An Approach for Assessing Cybersecurity Risks and Controls

หมวดหมู่ IT audit

บทนำ (Overview)

บทความนี้กล่าวถึงกรอบแนวทางสำหรับหน่วยงานตรวจสอบภายใน เพื่อนำมาปรับใช้ประเมินการควบคุมภายในที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ (Cybersecurity) ขององค์กร ซึ่งถือเป็นบทบาทสำคัญในการป้องกันหนึ่งในสามขององค์กรที่สำคัญ (Roles of the Three Lines of Defense) โดยกรอบดังกล่าวประกอบไปด้วย 6 ประการ ที่สามารถนำไปใช้เพื่อประเมินการควบคุมและกำกับดูแลทางไซเบอร์ ทั้งการออกแบบและการปฎิบัติงานได้อย่างมีประสิทธิผล

จากส่วนประกอบดังกล่าว ถ้ามีส่วนใดส่วนหนึ่งเกิดข้อบกพร่อง อาจส่งผลกระทบต่อประสิทธิผล ภาพรวมของการป้องกันทางไซเบอร์ ในการประเมินแต่ละส่วนนั้นอาจจะต้องดูทั้งการ Design และ Operation ว่ามีการเตรียมพร้อมและปฎิบัติได้อย่างดีหรือไม่ เพื่อรับมือกับภัยคุกคามทางไซเบอร์และความเสี่ยงที่เกิดขึ้นใหม่

บทความโดย
Jirat Chanchangthahan
IT audit & Cybersecurity Consultant

รายละเอียด (Cybersecurity Risk Assessment Framework)

Component 1: Cybersecurity Governance (การกำกับดูแลความปลอดภัยในโลกไซเบอร์)
การตรวจสอบภายในควรเข้าใจการกำกับดูแลความปลอดภัยทางไซเบอร์ขององค์กร ตามมาตรฐานการตรวจสอบภายใน (IIA Standard 2100) กล่าวว่า องค์กรจะต้องจัดให้มีกิจกรรมการตรวจสอบภายในเพื่อประเมินและสนับสนุนการปรับปรุงการกำกับดูแล (Governance) การจัดการความเสี่ยง (Risk management) และกระบวนการควบคุม (Control processes) การกำกับดูแลรวมถึงการกำหนดบทบาทและหน้าที่ในการปฎิบัติงานทีได้รับหมดหมายที่ชัดเจน (Roles and responsibilities) การสร้างภาระความรับผิดชอบในบทบาทและหน้าที่ที่กำหนดขึ้น (Accountability) การนำกลยุทธ์ในแต่ละปีมาพิจารณา และจัดลำดับความสำคัญของแผนปฏิบัติการเพื่อขอความร่วมมือเชิงกลยุทธ์กับผู้มีส่วนได้ส่วนเสียต่างๆ

การกำกับดูแลความปลอดภัยทางไซเบอร์ที่ดีขึ้นอยู่กับ:

  • การรวมรวม ประสานงานข้อมูลความเสี่ยงกับแหล่งข้อมูลและองค์ที่หน้าเชื่อถือ (Cybersecurit risk intelligece) และภัยคุกคาม (Threats) ต่าง ๆ ที่สามารถส่งผลกระทบต่อองค์กร
  • กำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้และอนุญาตให้เบี่ยงเบน (Risk appetite and tolerace) โดยที่ Risk Appetite คือค่าความเสี่ยงเป้าหมายโดยรวมที่องค์กรต้องกำหนดยินดีเพื่อให้องค์กรบรรลุเป้าหมาย Risk Tolerance คือระดับความเบี่ยงเบนจากเกณฑ์ที่ทําให้องค์กรมั่นใจว่าองค์กรได้ดําเนินการบริหารความเสี่ยงอยู่ภายในเกณฑ์ที่ยอมรับได้  
  • การวางแผนความต่อเนื่องทางธุรกิจและการกู้คืนความเสียหายในกรณีที่มีการหยุดชะงัก
  • ตอบสนองอย่างทันท่วงทีเมื่อเกิดการละเมิดความมันคงปลอดภัยทางไซเบอร์ต่อองค์กร
  • สร้างวัฒนธรรมของการตระหนักถึงความเสี่ยงและภัยคุกคามทางไซเบอร์ (awareness of cybersecurity risks and threats)

หลักฐานสำคัญ ของการกำกับดูแลอย่างมีประสิทธิผลนั้น มักเกิดจากการกำหนดนโยบายที่ชัดเจน มีเครื่องมือสนับสนุนการพร้อมใช้งาน มีทีมงานที่พอเพียง และมีการอบรบผู้ปฏิบัติการและเกี่ยวข้องให้เข้าใจอย่างถ่องแท้

มุมมองของผู้มีส่วนได้ส่วนเสียหลาย ๆ ส่วน อาจส่งเสริมให้คุณภาพของการกำกับดูแลมีความแข็งแกร่งขึ้น โดยทั่วไป คณะกรรมการกำกับดูแลความมั่นคงทางไซเบอร์ (Cybersecurity governace committee) นั้นประกอบไปด้วย Senior management ที่มาจาก Fist tier, Secord Tier และ Third Tier ของ Lines of Defense ไม่ว่าจะเป็นฝ่ายที่เกี่ยวข้องกับเทคโนโลยี หรือกระบวนการทางธุรกิจ (Technology and Business owner)

ทีม Incident response รายงานต่อฝ่ายบริหารและคณะกรรมในเรื่องการละเมินความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร เพื่อให้ข้อมูลเชิงลึกเกี่ยวกับการโจมตีช่องโหว่ อันเนื่องมาจาก การควบคุมไม่พอเพียง และนำประเด็นที่ระบุมาปรับปรุงแก้ไขและสามารถติดตาม ตรวจสอบได้

Component 2: Inventory of Information Assets (ทะเบียนทรัพย์สินสารสนเทศ)

แผนก IT ควรเก็บข้อมูลของสินทรัพย์ที่เป็นปัจจุบันทั้งหมดและจัดลำดับความสำคัญของสิ่งที่จำเป็นที่สุดเพื่อให้บรรลุวัตถุประสงค์ขององค์กรและการดำเนินงานเพื่อบรรลุเป้าหมายเชิงกลยุทธ์ขององค์กร สินทรัพย์เหล่านี้เป็นสิ่งสำคัญ Preventive และ detective controls ที่ถูกออกแบบมาเพื่อปกป้องทรัพย์สินที่มีค่าที่สุดจำเป็นต้องได้รับการติดตามตรวจสอบอย่างต่อเนื่องเพื่อให้แน่ใจว่ามีมีประสิทธิผลอย่างตลอดเวลา

ตัวอย่างที่มา https://images.template.net/wp-content/uploads/2016/04/02113250/Asset-Inventory-Template-Free-Download.jpg

Preventive Control เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อป้องกันไม่ให้เกิดความเสี่ยงและข้อผิดพลาดตั้งแต่แรก เช่นการอนุมัติ การจัดโครงสร้างองค์กร การแบ่งแยกหน้าที่ การใช้พนักงานที่มีความรู้และจริยธรรม

Detective Control เป็นวิธีการควบคุมที่กำหนดขึ้นเพื่อค้นพบข้อผิดพลาดที่เกิดขึ้นแล้ว เช่น การสอบทาน การวิเคราะห์ การยืนยันยอด การตรวจนับและการรายงานข้อบกพร่อง การตรวจสอบ ฯลฯ

เมื่อจะประเมิน Information assets ขององค์กรควรพิจารณาสิ่งต่อไปนี้:

(1) Data:

  • ประเภทของข้อมูล ทั้งมีโครงสร้างและไม่มีโครงสร้าง (เช่น ข้อมูลการทำธุรกรรม, ข้อมูลค่าปรับแต่งทางด้านระบบสารสนเทศ)
  • ลำดับชั้นความสำคัญของข้อมูลตามมาตรฐาน (เช่น ความลับ หรือเปิดเผยได้เป็นต้น)
  • สภาพแวดล้อม (เช่น data warehouses, key databases)

(2) Infrastructure repository of technology assets (ที่จัดเก็บ technology assets):

  • Servers, อุปกรณ์เครือข่าย, Storage (HD,SSD) , End-user devices (e.g., laptops, mobile devices)

(3) Applications

(4) External relationships (ความสัมพันธ์กับภายนอกองค์กร): 

  • หน่วยงานภายนอกที่ส่วนได้ส่วนเสียในการประมวลผลสารสนเทศขององค์กร เช่น Clound
  • กฏหมายและกฏระเบียบที่เกี่ยวข้อง เช่น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นต้น

