CISOs ควรปรับแนวคิดเรื่องความเสี่ยงจากผู้ให้บริการหรือไม่? — เมื่อ AI และบริการภายนอกซับซ้อนขึ้น
บทความจาก CSO Online ชี้ให้เห็นว่าผู้บริหารด้านความปลอดภัย (CISO) กำลังเผชิญกับความท้าทายใหม่ในการจัดการความเสี่ยงจากผู้ให้บริการภายนอก (MSP/MSSP) โดยเฉพาะเมื่อบริการเหล่านี้มีความสำคัญและซับซ้อนมากขึ้น เช่น การจัดการระบบคลาวด์, AI, และศูนย์ปฏิบัติการด้านความปลอดภัย (SOC)
ความเสี่ยงที่เพิ่มขึ้น
47% ขององค์กรพบเหตุการณ์โจมตีหรือข้อมูลรั่วไหลจาก third-party ภายใน 12 เดือน
บอร์ดบริหารกดดันให้ CISO แสดงความมั่นใจในความปลอดภัยของพันธมิตร
การตรวจสอบผู้ให้บริการกลายเป็นภาระหนักทั้งต่อองค์กรและผู้ให้บริการ
ความซับซ้อนของบริการ
MSP/MSSP ไม่ใช่แค่ให้บริการพื้นฐาน แต่รวมถึง threat hunting, data warehousing, AI tuning
การประเมินความเสี่ยงต้องครอบคลุมตั้งแต่ leadership, GRC, SDLC, SLA ไปจนถึง disaster recovery
ความสัมพันธ์มากกว่าการตรวจสอบ
CISOs ควรเริ่มจากการสร้างความสัมพันธ์ก่อน แล้วจึงเข้าสู่การประเมินอย่างเป็นทางการ
การสนทนาเปิดเผยช่วยสร้างความไว้วางใจมากกว่าการกรอกแบบฟอร์ม
คำถามแนะนำสำหรับการประเมินผู้ให้บริการ
ใครรับผิดชอบด้าน cybersecurity และรายงานต่อใคร?
มีการใช้ framework ใด และตรวจสอบอย่างไร?
มีการทดสอบเชิงรุก เช่น pen test, crisis drill หรือไม่?
มีการฝึกอบรมพนักงานด้านภัยคุกคามหรือไม่?
บทบาทของ AI
AI เพิ่มความเสี่ยงใหม่ แต่ก็ช่วยตรวจสอบพันธมิตรได้ดีขึ้น
มีการติดตามการรับรอง ISO 42001 สำหรับ AI governance
GenAI สามารถช่วยค้นหาข้อมูลสาธารณะของผู้ให้บริการเพื่อยืนยันความน่าเชื่อถือ
ข้อเสนอแนะสำหรับ CISOs
เปลี่ยนจาก “แบบสอบถาม” เป็น “บทสนทนา” เพื่อเข้าใจความคิดของพันธมิตร
มองความเสี่ยงเป็น “ความรับผิดชอบร่วม” ไม่ใช่แค่การโยนภาระ
ใช้ AI เพื่อเสริมการตรวจสอบ ไม่ใช่แทนที่การประเมินเชิงมนุษย์
https://www.csoonline.com/article/4075982/do-cisos-need-to-rethink-service-provider-risk.html
บทความจาก CSO Online ชี้ให้เห็นว่าผู้บริหารด้านความปลอดภัย (CISO) กำลังเผชิญกับความท้าทายใหม่ในการจัดการความเสี่ยงจากผู้ให้บริการภายนอก (MSP/MSSP) โดยเฉพาะเมื่อบริการเหล่านี้มีความสำคัญและซับซ้อนมากขึ้น เช่น การจัดการระบบคลาวด์, AI, และศูนย์ปฏิบัติการด้านความปลอดภัย (SOC)
ความเสี่ยงที่เพิ่มขึ้น
47% ขององค์กรพบเหตุการณ์โจมตีหรือข้อมูลรั่วไหลจาก third-party ภายใน 12 เดือน
บอร์ดบริหารกดดันให้ CISO แสดงความมั่นใจในความปลอดภัยของพันธมิตร
การตรวจสอบผู้ให้บริการกลายเป็นภาระหนักทั้งต่อองค์กรและผู้ให้บริการ
ความซับซ้อนของบริการ
MSP/MSSP ไม่ใช่แค่ให้บริการพื้นฐาน แต่รวมถึง threat hunting, data warehousing, AI tuning
การประเมินความเสี่ยงต้องครอบคลุมตั้งแต่ leadership, GRC, SDLC, SLA ไปจนถึง disaster recovery
ความสัมพันธ์มากกว่าการตรวจสอบ
CISOs ควรเริ่มจากการสร้างความสัมพันธ์ก่อน แล้วจึงเข้าสู่การประเมินอย่างเป็นทางการ
การสนทนาเปิดเผยช่วยสร้างความไว้วางใจมากกว่าการกรอกแบบฟอร์ม
คำถามแนะนำสำหรับการประเมินผู้ให้บริการ
ใครรับผิดชอบด้าน cybersecurity และรายงานต่อใคร?
