IT and Cyber Risk Management 101 - TGIA x Incognito Lab Webminar

สืบเนื่องจากทางบริษัท อินค็อกนิโตแล็บ จำกัด ได้รับเกียรติจากทางสมาคมประกันวินาศภัยไทย เพื่อบรรยายในหัวข้อ “การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT & Cyber Risk Management) 101” ในวันอังคารที่ 7 กันยายน 2564 เวลา 09.00 – 12.00 น. ผ่านช่องทางสัมมนาออนไลน์ ทั้งจากบทความก่อนหน้านี้ที่ทางผู้เขียนได้เล่าถึงประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย(อ่านบทความเดิมได้ที่นี่) “เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของบริษัทประกันชีวิตและประกันวินาศภัย พ.ศ. 2563” โดยสามารถสรุปใจความสำคัญได้ดังต่อไปนี้

ในงานดังกล่าวทางผู้เชี่ยวชาญ บริษัท อินค็อกนิโตแล็บ จำกัด คุณวุทธินันท์ ตันสุคตานนท์ Senior Consultant/Senior Lead Auditor ได้บรรยายเกี่ยวกับตัวประกาศฉบับนี้ พร้อมทั้งอธิบายแนวทางการกำหนดกลยุทธ์เพื่อแต่ละบริษัทประกันสามารถวางแผนเพื่อปฏิบัติตามประกาศดังกล่าวตามบริบทของแต่ละบริษัท โดยให้พิจารณาเริ่มต้นจาก 3 องค์ประกอบต่อไปนี้

1. การสนับสนุนจากผู้บริหารระดับสูง (Leadership) ในการกำหนดโครงการที่ชัดเจนให้สอดคล้องตามประกาศฯ และการกำหนดและประกาศใช้นโยบายที่เกี่ยวข้องทั้ง 2 ฉบับ นโยบายบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ และนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ
2. ทรัพยากรขององค์กร (Resource) การพิจารณาดำเนินการตามทรัพยากรของบริษัท โดยเลือกพิจารณาให้สอดคล้องเพื่อกำหนดให้ชัดเจนในการดำเนินการในแต่ละหมวด
3. การเตรียมการติดตามการกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Maintain the program) เพื่อวางแผนระยะยาวในการธำรงรักษาการดำเนินงานที่สอดคล้องกับทั้ง 8 หมวด ตามประกาศฯ เพื่อมั่นใจได้ว่าบริษัทจะมีระดับของมาตรการควบคุมที่เหมาะสม และมีการดำเนินการอย่างต่อเนื่องไม่ย่อหย่อน

อนึ่งจากการบรรยาย คุณวุทธินันท์ ได้กล่าวถึง Cybersecurity roadmap for Insurance companies

โดยอธิบายถึงแนวทางการกำหนดกลยุทธ์แต่ละหมวดให้สอดคล้องตามโครงการการดำเนินงานในรูปแบบ Three line of defense โดยจะให้ความสำคัญไปในกิจกรรมที่จำเป็นต้องดำเนินการ เช่นการเตรียมการด้านการตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit) ตามคู่มือการตรวจสอบตามประกาศฯ ฉบับนี้ โดยทางสำนักงาน คปภ. กำหนดให้ทุกบริษัทประกันในประเทศไทยต้องนำส่ง รายงานการตรวจสอบทุกปี โดยมีกำหนดส่งภายในมกราคมของปีถัดไป และในหมวดอื่นๆ โดยแนวทางให้กำหนดกิจกรรมที่จำเป็นขึ้นมาดำเนินการก่อน

และในช่วงของการบรรยาย คุณวุทธินันท์ ได้อธิบายถึงการกำหนดแผนการดำเนินงานอย่างเร่งด่วนเพื่อให้บริษัทสามารถดำเนินงานตามประกาศฯ  โดยแบ่งเป็นการดำเนินงานได้ 4 stage ดังต่อไปนี้

1. Organization การกำหนดโครงการการดำเนินงานของบริษัทให้สอดคล้องกับประกาศ ในลักษณะ Three line of defense
2. Current Profile การประเมินความพร้อมของบริษัท เพื่อทราบระดับการดำเนินงานของบริษัทในปัจจุบัน และกำหนดแผนที่ชัดเจนในการปรับปรุงการดำเนินงานของบริษัทให้สอดคล้องครบถ้วนตามประกาศ โดยอาจจะพิจารณาจัดทำ Gap assessment หรือการตรวจตาม Audit manual ของสำนักงาน คปภ.
3. Implementation การดำเนินการเพื่อให้บริษัทดำเนินกิจกรรมให้สอดคล้องกับข้อกำหนดในประกาศฯ ทั้งนี้ข้อจำกัดแต่ละบริษัทไม่เหมือนกัน ระยะเวลาในการดำเนินการก็จะแตกต่างกันออกไปตามความพร้อมและบริบทของแต่ละบริษัท
4. Maintenance การธำรงรักษาการดำเนินตามข้อกำหนดประกาศฯ แต่ละบริษัทต้องมีการวางแผนในการติดตามการดำเนินงานตามประกาศฯ ทั้งหมดอย่างชัดเจน เพื่อมั่นใจได้ว่ากิจกรรมที่เกิดขึ้นแต่ละหมวดบริษัทมีการดำเนินการอย่างต่อเนื่องและสอดคล้องตามประกาศ

ที่ผู้เขียนอธิบายไปข้างต้นนี้เป็นข้อมูลส่วนหนึ่งจากการบรรยายในวันที่ 7 กันยายน 2564 ที่ผ่านมา หากท่านต้องการเอกสารการบรรยายสามารถดาวน์โหลดข้อมูลได้ที่ด้านล่างของบทความนี้

หากท่านสนใจบริการที่ปรึกษา บริการด้านการตรวจสอบ และบริการด้านการเทคนิค (Vulnerability & Penetration testing) รวมถึงบริการด้านการจัดฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ (Cybersecurity awareness training) สามารถติดต่อเราได้ที่ [email protected] หรือ 090-642-8988