Part 0 (EP.01-05) — WHY: ฐานคิดของเมือง#

ก่อนเดินเข้าเมือง — เราต้องตอบคำถามก่อนว่า “ทำไม”

ในเมืองนี้มี ของมีค่า — ข้อมูลลูกค้า / เงินในบัญชี / ความลับธุรกิจ / ชื่อเสียงบริษัท. ในขณะเดียวกัน — มี โจร เดินรอบเมือง — Nation-state / Cybercrime gang / Insider / Hacktivist. EP.02 พาคุณดู 4 เคสจริงที่เปลี่ยนวงการ — Equifax 2017 (147 ล้านแฟ้มหาย), Target 2013 (โจรเข้าผ่าน HVAC vendor), SolarWinds 2020 (supply chain attack ที่กระทบ 18,000 องค์กร), Capital One 2019 (cloud misconfig)

แล้ว 3 mindset หลักวางลงครับ —

• CIA Triad (EP.03) — 3 คำถามที่ยามต้องตอบเสมอ — Confidentiality / Integrity / Availability
• Defense in Depth + Diversity (EP.04) — ป้อมปราการชั้นๆ ที่ใช้เทคนิคต่างกัน
• Assume Breach + Risk (EP.05) — สมมติว่าโจรเข้ามาแล้ว — ออกแบบเมืองให้ความเสียหายจำกัด + ลงทุนตาม Risk ไม่ใช่ตาม fear

Part 0 = เครื่องมือคิด. ทุกครั้งที่ตัดสินใจเรื่อง security — กลับมาถามตัวเองด้วย 3 mindset นี้ครับ

มุมผู้บริหาร: Part 0 เป็น Part ที่ผู้บริหารกลับมาอ่านบ่อยที่สุด — เพราะ 3 mindset (CIA / DiD / Assume Breach) ไม่ได้เปลี่ยนแม้เทคโนโลยีจะเปลี่ยน. ทุกครั้งที่ตัดสินใจ security strategy — เริ่มที่ Part 0 ก่อน — ก่อนลงรายละเอียดของ tool / vendor / framework

Part 1 (EP.06-09) — HOW: ระบบนิเวศของเมือง#

เห็นภาพแล้วว่าเมืองนี้มีของมีค่า + มีโจร. HOW = ระบบนิเวศ — ใครเป็นใครในวงการ

ฝั่ง โจร มี 6 ประเภท (EP.06):

• Nation-state actor — หน่วยข่าวกรองต่างชาติ (APT — Advanced Persistent Threat)
• Cybercrime gang — แก๊งโจรที่ทำเงินจาก ransomware / fraud
• Hacktivist — นักเคลื่อนไหวที่เขียน graffiti บน website
• Insider — พนักงานเมืองที่โกง
• Script kiddie — เด็กแว้นที่ลองของ
• Cyberterrorist — โจรที่ทำเพื่อสร้างความหวาดกลัว

ฝั่ง ผู้ป้องกัน มีระบบนิเวศของตัวเอง (EP.07) — ตำรวจเมือง (law enforcement) + ทหารเมือง (military cyber unit) + ยามเอกชน (security vendor) + นักวิจัย (researcher) + CERT/CSIRT แต่ละประเทศ

ส่วน กฎหมายเมือง (EP.08) มี framework ที่ใช้ทั่วโลก — ISO 27001 (มาตรฐานนานาชาติ) / NIST CSF (แบบของอเมริกา) / COBIT (แบบของผู้บริหาร) / CIS Controls (checklist ปฏิบัติได้). แต่ละแบบมีจุดเด่นต่างกัน — บริษัทต้องเลือกตามขนาด + อุตสาหกรรม + regulator

EP.09 ปิดด้วย Compliance Theater — เคสที่ Equifax ผ่าน PCI DSS audit แต่โดนปล้น. ข้อสรุป — Compliance ผ่าน ≠ Security ดี. นี่คือบทเรียนที่จะกลับมาในทุก Part

Part 2 (EP.10-17) — Identity: บัตรประชาชน + กุญแจห้อง#

ในเมืองที่ของมีค่า — ใครเข้าได้ สำคัญที่สุด. Part 2 เริ่มลึกขึ้น

IAM Lifecycle (EP.10) — ระบบจัดการบัตรของพนักงาน 3 ขั้น:

• Joiner — วันแรกเข้าทำงาน รับบัตร + กุญแจ
• Mover — ย้ายแผนก บัตรเก่าต้องคืน
• Leaver — ลาออก เก็บบัตรคืนทันที

