ดอทคอม

6 TPA news

ดอทคอม

August 2016 ● No. 236

จากฉบบทแลวตอ

จบ

➲ Cyber Security Architectureส�าหรบ IT Security นนหลายคนอาจมองวาเปนการด�าเนน

งานภายใตเขตของงานดานเทคโนโลยสารสนเทศ และการสอสาร แตปจจบนมการขยายขอบเขตครอบคลมองคประกอบอนๆ ทเกยวของเนองจากปจจยภายนอกตางๆ ลวนแลวแตสงผลกระทบตอการจดการ Security แทบทงสน จงมการใชค�าวา Cyber Security แทนเมอจะกลาวถงการด�าเนนงานเรอง Security ในบรบทของ IT และเมอพดถงการบรหารจดการองคการ EA จะเขามามบทบาทส�าคญในการอธบายโครงสราง ส�าหรบ Cyber Security กเชนเดยวกน เนองจากตนตอของปญหา Security นน เกดจากการขาดแนวคด และแนวทางปฏบตทเหมาะสมตงแตเรมตน ดงนน องคการควรตองมการออกแบบระบบการรกษาความมนคงปลอดภยตงแตขนตอนการออกแบบโครงสรางองคการ ผลผลต และบรการตางๆ รวมถงโครงสรางดานทรพยากรเทคโนโลยสารสนเทศ และการสอสาร ทงในสวนของ Hardware และ Software

➲ The risk of service providersการ “Outsource” ทางดาน IT เพอใหผเชยวชาญเฉพาะทาง

IT Security Awarenessถงเวลาของ

มาดแล และใหค�าปรกษาแกองคการนน ไดรบความนยม และมการด�าเนนการอยางแพรหลาย ซงการ Outsource ดาน Cyber Security องคการมกจะวาจาง MSSP (Managed Security Service Provider) เขามาด�าเนนการเฝาระวงการโจมต ในรปแบบของ SOC (Security Operation Center) เพราะถาหากองคการด�าเนนการเองอาจไมคมคาในการลงทน รวมถงขาดแคลนบคลากรผเชยวชาญ เนองจากองคการสวนใหญไมไดมพนธกจหลกในงานดาน IT ประกอบกบเปนการบรหารความเสยงในลกษณะโอนถายความเสยงไปส Outsource แตปญหาทอาจเกดขนกคอ การท Outsource ไมปฏบตงานตามทตกลงกนไวในสญญา หรอตาม SLA (Services Level Agreement) ท�าใหอาจมชองโหวจากการด�าเนนงานของ Outsource ดงนนองคการควร

วชญศทธ เมาระพงษ

ทปรกษาโครงการสารสนเทศของหนวยงานภาครฐ

สงกดสถาบนวจยและใหคำาปรกษา

แหงมหาวทยาลยธรรมศาสตร

7TPA news

ดอทคอม

August 2016 ● No. 236

พจารณาเลอกใชบรการ Outsource อยางรดกม และมการบรหารความเสยงรวมกนอยางเหมาะสม

➲ Big data will lead to big problemsการน�าเทคโนโลย “Big Data” เขามาใชในการวเคราะหขอมล

จ�านวนมหาศาลทปรมาณขนอยางตอเนองขององคการ (โดยเฉพาะอยางยงถาองคการใช Social Network เปนเครองมอในการสรางความสมพนธทางดานการตลาด ลกคา คคา หรอการประสานการท�างานภายใน) ทงขอมลดานการตลาด เทคโนโลย กระบวนการปฏบตงาน การใหบรการ รวมถงขอมลทเกยวของกบการเฝาระวง และรกษาความมนคงปลอดภยมความจ�าเปนตอองคการเปนอยางมาก ซงปจจบนระบบบรหารจดการขอมลในรปแบบเดมๆ ไมสามารถรองรบได และมบางสวนเปนขอมลทองคการไมสามารถบรหารจดการ และควบคมได ดงนนองคการจงควรมเครองมอ กระบวนการบรหารจดการ และบคลากรผเชยวชาญท�าหนาทบรหารจดการกบขอมลขนาดใหญขององคการอยางเปนระบบ และรดกม เพราะขอมลบางอยางมนยส�าคญ จนอาจกลายเปนเปาหมายของผไมประสงคดอยางหลกเลยงไมได

