Risk Management (การบริหารจัดการความเสี่ยง)

กระบวนการในการบริหารจัดการความเสี่ยง จะประกอบด้วย 2 ส่วนหลักๆ คือ

  • Risk Assessment (การประเมินความเสี่ยง)
  • Risk Treatment (การควบคุม / แก้ไขความเสี่ยง)

Risk Management vs. ISO 27001 

กระบวนการในการบริหารจัดการความเสี่ยงเป็น Requirement หนึ่งในการจัดทำระบบ ISMS (Information Security Management Systems) ตามมาตรฐาน ISO 27001 และถือเป็นส่วนสำคัญที่มีผลอย่างมากต่อความสำเร็จและความมีประสิทธิภาพ ของระบบ ISMS โดยตัวมาตรฐาน ISO 27001 นั้น เปิดกว้างและมิได้มีการระบุถึงวิธีการที่จะต้องใช้ในการจัดการความเสี่ยง แต่อย่างใด ซึ่งวิธีการหรือ Approach ในการบริหารจัดการความเสี่ยงของแต่ละองค์กรอาจมีความแตกต่างกันไปได้หลากหลายวิธี ขึ้นกับลักษณะการดำเนินธุรกิจ, ขนาดขององค์กร, นโยบายของผู้บริหาร เป็นต้น โดยในบทความนี้ จะกล่าวถึงหลักการและแนวความคิด ของการบริหารจัดการความเสี่ยงอย่างกว้างๆ โดยมิได้อ้างอิงถึงวิธีการของตำราใดโดยเฉพาะ

Risk Assessment (การประเมินความเสี่ยง)

ความเสี่ยง (Risk) ที่กล่าวถึงในที่นี้จะหมายถึง ความเสี่ยงรูปแบบต่างๆ ที่อาจก่อให้เกิดผลเสียหายต่อข้อมูลสำคัญและระบบ / อุปกรณ์ต่างๆ ที่สนับสนุนการทำงานให้กับข้อมูลสำคัญนี้อยู่ โดยขั้นตอนนี้จะเป็นขั้นของการประเมินระดับของความเสี่ยง (Risk Level) ที่มีทั้งหมดต่อข้อมูลและทรัพย์สินต่างๆ ขององค์กร เพื่อนำความเสี่ยงที่เกินระดับที่องค์กรสามารถยอมรับได้ ไปดำเนินการควบคุมและแก้ไขความเสี่ยงในขั้นตอนต่อไป

ระดับของความเสี่ยง (Risk Level)

โดยปกติระดับของความเสี่ยงจะพิจารณาจาก 2 ปัจจัย คือ

  • ความน่าจะเป็น (Probability) ในการที่จะเกิดภัยคุกคามใดๆ ขึ้น และก่อให้เกิดความเสียหายต่อข้อมูลและทรัพย์สิน ขององค์กร ซึ่งโดยปกติจะคำนวณค่าโดยพิจารณาจากการวิเคราะห์ภัยคุกคาม / จุดอ่อน ( Threat / Vulnerability Assessment) ที่มีต่อข้อมูลและทรัพย์สินขององค์กร ร่วมกับการพิจารณาถึงวิธีการควบคุม / แก้ไขความเสี่ยง ที่มีอยู่ในปัจจุบัน (Existing Control)
  • ความรุนแรง (Severity) ของความเสียหายที่อาจเกิดขึ้น ซึ่งโดยปกติจะคำนวณค่าโดยการพิจารณาจาก ระดับความสำคัญ ของข้อมูลหรือทรัพย์สินนั้นๆ ที่มีต่อองค์กร

Quantitative vs. Qualitative

การประเมินความเสี่ยงโดยส่วนมาก จะทำการประเมินและให้ค่าต่างๆ ในเชิง Qualitative เนื่องจากผลกระทบต่างๆ ที่อาจเกิดขึ้นต่อข้อมูลและทรัพย์สินขององค์กรนั้น นอกจากอาจจะก่อให้เกิดความเสียหายในด้านของตัวเงิน (ที่สามารถวัดได้ในเชิง Quantitative) แล้ว ยังมีความเสียหายบางอย่าง เช่น ชื่อเสียงและภาพลักษณ์ขององค์กร, การเสียโอกาสในเชิงธุรกิจ ซึ่งอาจจะประเมินค่าเป็นตัวเงินได้ลำบาก หรือไม่สามารถประเมินค่าได้ ดังนั้นจึงนิยมใช้ การประเมินค่าแบบ Qualitative เป็น High, Medium และ Low ( 3 ระดับ) หรืออาจใช้ถึง 5 ระดับ หรือ 7 ระดับ ตามความเหมาะสมของแต่ละองค์กร

