by A.Pinya Hom-anek, CISSP,CISA ACIS Professional Team Web Application ในทุกวันนี้โดยส่วนใหญ่ เวลาผู้ใช้ต้องการจะ Log on หรือ Sign on เข้าสู่ระบบเช่น ระบบ Web Mail หรือ ระบบ Intranet ของบริษัท ผู้พัฒนาระบบมักจะใช้เพียงโปรโตคอล HTTP ( TCP Port 80) ซึ่งเป็นข้อมูลที่ไม่ได้รับการเข้ารหัสเพื่อป้องกัน Hacker […]
เรื่องของ e-mail ที่เราไม่ต้องการหรือเรียกว่า Junk Mail นั้นนับวันยิ่งมากขึ้นเรื่อย ๆ ส่วนตัวผมเองวัน หนึ่ง ๆ ได้รับ Junk Mail มากกว่า 10 ฉบับ ส่วนใหญ่จะเป็นเรื่องชวนไปทำงานนอกเวลาแบบ MLM หรือไม่ก็ขายของบน เน็ต ทำให้เกิดความรำคาญพอสมควร
จากฉบับที่แล้วผมได้กล่าวถึงขั้นตอนในการจัดการกับความเสี่ยงของระบบ (Risk Assessment) ซึ่งมีทั้งหมด 6 ขั้นตอน ขั้นตอนที่หนึ่งกล่าวถึง “Inventory Definition and Requirement” และขั้นตอนที่สองเป็นเรื่องของ “Vulnerability and Threat Assessment” ในฉบับนี้ผมขอต่อใน ขั้นตอนที่สาม
เราจะแยกความแตกต่างของใบรับรองผู้ดูแลความปลอดภัยข้อมูลคอมพิวเตอร์ของแต่ละสำนักได้อย่างไร ? ไม่ว่าจะเป็น CISSP, CISA, CISM หรือ GIAC
GSEC, CNSP, CISSP, Security, CISA, CISM, GCWN, GCFW, GCUX และอีกหลายๆ ใบ
จากการที่เรานำระบบ IT มาใช้ในชีวิตประจำวันของการทำงานในองค์กรอย่างที่ยกตัวอย่างให้ท่านผู้อ่านได้ทราบแล้วนั้น จึงมีความจำเป็นที่ต้องมีฝ่ายหรือบุคลากรที่จะมาตรวจสอบด้าน IT ซึ่งเรามักเรียกว่า “IT Auditor” หรือ “IS Auditor”
“Security” ของระบบ IT นั้น ดูเหมือนว่าคำจำกัดความจะมีความหมายค่อนข้างลึกซึ้ง เพราะ “Security” ไม่ได้เป็นแค่ Product เช่น การติดตั้ง Firewall และ IDS (Intrusion Detection System) แล้วจบ แต่ “Security” เป็น “Ongoing Process” หมายถึงต้องทำเป็นระบบและทำอย่างต่อเนื่องไม่มีวันจบ