Equifax 2017 — เคสคลาสสิคที่เปลี่ยนวงการ#

กันยายน 2017 — Equifax (1 ใน 3 credit bureau ใหญ่ของอเมริกา) ประกาศโดนเจาะ. 147 ล้านคนอเมริกัน เสียข้อมูลละเอียดทุกอย่าง — เลขประกันสังคม + เลขบัตรเครดิต + ที่อยู่ + ใบขับขี่. ค่าเสียหายในที่สุด ~$1.4 พันล้าน USD

ช่องโหว่ที่โดนเจาะคือ Apache Struts CVE-2017-5638 — ที่มี patch ออกมาตั้งแต่ มีนาคม 2017 (2 เดือนก่อนเจาะ). บริษัท ไม่ patch. CISO รู้ไหมว่ามีช่องโหว่นี้? รู้. ทีมรู้ไหมว่าต้อง patch? รู้. ทำไมไม่ patch? — มี คำสั่งภายในให้ patch แต่ไม่มีคน follow-up ว่าทำจริงไหม

นี่คือจุดที่ reporting line สำคัญ. ก่อนเจาะ — CISO ของ Equifax รายงานตรงต่อ CIO. CIO มี KPI เป็น uptime + delivery + cost. การ patch ระบบ production ใหญ่ๆ = downtime + risk ทำให้ระบบล่ม + ต้องทดสอบเยอะ. ทุกครั้งที่ทีม security ขอ patch — CIO มี incentive ที่จะ ดึงเวลา + ถามคำถามเยอะ + เลื่อน

หลังเจาะ — Equifax ปรับโครงสร้างทันที. CISO ใหม่ Jamil Farshchi → รายงานตรงต่อ CEO. และตั้ง Technology Transformation Committee ของ Board เพื่อกำกับ CISO โดยตรง. การปรับนี้เป็น message ชัดเจนต่อวงการ — “reporting line คือ root cause”

มุมผู้บริหาร — ก่อนถามว่า “ทีม security เรามี tools ครบไหม?” — ถามก่อนว่า “CISO รายงานใคร?”. ถ้าคำตอบคือ “อยู่ใต้ CIO/CTO” — ทุกอย่างใต้นั้นเป็น structural risk ที่ tools แก้ไม่ได้. และถ้าวันหนึ่งบริษัทคุณโดนเจาะ — สิ่งแรกที่ regulator + insurance + lawsuit จะถามคือ “CISO รายงานใคร และเป็นอิสระแค่ไหน”. เคส Equifax ทำให้ insurance industry เริ่มมี policy ที่ “discount premium” ให้บริษัทที่ CISO รายงานตรง CEO/Board

CISO ควรรายงานใคร — 3 ทางเลือกที่ถูก#

วงการ security + ISACA + ISSA แนะนำ 3 ทางเลือกที่ถูก สำหรับ CISO reporting line —

1. CISO → CEO โดยตรง — Gold standard. CISO มีอำนาจในระดับเดียวกับ CIO/CFO/COO. เหมาะกับบริษัทใหญ่ + บริษัทที่ business risk = digital risk (bank / fintech / healthcare)

2. CISO → CRO (Chief Risk Officer) — เหมาะกับบริษัทที่มี CRO เป็นระดับ C อยู่แล้ว (bank + insurance ส่วนใหญ่). CRO มอง enterprise risk ทุกแบบ — cyber risk เป็นชั้นย่อย. มีข้อดีคือ CISO ได้เข้า risk forum ของบริษัทตามธรรมชาติ

3. CISO → Risk Committee ของ Board (dotted line) — แบบ dual reporting. CISO รายงาน CEO หรือ CRO เป็น solid line (management) + รายงาน Risk Committee ของ Board เป็น dotted line (governance). โครงสร้างนี้คือ best practice ของบริษัท Fortune 500

ทางเลือก ห้าม —

• CISO → CIO ❌ (Equifax pattern)
• CISO → CTO ❌ (KPI ขัด)
• CISO → CFO ❌ (cut budget — security เป็น cost center ที่โดนตัดก่อนเสมอ)
• CISO → COO ❌ (operations ก็มี delivery pressure)
• CISO → General Counsel ✓ (รับได้ในบริษัทขนาดเล็ก — เพราะ Legal อยากให้ compliance ผ่าน — ไม่ขัด KPI กับ CISO)

Reference สำหรับเข้าใจ C-Suite reporting ลึกขึ้น — ผมเคยเขียน Organization Anatomy 101 EP.04 (C-Suite reporting structure) ที่อธิบายว่าทำไม dual reporting (solid line + dotted line) เป็นเครื่องมือสำคัญในการแยกอำนาจ. ถ้าสนใจเรื่องโครงสร้างองค์กรในมุมกว้าง — แนะนำให้อ่านเพิ่มเติม

