Part 0 (EP.01-05) — WHY: ฐานคิดของเมือง#

ก่อนเดินเข้าเมือง เราต้องตอบคำถามก่อนว่า “ทำไม”

ในเมืองนี้มี ของมีค่า — ข้อมูลลูกค้า / เงินในบัญชี / ความลับธุรกิจ / ชื่อเสียงบริษัท. ในขณะเดียวกัน มี โจร เดินรอบเมือง — Nation-state / Cybercrime gang / Insider / Hacktivist. EP.02 พาคุณดู 4 เคสจริงที่เปลี่ยนวงการ — Equifax 2017 (147 ล้านแฟ้มหาย), Target 2013 (โจรเข้าผ่าน HVAC vendor), SolarWinds 2020 (supply chain attack ที่กระทบ 18,000 องค์กร), Capital One 2019 (cloud misconfig)

แล้ว 3 mindset หลักวางลง:

• CIA Triad (EP.03) — 3 คำถามที่ยามต้องตอบเสมอ — Confidentiality / Integrity / Availability
• Defense in Depth + Diversity (EP.04) — ป้อมปราการชั้นๆ ที่ใช้เทคนิคต่างกัน
• Assume Breach + Risk (EP.05) — สมมติว่าโจรเข้ามาแล้ว — ออกแบบเมืองให้ความเสียหายจำกัด + ลงทุนตาม Risk ไม่ใช่ตาม fear

Part 0 = เครื่องมือคิด. ทุกครั้งที่ตัดสินใจเรื่อง security กลับมาถามตัวเองด้วย 3 mindset นี้

มุมผู้บริหาร: Part 0 เป็น Part ที่ผู้บริหารกลับมาอ่านบ่อยที่สุด เพราะ 3 mindset (CIA / DiD / Assume Breach) ไม่ได้เปลี่ยนแม้เทคโนโลยีจะเปลี่ยน. ทุกครั้งที่ตัดสินใจ security strategy เริ่มที่ Part 0 ก่อน ก่อนลงรายละเอียดของ tool / vendor / framework

Part 1 (EP.06-09) — HOW: ระบบนิเวศของเมือง#

เห็นภาพแล้วว่าเมืองนี้มีของมีค่า + มีโจร. HOW = ระบบนิเวศ — ใครเป็นใครในวงการ

ฝั่ง โจร มี 6 ประเภท (EP.06):

• Nation-state actor — หน่วยข่าวกรองต่างชาติ (APT — Advanced Persistent Threat)
• Cybercrime gang — แก๊งโจรที่ทำเงินจาก ransomware / fraud
• Hacktivist — นักเคลื่อนไหวที่เขียน graffiti บน website
• Insider — พนักงานเมืองที่โกง
• Script kiddie — เด็กแว้นที่ลองของ
• Cyberterrorist — โจรที่ทำเพื่อสร้างความหวาดกลัว

ฝั่ง ผู้ป้องกัน มีระบบนิเวศของตัวเอง (EP.07) — ตำรวจเมือง (law enforcement) + ทหารเมือง (military cyber unit) + ยามเอกชน (security vendor) + นักวิจัย (researcher) + CERT/CSIRT แต่ละประเทศ

ส่วน กฎหมายเมือง (EP.08) มี framework ที่ใช้ทั่วโลก ได้แก่ ISO 27001 (มาตรฐานนานาชาติ), NIST CSF (แบบของอเมริกา), COBIT (แบบของผู้บริหาร), CIS Controls (checklist ปฏิบัติได้) บวกกับ BCM Standards Family ที่บริษัทไทยมักลืม คือ ISO 22301 (BCMS), BCI Good Practice Guidelines, DRII Professional Practices, NFPA 1600, FFIEC (สำหรับ financial institution), FEMA (รัฐบาลกลาง US), HIPAA contingency rule (healthcare). แต่ละแบบมีจุดเด่นต่างกัน บริษัทต้องเลือกตามขนาด อุตสาหกรรม และ regulator

EP.09 ปิดด้วย Compliance Theater — เคสที่ Equifax ผ่าน PCI DSS audit แต่โดนปล้น. ข้อสรุป — Compliance ผ่าน ≠ Security ดี. นี่คือบทเรียนที่จะกลับมาในทุก Part

Part 2 (EP.10-17) — Identity: บัตรประชาชน + กุญแจห้อง#

ในเมืองที่ของมีค่า — ใครเข้าได้ สำคัญที่สุด. Part 2 เริ่มลึกขึ้น

IAM Lifecycle (EP.10) — ระบบจัดการบัตรของพนักงาน 3 ขั้น:

• Joiner — วันแรกเข้าทำงาน รับบัตร + กุญแจ
• Mover — ย้ายแผนก บัตรเก่าต้องคืน
• Leaver — ลาออก เก็บบัตรคืนทันที

ปัญหาที่บริษัทไทยติดบ่อยที่สุด — Orphan Account (กุญแจของพนักงานที่ลาออกแล้วยังเปิดได้) + Privilege Creep (คนเดียวมีกุญแจสะสมจากแผนกที่ผ่านทั้งบริษัท) — 2 อย่างนี้ฆ่าบริษัทเงียบๆ มาแล้วหลายเคส

Authentication (EP.11) มี 3 factor — Know (password) + Have (token/phone) + Are (biometric) + AAA Protocols (RADIUS / TACACS+ / Diameter) ที่ enterprise ใช้รวบ identity ของอุปกรณ์เป็นพันชิ้น + Certificate-based authentication (ใช้ใบรับรองดิจิทัลแทน password) + ความต่างของ Coarse-grained vs Fine-grained authorization (อนุญาตหยาบระดับ “เข้า app ได้” vs ละเอียดระดับ “แก้ไข field นี้ได้เฉพาะวันธรรมดา”). EP.12 ลงลึก password ที่เก็บปลอดภัย — bcrypt / Argon2 + salt + pepper. EP.13 พูดเรื่อง MFA + biometric — รวมทั้งจุดอ่อนที่ biometric หลอกได้ในแลบ + biometric performance metrics ที่ผู้บริหารต้องอ่านออกตอน vendor มาขาย: FAR (False Acceptance Rate) ปล่อยคนผิดเข้าได้ + FRR (False Rejection Rate) ปฏิเสธคนถูก + CER / EER (Crossover Error Rate) จุดที่ FAR = FRR (ยิ่งต่ำยิ่งดี) + FER (Failure to Enroll Rate) + Fig 5.18 crossover diagram ที่อธิบายว่า threshold ที่ปรับให้ปลอดภัยขึ้น (FAR ↓) จะทำให้ใช้ยากขึ้น (FRR ↑) เสมอ. EP.13 ยังไล่ 8 biometric modalities (palm / hand geometry / iris / retina / fingerprint / face / voice / signature dynamics) + ordering ของ response time ที่ใช้ตัดสินใจว่าควรใช้ตัวไหนสำหรับ access ระดับไหน

EP.14 พา Kerberos ระบบบัตรของบริษัทใหญ่ที่ Active Directory ใช้ — ภาพโรงแรม + KDC + TGT + Service Ticket. EP.15 Federation / SSO ที่ทำให้ “Login with Google” ทำงานได้ผ่าน SAML / OAuth / OIDC

EP.16 Authorization 4 แบบ — RBAC (ตามตำแหน่ง) / ABAC (ตาม attribute) / MAC (ตามชั้นความลับ) / DAC (เจ้าของแชร์เอง). EP.17 ปิด Part 2 ด้วย PAM (ตู้เซฟของกุญแจ admin) + Zero Trust (ตำรวจตรวจที่ทุกประตู — ไม่ใช่แค่หน้าตึก)

Part 3 (EP.18-26) — Data: ของในเซฟ#

Identity จบ — รู้ว่าใครเข้าได้. แล้ว ของในเซฟ คืออะไร เก็บยังไง? Part 3 ตอบ

Data Classification + Lifecycle (EP.18) — แบ่งของเป็น Public / Internal / Confidential / Restricted + วงจร Create → Store → Use → Share → Archive → Destroy

แล้วเข้าเรื่อง Cryptography — วิธีหุ้มห่อของ. EP.19 ปูภาพรวม 3 ตระกูล. EP.20 ลึก Symmetric (AES) — แม่กุญแจล็อกเกอร์ที่ต้องแบ่งคนละดอก + ECB penguin (ภาพคลาสสิคที่บอกว่าทำไม mode สำคัญ). EP.21 ลึก Asymmetric (RSA + Diffie-Hellman) — ตู้ไปรษณีย์ที่ใส่จดหมายลงได้ทุกคน เปิดได้คนเดียว. EP.22 ลึก Hashing (SHA family) — ลายนิ้วมือดิจิทัล + collision

EP.23 PKI + Certificates — ระบบบัตรประชาชนของเมือง + เคส DigiNotar 2011 ราชวงศ์ที่โดนปลอม → ล่มทั้งระบบใน 3 สัปดาห์. รอบนี้ EP.23 ลงลึก 3 components ของ PKI (CA = ผู้ออกบัตร + RA = ผู้ตรวจตัวตนก่อนออก + Repository = ที่เก็บบัตรที่ออกแล้ว) + 6 certificate revocation reasons ตาม RFC 5280 (key compromise / CA compromise / affiliation changed / superseded / cessation of operation / certificate hold) + CRL data fields ที่ auditor ต้องรู้ว่า revocation list ต้องมีอะไรบ้าง + catalog 11 PKI risks (CA compromise / weak key / lost private key / outdated CRL / improper RA validation ฯลฯ) + PKI Audit 7-area framework ที่ใช้ตรวจ CA operation + ความต่าง CP (Certificate Policy) vs CPS (Certification Practice Statement) ที่ผู้บริหารและ auditor มักสับสน — CP = “บัตรนี้ใช้ทำอะไรได้” (policy), CPS = “เราออก/ตรวจบัตรยังไง” (practice). EP.24 TLS / HTTPS — ตู้ขนเงินหุ้มเกราะระหว่างทาง — สิ่งที่ป้องกัน + ที่ ไม่ป้องกัน (TLS ไม่บอกว่า server ดี — บอกแค่ว่าไม่มีใครฟังกลางทาง)

EP.25 Email security stack — SPF / DKIM / DMARC — 3 ด่านของระบบไปรษณีย์เมือง. EP.26 ปิด Part 3 ด้วย Privacy engineering — Privacy by Design + Data Minimization + Pseudonymization + Differential Privacy

Part 4 (EP.27-38) — Infrastructure: ถนน กำแพง ท่อ#

ของในเซฟพร้อม. โครงสร้างพื้นฐาน ที่ของวิ่งอยู่บนนั้นล่ะ?

ก่อนเข้า EP.27 มี EP.26.5 Network Anatomy primer ปูพื้น OSI 7 Layer + TCP/IP 4 Layer + protocol stack + LAN physical media (UTP/STP/Fiber + EMI/Crosstalk) + topology + device→Layer mapping + WAN transmission (Simplex/Duplex + Circuit/Packet switching) + SNMP/ICMP + 4 network metrics. รอบนี้เสริม Network Types taxonomy ครบขนาด (PAN / WPAN / LAN / WLAN / MAN / WAN / WWAN + piconet + IrDA) ที่ผู้บริหารต้องอ่านออกตอน vendor พูดเรื่อง “WPAN” หรือ “WWAN” แทนที่จะ blur ทุกอย่างเป็น “เครือข่าย” + ความต่าง NAS (Network-Attached Storage) ที่ต่อผ่าน TCP/IP เหมือนเป็น file server vs SAN (Storage Area Network) ที่เป็นเครือข่ายแยกของ storage โดยเฉพาะ + VSAN (Virtual SAN) + ตาราง SAN vs VSAN comparison ที่ช่วยตัดสินใจตอนวางสถาปัตยกรรม storage. ขยาย PVC vs SVC (Permanent vs Switched Virtual Circuit — ความต่างระหว่างวงจรที่ตั้งไว้ตลอด vs สร้างเมื่อต้องใช้) + VLAN Static vs Dynamic + 6 security characteristics ของ VLAN ที่ auditor ใช้ตรวจ network segmentation. ทุกอย่างที่ Part 4 คุยตัดสินใจที่ Layer ต่างกัน ถ้าไม่มี anatomy ในหัวก่อน อ่าน Part 4 จะกระท่อนกระแท่นแน่นอน

