ตามที่ได้กล่าวในบทความเรื่อง “มาตรฐานไอเอสโอที่ช่วยป้องกันอาชญากรรมไซเบอร์ ตอนที่ 1″ จากประสบการณ์ของดร.เอ็ดเวิร์ด ฮัมฟรีย์ ผู้เชี่ยวชาญด้านความปลอดภัยทางอาชญากรรมไซเบอร์ ว่าการโจมตีทางไซเบอร์สามารถเกิดขึ้นได้ทุกที่ทุกเวลาทำให้ธุรกิจจำเป็นต้องเตรียมความพร้อมในเรื่องนี้ซึ่งขั้นตอนแรกในการจัดการกับอาชญากรรมทางอินเทอร์เน็ตคือการรู้ถึงความเสี่ยงที่เรากำลังเผชิญอยู่ แล้วตัดสินใจเลือกการควบคุมที่จำเป็นต้องดำเนินการเพื่อลดความเสี่ยงเหล่านั้น โดยสามารถนำมาตรฐานไอเอสโอที่เกี่ยวข้องไปใช้ เช่น ISO/IEC 27005 เกี่ยวกับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล และแนวทางการนำ ISO/IEC 27003 ไปปฏิบัติ เป็นต้น สำหรับบทความในตอนที่ 2 จะกล่าวถึงแนวทางเชิงป้องกันและมาตรฐานฉบับอื่นที่เกี่ยวข้องดังต่อไปนี้
ดร.ฮัมฟรีย์กล่าวว่าเมื่อธุรกิจตรวจพบการมีอยู่ของการโจมตีด้วยโค้ดที่เป็นอันตรายหรือการโจมตีแบบปฏิเสธการให้บริการแล้ว หากสามารถตอบสนองด้วยมาตรการรักษาความปลอดภัยที่เหมาะสมได้เร็วเท่าใด โอกาสในการจำกัดการแพร่กระจายของการโจมตีก็จะยิ่งมากขึ้นเท่านั้น และยังสามารถจำกัดผลกระทบและความเสียหายลงได้ด้วย
ดร.ฮัมฟรีย์ เน้นว่าการมีมาตรฐานที่เหมาะสมจะช่วยให้ธุรกิจมีความพร้อมที่จะตอบสนองต่อสถานการณ์ต่างๆ ได้ดีขึ้น เช่น มาตรฐานการจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยข้อมูล ISO/IEC 27035-1 - Information technology — Security techniques — Information security incident management – Part 1: Principles of incident management, ISO/IEC 27035 - Information technology — Security techniques — Information security incident management – Part 2: Guidelines to plan and prepare for incident response, ISO/IEC 27035-3 – Information technology — Information security incident management – Part 3: Guidelines for ICT incident response operations, มาตรฐานสำหรับการจัดการความต่อเนื่องทางธุรกิจ ISO 22301 และมาตรฐานความพร้อมด้านไอซีทีสำหรับความต่อเนื่องทางธุรกิจ ISO/IEC 27031 เป็นต้น
โลกต้องร่วมมือกัน
แน่นอนว่าในโลกที่ไม่แน่นอนเช่นนี้ อาชญากรรมทางอินเทอร์เน็ตอาจสร้างความเสียหายทางการเงิน ทำลายการดำเนินธุรกิจและโครงสร้างพื้นฐานของประเทศ ตลอดจนส่งผลกระทบต่อประชาชนและสังคมได้ ตัวอย่างเช่น การโจมตีส่วนหนึ่งของห่วงโซ่อุปทานอาจแพร่กระจายและรบกวนและทำให้ส่วนอื่นๆ ของห่วงโซ่เสียหาย ดังนั้น เพื่อส่งเสริมระบบความปลอดภัยทางไซเบอร์ที่ปลอดภัยและยืดหยุ่นมากขึ้น ดร.ฮัมฟรีย์จึงกล่าวว่าการจัดการห่วงโซ่อุปทานเป็นตัวอย่างที่ดีของการดำเนินการร่วมกันในทุกส่วนของห่วงโซ่เพื่อรักษาความปลอดภัย
เขากล่าวต่อไปว่ามาตรฐานที่ช่วยในเรื่องความปลอดภัยของห่วงโซ่อุปทาน เช่น ISO 28000 และ ISO/IEC 27036 การดำเนินการร่วมกันยังจำเป็นในสถานการณ์ต่างๆ ที่เกี่ยวข้องกับความสัมพันธ์ทางธุรกิจและการสื่อสารกับองค์กรอื่นๆ ซึ่งมีกลุ่มของมาตรฐานการจัดการที่จะช่วยสร้างความยืดหยุ่นในการต่อต้านการหยุดชะงักของธุรกิจและรับรองความอยู่รอดและระบบการกำกับดูแลได้ ซึ่งรวมถึงระบบการจัดการความต่อเนื่องทางธุรกิจ ISO 22301 และระบบการจัดการความปลอดภัยของข้อมูล ISO/IEC 27001 และการกำกับดูแลการรักษาความปลอดภัยของข้อมูล ISO/IEC 27014 ด้วย
เมื่อเกิดการเติบโตและการพึ่งพาการเชื่อมต่อสำหรับธุรกิจ โครงสร้างพื้นฐานที่ต้องรองรับ และการใช้อินเทอร์เน็ตและอุปกรณ์มือถือ ทำให้มีความจำเป็นมากขึ้นในการรักษาความปลอดภัยและความยืดหยุ่นของระบบ ดร.ฮัมฟรีย์ยอมรับว่ามาตรฐานจำเป็นต้องพัฒนาเพื่อให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยีอย่างรวดเร็ว ตัวอย่างเช่น ISO/IEC 27002 ฉบับที่ 3 ได้รับการตีพิมพ์ในไตรมาสแรกของปี 2565 ซึ่งมาตรฐานนี้เกี่ยวข้องกับการควบคุมความปลอดภัยของข้อมูล และได้รับการปรับปรุงเพื่อให้สอดคล้องกับความก้าวหน้าทางเทคโนโลยี การพัฒนาธุรกิจและแนวปฏิบัติ และกฎหมายและข้อบังคับใหม่
เขากล่าวเสริมว่าเมื่อปี 2564 (ค.ศ.2021) มีการพัฒนาอื่นๆ อีกมากมายในด้านมาตรฐาน ซึ่งรวมถึงความปลอดภัยและความเป็นส่วนตัวของ Internet of Things (IoT), Big Data, เอไอหรือปัญญาประดิษฐ์ รวมทั้งการปกป้องข้อมูลไบโอเมตริกซ์ ทั้งหมดนี้สามารถเสริมด้วยข้อกำหนดทางเทคนิคล่าสุดได้ เช่น ISO/IEC TS 27570 ซึ่งให้คำแนะนำเกี่ยวกับการปกป้องความเป็นส่วนตัวของระบบนิเวศในเมืองอัจฉริยะ และ ISO/IEC TS 27100 ซึ่งระบุวิธีสร้างหรือปรับแต่งระบบไซเบอร์ที่แข็งแกร่งเพื่อป้องกันการโจมตีทางไซเบอร์ ซึ่งชุดมาตรฐาน ISO/IEC 27000 ที่สมบูรณ์และข้อกำหนดเฉพาะที่เน้นเทคโนโลยีเหล่านี้จะเป็นรากฐานสำหรับการสร้างและจัดการอนาคตที่ปลอดภัยได้
ที่มา: https://www.iso.org/contents/news/2022/05/counter-attacks-on-cybersecurity.html
Related posts
Tags: Business Continuity, ICT, ISO, ISO 22301, ISO/IEC 27003, ISO/IEC 27005, ISO/IEC 27031, ISO/IEC 27035, ISO/IEC 27035-1, ISO/IEC 27035-3, ISO/IEC TS 27100, ISO/IECTS 27570, Security techniques, Standardization, Standards
Recent Comments