ปัญหาที่บริษัทไทยติดบ่อยที่สุด — Orphan Account (กุญแจของพนักงานที่ลาออกแล้วยังเปิดได้) + Privilege Creep (คนเดียวมีกุญแจสะสมจากแผนกที่ผ่านทั้งบริษัท) — 2 อย่างนี้ฆ่าบริษัทเงียบๆ มาแล้วหลายเคส

Authentication (EP.11) มี 3 factor — Know (password) + Have (token/phone) + Are (biometric). EP.12 ลงลึก password ที่เก็บปลอดภัย — bcrypt / Argon2 + salt + pepper. EP.13 พูดเรื่อง MFA + biometric — รวมทั้งจุดอ่อนที่ biometric หลอกได้ในแลบ

EP.14 พา Kerberos ระบบบัตรของบริษัทใหญ่ที่ Active Directory ใช้ — ภาพโรงแรม + KDC + TGT + Service Ticket. EP.15 Federation / SSO ที่ทำให้ “Login with Google” ทำงานได้ผ่าน SAML / OAuth / OIDC

EP.16 Authorization 4 แบบ — RBAC (ตามตำแหน่ง) / ABAC (ตาม attribute) / MAC (ตามชั้นความลับ) / DAC (เจ้าของแชร์เอง). EP.17 ปิด Part 2 ด้วย PAM (ตู้เซฟของกุญแจ admin) + Zero Trust (ตำรวจตรวจที่ทุกประตู — ไม่ใช่แค่หน้าตึก)

Part 3 (EP.18-26) — Data: ของในเซฟ#

Identity จบ — รู้ว่าใครเข้าได้. แล้ว ของในเซฟ คืออะไร เก็บยังไง? Part 3 ตอบ

Data Classification + Lifecycle (EP.18) — แบ่งของเป็น Public / Internal / Confidential / Restricted + วงจร Create → Store → Use → Share → Archive → Destroy

แล้วเข้าเรื่อง Cryptography — วิธีหุ้มห่อของ. EP.19 ปูภาพรวม 3 ตระกูล. EP.20 ลึก Symmetric (AES) — แม่กุญแจล็อกเกอร์ที่ต้องแบ่งคนละดอก + ECB penguin (ภาพคลาสสิคที่บอกว่าทำไม mode สำคัญ). EP.21 ลึก Asymmetric (RSA + Diffie-Hellman) — ตู้ไปรษณีย์ที่ใส่จดหมายลงได้ทุกคน เปิดได้คนเดียว. EP.22 ลึก Hashing (SHA family) — ลายนิ้วมือดิจิทัล + collision

EP.23 PKI + Certificates — ระบบบัตรประชาชนของเมือง + เคส DigiNotar 2011 ราชวงศ์ที่โดนปลอม → ล่มทั้งระบบใน 3 สัปดาห์. EP.24 TLS / HTTPS — ตู้ขนเงินหุ้มเกราะระหว่างทาง — สิ่งที่ป้องกัน + ที่ ไม่ป้องกัน (TLS ไม่บอกว่า server ดี — บอกแค่ว่าไม่มีใครฟังกลางทาง)

EP.25 Email security stack — SPF / DKIM / DMARC — 3 ด่านของระบบไปรษณีย์เมือง. EP.26 ปิด Part 3 ด้วย Privacy engineering — Privacy by Design + Data Minimization + Pseudonymization + Differential Privacy

Part 4 (EP.27-38) — Infrastructure: ถนน กำแพง ท่อ#

ของในเซฟพร้อม. โครงสร้างพื้นฐาน ที่ของวิ่งอยู่บนนั้นล่ะ?

EP.27 Firewall 4 generations — ป้อมยามตรวจรถ. EP.28 Segmentation + DMZ + Microsegmentation — แบ่งย่าน. EP.29 IDS / IPS / WAF / RASP — ตำรวจ 4 ระดับ. EP.30 VPN + Proxy + DNS Security — ท่อใต้ดิน + คนกลาง + สมุดที่อยู่. EP.31 DDoS + DLP — ป้อมรับนักท่องเที่ยว 10 ล้านคน + ยามขาออก

แล้วเข้าโลก cloud — EP.32 Cloud + Shared Responsibility — เช่าตึก vs ซื้อตึก. EP.33 Container + Kubernetes — ตู้คอนเทนเนอร์ใน warehouse. EP.34 DevSecOps + Shift-Left — ยามตรวจตั้งแต่โรงงาน