EP.27 Firewall 4 generations ป้อมยามตรวจรถ. EP.28 Segmentation + DMZ + Microsegmentation แบ่งย่าน. EP.29 IDS / IPS / WAF / RASP ตำรวจ 4 ระดับ — รอบนี้ลึกถึง IDS 4-part components (sensors / analyzers / management console / user interface) + 6 features + 4 limitations ของ IDS + IDS Policy ที่ผู้บริหารต้องตัดสินใจล่วงหน้าระหว่าง terminate (ตัดการเชื่อมต่อทันทีเมื่อสงสัย — เสี่ยง false positive ทำธุรกิจสะดุด) vs trace (เก็บหลักฐานดูพฤติกรรมต่อ — เสี่ยงโจรทำเสร็จก่อนเราตอบ) + WIPS (Wireless IPS) สำหรับ Wi-Fi network + IDS/IPS 7 best practices ที่ทีม SOC ใช้เป็น checklist. EP.30 VPN + Proxy + DNS Security ท่อใต้ดิน + คนกลาง + สมุดที่อยู่ พร้อม NAT subtypes (Static NAT / Dynamic NAT / PAT/NAPT) + IPv6 transition 3 กลยุทธ์ (Dual Stacking / Tunneling / NAT64) + รอบนี้เสริม IPSec internals (Transport mode vs Tunnel mode + SA = Security Association + ISAKMP framework + IKE key exchange + AH vs ESP — AH ตรวจสอบ integrity อย่างเดียว, ESP เข้ารหัสด้วย) + DNSSEC ที่ลึกถึง NSEC / NSEC3 กับปัญหา zone enumeration ที่ NSEC3 แก้ + DS records ที่ผูก chain of trust + CDN deep (3 content types + 7 benefits + 6 risks + 7 best practices) ที่บริษัทไทยใช้ Cloudflare/Akamai แต่ไม่รู้ว่ามีจุดอ่อนอะไรบ้าง + NTP deep (stratum hierarchy + 5 vulnerabilities + 6 best practices + autokey authentication) ที่ดูเหมือนเรื่องเล็กแต่ถ้า NTP เพี้ยน timestamp ของ log/certificate/Kerberos จะพังหมด. EP.31 DDoS + DLP ป้อมรับนักท่องเที่ยว 10 ล้านคน + ยามขาออก — รอบนี้เสริม DLP Content Analysis 7 techniques ที่ DLP engine ใช้ตรวจของขาออก (regex / fingerprinting / Exact File Match / Indexed Document Match / statistical analysis / lexicon / machine learning) + Fig 5.26 DLP Risk Taxonomy + Fig 5.27 DLP Controls map + 6 use cases (PII / IP / source code / financial / healthcare / regulated data) + limitations ที่ผู้บริหารต้องรู้ว่า DLP ปลอม-positive เยอะแค่ไหน

แล้วเข้าโลก cloud — EP.32 Cloud + Shared Responsibility เช่าตึก vs ซื้อตึก. รอบนี้เพิ่ม Community cloud เป็น deployment model ตัวที่ 5 ของ NIST (สหกรณ์ cloud ที่หลายองค์กรในอุตสาหกรรมเดียวกันใช้ร่วม เช่น โรงพยาบาลในเครือ) + Cloud migration 3 forms ที่รวม Repatriation (ย้ายกลับจาก cloud มา on-prem) พร้อมเคส Dropbox ที่ประหยัด $75M จากการ repatriate workload หลักออกจาก AWS + 9 CSA Top Threats taxonomy ที่ Cloud Security Alliance รวบรวมเป็น checklist + SLA negotiation 10 items ที่ผู้บริหารต้องเช็คก่อนเซ็นสัญญา cloud. EP.33 Container + Kubernetes ตู้คอนเทนเนอร์ใน warehouse. EP.34 DevSecOps + Shift-Left ยามตรวจตั้งแต่โรงงาน พร้อม OS Hardening framework (CIS Benchmark / DISA STIG / secure baseline) ที่ทุก server และ endpoint ในบริษัทควรผ่านก่อน production

EP.35 Mobile + Wireless — พนักงานนอกตึก + สัญญาณวิทยุ. รอบนี้เพิ่ม CYOD (Choose Your Own Device) เป็น variant ที่ 4 ของ BYOD family (รายการที่บริษัทเลือกให้พนักงานเลือก — สมดุลระหว่าง freedom กับ standardization) + MDM 10 controls + 17 mobile controls + 7 best practices ที่ผู้บริหารใช้คุยกับ MDM vendor + Wireless categories framework (WLAN / WPAN / WWAN / Ad hoc) + ตาราง Wi-Fi expanded comparison 7 columns ที่เทียบ WEP / WPA / WPA2 / WPA3 ในแกน RC4 vs AES + 4-way handshake vs SAE + CCMP + EAP 5 types (LEAP / PEAP / EAP-TLS / EAP-TTLS / EAP-FAST) ที่ enterprise Wi-Fi ใช้ตัวไหนเมื่อไหร่ + Mobile Payment 4-type (Digital Wallet / Mobile Wallet / Cryptocurrency / Contactless) + 7 threats + 8 best practices ที่รวม Tokenization (แทนเลขบัตรด้วย token) / EMV (chip card standard) / 3DS (3-D Secure) / SCA (Strong Customer Authentication) / cryptograms / RBA (Risk-Based Authentication) + NFC / RFID / MST ที่เป็น contactless tech 3 ตัวที่ใช้แตกต่างกัน. EP.36 IoT + OT / ICS — คอมจิ๋วที่ฝังในของ + เคส Stuxnet 2010 + Colonial Pipeline 2021. EP.37 Remote Work + ZTNA — ตำรวจตรวจทุกประตู. EP.38 ปิด Part 4 ด้วย AI Security + Blockchain Security — ของใหม่ของยุคนี้ — Prompt Injection / Deepfake $25M ฮ่องกง / Ronin bridge$625M

Part 5 (EP.39-47) — Operations: ตำรวจ ดับเพลิง สืบสวน#

Prevention พร้อม. แต่ “It’s not if, but when” — ไม่ใช่ ถ้า แต่ เมื่อไหร่. Part 5 ตอบว่า เกิดเรื่องแล้วทำยังไง

EP.39 Threat Actors Deep + Kill Chain + MITRE ATT&CK — 6 ประเภทโจรลึก + Google Maps ของวงการ. รอบนี้เพิ่ม Passive vs Active attack taxonomy (Passive = แอบฟัง/ดักดู ไม่แก้ของ — ตรวจจับยาก เช่น sniffing / traffic analysis vs Active = แก้/ทำลาย/แทรกแซง — เห็นผลชัด เช่น replay / modification / DoS) + Causal Factors of internet attacks ที่อธิบายว่าทำไม internet ถึงเป็นสนามรบ — design ดั้งเดิม trust-by-default + protocol legacy + anonymity + global reach + economic asymmetry (โจมตีถูกกว่าป้องกัน). EP.40 Social Engineering + Phishing — Spear phishing / Whaling / BEC / Vishing / Smishing. EP.41 Malware Taxonomy — สวนสัตว์ของวงการ — Virus / Worm / Trojan / RAT / Rootkit / Ransomware / Spyware / Wiper. รอบนี้เพิ่ม Scareware family (โปรแกรมปลอมที่ขู่ว่า “เครื่องคุณติดไวรัส คลิกซื้อทันที!”) + Fig 5.58 ที่ไล่ 12 specific attacks (salami attack / TOCTOU = Time-of-Check vs Time-of-Use race / cryptojacking / pharming / phishing-kit ฯลฯ) + Malware management 17 controls ที่เป็น checklist ระดับ enterprise + Antimalware 4 types (signature-based / heuristic / behavior-based / sandboxing) + Malware Wall 3 levels (perimeter / network / endpoint) ที่อธิบายว่าทำไมการตั้ง AV แค่ที่ endpoint ไม่พอ

EP.42 OWASP Top 10 Deep — SQL Injection / XSS / SSRF / IDOR / Broken Authentication. EP.43 SOC + SIEM + EDR + XDR — ห้องควบคุม + ระบบรวม log + ยามใน endpoint. รอบนี้ลึกถึง SOC 9 activities (monitoring / triage / investigation / containment / eradication / recovery / threat hunting / threat intel / reporting) ที่ผู้บริหารใช้วัดว่า SOC ของตัวเองทำครบไหม + ประวัติของ SIM (Security Information Management) vs SEM (Security Event Management) ที่รวมกันเป็น SIEM + ความต่าง SIEM agent-based vs agentless (agent = ติดตั้งโปรแกรมที่ host เก็บละเอียดกว่า, agentless = ไม่ติดตั้ง เก็บผ่าน syslog/API ติดตั้งเร็วกว่า) + SIEM 8 benefits + 7 features + 10 best practices + SOAR 6 benefits (Security Orchestration, Automation and Response — ระบบที่ทำให้ playbook ทำงานอัตโนมัติ เช่น โดน phishing → ปิด account + แจ้ง user + เก็บ evidence ทันทีโดยไม่ต้องรอคน). EP.44 Threat Hunting + Deception — ไม่รอโจรมา ไปหาเอง + วาง honeypot ดักจับ

EP.45 Vuln Scan vs Pen Test vs Red Team — ความต่างที่ผู้บริหารสับสนบ่อย:

• Vuln Scan = เด็กส่องไฟฉายหาประตูที่ไม่ล็อก (automated)
• Pen Test = โจรพยายามเข้าจริง (manual)
• Red Team = แก๊งโจรปลอมตัวเข้าทั้งบริษัท (full simulation)

รอบนี้ขยายเป็น 5 team colors (Red / Blue / Purple + White team = referee/orchestrator ที่กำหนด scope + Yellow team = builder/developer ที่ red&blue ทำงานด้วย) + Pen-test vs Ethical hacking 7-bullet distinction ที่ผู้บริหารต้องอ่านออกตอนทำ RFP — pen-test มี scope/rules of engagement/report formal, ethical hacking กว้างกว่า + 5 security testing objectives + VA (Vulnerability Assessment) 5 goals + MAST (Mobile Application Security Testing) สำหรับ mobile app โดยเฉพาะ + Fuzz testing (โยน input สุ่มๆ ใส่ app เพื่อหา crash/bug)

EP.46 Incident Response (NIST 800-61) — 6 ขั้น (Preparation / Detection / Containment / Eradication / Recovery / Lessons Learned) + Order of Volatility บวก NIST 800-34 plan family (COOP / ISCP / CIP / OEP / BRP / ITCP) ที่ผู้บริหารควรรู้ว่าบริษัทมีกี่ฉบับ และคำตอบของคำถามคลาสสิคว่า IRP กับ DRP ต่างกันยังไง (IRP = ตอบสนอง incident security, DRP = กู้ระบบหลังภัยพิบัติ คนละเหตุการณ์ คนละทีม คนละ trigger). EP.47 ปิด Part 5 ด้วย Digital Forensics — Chain of Custody + Write blocker. รอบนี้เพิ่ม 6 investigation types (administrative / criminal / civil / regulatory + Industry Standards investigation) + tool categories: DEBs (Disk Examination Boards) + Password Crackers + File Viewers + เทคนิค Keyword Searching + Academic Forensics + Forensic Report 8 quality requirements (accuracy / completeness / clarity / objectivity / reproducibility / chain of custody / timeline / defensibility) ที่ผู้บริหารใช้วัด report ของผู้ตรวจ + 11 evidence best practices ที่ไล่เป็นข้อๆ ตั้งแต่ identification → preservation → collection → analysis → presentation → retention

นอกจากนี้ Part 5 ยังครอบ Software Integrity 5-layer (Ring 0 = kernel, Ring 3 = user space, system call interface, memory protection, process isolation, POLP — Principle of Least Privilege) ที่อธิบายว่าทำไม OS สมัยใหม่ถึงทนต่อ malware ดีกว่ารุ่นเก่า บวก FCAPS framework (ISO/IEC 10040 — Fault / Configuration / Accounting / Performance / Security management) ที่ network operation center ใช้เป็นโครง monitoring มาตรฐาน

Part 6 (EP.48-51) — Governance: เทศบาล + กฎหมายเมือง#

5 Parts พร้อม. ที่ครอบทุกอย่างอีกชั้น = เทศบาลของเมือง — ใครเซ็น ใครรับผิด

EP.48 Policy / Standard / Procedure / Guideline — ลำดับชั้นกฎหมาย — รัฐธรรมนูญ (Policy = บังคับ) / กฎหมายเฉพาะ (Standard = บังคับเฉพาะเรื่อง) / ขั้นตอน (Procedure = how-to) / คำแนะนำ (Guideline = advisory). รอบนี้ลึกถึง ISSP (Issue-Specific Security Policy) 6 subtypes ที่บริษัทไทยส่วนใหญ่มีไม่ครบ — AUP (Acceptable Use Policy) / Compliance Policy / Access Control Policy / IAM Policy / Remote Access Policy / BYOD Policy + Policy 9 elements ที่ทุกฉบับต้องมี (purpose / scope / roles / requirements / enforcement / exceptions / review cycle / approval / effective date) + Policy 7 characteristics (clear / concise / consistent / enforceable / measurable / current / approved) + Baseline 7 categories (รวม minimize services = ปิด service ที่ไม่ใช้ทุกตัวก่อน production) ที่ใช้เป็น checklist secure baseline ของ host

