|
 |
|
|
 |
|
|
 The Information Security Forum (ISF), the leading, global authority on information security and information risk management published their research report "Threat Horizon 2013" mentioned the five key trends that will impact our business. In the near future the range and complexity of security threats is set to rise significantly, organisations that fail to prepare now are likely to be faced with a set of future challenges that will be complex to manage.
ISF’s "Threat Horizon" report used a PLEST (Political, Legal and Regulatory, Economic, Socio-Cultural and Technology) framework to consider the world of the future and how this may give rise to information security threats. (See picture 1)
picture 1 : "PLEST Framework"
Source: www.securityforum.org
The ISF's five key trends it identifies along with the challenges for organisations are:
1. Cyber (in-)security - governments will soon take a more proactive role in cyberspace. While many of the initiatives will be beneficial, organisations need to take account of legislation and regulation that mandates procedures and behaviours in cyberspace, much of which may be disjointed along with an increase in cyber-defence activities. Organisations should plan ahead and prepare for the upcoming this kind of threat.
2. An open knowledge society - now, participation and innovation thrive, but organisations are left struggling to strike a balance between "transparency" and "confidentiality". Organisations should be careful when promoting transparency without losing valuable information to the public domain.
3. The Internet: a flat Earth? - a host of new entrants, many from the developing world, will potentially increase instability. The business models adapt to new mass markets. Organisations should prepare to deal with those who exploit this as a cybercrime opportunity.
4. The smart enterprise - the need to boost efficiency [อ่านต่อ]
 รายงานอัพเดตล่าสุด : ทิศทางความมั่นคงปลอดภัยสารสนเทศในอนาคตจากงาน RSA Conference 2012 ณ กรุงซานฟรานซิสโก และ International Strategy For Cyberspace จากการเข้าพบท่านที่ปรึกษาด้าน Cybersecurity ของประธานาธิบดี บารัค โอบามา ณ กรุงวอชิงตัน ดี ซี ประเทศสหรัฐอเมริกา
The Latest Update Information Security Trends & Threats from RSA Conference 2012, San Francisco and The White House visiting, Washington D.C. , U.S.A.
"Mobile is a new PC, Social Network is a new platform"
หลายท่านคงไม่ปฏิเสธว่าทุกวันนี้ โทรศัพท์เคลื่อนที่สมาร์ทโฟนได้เข้ามามีบทบาทในชีวิตประจำวันของเราอย่างหลีกเลี่ยงไม่ได้ ตลอดจนอุปกรณ์แท็ปเล็ตเริ่มเข้ามาแทนที่ Notebook/Laptop มากขึ้นเรื่อยๆ แต่หลายคนยังคงเข้าใจว่าโทรศัพท์เคลื่อนที่ยังคงเป็นแค่เพียงโทรศัพท์เหมือนเดิม ซึ่งแท้จริงแล้ว "โทรศัพท์เคลื่อนที่สมาร์ทโฟน" คือ "คอมพิวเตอร์เครื่องหนึ่ง" การที่เราปฏิบัติเรื่องการรักษาความปลอดภัยให้แก่คอมพิวเตอร์ของเรา เช่น การติดตั้งโปรแกรม Antivirus นั้น เรามักจะไม่นำมาปฏิบัติกับโทรศัพท์เคลื่อนที่เพราะเราไม่เคยชินกับการติดตั้งโปรแกรมด้านการรักษาความปลอดภัยลงในโทรศัพท์เคลื่อนที่ ปัญหาในปัจจุบันและอนาคตก็คือเหล่าบรรดาแฮกเกอร์และอาชญากรคอมพิวเตอร์ล้วนพุ่งเป้าไปที่การโจมตีโทรศัพท์เคลื่อนที่สมาร์ทโฟนและแท็ปเล็ต เพราะมีจำนวนผู้ใช้เพิ่มมากขึ้นเรื่อยๆ ขณะเดียวกันผู้ใช้ยังไม่ค่อยระวังตัวเหมือนการใช้ Desktop PC หรือ Notebook
