top of page

4 วิธีเพิ่มประสิทธิภาพการบริหารความเสี่ยงด้านไซเบอร์จากบุคคลที่สาม (Third-Party Cybersecurity Risk Management)

  • รูปภาพนักเขียน: Kasidet Khongphuttikun
    Kasidet Khongphuttikun
  • 4 นาทีที่ผ่านมา
  • ยาว 2 นาที
Third Party Cybersecurity Risk Management

ในยุคที่องค์กรพึ่งพาผู้ให้บริการภายนอกมากขึ้นเรื่อยๆ การบริหารความเสี่ยงด้านไซเบอร์จากบุคคลที่สาม (Third-Party Cybersecurity Risk Management - TPCRM) กลายเป็นหัวใจสำคัญของการรักษาความปลอดภัยองค์กร แม้จะมีการลงทุนเพิ่มขึ้นอย่างต่อเนื่อง แต่จากข้อมูลของ Gartner พบว่า 75% ขององค์กรใช้เวลากับ TPCRM มากขึ้น แต่กลับพบว่าเหตุการณ์ด้านความปลอดภัยจากบุคคลที่สามที่ส่งผลกระทบต่อธุรกิจเพิ่มขึ้นถึง 45%

ความท้าทายของ Third-Party Risk Management ในปัจจุบัน

ปัญหาหลักมาจากการที่องค์กรส่วนใหญ่เน้นการตรวจสอบก่อนทำสัญญา (Pre-contract Due Diligence) มากเกินไป แต่กลับขาดการบริหารความเสี่ยงอย่างต่อเนื่องระหว่างที่ความสัมพันธ์กับผู้ให้บริการดำเนินไปแล้ว ผลคือ แม้จะลงทุนมากขึ้นแต่ไม่สามารถลดความเสี่ยงได้อย่างมีประสิทธิภาพ

องค์กรที่ประสบความสำเร็จในการบริหาร TPCRM มีโอกาสสูงกว่า 2.6 เท่าในการหลีกเลี่ยงเหตุการณ์จากบุคคลที่สาม และมีโอกาส 2.1 เท่าในการลดผลกระทบจากเหตุการณ์ที่เกิดขึ้น

4 วิธีเพิ่มประสิทธิภาพ TPCRM

1. ส่งเสริมความรับผิดชอบของเจ้าของธุรกิจในการตัดสินใจเรื่องความเสี่ยง

ความท้าทาย: เกือบ 40% ของผู้นำด้านความปลอดภัยพบว่า เจ้าของธุรกิจมักยอมรับความเสี่ยงที่เกินกว่าระดับที่องค์กรยอมรับได้

วิธีแก้ไข:

  • สื่อสารความเสี่ยงด้วยภาษาธุรกิจ - แปลภาษาเทคนิคเป็นผลกระทบทางธุรกิจที่เข้าใจง่าย (ช่วยเพิ่มประสิทธิภาพ 26%)

  • สร้างกลไกการยกระดับความเสี่ยง - มีคณะกรรมการพิจารณาความเสี่ยงที่เกินกรอบ (เพิ่มประสิทธิภาพ 19%)

  • ติดตามการตัดสินใจของเจ้าของธุรกิจ - บันทึกการยอมรับความเสี่ยงทุกครั้ง (เพิ่มประสิทธิภาพ 52%)

  • ทบทวนประสิทธิผลการสื่อสารอย่างสม่ำเสมอ - ปรับปรุงวิธีการสื่อสารอย่างต่อเนื่อง (เพิ่มประสิทธิภาพ 53%)

กรณีศึกษา: RWE RWE พัฒนาแบบประเมินความสำคัญของผู้ให้บริการ (Criticality Assessment) เพื่อช่วยเจ้าของธุรกิจระบุว่าผู้ให้บริการรายใดมีความเสี่ยงสูง และควรให้ความสนใจเป็นพิเศษ วิธีนี้ช่วยให้ RWE มุ่งเน้นไปที่ 20-30 รายที่มีความเสี่ยงสูงสุดเท่านั้น

2. สร้างความร่วมมือเชิงรุกกับผู้ให้บริการสำคัญ

ความสำคัญ: ความเสี่ยงของผู้ให้บริการคือความเสี่ยงขององค์กรคุณด้วย

แนวทางปฏิบัติ:

  • ร่วมมือพัฒนาระบบรักษาความปลอดภัย - ช่วยเหลือผู้ให้บริการยกระดับมาตรการรักษาความปลอดภัย (เพิ่มประสิทธิภาพ 42%)

  • รักษาช่องทางติดต่อที่แข็งแกร่ง - มีผู้ประสานงานประจำ (เพิ่มประสิทธิภาพ 24%)

  • จัดประชุมเป็นระยะ - พบปะระหว่างทีมรักษาความปลอดภัยทั้งสองฝ่ายอย่างสม่ำเสมอ

  • แบ่งปัน Threat Intelligence - แลกเปลี่ยนข้อมูลภัยคุกคามและแนวปฏิบัติที่ดี

  • เปลี่ยนจาก Compliance เป็น Collaboration - มุ่งสร้างความไว้วางใจแทนการตรวจสอบแบบเดิมๆ

กรณีศึกษา: Swiss Post Swiss Post สร้าง "Cybersecurity Risk Progress Map" เพื่อติดตามความก้าวหน้าของผู้ให้บริการในด้านต่างๆ เช่น:

