CISA Series ตอนที่ 43 : D5 - กฎบ้านดิจิทัล + ประตูและกำแพง: Security Policies และ Physical Security

ก่อนคุยเรื่อง firewall, encryption, IAM (Identity and Access Management / ระบบจัดการตัวตนและสิทธิ์การเข้าถึง) ที่ฟังดูล้ำๆ ขอเริ่มจากเรื่องที่หลายคนคิดว่าน่าเบื่อที่สุดก่อนครับ — กฎและกำแพง

ถ้าเปรียบ Domain 5 เป็นบ้านดิจิทัล Section 5.1 กับ 5.2 คือฐานรากที่ทุก control ใน 13 sections ที่เหลือจะมาวางอยู่บนนี้:

5.1 Security Policies = กฎของบ้าน
5.2 Physical Security = ประตู กำแพง ระบบดับเพลิง

ถ้าไม่มีกฎ ก็ไม่มีอะไรให้ auditor ใช้ตัดสิน ถ้าไม่มีกำแพงจริง ทุก control logical อาจถูก bypass ใน 10 นาที

ลองคิดง่ายๆ ครับ บริษัทที่ลงทุน firewall ราคาสิบล้าน แต่ห้อง server ไม่ล็อค ใครก็เดินเข้าไปเสียบ USB ได้ firewall สิบล้านนั้นป้องกันอะไรได้บ้าง? คำตอบคือ ไม่มากเลย 555+

ส่วนที่ 1 — กฎบ้านดิจิทัล (Section 5.1)#

ทำไมต้องมี Policy#

ลองนึก scenario คลาสสิคของวงการดูครับ บริษัทขนาดกลางบริษัทหนึ่ง — IT ดี firewall ดี backup ดี แต่ไม่มีเอกสาร policy เลยสักฉบับ

ถามว่า “ใครมีสิทธิ์อนุมัติ user account ใหม่?” คำตอบขึ้นกับว่าถามใคร ถามว่า “ข้อมูลลูกค้าเก็บได้กี่ปี?” ฝ่าย legal ตอบอย่าง ฝ่าย IT ตอบอีกอย่าง ถามว่า “ทำงานที่บ้านได้ไหม ถ้าได้ใช้คอมตัวเองได้ไหม?” ไม่มีคำตอบที่เป็นทางการ

นี่ไม่ใช่บริษัทแย่นะครับ แต่เป็นบริษัทที่ทำงานด้วย ความเข้าใจของแต่ละคน ไม่ใช่ด้วย กฎที่เขียนไว้ — pattern นี้พบบ่อยมากในเคสที่ออกข้อสอบ CISA

ปัญหาคือ ถ้าไม่มี policy เขียนไว้ auditor จะเอาอะไรมาตรวจ?

นี่คือ insight แรกของ Section 5.1: Security policy ไม่ใช่เอกสารที่ทำเพื่อ compliance เฉยๆ มันคือฐานที่ทำให้คนตรวจมีเกณฑ์ตรวจ แล้วก็ทำให้คนทำงานรู้ว่าทำอะไรได้บ้าง

สามชั้นของ Policy#

CRM แบ่ง policy ออกเป็น 3 ระดับ:

Organizational Information Security Policy (Master Policy)

กฎใหญ่ระดับองค์กร — บอก “เราให้ความสำคัญกับ confidentiality / integrity / availability ของข้อมูลในระดับใด”
Approve โดย board หรือ executive level
ไม่ลงรายละเอียดเทคนิค — บอกหลักการ

System-Specific Policy (SysSP)

Policy เฉพาะระบบ — เช่น “ระบบ ERP ของเราต้องใช้ MFA (Multi-Factor Authentication / ยืนยันตัวตนหลายปัจจัย) ทุกคน password เปลี่ยนทุก 90 วัน access review ทุก 6 เดือน”
ลงรายละเอียดที่เฉพาะกับระบบนั้นๆ

Issue-Specific Policy (ISSP / Issue-Specific Security Policy)

Policy ที่ตอบประเด็นเฉพาะ — เช่น “การใช้คอมพิวเตอร์บริษัทเข้า social media ส่วนตัว”, “การพา laptop กลับบ้าน”, “การใช้ AI tools ในที่ทำงาน”
เกิดเมื่อมีประเด็นใหม่ที่ master policy ครอบคลุมไม่ตรง

ข้อสอบมักถามว่า “policy เรื่องการใช้ laptop ที่บ้าน เป็น policy ระดับไหน?” คำตอบคือ ISSP ไม่ใช่ master policy

Auditor มอง Policy ยังไง#

หน้าที่ของ IS auditor ไม่ใช่ “เขียน policy ให้บริษัท” แต่คือ ประเมิน policy ที่บริษัทมีอยู่

เกณฑ์ที่ auditor ดู:

Executive approval — มีลายเซ็น executive ที่เหมาะสมไหม master policy ที่ผู้จัดการ IT คนเดียวอนุมัติเอง ไม่นับ
Business alignment — เข้ากับลักษณะธุรกิจไหม policy ของบริษัทรับเหมาก่อสร้าง คนละแบบกับ policy ของธนาคารแน่ๆ
Currency (ความเป็นปัจจุบัน — ไม่ใช่ “สกุลเงิน”) — อัปเดตล่าสุดเมื่อไหร่ ในยุคที่ cloud และ remote work เปลี่ยนทุกอย่าง policy ที่ไม่ได้อัปเดต 3 ปี = ใช้ไม่ได้
Comprehensibility — อ่านแล้วเข้าใจไหม ถ้าพนักงานทั่วไปอ่านไม่ออก policy นั้นไม่มีผล
Enforceability — มีกลไกบังคับใช้ไหม policy ที่ละเมิดแล้วไม่มีอะไรเกิดขึ้น = policy ที่ตายแล้ว

Framework — มาตรฐานสถาปัตยกรรมของ Security#

หลายองค์กรไม่ได้เริ่มเขียน policy จากศูนย์ จะเลือกใช้ framework เป็นโครงก่อน

เปรียบให้เห็นภาพ framework เหมือน มอก. สำหรับการสร้างบ้าน ไม่ได้บอกว่าต้องใช้กระเบื้องสีไหน แต่บอกว่าผนังต้องรับน้ำหนักได้เท่าไหร่ ไฟต้องเดินยังไง น้ำต้องไปทางไหน

Framework หลักที่เจอในข้อสอบ:

ISO/IEC 27001 — มาตรฐานสากลด้าน Information Security Management System (ISMS)
NIST Cybersecurity Framework (CSF) — กรอบของรัฐบาลสหรัฐ ใช้กว้างขวางในเอกชน
COBIT — กรอบ IT governance ของ ISACA (เจอตั้งแต่ Domain 2)
PCI DSS (Payment Card Industry Data Security Standard) — มาตรฐานสำหรับการประมวลผลบัตรเครดิต (มีผลบังคับสำหรับ merchants ที่รับบัตร)
CIS Controls — รายการ controls ที่จัดลำดับความสำคัญ
ITIL — กรอบ IT service management
SABSA, TOGAF — เน้น enterprise architecture

Auditor มอง Framework ยังไง#

ที่หลายคนพลาด auditor ไม่ได้ถามว่า “ใช้ framework อะไร” แต่ถามว่า “เลือกอันนี้เพราะอะไร”

บริษัทที่เลือก ISO 27001 เพราะ vendor consultant แนะนำ ไม่ได้ดูว่าเหมาะกับขนาด/อุตสาหกรรมตัวเองไหม = เป็น finding
บริษัทที่อ้างใช้ทั้ง ISO 27001 และ NIST CSF พร้อมกัน แต่ไม่ map ว่า controls ที่ overlap คืออะไร gap คืออะไร = อาจ duplicate effort หรือมีรู
บริษัทที่ adopt framework ครั้งเดียวเมื่อ 5 ปีก่อน ไม่เคย refresh = framework ตายแล้ว

Data Classification — แยกข้อมูลตามระดับความ sensitive#

ก่อนคุยเรื่อง baseline ขอแทรกเรื่องที่ทุก policy ต้องมี — data classification scheme

ปัญหาคือ ข้อมูลในองค์กรมีหลายระดับ รายงานประจำปี (เปิดสาธารณะ) vs ข้อมูลคนไข้ (ลับสุด) ต้องการ control คนละแบบ ถ้าใช้ control เดียวกันหมด overprotect ข้อมูลที่ไม่ต้อง แล้วก็ underprotect ข้อมูลที่ต้องการมาก

CRM แนะนำ scheme 4 ระดับ ที่ใช้กันแพร่หลาย:

ระดับ	คำอธิบาย	ตัวอย่าง	Control ที่ต้องมี
Public	เปิดเผยได้เสรี	press release, marketing material, รายงานประจำปี	integrity (ห้ามถูกแก้)
Internal Use	สำหรับพนักงานเท่านั้น	org chart, internal procedure, training material	access control + integrity
Confidential	sensitive — ต้อง need-to-know	salary, business plan, customer list, vendor pricing	access control + encryption + log
Restricted / Secret	ลับสุด — ผลกระทบสูงถ้ารั่ว	trade secret, M&A info, source code, patient health data	full encryption + DLP (Data Loss Prevention / ระบบป้องกันข้อมูลรั่วไหล) + DRM (Digital Rights Management / ระบบควบคุมสิทธิ์การใช้ digital content) + monitor + retention

กับดักของ exam: scheme ของ government (Top Secret, Secret, Confidential, Unclassified) ≠ scheme ของ enterprise ใช้คำต่างกัน ผู้สอบต้องดู context ของคำถามว่าเป็น government หรือ enterprise

Labeling + Handling#

Classification ที่ work ต้องคู่กับ:

Labeling — เอกสาร/ไฟล์มี tag ระบุ classification (header, footer, metadata)
Handling rules — แต่ละระดับมี rule ของ storage, transmission, destruction
Marking media — physical media (USB, hard drive, tape) ต้องมีป้าย classification

มุม IS auditor: scheme ที่ดี + ไม่มี labeling = ใช้ไม่ได้ DLP, encryption, access control ทุกอย่าง depend on label

Owner vs Custodian — ใครจัดประเภท#

จุดที่ exam ออกซ้ำ:

Data Owner = business unit ที่ “ใช้” ข้อมูลนั้น — เป็นคนตัดสินใจ classification ตามมุมธุรกิจ (ลับแค่ไหน, retention นานเท่าไหร่)
Data Custodian = ทีม IT — บังคับใช้ technical control ตามที่ owner กำหนด

ข้อสอบ trap: “ใครเป็นคนตัดสิน classification ของข้อมูลลูกค้า?”

หลอก: CIO / IT department
จริง: Business owner (เช่น head of customer service, head of marketing) — IT เป็น custodian

Data Lifecycle + Retention + Sanitization#

ข้อมูลมี lifecycle ตั้งแต่เกิดถึงตาย — ทุกขั้นต้องมี control:

1
1. Creation / Collection
2
       ↓
3
2. Classification + Labeling
4
       ↓
5
3. Storage (encryption + access control)
6
       ↓
7
4. Use (DLP + monitoring)
8
       ↓
9
5. Sharing (encryption in transit + rights mgmt)
10
       ↓
11
6. Archival (long-term storage + integrity)
12
       ↓
13
7. Disposal / Destruction

ขั้นที่หลายองค์กรพลาดสุดคือ disposal

ทำไม “ลบ” ไม่พอ#

Delete ≠ Destroy

OS ปกติ “ลบ” file = ลบ pointer ที่ index data จริงยังอยู่บน disk จนกว่า block จะถูก overwrite ผู้เชี่ยวชาญ forensic recover ได้สบาย (จะคุยลึกใน ตอน 52)

ดังนั้น sensitive data ต้อง sanitization อย่างเป็นทางการ:

วิธี	หลักการ	ใช้กับ	เหมาะกับระดับ
Overwriting / Wiping	เขียนทับด้วย pattern หลายรอบ (DoD 5220.22-M, NIST SP 800-88)	HDD ที่จะ reuse	Confidential
Degaussing	ใช้สนามแม่เหล็กแรงทำลาย	magnetic media (HDD, tape)	Restricted
Crypto-shredding	ทำลาย encryption key — data ยัง encrypted แต่ decrypt ไม่ได้แล้ว	encrypted data, cloud	ทุกระดับ (เร็วสุดสำหรับ cloud)
Physical destruction	บด, ตัด, เผา — ทำลายอุปกรณ์	ทุกแบบที่ไม่ reuse	Restricted ที่ critical

กับดักของ exam: “Format hard drive = secure destruction” — ผิดเลย quick format ลบแค่ index ส่วน full format อาจ overwrite แต่ก็ recover ได้ ต้องใช้ wipe tool ตาม standard

Retention Policy#

ข้อมูลที่เก็บ “ตลอดไป” = liability — เพราะ:

เก็บมาก = backup ใหญ่ + cost
ข้อมูลส่วนบุคคลที่เก็บเกินวัตถุประสงค์ = PDPA (Personal Data Protection Act / พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ของไทย) violation
breach scope ใหญ่ขึ้น (เพราะข้อมูลเยอะ)

retention ที่ดีต้อง:

Defined per classification — Public 1 ปี, Confidential 7 ปี (อ้าง regulatory), Restricted ตามกฎหมายเฉพาะ
Automated enforcement — ไม่ใช่ manual ที่คนลืม
Legal hold exception — ถ้ามี litigation pending → ห้ามทำลาย

Privacy by Design — รากของ Section 5#

PDPA ของไทย + GDPR (General Data Protection Regulation / กฎหมายคุ้มครองข้อมูลส่วนบุคคลของ EU) ระบุชัด — privacy ต้องฝังในระบบตั้งแต่ design ไม่ใช่ patch ทีหลัง

7 Principles ที่ ISACA mention#

Proactive not reactive — ป้องกันก่อนเกิด ไม่ใช่แก้หลังเกิด
Privacy as default — default ของระบบคือเปิด privacy สูงสุด user ไม่ต้องตั้งค่าเพิ่ม
Privacy embedded into design — ไม่ใช่ feature ที่เพิ่มทีหลัง
Full functionality — privacy + functionality ไม่ใช่ trade-off
End-to-end security — protect ตลอด data lifecycle
Visibility + transparency — user รู้ว่าข้อมูลตัวเองถูกใช้ยังไง
Respect for user privacy — user-centric design

ผู้ที่ข้อมูลส่วนบุคคลถูกประมวลผล มีสิทธิ์:

Right to access — ขอดูข้อมูลที่บริษัทมี
Right to rectification — ขอแก้ข้อมูลที่ผิด
Right to erasure (“right to be forgotten”) — ขอลบข้อมูล
Right to data portability — ขอข้อมูลใน format ที่ใช้ต่อได้
Right to object — ปฏิเสธการ process บางประเภท

มุม IS auditor: ระบบที่ technical ทำสิทธิ์เหล่านี้ไม่ได้ = compliance gap แม้ policy บอกว่าทำได้ก็ตาม

Cross-border Data Transfer#

PDPA + GDPR กำหนดว่า — โอนข้อมูลส่วนบุคคลไปต่างประเทศต้องมีหลักประกัน:

Adequacy decision — ปลายทางมี protection level เพียงพอ
Standard Contractual Clauses (SCC) — สัญญาที่บังคับให้ปลายทาง follow standard
Binding Corporate Rules — multinational org ที่ใช้ rule ภายใน

cloud provider ที่มี data center หลายประเทศ — auditor ต้องตรวจ data residency เสมอ

เชื่อม Domain 2 ตอน 17B ที่คุย Privacy Program ระดับ governance — Domain 5 ขยายมุม security ของ privacy

Baseline — พื้นบ้านที่ต้องอยู่เหนือน้ำท่วม#

Baseline = ระดับขั้นต่ำ ที่ทุกระบบในองค์กรต้องผ่าน

ตัวอย่าง baseline:

Antivirus signature ต้องอัปเดตไม่เกิน 24 ชั่วโมง
Patch ต้องลงภายใน 30 วันหลัง vendor ออก critical update
Password ความยาวขั้นต่ำ 12 ตัวอักษร + complexity
Backup รันทุกคืน + ทดสอบ restore ทุกไตรมาส

หลักของ baseline คือ เท่ากันทุกระบบ ระบบที่ critical อาจมี control เพิ่ม แต่ทุกระบบต้องไม่ต่ำกว่า baseline

หลายองค์กรพลาดตรงนี้ — กำหนด baseline แล้ว apply เฉพาะระบบใหม่ ระบบเก่ายังใช้ standard เก่าอยู่ — สถาน security ไม่สม่ำเสมอ

Trap ที่ออกข้อสอบบ่อย#

สถานการณ์	คำตอบที่หลอก	คำตอบจริง
Auditor ตรวจ policy — ตรวจอะไรก่อน	ตรวจ firewall config ว่าตรง policy ไหม	ตรวจว่า policy มี executive approval และยัง current
บริษัทใช้ ISO 27001 + NIST CSF พร้อมกัน — กังวลอะไร	ค่าใช้จ่ายสูง	Duplication หรือ gap ระหว่าง 2 frameworks
Policy เรื่องใช้ laptop เข้า social media — ระดับไหน	Master / Organizational	Issue-Specific (ISSP)
Baseline อัปเดตแล้ว apply เฉพาะระบบใหม่ — เสี่ยงอะไร	ต้นทุน compliance สูง	สถานะ security ไม่สม่ำเสมอ ระบบเก่ายังเปิดช่องโหว่

ก่อนจะข้ามไป physical ขอแทรกอีกเรื่องที่อยู่ใน policy แต่หลายคนมองข้ามไป นั่นคือเรื่อง insurance ครับ

เรื่องนี้จริงๆ อยู่ใน Domain 4 BCP section (CISA D4 ตอน 40) แต่ CRM ระบุชัดว่าข้อสอบจะตรวจ “what should be included in policies” แปลว่า insurance coverage type คือ exam-vocab ที่ต้องรู้ ไม่ใช่แค่หัวข้อของฝ่าย finance

หลักการที่ต้องเก็บก่อนเข้าตารางคือ insurance เป็น 1 ใน 4 วิธี treat risk (avoid / mitigate / transfer / accept) ที่ Domain 2 คุยไว้ และ insurance คือ transfer risk แบบคลาสสิคที่สุด policy ที่ดีจึงต้องระบุว่า risk ไหน transfer ผ่าน insurance ประเภทไหน

7 ประเภท coverage ที่ CRM ระบุ#

Coverage type	คุ้มครองอะไร	ตัวอย่างเคส
IT Equipment and Facilities	hardware + data center ที่เสียหายจาก fire / flood / theft	ไฟไหม้ห้อง server → claim cost เปลี่ยน server + ระบบ cooling
Media Reconstruction	cost ในการสร้างข้อมูล/media ที่ถูกทำลายขึ้นมาใหม่	tape archive ถูกน้ำท่วม → cost re-key + re-process records
Extra Expense	ค่าใช้จ่ายเพิ่มเติมที่ run business ตอน disaster	เช่า hot site, overtime staff, expedited shipping, สำนักงานชั่วคราว
Business Interruption	revenue ที่หายไประหว่าง downtime	e-commerce ดับ 3 วัน → ยอดขายที่หายไป claim ได้
Valuable Papers and Records	physical document ที่ irreplaceable	สัญญาต้นฉบับ, blueprint, customer file
Errors and Omissions (E&O)	liability ที่เกิดจาก professional mistake ของบริการ IT	IT consulting ออกแบบระบบรั่ว → ลูกค้าฟ้อง
Fidelity Coverage	loss ที่เกิดจาก employee dishonesty (theft, fraud)	DBA ขโมย customer DB → claim cost notification + remediation

หมายเหตุที่ต้องรู้คู่กัน#

Cyber Insurance ที่พูดถึงในยุคใหม่ จริงๆ คือ hybrid bucket ที่รวม Business Interruption + Extra Expense + E&O + cost ของ breach response (notification, forensic, legal, PR) ไม่ใช่ coverage type ใหม่ แต่เป็น package ที่รวมหลายตัวเข้าด้วยกันต่างหาก
D&O Insurance (Director and Officer liability) เป็น governance-level ป้องกัน executive จาก personal liability ไม่ใช่ของฝั่ง IS โดยตรง

มุม IS auditor#

หน้าที่ของ auditor ไม่ใช่ขายประกัน แต่ตรวจว่า coverage ของบริษัท fit กับความเสี่ยงจริงรึเปล่า:

Coverage match BIA คือ coverage ที่บริษัทมีต้องตรง loss scenario ที่ BIA (Business Impact Analysis) ระบุไว้ ถ้า BIA บอกว่า downtime ของระบบ order 1 วัน = ขาดทุน 5 ล้าน แต่ Business Interruption coverage แค่ 2 ล้าน นั่นคือ under-insured
Premium + retention/deductible สมเหตุสมผล คือ premium ต่ำมากแปลว่า coverage limit ต่ำหรือ exclusion เยอะ ต้องอ่าน policy ละเอียด
Renewal current คือ policy หมดอายุแล้วไม่ต่อ = coverage gap auditor ต้องตรวจวันหมดอายุของทุก policy
Claim history คือ เคยมี incident แต่ไม่ได้ claim อาจมี hidden loss หรือ coverage exclusion ที่ไม่รู้ก็ได้

Exam trap#

ข้อสอบ ISACA ชอบถามตรงๆ ว่า “coverage type ไหนสำหรับสถานการณ์นี้” คำตอบที่ต้องระวังครับ:

สถานการณ์	คำตอบที่หลอก	คำตอบจริง
Retail e-commerce ดับ 3 วัน revenue หาย — coverage ไหน	Cyber Insurance	Business Interruption
ต้องเช่า hot site ตอน data center ไฟไหม้ — coverage ไหน	IT Equipment	Extra Expense (cost ในการ continue business, ไม่ใช่ cost replace equipment)
Tape backup ถูกน้ำท่วม cost re-process ข้อมูล — coverage ไหน	IT Equipment	Media Reconstruction (cost recreate data ≠ cost replace tape)
DBA ขโมย customer database — coverage ไหน	Cyber Insurance	Fidelity Coverage (insider dishonesty มี coverage เฉพาะ)

จุดที่หลอกบ่อยที่สุดคือ “Cyber Insurance” ครับ มันมีอยู่จริง แต่เป็น package รวม ไม่ใช่ coverage type ตามตำรา CRM ถ้าข้อสอบให้เลือก specific coverage ให้ตอบตัวที่ตรงกับ loss scenario ที่สุด ห้ามตอบ Cyber Insurance เป็น blanket answer

ส่วนที่ 2 — ประตู กำแพง ระบบดับเพลิง (Section 5.2)#

มี policy แล้ว มาดูชั้นที่จับต้องได้ที่สุดต่อ: physical security

ตั้งใจคุยเรื่องนี้ก่อน IAM, encryption หรืออะไรล้ำๆ เพราะ auditor หลายคน (รวมถึง management หลายคนด้วย) มักมองข้ามไป คิดว่า “เรื่องประตูล็อคห้อง server ใครก็คิดออก ไม่ต้อง audit ลึก”

นั่นแหละครับ trap ที่ exam ชอบเล่น

ทำไม Physical Security คือ shortcut ของ logical breach#

ระบบ IAM ดี firewall ดี encryption ดี ทุกอย่างพังหมดถ้าใครเดินเข้าห้อง server ได้ฟรี

ตัวอย่างที่เห็นเป็น pattern ในเคสที่ออกข้อสอบบ่อยและในข่าว breach:

Boot from USB — เครื่องที่ไม่มี BIOS password / disk encryption ใครเอา USB ไป boot ก็เห็นข้อมูลทั้ง disk
ถอด hard drive — ถ้า disk ไม่ encrypted คนถอดเอาไปก๊อบที่บ้านได้สบาย
เสียบ rogue device — keylogger เล็กๆ ที่เสียบหลังคีย์บอร์ด เก็บ credentials ทุกตัว
ทำลายอุปกรณ์ — ถ้าเข้า data center ได้ ไม่ต้อง hack เลย ใช้แค่น้ำขวดเดียว

นี่แหละ physical breach = logical breach shortcut หลักของ CRM คือ auditor ที่ดีต้องลง walkthrough ที่ data center จริงๆ ไม่ใช่อ่านแต่เอกสาร

9 Physical Access Exposures ที่ CRM ระบุชื่อ#

ตัวอย่าง 4 ข้อข้างบนคือภาพให้เห็นว่าทำไม physical breach ถึงน่ากลัว แต่ CRM ไม่ได้หยุดที่ “boot USB / ถอด disk” CRM ไล่ชื่อ 9 exposure ที่ auditor ต้องไล่ตรวจให้ครบ เพราะแต่ละตัวคนละ threat actor คนละ motive

ที่ต้องระวังคือ exposure ที่ฟังดูเหมือนเรื่อง HR หรือเรื่อง fraud (เช่น blackmail, embezzlement) แต่ CRM จัดไว้ในหมวด physical access เพราะรากของมันคือ “ใครคนหนึ่งเข้าถึงตัวอุปกรณ์/พื้นที่/ข้อมูลทางกายภาพได้” ถ้าไม่มี physical access ตั้งแต่แรก fraud หลายแบบเกิดไม่ได้เลย

นี่คือเหตุผลที่ exam ชอบเอามาหลอก ผู้สอบส่วนใหญ่ตอบ “เป็นเรื่อง HR / เป็นเรื่อง finance” แต่จริงๆ คือ physical control ที่ขาด

#	Exposure	คำอธิบาย	Mitigation control หลัก
1	Unauthorized entry	คนแปลกหน้าเดินเข้าพื้นที่หวงห้ามได้ — ผ่านประตูที่ไม่ล็อค, tailgating ตามพนักงาน, หรือใช้บัตรปลอม	Mantrap + badge reader + single controlled entry point + guard ที่ตรวจบัตรจริง
2	Vandalism	จงใจทำลายอุปกรณ์ — กรีดสาย, ทุบจอ, ราดน้ำลงเครื่อง (อาจเป็น insider ที่โกรธ หรือ outsider ที่ก่อกวน)	CCTV monitoring + ทำพื้นที่ critical แยก zone + alarm ถ้ามีการเปิด rack ผิดปกติ
3	Theft	ขโมยอุปกรณ์/media — laptop, hard drive, tape backup, USB ที่มี data	Asset tag + cable lock + media safe + ตรวจ baggage ตอนออก + inventory check ประจำ
4	Copying	คัดลอกข้อมูลออกไป — USB copy, screen photo, print แล้วเอาออก (ตัวอุปกรณ์ยังอยู่ แต่ข้อมูลออกไปแล้ว)	USB port disable + DLP + print log + ห้ามมือถือในพื้นที่ sensitive + clean desk policy
5	Alteration	แก้ข้อมูลบนเครื่องโดยตรง — เข้า terminal ที่ไม่ lock screen แล้วแก้ record, เปลี่ยน config ของ device	Auto-lock screen + privileged access log + file integrity monitoring + dual control สำหรับ critical change
6	Public disclosure	ทำให้ข้อมูล sensitive รั่วสู่สาธารณะ — ทิ้งเอกสารโดยไม่ shred, ลืม whiteboard ไม่ลบ, คุยเสียงดังในที่สาธารณะ	Shredder ใกล้ทุก printer + whiteboard policy + clean desk + awareness training เรื่อง shoulder surfing
7	Abuse	คนที่มีสิทธิ์เข้าโดยชอบ ใช้สิทธิ์นั้นผิดวัตถุประสงค์ — admin เปิดดู email CEO เล่นๆ, security guard ใช้ CCTV ส่องคนที่แอบชอบ	Least privilege + access log + segregation of duties + periodic access review + monitoring ของ privileged action
8	Blackmail	ขู่กรรโชกด้วยข้อมูลที่ได้จาก physical access — ถ่ายภาพหน้าจอ executive, copy email ส่วนตัว, อัดเสียงประชุมลับ	จำกัด physical access เข้าพื้นที่ executive + ห้ามอุปกรณ์บันทึก + เอกสาร sensitive ใส่ safe + reporting channel สำหรับ employee ที่ถูกขู่
9	Embezzlement	ฉ้อโกงผ่านการเข้าถึงระบบทางกายภาพ — เช่น เข้าห้อง finance เปลี่ยน payment file ก่อน batch run, swap check ในซอง	Segregation of duties + dual control on payment + camera ใน finance area + reconciliation อิสระ + rotation of duties

มุม IS auditor: scenario ใน exam ที่ถามว่า “บริษัทเสียหายจาก X — exposure อะไร” คำตอบที่ถูกมักไม่ใช่ตัวที่หลอกตามชื่อ scenario แต่เป็นตัวที่ตรงกับ mechanism ของการเสีย ตัวอย่าง: DBA copy customer DB ออกไปขาย — ฟังเหมือน theft แต่ตัวอุปกรณ์ยังอยู่ ข้อมูลแค่ถูก copy ออก → ตอบ Copying ไม่ใช่ Theft

กับดักของ exam: exposure 3 ตัวสุดท้าย (abuse / blackmail / embezzlement) ที่ผู้สอบมักตอบเป็น “HR issue” หรือ “fraud finding” — ผิด CRM จัดเป็น physical access exposure เพราะรากของมันคือ access ทางกายภาพที่ควบคุมไม่ได้ ถ้าตอบ HR/fraud จะตอบทาง remediation ผิดทั้งหมด

Environmental Threats — ภัยที่ไม่ใช่คน#

หมวดแรกของ physical security ไม่ใช่เรื่อง “คนแปลกหน้า” แต่เป็นเรื่อง สภาพแวดล้อม

ภัยหลักที่ data center เจอ:

ไฟฟ้า — มีหลายแบบ

ดับสนิท (blackout)
แรงดันต่ำต่อเนื่อง (brownout)
กระชาก-ตก (sags / spikes)
รบกวนทางแม่เหล็ก (EMI)

ระบบรองรับเป็นชั้นๆ:

Surge protector — กันกระชากระดับ millisecond
UPS — รองรับเป็นนาที (พอให้ shutdown ได้)
Generator — รองรับเป็นชั่วโมง/วัน (ตามขนาดถังน้ำมัน)

ความร้อนและความชื้น — server ทำงานในช่วงอุณหภูมิแคบ ระบบ HVAC ที่ไม่ทำงาน = อุปกรณ์ shutdown ตัวเองหรือพังถาวร

น้ำ — ที่ตั้ง data center สำคัญมาก CRM แนะนำว่าไม่ควรอยู่ชั้นใต้ดิน (น้ำท่วม) และไม่ควรอยู่ชั้นบนสุด (rooftop leak / ลม) — ชั้น 3-6 มักเหมาะสุด

ไฟ — ระบบดับเพลิงสำหรับ data center ใช้น้ำไม่ได้ (น้ำทำลาย equipment) ใช้ FM-200, Argonite, หรือ inert gas อื่นๆ ที่ดับไฟโดยไม่ทำลายอุปกรณ์

ตัวเลือก fire suppression ใน CRM ที่ต้องจำได้:

ระบบ	คือ	ปัญหา / จุดเด่น
Water-based (sprinkler)	น้ำในท่อ พ่นทันทีเมื่อ trigger	ราคาถูก แต่น้ำทำลาย equipment ทั้งห้อง
Dry-pipe sprinkling	ท่อไม่มีน้ำ จนกว่า alarm จะ trigger	กันท่อแตกรั่วในห้อง server แต่ก็ยังเป็นน้ำตอนปะทุ
FM-200 (HFC-227 / HFC-227a / heptafluoropropane)	ก๊าซดับเพลิงที่ไม่ทำลายชั้น ozone	ปลอดภัยกับอุปกรณ์ ไม่ทิ้งคราบ
Argonite	ก๊าซเฉื่อยผสม — argon + nitrogen	inert gas ที่ไม่นำไฟฟ้า ไม่ทิ้งคราบ ปลอดภัยกับมนุษย์มากกว่า CO2 ที่ทำให้ขาดอากาศหายใจ

ทำไมต้องเลือก inert gas อย่าง Argonite ในห้อง server ที่มีคนทำงานอยู่ด้วย เพราะ CO2 ดับไฟได้แต่จะแย่งออกซิเจนจนคนตาย ส่วน Argonite (argon + nitrogen) ลด O2 พอให้ไฟดับแต่ยังไม่ถึงระดับที่คนหายใจไม่ออก — เลยใช้ในห้องที่อาจมีคนเข้าได้ เช่น NOC หรือ data center ขนาดกลาง

ข้อสอบ trap คลาสสิก: “auditor ตรวจ fire suppression อะไรสำคัญที่สุด?”

หลอก: ยี่ห้อของ suppression agent
จริง: มีหลักฐานการทดสอบระบบในรอบ 12 เดือนที่ผ่านมา

อุปกรณ์ดีแค่ไหน ถ้าไม่เคยทดสอบเลย = ไม่รู้ด้วยซ้ำว่าทำงานจริงไหม

Physical Access Controls — ใครเข้าได้บ้าง#

ชั้นที่สอง — กลไกควบคุมการเข้า

หมวดของ controls:

Bolting / Cipher / Electronic locks — ตามระดับความ sensitive
Biometric locks — ลายนิ้วมือ ใบหน้า ม่านตา (มีปัญหาเรื่อง false accept / false reject ที่ต้องตั้ง threshold)
Mantrap (access control vestibule) — ประตูสองชั้นที่ต้องผ่านทีละขั้น ตรงกลางคือ dead zone ยืนยันตัวตน
CCTV — บันทึกใครเข้า-ออก
Security guards — มนุษย์ที่ตัดสินใจได้ (ดีกว่าเครื่องในเคส edge case)
Visitor logs + Badges — accountability baseline
Single controlled entry point — หลักการสำคัญ ถ้ามีหลายประตู = มีหลายจุดต้องเฝ้า

หลักที่ออกข้อสอบบ่อย Single controlled entry point ห้อง server ที่มีประตู 3 บาน แต่เฝ้าแค่บานเดียว = เสี่ยงเสมอ

Trap ของ Physical Security#

สถานการณ์	คำตอบที่หลอก	คำตอบจริง
ห้องเซิร์ฟเวอร์ไม่มี visitor log — กังวลอะไรที่สุด	ไม่มี CCTV	ไม่สามารถ trace ได้ว่าใครเข้าเมื่อไหร่ — accountability ขาด
ที่ตั้งห้องเซิร์ฟเวอร์ในตึก 10 ชั้น — ที่ดีที่สุด	ชั้น 1 (เข้าง่าย)	ชั้น 3-6 (เลี่ยงน้ำท่วม + ลม + roof leak)
ใช้ sprinkler น้ำในห้องเซิร์ฟเวอร์ — กังวลอะไร	ค่าใช้จ่ายสูง	น้ำทำลาย equipment ทั้งหมด — ใช้ FM-200 หรือ inert gas ดีกว่า
Biometric lock มี false accept rate 0.1% — ปัญหา	rate ต่ำเกินไป	0.1% หมายถึงทุก 1000 ครั้งจะอนุญาตคนผิด — สูงสำหรับห้องเซิร์ฟเวอร์ critical

มุมผู้บริหาร: ทำไมต้องตรวจ physical จริงๆ#

หลายผู้บริหารถามว่า “ทำไมต้อง audit physical ถ้าเรา outsource data center ให้ Tier-3 provider แล้ว?”

คำตอบ:

Right to audit clause ในสัญญา ถ้าไม่มี เราจะตรวจไม่ได้เลย
SOC 2 Type II report ของ provider ขอดูได้ แล้วต้อง review สิ่งที่อยู่ใน scope
ข้อกำหนดของ regulator ธปท., ก.ล.ต. มีข้อกำหนด physical security ที่ออกเอง
Insurance coverage facility ที่ไม่ผ่าน physical audit อาจไม่ได้รับ coverage ในกรณี fire/flood

ที่สำคัญสุด ถ้าเกิด breach ที่มี physical access เป็นจุดเริ่มต้น ผู้บริหารต้องพิสูจน์ได้ว่าทำ due diligence ไว้แล้ว เอกสารการตรวจ physical คือหลักฐานสำคัญตรงนี้แหละ

เรื่องที่ลึกกว่านี้อ่านได้ที่:#

ตอนนี้ยึด CISA exam scope เป็นหลัก เลยจงใจไม่ลงรายละเอียดวิศวกรรมของ data center หรือไม่ขยาย baseline ทั้ง 7 หมวด — ถ้าอยากเห็นภาพเต็มของแต่ละมุม แวะอ่านตอนเหล่านี้คู่กันได้:

Baseline ครบ 7 หมวด + ISSP 6 subtypes + Policy 9 elements + 7 characteristics → cybersec EP.48 — Policy/Standard/Procedure — ขยายว่า Policy ที่ดีต้องมีอะไรบ้าง, ISSP มีกี่ประเภทย่อย, และ baseline ของแต่ละ domain หน้าตาเป็นยังไง
Frameworks ของวงการ (Zachman, SABSA, TOGAF, CCM, STAR) → CISA D2 ตอน 16b — Strategy/Org/EA + cybersec EP.08 — Frameworks — เจาะ enterprise architecture framework แต่ละตัว ว่าต่างกันยังไง ใช้เมื่อไหร่
Data center physical engineering depth (HVAC/UPS/FM-200/Uptime Tiers + Alarm Control Panel 8 reqs + EPO switches + 17-item facility checklist + 8 entry path audit) → cybersec EP.50 — Physical + Environmental Controls — ลงลึกระดับวิศวกรรมที่ exam CISA ไม่ออก แต่ auditor ในงานจริงต้องเข้าใจ
2-substation power architecture → cybersec EP.50 (มี exact wording ที่ตรงกับ CRM) — ทำไม data center tier สูงต้องรับไฟจาก 2 substation คนละ grid

เชื่อมไปบทถัดไป#

วันนี้คุยฐานราก 2 เรื่อง — กฎ (policy) กับ กำแพง (physical)

ทั้ง 2 เรื่องนี้ตอบคำถาม “ใครได้รับอนุญาต” และ “เข้าถึงตัวเครื่องได้ยังไง”

แต่คำถามที่ใหญ่กว่าและละเอียดกว่าเยอะคือ เมื่อคนคนนั้นได้รับอนุญาตเข้ามาในระบบแล้ว เขาเข้าได้แค่ไหน? ทำอะไรได้บ้าง? เก็บประวัติไว้ยังไง?

นี่แหละเรื่องที่ Section 5.3 ตอบ — Identity and Access Management (IAM) กุญแจของบ้านดิจิทัล ซึ่งเป็น section ที่ใหญ่สุดใน Domain 5 แล้วก็เป็นหัวข้อที่ออกข้อสอบมากที่สุดในทั้ง CISA ด้วย

จะคุยต่อในตอนหน้าครับ

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: Section 5.1 Information Asset Security Policies, Frameworks, Standards and Guidelines + Section 5.2 Physical and Environmental Controls