Risk Management แนวคิดการจัดการความเสี่ยงในมิติต่างๆ

1.ทำไม “ความมั่นคงปลอดภัย” จึงสำคัญต่อธุรกิจยุคใหม่

• จุดเริ่มต้นจาก “Big Picture” ทำไมธุรกิจจึงต้องให้ความสำคัญกับ Security
• ความสัมพันธ์ระหว่าง Business Objectives ↔ Information Systems ↔ Threats
• แนวคิด “CIA Triad”: ความลับ (Confidentiality), ความถูกต้อง (Integrity), ความพร้อมใช้งาน (Availability)

2.ความเสี่ยงคืออะไร? และทำไมคุณไม่ควรมองข้ามมัน

• Risk, Threat, Vulnerability
• ประเภทของการตอบสนองความเสี่ยง: Acceptance, Mitigation, Transfer, Avoidance
• เครื่องมือช่วยวิเคราะห์ เช่น Risk Matrix, Probability vs Impact

3.เครื่องมือควบคุมความเสี่ยง – กุญแจสู่การป้องกันภัยไซเบอร์

• แบ่ง Security Control ออกเป็น 3 กลุ่ม: Physical, Technical, Managerial
• Control Type: Deterrent, Preventive, Detective, Corrective
• Firewall, SIEM, CCTV, Backup System

4.แนวคิดสำคัญในความมั่นคงปลอดภัยที่ผู้บริหารต้องเข้าใจ

• Least Privilege, Separation of Duties, Need-to-Know
• การสร้างนโยบาย: Policy, Procedure, Standard, Guideline
• การวัดผล: MTTD, MTTR และตัวชี้วัดอื่น ๆ ในการติดตามความปลอดภัย

5.วิเคราะห์เหตุการณ์ Ransomware – บทเรียนราคาแพงขององค์กร

• สรุปกรณีศึกษา “Triple Extortion Ransomware” กับองค์กรคมนาคม
• วิเคราะห์ 5 มิติ (ตามโจทย์ใน Workshop):

1. ความเสี่ยงและช่องโหว่ที่ถูกโจมตี
2. กลยุทธ์การตอบสนอง
3. ผลกระทบต่อ Stakeholders
4. แนวทางป้องกันอนาคต
5. บทเรียนที่องค์กรควรเรียนรู้

PPT Slide Risk Managment Part1

6.Risk Assessment แบบเข้าใจง่าย

• เป้าหมายของการบริหารความเสี่ยง (Risk Management Goal)

• ขั้นตอน Risk Assessment

  • ระบุทรัพย์สิน – ภัยคุกคาม – ช่องโหว่

  • วิเคราะห์โอกาสเกิดและผลกระทบ

  • จัดลำดับความสำคัญ

• สูตร Risk = Threat × Vulnerability × Asset Value

• เปรียบเทียบ Quantitative vs Qualitative Assessment

7.Compliance และแผนความต่อเนื่องทางธุรกิจ

• ทำไมองค์กรต้องสนใจ Compliance เช่น GDPR, HIPAA, PCI-DSS

• ความเข้าใจผิดเกี่ยวกับกฎหมาย vs ข้อกำหนดภาคเอกชน

• แนวคิด BCP vs DRP

  • BCP: วิเคราะห์ BIA → Recovery Strategy

  • DRP: การกู้คืนระบบ IT และการสำรองข้อมูลแบบ Cloud

• ตัวอย่างเหตุการณ์ และแนวทางฟื้นฟูในสถานการณ์วิกฤต

8.รู้ทัน Social Engineering

• รูปแบบการโจมตี

  • Phishing / Spear Phishing / Smishing / Vishing / Whaling / BEC / Shoulder Surfing

• มาตรการป้องกันเชิงพฤติกรรม

• การฝึกอบรมพนักงาน (Security Awareness Training)

• วิธีออกแบบ Simulation Campaign ที่มีประสิทธิภาพ

9.ข้อมูลคือทรัพย์สิน – เรียนรู้การจัดประเภทและ Life Cycle Management

• แนวคิด Data Classification:
  • ระดับ : Public, Internal, Confidential, Secret, Top Secret
  • วิธี : Manual vs Automated
• การจัดการข้อมูลตามวงจรชีวิต (Information Lifecycle Management)
  • สร้าง → เก็บ → ใช้ → แบ่งปัน → เก็บระยะยาว → ทำลาย
• หลักการ Privacy & Data Protection:
  • Transparency, Consent, Minimization, Purpose Limitation
  • กฎหมายเกี่ยวข้อง: GDPR, PDPA

PPT Slide Risk Managment Part2