Friday, June 14, 2024

Incident Management (Why & How?)

; Co-writing With AI

Incident management plays a crucial role in various domains, including emergency response, cybersecurity, business continuity, and public safety. Its significance can be attributed to several factors:

  1. Minimizing Impacts: Prompt and coordinated incident response efforts can significantly reduce the adverse effects of an incident, such as loss of life, property damage, financial losses, or reputational harm [1].
  2. Ensuring Continuity: By implementing robust incident management protocols, organizations can maintain the continuity of critical operations and services, minimizing disruptions and ensuring the timely restoration of normal activities [2].
  3. Enhancing Preparedness: Effective incident management fosters a culture of preparedness within organizations and communities, enabling them to proactively identify potential risks, develop contingency plans, and allocate necessary resources for effective response [3].
  4. Compliance and Regulatory Requirements: Many industries and sectors are subject to regulatory frameworks and standards that mandate the implementation of incident management processes to ensure compliance and adherence to best practices [4].
  5. Public Trust and Confidence: Efficient incident management demonstrates an organization's commitment to public safety and its ability to respond effectively during crises, thereby fostering trust and confidence among stakeholders and the general public [5].

Key Components of Incident Management

 

Effective incident management encompasses several interconnected components that work in tandem to ensure a coordinated and comprehensive response. These components include:
Read more »
Labels: ,

Thursday, June 13, 2024

ตัวอย่าง: การประเมินความคุ้มค่าในการดำเนินการเพื่อจัดการความเสี่ยง

 

Labels: ,

Hospital Information Security Management (Challenging, Why & How?)

; Co-writing With AI

In the era of digital transformation, the healthcare industry has embraced technology to enhance patient care, streamline operations, and improve overall efficiency. However, this technological advancement has also introduced new challenges, particularly in the realm of information security. As healthcare organizations handle vast amounts of sensitive patient data, ensuring the confidentiality, integrity, and availability of this information is of paramount importance. A data breach in a healthcare setting can have severe consequences, including compromised patient privacy, financial losses, reputational damage, and even potential harm to individuals' well-being.

Read more »
Labels: ,

Insider Threats and Human Factor (Motivations & Mitigation)

Insider threats, both intentional and unintentional, pose a significant risk to organizations, and addressing them requires a comprehensive approach that combines technical controls, employee awareness and training, and robust access management policies.

Malicious Insider Threats

Malicious insiders are individuals who intentionally exploit their authorized access to sensitive data and systems for personal gain, revenge, or ideological beliefs. These threats can cause substantial damage to an organization due to the insiders' intimate knowledge of the company's operations, systems, and sensitive information.

Motivations for Malicious Insider Threats

The motivations behind malicious insider threats can vary, but some common drivers include:

  1. Financial Gain: Insiders may seek to profit by stealing and selling sensitive data, engaging in corporate espionage, or committing fraud [5][8][11].
  2. Revenge or Retaliation: Disgruntled employees who feel wronged or mistreated by their current or former employer may seek revenge by exposing sensitive data, sabotaging systems, or disrupting operations [2][5][11].
Read more »
Labels:

Wednesday, June 12, 2024

Employee Experience vs. Employee Engagement by Hacking HR

 
---
Labels: ,

Tuesday, June 11, 2024

Questions for SWOT Analysis

Labels:

Friday, May 31, 2024

จะขอรับรองมาตรฐาน ISO/IEC27001 ต้องทำอะไรบ้าง?

มีสอบถามเข้ามาหลายท่านว่าถ้าต้องการจะเริ่มจัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO/IEC27001 จะต้องทำอะไรบ้างเพื่อขอรับการรับรอง วันนี้เลยเอาแผนที่เคยจัดทำไว้มาแชร์ว่ามีอะไรบ้างที่ต้องดำเนินการ ทั้งนี้ขึ้นอยู่กับบริบทของแต่ละองค์กรที่จะนำไปปรับใช้นะคับ

Labels:

Thursday, May 30, 2024

ตัวอย่างความเสี่ยงเกี่ยวกับรหัสผ่าน และมาตรการควบคุม

Risk

Control

Weak Passwords

1.     Password Strength Meter

2.     Password minimum length = 12

3.     Password complexity = 4

(Uppercase (A-Z), Lowercase (a-z), Numbers (0-9), Special characters (#, %, etc.)

