Vulnerability Assessments & Penetration Test (VA/PT) - Timetable

System/Application Priority Table

Priority	Frequency	System/Applications
1	Before going live	- Newly developed web applications or API endpoint which have access to, store, or process confidential data - Newly internet exposed network infrastructure - Internet exposed network infrastructure after significant upgrades or modifications
2	Every 6 month	- Internet exposed web applications or API endpoints without active blocking Web Application Firewalls (WAF) - Internet exposed web applications or API endpoints with active development and deployment cycles resulting in constant significant changes
3	Annually	- Internet exposed network infrastructure (e.g., Firewalls, VPNs, File Transfer Servers, Load Balancers) - Internet exposed web applications and API endpoints which are protected by active WAF - Internal web applications and API endpoint which have access to sensitive data
4	Bi-Annually	- Internal network infrastructure (e.g., switches, wireless access points)
5	Not Required	- End-user devices (e.g., Laptops, workstations) - Internal Printer

Remediation Timelines by CVSS Score and System Type

System Type	Common Vulnerability Scoring System (CVSS) V.3.1
	Critical (≥9.0)	High (7.0 – 8.9)	Medium (4.0–6.9)	Low (≤3.9)
New system	Before going live	Before going live	45 days after going live	90 days after going live
Internet Facing	7 days	15 days	30 days	90 days
Non-Internet Facing	30 days	45 days	90 days	120 days

การจัดการอุบัติการณ์ด้าน IT (IT Incident Management)

ในยุคดิจิทัลที่ระบบเทคโนโลยีสารสนเทศ (IT) กลายเป็นหัวใจสำคัญของการดำเนินธุรกิจ ความผิดพลาดหรือเหตุการณ์ผิดปกติด้าน IT (IT Incident) อาจส่งผลกระทบอย่างร้ายแรงต่อการดำเนินงาน ชื่อเสียง หรือความเชื่อมั่นของลูกค้า การจัดการอุบัติการณ์ด้าน IT (IT Incident Management) จึงเป็นกระบวนการที่จำเป็นสำหรับธุรกิจทุกประเภท เพื่อให้สามารถตอบสนองต่อเหตุการณ์ได้อย่างมีประสิทธิภาพและลดผลกระทบให้น้อยที่สุด

เคยเขียนเรื่อง Incident Management (Why & How) เอาไว้ วันนี้มาเขียนเป็นเวอร์ชั่นภาษาไทยอีกครั้ง (หลายท่านที่หลงเข้ามาอาจไม่สันทัดในภาษาอังกฤษ) แต่จะไม่ละเอียดเท่านะ อันนั้นจะเขียนตาม NIST ;)))

การบริหารจัดการผู้ให้บริการภายนอก (vendor management)

 การบริหารจัดการผู้ให้บริการภายนอก (Vendor Management) มีความสำคัญอย่างยิ่งในยุคปัจจุบันที่องค์กรต้องพึ่งพาบุคคลภายนอกในการให้บริการต่าง ๆ เพื่อสนับสนุนการดำเนินงาน ดังนั้น การบริหารจัดการผู้ให้บริการภายนอกจึงต้องมีกระบวนการที่ชัดเจน เพื่อให้มั่นใจว่าผู้ให้บริการสามารถปฏิบัติตามข้อกำหนด นโยบาย และมาตรฐานขององค์กร อีกทั้งยังช่วยลดความเสี่ยงด้านการรั่วไหลของข้อมูลหรือการละเมิดความมั่นคงปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ 

กระบวนการบริหารจัดการผู้ให้บริการภายนอก แบ่ง ๆ คร่าว ๆ ได้เป็น 5 ขั้นตอน ดังนี้

1. การประเมินผู้ให้บริการภายนอก

การประเมินผู้ให้บริการภายนอกมีวัตถุประสงค์เพื่อให้มั่นใจว่าองค์กรสามารถเลือกผู้ให้บริการที่มีความเหมาะสมทั้งด้านความรู้ ความเชี่ยวชาญ และการดำเนินงานตามมาตรฐานความมั่นคงปลอดภัย เช่น ISO 27001, PCI-DSS, หรือ SOC2 การประเมินนี้ยังช่วยลดความเสี่ยงที่อาจเกิดจากการทำงานร่วมกับผู้ให้บริการที่ไม่มีคุณภาพ อาทิ การรั่วไหลของข้อมูลหรือการละเมิดข้อกำหนดขององค์กร

