prinya acis slide for swpark - it & information security human resource development plan for...

�� Security intelligenceStrategic GRC & iSAT for Management

Prinya Hom-Anek

�� Security intelligence

“ แนวทางการพฒนาศกยภาพบคลากรดานสารสนเทศและความม (นคงปลอดภยสารสนเทศเพ(อรองรบ AEC 2015”

Prinya Hom-Anek

CGEIT, CISSP, CSSLP, CISA, CISM, SSCP, SANS GIAC GCFW, ITIL Expert, CompTIA Security+, IRCA: ISMS Lead Auditor, BCMS Auditor(ISC)2 Asian Advisory Board; ISACA Thailand Committee,Thailand Information Security Association (TISA) Committee,ACIS Professional Center Co., Ltd. , President and Founder


Top 10 Strategic Technology Areas 2009Top 10 Strategic Technology Areas

Technology Area Rank

Virtualization 1

Cloud Computing 2

Beyond Blade Servers 3

Green IT 4

© Copyright, ACIS Professional Center Company Limited, All rights reserved 2

Green IT 4

Web-Oriented Architectures 5

Enterprise Mashups 6

Specialized Systems 7

Social Software and Social Networking 8

Unified Communications (UC) 9

Business Intelligence (BI) 10Source: Gartner Symposium/ITxpo


Top 10 Strategic Technology Areas 2010Top 10 Strategic Technology Areas


Cloud Computing 1

Advanced Analytics 2

Client Computing 3

IT for Green 4


IT for Green 4

Reshaping the Data Center 5

Social Computing 6

Security – Activity Monitoring 7

Flash Memory 8

Virtualization for Availability 9

Mobile Applications 10Source: Gartner Symposium/ITxpo


Top 10 Strategic Technology Areas 2011

Top 10 Strategic Technologies for 2011


Cloud Computing 1

Mobile Applications and Media Tablets 2

Next Generation Analytics 3

Social Analytics 4


Social Analytics 4

Social Communications and Collaboration 5

Video 6

Context-Aware Computing 7

Ubiquitous Computing 8

Storage Class Memory 9

Fabric-Based Infrastructure and Computers 10Source: Gartner Symposium/Itxpo


IT Organizations and Users in 2010 and Beyond

� By 2012, 20 percent of businesses will own no IT assets.

� By 2012, India-centric IT services companies will represent 20 percent of the leading cloud aggregators in the market (through cloud service

This Year's Predictions Span 56 Markets, Topics and Industry Areas, January 2010

Gartner Highlights Key Predictions

of the leading cloud aggregators in the market (through cloud service offerings).

� By 2012, Facebook will become the hub for social network integration and Web socialization.

� In 2012, 60 percent of a new PC's total life greenhouse gas emissions will have occurred before the user first turns the machine on.

� By 2013, mobile phones will overtake PCs as the most common Web access device worldwide.

5© Copyright, ACIS Professional Center Company Limited, All rights reserved


IT Organizations and Users in 2010 and Beyond

� By 2014, most IT business cases will include carbon remediation costs.

� By 2014, over 3 billion of the world's adult population will be able to transact electronically via mobile or Internet technology.

This Year's Predictions Span 56 Markets, Topics and Industry Areas, January 2010

Gartner Highlights Key Predictions

transact electronically via mobile or Internet technology.

� By 2015, Internet marketing will be regulated, controlling more than $250 billion in Internet marketing spending worldwide.

� By 2015, context will be as influential to mobile consumer services and relationships as search engines are to the Web.



PrinyaPrinya HomHom--AnekAnekCGEIT, CISSP, CRISC, CSSLP, CISA, CISM, SSCP, SANS GIAC GCFW,

ITIL Expert, IRCA:ISMS Lead Auditor, BCMS Auditor (ISC)2 Asian Advisory Board, ISACA Thailand Committee

Thailand Information Security Association (TISA) CommitteeACIS Professional Center Co., Ltd.


1. Integrated GRC Implementation (Governance, Risk Management & Compliance)� Corporate Governance using COSO ERM, COBIT 5 and ISO 31000� Corporate Governance for IT using ISO 38500


� Corporate Governance for IT using ISO 38500� IT Governance/Management using COBIT, Val IT and Risk IT Framework� Information Security Governance/Management using ISO/IEC 27001/27002

2. IT Service Management Implementation (ITSM, ITIL & ISO/IEC 20000)

3. Business Continuity Management (BCM) (BS25999 and ICT Continuity Management using BS25777)


4. Tougher Regulatory Compliance, Risk Management and Internal/External IT Audits

5. The Rising of Information Security Awareness


5. The Rising of Information Security Awareness Training within organization (for Everyone)

6. The Need for Soft Skills Training/Education (Human Factors in IT/ Information Security Professionals)

7. The Rising of Cloud Computing, Virtualization, and Social & Mobile Computing


8. Corporate Fraud and Internet Banking/Online Transaction Fraud Prevention and Detection

9. IT and Information Security Metrics


9. IT and Information Security Metrics Implementation

10. The Need for Creating “Culture of Security” and “Risk-Aware Culture in Organization”


Infrastructure WeaknessInfrastructure WeaknessUnderUnder--investment in both organizational and national criticalinvestment in both organizational and national critical

infrastructure has weakened the underlying IT platforms. They areinfrastructure has weakened the underlying IT platforms. They arepoorly placed to support new and evolving business technology suchpoorly placed to support new and evolving business technology such

as eas e--commerce, cloud computing and mobile working.commerce, cloud computing and mobile working.

Cultural ChangeCultural Change

Underlying DriversUnderlying Drivers


GlobalizationGlobalizationContinuing globalization means that organizations of all kinds are subjectContinuing globalization means that organizations of all kinds are subject

to greater threats, as a result of being seen as an attractive target, to greater threats, as a result of being seen as an attractive target, having to meet the needs of multiple legal jurisdictions, and becominghaving to meet the needs of multiple legal jurisdictions, and becoming

a more complex organization.a more complex organization.

Cultural ChangeCultural ChangeThe rise of the ‘Internet generation’, coupled with high levels of personalThe rise of the ‘Internet generation’, coupled with high levels of personaltechnology adoption, have caused an irreversible change in attitudestechnology adoption, have caused an irreversible change in attitudes

to protecting information.to protecting information.


1. The Need for BCM/BIA (Over-reliance on the Internet)

1. The Need for BCM/BIA (Over-reliance on the Internet)

• SITUATION – over-reliance on the Internet for all forms of communications and transactions has resulted in a lack of choice for customers in how they interact with organizations such as banks, airlines and online retailers – and higher potential risk of business impact from sustained corporate/regional

• SITUATION – over-reliance on the Internet for all forms of communications and transactions has resulted in a lack of choice for customers in how they interact with organizations such as banks, airlines and online retailers – and higher potential risk of business impact from sustained corporate/regional


higher potential risk of business impact from sustained corporate/regional Internet failures.

• THREATS – under-investment in critical infrastructure and/or unsecured critical infrastructure leads to poor resilience at network pinch points, with risk of complete loss of communications and transaction channels.

• ACTIONS – evaluate business continuity management (BCM), contingency arrangements prior to contracting with providers; ensure Business Impact Analysis (BIA) are undertaken for Internet channels.

higher potential risk of business impact from sustained corporate/regional Internet failures.

• THREATS – under-investment in critical infrastructure and/or unsecured critical infrastructure leads to poor resilience at network pinch points, with risk of complete loss of communications and transaction channels.

• ACTIONS – evaluate business continuity management (BCM), contingency arrangements prior to contracting with providers; ensure Business Impact Analysis (BIA) are undertaken for Internet channels.


2. The Rise of Cloud Computing and Virtualization(Platform-as-a-Service, Infrastructure-as-a-Service, and Security)

2. The Rise of Cloud Computing and Virtualization(Platform-as-a-Service, Infrastructure-as-a-Service, and Security)

• SITUATION – the business and cost benefits of cloud computing have led to short-cuts being taken, and security and compliance concerns being overridden. Using of virtualization increased “attack surface”, “virtualization software vulnerability”

• SITUATION – the business and cost benefits of cloud computing have led to short-cuts being taken, and security and compliance concerns being overridden. Using of virtualization increased “attack surface”, “virtualization software vulnerability”


software vulnerability”

• THREATS – rising costs associated with proving cloud computing compliance and a rise in incidents associated with fraudulent activities and external attacks masked by the cloud. The virtualization attack is on the rise.

• ACTIONS – develop strategies for virtualization, cloud computing security and compliance, covering identity and access mechanisms, disaster recovery, information classification, and contingency plans for retrenchment from the cloud if necessary.

software vulnerability”

• THREATS – rising costs associated with proving cloud computing compliance and a rise in incidents associated with fraudulent activities and external attacks masked by the cloud. The virtualization attack is on the rise.

• ACTIONS – develop strategies for virtualization, cloud computing security and compliance, covering identity and access mechanisms, disaster recovery, information classification, and contingency plans for retrenchment from the cloud if necessary.


3. Pervasive Computing/Ubiquitous Computing (Eroding Network Boundaries)

3. Pervasive Computing/Ubiquitous Computing (Eroding Network Boundaries)

• SITUATION – mobile and remote working, outsourcing and cloud computing have combined to all but remove organizations’ network boundary with the outside world.

• THREATS – point security solutions are unable to prevent widespread loading

• SITUATION – mobile and remote working, outsourcing and cloud computing have combined to all but remove organizations’ network boundary with the outside world.

• THREATS – point security solutions are unable to prevent widespread loading


• THREATS – point security solutions are unable to prevent widespread loading of software from untrusted sources; unauthorized system, network or information access; or compliance failures in areas such as security and privacy.

• ACTIONS – consider architectural options for “working without a network boundary”, and investigate concepts of trusted zones and niche application of products such as digital rights management (DRMO and data loss prevention (DLP)

• THREATS – point security solutions are unable to prevent widespread loading of software from untrusted sources; unauthorized system, network or information access; or compliance failures in areas such as security and privacy.

• ACTIONS – consider architectural options for “working without a network boundary”, and investigate concepts of trusted zones and niche application of products such as digital rights management (DRMO and data loss prevention (DLP)


4. The Rise of Mobile Computing(Smartphone is a new PC)

4. The Rise of Mobile Computing(Smartphone is a new PC)

• SITUATION – the predominance of Smartphones both corporate and private has blurred the line between business and personal usage, leading to unproven and untrusted software being used for business/private communications and transactions.

• SITUATION – the predominance of Smartphones both corporate and private has blurred the line between business and personal usage, leading to unproven and untrusted software being used for business/private communications and transactions.


communications and transactions.

• THREATS – theft or loss of equipment, along with potential distribution of mobile phone malware (Mitmo; Man-in-the-mobile), leads to increased risk of business/private information loss and fraud.

• ACTIONS – establish security policies for use of mobile phones and access management across devices; establish asset management for smartphonesand assess the security implications of their use; educate users by launching security awareness program

communications and transactions.

• THREATS – theft or loss of equipment, along with potential distribution of mobile phone malware (Mitmo; Man-in-the-mobile), leads to increased risk of business/private information loss and fraud.

• ACTIONS – establish security policies for use of mobile phones and access management across devices; establish asset management for smartphonesand assess the security implications of their use; educate users by launching security awareness program


5. The Rise of The Internet Generation (Changing Cultures of the Techno-Generation (Gen-Y))

5. The Rise of The Internet Generation (Changing Cultures of the Techno-Generation (Gen-Y))

• SITUATION – for the Internet generation, the boundaries between work and home life are even more indistinct; some even have difficulty distinguishing between real life and fantasy life (the ‘avatar effect’/’the matrix effect). Traditional information security awareness approaches are not properly applied.

• SITUATION – for the Internet generation, the boundaries between work and home life are even more indistinct; some even have difficulty distinguishing between real life and fantasy life (the ‘avatar effect’/’the matrix effect). Traditional information security awareness approaches are not properly applied.


Traditional information security awareness approaches are not properly applied.

• THREATS – email, Internet access and Social network use bypasses corporate controls, increasing the risk of business information disclosure and compliance failure. Internet Banking Threat; MitB (Man-in-the-Browser) for example Zeus Trojan/SilentBanker Trojan.

• ACTIONS – create a profile of users, enhance security awareness for all users, establish baseline policies and deploy technical controls in line with risk; evaluate the use of Internet reputation protection services.

Traditional information security awareness approaches are not properly applied.

• THREATS – email, Internet access and Social network use bypasses corporate controls, increasing the risk of business information disclosure and compliance failure. Internet Banking Threat; MitB (Man-in-the-Browser) for example Zeus Trojan/SilentBanker Trojan.

• ACTIONS – create a profile of users, enhance security awareness for all users, establish baseline policies and deploy technical controls in line with risk; evaluate the use of Internet reputation protection services.


6. Privacy vs. Security (Corporate Fraud is on the rise, the need for Lawful Interception)

6. Privacy vs. Security (Corporate Fraud is on the rise, the need for Lawful Interception)

• SITUATION – the conflict between the right to privacy and the need of government agencies to analyse personal information in crime prevention has reduced public confidence in organizations’ ability to safeguard personal information to an all-time low. Many countries banned Blackberry (Lawful

• SITUATION – the conflict between the right to privacy and the need of government agencies to analyse personal information in crime prevention has reduced public confidence in organizations’ ability to safeguard personal information to an all-time low. Many countries banned Blackberry (Lawful


information to an all-time low. Many countries banned Blackberry (Lawful Intercept issues)

• THREATS – organizations need to perform a compliance across different jurisdictions with different levels of privacy protection, leading to a higher risk of compliance failure and business information disclosure.

• ACTIONS – ensure privacy policies for employees and customers are clear and meet all jurisdictions’ needs; create a forum for discussing changes in the law with legal advisors and industry colleagues.

information to an all-time low. Many countries banned Blackberry (Lawful Intercept issues)

• THREATS – organizations need to perform a compliance across different jurisdictions with different levels of privacy protection, leading to a higher risk of compliance failure and business information disclosure.

• ACTIONS – ensure privacy policies for employees and customers are clear and meet all jurisdictions’ needs; create a forum for discussing changes in the law with legal advisors and industry colleagues.


7. A lack of Corporate Security Awareness Program(The LifeStyle Hacking, Integrated Hack vs. Integrated GRC)

7. A lack of Corporate Security Awareness Program(The LifeStyle Hacking, Integrated Hack vs. Integrated GRC)

• SITUATION – Targeted attack and organized crime are on the rise. The next generation hacking is focusing on user lifestyle, many users on corporate unaware of Internet Security Threats.

• THREATS – Blended Threats, Advanced Persistent Threat (APT), Remote

• SITUATION – Targeted attack and organized crime are on the rise. The next generation hacking is focusing on user lifestyle, many users on corporate unaware of Internet Security Threats.

• THREATS – Blended Threats, Advanced Persistent Threat (APT), Remote


• THREATS – Blended Threats, Advanced Persistent Threat (APT), Remote Access Trojan , LifeStyle Hacking, “Drive-by Download”,

• ACTIONS – Implement Corporate iSAT (Information Security Awareness Program) at least once a year, Train and educate all users, Study occupational fraud prevention and detection.

• THREATS – Blended Threats, Advanced Persistent Threat (APT), Remote Access Trojan , LifeStyle Hacking, “Drive-by Download”,

• ACTIONS – Implement Corporate iSAT (Information Security Awareness Program) at least once a year, Train and educate all users, Study occupational fraud prevention and detection.


8. The Rise of Social Computing (An insecure use of social software/social media)

8. The Rise of Social Computing (An insecure use of social software/social media)

• SITUATION – The rise of using social media/social networking over high-speed Internet. The Viral marketing (the social marketing) techniques that use pre-existing social networks to produce increases in brand awareness or to achieve other marketing objectives through self-replicating viral processes, analogous to

• SITUATION – The rise of using social media/social networking over high-speed Internet. The Viral marketing (the social marketing) techniques that use pre-existing social networks to produce increases in brand awareness or to achieve other marketing objectives through self-replicating viral processes, analogous to


other marketing objectives through self-replicating viral processes, analogous to the spread of virus or computer viruses.

• THREAT – rapid growth in use of home and mobile equipment has left the security function unable to cope with the need to manage and protect personally owned or remote equipment to a proper standard, leading to potential compliance failure and disclosure of business information.

• ACTIONS – educate users and implement corporate social network security policy ; implement the application-level filtering technology to monitor/block all malicious software related with social network software.

other marketing objectives through self-replicating viral processes, analogous to the spread of virus or computer viruses.

• THREAT – rapid growth in use of home and mobile equipment has left the security function unable to cope with the need to manage and protect personally owned or remote equipment to a proper standard, leading to potential compliance failure and disclosure of business information.

• ACTIONS – educate users and implement corporate social network security policy ; implement the application-level filtering technology to monitor/block all malicious software related with social network software.


9. Insecure Coding and Application Development Practices (Application Security)

9. Insecure Coding and Application Development Practices (Application Security)

• SITUATION – the vulnerabilities in application software today. Lack of system programmer/application developer security awareness when designing and developing application software; insufficient web application security knowledge.

• SITUATION – the vulnerabilities in application software today. Lack of system programmer/application developer security awareness when designing and developing application software; insufficient web application security knowledge.


knowledge.

• THREATS – web application hacking is the common hacking method, criminals are targeting at application layer. Hackers know that you have firewalls and hackers are targeting a new way to ‘hack’ into your systems. Not convenient to hack the network.

• ACTIONS – Today we are wiring the world with applications. Having a skilled professional capable of designing and deploying secure software is now critical to this evolving world

knowledge.

• THREATS – web application hacking is the common hacking method, criminals are targeting at application layer. Hackers know that you have firewalls and hackers are targeting a new way to ‘hack’ into your systems. Not convenient to hack the network.

• ACTIONS – Today we are wiring the world with applications. Having a skilled professional capable of designing and deploying secure software is now critical to this evolving world


10. The Threats Convergence (Integrated Hack)(Cyber Espionage /Advanced Persistent Threat (APT))

10. The Threats Convergence (Integrated Hack)(Cyber Espionage /Advanced Persistent Threat (APT))

• SITUATION – while there is continued focus on mitigating information security threats, efforts are still largely siloed. Attackers have adopted strategies based on a combination of threats, some of which are outside the information security remit. the highly competitive global market has given rise to more sophisticated cyber-

• SITUATION – while there is continued focus on mitigating information security threats, efforts are still largely siloed. Attackers have adopted strategies based on a combination of threats, some of which are outside the information security remit. the highly competitive global market has given rise to more sophisticated cyber-


espionage attacks, both from commercial competitors and from organized criminals.

• THREATS – the converged threat approach can be used to obtain authentication details, gain access to systems or networks, misuse systems to commit fraud, steal proprietary information and introduce malware. increased risk of loss of proprietary information through hacking and other cyber attacks, potentially leading to a loss of reputation and trust.

• ACTIONS – establish common risk languages across the organization; seek pragmatic ways to assess and manage risk holistically; and report on converged threats to the organization.

espionage attacks, both from commercial competitors and from organized criminals.

• THREATS – the converged threat approach can be used to obtain authentication details, gain access to systems or networks, misuse systems to commit fraud, steal proprietary information and introduce malware. increased risk of loss of proprietary information through hacking and other cyber attacks, potentially leading to a loss of reputation and trust.

• ACTIONS – establish common risk languages across the organization; seek pragmatic ways to assess and manage risk holistically; and report on converged threats to the organization.


Spear Phishing, PDF Embedded Exe Attack Spear Phishing, PDF embedded EXE Attack การ Phishing เหยOอ และโจมตผานทางชองโหว PDF ลาสด เพOอใชในการโจมตเครอขายภายใน

Spear Phishing, PDF Embedded Exe Attack Spear Phishing, PDF embedded EXE Attack การ Phishing เหยOอ และโจมตผานทางชองโหว PDF ลาสด เพOอใชในการโจมตเครอขายภายใน

Live Show in Cyber Defense Initiative Conference 2010 (CDIC 2010)

AutoHack Penetration Testing Tools Become Hacker Aid AutoHack Penetration Testing Tool เครOองมอใหมทOใคร ๆ กอยากใช สาหรบตรวจหาชองโหวไดเอง แตหารไมวากลายเปนเครOองมอโจมตชองโหวทOพบและเขาถง และเปนชองทางปพรมให Hacker เขาสเปาหมายทกอยางอตโนมต

AutoHack Penetration Testing Tools Become Hacker Aid AutoHack Penetration Testing Tool เครOองมอใหมทOใคร ๆ กอยากใช สาหรบตรวจหาชองโหวไดเอง แตหารไมวากลายเปนเครOองมอโจมตชองโหวทOพบและเขาถง และเปนชองทางปพรมให Hacker เขาสเปาหมายทกอยางอตโนมต

RFID Tag Counterfeiting: Case Study e-Passport สราง RFID TAG ปลอมพรอมใชตลอดเวลา เพOอแทนทOขอมลจรงดวยอปกรณอเลคทรอนกส เปาหมาย คอ Hack E-Passport และบตรเตมเงนประเภท Contactless (VISA Wave Hacking)

RFID Tag Counterfeiting: Case Study e-Passport สราง RFID TAG ปลอมพรอมใชตลอดเวลา เพOอแทนทOขอมลจรงดวยอปกรณอเลคทรอนกส เปาหมาย คอ Hack E-Passport และบตรเตมเงนประเภท Contactless (VISA Wave Hacking)



Credit Card and Magnetic Card Hacking การใชอปกรณอเลคทรอนกสสาหรบปลอมขอมลบตรเครดตและบตรแถบแมเหลก มาใชงานกบเครOองอานไดจรง

Credit Card and Magnetic Card Hacking การใชอปกรณอเลคทรอนกสสาหรบปลอมขอมลบตรเครดตและบตรแถบแมเหลก มาใชงานกบเครOองอานไดจรง

GPUs and FPGAs in PC-Based Heterogeneous SystemsGPUs and FPGAs in PC-Based Heterogeneous Systems


