Scenario-Based Risk

🤣 Get Started

หากใครที่ทำงานสาย IT แล้วภายในองค์กรมี Data Center เป็นของตัวเอง คงหนีไม่พ้นการทำ ISO 9001 / ISO 27001 อย่างแน่นอน ซึ่งก็ตามมาด้วยงานเอกสาร การประเมินความเสี่ยง (Risk Assessment) ก็เป็นหนึ่งในภารกิจหลักที่ต้องทำ ซึ่งทาง IT จะมีรายการทรัพย์สินจำนวนมาก โดยเฉพาะพวกอุปกรณ์ทางเครือข่าย อีกทั้งมี Asset Group ย่อยเกินไป การประเมิณความเสี่ยงตาม Asset Group จึงเป็นอะไรที่ลำบาก เดี๋ยวจะมองไม่เห็นภาพ ตัวอย่าง

😅 Asset Group

• Hardware

• Software

• Network

• Person

• Information

• Service

• Co-location

• VPS

😗 Asset-Based Risk

สมมุติว่า Asset Group เป็น Hardware ก็จะประกอบไปด้วย Server, PC, Notebook, UPS, Generator, Air Conditioner, Water Leak, Smoke Detection, Finger Scan, CCTV, Rack, Thermometer Humidity Meter และอื่น ๆ

จะเห็นว่าแค่ Hardware อย่างเดียวก็ขนลุกแล้ว ยังไม่รวมการประเมินตามเกณฑ์์ที่ต้องประกอบไปด้วย Impact, Likelihood หลังจากประเมินเสร็จยังต้องมาวิเคราะห์ Risk Treatment ในการลดความเสี่ยงหรือจัดการความเสี่ยงที่เกิดขึ้น หากจัดการไม่ได้ก็ต้องให้ผู้บริหาร Accept อะไรก็ว่าไป

จากปัญหาที่พบก็คือ

1. Asset 1 รายการ สามารถเกิดช่องโหว่และความเสี่ยง (Vulnerability & Threat) ได้หลากหลายรูปแบบ หลากหลายสถานการณ์ ทำให้ต้องประเมินความเสี่ยงหลายรายการเป็นจำนวนมาก

2. Asset มีจำนวนมาก ทำให้เสียเวลามานั่งทำเอกสาร ทำปีนี้เสร็จ ปีหน้าต้องมาประเมินความเสี่ยงใหม่ สรูปทำทุกปี งงทุกปี

3. เกิดความสับสนกับเกณฑ์ที่ใช้ในการประเมิน

😷 Scenario-Based Risk

แนวทางในการแก้ปัญหาโดยกำหนดเป็น Scenario ก่อน แล้วค่อยมาระบุ Asset ทีหลัง ซึ่งในบาง Asset ก็มีความเสี่ยงและวิธีจัดการความเสี่ยงที่เหมือนกัน ทำให้ประหยัดเวลาในการประเมินความเสี่ยง อีกทั้งยังดูเข้าใจง่าย แต่การที่จะระบุเหตุการณ์ความเสี่ยงให้ครอบคลุมทำได้ยากสำหรับมือใหม่ ต่างจากการประเมินความเสี่ยงแบบ Asset-Based ที่จะทราบชัดเจนเมื่อมีการประเมินความเสี่ยงครบทุกรายการ