Information Technology Risk Management using International Standard Methodologies and Frameworks
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
กล่าวถึงเรื่องการบริหารความเสี่ยง หรือ Risk Management นั้น ปัจจุบันนี้นับว่าเป็นเรื่องที่หลายองค์กร ยากที่จะหลีกเลี่ยงได้ เนื่องจากปัญหาด้านความปลอดภัยกับข้อมูล หรือ Information Security ได้ทวีความรุนแรงและได้สร้างความเสียหายมากขึ้นไปตามกระแสการใช้งานระบบสารสนเทศ และอินเตอร์เน็ตในองค์กรที่เพิ่มขึ้น ตลอดจน เรื่องของ กฎข้อบังคับ และ กฎหมายต่างๆ ที่ออกมาบังคับให้องค์กรสมัยใหม่ต้องปฏิบัติตาม ดังที่ เราเรียกกันติดปากว่า “Regulatory Compliance” โดยเฉพาะอย่างยิ่งองค์กรที่ต้องทำธุรกิจและธุรกรรมในประเทศสหรัฐอเมริกา ซึ่งจะต้องผ่านข้อกำหนดกฎข้อบังคับต่างๆ ของกฎหมาย SOX, HIPAA และ GLBA ซึ่งกฎหมายเหล่านี้ล้วนแล้วแต่ต้องมีความเกี่ยวข้องกับ การบริหารความเสี่ยงระบบสารสนเทศ (IT Risk Management) ในองค์กรแทบทั้งสิ้น
ปัญหาที่เกิดขึ้น ก็คือ มาตรฐานสากลต่างๆ ที่ว่าด้วยการบริหารความเสี่ยงเหล่านี้มีอยู่หลายมาตรฐานด้วยกัน บางมาตรฐานก็ไม่เหมาะสำหรับการประเมินความเสี่ยงระบบสารสนเทศ (IT Risk Assessment) ทำให้องค์กรหลายแห่งเกิดปัญหาในการเลือกใช้มาตรฐานต่างๆ อาทิ เช่น มาตรฐานของ NIST (National Institute of Standards and Technology) ได้แก่ NIST 800-30 “Risk Management Guide for Information Technology Systems”, มาตรฐานของ Australia และ New Zealand ได้แก่ AS/ NZS 4360:2004 หรือ มาตรฐานของ Software Engineering Institute (SEI) แห่งมหาวิทยาลัย Carnegie Mellon ได้แก่มาตรฐาน OCTAVE ซึ่งย่อมาจาก Operationally Critical Threat, Asset and Vulnerability Evaluation ยังไม่รวมถึงเฟรมเวิร์ค (Framework) ต่างๆที่หลายคนคงเคยได้ยินไม่ว่าจะเป็น COSO Framework , CoBit Framework และ ISO/ IEC17799 ซึ่งขณะนี้ได้เปลี่ยนเป็น ISO/IEC 27001 เป็นต้น เรียกได้ว่า ผู้บริหารด้านความปลอดภัยข้อมูลขององค์กรหลายคนเกิดความสับสนและไม่รู้ว่าจะนำมาตรฐานหรือเฟรมเวิร์คใดมาใช้ให้เหมาะสมกับการบริหารความเสี่ยงระบบสารสนเทศในองค์กรของตน
