by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
ปัญหาของระบบความปลอดภัยข้อมูลคอมพิวเตอร์ในทุกวันนี้ส่วนใหญ่เกิดจาก “ความเข้าใจผิด” หรือ “Myth” ในเรื่องการบริหารจัดการเทคโนโลยีความปลอดภัยข้อมูลคอมพิวเตอร์ที่เรานำมาใช้ ยกตัวอย่าง 3 ปัญหาหลักที่ผู้ดูแลระบบกำลังเผชิญอยู่ในเวลานี้ ได้แก่ 1. ปัญหาไวรัสคอมพิวเตอร์ 2. ปัญหาสแปมเมล์ และ 3. ปัญหาการถูกบุกรุกจากแฮกเกอร์

ความเข้าใจผิด ก็คือ ผู้บริหารองค์กรมักคิดว่าการจัดซื้อจัดจ้างโปรแกรมกำจัดไวรัสคอมพิวเตอร์ (Anti-Virus Software) หรือ การจัดซื้อไฟร์วอลล์ (Firewall) และระบบตรวจจับผู้บุกรุก (IDS: Intrusion Detection System) เหล่านั้นก็น่าจะเพียงพอในการป้องกันระบบขององค์กรให้ปลอดภัยจากปัญหาดังกล่าว
หลังจากการติดตั้งระบบรักษาความปลอดภัยต่างๆ เหล่านั้น ไม่ว่าจะเป็นโปรแกรมตรวจจับไวรัส ระบบไฟร์วอลล์ หรือระบบตรวจจับผู้บุกรุก ได้ระยะหนึ่งพบว่าปัญหาทั้ง 3 ยังคงอยู่และดูเหมือนว่าระบบป้องกันที่เราได้ลงทุนลงไปนั้นกลับไม่เกิดผลดังที่ได้ตั้งใจไว้ หรือ ผลที่ได้ไม่คุ้มค่ากับค่าเงินที่ลงทุนไป (Return on Investment)
จากการวิเคราะห์ เราพบว่าต้นเหตุของปัญหาที่ยังคงอยู่นั้นเกิดจาก ความเข้าใจผิดที่เราคิดว่า การนำเทคโนโลยีการป้องกันระบบความปลอดภัยข้อมูลคอมพิวเตอร์มาใช้น่าจะเพียงพอกับการป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ ซึ่งแท้จริงเแล้วเทคโนโลยีหรือเครื่องมือ (Technology/Tool) เป็นเพียงหนึ่งในสามองค์ประกอบสำคัญที่จะทำให้การแก้ปัญหาดังกล่าวลุล่วงอย่างมีประสิทธิภาพ องค์ประกอบสำคัญที่ขาดหายไปอีก 2 องค์ประกอบคือ มุมมองด้าน “คน” (People) และ “นโยบายความปลอดภัย และ กระบวนการบริหารจัดการที่ดี” (Policy/Process)
องค์ประกอบทั้ง 3 องค์ประกอบ ได้แก่ “คน” “เทคโนโลยี” และ “นโยบายความปลอดภัย และ กระบวนการบริหารจัดการที่ดี” นั้นมีความจำเป็นต้องสอดคล้องซึ่งกันและกัน ซึ่งจะขาดองค์ประกอบใดองค์ประกอบหนึ่งไม่ได้ เช่น การมีเทคโนโลยีที่ดี (และค่อนข้างแพง) เพียงอย่างเดียวยังไม่ใช่หนทางในการแก้ปัญหาที่ถูกต้อง เพราะ ยังขาดมุมมองอีก 2 ด้าน ซึ่งเรามักจะมองข้ามและไม่ค่อยจะให้ความสำคัญเท่าใดนักในโลกของความเป็นจริง ยกตัวอย่าง เช่น งบประมาณในการจัดซื้อจัดจ้างอุปกรณ์รักษาความปลอดภัยข้อมูลคอมพิวเตอร์ส่วนใหญ่เน้นไปทางมูลค่าของฮาร์ดแวร์และซอฟท์แวร์ แต่ไม่ค่อยเน้นไปทางงบประมาณด้านการฝึกอบรม (Security Awareness Training) หรืองบประมาณด้านนโยบายความปลอดภัย และ กระบวนการบริหารจัดการ (Security Policy and Process) หรือ ถ้ามี ก็เป็นงบประมาณที่น้อยมากเสียจนแทบจะไม่สามารถฝึกอบรมหรือวางแผนนโยบายได้อย่างมีประสิทธิภาพ หากขาดทั้งสององค์ประกอบที่สำคัญดังกล่าว อาจทำให้เกิดปัญหาไวรัสคอมพิวเตอร์ ปัญหาสปายแวร์ ปัญหาระบบถูกโจมตีและถูกดักจับข้อมูลจากผู้บุกรุก ผู้ประสงค์ร้าย หรือแฮกเกอร์ ซึ่งยังคงเกิดขึ้นอยู่ทุกวัน และ สร้างความปวดหัวให้กับผู้ดูแลระบบตลอดจนผู้ใช้งานคอมพิวเตอร์ จนในบางครั้งระบบเกิดปัญหาด้าน “Availability” จนไม่สามารถให้บริการต่อไปได้ ร้อนถึงผู้บริหารระดับสูงต้องเข้ามาจัดการ และ สิ้นเปลืองงบประมาณหมดไปกับการแก้ปัญหาแบบครั้งต่อครั้ง (Per Incident Basis) หรือ แบบฉุกเฉิน ซึ่งค่าใช้จ่ายในการแก้ปัญหาแบบเร่งด่วนย่อมสูงกว่าปกติ ทำให้องค์กรต้องสิ้นเปลืองโดยไม่จำเป็น

การนำ “เทคโนโลยี” มาใช้เป็นสิ่งจำเป็นแต่ “เทคโนโลยี” ไม่ใช่คำตอบสุดท้าย ในปัจจุบันมุมมองด้านเทคโนโลยีได้เปลี่ยนไปจากที่เคยมอง “เทคโนโลยี” เพียงมุมเดียว เป็นมุมมองทางด้านการนำเทคโนโลยีมาใช้อย่างมีประสิทธิภาพและมีประสิทธิผลสอดคล้องกับวัตถุประสงค์ขององค์กร (Corporate Business Objectives) หรือ ที่เรารู้จักกันในเรื่อง “Corporate IT Governance”
อย่างไรก็ตาม เทคโนโลยีใหม่ๆ นั้นอาจนำมาซึ่งความเสี่ยงด้วย เพราะ “เทคโนโลยี” มักจะไปเร็วกว่า “นโยบาย” ยกตัวอย่างเช่นการใช้งาน “Wireless LAN” ทำให้ทุกคนสะดวกสบายในการต่อเชื่อมกับระบบภายในขององค์กรและระบบอินเทอร์เน็ต แต่ ปัญหาความปลอดภัยของ “Wireless LAN” มักจะไม่ค่อยถูกนำมากล่าวถึง หรือ จะมีคนที่รู้จริงเรื่อง “Wireless Security” ก็หายากพอสมควร หลายองค์กรที่นำ “Wireless LAN” มาใช้กลับก่อให้เกิดปัญหาการถูกเจาะระบบโดยผู้บุกรุกผู้ไม่หวังดีหรือแฮกเกอร์ ได้อย่างง่ายดายผ่านทาง Wireless Access Point ที่ติดตั้งอย่างไม่ระมัดระวัง ดังนั้น “นโยบาย” ในการใช้งาน “Wireless LAN” ให้ปลอดภัยจึงเป็นเรื่องสำคัญเช่นกัน (ศึกษารายละเอียดเพิ่มเติมที่ www.acisonline.net

