ความปลอดภัยในโลกไซเบอร์

Cybersecurity

พันเอก มารวย  ส่งทานินทร์

[email protected]

6 กุมภาพันธ์ 2561

บทความเรื่อง ความปลอดภัยในโลกไซเบอร์ (Cybersecurity) ดัดแปลงมาจาก BALDRIGE CYBERSECURITY EXCELLENCE BUILDER

ผู้ที่สนใจเอกสารนี้แบบ PowerPoint (PDF file) สามารถ Download ได้ที่ https://www.slideshare.net/maruay/cybersecurity-87169614

ความปลอดภัยในโลกไซเบอร์

• หมายถึง กระบวนการในการปกป้องข้อมูลสารสนเทศและทรัพย์สิน โดยการจำกัดการเกิด การตรวจจับ และการตอบสนองต่อการโจมตี

CYBERSECURITY

• The process of protecting information and assets by limiting the occurrence of, detecting, and responding to attacks.

กรอบความปลอดภัยในโลกไซเบอร์

• ระบุ (IDENTIFY) พัฒนาความเข้าใจขององค์กร เพื่อจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ให้กับระบบ ทรัพย์สิน ข้อมูล และความสามารถต่างๆ
• ป้องกัน (PROTECT) พัฒนาและใช้มาตรการป้องกันที่เหมาะสม เพื่อให้มั่นใจ ในการส่งมอบบริการด้านโครงสร้างพื้นฐานที่สำคัญ
• ตรวจจับ (DETECT) พัฒนาและใช้กิจกรรมที่เหมาะสม เพื่อระบุเหตุการณ์ที่เกิดขึ้นในโลกไซเบอร์
• ตอบสนอง (RESPOND) พัฒนาและใช้กิจกรรมที่เหมาะสม ในการดำเนินการเกี่ยวกับเหตุการณ์ในโลกไซเบอร์ที่ตรวจพบ
• กู้คืน (RECOVER) พัฒนาและดำเนินกิจกรรมที่เหมาะสม เพื่อรักษาความยืดหยุ่นและเรียกคืนความสามารถหรือบริการที่บกพร่อง เนื่องจากเหตุการณ์ความปลอดภัยในโลกไซเบอร์

การปรับปรุงผลงานในการรักษาความปลอดภัยในโลกไซเบอร์

• การประเมินตนเองของ Baldrige Cybersecurity Excellence Builder ช่วยให้เข้าใจและปรับปรุงสิ่งที่มีความสำคัญ ต่อการจัดการความเสี่ยงในโลกไซเบอร์ขององค์กร
• ช่วยให้องค์กรระบุจุดแข็งและโอกาสในการปรับปรุง การจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ โดยพิจารณาจากพันธกิจ ความต้องการ และวัตถุประสงค์ขององค์กร

Baldrige Cybersecurity Excellence Builder

• เป็นการผสมผสานแนวคิด กรอบการปรับปรุงโครงสร้างพื้นฐานด้านความปลอดภัยในโลกไซเบอร์ที่สำคัญ และกรอบความเป็นเลิศ (Framework for Improving Critical Infrastructure Cybersecurity and the Baldrige Excellence Framework)
• เช่นเดียวกันทั้งสองแหล่ง ไม่มีวิธีเดียวที่เหมาะกับทุกรูปแบบ
• องค์กรสามารถปรับตัวและปรับขนาด ขึ้นกับความต้องการ เป้าประสงค์ ความสามารถ และสภาพแวดล้อมขององค์กร
• ไม่ได้กำหนดวิธี ที่คุณใช้กำหนดนโยบายและการดำเนินงาน ด้านความปลอดภัยในโลกไซเบอร์ขององค์กร
• ชุดของคำถามปลายเปิดที่เกี่ยวข้อง จะช่วยกระตุ้นให้คุณใช้แนวทางที่เหมาะสมที่สุดกับองค์กรของคุณ

