CISA D1.09 — What is a Control + 3 Methods: เครื่องมือที่จัดการกับ Risk

ลองนึกถึงธนาคารที่มีเงินสดจำนวนมากอยู่ใน vault

ธนาคารนั้นจะมีมาตรการหลายอย่างพร้อมกัน: ประตู vault ที่แข็งแรง (physical), ระบบ access card ที่จำกัดว่าใครเข้าได้ (technical), และนโยบายว่าต้องมีคนสองคนเสมอเมื่อเปิด vault (managerial)

ไม่มีอันไหนที่ “เพียงพอ” คนเดียว — ทั้งสามต้องทำงานร่วมกันเพื่อให้ทรัพย์สินนั้นปลอดภัย

นั่นคือตรรกะของ 3 General Control Methods ครับ

Controls คืออะไรจริงๆ?#

ก่อนจะลงลึกใน 3 methods สำคัญที่ต้องเข้าใจให้ชัดก่อน: control คืออะไร?

Control คือองค์ประกอบของ policies, procedures, practices และ organizational structures ที่ถูกติดตั้งเพื่อ ลด risk ให้กับองค์กร

และ Internal Controls คือ controls ที่ถูกพัฒนาขึ้นเพื่อให้ความเชื่อมั่นในระดับที่สมเหตุสมผลแก่ management ว่า:

วัตถุประสงค์ทางธุรกิจขององค์กรจะบรรลุผล
risks จะถูกป้องกัน หรือถูกตรวจพบและแก้ไข

สังเกตคำว่า “reasonable assurance” — ไม่ใช่ “absolute assurance” เพราะ internal control ทุกระบบมีข้อจำกัดในตัวเอง ไม่มีระบบใดที่รับประกัน 100% ว่าไม่มีปัญหาเกิดขึ้น

สองสิ่งที่ Controls ต้องตอบ#

Controls ที่ดีต้องออกแบบมาเพื่อตอบสองคำถาม:

What should be achieved — controls ต้องช่วยให้บรรลุวัตถุประสงค์
What should be prevented — controls ต้องป้องกันการกระทำที่ไม่ต้องการ

ทั้งสองมิตินี้ต้องอยู่ในระบบ control เสมอ control ที่ป้องกันเฉยๆ โดยไม่เอื้อให้ทำงานได้ก็เป็นปัญหา เพราะจะกลายเป็นอุปสรรคทางธุรกิจ

Control Activities เกิดขึ้นทุกระดับ#

Control activities ไม่ได้เกิดแค่ระดับ IT department — แต่เกิดทั่วทั้งองค์กร ในทุกระดับและทุกหน่วยงาน:

การให้การอนุมัติและการมอบอำนาจ
การตรวจสอบและกระทบยอด
การทบทวนผลการดำเนินงาน
การปกป้องทรัพย์สิน
การทำให้เกิด separation of duties

ทั้งหมดนี้คือ control activities ที่ทำงานต่อเนื่องอยู่

3 General Control Methods#

ISACA กำหนด 3 ประเภทของ control methods ที่ใช้ได้กับทุกส่วนขององค์กร

Managerial (Administrative) Controls#

Managerial Controls คือ controls ที่เกี่ยวกับการกำกับดูแล การรายงาน ขั้นตอนปฏิบัติ และการดำเนินงานของ process

สิ่งที่ทำให้ managerial controls แตกต่างคือมันไม่ได้ใช้ technology หรือสิ่งกีดขวางทางกายภาพ — มันใช้ organizational processes และการตัดสินใจของมนุษย์ เป็นกลไก

ตัวอย่างที่ชัดที่สุด:

Policies and procedures — เอกสารที่ระบุว่าควรทำอะไรอย่างไร
Accounting controls เช่น balancing — ตรวจสอบความถูกต้องผ่านการทบทวนโดยคน
Compliance and development controls — กระบวนการที่ทำให้มั่นใจว่ากิจกรรมต่างๆ เป็นไปตามข้อกำหนด

ในทางปฏิบัติ: Managerial controls เป็น “กระดูกสันหลัง” ของ control system ทั้งหมด เพราะ Technical และ Physical controls ก็ต้องอาศัย managerial controls เพื่อ ทำงานได้อย่างถูกต้อง

Technical (Logical) Controls#

Technical Controls คือ controls ที่ถูกจัดหาผ่าน technology, equipment หรือ devices

อีกชื่อหนึ่งที่ต้องรู้: Logical Controls — ชื่อนี้มักใช้ในบริบทของ CISA โดยเฉพาะ

ตัวอย่างที่ต้องจำ:

Firewall ruleset — กำหนดว่า traffic ไหนอนุญาต ไหนปฏิเสธ
Antivirus software — สแกนและตรวจหา malicious code
Intrusion Detection Systems (IDS) — เฝ้าระวังและแจ้งเตือนเมื่อพบสิ่งผิดปกติ
Encryption — ปกป้องข้อมูลทั้งขณะ at-rest และ in-transit

สิ่งสำคัญมากสำหรับ exam: Technical controls ต้องอาศัย Managerial controls เพื่อทำงานได้อย่างถูกต้อง

นี่เป็นจุดที่ CISA ชอบออกข้อสอบ และเป็นหลักการที่สำคัญมากในชีวิตจริงครับ

ลองดูตัวอย่างนี้: บริษัทไทยขนาดกลางลงทุน firewall ราคาแพง, IDS ที่ทันสมัย และ encryption ทุกชั้น แต่ไม่มี:

นโยบายว่าใครมีสิทธิ์ตั้งค่า firewall rules
ขั้นตอนสำหรับทบทวนและอัปเดต firewall rules เมื่อความต้องการทางธุรกิจเปลี่ยน
ความรับผิดชอบที่กำหนดชัดเจนว่าใครเฝ้าดู IDS alerts
การฝึกอบรมพนักงานว่าควรตอบสนองต่อ alert อย่างไร

ผลลัพธ์: firewall ที่มี rules ล้าสมัยเพราะไม่มีใครทบทวน, IDS ที่ส่ง alerts แต่ไม่มีใครตอบสนอง, encryption key ที่ไม่มีกระบวนการบริหารจัดการสำหรับการหมุนเวียน

สถานการณ์นี้เป็นอันตรายกว่าไม่มี technical controls เลยด้วยซ้ำ เพราะ management เชื่อว่า “เรามีระบบ security แล้ว” ทั้งที่จริงๆ ระบบเหล่านั้นไม่ได้ทำงาน — นั่นคือ “false sense of security” ที่ ISACA เตือนครับ

กฎที่ต้องจำ: Technical control ที่ดีที่สุดก็ใช้งานไม่ได้ถ้าขาด managerial control ที่รองรับ

Physical Controls#

Physical Controls คือ controls ที่จำกัดการเข้าถึงสถานที่หรือ hardware ด้วยวิธีทางกายภาพ

ตัวอย่าง:

Surveillance solutions — cameras, motion sensors
Closed-circuit TV (CCTV) — เฝ้าระวังและบันทึก
Administration controls — security guards, visitor logs, access badges

Physical controls ต้องการการบำรุงรักษา การเฝ้าระวัง และความสามารถในการตอบสนองต่อ alerts ด้วย — มันไม่ใช่แค่ติดตั้งแล้วจบ

ทำไมต้องมีทั้งสาม?#

นี่คือกับดักข้อสอบที่มักออกมาในรูปแบบ “ควรเลือก control ประเภทไหน?” — คำตอบที่ถูกต้องเสมอคือ ความสมดุลที่เหมาะสมของทั้งสาม

Control Method	ลดความเสี่ยงด้านไหน	ตัวอย่าง
Managerial	Unauthorized processes, Policy violations	SoD policy, Approval workflows
Technical	Unauthorized access, System vulnerabilities	Firewall, Encryption, IDS
Physical	Unauthorized physical access	CCTV, Access badges, Security guards

ถ้ามีแต่ Technical controls แต่ไม่มี Physical — คนสามารถเดินเข้าไปถึง server โดยตรงได้ ถ้ามีแต่ Physical controls แต่ไม่มี Technical — การเข้าถึง network ไม่ถูกจำกัด ถ้ามีแต่ Policy (Managerial) แต่ไม่มี Technical และ Physical — นโยบายมีอยู่บนกระดาษแต่ไม่มีกลไกบังคับใช้

IS-Specific Control Objectives: จาก General สู่ IT Context#

Control objectives ใน IS environment ไม่ได้แตกต่างจาก manual environment ในแง่ของ “what they want to achieve” — แต่ วิธีที่จะบรรลุ นั้นอาจต่างกัน

ตัวอย่าง IS-specific control objectives ที่ ISACA กำหนด:

Safeguard information assets (ข้อมูลต้องถูกเข้าถึงเฉพาะคนที่มีสิทธิ์)
Ensure SDLC processes ทำงานถูกต้อง (development process มี controls ในทุกขั้นตอน)
Ensure availability และ reliability ของ IS
Ensure appropriate authentication ของ users
ปฏิบัติตามข้อกำหนดทางกฎหมายและข้อบังคับ

สิ่งที่ IS auditor ต้องทำ: เข้าใจว่า general control objectives เหล่านี้ถูกแปลงไปสู่ IS-specific control procedures ได้ยังไง

มุมผู้บริหาร: Balance ของ Controls คือการลงทุน ไม่ใช่ต้นทุน#

มีความเข้าใจผิดที่ผมเจอบ่อยมากในองค์กรขนาดกลางคือ มองว่า controls เป็น “ต้นทุนแฝง” ที่ลดประสิทธิภาพ — โดยเฉพาะ managerial controls เช่น กระบวนการอนุมัติที่ทำให้งานช้าลง

แต่มุมมองนั้นมองแค่แรงเสียดทานระยะสั้น ไม่ได้มอง risk ระยะยาว

องค์กรที่สมดุล controls ได้ดี จะเจอปัญหาน้อยกว่าเพราะ:

ปัญหาถูกจับได้ก่อนที่จะกลายเป็นเหตุการณ์ใหญ่
ความรับผิดชอบชัดเจนว่าใครรับผิดชอบอะไร
External auditor (และ regulator) ตรวจสอบ compliance ได้ง่ายกว่า

ตัวอย่างที่ ISACA ยกมาน่าคิด: การติดตั้ง technical control อย่าง firewall โดยไม่มี managerial controls ที่ดี (การฝึกอบรม ขั้นตอนปฏิบัติ ตารางการเฝ้าระวัง) ทำให้เกิด “false sense of security” ซึ่งอันตรายกว่าการไม่มี control เลยด้วยซ้ำ เพราะคนในองค์กรจะคิดว่าปลอดภัยทั้งที่ไม่ใช่

ตอนนี้เราเข้าใจแล้วว่า controls คืออะไรและมีกี่ประเภทหลัก แต่ยังมีมิติที่สำคัญมากๆ ที่ยังไม่ได้พูดถึง: controls ทำงาน “ตอนไหน” ในวงจรของ risk? นั่นคือ timing classification ที่เป็นหัวใจของ D1.10

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.4 Types of Controls and Considerations