตรวจสอบหาความผิดปกติ การใช้งานระบบสารสนเทศภายในองค์กร แบบ 1 shot โดยมีเนื้อหาหลัก ประกอบด้วย
4.1 จัดทำทรัพย์สินสารสนเทศ Inventory อุปกรณ์ Device ทั้งเครื่องคอมพิวเตอร์ เครื่องแม่ข่ายคอมพิวเตอร์ เครื่องปริ้นเอกสาร กล้องวงจรปิด อุปกรณ์ IoT ที่มีค่าไอพีแอดเดรสเป็นภายในองค์กร เพื่อตรวจสอบความผิดปกติและมีช่องโหว่ และยังไม่อัพเดทซอฟต์แวร์อันก่อให้เกิดภัยคุกคามทางไซเบอร์ได้
4.2 ประเมินความเสี่ยงเพื่อหาช่องโหว่จากเครื่องแม่ข่ายที่สำคัญในองค์กร และออกรายงานผลตาม OWASP TOP 10
4.3 ตรวจสอบการเข้าถึงระบบโดยมิชอบ Midnight login
4.4 ตรวจสอบความเสี่ยงที่พบโอกาสการแพร่กระจายไวรัส Ransomware
4.5 ตรวจสอบความเสี่ยงที่พบโอกาส Internal Hacking การโจรกรรมข้อมูลจากคนในองค์กร เช่น การเชื่อมต่อข้อมูลที่ไม่มีการเข้ารหัสไปยัง Server, ข้อมูลส่วนบุคคล PDPA และข้อมูลสำคัญมีโอกาสถูกละเมิด
