การทำ ISO 9000 หรือ ISO 27001 จะต้องมีการทำ Risk Assessment ในการประเมินความเสี่ยงของทรัพย์สิน โดยปกติจะใช้การประเมิน ความเสี่ยง Asset-Based ตามรายการทรัพย์สิน แบบนี้ทำได้ยาก ใช้เวลานาน จึงมีการประเมินความเสี่ยงในรูปแบบ Scenario-Based ตามเหตุการณ์ความเสี่ยงแทน
Get Started
หากใครที่ทำงานสาย IT แล้วภายในองค์กรมี Data Center เป็นของตัวเอง คงหนีไม่พ้นการทำ ISO 9001 / ISO 27001 อย่างแน่นอน ซึ่งก็ตามมาด้วยงานเอกสาร การประเมินความเสี่ยง (Risk Assessment) ก็เป็นหนึ่งในภารกิจหลักที่ต้องทำ ซึ่งทาง IT จะมีรายการทรัพย์สินจำนวนมาก โดยเฉพาะพวกอุปกรณ์ทางเครือข่าย อีกทั้งมี Asset Group ย่อยเกินไป การประเมิณความเสี่ยงตาม Asset Group จึงเป็นอะไรที่ลำบาก เดี๋ยวจะมองไม่เห็นภาพ ตัวอย่าง
Group
- Hardware
- Software
- Network
- Person
- Information
- Service
- Co-location
- VPS
Asset-Based Risk
สมมุติว่า Asset Group เป็น Hardware ก็จะประกอบไปด้วย Server, PC, Notebook, UPS, Generator, Air Conditioner, Water Leak, Smoke Detection, Finger Scan, CCTV, Rack, Thermometer Humidity Meter และอื่น ๆ
จะเห็นว่าแค่ Hardware อย่างเดียวก็ขนลุกแล้ว ยังไม่รวมการประเมินตามเกณฑ์์ที่ต้องประกอบไปด้วย Impact, Likelihood หลังจากประเมินเสร็จยังต้องมาวิเคราะห์ Risk Treatment ในการลดความเสี่ยงหรือจัดการความเสี่ยงที่เกิดขึ้น หากจัดการไม่ได้ก็ต้องให้ผู้บริหาร Accept อะไรก็ว่าไป
จากปัญหาที่พบก็คือ
- Asset 1 รายการ สามารถเกิดช่องโหว่และความเสี่ยง (Vulnerability & Threat) ได้หลากหลายรูปแบบ หลากหลายสถานการณ์ ทำให้ต้องประเมินความเสี่ยงหลายรายการเป็นจำนวนมาก
- Asset มีจำนวนมาก ทำให้เสียเวลามานั่งทำเอกสาร ทำปีนี้เสร็จ ปีหน้าต้องมาประเมินความเสี่ยงใหม่ สรูปทำทุกปี งงทุกปี
- เกิดความสับสนกับเกณฑ์ที่ใช้ในการประเมิน
Scenario-Based Risk
แนวทางในการแก้ปัญหาโดยกำหนดเป็น Scenario ก่อน แล้วค่อยมาระบุ Asset ทีหลัง ซึ่งในบาง Asset ก็มีความเสี่ยงและวิธีจัดการความเสี่ยงที่เหมือนกัน ทำให้ประหยัดเวลาในการประเมินความเสี่ยง อีกทั้งยังดูเข้าใจง่าย แต่การที่จะระบุเหตุการณ์ความเสี่ยงให้ครอบคลุมทำได้ยากสำหรับมือใหม่ ต่างจากการประเมินความเสี่ยงแบบ Asset-Based ที่จะทราบชัดเจนเมื่อมีการประเมินความเสี่ยงครบทุกรายการ
Scenario | Likelihood | Impact | Current controls | Residual risk | Recommended actions |
---|---|---|---|---|---|
Power outage | High | High | UPS, generator, power distribution units, Automatic transfer switch | Low | Regularly test and maintain backup power systems, review power usage to optimize efficiency, implement advanced power management systems |
Equipment failure | High | High | Redundant systems, regular maintenance, monitoring, Remote hands service | Low | Regularly test and maintain backup systems, conduct regular equipment audits, implement advanced monitoring and management systems |
Natural disaster | Medium | High | Flood barriers, emergency shutdown procedures, disaster recovery plan, Hot and Cold Aisle | Low | Regularly review and update disaster recovery plan, conduct disaster recovery drills, implement advanced environmental monitoring systems |
Cyber attack | High | High | Firewall, intrusion detection/prevention, incident response plan, security Information and Event Management system | Low | Regular security training for employees, conduct security audits, test incident response plan, Implement advanced threat detection and response systems |
Data breach | High | High | Encryption, access controls, incident response plan, Data Loss Prevention system | Low | Conduct regular security audits, review and update incident response plan, Implement advanced data protection systems |
Physical security | High | High | Surveillance cameras, security personnel, access controls, biometric authentication | Low | Conduct regular security audits, review and update incident response plan, Implement advanced security systems |
Compliance and regulatory | High | High | Regular audits, compliance management systems, incident response plan | Low | Regularly review and update compliance management systems, Conduct regular compliance audits, Implement advanced compliance monitoring systems |
Operational risks | High | High | Staffing plan, capacity management, incident response plan | Low | Regularly review and update staffing plan, Conduct regular capacity management audits, Implement advanced operational monitoring systems |
อ่านเพิ่มเติม : http://bit.ly/3D9qJDA
Leave a Reply