ยุทธศาสตร์การจัดการความเสี่ยงของทุกองค์กรนั้นย่อมต้องมีการประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ด้วย เนื่องจากถือเป็นช่องโหว่สำคัญที่เปิดช่องให้เกิดอันตรายที่สร้างความเสียหายอย่างใหญ่หลวงได้ แต่แน่นอนว่าความจำเป็นในการประเมินความเสี่ยงนั้นขึ้นอยู่กับขนาดขององค์กรด้วย อย่างบริษัทข้ามชาตินั้นย่อมมีความเสี่ยงมากกว่าบริษัทขนาดเล็กและขนาดกลางในประเทศอยู่แล้ว เป็นต้น
อย่างไรก็ดี ทุกบริษัทน้อยใหญ่ต่างก็พยายามอย่างสุดความสามารถในการลดความเสี่ยงมากที่สุดเท่าที่เป็นไปได้ ซึ่งหนทางที่จะทำได้นั้นก็หนีไม่พ้นการประเมินความเสี่ยงเช่นกัน แต่การประเมินความเสี่ยงที่เหมาะสมนั้นไม่ใช่เรื่องทีจำเป็นต้องทำให้ซับซ้อน เพียงแค่แตกย่อยออกมาเป็นแต่ละหัวข้อเล็กๆ ก็ทำให้สามารถบริหารจัดการได้ง่ายขึ้นแล้ว ดังขั้นตอนต่อไปนี้
1. จัดตั้งทีมงานจัดการความเสี่ยงโดยเฉพาะ
ไม่ว่าตัวคุณเองจะมีทักษะด้านการรักษาความปลอดภัยดีแค่ไหน ก็ไม่มีทางที่จะสามารถสอดส่องดูแลได้ทุกจุดพร้อมกัน ดังนั้นจึงจำเป็นต้องมีทีมงานคอยช่วยเหลือ เป็นหูเป็นตาโดยเฉพาะจุดเสี่ยงต่างๆ ในองค์กร โดยเฉพาะในเมื่อแต่ละแผนกมีลักษณะการทำงานที่ต่างกัน ทีมงานด้านนี้จึงควรมีตัวแทนจากหลากหลายแผนกที่ช่วยได้ทั้งด้านการสื่อสารและการวิเคราะห์ภาพรวมได้ชัดเจน
2. ลิสต์รายการและจัดหมวดหมู่ทรัพย์สินในองค์กร
ทีมงานที่จัดตั้งขึ้นจะเป็นหัวแรงสำคัญในการรวบรวมข้อมูลเกี่ยวกับทรัพยากรทั้งหมดภายในองค์กร โดยเฉพาะข้อมูลที่ถูกรวบรวม, จัดเก็บ, และโอนย้ายถ่ายเทไปยังตำแหน่งต่างๆ โดยเฉพาะในบริการบนคลาวด์อย่างเช่น Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS), และ Software-as-a-Service (SaaS)
3. ลงมือประเมินความเสี่ยง
ข้อมูลที่ใช้งานในองค์กรต่างมีความสำคัญแตกต่างกัน และหน่วยงานที่เราเอาต์ซอร์สหรือเธิร์ดปาร์ตี้ต่างๆ ก็ไม่ได้มีมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพเพียงพอเท่าเทียมกันด้วย ดังนั้นเวลาที่จะระบุความสำคัญหรือระดับความเสี่ยงของทรัพยากรด้านข้อมูลในบริเวณต่างๆ ก็ไม่ควรมองข้ามความเสี่ยงที่เกิดจากบุคคลหรือองค์กรภายนอกที่ร่วมงานด้วยเช่นกันตัวอย่างเช่น การมองหาระบบ เครือข่าย หรือซอฟต์แวร์ที่เป็นแกนหลักของบริษัท, ระบุข้อมูลที่ควรจัดการทั้งด้านการรักษาความลับ ความพร้อมในการเข้าถึง และความถูกต้อง, ระบุอุปกรณ์ที่มีความเสี่ยงมากที่สุดต่อการเกิดเหตุข้อมูลรั่วไหล, ระบุโอกาสต่างๆ ที่สร้างความเสียหายแก่ข้อมูล, มองหาระบบ เครือข่าย หรือซอฟต์แวร์ที่มักตกเป็นเป้าของอาชญากรไซเบอร์ในการจารกรรมข้อมูล, รวมไปถึงความเสี่ยงทั้งด้านการเงินและชื่อเสียงที่เป็นไปได้ถ้าเกิดเหตุข้อมูลรั่วไหล เป็นต้น
4. วิเคราะห์ความเสี่ยงที่พบ
การวิเคราะห์ความเสี่ยงเป็นขั้นตอนเพิ่มเติมจากการประเมินในหัวข้อที่แล้ว จากหลักการที่ว่าข้อมูลทุกอย่างไม่ได้ถูกปกป้องหรือรักษาความปลอดภัยอย่างเท่าเทียมกัน ดังนั้นความเสี่ยงที่เกิดขึ้นก็มีความรุนแรงไม่เท่ากันด้วยโดยควรคำนึงถึงความเป็นไปได้ของช่องทางต่างๆ ที่อาชญากรไซเบอร์สามารถเข้าถึงข้อมูล ไปจนถึงผลกระทบของเหตุการณ์ความเสียหายกับข้อมูลที่มีทั้งด้านการเงิน, การดำเนินงาน, และชื่อเสียงขององค์กรด้วย ซึ่งเมื่อนำปัจจัยด้านความเป็นไปได้และผลกระทบมาพิจารณาร่วมกันแล้ว ก็จะทำให้ได้ระดับความเสี่ยงที่องค์กรยอมรับได้ ที่สามารถใช้เป็นเกณฑ์ในการยอมรับ, โยกย้าย, จำกัด, หรือปิดกั้นความเสี่ยงต่างๆ
5. หาวิธีควบคุมและสร้างความปลอดภัย
เมื่อสามารถระบุระดับความเสี่ยงที่เราสามารถยอมรับได้แล้ว ก็ถึงเวลาที่ต้องจัดตั้งมาตรการควบคุมด้านความปลอดภัยให้สอดคล้องกัน ไม่ว่าจะเป็นการแบ่งส่วนเครือข่าย, การเข้ารหัสข้อมูลทั้งที่เก็บอยู่กับที่และระหว่างการสื่อสาร, การอบรมพนักงาน, การใช้นโยบายบังคับความแข็งแกร่งของรหัสผ่าน, จัดตั้งโครงการจัดการความเสี่ยงที่เกิดจากผู้จำหน่าย, การตั้งค่าไฟร์วอลล์อย่างเหมาะสม, การเลือกใช้ซอฟต์แวร์แอนติมัลแวร์ และแอนติแรนซั่มแวร์, และการใช้ระบบการยืนยันตนแบบหลายปัจจัย เป็นต้น
6. ตรวจสอบและทบทวนประสิทธิภาพของวิธีที่ใช้อย่างต่อเนื่อง
ในช่วงหลายปีที่ผ่านมานั้น ความปลอดภัยทางด้านไอทีถือเป็นประเด็นร้อนมาตลอด เนื่องจากผู้ไม่หวังดีต่างไม่หยุดนิ่งที่จะพัฒนาวิธีโจมตีใหม่ๆ เพื่อก้าวข้ามระบบความปลอดภัยเดิมที่องค์กรส่วนใหญ่ใช้งาน ดังนั้นจึงเป็นหน้าที่และความรับผิดชอบขององค์กรที่ควรทำโครงการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อให้สามารถตรวจสอบได้อย่างมีประสิทธิภาพทั่วถึงทั้งสภาพแวดล้อมด้านไอที โดยเฉพาะการสอดส่องอันตรายแบบใหม่ที่อาจคุกคามเข้ามาได้ทุกเมื่อ สิ่งที่สำคัญที่สุดสำหรับองค์กรก็คือการวางระบบความปลอดภัยทางไซเบอร์โดยรวมให้แข็งแกร่งที่สุด ที่สามารถรับมือกับความเสี่ยงใดๆ ที่อาจเกิดขึ้นได้ทุกรูปแบบ
————————————————————-
ที่มา : EnterpriseITPro / 11 มีนาคม 2562
Link : https://www.enterpriseitpro.net/cybersecurity-risk-assessment/