"Consumerisation" เป็นคำศัพท์ใหม่ที่หลายคนกำลังพูดถึง เพราะปรากฏการณ์ "iPad effect" ทำให้ผู้บริหารและพนักงานขององค์กรมีการนำอุปกรณ์ส่วนตัวมาใช้งานในเครือข่ายภายในขององค์กร และหลายคนยังแยกไม่ออกระหว่าง "Work-use" และ "Home-use" เรียกว่า "Work Life Blur" โอกาสที่ข้อมูลขององค์กรจะรั่วไหลผ่านทางอุปกรณ์พกพาต่างๆ มีโอกาสสูงมากขึ้นตามลำดับ ขณะที่ผู้ใช้งานอุปกรณ์พกพายังขาดความตระหนักและความระมัดระวังเพราะองค์กรยังไม่มีนโยบายที่ชัดเจนเกี่ยวกับเรื่องนี้ ดังนั้นนโยบายเรื่อง "BYOD" (Bring Your Own Device) จึงเป็นเรื่องสำคัญที่ผู้บริหารองค์กรต้องให้ความสนใจเป็นพิเศษ เพราะนอกจากเรื่องข้อมูลองค์กรรั่ [อ่านต่อ]
 จาก "PPT concept" มาเป็น "BMIS" (Business Management for Information Security)
หลายคนคงคุ้นเคยกับแนวคิด "PPT" หรือ "People", "Process" และ "Technology" ซึ่งหมายถึงแนวคิดในการบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management) ตลอดจนการบริหารจัดการเรื่องความมั่นคงปลอดภัยสารสนเทศ (Information Security Management) โดยพยายามที่จะ "Balance" สมดุลระหว่าง เรื่องของกระบวนการ, เทคโนโลยี และ บุคลากร ผู้บริหารควรคำนึงถึงการปรับปรุงกระบวนการทำงานให้ได้มาตรฐานควบคู่ไปกับ การอบรมฝึกฝนบุคลากรในองค์กร ให้มีความรู้และมีความตระหนักในเรื่องความมั่นคงปลอดภัยสารสนเทศโดยไม่มุ่ง เน้นแต่การนำเทคโนโลยีมาใช้เพียงด้านเดียว. กล่าวถึงการบริหารจัดการเทคโนโลยีสารสนเทศ และ การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศในอดีต ผู้บริหารโดยทั่วไปมักจะมองเป็น "Technical Issue" หรือ มองแต่เพียงมุมมอง "ทางด้านเทคนิค" เท่านั้น เช่น การปรับค่า Configuration ของอุปกรณ์ Firewall การใช้โปรแกรมกำจัดไวรัส การเข้ารหัสข้อมูลด้วย SSL การนำระบบป้องกันผู้บุกรุก (IDS) มาใช้ ภาษาที่ใช้กันส่วนใหญ่มักจะเป็นคำศัพท์ทางด้าน IT และ Information Security โดยเฉพาะ และ เข้าใจได้โดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ เช่น CISSP หรือ SSCP การรักษาความมั่นคงปลอดภัยสารสนเทศถูกมองเป็นเพียงเรื่องของ "Technical Issue/Technical Control" สังเกตได้จากช่วงแรกๆของการนำมาตรฐาน ISO/IEC 27001:2005 มาใช้ในประเทศไทยพบว่ามุ่งเน้นไปที่ 133 มาตรการควบคุม (133 Control Objectives) แทนที่จะมาให้ความสำคัญกับกระบวนการบริหารจัดการความมั่นคงปลอดภัย (ISMS : Information Security Management System) ซึ่งเน้นไปที่เรื่องของการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างเป็น กระบวนการ (Process) โดยนำแนวคิดของศาสตราจารย์ Deming ด้วยการนำหลัก Plan-Do-Check-Act หรือ Deming Cycle มาใช้ในการทำ "Continual Process Improvement"
การบริหารจัดการที่เป็นการมุ่งเน้นไปทางด้าน เทคนิคเพียงด้านเดียวนั้น พิสูจน์แล้วว่ายังไม่ประสบความสำเร็จในการรักษาความมั่นคงปลอดภัยสารสนเทศ ให้กับองค์กรเท่าที่ควรจะเป็น สังเกตุได้จากหลายองค์กรลงทุนไปกับฮาร์ดแวร์และซอพท์แวร์ด้านความมั่นคง ปลอดภ [อ่านต่อ]
 การบูรณาการแนวคิด "GRC", "IT GRC" and "Integrated GRC" (Integrated Governance, Risk Management, and Compliance and Implementation Roadmap Guideline)
ยุคแห่งแนวคิดการบริหารจัดการระบบสารสนเทศให้เป็นไปในทิศทางเดียวกันกับความต้องการของภาคธุรกิจอย่างมีประสิทธิภาพและประสิทธิผล (Today Conceptual Thinking : "How to align IT with Business") ในปัจจุบันการบริหารจัดการเทคโนโลยีสารสนเทศและการบริหารธุรกิจนั้น ดูเหมือนจะเป็นเรื่องที่ต้องไปด้วยกันอย่างหลีกเลี่ยงไม่ได้ (IT/Business Alignment) (ดูรูปที่ 1) เพราะความต้องการของภาคธุรกิจ (Business Requirement) จะเป็นตัวบ่งชี้ถึงความต้องการในการจัดเตรียมระบบสารสนเทศ (IT Requirement ) เพื่อให้สามารถตอบสนองธุรกิจได้อย่างทันท่วงที (IT Responsiveness)
รูปที่ 1 : "Manage IT from a Business Perspective"
(Source : ITIL slide from BMC)
