by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
แนวโน้มการเปลี่ยนแปลงของกระบวนการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศ ในวันนี้กำลังเป็นเรื่องสำคัญที่หลายองค์กรทั้งภาครัฐและเอกชนทั่วโลกมีความจำเป็นต้องปรับตัวให้เข้ากับยุคสงครามไซเบอร์ (Cyber Warfare) เพื่อป้องกันองค์กรจากภัยอินเทอร์เน็ต (Internet Threat) ที่นับวันจะยิ่งทวีความรุนแรงมากขึ้นในลักษณะที่เราเรียกว่า “Blend Threat” ซึ่งหมายถึงโปรแกรมจำพวก “MalWare” หรือ “Malicious Software” ที่เป็นทั้ง ไวรัส (Virus) สปายแวร์ (Spy ware) โทรจัน (Trojan Horse) เวิร์ม (Worm) และ หน่วยทำลายระบบ (Denial of Service Agent) ผสมผสานกันภายในโปรแกรมเพียงโปรแกรมเดียว ซึ่งอาจมาในรูปไฟล์นามสกุล .PIF, .HTA, .SCR, .ZIP หรือ แม้กระทั่งไฟล์นามสกุล .JPG ก็ยังอันตราย

คอมพิวเตอร์เพียงตัวเดียวเช่นเครื่องโน๊ตบุ๊ค ที่ติดไวรัส หรือ ถูกติดตั้งโปรแกรม MalWare แบบอัตโนมัติ โดยที่ผู้ใช้ไม่รู้ตัว อาจทำอันตรายแก่ระบบคอมพิวเตอร์และระบบเครือข่ายขององค์กรใหญ่ๆได้อย่างง่ายดายภายในไม่กี่นาที
ดังนั้นการป้องกันความปลอดภัยระบบสารสนเทศขององค์กรอย่างเป็นระบบและได้มาตรฐาน ซึ่งนับวันทุกองค์กรจะขาดระบบสารสนเทศเสียไม่ได้ จึงเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวดในปัจจุบัน และอนาคต

