PUBLICPR.CORP.53-001

¡Òû ԺѵԡÒÃÊÒÃʹà·È¡Ã³ÕÈÖ¡ÉÒ¡ÒûÃÐÂØ¡µ�㪌 “IO” ÃÐËÇ‹Ò§ “ÈÍ©.” áÅÐ “¹»ª.”

ÀÑÂ Social Engineering »‚ 2010

ËÅÑ¡Êٵüٌ¹Ó¡ÒõÃǨÊͺŧ·ÐàºÕ¹ÊÒ¡ÅÊÓ¤ÑÞËÃ×ÍäÁ‹ÊÓËÃѺ˹‹Ç§ҹ·ÕäÁ‹ä ŒÁÕ¡Òà Ѵ·ÓÃкººÃÔËÒäÇÒÁÁѹ¤§»ÅÍ´ÀÑÂÊÒÃʹà·È

¤ÇÒÁÊÓ¤ÑÞÃÐËÇ‹Ò§ “Risk Analysis”, “Risk Assessment” áÅÐ “Risk Management”

¡Ô¹ä»-à·ÕÂÇ仵͹ ÊÒÁÃŒÍÂÂÍ´ (µÍ¹·Õ 1)

¹Ô·Ò¹ÃŒÍÂàÃ×ͧ ¡Ñº àÊ×͡ѹ½¹¢Í§Ë¹Ù

Disaster Recovery Center(by CSLOXINFO)

ACIS MEDIA CENTER

A division of ACIS Professional Center

POWER BY

©ºÑº»°ÁÄ¡É� ¡Ã¡®Ò¤Á - ÊÔ§ËÒ¤Á 255301

Login

เจาของ เอซส โปรเฟสชนนล เซนเตอร จำกด | บรรณาธการบรหาร ปรญญา หอมเอนก | บรรณาธการ ณพพร ทองใบประสทธ | กองบรรณาธการ วทยา หอมเอนก, ณยฎา ชนสกล, ยงเกยรต สนเทศอดศย, เอกกร รตนเอกกวน, ศภชย ภมรชยศรกจ, นพนธ นาชน, วชรพล วงศอภย | สมาชก วราพงศ รตนวงศเวท | ถายภาพ superman.th | คอมพวเตอร กราฟก อนวฒน เนอออน | ทปรกษา ธระยศวร ศรเปยมลาภ | ดำเนนการ เอซส มเดย เซนเตอร | ขอมลการตดตอ บรษท เอซส โปรเฟสชนนล เซนเตอร จำกด เลขท 62 หอง 2101 ชนท 21 ถนนหลงสวน แขวงลมพน เขตปทมวน กรงเทพฯ 10330 โทรศพท: 0 2650 5771 โทรสาร: 0 2650 5776 อเมล: atsecure@acisonline.net | http://www.facebook.com/pages/acisonline/107807339239344

@SECURE ฉบบปฐมฤกษไดเปดตวขนอยางเปนทางการแลว โดยมวตถประสงคในการเผยแพร ประชาสมพนธขอมล ขาวสารซงเกยวของกบระบบรกษาความปลอดภยสารสนเทศ (IT Security) ในแงมมตางๆ ทงเชงเทคนค และเชงกระบวนการ รวมทงผลตภณฑ หรอบรการตางๆ ทเกยวของ รวมทงสรางเสรมสมพนธภาพอนดระหวางกน

ในฉบบปฐมฤกษนเราไดรวบรวมบทความจากบคลากรผทรงคณวฒหลายทาน พรอมดวยสรรสาระอนๆ เพอใหทกทานไดรบทงความร และความบนเทง รวมทงผอนคลายกบคอลมน“กนไป-เทยวไป” หรอขาวสารเพอสงคม โดยเรายนดนอมรบคำแนะนำ ตชม เพอปรบปรงเนอหาสาระใหครบถวน และเปนประโยชนมากยงขน

จากเหตการณรอนๆ รายๆ ทางการเมองเมอเดอนพฤษภาคมทผานมา หนวยงาน องคกรหลายแหงอาจไดรบผลกระทบมากบาง นอยบางแตกตางกนไป สำหรบ เอซส ซงมสำนกงานตงอยในพนท Red Zone กตองปรบตวกนขนานใหญ เพอความสะดวก และความปลอดภยเราจำเปนตองเลอนกำหนดการฝกอบรมในบางหลกสตรออกไป รวมทงใหพนกงานปฏบตงานในลกษณะ Work from Home จากสถานทปลอดภย

ปรากฏการณอกประการหนงทพบในชวงเวลาดงกลาว คอ พลงของสงคมออนไลน (Social Media) ซงมการสอสาร สงขาว พรอมรปภาพประกอบผานเครอขายอนเทอรเนตไปยง Social Network ยอดนยม เชน Facebook และ Twitter เปนตน ซงทำใหเราสามารถตดตามขาวสาร และตอบสนองไดอยางทนทวงท อยางไรกตาม “เหรยญสองดาน” หรอ “ดาบสองคม” กปรากฏในชวงเวลาเดยวกน โดยเราพบการปลอยขาวลวงใน Social Network เพอกอใหประโยชนตอฝายใดฝายหนง ตลอดจนสรางความตระหนก เพมความแตกแยกใหแกประชาชนตามหลกการของ Information Operation ซงไดนำเสนอรายละเอยด พรอมกรณตวอยางใน @SECURE ฉบบน

ผานจากเหตการณดงกลาว หลายองคกรทงในภาคสวนทไดรบผลกระทบ และยงไมไดรบผลกระทบตอการดำเนนธรกจจงไดเรงจดทำ หรอทบทวน “BCP และ DRP” ของตนเอง ซงเชอไดวาทศทาง IT ตงแตบดนเปนตนไปจะไดใหความสนใจในกระแส BCM (Business Continuity Management) กนเปนอยางสง และแมเมอองคกรอาจม BCP อยแลว การตอยอดของ BCM จะทำใหเกดการบรหารจดการอยางเปนระบบ และมการพฒนาปรบปรงอยางตอเนอง

ทายทสด ผมขอขอบคณทมงานบรรณาธการ ผเขยน และผเกยวของทกทานทไดทมเท และมสวนรวมในการผลต @SECURE ฉบบปฐมฤกษนขนมา และมากกวานน ผมขอบขอบคณทานผอานทกทานทไดใหโอกาสเปดใจตอนรบ @SECURE เปนเพอนซงคำนงถงความปลอดภยในสงคมออนไลน .

ปรญญา หอมเอนกบรรณาธการบรหาร

@SECURE เปนสอในการเผยแพร ใหขอมลความรดานการรกษาความปลอดภยสารสนเทศ การฝกอบรม ผลตภณฑ และการใหบรการซงเกยวของกบระบบการรกษาความปลอดภยสารสนเทศ เนอหา และภาพประกอบถอเปนลขสทธของบรษท เอซส โปรเฟสชนนล เซนเตอร จำกด และเจาของผลงานนนๆ ซงจดทำขนเพอประโยชนแกผอานในสงคมสวนรวม

Êͺ¶ÒÁ¢ŒÍÁÙÅ ËÃ×ÍàʹÍá¹Ð

หากทานมขอสงสยเกยวกบเนอหาบทความ หรอตองการสอบถามขอมลเพมเตม หรอมขอเสนอแนะเกยวกบเนอหา และรปแบบของ @SECURE สามารถตดตอกองบรรณาธการไดตามขอมลการตดตอของบรษท

¡ÒÃÊ‹§º·¤ÇÒÁà¾×͵վÔÁ¾�ã¹¹ÔµÂÊÒÃ

@SECURE ยนดพจารณาบทความดานความปลอดภยสารสนเทศซงสอดคลองกบแนวทางของ @SECURE จากบคคลภายนอก โดยสามารถจดสงตนฉบบในรปแบบของไฟลไมโครซอฟตเวรด พรอมภาพประกอบไดทกองบรรณาธการตามขอมลการตดตอของบรษท และกองบรรณาธการขอสงวนสทธในการตดตอ ยอสรปตนฉบบไดโดยไมตองขอความเหนจากผสง

บทความทสงมาโดยบคคลภายนอกตองไมเปนบทความทละเมดลขสทธของผอนไมวาในกรณใดๆ ทงสน และหากเปนการรวบรวม และเรยบเรยงขนใหมจากตนฉบบอนมลขสทธแหลงใด โปรดระบทมาโดยละเอยด หากมไดปฏบตตามน และมการละเมดลขสทธเกดขน บรษทจะไมรบผดชอบในความผดดงกลาวแตประการใด โดยบคคลภายนอกนนๆ จะตองเปนผรบผดชอบทางกฎหมายใดๆ ทเกดขนแตเพยงผเดยว

ทศนะ และขอคดเหนในทกบทความของ @SECURE เปนความคดเหนโดยสวนบคคลของผเขยนทานนนๆ มไดหมายความวาเปนความคดเหนของบรษทเสมอไป

ÅÔ¢ÊÔ· ÔáÅÐà¤Ã×ͧËÁÒ¡ÒäŒÒ

ดวย @SECURE ไมสามารถประกาศความเปนเจาของลขสทธ และเครองหมายการคาทมอยเปนจำนวนมาก และมการเปลยนแปลงอยตลอดเวลาใหครบถวนสมบรณได ดงนน กองบรรณาธการจงขอประกาศความเปนเจาของลขสทธเฉพาะทมการกลาวถงในบทความประกอบลงในบทความนนๆ และหากลขสทธดงกลาวเปนทรบรโดยทวไปแลว @SECURE จะไมขอกลาวซำ ทงนเพอประโยชนในการนำเสนอบทความทกระชบ และนาอาน

á Œ§¢‹ÒÇÊÒÃà¾×Íà¼Âá¾Ã‹»ÃЪÒÊÑÁ¾Ñ¹ �

บรษท องคกร หรอหนวยงานใดมความประสงคจะแจงขาวประชาสมพนธผลตภณฑ หรอบรการของตนใน @SECURE กรณาสงขอมลรายละเอยด พรอมภาพถายมาทกองบรรณาธการตามขอมลการตดตอของบรษท

¡ÒùӺ·¤ÇÒÁä»à¼Âá¾Ã‹ ËÃ×;ÔÁ¾�«Ó

บทความทเผยแพรใน @SECURE นสงวนสทธตามพระราชบญญตลขสทธ พ.ศ. 2537 ในกรณททานตองการนำสวนหนงสวนใดไปใช หรอเผยแพรโปรดตดตอทกองบรรณาธการตามขอมลการตดตอของบรษท และจะตองไดรบอนญาตจากบรษทเปนลายลกษณอกษร

3

14 พฤษภาคม 2553 - สถาบนวจยตลาดทนจดการสมมนาในหวขอ “The GRC Imperative - Strengthen your good governance with GRC : Jump to start now” ณ อาคารสถาบนวทยาการตลาดทน ถนนวภาวดรงสต โดยกจกรรมในภาคบาย อ.ปรญญา หอมเอนก ไดรบเกยรตเขารวมการเสวนาในประเดนแนวคด “GRC” ในการสราง Good Governance ใหแกองคกร, GRC เครองมอการบรหารจดการความเสยงทมประสทธภาพ และประโยชนทองคกรจะไดรบจาก GRC พรอมดวย ดร. วรภทร โตธนะเกษม, คณะอนกรรมการ ศนยพฒนาการกำกบดแลกจการบรษทจดทะเบยน ตลาดหลกทรพยแหงประเทศไทย พรอมดวยคณวารณ ปรดานนท, บรษท ไพรซวอเตอรเฮาสคเปอรส จำกด และคณภชฎา หมนทอง, บรษท ปนซเมนตนครหลวง จำกด (มหาชน)

