by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
จากประสบการณ์การทำงานด้านตรวจสอบระบบสารสนเทศ หรือ IT Audit และ จากการสัมภาษณ์ผู้ตรวจสอบระบบสารสนเทศ หรือ IT Auditor ทั้งหน่วยงานภาครัฐและเอกชนหลายแห่ง พบว่าการตรวจสอบระบบสารสนเทศในทุกวันนี้ ถือเป็นเรื่องสำคัญที่ทุกองค์กรต้องปฏิบัติ ทั้งการตรวจสอบภายใน (Internal Audit) โดยพนักงานตรวจสอบขององค์กรเองโดยเฉพาะ ตลอดจนการตรวจสอบจากภายนอก (External Audit) เช่น การตรวจสอบจากบริษัทแม่ในต่างประเทศ หรือ การตรวจสอบจากหน่วยงานที่มีหน้าที่ในการควบคุม เช่น กลต. มีหน้าที่ตรวจสอบบริษัทหลักทรัพย์ หรือ ธนาคารแห่งประเทศไทยมีหน้าที่ตรวจสอบธนาคารพาณิชย์ เป็นต้น

หลักการในการตรวจสอบระบบสารสนเทศที่ถูกต้องก็คือ ต้องมีการประเมินความเสี่ยง (Risk Assessment) ขององค์กรเสียก่อน ซึ่งมีขั้นตอนสำคัญที่ต้องปฏิบัติ เช่น การระบุปัจจัยที่มีผลทำให้เกิดความเสี่ยง และ การระบุความเสี่ยงที่มีโอกาสเกิดขึ้น (Risk Identification), การวิเคราะห์ความเสี่ยง (Risk Analysis) และการบริหารจัดการกับความเสี่ยง (Risk Management)

การตรวจสอบระบบสารสนเทศต้องพิจารณาเรื่องของ Control หรือ การควบคุม ว่าได้มีการจัดการอย่างถูกต้องหรือไม่ การตรวจสอบการควบคุมแบ่งออกเป็น 3 ประเภทใหญ่ๆ คือ
1. การควบคุมแบบป้องกันล่วงหน้า (Preventive Control)
2. การควบคุมแบบค้นหาประวัติเหตุการณ์ที่เกิดขึ้น (Detective Control)
3. การควบคุมแบบแก้ไขปัญหาจากเหตุการณ์ที่เกิดขึ้น (Corrective Control)
IT Auditor ควรจะพิจารณาการควบคุม (Control) ไปพร้อมๆกันทั้ง 3 มุมมอง ได้แก่
1. มุมมองทางด้านการบริหารจัดการ (Administrative Control)
2. มุมมองทางด้านเทคนิค (Technical Control)
3. มุมมองทางด้านกายภาพ (Physical Control)

IT Auditor ต้องมีความรู้ความเข้าใจในขั้นตอนกระบวนการตรวจสอบระบบสารสนเทศ (IT Audit Process) ตลอดจนมีความรู้ด้านเทคนิคเชิงลึก (IT Audit Technical Know-how) ในระบบที่ต้องเข้าไปตรวจสอบ เราสามารถแบ่งประเภทของงานตรวจสอบระบบสารสนเทศออกเป็น 7 ประเภทใหญ่ๆ ดังนี้

1. การตรวจสอบระบบปฏิบัติการ (NOS Audit) เช่น การตรวจสอบระบบ Server ที่ใช้ MS Windows เช่น Windows NT, Window 2000 Server ตลอดจน Workstation ที่ใช้ Windows XP เป็นต้น การตรวจสอบควรจะครอบคลุมถึงระบบปฏิบัติการอื่นด้วย เช่น การตรวจสอบระบบปฏิบัติการ Unix เช่น Sun Solaris, HP/UX, IBM AIX และ ระบบปฏิบัติการ Linux ที่ได้รับความนิยมเพิ่มขึ้นเรื่อยๆ
2. การตรวจสอบอุปกรณ์เครือข่าย (Network Devices Audit) เช่น การตรวจสอบ Router, การตรวจสอบ Switching และ การตรวจสอบ Remote Access Server ตลอดจน การตรวจสอบโครงสร้างของเครือข่าย (Network Infrastructure Audit) และ ประสิทธิภาพของเครือข่าย (Network Performance Audit) โดยใช้โปรแกรมตรวจสอบประเภท Packet Sniffer หรือ RMON Probe เป็นต้น
3. การตรวจสอบอุปกรณ์รักษาความปลอดภัย (Security Devices Audit) เช่น การตรวจสอบ Firewall, การตรวจสอบ Intrusion Detection System (IDS), การตรวจสอบ Intrusion Prevention System (IPS), การตรวจสอบโปรแกรม Enterprise Anti-Virus, การตรวจสอบ VPN Server เป็นต้น การตรวจสอบอุปกรณ์รักษาความปลอดภัยนั้นเป็นสิ่งที่มีความจำเป็นอย่างสูง เพราะถ้าอุปกรณ์รักษาความปลอดภัยมีปัญหาเสียเอง หรือโดน Hacker เจาะเข้ามา compromised ก็จะทำให้เกิดปัญหากับความปลอดภัยของระบบโดยรวม ผู้ตรวจสอบควรเป็นผู้ชำนาญงานด้านการใช้งาน Firewall หรือ IDS/IPS มาก่อนด้วยจะช่วยได้มาก
4. การตรวจสอบโปรแกรมฐานข้อมูล (RDBMS Audit) เช่น การตรวจสอบ Oracle, IBM DB2, Microsoft SQL Server, Informix, SYBASE หรือ MySQL RDBMS การตรวจสอบโปรแกรมฐานข้อมูลควรกระทำควบคู่ไปกับการตรวจสอบระบบปฏิบัติการที่โปรแกรมฐานข้อมูลทำงานอยู่ เช่น Oracle ทำงานบน Unix เป็นต้น เพื่อที่จะเจาะลึกลงไปในด้านความปลอดภัยของตัวโปรแกรมฐานข้อมูลเองว่ามีช่องโหว่หรือไม่ ผู้ตรวจสอบควรเป็นผู้เชี่ยวชาญการใช้งานโปรแกรมฐานข้อมูลนั้นๆมาก่อน เพราะการตรวจสอบต้องใช้ความรู้เชิงลึกทางด้าน RDBMS ด้วย
5. การตรวจสอบโปรแกรมประยุกต์และโปรแกรมที่ให้บริการในลักษณะ Server (Application Specific Audit) เช่น การตรวจสอบ Web Server IIS บน Microsoft Windows Platform และ การตรวจสอบ Web Server Apache บน Unix/Linux Platform ซึ่งทั้ง 2เป็นโปรแกรม Web Server ยอดนิยมอยู่ในขณะนี้ นอกจากการตรวจสอบ Web Server แล้ว IT Auditor ควรตรวจสอบ Mail Server, FTP Server, LDAP Server, RADIUS Server ตลอดจน DNS Server ซึ่งถือเป็นหัวใจหลักของระบบ หาก DNS Server มีปัญหาจะทำให้ระบบไม่สามารถอ้างอิง Hostname ได้ ซึ่งจะก่อให้เกิดปัญหาใหญ่กับระบบโดยรวม
6. การตรวจสอบกระบวนการบริหารจัดการควบคุมด้านสารสนเทศ (Administrative Control) จากข้อ 1 ถึง ข้อ 5 เป็นการตรวจสอบในมุมมองทางด้านเทคนิค (Technical Control) การตรวจสอบในมุมมองการบริหารจัดการนั้น ได้แก่ การตรวจสอบ Policy, Standard, Guideline และ Procedure ที่องค์กรมี อยู่ว่าครอบคลุม และ มีการปฏิบัติตามหรือไม่ ในขั้นตอนนี้รวมถึงการตรวจสอบว่าองค์กรมีการจัด ฝึกอบรมด้านการรักษาความปลอดภัย (Security Awareness Training) หรือไม่ ซึ่งตามปกติควรจะ มีเป็นประจำทุกปีการตรวจสอบการบริหารจัดการนั้นต้องพิจารณาจากโครงสร้างหน่วยงาน, การแบ่งแยกหน้าที่ต่างๆในหน่วยงาน, การจัดทำแผนสำรองฉุกเฉิน และแผนรับเหตุการณ์ (Business Continuity Planning , Disaster Recovery Planning and Incident Response Procedure) ตลอดจนการควบคุมการเปลี่ยนแปลงระบบงาน (Change Control Management)
7. การตรวจสอบด้านกายภาพ (Physical Control) ได้แก่ การตรวจสอบระบบควบคุมการเข้า-ออกศูนย์คอมพิวเตอร์, การตรวจสอบ Hardware ระบบ Backup/Restore และ ระบบไฟสำรอง เช่น มี UPS เพียงพอหรือไม่ การตรวจสอบอุปกรณ์เฝ้าระวัง เช่น กล้องวงจรปิด (CCTV) เป็นต้น

ปัญหาที่แท้จริงของการตรวจสอบระบบสารสนเทศในทุกวันนี้คือ การขาดบุคลากรที่มีความรู้และประสบการณ์ในการตรวจสอบด้านสารสนเทศโดยเฉพาะ หรือ บุคลากรที่มีอยู่ยังขาดการอบรมความรู้ใหม่ๆทางด้านเทคนิค เช่น ความรู้ด้าน Vulnerability Assessment และ Penetration Testing ตลอดจนยังขาดความรู้พื้นฐานทางด้านเครือข่าย เช่น ISO OSI Layer Model, TCP/IP Protocol Suite และ ความรู้การใช้งานระบบปฏิบัติการพื้นฐาน คือ Microsoft Windows และ Unix/Linux ตลอดจนความรู้พื้นฐานในการใช้งานอุปกรณ์เครือข่าย Router หรือ Switching ซึ่ง IT Auditor ควรมีความรู้พื้นฐานในระดับ CCNA (Cisco Certified Network Associate)
ความรู้ทางด้านความปลอดภัยข้อมูลก็เป็นเรื่องสำคัญเช่นกัน IT Auditor ควรเข้าใจ Concept ของ CIA TRIAD (Confidentiality, Integrity and Availability), การทำงานของ Firewall และ IDS ในบริเวณ Network Perimeter ขององค์กร ตลอดจนวิธีการบุกรุกของ Hacker และ การทำงานของ Virus
ดังนั้น IT Auditor นอกจากควรจะมี CISA Certification เพื่อแสดงถึงความรู้ในด้าน IT Audit Process แล้ว ก็ควรจะมีความรู้พื้นฐานทางด้านเทคนิคด้วย ทั้งด้านระบบเครือข่ายและระบบปฏิบัติการที่ตนเองต้องเข้าไปตรวจสอบ ทางแก้ปัญหาในเชิงบูรณาการก็คือ IT Auditor ต้องเข้ารับการฝึกอบรมทางด้านเทคนิคเพิ่มเติม หรือ หาความรู้เพิ่มด้วยตนเองจากการติดตามข่าวสารเทคโนโลยีด้านความปลอดภัยใหม่ๆอยู่ตลอดเวลา เพื่อให้ทันกับยุคที่การสื่อสารไร้พรมแดน และ ภัยอินเตอร์เน็ต ไม่ว่าจะเป็น Hacker และ Virus ที่นับวันจะทวีความรุนแรงมากขึ้น

จาก : หนังสือ eWeek Thailand
ปักษ์แรก เดือนเมษายน 2547
Update Information : 24 กุมภาพันธ์ 2547