ความปลอดภัยในโลกไซเบอร์ หมายถึง กระบวนการในการปกป้องข้อมูลสารสนเทศและทรัพย์สิน โดยการจำกัดการเกิด การตรวจจับ และการตอบสนองต่อการโจมตี
ความปลอดภัยในโลกไซเบอร์
Cybersecurity
พันเอก มารวย ส่งทานินทร์
[email protected]
6 กุมภาพันธ์ 2561
บทความเรื่อง ความปลอดภัยในโลกไซเบอร์ (Cybersecurity) ดัดแปลงมาจาก BALDRIGE CYBERSECURITY EXCELLENCE BUILDER
ผู้ที่สนใจเอกสารนี้แบบ PowerPoint (PDF file) สามารถ Download ได้ที่ https://www.slideshare.net/maruay/cybersecurity-87169614
ความปลอดภัยในโลกไซเบอร์
-
หมายถึง กระบวนการในการปกป้องข้อมูลสารสนเทศและทรัพย์สิน โดยการจำกัดการเกิด การตรวจจับ และการตอบสนองต่อการโจมตี
CYBERSECURITY
-
The process of protecting information and assets by limiting the occurrence of, detecting, and responding to attacks.
กรอบความปลอดภัยในโลกไซเบอร์
-
ระบุ (IDENTIFY) พัฒนาความเข้าใจขององค์กร เพื่อจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ให้กับระบบ ทรัพย์สิน ข้อมูล และความสามารถต่างๆ
-
ป้องกัน (PROTECT) พัฒนาและใช้มาตรการป้องกันที่เหมาะสม เพื่อให้มั่นใจ ในการส่งมอบบริการด้านโครงสร้างพื้นฐานที่สำคัญ
-
ตรวจจับ (DETECT) พัฒนาและใช้กิจกรรมที่เหมาะสม เพื่อระบุเหตุการณ์ที่เกิดขึ้นในโลกไซเบอร์
-
ตอบสนอง (RESPOND) พัฒนาและใช้กิจกรรมที่เหมาะสม ในการดำเนินการเกี่ยวกับเหตุการณ์ในโลกไซเบอร์ที่ตรวจพบ
-
กู้คืน (RECOVER) พัฒนาและดำเนินกิจกรรมที่เหมาะสม เพื่อรักษาความยืดหยุ่นและเรียกคืนความสามารถหรือบริการที่บกพร่อง เนื่องจากเหตุการณ์ความปลอดภัยในโลกไซเบอร์
การปรับปรุงผลงานในการรักษาความปลอดภัยในโลกไซเบอร์
- การประเมินตนเองของ Baldrige Cybersecurity Excellence Builder ช่วยให้เข้าใจและปรับปรุงสิ่งที่มีความสำคัญ ต่อการจัดการความเสี่ยงในโลกไซเบอร์ขององค์กร
- ช่วยให้องค์กรระบุจุดแข็งและโอกาสในการปรับปรุง การจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ โดยพิจารณาจากพันธกิจ ความต้องการ และวัตถุประสงค์ขององค์กร
Baldrige Cybersecurity Excellence Builder
- เป็นการผสมผสานแนวคิด กรอบการปรับปรุงโครงสร้างพื้นฐานด้านความปลอดภัยในโลกไซเบอร์ที่สำคัญ และกรอบความเป็นเลิศ (Framework for Improving Critical Infrastructure Cybersecurity and the Baldrige Excellence Framework)
- เช่นเดียวกันทั้งสองแหล่ง ไม่มีวิธีเดียวที่เหมาะกับทุกรูปแบบ
- องค์กรสามารถปรับตัวและปรับขนาด ขึ้นกับความต้องการ เป้าประสงค์ ความสามารถ และสภาพแวดล้อมขององค์กร
- ไม่ได้กำหนดวิธี ที่คุณใช้กำหนดนโยบายและการดำเนินงาน ด้านความปลอดภัยในโลกไซเบอร์ขององค์กร
- ชุดของคำถามปลายเปิดที่เกี่ยวข้อง จะช่วยกระตุ้นให้คุณใช้แนวทางที่เหมาะสมที่สุดกับองค์กรของคุณ
การประเมินตนเองนี้ทำให้คุณสามารถ
- กำหนดกิจกรรมที่เกี่ยวกับความปลอดภัยในโลกไซเบอร์ ที่สำคัญต่อกลยุทธ์ทางธุรกิจ และการให้บริการที่สำคัญ