การประเมินตนเองนี้ทำให้คุณสามารถ

• กำหนดกิจกรรมที่เกี่ยวกับความปลอดภัยในโลกไซเบอร์ ที่สำคัญต่อกลยุทธ์ทางธุรกิจ และการให้บริการที่สำคัญ
• จัดลำดับความสำคัญของการลงทุน ในการจัดการความเสี่ยงในโลกไซเบอร์
• กำหนดวิธีการที่ดีที่สุด เพื่อให้พนักงาน ลูกค้า ผู้ส่งมอบ พันธมิตร และผู้ให้ความร่วมมือ ให้ความสำคัญกับความเสี่ยง การรักษาความปลอดภัย และเพื่อตอบสนองบทบาทและความรับผิดชอบของตนในโลกไซเบอร์
• ประเมินประสิทธิภาพและประสิทธิผล ของการใช้มาตรฐาน แนวทาง และการปฏิบัติในโลกไซเบอร์
• ประเมินผลความสำเร็จ การรักษาความปลอดภัยในโลกไซเบอร์
• ระบุจุดแข็งเพื่อใช้ประโยชน์ และลำดับความสำคัญในการปรับปรุง

ใครในองค์กรที่ควรใช้ Baldrige Cybersecurity Excellence Builder?

• Baldrige Cybersecurity Excellence Builder มีจุดมุ่งหมายเพื่อการใช้งานโดยผู้นำและผู้จัดการในองค์กร ที่มีความกังวลและรับผิดชอบต่อนโยบาย เกี่ยวข้องกับพันธกิจและความปลอดภัยในโลกไซเบอร์
• ผู้นำและผู้จัดการเหล่านี้ อาจรวมถึงผู้นำอาวุโส หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย หัวหน้าเจ้าหน้าที่ข้อมูล และอื่น ๆ

ทำไมต้องถามเกี่ยวกับองค์กรโดยรวม?

• สถานการณ์ในองค์กร และความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ของคุณ มีความเป็นเอกลักษณ์
• ดังนั้น Baldrige Cybersecurity Excellence Builder ทำให้คุณเข้าใจนโยบาย และการดำเนินงานด้านความปลอดภัยในโลกไซเบอร์ขององค์กร บริบทขององค์กรในลักษณะต่าง ๆ  และสถานการณ์เชิงกลยุทธ์

7 ขั้นตอนในการใช้ Baldrige Cybersecurity Excellence Builder

• 1. ขอบเขต
• 2. บริบทขององค์กร
• 3. คำถามเกี่ยวกับกระบวนการ (หมวด 1-6)
• 4. คำถามเกี่ยวกับผลลัพธ์ (หมวด 7)
• 5. ประเมินคำตอบ
• 6. จัดลำดับความสำคัญการดำเนินการ จัดทำแผนปฏิบัติการ
• 7. วัดผล และประเมินความก้าวหน้า

ขั้นตอนที่ 1. ขอบเขต

• Baldrige Cybersecurity Excellence Builder มีคุณค่ามากที่สุดในฐานะการประเมินโดยสมัครใจ ในการจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ขององค์กร และยังมีประโยชน์ในการประเมินหน่วยย่อย หรือส่วนต่างๆ ขององค์กรด้วย

ขั้นตอนที่ 2. บริบทขององค์กร

• ช่วยให้คุณสามารถระบุช่องว่างของข้อมูลสำคัญ และมุ่งเน้นไปที่ข้อกำหนด และผลการปฏิบัติงานที่สำคัญในโลกไซเบอร์
• คุณสามารถใช้เป็นแบบประเมินตนเองเบื้องต้น หากคุณระบุหัวข้อที่มีข้อมูลที่ขัดแย้งกันหรือที่ยังไม่มีเลย ทำให้คุณสามารถใช้หัวข้อเหล่านี้ เพื่อวางแผนการดำเนินการได้
• การกำหนดบริบท ช่วยให้คุณสามารถตอบสนองความต้องการด้านความปลอดภัยในโลกไซเบอร์ขององค์กร และในการตอบสนองต่อคำถามในส่วนที่เหลือของ Baldrige Cybersecurity Excellence Builder

ขั้นตอนที่ 3. คำถามเกี่ยวกับกระบวนการ (หมวด 1-6)

คำถามใน 12 หัวข้อนี้ เริ่มจาก "อย่างไร" ที่เกี่ยวข้องกับกระบวนการ ความปลอดภัยในโลกไซเบอร์ขององค์กร:

•แนวทาง (Approach): คุณบรรลุงาน ที่เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์ขององค์กรได้อย่างไร? ระบบสำคัญที่คุณใช้คืออะไร?

•การนำไปปฏิบัติ (Deployment): กระบวนการรักษาความปลอดภัยในโลกไซเบอร์ของคุณ ที่ใช้กับหน่วยงานที่เกี่ยวข้องขององค์กรอย่างทั่วถึง คืออะไร?

•การเรียนรู้ (Learning): คุณประเมินและปรับปรุงกระบวนการที่เกี่ยวข้องกับระบบรักษาความปลอดภัยในโลกไซเบอร์ได้ดีเพียงใด? การปรับปรุงที่ดีขึ้นได้มีการแบ่งปันภายในองค์กรอย่างไร?

•การบูรณาการ (Integration): กระบวนการที่เกี่ยวข้องกับระบบความปลอดภัยในโลกไซเบอร์ สามารถตอบสนองความต้องการขององค์กรในปัจจุบันและอนาคตของคุณได้ดีเพียงใด?

ขั้นตอนที่ 4. คำถามเกี่ยวกับผลลัพธ์ (หมวด 7)

สำหรับ 5 หัวข้อนี้ เป็นการให้ข้อมูลที่เกี่ยวข้องกับระบบรักษาความปลอดภัยในโลกไซเบอร์ ที่สำคัญที่สุดต่อความสำเร็จขององค์กร:

•ระดับ (Levels): มาตรการสำคัญ เกี่ยวกับประสิทธิภาพและประสิทธิผลของกระบวนการความปลอดภัยในโลกไซเบอร์ ในปัจจุบันของคุณเป็นอย่างไร?

•แนวโน้ม (Trends): ผลลัพธ์ ดีขึ้น อยู่ที่เดิม หรือเลวร้ายลง?

•การเปรียบเทียบ (Comparisons): ผลการปฏิบัติงานมีการเปรียบเทียบกับองค์กรและคู่แข่งอื่น ๆ หรือเกณฑ์มาตรฐาน?

•การบูรณาการ (Integration): ผลการรักษาความปลอดภัยในโลกไซเบอร์ที่มีความสำคัญต่อองค์กร ตามความคาดหวังและความต้องการของผู้มีส่วนได้ส่วนเสียที่สำคัญ? และการใช้ผลลัพธ์ในการตัดสินใจ?

ขั้นตอนที่ 5. ประเมินคำตอบ

• ใช้การประเมินผลแบบ rubrics ประเมินกระบวนการและผลลัพธ์ (Reactive, Early, Developing, Mature, Leading, or Exemplary) ในการตอบสนองของแต่ละหัวข้อ

ขั้นตอนที่ 6. จัดลำดับความสำคัญการดำเนินการ จัดทำแผนปฏิบัติการ

• จากนั้นกำหนดความสำคัญของจุดแข็ง และโอกาสในการปรับปรุง
• เฉลิมฉลองจุดแข็งของการจัดการความเสี่ยงในโลกไซเบอร์ และใช้สิ่งเหล่านี้เพื่อปรับปรุงต่อยอดสิ่งที่คุณทำได้ดี
• แบ่งปันสิ่งที่ทำได้ดีกับส่วนที่เหลือขององค์กร เพื่อปรับปรุงได้เร็วขึ้น
• นอกจากนี้ ให้จัดลำดับความสำคัญของโอกาสในการปรับปรุง ในด้านกระบวนการและผลลัพธ์ ที่เกี่ยวข้องกับระบบความปลอดภัยในโลกไซเบอร์ เพราะคุณไม่สามารถทำทุกอย่างพร้อมกันได้
• นึกถึงสิ่งที่สำคัญที่สุดสำหรับองค์กรโดยรวมในขณะนี้ โดยให้สมดุลกับความต้องการและความคาดหวังที่ต่างกันของผู้มีส่วนได้ส่วนเสียและผลที่คาดหวังของคุณ แล้วตัดสินใจว่าจะทำอะไรเป็นสิ่งแรก

ขั้นตอนที่ 7. วัดผล และประเมินความก้าวหน้า

• ในขณะที่คุณตอบคำถามเทียบกับ rubric คุณจะเริ่มระบุจุดแข็งและช่องว่างภายในหมวดก่อน และระหว่างหมวดหลังจากนั้น
• การประสานงานระหว่างกระบวนการที่สำคัญ และความเชื่อมโยงระหว่างกระบวนการและผลลัพธ์ จะนำไปสู่วงรอบของการปรับปรุง
• ในขณะที่คุณใช้เครื่องมือประเมินนี้ต่อ ๆ ไป คุณจะได้เรียนรู้เพิ่มเติมเกี่ยวกับองค์กรของคุณ และเริ่มกำหนดวิธีที่ดีที่สุดในการนำจุดแข็งเพื่อปิดช่องว่าง และสร้างนวัตกรรม

บทบาทและหน้าที่ของคณะกรรมการและผู้บริหาร (Board and Executive Management)

• ทำความเข้าใจว่า ความปลอดภัยในโลกไซเบอร์ทั้งภายในและภายนอก สนับสนุนวัตถุประสงค์ขององค์กร (ธุรกิจ) รวมถึงสนับสนุนลูกค้าอย่างไร
• ทำความเข้าใจ กระบวนการสร้างความผูกพันของพนักงาน
• ทำความเข้าใจ เกี่ยวกับโอกาสในการปรับปรุงความปลอดภัยในโลกไซเบอร์ ที่สอดคล้องกับวัตถุประสงค์ขององค์กร
• ทำความเข้าใจ เกี่ยวกับศักยภาพของสินทรัพย์ขององค์กร ต่อความเสี่ยงต่างๆ
• กำหนดนโยบายและแนวทาง การรักษาความปลอดภัยในโลกไซเบอร์ ให้สอดคล้องกับพันธกิจ วิสัยทัศน์ และค่านิยมขององค์กร

บทบาทและหน้าที่ของหัวหน้าสำนักงานสารสนเทศ (Chief Information Officer - CIO)

• ทำความเข้าใจว่า ระบบรักษาความปลอดภัยในโลกไซเบอร์ มีผลต่อการปฏิบัติและวัฒนธรรม ในการจัดการข้อมูลขององค์กรอย่างไร
• ปรับปรุงการสื่อสาร และการมีส่วนร่วมของผู้นำองค์กร และทีมงานด้านความปลอดภัยในโลกไซเบอร์
• ทำความเข้าใจว่า ความปลอดภัยในโลกไซเบอร์ ส่งผลต่อวัฒนธรรมและสิ่งแวดล้อมขององค์กรอย่างไร

บทบาทและหน้าที่ของหัวหน้ารักษาความปลอดภัยข้อมูลสารสนเทศ (Chief Information Security Officer - CISO)

