CISA D1.10 — Control Classifications: เลือก Control ให้ตรงกับ Timing

สมมติว่าคุณเป็นเจ้าของบ้าน และต้องการปกป้องบ้านจากการโจรกรรม

คุณอาจติดตั้งป้าย “บ้านนี้มีกล้องวงจรปิด” (ยับยั้งแบบ Deterrent), ใส่กุญแจหลายชั้น (ป้องกันแบบ Preventive), ติดกล้อง CCTV ที่บันทึกตลอดเวลา (Detective ถ้าเกิดอะไรขึ้นก็รู้), เตรียมประกันภัย (Compensating ถ้าถูกขโมยไปแล้ว), และมีแผนติดต่อตำรวจทันที (Corrective เมื่อเหตุการณ์เกิด)

ทุก control เหล่านั้นมีเป้าหมายเดียวกัน — ปกป้องบ้าน — แต่ทำงาน คนละช่วงเวลาในวงจรของ threat

นั่นคือตรรกะของ Control Classifications ครับ

5 Classifications: ทำงาน Timing ไหน?#

ISACA กำหนด 5 control classifications หลัก ที่แต่ละอย่างระบุว่า control นั้นทำงาน before, during หรือ after threat event

Preventive Controls — หยุดก่อนเกิด#

Preventive Controls ทำหน้าที่ ยับยั้งหรือเปิดเผย ความพยายามที่จะละเมิดนโยบายความปลอดภัย

กล่าวง่ายๆ: ป้องกันไม่ให้ threat event เกิดขึ้นตั้งแต่แรก

ตัวอย่างที่ ISACA กำหนด:

Encryption — ป้องกันไม่ให้ข้อมูลถูกอ่านแม้จะถูกดักจับ
User authentication — ป้องกันไม่ให้คนที่ไม่มีสิทธิ์เข้าสู่ระบบ
Vault construction doors — ป้องกันการเข้าถึงทางกายภาพโดยตรง

Preventive controls เป็นประเภทที่ แข็งแกร่งที่สุด ในการลดความเสี่ยง เพราะหยุด threat event ได้ก่อนที่จะเกิดผลกระทบใดๆ

Deterrent Controls — ลด Likelihood ก่อนเกิด#

Deterrent Controls ทำหน้าที่ ยับยั้งการละเมิด — ไม่ได้หยุดโดยตรง แต่ทำให้ผู้ที่อาจเป็น threat actor คิดหนักก่อนจะลงมือ

ตัวอย่าง:

Warning banners on login screens — “การเข้าถึงโดยไม่ได้รับอนุญาตจะถูกดำเนินคดี” → ทำให้ผู้โจมตีรู้ว่าเขาจะถูกติดตาม
Security cameras (ที่มองเห็นชัดเจน) — การมีอยู่ของกล้องทำให้คนคิดก่อนจะทำอะไรผิด
Rewards for arrest of hackers — ส่งสัญญาณว่าองค์กรจริงจังกับเรื่องความปลอดภัย

Deterrent ต่างจาก Preventive ตรงที่: Deterrent ไม่ได้หยุด threat ทางกายภาพ — แต่ ลดแรงจูงใจ ของ threat actor ที่จะลงมือต่อ

Detective Controls — รู้เมื่อเกิดแล้ว#

Detective Controls ให้คำเตือนหรือข้อมูลเกี่ยวกับ event เมื่อมันเกิดขึ้นแล้ว โดยไม่ได้ยับยั้งหรือกระทบกับการกระทำนั้นเอง

ตัวอย่างที่ ISACA กำหนด:

Audit trails — บันทึกทุกการกระทำที่เกิดในระบบ ใช้สืบสวนหลังจากเกิดเหตุการณ์
Intrusion Detection Systems (IDS) — ตรวจจับและแจ้งเตือนเมื่อมีกิจกรรมผิดปกติ (⭐ ดูหัวข้อถัดไป)
Checksums — ตรวจจับว่าข้อมูลถูกแก้ไขหรือเสียหายหรือเปล่า

Detective controls ไม่ได้ป้องกัน threat event — แต่ทำให้องค์กร รู้ว่ามันเกิดขึ้น เพื่อจะสามารถตอบสนองได้

Corrective Controls — แก้ไขหลังจากเกิด#

Corrective Controls ทำหน้าที่ เยียวยา ข้อผิดพลาด การละเลย หรือการใช้งานที่ไม่ได้รับอนุญาตและการบุกรุก หลังจากที่ตรวจจับได้แล้ว

ตัวอย่าง:

Data backups — กู้คืนข้อมูลที่สูญหายหรือเสียหาย
Error correction procedures — กระบวนการแก้ไขข้อผิดพลาดที่พบ
Incident response procedures — ขั้นตอนตอบสนองต่อเหตุการณ์ด้านความปลอดภัย

Corrective controls ทำงาน after threat event เกิดและหลังจาก detective controls ตรวจพบ

Compensating Controls — ทดแทนเมื่อ Primary Control ทำไม่ได้#

Compensating Controls ทำหน้าที่ ชดเชย จุดอ่อนหรือข้อบกพร่องในโครงสร้าง control ขององค์กร — มักเกิดขึ้นเพราะ baseline controls ไม่สามารถบรรลุข้อกำหนดที่ระบุไว้ได้เนื่องจากข้อจำกัดทางเทคนิคหรือทางธุรกิจที่ชอบธรรม

ตัวอย่าง:

วางระบบที่ไม่ปลอดภัยบน isolated network segment ที่มี perimeter security ที่แข็งแกร่ง
เพิ่ม third-party challenge-response mechanisms สำหรับอุปกรณ์ที่ไม่รองรับการล็อกอินแบบดิจิทัล

สิ่งสำคัญที่ต้องจำ: Compensating control ต้องสามารถบรรลุ ผลลัพธ์เดียวกัน กับ control ที่ออกแบบมาเดิม ไม่ใช่แค่ “มีบางอย่างอยู่” เพื่อขีดให้ครบช่อง

⭐ IDS Trap: Detective ไม่ใช่ Preventive#

นี่คือกับดักข้อสอบที่ออกบ่อยที่สุดใน CISA ที่เกี่ยวกับ control classifications ครับ

Intrusion Detection System (IDS) — ฟังชื่อแล้วอาจคิดว่าเป็น preventive เพราะ “detection ก่อนที่จะเกิดปัญหา” แต่ ตามนิยาม ISACA: IDS เป็น Detective Control

ทำไม? เพราะ IDS ไม่ได้หยุด การบุกรุก — มัน ตรวจจับและแจ้งเตือน ว่ามีความผิดปกติเกิดขึ้น

IDS ทำให้คนรู้ว่า “มีบางอย่างผิดปกติ” แต่ไม่ได้บล็อกการเข้าถึงหรือป้องกันผู้บุกรุกจากการเข้าถึงระบบ

เปรียบเทียบ:

Firewall = Preventive (บล็อก traffic ก่อนเข้า)
IDS = Detective (ตรวจจับ traffic ที่ผิดปกติและแจ้งเตือน)
IPS (Intrusion Prevention System) = Preventive (บล็อก traffic ที่ตรวจพบ)

ถ้าเจอคำถามเกี่ยวกับ IDS ใน CISA exam — คำตอบคือ Detective เสมอ

ตารางสรุป: 5 Classifications + เวลาที่ทำงาน#

Classification	ทำงานเมื่อไหร่	หยุด/แก้ได้?	ตัวอย่าง
Preventive	before threat event	หยุด threat	Encryption, Authentication, Vault door
Deterrent	before threat event	ลดแรงจูงใจ	Warning banners, Visible cameras
Detective	during/after threat event	ไม่หยุด แต่รู้	Audit trails, IDS, Checksums
Corrective	after threat event ถูก detect	แก้ไขผลกระทบ	Backups, Error correction, Incident response
Compensating	แทนที่ control ที่ทำไม่ได้	ทดแทน baseline	Isolated network segments

ความเชื่อมโยงระหว่าง Classifications: Sequence Logic#

Control classifications ไม่ได้ทำงานแยกกัน — แต่เสริมกันเป็น layered defense ที่มีลำดับตรรกะชัดเจน

ลองดูว่า threat journey ผ่าน control layers อย่างไร:

ขั้น 1 — Deterrent: ลด likelihood ก่อน threat actor จะลงมือ

ป้าย “บ้านนี้มีกล้องวงจรปิดตลอด 24 ชั่วโมง” ทำให้ขโมยส่วนหนึ่งเปลี่ยนใจเดินผ่านไปเลย ไม่ต้องมีอะไรเกิดขึ้นจริงๆ เพียงแค่ส่งสัญญาณว่า “จะถูกจับได้” ก็พอ

ในโลก IS: warning banner บนหน้าล็อกอิน หรือการแจ้งเตือนการเฝ้าระวังที่มองเห็นได้ ทำหน้าที่นี้

ขั้น 2 — Preventive: หยุด threat ที่ตัดสินใจลงมือแล้ว

ขโมยที่ยังอยากลองดูเจอกุญแจ 3 ชั้น ประตูกระจกนิรภัย และ keypad access — ถูกหยุดก่อนเข้าได้จริง

ในโลก IS: strong authentication, encryption, access control lists ทำหน้าที่นี้

ขั้น 3 — Detective: รู้ว่ามีบางอย่างผ่าน Preventive มาได้

ขโมยที่มีกุญแจมาสเตอร์ (insider threat หรือ compromised credentials) เข้าไปได้ — แต่กล้อง CCTV บันทึกไว้ทุกอย่าง IDS ส่งการแจ้งเตือนว่ามีการเข้าถึงผิดปกติ

ในโลก IS: audit trails, IDS, anomaly detection ทำหน้าที่นี้ นี่คือจุดตรวจที่สำคัญที่สุดเพราะ Preventive ไม่เคยสมบูรณ์ 100%