- จัดลำดับความสำคัญของการลงทุน ในการจัดการความเสี่ยงในโลกไซเบอร์
- กำหนดวิธีการที่ดีที่สุด เพื่อให้พนักงาน ลูกค้า ผู้ส่งมอบ พันธมิตร และผู้ให้ความร่วมมือ ให้ความสำคัญกับความเสี่ยง การรักษาความปลอดภัย และเพื่อตอบสนองบทบาทและความรับผิดชอบของตนในโลกไซเบอร์
- ประเมินประสิทธิภาพและประสิทธิผล ของการใช้มาตรฐาน แนวทาง และการปฏิบัติในโลกไซเบอร์
- ประเมินผลความสำเร็จ การรักษาความปลอดภัยในโลกไซเบอร์
- ระบุจุดแข็งเพื่อใช้ประโยชน์ และลำดับความสำคัญในการปรับปรุง
ใครในองค์กรที่ควรใช้ Baldrige Cybersecurity Excellence Builder?
-
Baldrige Cybersecurity Excellence Builder มีจุดมุ่งหมายเพื่อการใช้งานโดยผู้นำและผู้จัดการในองค์กร ที่มีความกังวลและรับผิดชอบต่อนโยบาย เกี่ยวข้องกับพันธกิจและความปลอดภัยในโลกไซเบอร์
- ผู้นำและผู้จัดการเหล่านี้ อาจรวมถึงผู้นำอาวุโส หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย หัวหน้าเจ้าหน้าที่ข้อมูล และอื่น ๆ
ทำไมต้องถามเกี่ยวกับองค์กรโดยรวม?
- สถานการณ์ในองค์กร และความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ของคุณ มีความเป็นเอกลักษณ์
- ดังนั้น Baldrige Cybersecurity Excellence Builder ทำให้คุณเข้าใจนโยบาย และการดำเนินงานด้านความปลอดภัยในโลกไซเบอร์ขององค์กร บริบทขององค์กรในลักษณะต่าง ๆ และสถานการณ์เชิงกลยุทธ์
7 ขั้นตอนในการใช้ Baldrige Cybersecurity Excellence Builder
-
1. ขอบเขต
-
2. บริบทขององค์กร
-
3. คำถามเกี่ยวกับกระบวนการ (หมวด 1-6)
-
4. คำถามเกี่ยวกับผลลัพธ์ (หมวด 7)
-
5. ประเมินคำตอบ
-
6. จัดลำดับความสำคัญการดำเนินการ จัดทำแผนปฏิบัติการ
-
7. วัดผล และประเมินความก้าวหน้า
ขั้นตอนที่ 1. ขอบเขต
-
Baldrige Cybersecurity Excellence Builder มีคุณค่ามากที่สุดในฐานะการประเมินโดยสมัครใจ ในการจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ขององค์กร และยังมีประโยชน์ในการประเมินหน่วยย่อย หรือส่วนต่างๆ ขององค์กรด้วย
ขั้นตอนที่ 2. บริบทขององค์กร
- ช่วยให้คุณสามารถระบุช่องว่างของข้อมูลสำคัญ และมุ่งเน้นไปที่ข้อกำหนด และผลการปฏิบัติงานที่สำคัญในโลกไซเบอร์
- คุณสามารถใช้เป็นแบบประเมินตนเองเบื้องต้น หากคุณระบุหัวข้อที่มีข้อมูลที่ขัดแย้งกันหรือที่ยังไม่มีเลย ทำให้คุณสามารถใช้หัวข้อเหล่านี้ เพื่อวางแผนการดำเนินการได้
- การกำหนดบริบท ช่วยให้คุณสามารถตอบสนองความต้องการด้านความปลอดภัยในโลกไซเบอร์ขององค์กร และในการตอบสนองต่อคำถามในส่วนที่เหลือของ Baldrige Cybersecurity Excellence Builder
ขั้นตอนที่ 3. คำถามเกี่ยวกับกระบวนการ (หมวด 1-6)
คำถามใน 12 หัวข้อนี้ เริ่มจาก "อย่างไร" ที่เกี่ยวข้องกับกระบวนการ ความปลอดภัยในโลกไซเบอร์ขององค์กร:
•แนวทาง (Approach): คุณบรรลุงาน ที่เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์ขององค์กรได้อย่างไร? ระบบสำคัญที่คุณใช้คืออะไร?
