Chanin Luangingkasut

การบริหารความเส่ียงSecurity Risk Management

1 Information Security Management

Security Risk Management Concepts

Information Security Management2

Security Risk Management คอื กระบวนการส าหรบั

• ระบุความเสีย่งดา้นความปลอดภยัระบบสารสนเทศ (Identify)

• จดัล าดบัความส าคญั (Prioritizing)

• ควบคมุความเสีย่งใหอ้ยูใ่นระดบัทีอ่งคก์รยอมรบัได้ (Mitigating risk to an acceptable level)

Information Security Management3

ตวัอยา่ง: บรษิทั บรูพา จ ากดั ตอ้งการใหพ้นกังานเชค็อเีมลผ์า่นเวบ็ได้

Information Security Management4

ตวัอยา่ง: วเิคราะหภ์าพรวมของระบบ

Risk Management Strategies

Information Security Management5

Reactive

กระบวนการท างานและแกไ้ขปญัหาดา้น IT Security เมือ่ปญัหาเกดิขึน้แลว้

Proactive

กระบวนการทีล่ดความเสีย่งทีจ่ะเกดิภยัคุกความและช่องโหว่ใหม่ ๆ ภายในองคก์ร

วตัถุประสงคข์องการบรหิารความเสีย่ง

Information Security Management6

ทราบถงึสาเหตุของความเสีย่งทีแ่ทจ้รงิ แสวงหาวธิทีีจ่ะควบคมุความเสีย่งนัน้ไดอ้ยา่งเหมาะสม ก าหนดแนวทางการท างาน หรอืนโยบายเพือ่ลดความเสีย่ง

Risk Management Process

Information Security Management7

Implementing Controls

3

Conducting Decision Support

2

Measuring Program

Effectiveness

4 Assessing Risk1

Risk Assessment &

Risk Management

Information Security Management8

Risk Assessment

คอื การประเมนิความเสีย่ง

Risk Management

คอื การบรหิารจดัการความเสีย่งทีพ่บจากการประเมนิความเสีย่ง

Risk Assessment &

Risk Management

Information Security Management9

Risk Management • Risk Assessment

วตัถุประสงค์• ควบคมุและจดัการความ

เสีย่งใหอ้ยูใ่นระดบัทีย่อมรบัได้

• ประเมนิความเสีย่งและจดัล าดบัความส าคญัในการแกไ้ขปญัหา

วธิกีาร • 4 Phases • Single Phase

Schedule • Scheduled activity• ท าอยา่งตอ่เนื่อง ตลอดเวลาที่

ระบบ/application ใชง้าน

อืน่ ๆ • Budgeting requirement -

Risk Management Framework

Information Security Management10

Assets Threats Vulnerabilities

Risks

Security Measures

}

}

Analysis

Management

How to manage the risk

Information Security Management11

Manage Risk

ผลกระทบ (Impact)

อะไรคอืผลกระทบทีจ่ะเกดิตอ่ธุรกจิและองคก์ร?

โอกาส/ความน่าจะเป็น (Probability)

ความเป็นไปไดท้ีช่อ่งโหวน่ัน้จะสรา้งความเสยีหายต่อระบบ/application?

สินทรพัย์(Assets)

สิง่ทีต่อ้งการป้องกนัใหพ้น้จาก

ภยัคุกคาม

ภยัคกุคาม (Threat)

สิง่ทีส่ามารถสรา้งความเสยีหาย/ไมต่อ้งการให้

เกดิขึน้

ช่องโหว่(Vulnerability)

ภยัคุกคามนัน้ ๆ จะสรา้งความเสยีหายต่อ

ระบบไดอ้ยา่งไร

การลดความเส่ียง(Mitigation)

วธิกีารทีเ่ราสามารถควบคุมความเสีย่งนัน้ ?

Assessing the Risk

Information Security Management12

การประเมนิความเสีย่ง(Assessing the Risk)

Information Security Management13

Implementing Controls

3

Conducting Decision Support

2

Measuring Program

Effectiveness

4 Assessing Risk1

ศกึษาและวางแผน

Information Security Management14

ขัน้ตอนทีส่ าคญัส าหรบัการประเมนิความเสีย่ง ไดแ้ก่

วางแนวทางก าหนดขอบเขต ไดร้บัความยนิยอมก าหนดผลลพัธท์ีค่าดหวงั

สิง่ทีค่วรจะทราบ

Information Security Management15

ระบบทีจ่ะด าเนินงาน

ภยัคกุคาม

ผูร้บัผดิชอบ

รวบรวมขอ้มลู

Information Security Management16

ก่อนการประเมนิความเสีย่งจ าเป็นอยา่งยิง่ทีจ่ะตอ้งรวบรวมขอ้มลูของระบบเบือ้งตน้ ขอ้มลูทีต่อ้งการ เชน่

Assets ทีเ่กีย่วขอ้งภยัคกุคาม และชอ่งโหวท่ีม่อียู่มาตรการควบคมุความเสีย่งปจัจบุนัมาตรการทีค่าดหวงั