  • ความคืบหน้าในการแก้ไขความเสี่ยงที่ระบุ

  • การตอบสนองต่อการสื่อสารด้านความปลอดภัย

  • การจัดการกับช่องโหว่ที่เกิดขึ้นใหม่

  • การแบ่งปันข้อมูลอย่างสม่ำเสมอ

3. ติดตามวิธีที่ผู้ให้บริการเข้าถึงสินทรัพย์สำคัญ ไม่ใช่แค่ความปลอดภัยของพวกเขา

เปลี่ยนมุมมอง: ผู้ให้บริการไม่ใช่ "ดี" หรือ "ไม่ดี" โดยธรรมชาติ ความเสี่ยงเกิดจากวิธีที่พวกเขาเข้าถึงสินทรัพย์สำคัญขององค์กร

4 ขั้นตอนการติดตาม:

ขั้นที่ 1: สำรวจสินทรัพย์สำคัญขององค์กร

  • ระบุระบบ เครือข่าย ข้อมูล และกระบวนการธุรกิจที่สำคัญ

  • ทำงานร่วมกับหน่วยธุรกิจต่างๆ เพื่อจัดทำรายการสินทรัพย์

ขั้นที่ 2: ระบุผู้ให้บริการที่เข้าถึงสินทรัพย์เหล่านี้

  • ถามคำถามที่สำคัญ: องค์กรจ้าง outsource อะไร? ผู้ให้บริการจะเข้าถึงสินทรัพย์อย่างไร? บ่อยแค่ไหน?

  • มี fourth party เข้าถึงข้อมูลสำคัญหรือไม่?

ขั้นที่ 3: สร้างแผนผังการเชื่อมต่อ

  • ทำแผนภาพแสดงจุดเชื่อมต่อทั้งหมด

  • เข้าใจว่าข้อมูลถูกแบ่งปันกับระบบนิเวศของผู้ให้บริการอย่างไร

ขั้นที่ 4: กำหนดนโยบายและ Use Case

  • ติดตาม logins, network entitlements, privileged access

  • ใช้ SOC ในการเฝ้าระวังพฤติกรรมผิดปกติ

ผลลัพธ์: การมีกระบวนการติดตามข้อมูลภายในช่วยเพิ่มประสิทธิภาพ TPCRM ถึง 21%

4. เตรียมและฝึกซ้อมแผนสำรอง

สถิติน่าสนใจ: องค์กรที่มีแผน B พร้อมใช้งานจัดการความเสี่ยงได้มีประสิทธิภาพมากกว่า

แนวทางปฏิบัติ:

Formal Contingency Plan (เพิ่มประสิทธิภาพ 43%)

  • กำหนดกลยุทธ์การออกจากสัญญา

  • เตรียมรายชื่อผู้ให้บริการสำรอง

  • วางแผนการโอนข้อมูล

Third-Party Incident Response Planning (เพิ่มประสิทธิภาพ 42%)

  • ให้เจ้าของธุรกิจมีส่วนร่วมในการวางแผน

  • สร้าง playbook สำหรับสถานการณ์ต่างๆ

  • จัด tabletop exercise ร่วมกับผู้ให้บริการสำคัญ

Clear Offboarding Strategy (เพิ่มประสิทธิภาพ 42%)

  • กำหนดขั้นตอนการยกเลิกสิทธิ์การเข้าถึง

  • ทำลายข้อมูลอย่างปลอดภัย

  • จัดเก็บเอกสารที่จำเป็นไว้อย่างเหมาะสม

ตัวอย่างการปฏิบัติ:

  • ตั้งค่า automatic triggers สำหรับกรณีฉุกเฉิน

  • ส่งข้อมูลความเสี่ยงไปยัง SOC อัตโนมัติ

  • แจ้งเตือนเจ้าของธุรกิจเมื่อมีสัญญาณผิดปกติ

สรุป

การบริหาร Third-Party Risk Management ที่มีประสิทธิภาพต้องเปลี่ยนจากการมุ่งเน้น Compliance ไปสู่การบริหารความเสี่ยงแบบต่อเนื่อง ด้วย 4 แนวทางหลัก: ส่งเสริมความรับผิดชอบของเจ้าของธุรกิจ สร้างความร่วมมือกับผู้ให้บริการ ติดตามการเข้าถึงสินทรัพย์สำคัญ และเตรียมแผนสำรอง

องค์กรที่นำแนวทางเหล่านี้ไปใช้จะสามารถเพิ่มประสิทธิภาพ TPCRM ได้อย่างมีนัยสำคัญ ลดความเสี่ยง และสร้างความสัมพันธ์ที่แข็งแกร่งกับผู้ให้บริการในระยะยาว

ALPHASEC: ผู้เชี่ยวชาญด้าน Third-Party Risk Management

ที่ ALPHASEC เราเข้าใจดีว่าการบริหาร Third-Party Risk Management ที่มีประสิทธิภาพต้องอาศัยแนวทางที่ครอบคลุมและต่อเนื่อง เราพร้อมเป็นพาร์ทเนอร์ที่ช่วยองค์กรของคุณบริหารความเสี่ยงอย่างเป็นระบบ ALPHASEC พร้อมเป็นพันธมิตรที่เชื่อถือได้ในการยกระดับ Third-Party Risk Management ของคุณ ด้วยประสบการณ์และความเชี่ยวชาญ เราช่วยให้องค์กรของคุณปลอดภัยและพร้อมรับมือกับความท้าทายใดๆ

ติดต่อเราวันนี้ เพื่อรับคำปรึกษาเกี่ยวกับการพัฒนา TPCRM Program ที่เหมาะสมกับองค์กรของคุณ website : www.alphasec.co.th Email : contact@alphasec.co.th #ThirdPartyRisk #TPCRM #IncidentResponse #Outsource

 
 
bottom of page