CISO Playbook

บทบาทของ CISO เปลี่ยนจากหัวหน้าฝ่าย IT security เป็นผู้บริหารความเสี่ยงในระดับคณะกรรมการ การเตรียมตัวในด้าน governance, budget, risk language และ crisis communication จึงจำเป็นเทียบเท่ากับความรู้เชิงเทคนิค บทนำนี้กล่าวถึงการเปลี่ยนผ่านของ CISO ในรอบ 5 ปีที่ผ่านมา ความคาดหวังใหม่จากคณะกรรมการและหน่วยกำกับ และชุดทักษะที่ CISO ยุคใหม่ต้องพัฒนาเพื่อให้บทบาทนี้สร้างคุณค่าเชิงกลยุทธ์ต่อองค์กรได้จริง

 

งานของ CISO ในองค์กรไทยมีแรงกดดันที่แตกต่างจาก CISO ในประเทศตะวันตก ทั้งในมิติของวัฒนธรรมการบริหารที่ให้ความสำคัญกับความสัมพันธ์ ระเบียบของหน่วยกำกับที่เปลี่ยนแปลงต่อเนื่อง และข้อจำกัดด้านกำลังคนที่ผู้เชี่ยวชาญในตลาดมีจำนวนจำกัด Series C จึงนำเสนอแนวทางที่ได้ทดสอบกับ CISO ของธนาคารและสถาบันการเงินของไทยไว้แล้ว

 

หลังเหตุการณ์สำคัญในภูมิภาค อาทิ การโจมตี supply chain ของภาคการเงิน และการละเมิดข้อมูลส่วนบุคคลในหน่วยงานภาครัฐ คณะกรรมการของหลายองค์กรเริ่มตั้งคำถามกับ CISO ในลักษณะที่ลึกกว่าเดิม คำถามเหล่านี้มักไม่ใช่เรื่องเทคนิค แต่เป็นคำถามเกี่ยวกับความเสี่ยงส่วนที่ยอมรับได้ ประสิทธิภาพของการควบคุม และความพร้อมในการตอบสนองเหตุการณ์ ซึ่ง CISO ที่ไม่เตรียมตัวสำหรับคำถามเหล่านี้มักประสบปัญหาในการสื่อสาร

 

24 เดือน

ระยะเวลาเฉลี่ยที่ CISO ดำรงตำแหน่งในองค์กรเดียว (Gartner Cybersecurity Leadership Survey)

 

ส่วนใหญ่

ของคณะกรรมการในองค์กรขนาดใหญ่ระบุว่า cybersecurity เป็นความเสี่ยงระดับ enterprise อันดับต้น (Gartner Board of Directors Survey / NACD)

 

หลายเท่า

ความแตกต่างของงบประมาณด้านไซเบอร์ต่อรายได้ ระหว่างองค์กรที่มี CISO ระดับ strategic กับองค์กรที่ CISO ยังเป็น IT Lead (จากการสังเกตของทีมเราในกลุ่มลูกค้าภาคการเงิน)

 

คู่มือเล่มนี้แบ่งออกเป็น 7 บท เรียงลำดับจากพื้นฐานความรู้ความเข้าใจในภัยคุกคาม ไปจนถึงการวางกลยุทธ์ การลงมือปฏิบัติ และการวัดผล แต่ละบทจะสรุปแนวคิดหลัก ศัพท์สำคัญ และข้อควรทำจริงให้อ่านเข้าใจได้โดยไม่ต้องมีพื้นฐานเทคนิคมาก่อน

 

 

CHAPTER ONE · THE LANDING

 

 

CISO คนใหม่มักมีแรงกดดันให้ 'เห็นผล' ใน 3 เดือนแรก ซึ่งเป็นกับดัก — การเปลี่ยนแปลงเร็วโดยยังไม่เข้าใจบริบทมักสร้างศัตรูภายในและ backfire ในเดือนที่ 4–6 กิจกรรมหลัก 30 วันแรกคือการสัมภาษณ์ผู้บริหาร 1-on-1 ทุกฝ่าย, ทบทวน incident history 12 เดือน, และประเมิน control environment เบื้องต้น

 

“90 วันแรกของ CISO ไม่ใช่เวลาของการเปลี่ยนแปลง แต่คือเวลาของการฟัง”

 

 

CHAPTER TWO · THE RISK LANGUAGE

 

 

Risk register ของ cyber ควรไม่เกิน 15–25 รายการที่ระดับบริหาร โดยแต่ละรายการมี 4 องค์ประกอบ: risk statement, inherent risk (likelihood×impact), residual risk (หลัง control ปัจจุบัน), target risk (หลังการลงทุน) ถ้า risk register เกิน 50 รายการในระดับบริหาร แปลว่าไม่ถูก aggregate ให้ถูกต้อง

 

“คณะกรรมการไม่สนใจ CVE — เขาสนใจว่า cyber risk กระทบ business objective อย่างไร”

 

 

CHAPTER THREE · THE STRATEGY

 

 

การเปรียบเทียบ maturity ของตนเองกับ peer ในอุตสาหกรรมเดียวกัน ช่วยให้เห็น gap ที่ต้องปิดเพื่อไม่ให้กลายเป็น 'soft target' — peer benchmark ที่ใช้ได้ในไทย ได้แก่ TB-CERT (Thailand Banking Sector CERT), ThaiCERT Sector Peer Group, และรายงาน audit ของ ธปท. และ ก.ล.ต.

