Cyber Security & TQA Criteria - FTPI · 2020-01-14 · 1 Cyber Security & TQA Criteria By Athisarn...
Transcript of Cyber Security & TQA Criteria - FTPI · 2020-01-14 · 1 Cyber Security & TQA Criteria By Athisarn...
1
Cyber Security & TQA CriteriaBy Athisarn Wayuparb, Ph.D., CISA
January 16, 2020
089-109-7113
Line: athisarn
4
ChangedCriteria• Overall & Multiple Level
2020
5
- Information Systems Security- Information Confidentiality
CybersecurityExtendedCybersecurity
7
BASIC OVERALL MULTIPLES
8
Overall Approach50% and 65%
Overall Approach50% and 65%
6.2b(1) Ensure the reliability of informationsystems
Ensure the security and cybersecurity of• Sensitive or privileged data and
information, and• Key assets
6.2b(2) Ensure the security and cybersecurityof sensitive or privileged data andinformation
6.2 Operational Effectiveness
(Baldrige 2017-2018) (Baldrige 2019-2020)
6.2b. Managing cybersecurity includes protecting against the loss of sensitive informationabout employees, customers, and organizations; protecting assets, including intellectualproperty; and protecting against the financial, legal, and reputational aspects ofbreaches. There are many sources for general and industry-specific cybersecuritystandards and practices. Many are referenced in the Framework for Improving CriticalInfrastructure Cybersecurity (https://www.nist.gov/cyberframework). The BaldrigeCybersecurity Excellence Builder(https://www.nist.gov/baldrige/products-services) is a self-assessment tool incorporatingthe concepts of the Cybersecurity Framework and the Baldrige systems perspective.
9
Multiple Level70% and 100%
Multiple Level70% and 100%
6.2b(1) • Manage electronic and physical data andinformation and key operationalsystems to ensure confidentiality andonly appropriate access
• Be aware of emerging security andcybersecurity threat
• Ensure that the workforce, customers,partners, and suppliers understandand fulfill security and cybersecurityresponsibilities
• Identify and prioritize informationtechnology and operational systems tosecure
• Protect these systems from potentialcybersecurity attacks and detect,respond to, and recover fromcybersecurity incidents
6.2b(2) • Manage electronic and physical dataand information to ensureconfidentiality and only appropriateaccess
• Be aware of emerging security andcybersecurity threats
• Identify and prioritize informationtechnology systems to be securefrom cybersecurity attacks andprotect the systems from attack
• Detect, respond to, and recover fromcybersecurity breaches
6.2 Operational Effectiveness(Baldrige 2017-2018) (Baldrige 2019-2020)
11
LOSS OF SENSITIVEINFORMATION
• CUSTOMERS• EMPLOYEES• ORGANIZATIONS
ASSETS
INTELLECTUAL PROPERTIES
SECURITY BREACHESAFTERMATH
• FINANCIAL• LEGAL• REPUTATION
Category 1: Leadership Commitment
Category 2: Strategic Development &Deployment
Category 3: Customer Data & AllInteractions
Category 4: Data, IT, and KM
Category 5: Workforce Training
Category 6: Process, Supplier, BCP
12
13
CYBER-SECURITYSOLUTIONS ANDINVESTMENTS
HOW MUCH LOSSYOU CAN TAKE?
14
No Best Solution
16
17
Examples:- Name- Home Address- Email Address- ID Card- Location Data- IP Address- Cookie ID- Data held by a hospital or doctors
that uniquely identifies a person
EU Commission(https://ec.Europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en)
Companies:- Employee Data- Customer Data- Supplier Data- Intellectual Properties- All confidential documents
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
19
FACT &FIGURES
• World Cyber Threat
21
2019$6 Trillion2015
$3 Trillion
Terrifying Cybercrime TrendCy
berc
rimeT
rend
Ref: www.herjavecgroup.com/the-2019-official-annual-cybercrime-report/Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
23Ref: 2019 Official Annual Cybercrime Report
67% Over 5 Years
Data BreachesData Breaches
Ref: Accenture’s global survey
RansomwareRansomware
Every 14 seconds$11.5 Billion by 2019$20 Billion by 2021
Cybe
rcrim
eTre
nd
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
26
146 Billion Records
Will be exposed in the next 5 Years
www.thesslstore.com
>1 million folders don’t limit access
88% of companiesCybe
rcrim
eTre
nd
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
28
Cyber AttackCyber Attack
Fastest GrowingCrime in US
Fastest GrowingCrime in US
https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
34
Exposed 500 million user accounts
2018
Exposed 3 Billion user accounts
2017
145.5 million customers affected
2017
50 billion users compromised(Largest breach in the History)
2018
https://www.forbes.com
https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
Exposed 885 million Customer Info.
2019
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
35https://digitalguardian.com/blog/whats-cost-data-breach-2019
36
37
Cyber Attack is “Imminent”Cyber Attack is “Imminent”
39
Zero Risk Do Not Exist
41
InformationSecurity Domain• Information Security• Baldrige Cybersecurity
Framework• Enterprise Alignment 2020
43
Appropriate SecurityLevels
Security is a process, notan end state.
“
Security
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
45
Security the process of maintaining anacceptable level of perceivedrisk
Secu
rity
Ref: www.itu.intCopyright 2020 by Athisarn Wayuparb, Ph.D., CISA
46
InformationSecurity
3 KeyFeatures Integrity
Ref: https://en.wikipedia.org/wiki/Information_security
Availability
Confidentiality
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
47
Ref:https://www.assured.enterprises/nist-baldrige-cybersecurity-guidelines/
WADING THROUGH THE CYBERSECURITY CHAOS
NISTCybersecurity
Framework
BaldrigeCybersecurity
Excellence Builder
IndustryBest Practices
FERPA
DICCAP DIARMF
PCI
FISMA
11FAIR
FFIEC
NCUA – 12CFR Part 748
HIPAA
HITRUST CF
FDA – 21 CFR Part 11 PIA
NASA OIG
ISO 27001/02
COBIT 5
NIST CSF
NIST
SOX
SEC
MiFID
GLBANYS-DFS
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
48
BaldrigeCybersecurity FrameworkBaldrige
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
50
3 Common Factors
Information Security Risk Management
Assessment
1
Manage
2
Good Practices
3
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
51
RISKAssessment
• Security policy,• Organization of information security,• Asset management,• Human resources security,• Physical and environmental security,• Communications and operations
management,• Access control,• Information systems acquisition,
development and maintenance,• Information security incident management,• Business continuity management, and• Regulatory compliance
Ref: https://en.wikipedia.org/wiki/Information_security
ISO/IEC 27002:2005
1
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
52
RISKAssessment
• Identification of assets and estimating theirvalue e.g., people, buildings, hardware, software,data (electronic, print, other), supplies
• Conduct a Threat assessment• Conduct a Vulnerability assessment
• Probability of being attacked• Evaluate policies, procedures, standards,
training, physical security, quality control,technical security
• Calculate the impact that each threat wouldhave on each asset
• Evaluate the effectiveness of the controlmeasures
• Cost effective protection without discernibleloss of productivity
Ref: https://en.wikipedia.org/wiki/Information_security
ISO/IEC 27002:2005
2
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
54
RISKAssessment
Ref: https://en.wikipedia.org/wiki/Information_security
NIST Cyber Security Framework
2
Protectionand
Resilience ofCritical
Infrastructure
1.IDENTIFY
2.PROTECT
3.DETECT
5.RESPONSE
4. RECOVER
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
55
(PROACTIVE)POLICY MANAGEMENT
(REACTIVE)MONITORING + RESPONSE
MISSION CRITICALASSETS
Protecting Areas
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
56
NIST Cybersecurity Framework (800-53)
Identify Protect Detect Respond Recover
AssetManagement Access Control Anomalies &
EventsResponsePlanning
RecoveryPlanning
BusinessEnvironment
Awareness &Training
Security &ContinuousMonitoring
Communications Improvements
Governance Data Security DetectionProcesses Analysis Communications
Risk Assessment Mitigation
RiskManagement
StrategyMaintenance Improvements
InformationProtection Processes
& Procedures
5Functions
21Categories
103 Sub-Categories
OPPORTUNITY FOR IMPROVEMENT
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
57
CIS Controls - Center for Internet SecurityCOBIT: Control Objectives for Information and Related - ISACANIST Special Publication 800-53: “Security and Privacy Controls for Federal Information Systems andOrganizations."