EP.49 Privacy Laws — GDPR (Article 5/6/33 + 72-hour breach notification) + PDPA Thailand + Data Subject 8 Rights + Lawful Basis 6 grounds + Cross-border (Schrems II / SCC / BCR / Adequacy) + DPO role + DPIA + Privacy by Design. เคสจริง — Meta โดนปรับ €1.2B / Marriott £18M / Cambridge Analytica

EP.50 Physical + Environmental Security — Mantrap (airlock) / Tailgating / Piggybacking / Badge / Biometric access / CCTV + HVAC / Temperature / Humidity / Fire Suppression (FM-200 / Halon / Pre-action sprinkler) + UPS / Generator + Data Center Tier I-IV (Uptime Institute). เคส Stuxnet 2010 (air-gap breach via USB) + Target 2013 HVAC vendor. รอบนี้เพิ่มลึกหลายชั้น — Alarm Control Panel 8 requirements (zone monitoring / tamper detection / battery backup / dual communication path ฯลฯ) + Two-hour fire-resistance walls ที่ data center วงในต้องมี (ทนไฟ 2 ชั่วโมงเพื่อให้ทีมดับเพลิงเข้ามาทัน) + Emergency Power-Off (EPO) switches 2 locations (ในห้อง server + ที่ทางออก — เพื่อให้ตัดไฟได้ทันทีเมื่อเกิดไฟไหม้ + ป้องกันคน trap ในห้อง) + Perpetrator profiles ที่ระบุประเภทของคนที่พยายามบุก (insider / former employee / contractor / opportunistic intruder / professional thief) + 17-item facility protection list ที่ใช้เป็น checklist comprehensive + Building anonymity + translucent glass (อย่าติดป้ายว่า “Data Center” บนตึก + ใช้กระจกฝ้าแทนกระจกใส) + Prohibited activities in IPF (Information Processing Facility) ที่ระบุห้ามอะไรในห้อง — กิน/ดื่ม/สูบบุหรี่/ถ่ายรูป/นำอุปกรณ์ส่วนตัวเข้า + 8 entry path audit checklist ที่ auditor ต้องเดินตรวจทุกทางเข้าเป็นทางการ — raised floor (ใต้พื้นยก) / ceiling (ฝ้าเพดาน) / ventilation duct (ท่อแอร์) / false walls (ผนังเทียม) + ประตูหลัก / ประตูฉุกเฉิน / loading dock / window — เพราะโจรไม่จำเป็นต้องเดินผ่านประตูหน้า

EP.51 ปิด Part 6 ด้วย Security Organization + Reporting Lines — CISO ห้ามรายงาน CIO (เพราะ CIO อยากให้สร้างเร็ว, CISO อยากปลอดภัย — conflict of interest) + Three Lines Model + Risk Committee / Audit Committee + CRO / CAE / CCO / DPO independence + เคส Equifax CISO reporting line catastrophe + Uber CSO ถูกตั้งข้อหาทางอาญา 2016 ในการปกปิด breach

มุมผู้บริหาร: Part 6 = ที่ผู้บริหารต้อง เซ็นชื่อ มากที่สุด — Policy / DPIA / Vendor approval / Reporting structure. ถ้าซีรีส์นี้สอนคุณแค่อย่างเดียว — อยากให้คุณกลับไป review reporting line ของบริษัท หลังอ่านจบ — CISO อยู่ใต้ใคร? CAE อยู่ใต้ใคร? DPO อยู่ใต้ใคร? คำตอบบอก maturity ของ governance ของบริษัทคุณตรงไปตรงมา

อ้าว — แผนที่เมืองทั้ง 6 Parts พร้อม. คุณเดินครบทุกย่านแล้วครับ

Tool 1 — CIA Triad (3 คำถามกรองทุก control)#

ทุกครั้งที่ตัดสินใจซื้อ security tool / approve project / review architecture ถามตัวเอง 3 ข้อ:

• C (Confidentiality) — “ใครเห็นข้อมูลนี้ได้บ้าง? ต้องการให้ใครเห็นบ้าง?”
• I (Integrity) — “ข้อมูลนี้ถูกแก้โดยไม่ได้รับอนุญาตได้ไหม? ถ้าโดนแก้ — รู้ตัวเร็วแค่ไหน?”
• A (Availability) — “ใช้ข้อมูล/ระบบนี้ได้ตอนที่ต้องใช้ไหม? ถ้าระบบล่ม — ฟื้นใน X ชั่วโมง / วัน?”

3 คำถามนี้ใช้ตั้งแต่ EP.03 จนถึง EP.51 ในทุกหัวข้อ. ตัวอย่าง:

• Encryption = ปกป้อง C
• Hashing + Digital Signature = ปกป้อง I
• Backup + DR = ปกป้อง A
• MFA = ปกป้อง C (ป้องกันคนเข้าได้ที่ไม่ใช่เจ้าของ)
• Ransomware = ทำลายทั้ง I (เปลี่ยนข้อมูล) + A (เข้าไม่ได้)

ลองนึก. ครั้งหน้าที่ vendor มาขาย firewall ใหม่ คุณถามได้แล้วว่า “ตัวนี้ปกป้อง C / I / A ตัวไหน?”. ถ้า vendor ตอบไม่ได้ — ของไม่ดี

Tool 2 — Defense in Depth + Diversity#

ไม่มี control เดียวที่ป้องกันทุกอย่าง. ทุกชั้นมีจุดอ่อน. ทางออกคือ หลายชั้น + ต่างเทคนิค

ลองนึกป้อมปราการ. ป้อมที่ดีมี คูน้ำ + กำแพงนอก + ลานเปิด + กำแพงใน + ยามในชั้น + เซฟชั้นใน. ถ้าโจรฝ่าได้ ต้องฝ่าทั้ง 6 ชั้น

แต่ที่สำคัญกว่าคือ ต่างเทคนิค (Diversity). ถ้าใช้ กำแพงเดียวกัน 5 ชั้น โจรหาวิธีฝ่าชั้นเดียว → ฝ่าได้ทุกชั้น. แต่ถ้าใช้ คูน้ำ + กำแพงหิน + ปืนใหญ่ + ยาม + สุนัข โจรต้องเตรียมเครื่องมือ 5 ชนิดต่างกัน

ในโลกจริง:

• ที่ network — Firewall + IDS/IPS + WAF + Segmentation
• ที่ identity — Password + MFA + Biometric + Behavioral Analytics
• ที่ endpoint — AV + EDR + Application Whitelisting + DLP
• ที่ email — SPF + DKIM + DMARC + Email Gateway + User Training