Wireless Rogue AP & WPA Hacking on Cloud Computingสราง Rogue AP สาหรบ Crack Key และ EAP แบบอตโนมต โดยปราศจากคนควบคม และการใช Cloud computing เพOอถอดรหส WPA

Wireless Rogue AP & WPA Hacking on Cloud Computingสราง Rogue AP สาหรบ Crack Key และ EAP แบบอตโนมต โดยปราศจากคนควบคม และการใช Cloud computing เพOอถอดรหส WPA

GPUs and FPGAs in PC-Based Heterogeneous Systemsการสราง DIY Supercomputer และการใชงานเพOอการ Crack โดยการนาเอา GPGPU คณภาพสงหรอ FPGA มาชวย และตวอยางการนาไปใชงาน

GPUs and FPGAs in PC-Based Heterogeneous Systemsการสราง DIY Supercomputer และการใชงานเพOอการ Crack โดยการนาเอา GPGPU คณภาพสงหรอ FPGA มาชวย และตวอยางการนาไปใชงาน

The Return of BOT with CAPTCHA Attackการกลบมาอกคร yงของ BOT โดยเทคนค CAPTCHA Attack

The Return of BOT with CAPTCHA Attackการกลบมาอกคร yงของ BOT โดยเทคนค CAPTCHA Attack



Advanced, New and Unseen Social Networking Attacks เทคนคข yนสงรปแบบใหมทOอาชญากรไซเบอรใชโจมตโปรแกรมเครอขายสงคมออนไลน

Advanced, New and Unseen Social Networking Attacks เทคนคข yนสงรปแบบใหมทOอาชญากรไซเบอรใชโจมตโปรแกรมเครอขายสงคมออนไลน

Advanced Persistent Threats (APT), Spy Eye, Zeus, Advanced Persistent Threats (APT), Spy Eye, Zeus,


GhostNet, Kneber Botnet and SilentBanker TrojanเทคนคใหมของการโจรกรรมขอมลในยคไซเบอรและเครOองมอจารกรรมขอมลระดบโลก

GhostNet, Kneber Botnet and SilentBanker TrojanเทคนคใหมของการโจรกรรมขอมลในยคไซเบอรและเครOองมอจารกรรมขอมลระดบโลก

Advanced Hacking on Smart Phone (iPad, iPhone, Android, BlackBerry, Smart Phone)เทคนคข yนสงการโจมตระบบอปกรณประเภทพกพาและโทรศพทมอถอประเภทสมารทโฟน (iPad, Android, iPhone, BlackBerry, Smartphone)

Advanced Hacking on Smart Phone (iPad, iPhone, Android, BlackBerry, Smart Phone)เทคนคข yนสงการโจมตระบบอปกรณประเภทพกพาและโทรศพทมอถอประเภทสมารทโฟน (iPad, Android, iPhone, BlackBerry, Smartphone)



Why we need Hacking Technics for IT auditing



The Need for ITG : 7 IT Challenges

The Essentials of IT and

Information Security Standard,

Best practices and Frameworks

Keeping IT Running

Value

Costs

1111

2222

3333


Mastering Complexity

Aligning IT With Business

Regulatory Compliance

Security

4444

5555

6666

7777IT Resources and Expenses

Organization


“GRC” not only “ITG” and “ISG” => “CG”

© Copyright, ACIS Professional Center Company Limited, All rights reserved 28(C) Copyright 2007-2009, ACIS Professional Center Company Limited

GovernanceRisk

ManagementCompliance


An Integrated Approach To Governance, Risk & Compliance

Governance

Stakeholder Expectations

Setting objectives, tone, policies, risk appetite and accountabilities. Monitoring performance.

Key linkageObjectives & Risk Appetite

Enterprise Risk Management

Compliance

Identifying and assessing risks that may affect the ability to achieve objectives and determining risk response strategies and control activities.

Operating in accordance with objectives and ensuring adherence with laws and regulations, internal policies and procedures, and stakeholder commitments.

Key linkageRisk Response & Control Activities

Policies Procedures Processes/system People Tools &Technologies

Source: A New Strategy for Success Through Integrated Governance, Risk and Compliance Management PWC white paper

Laws



Integrated GRC Framework


Source: wikipedia.org/wiki/Governance,_Risk_Management,_and_Compliance


TO

PM

IDD

LE


MID

DL

EB

OT

TO

M


Enterprise Governance:Corporate Governance (CG) Drives IT Governance (ITG)

and Information Security Governance (ISG)

• Enterprise governance is about:

�Performance� Improving profitability, efficiency, effectiveness, growth, and so on

�Conformance� Adhering to legislation, internal policies, audit requirements, and so onso on

• Enterprise governance and IT governance require a balance between the conformance and performance goals, as directed by the board.

PerformanceConformance

© Copyright, ACIS Professional Center Company Limited, All Rights Reserved 32


Drivers PERFORMANCE: Business Goals

CONFORMANCEBasel II, Sarbanes-

Oxley Act, contracts etc.

Enterprise Governance

IT Governance COBIT

COSOScorecard and

Integrated Frameworks on Business / IT Alignment

COBIT

Best Practice Standards ISO9001:2000

ISO/IEC 17799

ISO/IEC 20000/ITIL

Processes and Procedures QAProcedures

Security Principles

Service Delivery procedures


BS 25999 BS 25777

BCM procedure ICT CM procedure

Source: modified from IT Governance (COBIT), ITGI


SOX, HIPAA, GLBA, PCI DSS, BASEL

II

Thai E-Transaction Laws and Computer Crime Laws

COSO => ISO 31000 (The Committee of Sponsoring Organizations of the Treadway Commission) - Financial Reporting &

Thai OAG / TRIS/ BOT/ SEC/ OIC requirements

Ba

lan

cing

Stra

teg

ies o

n

Pro

cess, P

eo

ple

an

d

Tech

no

log

y

How to implement Standards and Best Practices in Thailand

Treadway Commission) - Financial Reporting & Business Process Oriented requirements

CobiT 4.1 => CobiT 5Control Objectives for Information and related Technology IT oriented

bridging the gap between business processes and IT controls

ISO/IEC 20000 (ITSMS) & ITIL

ISG => ISO/IEC 27001 (ISMS) => new SC27

BS25999 (BCMS) => ISO 22301

Ba

lan

cing

Stra

teg

ies o

n

Pro

cess, P

eo

ple

an

d

Tech

no

log

y


GRC and Related IT Management Frameworks

Organisations will consider and use a variety of IT models, standards and best practices. These must be understood in order to consider how they can be used together, with COBIT (IT Governance) acting as the consolidator (‘umbrella’).

COBIT

COSO

Source: ITGI

ISO 9000

ISO 17799

ISO 27001

ITIL

ISO 20000WHAT HOW

SCOPE OF COVERAGE

BCM

CMM



Integrated GRC Related Standards & Best Practices



COBIT, COSO, ITIL & ComplianceProcess and Control Framework

Enterprise Business Processes

IT ProcessesFinancial Processes

App

AppApp

ControlControl

Control

Control

Control

ITIL®/CMMi®

Control Frameworks: COSO — Control and risk mgmt for corporate governanceCOBIT™— IT Control Objectives

IT Process Frameworks: ITIL®/CMMi®—IT Best Practices

AppApp

Company–Level

Controls

Application

ControlsCOSO COBIT™

AppControl

Control

ControlControl

Company–Level

ControlsApplication

Controls

IT General

Controls

ITIL®/CMMi®

COBIT™ Trademark of ISACA

ITIL® Trademark of OGC

CMMi® Trademark of SEI



COSOCobiT

Control Frameworks

What controls you should have

ITILCMMi

Process Frameworks

What processes you should implement

How does it all put together?

