GC One Report 2023 [TH]

ปัจจัยความเสี่ยง มาตรการจัดการความเสี่ยงที่สำ�คัญ ปัจจัยความเสี่ยงด้านภัยคุกคามไซเบอร์ (Cyber Threat) ในปัจจุบันอาชญากรรมทางไซเบอร์ (Cyber Crime) มีรูปแบบการโจมตีและภัยคุกคาม ที่หลากหลาย และมีการนำ �วิธีการหรือ เทคโนโลยีใหม่ๆ เข้ามาใช้โจมตีผ่านช่องทาง ต่างๆ มากขึ้น ประกอบกับรูปแบบการดำ �เนิน ธุรกิจและสภาวะการแข่งขันที่เปลี่ยนแปลงไป ผลักดันให้องค์กรต้องนำ �เทคโนโลยีดิจิทัล เข้ามาช่วยเพิ่มประสิทธิภาพการทำ �งาน และยกระดับความสามารถในการแข่งขัน ซึ่งถือเป็นความเสี่ยงทางด้านดิจิทัลที่อาจเป็น การเพิ่มโอกาสที่บริษัทฯ จะถูกโจมตีทาง ด้านไซเบอร์ได้ บริษัทฯ บริหารจัดการความเสี่ยงทางด้านไซเบอร์ตามกรอบการด� ำเนินงาน The National Institute of Standards and Technology (NIST Framework) แบ่งออกเป็น 5 ด้าน ดังนี้ 1. การระบุประเด็นความเสี่ยง (Identify) ติดตามความเคลื่อนไหวและระวังภัยคุกคามใหม่ๆ ประเมินความเสี่ยง ทั้งในส่วนส� ำนักงานและระบบโรงงาน รวมทั้งท� ำการทดสอบมาตรการ รักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ รวมถึงการตรวจ ประเมินระบบและการตรวจสอบภายในเพื่อให้มั่นใจว่ามีการปฏิบัติตาม มาตรฐานด้านความปลอดภัยที่เกี่ยวข้องอย่างเคร่งครัด ก� ำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ทั้งข้อมูลธุรกิจ ขององค์กร และข้อมูลส่วนบุคคล โดยจัดให้มีการด� ำเนินการปกป้อง ข้อมูลและเฝ้าระวังการรั่วไหลของข้อมูล รวมถึงมีมาตรการจัดการเหตุ ละเมิดและการรั่วไหลของข้อมูลส่วนบุคคล 2. การป้องกันระบบขององค์กร (Protect) บังคับใช้ข้อก� ำหนด นโยบาย และแนวทางปฏิบัติ ที่เกี่ยวข้องกับความ มั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (Information Technology: IT) เทคโนโลยีด้านการปฏิบัติการ (Operational Technology: OT) และ การก� ำกับดูแลข้อมูล (Data Governance) เพื่อใช้เป็นแนวปฏิบัติส� ำหรับ บริษัทฯ และบริษัทในเครือ เตรียมความพร้อมระบบงานและเพิ่มมาตรการความปลอดภัยด้าน เทคโนโลยีสารสนเทศเพื่อสนับสนุนการท� ำงานแบบ Work From Anywhere รวมทั้งติดตั้งระบบป้องกัน เช่น Firewall, WAF, Data Protection System, Threat Intelligence การประเมินช่องโหว่ของ ระบบ เช่น Vulnerability Assessment, Web Application, Penetration Testing, Compromise Assessment, Penetration Testing และระบบยืนยันตัวตน 2 ขั้นตอน (2 Factors Authentication) เป็นต้น สร้างความตระหนักรู้ด้านความปลอดภัยไซเบอร์ เช่น การให้ความรู้เรื่อง แนวปฏิบัติ แนวทางการจัดการข้อมูล การป้องกันและกฎหมาย เทคโนโลยีสารสนเทศที่เกี่ยวข้อง ให้กับพนักงานทุกระดับอย่างต่อเนื่อง และจัดให้มีการท� ำ Phishing Test เพื่อประเมินความรู้ ความเข้าใจ ของพนักงาน และรับมือกับภัยคุกคาม 3. การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) ใช้ระบบการตรวจจับและเฝ้าระวังการโจมตีทางไซเบอร์ โดยใช้เทคโนโลยี Deception และ Endpoint Security Protection 4. การรับมือสถานการณ์ที่ผิดปกติ (Respond) ซ้อมแผนรับมือภัยคุกคามจากการโจมตีด้านไซเบอร์ และการกู้คืน ระบบสารสนเทศและระบบโรงงานเป็นประจ� ำ และปรับปรุงยกระดับแผน รับมือให้เหมาะสม เพื่อลดทอนความเสียหายที่อาจจะเกิดขึ้น 90

RkJQdWJsaXNoZXIy ODg4NTI=