ใช้ tool 2 นี้กรอง investment. ถ้ามี budget — กระจายชั้น ไม่ใช่ลงทุนหนักชั้นเดียว

Tool 3 — Assume Breach + Risk#

ที่ฝรั่งเรียกว่า “It’s not if, but when”. สมมติว่าโจรเข้ามาแล้ว ออกแบบให้ความเสียหายจำกัด

นี่เปลี่ยน mindset จาก “ป้องกัน 100%” (ที่เป็นไปไม่ได้) เป็น “ลดความเสียหายเมื่อโดน” (ที่ทำได้)

ในทางปฏิบัติ Assume Breach หมายถึง:

• Segmentation — โจรเข้าได้ที่ตึก 1 ไม่ควรเข้าถึงตึก 2-10 ได้
• Least Privilege — บัญชีพนักงานเข้าได้แค่ที่จำเป็น
• Backup offline — ถ้า ransomware เข้า กู้ได้จากที่ไม่ติด
• Incident Response plan — ไม่ใช่ทำตอนเกิด แต่เตรียมไว้ก่อน
• Tabletop exercise — ซ้อมหนีไฟทุกไตรมาส

แล้วมาคู่กับ Risk เพราะป้องกัน 100% ทำไม่ได้ + งบประมาณจำกัด:

Risk = Threat × Vulnerability × Impact

ลงทุนตาม Risk. ที่ไหน Risk สูงสุดลงทุนหนัก. ที่ Risk ต่ำ ยอมรับ (accept) / โอน (transfer = ซื้อประกัน) / หลีก (avoid = ไม่ทำ business นั้น) / ลด (mitigate = ลงทุน control)

3 mental tool นี้ — CIA + DiD + Assume Breach + Risk — ใช้ได้ทั้งชีวิต. เทคโนโลยีจะเปลี่ยน แต่ 3 ข้อนี้ไม่เปลี่ยน

มุมผู้บริหาร: ในที่ประชุม board / management ถ้า CISO เสนอ investment ขอให้ CISO ตอบ 3 ข้อนี้: (1) ลด Risk ตัวไหน — Threat / Vulnerability / Impact? (2) เพิ่มชั้นใน Defense in Depth ตรงไหน แล้วต่างเทคนิคจากชั้นเดิมไหม? (3) ถ้าโดนแล้ว control นี้ช่วยจำกัดความเสียหายยังไง? ถ้าตอบครบ 3 investment คุ้มค่า. ถ้าตอบไม่ครบ กลับไปคิดใหม่

ข้อ 1 — Compliance ≠ Security#

นี่คือบทเรียนที่ซีรีส์นี้กลับมาย้ำตั้งแต่ EP.09 จนถึง EP.51

Equifax 2017 ผ่าน PCI DSS audit หลายครั้ง แล้วโดนปล้น 147 ล้านแฟ้ม. Target 2013 มี PCI DSS compliance แล้วโดน 40 ล้านบัตรเครดิต. Marriott 2018 ผ่าน ISO 27001 แล้วโดน 500 ล้านแฟ้ม

ความแตกต่างคือ audit เป็น snapshot ของ ณ วันที่ตรวจ. ของจริงคือ โจรไม่ได้ลงตารางมาตอน audit. การผ่าน audit = บอกว่ามี control บนกระดาษ ไม่ได้บอกว่า control นั้น ทำงานจริงในวันที่โจรมา

ความหมายในทางปฏิบัติ:

• อย่าใช้ “ผ่าน ISO 27001 / SOC 2 / PCI DSS” เป็นข้อแก้ว่าปลอดภัย
• ลงทุน operational security (SOC / EDR / Threat Hunting) ที่ทำงานทุกวัน — ไม่ใช่แค่ control ที่มีไว้โชว์ auditor
• ถาม CISO เสมอ: “ของจริง ๆ ทำงานไหม — หรือมีแค่บนกระดาษ?”

ข้อ 2 — 95% ของ breach เกี่ยวข้องกับคน#

Verizon DBIR + IBM Cost of Data Breach รายงานตรงกันทุกปี — 80-95% ของ breach เริ่มจาก human factor ไม่ว่าจะเป็น phishing / credential reuse / misconfiguration / social engineering

ความหมายคือ investment ใน training + awareness ผลตอบแทนสูงกว่า tool หลายเท่า. แต่บริษัทไทยส่วนใหญ่ลงทุน 95% ใน tool + 5% ใน training

ลองนึก. ถ้าซื้อ firewall ราคา 5 ล้าน — แต่พนักงานคลิก phishing แล้วใส่ password ใน website ปลอม — firewall ราคา 5 ล้านป้องกันไม่ได้

investment ที่ผู้บริหารควรพิจารณา:

• Phishing simulation — ส่ง phishing ปลอมทดสอบพนักงานทุกเดือน + วัด click rate
• Security awareness program — training ที่ engaging ไม่ใช่ video น่าเบื่อ 30 นาทีปีละครั้ง
• Just-in-time training — เมื่อพนักงานทำผิด (เช่น คลิก link น่าสงสัย) ให้ training ทันที ไม่ใช่รอ next quarter
• Executive training — CFO / CEO ที่เป็นเป้าของ BEC (Business Email Compromise) ต้องได้ training พิเศษ

ข้อ 3 — Identity = ราก. Orphan Account + Privilege Creep ฆ่าบริษัทเงียบๆ#

ใน EP.10-17 (Part 2) เราคุยเรื่อง Identity. นี่คือฐานของทุกอย่าง. ถ้า identity พัง ทุก control อื่นพังตาม

2 ปัญหาที่บริษัทไทยติดบ่อยที่สุด:

Orphan Account — บัญชีของพนักงานที่ลาออกแล้ว แต่ระบบยังเปิดอยู่. โจรซื้อ credential ใน dark web → เข้าบริษัทคุณได้โดยไม่ต้องแฮ็ก

Privilege Creep — พนักงานที่อยู่บริษัทนาน ผ่านหลายแผนก สะสมสิทธิ์ที่ไม่เคยถูกถอน. คนเดียวมีสิทธิ์เข้าได้ทั้งบริษัท. ถ้าบัญชีนี้โดน compromise → จบ

Practical action สำหรับผู้บริหาร:

• ขอ quarterly access review จาก HR + IT — listing คนทั้งบริษัท + access ของแต่ละคน
• ตรวจ list ของ orphan account ทุกเดือน. มีกี่บัญชีของคนลาออก > 30 วันที่ยังเปิด?
• ใช้ role-based access (RBAC) — define role + assign role ไม่ใช่ assign permission แบบ ad-hoc
• บังคับ MFA สำหรับ privileged account — admin / service account / API key

