A New International Standard on Cloud and PII

The protection of personally identifiable information (PII) is a global issue that affects everyone. PII being processed by ICT systems can be especially vulnerable to various forms of threats and cyber risks unless adequate and effective protection is implemented. One area in which the protection of PII has raised concerns is that of PII in […]

Read more
image1

จากบทความในฉบับที่แล้วเราได้ทำความเข้าใจเกี่ยวกับกรอบดำเนินงานการบริหารบุคคลากรด้าน Cybersecurity ที่เรียกว่า National Cybersecurity Workforce Framework ของประเทศสหรัฐอเมริกา ซึ่งมีส่วนช่วยให้องค์กรเข้าใจถึงองค์ประกอบที่สำคัญในการวางแผนพัฒนาบุคคลากรด้าน Cybersecurity ให้มีความรู้ ทักษะ และ ความสามารถ ในการช่วยป้องกันภัยคุกคามทางไซเบอร์ที่นับวันจะมีจำนวนที่เพิ่มขึ้น และ ซับซ้อนมากขึ้นโดยลำดับ บทความฉบับนี้ ผมขอกล่าวถึงแนวทางในการใช้ National Cybersecurity Workforce Framework นี้ในรายละเอียด ที่องค์กรสามารถนำมาประยุกต์ใช้เพื่อตอบสนองความต้องการบุคคลากรทางด้าน Cybersecurity จากการที่ NICE’s National Cybersecurity Workforce Framework ได้มีการแบ่งความชำนาญพิเศษ (specialty area) ออกเป็นทั้งหมด 31 หัวข้อ และจัดความชำนาญพิเศษที่มีความเกี่ยวข้องกันให้อยู่ในกลุ่มหน้าที่เดียวกัน ซึ่งทาง NICE ได้จัดแบ่งกลุ่มหน้าที่ของงานด้าน Cybersecurity ออกเป็น 7 กลุ่มหน้าที่ ดังนี้ กลุ่มหน้าที่ จัดทำและส่งมอบ “SECURELY PROVISION” ประกอบด้วยความชำนาญพิเศษ ด้านการออกแบบ และ จัดสร้างระบบ […]

Read more

  ปัจจุบันเทคโนโลยีด้านคอมพิวเตอร์ และ อินเทอร์เน็ต ได้ก้าวหน้าไปอย่างรวดเร็ว และ มีการใช้งานที่แพร่หลายทั้งในส่วนภาครัฐ เอกชน ประชาชนทั่วไปสามารถเข้าถึงข้อมูลข่าวสารผ่านอุปกรณ์พกพาที่เชื่อมโยงกับระบบอินเทอร์เน็ตตลอด 24 ชั่วโมง ได้อย่างรวดเร็ว ก่อให้เกิดประโยชน์ต่อองค์กร และ สังคม BYOD (Bring Your Own Device) และ BYOD (Bring Your Own Cloud) กำลังได้รับความนิยมอย่างมาก แต่ก็มาพร้อมกับความเสี่ยงที่เพิ่มมากขึ้นทั้งปริมาณและความสลับซับซ้อน โดยเฉพาะความเสี่ยงด้าน Cybersecurity ทั้ง 3 ด้านได้แก่ People, Process และ Technology ซึ่งจุดอ่อนที่สุดก็คือ “People” ดังนั้นจึงเป็นความท้าทายอย่างมากของทุกองค์กรในทุกประเทศ ที่จะต้องเตรียมความพร้อมในด้านบุคลากรให้มีความรู้ ทักษะความสามารถ ในการวิเคราะห์ วางแผน และ จัดการ ความเสี่ยงด้าน Cybersecurity ได้อย่างมีประสิทธิผล และ ประสิทธิภาพ   เนื่องจากงานทางด้าน Cybersecurity มีความหลากหลาย […]

Read more
รูปที่ 1 : “National Cybersecurity Workforce Framework”

ในปัจจุบัน รัฐบาลหลายประเทศกำลังมองว่าไซเบอร์สเปซ (Cyberspace) คือ โดเมนที่ห้าแห่งการทำสงครามทางการทหาร (The Fifth Domain of Warfare) นอกเหนือจาก พื้นดิน, ผืนฟ้า, อากาศ และ อวกาศ แล้ว “ไซเบอร์สเปซ” ถือเป็นอีกโดเมนหนึ่งที่มีความสำคัญในการสู้รบเพื่อเอาชนะฝ่ายตรงข้าม จะเห็นว่าประเทศสหรัฐอเมริกาและประเทศจีนให้ความสำคัญกับเรื่อง Cyberwarfare ถึงขนาดให้การสนับสนุนให้มีนักรบไซเบอร์ (Cyber Army หรือ Cyber Warrior) อย่างไม่เป็นทางการ และจากแหล่งข่าวที่น่าเชื่อถือได้ หลายประเทศได้พัฒนาโปรแกรมเจาะระบบในรูปแบบม้าโทรจันขึ้นด้วยวิธี APT (Advanced Persistent Threats) ในการเจาะระบบของรัฐบาลฝ่ายตรงข้าม ถือเป็นการเจาะระบบระดับประเทศอย่างลับๆ เพื่อความมั่นคงของชาติ (National Security) รัฐบาลในอีกหลายประเทศจึงจำเป็นต้องติดตั้งระบบดักฟังประชาชนของตนเองอย่างหลีกเลี่ยงไม่ได้ เรียกว่าระบบ “Lawful Inception”เช่น NSA’s PRISM เพื่อเป็นการป้องกันความมั่นคงของชาติที่ต้องแลกมาด้วยความเป็นส่วนตัวของประชาชน ซึ่งปกติรัฐบาลของหลายประเทศจะทำในเชิงลับไม่บอกกล่าวต่อประชาชนของตน ทำให้รัฐบาลสามารถรู้ความเคลื่อนไหวต่างๆในโลกไซเบอร์ เพื่อป้องกันการโจมตีทางกายภาพต่อโครงสร้างพื้นฐานที่สำคัญ เช่น โรงไฟฟ้า, เขื่อน, สนามบิน ตัวอย่างการโจมตี ได้แก่ […]

Read more
รูปที่ 2: ตัวอย่างข้อมูลสำคัญที่ได้

โดย สมาคมผู้ดูแลเว็บไทย, สมาคม eCommerce, TISA, และ ACIS Cyber Lab. Heartbleed Bug คืออะไร? Heartbleed Bug เป็นช่องโหว่ความเสี่ยงสูงที่มีอยู่ใน OpenSSL Library ซึ่งเว็บไซต์นับล้านทั่วโลกใช้งาน Library นี้อยู่ โดยที่ OpenSSL Library นี้จะถูกเรียกใช้งานโดย Application ที่ต้องการเข้ารหัสการรับส่งข้อมูลโดยใช้ SSL/TLS (เช่น HTTPS, VPN, EMAIL) ผลกระทบที่เกิดจาก Heartbleed Bug คือการที่ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ในหน่วยความจำหลัก (หรือ RAM นั่นเอง) ได้จากระยะไกล ซึ่งเป็นที่ทราบกันดีอยู่แล้วว่าข้อมูลในระหว่างการรับ-ส่ง นั้น จะถูกเข้ารหัสโดย SSL/TLS แต่เมื่อข้อมูลถูกส่งมาถึงผู้รับและเข้าไปอยู่ใน RAM นั้นจะเป็น plaintext หรือพูดง่าย ๆ ว่า ไม่ได้ถูกเข้ารหัสแล้วนั่นเอง เป็นเหตุให้ข้อมูลความลับ ไม่ว่าจะเป็น key ที่ใช้ถอดรหัสข้อมูล […]

Read more

Acis

ACIS Professional Consulting Services offers a fully integrated information system and information security consulting service conform to the “One-Stop-Shop” concept.

Video Acis

Acis Photos

© Copyright 2014. Powered by ACIS Professional Center