ทำความรู้จักกับ Scenario-based Risk Assessment เหมาะหรือไม่กับองค์กรของท่าน

Articles

มิ.ย. 05, 2014

แชร์

ทำความรู้จักกับ Scenario-based Risk Assessment เหมาะหรือไม่กับองค์กรของท่าน

การประเมินและบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นกระบวนการที่สำคัญที่องค์กรทุกระดับพึงจัดให้มีขึ้น เพื่อปกป้องธุรกิจและสร้างความสอดคล้องกับกฎหมาย รวมถึงเป็นกระบวนการพื้นฐานที่มาตรฐานสากลต่างๆ กำหนดให้มีการปฏิบัติใช้ภายในองค์กร เช่น ISO 27001, ISO 20000, ISO22301 เป็นต้น โดยวิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement ISO 27001:2005 คือวิธีการที่เรียกว่า Asset-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนหลักๆ ดังนี้

จัดทำทะเบียนทรัพย์สิน (Inventory of Asset) เพื่อระบุทรัพย์สินสารสนเทศที่สำคัญที่ต้องได้รับการปกป้อง
พิจารณาถึงภัยคุกคาม (Threat) ที่อาจทำอันตรายต่อทรัพย์สินสารสนเทศ และจุดอ่อน (Vulnerability) ในตัวทรัพย์สิน กระบวนการ หรือมาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่อาจเป็นช่องทางให้ภัยคุกคามเหล่านั้นเข้าทำอันตรายต่อทรัพย์สินได้
ประเมินระดับผลกระทบ (Impact) ต่อองค์กร และโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น
คำนวณระดับความเสี่ยง โดยสูตรพื้นฐานที่นิยมใช้กันคือผลกระทบ (Impact) x โอกาส (Probability) = ระดับความเสี่ยง (Risk)

ข้อดี

ข้อเสีย

เข้าใจง่าย เนื่องจากผู้ประเมินความเสี่ยงเห็นภาพที่ชัดเจน ว่ากำลังพิจารณาความเสี่ยงที่เกี่ยวข้องกับทรัพย์สินใด
มั่นใจได้ว่าการบริหารความเสี่ยงจะครอบคลุมทุกทรัพย์สิน

ต้องใช้ระยะเวลาและทรัพยากรจำนวนมากในการประเมินความเสี่ยงให้ครอบคลุมทุกทรัพย์สิน และผลที่ได้คือข้อมูลที่มากเกินความจำเป็น และนำไปใช้งานจริงได้น้อย
การประเมินความเสี่ยงที่เกี่ยวข้องกับทรัพย์สินจำนวนมาก เช่น การเปลี่ยน Platform ของระบบงานหลัก หรือความเสี่ยงที่ไม่เกี่ยวข้องกับทรัพย์สินโดยตรง เช่น การปรับเปลี่ยนกระบวนการทางธุรกิจ อาจทำได้ยาก หรือถึงขั้นไม่สามารถทำได้เลย

ในปี 2009 องค์กร ISO ได้ตีพิมพ์มาตรฐาน ISO 31000 ซึ่งเป็นแนวปฏิบัติ (Guideline) ในการบริหารความเสี่ยงขององค์กร โดยใช้วิธีการประเมินความเสี่ยงในลักษณะ Scenario-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนหลักๆ ดังนี้

ระบุความเสี่ยง (Risk Identification) โดยการพิจารณาถึงเหตุการณ์ความเสี่ยง (Risk Scenario) ที่เป็นไปได้ โดยเหตุการณ์ความเสี่ยงอาจเกี่ยวข้องกับทรัพย์สิน (Asset-related) หรือไม่ก็ได้
วิเคราะห์ความเสี่ยง (Risk Analysis) เป็นการประเมินระดับผลกระทบ (Impact) ต่อองค์กร และโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น รวมถึงคำนวณระดับความเสี่ยง (Risk Level)

จากขั้นตอนข้างต้นจะเห็นว่าไม่จำเป็นต้องจัดทำทะเบียนทรัพย์สินก่อนการประเมินความเสี่ยง และไม่จำเป็นต้องแยกพิจารณาภัยคุกคาม (Threat) และจุดอ่อน (Vulnerability) ของแต่ละความเสี่ยง หากแต่สามารถกำหนดเหตุการณ์ความเสี่ยง (Risk Scenario) และทำการวิเคราะห์ความเสี่ยงได้เลย ตัวอย่าง Asset-based Risk Assessment

Asset	Threat	Vulnerability	Impact	Probability	Risk
Application Server	การโจมตีทางเครือข่าย	ไม่ได้ทำการติดตั้ง Patch อย่างเหมาะสม	High	High	High
Application Server	ฮาร์ดแวร์เสียหรือทำงานผิดพลาด	ไม่ได้ทำการบำรุงรักษาอย่างเหมาะสม	High	Low	Medium

Scenario-based Risk Assessment

Risk Scenario	Impact	Probability	Risk
ความเสี่ยงจาก Heartbleed Bug เนื่องจากมีหลายระบบงานขององค์กรที่ใช้งาน OpenSSL version ที่ได้รับผลกระทบจากช่องโหว่นี้	High	High	High

*หมายเหตุ ตัวอย่างข้างต้นเป็นการอธิบายองค์ประกอบที่เกี่ยวข้องกับการประเมินความเสี่ยงแบบง่ายเท่านั้น การประเมินความเสี่ยงในสถานการณ์จริงยังมีองค์ประกอบอื่นๆ ที่เกี่ยวข้อง และมีความซับซ้อนมากกว่านี้ เช่น ต้องมีการพิจารณามาตรการควบคุม (Existing Controls) ที่มีอยู่เดิมภายในองค์กรด้วย สำหรับข้อมูลเพิ่มเติมสามารถติดตามได้จากบทความอื่นๆ ของทีมที่ปรึกษา ACinfotec

ข้อดี

ข้อเสีย

ประหยัดเวลาและทรัพยากรที่ต้องใช้ในการประเมินความเสี่ยง
จำนวนข้อมูลที่ได้มีความเหมาะสมและมีคุณภาพ
สามารถประเมินความเสี่ยงได้ทุกรูปแบบ (ไม่จำกัดเฉพาะความเสี่ยงที่เกี่ยวข้องกับทรัพย์สิน)

การระบุเหตุการณ์ความเสี่ยงทำได้ยาก โดยเฉพาะกับผู้ประเมินความเสี่ยงมือใหม่
ไม่มีขอบข่ายที่ชัดเจน ที่จะทำให้มั่นใจได้ว่า ได้ทำการประเมินความเสี่ยงอย่างครอบคลุมแล้ว (ต่างจากการประเมินความเสี่ยงแบบ Asset-based ซึ่งจะทราบชัดเจนว่าได้ประเมินความเสี่ยงครบทุกทรัพย์สินแล้ว)

โดยวิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement ISO 27001:2005 คือวิธีการที่เรียกว่า Asset-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนหลักๆ ดังนี้

จัดทำทะเบียนทรัพย์สิน (Inventory of Asset) เพื่อระบุทรัพย์สินสารสนเทศที่สำคัญที่ต้องได้รับการปกป้อง
พิจารณาถึงภัยคุกคาม (Threat) ที่อาจทำอันตรายต่อทรัพย์สินสารสนเทศ และจุดอ่อน (Vulnerability) ในตัวทรัพย์สิน กระบวนการ หรือมาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่อาจเป็นช่องทางให้ภัยคุกคามเหล่านั้นเข้าทำอันตรายต่อทรัพย์สินได้
ประเมินระดับผลกระทบ (Impact) ต่อองค์กร และโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น
คำนวณระดับความเสี่ยง โดยสูตรพื้นฐานที่นิยมใช้กันคือผลกระทบ (Impact) x โอกาส (Probability) = ระดับความเสี่ยง (Risk)

ข้อดี

ข้อเสีย

เข้าใจง่าย เนื่องจากผู้ประเมินความเสี่ยงเห็นภาพที่ชัดเจน ว่ากำลังพิจารณาความเสี่ยงที่เกี่ยวข้องกับทรัพย์สินใด
มั่นใจได้ว่าการบริหารความเสี่ยงจะครอบคลุมทุกทรัพย์สิน

ต้องใช้ระยะเวลาและทรัพยากรจำนวนมากในการประเมินความเสี่ยงให้ครอบคลุมทุกทรัพย์สิน และผลที่ได้คือข้อมูลที่มากเกินความจำเป็น และนำไปใช้งานจริงได้น้อย
การประเมินความเสี่ยงที่เกี่ยวข้องกับทรัพย์สินจำนวนมาก เช่น การเปลี่ยน Platform ของระบบงานหลัก หรือความเสี่ยงที่ไม่เกี่ยวข้องกับทรัพย์สินโดยตรง เช่น การปรับเปลี่ยนกระบวนการทางธุรกิจ อาจทำได้ยาก หรือถึงขั้นไม่สามารถทำได้เลย

ระบุความเสี่ยง (Risk Identification) โดยการพิจารณาถึงเหตุการณ์ความเสี่ยง (Risk Scenario) ที่เป็นไปได้ โดยเหตุการณ์ความเสี่ยงอาจเกี่ยวข้องกับทรัพย์สิน (Asset-related) หรือไม่ก็ได้
วิเคราะห์ความเสี่ยง (Risk Analysis) เป็นการประเมินระดับผลกระทบ (Impact) ต่อองค์กร และโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น รวมถึงคำนวณระดับความเสี่ยง (Risk Level)

ตัวอย่าง

Asset-based Risk Assessment

Asset	Threat	Vulnerability	Impact	Probability	Risk
Application Server	การโจมตีทางเครือข่าย	ไม่ได้ทำการติดตั้ง Patch อย่างเหมาะสม	High	High	High
Application Server	ฮาร์ดแวร์เสียหรือทำงานผิดพลาด	ไม่ได้ทำการบำรุงรักษาอย่างเหมาะสม	High	Low	Medium

Scenario-based Risk Assessment

Risk Scenario	Impact	Probability	Risk
ความเสี่ยงจาก Heartbleed Bug เนื่องจากมีหลายระบบงานขององค์กรที่ใช้งาน OpenSSL version ที่ได้รับผลกระทบจากช่องโหว่นี้	High	High	High

*หมายเหตุ

ตัวอย่างข้างต้นเป็นการอธิบายองค์ประกอบที่เกี่ยวข้องกับการประเมินความเสี่ยงแบบง่ายเท่านั้น การประเมินความเสี่ยงในสถานการณ์จริงยังมีองค์ประกอบอื่นๆ ที่เกี่ยวข้อง และมีความซับซ้อนมากกว่านี้ เช่น ต้องมีการพิจารณามาตรการควบคุม (Existing Controls) ที่มีอยู่เดิมภายในองค์กรด้วย สำหรับข้อมูลเพิ่มเติมสามารถติดตามได้จากบทความอื่นๆ ของทีมที่ปรึกษา ACinfotec

ข้อดี

ข้อเสีย

ประหยัดเวลาและทรัพยากรที่ต้องใช้ในการประเมินความเสี่ยง
จำนวนข้อมูลที่ได้มีความเหมาะสมและมีคุณภาพ
สามารถประเมินความเสี่ยงได้ทุกรูปแบบ (ไม่จำกัดเฉพาะความเสี่ยงที่เกี่ยวข้องกับทรัพย์สิน)

การระบุเหตุการณ์ความเสี่ยงทำได้ยาก โดยเฉพาะกับผู้ประเมินความเสี่ยงมือใหม่
ไม่มีขอบข่ายที่ชัดเจน ที่จะทำให้มั่นใจได้ว่า ได้ทำการประเมินความเสี่ยงอย่างครอบคลุมแล้ว (ต่างจากการประเมินความเสี่ยงแบบ Asset-based ซึ่งจะทราบชัดเจนว่าได้ประเมินความเสี่ยงครบทุกทรัพย์สินแล้ว)

สรุป

วิธีการประเมินความเสี่ยงทั้งสองแบบ ล้วนมีข้อดี-ข้อเสีย ที่แตกต่างกัน ดังนั้นองค์กรควรเลือกวิธีการที่เหมาะสมกับลักษณะงานและความต้องการขององค์กร อย่างไรก็ตาม ด้วยข้อเท็จจริงที่ว่าวิธีการประเมินความเสี่ยงแบบ Scenario-based Risk Assessment มีความยืดหยุ่น และสามารถประยุกต์ใช้ได้กับความเสี่ยงทุกรูปแบบ องค์กรชั้นนำส่วนใหญ่จึงเริ่มปรับวิธีการประเมินความเสี่ยงของตนตามแนวทาง Scenario-based Risk Assessment ของ ISO 31000 เพื่อให้มีกระบวนการบริหารความเสี่ยงที่เป็นมาตรฐานกลางสำหรับความเสี่ยงของทั้งองค์กร (Enterprise Risk Management หรือ ERM) นอกจากนี้ มาตรฐาน ISO 27001:2013 (เวอร์ชั่นใหม่) หรือมาตรฐาน ISO ฉบับใหม่ๆ ที่มีข้อกำหนดเรื่องการประเมินความเสี่ยง ยังได้อ้างถึง ISO 31000 ว่าเป็นวิธีการประเมินความเสี่ยงที่แนะนำ (Recommended) ให้ใช้งานอีกด้วย การประเมินความเสี่ยงแบบ Scenario-based Risk Assessment จึงถือได้ว่าเป็นทิศทางที่องค์การต่างๆ ควรมุ่งไปอย่างแท้จริง