สาเหตุที่จำเป็นต้องรู้ว่า องค์กรมีทรัพย์สินอะไรนั้นเพื่อที่จะหาทางป้องกันภัยคุกคามทางไซเบอร์ ซึ่งถ้าไม่รู้ว่ามีทรัพย์สินอะไร (ทั้ง Device และ Software) ก็ไม่สามารถป้องกันได้อย่างครบถ้วน นอกจากนี้การควบคุมอุปกรณ์ที่พนักงานเป็นเจ้าของและมีการเชื่อมต่อกับเครือข่ายภายในองค์กร ควรเป็นจุดสนใจหลักของการจัดการเพราะมีการเข้าถึงข้อมูลองค์กรได้ตลอดเวลา ถ้าเรามีการตรวจสอบสิทธิ์(Authenticate) หรือมีความสามารถในการตรวจสอบอุปกรณ์เหล่านั้น (detect device) จะช่วยให้องค์กรสามารถติดตามตรวจสอบในอุปกรณ์เหล่านั้นได้ เพื่อให้มั่นใจว่ากลยุทธ์ความปลอดภัยทางไซเบอร์โดยรวมมีประสิทธิภาพ

Component 3: Standard Security Configurations (กำหนดค่ามาตรฐานความปลอดภัย)

การนำ Software มาช่วยจัดการการปรับแต่งค่าต่าง ๆ ระบบสารสนเทศ (Automated configuration management software) ไม่ว่าจะเป็น อุปกรณ์ Network, Backup, Operating Systems และ Application Software ให้ปลอดภัยตามมาตรฐาน หรือ Baseline จะมีการจัดการมีประสิทธิภาพมากกว่าการจัดการระบบโดยไม่ใช้ Software ช่วยเหลือ

อย่างไรก็ตามทีมงาน Information security และ หน่วยงานตรวจสอบภายใน ควรมีการทวนสอบ Baseline โดยจัดให้มีและปฏิบัติตาม ตามความเสี่ยงที่ได้วิเคราะห์ (โดยเฉพาะอย่างยิ่ง เว็บไซต์ที่มีการเชื่อมต่อกับเครื่องข่าย Internet อาจต้องหาวิธีการป้องกันเพิ่มเติม เนื่องจากมีช่องทาง หรือ Attack surface ที่ส่งผลให้โอกาสให้ภัยคุกคามจะโจมตีมากขึ้น) กระบวนการที่จำเป็นอย่างเช่น การ Patches เพื่ออุดรอยรั่วต่าง ๆ การปรับปรุง version ทั้ง Software และ Hardware ให้มีความทันสมัยเหมาะสมกับงานและป้องกันภัยคุกคาม การปรับแต่งค่าให้มีความปลอดภัย ยังจำเป็นเพื่อให้มั่นใจว่าสามารถป้องกันเมื่อมีภัยคุกคามในรูปแบบใหม่ๆเกิดขึ้น

ที่มา: https://www.cisecurity.org/cybersecurity-best-practices/

Component 4: Information Access Management (การจัดการการเข้าถึงข้อมูล)

ฝ่ายบริหารควรพิจารณาการใช้ Preventive Controls เช่นมีกระบวนการในการอนุมัติและให้สิทธิ์การเข้าถึงแก่ผู้ใช้ตามบทบาทหน้าที่ของงาน นอกจากนี้กระบวนการในการตรวจสอบเมื่อพนักงานย้ายภายในองค์กรจะช่วยให้มั่นใจว่าการเข้าถึงของผู้ใช้มีการปรับเปลี่ยนและเกี่ยวข้องกับบทบาทหน้าที่ใหม่ที่ได้รับ กิจกรรมการตรวจสอบภายในอาจทำการตรวจสอบการเข้าถึงของผู้ใช้ไปยังข้อมูลและระบบที่สำคัญเพื่อตรวจสอบว่าระดับการเข้าถึงนั้นถูกต้องสำหรับบทบาทหน้าที่ในปัจจุบัน

