Cyber Security & TQA Criteria - FTPI · 2020-01-14 · 1 Cyber Security & TQA Criteria By Athisarn...

1

Cyber Security & TQA CriteriaBy Athisarn Wayuparb, Ph.D., CISA

January 16, 2020

089-109-7113

Line: athisarn

4

ChangedCriteria• Overall & Multiple Level

2020

5

- Information Systems Security- Information Confidentiality

CybersecurityExtendedCybersecurity

7

BASIC OVERALL MULTIPLES

8

Overall Approach50% and 65%

Overall Approach50% and 65%

6.2b(1) Ensure the reliability of informationsystems

Ensure the security and cybersecurity of• Sensitive or privileged data and

information, and• Key assets

6.2b(2) Ensure the security and cybersecurityof sensitive or privileged data andinformation

6.2 Operational Effectiveness

(Baldrige 2017-2018) (Baldrige 2019-2020)

6.2b. Managing cybersecurity includes protecting against the loss of sensitive informationabout employees, customers, and organizations; protecting assets, including intellectualproperty; and protecting against the financial, legal, and reputational aspects ofbreaches. There are many sources for general and industry-specific cybersecuritystandards and practices. Many are referenced in the Framework for Improving CriticalInfrastructure Cybersecurity (https://www.nist.gov/cyberframework). The BaldrigeCybersecurity Excellence Builder(https://www.nist.gov/baldrige/products-services) is a self-assessment tool incorporatingthe concepts of the Cybersecurity Framework and the Baldrige systems perspective.

9

Multiple Level70% and 100%

Multiple Level70% and 100%

6.2b(1) • Manage electronic and physical data andinformation and key operationalsystems to ensure confidentiality andonly appropriate access

• Be aware of emerging security andcybersecurity threat

• Ensure that the workforce, customers,partners, and suppliers understandand fulfill security and cybersecurityresponsibilities

• Identify and prioritize informationtechnology and operational systems tosecure

• Protect these systems from potentialcybersecurity attacks and detect,respond to, and recover fromcybersecurity incidents

6.2b(2) • Manage electronic and physical dataand information to ensureconfidentiality and only appropriateaccess

• Be aware of emerging security andcybersecurity threats

• Identify and prioritize informationtechnology systems to be securefrom cybersecurity attacks andprotect the systems from attack

• Detect, respond to, and recover fromcybersecurity breaches

6.2 Operational Effectiveness(Baldrige 2017-2018) (Baldrige 2019-2020)

11

LOSS OF SENSITIVEINFORMATION

• CUSTOMERS• EMPLOYEES• ORGANIZATIONS

ASSETS

INTELLECTUAL PROPERTIES

SECURITY BREACHESAFTERMATH

• FINANCIAL• LEGAL• REPUTATION

Category 1: Leadership Commitment

Category 2: Strategic Development &Deployment

Category 3: Customer Data & AllInteractions

Category 4: Data, IT, and KM

Category 5: Workforce Training

Category 6: Process, Supplier, BCP

13

CYBER-SECURITYSOLUTIONS ANDINVESTMENTS

HOW MUCH LOSSYOU CAN TAKE?

14

No Best Solution

17

Examples:- Name- Home Address- Email Address- ID Card- Location Data- IP Address- Cookie ID- Data held by a hospital or doctors

that uniquely identifies a person

EU Commission(https://ec.Europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en)

Companies:- Employee Data- Customer Data- Supplier Data- Intellectual Properties- All confidential documents

Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA

19

FACT &FIGURES

• World Cyber Threat

21

2019$6 Trillion2015

$3 Trillion

Terrifying Cybercrime TrendCy

berc

rimeT

rend

Ref: www.herjavecgroup.com/the-2019-official-annual-cybercrime-report/Copyright 2020 by Athisarn Wayuparb, Ph.D., CISA

23Ref: 2019 Official Annual Cybercrime Report

67% Over 5 Years

Data BreachesData Breaches

Ref: Accenture’s global survey

RansomwareRansomware

Every 14 seconds$11.5 Billion by 2019$20 Billion by 2021

Cybe

rcrim

eTre

nd


26

146 Billion Records

Will be exposed in the next 5 Years

www.thesslstore.com

>1 million folders don’t limit access

88% of companiesCybe

rcrim

eTre

nd


28

Cyber AttackCyber Attack

Fastest GrowingCrime in US

Fastest GrowingCrime in US

https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/

34

Exposed 500 million user accounts

2018

Exposed 3 Billion user accounts

2017

145.5 million customers affected

2017

50 billion users compromised(Largest breach in the History)

2018

https://www.forbes.com

https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/

Exposed 885 million Customer Info.