EP.35 Mobile + Wireless — พนักงานนอกตึก + สัญญาณวิทยุ. EP.36 IoT + OT / ICS — คอมจิ๋วที่ฝังในของ + เคส Stuxnet 2010 + Colonial Pipeline 2021. EP.37 Remote Work + ZTNA — ตำรวจตรวจทุกประตู. EP.38 ปิด Part 4 ด้วย AI Security + Blockchain Security — ของใหม่ของยุคนี้ — Prompt Injection / Deepfake $25M ฮ่องกง / Ronin bridge$625M

Part 5 (EP.39-47) — Operations: ตำรวจ ดับเพลิง สืบสวน#

Prevention พร้อม. แต่ “It’s not if, but when” — ไม่ใช่ ถ้า แต่ เมื่อไหร่. Part 5 ตอบว่า เกิดเรื่องแล้วทำยังไง

EP.39 Threat Actors Deep — 6 ประเภทโจรลึก. EP.40 Cyber Kill Chain + MITRE ATT&CK — Google Maps ของวงการ — แสดง tactic / technique ทุกซอย. EP.41 Social Engineering + Phishing — Spear phishing / Whaling / BEC / Vishing / Smishing. EP.42 Malware Taxonomy — สวนสัตว์ของวงการ — Virus / Worm / Trojan / RAT / Rootkit / Ransomware / Spyware / Wiper

EP.43 OWASP Top 10 Deep — SQL Injection / XSS / SSRF / IDOR / Broken Authentication. EP.44 SOC + SIEM + EDR + XDR — ห้องควบคุม + ระบบรวม log + ยามใน endpoint. EP.45 Threat Hunting + Deception — ไม่รอโจรมา ไปหาเอง + วาง honeypot ดักจับ

EP.46 Vuln Scan vs Pen Test vs Red Team — ความต่างที่ผู้บริหารสับสนบ่อย:

• Vuln Scan = เด็กส่องไฟฉายหาประตูที่ไม่ล็อก (automated)
• Pen Test = โจรพยายามเข้าจริง (manual)
• Red Team = แก๊งโจรปลอมตัวเข้าทั้งบริษัท (full simulation)

EP.47 ปิด Part 5 ด้วย Incident Response + Digital Forensics — NIST 800-61 6 ขั้น (Preparation / Detection / Containment / Eradication / Recovery / Lessons Learned) + Order of Volatility + Chain of Custody + Write blocker

Part 6 (EP.48-51) — Governance: เทศบาล + กฎหมายเมือง#

5 Parts พร้อม. ที่ครอบทุกอย่างอีกชั้น = เทศบาลของเมือง — ใครเซ็น ใครรับผิด

EP.48 Policy / Standard / Procedure / Guideline — ลำดับชั้นกฎหมาย — รัฐธรรมนูญ (Policy = บังคับ) / กฎหมายเฉพาะ (Standard = บังคับเฉพาะเรื่อง) / ขั้นตอน (Procedure = how-to) / คำแนะนำ (Guideline = advisory)

EP.49 Privacy Laws — GDPR (Article 5/6/33 + 72-hour breach notification) + PDPA Thailand + Data Subject 8 Rights + Lawful Basis 6 grounds + Cross-border (Schrems II / SCC / BCR / Adequacy) + DPO role + DPIA + Privacy by Design. เคสจริง — Meta โดนปรับ €1.2B / Marriott £18M / Cambridge Analytica

EP.50 Physical + Environmental Security — Mantrap (airlock) / Tailgating / Piggybacking / Badge / Biometric access / CCTV + HVAC / Temperature / Humidity / Fire Suppression (FM-200 / Halon / Pre-action sprinkler) + UPS / Generator + Data Center Tier I-IV (Uptime Institute). เคส Stuxnet 2010 (air-gap breach via USB) + Target 2013 HVAC vendor

EP.51 ปิด Part 6 ด้วย Security Organization + Reporting Lines — CISO ห้ามรายงาน CIO (เพราะ CIO อยากให้สร้างเร็ว, CISO อยากปลอดภัย — conflict of interest) + Three Lines Model + Risk Committee / Audit Committee + CRO / CAE / CCO / DPO independence + เคส Equifax CISO reporting line catastrophe + Uber CSO ถูกตั้งข้อหาทางอาญา 2016 ในการปกปิด breach

