by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
ทำไมต้องมี CSO/ CISO
ในยุคที่โลกกลายเป็นเครือข่ายที่ไร้พรมแดน เราสามารถเข้าถึงข้อมูลข่าวสารซึ่งอยู่ในรูปแบบดิจิตอลได้อย่างรวดเร็ว Broadband Internet กำลังได้รับความนิยมเพิ่มขึ้น ขณะที่ไวรัสคอมพิวเตอร์ก็เริ่มทวีความรุนแรงเพิ่มเป็นเงาตามตัวเช่นกัน “Information Security” หรือ “InfoSec” กลายเป็นศาสตร์ที่เราต้องศึกษาเรียนรู้เพื่อป้องกันความปลอดภัยข้อมูลสารสนเทศที่อยู่ในระบบ เครือข่ายซึ่งมีการต่อเชื่อมกับระบบอินเทอร์เน็ตโดยใช้โปรโตคอล TCP/IP การจู่โจมของแฮกเกอร์และไวรัสมีอัตราเพิ่มสูงขึ้นตามอัตราการเพิ่มขึ้นของช่องโหว่ (Vulnerability) ในตัวโปรโตคอล TCP/IP เองและในระบบปฏิบัติการที่เราใช้อยู่เป็นประจำไม่ว่าจะเป็น Windows, UNIX หรือ Linux        แต่เดิมเราเน้นเรื่องการป้องกันระบบความปลอดภัยข้อมูลสารสนเทศในมุมมองทางด้านเทคนิคเพียงอย่างเดียว โดยที่เราไม่ค่อยได้ให้ความสำคัญกับมุมมองในด้านการจัดการบริหารให้มี ประสิทธิภาพ และประสิทธิผลปัญหาเรื่องความปลอดภัยข้อมูลสารสนเทศ ไม่ใช่แค่ซื้อ Firewall และ Anti-Virus Program แล้วจะจบ แต่กลายเป็นปัญหาด้านอื่นที่ต้องพิจารณาเช่นการทำ Patch Management, Users & Executives Information Security Awareness Training ตลอดจนปัญหาด้าน Physical Security ก็เป็นเรื่องที่มองข้ามไม่ได้เช่นกัน

CSO หรือ CISO เป็นตำแหน่งผู้บริหารระดับสูงทางด้านการรักษาความปลอดภัยให้กับโครงสร้างเครือข่ายและความปลอดภัยข้อมูลสารสนเทศ CSO มีหน้าที่ในการจัดการกับปัญหาความปลอดภัยดังกล่าว โดย CSO ต้องมีความเข้าใจในระบบธุรกิจเป็นอย่างดี (Business Process) และต้องเข้าใจเรื่องของการจัดการกับความเสี่ยง (Risk Management) ที่มีโอกาสเกิดขึ้นแล้วมีผลกระทบกับธุรกิจขององค์กรทั้งทางตรงและทางอ้อม ในมุมมองทั้งด้านเทคนิค การจัดการตลอดจนกำหนดนโยบายการรักษาความปลอดภัยระบบเครือข่ายและข้อมูลสารสนเทศให้ได้ตามมาตรฐานสากล โดยนำนโยบายมาตรฐานเช่น ISO/IEC17799 หรือ ISACA CobiT Framework มาจัดการกับระบบในองค์กรให้มีความปลอดภัยในลักษณะบรรษัทภิบาลหรือที่เราเรียกว่า “Corporate Governance”