•การนำไปปฏิบัติ (Deployment): กระบวนการรักษาความปลอดภัยในโลกไซเบอร์ของคุณ ที่ใช้กับหน่วยงานที่เกี่ยวข้องขององค์กรอย่างทั่วถึง คืออะไร?
•การเรียนรู้ (Learning): คุณประเมินและปรับปรุงกระบวนการที่เกี่ยวข้องกับระบบรักษาความปลอดภัยในโลกไซเบอร์ได้ดีเพียงใด? การปรับปรุงที่ดีขึ้นได้มีการแบ่งปันภายในองค์กรอย่างไร?
•การบูรณาการ (Integration): กระบวนการที่เกี่ยวข้องกับระบบความปลอดภัยในโลกไซเบอร์ สามารถตอบสนองความต้องการขององค์กรในปัจจุบันและอนาคตของคุณได้ดีเพียงใด?
ขั้นตอนที่ 4. คำถามเกี่ยวกับผลลัพธ์ (หมวด 7)
สำหรับ 5 หัวข้อนี้ เป็นการให้ข้อมูลที่เกี่ยวข้องกับระบบรักษาความปลอดภัยในโลกไซเบอร์ ที่สำคัญที่สุดต่อความสำเร็จขององค์กร:
•ระดับ (Levels): มาตรการสำคัญ เกี่ยวกับประสิทธิภาพและประสิทธิผลของกระบวนการความปลอดภัยในโลกไซเบอร์ ในปัจจุบันของคุณเป็นอย่างไร?
•แนวโน้ม (Trends): ผลลัพธ์ ดีขึ้น อยู่ที่เดิม หรือเลวร้ายลง?
•การเปรียบเทียบ (Comparisons): ผลการปฏิบัติงานมีการเปรียบเทียบกับองค์กรและคู่แข่งอื่น ๆ หรือเกณฑ์มาตรฐาน?
•การบูรณาการ (Integration): ผลการรักษาความปลอดภัยในโลกไซเบอร์ที่มีความสำคัญต่อองค์กร ตามความคาดหวังและความต้องการของผู้มีส่วนได้ส่วนเสียที่สำคัญ? และการใช้ผลลัพธ์ในการตัดสินใจ?