มุมผู้บริหาร: Part 6 = ที่ผู้บริหารต้อง เซ็นชื่อ มากที่สุด — Policy / DPIA / Vendor approval / Reporting structure. ถ้าซีรีส์นี้สอนคุณแค่อย่างเดียว — อยากให้คุณกลับไป review reporting line ของบริษัท หลังอ่านจบ — CISO อยู่ใต้ใคร? CAE อยู่ใต้ใคร? DPO อยู่ใต้ใคร? คำตอบบอก maturity ของ governance ของบริษัทคุณตรงไปตรงมา

อ้าว — แผนที่เมืองทั้ง 6 Parts พร้อม. คุณเดินครบทุกย่านแล้วครับ

Tool 1 — CIA Triad (3 คำถามกรองทุก control)#

ทุกครั้งที่ตัดสินใจซื้อ security tool / approve project / review architecture — ถามตัวเอง 3 ข้อ:

• C (Confidentiality) — “ใครเห็นข้อมูลนี้ได้บ้าง? ต้องการให้ใครเห็นบ้าง?”
• I (Integrity) — “ข้อมูลนี้ถูกแก้โดยไม่ได้รับอนุญาตได้ไหม? ถ้าโดนแก้ — รู้ตัวเร็วแค่ไหน?”
• A (Availability) — “ใช้ข้อมูล/ระบบนี้ได้ตอนที่ต้องใช้ไหม? ถ้าระบบล่ม — ฟื้นใน X ชั่วโมง / วัน?”

3 คำถามนี้ใช้ตั้งแต่ EP.03 จนถึง EP.51 — ทุกหัวข้อ. ตัวอย่าง:

• Encryption = ปกป้อง C
• Hashing + Digital Signature = ปกป้อง I
• Backup + DR = ปกป้อง A
• MFA = ปกป้อง C (ป้องกันคนเข้าได้ที่ไม่ใช่เจ้าของ)
• Ransomware = ทำลายทั้ง I (เปลี่ยนข้อมูล) + A (เข้าไม่ได้)

ลองนึกครับ — ครั้งหน้าที่ vendor มาขาย firewall ใหม่ — คุณถามได้แล้วว่า “ตัวนี้ปกป้อง C / I / A ตัวไหน?” — ถ้า vendor ตอบไม่ได้ — ของไม่ดี

Tool 2 — Defense in Depth + Diversity#

ไม่มี control เดียวที่ป้องกันทุกอย่าง. ทุกชั้นมีจุดอ่อน. ทางออก — หลายชั้น + ต่างเทคนิค

ลองนึกป้อมปราการครับ. ป้อมที่ดีมี คูน้ำ + กำแพงนอก + ลานเปิด + กำแพงใน + ยามในชั้น + เซฟชั้นใน. ถ้าโจรฝ่าได้ — ต้องฝ่าทั้ง 6 ชั้น

แต่ที่สำคัญกว่า — ต่างเทคนิค (Diversity). ถ้าใช้ กำแพงเดียวกัน 5 ชั้น — โจรหาวิธีฝ่าชั้นเดียว → ฝ่าได้ทุกชั้น. แต่ถ้าใช้ คูน้ำ + กำแพงหิน + ปืนใหญ่ + ยาม + สุนัข — โจรต้องเตรียมเครื่องมือ 5 ชนิดต่างกัน

ในโลกจริง:

• ที่ network — Firewall + IDS/IPS + WAF + Segmentation
• ที่ identity — Password + MFA + Biometric + Behavioral Analytics
• ที่ endpoint — AV + EDR + Application Whitelisting + DLP
• ที่ email — SPF + DKIM + DMARC + Email Gateway + User Training

ใช้ tool 2 นี้กรอง investment ครับ — ถ้ามี budget — กระจายชั้น ไม่ใช่ลงทุนหนักชั้นเดียว

Tool 3 — Assume Breach + Risk#

ที่ฝรั่งเรียกว่า “It’s not if, but when” — สมมติว่าโจรเข้ามาแล้ว — ออกแบบให้ความเสียหายจำกัด

นี่เปลี่ยน mindset จาก “ป้องกัน 100%” (ที่เป็นไปไม่ได้) เป็น “ลดความเสียหายเมื่อโดน” (ที่ทำได้)

ในทางปฏิบัติ — Assume Breach หมายถึง:

• Segmentation — โจรเข้าได้ที่ตึก 1 ไม่ควรเข้าถึงตึก 2-10 ได้
• Least Privilege — บัญชีพนักงานเข้าได้แค่ที่จำเป็น
• Backup offline — ถ้า ransomware เข้า — กู้ได้จากที่ไม่ติด
• Incident Response plan — ไม่ใช่ทำตอนเกิด แต่เตรียมไว้ก่อน
• Tabletop exercise — ซ้อมหนีไฟทุกไตรมาส