สังเกตได้จากการที่องค์กรในระดับ Enterprise นิยมนำกรอบแนวคิด "BSC" หรือ "Balanced Scorecard" มาใช้ในการบริหารธุรกิจ และ กรอบแนวคิด "BSC" ก็ได้ถูกนำมาประยุกต์กับการบริหารจัดการเทคโนโลยีสารสนเทศมาเป็นกรอบแนวคิด "IT BSC" หรือ "IT Balanced Scorecard"เพื่อให้แน่ใจว่าผู้บริหารองค์กรได้บริหารจัดการเทคโนโลยีสารสนเทศให้ "Align" หรือ "เป็นไปในทิศทางเดียวกัน" กับความต้องการของภาคธุรกิจอย่างมีประสิทธิภาพโดยมีการนำ "Framework"หรือ "Best Practices" ต่างๆ มาใช้ในการอ้างอิงตามหลักวิชาการ ซึ่งเป็นที่มาของ "Integrated Framework on Business/IT Alignment" (ดูรูปที่2) เป็นกรอบแนวคิดแบบองก์รวม (Holistic Approach) ที่แสดงให้เห็นถึงความสอดคล้องกันระหว่าง การบริหารจัดการเทคโนโลยีสารสนเทศ และ การบริหารจัดการธุรกิจ
รูปที่ 2 : "Integrated Framework on Business/IT Alignment"
(source: IT governance (CobiT) ITGI)
โดยเริ่มจากแรงผลักดันปัจจัยทางด้านธุรกิจ (Business Driver) ที่ต้องได้ตามเป้าหมายทางธุรกิจ (Performance : Business Goals) และ ในขณะเดียวกันก็ต้องปฎิบัติให้ถูกต้องตามกฎหมายและกฎระเบียบต่างๆ (Conformance : Regulatory Compliance) (ดูรูปที่ 3)
รูปที่ 3 : "Performa [อ่านต่อ]
รูปที่ 1
จากงานวิจัยของ Gartner เรื่อง "Top 10 Strategic Technologies" ในปี ค.ศ. 2011 (ดูรูปที่ 1) พบว่า เรื่องราวเกี่ยวกับ Social Network อยู่ใน Top 10 ถึง 2 เรื่อง ได้แก่ "Social Analytics" และ "Social Communication and Collaboration" ดังนั้นเรื่องเกี่ยวกับ Social Network หรือ Social Media คงเป็นเรื่องที่เราไม่สามารถมองข้ามได้อีกต่อไป อีกทั้ง เรายังต้องคิดแบบกลยุทธ์ว่าเราควรจะนำเทคโนโลยี Social Media / Social Network มาใช้งานอย่างไรจึงจะเกิดประโยชน์ต่อตนเองและองค์กร ตลอดจนเรายังควรศึกษาถึงภัยคุกคาม (Threat) ที่มาจากการนำเทคโนโลยีดังกล่าวมาใช้อีกด้วย มีคนกล่าวว่าเรากำลังอยู่ใน "ยุคแห่ง Facebook" หรือ "Facebook Era" ซึ่งเป็นยุคที่ต่อมาจาก “ยุคแห่ง PC” และ “ยุคแห่ง Internet” ในปัจจุบันและอนาคตอันใกล้ Facebook ถือได้ว่าเป็น “Platform” ใหม่ล่าสุดในการ “Run Application” ซึ่งจากเดิมเราคุ้นเคยกับการ “Run Application” บน Operation System (O/S) เช่น ระบบปฎิบัติการ Microsoft Windows หรือ ระบบปฎิบัติการ UNIX/Linux แต่ในปัจจุบันเราสามารถ “Run Application” บน Facebook ได้โดยไม่ต้องคำนึงถึง Platform ของระบบปฎิบัติการเลย ขณะเดียวกันแฮกเกอร์ก็สามารถ “ปล่อยของ” หรือ “แพร่กระจาย Malware” ผ่านทาง Facebook โดยแอบแฝงมากับ Facebook Application และ ผ่านทาง Twitter โดยแอบแฝงมากับ Shorten URL หรือ Web Link ได้เช่นเดียวกัน ในเมื่อ Social Network กลายเป็น “Launch Platfom” ชองเหล่าผู้ไม่ประสงค์ดี เราก็ควรหันมาใส่ใจเรื่องเกี่ยวกับความมั่นคงปลอดภัยในการใช้งานเทคโนโลยี Social Network / Social Media กันให้มากขึ้น ทั้งในเรื่องการใช้งานส่วนตัวและการใช้งานในระดับองค์กร
สถิติที่น่าสนใจของ Facebook และ Twitter
ในปัจจุบันมีผู้ใช้งาน Facebook ทั่วโลกถึง 629,622,400 คน ณ วันที่ 22/3/2554 (ดูรูปที่ 2)
รูปที่ 2
โดยประเทศไทยเป็นประเทศลำดับที่ 19 ของโลกในการใช้งาน Facebook ถึง 8,421,780 คน ณ วันที่ 19/3/2554 (ดูรูปที่ 3)
รูปที่ 3
แบ่งเป็น ผู้ชาย 46% ผู้หญิง 54% (19/3/2554) (ดูรูปที่ 4)
รูปที่ 4
และกรุงเทพมหานครเป็นเมืองที่มีผู้ใช้ Faceb [อ่านต่อ]
 GPS feature is not only in GPS device for car anymore, Most smartphones today have GPS capabilities built in and have a new feature "geolocation services" or "location service" for new smartphone location-aware application including social network application such as facebook, twitter, foursquare and google latitude. The location service provides the latitude, longitude, speed, direction, and altitude of your phone to requesting applications. Even if mobile geolocation services have supported several useful and convenient mobile applications, these services also raise the potential security risks to the users. Like any tracking technology, geolocation service can make the application more personalized, but this personalization is attractive to both law enforcement and malicious parties. So, by enabling geolocation service on user’s smartphone, it would result in security and privacy issue to the users.