ก่อนอื่น เรามาทำความเข้าใจกับคำว่า “Methodologies” และ “Frameworks” เสียก่อน ความหมายของ Risk Management Methodologies ได้แก่ ขั้นตอน หรือ วิธีการในการบริหารความเสี่ยงอย่างถูกต้องตามหลักการมาตรฐานสากลที่ทั่วโลกยอมรับและนำมาประยุกต์ใช้กันโดยทั่วไป ส่วน “Framework” นั้น หมายถึง ขั้นตอน หรือ วิธีการที่ช่วยให้องค์กรได้ “Compliance” ตามหลักการมาตรฐานสากล ยกตัวอย่าง เช่น ถ้าพูดถึงการควบคุมภายใน หรือ “Internal Control” ก็จะหมายถึง COSO Framework หรือ Corporate Governance แต่ถ้าพูดถึง “IT Governance” ก็จะหมายถึง CobiT Framework ที่กำหนดขอบเขตแคบลงมาเจาะลึกในส่วนของระบบสารสนเทศ และ ถ้ากล่าวถึง Information Security Management System หรือ ISMS จะหมายถึง มาตรฐานสากล ISO/IEC 27001 (ชื่อเดิม ISO/ IEC 17799) นั่นเอง
เราจะสังเกตได้ว่าทั้ง COSO, CobiT และ ISO/ IEC 27001 นั้น ได้กล่าวถึงเรื่องของ Risk Assessment และ Risk Management ด้วยกันทั้งสิ้น แต่ทว่ายังไม่มีรายละเอียดเจาะลึกในการทำ Risk Management และ Assessment ต่างจากมาตรฐาน NIST 800-30, OCTAVE หรือ AS/ NZS 4360:2004 นั่นคือเราต้องนำมาตรฐานดังกล่าวมาประยุกต์ใช้อีกครั้งหนึ่งเพื่อลงในรายละเอียดเพิ่มมากขึ้น และ ใน CobiT นั้น ได้กล่าวถึงเรื่องของ Risk Management ไว้ใน PO9 (Planning and Organization) ซึ่งก็จะลงรายละเอียดในระดับหนึ่ง แต่ยังไม่ละเอียดเหมือนกับมาตรฐานทั้งสาม ดังที่ได้กล่าวมาแล้ว
สำหรับมาตรฐาน NIST 800-30 นั้น จะเน้นเรื่อง Threat and Vulnerability Identification, Likelihood determination, Impact Analysis และ Control Recommendations นั่นคือ ต้องกำหนด ภัย และ ช่องโหว่ ของระบบให้ได้เสียก่อน จากนั้นจึงดูโอกาสของความเสี่ยงที่อาจจะเกิดขึ้น ประกอบกับ ผลกระทบจากความเสี่ยงดังกล่าว ตลอดจนถึงวิธีการแก้ไขปัญหาของความเสี่ยงในรูปแบบต่างๆ โดยมาตรฐาน NIST 800-30 ถือเป็นต้นแบบซึ่งมาตรฐานอื่นๆ นำไปปรับปรุงแก้ไขให้มีรายละเอียดเน้นไปตามวัตถุประสงค์ของมาตรฐานนั้นๆ
ในส่วนมาตรฐาน OCTAVE ของ SEI นั้นจะเน้นไปที่ “คน และ กระบวนการ” (People and Process) โดยมีการทำเวิร์คช็อปเป็นทีม (Team Workshop) ประกอบด้วย ทั้งผู้บริหาร และ ฝ่ายปฎิบัติการจากส่วนของการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ และจากส่วนของการบริหารธุรกิจ ซึ่ง OCTAVE จะมีการใช้ Checklists และ Questionnaires ในการสอบถามทีมที่เข้าร่วมเวิร์คช็อป เพื่อที่จะให้ทุกคนได้เข้าใจเรื่องของความเสี่ยง และ รู้จักวิเคราะห์ผลกระทบของความเสี่ยงที่อาจเกิดขึ้น ซึ่ง OCTAVE จะลงรายละเอียดได้ดีกว่า NIST 800-30 เพราะผู้ร่วมทีมแต่ละคนจะมีความเข้าใจกระบวนการ (Process) ที่ตัวเองรับผิดชอบอยู่ได้เป็นอย่างดี
