by A.Prinya Hom-anek
CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, CompTIA Security+, CCSA 2000,
CCNA, MCSE, MCDBA, MCP+Internet, Master CNE, CNI, CNA, ITIL,
(ISC)2 Asian Advisory Board Member, ISACA Bangkok Chapter Board Member
President & Founder, ACIS Professional Center
ACIS
งานสัมมนา RSA Conference 2008 จัดได้ว่าเป็นงานสัมมนาด้านความปลอดภัยข้อมูลคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก มีผู้เข้าร่วมสัมมนากว่า 17,000 คนในทุกๆ ปี ในปีนี้มีการจัดขึ้นที่ Moscone Center ณ กรุงซานฟรานซิสโก ประเทศสหรัฐอเมริกา ช่วงวันที่ 7-11 เมษายน 2551 โดยภาพรวมของงานนั้นเน้นการนำเสนอผลิตภัณฑ์และบริการต่างๆ ที่เกี่ยวข้องกับด้านความปลอดภัยข้อมูลคอมพิวเตอร์ และ การปฏิบัติตามกฎระเบียบข้อบังคับและกฎหมาย (Regulatory and Law Compliance) จากผู้ผลิตและผู้ให้บริการกว่า 350 ราย ตลอดจนมีการจัดสัมมนาให้ความรู้ด้านความปลอดภัยข้อมูลกว่า 220 sessions โดยแบ่งออกเป็น track ต่างๆ ให้เลือกเข้าฟังตามความสนใจของผู้ร่วมสัมมนา สำหรับหัวข้อเรื่องที่น่าสนใจในงาน RSA Conference 2008 สรุปได้ดังนี้
1.Regulatory Compliance, GRC และ Professional Certification
“Regulatory Compliance” เป็นเรื่องเด่นของงาน RSA Conference 2008 เนื่องจากกระแส GRC (Governance , Risk and Compliance) นั้นกำลังเป็นที่ตื่นตัวของผู้บริหารระดับสูงขององค์กรทั่วโลกรวมทั้งประเทศไทยด้วย ซึ่งองค์กรจำเป็นต้องมีการปฏิบัติตามกฎระเบียบข้อบังคับจาก Regulator และปฏิบัติตามกฎหมายที่เกี่ยวข้องกับระบบสารสนเทศ
เรื่อง Corporate Governance และ IT Governance เป็นเรื่องที่ผู้บริหารระดับสูงขององค์กรต้องนำมาปฏิบัติให้เป็นรูปธรรมอย่างหลีกเลี่ยงไม่ได้ ดังนั้น การศึกษา “Standard” และ “Best Practice” ต่างๆ ไม่ว่าจะเป็น ISO/IEC 27001 , ISO/IEC 20000 , CobiT , COSO , ITIL , PCI DSS ล้วนเป็นเรื่องใหม่สำหรับผู้บริหารระดับสูงที่ไม่ได้รับผิดชอบโดยตรงในเรื่องเกี่ยวกับระบบสารสนเทศ ดังนั้น ผู้บริหารระบบสารสนเทศ หรือ ผู้เชี่ยวชาญตลอดจนที่ปรึกษาควรให้คำแนะนำและให้ความรู้แก่ผู้บริหารระดับสูง (C Level) ให้เกิดความเข้าใจใน “Standard” และ “Best Practice” ตลอดจนตัวบทกฎหมายต่างๆ ที่มีผลกระทบต่อการทำงานขององค์กร
การปรับปรุง “Process” ต่างๆ ในองค์กรให้เกิดประสิทธิภาพมากขึ้นในลักษณะมืออาชีพนั้นก็เป็นเรื่องสำคัญที่จำเป็นเช่นกัน ความนิยมของ PMP (Project Management Professional) จาก สถาบัน PMI และ CBCP (Certified Business Continuity Professional) จาก สถาบัน DRII นั้นแสดงให้เห็นถึง “ความจำเป็น” ในการปรับปรุงประสิทธิภาพของบุคลากรในการทำงานเรื่องการบริการจัดการโครงการและการพัฒนาแผนสำรองฉุกเฉินให้กับองค์กร ตลอดจนผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลได้แก่ CISSP certified และ SSCP certified จาก (ISC)2 และผู้เชี่ยวชาญด้านการตรวจสอบระบบสารสนเทศ CISA certified จาก ISACA ตลอดจนผู้บริหารระบบควมปลอดภัยข้อมูลที่ได้รับการรับรองจาก ISACA ได้แก่ CISM certified กลายเป็นสิ่งสำคัญในการคัดเลือกพนักงานเข้ามาทำงานในองค์กรเพื่อที่จะสร้างความมั่นใจให้กับผู้บริหารระดับสูงถึงระดับความสามารถและคุณภาพของบุคลากรที่องค์กรต้องการรับเข้ามาร่วมงานในยุคที่ผู้เชี่ยวชาญเฉพาะทางมีความขาดแคลนทั่วโลก การให้ความรู้เกี่ยวกับการสอบ Certification ดังกล่าว จึงเป็นเรื่องจำเป็นที่ฝ่ายฝึกอบรมและฝ่ายพัฒนาบุคลากรขององค์กรควรเตรียมงบประมาณในเรื่องนี้ไว้ให้พอเพียงด้วย
2. Web Application Security Defense
ในปัจจุบันการโจมตี Web Application มีสถิติสูงเพิ่มขึ้นเพราะ Firewall ทั่วไปไม่สามารถป้องกันภัยจากการโจมตีดังกล่าวได้ จากข้อมูลของ Open Web Application Security Project (OWASP) โดยพบว่ามีการโจมตีช่องโหว่แบ่งออกได้ 10 ประเภท ซึ่งการโจมตีที่นิยมมากที่สุดในกลุ่มผู้ไม่หวังดีก็คือ Cross Site Scripting (XSS) และ SQL Injection ซึ่งเกิดจากการเขียนโปรแกรม Web Application ที่ไม่ปลอดภัย ไม่ว่าจะเป็น ASP, ASP.NET ,JSP , J2EE หรือ PHP
จากปัญหาดังกล่าว ทำให้เกิดการคิดค้นเทคโนโลยีเพื่อที่จะเข้ามาลดความเสี่ยงอันเกิดจากการโจมตี Web Application ทั้ง 10 วิธี ซึ่งเทคโนโลยีที่น่าสนใจได้แก่ Source Code Review (SCR) หรือ Source Code Analysis (SCA), Web Application Firewall (WAF) และ Web Application Vulnerabilities Scanner สำหรับรายละเอียดทั้ง 3 เทคโนโลยี่มีดังนี้
2.1 Source Code Review (SCR) หรือ Source Code Analysis (SCA)
เทคโนโลยี SCR หรือ SCA เป็นเทคโนโลยีใหม่ที่มีแนวคิดแบบ “Preventive Control” คือ การป้องกันเหตุการณ์ไม่พึงประสงค์ที่จะเกิดขึ้น สำหรับหลักการทำงานก็คือ การตรวจสอบ Source Code ของ Web Application ไม่ว่าจะเป็น J2EE, ASP.NET หรือ PHP ซึ่งเป็นภาษายอดนิยมในการเขียน Web Application เพื่อให้ทราบถึงบรรทัดที่ผิดพลาดใน Source Code ของ Program ที่ Developer ได้เขียนขึ้น โดยจะทำการเตือนถึงจุดผิดพลาดและนำเสนอแนวทางแก้ไขในการเขียน Code ให้มีความปลอดภัยมากขึ้น หลักการของเทคโนโลยีนี้ก็คือ การแก้ปัญหาที่ต้นเหตุจาก Source Code ที่ไม่ปลอดภัย (Root Cause Analysis) แต่ข้อเสียก็คือ การเขียนโปรแกรม Web Application บางภาษายังไม่สามารถตรวจสอบได้ อีกทั้งความแม่นยำและความถูกต้องของผลการตรวจตลอดจนคำแนะนำในการแก้ไขนั้นมีความถูกต้องมากน้อยแค่ไหน แนะนำว่าควรทำ Proof Of Concept (POC) ก่อนการจัดซื้อเทคโนโลยีดังกล่าว
2.2 Web Application Firewall (WAF)