เคานเตอร เซอรวส กาวนำคแขงดวย ISO 27001 เพอสรางความมนใจใหแกลกคาในการชำระเงนผานบรการเคานเตอร เซอรวส

4 พฤษภาคม 2553 – บรษท เคานเตอร เซอรวส จำกด ซงเปนผนำในบรการรบชำระคาสนคาและบรการ ไดแสดงศกยภาพอกระดบโดยการนำระบบการบรหารจดการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2005 มาบรหารงานดานการรกษาความมนคงปลอดภยสารสนเทศภายในองคกร ทงน โดยไดรบความสนบสนนจากโครงการสนบสนนการพฒนาเทคโนโลยของอตสาหกรรมไทย (iTAP) ซงเปนหนวยงานภายใตสำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต (สวทช.) และไดจดพธรบมอบประกาศนยบตรรบรองมาตรฐาน ISO/IEC 27001:2005 จากบรษท ทฟ นอรด (ประเทศไทย) จำกด ณ สำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต เมอวนท 4 พฤษภาคม 2553 ทผานมา

ในการน เอซส โปรเฟสชนนล เซนเตอร โดยคณปรญญา หอมเอนก, ประธานกรรมการบรหาร รวมแสดงความยนด พรอมทงบนทกภาพรวมกบคณสนธวรรณ สภทรประธป (ผอำนวยการ iTAP), คณวรเดช อครผลพานช (ผจดการทวไป, บรษท เคานเตอร เซอรวส จำกด), คณอธตานนท อภธนทวพฒน (บรษท ทฟ นอรด (ประเทศไทย) จำกด) ตลอดจนทานผมเกยรต และคณะดำเนนงาน .

ONTHEMOVE

à»�´µÑÇ˹ѧÊ×Í“360° IT Security àÃ×ͧ·Õ¤¹äÍ·ÕµŒÍ§ÃÙŒ”

13 พฤษภาคม 2553 - เอซส รวมกบ บรษท เออารไอพ จำกด (มหาชน) จดกจกรรมแถลงขาวเปดตวหนงสอ “360° IT Security เรองทคนไอทตองร” ณ รานเจลาโตน, ด เอสพลานาด รชดาภเษก ทงน โดยไดรบความสนใจจากสอมวลชนอยางทวมทน

“360° IT Security เรองทคนไอทตองร” มเน �อหาสาระท�หลากหลาย ทำใหรจกการใชเครอขายสงคมออนไลนอยางถกตอง และปลอดภยเหมาะสำหรบผบรหาร ผใชอนเตอรเนต และเปนคมอสำหรบคนไอท เพ�อความเทาทนในอนตรายจากการใชงานอนเตอรเนต และสรางตระหนกถงการปองกนตวเอง มใหตกเปนเหย�อของผ ไมประสงคด

on the move

àÍ«ÔÊ à¾ÔÁª‹Í§·Ò§ãËÁ‹ã¹¡ÒÃÊ×ÍÊÒÃ

เอซส ทดลองเพมชองทางในการตดตอสอสาร และเผยแพรกจกรรม การใหบรการ และขาวสารดานความปลอดภยสารสนเทศผานเครอขาย Facebook และ Twitter ตงแตบดนเปนตนไป โดยผสนใจสามารถตดตามรบขาวสารไดตงแตบดนเปนตนไป

เอแลดานFaโด

http://twitter.com/acisonlinehttp://www.facebook.com/pages/

acisonline/107807339239344

4

PTTICT และ ACIS พฒนาจากคคาทางธรกจ สพนธมตรทแขงแกรงทางธรกจ (Business Alliance) เพอมงสความเปนเลศในการใหบรการ และความเปนหนงอยางยงยน

11 มถนายน 2553 - นายไชยเจรญ อตแพทย กรรมการผจดการ บรษท พทท ไอซท โซลชนส จำกด และนายปรญญา หอมเอนก ในฐานะประธานกรรมการผจดการ บรษท เอซส โปรเฟสชนแนล เซนเตอร จำกด ไดรวมลงนามบนทกขอตกลงความรวมมอ (MOU) รวมกน เพอมงสความเปนเลศดานการใหบรการเทคโนโลยสารสนเทศ

ทงน ตลอดระยะเวลากวา 20 ปทผานมาจนถงในปจจบน การแขงขนในโลกธรกจมเพมสงขนอยางมาก ซงเปนผลมาจากการคาเสร และโลกการตดตอสอสารทไรพรมแดน ทำใหแตละบรษทพยายามหาจดแขงเพอสรางความไดเปรยบทางธรกจ หรอ Competitive Advantage ใหแกบรษทของตนเอง ซงรวมถงบรษทในเครอของ ปตท. ดวยเชนกน โดยไดประยกตใชระบบเทคโนโลยสารสนเทศททนสมยตงแตปจจยพนฐาน จนถงเปนตวแปรทสำคญอนกอใหเกดความไดเปรยบทางธรกจ

อยางไรกตามทกสงในโลกเปรยบเสมอนเหรยญสองดาน ระบบเทคโนโลยสารสนเทศเองกเชนกน ความสะดวกของการใชงาน การลดระยะเวลาของการปฏบตงานนน กลบทำใหเกดชองวางหรอละเลยในเรองทสำคญทสดซงเปนหวใจสำคญของความปลอดภยของขอมลไป นนกคอ CIA หรอ Confi dentiality, Integrity และ Availability ของขอมล

ดงนน บรษท พทท ไอซท โซลชนส จำกด และบรษท เอซส โปรเฟสชนนล เซนเตอร จำกด ไดผนกกำลงเปนพนธมตรทางธรกจ (Business Alliance) เพอแบงปนขอมลดานวชาการ ประสบการณในการเปนทปรกษา รวมทงฝกอบรมบคลากรใหแกกนและกน เปนการแลกเปลยนและถายทอดซงกนและกน (Knowledge Transfer) ในองคความรสำคญของการเปนทปรกษาในการบรหารงานดานเทคโนโลยสารสนเทศและความมนคงปลอดภยสารสนเทศ ซงการรวมมอในครงน สามารถกอใหเกดแรงผลกดนในการพฒนาเพอยกระดบการใหบรการของ บรษท พทท ไอซท โซลชนส จำกด ใหมประสทธภาพ รวมทงเปนการเพมขดความสามารถทางธรกจในการประกอบธรกจของ บรษท พทท ไอซท โซลชนส จำกด และเพมศกยภาพ และคณภาพระดบมาตรฐานสากลดานความมนคงปลอดภยสารสนเทศในการใหบรการดานเทคโนโลยสารสนเทศ ใหกบลกคาในกลม ปตท. ทงในประเทศและตางประเทศ

15 มถนายน 2553 - เอซส จดกจกรรมแถลงขาวสำหรบงานสมมนา “Social Network Security Conference 2010” หรอ “SNSCON 2010” ณ หองทพยอบล โรงแรมอโนมา กรงเทพฯ

SNSCON 2010 เปนกจกรรมสมมนาซงเกยวกบการรกษาความปลอดภยของเครอขายสงคม (Social Networking) ครงแรกในประเทศไทย ดำเนนการโดยเขตอตสาหกรรมซอฟตแวรประเทศไทย ศนยบรหารจดการเทคโนโลย ภายใตสำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต (สวทช.) รวมกบ สมาคมความมนคงปลอดภยระบบสารสนเทศ (Thailand Information Security Association - TISA) และบรษท เอซส โปรเฟสชนนล เซนเตอร จำกด

ทงน สบเนองจากพฤตกรรมในการปฏสมพนธของผคนในสงคมปจจบนกำลงจะเปลยนไปดวยแรงขบเคลอนของกลไกดานความกาวหนาทางเทคโนโลย โดยการใชงานอนเทอรเนตทมเพมขน อนเปนปจจยสำคญในการทำใหสงคมเปดกวางขนอยางไรขอบเขต ปจจบน Social Network ในโลกแหงยคโลกาภวฒนคงไมมใครทไมรจก Twitter หรอ Facebook และอกหลากหลายโปรแกรมทเปดใหใชงาน Free Download รวมทงโปรแกรมทตดตงมากบ Mobile Phone กนอยางแพรหลาย ซงสงเหลานกลายเปนเครองมอสำคญในการสอสารยคใหมอนพรงพรอมไปดวยอรรถประโยชนมากมาย แตทวากลบแฝงไวดวยมหนตภนทใครตอใครอาจจะคาดไมถง จงเปนหนงในทมาของความเสยงทตองพงระวงเปนอยางยงชนดทไมอาจหลกเลยงได เพราะผลทตามมานนไมเพยงแตกระทบตอการเปดเผยขอมลความเปนสวนตว (Information Privacy) ของผใชเทานน แตอาจหมายถงองคกร หรอหนวยงานทผใชงาน Social Network รายนนๆ สงกดอย ตองรบความเสยงนนไปดวย ดงทไดเคยเกดขนหลายครงในหลายองคกร ทงในและตางประเทศ

พรอมกนน สมาคมความมนคงปลอดภยระบบสารสนเทศ โดย ดร.รอม หรญพฤกษ นายกสมาคมฯ ไดรวมแถลงผลการดำเนนงานของสมาคมฯ และการสอบตามโครงการ TISET ครงท 1 อกดวย

SNSCON 2010 มกำหนดการจดกจกรรมขนในวนท 21 กรกฎาคม 2553 ณ หองแกรนดบอลรม, โรงแรมอโนมา กรงเทพฯ

5

Information Warfare (IW)Information Operation (IO)

¡Òû ԺѵԡÒÃÊÒÃʹà·È (Information Operation) ã¹ÂؤáË‹§Ê§¤ÃÒÁÊÒÃʹà·È (Information Warfare)

áÅСóÕÈÖ¡ÉÒ¡ÒûÃÐÂØ¡µ�㪌 “IO” ÃÐËÇ‹Ò§ “ÈÍ©.” áÅÐ “¹»ª.”

