by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
จาก ISMP ขั้นตอนที่ 4 “Defense In-Depth/Best Practices Implementation” ในส่วนของ “Best Practices” นั้นเป็นส่วนหนึ่งของหลักการ “IT Governance Implementation” กล่าวคือ “Best Practices” นั้น หมายถึง การนำเอาสูตรสำเร็จ หรือ ตัวอย่างการ Implement ที่ดีมาจัดการกับระบบของเรา เช่น ถ้าเราใช้ Microsoft IIS 5.0 เป็น Web Server อยู่ เราก็ควรนำ “IIS 5.0 Best Practices” มาใช้เป็นหลักการในการติดตั้งและตรวจสอบ Web Server ของเรา ซึ่ง “Best Practices” จะประกอบไปด้วยรายละเอียดทางด้านเทคนิคของ Microsoft IIS 5.0 ที่เราควรนำมาปฏิบัติ ตั้งแต่การติดตั้งไปจนถึงการใช้งานรายวันว่าเราควรพิจารณาปิดช่องโหว่ในส่วนใดบ้าง เช่น การจัดการกับค่าโดยกำหนด (Default) ต่างๆ และ การลบไฟล์ตัวอย่าง (Examples Files) ที่ไม่จำเป็นต้องใช้งาน เป็นต้น

หลังจากที่เราได้ทำตามขั้นตอนที่ 4 แล้ว ในขั้นตอนที่ 5 นั้น กล่าวถึง การฝึกอบรมความรู้ความเข้าใจด้านการรักษาความปลอดภัยข้อมูลให้กับ ผู้บริหารตลอดจนพนักงานให้มีความเข้าใจและมีความตระหนักให้ระวังภัยจากการใช้งานคอมพิวเตอร์โดยเฉพาะอินเทอร์เน็ตโดยไม่ระมัดระวังเพียงพอ ซึ่งอาจก่อให้เกิดความเสียหายกับองค์กรได้โดยไม่รู้ตัว
ขั้นตอนนี้เป็นขั้นตอนที่หลายๆคนมองข้าม และมองว่าควรจะมีการฝึกอบรมเฉพาะฝ่าย IT และฝ่าย Security แต่ในความเป็นจริงแล้ว ผู้บริหารระดับสูง และ ระดับกลาง ตลอดจนพนักงานที่ใช้งานคอมพิวเตอร์ในองค์กร ก็มีความจำเป็นที่จะต้องถูกฝึกอบรม “Security Awareness Training” ด้วยเช่นกัน เพราะการแก้ปัญหาด้านความปลอดภัยเครือข่าย โดยเฉพาะปัญหา “Virus Computer” ซึ่งนับวันจะทวีความรุนแรงมากขึ้นเรื่อยๆ เช่น อาจมีพนักงานบางคนหมุนโทรศัพท์โดยใช้ Local Modem ที่อยู่ในเครื่อง Notebook ต่อเข้าอินเตอร์เน็ต ขณะที่ตนเองใช้ระบบ LAN ของบริษัทอยู่ ทำให้ Virus สามารถแพร่เข้าสู่ระบบ Internal LAN ของบริษัทได้อย่างง่ายดาย หรือ ผู้บริหารอาจใช้ Notebook ที่บ้านและติด Virus มาจากการเล่นอินเตอร์เน็ต จากนั้นก็นำ Notebook ดังกล่าวมาใช้ในระบบ Internal LAN ขององค์กรก็เท่ากับว่า ผู้บริหารท่านนั้นนำ Virus มาแพร่ภายในองค์กรโดยไม่รู้ตัว เป็นต้น
ดังนั้น วิธีการที่จะทำให้ระบบมีความปลอดภัยจาก Virus ดังกล่าว นอกจากการติดตั้งโปรแกรมประเภท Anti-virus แล้วก็คือ การฝึกอบรมให้ผู้บริหารและพนักงานที่ใช้คอมพิวเตอร์ในการทำงานเป็นประจำทุกวันรู้เท่าทันถึงภัยจากการใช้งานอินเตอร์เน็ตและเครือข่ายโดยไม่ระมัดระวัง วิธีการก็คือ การฝึกอบรมต้องมีการแสดงกรณีตัวอย่าง หรือ Case Study ให้ผู้เข้ารับการอบรมเห็นว่า Hacker และ Virus มีวิธีการในการโจมตีเราได้อย่างไร เมื่อทุกคนได้เห็นตัวอย่างแล้วก็จะเกิดความตระหนักได้ด้วยตนเองว่า จากนี้ต้องใช้งานเครือข่ายและอินเทอร์เน็ตด้วยความระมัดระวังมากขึ้นโดยไม่ต้องมีฝ่าย IT คอยบังคับหรือคอยบอกโดยไม่เข้าใจว่าทำไมต้องทำตามคำแนะนำของฝ่าย IT เช่น เมื่อฝ่าย IT แนะนำให้ใช้ Personal Firewall ส่วนใหญ่แล้วผู้ใช้คอมพิวเตอร์ทั่วไปก็มักจะรำคาญหรือไม่เข้าใจประโยชน์จากการติดตั้ง Personal Firewall ในเครื่องของตนเอง บางคนขอให้ฝ่าย IT ช่วยเอาโปรแกรม Personal Firewall ออกจากเครื่องก็มี