แล้วมาคู่กับ Risk — เพราะป้องกัน 100% ทำไม่ได้ + งบประมาณจำกัด:

Risk = Threat × Vulnerability × Impact

ลงทุนตาม Risk — ที่ไหน Risk สูงสุดลงทุนหนัก. ที่ Risk ต่ำ — ยอมรับ (accept) / โอน (transfer = ซื้อประกัน) / หลีก (avoid = ไม่ทำ business นั้น) / ลด (mitigate = ลงทุน control)

3 mental tool นี้ — CIA + DiD + Assume Breach + Risk — ใช้ได้ทั้งชีวิตครับ. เทคโนโลยีจะเปลี่ยน แต่ 3 ข้อนี้ไม่เปลี่ยน

มุมผู้บริหาร: ในที่ประชุม board / management — ถ้า CISO เสนอ investment — ขอให้ CISO ตอบ 3 ข้อนี้: (1) ลด Risk ตัวไหน — Threat / Vulnerability / Impact? (2) เพิ่มชั้นใน Defense in Depth ตรงไหน — แล้วต่างเทคนิคจากชั้นเดิมไหม? (3) ถ้าโดนแล้ว — control นี้ช่วยจำกัดความเสียหายยังไง? ถ้าตอบครบ 3 — investment คุ้มค่า. ถ้าตอบไม่ครบ — กลับไปคิดใหม่

ข้อ 1 — Compliance ≠ Security#

นี่คือบทเรียนที่ซีรีส์นี้กลับมาย้ำตั้งแต่ EP.09 จนถึง EP.51

Equifax 2017 ผ่าน PCI DSS audit หลายครั้ง — แล้วโดนปล้น 147 ล้านแฟ้ม. Target 2013 มี PCI DSS compliance — แล้วโดน 40 ล้านบัตรเครดิต. Marriott 2018 ผ่าน ISO 27001 — แล้วโดน 500 ล้านแฟ้ม

ความแตกต่างคือ — audit เป็น snapshot ของ ณ วันที่ตรวจ. ของจริงคือ โจรไม่ได้ลงตารางมาตอน audit. การผ่าน audit = บอกว่ามี control บนกระดาษ — ไม่ได้บอกว่า control นั้น ทำงานจริงในวันที่โจรมา

ความหมายในทางปฏิบัติ:

• อย่าใช้ “ผ่าน ISO 27001 / SOC 2 / PCI DSS” เป็นข้อแก้ว่าปลอดภัย
• ลงทุน operational security (SOC / EDR / Threat Hunting) ที่ทำงานทุกวัน — ไม่ใช่แค่ control ที่มีไว้โชว์ auditor
• ถาม CISO เสมอ: “ของจริง ๆ ทำงานไหม — หรือมีแค่บนกระดาษ?”

ข้อ 2 — 95% ของ breach เกี่ยวข้องกับคน#

Verizon DBIR + IBM Cost of Data Breach รายงานตรงกันทุกปี — 80-95% ของ breach เริ่มจาก human factor — phishing / credential reuse / misconfiguration / social engineering

ความหมาย — investment ใน training + awareness ผลตอบแทนสูงกว่า tool หลายเท่า. แต่บริษัทไทยส่วนใหญ่ลงทุน 95% ใน tool + 5% ใน training

ลองนึกครับ — ถ้าซื้อ firewall ราคา 5 ล้าน แต่พนักงานคลิก phishing แล้วใส่ password ใน website ปลอม — firewall ราคา 5 ล้านป้องกันไม่ได้

investment ที่ผู้บริหารควรพิจารณา:

• Phishing simulation — ส่ง phishing ปลอมทดสอบพนักงานทุกเดือน + วัด click rate
• Security awareness program — training ที่ engaging ไม่ใช่ video น่าเบื่อ 30 นาทีปีละครั้ง
• Just-in-time training — เมื่อพนักงานทำผิด (เช่น คลิก link น่าสงสัย) — training ทันที ไม่ใช่รอ next quarter
• Executive training — CFO / CEO ที่เป็นเป้าของ BEC (Business Email Compromise) ต้องได้ training พิเศษ

ข้อ 3 — Identity = ราก. Orphan Account + Privilege Creep ฆ่าบริษัทเงียบๆ#

ใน EP.10-17 (Part 2) เราคุยเรื่อง Identity — และนี่คือฐานของทุกอย่าง. ถ้า identity พัง — ทุก control อื่นพังตาม

2 ปัญหาที่บริษัทไทยติดบ่อยที่สุด:

Orphan Account — บัญชีของพนักงานที่ลาออกแล้ว แต่ระบบยังเปิดอยู่. โจรซื้อ credential ใน dark web → เข้าบริษัทคุณได้โดยไม่ต้องแฮ็ก

Privilege Creep — พนักงานที่อยู่บริษัทนาน — ผ่านหลายแผนก — สะสมสิทธิ์ที่ไม่เคยถูกถอน. คนเดียวมีสิทธิ์เข้าได้ทั้งบริษัท. ถ้าบัญชีนี้โดน compromise → จบ

Practical action สำหรับผู้บริหาร:

• ขอ quarterly access review จาก HR + IT — listing คนทั้งบริษัท + access ของแต่ละคน
• ตรวจ list ของ orphan account ทุกเดือน — มีกี่บัญชีของคนลาออก > 30 วันที่ยังเปิด?
• ใช้ role-based access (RBAC) — define role + assign role — ไม่ใช่ assign permission แบบ ad-hoc
• บังคับ MFA สำหรับ privileged account — admin / service account / API key

ข้อ 4 — Vendor Security = Your Security#

SolarWinds 2020 — โจรเข้า SolarWinds → SolarWinds ส่ง update ที่มี malware ไปให้ลูกค้า 18,000 องค์กร — รวม U.S. Treasury / Homeland Security / Microsoft / FireEye. ทุกองค์กรลงทุน security ระดับโลก. แต่โดนผ่าน vendor

Target 2013 — โจรเข้าผ่าน HVAC vendor → ใช้ credential ของ vendor เข้า Target network → ลงไปที่ point-of-sale → 40 ล้านบัตรเครดิต

MOVEit 2023 — file transfer software ที่ใช้กันทั่วโลก — มี zero-day → กระทบมากกว่า 2,500 องค์กร

แปลว่า — คุณ secure แค่ไหน — ก็ secure แค่ vendor ที่อ่อนที่สุดของคุณ

Action สำหรับผู้บริหาร:

• Third-Party Risk Management (TPRM) program — มี process vetting vendor ก่อน sign contract
• Right-to-audit clause ใน contract — ขอตรวจ security ของ vendor ได้
• Vendor questionnaire — ขอให้ vendor ตอบเรื่อง security posture (มี ISO 27001 / SOC 2 ไหม / Last pen test ตอนไหน / Breach history)
• Limit vendor access — vendor ที่เข้า network ของเราต้องมี dedicated account + MFA + session recording + time-boxed access
• Continuous monitoring — ไม่ใช่ตรวจตอน onboarding แล้วลืม — ทำ annual review

ข้อ 5 — CISO / DPO / CAE Independence — ห้ามอยู่ใต้คนที่ตัวเองตรวจ#

นี่คือบทเรียนของ EP.51 — CISO ห้ามรายงาน CIO. DPO ห้ามรายงาน Head of Marketing / Sales. CAE (Chief Audit Executive) ห้ามรายงาน CFO. CRO ห้ามรายงาน CEO โดยไม่มี dotted line ไป Board

เหตุผล — conflict of interest:

• CIO ต้องการระบบที่สร้างเร็ว + เปิด feature ไว — security เป็น friction
• CISO ต้องการระบบที่ปลอดภัย — บางครั้งต้อง block / delay project
• ถ้า CISO รายงาน CIO → CIO จะ override CISO ทุกครั้งที่ขัด business

Equifax 2017 — CISO รายงาน CIO. ปัญหาที่ CISO รู้ — ไม่ถูกส่งถึง board. ผลคือ — ระบบที่มี vulnerability รู้แต่ไม่ patch — 147 ล้านแฟ้มหาย

Uber 2016 — CSO ปกปิด data breach + จ่าย “bug bounty” ให้โจรแลกการนิ่ง. CSO ถูกตั้งข้อหา ทางอาญา (criminal) — ไม่ใช่แค่ทางแพ่ง

Three Lines Model ที่ถูกต้อง:

• Line 1 — Business operations (CIO / Head of departments) — own risk
• Line 2 — Risk + Compliance (CISO / CRO / DPO) — independent oversight
• Line 3 — Internal Audit (CAE) — independent assurance — รายงานตรง Audit Committee / Board