ตัวอย่างการประชุมทบทวนฝ่ายบริหาร (Management Review)

 การประชุม Management Review มีบทบาทสำคัญในการประเมินและทวนสอบประสิทธิผลของระบบบริหารงานด้านคุณภาพและความปลอดภัยอาหาร โดยผู้บริหารระดับสูงต้องเข้าร่วมอย่างน้อยปีละ 1 ครั้ง เพื่อพิจารณาประสิทธิภาพขององค์กรตามมาตรฐานและวัตถุประสงค์ที่กำหนดไว้   ในบริบทตามมาตรฐาน ISO/IEC 27001 มุ่งเน้นไปที่การกำกับดูแล และติดตามประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) เพื่อให้มั่นใจว่าองค์กรสามารถปกป้องข้อมูลสำคัญได้อย่างเหมาะสม รวมถึงสอดคล้องกับข้อกำหนดของมาตรฐานและเป้าหมายด้านความปลอดภัยสารสนเทศ

วาระการประชุมและตัวอย่าง

1. สถานะการดำเนินงานจากการประชุมครั้งก่อน
   ตัวอย่าง: ในการประชุมครั้งก่อน มีข้อเสนอให้ปรับปรุงนโยบายการจัดการรหัสผ่านให้มีความเข้มงวดมากขึ้น เช่น การบังคับใช้ MFA (Multi-Factor Authentication) ภายใน 6 เดือน
   การติดตาม: ในการประชุมนี้ รายงานผลว่าได้ดำเนินการติดตั้ง MFA สำเร็จแล้วใน 80% ของระบบ โดยส่วนที่เหลือกำลังอยู่ระหว่างการทดสอบการใช้งาน

2. การเปลี่ยนแปลงภายนอกและภายใน
   ตัวอย่าง: พบว่ามีการเปลี่ยนแปลงกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ส่งผลต่อการจัดเก็บและประมวลผลข้อมูล
   การพิจารณา: ทบทวนและปรับเปลี่ยนนโยบายการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายใหม่

3. ผลการทวนสอบและปรับปรุงระบบควบคุมความปลอดภัย (Security Controls)
   ตัวอย่าง: มีการอัปเกรดระบบไฟร์วอลล์เพื่อป้องกันการโจมตีจากภายนอก เช่น การโจมตีแบบ DDoS
   การรายงาน: ผลการติดตั้งไฟร์วอลล์ใหม่ลดการโจมตีได้ถึง 90%

หยุดเข้าใจผิด! #ISO27001 ไม่ใช่เรื่องของไอทีเท่านั้น !!!

แทบทุกหน่วยงานที่มีโอกาสเข้าไปแลกเปลี่ยนเกี่ยวกับมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISO27001 จะเข้าใจว่า "มันเป็นเรื่องของ IT"

ไม่ใช่แบบนั้นดิ!

ISO27001 ไม่ได้โฟกัสแค่เรื่องไอที แต่มันเกี่ยวกับ “ข้อมูล” ในทุกๆ รูปแบบ ไม่ว่าข้อมูลนั้นจะถูกเก็บไว้ที่ไหนหรือในลักษณะใด เช่น:

• ข้อมูลในระบบไอที: พวกไฟล์ดิจิทัล, ฐานข้อมูล, หรือแอปพลิเคชัน
• ข้อมูลบนกระดาษ: เอกสาร, สัญญา หรือแบบฟอร์มต่างๆ
• ข้อมูลในตู้เอกสาร: เช่น แฟ้มที่ถูกล็อกไว้อย่างดีในตู้
• ข้อมูลในอุปกรณ์: เช่น ซอฟต์แวร์ที่อยู่ในเครื่องจักรหรืออุปกรณ์เฉพาะ ปัจจุบันเริ่มเยอะขึ้นเรื่อย ๆ 
• ข้อมูลที่อยู่ในบุคคล: ความรู้เฉพาะที่บางคนในองค์กรเท่านั้นที่รู้

แล้วทำไมไอทีถึงถูกพูดถึงเยอะใน ISO27001?