• สนับสนุนความมุ่งมั่นขององค์กร ต่อพฤติกรรมทางกฎหมายและจริยธรรม
• สร้างและใช้นโยบาย การรักษาความปลอดภัยในโลกไซเบอร์ เพื่อสนับสนุนพันธกิจ วิสัยทัศน์ และค่านิยมขององค์กร
• ตอบสนองต่อการเปลี่ยนแปลงในองค์กรหรือภายนอก ที่รวดเร็วหรือไม่คาดคิด
• สนับสนุนการปรับปรุงอย่างต่อเนื่อง โดยใช้เครื่องมือประเมินตนเองเป็นระยะ
• สนับสนุนความเข้าใจขององค์กร เกี่ยวกับการปฏิบัติตามข้อกำหนดตามสัญญา/ข้อบังคับต่างๆ
• ทำความเข้าใจเกี่ยวกับประสิทธิภาพของการสื่อสาร การเรียนรู้ และการมีส่วนร่วมของพนักงาน รวมทั้งข้อควรปฏิบัติในการดำเนินงาน เพื่อความปลอดภัยในโลกไซเบอร์

การจัดการกระบวนการด้านเทคโนโลยีสารสนเทศ (IT Process Management)

• ปรับปรุงความเข้าใจ เกี่ยวกับความต้องการทางธุรกิจ วัตถุประสงค์ของพันธกิจ และลำดับความสำคัญ
• กำหนดประสิทธิผลของกระบวนการด้านเทคโนโลยีสารสนเทศ และศักยภาพในการปรับปรุง
• ทำความเข้าใจระบบรักษาความปลอดภัยในโลกไซเบอร์ ว่ามีการบูรณาการกับกระบวนการจัดการการเปลี่ยนแปลงองค์กรอย่างไร

การบริหารความเสี่ยง (Risk Management)

• พิจารณาถึงผลกระทบของความปลอดภัยทางโลกไซเบอร์ ต่อลูกค้าภายใน/ภายนอก พันธมิตร และพนักงาน
• การทำความเข้าใจเกี่ยวกับการมีส่วนร่วมของพนักงาน ในการรักษาความปลอดภัยในโลกไซเบอร์ และการสื่อสารกับพนักงาน เกี่ยวกับความปลอดภัยในโลกไซเบอร์ ที่ส่งผลกระทบต่อความเสี่ยงโดยรวมขององค์กร
• ปรับปรุงการจัดการและการสื่อสาร เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับผู้ส่งมอบและพันธมิตร

บทบาทด้านกฎหมาย/การปฏิบัติตาม (Legal/Compliance Roles)

• ทำความเข้าใจเกี่ยวกับพฤติกรรมทางกฎหมายและจริยธรรมของพนักงาน รวมถึงสภาพแวดล้อมทางวัฒนธรรมโดยรวม
• ทำความเข้าใจว่า องค์กรใช้นโยบายและการดำเนินงานที่เกี่ยวข้องกับระบบรักษาความปลอดภัยในโลกไซเบอร์ เพื่อให้แน่ใจการกำกับดูแลที่รับผิดชอบ รวมถึงข้อกังวลด้านกฎหมาย ระเบียบ และชุมชน
• ทำความเข้าใจว่า องค์กรบูรณาการผู้ส่งมอบและพันธมิตร ไว้ในการจัดการความเสี่ยงในโลกไซเบอร์ รวมถึงข้อผูกมัดตามสัญญา ในการปกป้องและรายงานข้อมูลในโลกไซเบอร์

บทบาทและหน้าที่ของพนักงาน/บุคลากร (Employees/Workforce)

• ทำความเข้าใจกับความคาดหวังของผู้นำ
• เตรียมพร้อมสำหรับการเปลี่ยนแปลงความสามารถในการรักษาความปลอดภัยในโลกไซเบอร์ และความสามารถด้านการผลิต
• ได้รับประโยชน์จากวัฒนธรรมและสภาพแวดล้อมในที่ทำงานที่โดดเด่น ด้วยการสื่อสารแบบเปิด ประสิทธิภาพสูง และมีส่วนร่วมในเรื่องความปลอดภัยในโลกไซเบอร์
• เรียนรู้เพื่อเติมเต็มบทบาท และความรับผิดชอบในโลกไซเบอร์

***************************************

การนำแนวคิดสู่การปฏิบัติ 6 Steps (+ 4 Tips) to Improve Cybersecurity with a Baldrige Tool

