News

| Wednesday, 17 July 2019 |
Written by 

ความเสี่ยงด้านไอที ภัยคุกคามที่ป้องกันได้

สวัสดีครับ กลับมาพบกับผมนายตรวจสอบภายในธรรมนิติอีกแล้วนะครับ พูดถึงความเสี่ยงทุกคนคงจะรู้อยู่แล้วใช่ไหมครับว่าคือ โอกาสที่ภัยคุกคาม (Threat) จะใช้ช่องโหว่ (Vulnerabilities) ของทรัพย์สิน (Asset) เพื่อก่อให้เกิดความเสียหายต่อชื่อเสียงหรือรายได้ หรือข้อมูลที่สำคัญขององค์กรหรือส่งผลกระทบต่อเป้าหมายขององค์กรครับ สำหรับภัยคุกคามเป็นสิ่งที่มีอยู่ตามธรรมชาติไม่สามารถควบคุมได้ ดังนั้นหากเราต้องการลดความเสี่ยงที่จะเกิดทางด้านไอที เราจึงควรปิดช่องโหว่ให้ได้มากที่สุดครับ

 

ผมเลยจะขอยกตัวอย่างของช่องโหว่ทางด้านไอทีซึ่งได้แก่

1. ช่องโหว่ด้านเทคนิค : อาจหมายถึง ความบกพร่องของตัวโปรแกรม ซึ่งเราสามารถอุดช่องโหว่ได้มั่นอัพเดท Patch หรืออาจจะพัฒนาระบบบริหารจัดการช่องโหว่ (Vulnerabilities Management) เพื่อเป็นการป้องกันในระยะยาวก็เข้าท่านะครับ

 

2. ความตระหนักรู้ของพนักงาน หรือ Human Error : ซึ่งอาจจะเกิดขึ้นได้ทุกวันเลยครับ ตัวอย่างเช่น การเปิดเผยรหัสผ่านบนโต๊ะทำงาน การคลิกลิงค์ (Link) แปลกปลอมจาก Email การลักลอบติดตั้งซอฟต์แวร์เองโดยไม่แจ้งผู้ดูแลระบบ ซึ่งการกระทำเหล่านี้อาจทำไปโดยรู้เท่าไม่ถึงการณ์ และบางเหตุการณ์นี้ก็ก่อให้เกิดความเสียหายที่รุนแรงได้เลยนะครับ ซึ่งเราสามารถแก้ไขปัญหาได้ง่าย ๆ โดยการให้ความรู้และสร้างความตระหนักในการใช้งานระบบสารสนเทศอย่างปลอดภัยให้พนักงานทุกคนรับทราบอย่างต่อเนื่องสม่ำเสมอครับ

 

3. ความพร้อมใช้งานของระบบสารสนเทศ :  เครื่อง Server หรืออุปกรณ์ Network ใช้งานไปเรื่อย ๆ จะเสียหรือจะพังก็เป็นเรื่องธรรมดาใช่ไหมครับ หากเราเตรียมตัวไว้ก่อน เช่น มีการตรวจสอบสภาพอย่างสม่ำเสมอ มีการสำรองและทดสอบการกู้คืน เกิดปัญหาขึ้นมาคงแก้ไขได้อย่างรวดเร็ว แต่หากไม่เตรียมตัวไว้ให้ดีก็ตัวใครตัวมันละคร้าบบ

ดังนั้นเราควรประเมินช่องโหว่ทางด้านไอทีของบริษัทกันตั้งแต่ตอนนี้เลยครับ เพื่อเป็นการลดความเสี่ยงที่จะเกิดได้อย่างมีประสิทธิภาพนั่นเองครับ

 

เรื่องโดย : นายพชร แก้ววิเศษ และนายผดุงเกียรติ จำชาติ  ฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ

 

++++++++++++++++++++++

Last modified on Wednesday, 17 July 2019