Information Operation

คำวา “Information Operation” (นยมเรยกกนโดยยอวา “IO”) คออะไร? ทำไมหลายฝายจงเอยถงคำนใหไดยนกนบอยๆ ทางโทรทศนและหนาหนงสอพมพจนกลายเปนคำยอดฮตของวนน จะสงเกตไดวาหลายเดอนทผานมา เราไดยนคำนอยเปนประจำไมวาจะเปนบนเวทเสอแดง หรอ บนจอโทรทศนเวลาท ศอฉ. ออกมาแถลง แมกระทงในการอภปรายไมไววางใจนายกฯ ในรฐสภากยงมการพดถงคำวา “IO” เชนกน

คำวา “อนฟอรเมชน โอเปอรเรชน” หมายถง “การปฏบตการสารสนเทศ” ตรงกบภาษาองกฤษวา “Information Operations” (เรยกยอวา Info Ops หรอ IO) เปนการนาเอาพนธกจการปฏบตการทางทหารหลายประการมาบรณาการเพอสรางผลกระทบตอการคด การตดสนใจของฝายตรงขาม หรอสรางอทธพลตอการคด การตกลงใจ จากขอมลขาวสารและระบบสารสนเทศของฝายตรงขาม แมวา กองทพอากาศไทย จะเรยกวา “การปฏบตสารสนเทศ” สวน กองทพบกไทย จะเรยกตางกนเลกนอยวา “การปฏบตการขาวสาร” กตาม แตความหมายกคอ “Information Opera-tions” เหมอนกน

“IO” เปนสวนหนงของ “Information Warfare” หรอ “สงครามสารสนเทศ” ซงบางทานเรยกวา “สงครามขาวสาร” ซงอาจเรยกวา “Cyber War” หรอ “Net War” โดยคำวา “Information Operation” หรอ “การปฏบตการสารสนเทศ” นน เปนหลกการทออกเปนเอกสารอยางเปนทางการครงแรกโดยกระทรวงกลาโหมสหรฐอเมรกาในป 2003 อนมตหลกการโดย นายโดนล รมเฟล (Donald Rumsfeld) รฐมนตรกระทรวงกลาโหมสหรฐฯ และเปนเอกสารทเปดเผย (Declassifi ed) ในเดอนมกราคม 2006 ซงเปนการขยายผลจากหลกการทเกยวของกบ สงครามสารสนเทศ (Information Warfare) ในมมมองของกองทพสหรฐฯ

โดยหลกการแลว “IO” มความเกยวพนธกบหลกการการปฏบตการดานการขาวทางทหาร ซงเปนแนวคดจากการบรณาการสงครามการควบคมบงคบบญชา (Command and Control Warfare) และสงครามสารสนเทศ (Information Warfare) ของกองทพสหรฐฯ โดยการนำเอาบทเรยนจากการรบกบอรกในสงครามอาว (Gulf Wars) หรอทนยมเรยกกนวา “CNN Eff ect” มาเปนกรอบแนวคดในการพฒนา อาจกลาวไดวา

“การปฏบตการสารสนเทศ” คอ การสนธการปฏบตตางๆ เพอทำใหมอทธพล ทำลาย ลดประสทธภาพ ในการตดสนใจและการปฏบตการของฝายตรงขาม รวมทงดำเนนการปองกนการกระทำของฝายตรงขามตอฝายเราในลกษณะเดยวกน

การปฏบตตางๆ ทใชในการปฏบตการขาวสาร (IOs) ซงอาจเรยกวา “ขดความสามารถ” นน ไดถกแบงออกเปน 3 กลมคอ

การปฏบตหลก หรอขดความสามารถหลก (Core Capabilities)1. การปฏบตสนบสนน หรอขดความสามารถสนบสนน 2. (Supporting Capabilities) และ การปฏบตทเกยวของ หรอขดความสามารถทเกยวของ3. (Related Capabilities)

¡Òû ԺѵÔËÅÑ¡: ËÑÇã¨ËÅÑ¡¢Í§ IO

สวนทเปนหวใจหลกของ “IO” ทเปนการปฏบตหลก หรอ ขดความสามารถหลก (Core Capabilities) ประกอบดวยการปฏบต 5 ประการ ไดแก

การปฏบตการจตวทยา (Psychological Operations หรอ 1. “PSYOP”) การลวงทางทหาร (Military Deception หรอ “MILDEC”) 2. การรกษาความปลอดภยในการปฏบตการ (Operations Secu-3. rity หรอ “OPSEC”) การสงครามอเลกทรอนกส (Electronic Warfare: EW) และ 4. การปฏบตการเครอขายคอมพวเตอร (Computer Network 5. Operations: CNO)

โดยเมอเราไดใชการปฏบตหลกทง 5 ประการน รวมกบการปฏบตสนบสนน (Supporting Capabilities) และการปฏบตทเกยวของ (RelatedCapabilities) แลว จะกลายเปนเครองมอหลกในการสรางอทธพลตอบคคล หรอกลมบคคลเปาหมาย (Target Audiences) โดยจะสรางอทธพลผลในแงความคด ความเชอ และการตดสนใจของฝายตรงขามใหเปนไปตามทฝายเราตองการ

ปรญญา หอมเอนก | prinya.ho@acisonline.net

CGEIT, CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, Security+, ITIL Foundation V3

OPENING

6

รปท 1 Information Operations Core Capabilities

“การปฏบตการสารสนเทศ” (Information Operation) เพยงลำพงไมสามารถเอาชนะฝายตรงขามได แตตองสนธอยางประสานสอดคลอง และกลมกลนเขากบการปฏบตการดานอนๆ เชน การทำลายทางกายภาพ (Physical Destruction) การตอตานการโฆษณาชวนเชอ (Counter-Propaganda) การรกษาความมนคงปลอดภยสารสนเทศ (Information Assurance) การตอตานขาวกรอง (Counter-Intelligence) การตอตานการลวง (Counter Deception) ฯลฯ

รปท 2 CNO Components

ในสวนของการปฏบตการทางดานเครอขายคอมพวเตอร (Computer Network Operations หรอ “CNO”) จะประกอบดวย 3 สวนหลกๆ (ดรปท 2) ไดแก

การโจมตเครอขายคอมพวเตอรเพอทำลายระบบเครอขาย1. ของฝายตรงขามใหลมหรอใชงานไมได (Computer Network Attack หรอ “CNA”) การปองกนการโจมตเครอขายคอมพวเตอรจากฝายตรงขาม 2. (Computer Network Defense หรอ “CND”) การเจาะแอบเอาขอมลจากเครอขายคอมพวเตอรของฝาย3. ตรงขาม (Computer Network Exploitation หรอ “CNE”)

¡Òû ԺѵÔʹѺʹع ËÃ×Í¢Õ ¤ÇÒÁÊÒÁÒö㹡ÒÃʹѺʹع(IO Supporting Capabilities)

หวใจหลกของการปฏบตการสนบสนน ไดแก Information Assurance (IA), Physical Security, Physical Attack, CI และ COMCAM ซงมรายละเอยดดงน

Information Assurance (IA) มวตถประสงคในการปองกน (Protect) และปกปองคมครอง (Defend)

สารสนเทศ (Information) และระบบสารสนเทศ (Information System) ของฝายเราใหปลอดภย เพอใหแนใจไดวาเราสามารถ รกษาคณสมบตทง 3 ประการ ดานความมนคงปลอดภยสารสนเทศ ไดแก การรกษาความลบ (Confi dentially), การรกษาความถกตองสมบรณ (Integrity) และการรกษาความพรอมใชของสารสนเทศเมอตองการเขาถง (Availability) รวมทงการพสจนตวตน (Authentication) และการหามปฏเสธความรบผดชอบในการทำธรกรรม (Non-Repudiation) ซงจะเหนไดวา “IA” ไมไดครอบคลมเฉพาะ “CIA” แตยงครอบคลมถง Authentication และ Non-Repudiation อกดวย

โดย IA ใชหลกการ Defense-In-Depth หรอ Multi-Layer Defense ในการปองกนทงดานบคลากร (People) ดานกระบวนการการปฏบตการ (Process) และดานเทคโนโลย (Technology) ในการเขาถงสารสนเทศ จำเปนตองมระบบควบคมปองกนการเขาถงทด (Access Control)

การปฏบตการสารสนเทศ (IO) จำเปนตองม IA เปนตวชวยเสรมซงกน อยางหลกเลยงไมได จงจำเปนตองมองใหครบทงสองดานทง IA และ IO

Physical Securityการรกษาความปลอดภยทางกายภาพเปนเรองสำคญทจำเปนในการ

ปองกนการโจมตบคลากรและทรพยสนของฝายเรา และเปนการปองกนการเขาถงอปกรณและเอกสารตางๆ ของฝายเราเพอใหรอดพนจากการ จารกรรม, การขโมย และการทำลายลาง การปองกนดานกายภาพจะเนนไปทการปองกนทศนยคอมพวเตอร (Physical Facilities) การปองกนอาคารสถานทตางๆ โดยจะไมอนญาตใหผทไมมสวนเกยวของเขามาในบรเวณททางฝายเราไดจำกดการเขาถงในทางกายภาพ

Physical Attack (Physical Destruction) เนนไปทการทำลายลางเปาหมายเชงกายภาพของฝายตรงขาม

เพอไมใหสามารถบญชาการรบไดอยางมประสทธภาพ การทำลายและโจมตเปาหมายทางกายภาพนนสามารถปฏบตการรวมกนกบ “PSYOP” หรอ “การปฏบตการจตวทยา” ไดเพอใหบรรลเปาหมายในการโจมต ใหมประสทธภาพมากขน

Counter Intelligence (CI)“การตอตานขาวกรอง” เปนการรวบรวมขอมลขาวสารเพอปองกน

การจารกรรมขอมลและสารสนเทศของฝายเราจากแฮกเกอรของฝายตรงขาม ในปจจบนรฐบาลหลายประเทศ ไดวาจางแฮกเกอรในประเทศของตนอยางเปนเรองเปนราว เปนหนวยรบใตดนทมวตถประสงคในการเจาะระบบของรฐบาลในประเทศฝายตรงขาม โดย CI สามารถปฏบตการรวมกบ “OPSEC” ไดอยางกลมกลน และจำเปนตองใช CNO “Computer Net-work Operation” ในการปองกนระบบสารสนเทศของฝายเราและโจมตฝายตรงขามในขณะเดยวกน

7

รปท 3

Public Aff airs (PA)เปนการประชาสมพนธทงในประเทศ และตางประเทศ เพอใหเกด

ความรสกทดตอภาพลกษณของฝายเรา ตามหลกการ “Principle of Public Information” ดรปท 4

Civil Military Operations (CMO)

เปนการทำงานรวมกนระหวางทหารและพลเรอนสามารถทำไดในชวงเวลาสงบทไมมสงคราม (Peace) ทงกอน และหลงสงคราม (ดรปท 5) เปนการสนบสนนทง PSYOP, CNO และ CI เพอสรางความเชอมน ปรองดองสมานฉนท พงพาอาศยกน เพอใหมเอกภาพในการอยรวมกน และสรางแนวคดใหสนบสนนการปฏบตการสารสนเทศในระยะยาว

รปท 4 Principle of Public Information

รปท 5 Big Picture of IO

Combat Camera (COMCAM)กลองถายภาพการรบเปนสวนสนบสนนทมความสำคญในการปฏบต

การสารสนเทศเชนกนกลาวคอ ภาพถายจากกลองสามารถนำไปสนบสนนการทำ “PSYOP” และ “MILDEC” ไดดวย เพราะถาหากถกฝายตรงขามเจาะขอมลภาพถายกจะตกเปนฝายเสยเปรยบทนท

¡Òû ԺѵԷÕà¡ÕÂÇ¢ŒÍ§ ËÃ×Í¢Õ´¤ÇÒÁÊÒÁÒö·Õà¡ÕÂÇ¢ŒÍ§ (IO Related Capabilities)

การปฏบตทเกยวของ ประกอบไปดวย 3 เรอง ไดแกPA (Public Aff air) การประชาสมพนธ 1. CMO (Civil Military Operation) การปฏบตการรวมกนระหวาง2. ทหารและพลเรอนDSPD (Defense Support to Public Diplomacy) กลาโหม3. สนบสนนตอการทตสาธารณะ

DSPD (Defense Support to Public Diplomacy)เปนการสนบสนนในการทำ “PSYOP” ตอรฐบาลในประเทศตางๆ

ทางดานการทต โดยทางกระทรวงกลาโหม ตองปฏบตการรวมกบกระทรวงการตางประเทศ เพอเสรมสราง ภาพลกษณทดและการไดรบการสนบสนนจากนานาประเทศ .

8

จากตวอยางสงครามระหวางอรก และสหรฐอเมรกา รวมถงปรากฎการณ “CNN eff ect” จะเหนไดวา การใชสอมความสำคญเทยบเทาการใชอาวธในการโจมตฝายตรงขาม โดยอาจกลาวไดวา “การปฏบตการขาวสารเปนอาวธรายทเราไมควรมองขาม” และขาวสารเปรยบเสมอนกระสนทพงออกจากปนของสอเขาไปเจาะทะลวงจตใจ และความคดของผรบขาวสารนนๆ ยอมมผลกระทบตอกระบวนการในการตดสนใจของผรบขาวสาร เพอใหเปนไปตามความตองการทแอบแฝงของแตละฝาย

ทง นปช. และ ศอฉ. ลวนใช “IO” ในการโจมตฝายตรงขามเพอใหมวลชนคลอยตามฝงของตน ตามหลกการ “IO” ทางรฐบาลเนนวามผกอการรายอยในกลมผชมนม และออกมาสงหารทหาร เมอวนท 10 เมษายน 2553 ขณะเดยวกน นปช. กกลาววาทหารฆาประชาชน เชน ปญหาผเสยชวตในวดปทมวนารามทสอนำรปทหารยงปนหนไปทางวดมาขนปกนตยสารในหลายฉบบ เปนตวอยางของการปฏบตการจตวทยา (PSYOP) ซงเปนสวนหลกของ “IO”

ในสวนของการลวงทางทหาร (MILDEC) ยกตวอยาง เรองการปลอยขาวบนเวท นปช. วาจะปดถนนสลมในวนรงขน ทางฝายรฐบาลกสงทหารเขามาปดบรเวณสลมในทนทททราบขาว ซงสลมเลยกลายเปนบรเวณทถกปดโดยรฐบาลไมใชฝาย นปช. และการทฝาย นปช. สามารถเคลอนกำลงเขายดแยกราชประสงคอยางทรฐไมทนตงตวนน ถอไดวาเปนปฏบตการทสามารถรกษาความปลอดภยของฝงตนไวไดเขากรณของ “OPSEC” ซงการรกษาความปลอดภยในการปฏบตการนนเปนเรองทสำคญเพอไมใหขาวรวกอนการปฏบตการ ซงในชวงหลง ศอฉ. กมความรดกมในการปฎบตการมากขน

สำหรบตวอยางของสงครามอเลกโทรนคส (EW) กคอ การปดสญญาณดาวเทยมของ People Channel ไมใหสามารถถายทอดผานดาวเทยมได แตกยงมหลดลอดผานวทยชมชน และผานทางสถานสงคลนความถตำในบรเวณกรงเทพมหานคร เพอการถายทอดสดจากเวทของ นปช. ทแยกราชประสงค

สงครามขาวสารทรฐบาลตองกลบมาทบทวนผลการปฏบตงาน กคอ “การปฏบตการของระบบเครอขายคอมพวเตอร” หรอ “CNO” ซงเปนสงครามไซเบอร หรอ สงครามบนระบบเครอขายอนเทอรเนตอยางเตมรปแบบ ซงทาง นปช. ถอวาทำไดสำเรจผลในระดบหนง มการใชเทคโนโลยใหมๆ ทางอนเทอรเนตอยางเตมรปแบบ เชน Media Streaming (Flash Media Server), Cloud Computing ของ Google และ Microsoft (Google Appspot/App Engine และ Microsoft Horizon) รวมทงการถายทอดสดผานทาง Peer-To-Peer Broadcasting Software จะเหนวาการปดกนเวบไซตของกระทรวง ICT นนไดผลเพยงระดบหนงไมสามารถปดกนขาวสารของทาง นปช. ไดทงหมด 100%

จากองคความรดงกลาวจะเหนวา “สงความสารสนเทศ” โดยการใชหลก “การปฏบตการสารสนเทศ” นน เปนเรองทมความสำคญตอความมนคงของชาตในระดบทนายกรฐมนตร และรฐมนตรทเกยวของควรตองใหความสำคญและจดตงหนวยงานดาน “National Cyber Security” ขนอยางเปนทางการเพอการกำหนดยทธศาสตร นโยบายและกจกรรมตางๆ ทเกยวของกบการรกษาไวซงความมงคงของชาตในยคทสมรภมรบไมไดอยเฉพาะบนบก, ในนำ หรอบนอากาศอกตอไป แตสมรภมรบนนอยใน “cyberspace” หรอ “Cyber Domain” ทผนำแตละประเทศจะมองขามเรองนไมไดเปนอนขาด มเชนนน จะสงผลกระทบตอความมนคงของชาตในระยะยาวอยางหลกเลยงไมได

“IO” เปนศาสตรและศลป (Art and Science) ทจำเปนตองศกษา และเรยนรอยางเปนระบบตามหลกวชาการ เพอเปนพนฐานในการพฒนา “Nation Cyber Security” ของประเทศไทยในอนาคต .

¡Ã³ÕÈÖ¡ÉÒ ¹»ª. áÅÐ ÈÍ©.ã¹àÃ×ͧ Information Operations (IO)

« ผเขยนมความเปนกลาง และไมตองการโจมตใคร ทง นปช. และ ศอฉ. มวตถประสงคตองการเพอใหเปนตวอยางในการทำความเขาใจเรอง IO เทานน

DRC (Disaster Recovery Center) ตวชวยยามฉกเฉนของทกกจกรรมขององคกรเพอบรหารความเสยงทอาจเกดขนไดโดยทเราไมคาดคด และมบททดสอบทเกดขนจรงกบเหตการณยานธรกจจนทำให DRC เขามาเปนตวชวยกบหลายๆ องคกร โดยมบทบาทหนาทในการเปนสำนกงานสำรอง หรอศนยสำรองขอมล เพอใหดำเนนธรกจไดอยางตอเนอง จนทำใหเปนกระแสยอดฮตขนมาในชวงไมกเดอนทผานมา ซงเราจะเหนไดจากหลายองคกร เรมหาสำนกงานสำรองไวตามชานเมอง หรอลงระบบ Backup Site ไวสำรองขอมลเพมขน จนทำใหเราตองหนมาใหความสนใจวา DRC มประโยชนอยางไร, DRC ควรประกอบดวยอะไรบาง และถาจะเรมตองคำนงถงอะไรกนบาง โดยเบองตนนน DRC จะตองพรอมรองรบในการโอน และถายขอมลจากศนยแรกทลมหรอเกดการเสยหายไดทนท ในกรณทบคคลากรตองการเขามาปฏบตงานกตองพรอมซงสงอำนวยความสะดวกใหสามารถปฎบตงานได ประโยชนทเหนไดชดทสดกเพอใหธรกจสามารถดำเนนตอไปไดตามปกตและสงผลกระทบนอยมากทสดเทาทจะทำได

ซงเรา ซเอส ลอกซอนโฟ ผใหบรการ Internet Data Center ไดเปดใหบรการ Disaster Recovery Center (บรการใหเชาพนทสำรองเพอเชอมตอโครงขายอนเทอรเนตภายในศนยอนเทอรเนต ดาตา เซนเตอร) ใหบรการพนทสำนกงานสำรอง พรอมดวยสงอำนวยความสะดวกตางๆ เหมาะสำหรบลกคาทไมประสงคจะ Implement ออฟฟศสำรองขนเปนของตนเอง เนองจากตองลงทนสง และการใชงานสำนกงานสำรองไมบอยนก โดยบรษทจะจดเตรยมพนท รวมถงสงอำนวยความสะดวก เพอพรอมใหใชบรการ อาท อปกรณ โตะ เกาอสำนกงาน ระบบปรบอากาศ รวมระบบกลองวงจรปด พรอมผเชยวชาญคอยใหคำปรกษาแนะนำ เตรยมพรอม 24 x 7 ใหกบลกคา ทงกรณเหตการณปกต หรอเมอมเหต Disaster ขน โดยเราจะนำเครองและอปกรณทเตรยมพรอมไว ไปตดตงให ณ หองทลกคาไดทำการสำรองไว พรอมการเชอมตออปกรณผานเครอขายอนเทอรเนตความเรวสงทมความเสถยรภาพใหกบลกคา จนถงขนตอนทดสอบการทำงาน โดยมผเชยวชาญคอยตรวจสอบระบบ ชวยเหลอ และใหการดแลอยางใกลชดเพอรองรบการใชงานทเหมาะสมตามทลกคาตองการดวยบรการทดเยยม ภายใตมาตรฐานของผใหบรการอนเทอร-เนตคณภาพชนนำของประเทศ

ตดตอสอบถามขอมลเพมเตมไดทศนยบรการ Internet Data Center โทร 0-2622-5678 ตอ 3353, 3354 ตลอด 24 ชวโมง เวบไซต www.csloxinfo.com

Disaster Recovery Center

9

TECHCONNER

อนนต โซน | anan.so@acisonline.net

CISA, IRCA: ISMS, ITSMS, BCMS, ITIL-F V3

หากจะใหอธบายสนๆ เกยวกบความหมายของ Social Engineering เปนภาษาไทย ผเขยนขอนยาม วาเปนภยจากการตมตน การหลอกลวง หรอการอำจากเหลามจฉาชพ ภยจาก Social Engineering มทงการหลอกลวงทเหลามจฉาชพไมจำเปนตองใชคอมพวเตอร หรอเครองมอไฮเทคใดๆ จะใชเพยงแตการพดคยหรอการโทรศพทเทานน และการหลอกลวงทอาศยเครองคอมพวเตอรและเครองมอไฮเทคตางๆ เขามารวมดวย

ชวงป 2009 ทผานมา ภยจาก Social Engineering ในประเทศไทย มกเปนลกษณะของการตมตนเพอลอลวงเงนจากเหยอทรเทาไมถงการณ ซงเหตการณทพบเปนประจำ เชน การหลอกลวงวาเปนเจาหนาทของกรมสรรพากร และลอลวงเหยอวาหากตองการไดเงนภาษคนใหไปทตเอทเอม และกดตามคำแนะนำของเจาหนาท ซงแทนทจะไดเงนภาษคนกลบกลายเปนวาเหยอไดโอนเงนกลบไปใหเหลามจฉาชพ อกกรณหนงทพบไดบอยไมแพกน คอ การหลอกลวงวาเปนเจาหนาทจากบรษทบตรเครดต ซงโทรมาหา และสอบถามวาเหยอไดนำบตรเครดตไปใชตามสถานทตางๆหรอไม เมอเหยอไดยนขอมลดงกลาวกมกจะหลงเชอ คดวาบตรถกขโมย หรอถกปลอมแปลงและนำไปใชยงสถานทตางๆ จากนนเหลามจฉาชพกจะอางวาหากลกคาตองการระงบการใชบตรจะตองดำเนนการตามคำแนะนำของเจาหนาท ซงเหลามจฉาชพกจะใชโอกาสดงกลาวในการหลอกลอเพอขอขอมลสวนตว หรอหลอกลอใหเหยอโอนเงนกลบมาใหเหลามจฉาชพ