ถ้าบริษัทคุณยังจัด CISO ใต้ CIO อยู่ — ถึงเวลาพิจารณาแล้วครับ

มุมผู้บริหาร: 5 ข้อนี้ ไม่ใช่ tactic ระดับ “ซื้อ tool ตัวไหน” — เป็น strategic principle ที่กรองทุกการตัดสินใจ security ระดับ board. ถ้า board meeting ครั้งหน้า — คุณถือ 5 ข้อนี้ในมือ + ถาม CISO / CIO / CFO 5 คำถาม — คุณจะเห็นจุดอ่อนของบริษัทใน 30 นาที

ความต่างระหว่าง Foundation นี้ กับ CISA Domain 5#

ลองนึกภาพง่ายๆ ครับ:

• Foundation นี้ = สอนคุณว่าเมืองนี้มีอะไรบ้าง — ป้อมยาม / กำแพง / ตำรวจ / ดับเพลิง / เทศบาล
• CISA D5 = สอนคุณ เป็นผู้ตรวจการของเทศบาล ที่เดินตรวจป้อมยาม / กำแพง / ตำรวจ / ดับเพลิง — แล้วเขียน report ส่งให้นายกเทศมนตรี (Audit Committee) ว่า อะไรพร้อม / อะไรไม่พร้อม / risk ตัวไหนยังเปิดอยู่

มุมของ auditor ไม่ใช่มุมของ defender. Auditor ไม่ใช่คนสร้าง — เป็นคนตรวจว่าที่สร้างมา ทำงานจริงไหม / มีหลักฐานไหม / control design + operating effectiveness ผ่านไหม

ลำดับการอ่านที่แนะนำ (ตามเป้าหมายของคุณ)#

กลุ่ม 1 — เจ้าของกิจการ / ผู้บริหาร: 5 คำถามที่ถาม IT team วันจันทร์#

ถ้าจะ implement สิ่งที่ได้จาก 52 EPs ลงในบริษัทคุณ — เริ่มที่ 5 คำถามนี้ ใน meeting ครั้งต่อไป

1. “Orphan account ของบริษัทเรามีกี่บัญชี? Last review ของ access ทำตอนไหน?” → ทดสอบ Identity hygiene
2. “Phishing simulation ของบริษัท click rate เท่าไหร่? Training program ของเรา last update ตอนไหน?” → ทดสอบ Human factor
3. “ถ้า ransomware เข้าตอนนี้ — เรา restore จาก backup ได้ใน X ชั่วโมง? ลอง test restore ครั้งสุดท้ายตอนไหน?” → ทดสอบ IR readiness
4. “Vendor ของเราที่เข้า network ของเราตอนนี้มีกี่ราย? เรา audit security ของเขาครั้งสุดท้ายตอนไหน?” → ทดสอบ TPRM
5. “CISO ของเรารายงานใคร? CISO ได้ present ต่อ Board ครั้งสุดท้ายตอนไหน?” → ทดสอบ Governance

ถ้า IT team / CISO ตอบไม่ได้ทั้ง 5 ข้อ — มี gap. ถ้าตอบได้ครบ — ขอ action plan + timeline ที่จะปิด gap. และที่สำคัญที่สุด — อย่าหยุดถาม เพราะ security ไม่ใช่ project ที่ทำครั้งเดียว — เป็น discipline ที่ทำทุกไตรมาส

กลุ่ม 2 — CISA Candidate: ลำดับเข้า D5#

1. อ่าน Foundation นี้ใหม่อีกครั้ง — มาก่อนเข้า D5. ครั้งนี้ตั้งใจจดสิ่งที่ไม่เข้าใจ
2. CISA Review Manual (ของ ISACA) — Domain 5 + อ้างอิงคำตอบกลับมาที่ Foundation
3. CISA Domain 5 series ของผม (กำลังเขียน) — reframe เรื่อง Foundation ในมุม auditor
4. Practice questions — อย่างน้อย 500 ข้อก่อนสอบ
5. Domain 1-4 — Audit Process / Governance / IT Operations / Acquisition
6. Full mock exam — เวลาจริง 4 ชั่วโมง

Tip ที่ทำให้สอบผ่าน — CISA testing ไม่ใช่ memorization. เป็น “ในสถานการณ์ X — auditor ทำอะไรเป็น BEST course of action”. ต้องคิดในมุม independent + risk-based + evidence-driven — ไม่ใช่มุมของ engineer ที่อยากแก้ปัญหา

