We have to Secure :: The People , The Technology , The Processes.
ทำไมเราต้องทำ Security ให้กับคน (people), กระบวนการ (Process) และเทคโนโลยี (Technology)
หลักการในการรักษาความปลอดภัยนั้นคือการรักษาไว้ซึ่งคุณสมบัติทั้ง 3 อย่างคือ ความลับ (confidentiality), ความถูกต้อง (Integrity) และความพร้อมใช้งาน (Availability) ส่วนการรักษาความปลอดภัยที่มีประสิทธิภาพนั้นจะต้องพึ่งองค์ประกอบ 3 ส่วนคือ คน(people) , กระบวนการ (Process) และเทคโนโลยี (Technology) โดยกระบวนการนั้นจะเริ่มต้นด้วยการวิเคราะห์ความเสี่ยง แล้วกำหนดมาตรการเพื่อลดความเสี่ยง(Risk) ให้อยู่ในระดับที่ยอมรับได้ การที่ระบบใดระบบหนึ่งจะมีความปลอดภัยนั้นจำเป็นที่ต้องมีการควบคุมการเข้าถึง การปกปิดความลับของข้อมูลที่ดีที่สุดคือการเข้ารหัสข้อมูล(Encryption) ซึ่งเฉพาะผู้มีคีย์ (Key) เท่านั้นถึงจะเข้าถึงเนื้อหาของข้อมูลได้
แล้วทำไมเราต้องทำ Security ให้กับ คน (people) , กระบวนการ (Process) และเทคโนโลยี (Technology) ด้วย
1. คน (people)
ถ้าคนที่ไม่มีความรู้ความเข้าใจในเรื่องของการรักษาความปลอดภัย(Security) จะนำพามาซึ่งความเสียง (Risk) ในทางตรงข้ามถ้ามีการให้ความรู้ความเข้าใจจะทำให้มีความเสี่ยงลดลง ตัวอย่าง การทำ Social Engineering เป็นการเก็บข้อมูลแบบไม่ต้องใช้ Software โดยการหลอกถามข้อมูลจากคนใน โทรสอบถามจาก call center ,เดินไปถาม security guard (ลุงยาม) ทำให้เกิด ช่องโหว่หรือจุดอ่อน(Vulnerability) อันเนื่องมาจากการรู้เท่าไม่ถึงการณ์ของบุคลากรภายในองค์กรหรือโดยพื้นฐานของวัฒนธรรมประเพณีต่างๆก็ตาม ก็อาจนำมาซึ่งความไม่ปลอดภัยได้เช่นกัน
2. กระบวนการ (Process)
องค์กรทุกๆ องค์กรมีความต้องในการเก็บสารสนเทศที่ต่างกันออกไปซึ่งสารสนเทศต่างๆเหล่านี้มีความสำคัญอย่างยิ่งต่อองค์กร เพื่อไม่ให้สารสนเทศเกิดความเสี่ยงจะต้องมีการดำเนินการทำนโยบายความปลอดภัย (Security Policies)ให้กับองค์กร ถ้าไม่มีนโยบายก็จะไม่มีแผนสำหรับองค์กรที่จะทำให้การรักษาความปลอดภัยขององค์กรมีประสิทธิภาพได้ ในนโยบายรักษาความปลอดภัยนั้นมีวัตถุประสงค์เพื่อให้ผู้ใช้งานและบุคคลที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความปลอดภัย รวมทั้งได้รับทราบเกี่ยวกับหน้าที่และความรับผิดชอบ แนวทางปฏิบัติในการควบคุมความเสี่ยงต่างๆ ซึ่งจะต้องมีเนื้อหาครอบคลุมเกี่ยวกับแนวทางในการปฏิบัติในการจัดทำนโยบาย รายละเอียดของนโยบาย และการปฏิบัติตามนโยบาย ซึ่งนโยบายความปลอดภัย (Security Policies) ไม่ใช่เทคโนโลยีแต่เป็นลักษณะของเอกสาร ในการทำเรื่องเกี่ยวกับนโยบายความปลอดภัยนั้นการป้องกันบุคคลภายนอกองค์กรยังไม่น่ากลัวเท่าการป้องกันบุคคลภายในองค์กร (back door) เพราะว่าบุคคลภายในองค์กรนั้นสามารถที่จะเข้าสู่ระบบเครือข่ายได้เลย ซึ่งเป็นเรื่องที่อันตรายมากๆ
3. เทคโนโลยี (Technology)
ในส่วนของเรื่องเทคโนโลยีกับความปลอดภัยนั้น การออกแบบ Infrastructure ก็เป็นสิ่งสำคัญที่ต้องคำนึงถึงให้มีความสามารถในการสนับสนุนเทคโนโลยีใหม่ (New Technology) ให้ได้ดีที่สุดเท่าที่จะทำได้ แต่ก็ยังมีปัจจัยหลายๆอย่างเช่นกัน ซึ่งในส่วนที่ว่าทำไมต้องทำความปลอดภัยให้กับเทคโนโลยีนั้นก็เนื่องมาจากการที่เรานำเอาเทคโนโลยีใหม่ๆ เข้ามาใช้ แต่ขาดการคอนฟิก (Configuration) การทำปิดช่องโหว่ (Hardening) หรือติดตั้งที่ไม่ถูกต้องให้มีความปลอดภัย ก็อาจจะไม่มีประโยชน์อะไร ซึ่งไม่ได้ต่างอะไรจากเดิมที่เป็นอยู่ ในการทำเทคโนโลยีที่มีอยู่ให้มีความปลอดภัย (Security) จะต้องอาศัยผู้ที่มีความเชี่ยวชาญมีความรู้และมีประสบการณ์ทางด้านนี้โดยเฉพาะในการทำงาน
-------------------------การบ้านวิชา Security -----------------------------
No comments:
Post a Comment