2019


35https://digitalguardian.com/blog/whats-cost-data-breach-2019

37

Cyber Attack is “Imminent”Cyber Attack is “Imminent”

39

Zero Risk Do Not Exist

41

InformationSecurity Domain• Information Security• Baldrige Cybersecurity

Framework• Enterprise Alignment 2020

43

Appropriate SecurityLevels

Security is a process, notan end state.

“

Security


45

Security the process of maintaining anacceptable level of perceivedrisk

Secu

rity

Ref: www.itu.intCopyright 2020 by Athisarn Wayuparb, Ph.D., CISA

46

InformationSecurity

3 KeyFeatures Integrity

Ref: https://en.wikipedia.org/wiki/Information_security

Availability

Confidentiality


47

Ref:https://www.assured.enterprises/nist-baldrige-cybersecurity-guidelines/

WADING THROUGH THE CYBERSECURITY CHAOS

NISTCybersecurity

Framework

BaldrigeCybersecurity

Excellence Builder

IndustryBest Practices

FERPA

DICCAP DIARMF

PCI

FISMA

11FAIR

FFIEC

NCUA – 12CFR Part 748

HIPAA

HITRUST CF

FDA – 21 CFR Part 11 PIA

NASA OIG

ISO 27001/02

COBIT 5

NIST CSF

NIST

SOX

SEC

MiFID

GLBANYS-DFS


48

BaldrigeCybersecurity FrameworkBaldrige


50

3 Common Factors

Information Security Risk Management

Assessment

1

Manage

2

Good Practices

3


51

RISKAssessment

• Security policy,• Organization of information security,• Asset management,• Human resources security,• Physical and environmental security,• Communications and operations

management,• Access control,• Information systems acquisition,

development and maintenance,• Information security incident management,• Business continuity management, and• Regulatory compliance


ISO/IEC 27002:2005

1


52

RISKAssessment

• Identification of assets and estimating theirvalue e.g., people, buildings, hardware, software,data (electronic, print, other), supplies

• Conduct a Threat assessment• Conduct a Vulnerability assessment

• Probability of being attacked• Evaluate policies, procedures, standards,

training, physical security, quality control,technical security

• Calculate the impact that each threat wouldhave on each asset

• Evaluate the effectiveness of the controlmeasures

• Cost effective protection without discernibleloss of productivity


ISO/IEC 27002:2005

2


54

RISKAssessment


NIST Cyber Security Framework

2

Protectionand

Resilience ofCritical

Infrastructure

1.IDENTIFY

2.PROTECT

3.DETECT

5.RESPONSE

4. RECOVER


55

(PROACTIVE)POLICY MANAGEMENT

(REACTIVE)MONITORING + RESPONSE

MISSION CRITICALASSETS

Protecting Areas


56

NIST Cybersecurity Framework (800-53)

Identify Protect Detect Respond Recover

AssetManagement Access Control Anomalies &

EventsResponsePlanning

RecoveryPlanning

BusinessEnvironment

Awareness &Training

Security &ContinuousMonitoring

Communications Improvements

Governance Data Security DetectionProcesses Analysis Communications

Risk Assessment Mitigation

RiskManagement

StrategyMaintenance Improvements

InformationProtection Processes

& Procedures

5Functions

21Categories

103 Sub-Categories

OPPORTUNITY FOR IMPROVEMENT


57

CIS Controls - Center for Internet SecurityCOBIT: Control Objectives for Information and Related - ISACANIST Special Publication 800-53: “Security and Privacy Controls for Federal Information Systems andOrganizations."

ISO/IEC 27001:2013 – Information technology –Information security management

58

Assessment and Maturity


59

EXAMPLE OF HARDWARE DETECTION SYSTEMDETECT


60

ALL ASSETS MUST BE EVALUATION & PROTECTED

ENTERPRISE ARCHITECTURE IS HIGHLY RECOMMENDEDFOR MID-LARGE ENTERPRISE

ENTERPRISE ARCHITECTURE IS HIGHLY RECOMMENDEDFOR MID-LARGE ENTERPRISE


63

Good Practices

3Governance

PCI-DSS 3.2, HIPAA, NACHA, SOC 1 & 2Type II, National Institute of Standards &Technology (NIST, NIST 800), ComputerSecurity Incident Response Team(CSIRT), Source code Scanning

Firewall, Network Intrusion Detection(IDS), Web Filtering, Virtual PrivateNetworking (VPN), Cloud Security, 24x7Monitoring

Network Security


66

System Security

Good Practices

3Data Protection

Data Loss Prevention (Endpoint,Storage & Network), Recovery PointObjective (RPO), Recovery TimeObjective (RTO), Encryption,Tokenization,

Patches, Anti-Virus, Malware, FileIntegrity Monitoring, Host basedIntrusion Detection, RogueApplications, Vulnerability Scanning


67

IT GOVERNANCE MUST BE ESTABLISHED

Compliance

InternalControl

Measure

ManagementControls

Inspection

Quality Control

Risk Management

Security

Financial Control

InternalAudit

GOVERNING BODY / AUDIT COMMITTEE

SENIOR MANAGEMENT

1st

Line of Defense2nd

Line of Defense3rd

Line of Defense

Ref: https://www.iia.org.uk/resources/audit-committees/governance-of-risk-three-lines-of-defence/

Recommend: ISO 38500 -> COBIT

69

CYBER SECURITYPEOPLE

PROCESS

TECHNOLOGY

CYBER SECURITYCopyright 2020 by Athisarn Wayuparb, Ph.D., CISA

71

60%attacks that occurred incompanies werecommitted bypeople from within theorganization.

Source: IBM

ATTA

CKER

S


72

IT- Business Strategy AlignmentBusinessStrategy• Scope• Goal• Capabilities• Governance

BusinessInfrastructure• Structure• Process• People + Skills

IT Strategy• Scope• Policies• IT Capabilities• Governance

IT Infrastructure• Backbone

CommunicationTechnologies

• EquipmentTechnologies

ENTERPRISE ARCHITECTURE IS HIGHLY RECOMMENDEDENTERPRISE ARCHITECTURE IS HIGHLY RECOMMENDEDCopyright 2020 by Athisarn Wayuparb, Ph.D., CISA

73

Addendum

74Violation Fine: 4% or 20 Million Euros

75

บทลงโทษมีท้ังโทษอาญา ทางแพง และทางปกครอง หากมี

การฝาฝนมีโทษจําคุกต้ังแต 6 เดือนถึง 1 ป และโทษปรับทาง

ปกครองต้ังแต 5 แสนบาท ถึง 5 ลานบาท

พ.ร.บ.คุมครองขอมูลสวนบุคคล

76

มาตรา ๘๑ ในกรณีที่ผูกระทาความผิดตามพระราชบัญญัตนิี้เปนนิติ

บุคคล

ถาการกระทําความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการ

กระทําของกรรมการหรือผูจัดการหรือบุคคลใดซึ่งรับผิดชอบในการ

ดําเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกลาวมีหนาที่

ตองส่ังการหรือกระทําการและละเวนไมส่ังการหรือไมกระทําการจนเปน

เหตุใหนิติบุคคลนั้นกระทําความผิด ผูนั้นตองรับโทษตามที่บัญญัติไว

สําหรับความผิดนั้น ๆ ดวย


77

มาตรา 23 ในการเก็บรวบรวมขอมูลสวนบุคคล ผูควบคุมขอมูลสวนบุคคลจะตองแจง

ใหเจาของขอมูลสวนบุคคลทราบกอนหรือในขณะเก็บรวบรวมขอมูลสวนบุคคลถงึ

รายละเอียด ดังตอไปน้ี

(1) วัตถุประสงคของการเก็บรวบรวม (Purpose)

(2) ขอมูลสวนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว ทั้งนี้

ในกรณีท่ีไมสามารถกําหนดระยะเวลาดังกลาวไดชดัเจน ใหกําหนดระยะเวลาท่ีอาจ

คาดหมายไดตามมาตรฐานของการเก็บรวบรวม (What & How long?)

(3) ประเภทของบุคคลหรือหนวยงานที่ซึ่งขอมูลสวนบุคคลที่เก็บรวบรวมอาจจะถูก

เปดเผย (Data Processors)

(4) ขอมูลเก่ียวกับผูควบคุมขอมูลสวนบุคคล สถานท่ีติดตอ และวิธีการติดตอ ในกรณี

ท่ีมีตัวแทนหรือเจาหนาท่ีคุมครองขอมูลสวนบุคคลใหแจงขอมูล สถานท่ีติดตอ และ

วิธีการติดตอของตัวแทนหรือเจาหนาท่ีคุมครองขอมูลสวนบุคคลดวย


78

**มาตรา 26 หามมิใหเก็บรวบรวมขอมูลสวนบุคคลเก่ียวกับเช้ือชาติ เผาพันธุ ความ

คิดเห็นทางการเมือง ความเช่ือในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติ

อาชญากรรม ขอมูลสุขภาพ ขอมูลสหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ

หรือขอมูลอื่นใดซึ่งกระทบตอเจาของขอมูลสวนบุคคลในทํานองเดียวกันตามท่ี

คณะกรรมการประกาศกําหนด โดยไมไดรับความยินยอมโดยชัดแจงจากเจาของขอมูล

สวนบุคคล


79

การใชหรือเปดเผยขอมูลสวนบุคคล**มาตรา 27 หามมิใหผูควบคุมขอมูลสวนบุคคลใชหรือเปดเผยขอมูลสวนบุคคล โดย

ไมไดรับความยินยอมจากเจาของขอมูลสวนบุคคล เวนแตเปนขอมูลสวนบุคคลท่ีเก็บ

รวบรวมไดโดยไดรับยกเวนไมตองขอความยินยอมตามมาตรา 24 หรือมาตรา 26

บุคคลหรือนิติบุคคลท่ีไดรับขอมูลสวนบุคคลมาจากการเปดเผยตามวรรคหน่ึง จะตอง

ไมใชหรือเปดเผยขอมูลสวนบุคคลเพื่อวตัถุประสงคอื่นนอกเหนือจากวัตถุประสงคท่ีได

แจงไวกับผูควบคุมขอมูลสวนบุคคลในการขอรับขอมูลสวนบุคคลนั้น


80

บทลงโทษ การใชหรือเปดเผยขอมูลสวนบุคคล - มีโทษทางอาญาและทาง

ปกครองมาตรา 26 โดยประการท่ีนาจะทําใหผูอ่ืนเกิดความเสียหาย เสียช่ือเสียง ถูกดูหม่ินถูก

เกลียดชัง หรือไดรับความอับอาย ตองระวางโทษจําคุกไมเกินหกเดือน หรือปรับไม

เกินหาแสนบาท หรือทั้งจําทั้งปรับ

- โทษปรับทางปกครองไมเกินหาลานบาท

ผูควบคุมขอมูลสวนบุคคลผูใดฝาฝนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือไม

ปฏิบัติตามมาตรา 28 อันเก่ียวกับขอมูลสวนบุคคลตามมาตรา 26 เพ่ือแสวงหา

ประโยชน ที่มิควรไดโดยชอบดวยกฎหมายสําหรับตนเองหรือผูอื่น ตองระวางโทษ

จําคุกไมเกินหนึ่งป หรือปรับไมเกินหนึ่งลานบาท หรือทั้งจําทั้งปรับ


81

Data Protection by Design– แต่งตัง้ Working Group ในองคก์ร– แต่งตัง้ DPO– กําหนดประเภทของขอ้มูลและมาตรการในการจัดการขอ้มลู– ทบทวน Data Protection Policy– ควรทบทวนการบริหารจัดการ Personal Data และหลักเกณฑ์การให้ความยินยอม

–ทบทวนกระบวนการเขา้ถึงแกไ้ขลบขอ้มูลเมื่อได้รับการร้องขอ


82

Data Protection by Design– ทบทวน life-cycleของการเก็บรักษาและทําลายขอ้มลู– จัดเตรียมขอ้ปฏิบัติการคุม้ครองขอ้มูลส่วนบุคคล– ทบทวนมาตรการคุม้ครองขอ้มูลส่วนบุคคลของประเทศทีมี่การโอนยา้ยขอ้มูลไป

– Documentมาตราการรักษาความมัน่คงปลอดภัยกับขอ้มูลส่วนบุคคล

– จัดอบรมให้กับบุคลากรพนักงานและเจ้าหนา้ที่– พัฒนาทักษะและกระบวนการตรวจสอบประเมิน (Audit)– Privacy by Design และSecurity by Design– พัฒนากระบวนการแจ้งเตือน(Breach Notification)– ได้รับงบประมาณและการสนับสนุนจากผูบ้ริหาร


86

By Athisarn Wayuparb, Ph.D., CISA

089-109-7113

Line: athisarn

Cyber Security & TQA Criteria - FTPI · 2020-01-14 · 1 Cyber Security & TQA Criteria By Athisarn...

Documents

Transcript of Cyber Security & TQA Criteria - FTPI · 2020-01-14 · 1 Cyber Security & TQA Criteria By Athisarn...