by A.Pinya Hom-anek, CISSP,CISA
ACIS Professional Team

จากฉบับที่แล้วผมได้กล่าวถึงขั้นตอนในการจัดการกับความเสี่ยงของระบบ (Risk Assessment) ซึ่งมีทั้งหมด 6 ขั้นตอน ขั้นตอนที่หนึ่งกล่าวถึง “Inventory Definition and Requirement” และขั้นตอนที่สองเป็นเรื่องของ “Vulnerability and Threat Assessment” ในฉบับนี้ผมขอต่อใน ขั้นตอนที่สาม คือ “Evaluation of Control” หมายถึง การประเมินมูลค่าของ “Control” ที่ถูกนำมาใช้ในการลดผลกระทบของความเสี่ยง (Mitigate Risk) ในขั้นตอนนี้เราควรประเมินมูลค่าเป็นตัวเงินสำหรับ “Control” ต่างๆ ที่เราต้องการนำมาใช้เช่น มูลค่าของ Firewall หรือ Intrusion Detection ตลอดจนโปรแกรม Anti-virus หรือการจ้างบริษัท System Integrator (SI) มาจัดการติดตั้ง Service Packs หรือ Patches ต่างๆ รวมไปถึงการ “Hardening” ให้กับ NOS ที่เราใช้เป็น Server ไม่ว่าจะเป็น Web Server, Mail Server หรือ Database Server เป็นต้น

ในขั้นตอนนี้เราควรประเมินค่าใช้จ่ายหรือ Cost of Control ที่เราจะต้องจ่ายออกไปในการติดตั้ง “Control” ต่างๆ แต่เราจะไม่ตัดสินใจว่าจะใช้ “Control” ตัวใดในขั้นนี้ เราควรที่จะจัดเป็นลักษณะ “Brainstorm” คือช่วยกันคิดในหลายๆแง่มุม ถึงประโยชน์ที่ได้รับจากการติดตั้ง “Control” ทั้งทางด้านเทคนิคและด้านการบริหารจัดการ เป็นที่ทราบกันดีว่าไม่สามารถลดความเสี่ยงของระบบให้เป็นศูนย์ได้ เพราะอย่างไรก็ยังคงต้องมีความเสี่ยงเหลืออยู่ หลังจากที่เราติดตั้ง “Control” ต่างๆ ไปแล้ว ซึ่งทางเทคนิคเราเรียกว่า “Residual Risk” นั่นคือความเสี่ยงที่เรายอมรับได้นั่นเอง

สำหรับ ขั้นตอนที่สี่ ได้แก่ “Analysis, Decision and Documentation”หมายถึงการวิเคราะห์ข้อมูลจากขั้นตอนที่หนึ่งถึงสามเพื่อนำมาตัดสินในในการเลือกใช้ Control ให้เหมาะสมกับมูลค่าของทรัพย์สิน (Asset) ที่เรามีความจำเป็นต้องป้องกัน
หลักการก็คือ เราต้องไม่ให้ค่าใช้จ่ายในการติดตั้ง “Control” นั้น มากกว่า มูลค่าของทรัพย์สินที่เราต้องการป้องกัน การคิดค่าใช้จ่ายในการติดตั้ง “Control” เช่นการติดตั้ง Firewall หรือ IDS นั้น เราจะคิดเฉพาะมูลค่าของ Hardware, Software และค่าติดตั้งไม่ได้เพราะยังมีต้นทุนแฝงที่เรายังมองไม่เห็นอีกหลายๆอย่างเช่น ค่าใช้จ่ายด้านการบริหารจัดการ ค่าบำรุงรักษา (Maintenance) หรือต้นทุนที่เกิดขึ้นหลังจากที่ติดตั้งไปแล้วเกิดปัญหาขึ้นกับระบบเดิมโดยรวมทำให้พนักงานทำงานไม่ได้ หรือการทำงานช้าลงเพราะมีปัญหาด้านประสิทธิภาพในการทำงานของระบบใหม่ที่เราเพิ่งติดตั้ง “Control” เข้าไป ดังนั้น เราควรคิดให้รอบคอบเสียก่อน ที่จะดำเนินการติดตั้ง “Control” ต่างๆ ดังที่กล่าวมาแล้ว เราควรใช้ข้อมูลจากขั้นตอนที่หนึ่งและขั้นตอนที่สอง มาประกอบการตัดสินใจว่าจะเลือกติดตั้ง “Control” ตัวใดให้เหมาะสม โดยเลือกจากรายการที่เราได้ประเมินค่าใช้จ่ายได้แล้ว ในขั้นตอนที่สามนั่นเอง

สังเกตได้ว่า เราไม่จำเป็นจะต้องติดตั้ง “Control” ให้กับ “Threat” ทุกอย่างที่เราตรวจพบจากขั้นตอนการทำ “Vulnerability Assessment” การที่เราทำ “Risk Analysis” จะช่วยให้เราตัดสินใจได้ดียิ่งขึ้น และมีความชัดเจนในการเลือก “Control” ที่คุ้มค่ากับระบบโดยรวม หากเราไม่ทำ “Risk Analysis” เราก็อาจจะติดตั้ง “Control” ให้กับ “Threat” บางอย่างทีไม่จำเป็นก็ได้

