แบบที่ 1 — External audit (ตรวจโดยบุคคลที่สาม)#

ที่บริษัทไทยคุ้นเคยที่สุด. บริษัทภายนอก (auditor หรือ certification body) มาตรวจ. เป็นแบบที่ออกใบรับรองได้ — เช่น ISO 27001 cert, SOC 2 report, PCI DSS Report on Compliance (ROC) ที่ลงนามโดย QSA (Qualified Security Assessor)

ขั้นตอนทั่วไป 6 step:

1. Scope agreement — บริษัทกับ auditor ตกลงว่าจะตรวจอะไร — ระบบไหน, ทีมไหน, ในช่วงเวลาไหน
2. Fieldwork — auditor มาที่บริษัท สัมภาษณ์คน, ดูเอกสาร, สังเกตการณ์
3. Testing — สุ่มตรวจ controls บางตัว — เช่น ขอดู log 30 วันล่าสุด, ทดสอบว่า MFA ทำงานจริงไหม
4. Report — auditor เขียน report ระบุ findings ทั้ง pass + fail
5. Remediation — บริษัทแก้ findings ที่ fail
6. Re-audit / sign-off — ตรวจซ้ำสิ่งที่แก้ → ออกใบรับรอง

ระยะเวลา fieldwork on-site ขึ้นกับขนาดบริษัทมาก — 2 สัปดาห์สำหรับบริษัทเล็ก ถึง 2 เดือนสำหรับบริษัทใหญ่ที่มีหลายสำนักงาน. ถ้าเป็น initial audit ครั้งแรก — เพิ่ม preparation phase ก่อนหน้านั้นอีก 3-12 เดือนที่บริษัทต้องเตรียมเอกสาร + process

ราคา ISO 27001 audit + maintenance — $20,000 ถึง$100,000+ ต่อปี ขึ้นกับขนาด. ราคานี้ไม่รวมเวลาของพนักงานในบริษัทที่ต้องคุยกับ auditor + เตรียมเอกสาร — ที่มักใช้เวลามากกว่าค่า auditor หลายเท่า

แบบที่ 2 — Internal audit (ทีมในบริษัทตรวจตัวเอง)#

บริษัทใหญ่มี Internal Audit Function เป็นแผนกหนึ่งที่รายงานตรงต่อ Audit Committee ของ Board (ไม่ใช่ CFO หรือ CIO เพื่อให้เป็นอิสระ). หน้าที่คือ ตรวจตัวบริษัทเองล่วงหน้าก่อน external auditor มา. เจอปัญหา → แจ้งฝ่ายบริหารแก้ก่อน

Internal audit ดีกว่า external audit ในมิติเดียว — ทำได้ตลอดเวลา ไม่ต้องรอรอบปี. และตามมาตรฐาน ISO 27001 + PCI DSS — บริษัทต้องทำ internal audit อย่างน้อยปีละครั้งก่อน external audit จะมาตรวจอยู่แล้ว

ของจริงในไทย — บริษัทขนาด SME มักไม่มี internal audit function เป็นแผนกแยก. ใช้คนใน IT ตรวจตัวเอง ซึ่งมีปัญหา conflict of interest — คนคนเดียวกันที่ทำ control เป็นคนตรวจตัวเอง = ตรวจไม่เห็นความผิดของตัวเอง

แบบที่ 3 — Continuous monitoring (เครื่องมือ + คนเฝ้าตลอด)#

แบบที่บริษัท security-mature ใช้ — ไม่รอรอบ audit. มีระบบเฝ้า controls ทุกวันแบบอัตโนมัติ. SIEM (Security Information and Event Management) ดู log ตลอด. Configuration drift detection เห็นทันทีถ้ามี admin เปลี่ยน policy. Vulnerability scanner รันอัตโนมัติทุกสัปดาห์. Posture management tool แสดง dashboard real-time ว่าตอนนี้ controls ตัวไหน pass/fail

