Scenario-Based Risk

การทำ ISO 9000 หรือ ISO 27001 จะต้องมีการทำ Risk Assessment ในการประเมินความเสี่ยงของทรัพย์สิน โดยปกติจะใช้การประเมิน ความเสี่ยง Asset-Based ตามรายการทรัพย์สิน แบบนี้ทำได้ยาก ใช้เวลานาน จึงมีการประเมินความเสี่ยงในรูปแบบ Scenario-Based ตามเหตุการณ์ความเสี่ยงแทน

Get Started

หากใครที่ทำงานสาย IT แล้วภายในองค์กรมี Data Center เป็นของตัวเอง คงหนีไม่พ้นการทำ ISO 9001 / ISO 27001 อย่างแน่นอน ซึ่งก็ตามมาด้วยงานเอกสาร การประเมินความเสี่ยง (Risk Assessment) ก็เป็นหนึ่งในภารกิจหลักที่ต้องทำ ซึ่งทาง IT จะมีรายการทรัพย์สินจำนวนมาก โดยเฉพาะพวกอุปกรณ์ทางเครือข่าย อีกทั้งมี Asset Group ย่อยเกินไป การประเมิณความเสี่ยงตาม Asset Group จึงเป็นอะไรที่ลำบาก เดี๋ยวจะมองไม่เห็นภาพ ตัวอย่าง

Group

Hardware
Software
Network
Person
Information
Service
Co-location
VPS

Asset-Based Risk

สมมุติว่า Asset Group เป็น Hardware ก็จะประกอบไปด้วย Server, PC, Notebook, UPS, Generator, Air Conditioner, Water Leak, Smoke Detection, Finger Scan, CCTV, Rack, Thermometer Humidity Meter และอื่น ๆ

จะเห็นว่าแค่ Hardware อย่างเดียวก็ขนลุกแล้ว ยังไม่รวมการประเมินตามเกณฑ์์ที่ต้องประกอบไปด้วย Impact, Likelihood หลังจากประเมินเสร็จยังต้องมาวิเคราะห์ Risk Treatment ในการลดความเสี่ยงหรือจัดการความเสี่ยงที่เกิดขึ้น หากจัดการไม่ได้ก็ต้องให้ผู้บริหาร Accept อะไรก็ว่าไป

จากปัญหาที่พบก็คือ

Asset 1 รายการ สามารถเกิดช่องโหว่และความเสี่ยง (Vulnerability & Threat) ได้หลากหลายรูปแบบ หลากหลายสถานการณ์ ทำให้ต้องประเมินความเสี่ยงหลายรายการเป็นจำนวนมาก
Asset มีจำนวนมาก ทำให้เสียเวลามานั่งทำเอกสาร ทำปีนี้เสร็จ ปีหน้าต้องมาประเมินความเสี่ยงใหม่ สรูปทำทุกปี งงทุกปี
เกิดความสับสนกับเกณฑ์ที่ใช้ในการประเมิน

แนวทางในการแก้ปัญหาโดยกำหนดเป็น Scenario ก่อน แล้วค่อยมาระบุ Asset ทีหลัง ซึ่งในบาง Asset ก็มีความเสี่ยงและวิธีจัดการความเสี่ยงที่เหมือนกัน ทำให้ประหยัดเวลาในการประเมินความเสี่ยง อีกทั้งยังดูเข้าใจง่าย แต่การที่จะระบุเหตุการณ์ความเสี่ยงให้ครอบคลุมทำได้ยากสำหรับมือใหม่ ต่างจากการประเมินความเสี่ยงแบบ Asset-Based ที่จะทราบชัดเจนเมื่อมีการประเมินความเสี่ยงครบทุกรายการ

Scenario	Likelihood	Impact	Current controls	Residual risk	Recommended actions
Power outage	High	High	UPS, generator, power distribution units, Automatic transfer switch	Low	Regularly test and maintain backup power systems, review power usage to optimize efficiency, implement advanced power management systems
Equipment failure	High	High	Redundant systems, regular maintenance, monitoring, Remote hands service	Low	Regularly test and maintain backup systems, conduct regular equipment audits, implement advanced monitoring and management systems
Natural disaster	Medium	High	Flood barriers, emergency shutdown procedures, disaster recovery plan, Hot and Cold Aisle	Low	Regularly review and update disaster recovery plan, conduct disaster recovery drills, implement advanced environmental monitoring systems
Cyber attack	High	High	Firewall, intrusion detection/prevention, incident response plan, security Information and Event Management system	Low	Regular security training for employees, conduct security audits, test incident response plan, Implement advanced threat detection and response systems
Data breach	High	High	Encryption, access controls, incident response plan, Data Loss Prevention system	Low	Conduct regular security audits, review and update incident response plan, Implement advanced data protection systems
Physical security	High	High	Surveillance cameras, security personnel, access controls, biometric authentication	Low	Conduct regular security audits, review and update incident response plan, Implement advanced security systems
Compliance and regulatory	High	High	Regular audits, compliance management systems, incident response plan	Low	Regularly review and update compliance management systems, Conduct regular compliance audits, Implement advanced compliance monitoring systems
Operational risks	High	High	Staffing plan, capacity management, incident response plan	Low	Regularly review and update staffing plan, Conduct regular capacity management audits, Implement advanced operational monitoring systems

อ่านเพิ่มเติม : http://bit.ly/3D9qJDA

Tagged: ISO 27001, ISO 9000, Risk Assessment, Scenario-Based