➲ Generation C: Digital Lifestyle in Digital Economyในยค Generation C นน ผคนจะมความผกพนกบการเชอมตอ

internet แบบ Always Online ตลอดเวลา สงเกตไดจากพฤตกรรมการใช Smart Phone, Smart Mobile Device และ Social Network กลมผไมประสงคดจงหนมาโจมตไปทชองโหวของระบบปฏบตการ Mobile อาท Android, iOS มากขน และมงเปาหมายการโจมตไปยง Social Network ยอดนยมทง Facebook, Twitter, LINE, instagram ฯลฯ โดยผไมประสงคดจะเจาะเขาสขอมลสวนบคคล และโจมต ตอเนองเพอเชอมโยงถงเครอขายภายในขององคการในขนตอนตอไปโดยอาศยขอมลสวนบคคลเปนวตถดบ ดงนน องคการควรท�าความเขาใจกบพฤตกรรมของบคลากรในยค Generation C และตองสรางความเขาใจ และความตระหนกใหเหนถงความเสยง ผลกระทบทอาจเกดขน ผานการจดฝกอบรมในเรองทเกยวของกบ Information Se-curity Awareness และควรมการเตรยมความพรอมรบสถานการณการโจมต (Cyber Drill) เพอใหบคลากร และผบรหารในองคการมความเขาใจ และตระหนกถงภยจากการโจมตทางอเลกทรอนกสทอยใกลตว เพราะเมอการโจมตเกดขนจะไดไมตกเปนเหยอโดยรเทาไมถงการณ

➲ Cyber Security Centric and Cyber Resilience in Actionการบรหารความมนคงปลอดภยขององคการในอนาคตตอง

มรปแบบเปน “Cyber Resilience” ซงหมายถงระบบตองมความสามารถในการรองรบการโจมต และจะตองสามารถท�างานหรอใหบรการไดอยางตอเนอง ไมท�าใหเกดความเสยหายตอภารกจ และภาพลกษณขององคการ ภาพลกษณของผบรหาร ดงนนแนวคดของ In-formation Security Management ในรปแบบเดมๆ จงไมครอบคลมเพยงพอ จ�าเปนทตองน�าแนวคด Cyber Security Resilience Frame-work มาประยกตใช

➲ Increasing in Cyber Security Capabilities and Competency

ปญหาการขาดแคลนผเชยวชาญดาน Cyber Security ขององคการนน เกดขนทวโลก ทงในสหรฐอเมรกา ยโรป และประเทศในแถบเอเชย ซงประเทศชนน�าในเอเชยตะวนออกเฉยงใตอยางสงคโปร กขาดแคลนบคลากรในดานนเชนกน การขาดองคความร และประสบการณ ท�าใหหลายองคการไมสามารถทจะปองกนตวเองจากการโจมตทางอเลกทรอนกสได ดงปรากฏใหเหนเปนขาวอยางตอเนอง ซงแนวทางการแกปญหาขององคการสวนใหญนนคอ การ Outsource โดยเฉพาะการเฝาระวงตลอด 24 ชวโมง (24×7 Real-time Monitor) และการตอบสนองตอเหตการณอนไมพงประสงค (Incident Re-spond) โดยทมผเชยวชาญ การปดชองโหว กคนขอมล และการวางมาตรการเพอปองกนไมใหเหตการณดงกลาว เกดขนอกในอนาคต โดยทบคลากรขององคการจะท�าหนาทควบคม ประสานงาน และตรวจสอบการท�างานของ Outsource อยางเปนระบบ

➲ Integrated Risk-Based Approach Standards & Best Practices

การสรางความยงยนใหกบ Cyber Security ขององคการชนน�าจะอางองมาตรฐาน และแนวทางในการปฏบต (Standard and Best Practice) อาท NIST Cyber Security Framework, แนวทางปฏบตของ ISO27001:2013 ทเนนการบรหารความเสยงเปนพนฐานส�าคญ มาประยกตใชในการบรหารจดการดานความมนคงปลอดภยขององคการอยางเหมาะสม และสอดคลองกบวฒนธรรมในการท�างาน

8 TPA news

ดอทคอม

August 2016 ● No. 236

จากแนวทางของ Cyber Security ขางตนเปนสงทองคการควรตองค�านงถง ซงส�าหรบการบรหารจดการความมนคงปลอดภยเทคโนโลยสารสนเทศและการสอสารขององคการนน ถงแมวาจะมแนวทางทถกพฒนาอยางตอเนองซงสอดคลองกบสถานการณใหน�าไปประยกตใช รวมถงมเทคโนโลย และเครองมอจ�าเปน ตลอดจนผใหบรการทมทมงานผเชยวชาญทงใน และตางประเทศเปนทางเลอกในการบรหารจดการความเสยงขององคการ เพอรบมอกบภยจากการโจมตทางอเลกทรอนกสทไมสามารถคาดการณหรอแมกระทงการประเมนความเสยหายทจะเกดขนได ประกอบกบมการด�าเนนงานรวมกบ Outsource หรอผเชยวชาญ อาท การตดตามเฝาระวงสถานการณ การวางแผนเพอใหระบบ และสารสนเทศสามารถใหบรการไดอยางตอเนองถงแมจะถกโจมต หรอเกดสถานการณทไมพงประสงค การวางแผนเมอเผชญสถานการณในลกษณะของ Crisis Management

อยางไรกตามองคการยงคงตองมการเตรยมความพรอมในลกษณะของการปองกนอยอยางตอเนอง และสม�าเสมอ เชน การสอสารสรางความเขาใจใหกบบคลากร การสรางความตระหนกถงภยทอาจเกดขน การรวมกนจดท�า และทบทวน Risk Management ใหทนตอการเปลยนแปลงขององคการ และปจจยภายนอก บนพนฐานความเขาใจของบคลากรทเกยวของเพอใหเกด “IT Security Aware-ness” ขนในแนวคดของบคลากร เพราะแมวาจะมการวางนโยบายทรดกมเพยงใด หรอมระบบรกษาความมนคงปลอดภยทมประสทธภาพสงมทมงานผเชยวชาญมากแคไหน จดออนทเปนความเสยงส�าคญของทกองคการกคอ ความไมตระหนกถงภย การไมใหความส�าคญ การปลอยปละละเลย ความประมาทของบคลากร ฯลฯ เหลานเปนดชนชวดในเรองความปลอดภยทส�าคญยงกวาการมระบบ Security ททนสมย มราคาแพง

ดงนน องคการควรใหความส�าคญทบคลากรเปนหลก ควรมการก�าหนดมาตรการทเหมาะสม เพราะองคการอาจไมตองลงทนในเรอง Security มากนกโดยท�าเฉพาะในสวนทไมสามารถท�าเองได แตอาจจะไดระบบความมนคงปลอดภยเทคโนโลยสารสนเทศและการสอสารทมประสทธภาพในระดบสงทเหมาะสมกบวฒนธรรมขององคการกเปนได ทงนสอดคลองกบหลกการของ Gartner ในเรอง People-Centric Security

People-Centric Security

ปญหาเรองความมนคงปลอดภยเทคโนโลยสารสนเทศและการสอสาร สงผลกระทบโดยตรงตอความเชอมน ความนาเชอถอขององคการ เปาหมายของการโจมต คอ ขอมลสารสนเทศ ทรพยากรดานเทคโนโลยสารสนเทศ กระบวนการทางธรกจทส�าคญขององคการ รวมถงภาพลกษณทงขององคการ และผบรหารแลวแตวาเปาหมาย คออะไร ซงการโจมตทเกดจากภายนอกองคการอาจสามารถเฝาระวง และปกปองสงส�าคญเพอลดความเสยหายได แตการโจมตจากภายในองคการทนาจะปองกนไดกลบกลายเปนความเสยงส�าคญ และอาจสงผลกระทบทรนแรง (ตวอยางเชน เพยงแค Thumb Drive สวนตว 1 อน เสยบเขาเครองลกขายทเชอมเขากบระบบเครอขายองคการชนในทไมไดมการปองกน และไมไดมการ Scan เพอปองกนโปรแกรมไมพงประสงค หากเกดความเสยหายขนอาจไมสามารถประเมนได) ดงนน องคการควรเรมตน “IT Security Awareness” ทเหมาะสม ท�าความเขาใจ และด�าเนนการอยางตรงจดกอนจะสายเกนไป หากเปรยบกบภาพยนตรเรอง Star Wars แลว ในกรณของ Cyber War อาจจะตองกลาววา “ขอ Awareness จงสถตอยกบองคการของทาน…” แทน

ขอมลอางอง

● ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร

ประเทศไทย (ไทยเซรต)

● ส�านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

● US-CERT, Department of Homeland Security

● CERT, Software Engineering Institute, Carnegie Mellon

University

● ACIS Professional Center

● “Responsive Security” by Dr. Meng-Chow Kang

● “Top security trends for 2016-2017” by Gartner

TPAnews