Password Reuse

1.     Minimum password duration = 0

2.     Maximum password duration = 0

3.     Password history = 4

Brute Force Attacks

1.     Captcha Implementation

2.     Logon attempt before lockout = 6

3.     Lockout duration = 30 min

4.     Reset logon attempts = 30 min

5.     Account Login/out or Lockout Notification

Credential theft

1.     Least Privilege Principle/Just-In-Time       Privileges

2.     Multi-Factor Authentication (MFA)

3.     Regular Password Changes

4.     Database Activity Monitoring

5.     Encrypted Storage

6.     Behavioral Analytics

7.     Security Awareness Training

Keylogging

1.     Only business devices are allowed to access the internal network.

2.     Anti-Virus/Malware

3.     Patch Management

4.     Endpoint Detection and Response (EDR)

5.     Secure Input Methods

6.     VA/Pentest

7.     Do not allow user to install program/application on device

8.     Device Hardening

Insider Threat

1.     Segregation of duty/Role-Based Access Control (RBAC)

2.     User review

3.     Change Management

4.     Log review

5.     User Behavior Analytics (UBA)

6.     Whistleblower Policy

Data breach

1.     Data Encryption

2.     On-premises

3.     Data Loss Prevention (DLP)

4.     Role-Based Access Control (RBAC)

5.     User review

6.     Monitoring/ Regular Audits

Unplan downtime

1.     Implement High Availability (HA) solutions

2.     Incident response (SLA = 1 h)

3.     Redundancy

4.     Backup/Restore

5.     Regular Testing

Labels: ,

Saturday, May 25, 2024

Effective Enterprise Risk Management -- ตลาดหลักทรัพย์แห่งประเทศไทย

 

  --

  • ข้อมูลจาก: ห้องเรียนบริษัทจดทะเบียน ตลาดหลักทรัพย์แห่งประเทศไทย

Labels: ,

Thursday, May 23, 2024

การเปิดเผยข้อมูลสุขภาพให้ฝ่ายกฎหมายพิจารณาเมื่อเกิดกรณีพิพาท ระหว่างโรงพยาบาล และผู้มารับบริการ

 คำพิพากษาศาลฎีกาที่ 4632/2565 

ตามมาตรา 7 แห่ง พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 แสดงให้เห็นว่า แม้กฎหมายบัญญัติยืนยันสถานะข้อมูลด้านสุขภาพเป็นความลับส่วนบุคคล ซึ่งผู้ที่รู้ข้อมูลหรือปฏิบัติงานเกี่ยวข้องกับข้อมูลดังกล่าวต้องให้ความสำคัญต่อการรักษาข้อมูลดังกล่าวให้เป็นความลับและห้ามเปิดเผย เว้นแต่จะเป็นไปเพื่อประโยชน์ในการตรวจรักษาตามความประสงค์ของเจ้าของข้อมูล หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย ทั้งยังไม่ให้อ้างบทบัญญัติแห่งกฎหมายว่าด้วยข้อมูลข่าวสารของทางราชการหรือกฎหมายอื่นเพื่อขอข้อมูลก็ตาม แต่เมื่อได้ความว่า ภายหลังจากโจทก์ผู้เป็นเจ้าของข้อมูลเข้ารับการรักษากับจำเลยที่ 1 ที่โรงพยาบาลของจำเลยที่ 4 แล้ว โจทก์ได้ไปรักษาตัวที่โรงพยาบาลอื่น และการมาขอข้อมูลการรักษาของโจทก์จากจำเลยที่ 4 ได้มีการเรียกร้องค่าเสียหายเข้ามาด้วย ซึ่งอยู่ในขั้นตอนการไกล่เกลี่ยกัน อันเป็นการแสดงว่ามีข้อพิพาทเกิดขึ้นแล้ว จำเลยที่ 1 ซึ่งเป็นผู้ตรวจรักษาโจทก์ บันทึกและล่วงรู้ข้อมูลด้านสุขภาพของโจทก์ และจำเลยที่ 4 ผู้มีหน้าที่เก็บรักษาสิ่งที่บันทึกข้อมูลด้านสุขภาพของโจทก์ ได้นำข้อมูลด้านสุขภาพ คือ เวชระเบียนและคลิปวีดีโอการผ่าตัดเข้าหารือโดยเปิดเผยข้อมูลดังกล่าวในการประชุมกับพนักงานฝ่ายกฎหมายของจำเลยที่ 4 ซึ่งเป็นบุคลากรภายในที่เกี่ยวข้องเพื่อจะให้ฝ่ายกฎหมายทราบข้อเท็จจริงที่เกิดขึ้นและกลั่นกรองงานภายในโรงพยาบาลของจำเลยที่ 4 ตามปกติ เพื่อแก้ไขปัญหา เมื่อฝ่ายกฎหมายของจำเลยที่ 4 เป็นบุคลากรภายในที่เกี่ยวข้องกับเรื่องดังกล่าว ไม่ถือว่าเป็นบุคคลภายนอก แต่เป็นการเปิดเผยเพื่อให้พนักงานฝ่ายกฎหมายทราบข้อเท็จจริงตามปกติเมื่อเกิดข้อพิพาทขึ้น จึงไม่ใช่เป็นการเปิดเผยข้อมูลตามความหมายของบทบัญญัติตามมาตรา 7 จึงไม่เป็นการกระทำโดยละเมิดต่อโจทก์

ฉบับเต็ม

ที่มา 
Labels: , , ,