นี่คือทิศทางที่วงการกำลังไป — เราจะคุยลึกในส่วนสุดท้ายของ EP

กับดักที่บริษัทไทยตกบ่อยที่สุด#

ก่อนเดินต่อ ผมขอเตือน 3 patterns คลาสสิคของวงการที่บริษัทไทยทำผิดบ่อยที่สุดเวลาเตรียม audit ครับ — เพราะ pattern พวกนี้คือต้นทางของ compliance theater

Pattern 1 — ให้ลูกน้องตอบ audit แทน. ผู้บริหารระดับสูงไม่อยู่ในห้อง audit เลย. ส่งให้ IT manager หรือ junior คุยกับ auditor. ผลคือ — ผู้บริหารไม่รู้ว่า auditor ถามอะไร, พบอะไร, แนะนำอะไร. รู้แค่ปลายปีว่า “ผ่าน” หรือ “ไม่ผ่าน”. และเวลา auditor พบประเด็นใหญ่ — ไม่ได้ส่งสารถึงห้องประชุม Board

Pattern 2 — เตรียมเอกสารแค่ที่ตรวจ. รู้ล่วงหน้าว่า auditor จะดู log 30 วันล่าสุด → ใส่ใจ log แค่ 30 วันก่อน audit. รู้ว่าจะดู patch report → patch ก่อน audit 2 สัปดาห์. ตรวจเสร็จ → กลับไปสภาพเดิม. เอกสารผ่าน แต่ของจริงในชีวิตประจำวันไม่เปลี่ยน

Pattern 3 — ไม่ทำต่อหลัง audit จบ. audit เสร็จ → ใบ cert มาถึง → จบเรื่อง. ไม่มีใครติดตาม remediation items. ไม่มีใครอัปเดต policy ที่เปลี่ยนตามธุรกิจ. รออีก 12 เดือนค่อยเริ่มเตรียม audit รอบหน้า. ปีหน้า audit รอบใหม่ → ลุกขึ้นปั่นเอกสารอีกรอบ. บริษัทใช้ชีวิต 10 เดือนต่อปีในสภาพที่ไม่ compliant จริง — compliant แค่ 2 เดือนก่อน audit

มุมผู้บริหาร: ลองตอบตัวเองสั้นๆ ครับ — ครั้งล่าสุดที่บริษัทคุณ audit — คุณนั่งในห้องประชุมกับ auditor ไหม? คุณได้คุยกับเขาตรงๆ ไหม? ถ้าตอบ “ไม่” — คุณกำลังเปลี่ยน audit เป็นเรื่องของ IT manager คนเดียว. แต่ audit เป็นเรื่องของ business — ไม่ใช่ของ IT. ใบรับรองมีชื่อบริษัทคุณ ไม่ใช่ชื่อ IT manager. ปีหน้าลองเข้าห้อง audit อย่างน้อย 1 session — ฟัง auditor ถามคำถาม ฟังลูกน้องตอบ — คุณจะรู้ทันทีว่าบริษัทคุณอยู่ตรงไหนของแผนที่ security

PCI DSS — สำหรับทุกบริษัทที่รับบัตรเครดิต#

PCI DSS (Payment Card Industry Data Security Standard — มาตรฐานความปลอดภัยข้อมูลของอุตสาหกรรมบัตรชำระเงิน) = มาตรฐานที่ออกโดย PCI Security Standards Council (ก่อตั้งโดย Visa, Mastercard, American Express, Discover, JCB ร่วมกัน). บังคับ ทุกบริษัทที่รับ / ประมวลผล / เก็บข้อมูลบัตรเครดิต — ไม่ว่าจะอยู่ประเทศไหน

รุ่นปัจจุบัน PCI DSS v4.0 ใหม่ปี 2024 ขยายขอบเขตจากเดิมมาก — เพิ่มเรื่อง MFA สำหรับทุก non-console access, เพิ่ม script management สำหรับ payment page, เพิ่ม authenticated vulnerability scanning. การ migrate จาก v3.2.1 → v4.0 บังคับครบในปี 2025

PCI DSS แบ่งบริษัทเป็น 4 levels ตามจำนวนรายการ:

• Level 1: > 6 ล้านรายการต่อปี — ต้อง on-site assessment โดย QSA
• Level 2: 1-6 ล้านรายการต่อปี — ต้อง Self-Assessment Questionnaire (SAQ) + ASV scan
• Level 3: 20,000-1 ล้านรายการต่อปี — SAQ + ASV scan
• Level 4: < 20,000 รายการต่อปี — SAQ

ในไทย — ธนาคาร, payment gateway, e-commerce ขนาดใหญ่ส่วนใหญ่อยู่ Level 1-2. SME e-commerce ทั่วไปอยู่ Level 3-4

SOX — สำหรับบริษัทที่อยู่ในตลาดหุ้น US#

SOX (Sarbanes-Oxley Act — กฎหมายซาร์เบนส์-ออกซลีย์) = กฎหมายอเมริกาออกปี 2002 หลังจากเคส Enron และ WorldCom ที่ทำบัญชีโกหก. SOX บังคับบริษัทที่ จดทะเบียนในตลาดหุ้นอเมริกา (รวมบริษัทไทยที่ list ใน NYSE หรือ NASDAQ — เช่น True ที่เคย list ADR)

ส่วนที่เกี่ยวกับ IT คือ SOX Section 404 ที่บังคับบริษัทต้องมี internal control over financial reporting (ICFR) ที่มี IT general controls (ITGC) รองรับ. ITGC ครอบคลุม:

• Access management — ใครเข้าระบบบัญชีได้บ้าง, มี approval workflow ไหม
• Change management — เปลี่ยน code ระบบบัญชีต้องมี approval + test
• Operations — backup, disaster recovery, monitoring
• Segregation of duties — คนที่เขียน code ไม่ใช่คนที่ deploy production

CEO + CFO ต้อง เซ็นรับรองด้วยตัวเอง ว่าระบบ control เพียงพอ. โกหก = โทษอาญา. นี่คือเหตุที่ผู้บริหารบริษัทที่ list US จริงจังกับ SOX มากกว่าใคร

HIPAA — สำหรับโรงพยาบาลในอเมริกา (แต่กระทบไทยด้วย)#

HIPAA (Health Insurance Portability and Accountability Act) = กฎหมายอเมริกาออกปี 1996 เพื่อคุ้มครอง Protected Health Information (PHI — ข้อมูลสุขภาพที่ระบุตัวบุคคลได้). บังคับ:

• Covered entities — โรงพยาบาล, คลินิก, ประกันสุขภาพ
• Business associates — vendor ที่เข้าถึง PHI (รวมถึงผู้ให้บริการ cloud, billing software, IT outsourcing)

ทำไมกระทบไทย? — บริษัทไทยที่ให้บริการ IT outsourcing กับโรงพยาบาลอเมริกา (เช่น medical transcription, billing, IT support) ต้องเซ็น Business Associate Agreement (BAA) และทำตาม HIPAA Security Rule + Privacy Rule. ค่าปรับสูงสุด $1.5 ล้านต่อ violation category ต่อปี

GDPR — สำหรับบริษัทที่มีลูกค้า EU#

GDPR (General Data Protection Regulation — กฎคุ้มครองข้อมูลทั่วไป) = กฎหมาย EU บังคับใช้ปี 2018 ที่เปลี่ยนวงการ privacy ทั่วโลก. คุ้มครอง ข้อมูลส่วนบุคคลของคนที่อยู่ใน EU — ไม่ใช่แค่พลเมือง EU. หมายความว่าถ้าบริษัทไทยมีลูกค้าที่อยู่ใน EU (รวม tourist ที่ใช้ service ของคุณตอนอยู่ใน EU) = GDPR applies

ข้อกำหนดสำคัญ:

• Lawful basis — ต้องมีเหตุผลทางกฎหมายในการเก็บข้อมูลแต่ละชิ้น (consent, contract, legal obligation, vital interest, public interest, legitimate interest)
• Data subject rights — เจ้าของข้อมูลมีสิทธิ์ขอเข้าถึง / แก้ไข / ลบ / portability
• Breach notification — ต้องแจ้ง regulator ภายใน 72 ชั่วโมง หลังรู้ว่าโดน breach
• Data Protection Officer (DPO) — บริษัทที่ประมวลผลข้อมูล sensitive ในระดับใหญ่ต้องตั้ง DPO