ก็เพราะในยุคนี้ ข้อมูลส่วนใหญ่ถูกจัดเก็บ, ส่งต่อ, ประมวลผล, ทำให้แสดงผล ในระบบไอที เช่น เซิร์ฟเวอร์, คลาวด์ หรือระบบต่างๆ การปกป้องข้อมูลในระบบเหล่านี้จากภัยคุกคาม เช่น การแฮ็ก การสูญหายของข้อมูล หรือไวรัส ในระบบไอทีจึงเป็นเรื่องสำคัญมาก

 

แต่...ISO27001 ไม่ได้หยุดอยู่แค่ไอที!

ISO27001 ให้ความสำคัญกับ “ความมั่นคงปลอดภัยของข้อมูล (Information Security)” โดยมองในภาพกว้างครอบคลุมข้อมูลทุกประเภท และเน้น 3 หลักการสำคัญที่ช่วยปกป้องข้อมูล:

1. Confidentiality (ความลับ): ป้องกันไม่ให้ข้อมูลตกไปอยู่ในมือคนที่ไม่ควรเข้าถึง
2. Integrity (ความถูกต้อง): ทำให้มั่นใจว่าข้อมูลจะไม่ถูกแก้ไขหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
3. Availability (ความพร้อมใช้งาน): ทำให้ข้อมูลพร้อมใช้งานเมื่อจำเป็น

ตัวอย่างง่ายๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย

• เอกสารสำคัญในตู้เอกสารที่ถูกล็อกไว้ นั่นคือการปกป้อง Confidentiality
• ข้อมูลในระบบไอทีที่มีการตรวจสอบสิทธิ์ก่อนแก้ไขไฟล์ นั่นคือการรักษา Integrity
• ซอฟต์แวร์ในเครื่องจักรที่ต้องมีระบบสำรองข้อมูล หากเกิดปัญหา นั่นคือการรับรอง Availability

สรุปง่ายๆ ISO27001 ไม่ใช่แค่เรื่องของไอที แต่มันคือเรื่องของ "ข้อมูล" และการปกป้องข้อมูลนั้นให้มั่นคงปลอดภัย ไม่ว่าจะอยู่ในคอมพิวเตอร์, กระดาษ, ตู้เอกสาร หรือแม้แต่ในหัวของพนักงาน ถ้าคิดว่า ISO27001 คือเรื่องของไอทีอย่างเดียว นั่นเป็นความเข้าใจผิด เพราะเป้าหมายที่แท้จริงของมันคือการปกป้องข้อมูลในทุกมิติอย่างรอบด้าน

อีก 1 เหตุผลที่เราต้องมี Data Security ให้ครบ Lifecycle

อีก 1 เหตุผลที่เราต้องมี Data Security ให้ครบ Lifecycle เพราะถ้าหลุดจริง 512 Gb ข้อมูลไม่น้อยเลย 

ปล. จากข้อมูลในข่าวถือว่าโรงพยาบาลมีการจัดการที่ดีเลยถ้ามีการดำเนินการจริง แต่อาจจะไม่ได้หลุดจากเครื่องของโรงพยาบาล แต่เป็นเครื่องของเจ้าหน้าที่ก็ได้นะ Root cause analysis และหาทางแก้ไขปรับปรุงกันต่อไป ;)))

การตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology Audit)

การตรวจสอบด้านเทคโนโลยีสารสนเทศ (Information Technology Audit หรือ IT Audit) เป็นกระบวนการสำคัญที่ช่วยให้องค์กรมั่นใจได้ว่าระบบ IT มีความปลอดภัย สอดคล้องกับข้อกำหนดทางกฎหมาย และมีประสิทธิภาพในการสนับสนุนเป้าหมายทางธุรกิจ ในยุคที่เทคโนโลยีมีบทบาทสำคัญในทุกภาคส่วน การตรวจสอบ IT จึงเป็นเครื่องมือสำคัญในการจัดการความเสี่ยงและเพิ่มความโปร่งใสในกระบวนการทำงานขององค์กร