การตัดสินใจควรจะมาจากบุคคลหลายๆคนที่มีความเกี่ยวข้อง ตั้งแต่ผู้บริหารจนถึงผู้ที่ทำงานอยู่กับระบบเป็นประจำ การที่ทุกคนมาร่วมกันคิด จะทำให้การตัดสินใจนั้นมีความใกล้เคียงกับความเป็นจริงขององค์กรมากขึ้น โดยเฉพาะตัวเจ้าของระบบเองย่อมรู้ดีกว่าคนอื่นอยู่แล้วใช่ไหมครับ จากนั้นเราก็ควรจัดทำเอกสารเก็บรวบรวมผลจากการทำ Assessment และผลสรุปการตัดสินใจเลือกติดตั้ง “Control” ที่เหมาะสมเพื่อนำไปใช้ในขั้นตอนต่อไป

ขั้นตอนที่ห้า “Communication” หมายถึง การที่เราจะทำอย่างไรให้บุคคลอื่นหรือ แผนกอื่นๆ ในองค์กร มีความเข้าใจว่าเรากำลังต้องการที่จะลดความเสี่ยงให้กับระบบขององค์กร ซึ่งแน่นอน ย่อมมีผลกระทบไม่มากก็น้อยต่อผู้ใช้งานระบบอยู่เป็นประจำ เราควรจะแสดงให้เห็นถึงผลจากการที่เราลองเจาะระบบในขั้นตอนที่สอง และชี้ให้เห็นถึงช่องโหว่ที่เราตรวจพบ ตลอดจนผลที่ได้รับในทางลบหากไม่มีการติดตั้ง “Control” ต่างๆ ให้เหมาะสม ขั้นตอนนี้คล้ายๆ กับการประชาสัมพันธ์ให้ทุกคนตั้งแต่ผู้บริหารระดับสูงจนถึงผู้ใช้ทั่วไป หากผู้บริหารและผู้ใช้ระบบมีความเห็นตรงกับเราก็เท่ากับว่าเราประสบความสำเร็จในการติดตั้ง “Control” หรือ “Security Infrastructure” ให้กับระบบในระดับหนึ่งเลยที่เดียว

ขั้นตอนที่หก “Monitoring” ขั้นตอนนี้ถือเป็นขั้นตอนสุดท้ายกล่าวคือต้องมีการดูแลอยู่ตลอดหลังจากการที่เราได้ติดตั้ง “Control” ต่างๆ ไปแล้ว เพราะเมื่อองค์กรมีการเปลี่ยนแปลง การบริหารความเสี่ยง (Risk Management) ก็ต้องมีการปรับให้เข้ากับสถานการณ์ใหม่ๆที่เกิดขึ้น บางครั้งบางระบบถึงขนาดต้องทำใหม่ทั้งหมดจากขั้นตอนที่หนึ่งเลยก็มี เราควรปรับแต่งขั้นตอนในการบริหารความเสี่ยงให้เหมาะสมกับสถานการณ์ที่เปลี่ยนแปลงไปของระบบด้วย

กล่าวโดยสรุป ขั้นตอนในการจัดการกับความเสี่ยง เราทำเพื่อ “ลดความเสี่ยง” ที่จะเกิดขึ้นกับระบบลงให้น้อยที่สุด (แต่ไม่มีวันเท่ากับศูนย์) ในจุดที่เราและองค์กรยอมรับได้ ซึ่งผมขอสรุปขั้นตอนทั้งหมด 6 ขั้นตอน ดังนี้ครับ
ขั้นตอนที่ 1 Inventory, Definition, and Requirements การเก็บข้อมูลขององค์กรเพื่อเตรียมพร้อมในขั้นต่อไป

ขั้นตอนที่ 2 Vulnerability & Threat Assessment การเจาะระบบตัวเองเพื่อหาช่องโหว่ ซึ่งเราอาจจะใช้พวก Vulnerability Scanner ต่างๆ ที่มีขาย On-line อยู่ใน Internet หรือ เราอาจจะใช้ Tools ที่เป็นพวก “Open Source” ก็ได้เช่น NESSUS จาก www.nessus.org ก็เป็น scanner ที่มีประสิทธิภาพมากตัวหนึ่ง

ขั้นตอนที่ 3 Evaluation of Control ประเมินค่าใช้จ่ายของการติดตั้ง “Control” ต่างๆโดยรวม โดยมีการประชุมคณะทำงานร่วมกันตัดสินใจ

ขั้นตอนที่ 4 Analysis, Decision and Documentation วิเคราะห์และตัดสินใจเลือก “Control” ให้เหมาะสมกับมูลค่าของทรัพย์สิน (Assets) ที่เราต้องการที่จะป้องกัน

ขั้นตอนที่ 5 Communication ติดต่อประชาสัมพันธ์ผลจากการทำ Assessment และผลการเลือกติดตั้ง “Control” หลายๆ อย่างที่เหมาะสมมากที่สุดกับระบบของเรา

ขั้นตอนที่ 6 Monitoring การเฝ้าตรวจสอบระบบ และมีการปรับปรุงแผนการวิเคราะห์ความเสี่ยงให้มีความทันสมัยต่อเหตุการณ์ที่เปลี่ยนแปลงอยู่ตลอดเวลาในขณะนี้ ซึ่งจะทำให้ Process ทั้งหมดที่เราทำมานั้นมีประสิทธิภาพและประสิทธิผล

ในฉบับหน้าผมจะกล่าวถึงเรื่องของ “Security Perimeter” ในลักษณะของการออกแบบในสไตล์ที่เราเรียกว่า “Defense-in-Depth” อย่าพลาดนะครับ แล้วเจอกันใหม่ครับ

จาก : หนังสือ eLeader Thailand
Update Information : 6 พฤษภาคม 2546