Threat ( ภัยคุกคาม)

โดยปกติเมื่อพูดถึงภัยคุกคาม จะหมายถึง ปัจจัยจาก ภายนอก ที่อาจเข้ามาทำร้ายหรือก่อให้เกิดความเสียหายต่อข้อมูลและทรัพย์สิน ขององค์กร ภัยคุกคามนี้อาจแบ่งได้เป็นหลายประเภท ยกตัวอย่างเช่น

  • ภัยคุกคามจากคน (ภายในองค์กร) เช่น การฉ้อโกง, การทำงานผิดพลาด
  • ภัยคุกคามจากคน (ภายนอกองค์กร) เช่น การ Hack, Social Engineering ( เช่น การหลอกถามข้อมูล), การก่อวินาศกรรม, การโจรกรรม
  • ภัยธรรมชาติ เช่น น้ำท่วม, แผ่นดินไหว
  • ภัยคุกคามจากสภาพแวดล้อมที่ไม่เหมาะสม เช่น น้ำรั่ว, ฝุ่นละออง, สารเคมี

Vulnerability ( จุดอ่อน)

การพิจารณาถึง จุดอ่อน หรือ Vulnerability นั้น จะพิจารณาจากปัจจัย ภายใน ขององค์กร หรือจุดอ่อนของตัวข้อมูลและทรัพย์สิน นั้นๆ โดยปกติ Threat และ Vulnerability จะต้องถูกพิจารณาควบคู่กันไป เพราะถ้ามี ภัยคุกคามจากปัจจัยภายนอกอยู่จริง แต่ตัวข้อมูล, ทรัพย์สิน และระบบของเราไม่มีจุดอ่อน ภัยคุกคามนั้นๆ ก็ไม่สามารถทำอันตรายหรือก่อให้เกิดความเสียหายได้ เช่น ถ้าภัยคุกคามคือพนักงานที่ถูกเลิกจ้างหรือลาออกไปแล้วอาจใช้ User Account ของตนที่เคยมีอยู่ มา Login เข้าเพื่อขโมยข้อมูลหรือ กระทำการใดๆ ที่ไม่ประสงค์ดีต่อระบบคอมพิวเตอร์ขององค์กร จุดอ่อนในที่นี้ก็คือ การที่องค์กรไม่ลบหรือเพิกถอนสิทธิของบุคคล ที่ถูกเลิกจ้างหรือลาออกจากองค์กรไปแล้วโดยทันที ดังนั้นถ้าองค์กรมีกระบวนการในการเพิกถอนสิทธิการเข้าระบบทันทีที่พนักงาน ลาออก ภัยคุกคามนี้ก็ไม่สามารถทำอันตรายต่อระบบและข้อมูลขององค์กรได้

การค้นหาเพื่อระบุถึง จุดอ่อน หรือ Vulnerability ของระบบภายในองค์กรนั้น ในบางทีอาจต้องใช้วิธีทางเทคนิคเข้ามาช่วย เพื่อค้นหา จุดอ่อนในเชิง Logical ของระบบ เช่น การทำ Vulnerability Assessment ให้กับระบบ IT ขององค์กร

Risk Treatment (การควบคุม / แก้ไขความเสี่ยง)

ทางเลือกในการควบคุมและแก้ไขความเสี่ยงที่ได้แนะนำไว้ในมาตรฐาน ISO 27001 นั้นมีอยู่ 4 ทาง คือ