ความรับผิดชอบของ CSO/ CISO 10 ข้อ

1. กำหนดเป้าหมาย นโยบายด้านการรักษาความปลอดภัยข้อมูล โดยกำหนดให้ไปในทิศทางเดียวกันกับแผนยุทธศาสตร์ขององค์กร (Corporate Strategic Plan)
2. จัดการพัฒนานโยบายด้านการรักษาความปลอดภัยข้อมูล Policy, Standard, Procedure and Guideline เพื่อให้องค์กรได้มาซึ่ง การรักษาความลับของข้อมูล (Confidentiality) การรักษาความถูกต้องของข้อมูล (Integrity) และเสถียรภาพความมั่นคงของระบบ (Availability) ยกตัวอย่าง การรับผิดชอบจัดทำแผน Information Security Awareness Training ให้กับบุคลากรขององค์กรที่ต้องใช้คอมพิวเตอร์ในการทำงานให้มีความรู้ความเข้าใจกับภัยอินเทอร์เน็ต
3. จัดการบริหารเฝ้าระวังการโจมตีระบบและภัยต่างๆ ที่อาจเกิดขึ้นกับระบบ โดยใช้ระบบเตือนผู้บุกรุก Intrusion Detection System (IDS), ระบบป้องกันผู้บุกรุก Intrusion Prevention System (IPS) หรือระบบจัดการกำจัดไวรัส (Anti-Virus Systems) ตลอดจนวางแผน Business Continuity และ Disaster Recovery (BCP and DRP) เพื่อกู้ระบบยามฉุกเฉิน
4. มีการบริหารความเสี่ยง (Risk Management) และการวิเคราะห์ความเสี่ยง (Risk Analysis) ที่อาจทำให้ระบบเกิดปัญหากระทบกับการดำเนินธุรกิจขององค์กร
5. นำเสนอผู้บริหารระดับสูงเช่น CIO หรือ CEO ในเรื่องของแผนการปฏิบัติงาน นโยบาย งบประมาณ อัตรากำลัง ตลอดจนแผนการ Outsource ด้านความปลอดภัยข้อมูลเพื่อขอดำเนินการอนุมัติ และเพื่อให้ผู้บริหารระดับสูงมีความตระหนัก (Awareness) ในความสำคัญเรื่อง Information Security
6. เป็นที่ปรึกษาด้านระบบความปลอดภัยข้อมูลให้กับแผนกอื่นๆ ที่ต้องใช้ IT ในการปฏิบัติงาน
7. ติดต่อและรักษาความสัมพันธ์กับคู่ค้า, องค์กร หรือบุคคลภายนอกที่มีความเกี่ยวข้องกับเรื่องความปลอดภัยข้อมูลทั้งภาครัฐและเอกชนเช่น ตำรวจ, นักข่าว, Systems Integrator (SI), Outsourcer, Managed Security Services Provider (MSSP) และผู้ตรวจสอบ (Auditor)
8. ออกข้อกำหนดในการจัดซื้อจัดจ้างระบบรักษาความปลอดภัยข้อมูลสารสนเทศ Requests for Proposal (RPF)
9. จัดตั้งและควบคุมบริหารทีม Incident Response เพื่อให้สามารถปฏิบัติงานในยามที่เกิดภาวะฉุกเฉินขึ้นในองค์กร เช่น การระบาดของไวรัสคอมพิวเตอร์
10. เตรียมพร้อมรับสถานการณ์และเรียนรู้เทคนิคใหม่ๆ ทางด้าน Information Security อย่างสม่ำเสมอ

คุณสมบัติของ CSO/ CISO

1. มีความรู้ความสามารถด้าน Information Technology และ Information Security ในระดับบริหารจัดการ และ ควรสอบผ่านประกาศนียบัตร CISSP (Certified Information Systems Security Professional) (see http://www.isc2.org)
2. มีคุณสมบัติความเป็นผู้นำและมีประสบการณ์การทำงานในระดับผู้จัดการระบบสารสนเทศมาไม่ต่ำกว่า 5 ปี และ มีอายุระหว่าง 30-45 ปี
3. ควรมีประสบการณ์เฉพาะด้าน Risk Management, BCP, DRP, IT Audit, SLA Contract and Vendor Negotiation
4. ควรมีประสบการณ์เกี่ยวกับการแก้ปัญหาที่เกี่ยวกับไวรัสคอมพิวเตอร์หรือแฮกเกอร์ ตลอดจนพื้นฐานความเข้าใจเรื่องกฎหมายอาชญากรรมคอมพิวเตอร์ (Computer Crime Laws)
5. มีความรู้เรื่องพื้นฐานด้านระบบความปลอดภัยเช่น Firewall, IDS, Anti-Virus, VPN, PKI, Vulnerability Assessment และ Penetration Testing
6. มีความสามารถและทักษะในการติดต่อสื่อสารกับผู้บังคับบัญชาและผู้ใต้บังคับบัญชาเป็นอย่างดี ทั้ง Technical Staff และ Non-Technical Staff

สรุปบทบาท CSO/CISO
กล่าวโดยสรุปตำแหน่ง CSO/ CISO เป็นตำแหน่งที่มีความสำคัญอย่างยิ่งในการบริหารงานความปลอดภัยระบบสารสนเทศขององค์กรในทุกวันนี้ และ ควรมีการกำหนดบทบาทหน้าที่ตลอดจนโครงสร้างขององค์กร (Organization Chart) ให้รองรับกับตำแหน่ง CSO/CISO ซึ่งอาจจะขึ้นกับ CIO หรือ ขึ้นกับ CEO โดยตรง เราควรพิจารณาตามลักษณะการดำเนินธุรกิจและยุทธศาสตร์ขององค์กรโดยมีจุดประสงค์หลัก คือลดผลกระทบจากความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กรให้น้อยที่สุดเท่าที่จะทำได้ (Risk Management and IT governance)

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกรกฏาคม 2547
Update Information : 25 มิถุนายน 2547