ขั้น 4 — Corrective: แก้ความเสียหายหลัง Detective เตือนแล้ว

หลังรู้ว่าของถูกขโมยไป — เคลมประกัน, กู้คืนของที่เสียหาย, เปลี่ยนกุญแจใหม่ทุกชุด

ในโลก IS: กู้คืนจาก backup, แพตช์ช่องโหว่, เพิกถอน accounts ที่ถูก compromise ทำหน้าที่นี้

Compensating ทำงานต่างออกไป:

Compensating ไม่ได้อยู่ในลำดับนี้ แต่ทำงาน “แทน” control ใด control หนึ่งที่ทำไม่ได้ เหมือนกับถ้าประตูหน้าไม่สามารถติดกุญแจได้เพราะข้อจำกัดด้านการออกแบบ — ก็ต้องมียามรักษาความปลอดภัยนั่งประจำแทน ได้ผลเทียบเท่ากัน วิธีการต่างกัน

ทำไมลำดับนี้สำคัญสำหรับ IS auditor?

เวลา IS auditor ประเมินสภาพแวดล้อมของ control — ไม่ใช่แค่ขีดเช็คว่า “มี controls มั้ย” แต่ต้องดูว่า control layers ทำงานเสริมกันครบทุกขั้นหรือเปล่า

องค์กรที่มีแต่ Preventive controls (firewall ดีมาก, authentication แข็งแกร่ง) แต่ขาด Detective controls อย่าง audit trails หรือ log monitoring — นั่นคือช่องว่างที่มีนัยสำคัญ เพราะถ้า Preventive ล้มเหลวครั้งเดียว ไม่มีใครรู้เลยว่ามีเหตุการณ์ละเมิดเกิดขึ้นแล้ว

นั่นคือสิ่งที่ IS auditor ต้องชี้ในรายงาน ไม่ใช่แค่บอกว่า “มี controls” แต่ต้องบอกว่าความครอบคลุมของ control ครอบคลุม threat lifecycle ได้แค่ไหนครับ

ความแตกต่างที่ CISA ชอบทดสอบ#

นอกจาก IDS trap ยังมีความแตกต่างอื่นที่มักออกในรูปแบบคำถามแบบ scenario:

Preventive vs. Deterrent:

ทั้งสองทำงาน “before” threat event แต่ต่างกัน
Preventive หยุด ทางกายภาพ (เช่น ประตูล็อกหยุดคนไม่ให้เข้า)
Deterrent ลด likelihood ผ่านผลทางจิตวิทยา (เช่น กล้องที่มองเห็นได้ทำให้ไม่กล้าพยายาม)

Detective vs. Corrective:

ทั้งสองทำงาน “after” แต่ต่างกัน
Detective รู้ว่าเกิดอะไร (audit trail บอกว่ามีคนเข้าถึงข้อมูลนั้น)
Corrective แก้ผลกระทบ (กู้คืน backup หลังข้อมูลเสียหาย)

มุมผู้บริหาร: ทำไม Detective Controls ถึงถูก Underinvest?#

ในประสบการณ์ที่เห็นมา องค์กรมักลงทุนใน Preventive controls มากกว่า — firewall ใหม่, strong authentication, encryption ทุกที่ เพราะรู้สึกว่า “กำลังทำอะไรบางอย่างเพื่อป้องกัน”

แต่ Detective controls มักถูกลงทุนน้อยเกินไปเพราะรู้สึกว่า “ถ้าป้องกันดีแล้ว จะตรวจจับทำไม?”

นั่นคือความผิดพลาดใหญ่ครับ

Preventive controls ไม่เคยสมบูรณ์ 100% มีสองกรณีเสมอที่ Preventive controls จะล้มเหลว:

ผู้โจมตีมี legitimate credentials (insider threat หรือ compromised credentials)
ช่องโหว่ใหม่ที่ยังไม่ถูกแพตช์

ในทั้งสองกรณีนี้ — Detective controls เป็นสิ่งเดียวที่จะจับเหตุการณ์ได้

องค์กรที่ลงทุนทั้ง Preventive และ Detective controls ได้สมดุลจะตรวจพบเหตุการณ์ละเมิดได้เร็วกว่า ซึ่งหมายความว่าจำกัดความเสียหายได้ก่อนที่จะกลายเป็นหายนะ

ตอนนี้เรารู้แล้วว่า controls มีกี่ประเภทและทำงานยังไง แต่ยังมีคำถามสำคัญที่เหลืออยู่: IS auditor จะรู้ได้ยังไงว่า controls ที่มีอยู่นั้นจัดการกับความเสี่ยงได้จริงๆ หรือเปล่า? และเมื่อ prescriptive frameworks บอกว่าต้องมี controls ชุดนี้ — องค์กรจัดการกับมันยังไง? นั่นคือ D1.11

Cross-domain: control classifications ที่เรียนที่นี่จะกลับมาปรากฏใน Information Security domain — D5.07 — Network Security ใช้ timing categories (preventive/detective) เป็นกรอบในการออกแบบ layered security และ D5.13 — SIEM + DLP + Monitoring เป็นตัวอย่างของ detective controls ที่ทำงานแบบ real-time

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.4 Types of Controls and Considerations