สำหรับมาตรฐาน AS/ NZS 4360:2004 นั้นจะครอบคลุมเนื้อหาด้านการบริหารความเสี่ยงที่กว้างกว่า NIST 800-30 และ OCTAVE เนื่องจาก AS/ NZS 4360:2004 จะเน้นเรื่องของสถานการณ์ทางด้านการเงิน ความปลอดภัยของพนักงาน และ ความเสี่ยงในการตัดสินใจทางธุรกิจของผู้บริหารด้วย องค์กรที่มีความจำเป็นต้อง “Compliance”กฎหมาย SOX, HIPAA และ GLBA นั้นมักจะเริ่มที่มาตรฐาน NIST 800-30 ก่อน จากนั้นก็ค่อยปรับลงรายละเอียดเข้าสู่มาตรฐาน OCTAVEซึ่งจะใช้เวลามากกว่า แต่จะได้ผลดีตรงการทำเวิร์คช็อปที่ความต้องการด้านความปลอดภัยและความต้องการด้านการดำเนินธุรกิจได้มาปรับให้เข้ากัน และเหมาะสมกับการดำเนินงานขององค์กร
สำหรับ ISO/ IEC 17799 และ ISO/ IEC 27001 ถือได้ว่าเป็นมาตรฐานสากล (International Standard) ด้านการบริหารจัดการเรื่องของความปลอดภัยข้อมูล ซึ่งจะครอบคลุมเรื่องสำคัญต่างๆ อาทิ เช่น Security Policy และ Security Incident Management ซึ่งวัตถุประสงค์ก็ไม่ได้ต่างจากวัตถุประสงค์ของการบริหารความเสี่ยงระบบสารสนเทศ ซึ่งก็คือการลดความเสี่ยง (Risk Reduction) ให้อยู่ในจุดที่ยอมรับได้ (Risk Acceptance Level) โดยมีสมมุติฐานเหมือนกันคือ “เราไม่สามารถลดความเสี่ยงให้เท่ากับศูนย์ได้ แต่เราสามารถบริหารจัดการความเสี่ยงให้อยู่ในจุดที่เรายอมรับในความเสียหายที่เกิดขึ้นได้ และ สามารถทำให้องค์กรดำเนินงานได้ต่อเนื่องอย่างไม่ติดขัด”
กล่าวโดยสรุปคือ “การบริหารความเสี่ยงนั้นขึ้นอยู่กับมุมมอง” ถ้าเรามองด้านธุรกิจ การบริหารความเสี่ยงของธุรกิจก็จะขึ้นกับการตัดสินใจของผู้บริหาร เช่น ตัดสินใจว่าจะผลิตสินค้า หรือจะยกเลิกการผลิตสินค้า เป็นต้น แต่ถ้าเรามองในด้านความปลอดภัยข้อมูลสารสนเทศ เรามักจะเจาะลึกถึงขั้นตอนรายละเอียดในการปฎิบัติการ ตลอดจนรายละเอียดทางด้านเทคนิค ซึ่งต้องมีกระบวนการประเมินความเสี่ยงอื่นเสริมเข้ามาช่วยด้วย เช่น การทำ Vulnerability Assessment และ Penetration Testing เพื่อช่วยให้เราเกิดความมั่นใจกับความปลอดภัยของระบบสารสนเทศมากขึ้น
ดังนั้น ขอบเขตของงานประเมินความเสี่ยง และ งานบริหารความเสี่ยง จึงขึ้นกับความต้องการของผู้บริหารในแต่ละองค์กร และขึ้นกับลักษณะในการดำเนินงานขององค์กร แต่สิ่งหนึ่งที่ทุกองค์กรเหมือนกัน ก็คือ ควรจะต้องมีการบริหารจัดการความเสี่ยงระบบสารสนเทศอย่างจริงจัง แล ะตรวจสอบผลลัพธ์ได้ชัดเจน โดยผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) ควรจะเข้ามาประเมินอย่างน้อยปีละหนึ่งครั้ง เพื่อให้แน่ใจว่าได้เป็นไปตามแนวทางที่ถูกต้องตามมาตรฐานสากล และ สนับสนุนแนวความคิดเรื่อง IT Governance และ Corporate Governance ในที่สุด
จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำ เดือนเมษายน 2549
