31000 Scenario-based RA

การประเมินและบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นกระบวนการที่สำคัญที่องค์กรทุกระดับพึงจัดให้มีขึ้น เพื่อปกป้องธุรกิจและสร้างความสอดคล้องกับกฎหมาย รวมถึงเป็นกระบวนการพื้นฐานที่มาตรฐานสากลต่างๆ กำหนดให้มีการปฏิบัติใช้ภายในองค์กร เช่น ISO 27001, ISO 20000, ISO22301 เป็นต้น

โดยวิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement ISO 27001:2005 คือวิธีการที่เรียกว่า Asset-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนหลักๆ ดังนี้

  1. จัดทำทะเบียนทรัพย์สิน (Inventory of Asset) เพื่อระบุทรัพย์สินสารสนเทศที่สำคัญที่ต้องได้รับการปกป้อง
  2. พิจารณาถึงภัยคุกคาม (Threat) ที่อาจทำอันตรายต่อทรัพย์สินสารสนเทศ และจุดอ่อน (Vulnerability) ในตัวทรัพย์สิน กระบวนการ หรือมาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่อาจเป็นช่องทางให้ภัยคุกคามเหล่านั้นเข้าทำอันตรายต่อทรัพย์สินได้
  3. ประเมินระดับผลกระทบ (Impact) ต่อองค์กร และโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น
  4. คำนวณระดับความเสี่ยง โดยสูตรพื้นฐานที่นิยมใช้กันคือผลกระทบ (Impact) x โอกาส (Probability) = ระดับความเสี่ยง (Risk)
ข้อดี
ข้อเสีย
  • เข้าใจง่าย เนื่องจากผู้ประเมินความเสี่ยงเห็นภาพที่ชัดเจน ว่ากำลังพิจารณาความเสี่ยงที่เกี่ยวข้องกับทรัพย์สินใด
  • มั่นใจได้ว่าการบริหารความเสี่ยงจะครอบคลุมทุกทรัพย์สิน
  • ต้องใช้ระยะเวลาและทรัพยากรจำนวนมากในการประเมินความเสี่ยงให้ครอบคลุมทุกทรัพย์สิน และผลที่ได้คือข้อมูลที่มากเกินความจำเป็น และนำไปใช้งานจริงได้น้อย
  • การประเมินความเสี่ยงที่เกี่ยวข้องกับทรัพย์สินจำนวนมาก เช่น การเปลี่ยน Platform ของระบบงานหลัก หรือความเสี่ยงที่ไม่เกี่ยวข้องกับทรัพย์สินโดยตรง เช่น การปรับเปลี่ยนกระบวนการทางธุรกิจ อาจทำได้ยาก หรือถึงขั้นไม่สามารถทำได้เลย

 

 

 

 

 

 

 

ในปี 2009 องค์กร ISO ได้ตีพิมพ์มาตรฐาน ISO 31000 ซึ่งเป็นแนวปฏิบัติ (Guideline) ในการบริหารความเสี่ยงขององค์กร โดยใช้วิธีการประเมินความเสี่ยงในลักษณะ Scenario-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนหลักๆ ดังนี้

  1. ระบุความเสี่ยง (Risk Identification) โดยการพิจารณาถึงเหตุการณ์ความเสี่ยง (Risk Scenario) ที่เป็นไปได้ โดยเหตุการณ์ความเสี่ยงอาจเกี่ยวข้องกับทรัพย์สิน (Asset-related) หรือไม่ก็ได้
  2. วิเคราะห์ความเสี่ยง (Risk Analysis) เป็นการประเมินระดับผลกระทบ (Impact) ต่อองค์กร และโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น รวมถึงคำนวณระดับความเสี่ยง (Risk Level)

จากขั้นตอนข้างต้นจะเห็นว่าไม่จำเป็นต้องจัดทำทะเบียนทรัพย์สินก่อนการประเมินความเสี่ยง และไม่จำเป็นต้องแยกพิจารณาภัยคุกคาม (Threat) และจุดอ่อน (Vulnerability) ของแต่ละความเสี่ยง หากแต่สามารถกำหนดเหตุการณ์ความเสี่ยง (Risk Scenario) และทำการวิเคราะห์ความเสี่ยงได้เลย

ตัวอย่าง

Asset-based Risk Assessment

Asset

Threat

Vulnerability

Impact

Probability

Risk

Application Server การโจมตีทางเครือข่าย ไม่ได้ทำการติดตั้ง Patch อย่างเหมาะสม

High

High

High

ฮาร์ดแวร์เสียหรือทำงานผิดพลาด ไม่ได้ทำการบำรุงรักษาอย่างเหมาะสม

High

Low

Medium

 

Scenario-based Risk Assessment

Risk Scenario

Impact

Probability

Risk

ความเสี่ยงจาก Heartbleed Bug เนื่องจากมีหลายระบบงานขององค์กรที่ใช้งาน OpenSSL version ที่ได้รับผลกระทบจากช่องโหว่นี้

High

High

High

 

*หมายเหตุ

ตัวอย่างข้างต้นเป็นการอธิบายองค์ประกอบที่เกี่ยวข้องกับการประเมินความเสี่ยงแบบง่ายเท่านั้น การประเมินความเสี่ยงในสถานการณ์จริงยังมีองค์ประกอบอื่นๆ ที่เกี่ยวข้อง และมีความซับซ้อนมากกว่านี้ เช่น ต้องมีการพิจารณามาตรการควบคุม (Existing Controls) ที่มีอยู่เดิมภายในองค์กรด้วย สำหรับข้อมูลเพิ่มเติมสามารถติดตามได้จากบทความอื่นๆ ของทีมที่ปรึกษา ACinfotec

ข้อดี ข้อเสีย
  • ประหยัดเวลาและทรัพยากรที่ต้องใช้ในการประเมินความเสี่ยง
  • จำนวนข้อมูลที่ได้มีความเหมาะสมและมีคุณภาพ
  • สามารถประเมินความเสี่ยงได้ทุกรูปแบบ (ไม่จำกัดเฉพาะความเสี่ยงที่เกี่ยวข้องกับทรัพย์สิน)
  • การระบุเหตุการณ์ความเสี่ยงทำได้ยาก โดยเฉพาะกับผู้ประเมินความเสี่ยงมือใหม่
  • ไม่มีขอบข่ายที่ชัดเจน ที่จะทำให้มั่นใจได้ว่า ได้ทำการประเมินความเสี่ยงอย่างครอบคลุมแล้ว (ต่างจากการประเมินความเสี่ยงแบบ Asset-based ซึ่งจะทราบชัดเจนว่าได้ประเมินความเสี่ยงครบทุกทรัพย์สินแล้ว)

 

สรุป

วิธีการประเมินความเสี่ยงทั้งสองแบบ ล้วนมีข้อดี-ข้อเสีย ที่แตกต่างกัน ดังนั้นองค์กรควรเลือกวิธีการที่เหมาะสมกับลักษณะงานและความต้องการขององค์กร อย่างไรก็ตาม ด้วยข้อเท็จจริงที่ว่าวิธีการประเมินความเสี่ยงแบบ Scenario-based Risk Assessment มีความยืดหยุ่น และสามารถประยุกต์ใช้ได้กับความเสี่ยงทุกรูปแบบ องค์กรชั้นนำส่วนใหญ่จึงเริ่มปรับวิธีการประเมินความเสี่ยงของตนตามแนวทาง Scenario-based Risk Assessment ของ ISO 31000 เพื่อให้มีกระบวนการบริหารความเสี่ยงที่เป็นมาตรฐานกลางสำหรับความเสี่ยงของทั้งองค์กร (Enterprise Risk Management หรือ ERM) นอกจากนี้ มาตรฐาน ISO 27001:2013 (เวอร์ชั่นใหม่) หรือมาตรฐาน ISO ฉบับใหม่ๆ ที่มีข้อกำหนดเรื่องการประเมินความเสี่ยง ยังได้อ้างถึง ISO 31000 ว่าเป็นวิธีการประเมินความเสี่ยงที่แนะนำ (Recommended) ให้ใช้งานอีกด้วย การประเมินความเสี่ยงแบบ Scenario-based Risk Assessment จึงถือได้ว่าเป็นทิศทางที่องค์การต่างๆ ควรมุ่งไปอย่างแท้จริง