  Christine Schaefe, January 30, 2018

ศูนย์การแพทย์มหาวิทยาลัยแคนซัส (University of Kansas Medical Center - KUMC)

• เมื่อ Baldrige Program เผยแพร่ Baldrige Cybersecurity Excellence Builder ในปีที่ผ่านมา ซึ่งเป็นการประเมินตนเองที่มุ่งเน้นไปที่ cybersecurity ทำให้ Steffani Webb กระตือรือร้นที่จะนำมาใช้ และแบ่งปันกับสมาชิกในทีมของเธอ
• ในฐานะรองฝ่ายบริหารศูนย์การแพทย์มหาวิทยาลัยแคนซัส Webb ได้ใช้กรอบ Baldrige Excellence Framework กับเจ้าหน้าที่ในแผนกของเธอ ในการปรับปรุงการดำเนินงานด้านการบริหาร ตั้งแต่เธอเข้ารับตำแหน่งในปี พ.ศ. 2554

การใช้ Baldrige Cybersecurity Excellence Builder (BCEB)

• การใช้ BCEB ในวันนี้ เจ้าหน้าที่ของ KUMC ใช้วิธีประเมินตนเองแบบเดียวกันกับ Baldrige Excellence Framework เพื่อความปลอดภัยในโลกไซเบอร์
• Webb กล่าวว่า "เป้าหมายที่ครอบคลุมของเราคือ การพัฒนาแผนปฏิบัติการ สำหรับระบบรักษาความปลอดภัยในโลกไซเบอร์ โดยใช้ BCEB"

6 ขั้นตอนในการใช้ BCEB

• ขั้นตอนที่ 1. การจัดตั้งสำนักงานความมั่นคงสารสนเทศ
• ขั้นตอนที่ 2. การกำหนดบทบาทและความรับผิดชอบ
• ขั้นตอนที่ 3. การจัดทำโครงร่างองค์กร
• ขั้นตอนที่ 4. การตอบคำถามการประเมินตนเอง
• ขั้นตอนที่ 5. การให้ความรู้ทั้งองค์กร
• ขั้นตอนที่ 6. การวัดและการปรับปรุงผลลัพธ์

ขั้นตอนที่ 1. การจัดตั้งสำนักงานความมั่นคงสารสนเทศ

• ทีมรักษาความปลอดภัยข้อมูล ที่ใช้กรอบ BCEB ของ KUMC มี CISO 1 คน; ผู้อำนวยการ IS คนใหม่; ผู้จัดการโครงการภายในสำนักงาน CISO 1 คน; และนักวิเคราะห์ความมั่นคงสารสนเทศ 4 คน
• "ความแตกต่างที่เห็นได้ชัดคือ การที่ BCEB ช่วยให้เราสามารถลดช่องว่าง และทำในสิ่งที่ระบุไว้ตามความจำเป็น ใน NIST Cybersecurity Framework"

ขั้นตอนที่ 2. การกำหนดบทบาทและความรับผิดชอบ

• จากการสัมภาษณ์เป็นกลุ่ม พวกเขาอธิบายว่า การใช้ BCEB ช่วยให้พวกเขาเข้าใจบทบาทของตนเองได้ดีขึ้น สร้างความสัมพันธ์กับลูกค้าของตน (เช่นพนักงานคนอื่น ๆ ในศูนย์การแพทย์ และพันธมิตร) ในการปกป้ององค์กร และช่วยให้บรรลุพันธกิจของสำนักงานรักษาความปลอดภัยข้อมูลสารสนเทศ
• "เรามีแนวคิดว่า การรักษาความปลอดภัยข้อมูล ไม่ได้ทำเพียงแค่กลุ่มของเราที่นี่ แต่เป็นการทำโดยทั้งองค์กร"