Update Information : 24 เมษายน 2549by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
กล่าวถึงเรื่องการบริหารความเสี่ยง หรือ Risk Management นั้น ปัจจุบันนี้นับว่าเป็นเรื่องที่หลายองค์กร ยากที่จะหลีกเลี่ยงได้ เนื่องจากปัญหาด้านความปลอดภัยกับข้อมูล หรือ Information Security ได้ทวีความรุนแรงและได้สร้างความเสียหายมากขึ้นไปตามกระแสการใช้งานระบบสารสนเทศ และอินเตอร์เน็ตในองค์กรที่เพิ่มขึ้น ตลอดจน เรื่องของ กฎข้อบังคับ และ กฎหมายต่างๆ ที่ออกมาบังคับให้องค์กรสมัยใหม่ต้องปฏิบัติตาม ดังที่ เราเรียกกันติดปากว่า “Regulatory Compliance” โดยเฉพาะอย่างยิ่งองค์กรที่ต้องทำธุรกิจและธุรกรรมในประเทศสหรัฐอเมริกา ซึ่งจะต้องผ่านข้อกำหนดกฎข้อบังคับต่างๆ ของกฎหมาย SOX, HIPAA และ GLBA ซึ่งกฎหมายเหล่านี้ล้วนแล้วแต่ต้องมีความเกี่ยวข้องกับ การบริหารความเสี่ยงระบบสารสนเทศ (IT Risk Management) ในองค์กรแทบทั้งสิ้น
ปัญหาที่เกิดขึ้น ก็คือ มาตรฐานสากลต่างๆ ที่ว่าด้วยการบริหารความเสี่ยงเหล่านี้มีอยู่หลายมาตรฐานด้วยกัน บางมาตรฐานก็ไม่เหมาะสำหรับการประเมินความเสี่ยงระบบสารสนเทศ (IT Risk Assessment) ทำให้องค์กรหลายแห่งเกิดปัญหาในการเลือกใช้มาตรฐานต่างๆ อาทิ เช่น มาตรฐานของ NIST (National Institute of Standards and Technology) ได้แก่ NIST 800-30 “Risk Management Guide for Information Technology Systems”, มาตรฐานของ Australia และ New Zealand ได้แก่ AS/ NZS 4360:2004 หรือ มาตรฐานของ Software Engineering Institute (SEI) แห่งมหาวิทยาลัย Carnegie Mellon ได้แก่มาตรฐาน OCTAVE ซึ่งย่อมาจาก Operationally Critical Threat, Asset and Vulnerability Evaluation ยังไม่รวมถึงเฟรมเวิร์ค (Framework) ต่างๆที่หลายคนคงเคยได้ยินไม่ว่าจะเป็น COSO Framework , CoBit Framework และ ISO/ IEC17799 ซึ่งขณะนี้ได้เปลี่ยนเป็น ISO/IEC 27001 เป็นต้น เรียกได้ว่า ผู้บริหารด้านความปลอดภัยข้อมูลขององค์กรหลายคนเกิดความสับสนและไม่รู้ว่าจะนำมาตรฐานหรือเฟรมเวิร์คใดมาใช้ให้เหมาะสมกับการบริหารความเสี่ยงระบบสารสนเทศในองค์กรของตน
ก่อนอื่น เรามาทำความเข้าใจกับคำว่า “Methodologies” และ “Frameworks” เสียก่อน ความหมายของ Risk Management Methodologies ได้แก่ ขั้นตอน หรือ วิธีการในการบริหารความเสี่ยงอย่างถูกต้องตามหลักการมาตรฐานสากลที่ทั่วโลกยอมรับและนำมาประยุกต์ใช้กันโดยทั่วไป ส่วน “Framework” นั้น หมายถึง ขั้นตอน หรือ วิธีการที่ช่วยให้องค์กรได้ “Compliance” ตามหลักการมาตรฐานสากล ยกตัวอย่าง เช่น ถ้าพูดถึงการควบคุมภายใน หรือ “Internal Control” ก็จะหมายถึง COSO Framework หรือ Corporate Governance แต่ถ้าพูดถึง “IT Governance” ก็จะหมายถึง CobiT Framework ที่กำหนดขอบเขตแคบลงมาเจาะลึกในส่วนของระบบสารสนเทศ และ ถ้ากล่าวถึง Information Security Management System หรือ ISMS จะหมายถึง มาตรฐานสากล ISO/IEC 27001 (ชื่อเดิม ISO/ IEC 17799) นั่นเอง
เราจะสังเกตได้ว่าทั้ง COSO, CobiT และ ISO/ IEC 27001 นั้น ได้กล่าวถึงเรื่องของ Risk Assessment และ Risk Management ด้วยกันทั้งสิ้น แต่ทว่ายังไม่มีรายละเอียดเจาะลึกในการทำ Risk Management และ Assessment ต่างจากมาตรฐาน NIST 800-30, OCTAVE หรือ AS/ NZS 4360:2004 นั่นคือเราต้องนำมาตรฐานดังกล่าวมาประยุกต์ใช้อีกครั้งหนึ่งเพื่อลงในรายละเอียดเพิ่มมากขึ้น และ ใน CobiT นั้น ได้กล่าวถึงเรื่องของ Risk Management ไว้ใน PO9 (Planning and Organization) ซึ่งก็จะลงรายละเอียดในระดับหนึ่ง แต่ยังไม่ละเอียดเหมือนกับมาตรฐานทั้งสาม ดังที่ได้กล่าวมาแล้ว
สำหรับมาตรฐาน NIST 800-30 นั้น จะเน้นเรื่อง Threat and Vulnerability Identification, Likelihood determination, Impact Analysis และ Control Recommendations นั่นคือ ต้องกำหนด ภัย และ ช่องโหว่ ของระบบให้ได้เสียก่อน จากนั้นจึงดูโอกาสของความเสี่ยงที่อาจจะเกิดขึ้น ประกอบกับ ผลกระทบจากความเสี่ยงดังกล่าว ตลอดจนถึงวิธีการแก้ไขปัญหาของความเสี่ยงในรูปแบบต่างๆ โดยมาตรฐาน NIST 800-30 ถือเป็นต้นแบบซึ่งมาตรฐานอื่นๆ นำไปปรับปรุงแก้ไขให้มีรายละเอียดเน้นไปตามวัตถุประสงค์ของมาตรฐานนั้นๆ
ในส่วนมาตรฐาน OCTAVE ของ SEI นั้นจะเน้นไปที่ “คน และ กระบวนการ” (People and Process) โดยมีการทำเวิร์คช็อปเป็นทีม (Team Workshop) ประกอบด้วย ทั้งผู้บริหาร และ ฝ่ายปฎิบัติการจากส่วนของการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ และจากส่วนของการบริหารธุรกิจ ซึ่ง OCTAVE จะมีการใช้ Checklists และ Questionnaires ในการสอบถามทีมที่เข้าร่วมเวิร์คช็อป เพื่อที่จะให้ทุกคนได้เข้าใจเรื่องของความเสี่ยง และ รู้จักวิเคราะห์ผลกระทบของความเสี่ยงที่อาจเกิดขึ้น ซึ่ง OCTAVE จะลงรายละเอียดได้ดีกว่า NIST 800-30 เพราะผู้ร่วมทีมแต่ละคนจะมีความเข้าใจกระบวนการ (Process) ที่ตัวเองรับผิดชอบอยู่ได้เป็นอย่างดี
สำหรับมาตรฐาน AS/ NZS 4360:2004 นั้นจะครอบคลุมเนื้อหาด้านการบริหารความเสี่ยงที่กว้างกว่า NIST 800-30 และ OCTAVE เนื่องจาก AS/ NZS 4360:2004 จะเน้นเรื่องของสถานการณ์ทางด้านการเงิน ความปลอดภัยของพนักงาน และ ความเสี่ยงในการตัดสินใจทางธุรกิจของผู้บริหารด้วย องค์กรที่มีความจำเป็นต้อง “Compliance”กฎหมาย SOX, HIPAA และ GLBA นั้นมักจะเริ่มที่มาตรฐาน NIST 800-30 ก่อน จากนั้นก็ค่อยปรับลงรายละเอียดเข้าสู่มาตรฐาน OCTAVEซึ่งจะใช้เวลามากกว่า แต่จะได้ผลดีตรงการทำเวิร์คช็อปที่ความต้องการด้านความปลอดภัยและความต้องการด้านการดำเนินธุรกิจได้มาปรับให้เข้ากัน และเหมาะสมกับการดำเนินงานขององค์กร
สำหรับ ISO/ IEC 17799 และ ISO/ IEC 27001 ถือได้ว่าเป็นมาตรฐานสากล (International Standard) ด้านการบริหารจัดการเรื่องของความปลอดภัยข้อมูล ซึ่งจะครอบคลุมเรื่องสำคัญต่างๆ อาทิ เช่น Security Policy และ Security Incident Management ซึ่งวัตถุประสงค์ก็ไม่ได้ต่างจากวัตถุประสงค์ของการบริหารความเสี่ยงระบบสารสนเทศ ซึ่งก็คือการลดความเสี่ยง (Risk Reduction) ให้อยู่ในจุดที่ยอมรับได้ (Risk Acceptance Level) โดยมีสมมุติฐานเหมือนกันคือ “เราไม่สามารถลดความเสี่ยงให้เท่ากับศูนย์ได้ แต่เราสามารถบริหารจัดการความเสี่ยงให้อยู่ในจุดที่เรายอมรับในความเสียหายที่เกิดขึ้นได้ และ สามารถทำให้องค์กรดำเนินงานได้ต่อเนื่องอย่างไม่ติดขัด”
กล่าวโดยสรุปคือ “การบริหารความเสี่ยงนั้นขึ้นอยู่กับมุมมอง” ถ้าเรามองด้านธุรกิจ การบริหารความเสี่ยงของธุรกิจก็จะขึ้นกับการตัดสินใจของผู้บริหาร เช่น ตัดสินใจว่าจะผลิตสินค้า หรือจะยกเลิกการผลิตสินค้า เป็นต้น แต่ถ้าเรามองในด้านความปลอดภัยข้อมูลสารสนเทศ เรามักจะเจาะลึกถึงขั้นตอนรายละเอียดในการปฎิบัติการ ตลอดจนรายละเอียดทางด้านเทคนิค ซึ่งต้องมีกระบวนการประเมินความเสี่ยงอื่นเสริมเข้ามาช่วยด้วย เช่น การทำ Vulnerability Assessment และ Penetration Testingเพื่อช่วยให้เราเกิดความมั่นใจกับความปลอดภัยของระบบสารสนเทศมากขึ้น
ดังนั้น ขอบเขตของงานประเมินความเสี่ยง และ งานบริหารความเสี่ยง จึงขึ้นกับความต้องการของผู้บริหารในแต่ละองค์กร และขึ้นกับลักษณะในการดำเนินงานขององค์กร แต่สิ่งหนึ่งที่ทุกองค์กรเหมือนกัน ก็คือ ควรจะต้องมีการบริหารจัดการความเสี่ยงระบบสารสนเทศอย่างจริงจัง แล ะตรวจสอบผลลัพธ์ได้ชัดเจน โดยผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) ควรจะเข้ามาประเมินอย่างน้อยปีละหนึ่งครั้ง เพื่อให้แน่ใจว่าได้เป็นไปตามแนวทางที่ถูกต้องตามมาตรฐานสากล และ สนับสนุนแนวความคิดเรื่อง IT Governance และ Corporate Governance ในที่สุด
จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำ เดือนเมษายน 2549
Update Information : 24 เมษายน 2549