ข้อ 4 — Vendor Security = Your Security#

SolarWinds 2020 — โจรเข้า SolarWinds → SolarWinds ส่ง update ที่มี malware ไปให้ลูกค้า 18,000 องค์กร รวม U.S. Treasury / Homeland Security / Microsoft / FireEye. ทุกองค์กรลงทุน security ระดับโลก. แต่โดนผ่าน vendor

Target 2013 — โจรเข้าผ่าน HVAC vendor → ใช้ credential ของ vendor เข้า Target network → ลงไปที่ point-of-sale → 40 ล้านบัตรเครดิต

MOVEit 2023 — file transfer software ที่ใช้กันทั่วโลก มี zero-day → กระทบมากกว่า 2,500 องค์กร

แปลว่า คุณ secure แค่ไหน ก็ secure แค่ vendor ที่อ่อนที่สุดของคุณ

Action สำหรับผู้บริหาร:

• Third-Party Risk Management (TPRM) program — มี process vetting vendor ก่อน sign contract
• Right-to-audit clause ใน contract ขอตรวจ security ของ vendor ได้
• Vendor questionnaire — ขอให้ vendor ตอบเรื่อง security posture (มี ISO 27001 / SOC 2 ไหม / Last pen test ตอนไหน / Breach history)
• Limit vendor access — vendor ที่เข้า network ของเราต้องมี dedicated account + MFA + session recording + time-boxed access
• Continuous monitoring — ไม่ใช่ตรวจตอน onboarding แล้วลืม. ทำ annual review

ข้อ 5 — CISO / DPO / CAE Independence — ห้ามอยู่ใต้คนที่ตัวเองตรวจ#

นี่คือบทเรียนของ EP.51 — CISO ห้ามรายงาน CIO. DPO ห้ามรายงาน Head of Marketing / Sales. CAE (Chief Audit Executive) ห้ามรายงาน CFO. CRO ห้ามรายงาน CEO โดยไม่มี dotted line ไป Board

เหตุผลคือ conflict of interest:

• CIO ต้องการระบบที่สร้างเร็ว + เปิด feature ไว — security เป็น friction
• CISO ต้องการระบบที่ปลอดภัย บางครั้งต้อง block / delay project
• ถ้า CISO รายงาน CIO → CIO จะ override CISO ทุกครั้งที่ขัด business

Equifax 2017 — CISO รายงาน CIO. ปัญหาที่ CISO รู้ ไม่ถูกส่งถึง board. ผลคือ ระบบที่มี vulnerability รู้แต่ไม่ patch 147 ล้านแฟ้มหาย

Uber 2016 — CSO ปกปิด data breach + จ่าย “bug bounty” ให้โจรแลกการนิ่ง. CSO ถูกตั้งข้อหา ทางอาญา (criminal) ไม่ใช่แค่ทางแพ่ง

Three Lines Model ที่ถูกต้อง:

• Line 1 — Business operations (CIO / Head of departments) — own risk
• Line 2 — Risk + Compliance (CISO / CRO / DPO) — independent oversight
• Line 3 — Internal Audit (CAE) — independent assurance — รายงานตรง Audit Committee / Board

ถ้าบริษัทคุณยังจัด CISO ใต้ CIO อยู่ ถึงเวลาพิจารณาแล้วครับ

มุมผู้บริหาร: 5 ข้อนี้ไม่ใช่ tactic ระดับ “ซื้อ tool ตัวไหน”. เป็น strategic principle ที่กรองทุกการตัดสินใจ security ระดับ board. ถ้า board meeting ครั้งหน้า คุณถือ 5 ข้อนี้ในมือ + ถาม CISO / CIO / CFO 5 คำถาม คุณจะเห็นจุดอ่อนของบริษัทใน 30 นาที

ความต่างระหว่าง Foundation นี้ กับ CISA Domain 5#

ลองนึกภาพง่ายๆ:

• Foundation นี้ = สอนคุณว่าเมืองนี้มีอะไรบ้าง — ป้อมยาม / กำแพง / ตำรวจ / ดับเพลิง / เทศบาล
• CISA D5 = สอนคุณ เป็นผู้ตรวจการของเทศบาล ที่เดินตรวจป้อมยาม / กำแพง / ตำรวจ / ดับเพลิง แล้วเขียน report ส่งให้นายกเทศมนตรี (Audit Committee) ว่า อะไรพร้อม / อะไรไม่พร้อม / risk ตัวไหนยังเปิดอยู่

มุมของ auditor ไม่ใช่มุมของ defender. Auditor ไม่ใช่คนสร้าง เป็นคนตรวจว่าที่สร้างมา ทำงานจริงไหม / มีหลักฐานไหม / control design + operating effectiveness ผ่านไหม

Foundation → CISA Topic Mapping (ที่ครอบในรอบล่าสุด)#

รอบ deepening ล่าสุดผมเสริมหัวข้อจำนวนหนึ่งใน Foundation ให้ตรงกับ CISA Domain ที่จะ map ต่อ. ตารางนี้ช่วย reader ที่ตั้งใจสอบ CISA โยงได้ตรงว่า EP ไหนของ Foundation จะไปเจอใน CISA Domain ไหน

หัวข้อพวกนี้คือ “exam-critical surface area” ที่ CISA candidate ต้องอ่านออก ตอบได้ และตอนสอบจะเจอแน่นอน การที่ Foundation series เพิ่มหัวข้อพวกนี้เข้ามาช่วยให้ candidate ไม่ต้องเปิด CRM แล้วต้องหยุดไป search Google คำว่า “FCAPS” หรือ “Ring 0 vs Ring 3” ระหว่างทาง

ลำดับการอ่านที่แนะนำ (ตามเป้าหมายของคุณ)#

กลุ่ม 1 — เจ้าของกิจการ / ผู้บริหาร: 5 คำถามที่ถาม IT team วันจันทร์#

ถ้าจะ implement สิ่งที่ได้จาก 52 EPs ลงในบริษัทคุณ — เริ่มที่ 5 คำถามนี้ ใน meeting ครั้งต่อไป