Line 1 — Operations: คนทำงานที่ทำ control เอง#

Line 1 (เส้นแรก) = ทีม operations ที่ทำงานจริง — IT / Finance / HR / Sales / Production. คนเหล่านี้ เป็นเจ้าของ risk + ทำ control เอง

ตัวอย่างใน security context —

• IT operations ที่ patch server เอง
• Developer ที่เขียน code โดยใช้ secure coding (EP.34)
• HR ที่ทำ background check ก่อนรับพนักงาน
• Finance ที่มี maker-checker ในการอนุมัติเงิน

Line 1 = “คนทำงาน + ทำ control ในงานของตัวเอง”. นี่คือชั้นที่ใกล้ risk ที่สุด — เห็นเร็วที่สุด — แต่ก็ มี bias ที่อยาก “ผ่าน” เพราะเป็นงานของตัวเอง

Line 2 — Risk + Compliance: คนกำกับที่ไม่ได้ทำงาน operations เอง#

Line 2 (เส้นที่สอง) = ทีมที่ กำกับ + ออกแบบ framework ให้ Line 1 ทำตาม. ไม่ได้ทำงาน operations เอง — แต่ตรวจสอบ + report ขึ้นบน

ในบริษัทใหญ่ Line 2 ประกอบด้วย —

• Risk Management (กำกับโดย CRO)
• Compliance (กำกับโดย Chief Compliance Officer / CCO)
• CISO + ทีม security governance (กำกับ control ของ Line 1)
• DPO + ทีม privacy (กำกับ data handling)

Line 2 = “คนตั้งกฎ + ตรวจตามกฎ — แต่ยังอยู่ใน management”. มีอิสระจาก Line 1 แต่ยังอยู่ใต้ CEO

Line 3 — Internal Audit: ผู้ตรวจสอบที่อิสระจาก management#

Line 3 (เส้นที่สาม) = Internal Audit ที่นำโดย CAE (Chief Audit Executive). หน้าที่ — ตรวจ Line 1 + Line 2 ทั้งคู่ — และให้ assurance กับ Board ว่าระบบ control + risk management ทำงานจริงไหม

จุดสำคัญ — CAE รายงานตรงต่อ Audit Committee ของ Board ไม่ใช่รายงาน CEO. ทำไม? เพราะ CAE ต้อง audit CEO + ทุกคนใต้ CEO. ถ้า CAE รายงาน CEO — เมื่อพบเรื่องเสียที่ CEO ทำ — รายงานจะไม่ออกไปไหน

Line 3 = “ผู้ตรวจที่อิสระจาก management ทั้งหมด — รายงานสภาเมือง (Board) ตรง”

ภาพรวม Three Lines + ทำไมต้องอิสระ#

ลองภาพในเมืองของเราครับ —

• Line 1 = พนักงานเทศบาล ที่ปฏิบัติตามระเบียบในงานประจำ
• Line 2 = สำนักความเสี่ยง + สำนักความมั่นคง ที่ตั้งระเบียบ + ตรวจคนปฏิบัติ
• Line 3 = สตง. (สำนักงานตรวจเงินแผ่นดิน) ที่ตรวจทั้งเทศบาล + รายงานสภา

ถ้า สตง. อยู่ใต้ผู้ว่าฯ — สตง. จะตรวจผู้ว่าฯ ได้ไหม? ก็ไม่ได้สิครับ. ผู้ว่าฯ เป็นคนประเมินผลงาน สตง. — สตง. ก็จะ “เห็นบางอย่าง + ไม่เห็นบางอย่าง” ที่ผู้ว่าฯ อยากให้เห็น

หลักของ Three Lines จึงเรียบง่าย —

1. คนทำงาน ห้ามตรวจตัวเอง
2. คนกำกับ (Line 2) ต้องไม่อยู่ใต้คนที่ตัวเองกำกับ
3. คนตรวจสุดท้าย (Line 3) ต้องไม่อยู่ใต้คนที่ตัวเองตรวจ — รายงาน Board ตรง

ทุก framework ระดับโลก — ISO 27001 / COBIT / NIST / Basel III / SOX — ใช้หลักนี้เหมือนกัน. ต่างกันแค่ชื่อเรียก + เน้นชั้นไหนเป็นพิเศษ