สิทธิ์การเข้าถึงระดับผู้ดูแลระบบมีความสำคัญอย่างยิ่ง ผู้ใช้ที่มีความสามารถในการเข้าถึงและเผยแพร่ข้อมูลมีความเสี่ยงต่อความปลอดภัยทางไซเบอร์มากที่สุดโดยการเปิดเผยรหัสผ่านหรือการโหลดมัลแวร์โดยไม่ตั้งใจ (โดยวิธีการ phishing) ผู้ใช้สามารถหลีกเลี่ยงโดยมีวิธีการควบคุมอย่างเป็นระบบที่ออกแบบมาเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ผู้ที่มีสิทธิ์เข้าถึงมีทั้งผู้ใช้งานที่อยู่ทั้งภายในและภายนอกองค์กร ดังนั้นควรให้ความสนใจกับพนักงาน,consultants และ vendors(3rd party) ที่สามารถเข้าถึงข้อมูลสำคัญไม่ว่าจะเป็นข้อมูลภายในหรือภายนอก การตรวจสอบกิจกรรมการควบคุมเชิงป้องกัน (preventive control) สำหรับการอนุญาตและการเพิกถอนการเข้าถึงและการประเมินพฤติกรรมของผู้ใช้ที่มีสิทธิ์การเข้าถึงเป็นตัวชี้วัดประสิทธิภาพของความปลอดภัยทางไซเบอร์ขององค์กร

Component 5: Prompt Response and Remediation (การตอบสนองและการแก้ไขทันที)

ความสามารถขององค์กรในการสื่อสารและแก้ไขความเสี่ยงทันทีบ่งบอกถึงประสิทธิผลของระดับความสามารถของการตอบสนองและการแก้ไข การตอบสนองและการแก้ไขที่ดีต้องสามารถลดระยะเวลาในการตอบสนองการจัดการได้และมีความต่อเนื่อง

  • บอกถึงความเสี่ยงที่สำคัญให้คนในองค์กรทราบ
  • ออก Policy เกี่ยวกับการตอบสนองและการแก้ไข
  • ติดตามปัญหาที่ระบุเพื่อแก้ไข
  • Trend ใหม่ๆ ที่เกี่ยวกับการตอบสนองและการแก้ไข และรายงานการแก้ไขปัญหา 

Component 6: Ongoing Monitoring (การตรวจสอบอย่างต่อเนื่อง)

ส่วนประกอบสุดท้ายกล่าวถึงการทวนสอบอย่างต่อเนื่องใน 5 ส่วนประกอบที่กล่าวมา เมื่อเราดำเนินการขั้นตอนนี้จะทำให้ทราบว่า ความเสี่ยงที่เกิดขึ้นจะถูกจัดการอย่างไร และกระบวนการแก้ไข (Corrective control) ถูกนำมาปฏิบัติดีเช่นไร ในส่วนของ Secord line of defense จะต้องถูกคาดหวังว่ามีการออกแบบวิธีการติดตามอย่างพอเพียงดังต่อไปนี้

  • การติดตามการเข้าถึงระบบสารสนเทศ ที่สัมพันธ์กับความเสี่ยงทางไซเบอร์ เพื่อจะเป็นประโยชน์ในการพัฒนาวิธีการทำที่เป็นระบบในการค้นหาช่องโหว่ที่เกี่ยวข้องกับ IT assets, การกำหนดค่าความปลอดภัย(security configurations), เว็บไซต์ที่มีปัญหา, เหตุการณ์เกี่ยวกับมัลแวร์ที่เกิดขึ้น และการจารกรรมข้อมูลผ่านทางมัลแวร์ที่ติดตั้งอยู่บนเครื่องของเหยื่อ(data exfiltration) ได้
  • Vulnerability assessment: ระบบที่สแกนเป็นประจำจะช่วยให้มีการระบุหรือเจอช่องโหว่ใหม่ๆที่เกิดขึ้น เมื่อมีการระบุช่องโหว่, จัดหมวดหมู่  (e.g., critical, major, moderate) และแก้ไข (เช่นแก้ไขช่องโหว่ที่สำคัญทั้งหมดในระบบที่มีความเสี่ยงสูงภายใน 30 วัน ทุก activities ของการแก้ไขอ้างอิงจากช่องโหว่ที่เกิดขึ้น
  • ระบบที่อยู่ภายนอกขององค์กรมักจะมีความเสี่ยงสูงสุด และควรได้รับการจัดลำดับความสำคัญก่อน First line และ second line ควรช่วยกันกำหนด SLAs เพื่อปฎิบัติตาม และการตรวจสอบภายในสามารถช่วยให้ประเมินได้ว่าสามารถปฏิบัติตาม SLAs ที่กำหนดหรือไม่
  • Third-party risk assessments and monitoring(การประเมินและติดตามความเสี่ยงของ Third-party) สามารถช่วยในการประเมินความเสี่ยงของThird-party ได้และวัดระดับความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นกับองค์กรตามบริการตัวอย่าง
    • การตรวจสอบ SLA ที่ใช้งานอยู่
    • การกำหนดค่าความปลอดภัยของข้อมูล
    • รายงาน Service organization controls (SOC)
    • ผลลัพธ์จากการตรวจสอบความปลอดภัยทางไซเบอร์ (cybersecurity examination)
    • การประเมินช่องโหว่และการทดสอบการเจาะ (Vulnerability assessments & penetration tests)
    • มีขั้นตอนการทำงานอย่างชัดแจ้งเมื่อจำเป็นต้องส่งให้ vendor มีส่วนร่วมในการจัดการ (Escalate procedure)
    • ทำการประเมินพื้นฐาน(assessments) ทำเพื่อตรวจสอบการควบคุมความปลอดภัยที่สำคัญ (security controls)
    • การประเมินผลอย่างต่อเนื่องเพื่อวิเคราะห์ architecture ด้านเทคนิคและการควบคุมในสถานที่เพื่อปกป้องข้อมูลขององค์กร
    • การตรวจสอบ third-party ที่เข้าถึงเครือข่ายและระบบขององค์กรเพื่อให้แน่ใจว่าบุคคลเหล่านี้ไม่ได้ทำกิจกรรมที่ไม่เหมาะสมหรือทำให้องค์กรมีเกิดความเสี่ยงโดยไม่จำเป็น
  • Penetration testing ( การทดสอบการเจาะระบบ ) เป็นการทดสอบการเจาะช่องโหว่ที่ทราบของระบบเพื่อประเมินการควบคุมทาง preventive technical controls รวมถึงความสามารถของการจัดการในการตรวจจับและตอบสนองต่อการโจมตี การทดสอบการเจาะระบบควรรวมถึงช่องโหว่ที่ไม่ได้ไม่ได้ประกาศอย่างเป็นทางการ (ช่องโหว่ใหม่ๆ ) เพื่อให้การประเมินความสามารถและความพร้อมขององค์กรมีความน่าเชื่อถือและตรงตามความต้องการให้มากที่สุดเพื่อตอบสนองต่อสถานการณ์การโจมตีไซเบอร์ (cyberattack) ในปัจจุบัน อย่างไรก็ตาม scope ของการทดสอบควรสมเหตุสมผลหรือตามที่ตกลงกันไว้ไม่รบกวนการปฏิบัติงานและได้รับการอนุมัติจากที่ผู้ที่เกี่ยวข้อง(ex. Leadership) ล่วงหน้าแล้ว (เช่นการทดสอบแบบให้ระบบปฎิเสธการให้บริการ Denail of service เป็นต้น)
  • Malware:  เนื่องจากช่องโหว่อาจถูกค้นพบหลังจากอุปกรณ์หรือผลิตภัณฑ์ software ถูกจัดส่งไปยังลูกค้า ดังนั้นควรสแกนอุปกรณ์และผลิตภัณฑ์ software เป็นประจำเพื่อระบุช่องโหว่และ ติดตั้งpatchเพื่อแก้ไขช่องโหว่ระบบ ตามลำดับความสำคัญ (เช่นสินทรัพย์ที่มีความสำคัญเป็นอันดับแรก) ในบางครั้ง patches บางตัวอาจต่ำกว่าระดับความเสี่ยงที่กำหนดไว้ (risk threshold) ดังนั้นจะได้รับการตรวจสอบและรายงาน แต่ไม่มีการดำเนินการใด ๆ เพิ่มเติม
  • Incident monitoring and response : การรวมกันของ processes เหล่านี้ช่วยให้องค์กรสามารถตรวจจับ, ตอบสนอง, แก้ไข, ฟื้นฟู และรายงานต่อผู้บริหารในกรณีที่มีช่องโหว่ เทคโนโลยีการเก็บบันทึก Log และตรวจสอบ (Logging and monitoring technologies) รวมถึงทีม response ที่ได้รับการฝึกฝนมาอย่างดีเป็นสิ่งจำเป็นเพื่อให้มั่นใจว่าการควบคุมเหล่านี้จะสำเร็จในวัตถุประสงค์ของคณะผู้บริหาร

จากที่กล่าวมาทั้งหมด แสดงถึงองค์ประกอบแต่ละส่วนของกรอบการทำงาน (framework) และกิจกรรมการจัดการ, รวมถึงการติดตามอย่างต่อเนื่อง(continuous monitoring) ว่ากิจกรรมการตรวจสอบภายในนี้ มีความต่อเนื่อง, เป็นที่มั่นใจและรับรองได้ว่ามีมาตรฐานในการตรวจสอบ

อ้างอิง