ขณะที่ Firewall ธรรมดาไม่สามารถป้องกันการโจมตีผ่านทาง http protocol (TCP Port 80) หรือ https protocol (TCP Port 443) ได้ ดังนั้น เทคโนโลยี WAF ซึ่งถูกออกแบบมาป้องกันการโจมตี Web Application และ Web Server โดยเฉพาะ มีหลักการทำงานเหมือน “Reverse Proxy” คือ ถูกวางดักอยู่หน้า Web Server ก่อนที่จะเข้าถึง Web Server ต้องผ่าน WAF เสียก่อนเพื่อ “ดักจับ” การร้องขอ http Request ที่ไม่พึงประสงค์ หรือ ดักการโจมตีทั้ง 10 แบบของ OWASP
การติดตั้ง WAF เรียกว่า “ผ่อนหนักให้เป็นเบา” สำหรับองค์กรที่โปรแกรมเมอร์เขียนโปรแกรม Web Application อย่างไม่ปลอดภัยและไม่มีเวลาหรือความรู้มากพอในการแก้ไขโปรแกรมให้ปลอดภัย การใช้ WAF นั้นไม่สามารถแก้ปัญหาได้ทุกอย่าง แต่สามารถช่วยในการทำการป้องกันล่วงหน้า (Proactive Threat Defense) และป้องกันในขณะที่แฮกเกอร์กำลังโจมตีอยู่ (Real-Time Threat Defense) ได้ในระดับหนึ่ง WAF สามารถช่วยเรื่องการวิเคราะห์และหาที่มาของการโจมตีได้เช่นกัน ดังนั้น การใช้ WAF จึงเป็นทางเลือกที่น่าสนใจแต่ควรทำ Proof Of Concept (POC) ก่อน
2.3 Web Application Vulnerabilities Scanner
เป็นเครื่องมือช่วยในการตรวจสอบความปลอดภัยระบบ Web Application ของ IT Auditor เพื่อตรวจสอบหาช่องโหว่ที่เกิดขึ้น โดยหลักการทำงานแตกต่างจาก SCA หรือ SCR กล่าวคือ จะใช้วิธี “SCAN” จากภายนอกเหมือนกับการใช้ Vulnerability Scanner เช่น Nessus แต่จะแตกต่างกันที่การ SCAN จะ SCAN เฉพาะ Port 80 และ 443 เท่านั้น มุ่งเจาะไปที่จุดอ่อนของ Web Server และ Web Application เทคโนโลยีนี้ไม่ใช่เทคโนโลยีใหม่ เพราะมีการใช้งานมาหลายปีแล้ว แต่ปัญหาอยู่ที่ความถูกต้องแม่นยำของตัว Scanner ยังไม่ 100% ดังนั้น จึงต้องการใช้ผู้เชี่ยวชาญด้านการเจาะระบบหรือ Penetration Tester มาช่วยในการวิเคราะห์ผลลัพธ์จาก Web Application Vulnerability Scanner อีกทีหนึ่ง การใช้งาน Scanner นั้นเหมาะสำหรับการตรวจสอบในเบื้องต้นและตรวจสอบระบบเป็นระยะๆ เพื่อค้นหาจุดอ่อนหรือช่องโหว่แต่เนิ่นๆ และการใช้ Scanner ดังกล่าว ไม่สามารถทดแทนการทำ Vulnerability Assessment และ Penetration Testing ได้ องค์กรยังคงต้องใช้บริการจากผู้ตรวจสอบภายนอกหรือ “IT External Auditor” ในการประเมินความเสี่ยงในทุกปีอยู่เช่นเดิม
3. IT Security Outsourcing และ SIEM Solution
จากกระแส GRC ทำให้ผลิตภัณฑ์ SEM (Security Event Management) และ SIEM (Security Information and Event Management) ได้รับความสนใจจากผู้เข้าร่วมงาน RSA Conference 2008 มากพอสมควร และ ในปัจจุบันกระแส “IT Outsource” ค่อนข้างมาแรง แต่เมื่อพูดถึง “IT Security Outsource” นั้น ยังค่อนข้างใหม่สำหรับผู้บริหารระบบสารสนเทศหลายคน ในมุมมองของการ “Outsource” ระบบความปลอดภัยข้อมูลให้กับหน่วยงานภายนอกนั้นหลายคนยังไม่ค่อยแน่ใจนักกับการให้บริการดังกล่าว ดังนั้น การกำหนด Service Level Agreement (SLA) ในสัญญาว่าจ้าง ควรกำหนดให้ชัดเจนก่อนการว่าจ้าง มิฉะนั้นจะเกิดปัญหาขึ้นได้ จากข้อมูลงานวิจัย พบว่าการจ้าง Managed Security Service Provider (MSSP) มาดูแลระบบความปลอดภัยข้อมูลนั้นมีความคุ้มค่าในการลงทุนมากกว่าการที่องค์กรจะลงทุนทำเอง โดยเฉพาะองค์กรขนาดเล็กและขนาดกลาง แม้กระทั่งองค์กรขนาดใหญ่ที่มีบุคลากรดูแลระบบความปลอดภัย ก็ยังขาดผู้เชี่ยวชาญด้านระบบความปลอดภัยเชิงลึกในการวิเคราะห์ข้อมูลการโจมตีจากระบบ Security Event Management (SEM) หรือจากระบบ Security Information and Event Management (SIEM)
เทคโนโลยีทั้ง SEM และ SIEM นั้นยังต้องการการ “Customize” และ “Optimize” ให้เข้ากับความต้องการขององค์กร และ ต้อง “Customize” ให้ผ่านพรบ. หากองค์กรทำเองโดยไม่จ้าง MSSP ก็สามารถทำได้แต่ต้นทุนในระยะยาวจะสูงกว่า และจะเกิดปัญหาตามมาจากการใช้งานระบบดังกล่าวได้อย่างไม่คุ้มค่า เพราะการปรับแต่งระบบ SEM หรือ SIEM ค่อนข้างทำได้ยาก และเป็นองค์ความรู้ที่อยู่กับผู้ผลิต เปรียบเสมือนการใช้ SAP/R3 ซึ่งต้องการ Knowledge จากผู้ผลิตค่อนข้างมากในการอบรมและการปรับแต่งให้เข้ากับสภาวะแวดล้อมขององค์กร ดังนั้น การจัดซื้อจัดจ้างระบบ SEM และ SIEM นั้น ควรจัดทำด้วยความระมัดระวัง และควรพิจารณาการ “Outsource” ไปยัง MSSP เป็นอีกทางเลือกหนึ่งที่น่าสนใจด้วย
4. “Google Like” Search Engine
การเก็บข้อมูลจำนวนมหาศาลที่องค์กร ในปัจจุบันได้แปลงรูปแบบการจัดเก็บข้อมูลในรูปแบบไฟล์ดิจิตอล (Digital Format) ทำให้ความต้องการในการเข้าถึงข้อมูลให้รวดเร็วนั้นจำเป็นต้องมีเทคโนโลยีในการค้นหาที่มีประสิทธิภาพสูง นอกจากบริษัท Google แล้วยังมีผู้ผลิตอีกหลายรายที่นำเสนอเทคโนโลยีในการค้นหาข้อมูลอย่างรวดเร็วจากปริมาณข้อมูลในระดับ Terabyte โดยสามารถค้นหาได้ภายในไม่กี่วินาที เทคโนโลยีค้นหาข้อมูลที่มีความเร็วสูงนั้นไม่สามารถหาได้จาก Open Source แต่ต้องอาศัยเทคโนโลยีชั้นสูงที่มีเฉพาะ “Commercial Product” ในการค้นหาที่มีประสิทธิภาพ เพื่อให้การทำงานขององค์กรสามารถตอบสนองความต้องการของลูกค้าได้อย่างทันท่วงที
5. Wireless LAN Intrusion Prevention System (IPS)
จากความนิยมในการใช้ Wi-Fi ที่เพิ่มมากขึ้นในทุกประเทศทั่วโลก ทำให้การโจมตี Wireless LAN ก็มีการพัฒนาด้วยเช่นกัน ในปัจจุบันการป้องกันระบบ Wireless LAN ด้วย WEP และ WPA Version 1 นั้น ไม่เพียงพอต่อการป้องกันแฮกเกอร์เสียแล้ว เพราเครื่องมือในการเจาะระบบ Wireless LAN ทั้งฮาร์ดแวร์และซอฟต์แวร์มีการพัฒนาอย่างรวดเร็ว ดังนั้น เทคโนโลยีในการป้องกันการโจมตี Wireless LAN จึงถูกพัฒนาขึ้นมาจาก Access Point ทั่วไป จนกลายเป็น Intrusion Prevention System (IPS) ในการใช้ป้องกันการโจมตี Wireless LAN ในแบบ Real-Time และเพิ่มความสามารถในการมองเห็นผู้บุกรุก (Visualization) โดยกำหนดตำแหน่งผู้บุกรุกได้ในบริเวณที่มีแผนที่ของอาคารอยู่ ทำให้องค์กรสามารถ “Response” กับผู้ไม่หวังดีได้อย่างรวดเร็วและแม่นยำ
6. Vulnerability Watching Service
เป็นบริการจากบริษัท Security Research ในการเตือนช่องโหว่ (Vulnerability) ใหม่ๆ ของระบบ ซึ่งถูกค้นพบภายในเวลาไม่เกิน 24 ชั่วโมง หรือ หลังจากที่ช่องโหว่ถูกค้นพบไม่กี่นาที และพิสูจน์ทราบแล้วว่ามีผลกระทบกับระบบของเรา ถ้าองค์กรได้ข้อมูลเรื่องช่องโหว่ใหม่ๆ ก่อนที่แฮกเกอร์จะค้นพบวิธีการเจาะระบบก็ถือได้ว่าเป็นการป้องกันล่วงหน้าที่ดี (Preventive Control) เพราะองค์กรจะได้รีบทำการป้องกันระบบได้แต่เนิ่นๆ หรือทำการเฝ้าระวังเหตุไม่พึงประสงค์ได้อย่างมีประสิทธิภาพ เปรียบเสมือนถ้าเรารู้ว่าพายุหรือแผ่นดินไหวจะเกิดขึ้นในอนาคตอันใกล้ เราก็สามารถจัดเตรียมตัวและเตรียมการป้องกันระบบของเราได้ ดังนั้น ความรู้เรื่องการค้นพบช่องโหว่ใหม่ๆ ก่อนใคร ก็สามารถกลายเป็นธุรกิจของบริษัทที่มีข้อมูลดังกล่าวอยู่ในมือได้อย่างไม่น่าเชื่อ
7. University and Government Agency Involvement
ภายในงาน RSA Conference 2008 ปีนี้พบว่ามีมหาวิทยาลัยหลายมหาวิทยาลัยและหน่วยงานภาครัฐมาออกบู๊ทกันจำนวนมาก จากการสำรวจข้อมูลพบว่า มหาวิทยาลัยส่วนใหญ่ทั้งในทวีปยุโรปและทวีปอเมริกาเหนือล้วนนำเสนอหลักสูตรทั้งปริญญาตรี และปริญญาโท รวมทั้งหลักสูตรระยะสั้นเกี่ยวกับความปลอดภัยข้อมูลคอมพิวเตอร์ (Information Security) ซึ่งสอดคล้องกับกระแสการขาดแคลนผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลคอมพิวเตอร์ ทั่วโลก และหน่วยงานรัฐบาลของสหรัฐไม่ว่าจะเป็น NSA (National Security Agency), DHS (Department of Homeland Security) และ DoD (Department of Defense) ก็เข้าร่วมในการให้ความรู้แก่ประชาชน และนำเสนอ “Best Practice” ต่างๆ ที่น่าสนใจในงานด้วย จะเห็นว่าภาครัฐของสหรัฐฯ ค่อนข้าง “ACTIVE” และให้ความสำคัญในเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์อยู่มากพอสมควร
8.Identity Management (IdM) และ Public Key Infrastructure (PKI)
เทคโนโลยี IdM นั้นไม่ใช่เรื่องใหม่ ในปี ค.ศ. 2007 ผู้ผลิตก็มีการนำเสนอเทคโนโลยี IdM กันหลากหลาย สำหรับปีนี้ก็ยังคงเป็นเรื่องใหญ่ที่ทุกองค์กรต้องคำนึงถึง โดยเฉพาะในองค์กรขนาดใหญ่ระดับ Enterprise ที่มีจำนวนผู้ใช้งานคอมพิวเตอร์หลักพันหรือหลักหมื่นคน จำเป็นต้องใช้เทคโนโลยีที่ค่อนข้าง “Automated” ในการบริหารจัดการเกี่ยวกับ Username และ Password ในการเข้าใช้ระบบต่างๆ ในองค์กร ซึ่งในปัจจุบันมีการนำระบบ PKI มาใช้เป็นโครงสร้างพื้นฐานในการพิสูจน์ตัวตนที่เรียกว่า “Certificate Based Authentication” ทำให้มีความปลอดภัยมากขึ้น โดยใช้งานร่วมับเทคโนโลยี Two-Factor Authentication เช่น การใช้ Token หรือ Smart Card เป็นต้น