มุมผู้บริหาร — เมื่อบริษัทคุณโต — อย่ามองว่า “Risk + Compliance + Audit ทำงานคล้ายกัน รวมๆ ใต้คนเดียวก็ได้”. รวมเมื่อไหร่ — Three Lines พังเมื่อนั้น. pattern คลาสสิคของบริษัทไทย SME ที่กำลังเข้า SET (IPO) — มักจะมี “หัวหน้า Risk + Compliance + Internal Audit” คนเดียว เพราะ “ประหยัด headcount”. เมื่อเข้าตลาดหุ้นจริง — auditor + regulator ส่งกลับมาให้แยก. แยกตอนนั้นยากมาก เพราะคน 3 คนใหม่ ต้องเข้ามาแย่งอำนาจ + ทำ politics. แยกตั้งแต่ต้นง่ายกว่า แม้ headcount เพิ่ม

Risk Committee — กำกับ Risk Management#

Risk Committee = sub-committee ของ Board ที่ดู enterprise risk ทั้งหมด. หน้าที่ —

• ทบทวน risk appetite ของบริษัท — ระดับความเสี่ยงที่บริษัทยอมรับได้ (EP.05)
• รับ report จาก CRO + CISO ทุก quarter
• อนุมัติ risk policy ของบริษัท
• ดูแลให้ management response ต่อ top risk จริง

CRO + CISO report ตรง ต่อ Risk Committee (dotted line) — แม้ solid line จะอยู่ใต้ CEO

Audit Committee — กำกับ Internal Audit + External Audit#

Audit Committee = sub-committee ของ Board ที่ดู assurance. หน้าที่ —

• ทบทวนงบการเงิน (financial reporting)
• กำกับ internal audit + เลือก CAE + อนุมัติ audit plan
• กำกับ external auditor (เช่น PwC / Deloitte / EY / KPMG)
• ดู whistleblower channel ของบริษัท

CAE report ตรง ต่อ Audit Committee. ไม่ใช่รายงาน CEO. นี่คือ best practice ที่ NYSE / NASDAQ / SET requirement

ทำไมต้องแยก Risk vs Audit?#

อาจมีคำถามว่า — ทำไมไม่รวม Risk + Audit เป็น committee เดียว? เพราะทั้งคู่ดูเรื่อง “ความเสี่ยง” เหมือนกัน?

คำตอบคือ — Risk Committee = forward-looking (มองอนาคต — risk ที่จะเกิด). Audit Committee = backward-looking (มองอดีต — control ที่ผ่านมาทำงานจริงไหม). ทั้งคู่ดู risk แต่มุมต่างกัน + เครื่องมือต่างกัน + skill ของกรรมการต่างกัน

ในเมืองของเรา —

• Risk Committee = สภาที่ถามผู้ว่าฯ ว่า “ปีหน้าจะเจอภัยอะไรบ้าง + เตรียมยังไง”
• Audit Committee = สภาที่ถามผู้ว่าฯ ว่า “ปีที่แล้วเงินที่อนุมัติไป — ใช้ตรงตามแผนไหม + งบการเงินถูกต้องไหม”

ทั้ง 2 ชุด — กรรมการอย่างน้อย 1 คนต้องเป็น independent director (กรรมการอิสระ) ที่ไม่ใช่พนักงานบริษัท + ไม่มีส่วนได้เสีย. SET ของไทยกำหนดว่า Audit Committee ต้องมี กรรมการอิสระอย่างน้อย 3 คน + อย่างน้อย 1 คนมี expertise ด้านการเงิน (financial expert)

มุมผู้บริหาร — ถ้าบริษัทคุณกำลังเตรียม IPO หรือเพิ่งเข้าตลาด — โครงสร้าง Risk + Audit Committee นี้ไม่ใช่แค่ “compliance ของ SET”. เป็น เครื่องมือบริหาร ที่จะช่วยคุณตอนเกิดวิกฤต. เมื่อบริษัทโดน data breach ระดับใหญ่ — ถ้าไม่มี Risk Committee ที่ active + CISO ที่รายงานต่อ committee นี้ — Board ทั้งชุดจะเจอ class action lawsuit ของผู้ถือหุ้นทันที (เคสที่เกิดบ่อยใน US — เริ่มเห็นในไทยปี 2024-2025)

CRO — Chief Risk Officer#

CRO = Chief Risk Officer (ประธานเจ้าหน้าที่ด้านความเสี่ยง) — ดู enterprise risk ทั้งหมด: cyber + financial + operational + legal + reputational + strategic

CRO ห้ามอยู่ใต้ CFO เพราะ —

• CFO มี KPI = revenue + cost — ทำให้ CFO มี incentive ที่ “กลบ” risk เพื่อให้งบสวย
• CRO ต้องสามารถบอก Board ได้ว่า “บริษัทกำลังเสี่ยงเกินที่ Board อนุญาต” — แม้จะขัดกับ CFO