เมอพดถงภยจาก Social Engineering ของประเทศไทยในป 2010 พบวา ยงคงมภยในลกษณะเดยวกนกบทพบในปทผานมา ไมวาจะเปนการแอบอางวาเปนเจาหนาทของกรมสรรพากร หรอเปนเจาหนาทของบรษทบตรเครดต แตในป 2010 เหลามจฉาชพจะหลอกลอเหยอดวยวธการ

ทแนบเนยนยงขน รวมถงการนำเครองมอตางๆ เขามารวมดวย เชน การนำระบบ Interactive Voice Response (IVR) หรอระบบตอบรบอตโนมตเขามาใช เชน กรณของการแอบอางจากบรษทบตรเครดต เมอเหยอรบสายจากเหลามจฉาชพกจะพบกบเสยงตอบรบอตโนมต ในลกษณะวาบตรเครดตของเหยอถกนำไปใชยงสถานทตางๆ หากตองการระงบโปรดกดหมายเลข xxx เพอตดตอเจาหนาท ซงระหวางนนเหยอกจะตองรอสายชวงเวลาหนง เหมอนกบการโทรไปยงบรษทบตรเครดตจรงๆ จากนนเจาหนาทจะลอลวงดวยการเลาเหตการณวาบตรเครดตถกนำไปใชยงสถานทตางๆ และอางวาบรษทบตรเครดตไดประสานงานกบเจาหนาทฝายสบสวนของสำนกงานตำรวจแหงชาต ซงเจาหนาทจากสำนกงานตำรวจแหงชาตจะเปนผโทรหาเหยอดวยตวเอง และเมอเจาหนาทฝายสบสวนโทรมากจะหลอกลอเหยอเพอสอบถามเกยวกบขอมลสวนตวเชน หมายเลขบตรประชาชน, หมายเลขบตรเครดต, หมายเลขบญช และทอย เปนตน เพอนำขอมลดงกลาวไปใชหาผลประโยชนตอไป

กรณของการแอบอางจากกรมสรรพากรในประเทศไทยอาจจะยงไมมอะไรทแปลกใหมนก แตในตางประเทศจะมลกษณะของการสงอเมลแอบอางวามาจากกรมสรรพากรของประเทศนนๆ เพอหลอกลอใหเหยอกรอกขอมลสวนตวทสำคญเพอนำไปใชหาผลประโยชนตอไป ซงอาจมความเปนไปไดทประเทศไทยจะมภยลกษณะดงกลาวในเรวๆ น

นอกจากการลอลวงในลกษณะดงกลาวแลว ปจจบนเหลามจฉาชพยงมการใชเครอขายสงคมออนไลน เชน Hi5 หรอ Facebook เปนชองทางในการลอลวง เชน การสรางขอมลปลอมในเครอขายสงคมออนไลน และแอบอางวาเปนบคคลทมชอเสยงในสงคม เพอหาผลประโยชนจากการแอบอางดงกลาว หรอเมอผใชงานเครอขายสงคมออนไลนไมรเทาทนภยอนตรายจากการใชงานเครอขายสงคมออนไลน โดยอาจใสขอมลสวนตวตางๆ ไวมากเกนความจำเปน ซงเหลามจฉาชพจะใชขอมลดงกลาวในการหาผลประโยชนตางๆ

ภยจาก Social Engineering จะยงเกดขนตอไป ดงนน วธปองกนทดทสด คอ ตองเปนคนชางสงเกตและหมนตดตามขาวสาร เพอทจะรเทาทนเหลามจฉาชพ และหากตองการศกษารายละเอยดเพมเตมเกยวกบ Social Engineering และภยจากเครอขายสงคมออนไลนสามารถศกษาไดจากหนงสอ “360° IT Security เรองทคนไอทตองร” หรอเขารวมงานสมมนา Social Networking Conference 2010 เพอศกษาภยตางๆ ทพบในเครอขายสงคมออนไลน รวมถงวธการใชงานอยางปลอดภย .

Social Engineering

»‚ 2010

ายสนๆ เกยวกบความหมายของ Social Engineering ยนขอนยาม วาเปนภยจากการตมตน การหลอกลวง

ทแนบการนำร

ÀÑÂÃǺá¡�§äµŒËÇѹ ¢ºÇ¹¡ÒÃËÅÍ¡¤×¹à§Ô¹ÀÒÉÕ!

µÃ. à¼ÂÁÕ¨¹·.ÊÃþҡÃÃÙŒàËç¹

10

¹Õ¤×Í Thumb Drive ¨Ð·ÓÅÒµÑÇàͧ㹠10 ÇÔ¹Ò·Õ ...

รหสผานสามารถ Hacked ไดแตสำหรบ IronKey ไดรบการพฒนาขนมาเพอตานทานการโจมตทง Physical และหากปอนรหสผานไมถกตอง 10 ครง ชปตวการทำลายซงเตมไปดวยอพอกซจะทำลายเนอหาของแฟลชไดรฟทงหมด

โปรแกรมของ IronKey ชวยเกบรกษาขอมลสวนบคคลของคณปลอดภย เชน การจดการรหสผานโดยรหสผานของคณจะไดรบการจดเกบไวอยางปลอดภยในพนทฮารดแวรเขารหสลบทซอนไวภายในเครอง (และไมอยในระบบไฟลของไดรฟ) ซงนบเปนครงแรกทเขารหสกบ AES 256-bit โดยใชคยการสมจบเขารหสดวย SHA-256

Thumb Drive เหลานอาจเหนไดท อฟกานสถาน, เพอรกษาความลบทางการทหารใหปลอดภย และแนนอน ถาคณอยากปกปดความลบ ขอมลทสำคญ IronKey อาจเปน Thumb Drive ทคณตองการกได !!! | https://www.ironkey.com

GADGETS

sharkrit.pi@acisonline.net | ชาครต ปยะวานชCompTIA Security+

โปโด

โด

แนวนอน (ACROSS)5 Bar Code แบบสองมต 6 การทดสอบเจาะเขาสระบบโดยไมทราบขอมลของระบบ 7 เครองมอในการคนหา (Seach Operator) ชนดหนงของ Google ใชในการคนหาขอความใน URL 9 ISO/IEC 2700111 เครองมอปองกบการ Skimming ตดตงทต ATM 12 กลลวงเพอใหไดมาซง Username และ Password ซงมกใชหนา Login Page ปลอมเปนสอ 15 เครอขายสงคมซงเปนทนยมอนดบหนงในปจจบน 16 ชอไฟลทจะทำให Thumb Drive ปฏบตงานตามคำสงทนททเชอมตอเขากบคอมพวเตอร 17 การเรยงปมตวอกษรบนโทรศพทเคลอนทรนใหมๆ 18 Best Practice เกยวกบ IT Governance

@SECURE ฉบบนเรานำศพท 20 คำซงลวนเปนคำทเกยวของกบ IT หรอ IT Security มาจดเปน Crossword เพอใหทานผอานไดคลายเครยดกน ลองหาดซครบวามคำวาอะไรบาง

แนวตง (DOWN)1 ชองโหวทสำคญ 10 ประการของ Web

Application 2 ขอมลประชาสมพนธ, โฆษณาชวนเชอ 3 Gadget ทแนะนำใน @Secure ฉบบน 4 นตวทยาศาสตร 7 องคประกอบทสำคญของ Information

Security เนนเรองความถกตองขอมล8 ขอความทโพสผาน Twitter มความยาว

ไมเกน 140 ตวอกษร 10 สมมนาของ ACIS ในวนท 21 กรกฏาคม

2553 13 อปกรณในการสำเนาบตรแถบแมเหลก 14 Malware ททำงานแบบแอบซอนไมให

เหนวตถประสงคทแทจรง หรอหลอกใหเขาใจวาเปนโปรแกรมประสงคด

16 ภาพยนตรตางประเทศททำรายไดสงสดในประเทศไทย

QUIZTIME แนวนอน 5-QRCODE 6-BLACKBOX 7-INURL 9-ISMS 11-GREENSLEEVE 12-PHISHING 15-FACEBOOK 16-AUTORUN 17-QW

ERTY 18-COBITแนวตง 1-OW

ASP 2-PROPAGANDA 3-IRONKEY 4-FORENSIC 7-INTEGRITY 8-TWEET 10-SNSCON 13-SKIM

MER 14-TROJAN 16-AVATAR

à©ÅÂ

11

สวสดครบทานผอานทกทาน บทความปฐมบทสำหรบ @SECURE ทผเขยนจะขอนำเสนอนคอเรอง หลกสตรผนำการตรวจสอบลงทะเบยนสากลสำคญหรอไมสำหรบหนวยงานทไมไดมการจดทำระบบบรหารความมนคงปลอดภยสารสนเทศ (IRCA Lead Auditor, Does it mat-ter for non-implemented ISMS) แตกอนทจะกลาวถง หลกสตรผนำการตรวจสอบลงทะเบยนสากล (IRCA Lead Auditor) ผเขยนขอกลาวถงระบบบรหารความมนคงปลอดภยสารสนเทศหรอทรจกกนในภาษาองกฤษวา “ไอเอสเอมเอส” (ISMS) เสยกอน

คำวา “ISMS” นนยอมาจาก “Information Security Management System” ซงหมายถง สวนหนงของระบบบรหารจดการ อนจะจดสราง ดำเนนการ ปฏบตการ ตดตาม ตรวจสอบ บำรงรกษา และปรบปรง ความมนคงปลอดภยสารสนเทศ โดยอยบนพนฐานของวธการคนหาความเสยงเชงธรกจ (Overview and vocabulary, ISO/IEC 27000:2009, P.3) ทงนผเขยนขอกลาวใหเปนภาษาทเขาใจงายขน คอ ISMS นนเปนวธการบรหารจดการความเสยงของธรกจ แตมขอบเขตอยบนเรองของความมนคงปลอดภยสารสนเทศเปนหลก ซงมาตรฐานสากลหมายเลขอนกรม 27000 นน องคกรทปฏบตตามขอกำหนดจะสามารถขอรบรองจากหนวยงานอสระไดวาองคกรของตนไดปฏบต และเปนไปตามแบบสากล โดยการรบรองนนจะรบรองใหหากปฏบตตามขอกำหนดในมาตรฐานสากล 27001 ทงนเพอใหเกดความเขาใจมากยงขนผเขยนขอนำเสนอสาระสำคญของมาตรฐานสากล 27001 วาจะตองปฏบตอะไรบาง ดงน

ËÅÑ¡Êٵüٌ¹Ó¡ÒõÃǨÊͺŧ·ÐàºÕ¹ÊÒ¡ÅÊÓ¤ÑÞËÃ×ÍäÁ‹ÊÓËÃѺ˹‹Ç§ҹ·ÕäÁ‹ä ŒÁÕ¡Òà Ѵ·ÓÃкººÃÔËÒäÇÒÁÁѹ¤§»ÅÍ´ÀÑÂÊÒÃʹà·È(IRCA Lead Auditor, Does it matter for non-implemented ISMS)

ศภชย ภมรชยศรกจ | supachai.pa@acisonline.netCISSP, CISA, IRCA ISMS Lead Auditor

AUDITCONNER

1. กำหนดนโยบาย และขอบเขตในการบรหารความมนคงปลอดภยสารสนเทศ พรอมวธการในการประเมนและบรหารความเสยง

2. ประเมนความเสยง โดยวเคราะหจากปจจยอนประกอบดวย ทรพยสน ภยคกคาม ชองโหว และโอกาสเกดเหตการณ พรอมทงพจารณาวธการควบคมในปจจบน

3. พจารณาแนวทางการตอบสนองตอความเสยง และวธการลดความเสยงโดยใหเปนไปตามเกณฑการยอมรบความเสยงทไดกำหนดไว

4. นำเสนอแนวทาง และระดบความเสยงทคาดหวงวาจะคงเหลอตอฝายบรหารเพอขอสทธในการดำเนนการ และจดทำเอกสารเพอใชในการตรวจรบรอง

5. วางแผนวธการลดความเสยงในเชงรายละเอยด พรอมทงจดสรรทรพยากรใหพอเพยงตอการปฏบต

6. ฝกอบรมผเกยวของเพอใหสามารถปฏบตได พรอมทงกำหนดวธการวดประสทธผลการควบคม

7. กำหนดวธในการตดตามเหตการณดานความมนคงปลอดภย หรอความผดพลาดทเกดขน

8. จดใหมการตรวจสอบระบบบรหารความมนคงปลอดภยภายใน9. วดประสทธผลการดำเนนการ และรายงานผลตอฝายบรหาร

เพอพจารณาปรบปรงและแกไข10. ดำเนนการตดตามผลการแกไขจาก 10 ขนตอนทกลาวมาขางตนนนสามารถแบงไดเปนระยะการปฏบตตามตวแบบ P-D-C-A ซงกคอ ระยะทหนงการวางแผน ระยะทสองการดำเนนการ, ระยะทสามการตรวจสอบ และระยะทสการลงมอปรบปรง

12

ประการทสอง ความรและสาระสำคญของการอบรมการฝกอบรมในหลกสตร IRCA โดยศนยฝกอบรมแตละแหงนนอาจมความแตกตางกนบางในดานรปแบบ เอกสาร แตสงทเหมอนๆ กนกคอ เนอหาสาระ เพราะวาเนอหานของแตละทกอนจะไดการขนชอวาเปน IRCA จะตองผานการตรวจสอบและพจารณาจากทาง IRCA กอนจงไดรบการรบรองและถกตอง ไมงนหากผอบรมรายใดไปอบรมกบหลกสตร Lead Auditor ซงไมไดรบการรบรอง กจะเสยผลประโยชนทควรไดรบนนกคอ สทธในการขอขนทะเบยนเปนผตรวจสอบทไดรบการรบรองความรครบ และโดยหลกๆ แลวในการอบรมจะแบงความรเปนสองสวนคอ

ความรในขอกำหนดภายในมาตรฐานและการแปลความหมาย เชน 1. ขอกำหนดนใหทำอะไร เอกสารอะไรทจำเปนตามขอกำหนด ลกษณะแบบใดถอวาผดไปจากขอกำหนด เปนตน

ความรเบองตนเกยวกบตรวจสอบ เชน การวางแผนการตรวจสอบ 2. การเลอกผตรวจสอบ กจกรรมทผตรวจสอบตองปฏบตเพอใหการตรวจสอบไดคณภาพ เทคนคในการสอสาร เทคนคในการรายงาน เปนตน ซงหากผอบรมคนใดเคยสอบผานการอบรม (การอบรมจะมสอบ) หลกสตร Lead Auditor ของมาตรฐานอนมาแลว เชน ISO 9001, ISO 14000 กจะสามารถขามเนอหาสวนทสองไปได แตสำหรบผทไมเคยเปนผตรวจสอบหรอผานการอบรมมากอนกจะไดรบการอบรมทงสองสวน ซงโดยสวนตวของผเขยนขอบอกวาหลกสตร IRCA ไดรบการออกแบบมาดจรง ทำใหผฝกอบรมไดคดและคนเคยกบการตรวจสอบ เพราะวามการจำลองสถานการณ ผเขาฝกอบรมจะไดเลนบทบาท (Role-play) ทอาจเกดขนไดในการตรวจสอบ

ประการสดทายคอ ผลประโยชนสำหรบผผานการอบรม ในปจจบนงานตรวจสอบ (Audit) ในเชงระบบสารสนเทศและความมนคงปลอดภยเรมเขามบทบาทสง ผเขยนเองกพบวาหลายหนวยงานทรบสมครผตรวจสอบสารสนเทศ (IT Auditor) เรมมการกำหนดคณสมบต ดานความรทเกยวของกบมาตรฐาน ISO 27001 ดวยซงหากผสมครคนใดทมความรดงกลาวกจะไดรบการพจารณาเปนพเศษ ซงหากผสมครมใบประกาศฯจากหนวยงานสากลทเกยวของรบรองวาผานการอบรมความรในเรองการตรวจสอบดงกลาวแลวกคงเปนหลกฐานทยนยนไดดกวาคำพดเปนแนนอน ดงนน การอบรมกอาจเพมผลประโยชนสำหรบบคคลนน

ผเขยนหวงวาขอมลในบทความนคงชวยใหผอานสามารถตดสนใจไดวา หลกสตรผนำการตรวจสอบลงทะเบยนสากลสำคญหรอไมสำหรบหนวยงานทไมไดมการจดทำระบบบรหารความมนคงปลอดภยสารสนเทศ แตโดยสวนตวของผเขยนแลวขอแสดงความคดเหนวา การอบรมการพฒนาความรบคลากรเปนสงทสำคญอนจะทำใหหนวยงานและองคกรกาวหนาไปไดทงน การฝกอบรมและการพฒนาความรกมขอจำกดโดยธรรมชาต คอ ระยะเวลาซงตองใหเวลากบบคลากรในการเรยนรเสยกอน ไมมการอบรมอะไรทสามารถสรางคนไดเสรจสมบรณดวยระยะเวลาเพยง 3-5 วน ดงนน หากหนวยงานคดวาตองการพฒนาบคลากรใหมความรและความสามารถ หนวยงานกจำเปนทจะตองวางแผนและสงบคลากรมาอบรมแตกอนระยะเวลาทคาดวาตองการใชงาน มเชนนนสงทหนวยงานจะไดกลบไปกคอ บคลากรทยงไมพรอมใชงาน .

ผอานคงจะเรมเหนวาจรงแลวขอกำหนดของมาตรฐานกมความสลบซบซอนพอสมควร และคงเหนพองตองกนวาถาหนวยงานตองการขอรบรองมาตรฐานสากลแลว ความรเกยวกบการตรวจสอบตามมาตรฐานสากลนกคงจะปฏเสธไมได ผทจะเปนผตรวจสอบระบบบรหารความมนคงปลอดภยสารสนเทศภายในควรทจะตองไดรบการอบรมหลกสตรดงกลาว แตสำหรบในหนวยงานทไมไดตองการขอรบรองมาตรฐานสากล หรอหนวยงานทยงไมไดมการบรหารความมนคงปลอดภยสารสนเทศแลวควรจะตองมการจดสงบคลากรไปอบรมหรอไม ผเขยนไมขอเปนผใหคำตอบเอง แตจะขอนำเสนอขอมลดงตอไปนเพอใหผอานไดพจารณาและตอบคำถามดงกลาวดวยตวผอานเอง

ประการทหนง แนวโนมการเตบโตและความนยมขอมล ณ วนท 15 พฤษภาคม 2551 ประเทศไทยมรายชอหนวยงานทลงทะเบยนผานการรบรองมาตรฐานสากล ISO 27001 จำนวน 8 หนวยงาน และขอมล ณ วนท 29 พฤษภาคม 2553 ประเทศไทยมรายชอเพมขนเปน 34 หนวยงาน (ขอมลจากเวบไซต http://www.iso27001certifi cates.com) ทงนรายชอหนวยงานดงกลาวเปนหนวยงานทผานการรบรองและยอมใหมการลงเบยนขอมลเพอเปดเผยชอ ซงไมนบหนวยงานทผานแตไมเปดเผยรายชอ ถงตรงนผเขยนคดวาผอานคงจะเหนถงแนวโนมกระแสความนยมจนทำใหเกดการขยายตว และอาจจะตองกลบมาคดวาในหนวยงานของตนเองทอาจจะยงไมไดดำเนนการนนมแนวโนมเปนอยางไร หากมแนวโนมทอาจจะตองปฏบต การจดเตรยมบคลากรใหพรอมกถอเปนพนธกจหนงทจะตองรบดำเนนการ เพราะใชวาสงคนไปอบรมแลวจะสามารถกลบมาปฏบตงานไดในทนท การเรยนรสงเหลานตองใชเวลา

13

¤ÇÒÁÊÑÁ¾Ñ¹ �ÃÐËÇ‹Ò§ “Risk Analysis”“Risk Assessment” áÅÐ “Risk Management”

การบรหารความเสยง (Risk Management) เปนกระบวนการหลกในการบรหารจดการในหลายๆ ดาน เชน Corporate Governance, IT Gov-ernance, IS Governance ตลอดจน Information Security Management System เปนตน และในกระบวนการบรหารความเสยงกประกอบไปดวยกจกรรมตางๆ อกหลายกจกรรม ไดแก การประเมนความเสยง (Risk Assessment), การวเคราะหความเสยง (Risk Analysis) ซงหลายคนอาจยงสบสนและสงสยในความสมพนธของกจกรรมเหลาน

ในบทความฉบบน เราจะมาทำความเขาใจถงความสมพนธระหวางการวเคราะหความเสยง (Risk Analysis), การประเมนความเสยง (Risk Assessment) และการบรหารความเสยง (Risk Management) รวมทงตวอยางกรอบการดำเนนงาน (Framework) สำหรบการประเมนความเสยงและการวเคราะหความเสยงทนาสนในกนครบ

¡ÒûÃÐàÁÔ¹¤ÇÒÁàÊÕ§การประเมนความเสยง คอ กระบวนการในการวเคราะหภยคกคาม

และชองโหวหรอจดออนตางๆ ทอาจเกดขนไดกบทรพยสนสารสนเทศขององคกร เพอหาความเสยงในการถกเปดเผยขอมลหรอถกโจมต ผลลพธทไดจากวเคราะหน สามารถนำไปใชสำหรบกำหนดมาตรการควบคมทเหมาะสมและคมคาในการลงทน (Cost-Eff ective) เพอลดความเสยงทไดจากการประเมน

คำถามโดยทวไปสำหรบการประเมนความเสยง ไดแก:ปญหาคออะไร?1. มนมความสำคญอยางไร?2. อะไรจะเกดขนหากเราละเลยปญหาน?3.