ค่าปรับ — สูงสุด 20 ล้านยูโร หรือ 4% ของ global annual revenue (แล้วแต่อันไหนสูงกว่า). นี่คือเหตุผลที่บริษัทใหญ่จริงจังกับ GDPR — เพราะ 4% ของ revenue ของบริษัทใหญ่ = หลายพันล้าน

PDPA — กฎหมายที่บังคับบริษัทไทยทุกแห่ง#

PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — Personal Data Protection Act) = กฎหมายไทย บังคับใช้เต็มรูปแบบ 1 มิถุนายน 2565. ออกแบบโดยอิงจาก GDPR เป็นหลัก — โครงสร้างคล้ายกันมาก

บังคับ ทุกบริษัทไทยที่เก็บ / ใช้ / เปิดเผยข้อมูลส่วนบุคคล — ไม่ว่าธุรกิจขนาดไหน. ข้อกำหนดสำคัญ:

• ฐานทางกฎหมาย ในการเก็บข้อมูล (6 ฐานเทียบกับ GDPR)
• สิทธิ์เจ้าของข้อมูล (เข้าถึง / แก้ / ลบ / โอน / คัดค้าน)
• DPO สำหรับบริษัทที่ประมวลผลข้อมูล sensitive จำนวนมาก
• Breach notification ต้องแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง

ค่าปรับ — สูงสุด 5 ล้านบาท + โทษอาญาในบาง case (เช่น เปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ)

Common pattern — ทุกตัวบังคับสิ่งเดียวกันคร่าวๆ#

ดูทั้ง 5 ตัวแล้วน่าจะเห็น pattern ครับ — แม้จะออกโดยคนละองค์กร, คนละประเทศ, สำหรับธุรกิจคนละแบบ — ของจริงที่ทุกตัวบังคับมีคร่าวๆ 5 ข้อ:

1. Documentation — มี policy เขียน, มี process เขียน
2. Access control — รู้ว่าใครเข้าถึงอะไรได้, มี MFA, มี least privilege
3. Encryption — ข้อมูล sensitive ต้องเข้ารหัส
4. Breach notification — ต้องแจ้ง regulator + ผู้เสียหายภายในระยะเวลาที่กำหนด
5. Audit trail — เก็บ log ใครทำอะไรเมื่อไหร่

นี่คือเหตุที่บริษัทใหญ่ที่ทำ ISO 27001 ดีๆ แล้ว — มักครอบคลุม PCI DSS + GDPR + PDPA ส่วนใหญ่อยู่แล้ว. ไม่ต้องสร้างระบบใหม่ทุกครั้ง — แค่ map ว่าระบบเดิมตอบ requirement ของตัวไหนได้บ้าง

มุมผู้บริหาร: บริษัทไทยที่ขายของให้ลูกค้าต่างประเทศ + เก็บข้อมูลคนไทย + รับบัตรเครดิต = ต้อง compliance PDPA + GDPR + PCI DSS พร้อมกัน. ฟังดูเยอะมาก — แต่เพราะทั้ง 3 ตัวบังคับสิ่งเดียวกันคร่าวๆ ค่าใช้จ่ายไม่ได้เพิ่มเป็น 3 เท่า. ของจริงคือ — ทำ ISO 27001 ครั้งเดียวเป็นฐาน → map สู่ PDPA + GDPR + PCI DSS เพิ่ม ค่าใช้จ่ายเพิ่มแค่ 30-50% ไม่ใช่ 300%. คำถามที่ผู้บริหารควรถาม CIO คือ — “ปัจจุบันเรา compliance ตัวไหนบ้าง? mapping ระหว่างแต่ละตัวมีคนทำไหม?” ถ้าตอบไม่ได้ = บริษัทกำลังทำงานซ้ำซ้อนแบบไม่รู้ตัว

Pattern 1 — เตรียมเอกสารแค่ก่อน audit#

บริษัท X จ้าง consultant ภายนอกมาช่วยเตรียม audit ตั้งแต่ 2 เดือนก่อน auditor มา. ทีม consultant 5-10 คน เข้ามาช่วยเขียน policy, ทำเอกสาร, ทำ evidence binder. audit เสร็จ — ทีม consultant กลับ. บริษัทเหลือเอกสารกองหนึ่งบน sharepoint ที่ไม่มีใครเปิดอีก

10 เดือนถัดมา — บริษัทใช้ชีวิตประจำวันแบบเดิม. policy ที่เขียนไว้สวยไม่มีใครอ่าน. process ที่ออกแบบไว้ดีไม่มีใครทำ. ทุกอย่างกลับไปสภาพก่อน audit. แต่ในมือบริษัท — มีใบรับรองที่ใช้ตอบลูกค้าได้

ปีถัดมา — consultant กลุ่มเดิมกลับมาอีกครั้ง 2 เดือนก่อน audit. รอบใหม่. บริษัทใช้ชีวิต compliant แค่ 2 เดือนต่อปี — และ non-compliant 10 เดือนต่อปี

Pattern 2 — Policy ที่เขียนสวย แต่พนักงานไม่รู้ว่ามี#

ลองนึก scenario ที่ออกข้อสอบ CISA บ่อย — security awareness assessment ในบริษัทใหญ่แห่งหนึ่งที่มี ISO 27001 cert มา 5 ปี. สอบถามพนักงาน 30 คน — มีแค่ 3 คนที่รู้ว่าบริษัทมี Information Security Policy. และมีแค่ 1 คนที่บอกได้ว่าหาเอกสารนั้นเจอที่ไหน. นี่คือ pattern ที่ ISACA และนักวิจัย security ใช้เป็นตัวอย่างคลาสสิคของ paper-compliance gap

policy ของบริษัทนี้ดีมาก — 60 หน้า เขียนละเอียด ครอบคลุมทุกเรื่อง. ปัญหาคือ — มันนอนเงียบใน sharepoint folder ที่ไม่มี link จากหน้าแรก. พนักงานทุกคนเซ็นรับว่า “อ่านแล้ว” ตอนปฐมนิเทศ — แต่ไม่มีใครอ่านจริง

Auditor ขอดู policy → มีให้ดู. ขอดู signed acknowledgment → มีให้ดู. ผ่าน. แต่ของจริงคือ — ระบบนี้ไม่ได้บังคับพฤติกรรมพนักงานเลย

Pattern 3 — Compliance ในเอกสาร ≠ Compliance ใน config#

บริษัท Y มี password policy ในเอกสารชัดเจน — “minimum 12 characters, mixed case, special character, rotate every 90 days, no reuse of last 5 passwords”. เอกสารผ่าน audit ทุกปี

ของจริงในระบบ — admin account ของหลาย service ตั้ง password เป็น Admin123! หรือ Welcome2024 ซึ่งผ่านเกณฑ์ “12 characters + mixed case + special character” — แต่ทุกโจรในโลกเดาได้ใน 5 วินาที. และ rotate 90 วัน admin หลายคนใช้วิธีเพิ่มเลข 1 → Admin123! กลายเป็น Admin124!. ทำตามเอกสาร 100% — แต่ไม่ปลอดภัย 100% เช่นกัน

Real case — Heartland Payment Systems 2008#

ทีนี้ดูเคสที่ทำให้คำว่า compliance theater เริ่มถูกพูดถึงในวงการ — Heartland Payment Systems ครับ

Heartland เป็นหนึ่งใน payment processor ที่ใหญ่ที่สุดในอเมริกา. ปี 2008 — Heartland ผ่าน PCI DSS audit ทุกปีตามที่กฎหมายบังคับ. มี ROC (Report on Compliance) จาก QSA ที่ accredited

ในเดือนพฤษภาคม 2008 — โจรเข้ามาผ่าน SQL injection ใน corporate website. จากนั้นเดินเข้าไปในเครือข่าย internal ที่เชื่อมกับ payment processing network. ติดตั้ง packet sniffer เพื่อดักจับข้อมูลบัตรเครดิตที่วิ่งผ่าน. โจรอยู่ในระบบ Heartland 8 เดือน โดยไม่มีใครจับได้

ตอนค้นพบในเดือนมกราคม 2009 — บัตรเครดิตหลุดไป 130 ล้านใบ. เคสที่ใหญ่ที่สุดในประวัติศาสตร์ ณ ตอนนั้น

CEO Robert Carr ออกมาให้สัมภาษณ์หลังเหตุการณ์ — ประโยคที่ผมจำได้ทุกครั้งที่พูดเรื่อง compliance:

“We were PCI compliant. But it didn’t matter.”

“เราผ่าน PCI compliant ทุกข้อ. แต่มันไม่ได้ช่วย”

ทำไมไม่ช่วย? — เพราะ PCI DSS scope ของ Heartland ครอบคลุม payment processing network — ไม่ครอบคลุม corporate website ที่เป็นจุดเข้าของโจร. SQL injection ใน corporate site อยู่นอก scope. auditor ไม่ได้ตรวจ. โจรเข้าทางนั้น

Cost ของ breach นี้ — $145 ล้าน (รวมค่าปรับ + ค่า litigation + ค่าช่วยเหลือลูกค้า + ค่า remediation). Heartland รอดมาได้แต่บาดเจ็บหนัก

Pattern ซ้ำใน Equifax, Target, และอีกหลายเคส#

Heartland ไม่ใช่กรณีโดดเดี่ยว. pattern เดียวกันเกิดกับ:

• Target 2013 — PCI compliant — โดน 40 ล้านบัตรเครดิตหลุด — เข้าผ่าน HVAC vendor ที่ไม่อยู่ใน scope
• Equifax 2017 — มี PCI DSS, มี ISO 27001 cert บางส่วน, มี NIST mapping — โดน 147 ล้านแฟ้มหลุด — เข้าผ่าน Apache Struts vulnerability ที่ patch ออกมา 6 สัปดาห์
• Marriott 2018 — มี SOC 2 cert — โดน 500 ล้านแฟ้ม — โจรอยู่ในระบบ 4 ปีไม่มีใครเห็น

ทุกเคส — certificate มี. compliance pass. แต่ security ไม่อยู่

มุมผู้บริหาร: ก่อนเซ็น report audit ครั้งต่อไป — ถาม auditor คำถามเดียว — “ถ้าโจรเข้ามาวันนี้ — control ตัวไหนของเราที่คุณคิดว่าน่ากังวลที่สุด?” คำตอบจะเป็นเสียงจริงของผู้เชี่ยวชาญ ไม่ใช่เสียงในเอกสาร — และทำให้ audit เปลี่ยนจาก ละครพิธีกรรม เป็น ที่ปรึกษาเชิงกลยุทธ์ ในประโยคเดียว

หลักการ — เปลี่ยน snapshot เป็น stream#

แบบเดิม:

• ทุก 12 เดือน — auditor มา → ใช้เวลา 2 เดือนเตรียม → ตรวจ 2 สัปดาห์ → ผ่าน → ปล่อยทิ้ง 10 เดือน

แบบ continuous:

• ทุกวัน — เครื่องมือ scan controls อัตโนมัติ → ใครเปลี่ยน config ที่ทำให้ compliance หลุด → alert ทันที → แก้ทันที
• ทุก 12 เดือน — auditor มา → ใช้เวลา 1 สัปดาห์ตรวจ (เพราะ evidence รวบรวมไว้แล้ว) → ผ่าน

ของจริงที่ต้องมี 4 องค์ประกอบ:

1. SIEM (Security Information and Event Management) — ระบบที่รวบรวม log จากทุก source (server, network, application, cloud) มาที่จุดเดียว + วิเคราะห์ pattern ผิดปกติ + alert. ทำให้ “เก็บ log + เฝ้าดู” ที่ทุก compliance framework บังคับ → กลายเป็นเรื่องอัตโนมัติ

2. Configuration Drift Detection — เครื่องมือที่เห็นทันทีถ้ามีคนเปลี่ยน config ในระบบ. เช่น admin เปิด SSH port ใน firewall, ปิด MFA ของ service account, ลด password complexity. ทำให้ “config ตรง policy” → ตรวจสอบได้ทุกวัน ไม่ใช่ทุกปี

3. Vulnerability Scanner อัตโนมัติ — scan หาช่องโหว่ในระบบทุกสัปดาห์ (หรือทุกวันสำหรับระบบสำคัญ) → จัดลำดับ severity → ส่ง ticket ให้ทีม patch. ทำให้ “patch management” → กลายเป็น workflow ปกติ ไม่ใช่งานพิเศษ

4. Cloud Posture Management (CSPM) — สำหรับบริษัทที่ใช้ cloud — เครื่องมือที่ดู configuration ของทุก cloud resource (S3 bucket, IAM policy, security group) เทียบกับ baseline → เห็น drift ทันที. AWS Security Hub, Azure Defender for Cloud, Google Security Command Center เป็นตัวอย่าง

Compliance as Code — platforms ใหม่ที่กำลังโต#

นอกจาก 4 องค์ประกอบข้างบน — ในช่วง 3-5 ปีที่ผ่านมามี continuous compliance platforms เกิดใหม่หลายเจ้าที่เปลี่ยนวิธีทำ compliance ของบริษัทเล็ก-กลาง:

• Drata — auto-evidence collection สำหรับ SOC 2, ISO 27001, HIPAA, GDPR, PCI DSS — ราคาเริ่ม $7,500-15,000/ปี
• Vanta — คล้าย Drata, มีลูกค้าใหญ่กว่า เน้น SOC 2 — ราคาเริ่ม $11,000/ปี
• Secureframe — คล้าย 2 ตัวข้างต้น, focus ที่ usability — ราคาเริ่ม $8,000/ปี

platforms พวกนี้ทำงานยังไง? — เชื่อมเข้ากับระบบของบริษัท (AWS, Google Workspace, GitHub, HR system, ฯลฯ) → ดึง evidence อัตโนมัติทุกวัน → แสดง real-time compliance dashboard → ตอน audit auditor เปิด dashboard ดูได้ทันที

ผลคือ — บริษัทที่ใช้ Drata/Vanta สามารถได้ SOC 2 cert ใช้เวลาเตรียม 3-6 เดือน แทนที่จะเป็น 12 เดือน + ค่า prep ลดจาก $50,000+ เหลือ$10,000-15,000

Cloud-native — built-in dashboards ที่ AWS / Microsoft / Google ให้ฟรี#

ถ้าบริษัทคุณใช้ public cloud อยู่แล้ว — 3 cloud providers ใหญ่ให้ continuous compliance dashboard built-in ฟรี:

• AWS Trusted Advisor + AWS Security Hub — แสดงสถานะ controls เทียบกับ CIS Benchmark, PCI DSS, HIPAA, NIST CSF
• Microsoft Defender for Cloud + Compliance Manager — เทียบกับ ISO 27001, SOC 2, NIST, PCI DSS, HIPAA
• Google Cloud Security Command Center + Compliance Manager — เทียบกับ CIS, PCI DSS, NIST CSF

หมายความว่า — บริษัทที่ใช้ cloud มีเครื่องมือ continuous compliance baseline ฟรี อยู่แล้ว. ปัญหาคือ — บริษัทส่วนใหญ่ไม่รู้ว่ามี + ไม่เปิดดู

Trade-off — ต้นทุน + buy-in#

Continuous compliance ฟังดูดีไปหมด — แต่มี trade-off ที่ผู้บริหารต้องเข้าใจ:

ต้นทุนเริ่มต้นสูงกว่า. SIEM ระดับ enterprise (Splunk, IBM QRadar) ราคาเริ่ม $50,000-200,000/ปี. CSPM tool ราคา$20,000-100,000/ปี. Drata/Vanta ราคา $8,000-15,000/ปี. รวมกัน — บริษัทกลางใช้ continuous compliance stack ปีละ **$100,000-500,000**. เพิ่มกว่าค่า audit รอบปีเดิม 2-3 เท่า