จะเห็นว่า “Security Awareness Training” เป็นเรื่องสำคัญที่ถูกมองข้ามและถูกเข้าใจผิดว่าเป็นเรื่องที่ทำเฉพาะฝ่าย IT เท่านั้น แต่ในความเป็นจริงต้องมีการฝึกอบรมเป็นประจำทุกปี และควรฝึกอบรมให้ครบ 6 กลุ่มดังนี้
กลุ่มที่ 1 ผู้บริหารระดับสูง (Top Management)
กลุ่มที่ 2 ผู้บริหารระดับกลาง (Middle Management)
การฝึกอบรม “Security Awareness Training” ให้กับผู้บริหารระดับสูงนั้นควรจะเป็นเรื่องความเสี่ยงที่มีอยู่ในอินเทอร์เน็ตทุกวันนี้ (Information Security Risk), โอกาสที่จะเกิดความเสียหายขึ้นจากการจู่โจมของ Hacker หรือ Virus Computer, ความจำเป็นที่ระบบต้องมีการควบคุมด้วย “Control” เช่น การติดตั้ง Enterprise Firewall และ Intrusion Detection System ตลอดจนการติดตั้ง Personal Firewall และ Anti-Virus ในทุก workstation การฝึกอบรมควรใช้ระยะเวลาสั้นๆ ไม่เกิน 3 ชั่วโมงและไม่ควรใช้ศัพท์เทคนิคมากเกินไป
ผลที่ได้จากการฝึกอบรมผู้บริหารจะทำให้ผู้บริหารมีความเข้าใจเรื่อง Information Security มากขึ้น และมีผลอย่างมากกับองค์กร เนื่องจากผู้บริหารจะให้ความสนับสนุนฝ่าย IT มากยิ่งขึ้น หลังจากที่ได้ทำความเข้าใจกับปัญหาทางด้านความปลอดภัยคอมพิวเตอร์หลังจากการฝึกอบรมแล้ว
กลุ่มที่ 3 กลุ่มผู้ดูแลระบบ (System Administrators)
กลุ่มที่ 4 กลุ่มผู้ดูแลความปลอดภัยคอมพิวเตอร์โดยตรง (Security Administrators)
กลุ่มที่ 5 กลุ่มผู้ตรวจสอบระบบสารสนเทศ (IT Auditors)
การฝึกอบรมทั้ง 3 กลุ่มนี้ควรเน้นเนื้อหาทางด้านเทคนิคเพิ่มขึ้นจากการฝึกอบรมผู้บริหาร และควรมีกรณีศึกษา (Security Incident case study) ของระบบต่างๆ และ แสดงให้เห็นถึงวิธีการโจมตีของ Hacker และ Virus ตลอดจน วิธีการป้องกันที่ถูกต้องและมีประสิทธิภาพ โดยอาจมีรายละเอียดและระยะเวลาในแต่ละกลุ่มแตกต่างกัน ตั้งแต่ 6 ชั่วโมง จนถึง 30 ชั่วโมง ในกรณีที่ต้องการให้มีความเข้าใจมากขึ้น ควรมี “Hand-on” ให้ผู้เข้าอบรมได้ใช้คอมพิวเตอร์ฝึกปฎิบัติในห้องเรียนด้วย (ซึ่งการอบรมในกลุ่มที่ 1 และ 2 ไม่จำเป็นต้องให้ผู้เข้าอบรมใช้คอมพิวเตอร์ก็ได้)
กลุ่มที่ 6 กลุ่มผู้ใช้งานคอมพิวเตอร์ทั่วไป (Users)
กลุ่มนี้เป็นกลุ่มที่มีความเสี่ยงสูงที่จะปล่อย Virus เข้าสู่ระบบโดยไม่รู้ตัว พอๆ กับกลุ่มที่ 1 และ 2 เนื่องจากไม่มีความรู้พื้นฐานทางเทคนิคเพียงพอ ดังนั้น การฝึกอบรมต้องแสดงให้เห็นถึงการใช้งานคอมพิวเตอร์รายวันที่ผู้ใช้ต้องใช้คอมพิวเตอร์ในการทำงานของตนเองเป็นประจำอยู่แล้ว เช่น การเข้าไปหาข้อมูลใน Web site และ การรับ-ส่ง e-Mail การฝึกอบรมควรจะแสดงให้เห็นถึงภัยต่าง ๆ จากการเข้า Web site ที่ไม่เหมาะสม หรือ การถูกโปรแกรม SpyWare ประเภท Key Logger มาฝังในเครื่องโดยผ่านทาง Attached file ที่มากับ e-Mail การใช้งานอินเทอร์เน็ตโดยไม่มี Personal Firewall ก็เป็นอีกปัญหาหนึ่งของผู้ใช้งานโดยทั่วไปที่ต้องเน้นในการฝึกอบรมเช่นกัน

หลังจากการฝึกอบรม “Security Awareness Training” และการฝึกอบรม “Technical Know-how Transfer Training” ในเชิงลึกด้านเทคนิคแล้ว จะทำให้ทั้ง 6 กลุ่มซึ่งก็คือพนักงานทุกคนในองค์กร มีความเข้าใจเรื่องภัยจากอินเทอร์เน็ตรวมทั้งวิธีการป้องกันตนเองและองค์กรให้พ้นภัยจากเหล่า Hacker และ Virus ได้ดียิ่งขึ้น ส่งผลให้ระบบมีความปลอดภัยและมีเสถียรภาพเพิ่มมากขึ้น ฝ่าย IT ก็ทำงานง่ายขึ้นด้วย เพราะฉะนั้นโปรแกรมนี้ควรถูกบรรจุเข้าไว้ใน IT Master Plan ขององค์กรและควรเตรียมงบประมาณไว้ให้เพียงพอสำหรับค่าใช้จ่ายด้านการฝึกอบรมในแต่ละปีด้วย เพื่อที่องค์กรของเราจะได้ลดปัญหาทางด้านความปลอดภัยคอมพิวเตอร์ลงไม่ให้มีผลกระทบรุนแรงอย่างเช่นในทุกวันนี้

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนมีนาคม 2547
Update Information : 24 กุมภาพันธ์ 2547