¡ÒÃÇÔà¤ÃÒÐË�¤ÇÒÁàÊÕ§การวเคราะหความเสยง คอ กระบวนการในการรวบรวมชองโหว

และภยคกคามทไดจากการเกบรวบรวมขอมลจากการประเมนความเสยง เพอหาความเสยงทงในดานความถ และปรมาณความเสยง โดยในการวเคราะหอาจประกอบดวยการคำนวณทางสถต เชน Value at Risk (VAR), Annual Loss Expectancy (ALE) หรอ Return on Security Investment (ROSI)

คำถามสำหรบวเคราะหความเสยงโดยทวไป ไดแก:สาเหตของปญหาคออะไร?1. มนกระทบกบอะไรบาง?2. คาใชจายสำหรบปญหามคาเทาไหร?3. ใครมหนาทในการแกไขปญหาน?4. การแกไขปญหาคมคาสำหรบการลงทนหรอไม?5.

ประสาทพร นลกำแหง | prasatporn.ni@acisonline.netCISA, CISSP, IRCA ISMS Lead Auditor

จากรปท 1 เปนการแสดงเฟรมเวรคของการประเมนความเสยง ขนตอนแรกจะเรมจากการระบตวทรพยสนสารสนเทศขององคกร และการประเมนคณคาของทรพยสน ซงเปนการประเมนเชงคณภาพ (Quali-tative) คาทไดเปน ตำมาก (Very Low) จนถง สงมาก (Very High) หลงจากนนเปนการประเมนหาชองโหว และภยคกคามททำใหเกดความเสยงตอตวทรพยสน เมอทราบถงระดบความเสยงทไดขนตอนตอไป คอการเลอกตวควบคมเพอลดความเสยงใหอยในระดบทยอมรบได ซงตองพจารณาถงความคมคาในการลงทนของตวควบคมทเลอกดวย (Control Evaluation) ขนตอนตอไปคอการประเมนความเสยงคงเหลอ (Residual Risk) ภายหลงจากการควบคม จากนนวางแผนเพอดำเนนการ (Action Plan) ตามมาตรการควบคมทวางไว

รปท 1 Risk Assessment Frameworkทมา: IT Governance Institute, IT Governance Implementation Guide,2nd Edition

14

รปท 2 กระบวนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ

กระบวนการทกลาวมาทงหมด (Risk Analysis, Risk Assessment) เปนกระบวนการทเกดขนในกระบวนการบรหารความเสยง (Risk Man-agement) จากภาพท 2 เปนการแสดงใหเหนถงความสมพนธทชดเจนระหวางกระบวนการประเมนความเสยง, การวเคราะหความเสยง และ การบรหารความเสยง ตามมาตรฐานของ ISO/IEC 27005:2008 ซงเปนมาตรฐานการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ

จากรปท 2 สรปไดวากระบวนการบรหารความเสยง นนประกอบดวยกระบวนการยอย 2 กระบวนการดวยกน นนคอ การประเมนความเสยง และการวเคราะหความเสยง ซง การวเคราะหความเสยงเปนสวนหนง

ของการประเมนความเสยงนนเอง .

This intensive, 10-day classroom course (4 days + 4 days + 2 days) +

50 hours of self-paced e-learning is designed for students who would

like to fast-track their ITIL Expert Certifi cation. Through a mix of self-

paced study and instructor-led interactive teaching, you can leverage

time to your advantage while working toward the highest level of inter-

nationally recognized certifi cation available in the ITIL domain.

Participants will learn about the principles and core concepts of the

Service Lifecycle approach to IT Service Management at the manage-

ment-level, according to the ITIL v3 Lifecycle approach. This includes

a focus on the management and control elements of the Service Life-

cycle and the processes associated with all Lifecycle modules, includ-

ing Service Strategy (SS), Service Design (SD), Service Transition

(ST), Service Operation (SO), and Continual Service Improvement

(CSI). The Managing Across the Lifecycle capstone course will be

started on completing the fi ve Lifecycle courses and exams.

This training course is delivered through a unique blend of self-paced

and instructor-supported e-learning and high-intensity, fast-paced

classroom delivery. ITpreneurs’ courseware is designed using an en-

gaging, scenario-based approach to learning the core disciplines of

the ITIL best practices in a highly engaging manner.

Audience for the Lifecycle Track:

This course provides guidance towards the implementation of ITSM

in an organization, and the process relationships, roles, and respon-

sibilities. This course is suitable for IT managers, process owners,

ITSM implementation teams, consultants, stakeholders and anyone

else involved in the ITSM project.

Course Prerequisite

Basic IT literacy and around 2 years’ IT experience are highly •

desirable.

ITIL v3 Foundation certifi cation or ITIL v2 Foundation plus ITIL v3 •

Foundation Bridge certifi cations.

Completion of at least 133 hours of personal study by reviewing •

the course syllabi and the associated areas of the

ITIL Service Management practice core guidance, in particular •

the Service Strategy, Service Design, Service Transition,

Service Operation, and Continual Service Improvement publica-•

tions, in preparation for the examinations.

Before starting the Managing Across the Lifecycle component of •

the program all Lifecycle Exams should have been successfully

completed.

Instructor

Abbey L. WiltseITIL Accredited Trainer, ITIL v3 Expert, ITIL Service Manager, ITIL v3 Capability Suite

(PPO, SOA, RCV, OSA), ITIL v3 Lifecycle Suite (SS, SD, ST, SO, CSI), ITIL v3 Man-

agin Across the Lifecycle, ITIL v3 Manager Bridge, ITIL v1 - v3 Foundation, ISO/IEC

20000 Consultant Certifi cation - itSMF

ITIL Expert Program(Lifecycle Track) - English

2-9, 25-26 August 2010 @ ACIS Professional Center

Tuition FeeFor more information:

Ms. Athitiya W.Sobprasong

athitiya.w@acisonline.net

tel. 0 2650 5771 # 151

fax 0 2650 5776 8,000 US$

(VAT EXCLUDED)

15

คณทราบหรอไมวาพนกงานในองคกรของคณกำลงใช Facebook หรอ • Twitter อยางไมปลอดภย หลายคนเสยทรพยและสญเสยความเปนสวนตว จากการใช Facebook • หรอ Twitter โดยไมระมดระวง ทำไมนโยบายของบรษทชนนำหรอองคกรขนาดใหญ จงอนญาตใหใช • Twitter แตไมอนญาตใหใช Facebook ? มความจำเปนตองใช Facebook หรอ Twitter แตจะใชอยางไรใหปลอดภย• จากภยอนเทอรเนต ปองกนขอมลรวไหล และใชอยางถกกฎหมายดวย วเคราะหประเดนใหเหน • “ประโยชน” และ “โทษ” ของการใช Social Networking และ Social Media ตอบคคลและองคกร ความเหนของผเชยวชาญดานความมนคงปลอดภยระดบโลกสำหรบ• เรองความปลอดภยของการใช Social Networking และ Social Media (ขอมลจากงานสมมนา RSA Conference 2010 สรปโดย อ.ปรญญา หอมเอนก)

มมมองดานความปลอดภยของการใช Social Networking และ Social • Media ในการเสรมภาพลกษณและเทคนคในการปองกนขอมลสวนบคคลรวไหล จากเจาของเวบไซตชอดง Kapook.com รเทาทนภยคกคามบนสงคมออนไลนผานตวอยางทนาสะพรงกลวพรอม• วธปองกนตนเองและองคกร โดยผเชยวชาญจาก ACIS Professional Center 10 สตรสำเรจ “Do and Don’t”• ในการใช Social Networking และ Social Media อยางไรจงจะปลอดภยจากภยมดในหลากหลายรปแบบ ในระดบบคคลและระดบองคกร พเศษ: แจกฟร Best Practice: “How to Use Social Networking in a • Secure Manner / ใช Social Network ครงตอไป ปลอดภยหายหวง”

ËÒ¡·‹Ò¹ÂѧäÁ‹á¹‹ã¨Ç‹Ò¨Ð㪌 Facebook ËÃ×Í Twitter ÕËÃ×ÍäÁ‹ ·Ñ§ã¹ÃРѺºØ¤¤Å áÅÐÃРѺͧ¤�¡Ã á¹Ð¹ÓNjҤس¤ÇÃࢌҿ§§Ò¹ÊÑÁÁ¹Ò㹤Ãѧ¹Õà¾×ͪ‹ÇÂ㹡ÒõѴÊÔ¹ã¨

Êͺ¶ÒÁ¢ŒÍÁÙÅ áÅÐÊÓÃͧ·Õ¹Ñ§ä Œ·Õhttp://www.acisonline.net/snscon2010 ËÃ×ͤسÇÃÒ¾§È� / ¤Ø³ÅÑ´´Òâ·Ã: 0 2650 5771 ¡´ 2ÍÕàÁÅ�: snscon2010@acisonline.net

JULY 2010

12-16 CISSP The Offi cial CISSP CBK Review Seminar (Accredited

Training by ISC2) (CISSP Certifi cation)

12-16 PEN Professional Vulnerability Assessment and Penetra-

tion Testing Techniques

19-23 ISEC Network System and Internet Security for IT Profes-

sional

19-23 CISM CISM Examination Preparation Program (CISM

Certifi cation)

28-30 GRC Practical GRC and Information Security Governance

Implementation Workshop

28-30 IRM IT and Information Security Risk Management Using

NIST SP800-30, ISO/IEC 27005:2008 and ISACA

Risk IT Framework

AUGUST 2010

2-9, 25-26 ITILE ITIL Expert Program (Lifecycle Track) - English

4-6 ISF Information Security Fundamental for Management

5-6 SSDLC Secure Software Development Life Cycle

9-11 ITILF ITIL V3 Best Practices for IT Service Management

(ITIL Foundation Certifi cation)

19-20,23-25 PMP Project Management Professional (PMP Certifi cation)

25-27 NFA Network Forensic Analysis Workshop

26-27 ITCF Introduction to IT and Information Security Manage-

ment International Standards, Best Practices and

Frameworks

SEPTEMBER 2010

2-3 MIT Information Technology Essentials for Management

6-10 ISMS ISO/IEC 27001:2005 (ISMS) Lead Auditor (Accredited

Training by IRCA) (ISMS Certifi cation)

13-17 NAT Network Security Management, Monitoring and

Troubleshooting Workshop

13-17 CSSLP The Offi cial CSSLP CBK Review Seminar (Accredited

Training by ISC2) (CSSLP Certifi cation)

20-22 BCP Practical Business Continuity Management System

(BCMS), Business Impact Analysis (BIA), Business

Continuity Planning (BCP) and Disaster Recovery

Planning (DRP)

23-24 FRD Corporate Fraud Prevention and Detection

27-29 ACOBIT IT Assurance using CobiT 4.1 and IT Assurance

Framework (ITAF)

27-30, 1 CISA CISA Examination Preparation Program (CISA

Certifi cation)

� Public Training

“Public Training” สำหรบ @SECURE ฉบบปฐมฤกษนขอถอโอกาสแนะนำบางสวนของหลกสตรการฝกอบรมดานการรกษาความปลอดภยสารสนเทศทนาสนใจ ซงหลายหลกสตรไดรบการรบรองมาตรฐานการฝกอบรมในระดบสากล (Offi cial Training Course) โดยมกำหนดการจดการฝกอบรมระหวางเดอนกรกฎาคม - กนยายน 2553

Êͺ¶ÒÁ¢ŒÍÁÙÅ áÅÐÊÓÃͧ·Õ¹Ñ§ä Œ·Õhttp://www.acisonline.net/training ËÃ×ͤسͷԵÔÂÒ / ¤Ø³ÊÔÃÔÇÃóâ·Ã: 0 2650 5771 ¡´ 3ÍÕàÁÅ�: acis-training@acisonline.net