ขั้นตอนที่ 5. ประเมินคำตอบ
- ใช้การประเมินผลแบบ rubrics ประเมินกระบวนการและผลลัพธ์ (Reactive, Early, Developing, Mature, Leading, or Exemplary) ในการตอบสนองของแต่ละหัวข้อ
ขั้นตอนที่ 6. จัดลำดับความสำคัญการดำเนินการ จัดทำแผนปฏิบัติการ
- จากนั้นกำหนดความสำคัญของจุดแข็ง และโอกาสในการปรับปรุง
- เฉลิมฉลองจุดแข็งของการจัดการความเสี่ยงในโลกไซเบอร์ และใช้สิ่งเหล่านี้เพื่อปรับปรุงต่อยอดสิ่งที่คุณทำได้ดี
- แบ่งปันสิ่งที่ทำได้ดีกับส่วนที่เหลือขององค์กร เพื่อปรับปรุงได้เร็วขึ้น
- นอกจากนี้ ให้จัดลำดับความสำคัญของโอกาสในการปรับปรุง ในด้านกระบวนการและผลลัพธ์ ที่เกี่ยวข้องกับระบบความปลอดภัยในโลกไซเบอร์ เพราะคุณไม่สามารถทำทุกอย่างพร้อมกันได้
- นึกถึงสิ่งที่สำคัญที่สุดสำหรับองค์กรโดยรวมในขณะนี้ โดยให้สมดุลกับความต้องการและความคาดหวังที่ต่างกันของผู้มีส่วนได้ส่วนเสียและผลที่คาดหวังของคุณ แล้วตัดสินใจว่าจะทำอะไรเป็นสิ่งแรก
ขั้นตอนที่ 7. วัดผล และประเมินความก้าวหน้า
- ในขณะที่คุณตอบคำถามเทียบกับ rubric คุณจะเริ่มระบุจุดแข็งและช่องว่างภายในหมวดก่อน และระหว่างหมวดหลังจากนั้น
- การประสานงานระหว่างกระบวนการที่สำคัญ และความเชื่อมโยงระหว่างกระบวนการและผลลัพธ์ จะนำไปสู่วงรอบของการปรับปรุง
- ในขณะที่คุณใช้เครื่องมือประเมินนี้ต่อ ๆ ไป คุณจะได้เรียนรู้เพิ่มเติมเกี่ยวกับองค์กรของคุณ และเริ่มกำหนดวิธีที่ดีที่สุดในการนำจุดแข็งเพื่อปิดช่องว่าง และสร้างนวัตกรรม
บทบาทและหน้าที่ของคณะกรรมการและผู้บริหาร (Board and Executive Management)
- ทำความเข้าใจว่า ความปลอดภัยในโลกไซเบอร์ทั้งภายในและภายนอก สนับสนุนวัตถุประสงค์ขององค์กร (ธุรกิจ) รวมถึงสนับสนุนลูกค้าอย่างไร
- ทำความเข้าใจ กระบวนการสร้างความผูกพันของพนักงาน
- ทำความเข้าใจ เกี่ยวกับโอกาสในการปรับปรุงความปลอดภัยในโลกไซเบอร์ ที่สอดคล้องกับวัตถุประสงค์ขององค์กร
- ทำความเข้าใจ เกี่ยวกับศักยภาพของสินทรัพย์ขององค์กร ต่อความเสี่ยงต่างๆ
- กำหนดนโยบายและแนวทาง การรักษาความปลอดภัยในโลกไซเบอร์ ให้สอดคล้องกับพันธกิจ วิสัยทัศน์ และค่านิยมขององค์กร
บทบาทและหน้าที่ของหัวหน้าสำนักงานสารสนเทศ (Chief Information Officer - CIO)
- ทำความเข้าใจว่า ระบบรักษาความปลอดภัยในโลกไซเบอร์ มีผลต่อการปฏิบัติและวัฒนธรรม ในการจัดการข้อมูลขององค์กรอย่างไร
- ปรับปรุงการสื่อสาร และการมีส่วนร่วมของผู้นำองค์กร และทีมงานด้านความปลอดภัยในโลกไซเบอร์
- ทำความเข้าใจว่า ความปลอดภัยในโลกไซเบอร์ ส่งผลต่อวัฒนธรรมและสิ่งแวดล้อมขององค์กรอย่างไร