9. Patch Management, Vulnerability Scanner, and Desktop Management
เป็นการหล่อหลอมรวมกันของ 3 เทคโนโลยี ได้แก่ เทคโนโลยี Vulnerability Scanner ที่ใช้ในการตรวจสอบช่อง โหว่ของ Operating System ที่เราใช้กันอยู่ หลังจากค้นพบช่องโหว่ก็ควรต้องมีการติดตั้ง Patch โดยระบบ Patch Management ซึ่งในปัจจุบันเทคโนโลยี Desktop Management ได้ทำการรวมเทคโนโลยี Patch Management และรวมเทคโนโลยี Vulnerability Scanner เข้าเป็นส่วนหนึ่งของ Desktop Management สำหรับทิศทางของ Desktop Management นั้นจะไปทางมาตรฐาน ISO/IEC 20000 และ ITIL “Best Practice” มากขึ้น
10. Data Privacy, Data Loss Prevention (DLP), and Digital Right Management (DRM)
ปัญหาใหญ่ในอนาคตของโลกอินเทอร์เน็ต ก็คือ การคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) และ การรักษาความลับข้อมูลขององค์กร ซึ่งในทุกวันนี้พบว่า ข้อมูลส่วนใหญ่ในระบบสารสนเทศถูกจัดเก็บอยู่ในรูปแบบของไฟล์ดิจิตอลที่มีโอกาสถูก “Copy” ออกนอกระบบเข้าสู่ USB Drive, Removable Hard disk หรือ MP3 Player (iPod & iPhone) หรืออาจถูกส่งเป็นไฟล์แนบ (Attached File) ไปกับ WebMail เช่น Hotmail หรือ Gmail เป็นต้น
ข้อมูลที่รั่วไหลออกนอกองค์กรโดยผู้บริหารไม่สามารถตรวจจับได้เป็นอันตรายต่อธุรกิจและภาพลักษณ์ขององค์กร ในกรณีที่ข้อมูลลับถูกเปิดเผยต่อบุคคลทั่วไป ดังนั้น เทคโนโลยีการป้องกันข้อมูลรั่วไหลหรือ Data Loss Prevention (DLP) ซึ่งเป็นเทคโนโลยีที่น่าจับตามองรวมถึงเทคโนโลยีที่สามารถควบคุมอุปกรณ์พกพา (Device Control) ต่างๆ อาจถูกนำมาใช้ในองค์กรที่ข้อมูลมีความสำคัญสูง และ จำเป็นต้องป้องกันด้วยเทคโนโลยีดังกล่าว สำหรับอุตสาหกรรมเพลงและภาพยนตร์ นิยมใช้เทคโนโลยี Digital Right Management หรือ DRM ในการป้องกันการ “Copy” อย่างผิดกฎหมายลิขสิทธิ์ ยกตัวอย่างเช่น (iTune ของ Apple) แต่ก็ยังไม่วายที่เหล่าผู้ไม่ประสงค์ดีหรือแฮกเกอร์ก็ยังหาวิธีการถอด DRM ออกจากเพลงและภาพยนตร์ต่างๆ สร้างปัญหาให้กับค่ายเพลงและบริษัทสร้างภาพยนตร์อยู่ในปัจจุบัน

เทคโนโลยีทั้งสิบประเภทที่ได้กล่าวมานั้นเป็นเทคโนโลยีทั้งเก่าและใหม่ ที่เราควรให้ความสนใจศึกษาเพื่อการนำมาใช้กับองค์กรในปัจจุบัน หรือ อนาคตอันใกล้ เพื่อเสริมสร้างความมั่นคงปลอดภัย ให้กับระบบสารสนเทศและธุรกิจขององค์กรซึ่งนับวันเรายิ่งต้องพึ่งพาอาศัยเทคโนโลยีและอินเทอร์เน็ตในการทำงานและประกอบธุรกรรมต่างๆ อย่างหลีกเลี่ยงไม่ได้

จาก : หนังสือ eEnterprise Thailand
ประจำเดือน กรกฎาคม 2551
Update Information : 26 กรกฎาคม 2551