 

“Strategy ที่ไม่มี peer benchmark คือการเดาที่ไม่มีจุดอ้างอิง”

 

 

CHAPTER FOUR · THE BUDGET

 

 

Risk-based budget เริ่มจากการประเมินว่าแต่ละ initiative ลด risk ได้เท่าไร (เป็นเงิน) แล้วเปรียบเทียบกับต้นทุน เพื่อจัดลำดับ ROI ของ initiative วิธีนี้ทำให้ CISO ตอบคณะกรรมการได้ว่า 'ทำไมต้องลงทุน X' ไม่ใช่ 'ทำไมเพิ่ม 10%'

 

Annualized Loss Expectancy (ALE) = likelihood × single loss expectancy เป็นสูตรคลาสสิกในการ quantify risk ถึงแม้มีข้อจำกัด แต่ก็เป็น starting point ที่ดีกว่าการไม่ quantify เลย

 

“ถ้า CISO ขอเงินไม่ได้ ไม่ใช่เพราะคณะกรรมการไม่เข้าใจ — แต่เพราะยังไม่แปลเป็นภาษาที่เขาเข้าใจ”

 

 

CHAPTER FIVE · THE VENDOR

 

 

Vendor tier แบ่งตามระดับ (1) ข้อมูลที่เข้าถึง (none / internal / customer / regulated), (2) ความสำคัญของ service (non-critical / important / critical) การ combine เป็น 3×3 matrix ได้ 9 ช่อง ซึ่งแต่ละช่องกำหนด control baseline ต่างกัน

 

“Vendor ที่มี access ต่อระบบของคุณมีความเสี่ยงไม่น้อยกว่าพนักงาน แต่มักไม่มี control ที่เข้มเท่า”

 

 

CHAPTER SIX · THE CRISIS

 

 

Holding statement คือแถลงการณ์สั้นที่เตรียมไว้ล่วงหน้าสำหรับออกภายใน 2–4 ชั่วโมงแรกของเหตุการณ์ เนื้อหาไม่ต้องครบ แต่ต้องแสดงว่าองค์กรรับทราบ กำลังจัดการ และจะอัปเดต การเงียบเป็นเวลา 24–48 ชั่วโมงคือการเปิดโอกาสให้สื่อและ stakeholder คาดเดาที่แย่กว่าความจริง

 

“การสื่อสารวิกฤตที่ดีเริ่มก่อนวิกฤต — เพราะไม่มีเวลาเขียน template ในตอนนั้น”

 

 

CHAPTER SEVEN · THE CULTURE

 

 

วัฒนธรรมความปลอดภัยจะไม่เกิดถ้า CEO และผู้บริหารไม่แสดงให้เห็นว่าสำคัญ — การให้ผู้บริหารเปิดประชุมทุกไตรมาสด้วยเรื่อง security incident เล็ก ๆ หรือ phishing stat ของทีมตน สร้าง behavior modeling ที่ทรงพลังกว่า training

 

Champion network คือการคัดเลือก 'ผู้ส่งสาร' ในแต่ละฝ่ายที่เข้าใจและเชื่อใน security จำนวน 1 champion ต่อ 50 พนักงานเป็นสัดส่วนที่ใช้งานได้จริงในองค์กรหลายแห่ง

 

“วัฒนธรรมความปลอดภัยไม่ได้สร้างจาก poster แต่จาก behavior ของผู้บริหารในที่ประชุม”

 

 

CISO ที่ประสบความสำเร็จในยุค 2026 คือผู้ที่สามารถแปล cyber risk เป็นภาษาธุรกิจ บริหารงบประมาณเป็นนักบัญชี สื่อสารเป็นนักการสื่อสาร และยังคงเข้าใจเทคนิคลึกพอที่ทีมเคารพ — บทบาทที่หลากหลายนี้ไม่ได้สร้างในหนึ่งวัน แต่สร้างผ่านการฝึกฝนและการ mentor จากรุ่นพี่

 

หากท่านต้องการเนื้อหาฉบับเต็มที่ครอบคลุมทุกบท พร้อมแนวปฏิบัติเชิงเทคนิค ตัวอย่าง workflow และคำศัพท์เฉพาะทาง กดตาม URL นี้เพื่อดาวน์โหลด: