การนำองค์กรในด้านการรักษาความมั่นคงทางไซเบอร์สำหรับผู้บริหารระดับสูงของธนาคารไทย
Main Article Content
บทคัดย่อ
ภัยคุกคามทางไซเบอร์ถือเป็นความเสี่ยงและส่งผลกระทบต่อการดำเนินธุรกิจของธนาคาร การรักษาความมั่นคงทางไซเบอร์จึงเป็นสิ่งสำคัญต่อธุรกิจของธนาคาร โดยที่ประสิทธิผลของการรักษาความมั่นคงไซเบอร์ขึ้นอยู่กับบทบาทในการนำองค์กรของผู้บริหารระดับสูงของธนาคารตลอดจนมีมาตรฐานและกฎระเบียบที่เกี่ยวข้องอยู่หลายประการ อย่างไรก็ตามยังไม่มีแนวทางและวิธีการปฏิบัติในการนำองค์กรอย่างมีประสิทธิผลที่กำหนดไว้ในมาตรฐานและกฎระเบียบเหล่านั้น งานวิจัยนี้จึงเสนอแนวทางในการนำองค์กร และวิธีการในการรักษาความมั่นคงทางไซเบอร์อย่างมีประสิทธิผล สำหรับผู้บริหารระดับสูงของธนาคาร โดยแนวทางในการนำองค์กรอย่างมีประสิทธิผลดำเนินการตาม Baldrige Cybersecurity Excellence Builder ส่วนวิธีการปฏิบัติตามแนวทางที่เสนอนั้นเรียบเรียงขึ้นจาก แนวทางการรักษาความมั่นคงทางไซเบอร์ของ NIST แนวทางการกำกับดูแลเทคโนโลยีสารสนเทศ COBIT5 มาตรฐานด้านความมั่นคงทางไซเบอร์ที่เกี่ยวข้อง 4 มาตรฐาน ได้แก่ ISO/IEC 27001:2013 CIS Control 7.1 ISA 62443-2-1-2009 และ NIST.SP.800-53 Revision 4 มาตรฐานระบบบริหารงานคุณภาพ ISO 9001:2015 และระเบียบปฏิบัติของธนาคารแห่งประเทศไทยตลอดจนกฎหมายที่เกี่ยวข้อง วิธีปฏิบัติตามแนวทางการนำองค์กรที่เรียบเรียงขึ้นจึงสอดคล้องกับมาตรฐานความมั่นคงทางไซเบอร์ ครอบคลุมแนวทางการนำองค์กรของผู้บริหารระดับสูงในเรื่อง การกำหนดภารกิจ วิสัยทัศน์ และค่านิยมที่เกี่ยวกับรักษาความมั่นคงทางไซเบอร์ที่ส่งผลครอบคลุมไปถึงผู้มีส่วนได้ส่วนเสียทั้งหมด การปฏิบัติตนให้แสดงถึงความมุ่งมั่นในการรักษาความมั่นคงทางด้านไซเบอร์อย่างจริงจัง การแสดงให้เห็นความมุ่งมั่นต่อการปฏิบัติตามกฎหมายและจริยธรรมความมั่นคงทางไซเบอร์อย่างเข้มงวด การสื่อสารและการสร้างความผูกพันกับผู้มีส่วนได้ส่วนเสีย การสร้างสภาพแวดล้อมเพื่อให้การดำเนินงานบรรลุผลตามนโยบายด้านความมั่นคงทางไซเบอร์ และการมุ้งเน้นให้การดำเนินการของธนาคารบรรลุวัตถุประสงค์ด้านความมั่นคงทางไซเบอร์ หากผู้บริหารระดับสูงของธนาคารปฏิบัติตามแนวทางและวิธีการที่นำเสนอนอกจากจะมั่นใจได้ว่าการจัดการการรักษาความมั่นคงทางไซเบอร์มีคุณภาพและเป็นไปตามมาตรฐานและแนวทางปฏิบัติด้านความมั่นคงทางไซเบอร์ที่ยอมรับกันทั่วไปแล้วยังช่วยให้มั่นใจได้ว่ามีการปฏิบัติตามระเบียบและกฎหมายที่เกี่ยวข้องอย่างครบถ้วน ส่งผลให้การรักษาความมั่นคงทางไซเบอร์เป็นไปอย่างมีประสิทธิผล
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
บทความที่ลงตีพิมพ์เป็นข้อคิดเห็นของผู้เขียนเท่านั้น
ผู้เขียนจะต้องเป็นผู้รับผิดชอบต่อผลทางกฎหมายใดๆ ที่อาจเกิดขึ้นจากบทความนั้น
References
X. M. Liu, “A risk-based approach to cybersecurity: A case study of financial messaging networks data breaches,” The Coastal Business Journal, vol. 18, no. 1, pp. 21–38, 2021.
I. Aldasoro, L. Gambacorta, P. Giudici, and T. Leach. (2020, Feb.). BIS Working Papers No 840: Operational and cyber risks in the financial sector [Online]. Available: https:// www.bis.org/publ/work840.pdf
ETDA. (2019). 2017–2018 ThaiCERT Annual Report. (2nd ed.). Electronic Transactions Development Agency. Bangkok, Thailand. [Online](in Thai). Available: https://www. etda.or.th/th/Useful-Resource/documentsfor- download/ThaiCERT-Annual-Report- 2017-2018-Thai-Version.aspx
H. Melissa “Leadership and responsibility for cybersecurity,”Georgetown Journal of International Affairs, Special Issue on International Engagement on Cyber 2012: Establishing Norms and Improving Security, pp. 71–80, 2012.
2019–2020 Baldrige Excellence Framework: Proven Leadership and Management Practices for High Performance, National Institute of Standards and Technology, 2019.
NIST. (2019). Baldrige Cybersecurity Excellence Builder: Key questions for improving your organization’s cybersecurity performance Version 1.1. [Online]. Available: https://www. nist.gov/document/baldrige-cybersecurityexcellence- builder-v11pdf
NIST. (2018, April 16). Framework for improving critical infrastructure cybersecurity Version 1.1 [Online]. Available: https://nvlpubs.nist.gov/ nistpubs/cswp/nist.cswp.04162018.pdf
International Organization for Standardization ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements, 2013.
Critical Security Controls V7.1, 2019.
Security for industrial automation and control systems Part 2-1: Establishing an Industrial Automation and Control Systems Security Program, ANSI/ISA-62443-2-1 (99.02.01), 2009.
NIST Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations, 2013.
International Organization for Standardization ISO 9001 Quality management system – Requirements, 2015.
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT (ISACA), 2012.
Bank of Thailand. (2021, December 30). Cyber Resilience Assessment Framework. [Online]. (in Thai). Available: https://www.bot.or.th/ Thai/FinancialInstitutions/PruReg_HB/FSI Notifications/Cyber%20resilience%20frame work%202019.pdf
Thailand government, “Cybersecurity Act, B.E. 2562,” 2019 (in Thai).
Thailand government, “Personal Data Protection Act, B.E. 2562,” 2019 (in Thai).
NIST. (2022, March). Three Organizations Win 2021 Baldrige Awards for Performance Excellence. [Online]. Available: https:// www.nist.gov/news-events/news/2022/03/ three-organizations-win-2021-baldrige-awardsperformance- excellence
H. Snyder, “Literature review as a research methodology: An overview and guidelines,” Journal of Business Research, vol. 104, pp. 333–339, 2019.
S. Cleveland and M. Cleveland, “Toward cybersecurity leadership framework,” in MWAIS 2018 Proceedings, Saint Louis, Missouri, 2018, pp. 1–5.