COBIT, COSO, ITIL & Compliance

ToolsConsulting

IT Service How to implement the required controls and processes

� The Committee of Sponsoring Organizations of the Treadway Commission (COSO)

� COBIT (Control Objectives for Information and Related Technologies)

� CMMi - Capability Maturity Model Integration



Manage IT from a Business Perspective

Function 1 Function 2 Function 3

Man

age As Bus

ines

s Service

sApplications


Man

age As Bus

ines

s Service

s


Use Controls to Go Faster

• Enable new services

• Support growth

• Lower risk

• Reduce cost


• Cost

• Availability

• Performance

IT Controls


COBIT is based on and accommodates major international standards, and it is increasingly recognized as the de facto framework for IT governance.

COBIT is focused on what is required to achieve this governance and control at a high level. It has been aligned with other best practices and can be used as the “integrator” of different guidance materials, such as ISO/IEC 27001 and ITIL.

How to use COBIT, ISO/IEC 27001 , CMM and ITIL

Strategic

27001COBIT


Strategic

Process Control

Process Execution

Work Instruction

ITIL

CMMIS

O/I

EC

27001

• Work instruction• 2• 3• 4,5,6….






The relevance of standards and practices depends on the organization and its priorities and expectations.An organization may decide to adopt all, one, or part of one of the standards to improve the performance of a business process or enable business transformation.

Re

leva

nt to

IT S

pecific TCO ISO/IEC

27001

ITIL/ISO/IEC

20000CMM

COBIT

Big Picture of International Standards and Best Practices

COBIT is positioned centrally at the General level, helping integrate technical and specific practices

with broader business practices.

High (Business Transformation)Low (Process Improvement) Moderate

Improvement Goal

Re

leva

nt to

IT

Holis

ticG

enera

l

Six Sigma

ISO/IEC 9000

Malcolm Baldrige Award

Scorecards



Business Model for Information SecurityBMIS is primarily a three-dimensional model. It consists of four elements and six dynamic interconnections (DIs).



Recognizing Enterprise Architecture


Source: www.isaca.org, “BMIS”, the business model for information security, 2010

The security programme is subject to the overarching direction provided by enterprise governance and its subsidiary areas, namely governance of IT and—in some cases—detailed security governance provisions. The security programme implements a layer below the overall governance framework.


Aligning Common Security Standards




Aligning Generic Frameworks




Zachman Enterprise Framework



Enterprise Architecture FrameworkBusiness Risks What

Business ArchitectureBusiness Architecture

BusinessBusinessProcessesProcesses OrganizationalOrganizational PeoplePeople

Business Vision & DriversBusiness Vision & Drivers

Based on ‘The Open Group Architecture Forum’ (TOGAF)


IT Risks How

ProcessesProcesses

Application Application ArchitectureArchitecture

( Services)( Services)

Data Data ArchitectureArchitecture

(Information)(Information)

Technology ArchitectureTechnology Architecture

(Hardware, Software, Network)(Hardware, Software, Network)


Increasing regulations

Increased complexity due

to globalisation

New Ethical and

Increased competitive

pressures

Governance

Business drivers for an integrated approach to GRC

New technologies

Integrity-driven performance

expectations

Increased demands from

stakeholders

Transparency and accountability

demands

Ethical and financial

scandals

Risk and

Compliance



Hottest Cloud in 2011

© Copyright, ACIS Professional Center Company Limited, All rights reserved


Apple New Data Center in NC ($1 Billions)



iCloud Features



Does iCloud Pose Security Risks To Users?Does iCloud make iPhones and iPads a security risk?



iCloud Raises Serious Data Security Concerns

• Those intent on hacking into big systems will soon have a big new target. Apple announced its iCloudservice that stores massive amounts of content, much like a giant storage system in the sky. iCloudusers will be able to wirelessly access their music, photos, email, calendar and all kinds of other content on several devices. It's meant to eliminate photos, email, calendar and all kinds of other content on several devices. It's meant to eliminate the need to sync phones, computers, laptops and tablets. It's all about convenience. But is it safe?

• The forthcoming free Apple service syncs among iCloud-enabled devices, moving data to devices and cloud servers outside your control

•



iCloud Raises Serious Data Security Concerns

• Simple phishing scam or socially engineered attack could easily dupe a user into surrendering username and password credentials that will expose the data stored in iCloud

• In order for iCloud to be a success, Apple has to • In order for iCloud to be a success, Apple has to assure consumers and businesses that the data is protected

• The convenience of having documents automatically synced to iCloud aside, what happens when the business wants to delete that information?



Life Cycle Approach

� กระบวนการทOถกปรบปรงเพOมขyน ท yง 7 ข yนตอน มความสมบรณและพรอมในการนาไปประยกต ใชในองคกรมากขyนกวาเดม

� เปนทOชดเจนวา การปรบปรง

Concepts for New ITG Framework

� เปนทOชดเจนวา การปรบปรงกระบวนการ “IT Governance” นyนมผลทาใหภาพรวมของการปรบปรง กระบวนการ “Enterprise Governance” ดข yนดวย และการนา Frameworks, Standards ตลอดจน “Best Practices” ตาง ๆ มาใชนyน จะไดผลกตอเมOอถกนามา “Adapt” และ “Adopt” อยางถกตอง



Implementation Life Cycle

� เอกสาร “Implementing and Continually Implementing IT Governance” ประกอบดวย 4 Components ไดแก

� Create the right

Concepts for New ITG Framework

� Create the right environment

� Programme Management

หรอ Project Management

� Change Enablement

� Continual Improvement

Life Cycle

� รายละเอยดของกระบวนการท yง 7



Inside COBIT 5 Designปรชญาในการออกแบบ COBIT 5 นyน นามาจาก ISACA Initiative ทOเรยกวา “TGF” ยอมาจาก “Taking Governance Forward” ซOง COBIT 5 มวตถประสงคในการพฒนา อย 7 ขอไดแก

� ความตองการในการรวม Framework ตาง ๆ ไดแก Val IT, Risk IT, BMIS และ ITAF เขาดวยกนในลกษณะเปน Framework ใหญเพยงหนOงเดยว เพOอไมใหเกดความยงยากสบสนในการใชงาน Framework ตาง ๆ ตองการใหหลกการและใหคาศพทตาง ๆ เกดความชดเจนไมซบซอน


� ตองการใหหลกการและใหคาศพทตาง ๆ เกดความชดเจนไมซบซอน� ตองงายในการ “Migrate” จาก COBIT 4.1� ตองมรายละเอยดเพOอการคนหาของผใชมากขyนกวาใน COBIT 4.1� ตองครอบคลมเรOอง Enterprise Architecture (EA) เรOอง Decision Making เรOอง

People Skill เรOอง Organization Structure เรOอง Charge Enablement และ เรOอง Sustainability

� ตองทาใหชดเจนในเรOองของ “Governance Process” และ “Management Process” � ตองงายในการ “ทาความเขาใจ” “การนามาใชงาน “ สอดคลองกบ “Standard” และ

“Best Practice”


� กลมของผทOมสวนเกOยวของกบการนา COBIT 5.0 ไปใชนyนจะกวางขyนกวา COBIT 4.1 ท yง Internal Stakeholder และ External Stakeholder ทาให ครอบคลมผใชในวงกวางมากขyนกวาเกา

� สถาปตยกรรมของ COBIT 5 ถกออกแบบใหเหมาะสมกบ Stakeholder ทOแตกตางกน ในรปของ COBIT 5 Family of Products เชน

COBIT 5 Family of Products

แตกตางกน ในรปของ COBIT 5 Family of Products เชน

� COBIT 5 for Risk

� COBIT 5 for Value

� COBIT 5 for Security

� COBIT 5 for Compliance



COBIT 5 Objectives

COBIT 5 will:• Provide a renewed and authoritative governance and management

framework for enterprise information and related technology, building on the current widely recognized and accepted COBIT framework, linking together and reinforcing all other major ISACA frameworks and guidance such as:guidance such as:

Val IT Risk ITBMIS ITAFBoard Briefing Taking Governance Forward

• Connect to other major frameworks and standards in the marketplace (ITIL, ISO standards, etc.)



Other Guidance Options

The COBIT 5 product architecture will also contain practitioner guidance designed to support specific business requirements, the needs of ISACA constituent groups, specific content topic development and reference to the COBIT framework and specific framework as necessary. Such guidance could include:framework as necessary. Such guidance could include:

� Getting Started Guides

� Mappings

� Surveys and Benchmarks

� Implementation Guides



� นอกจากนy COBIT 5 ยงมการนา Standard และ Best Practice มาใชอางองกวา 60 แหลง ยกตวอยาง เชน ITIL V3, ISO 27000 Series, ISO 20000, ISO 38500:2008, TOGAF V9 และ ISO 9000:2008 เปนตน

� การนา COBIT 5 มาใชไดผลดนyน ตองคานงถงวฒนธรรมขององคกรดวย

COBIT 5 – Management of Enterprise IT

เพราะจะตองเกดการเปลOยนแปลง หรอ “Change” ท yงดาน วฒนธรรม (Culture) และ พฤตกรรม (Behavior) ของคนในองคกรอยางหลกเลOยงไมได

� โดย ISACA ไดคานงถงปญหาใหญในเรOองนyจงไดทาการปรบแนวทางในการ Implement IT Governance มาเปน Life Cycle ตามหลกการ CSI 6 Steps Model จาก ITIL V3 มาเปนแนวทาง 7 Steps ดงทOกลาวมาแลวในตอนตน



� กจกรรมตามแนวคด “IT Governance” นyนสามารถแบงไดเปน 5 กลม ไดแก

COBIT 5 : ITG Focus Areas

� Strategic Alignment

� Value Delivery


� Value Delivery

� Risk Management

� Resource Management

� Performance Measurement


1. Strategic Alignment

� หมายถง การทาใหกลยทธทางดานการนาเทคโนโลยสารสนเทศมาใชในองคกรนyน “สอดคลอง” หรอ “Align” ไปในทศทางเดยวกบกลยทธขององคกร โดยแผนแมบทดานสารสนเทศควรสอดคลองกบแผนแมบทขององคกร เพOอใหการดาเนนการทางดานสารสนเทศสอดคลองกบเปาหมายของ


Aligning IT with Business

องคกร เพOอใหการดาเนนการทางดานสารสนเทศสอดคลองกบเปาหมายขององคกร จะสงผลใหองคกรสามารถใชทรพยากรตาง ๆ ไดอยางมประสทธภาพ


Strategic Alignment


2. Value Delivery หรอ Value Creation

� หมายถง การนาเทคโนโลยสารสนเทศมาใชในองคกรตองตอบโจทยความตองการทางดานธรกจขององคกรใหชดเจนในมมมองของ “ความคมคา” ทOสามารถรบรไดโดยผใชระบบสารสนเทศ ตลอดจนผบรหารระดบสงขององคกรและลกคาทOมสวนเกOยวของกบการใชเทคโนโลยสารสนเทศ เพOอทา


ใหการใหบรการขององคกรดข yน เชน ใหบรการไดเรวขyน, ทาใหลกคาเกดความพงพอใจมากขyนจากการทOองคกรนาระบบสารสนเทศมาใช เรยกไดวา “เหนประโยชน” จากนาเทคโนโลยสารสนเทศมาใช อยางชดเจน เปนรปธรรม ตลอดจนอยในเวลาและงบประมาณทOกาหนดไวอกดวย


Value Delivery$


ITG Focus Areas: Value Delivery Focus


“Two Views of Control”


3. Risk Management หรอ Value Preservation

� ขณะทO “Value Delivery” มงเนนไปทOการสรางคณคา (Value Creation) แตสาหรบ Risk Management หรอ การบรหารความเสOยงนyน มงเนนไปทOกระบวนการรกษาคณคา หรอ (Value Preservation) โดยการบรหารความเสOยงควรเปนกระบวนการทOกระทาอยางตอเนOองตามหลกการดานการ


ความเสOยงควรเปนกระบวนการทOกระทาอยางตอเนOองตามหลกการดานการบรหารความเสOยงแบบสากล ไดแก การประเมน (Assess) การวเคราะห (Analysis) และ การตดสนใจ (Treatment) วาจะยอมรบความเสOยง หรอ ไมยอมรบความเสOยงในลกษณะใด (Risk Reduction, Risk Retention, Risk Avoidance หรอ Risk Transfer) โดยอางองจาก Risk Acceptance Criteria (ISO 27005:2008)


Risk Management


3. Risk Management หรอ Value Preservation (cont.)

� โดยการบรหารจดการความเสOยงทOดนyนควรใหผบรหารระดบสง ไดรบร และ ตระหนก (Risk Aware) ในผลกระทบจากความเสOยงทOอาจเกดขyน และไดทาการกาหนดระดบความเสOยงทOยอมรบได “Risk Appetite” หรอ Risk Acceptance Level” เพOอนาไปใชในการประเมนความเสOยง และ “ผบรหาร


ระดบสง” มหนาทOตองรบผดชอบในการกาหนดระดบความเสOยงดงกลาวนy เพOอใหสอดคลองกบแนวทาง IT Governance และแนวคด Governance, Risk Management and Compliance (GRC)

� เนOองจากการนาสารสนเทศมาใชทาใหเกดความเสOยงทOเรยกวา “IT Risk” ซOงสงผลโดยตรงตอการดาเนนงานขององคกร ทาใหเกด “Business Risk” หรอความเสOยงในเชงธรกจขององคกร จากการนาเทคโนโลยสารสนเทศมาใช อยางไมปลอดภย และไมรดกมพอ เรยกไดวา “IT Risk กคอ “Business Risk”



4. Performance Management

� การวดประสทธภาพและประสทธผลของกระบวนการดานการบรหารจดการเทคโนโลยสารสนเทศนyนกาลงเปนประเดนรอนทOมการกลาวถงอยางมากทOวโลกในขณะนy เรOองของ “IT KPI” และ “IT Metric” ตลอดจน “IT Performance Management” เปนทOเรOองทOผบรหารระบบสารสนเทศตอง


Performance Management” เปนทOเรOองทOผบรหารระบบสารสนเทศตองนามาใชในการประเมนการปฏบตงานของฝายเทคโนโลยสารสนเทศ ดงนyนจงมความจาเปนทOผบรหารระบบสารสนเทศตองกาหนด “คาช�วด” หรอ “Metric” ในการประเมนทOไดรบการยอมรบโดยผเกOยวของ (Stakeholder) ซOงอาจวดในรปของ Performance Scorecard, Dashboard หรอ Benchmarking If you cannot measure it,

you cannot manage it.{ }


Performance Measurement


4. Performance Management (cont.)

� ความสาคญของการวด หรอ “Measurement” นyน สงผลตอความสามารถในการบรหารจดการหรอ “Manage” ดงคากลาวทOวา “If you cannot measure it, you cannot manage it” ดงนyน การวดประสทธผลและวดประสทธภาพนyนจงเปนกระบวนการทOมความสาคญอยางมาก ซOงจะถก


และวดประสทธภาพนyนจงเปนกระบวนการทOมความสาคญอยางมาก ซOงจะถกมองขามเสยไมได

� ผตรวจสอบจาก Certification Body (CB) เวลามาตรวจสอบองคกรตามมาตรฐาน ISO/IEC 27001 จะเนนเรOองการวดประสทธผล (Effectiveness) ของกระบวนการดานการบรหารจดการความปลอดภยสารสนเทศ

� โดยถามการปฏบตตามกระบวนการตามหลก ISMS แลว แตไมมการประเมนผลกถอวายงไมตรงตามหลกการของ ISO/IEC 27001



5. Resource Management

� หมายถง การบรหารจดการทรพยากรตาง ๆ ท yง 4 กลมไดแก

� 1. บคลากร (People)� 2. โครงสรางพ�นฐาน (Infrastructure)� 3. โปรแกรมประยกต (Application)


� 3. โปรแกรมประยกต (Application)� 4. สารสนเทศ (Information)

� เปนการนาทรพยากรมาใชอยางมประสทธภาพ เพยงพอกบความตองการและคมคาการลงทน โดยการบรหารทรพยากรบคคล หรอ “Human Resource Management” นyนเปนเรOองสาคญ เพราะบคลากรถอเปนทรพยากรทOสาคญทOสดขององคกร จงตองมการฝกอบรมใหความร ตลอดจนมการพฒนาบคลากรใหมความรความสามารถเปน “Knowledge Worker” ทOสามารถปฏบตตางๆ ขององคกรไดตามเปาหมายทOกาหนดไวในแผนกลยทธทางดานสารสนเทศและแผนกลยทธธรกจในภาพรวมขององคกรในทOสด


Resource Management


บทสรป

� บทสรปของการนา COBIT Framework และ IT Governance Implementation Guide มาใชนyนสรปความไดวา ท yง COBIT และ IT Governance Implementation Guide นyนไมใช “Solution”


Governance Implementation Guide นyนไมใช “Solution”

� แตเปน “Method” ดงคากลาวของ “Luc Kordel” ทOวา “It’s a method, not the solution!”

� ดงนyน องคกรตองนา Framework มา “Adopt” และ “Adapt” ปรบใหเขากบ Corporate Culture, Style และ People Skill



ISO/IEC 38500:2008Corporate Governance of Information Technology

ITG Principles:

� Principle 1: Responsibility

� Principle 2: Strategy

� Principle 3: Acquisition

ITG Framework


ITG Model:

a) Evaluate

b) Direct

c) Monitor

� Principle 3: Acquisition

� Principle 4: Performance

� Principle 5: Conformance

� Principle 6: Human Behavior


Aligning CobiT, ITIL and ISO 27002 for Business Benefit

Source: ITGI



International Register of Certificated Auditors

ACIS and TUV NORD : 3 IRCA Certified Training Courses



Information Security Governance

Source: ITGI



Information Security Governance Conceptual Framework

Source: ITGI



IT Risk vs. Risk ITIT Risk vs. Risk ITIts Impacts to BusinessIts Impacts to BusinessIts Impacts to BusinessIts Impacts to Business


“IT Risk” Book from Harvard Business School



Categories of IT risk



IT Risk vs. IT Opportunity

IT Risk

⇒⇒⇒⇒ Business Risk

⇒⇒⇒⇒ Enterprise Risk

IT Risk

Value Inhibitor

Techniques and Uses for Risk IT and its Supporting Materials forRisk and Opportunity Management (Using COBIT, Val IT and Risk IT)


⇒⇒⇒⇒ Enterprise Risk

IT Opportunity

Value Enabler

82


The Core Disciplines of Risk Management



The Three Core Disciplines of Effective Risk Management

1. A well-structured, well-managed foundation of IT assets, people, and supporting processes

2. A well-designed risk governance process to identify, prioritize, and track risksprioritize, and track risks

3. A risk-aware culture in which people understand causes and solutions for IT risks and are comfortable discussing risk



ISACA Risk IT Framework


Risk IT Based on COBIT Objectives and Principles


Risk IT Framework Principles

Defined around these building blocks is a process model for IT risk that will look familiar to users of COBIT and ValIT4 substantial guidance is provided on the key activities within each process, responsibilities for the process, information flows between processes and performance management of the process. The processes are divided in three domains –Risk Governance, Risk Evaluation and Risk Response – each containing three processes:

o Establish and Maintain a Common


� Risk Governanceo Establish and Maintain a Common

o Integrate with Enterprise Risk Management

o Make Risk-aware Business Decision

� Risk Evaluationo Collect Data

o Analyze Risk

o Maintain Risk Profile

� Risk Responseo Articulate Risk

o Manage Risk

o React to Events


Risk IT Process Model



Elements of Risk Culture



Embedding Standards & Best Practices in the organization’s culture



- Awareness (What)- Training (How)- Education (Why)

Awareness Training

Information Security Awareness Program Development

- Education (Why)



Competency, Knowledge, and Skills



The Seven Habits of Highly Effective People

1. ตองเปนฝายเร (มตนทากอน (Be Proactive)

2. เร (มตนดวยจดมงหมายในใจ(Begin with the End in Mind)

3. ทาตามลาดบความสาคญ(Put first things first)(Put first things first)

4. คดแบบ ชนะ/ชนะ Think Win-Win

5. เขาใจคนอ(นกอนจะใหคนอ(นเขาใจเรา Seek First to Understand, Then to be Understood

6. ประสานพลงสรางส(งใหม Synergize

7. ลบเล(อยใหคมอยเสมอ Sharpen the saw

From “The Seven Habits of Highly Effective People: Restoring

the Character Ethic” by Stephen R. Covey,

Simon and Schuster, 1989



Time Management

การจดลาดบงาน

1 2

ดวน ไมดวน

สาคญ

3 4

สาคญ

ไมสาคญ

Put thePut the

Big RocksBig Rocks

in Firstin First


Six Thinking HatsEdward de Bono



ศาสตรในการอานใจคน “จรต 6”

� ราคะจรต หนกไปทางรกสวยรกงามคอ พอใจในรปสวย เสยงเพราะ กลOนหอม รสอรอย สมผสนOมนวล ชอบการมระเบยบ สะอาด ประณต พดจาออนหวาน เกลยดความเลอะเทอะ มกชอบพฒนาศลปะใหแกสงคม

� โทสะจรต หนกไปทางเจาอารมณมกโกรธ เปนคนขyโมโหโทโส พดเสยงดง เดนแรง ทางานหยาบ แตงตวไมพถพถน เปนคนใจเรว ชอบจบผด จงมองขอตลกของคนไดด จงมกเปนคนทOพดจาไดตลกและสนกสนาน เนOองจากเปนคนตรงไปตรงมา ปกปองสงคมจากการเสOอมไดด

� โมหะจรต หนกไปทางลมหลง ในทรพยสมบต นสยเหนแกตว อยากไดของของคนอOน ลม� โมหะจรต หนกไปทางลมหลง ในทรพยสมบต นสยเหนแกตว อยากไดของของคนอOน ลมหลงในลาภสกการะ ชOอเสยงเกยรตยศ มกงมงายในบทบาททOสงคมสมมตให บาอานาจ ถอความเหนตวเองเปนใหญ ยดความเปนสถาบนสง

� วตกจรต หนกไปทางชอบคดมาก ถาขyขลาดจะวตก กงวล ฟงซานชอบคด ตดสนใจไมเดดขาด ไมกลาตดสนใจ คดอยางไมมเหตผล เกนจรง ชอบแหกกฎเกณฑ ขอดคดนอกกรอบ ทาใหเกดความคดสรางสรรคใหมๆ ตอสงคม

� ศรทธาจรต หนกไปทางเชOอถอจรงใจ นอมไปในความเชOอเปนอารมณประจาใจ เชOอโดยไร เหตผล พวกนyถกหลอกไดงาย ใครแนะนากเชOอโดยไมพจารณา ชอบเพOอน ชอบรวมกลม พวกมากลากไป แครสงคม กลวคนนนทา ชอบชวยเหลอผออนแอ

� พทธจรต หนกไปทางใชปญญาเจาปญญาเจาความคด มความฉลาด มปฏภาณไหวพรบ การคดการอาน ความทรงจาด ถอหลกการ อนรกษนยม ชอบสOงสอนคนอOน



เร�องท�คนไอทตองร เร�องท�คนไอทตองร ISBN 978-974-401-593-8

ผเขยน อ.ปรญญา หอมเอนก และทมงาน

ACIS eEnterprise Series I


บรรณาธการเลม นยนา แยมอรณ, วมลพมพ อดมพงษสข

พมพท บรษท โรงพมพอกษรสมพนธ (1987) จากด

จดจาหนายโดย บรษท เออารไอพ จากด (มหาชน)

99/ 16-20 ถนนรชดาภเษก แขวงดนแดง

เขตดนแดง กรงเทพฯ 10400

โทร. 0-2642-3400 ตอ 3991-5



....คมภรท�นกบรหารไอทตองร คมภรท�นกบรหารไอทตองร ISBN xxx-xxx-xxx-xxx-x


ACIS eEnterprise Series II

Strategic Roadmap with International Standards and Best Practices to integrated GRC

กลยทธสการบรหารไอทใหไดมาตรฐานโลกกลยทธสการบรหารไอทใหไดมาตรฐานโลก


บรรณาธการเลม นยนา แยมอรณ, วมลพมพ อดมพงษสข

พมพท บรษท โรงพมพอกษรสมพนธ (1987) จากด

จดจาหนายโดย บรษท เออารไอพ จากด (มหาชน)

99/ 16-20 ถนนรชดาภเษก แขวงดนแดง

เขตดนแดง กรงเทพฯ 10400

โทร. 0-2642-3400 ตอ 3991-5



“360 Degree IT Management Book”

Part 1 : Introduction to “GRC”, “IT GRC” and “Integrated GRC” Implementation

Part 2 : IT Governance implementation using CobiT and New CobiTFramework

Part 3 : Balancing in Improving Efficiency and Quality of IT Service


Part 3 : Balancing in Improving Efficiency and Quality of IT Service Management with ISO/IEC 20000 and ITIL V3

Part 4 : Information Security Management Implementation with ISO/IEC 27001

Part 5 : Effective and Efficient Business Continuity Management on Crisis Management


What’s the future trend in Thailand?

Audit => Forensic => Fraud

Security => Privacy

BIA (part of BCM) => PIA


BIA (part of BCM) => PIA

BIA = Business Impact Analysis

PIA = Privacy Impact Assessment


โครงการหนงสอน�เพ(อนอง “Social Networking Security”



โครงการหนงสอน�เพ(อนอง “Social Networking Security”

1. รจก Social Media / Social Networking

2. การต +งคาเพ/อความปลอดภยของ Facebook และ Twitter

3. ประโยชนและภยจากสงคมออนไลน

4. วธคนหาเกมใน Facebook4. วธคนหาเกมใน Facebook

5. บาปสบประการกบการใชงานเครอขายสงคมออนไลน

6. สถานการณและแนวโนมดานความปลอดภยกบภยแฝงในโลกไซเบอรจากการใชงานเครอขายสงคมออนไลน



www.cdicconference.com29-30 November 2011 @BITEC



Future Trend 2012 (Conference Highlights)

• The Latest Update Top Ten Cyber Security Threats and Emerging Trends in Year 2012 and Beyond

• The Latest Update International Business-IT and Security-related Standards and Best Practices Trends, including New ISO/IEC 27001 and COBIT 5

Practical Cloud Computing Implementation and its security concerns


• Practical Cloud Computing Implementation and its security concerns

• Encountering and Balancing on Security vs. Privacy Issues, and Privacy Impact Assessment (PIA)

• What else, when an enterprise needs a framework for “IT GRC”, “Security GRC” and “Integrated GRC”?



• Integrating Enterprise Governance with IT Governance (ITG) and Information Security Governance (ISG); Integrated Audit and Risk Assessment for High Performance Organization and Operational Excellence

• How to drive a Strategic GRC implementation into Business Alignment: Conformance vs. Performance, Create Value vs. Preserve Value, and Corporate Social Responsibility (CSR) vs. Creating Shared


Value, and Corporate Social Responsibility (CSR) vs. Creating Shared Value (CSV)

•The New Business Impact Analysis (BIA) and Risk Analysis (RA) from ISO 22301 (BCMS) for Critical Infrastructure

•Layer 8 Exploitation: Lock'n Load Target

•IPv4 to IPv6 State Transition Vulnerabilities & Exploits



• Strategic Roadmap and Move on Enterprise Cloud Infrastructure

• The New Patterns of Advanced Persistent Threats (APT) and Targeted Attacks from Anonymous and LulzSec Groups

• Advanced Smart Phone Forensics

• Mobile Malware Transformation


• Mobile Malware Transformation

• GSM Deception Episode II

• In-depth Live Show Demonstration on New Advanced Cybercrime and Ethical Hacking Techniques, Gadgets and Tools

• Real Case Studies from Professionals and the International Security Experts


www.snsconference.comSNSCON and MOBISCON 2011

28-29 June 2011

www.cdicconference.com www.cdicconference.com Cyber Defense Initiative Conference 2011

29-30 November 2011


www.TISA.or.thThailand Information Security Association

www.acisonline.net

[email protected]

www.acisonline.netACIS Professional Center Co., Ltd.


RSA Conference 2011 (ISC)2 member reception



Risk Culture/Culture of Security

When we look at the future of Internet Security with billions

of devices online, the first thing we do is that we have to

create the culture of security.

CDIC 2008, Keynote Speech, Howard SchmidtCEO of The Information Security Forum


CEO of The Information Security ForumCyber-Security Coordinator of the Obama Administration


“Risk Culture/Culture of Security”



My My FacebookFacebook and Twitterand Twitter

http://www.facebook.com/prinyahhttp://www.facebook.com/prinyah

http://www.twitter.com/prinyaACIShttp://www.twitter.com/prinyaACIS

CDIC Conference 2011 http://www.cdicconference.com

13-Oct-11

ACIS Professional Center Co., Ltd.http://www.acisonline.net

Thailand Information Security Associationhttp://www.tisa.or.th