มุมมองด้าน “คน” นั้นเป็นเรื่องสำคัญที่สุดของมุมมองทั้ง 3 ประการ กล่าวคือหาก “คน” ไม่เข้าใจ หรือ ไม่มีประสิทธิภาพแล้ว โอกาสที่เราต้องการให้ระบบมีความปลอดภัยในระดับที่เราต้องการนั้นคงเกิดขึ้นได้ยาก ผู้ใช้คอมพิวเตอร์ที่ไม่ได้รับการฝึกอบรม Security Awareness Training อาจก่อให้เกิดปัญหาด้านความปลอดภัยได้โดยการรู้เท่าไม่ถึงการณ์ เนื่องจากขาดความรู้ ความเข้าใจดังกล่าว ผู้ใช้คอมพิวเตอร์ควรได้รับการฝึกอบรม Security Awareness Training ซึ่งจะก่อให้เกิดความตระหนักและความเข้าใจการหลอกลวงต่างๆ ในอินเทอร์เน็ตมากขึ้น บุคลากรไอทีที่มีความรู้จริงด้านระบบความปลอดภัยเป็นบุคลากรที่หลายๆ องค์กรต้องการตัวไปร่วมงานด้วย ความสำคัญของ Professional Information Security Certification อาทิ CISSP (Certified Information Systems Security Professional) หรือ CISA (Certified Information Systems Auditor) ได้กลายเป็นมาตรฐานที่คนไอทีที่ทำงานด้านนี้มีความจำเป็นต้องพิสูจน์ตนเอง ขณะเดียวกันองค์กรชั้นนำต่างๆ ก็ได้นำ ” Professional Information Security Certification” เหล่านี้มาเป็นมาตรฐานในการรับพนักงานไอทีเข้าทำงาน และ เป็นมาตรฐานสำหรับบริษัทที่ปรึกษา (IT security consulting) หรือ บริษัทที่รับตรวจสอบระบบไอที (IT Security Auditing) ที่องค์กรต้องการให้เข้ามาเป็น “IT Security Outsourcing” หรือ “IT External Auditor” ให้แก่องค์กร เป็นต้น

สำหรับมุมมองด้าน นโยบายความปลอดภัย และ กระบวนการบริหารจัดการที่ดี” (Policy/Process) ก็เป็นมุมมองอีกมุมมองหนึ่งที่สำคัญพอๆ กับสองมุมมองที่กล่าวมาแล้วข้างต้น ความเสี่ยงเกี่ยวกับการบริหารจัดการที่ไม่มีประสิทธิภาพก่อให้เกิดปัญหาตามมาในหลายๆ ประการ ตัวอย่างเช่น บางองค์กรไม่มีนโยบายด้านการรักษาความปลอดภัยสารสนเทศ ทำให้ผู้ใช้คอมพิวเตอร์ตลอดจนผู้ดูแลระบบเครือข่ายในองค์กรไม่มีมาตรฐาน (IT Security Standard) แนวทาง (IT security Guideline) ในการปฏิบัติงานอย่างถูกต้อง การประเมินความเสี่ยง (Risk Assessment) เป็นเรื่องสำคัญที่ทุกองค์กรควรทำอย่างน้อยหนึ่งครั้งในหนึ่งปี ก่อนที่จะนำผลลัพธ์มาพัฒนานโยบายด้านการรักษาความปลอดภัยขององค์กรต่อไป

การเฝ้าระวังความปลอดภัยตลอดยี่สิบสี่ชั่วโมง (Real Time Monitoring/Vulnerability Management/Patch Management) ก็เป็นอีกเรื่องที่เป็นมุมมองด้าน กระบวนการบริหารจัดการที่ดี โดยระบบ “Centralized Log Management” และระบบ IDS/IPS ที่มีประสิทธิภาพ การเฝ้าระวังสามารถ “Outsource” ให้แก่หน่วยงานที่ให้บริการ Managed Security Service Provider (MSSP) ในการจัดการบริหารระบบความปลอดภัยให้กับองค์กรของเราโดยตกลงกันด้วย SLA (Service Level Agreement) การเตรียมการกู้ระบบเพื่อแก้ปัญหา และทำให้ระบบยังคงสามารถทำงานต่อไปโดยไม่กระทบกับธุรกิจ (Business Continuity Planning and Disaster Recovery Planning) ตลอดจนเรื่องการรับมือกับสถานการณ์เฉพาะหน้าที่อาจเกิดขึ้นรวมถึงการค้นหาความจริงว่าใครเป็นผู้บุกรุกระบบของเราด้วย (Incident Response and Digital Forensics)
กล่าวโดยสรุป จะเห็นว่าทั้ง 3 องค์ประกอบหลัก ได้แก่ “คน” “เทคโนโลยี” และ “นโยบายความปลอดภัย และ กระบวนการบริหารจัดการที่ดี” เป็นเรื่องที่สอดคล้องกัน และ จำเป็นต้องให้ความสำคัญร่วมกันอย่างสมดุล เพื่อก่อให้เกิดความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กรได้อย่างมีประสิทธิภาพและประสิทธิผลในที่สุด

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนตุลาคม 2547
Update Information : 27 กันยายน 2547