กลุ่ม 3 — Tech Professional: deeper resources#

• OWASP — owasp.org — Top 10 / ASVS / Cheat Sheet
• SANS — sans.org — Reading Room (free white paper หลายร้อย) + courses (เสียเงิน แต่ดี)
• NIST — nist.gov/cyberframework — NIST CSF + NIST SP 800-53 / 800-61 / 800-171
• MITRE ATT&CK — attack.mitre.org — แผนที่ tactic + technique ของ attacker
• Verizon DBIR — รายงาน breach รายปี (free)
• IBM Cost of Data Breach — รายงานค่าใช้จ่ายของ breach รายปี
• ISACA — isaca.org — CISA / CRISC / CISM + COBIT framework
• (ISC)² — isc2.org — CISSP / CCSP / SSCP

ถ้าจะลงสายลึกขึ้น — เลือก specialty:

• Defensive — Blue team / SOC analyst / Incident responder
• Offensive — Pen tester / Red team / Bug bounty hunter
• GRC — IS auditor / Risk analyst / Compliance officer
• Architecture — Security architect / Cloud security engineer
• Privacy — DPO / Privacy engineer

แต่ละสายต้องการ mental model ที่ต่างกัน — แต่ทุกสายต้องการ Foundation นี้เป็นฐาน

กลุ่ม 4 — General Reader: ต่อด้วยซีรีส์อะไรดี#

ถ้าคุณอ่าน Foundation นี้จบเพราะอยากเข้าใจโลก security ทั่วไป — ลองพิจารณา:

• Organization Anatomy 101 (ของผม) — เข้าใจองค์กรของบริษัท + C-Suite + Three Lines + Audit Committee — เป็น context ที่ pair กับ Governance ใน Part 6 ได้ดี
• CISA Journal series (ของผม — เริ่มทยอยลง) — บทความสั้น แต่ละบทเน้น 1 concept ในมุม CISA — เหมาะถ้าอยากอ่านเรื่อง security ที่ลึกขึ้นเป็นชิ้นๆ
• News tracking — ติดตาม Krebs on Security (Brian Krebs) / Schneier on Security (Bruce Schneier) / DarkReading — แหล่งข่าว security ที่ดีที่สุดของวงการ

สิ่งที่ผู้นำต้องจำ — ข้อสุดท้ายของซีรีส์#

ข้อแรก — เมืองนี้คุณรู้จักแล้ว. 6 Parts. 3 mental tool. 5 leader takeaway. แผนที่อยู่ในหัวคุณ. ครั้งหน้าที่ board meeting คุยเรื่อง security — คุณมี vocabulary + framework + คำถามที่ถูกต้องที่จะถาม. คุณไม่ใช่ผู้บริหารที่นั่งฟัง IT พูดแล้วพยักหน้าโดยไม่เข้าใจอีกต่อไป

ข้อสอง — ที่เหลือคือเริ่มเดินทัวร์เอง — ทุกวัน. ไม่มีหนังสือไหน / ซีรีส์ไหน / คอร์สไหน — ที่จะทำให้เมืองของคุณ secure ถ้าคุณไม่เดินตรวจเอง. ครั้งแรกที่ถาม “Orphan account ของเรามีกี่บัญชี?” — IT team จะตอบไม่ได้. ครั้งที่ 5 ที่ถาม — เขาจะเตรียมตัวมา. ครั้งที่ 10 ที่ถาม — เขาจะมีระบบที่ track อัตโนมัติ. discipline ของผู้บริหาร = discipline ของบริษัท

ขอบคุณจริงๆ ครับ ที่อ่านมาด้วยกัน 52 ตอน. ถ้านี่เป็น EP แรกของคุณ — ขอต้อนรับสู่จุดเริ่มต้น — เริ่มที่ EP.01 แล้วเดินทางพร้อมผม. ถ้านี่เป็น EP สุดท้ายของคุณกับซีรีส์นี้ — เมืองของคุณตอนนี้คุณรู้จักดีกว่าตอนก่อนเริ่ม. ที่เหลือคือเริ่มเดินทัวร์เอง — ทุกวัน

เจอกันใหม่ที่ CISA Domain 5 ครับ — มุมเดียวกัน เมืองเดียวกัน — แต่จะเปลี่ยนหน้ากากจาก “ผู้บริหารที่เข้าใจเมือง” เป็น “ผู้ตรวจการที่เดินตรวจเมือง”

→ CISA Domain 5 Series — Protection of Information Assets ในมุม Auditor (เร็วๆ นี้)

→ กลับไปดูทุก EPs ของ CyberSecurity Foundation 101

จบซีรีส์ครับ.