บทบาทและหน้าที่ของหัวหน้ารักษาความปลอดภัยข้อมูลสารสนเทศ (Chief Information Security Officer - CISO)
- สนับสนุนความมุ่งมั่นขององค์กร ต่อพฤติกรรมทางกฎหมายและจริยธรรม
- สร้างและใช้นโยบาย การรักษาความปลอดภัยในโลกไซเบอร์ เพื่อสนับสนุนพันธกิจ วิสัยทัศน์ และค่านิยมขององค์กร
- ตอบสนองต่อการเปลี่ยนแปลงในองค์กรหรือภายนอก ที่รวดเร็วหรือไม่คาดคิด
- สนับสนุนการปรับปรุงอย่างต่อเนื่อง โดยใช้เครื่องมือประเมินตนเองเป็นระยะ
- สนับสนุนความเข้าใจขององค์กร เกี่ยวกับการปฏิบัติตามข้อกำหนดตามสัญญา/ข้อบังคับต่างๆ
- ทำความเข้าใจเกี่ยวกับประสิทธิภาพของการสื่อสาร การเรียนรู้ และการมีส่วนร่วมของพนักงาน รวมทั้งข้อควรปฏิบัติในการดำเนินงาน เพื่อความปลอดภัยในโลกไซเบอร์
การจัดการกระบวนการด้านเทคโนโลยีสารสนเทศ (IT Process Management)
- ปรับปรุงความเข้าใจ เกี่ยวกับความต้องการทางธุรกิจ วัตถุประสงค์ของพันธกิจ และลำดับความสำคัญ
- กำหนดประสิทธิผลของกระบวนการด้านเทคโนโลยีสารสนเทศ และศักยภาพในการปรับปรุง
- ทำความเข้าใจระบบรักษาความปลอดภัยในโลกไซเบอร์ ว่ามีการบูรณาการกับกระบวนการจัดการการเปลี่ยนแปลงองค์กรอย่างไร
การบริหารความเสี่ยง (Risk Management)
- พิจารณาถึงผลกระทบของความปลอดภัยทางโลกไซเบอร์ ต่อลูกค้าภายใน/ภายนอก พันธมิตร และพนักงาน
- การทำความเข้าใจเกี่ยวกับการมีส่วนร่วมของพนักงาน ในการรักษาความปลอดภัยในโลกไซเบอร์ และการสื่อสารกับพนักงาน เกี่ยวกับความปลอดภัยในโลกไซเบอร์ ที่ส่งผลกระทบต่อความเสี่ยงโดยรวมขององค์กร
- ปรับปรุงการจัดการและการสื่อสาร เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับผู้ส่งมอบและพันธมิตร
บทบาทด้านกฎหมาย/การปฏิบัติตาม (Legal/Compliance Roles)
- ทำความเข้าใจเกี่ยวกับพฤติกรรมทางกฎหมายและจริยธรรมของพนักงาน รวมถึงสภาพแวดล้อมทางวัฒนธรรมโดยรวม
- ทำความเข้าใจว่า องค์กรใช้นโยบายและการดำเนินงานที่เกี่ยวข้องกับระบบรักษาความปลอดภัยในโลกไซเบอร์ เพื่อให้แน่ใจการกำกับดูแลที่รับผิดชอบ รวมถึงข้อกังวลด้านกฎหมาย ระเบียบ และชุมชน
- ทำความเข้าใจว่า องค์กรบูรณาการผู้ส่งมอบและพันธมิตร ไว้ในการจัดการความเสี่ยงในโลกไซเบอร์ รวมถึงข้อผูกมัดตามสัญญา ในการปกป้องและรายงานข้อมูลในโลกไซเบอร์
บทบาทและหน้าที่ของพนักงาน/บุคลากร (Employees/Workforce)
- ทำความเข้าใจกับความคาดหวังของผู้นำ
- เตรียมพร้อมสำหรับการเปลี่ยนแปลงความสามารถในการรักษาความปลอดภัยในโลกไซเบอร์ และความสามารถด้านการผลิต