ความสำคัญของ IT Audit

1. การบริหารความเสี่ยง (Risk Management):
• IT Audit ช่วยระบุช่องโหว่และความเสี่ยงที่อาจเกิดขึ้นในระบบ IT เช่น การโจมตีทางไซเบอร์ การสูญหายของข้อมูล หรือปัญหาในกระบวนการทำงาน
• การตรวจสอบช่วยให้องค์กรสามารถวางแผนรับมือกับความเสี่ยงได้อย่างมีประสิทธิภาพ ลดโอกาสเกิดความเสียหายทั้งทางการเงินและชื่อเสียง
2. การปฏิบัติตามข้อกำหนดและกฎหมาย (Compliance):
• การตรวจสอบช่วยให้องค์กรปฏิบัติตามมาตรฐานสากล เช่น ISO/IEC 27001, PCI DSS, หรือข้อกำหนดทางกฎหมายที่เกี่ยวข้อง
• ลดความเสี่ยงจากบทลงโทษหรือผลกระทบทางกฎหมาย
3. เพิ่มประสิทธิภาพการดำเนินงาน (Operational Efficiency):
• ช่วยปรับปรุงกระบวนการทำงานด้าน IT ให้มีประสิทธิภาพมากขึ้น โดยระบุจุดอ่อนและเสนอแนวทางแก้ไข
• สนับสนุนการตัดสินใจเชิงกลยุทธ์ด้วยข้อมูลที่ถูกต้องและเชื่อถือได้
4. สร้างความมั่นใจให้ผู้มีส่วนได้ส่วนเสีย:
• IT Audit ช่วยสร้างความมั่นใจให้กับผู้ถือหุ้น ลูกค้า และพนักงานว่าระบบ IT ขององค์กรมีความปลอดภัยและเชื่อถือได้

NIST Updates Password Security Guidelines

The National Institute of Standards and Technology (NIST) has released new guidelines for password security, marking a significant shift from traditional practices. Key changes include:

• Password Complexity: NIST no longer recommends complex requirements like mixing characters. Instead, they emphasize longer passwords, suggesting a minimum of 8 characters and allowing up to 64 characters for passphrases.
• Periodic Changes: Mandatory periodic password changes are discouraged. Passwords should only be changed when there’s evidence of compromise.
• Weak Passwords: Organizations should block commonly used or compromised passwords and avoid password hints or knowledge-based questions.
• Multi-Factor Authentication: NIST strongly encourages the use of multi-factor authentication (MFA) for added security.

---

NIST Special Publication 800-63B. (n.d.). https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver

Baran, G. (2024, September 27). NIST recommends new rules for password security. Cyber Security News. https://cybersecuritynews.com/nist-rules-password-security/#google_vignette

การเลือกใช้สถิติวิเคราะห์ข้อมูล - ร.ศ.นพวรรณ เปียซื่อ (2016)

 

---

Statistical Analysis and Common Problems | Thai Journal of Nursing and Midwifery Practice (tci-thaijo.org)

แนวทางการจัดทำแผนฉุกเฉินด้านไอที (IT Contingency Plan) เพื่อรับมือกับเหตุการณ์วิกฤต

การจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) เป็นกระบวนการที่องค์กรต้องจัดเตรียมเพื่อให้สามารถดำเนินกิจการได้อย่างต่อเนื่องในกรณีที่เกิดเหตุการณ์ไม่คาดคิด เช่น การหยุดชะงักของระบบเทคโนโลยีสารสนเทศ (IT), ภัยธรรมชาติ, หรือการโจมตีทางไซเบอร์ ในส่วนของการจัดการความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับระบบ IT จำเป็นต้องมีการวางแผนฉุกเฉินที่มีความครอบคลุมเพื่อให้การให้บริการไม่สะดุด และลดความเสี่ยงที่จะส่งผลกระทบต่อธุรกิจหลักขององค์กร

อ่านมาถึงตรงนี้หลายคนน่าจะนึกในใจว่า "รู้แหละว่าสำคัญ แต่จะเริ่มยังไง?" ... ขอเสนอ 6 ขั้นตอนในการจัดทำแผนให้เป็นระบบครับ ;)))