ISO/IEC 27001:2013 – Information technology –Information security management
58
Assessment and Maturity
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
59
EXAMPLE OF HARDWARE DETECTION SYSTEMDETECT
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
60
ALL ASSETS MUST BE EVALUATION & PROTECTED
ENTERPRISE ARCHITECTURE IS HIGHLY RECOMMENDEDFOR MID-LARGE ENTERPRISE
ENTERPRISE ARCHITECTURE IS HIGHLY RECOMMENDEDFOR MID-LARGE ENTERPRISE
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
63
Good Practices
3Governance
PCI-DSS 3.2, HIPAA, NACHA, SOC 1 & 2Type II, National Institute of Standards &Technology (NIST, NIST 800), ComputerSecurity Incident Response Team(CSIRT), Source code Scanning
Firewall, Network Intrusion Detection(IDS), Web Filtering, Virtual PrivateNetworking (VPN), Cloud Security, 24x7Monitoring
Network Security
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
66
System Security
Good Practices
3Data Protection
Data Loss Prevention (Endpoint,Storage & Network), Recovery PointObjective (RPO), Recovery TimeObjective (RTO), Encryption,Tokenization,
Patches, Anti-Virus, Malware, FileIntegrity Monitoring, Host basedIntrusion Detection, RogueApplications, Vulnerability Scanning
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
67
IT GOVERNANCE MUST BE ESTABLISHED
Compliance
InternalControl
Measure
ManagementControls
Inspection
Quality Control
Risk Management
Security
Financial Control
InternalAudit
GOVERNING BODY / AUDIT COMMITTEE
SENIOR MANAGEMENT
1st
Line of Defense2nd
Line of Defense3rd
Line of Defense
Ref: https://www.iia.org.uk/resources/audit-committees/governance-of-risk-three-lines-of-defence/
Recommend: ISO 38500 -> COBIT
69
CYBER SECURITYPEOPLE
PROCESS
TECHNOLOGY
CYBER SECURITYCopyright 2020 by Athisarn Wayuparb, Ph.D., CISA
71
60%attacks that occurred incompanies werecommitted bypeople from within theorganization.
Source: IBM
ATTA
CKER
S
Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA
72
IT- Business Strategy AlignmentBusinessStrategy• Scope• Goal• Capabilities• Governance
BusinessInfrastructure• Structure• Process• People + Skills
IT Strategy• Scope• Policies• IT Capabilities• Governance
IT Infrastructure• Backbone
CommunicationTechnologies
• EquipmentTechnologies
ENTERPRISE ARCHITECTURE IS HIGHLY RECOMMENDEDENTERPRISE ARCHITECTURE IS HIGHLY RECOMMENDEDCopyright 2020 by Athisarn Wayuparb, Ph.D., CISA
73
Addendum
74Violation Fine: 4% or 20 Million Euros
75
บทลงโทษมีท้ังโทษอาญา ทางแพง และทางปกครอง หากมี
การฝาฝนมีโทษจําคุกต้ังแต 6 เดือนถึง 1 ป และโทษปรับทาง
ปกครองต้ังแต 5 แสนบาท ถึง 5 ลานบาท
พ.ร.บ.คุมครองขอมูลสวนบุคคล
76
มาตรา ๘๑ ในกรณีที่ผูกระทาความผิดตามพระราชบัญญัตนิี้เปนนิติ
บุคคล
ถาการกระทําความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการ
กระทําของกรรมการหรือผูจัดการหรือบุคคลใดซึ่งรับผิดชอบในการ
ดําเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกลาวมีหนาที่
ตองส่ังการหรือกระทําการและละเวนไมส่ังการหรือไมกระทําการจนเปน
เหตุใหนิติบุคคลนั้นกระทําความผิด ผูนั้นตองรับโทษตามที่บัญญัติไว
สําหรับความผิดนั้น ๆ ดวย
พ.ร.บ.คุมครองขอมูลสวนบุคคล
77
มาตรา 23 ในการเก็บรวบรวมขอมูลสวนบุคคล ผูควบคุมขอมูลสวนบุคคลจะตองแจง
ใหเจาของขอมูลสวนบุคคลทราบกอนหรือในขณะเก็บรวบรวมขอมูลสวนบุคคลถงึ
รายละเอียด ดังตอไปน้ี
(1) วัตถุประสงคของการเก็บรวบรวม (Purpose)
(2) ขอมูลสวนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว ทั้งนี้
ในกรณีท่ีไมสามารถกําหนดระยะเวลาดังกลาวไดชดัเจน ใหกําหนดระยะเวลาท่ีอาจ
คาดหมายไดตามมาตรฐานของการเก็บรวบรวม (What & How long?)
(3) ประเภทของบุคคลหรือหนวยงานที่ซึ่งขอมูลสวนบุคคลที่เก็บรวบรวมอาจจะถูก
เปดเผย (Data Processors)
(4) ขอมูลเก่ียวกับผูควบคุมขอมูลสวนบุคคล สถานท่ีติดตอ และวิธีการติดตอ ในกรณี
ท่ีมีตัวแทนหรือเจาหนาท่ีคุมครองขอมูลสวนบุคคลใหแจงขอมูล สถานท่ีติดตอ และ
วิธีการติดตอของตัวแทนหรือเจาหนาท่ีคุมครองขอมูลสวนบุคคลดวย
พ.ร.บ.คุมครองขอมูลสวนบุคคล
78
**มาตรา 26 หามมิใหเก็บรวบรวมขอมูลสวนบุคคลเก่ียวกับเช้ือชาติ เผาพันธุ ความ
คิดเห็นทางการเมือง ความเช่ือในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติ
อาชญากรรม ขอมูลสุขภาพ ขอมูลสหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ
หรือขอมูลอื่นใดซึ่งกระทบตอเจาของขอมูลสวนบุคคลในทํานองเดียวกันตามท่ี
คณะกรรมการประกาศกําหนด โดยไมไดรับความยินยอมโดยชัดแจงจากเจาของขอมูล
สวนบุคคล
พ.ร.บ.คุมครองขอมูลสวนบุคคล
79
การใชหรือเปดเผยขอมูลสวนบุคคล**มาตรา 27 หามมิใหผูควบคุมขอมูลสวนบุคคลใชหรือเปดเผยขอมูลสวนบุคคล โดย
ไมไดรับความยินยอมจากเจาของขอมูลสวนบุคคล เวนแตเปนขอมูลสวนบุคคลท่ีเก็บ
รวบรวมไดโดยไดรับยกเวนไมตองขอความยินยอมตามมาตรา 24 หรือมาตรา 26
บุคคลหรือนิติบุคคลท่ีไดรับขอมูลสวนบุคคลมาจากการเปดเผยตามวรรคหน่ึง จะตอง
ไมใชหรือเปดเผยขอมูลสวนบุคคลเพื่อวตัถุประสงคอื่นนอกเหนือจากวัตถุประสงคท่ีได
แจงไวกับผูควบคุมขอมูลสวนบุคคลในการขอรับขอมูลสวนบุคคลนั้น
พ.ร.บ.คุมครองขอมูลสวนบุคคล
80
บทลงโทษ การใชหรือเปดเผยขอมูลสวนบุคคล - มีโทษทางอาญาและทาง
ปกครองมาตรา 26 โดยประการท่ีนาจะทําใหผูอ่ืนเกิดความเสียหาย เสียช่ือเสียง ถูกดูหม่ินถูก
เกลียดชัง หรือไดรับความอับอาย ตองระวางโทษจําคุกไมเกินหกเดือน หรือปรับไม
เกินหาแสนบาท หรือทั้งจําทั้งปรับ
- โทษปรับทางปกครองไมเกินหาลานบาท
ผูควบคุมขอมูลสวนบุคคลผูใดฝาฝนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือไม
ปฏิบัติตามมาตรา 28 อันเก่ียวกับขอมูลสวนบุคคลตามมาตรา 26 เพ่ือแสวงหา
ประโยชน ที่มิควรไดโดยชอบดวยกฎหมายสําหรับตนเองหรือผูอื่น ตองระวางโทษ
จําคุกไมเกินหนึ่งป หรือปรับไมเกินหนึ่งลานบาท หรือทั้งจําทั้งปรับ
พ.ร.บ.คุมครองขอมูลสวนบุคคล
81
Data Protection by Design– แต่งตัง้ Working Group ในองคก์ร– แต่งตัง้ DPO– กําหนดประเภทของขอ้มูลและมาตรการในการจัดการขอ้มลู– ทบทวน Data Protection Policy– ควรทบทวนการบริหารจัดการ Personal Data และหลักเกณฑ์การให้ความยินยอม
–ทบทวนกระบวนการเขา้ถึงแกไ้ขลบขอ้มูลเมื่อได้รับการร้องขอ
พ.ร.บ.คุมครองขอมูลสวนบุคคล
82
Data Protection by Design– ทบทวน life-cycleของการเก็บรักษาและทําลายขอ้มลู– จัดเตรียมขอ้ปฏิบัติการคุม้ครองขอ้มูลส่วนบุคคล– ทบทวนมาตรการคุม้ครองขอ้มูลส่วนบุคคลของประเทศทีมี่การโอนยา้ยขอ้มูลไป
– Documentมาตราการรักษาความมัน่คงปลอดภัยกับขอ้มูลส่วนบุคคล
– จัดอบรมให้กับบุคลากรพนักงานและเจ้าหนา้ที่– พัฒนาทักษะและกระบวนการตรวจสอบประเมิน (Audit)– Privacy by Design และSecurity by Design– พัฒนากระบวนการแจ้งเตือน(Breach Notification)– ได้รับงบประมาณและการสนับสนุนจากผูบ้ริหาร
พ.ร.บ.คุมครองขอมูลสวนบุคคล
86
By Athisarn Wayuparb, Ph.D., CISA
089-109-7113
Line: athisarn