- ได้รับประโยชน์จากวัฒนธรรมและสภาพแวดล้อมในที่ทำงานที่โดดเด่น ด้วยการสื่อสารแบบเปิด ประสิทธิภาพสูง และมีส่วนร่วมในเรื่องความปลอดภัยในโลกไซเบอร์
- เรียนรู้เพื่อเติมเต็มบทบาท และความรับผิดชอบในโลกไซเบอร์
***************************************
การนำแนวคิดสู่การปฏิบัติ 6 Steps (+ 4 Tips) to Improve Cybersecurity with a Baldrige Tool
Christine Schaefe, January 30, 2018
ศูนย์การแพทย์มหาวิทยาลัยแคนซัส (University of Kansas Medical Center - KUMC)
- เมื่อ Baldrige Program เผยแพร่ Baldrige Cybersecurity Excellence Builder ในปีที่ผ่านมา ซึ่งเป็นการประเมินตนเองที่มุ่งเน้นไปที่ cybersecurity ทำให้ Steffani Webb กระตือรือร้นที่จะนำมาใช้ และแบ่งปันกับสมาชิกในทีมของเธอ
- ในฐานะรองฝ่ายบริหารศูนย์การแพทย์มหาวิทยาลัยแคนซัส Webb ได้ใช้กรอบ Baldrige Excellence Framework กับเจ้าหน้าที่ในแผนกของเธอ ในการปรับปรุงการดำเนินงานด้านการบริหาร ตั้งแต่เธอเข้ารับตำแหน่งในปี พ.ศ. 2554
การใช้ Baldrige Cybersecurity Excellence Builder (BCEB)
- การใช้ BCEB ในวันนี้ เจ้าหน้าที่ของ KUMC ใช้วิธีประเมินตนเองแบบเดียวกันกับ Baldrige Excellence Framework เพื่อความปลอดภัยในโลกไซเบอร์
-
Webb กล่าวว่า "เป้าหมายที่ครอบคลุมของเราคือ การพัฒนาแผนปฏิบัติการ สำหรับระบบรักษาความปลอดภัยในโลกไซเบอร์ โดยใช้ BCEB"
6 ขั้นตอนในการใช้ BCEB
-
ขั้นตอนที่ 1. การจัดตั้งสำนักงานความมั่นคงสารสนเทศ
-
ขั้นตอนที่ 2. การกำหนดบทบาทและความรับผิดชอบ
-
ขั้นตอนที่ 3. การจัดทำโครงร่างองค์กร
-
ขั้นตอนที่ 4. การตอบคำถามการประเมินตนเอง
-
ขั้นตอนที่ 5. การให้ความรู้ทั้งองค์กร
-
ขั้นตอนที่ 6. การวัดและการปรับปรุงผลลัพธ์
ขั้นตอนที่ 1. การจัดตั้งสำนักงานความมั่นคงสารสนเทศ
- ทีมรักษาความปลอดภัยข้อมูล ที่ใช้กรอบ BCEB ของ KUMC มี CISO 1 คน; ผู้อำนวยการ IS คนใหม่; ผู้จัดการโครงการภายในสำนักงาน CISO 1 คน; และนักวิเคราะห์ความมั่นคงสารสนเทศ 4 คน
- "ความแตกต่างที่เห็นได้ชัดคือ การที่ BCEB ช่วยให้เราสามารถลดช่องว่าง และทำในสิ่งที่ระบุไว้ตามความจำเป็น ใน NIST Cybersecurity Framework"
ขั้นตอนที่ 2. การกำหนดบทบาทและความรับผิดชอบ
- จากการสัมภาษณ์เป็นกลุ่ม พวกเขาอธิบายว่า การใช้ BCEB ช่วยให้พวกเขาเข้าใจบทบาทของตนเองได้ดีขึ้น สร้างความสัมพันธ์กับลูกค้าของตน (เช่นพนักงานคนอื่น ๆ ในศูนย์การแพทย์ และพันธมิตร) ในการปกป้ององค์กร และช่วยให้บรรลุพันธกิจของสำนักงานรักษาความปลอดภัยข้อมูลสารสนเทศ
