ISO / GMP / อย.

FAIR คืออะไร? คู่มือ Factor Analysis of Information Risk วัดความเสี่ยงไซเบอร์เป็นตัวเงินสำหรับ SME ไทย 2026

FAIR (Factor Analysis of Information Risk) คือ Quantitative Risk Methodology จาก The Open Group ที่แปลความเสี่ยงไซเบอร์เป็นตัวเลขเงิน USD ช่วย CISO และ Board ตัดสินใจลงทุน Security ด้วยข้อมูล เรียนรู้โครงสร้าง Loss Event Frequency และ Loss Magnitude พร้อมตัวอย่างคำนวณ ALE สำหรับ SME ไทย 2026

AF
ADS FIT Team
·8 นาที
Share:
FAIR คืออะไร? คู่มือ Factor Analysis of Information Risk วัดความเสี่ยงไซเบอร์เป็นตัวเงินสำหรับ SME ไทย 2026

# FAIR คืออะไร? คู่มือ Factor Analysis of Information Risk วัดความเสี่ยงไซเบอร์เป็นตัวเงินสำหรับ SME ไทย 2026

ทุกครั้งที่ CISO หรือ Risk Manager เสนอแผนลงทุนด้าน Cybersecurity คำถามที่ Board มักถามกลับคือ "ถ้าไม่ทำ จะเสียหายเท่าไร?" และ "ลงทุนตัวนี้ลดความเสี่ยงได้กี่เปอร์เซ็นต์?" คำตอบที่ใช้แค่ High / Medium / Low ตาม Heat Map สีๆ ไม่เพียงพออีกต่อไปสำหรับการตัดสินใจระดับ Enterprise

FAIR (Factor Analysis of Information Risk) เป็น International Standard จาก The Open Group ที่ช่วยให้องค์กรแปลงความเสี่ยงไซเบอร์เป็น "ตัวเลขเงิน" ในรูปของ Annualized Loss Expectancy (ALE) ได้อย่างเป็นระบบ ใช้ Probabilistic Modeling (Monte Carlo Simulation) แทนการเดาเอาเอง ทำให้ CFO และ Board อ่านงบประมาณ Security ได้เหมือนงบ R&D หรือ Marketing

บทความนี้จะอธิบายว่า FAIR คืออะไร โครงสร้าง Ontology ของมันประกอบด้วยอะไร วิธีคำนวณ และแนวทางนำไปใช้ในองค์กร SME ไทย พร้อมเปรียบเทียบกับ ISO 31000 และ NIST RMF

FAIR คืออะไรและทำไมต้องใช้

FAIR คือ Methodology สำหรับ Cyber Risk Quantification (CRQ) พัฒนาโดย Jack Jones ในปี 2005 และกลายเป็น Open Standard ของ The Open Group ในปี 2013 (มาตรฐาน O-RA และ O-RT) ปัจจุบันถูกอ้างอิงโดย NIST CSF 2.0, ISO/IEC 27005:2022 และ Gartner ในฐานะ Industry Best Practice สำหรับ CRQ

หลักการหลัก 3 ข้อของ FAIR:

  • Risk = Loss Event Frequency × Loss Magnitude — ไม่ใช่แค่ "Likelihood × Impact" แบบ Qualitative
  • Use Probability Distribution, Not Point Estimate — ระบุเป็นช่วง Min / Most Likely / Max แล้วรัน Monte Carlo
  • Calibrated Estimation — ใช้ Expert Judgement ที่ผ่านการ Calibrate ความแม่นยำตามแนวทาง Hubbard

    • | มิติ | Qualitative (Heat Map) | FAIR Quantitative |

    |------|------------------------|-------------------|

    | ผลลัพธ์ | High/Med/Low | USD ต่อปี |

    | ความสามารถเปรียบเทียบ | จำกัด | เปรียบเทียบข้าม Risk ได้ |

    | Decision Support | จำกัด | ใช้กับ ROI, Cost-Benefit ได้ตรง |

    | ความท้าทาย | เริ่มเร็วกว่า | ต้องใช้ Data + Calibration |

    | ใช้กับ Board | ต้องอธิบายเพิ่ม | สื่อสารได้ทันที |

    โครงสร้าง FAIR Ontology

    FAIR แบ่งความเสี่ยงเป็น Tree Structure ที่ละเอียด ทำให้ Analyst สามารถ Decompose ปัญหาใหญ่เป็นส่วนเล็กที่ประเมินได้

    ระดับบนสุด: Risk = Loss Event Frequency (LEF) × Loss Magnitude (LM)

    LEF แตกออกได้อีกเป็น:

  • **Threat Event Frequency (TEF)** — ความถี่ที่ Threat Actor พยายามโจมตี
  • **Vulnerability** — สัดส่วนที่ TEF จะกลายเป็น Loss Event ขึ้นกับ Resistance Strength vs Threat Capability

    • LM แตกออกได้เป็น:

  • **Primary Loss** — ค่าเสียหายตรง เช่น Productivity Loss, Response Cost, Replacement Cost
  • **Secondary Loss** — ค่าเสียหายอ้อม เช่น Fines, Legal Fees, Reputation, Customer Churn

    • ตัวอย่างการคำนวณ FAIR (Ransomware Scenario)

    สมมติองค์กร SME ไทยที่มี Workstation 200 เครื่อง ต้องการประเมินความเสี่ยง Ransomware ในปี 2026

    Step 1: ระบุ Loss Event Frequency (LEF)

