บันทึกแง่คิดจากการทำ Cyber Security Assessment: EP.1 Cyber Security ขององค์กรควรนึกถึงอะไร

ผมต้องขอออกตัวก่อนว่าไม่ใช่ Expert หรือ Engineer ด้าน Security มาจากไหนนะครับ บทความชุด “บันทึกแง่คิดจากการทำ Cyber Security Assessment” เป็นการถ่ายทอดสิ่งที่ได้เรียนรู้ ประสบพบเจอ และเห็นกับตา (มาบ้าง) เป็นประสบการณ์ที่ได้จากงานด้าน Cyber Security Assessment (การประเมินความปลอดภัยด้านไซเบอร์) โดยการใช้ assessment tool ตรวจสอบ Infrastructure (บางส่วน) เช่น เครื่องคอมพิวเตอร์, เครื่องเซิร์ฟเวอร์, ระบบยืนยันตัวตนของผู้ใช้งาน, ซอฟต์แวร์ที่ติดตั้งในองค์กร ประวัติการเข้าใช้เว็บไซต์ที่อาจมีความเสี่ยง รวมถึงการจัดการสิทธิ์การเข้าถึงและการแชร์ข้อมูลขององค์กรในแพลตฟอร์มออนไลน์อย่าง Office 365 และ/หรือ SharePoint ร่วมกับการสัมภาษณ์ผู้ดูแลระบบขององค์กรในด้านต่างๆ เช่น แนวทางการดูแลระบบสารสนเทศ การสร้างความตระหนักรู้ (awareness) ด้านภัยไซเบอร์แก่บุคลากรในองค์กร และความพร้อมในการรับมือเมื่อเกิดเหตุการณ์ต่างๆ

ใน EP.1 นี้จึงขอสรุปสาระในระดับ high level กับหัวข้อ “Cyber Security ขององค์กรควรนึกถึงอะไร” มาลองดูกันนะครับว่าสิ่งที่ผมได้นำมาเล่าจะมีแง่มุมไหน ประเด็นอะไรบ้าง และหากท่านมีความคิดเห็นที่สอดคล้องหรือแตกต่างอย่างไร สามารถมาแชร์และเสนอแนะได้ในคอมเม้นต์นะครับ ขอขอบคุณล่วงหน้าครับ

ปัจจัยที่ส่งผลต่อ Cyber Security ขององค์กร

เมื่อจะพิจารณาหรือประเมิน Cyber Security status ขององค์กรทั้งในเชิง compliance/policy และเชิง technical/technology มีอยู่ 3 ปัจจัยสำคัญที่ผมจะพิจารณาและชวนองค์กรให้พิจารณาตามไปด้วย ดังนี้

1. People (บุคลากร)
2. Process/Policy (กระบวนการ/นโยบาย)
3. Technology

สิ่งที่พิจารณาจากบุคลากรก็คือ พวกเขาในฐานะ user มีความตระหนักรู้ต่อภัยทางไซเบอร์มากน้อยเพียงใด พวกเขารู้หรือไม่ว่าอะไรที่สามารถก่อให้เกิดความเสี่ยงต่อระบบงาน, อุปกรณ์, account หรือข้อมูลที่พวกเขาต้องใช้ทำงาน เขามีความเข้าใจต่อสิ่งที่พึงหลีกเลี่ยงหรือพึงกระทำเพื่อความปลอดภัยทางไซเบอร์ขององค์กรเพียงพอที่จะระมัดระวังตนเองเสมอหรือไม่ สำคัญที่สุดคือองค์กรได้มีแนวทางหรือวิธีการในการสร้างเสริมความตระหนักรู้ ความเข้าใจ และพร้อมเหล่านั้นมากน้อยเพียงใด

แน่นอนว่าสิ่งถัดมาที่ต้องพิจารณาก็คือ กระบวนการดำเนินงานภายในองค์กร และนโยบายการปฏิบัติงานขององค์กรนั่นเอง ซึ่งแนวทางในการสร้างความตระหนักรู้ให้กับ user ก็เป็นส่วนหนึ่งด้วยเช่นกัน นอกจากนั้นก็ยังมีสิ่งต่างๆ ที่ควรพิจารณาในหัวข้อนี้ เช่น

• แนวทาง/นโยบายที่ควบคุมการดำเนินการหรือการประมวลผลกับข้อมูลขององค์กร โดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคล
• แนวปฏิบัติสำหรับการใช้อุปกรณ์คอมพิวเตอร์ เน็ตเวิร์ค ระบบงานขององค์กร การยืนยันตัวตนของ user และการติดตั้ง/ใช้ซอฟต์แวร์ต่างๆ
• การตรวจตรา/ตรวจสอบเพื่อให้มั่นใจว่าการดำเนินการต่างๆ ของ user ยังคงเป็นไปตามแนวทางหรือมาตรการที่ได้กำหนดไว้
• มาตรการ/แนวทางรับมือเมื่อเกิดเหตุการณ์โจมตีทางไซเบอร์ รวมถึงเหตุการณ์ที่ข้อมูลขององค์กรรั่วไหล
• ฯลฯ

สุดท้ายในด้านของเทคโนโลยี ก็เป็นส่วนที่สอดคล้องกับกระบวนการดำเนินงานภายในองค์กร และนโยบายการปฏิบัติงานขององค์กรทั้งทางตรงและทางอ้อม

ด้วย 3 ปัจจัยข้างต้น ผมก็จะมีลำดับของการพูดคุยสอบถาม (แกม challenge) องค์กรในการประเมินฯ บ่อยๆ ก็คือ

1. ในด้าน…..มีการใช้ solution/technology หรือมาตรการใดในการรักษาความปลอดภัย/ดูแลหรือไม่ อย่างไร
2. การใช้ solution/technology หรือมาตรการดังกล่าวได้ใช้กับด้าน…ของทุกๆ ส่วนในองค์หรือไม่ หรือใช้กับบาง user บางแผนก บางเครื่องคอมพิวเตอร์เท่านั้น
3. องค์กรมีวงรอบหรือ schedule ในการตรวจตรา/ตรวจสอบความสมบูรณ์เรียบร้อยของสิ่งที่ได้ implement ไปบ่อยเพียงใด มีกลไกลตรวจตรา/ตรวจสอบแบบ real-time หรือไม่ ต้องใช้บุคลากรเช่น IT admin มาตรวจสอบแบบ manual หรือมีระบบอัตโนมัติใดช่วยหรือไม่
4. ในด้าน…มีการสรุปผลจากการดูแล การตรวจตรา/ตรวจสอบ และการปรับปรุงอยู่เสมอๆ หรือไม่ รวมทั้งอยู่ในส่วนหนึ่งของการอัพเดตสถานะความปลอดภัยทางไซเบอร์ขององค์กรต่อฝ่ายบริหาร เพื่อให้เป็นข้อมูลประกอบการตัดสินใจต่อแนวปฏิบัติขององค์กรหรือไม่

สิ่งที่กล่าวถึงไปข้างต้นดูเหมือนจะเป็นเพียงแค่การพูดคุยเสียส่วนใหญ่ใช่ไหมล่ะครับ แล้วจะเชื่อถือหรือใช้คำตอบขององค์กรในการสรุปผลได้จริงหรือ ถ้าองค์กรตอบเพื่อให้ตนเองดูดีล่ะ? จริงๆ แล้วผมไม่ได้แค่สัมภาษณ์พูดคุยอย่างเดียวแต่ยังมีการใช้ assessment tool เพื่อสแกนระบบไอทีบางส่วน อย่างพื้นฐานสุดก็เช่น เครื่องคอมพิวเตอร์ และเครื่องเซิร์ฟเวอร์ ก็จะเห็นการตั้งค่าด้าน security เห็นซอฟต์แวร์ที่ติดตั้ง เห็น user ที่ใช้ในเครื่องเหล่านั้น เห็นประวัติการเข้าใช้เว็บไซต์ที่อาจมีความเสี่ยง ซึ่งจะช่วยสะท้อนว่าแนวทางการจัด ควบคุม ดูแลสิ่งเหล่านี้เป็นอย่างไร

อันที่จริงมีอยู่ประเด็นหนึ่งที่สำคัญกว่าการคิดว่าองค์กรจะตอบตามความเป็นจริงหรือตอบให้ตนดูดี นั่นก็คือวันนี้องค์กรมีแนวทาง มีวิธีการ หรือการดูแลที่ตนเข้าใจว่าสามารถดูแลจัดการได้อย่างทั่วถึง แต่ไม่ทราบว่าจริงๆ แล้วมีอะไรบางอย่างในบางระบบที่ผิดไปจากที่เคยวางแนวทาง เคยตั้งค่า หรือเคยกำหนดขอบเขตเอาไว้หรือไม่

ในตอนหน้าเราจะมาลองดูกันนะครับว่า มีอะไรบ้างที่องค์กรจำนวนมากมักจะมองข้ามไป หรือขาดการตรวจตรา/ตรวจสอบอย่างสม่ำเสมอจนเกิดสิ่งที่หลุดลอดสายตาและก่อปัญหาได้ทุกเมื่อ