- "เรามีแนวคิดว่า การรักษาความปลอดภัยข้อมูล ไม่ได้ทำเพียงแค่กลุ่มของเราที่นี่ แต่เป็นการทำโดยทั้งองค์กร"
ขั้นตอนที่ 3. การจัดทำโครงร่างองค์กร
- พวกเขาได้รับข้อมูลเชิงลึกใหม่ ๆ ในขณะที่พวกเขาตอบคำถามการประเมินตนเอง ในโครงร่างองค์กร
- "เมื่อเราพูดถึงบริการที่เราระบุไว้ในนั้น [ในโครงร่างองค์กร] และโครงการที่สำคัญของเรา เราได้พบวิธีใหม่ ๆ ในการสร้างความสัมพันธ์กับลูกค้าของเรา"
ขั้นตอนที่ 4. การตอบคำถามการประเมินตนเอง
- กลุ่มเริ่มตอบคำถามการประเมินตนเองของ BCEB ในหมวดสุดท้าย (ผลลัพธ์) ก่อน
- "เราเริ่มต้นจากหมวด 7 เพื่อให้เราได้ทราบถึงผลลัพธ์ของเรา และจัดลำดับความสำคัญการปรับปรุง แล้วจึงค่อยทำหมวดกระบวนการ"
ขั้นตอนที่ 5. การให้ความรู้ทั้งองค์กร
- เนื่องจากทีมรักษาความปลอดภัยข้อมูลสารสนเทศต้องรับผิดชอบในการทำงาน แต่ไม่มีอำนาจในการควบคุมความเสี่ยงทั้งหมด การให้ความรู้แก่บุคลากรที่เหลือ เป็นสิ่งสำคัญต่อความสำเร็จของพวกเขา
-
BCEB ได้ช่วยทีมเกี่ยวกับการสื่อสาร และกิจกรรมการรับรู้ความปลอดภัยในโลกไซเบอร์
- พนักงานของ IS ได้ใช้ลูกอมรูปปลา ในความพยายามให้การศึกษาในโลกไซเบอร์ โดยมอบให้กับพนักงานของ KUMC เป็นการให้ความรู้แก่พวกเขา เนื่องจาก การฟิชชิ่งอีเมล์ (phishing) เป็นความเสี่ยงอันดับหนึ่ง ด้านความปลอดภัยในโลกไซเบอร์ในมหาวิทยาลัย
ขั้นตอนที่ 6. การวัดและการปรับปรุงผลลัพธ์
- ตัววัดผลลัพธ์ที่เกี่ยวข้องกับ BCEB ยังคงเป็นงานที่กำลังดำเนินอยู่ โดยเฉพาะการหาข้อมูลผลลัพธ์ที่สำคัญที่สุด สำหรับองค์กรในการติดตาม
- "ความรู้สึกคือ การที่เราก้าวไปในทิศทางที่เป็นบวกอย่างยิ่ง และมีศักยภาพที่จะประสบความสำเร็จได้อย่างมาก"
4 เคล็ดลับในการใช้ BCEB
- 1. เริ่มต้นด้วยการระบุความรับผิดชอบหลักและกิจกรรมของพนักงาน ใน spreadsheet/ตาราง แล้วกรอกข้อมูลในโครงร่างองค์กร (เพื่อให้เข้าใจถึงขอบเขตและหน้าที่เกี่ยวกับความปลอดภัยข้อมูลสารสนเทศ)
- 2. เริ่มต้นการตอบคำถามการประเมิน BCEB ในหมวด 7 คือผลลัพธ์ (เริ่มต้นด้วยจุดสิ้นสุด ซึ่งจะช่วยให้เข้าใจว่า คุณต้องเน้นที่กระบวนการอะไรบ้าง) จากนั้นจึงไปที่หมวด 1 ถึง 6 (กระบวนการ)
- 3. ตรวจสอบให้แน่ใจว่า ผู้นำขององค์กรเข้าใจกระบวนการ BCEB ด้วยใจที่เปิดกว้าง (โดยเฉพาะคำแนะนำ ที่อาจเกิดจากการอภิปราย)
- 4. ให้เวลาที่เพียงพอ และมีการประชุมตามปกติ สำหรับการประเมิน BCEB แบบเต็มรูปแบบ (เป็นรายสัปดาห์ จนกว่าจะผ่าน)
***********************************