Best practice — CRO → CEO โดยตรง + dotted line → Risk Committee ของ Board. ในธนาคารหลายแห่งของไทย (BAY / KBANK / SCB) — CRO เป็นระดับ C ที่รายงาน CEO + Risk Committee. นี่คือ standard ที่ Basel III + ธปท. (ธนาคารแห่งประเทศไทย) บังคับสำหรับ financial institution

CAE — Chief Audit Executive#

CAE = Chief Audit Executive (ประธานเจ้าหน้าที่ตรวจสอบภายใน) — หัวหน้า Internal Audit. เป็น Line 3 ของ Three Lines Model

CAE ห้ามอยู่ใต้ใครใน management เพราะต้อง audit ทุกคน. ตามมาตรฐาน IIA (Institute of Internal Auditors) + SOX (Sarbanes-Oxley) —

• Functional reporting (รายงานเรื่องสำคัญ): → Audit Committee ของ Board (solid line)
• Administrative reporting (รายงานเรื่อง HR / day-to-day): → CEO (dotted line — แต่ Audit Committee อนุมัติ KPI + bonus + termination ของ CAE)

ถ้าบริษัทมี CAE ที่อยู่ใต้ CFO เต็มตัว — internal audit นั้น ไม่เป็นอิสระตามมาตรฐาน IIA. external auditor จะ raise issue + Audit Committee จะโดน questioning

DPO — Data Protection Officer#

DPO = Data Protection Officer (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) — role ที่เกิดขึ้นจาก GDPR (Article 37-39) + PDPA ของไทย (มาตรา 41-42). หน้าที่ —

• กำกับการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย (EP.49)
• เป็น contact point ให้ data subject + regulator
• รายงานต่อ highest management level + Board เรื่อง privacy

DPO ห้ามอยู่ใต้ใครที่ตัดสินใจเรื่อง data processing — เพราะ DPO ต้องตรวจคนนั้น. ห้ามอยู่ใต้ —

• CMO/CCO (Marketing) ❌ — Marketing เป็น data processor หลัก
• CIO/CTO ❌ — IT เป็นคนสร้างระบบที่ประมวลผลข้อมูล
• COO ❌ — Operations ก็ใช้ข้อมูลในงานประจำ

Best practice — DPO → CEO หรือ → General Counsel + dotted line → Board. ในบริษัทไทยที่ทำ PDPA จริงจัง — DPO มักอยู่ในสำนักกฎหมาย หรือเป็น independent function ขึ้นตรง CEO

Uber 2016 → 2023 — เคสที่บอกชะตา CISO ในยุคใหม่#

เคสที่วงการต้องจดจำ — Uber 2016 data breach

ตุลาคม 2016 — โจรเจาะ Uber ได้ข้อมูล 57 ล้านคน (driver + passenger). CSO (Chief Security Officer) ตอนนั้นชื่อ Joseph Sullivan — อดีต federal prosecutor ที่ Uber จ้างมา. แทนที่จะแจ้ง regulator ตามกฎหมาย — Sullivan จ่ายเงินโจร $100,000 ผ่าน bug bounty program + ทำให้โจรเซ็น NDA ปิดปาก

ในปี 2017 — Dara Khosrowshahi เข้ามาเป็น CEO ใหม่ของ Uber + เจอเรื่องนี้ + เปิดเผยต่อสาธารณะ. 2020 — DOJ ฟ้องคดีอาญา Sullivan ข้อหา obstruction of justice + misprision of felony. ตุลาคม 2022 — ศาล federal ตัดสิน Sullivan guilty. พฤษภาคม 2023 — ศาลพิพากษา probation 3 ปี + ค่าปรับ + community service

นี่คือครั้งแรกในประวัติศาสตร์อเมริกา ที่ CISO/CSO ของบริษัทใหญ่โดนตัดสินคดีอาญาจากเรื่อง breach response. ผลกระทบต่อวงการ —

1. CISO insurance (D&O insurance) เริ่มเข้ม + premium ขึ้นทุกบริษัท
2. CISO ต้องมี legal counsel ส่วนตัว ในการตัดสินใจ breach response
3. Reporting line ต้องชัด เพื่อให้ CISO มี backing + ไม่ต้อง bear ความผิดคนเดียว
4. SEC Cybersecurity Rule (มีผล ธ.ค. 2023) — บังคับให้บริษัท public ของอเมริกาเปิดเผย breach material ภายใน 4 วัน + เปิดเผย CISO + governance ของ Board ใน 10-K