ทงหมดขางตน เปนเพยงตวอยางบางสวนของหลกสตรการฝกอบรมท “Public Training” ใครขอนำเสนอเปนขอมลทางเลอกไวใน @SECURE

ฉบบปฐมฤกษน และหากทานมความสนใจในรายละเอยดของหลกสตร หรอแนวทางการฝกอบรม กรณาตดตอสอบถามไดจากเจาหนาทซงปรากฎขอมลการตดตอทางดานลาง ... เจาหนาทของเรายนดใหบรการทกทานอยางเตมท

16

LIFESTYLE

¡Ô¹ä»-à·ÕÂÇä»รานชมววซฟด

12.815107, 99.993428 | +12° 48’ 54.39”, +99° 59’ 36.34”

Dolphin Bay Resort:12.241903, 99.984641 | +12° 14’ 30.85”, +99° 59’ 4.71”

http://www.dolphinbayresort.com

หลงจากอมกนแลวกไดเวลาออกเดนทางสจดหมายปลายทางกนท“Dolphin Bay Resort” ใชเวลาเดนทางจากชะอำราวชวโมงนดๆ สาเหตทแนะนำทพกทน กเพราะราคาไมสงมาก บรรยากาศด มสระวายนำอยตรงกลางรสอรท ลอมรอบดวยหองพก ซงมใหเลอกหลายแบบ และทสำคญ คอ ผคนไมคอยพลกพลานนก เหมาะสำหรบผทชนชอบการดมดำกบบรรยากาศ หรอตองการปลกวเวกเปนอยางยง

สำหรบการเดนทางไป Dolphin Bay Resort กไมยาก ใชเสนทาง ถนนเพชรเกษมผานชะอำ ตรงผานหวหนไปทางปราณบร/ประจวบครขนธ ผานหวหนไปอกราว 20 กโลเมตรจะถงแยกทถนนเลยงเมองเชอมตอกบถนนเพชรเกษม ใหขบตรงไป ผานสญญาณไฟจราจรแรกดานหนาคายทหารธนะรตน เมอถงไฟจราจรทสอง ใหเลยวซาย (จะเหนหางเทสโกโลตสกำลงสรางอยตรงหวมม)

สำหรบหองพกทนกมใหเลอกหลายแบบ ครงนผมเลอกพกเปนแบบหองชดสามหองนอน ซงมเฉลยงอยตดกบสระวายนำและสวน นอกจากนทนยงมหองบงกะโลและหองพกชนสอง, หองชดขนาด 1-3 หองนอน รวมทงบานพกขนาด 6 หองนอนไวคอยใหบรการอกดวย อตราคาบรการกตงแต 1,490 - 12,600 บาท/คน แตถามาพกในชวงวนหยดราคาจะเพมขน 300 - 500 บาท แลวแตประเภทของหองพก ซงราคานไมรวมอาหารเชานะครบ แตถาจะทานกจายเพมหวละ 150 บาท สำหรบเบอรตดตอ รสอรท 032- 559-333, 032-559-360

หลงจากเกบของเขาหองพกแลวลางหนาลางตากไดเวลาสบายๆ ตามสายลมและเสยงคลนกนไดแลว ใครอยากทำอะไรตามสบายไดเลย อยากนอนอานหนงสอรมทะเล หรอจะถายรป หรอจะพายเรอแคนนกเตมทกนไดเลย รอจนแดดรมลมตกกไดเวลากระโดดนำเลนกนแลว เอาแบบใหสนกกนเตมทไปเลย เพราะดวยผคนไมเยอะมากเหมอนหาดชะอำ หวหน หรอพทยา และกไมมแมคา พอคา มาเดนใหเสยอารมณ อยากทานอะไรกมรานเยอะแยะ แตวาเราตองเดนไปสงกนเองนะครบ

สำหรบมอเยน เราเลอกทจะไปทานกนท “รานชมทะเล” ซงตงอยไมไกลจากทพกของเรา จะเดนรบลมไปเรอยๆ หรอจะขบรถไปกได อาหารทะเลทนสด และอรอยทกอยาง เราเลอกสงตมยำโปะแตกนำขน กงเผา ปนง ปลาหมกไขยาง หอยนางรมสดๆ แลวกปลาเผา และขาวผดป ซงเสรฟมาพรอมกบนำจมรสเดด

อมหนำกนเปนทเรยบรอยแลวกไดเวลากลบทพก ทำกจธระสวนตว และพกผอนตามอธยาศย ... วนรงพรงนจะไดตนมารบอรณ สดโอโซนกนใหเตมปอดกอนออกเดนทางกนตอไป

เหนทจะตองพกยกไวแคนกอนนะครบ โควตาหนากระดาษเคาใหมาจำกดจรงๆ ฉบบหนา เรายงคงอยกนทปราณบร ซงผมจะพาไปเทยว วนอทยานแหงชาตปราณบร ซงสวยงาม และมอะไรมากกวาเคยคดกนไว ตดตามกนตอฉบบหนาครบ .

หลงจากทไดรอกนมานานสำหรบ @SECURE ของพวกเรา สดทายกไดคลอดฉบบปฐมฤกษออกมาแลว กอนอนตองขอสวสดอยางเปนทางการกนอกทนะครบ หลงจากทไดรบเนอหาความรทางวชาการเกยวกบ Information Security กนมาจนแนนหวกนหมดแลว เรามาอานอะไรสบายๆ คลายเครยด เบาสมองกนดกวา คอลมนน กเปนอะไรสบายๆ นะครบ จะพากนพาเทยว ทวไทย ไปเรอยๆ ตามประสบการณทไดไปมา สมผสมา กจะเอามาเขยนใหทกทานไดอานกน

สำหรบฉบบแรก เปาหมายทจะพาทกทานไปกน กคอ สามรอยยอด

ปราณบร ซงระหวางการเดนทางกจะพาแวะกน แวะเทยวไปเรอยๆ การเดนทางในทรปนเราควรมเวลาซก 2 วน พรอมกนแลวเราออกเดนทางกนเลยดกวา โดยใชเสนทางถนนพระรามท 2 ผานแยกวงมะนาว มงหนาเขาสชะอำเพอแวะหาอะไรอรอยๆ ทานกนท “รานชมววซฟด” โดยคำนวณเวลาเดนทางจากกรงเทพฯ ใหถงซกประมาณกอนเทยงเลกนอย เพอจะไดอมอรอยกบอาหารทะเลกนเตมท

รานชมววซฟดนตงอยบรเวณสะพานปลา ตดชายหาดชะอำ (ใกลวดเนรญชราราม) อาหารทะเลทนสดจรงๆ มทงป ทงปลาซงเลยงในบอเพอใหลกคาไดเลอกนำมาปรงเมนตามใจชอบ สำหรบเมนแนะนำ ไดแก หอยหวานอบเนย, ปมานง, ปลาเกานงซอว, ปลากะพงเผาเกลอ อนนผมแนะนำเองนะครบ ไมรจะถกใจใครหรอเปลานะครบ

prawit.pi@acisonline.net | ประวทย ปนเกตCompTIA Security+

17

SOCIAL

¹Ô·Ò¹ÃŒÍÂàÃ×ͧ ¡Ñº àÊ×͡ѹ½¹¢Í§Ë¹Ùเดอะสยามธาราวาลย ชวนเพอนๆ ไปเยยมนองๆ ทบานพะตหมอโจ ต.แมหละ อ.ทาสองยาง จ.ตาก กนอกครง หลงจากทรปคายปทแลว (สำรวจ 18-19 กรกฎาคม 2552 และเดนทางจรง 19-22 พฤศจกายน 2552) ซงในครงนมกำหนดการเดนทางระหวางวนท 23-27 กรกฏาคม 2553 และจะนำหนงสอนทาน และเสอกนฝนไปฝากนองๆ ดวย

"กจกรรมในครงนนอกจากจะเพอตดตามผลการดำเนนงานในปทผานมาแลว ยงมวตถประสงคเพอการแบงปนความสขใหนองๆ ชาวไทยภเขาใหไดมโอกาสสนกกบนทาน ไดฝกอานหนงสอภาษาไทย ใหเสอกนฝนเพอสขภาพของนองๆ เราไมขออะไรมากมายแคนทานสกเลม เสอกนฝนสกตว ซงหากทานใดมอยแลว หรอเปนของเกาทอยในสภาพดเรากรบ แตถาอยากเดนทางไปมอบใหนองๆ ดวยตวเองกยนดนะครบ ไดทำความดแถมยงไดเทยวอกดวย

การเดนทางในครงน เราคงไมสามารถจะนำสงของใดๆ ไปไดมากนก คงนำไปเทาทจะสามารถนำไปได เพราะการเดนทางในชวงฤดฝนนนคอนขางยากลำบากมาก และนอกจากจะไปเยยมนองๆ บานพะตหมอโจแลว เราจะไปสำรวจโรงเรยนบานทจอหลอคดวย" นายทวากร ผบรหารเดอะสยามธาราวาลยกลาว

สอบถามขอมลเพมเตม และใหความสนบสนนไดท คณทวากร ทองอนทรthamxxx2@hotmail.com | www.siamtharawalai.com | 081 494 3770

“ËÅ‹Í”ศลปะอกหนงแขนงทสบทอดกนมาอยางยาวนานคบานคเมองไทย ซงหลายๆ ทาน

อาจคาดไมถงวาประเทศไทยของเรานนเปนผผลต และสงออกงานปฏมากรรมรปปนทองเหลองหรองานสมฤทธเปนหลกของโลก แมในปจจบนจะมผลตภณฑของประเทศจนอยบาง แตความปราณตกยงสฝมอคนไทยไมได

จากอดต ชางหลอไทย ซงเปนหนงในตระกลชางสบหม ไดหลอพระพทธปฎมาองคใหญไดอยางวจตรงดงาม สบเนองกนมายาวนานนบรอยปจวบจนถงยครตนโกสนทร โรงหลอนอยใหญตงขนมากมายในยานพรานนกจนเรยกขานกนวา “เขตบานชางหลอ” ซงในขณะนกหนาแนนไปดวยประชากรผอยอาศยจำนวนมาก จนโรงหลอตองยายตวเองออกไปตามนอกเมองหรอตางจงหวด

ฝมอคนไทย กบงานศลปะเชนนยงเปนทเชดหนาชตาไดไมนอย โดยเฉพาะสำหรบนกชอปมอหนกทไปทองเทยวในประเทศ เชน หลายมองดงในยโรป ตางกตาลกวาวกบงานปฏมากรรมชนเอกทวางขายในหอศลปหร เสยดายทวางานแตละชนไมไดประทบตรา “เมดอนไทยแลนด” เทานนเอง ทำใหหลายทานไมทราบวา .. นแหละฝมอคนไทยทงสน

@SECURE ขอขอบคณภาพตวอยางสนคา และกระบวนการผลตปฏมากรรมทองเหลองจาก บรษท อศจรรย บรอนซฟาวนดร จำกด ซงเปนหนงในโรงหลอแนวหนาของประเทศไทย โดยดำเนนการผลตและจดจำหนายสตลาดสากลมากวา 10 ป

ตดตอ “อศจรรย” | aj@asajan.com | www.asajan.com | 02 888 2955-7