Classifying Assets

Information Security Management17

ตอ้งระบุและคดัแยกวา่สนิทรพัยแ์ต่ละชิน้จดัอยูใ่นกลุม่ใด

High business impact

Moderate business impact

Low business impact

หนงัสอืบางเลม่จะใชค้ าวา่ Critical หรอื Non-Critical

สิง่ทีต่อ้งทราบ

Information Security Management18

เราสามารถรวบรวมและจดัการความเสีย่งโดยใชแ้บบสอบถามดงันี้ : สนิทรพัยต์อ้งการจะจดัการความเสีย่ง? สนิทรพัยน์ัน้มคีา่กบัองคก์รอยา่งไร? องคป์ระกอบของสนิทรพัยท์ีส่นใจ เช่น ตวัระบบ ขอ้มลู ความเสีย่งทีอ่าจจะเกดิขึน้ ขอบเขตของความเสยีหาย มาตรการป้องกนัในปจัจุบนั มาตรการป้องกนัในอนาคต

ประเมนิความเสยีหายทีอ่าจจะเกดิขึน้

Information Security Management19

High: รุนแรง อาจท าใหร้ะบบหรอืขอ้มลูเสยีหายทัง้หมด ใชก้ารต่อไมไ่ด้

Medium: ความเสยีหายเกดิขึน้แบบมขีดีจ ากดัหรอืเสยีหายบางสว่น

Low: เสยีหายเลก็น้อย หรอืไมเ่สยีหายเลย

จดัล าดบัความเสีย่ง [1]

(Risk Prioritization)

Information Security Management20

ประเมนิโอกาส หรอืความน่าจะเป็น

Information Security Management21

High: โอกาสทีจ่ะเกดิขึน้ 1 ครัง้ต่อปี หรอืมากกวา่

Medium: 2 – 3 ปี จงึจะเกดิขึน้

Low: โอกาสทีจ่ะเกดิน้อยมาก และไมน่่าจะเกดิขึน้ภายใน 3 ปี

จดัล าดบัความเสีย่ง [2]

(Risk Prioritization)

Information Security Management22

จดัล าดบัความเสีย่ง [3]

(Risk Prioritization)

Information Security Management23

Best Practice

ส าหรบัการประเมนิความเสีย่ง

Information Security Management24

อา้งองิแหล่งขอ้มลูทีเ่ชือ่ถอืได้ เชน่ งานวจิยัขา่ว ฯลฯ

ชีแ้จงถงึผลกระทบต่อธุรกจิ

Asking for Management Support

Information Security Management25

การประเมนิความเสีย่ง(Assessing the Risk)

Information Security Management26

Implementing Controls

3

Conducting Decision Support

2

Measuring Program

Effectiveness

4 Assessing Risk1

น าเสนอ

Information Security Management27

หลงัจากประเมนิความเสีย่งเสรจ็สิน้ ตอ้งน าเสนอผลการประเมนิต่อผูบ้รหิารเพือ่

พจิารณาแนวทางการควบคุมความเสีย่ง สนบัสนุนงบประมาณ และนโยบายตดัสนิใจ

สิง่ทีต่อ้งน าเสนอต่อผูบ้รหิาร

Information Security Management28

ความเสีย่ง แนวทางการควบคมุ แนวทางทีน่ าเสนอจะสามารถท าใหค้วามเสีย่งลดลงได้อยา่งไร

ประมาณการคา่ใชจ้่าย ผลกระทบต่อการท างาน/ระบบ

ขัน้ตอน

Information Security Management29

Security risk

management

team

Security

steering

committee

Select the

risk mitigation

strategy

6

Mitigation

owner Identify

control

solutions

2

Define

functional

requirements

1

Estimate

cost of

each solution

5

Estimate

degree of risk

reduction

4Review

solutions

against

requirements

3

การประเมนิความเสีย่ง(Assessing the Risk)

Information Security Management30

Implementing Controls

3

Conducting Decision Support

2

Measuring Program

Effectiveness

4 Assessing Risk1

Implementing

Information Security Management31

การด าเนินการ

Information Security Management32

ก าหนดระยะเวลาตามระดบัความรุนแรงH ภายใน 1 เดอืนM ภายใน 3 เดอืนL ภายใน 6 เดอืน

Verification

การประเมนิความเสีย่ง(Assessing the Risk)

Information Security Management33

Implementing Controls

3

Conducting Decision Support

2

Measuring Program

Effectiveness

4 Assessing Risk1

การประเมนิผล

Information Security Management34

วดัไดจ้าก:

ทดสอบโดยตรงกบัระบบและมาตรการควบคมุ(Testing & Verification)

Annual audit & Periodic compliance report

Incident report

สรุป

Information Security Management35

Information Security Management36

กระบวนการบรหิารความเสีย่ง (Security Risk

Management)

ประเมนิความเสีย่ง น าเสนอความเสีย่ง และมาตรการควบคมุต่อผูบ้รหิาร ด าเนินการแกไ้ข ตรวจสอบ และประเมนิผล

การประเมนิความเสีย่งตอ้งสามารถจดัล าดบัความส าคญัได้ ตอ้งรูถ้งึรปูแบบวธิทีีอ่าจจะสรา้งความเสยีหาย ก าหนดมาตรการแกไ้ข และระยะเวลาทีเ่หมาะสม ประเมนิผล

Q/A

37 Information Security Management

ทดสอบ

Information Security Management38

SMS News

Information Security Management39

BYOD

Information Security Management40

Business Intelligence Tool

Information Security Management41