เคส Sullivan เป็น message ที่ชัดเจนต่อ CISO ทั่วโลก — “ถ้า reporting line ไม่ชัด + คุณกลายเป็น scapegoat — คุณติดคุกได้”

Target 2013 — CISO turnover หลังเจาะ#

อีกเคสที่วงการศึกษากันต่อ — Target 2013

พ.ย.-ธ.ค. 2013 — Target โดนเจาะข้อมูล 40 ล้าน credit card + 70 ล้าน personal record. ช่องโหว่เริ่มจาก HVAC vendor ที่โดน phishing แล้วโจรใช้ credential ของ vendor เข้า network ของ Target (เคสนี้ผมเล่าใน EP.50 ด้วย)

ภายใน 6 เดือนหลังเจาะ —

• CIO ลาออก (มีนาคม 2014)
• CEO Gregg Steinhafel ลาออก (พฤษภาคม 2014)
• Target สร้างตำแหน่งใหม่ — CISO (ก่อนหน้านี้ Target ไม่มี CISO!) — และจ้าง Brad Maiorino จาก GM มาเป็น CISO คนแรก + รายงานตรง CEO

นี่คือเคสที่บอกว่า — บริษัทที่ไม่มี CISO ระดับ C ก่อนเจาะ — มักจะมีหลังเจาะ + รายงานตรง CEO. แต่ “ตั้งหลังเจาะ” = ต้นทุนสูงมาก (CEO ลาออก + class action + brand damage หลายพันล้าน)

มุมผู้บริหาร — เมื่อตั้ง CISO/CRO/CAE/DPO — อย่าตั้งเพราะ “compliance บังคับ”. ตั้งเพราะ โครงสร้าง governance ที่ถูก = ความอยู่รอดของบริษัทเมื่อวิกฤต. และ key ที่ต้องเช็คทุกปี — ทั้ง 4 ตำแหน่งนี้ รายงานใคร? มีอำนาจคุยกับ Board โดยตรงไหม? bonus + termination ของพวกเขา management ตัดสินเองได้ไหม หรือต้องผ่าน Audit/Risk Committee?. คำตอบของคำถามเหล่านี้ — บอกได้เลยว่าบริษัทคุณพร้อมแค่ไหนเมื่อเจอวิกฤต

Leader takeaway #1 — Reporting line คือ root cause มากกว่า tools#

ในวงการ security — มีคำคมที่จริงเสมอ: “Show me the org chart, and I’ll tell you where the breach will come from”. เพราะ tools ดีแค่ไหน + framework ครบแค่ไหน — ถ้าโครงสร้างองค์กรทำให้คน raise issue ไม่ได้ — บริษัทก็ตาบอด

คำถามที่ Board ต้องถามตัวเองทุกปี —

1. CISO รายงานใคร? มี dotted line ไป Board ไหม?
2. CAE รายงานใคร? Audit Committee อนุมัติ bonus + termination ของ CAE ไหม?
3. DPO เป็น independent function ไหม หรืออยู่ใต้คนที่ DPO ต้องตรวจ?
4. Risk Committee + Audit Committee มี independent director กี่คน?
5. 4 ตำแหน่งนี้ มี executive session กับ Board (โดยไม่มี management อยู่ในห้อง) อย่างน้อยปีละครั้งไหม?

ถ้าตอบ “ไม่/ไม่แน่ใจ” 2 ข้อขึ้นไป — โครงสร้าง governance ของบริษัทยังไม่พร้อม

Leader takeaway #2 — “ลด headcount + รวมตำแหน่ง” = false economy#

ใน SME ที่กำลังโต — มีแรงดึงให้รวม Risk + Compliance + Internal Audit ใต้คนเดียว เพื่อ “ประหยัด headcount”. เคยเห็นที่ตำแหน่ง CRO + CAE + CCO ถูกรวมเป็น “Head of Risk & Compliance” คนเดียว

นี่เป็น false economy ครับ. ประหยัด headcount 2-3 คน → เสีย assurance ทั้งระบบ. และเมื่อบริษัทโต + ต้อง IPO + ต้องตอบ regulator + ต้องตอบ external auditor — ต้องแยกอยู่ดี. แยกตอนนั้น = ต้อง re-org + การเมืองภายใน + คนเก่งออก

แนะนำ — ตั้งโครงสร้างที่ถูกตั้งแต่ต้น แม้คนเดียวจะ wear multiple hats ในระยะแรก. “function” แยก แม้ “headcount” รวม — เป็น compromise ที่รับได้ในช่วง startup. แต่ใน enterprise — function แยก + headcount แยก + reporting line แยก — เป็น minimum