For any smartphone, if geolocation or location services are activated on the smartphone (unfortunately, many smartphones unsecured by default) , the current and historical physical user location will be continuously tracked and mobile phone makers also create a database that identifies and record the location of mobile cell towers and Wi-Fi access points. Then, these data can be used to identify an approximate location of the user’s device by comparing the mobile cell tower and Wi-Fi access points that a user’s device is connecting to the data recorded in location database. This data is also used by other "Location-Aware Applications" on user’s smartphone. Location-aware applications are growing rapidly in number and variety for smartphone devices that are GPS-enabled. These applications will continue to evolve rapidly to address consumer needs. If users allow specific location aware application to access their location data, it can connects with location services and use the user’s current location status t [อ่านต่อ]
 ในปัจจุบันคงปฏิเสธไม่ได้ว่าคนไทยมีโทรศัพท์มือถือเป็นอุปกรณ์ข้างกายแทบทุกคนจนกลายเป็นอุปกรณ์สำคัญที่จะขาดเสียไม่ได้แล้วในชีวิตประจำวัน เพราะนอกจากเราจะใช้โทรศัพท์มือถือในการติดต่อประสานงาน หรือ ใช้เพื่อติดต่อกับคนในครอบครัว หรือ เพื่อนฝูงเหมือนเช่นในอดีตแล้ว เรายังทำกิจกรรมอย่างอื่นบนมือถืออีกด้วย เนื่องจากโทรศัพท์มือถือรุ่นใหม่ๆหรือที่เราเรียกว่า "สมาร์ทโฟน" นั้นมีความสามารถเทียบเคียงได้กับเครื่องคอมพิวเตอร์ขนาดย่อมๆ อาจกล่าวได้ว่า "Smart Phone is a new PC" ทำให้เราสามารถใช้งานสมาร์ทโฟนได้อย่างรวดเร็วและสามารถเก็บบันทึกข้อมูลได้จำนวนมาก และนำไปใช้ประโยชน์ได้อย่างมากมาย เช่น การท่องโลกอินเทอร์เน็ต การใช้งานโปรแกรมประเภท Social Network การ Chat การเล่นเกมส์ ดูหนัง ฟังเพลง ถ่ายภาพ เล่นหุ้น และ การทำธุรกรรมกับธนาคาร (Internet Banking/Mobile Banking) สมาร์ทโฟนนอกจากจะนำมาใช้ประโยชน์ที่กล่าวไว้ในข้างต้นแล้ว ยังกลายเป็นอุปกรณ์ที่บ่งบอกถึงฐานะทางสังคมของผู้ใช้งานหรือเป็นแฟชั่นที่บรรดา Celeb นิยมใช้กันเป็นส่วนใหญ่
การที่จำนวนผู้ใช้งานสมาร์ทโฟนมีจำนวนมากขึ้นนั้น อาจเป็นผลมาจากการที่ผู้ผลิตได้มีการพัฒนาเทคโนโลยีและแอพพลิเคชั่นประเภทต่างๆออกมามากมายเพื่ออำนวยความสะดวกให้แก่ผู้ใช้งาน ซึ่งหากมองในมุมของผู้ใช้งานแล้วย่อมเป็นเรื่องดีที่มีแอพพลิเคชั่นให้เลือกใช้จำนวนมาก แต่ผู้ใช้งานสมาร์ทโฟนหารู้ไม่ว่าแอพพลิเคชั่นเหล่านั้นอาจนำภัยมาสู่ตัวท่านเหมือนกับ "การพาโจรเข้ามาอยู่ในกระเป๋ากางเกงของคุณ" เลยทีเดียว เนื่องจากพฤติกรรมการโหลดแอพพลิเคชั่นโดยไม่ระมัดระวังของผู้ใช้งานทั่วไปจึงทำให้ผู้ไม่ประสงค์ดีใช้เป็นช่องทางในการกระจายโปรแกรมนักสืบล้วงข้อมูลส่วนตัว (Spyware) โดยแฝงโปรแกรมเหล่านี้มากับโปรแกรมที่เราโหลดจากอินเตอร์เน็ตหรือส่งมาหลอกล่อ (Social Networking) ให้คุณเปิดผ่านทางอีเมล์หรือ Bluetooth ซึ่งหากสมาร์ทโฟนของเราติดกับโปรแกรม Spyware เหล่านั้นแล้วก็จะทำให้สมาร์ทโฟนของเราไม่ได้เป็นของเราคนเดียวอีกต่อไป เพราะผู้ไม่ประสงค์ดีเหล่านั้นจะสามารถดักฟังการสนทนา อ่าน SMS อีเมล เปิดกล้อง ขโมยข้อมูล หรือแม้กระทั่งหาตำแหน่งที่อยู่ในโลกใบนี้ของคุณก็ได้อย่างง่ายดาย นอกจากนั้นแล้ว หากคุณทำธุรกรรมใดๆ ผ่านทางสมาร์ทโฟนเครื่องนั้น ข้อมูลทุกอย่างของคุณ อาจจะถูกส่งไปให้ผู้ไม [อ่านต่อ]
 ในปัจจุบัน ระบบการบริหารจัดการความมั่นคงปลอดภัยสารสารสนเทศตามมาตรฐาน ISO/IEC 27001 ได้กลายเป็นมาตรฐานสำคัญในการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information) และระบบสารสนเทศ (Information System) สำหรับหน่วยงานและองค์กรต่าง ๆ การรับรองตามมาตรฐาน ISO/IEC 27001 เป็นการรับรององค์กรในการดำเนินการตามข้อกำหนดของมาตรฐานสำหรับขอบเขตที่องค์กรเสนอ โดยมีผู้ขับเคลื่อนหลักที่มีส่วนสำคัญที่เรียกว่า "ผู้ตรวจสอบ" (Auditor) และ "หัวหน้าทีมผู้ตรวจสอบ" (Lead Auditor) ทำหน้าที่ในการตรวจสอบหรือที่เรียกว่า ตรวจประเมินรับรองระบบการบริหารจัดการความมั่นคงปลอดภัยสารสารสนเทศ (ISMS : Information Security Management System) โดยสถาบัน International Register of Certificated Auditors (IRCA) ได้จัดทำหลักสูตร "หลักสูตรพัฒนาหัวหน้าทีมผู้ตรวจสอบระบบการบริหารจัดการความมั่นคงปลอดภัยสารสารสนเทศสากล" (IRCA Lead ISMS Auditor) เพื่ออบรมและวัดผลทักษะความรู้ในด้านการตรวจสอบตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 (ISMS) ผู้ที่สอบผ่านจะได้รับการรับรองเป็น IRCA Certified Auditor ตามเกณฑ์ที่กำหนดสำหรับวิชาชีพ ซึ่งมีการแบ่งระดับเป็น Internal Auditor, Provisional Auditor, Auditor, Lead auditor และ Principal Auditor ทั้งนี้ ผู้ที่ผ่านการรับรองจะลงทะเบียนเป็นผู้ตรวจสอบในสาระบบของ IRCA หรือไม่ก็ได้
ก่อนอื่น เราต้องมาทำความรู้จักกับระบบบริหารความมั่นคงปลอดภัยสารสนเทศ หรือ ที่รู้จักกันในภาษาอังกฤษว่า "ISMS" กันก่อน คำว่า "ISMS" นั้นย่อมาจาก "Information Security Management System" ซึ่งหมายถึง ระบบบริหารจัดการที่ดีอันประกอบด้วย กระบวนการ สร้าง ดำเนินการ ปฏิบัติการ ติดตาม ตรวจสอบ บำรุงรักษาและปรับปรุง (Plan-Do-Check-ACT (PDCA)) ความมั่นคงปลอดภัยสารสนเทศ โดยอยู่บนพื้นฐานของวิธีการประเมินความเสี่ยงเชิงธุรกิจ (อ้างอิง Overview and vocabulary, ISO/IEC 27000:2009, p.3) ทั้งนี้ ผู้เขียนขอกล่าวให้เป็นภาษาที่เข้าใจง่ายขึ้น คือ ISMS นั้นเป็นวิธีการบริหารจัดการความเสี่ยงของธุรกิจอย่างหนึ่งแต่มีขอบเขตอยู่บนเรื่องของความมั่นคงปลอดภัยสารสนเทศเป็นหลัก ซึ่งมาตรฐานสากลหมายเลขอนุกรม 27000 (ISO/IEC 27000 series) นั้น องค์กรที่ปฏิบัติตามข้อกำหนดจะสามารถขอรับรองจากหน่วยงานอิสระ Certificat [อ่านต่อ]
/pics10.jpg) จุดบกพร่องของ CobiT 4.1 (CobiT 4.1 Weaknesses)
CobiT 4.1 ยังคงเป็น Framework ที่ครอบคลุมเฉพาะเรื่อง IT Governance เท่านั้น แต่ยังไม่ครอบคลุมถึง Enterprise Governance
CobiT 4.1 ถูกมองว่าเป็น “Tool” ของผู้ตรวจสอบหรือ “IT Auditor” เท่านั้น ซึ่งจริง ๆ แล้ว CobiT ถูกออกแบบมาให้ผู้บริหารระดับสูงและผู้บริหารระบบสารสนเทศตลอดจนผู้ปฏิบัติการด้านสารสนเทศนำมาใช้
CobiT 4.1 ยังเป็น Framework ที่ยังไม่สมบูรณ์ในตัวเองซึ่งยังต้องอาศัย Framework อื่นมาประกอบในการนำมาใช้งาน เช่น Val IT Framework และ Risk IT Framework
CobiT 4.1 ยังถูกนำไปใช้ได้ยาก เนื่องจากความยากในการทำความเข้าใจในตัว Framework เอง
จุดบกพร่องของ IT Governance Implementation Guide 2nd Edition (ดูรูปที่ 12)
การ Implement IT Governance ยังเป็นแนวคิดเดิมที่ยังไม่เป็น “Continual Improvement” ทำให้เกิดความเข้าใจผิดว่าเมื่อดำเนินการตามแต่ละขั้นตอนแล้ว เมื่อถึงขั้นตอนสุดท้ายก็แปลว่าจบและไม่ต้องทำต่อ ซึ่งผิดไปจากแนวทางที่ถูกต้องซึ่งจำเป็นต้องทำแบบต่อเนื่อง (Continual) เป็น กระบวนการพัฒนาแบบต่อเนื่อง (Iterative Process) ในลักษณะ “Life Cycle” (ดูรูปที่ 13) และ “IT Governance Implementation Guide 2nd Edition” ยังไม่ได้นำวิธีการของ Best Practice ใหม่ ๆ มาใช้ เช่น ITIL Version 3 ยกตัวอย่างเช่น เรื่อง “Change Enablement” และ “Continual Improvement Life Cycle”
จากข้อบกพร่องดังกล่าว ISACA และ IT Governance Institute จึงมีแนวคิดในการยกเครื่อง CobiT 4.1 ใหม่แบบ “Major Change” เพื่อให้ CobiT เวอร์ชั่นใหม่นั้นครอบคลุมไปถึง “Enterprise Governance” และมีการรวมกันของ Framework ต่าง ๆ ไว้เป็นหนึ่งเดียวโดยจะมีการรวม Val IT Framework และ Risk IT Framework เข้ากับ CobiT 4.1 (ดูรูปที่ 14) เพื่อตอบโจทย์ทั้งมุม “Performance” และ “Conformance” โดยพิจารณา Business Model for Information Security (BMIS) Framework (ขณะที่เขียนต้นฉบับ ยังไม่ออก Final Version) และ A Professional Practices Framework for IT Assurance (ITAF) ร่วมด้วย และได้ให้ชื่อ Framework ใหม่ว่า “CobiT 5” สำห [อ่านต่อ]
.jpg) ปริญญา หอมเอนก,
CGEIT, CISSP, CSSLP, SSCP, CISA, CISM, SANS GIAC GCFW, IRCA Lead Auditor
ACIS Professional Center
https://www.acisonline.net
ในปัจจุบันคำว่า “IT Governance” และ “Information Security Governance” กำลังเป็นที่กล่าวถึงกันในวงการธุรกิจตลอดจนในวงการไอที ตลอดจนแนวคิดเรื่อง “Green IT” และ “Sustainability” เป็นการมาถึงของยุคที่แนวคิด “Corporate Governance” หรือ “Enterprise Governance” กำลังมาแรงและถูกนำมาประยุกต์ใช้ในองค์กรทั่วโลก อันเนื่องมาจากปัญหาความไม่โปร่งใส และการบริหารงานที่ฉ้อฉล (Fraud) ของผู้บริหารระดับสูง และ การบริหารองค์กรที่ไม่มีประสิทธิภาพของหลายองค์กรใหญ่ๆในเวลานี้ จึงเป็นที่มาของแนวทางในการแก้ปัญหาที่ต้นเหตุ โดยพิจารณาถึงปัญหาที่เกิดจากการบริหารจัดการที่ไม่โปร่งใสของผู้บริหารระดับสูงที่ยังไม่สามารถบริหารจัดการองค์กรให้มีประสิทธิภาพและประสิทธิผลได้ เนื่องจากยังขาดองค์ความรู้หรือแนวทางปฏิบัติที่ดีในการบริหารจัดการตามแนวคิด “Corporate Governance” หรือ “Enterprise Governance” ซึ่งในปัจจุบันการทำธุรกิจธุรกรรมของทุกองค์กรนั้นต้องพึ่งพาการใช้เทคโนโลยีสารสนเทศหรือ “Information Technology (IT)” เป็นสำคัญ ดังนั้น การบริหารจัดการ “IT” จำเป็นต้องสอดคล้อง หรือ “Align” กับการบริหารจัดการองค์กร กล่าวคือ กลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศ (IT Strategy) ต้องสอดคล้องกับกลยุทธ์ในการบริหารจัดการองค์กร (Business Strategy) เพื่อให้บรรลุเป้าหมายเดียวกัน โดยหลักการที่นิยมในการนำมากำหนดกลยุทธ์ในการบริหารจัดการองค์กรก็คือ Balanced Scorecard (BSC) (ดูรูปที่ 1)
รูปที่ 1 “Balanced Scorecard"
“BSC” เป็นเทคนิควิธีในการประเมินประสิทธิภาพขององค์กรที่คิดค้นโดย Dr. Robert S. Kaplan และ Dr. David P. Norton แห่งมหาวิทยาลัยฮาร์วาร์ด ซึ่งเมื่อนำมาประยุกต์ใช้กับการบริหารจัดการเทคโนโลยีสารสนเทศที่เรียกว่า “IT BSC” (ดูรูปที่ 2)
รูปที่ 2 : “IT Balanced Scorecard”
โดย BSC จะมีมุมมองใน 4 มุมมองได้แก่ Financial, Customer, Internal Business Processes และ Learning and Growth [อ่านต่อ]
ข้อสังเกต : ผู้เขียนมีความเป็นกลาง และ ไม่ต้องการโจมตีใคร ทั้ง นปช. และ ศอฉ. มีวัตถุประสงค์ต้องการเพื่อให้เป็นตัวอย่างในการทำความเข้าใจเรื่อง IO เท่านั้น
จากตัวอย่างสงครามระหว่างอิรัก และ สหรัฐอเมริกา จากผลของ "CNN effect" จะเห็นได้ว่า การใช้สื่อมีความสำคัญเปรียบเทียบเท่าการใช้อาวุธในการโจมตีฝ่ายตรงข้าม อาจกล่าวได้ว่า "การปฏิบัติการข่าวสารเป็นอาวุธร้ายที่เราไม่ควรมองข้าม" และ ข่าวสารเปรียบเสมือนกระสุนที่พุ่งออกจากปืนของสื่อเข้าไปเจาะทะลวงจิตใจ และความคิดของผู้รับข่าวสารนั้น ๆ มีผลกระทบต่อกระบวนการในการตัดสินใจของผู้รับข่าวสาร เพื่อให้เป็นไปตามความต้องการที่แอบแฝงของแต่ละฝ่าย
ทั้ง นปช. และ ศอฉ. ล้วนใช้ "IO" ในการโจมตีฝ่ายตรงข้าม เพื่อให้มวลชนคล้อยตามฝั่งของตน ตามหลักการ "IO" ทางรัฐบาลเน้นว่ามีผู้ก่อการร้ายอยู่ในกลุ่มผู้ชุมนุม และออกมาสังหารทหาร เมื่อวันที่ 10 เมษายน 2553 ขณะเดียวกัน ทาง นปช. ก็กล่าวว่าทหารฆ่าประชาชน เช่น ปัญหาผู้เสียชีวิตในวัดปทุมที่สื่อนำรูปทหารยิงปืนหันไปทางวัดมาขึ้นปกนิตยสารในหลายฉบับ เป็นตัวอย่างของการปฏิบัติการจิตวิทยา (PSYOP) ซึ่งเป็นส่วนหลักของ "IO"