ขั้นตอนที่ 3. การจัดทำโครงร่างองค์กร

• พวกเขาได้รับข้อมูลเชิงลึกใหม่ ๆ ในขณะที่พวกเขาตอบคำถามการประเมินตนเอง ในโครงร่างองค์กร
• "เมื่อเราพูดถึงบริการที่เราระบุไว้ในนั้น [ในโครงร่างองค์กร] และโครงการที่สำคัญของเรา เราได้พบวิธีใหม่ ๆ ในการสร้างความสัมพันธ์กับลูกค้าของเรา"

ขั้นตอนที่ 4. การตอบคำถามการประเมินตนเอง

• กลุ่มเริ่มตอบคำถามการประเมินตนเองของ BCEB ในหมวดสุดท้าย (ผลลัพธ์) ก่อน
• "เราเริ่มต้นจากหมวด 7 เพื่อให้เราได้ทราบถึงผลลัพธ์ของเรา และจัดลำดับความสำคัญการปรับปรุง แล้วจึงค่อยทำหมวดกระบวนการ"

ขั้นตอนที่ 5. การให้ความรู้ทั้งองค์กร

• เนื่องจากทีมรักษาความปลอดภัยข้อมูลสารสนเทศต้องรับผิดชอบในการทำงาน แต่ไม่มีอำนาจในการควบคุมความเสี่ยงทั้งหมด การให้ความรู้แก่บุคลากรที่เหลือ เป็นสิ่งสำคัญต่อความสำเร็จของพวกเขา
• BCEB ได้ช่วยทีมเกี่ยวกับการสื่อสาร และกิจกรรมการรับรู้ความปลอดภัยในโลกไซเบอร์
• พนักงานของ IS ได้ใช้ลูกอมรูปปลา ในความพยายามให้การศึกษาในโลกไซเบอร์ โดยมอบให้กับพนักงานของ KUMC เป็นการให้ความรู้แก่พวกเขา เนื่องจาก การฟิชชิ่งอีเมล์ (phishing) เป็นความเสี่ยงอันดับหนึ่ง ด้านความปลอดภัยในโลกไซเบอร์ในมหาวิทยาลัย

ขั้นตอนที่ 6. การวัดและการปรับปรุงผลลัพธ์

• ตัววัดผลลัพธ์ที่เกี่ยวข้องกับ BCEB ยังคงเป็นงานที่กำลังดำเนินอยู่ โดยเฉพาะการหาข้อมูลผลลัพธ์ที่สำคัญที่สุด สำหรับองค์กรในการติดตาม
• "ความรู้สึกคือ การที่เราก้าวไปในทิศทางที่เป็นบวกอย่างยิ่ง และมีศักยภาพที่จะประสบความสำเร็จได้อย่างมาก"

4 เคล็ดลับในการใช้ BCEB

• 1. เริ่มต้นด้วยการระบุความรับผิดชอบหลักและกิจกรรมของพนักงาน ใน spreadsheet/ตาราง แล้วกรอกข้อมูลในโครงร่างองค์กร (เพื่อให้เข้าใจถึงขอบเขตและหน้าที่เกี่ยวกับความปลอดภัยข้อมูลสารสนเทศ)
• 2. เริ่มต้นการตอบคำถามการประเมิน BCEB ในหมวด 7 คือผลลัพธ์ (เริ่มต้นด้วยจุดสิ้นสุด ซึ่งจะช่วยให้เข้าใจว่า คุณต้องเน้นที่กระบวนการอะไรบ้าง) จากนั้นจึงไปที่หมวด 1 ถึง 6 (กระบวนการ)
• 3. ตรวจสอบให้แน่ใจว่า ผู้นำขององค์กรเข้าใจกระบวนการ BCEB ด้วยใจที่เปิดกว้าง (โดยเฉพาะคำแนะนำ ที่อาจเกิดจากการอภิปราย)
• 4. ให้เวลาที่เพียงพอ และมีการประชุมตามปกติ สำหรับการประเมิน BCEB แบบเต็มรูปแบบ (เป็นรายสัปดาห์ จนกว่าจะผ่าน)

***********************************