การบริหารจัดการความเสี่ยงด้วย ‘Three Line of Defense Model’

หัวหน้าด้านความมั่นคงปลอดภัยของข้อมูล (CISO) มีงานล้นมืออยู่เสมอ วันนี้เราจึงสรุปบทความที่แนะนำการบริหารจัดการความเสี่ยงด้วยโมเดล 3 ข้อเพื่อให้ผู้บริหารสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพเพื่อเตรียมรับมือกับความท้าทายด้านไซเบอร์ที่อาจะเกิดขึ้นได้ตลอด อย่างที่มีคำกล่าวจากประธานาธิบดี Ronald Regan ว่า ‘Trust, but verify’

ควบคุมการบริหาร (Management Control)

ผู้บริหารด้านความมั่นคงปลอดภัยต้องเข้าใจว่าอะไรคือทรัพย์สินที่มีค่าขององค์กรและบริหารจัดการความเสี่ยงในด้านไซเบอร์ให้อยู่ในเกณฑ์ที่องค์กรสามารถยอมรับได้ ฟังก์ชันนี้ประกอบด้วยการควบคุมในหลายปัจจัยเช่น เหตุการณ์ความเสี่ยง การอัปเดตมาตรวัดด้านความเสี่ยง (Key Risk Indicators) บริหารจัดการผลกระทบเกี่ยวพันกับ คน กระบวนการทำงาน หรือเทคโนโลยี

การบริหารจัดการความเสี่ยง (Risk Management)

ขั้นตอนนี้คือความเสี่ยงในระดับองค์กรซึ่งจะเกี่ยวเนี่องไปถึง ข้อกำหนดขององค์กร ข้อกฏหมาย การควบคุมคุณภาพและการควบคุมด้านการเงิน โดยจะมองไปถึงการกำหนดกรอบเพื่อควบคุมการทำงานเช่น นิยามมาตรวัดด้านความเสี่ยงและวิธีการวัดผล สร้างการประเมินทรัพย์สิน ทดสอบ ติดตามและวิเคราะห์ผลกระทบที่เกิดจากขั้นตอนควบคุมการบริหารและปรับการทำงานให้สามารถลดทอนความเสี่ยงไปในจุดที่องค์กรยอมรับได้

การตรวจสอบภายใน (Internal Audit)

ขั้นตอนนี้อาจต้องใช้ผู้ตรวจสอบหรือผู้ควบคุมจากนอกองค์กร โดยขั้นตอนนี้เป็นการรับประกันว่าองค์กรมีกรอบการควบคุมความเสี่ยงภายในเหมาะสมกับความเสี่ยงขององค์กรนั้นๆ

แนวคิดที่ผู้อำนวยการหรือกรรมการระดับสูงควรหลีกเลี่ยง

กรรมการบริษัทมักได้รายงานจาก CISO อยู่เรื่อยๆ นั่นทำให้กรรมการระดับสูงเข้ามาเกี่ยวพันกับกระบวนการเหล่านี้ ซึ่งมีบางอย่างที่ผู้บริหารระดับสูงควรหลีกเลี่ยงแนวคิดดังนี้

  • เทคโนโลยีความมั่นคงปลอดภัยด้านไซเบอร์ชิ้นเดียวจะสามารถแก้ปัญหาได้ทุกอย่าง
  • ความมั่นคงปลอดภัยด้านไซเบอร์เป็นอะไรที่กะเกณฑ์ได้ กรรมการระดับสูงควรจะมองกระบวนการภาพรวมขององค์กรที่จะเกิดขึ้นในอนาคตอีก 10 ปีข้างหน้า
  • เชื่อว่ากลไกในการบริหารจัดการดีอยู่แล้ว กรรมการบริหารควรจะสนับสนุนความต้องการของ CISO เพื่อให้สามารถตอบโจทย์ขององค์กรได้อย่างเหมาะสมด้วย
  • CISO คนเดียวสามารถจัดการได้ทุกอย่าง
  • CISO จะสามารถทำอย่างที่พูดได้ ผู้นำสูงสุดและกรรมการบริหารควรจะทราบการเปลี่ยนแปลงต่างๆ เป็นลำดับแรก

ที่มา : https://securityintelligence.com/take-a-load-off-delegate-cyber-risk-management-using-the-three-lines-of-defense-model/?

from:https://www.techtalkthai.com/management-risk-by-three-line-defense-model-for-ciso/

Advertisements