1. “Orphan account ของบริษัทเรามีกี่บัญชี? Last review ของ access ทำตอนไหน?” → ทดสอบ Identity hygiene
2. “Phishing simulation ของบริษัท click rate เท่าไหร่? Training program ของเรา last update ตอนไหน?” → ทดสอบ Human factor
3. “ถ้า ransomware เข้าตอนนี้ — เรา restore จาก backup ได้ใน X ชั่วโมง? ลอง test restore ครั้งสุดท้ายตอนไหน?” → ทดสอบ IR readiness
4. “Vendor ของเราที่เข้า network ของเราตอนนี้มีกี่ราย? เรา audit security ของเขาครั้งสุดท้ายตอนไหน?” → ทดสอบ TPRM
5. “CISO ของเรารายงานใคร? CISO ได้ present ต่อ Board ครั้งสุดท้ายตอนไหน?” → ทดสอบ Governance

ถ้า IT team / CISO ตอบไม่ได้ทั้ง 5 ข้อ = มี gap. ถ้าตอบได้ครบ ขอ action plan + timeline ที่จะปิด gap. และที่สำคัญที่สุด อย่าหยุดถาม เพราะ security ไม่ใช่ project ที่ทำครั้งเดียว เป็น discipline ที่ทำทุกไตรมาส

กลุ่ม 2 — CISA Candidate: ลำดับเข้า D5#

1. อ่าน Foundation นี้ใหม่อีกครั้ง — มาก่อนเข้า D5. ครั้งนี้ตั้งใจจดสิ่งที่ไม่เข้าใจ
2. CISA Review Manual (ของ ISACA) — Domain 5 + อ้างอิงคำตอบกลับมาที่ Foundation
3. CISA Domain 5 series ของผม (กำลังเขียน) — reframe เรื่อง Foundation ในมุม auditor
4. Practice questions — อย่างน้อย 500 ข้อก่อนสอบ
5. Domain 1-4 — Audit Process / Governance / IT Operations / Acquisition
6. Full mock exam — เวลาจริง 4 ชั่วโมง

Tip ที่ทำให้สอบผ่าน — CISA testing ไม่ใช่ memorization. เป็น “ในสถานการณ์ X auditor ทำอะไรเป็น BEST course of action”. ต้องคิดในมุม independent + risk-based + evidence-driven ไม่ใช่มุมของ engineer ที่อยากแก้ปัญหา

กลุ่ม 3 — Tech Professional: deeper resources#

• OWASP — owasp.org — Top 10 / ASVS / Cheat Sheet
• SANS — sans.org — Reading Room (free white paper หลายร้อย) + courses (เสียเงิน แต่ดี)
• NIST — nist.gov/cyberframework — NIST CSF + NIST SP 800-53 / 800-61 / 800-171
• MITRE ATT&CK — attack.mitre.org — แผนที่ tactic + technique ของ attacker
• Verizon DBIR — รายงาน breach รายปี (free)
• IBM Cost of Data Breach — รายงานค่าใช้จ่ายของ breach รายปี
• ISACA — isaca.org — CISA / CRISC / CISM + COBIT framework
• (ISC)² — isc2.org — CISSP / CCSP / SSCP

ถ้าจะลงสายลึกขึ้น เลือก specialty:

• Defensive — Blue team / SOC analyst / Incident responder
• Offensive — Pen tester / Red team / Bug bounty hunter
• GRC — IS auditor / Risk analyst / Compliance officer
• Architecture — Security architect / Cloud security engineer
• Privacy — DPO / Privacy engineer

แต่ละสายต้องการ mental model ที่ต่างกัน แต่ทุกสายต้องการ Foundation นี้เป็นฐาน

กลุ่ม 4 — General Reader: ต่อด้วยซีรีส์อะไรดี#

ถ้าคุณอ่าน Foundation นี้จบเพราะอยากเข้าใจโลก security ทั่วไป ลองพิจารณา:

• Organization Anatomy 101 (ของผม) — เข้าใจองค์กรของบริษัท + C-Suite + Three Lines + Audit Committee. เป็น context ที่ pair กับ Governance ใน Part 6 ได้ดี
• CISA Journal series (ของผม เริ่มทยอยลง) — บทความสั้น แต่ละบทเน้น 1 concept ในมุม CISA. เหมาะถ้าอยากอ่านเรื่อง security ที่ลึกขึ้นเป็นชิ้นๆ
• News tracking — ติดตาม Krebs on Security (Brian Krebs) / Schneier on Security (Bruce Schneier) / DarkReading. แหล่งข่าว security ที่ดีที่สุดของวงการ

สิ่งที่ผู้นำต้องจำ — ข้อสุดท้ายของซีรีส์#

ข้อแรก — เมืองนี้คุณรู้จักแล้ว. 6 Parts. 3 mental tool. 5 leader takeaway. แผนที่อยู่ในหัวคุณ. ครั้งหน้าที่ board meeting คุยเรื่อง security — คุณมี vocabulary + framework + คำถามที่ถูกต้องที่จะถาม. คุณไม่ใช่ผู้บริหารที่นั่งฟัง IT พูดแล้วพยักหน้าโดยไม่เข้าใจอีกต่อไป

ข้อสอง — ที่เหลือคือเริ่มเดินทัวร์เอง ทุกวัน. ไม่มีหนังสือไหน / ซีรีส์ไหน / คอร์สไหน ที่จะทำให้เมืองของคุณ secure ถ้าคุณไม่เดินตรวจเอง. ครั้งแรกที่ถาม “Orphan account ของเรามีกี่บัญชี?” IT team จะตอบไม่ได้. ครั้งที่ 5 ที่ถาม เขาจะเตรียมตัวมา. ครั้งที่ 10 ที่ถาม เขาจะมีระบบที่ track อัตโนมัติ. discipline ของผู้บริหาร = discipline ของบริษัท

ขอบคุณจริงๆ ครับที่อ่านมาด้วยกัน 52 ตอน

ถ้านี่เป็น EP แรกของคุณ — ขอต้อนรับสู่จุดเริ่มต้น เริ่มที่ EP.01 แล้วเดินทางพร้อมผม. ถ้านี่เป็น EP สุดท้ายของคุณกับซีรีส์นี้ — เมืองของคุณตอนนี้คุณรู้จักดีกว่าตอนก่อนเริ่ม. ที่เหลือคือเริ่มเดินทัวร์เอง ทุกวัน

เจอกันใหม่ที่ CISA Domain 5 — มุมเดียวกัน เมืองเดียวกัน แต่จะเปลี่ยนหน้ากากจาก “ผู้บริหารที่เข้าใจเมือง” เป็น “ผู้ตรวจการที่เดินตรวจเมือง”

→ CISA Domain 5 Series — Protection of Information Assets ในมุม Auditor

→ กลับไปดูทุก EPs ของ CyberSecurity Foundation 101

จบซีรีส์ครับ.