มีการใช้ framework ใด และตรวจสอบอย่างไร?
มีการทดสอบเชิงรุก เช่น pen test, crisis drill หรือไม่?
มีการฝึกอบรมพนักงานด้านภัยคุกคามหรือไม่?
บทบาทของ AI
AI เพิ่มความเสี่ยงใหม่ แต่ก็ช่วยตรวจสอบพันธมิตรได้ดีขึ้น
มีการติดตามการรับรอง ISO 42001 สำหรับ AI governance
GenAI สามารถช่วยค้นหาข้อมูลสาธารณะของผู้ให้บริการเพื่อยืนยันความน่าเชื่อถือ
ข้อเสนอแนะสำหรับ CISOs
เปลี่ยนจาก “แบบสอบถาม” เป็น “บทสนทนา” เพื่อเข้าใจความคิดของพันธมิตร
มองความเสี่ยงเป็น “ความรับผิดชอบร่วม” ไม่ใช่แค่การโยนภาระ
ใช้ AI เพื่อเสริมการตรวจสอบ ไม่ใช่แทนที่การประเมินเชิงมนุษย์
https://www.csoonline.com/article/4075982/do-cisos-need-to-rethink-service-provider-risk.html
🛡️🤝 CISOs ควรปรับแนวคิดเรื่องความเสี่ยงจากผู้ให้บริการหรือไม่? — เมื่อ AI และบริการภายนอกซับซ้อนขึ้น
บทความจาก CSO Online ชี้ให้เห็นว่าผู้บริหารด้านความปลอดภัย (CISO) กำลังเผชิญกับความท้าทายใหม่ในการจัดการความเสี่ยงจากผู้ให้บริการภายนอก (MSP/MSSP) โดยเฉพาะเมื่อบริการเหล่านี้มีความสำคัญและซับซ้อนมากขึ้น เช่น การจัดการระบบคลาวด์, AI, และศูนย์ปฏิบัติการด้านความปลอดภัย (SOC)
📈 ความเสี่ยงที่เพิ่มขึ้น
🎗️ 47% ขององค์กรพบเหตุการณ์โจมตีหรือข้อมูลรั่วไหลจาก third-party ภายใน 12 เดือน
🎗️ บอร์ดบริหารกดดันให้ CISO แสดงความมั่นใจในความปลอดภัยของพันธมิตร
🎗️ การตรวจสอบผู้ให้บริการกลายเป็นภาระหนักทั้งต่อองค์กรและผู้ให้บริการ
🧠 ความซับซ้อนของบริการ
🎗️ MSP/MSSP ไม่ใช่แค่ให้บริการพื้นฐาน แต่รวมถึง threat hunting, data warehousing, AI tuning
🎗️ การประเมินความเสี่ยงต้องครอบคลุมตั้งแต่ leadership, GRC, SDLC, SLA ไปจนถึง disaster recovery
🤝 ความสัมพันธ์มากกว่าการตรวจสอบ
🎗️ CISOs ควรเริ่มจากการสร้างความสัมพันธ์ก่อน แล้วจึงเข้าสู่การประเมินอย่างเป็นทางการ
🎗️ การสนทนาเปิดเผยช่วยสร้างความไว้วางใจมากกว่าการกรอกแบบฟอร์ม
🧪 คำถามแนะนำสำหรับการประเมินผู้ให้บริการ
🎗️ ใครรับผิดชอบด้าน cybersecurity และรายงานต่อใคร?
🎗️ มีการใช้ framework ใด และตรวจสอบอย่างไร?
🎗️ มีการทดสอบเชิงรุก เช่น pen test, crisis drill หรือไม่?
🎗️ มีการฝึกอบรมพนักงานด้านภัยคุกคามหรือไม่?
🤖 บทบาทของ AI
🎗️ AI เพิ่มความเสี่ยงใหม่ แต่ก็ช่วยตรวจสอบพันธมิตรได้ดีขึ้น
🎗️ มีการติดตามการรับรอง ISO 42001 สำหรับ AI governance
🎗️ GenAI สามารถช่วยค้นหาข้อมูลสาธารณะของผู้ให้บริการเพื่อยืนยันความน่าเชื่อถือ
✅ ข้อเสนอแนะสำหรับ CISOs
➡️ เปลี่ยนจาก “แบบสอบถาม” เป็น “บทสนทนา” เพื่อเข้าใจความคิดของพันธมิตร
➡️ มองความเสี่ยงเป็น “ความรับผิดชอบร่วม” ไม่ใช่แค่การโยนภาระ
➡️ ใช้ AI เพื่อเสริมการตรวจสอบ ไม่ใช่แทนที่การประเมินเชิงมนุษย์
https://www.csoonline.com/article/4075982/do-cisos-need-to-rethink-service-provider-risk.html
0 Comments
0 Shares
15 Views
0 Reviews
Thai