การก ากับดูแลและบริหารจัดการความเสี่ยง ด้านเทคโนโลยีสารสนเทศของบริษัทประกันภัย

Governance and Management of Information Technology Risk

| ธรุกจิประกนัชวีติ | ธรุกจิประกนัวนิาศภยั |

โครงการยกระดับการก ากับดูแลและการบริหารความเสี่ยงด้านดิจิทัล

เอกสารประกอบการอบรม เร ือ่ง หลกัเกณฑก์ารก ากบัดแูลและบรหิารจดัการความเสีย่งดา้นเทคโนโลยสีารสนเทศของบรษิทัประกนัภยั

(Governance and Management for Information Technology Risk) วนัที ่9 - 10 ตลุาคม 2562 ณ ส านกังาน คปภ.

2

แนวทางด าเนนิการบรหิารจดัการความเสีย่งดา้นเทคโนโลยสีารสนเทศ

(IT Risk Management)

3

Standards for IT Risk & Information Security Risk Management

ISO 31000:2009 Risk Management –Principles and Guidelines

ISO/IEC 27005:2011 Information Security Risk Management

ISO/IEC 27005:2018 Information Security Risk Management

ISO 31000:2018 Risk Management -Guidelines

4

Standards for IT Risk & Information Security Risk Management

IT Risk Assessment: Event-based vs. Asset-based

5

Standards for IT Risk & Information Security Risk Management

IT Risk Assessment: Event-based vs. Asset-based

6

Risk-based Standards and Best Practices

7

ISO 31000 : “Risk Management Framework”

Framework

Source: “Relationships between the risk management principles, framework and process”, ISO 31000:2009 , www.ISO.org

8

ISO 31000 : “Risk Management Process”

Source: “Relationships between the risk management principles, framework and process”, ISO 31000:2009 , www.ISO.org

9 Source: “Relationships between the risk management principles, framework and process”, ISO 31000:2018 , www.ISO.org

กรอบการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ

IT Risk Management Framework

โครงสรา้ง การบรหิารความเสีย่ง ดา้นเทคโนโลยีสารสนเทศ

นโยบาย การบรหิารความเสีย่ง ดา้นเทคโนโลยีสารสนเทศ

การบรูณาการ

Integration

การออกแบบ

Design

การด าเนนิการ

Implementation

การประเมนิผล

Evaluation

การปรบัปรงุ

Improvement ความเป็นผูน้ า

และความมุง่ม ัน่

Leadership

and Commitment

กระบวนการบรหิารความเสีย่ง ดา้นเทคโนโลยสีารสนเทศ

กระบวนการ จดัการความเสีย่ง

ดา้นเทคโนโลยสีารสนเทศ

กระบวนการ ประเมนิความเสีย่ง

ดา้นเทคโนโลยสีารสนเทศ

เกณฑก์าร ประเมนิความเสีย่ง

ดา้นเทคโนโลยสีารสนเทศ

10

มาตรฐานการบริหารความเสี่ยง ISO 31000:2018

Source: “Relationships between the risk management principles, framework and process”, ISO 31000:2018 , www.ISO.org

กระบวนการบรหิารความเสีย่ง (Risk Management Process)

1. Communication and consultation

2. Scope, context and criteria

3. Risk assessment

(1) Risk identification

(2) Risk analysis

(3) Risk evaluation

4. Risk treatment

(1) Selection of risk treatment options

(2) Preparing and implementing risk treatment plans

5. Monitoring and review

6. Recording and reporting

11

Risk Assessment Criteria

Source: COBIT 5, www.ISACA.org

Risk Assessment Criteria : “Impact” and “Likelihood”

Risk Acceptance Criteria : Acceptable level of risk (Risk appetite)

Impact & Consequences

12

ILLUSTRATIVE Risk Acceptance (Risk Appetite)

Source: COBIT 5, www.ISACA.org

13

Risk Scenarios and Risk Appetite (Acceptance)

Source: COBIT 5, www.ISACA.org

14

“Risk Scenario for IT-related Risk Assessment”

(Based on COBIT 5 for Risk)

Risk Identification (cont.) Definition of Risk Scenarios

Source: COBIT 5, www.ISACA.org

15

Categories of IT Risk and Risk Scenarios Based on IT Governance: COBIT 5 Implementation

Source: “COBIT 5 Implementation”, 2012, www.ISACA.org

Three-Level IT Risk Scenarios IT Risk Scenarios

Source: “COBIT 5 Implementation” “COBIT 5 for Risk”,, www.ISACA.org

16

ISO/IEC 27005 Annex C: Examples of typical threats

Physical damage • Water damage

• Dust, corrosion, freezing

Natural events • Volcanic phenomenon

• Flood

Loss of essential services • Failure of air-conditioning or water

supply system

• Loss of power supply

Disturbance due to radiation • Electromagnetic radiation

• Electromagnetic pulses

Compromise of information

• Remote spying

• Retrieval of recycled or discarded media

Technical failures

• Equipment failure

• Equipment malfunction

Unauthorised Actions

• Unauthorised use of equipment

• Corruption of data

Compromise of functions

• Error in use

• Abuse of rights

IT-related Threats & Vulnerabilities

17

IT-related Threats & Vulnerabilities

ISO/IEC 27005 Annex D: Examples of vulnerabilities

Personnel • Absence of personnel

• Lack of security awareness

Site • Inadequate or careless use of physical

• Unstable power grid

Organization • Lack of formal process for access right review

(supervision)

• Lack or insufficient Service Level Agreement

Hardware • Lack of periodic replacement schemes

• Lack of care at disposal

Software • Incorrect parameter set up

• Lack of back-up copies

Network • Single point of failure

• Transfer of passwords in clear

18

ISO/IEC 27001:2013 – Information Security Management System: ISMS Requirements

19

ISO/IEC 27001:2013 – Information Security Management System: ISMS Requirements

Organizations can design controls as required, or identify them from any source. Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.

20 Source: “COBIT 5 Implementation”, 2012, www.ISACA.org

ตวัอยา่งแบบประเมนิความเสีย่งดา้นเทคโนโลยสีารสนเทศ

ล าดับที ่อา้งองิชดุสถานการณ์

ความเสีย่ง

Risk Item No. RS#

ภาพรวมเหตกุารณ์ ความเสีย่ง

Risk Event Description

ประเภทเหตกุารณ์

Event Type

กลุม่ทรัพยส์นิ ทีไ่ดรั้บผลกระทบ

Areas of Impact (Assets)

รหัสกลุม่ทรัพยส์นิ

Group Asset ID

# 01 # 02 # 03 # 04 # 05 # 06 # 07

สว่นทีไ่ดรั้บผลกระทบ

Risk Scenarios

ชอ่งโหว ่ ภัยคกุคาม ประเภท ภัยคกุคาม

Vulnerabilities Threats

เวลา

Time

ผูท้ าใหเ้กดิความเสีย่ง

Risk Actors

กจิกรรม/มาตรการควบคมุปัจจบุันและ

ประสทิธผิลการควบคมุ

Existing Controls and Effectiveness

ผูรั้บผดิชอบ ความเสีย่ง

Risk Owner

# 01 # 08 # 09 # 10 # 11 # 12 # 13

Threat Type

แหลง่ความเสีย่งและปัจจัยความเสีย่ง

No.

# 14

[ ] IT Risk [ ] Information Security Risk (ISMS) [ ] Cybersecurity Risk สว่นที ่1 ระบคุวามเสีย่ง (Risk identification)

ชดุรายการ ความเสีย่ง

21

ตวัอยา่งแบบประเมนิความเสีย่งดา้นเทคโนโลยสีารสนเทศ

No. Consequence and Impact Exposure

ทางเลอืก จัดการความเสีย่ง

Options for risk treatment

มาตรการ จัดการความเสีย่ง

# 01 #15 # 23

แนวทางจัดการความเสีย่ง

Impact

สว่นที ่2 วเิคราะหแ์ละประเมนิระดบัความเสีย่ง (Risk analysis & Risk evaluation)

ชดุรายการ ความเสีย่ง

ระดับความรนุแรง/ผลสบืเนือ่ง จากผลกระทบทีไ่ดรั้บ

1 2 3 4 5 6 7 8

#16 #17 #18 #19 #20 #21 #22

วเิคราะห(์ค านวณ)ระดับความเสีย่ง

ระดับ ผลกระทบ

ระดับ โอกาสเกดิ

คา่ระดับ ความเสีย่ง

ระดับความเสีย่ง

Likelihood Risk Value Risk Level

ประเมนิระดับความเสีย่ง

การตอบสนองความเสีย่ง

Risk Response

Against

Risk Acceptance

Controls for risk treatment

# 24 # 25 # 26 # 27 # 28 # 29 # 30

ล าดับ ความส าคัญ

Priority

No. Consequence and Impact Exposure Risk Treatment Plan (RTP) Subject

เกณฑว์ดัผล (ตัวชีว้ดั)

# 01 #31 # 39

รายการ แผนจัดการความเสีย่ง

Impact

ชดุรายการ ความเสีย่ง ทีต่อ้ง จัดการ

ความเสีย่ง

ระดับความรนุแรง/ผลสบืเนือ่ง ผลกระทบทีเ่ปลีย่นแปลง

1 2 3 4 5 6 7 8

#32 #33 #34 #35 #36 #37 #38

ประเมนิระดับความเสีย่งคงเหลอื ระดับความเสีย่ง คงเหลอื

Likelihood Risk Value Residual Risk

ล าดับ รายการ

RTP No. RTP Effectiveness

# 40 # 41 # 42 # 43 # 44 # 45 # 46

ทรัพยากร

Resource

สว่นที ่3 จดัการความเสีย่ง

ส่วนที่ 3 จัดการความเส่ียง (Risk treatment) ..ต่อ

แผนจัดการความเสีย่ง

ระดับ ผลกระทบ

ระดับ โอกาสเกดิ

คา่ระดับ ความเสีย่ง

22

Risk Treatment and

Risk Response Options

23

แนวทางด าเนนิการดา้นความม ัน่คงปลอดภยัไซเบอร ์

(Cybersecurity)

24

Identify Protect Detect Response Recover

Cybersecurity Framework and Compliance การจัดท าและด าเนินการ “กรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์” ในการปฏิบัติสอดคลอ้งตามพระราชบัญญัตวิา่ด้วยการรักษาความมัน่คงปลอดภัยไซเบอร์

พ.ร.บ. ไซเบอร์ การระบุความเสี่ยงท่ีอาจจะเกิดขึ้น มาตรการป้องกันความเสี่ยงท่ีอาจจะเกิดขึ้น

มาตรการตรวจสอบและเฝ้าระวัง ภัยคุกคามทางไซเบอร์

มาตรการเผชิญเหตุ เมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์

มาตรการรักษาและฟื้นฟูความเสียหาย ที่เกิดจากภัยคุกคามทางไซเบอร์

มาตรา 13 (4)

What techniques can contain impacts of incidents? What techniques can restore capabilities? What processes and assets need protection? What safeguards are available? What techniques can identify incidents?

Preventive Corrective / Responsive

25

NIST Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, 2018

NIST Cybersecurity Framework

NIST Cybersecurity Framework

IDENTIFY PROTECT DETECT RESPONSE RECOVER

Asset Management

Business Environment

Governance

Risk Assessment

Risk Management Strategy

Supply Chain Risk Strategy

Identity Management and Access Control

Awareness and Training

Data Security

Information Protection Processes and Procedures

Maintenance

Protective Technology

Anomalies and Events

Security Continuous Monitoring

Detection Processes

Response Planning

Communications

Analysis

Mitigation

Improvements

Recovery Planning

Improvements

Communications

พ.ร.บ. ไซเบอร์ การระบุความเสี่ยงท่ีอาจจะเกิดขึ้น มาตรการป้องกันความเสี่ยงท่ีอาจจะเกิดขึ้น

มาตรการตรวจสอบและเฝ้าระวัง ภัยคุกคามทางไซเบอร์

มาตรการเผชิญเหตุ เมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์

มาตรการรักษาและฟื้นฟูความเสียหาย ที่เกิดจากภัยคุกคามทางไซเบอร์

มาตรา 13 (4)

What techniques can contain impacts of incidents? What techniques can restore capabilities? What processes and assets need protection? What safeguards are available? What techniques can identify incidents?

26

ภัยคุกคามทางไซเบอร์ Cyber Threats

ภัยคุกคามทางไซเบอร์ในระดับร้ายแรง

27

NIST Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, 2018

NIST Cybersecurity Framework

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

https://www.us-cert.gov/resources/cybersecurity-framework

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

28

Framework Core Structure:

Establishing or Improving a Cybersecurity Program

Step 1: Prioritize and Scope

Step 2: Orient

Step 3: Create a Current Profile

Step 4: Conduct a Risk Assessment

Step 5: Create a Target Profile

Step 6: Determine, Analyze, and

Prioritize Gaps

Step 7: Implement Action Plan

determine the scope of the cybersecurity program.

identifies business/mission objectives and high-level organizational priorities, strategic decisions regarding cybersecurity implementations and determines the scope of systems and assets that support the selected business line or process.

identifies related systems and assets, regulatory requirements, and overall risk approach, threats and vulnerabilities applicable to those systems and assets.

indicate achievement of Category and Subcategory outcomes from the Framework Core

identify emerging risks and use cyber threat information from internal and external sources to gain a better understanding of the likelihood and impact of cybersecurity events

describe the organization’s desired cybersecurity outcomes, to account for unique organizational risks

compares the Current Profile and the Target Profile to determine gaps, creates a prioritized action plan to address gaps – reflecting mission drivers, costs and benefits, and risks – to achieve the outcomes in the Target Profile.

determine which actions to take to address the gaps, if any, identified in the previous step and then adjusts its current cybersecurity practices in order to achieve the Target Profile;

including those that are sector specific, work best for their needs

determine which standards, guidelines, and practices,

NIST Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, 2018

NIST Cybersecurity Framework

29

ตัวอย่างแนวทางด าเนินการกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ Cybersecurity Framework Implementation Guidance

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< t = 0 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Identify & Protect (be ready to be secured)

Business Impact Analysis (BIA)

Cybersecurity Gap Analysis/ Cyber Risk Assessment based on Risk Scenario

Vulnerability Assessment/Management Compromised Assessment /

Red Team Penetration Testing

Cybersecurity & Privacy Awareness Training

Develop Cyber Drill Scenarios/ Cyber Incident Response Plans

Exercise/Measure Cyber Drill

Detect (t<0) (before security incident /data breach)

24x7 Managed Next-Gen SOC

Threat Intelligence

Big Data Analytics & Machine Learning

Social Listening/Analytics

Advanced APT/ Malware In-Depth Analytics

Pre-Crisis Management

Event Management

Respond (t>0) (after security incident /data breach)

Incident Response & Incident Handling

Incident Management/ Problem Management

Digital Forensics & Investigation

APT/Malware Hunting

Crisis Management

Root Cause Analysis Post-Respond Report

Law Enforcement Coordination

30

ตัวอย่างแนวทางก ากับดูแลด้าน Cybersecurity (Cyber Resilience) ของ ธปท.

31

CSF Current State vs. Target State

NIST Cybersecurity Framework (CSF)

32

CSF: Framework Implementation Rating

Achievement Rating Scale for CSF Sub-Categories

33

Reference Cybersecurity Resilience

Implementation

Source: “European Cybersecurity Implementation: Overview”, www.ISACA.org

34 Source: “European Cybersecurity Implementation: Overview”, www.ISACA.org

Implementing Cybersecurity Resilience

1. Preparing the Business Case for Cybersecurity Implementation

2. Cybersecurity Governance

3. Managing Cybersecurity Risk

4. Managing Cybersecurity Resilience

5. Cybersecurity Assurance

35 Source: “European Cybersecurity Implementation: Resilience”, www.ISACA.org

The Cybersecurity Resilience Life Cycle

Understanding Cybersecurity Requirements

Define Resilience Strategy

Implement Resilience Solutions

Exercise, Maintain and Review

36

Risk Overview

and Strategy

Source: “European Cybersecurity Implementation: Risk Guidance”, www.ISACA.org

Risk assessment and management

in Europe is covered in a number of

frameworks and standards.

Figure 5 shows a high-level

overview of the subprocesses that

form part of the risk management

process that the European Network

and Information Security Agency

(ENISA) suggests.

37

การก ากับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันภัย (Governance and Management of Information Technology Risk)

38