การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศในอดีต เน้นการวางมาตรการความมั่นคงปลอดภัยที่ระบบเครือข่ายเป็นหลักเพื่อป้องกันผู้ไม่หวังดี ไม่ให้บุกรุกคุกคามเข้ามาสู่ระบบสาระสนเทศภายในองค์กรได้ .

แต่ด้วยปัจจุบันลักษณะการเชื่อมต่อระบบสารสนเทศของแต่ละองค์กรมีลักษณะที่เปลี่ยนไป มีช่องทางการเชื่อมต่อเพิ่มมากขึ้น ตลอดจนลักษณะการทำงานแบบ work from home หรือ work from anywhere และอุปกรณ์ที่ผู้ใช้งานนำมาใช้เชื่อมต่อกับระบบสารสนเทศขององค์กรมีความหลากหลาย การวางมาตรการด้านความมั่นคงปลอดภัยจึงจำเป็นต้องพิจารณาให้ครอบคลุมในทุกระดับชั้นของระบบงาน ซึ่งรวมถึง Host, Data และ Application นั่นเอง .

ซึ่งการจะทำให้ Host, Data และ Application มีความมั่นคงปลอดภัย มีรายละเอียด ปลีกย่อย มีแนวทาง แนวปฏิบัติ และเทคโนโลยีต่าง ๆ ที่ผู้เชี่ยวชาญจำเป็นต้องเข้าใจเพื่อให้สามารถเลือก ใช้มาตรการและเทคนิคต่าง ๆ ให้เหมาะสมกับสภาพแวดล้อมของระบบสารสนเทศขององค์กร และตอบสนองต่อความเสี่ยงที่มีอยู่ในปัจจุบันได้.

หลักปฏิบัติเกี่ยวกับความมั่นคงปลอดภัยและความเป็นส่วนตัวของข้อมูล ความเสี่ยงประการหนึ่งในการทำงานกับข้อมูล คือ ความยากในการรักษาความมั่นคงปลอดภัยให้กับข้อมูล อันตรายบางอย่างอาจเกิดขึ้นจากการใช้ข้อมูลเป็นประจำ ในขณะที่อันตรายอื่น ๆ สามารถเกิดได้จากตอนที่ไม่ต้องการข้อมูลอีกต่อไป และพร้อมที่จะกำจัดมัน ไม่ว่าอันตรายจะเป็นผลมาจากการเข้าถึงรายวัน หรือการทำลายเมื่อสิ้นสุดวงจรชีพของข้อมูล คุณมีหน้าที่รับผิดชอบในการปกป้องข้อมูลนั้น โดยตัวอย่างรูปแบบการปกป้องมีดังนี้.

1. การป้องกัน ด้านความมั่นคงปลอดภัยของข้อมูล ระบบงาน และอุปกรณ์การควบคุมการเข้าถึงเป็นส่วนสำคัญของการรักษาความมั่นคงปลอดภัยทางกายภาพ และสามารถช่วยลดความเป็นไปได้ของวิศวกรรมสังคม หรือการโจมตีประเภทอื่น ๆ ไม่ให้ประสบความสำเร็จ ระบบต้องทำงานในสภาพแวดล้อมที่มีการควบคุมเพื่อความมั่นคงปลอดภัย สภาพแวดล้อมเหล่านี้ต้องปลอดภัยจากการบุกรุกมากที่สุด คอนโซลระบบคอมพิวเตอร์อาจเป็นจุดสำคัญของช่องโหว่ เนื่องจากฟังก์ชันการดูแลระบบจำนวนมากสามารถทำได้จากคอนโซลระบบ คอนโซลเหล่านี้รวมถึงตัวระบบเองจะต้องได้รับการปกป้องจากการเข้าถึงทางกายภาพ.

2. จัดทำป้ายแสดงระดับความอ่อนไหวของข้อมูลและการจัดการข้อมูลเราสามารถจัดระดับชั้นความลับของข้อมูลได้หลายระดับ การจัดระดับชั้นความลับมีความสำคัญเนื่องจากจะมีการกำหนดวิธีป้องกัน และจัดการกับข้อมูลด้วยวิธีการที่แตกต่างกันในแต่ละระดับชั้นความลับ.