ทิศทางการเปลี่ยนแปลงของกระบวนการจัดการความปลอดภัยข้อมูลทั่วโลกนั้น แบ่งออกได้เป็น 3 ระยะ ได้แก่
ระยะที่ 1 IT Control Best Practices, Standards and Frameworks => ระยะที่ 2 IT Control Regulations => ระยะที่ 3 IT Control Laws and Legislations
ในระยะที่หนึ่ง IT Control Best Practices, Standards and Frameworks องค์กรจะคำนึงถึงมาตรฐานด้านความปลอดภัยคอมพิวเตอร์ที่สามารถนำมาอ้างอิงในการป้องกันรักษาความปลอดภัยให้กับระบบสารสนเทศขององค์กร ลักษณะของมาตรฐาน IT Control Standard ดังกล่าวเรียกได้ว่าเป็น “Best Practices” คือ สูตรสำเร็จที่ได้รับการยอมรับกันโดยทั่วไป เช่น มาตรฐาน ISO/IEC 17799 ของ BSI หรือ มาตรฐาน ITIL {(IT Infrastructure Library) ของ OGC (Office of Government Commerce) ประเทศอังกฤษ
สำหรับ IT Control Framework ที่สามารถนำมาอ้างอิงและประยุกต์การใช้งานร่วมกับมาตรฐานดังกล่าวได้แก่ CobiT (Control Objectives for Information and related Technology) Framework และ COSO Framework ซึ่งเป็นมาตรฐานที่ธนาคารพาณิชย์ และ บริษัทหลักทรัพย์ นิยมนำมาใช้อ้างอิง โดยเฉพาะผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) ที่ได้รับการรับรองมาตรฐาน เช่น CISA (Certified Information Systems Auditor) มักจะนำ CobiT Framework มาเป็น Framework ในการตรวจสอบระบบสารสนเทศ สำหรับ COSO Framework นั้นประกอบด้วยรายละเอียด 5 หัวข้อหลัก ได้แก่ Control Environment, Risk Assessment, Control Activities, Information and Communication และ Monitoring
ถามว่าองค์กรโดยทั่วไปควรอ้างอิงมาตรฐานใดดี เช่น จะนำ ISO/IEC17799 หรือ ITIL มาเป็น IT Control Standard ที่ต้องการให้องค์กร “Compliance” หรือ “ผ่าน” มาตรฐานดังกล่าว บางองค์กรถามว่าจะนำ CobiT Framework หรือ COSO ERM (Enterprise Risk Management) Framework มาใช้อ้างอิงดี คำตอบก็คือ ต้องผสมผสานข้อดีจาก Best Practices, Standards และ Frameworks ต่างๆ เข้าด้วยกัน หรือ เลือกนำมาใช้เพียงบางส่วน ยกตัวอย่างเช่นเรื่อง “Risk Assessment”นั้นเป็นเรื่องสำคัญที่มีอยู่ในทุก Standards และ Frameworks เป็นเรื่องที่หลีกเลี่ยงไม่ได้และจำเป็นต้องนำมาปฏิบัติ ส่วนขั้นตอนในการปฏิบัติ องค์กรสามารถประยุกต์ให้เข้ากับธุรกิจขององค์กรได้ เพราะระบบสารสนเทศของแต่ละองค์กรย่อมมีความแตกต่างกัน ซึ่งกับรูปแบบในการดำเนินธุรกิจขององค์กรนั้นๆ กล่าวโดยสรุป ในระยะที่หนึ่งนั้นองค์กรจะนำเป็น IT Control Standard and Framework มาปฏิบัติหรือไม่ ขึ้นอยู่กับวิสัยทัศน์ของผู้บริหารองค์กร
ในระยะที่สอง IT Control Regulations องค์กรจะถูกบังคับโดยหน่วยงานกลางที่มีหน้าที่ในการควบคุมองค์กรที่อยู่ในความรับผิดชอบ เช่น ธนาคารแห่งประเทศไทยควบคุมธนาคารพาณิชย์ หรือ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ควบคุม บริษัทหลักทรัพย์ เป็นต้น ยกตัวอย่างเช่น ประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ เรื่อง การควบคุมการปฏิบัติงานและการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัทหลักทรัพย์ที่บริษัทหลักทรัพย์ทุกที่ต้องปฏิบัติตามเพื่อให้เกิดความปลอดภัยของระบบสารสนเทศ ตามที่ กลต. ได้ประกาศเป็นต้น
ในระยะที่สาม IT Control Laws and Legislations ซึ่งเป็นระยะสุดท้ายนั้นเกิดขึ้นแล้วในประเทศสหรัฐอเมริกา และ ในประเทศไทย กล่าวคือ ในประเทศสหรัฐอเมริกาได้ทำการออกกฏหมายที่เกี่ยวข้องกับระบบสารสนเทศ ได้แก่ GLBA (Gramm-Leach-Bliley Act) , HIPAA (Health Insurance Portability and Accountability Act) และ ล่าสุด SOA (Sarbanes-Oxley Act) ซึ่งเป็นกฏหมายที่มีความเกี่ยวข้องกับ COSO Framework ซึ่งถูกนำมาใช้ในการควบคุมภายใน (Internal Control) สำหรับแนวโน้มของขั้นตอนที่สามในประเทศไทย อ้างอิงจากจาก กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law) ล่าสุดคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์มาเป็นแนวทางในการปฏิบัติให้แก่องค์กรโดยทั่วไป ข้อมูลเพิ่มเติมดูได้ที่ www.etcommission.go.th 
ข้อสังเกตจากระยะที่สองได้แก่ ธนาคารพาณิชย์ ตลอดจน บริษัทหลักทรัพย์ มีความจำเป็นต้องทำให้องค์กร “Compliance” หรือ “ผ่าน” มาตรฐานและกฏเกณฑ์ต่างๆ ที่ถูกประกาศโดยธนาคารแห่งประเทศไทย และ กลต. ซึ่งถือเป็น จุดเริ่มต้นที่ดีแก่ประเทศไทยในด้านการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศสำหรับองค์กรอื่นที่ไม่ได้อยู่ในการควบคุมของ ธนาคารแห่งประเทศไทย และ กลต. นั้นอาจไม่มีความจำเป็นต้องปฏิบัติตามโดยตรงแต่สามารถนำประกาศดังกล่าวไปประยุกต์ใช้ในองค์กรของตนโดยอ้อมเพื่อให้เกิดประโยชน์ได้เช่นกัน

จาก : หนังสือ eWeek Thailand
ประจำเดือน ปักษ์หลัง เดือนมกราคม 2548
Update Information : 27 มกราคม 2548