  • TEF: 5–15 ครั้ง/ปี (Most Likely 8) จากสถิติ Phishing Email ที่ตรวจพบ
  • Vulnerability: 1–5% (Most Likely 2%) เพราะมี EDR + Email Filter
  • LEF = TEF × Vuln ≈ 0.08–0.75 ครั้ง/ปี (Most Likely 0.16)

    • Step 2: ระบุ Loss Magnitude (LM)

  • Primary Loss: 3–10 ล้านบาท (Downtime + IR + Recovery)
  • Secondary Loss: 2–8 ล้านบาท (PDPA Fines + Customer Notification + Reputation)
  • LM Total: 5–18 ล้านบาท (Most Likely 9 ล้านบาท)

    • Step 3: รัน Monte Carlo (10,000 Iterations)

  • Annualized Loss Expectancy (ALE) Mean ≈ 1.5 ล้านบาท/ปี
  • 90th Percentile ≈ 3.8 ล้านบาท/ปี
  • การลงทุน Backup + Network Segmentation 800,000 บาทคาดว่าลด LEF 60% → ROI ชัดเจน

    • วิธีนำ FAIR ไปใช้ในองค์กร (Step-by-Step)

  • **Step 1: Scope Top Risk** — เลือก 3–5 Top Risk Scenario ที่ Board สนใจ เช่น Ransomware, Data Breach, Cloud Misconfiguration
  • **Step 2: Train Calibrated Estimators** — ส่งทีม Risk + Security ไปอบรม Calibrated Estimation เพื่อให้ประเมินช่วงความน่าจะเป็นได้แม่นยำ
  • **Step 3: Collect Loss Data** — รวบรวม Internal Incident Log + Industry Benchmark เช่น Verizon DBIR, Ponemon Institute, IBM Cost of Data Breach Report
  • **Step 4: Build FAIR Model** — ใช้เครื่องมือ เช่น RiskLens, Safe Security, FAIR-U (ฟรี) หรือ Excel + Monte Carlo Add-in
  • **Step 5: Validate Result** — ตรวจ Sensitivity Analysis ว่าตัวแปรใดมีน้ำหนักมากที่สุด แล้วโฟกัสปรับปรุง Estimate ตัวนั้น
  • **Step 6: Communicate to Board** — นำเสนอเป็น Loss Exceedance Curve และ Risk Reduction ต่อบาทที่ลงทุน

    • เปรียบเทียบ FAIR กับ Framework อื่น

    | Framework | จุดเด่น | FAIR เสริมอย่างไร |

    |-----------|---------|-------------------|

    | ISO 31000 | Generic Risk Process | FAIR = Quantification Layer ใส่ในขั้น "Risk Analysis" |

    | NIST RMF | Government / Federal | FAIR ใช้แทน Qualitative ตอน Categorize Impact |

    | COSO ERM | Enterprise Strategic | FAIR ให้ตัวเลข Cyber Risk เข้า ERM Heatmap |

    | OCTAVE | Asset-Based, Self-Directed | FAIR เพิ่มมิติ Probabilistic |

    | ISO/IEC 27005 | InfoSec Risk Management | FAIR ถูกระบุเป็น Optional Method ใน Annex |

    ข้อควรระวังก่อนเริ่มใช้

  • **Data Quality** — Garbage in = Garbage out ถ้าทีมประเมินช่วงไม่ดี ผลที่ออกมาก็ไม่น่าเชื่อถือ ต้อง Calibration อย่างสม่ำเสมอ
  • **Scope Creep** — อย่าพยายาม Quantify ทุก Risk ตั้งแต่ปีแรก ให้เริ่มจาก Top 5 และค่อยขยาย
  • **Tooling Cost** — Tool Commercial เช่น RiskLens ราคาสูง ทดลองด้วย FAIR-U ฟรีก่อน
  • **Cultural Shift** — ทีม Security ต้องคุ้นกับ Probability และเลขสถิติ การฝึก Calibrated Training สำคัญมาก
  • **Avoid Analysis Paralysis** — FAIR ไม่ได้ต้องแม่น 100% ขอแค่แม่นกว่าเดิมและ Defensible พอ

    • สรุป

    FAIR เป็น Game Changer สำหรับองค์กรที่ต้องการยกระดับการพูดคุยเรื่อง Cyber Risk จาก "สีๆ" บน Heat Map ให้กลายเป็นตัวเลขเงินที่ Board และ CFO เข้าใจ ตัดสินใจลงทุน Security ได้บนหลักฐานเชิงปริมาณเหมือนการลงทุนด้านอื่น สำหรับ SME ไทยในปี 2026 ที่กำลังเผชิญทั้ง PDPA, Cyber Insurance Premium และความคาดหวังของ Stakeholder สูงขึ้น การเริ่มต้น FAIR Pilot กับ Top Risk Scenario ไม่กี่ตัว จะให้ ROI สูงมาก

    หากองค์กรของคุณต้องการที่ปรึกษาเริ่มต้น FAIR Pilot, ออกแบบ Risk Quantification Program หรือสร้าง Dashboard สำหรับ Board ทีม ADS FIT พร้อมช่วยวางระบบและ Train ทีม Risk ให้พร้อมในระยะ 3–6 เดือน

    [อ่านบทความที่เกี่ยวข้อง](/admin/blog) เกี่ยวกับ ISO 31000, COSO ERM, NIST CSF และ Risk Management อื่นๆ บนเว็บไซต์ของเรา

    Tags

    #FAIR#Risk Management#Cyber Risk Quantification#ISO 31000#Compliance#Risk Analysis

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที