การทำ Cyber Resilience หรือก็คือการสร้างความยืดหยุ่น ความต้านทานต่อภัยคุกคาม ต่อให้องค์กรถูกโจมตีแต่ธุรกิจก็ยังคงดำเนินต่อไปได้ พร้อมๆ กับการรับมือและฟื้นฟูความเสียหายให้กลับสู่สภาวะปกติ
ก้าวแรกของการเริ่มทำ Cyber Resilience คือ การประเมินความพร้อม ซึ่งจะทำให้องค์กรรู้ระดับ Maturity Level ของตนเอง รวมไปถึงทำให้ทราบภัยคุกคามที่องค์กรต้องเตรียมพร้อมรับมือ ความเสียหายและผลกระทบที่อาจเกิดขึ้น ไปจนถึงความเสี่ยงทั้งด้านธุรกิจและระบบ IT และความสอดคล้องกับกฎหมายและข้อบังคับต่างๆ
สำหรับวิธีที่จะใช้ประเมินเบื้องต้น ทาง PROUD ขอแนะนำดังต่อไปนี้
- ใช้เครื่องมือประเมินในการ Self-assessment เช่น Cyber Security Evaluation Tool (CSET), Cyber Resilience Assessment Framework (CRAF) ของแต่ละ Regulatiors ต่าง ๆ เช่น BOT, SEC หรือ OIC เป็นต้น
- ประเมินตามกรอบการทำงานหรือ Frameworks ที่ได้รับการยอมรับและเป็นมาตรฐาน เช่น ISO 27000 Series, Cyber Essential, HITRUST CSF, CIS Top 18, NIST Cybersecurity Framework เป็นต้น
- ให้หน่วยงานภายนอกให้มาประเมินตามมาตรฐานหรือข้อบังคับต่างๆ เช่น ISO/IEC 27001:2013, PCI DSS, PDPA, HIPAA, GDPR เป็นต้น
โดยรากฐานของการทำ Cyber Resilience ประกอบด้วย การดำเนินงาน (Operations) ที่สามารถทำได้อย่างต่อเนื่อง พร้อมรับมือภัยคุกคามในปัจจุบัน และการประเมินความเสี่ยงที่ยอมรับได้