3. กำหนดตำแหน่งการจัดวางอุปกรณ์ด้านความมั่นคงปลอดภัย ปัญหาหนึ่งที่มีความสำคัญ คือ ตำแหน่งที่จะวางอุปกรณ์รักษาความมั่นคงปลอดภัยต่าง ๆ เราได้พิจารณาเกี่ยวกับการแบ่งส่วนเครือข่ายออกเป็นโซน แต่สิ่งนี้ไม่ได้ตอบคำถามทั้งหมดว่าจะวางอุปกรณ์ไว้ที่ใด .อุปกรณ์ที่ง่ายที่สุดในการวาง คือ ไฟร์วอลล์ ไฟร์วอลล์ต้องวางที่ชายขอบของเครือข่าย ยิ่งไปกว่านั้น ควรวางไฟร์วอลล์ไว้ที่จุดเชื่อมต่อทุกจุดของโซนเครือข่าย แต่ละส่วนของเครือข่ายควรได้รับการปกป้องโดยไฟร์วอลล์ สวิตช์ และเราเตอร์ที่ทันสมัยทั้งหมดมีความสามารถที่จะทำงานในลักษณะของไฟร์วอลล์ แม้แต่ผลิตภัณฑ์เชิงพาณิชย์แบบดั้งเดิมที่สุด สำหรับใช้ในบ้านก็มีความสามารถในการกรองขั้นพื้นฐานเป็นอย่างน้อย ความสามารถเหล่านี้เพียงแค่ต้องเปิดใช้งาน และกำหนดค่าอย่างเหมาะสม.

4. โครงข่ายที่ถูกกำหนดหน้าที่การทำงานโดยซอฟต์แวร์แม้ว่าสแปมจะไม่ใช่ไวรัส หรือการหลอกลวงอย่างแท้จริง แต่ก็เป็นหนึ่งในสิ่งที่น่ารำคาญที่สุดที่ผู้ดูแลระบบต้องจัดการสแปมถูกกำหนดให้เป็นอีเมลที่ไม่ต้องการ และไม่พึงประสงค์ และไม่เพียงแต่จะทำให้ปริมาณของอีเมลเกิดความน่ารำคาญเท่านั้น แต่ยังช่วยเปิดประตูสู่ปัญหาที่ใหญ่ขึ้นอีกด้วย .

5. การจัดการแพ็ตช์ ของแอปพลิเคชัน เช่นเดียวกับที่คุณต้องการให้โปรแกรมแก้ไขระบบปฏิบัติการเป็นปัจจุบัน เนื่องจากมักจะแก้ไขปัญหาด้านความปลอดภัยที่ค้นพบภายในระบบปฏิบัติการ คุณต้องทำเช่นเดียวกันกับโปรแกรมแก้ไขแอปพลิเคชัน เมื่อทราบช่องโหว่ในแอปพลิเคชันแล้ว ผู้โจมตีสามารถใช้ประโยชน์จากประโยชน์ดังกล่าว เพื่อเข้าสู่ระบบหรือสร้างความเสียหายให้กับระบบได้ เจ้าของผลิตภัณฑ์ส่วนใหญ่โพสต์แพ็ตช์เป็นประจำ และคุณควรสแกนหาแพ็ตช์ที่มีอยู่เป็นประจำ

นี่เป็นเพียงตัวอย่างรูปแบบในการป้องกันเท่านั้น ความเป็นจริงแล้ว การป้องกันข้อมูลต่างๆนั้นควรได้รับการตรวจสอบเป็นระยะ และแน่นอน เซิร์ฟเวอร์ใด ๆ (คอมพิวเตอร์ทุกเครื่องในองค์กร) ควรมีโปรแกรมป้องกันไวรัส และควร มีเครื่องมือป้องกันมัลแวร์ขั้นสูง มีอัลกอริธึมที่มีความสามารถในการสแกนหาความผิดปกติที่มากขึ้น