Monday, January 20, 2025

Vulnerability Assessments & Penetration Test (VA/PT) - Timetable

System/Application Priority Table

Priority Frequency System/Applications
1 Before going live - Newly developed web applications or API endpoint which have access to, store, or process confidential data
- Newly internet exposed network infrastructure
- Internet exposed network infrastructure after significant upgrades or modifications
2 Every 6 month - Internet exposed web applications or API endpoints without active blocking Web Application Firewalls (WAF)
- Internet exposed web applications or API endpoints with active development and deployment cycles resulting in constant significant changes
3 Annually - Internet exposed network infrastructure (e.g., Firewalls, VPNs, File Transfer Servers, Load Balancers)
- Internet exposed web applications and API endpoints which are protected by active WAF
- Internal web applications and API endpoint which have access to sensitive data
4 Bi-Annually - Internal network infrastructure (e.g., switches, wireless access points)
5 Not Required - End-user devices (e.g., Laptops, workstations)
- Internal Printer

Remediation Timelines by CVSS Score and System Type

System Type Common Vulnerability Scoring System (CVSS) V.3.1
Critical (≥9.0) High (7.0 – 8.9) Medium (4.0–6.9) Low (≤3.9)
New system Before going live Before going live 45 days after going live 90 days after going live
Internet Facing 7 days 15 days 30 days 90 days
Non-Internet Facing 30 days 45 days 90 days 120 days

Thursday, January 16, 2025

การจัดการอุบัติการณ์ด้าน IT (IT Incident Management)

ในยุคดิจิทัลที่ระบบเทคโนโลยีสารสนเทศ (IT) กลายเป็นหัวใจสำคัญของการดำเนินธุรกิจ ความผิดพลาดหรือเหตุการณ์ผิดปกติด้าน IT (IT Incident) อาจส่งผลกระทบอย่างร้ายแรงต่อการดำเนินงาน ชื่อเสียง หรือความเชื่อมั่นของลูกค้า การจัดการอุบัติการณ์ด้าน IT (IT Incident Management) จึงเป็นกระบวนการที่จำเป็นสำหรับธุรกิจทุกประเภท เพื่อให้สามารถตอบสนองต่อเหตุการณ์ได้อย่างมีประสิทธิภาพและลดผลกระทบให้น้อยที่สุด
เคยเขียนเรื่อง Incident Management (Why & How) เอาไว้ วันนี้มาเขียนเป็นเวอร์ชั่นภาษาไทยอีกครั้ง (หลายท่านที่หลงเข้ามาอาจไม่สันทัดในภาษาอังกฤษ) แต่จะไม่ละเอียดเท่านะ อันนั้นจะเขียนตาม NIST ;)))

Wednesday, January 15, 2025

การบริหารจัดการผู้ให้บริการภายนอก (vendor management)

 การบริหารจัดการผู้ให้บริการภายนอก (Vendor Management) มีความสำคัญอย่างยิ่งในยุคปัจจุบันที่องค์กรต้องพึ่งพาบุคคลภายนอกในการให้บริการต่าง ๆ เพื่อสนับสนุนการดำเนินงาน ดังนั้น การบริหารจัดการผู้ให้บริการภายนอกจึงต้องมีกระบวนการที่ชัดเจน เพื่อให้มั่นใจว่าผู้ให้บริการสามารถปฏิบัติตามข้อกำหนด นโยบาย และมาตรฐานขององค์กร อีกทั้งยังช่วยลดความเสี่ยงด้านการรั่วไหลของข้อมูลหรือการละเมิดความมั่นคงปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ 

กระบวนการบริหารจัดการผู้ให้บริการภายนอก แบ่ง ๆ คร่าว ๆ ได้เป็น 5 ขั้นตอน ดังนี้

1. การประเมินผู้ให้บริการภายนอก

การประเมินผู้ให้บริการภายนอกมีวัตถุประสงค์เพื่อให้มั่นใจว่าองค์กรสามารถเลือกผู้ให้บริการที่มีความเหมาะสมทั้งด้านความรู้ ความเชี่ยวชาญ และการดำเนินงานตามมาตรฐานความมั่นคงปลอดภัย เช่น ISO 27001, PCI-DSS, หรือ SOC2 การประเมินนี้ยังช่วยลดความเสี่ยงที่อาจเกิดจากการทำงานร่วมกับผู้ให้บริการที่ไม่มีคุณภาพ อาทิ การรั่วไหลของข้อมูลหรือการละเมิดข้อกำหนดขององค์กร

Monday, January 13, 2025

ตัวอย่างการประชุมทบทวนฝ่ายบริหาร (Management Review)

 การประชุม Management Review มีบทบาทสำคัญในการประเมินและทวนสอบประสิทธิผลของระบบบริหารงานด้านคุณภาพและความปลอดภัยอาหาร โดยผู้บริหารระดับสูงต้องเข้าร่วมอย่างน้อยปีละ 1 ครั้ง เพื่อพิจารณาประสิทธิภาพขององค์กรตามมาตรฐานและวัตถุประสงค์ที่กำหนดไว้   ในบริบทตามมาตรฐาน ISO/IEC 27001 มุ่งเน้นไปที่การกำกับดูแล และติดตามประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) เพื่อให้มั่นใจว่าองค์กรสามารถปกป้องข้อมูลสำคัญได้อย่างเหมาะสม รวมถึงสอดคล้องกับข้อกำหนดของมาตรฐานและเป้าหมายด้านความปลอดภัยสารสนเทศ

วาระการประชุมและตัวอย่าง
  1. สถานะการดำเนินงานจากการประชุมครั้งก่อน
    ตัวอย่าง: ในการประชุมครั้งก่อน มีข้อเสนอให้ปรับปรุงนโยบายการจัดการรหัสผ่านให้มีความเข้มงวดมากขึ้น เช่น การบังคับใช้ MFA (Multi-Factor Authentication) ภายใน 6 เดือน
    การติดตาม: ในการประชุมนี้ รายงานผลว่าได้ดำเนินการติดตั้ง MFA สำเร็จแล้วใน 80% ของระบบ โดยส่วนที่เหลือกำลังอยู่ระหว่างการทดสอบการใช้งาน

  2. การเปลี่ยนแปลงภายนอกและภายใน
    ตัวอย่าง: พบว่ามีการเปลี่ยนแปลงกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ส่งผลต่อการจัดเก็บและประมวลผลข้อมูล
    การพิจารณา: ทบทวนและปรับเปลี่ยนนโยบายการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายใหม่

  3. ผลการทวนสอบและปรับปรุงระบบควบคุมความปลอดภัย (Security Controls)
    ตัวอย่าง: มีการอัปเกรดระบบไฟร์วอลล์เพื่อป้องกันการโจมตีจากภายนอก เช่น การโจมตีแบบ DDoS
    การรายงาน: ผลการติดตั้งไฟร์วอลล์ใหม่ลดการโจมตีได้ถึง 90%