ต้องการ buy-in จากทีม IT. การเปิด continuous monitoring หมายความว่า — IT manager จะถูก “เห็น” ทุกครั้งที่ทำอะไรนอก policy. หลายบริษัทเริ่มขั้นตอนนี้แล้วเจอ resistance จาก IT — “ระบบเฝ้าผมเหรอ?”. ต้อง change management ระดับวัฒนธรรม

แต่ระยะยาวคุ้มกว่า. ค่า audit ลดลง (เพราะ evidence พร้อม). ค่า breach (risk-adjusted) ลดลง. ค่า insurance ลดลง (insurance ราคาขึ้นทุกปีสำหรับบริษัทที่มี audit แบบ snapshot อย่างเดียว). หลังปีที่ 2-3 — ROI เริ่มชัด

ใครพร้อมไปทาง continuous — ใครยังไม่ต้องรีบ#

• บริษัทใหญ่ + ใช้ cloud + มีทีม security เต็มเวลา = ไปได้แล้ว ควรเริ่ม
• บริษัทกลาง + มีลูกค้าต่างประเทศ ต้อง SOC 2 / ISO 27001 = ใช้ Drata/Vanta คุ้มมาก
• SME + บริษัทเล็ก = ยังไม่ต้องรีบ — เริ่มจากเปิด built-in dashboard ของ cloud ที่ใช้อยู่ก่อน (ฟรี) → ดูทุกสัปดาห์ → mature ขึ้นค่อยเพิ่ม

มุมผู้บริหาร: ผมอยากตั้งคำถาม strategic ให้คุณคิดครับ — ถ้าทีม IT บอกคุณว่า “เรา compliant” — คุณดูได้ที่ไหน?. ถ้าคำตอบคือ “เอกสารบน sharepoint ที่ update ปีละครั้งหลัง audit” = คุณอยู่ในโลก snapshot. ถ้าคำตอบคือ “เปิด dashboard ที่นี่ — real-time” = คุณอยู่ในโลก continuous. ทิศทางของวงการ + ทิศทางของ regulator + ทิศทางของ insurance ทั้งหมดวิ่งไปทาง continuous. คำถามไม่ใช่ “เราจะไปไหม” — แต่เป็น “เราจะไปเร็วแค่ไหน”. เริ่มที่เปิด dashboard ฟรีของ cloud provider ใน 30 วันนี้ — เป็นจุดเริ่มต้นที่ต้นทุน = 0

สิ่งที่ผู้นำต้องจำ — 2 ข้อ#

• ข้อแรก Certificate คือ “ใบเข้างาน” ไม่ใช่ “การันตี” ใบ ISO 27001 / SOC 2 / PCI DSS ทำให้ลูกค้าต่างประเทศเซ็นสัญญาง่ายขึ้น + insurance ราคาดีกว่า + regulator พอใจ นี่คือมูลค่าจริงของ certificate แต่ใบรับรองไม่ได้แปลว่าปลอดภัย Equifax, Heartland, Target, Marriott ทั้ง 4 บริษัทมี cert ก่อนโดน อย่าสับสนระหว่างประโยชน์ที่ certificate มอบ (ความเชื่อใจในตลาด) กับสิ่งที่ certificate ไม่ได้มอบ (ความปลอดภัยจริง) 2 อย่างนี้ต่างกันสิ้นเชิง
• ข้อสอง เปลี่ยน mindset จาก “ผ่าน audit” → “อยู่ในสภาพ audit-ready ตลอด” นี่คือ shift ที่บริษัท security-mature ทุกแห่งทำในช่วง 5-10 ปี แทนที่จะเตรียม 2 เดือนก่อน audit + ปล่อยทิ้ง 10 เดือน → ทำให้บริษัทอยู่ในสภาพ audit-ready 365 วันต่อปี ผ่าน continuous monitoring ผลคือ auditor มาตอนไหนก็พร้อม + ของจริงปลอดภัยกว่าด้วย เพราะ controls ทำงานทุกวัน ไม่ใช่ทำงานแค่ก่อน audit เริ่มจากเปิด built-in dashboard ของ cloud ที่ใช้อยู่ ค่าใช้จ่าย = 0 บาท นี่คือก้าวแรกของทุกบริษัท