  1. การลดความเสี่ยง (Risk Reduction) คือ การพิจารณาหาวิธีในการควบคุม / แก้ไขความเสี่ยงให้ลดลงมาอยู่ในระดับ ที่องค์กรสามารถยอมรับได้ ซึ่งในมาตรฐาน ISO 27001 ก็มีวิธีการในการแก้ไข / ควบคุมความเสี่ยงที่ได้แนะนำ ไว้ทั้งหมด 127 Controls ให้สามารถเลือกใช้ได้
  2. การยอมรับความเสี่ยง ( Risk Acceptance) คือ การที่องค์กรพิจารณาแล้วพบว่า การดำเนินการแก้ไข / ควบคุมความเสี่ยง นั้น ไม่เหมาะสม, ไม่สามารถกระทำได้ในทางปฏิบัติ หรือ ไม่คุ้มค่า เช่น ค่าใช้จ่ายในการดำเนินการแก้ไข / ควบคุม มีมูลค่า สูงกว่ามูลค่าของข้อมูลและทรัพย์สินที่จะทำการปกป้อง ทั้งนี้ ขึ้นอยู่กับดุลยพินิจของผู้บริหาร
  3. การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) คือ การหลีกเลี่ยงความเสี่ยงโดยยกเลิกกระบวนการทำงาน หรือทรัพย์สิน ที่ก่อให้เกิดความเสี่ยงขึ้น ซึ่งมักจะกระทำเมื่อการแก้ไขความเสี่ยงด้วยวิธีการอื่นนั้น ไม่คุ้มกับผลประโยชน์ที่ได้ จากการทำงานด้วยกระบวนการหรือทรัพย์สินนั้นๆ
  4. การโอนความเสี่ยง (Risk Transfer) คือ การพิจารณาถ่ายโอนความเสี่ยงไปให้ผู้อื่นรับผิดชอบแทน เช่น การซื้อประกันภัย เป็นต้น

Control ที่สามารถเลือกใช้เพื่อการแก้ไข / ควบคุมความเสี่ยง อาจแบ่งออกเป็น 3 ประเภท ดังนี้

Physical Control คือ การจัดให้มีสภาพแวดล้อมทางกายภายที่เหมาะสม เช่น

  • การจัดให้มี Access Control ควบคุมการเข้า – ออก
  • การจัดแบ่งพื้นที่สำคัญ เช่น Data Center ออกจากพื้นที่ปฏิบัติงานปกติ
  • การจัดเก็บสายเคเบิลต่างๆ ให้เรียบร้อย
Technical Control คือ การใช้ซอฟต์แวร์หรืออุปกรณ์ฮาร์ดแวร์มาช่วยควบคุมและจัดการด้าน Security เช่น

  • Encryption
  • Anit-virus
  • Firewall
  • Intrusion Detection System (IDS)
Administrative Control คือ การจัดให้มีนโยบาย, ระเบียบ, วิธีการปฏิบัติงาน (Procedure) , การฝึก อบรม ที่เหมาะสมสำหรับบุคลากรทั้งหมดที่เกี่ยวข้องกับการดำเนินงานขององค์กร รวมถึง Third Party และ Outsource ด้วย

 

ปัญหาและอุปสรรค

ปัญหาและอุปสรรคที่สำคัญที่มักพบเจอในการบริหารจัดการความเสี่ยงก็คือ ปัญหาในการประเมินความเสี่ยง ( Risk Assessment) เนื่องจากการประเมินความเสี่ยงเป็นขั้นตอนที่สำคัญมาก การประเมินความเสี่ยงที่ไม่ครบถ้วนและไม่ครอบคลุม จะทำให้กระบวนการ ในการบริหารจัดการความเสี่ยงเกิดช่องโหว่ขึ้น และช่องโหว่นี้ อาจก่อให้เกิดความเสียหายและกระทบต่อการดำเนินธุรกิจขององค์กรได้ ดังนั้น การประเมินความเสี่ยงให้ถูกต้องอาจต้องอาศัยคำแนะนำและความช่วยเหลือจากผู้เชี่ยวชาญ

อีกหนึ่งปัญหาที่สำคัญของการประเมินความเสี่ยงก็คือ ทรัพยากรที่จะต้องใช้ในการประเมินความเสี่ยงให้แก่ข้อมูลและทรัพย์สินต่างๆ ที่มากมายขององค์กร ให้ถูกต้องและครบถ้วน จะต้องใช้ทรัพยากรบุคคลและงบประมาณในการดำเนินการค่อนข้างมาก ซึ่งในองค์กรโดยปกติ ทรัพยากรบุคคลด้าน IT มักมีงานประจำที่มากและไม่มีเวลาเพียงพอในการดำเนินการ