ในส่วนของการลวงทางทหาร (MILDEC) ยกตัวอย่าง เรื่องการปล่อยข่าวบนเวที นปช. ว่าจะปิดถนนสีลมในวันรุ่งขึ้น ทางฝ่ายรัฐบาลก็ส่งทหารเข้ามาปิดบริเวณสีลมในทันทีที่ทราบข่าว ซึ่งสีลมเลยกลายเป็นบริเวณที่ถูกปิดโดยรัฐบาลไม่ใช่ฝ่าย นปช. การที่ฝ่าย นปช. สามารถเคลื่อนกำลังเข้ายึดแยกราชประสงค์อย่างที่รัฐไม่ทันตั้งตัวนั้นถือได้ว่าเป็นการปฏิบัติการที่สามารถรักษาความปลอดภัยของฝั่งตนไว้ได้เข้ากรณีของ "OPSEC" ซึ่งการรักษาความปลอดภัยในการปฏิบัติการนั้นเป็นเรื่องที่สำคัญเพื่อไม่ให้ข่าวรั่วก่อนการปฏิบัติการ ซึ่งในช่วงหลัง ศอฉ. ก็มีความรัดกุมในการปฎิบัติการมากขึ้น
สำหรับตัวอย่างของสงครามอิเล็กโทรนิคส์ (EW) ก็คือ การปิดสัญญาณดาวเทียมของ People Channel ไม่ให้สามารถถ่ายทอดผ่านดาวเทียมได้ แต่ก็ยังมีหลุดลอดผ่านวิทยุชุมชน และ ผ่านทางสถานีส่งคลื่นความถี่ต่ำในบริเวณกรุงเทพมหานครเพื่อการถ่ายทอดสดจากเวที ของ นปช. ที่แยกราชประสงค์
สงครามข่าวสารที่รัฐบาลต้องกลับมาทบทวนผลการการปฏิบัติงานก็คือ "การปฏิบัติการของระบบเครือข่ายคอมพิวเตอร์" หรือ "CNO" ซึ่งเป็นส [อ่านต่อ]
จากบทความในฉบับที่แล้ว การปฏิบัติต่างๆ ที่ใช้ในการปฏิบัติการข่าวสาร (IOs) หรือ "ขีดความสามารถ" นั้น ได้ถูกแบ่งออกเป็น 3 กลุ่มคือ 1. การปฏิบัติหลัก หรือ ขีดความสามารถหลัก (Core Capabilities) 2. การปฏิบัติสนับสนุน หรือ ขีดความสามารถในการสนับสนุน (Supporting Capabilities) 3. การปฏิบัติที่เกี่ยวข้อง หรือ ขีดความสามารถที่เกี่ยวข้อง (Related Capabilities) เราได้ทำความเข้าใจเกี่ยวกับหัวใจ "IO" ทั้ง 5 ประการแล้ว ยังมีส่วนของการปฏิบัติการสนับสนุน และ การปฏิบัติที่เกี่ยวข้อง ดังนี้
2. การปฏิบัติสนับสนุน หรือ ขีดความสามารถในการสนับสนุน (IO Supporting Capabilities)
หัวใจหลักของการปฏิบัติการสนับสนุนได้แก่ Information Assurance (IA), Physical Security, Physical Attack, CI และ COMCAM ซึ่งมีรายละเอียดดังนี้
Information Assurance (IA)
มีวัตถุประสงค์ในการป้องกัน (Protect) และปกป้องคุ้มครอง (Defend) สารสนเทศ (Information) และ ระบบสารสนเทศ (Information System) ของฝ่ายเราให้ปลอดภัย เพื่อให้แน่ใจได้ว่าเราสามารถ รักษาคุณสมบัติทั้ง 3 ประการ ด้านความมั่นคงปลอดภัยสารสนเทศได้แก่ การรักษาความลับ (Confidentially=C) การรักษาความถูกต้องสมบูรณ์ (Integrity=I) การรักษาความพร้อมใช้ของสารสนเทศเมื่อต้องการเข้าถึง (Availability=A) รวมทั้งการพิสูจน์ตัวตน (Authentication) และ การห้ามปฏิเสธความรับผิดชอบในการทำธุรกรรม (Non-Repudiation) จะเห็นได้ว่า "IA" ไม่ได้ครอบคลุมเฉพาะ "CIA" และยังครอบคลุมถึง Authentication และ Non-Repudiation อีกด้วย โดย IA ใช้หลักการ Defense-In-Depth หรือ Multi-Layer Defense ในการป้องกันทั้งด้านบุคลากร (People) ด้านกระบวนการการปฏิบัติการ (Process) และ ด้านเทคโนโลยี (Technology) ในการเข้าถึงสารสนเทศ จำเป็นต้องมีระบบควบคุมป้องกันการเข้าถึงที่ดี (Access Control)
การปฏิบัติการสารสนเทศ (IO) จำเป็นต้องมี IA เป็นตัวช่วยเสริมซึ่งกัน อย่างหลีกเลี่ยงไม่ได้ จึงจำเป็นต้องมองให้ครบทั้งสองด้านทั้ง IA และ IO
Physical Security
การรักษาความปลอดภัยทางกายภาพเป็นเรื่องสำคัญที่จำเป็นในการป้องกันการโจมตีบุคลากรและทรัพย์สินของฝ่ายเรา และเป็นการป้องกันการเข้าถึงอุปกรณ์และเอกสารต่าง ๆ ของฝ่ายเราเพื่อให้รอดพ้นจากการ จารกรรม, การขโมย และการทำลายล้าง การป้องกันด้า [อ่านต่อ]
 การดูงานที่ Executive Briefing Center (EBC) , Microsoft Corporation, Redmond.
เริ่มจากการกล่าวต้อนรับโดย Mr. Orlando Ayala , corporate vice president, chairman of emerging markets, and chief advisor to Microsoft's chief operating officer (COO) โดย Mr. Orlando ได้แสดงให้เราเห็นถึงความเป็นกันเอง และ ความเป็นผู้นำ (Leadership) โดยเขาได้ศึกษาและทำการบ้านเกี่ยวกับประเทศไทยมาพอสมควร และ เขาได้ให้ "Idea" เกี่ยวกับ "การพัฒนาทางด้านเทคโนโลยีสารสนเทศของประเทศไทย" โดยเน้นไปที่การแก้ปัญหา crisis ที่เกิดขึ้นในประเทศไทยเวลานี้ เขาเน้นเรื่องของ "Public Safety" เป็นเรื่องใหญ่ที่ควรจะมีการนำเทคโนโลยีสารสนเทศมาใช้ในการแก้ปัญหาดังกล่าวอย่างเป็นรูปธรรม เขายังได้กล่าวถึงเทคโนโลยี "Cloud Computing" กำลังเข้ามาเปลี่ยนแปลงโลกไอทีอย่างก้าวกระโดด บริษัทไหนที่ไม่มีกลยุทธ์ทางธุรกิจ หรือ business strategy เรื่อง Cloud Computing คงจะอยู่ได้ลำบากและผู้บริหารจะถูกมองว่าไม่มีวิสัยทัศน์ในอนาคต (Future Vision) ซึ่งช่วงเวลานี้เป็นช่วงเวลาที่ทุกบริษัทต้องการ "Innovation" ใหม่ ๆ เพื่ออนาคตของบริษัท โดยไมโครซอฟท์ได้แสดงวิสัยทัศน์เกี่ยวกับเทคโนโลยีในอนาคตไว้ภายในห้องแสดงเทคโนโลยีแห่งจินตนาการที่มีชื่อว่า "Microsoft’s Envisioning LAB" และ บ้านในอนาคต ที่รู้จักกันในนาม "Microsoft’s Home of the Future"
Microsoft’s Envisioning LAB
ไมโครซอฟท์ได้แสดงให้เห็นถึงวิสัยทัศน์ในอนาคตอีก 5-10 ปีข้างหน้า จากงานวิจัยและการได้รับข้อมูลจาก Research และ Feedback โดยลูกค้าของไมโครซอฟท์ในแง่มุมต่าง ๆ ซึ่งสรุปเรื่องหลัก ๆ ที่น่าสนใจใน Microsoft Envisioning LAB ได้ดังนี้
Mobile Phone is a new PC
การใช้งานโทรศัพท์เคลื่อนที่อย่างแพร่หลายทั่วโลก ความนิยมของ iPhone, Blackberry และ Smartphone ที่ใช้ Windows Mobile รวมถึงการมาถึงของ Android Phone ซึ่งใช้เทคโนโลยีของ Google ทำให้ไมโครซอฟท์มองว่าโทรศัพท์เคลื่อนที่ก็คือ "PC" ในอนาคต ซึ่งบริษัทใดเป็นผู้ครองตลาดของระบบปฏิบัติการของโทรศัพท์เคลื่อนที่ก็จะประสบความสำเร็จเหมือนกับไมโครซอฟท์ที่ได้ครองตลาดระบบปฏิบัติการเครื่อง Desktop และ Notebook มาแล้ว
Privacy [อ่านต่อ]
 คำว่า "Information Operation" (นิยมเรียกกันโดยย่อว่า IO) คืออะไร ? ทำไมหลายฝ่ายจึงเอ่ยถึงคำนี้ให้ได้ยินกันบ่อยๆทางโทรทัศน์และหน้าหนังสือพิมพ์จนกลายเป็นคำยอดฮิตของวันนี้ จะสังเกตุได้ว่าหลายเดือนที่ผ่านมา เราได้ยินคำนี้อยู่เป็นประจำไม่ว่าจะเป็นบนเวทีเสื้อแดง หรือ บนจอโทรทัศน์เวลาที่ ศอฉ. ออกมาแถลง แม้กระทั่งในการอภิปรายไม่ไว้วางใจนายกฯ ในรัฐสภาก็ยังมีการพูดถึงคำว่า "IO" เช่นกัน
คำว่า "อินฟอร์เมชั่น โอเปอร์เรชั่น" หมายถึง "การปฏิบัติการสารสนเทศ" ตรงกับภาษาอังกฤษว่า "Information Operations" (เรียกย่อว่า Info Ops หรือ IO) เป็นการนําเอาพันธกิจการปฏิบัติการทางทหารหลายประการมาบูรณาการเพื่อสร้างผลกระทบต่อการคิด ตัดสินใจของฝายตรงข้าม หรือ สร้างอิทธิพลต่อการคิด การตกลงใจ จากข้อมูลข่าวสารและระบบสารสนเทศของฝ่ายตรงข้าม แม้ว่า กองทัพอากาศไทย จะเรียกว่า "การปฏิบัติสารสนเทศ" ส่วน กองทัพบกไทย จะเรียกต่างกันเล็กน้อยว่า "การปฏิบัติการข่าวสาร" ก็ตาม แต่ความหมายก็คือ "Information Operations" เหมือนกัน
"IO" เป็นส่วนหนึ่งของ "Information Warfare" หรือ "สงครามสารสนเทศ" ซึ่งบางท่านเรียกว่า "สงครามข่าวสาร" ซึ่งอาจเรียกว่า "Cyber War" หรือ "Net War" โดยคำว่า "Information Operation" หรือ "การปฏิบัติการสารสนเทศ" นั้นเป็นหลักการที่ออกเป็นเอกสารอย่างเป็นทางการครั้งแรกโดยกระทรวงกลาโหมสหรัฐอเมริกาในปี 2003 อนุมัติหลักการโดย นายโดนัล รัมเฟล (Donald Rumsfeld) รัฐมนตรีกระทรวงกลาโหมสหรัฐฯและเป็นเอกสารที่เปิดเผย (Declassified) ในเดือนมกราคม 2006 ซึ่งเป็นการขยายผลจากหลักการที่เกี่ยวข้องกับ สงครามสารสนเทศ (Information Warfare) ในมุมมองของกองทัพสหรัฐฯ
โดยหลักการแล้ว "IO" มีความเกี่ยวพันธ์กับหลักการการปฏิบัติการด้านการข่าวทางทหาร ซึ่งเป็นแนวคิดจากการบูรณาการสงครามการควบคุมบังคับบัญชา (Command and Control Warfare) และ สงครามสารสนเทศ (Information Warfare) ของกองทัพสหรัฐฯ โดยการนำเอาบทเรียนจากการรบกับอิรักในสงครามอ่าว (Gulf Wars) หรือ ที่นิยมเรียกกันว่า "CNN Effect" มาเป็นกรอบแนวคิดในการพัฒนา อาจกล่าวได้ว่า "การปฏิบัติการสารสน [อ่านต่อ]
 ภัยอันดับสาม : ภัยจากการโจมตีและการเจาะระบบในรูปแบบใหม่ๆ ("The Next Generation Hacking")
ในปัจจุบันและอนาคตการโจมตีและการเจาะระบบของแฮกเกอร์สมัยใหม่จะมุ่งไปยังเป้าหมายที่ได้กำหนดไว้ก่อนล่วงหน้า เรียกว่า การโจมตีแบบ "Targeted Attacks" และ แฮกเกอร์ต้องมีวัตถุประสงค์ที่ชัดเจน เช่น Hack For Money ไม่ใช่ Hack For Fun ยกตัวอย่าง เช่น การเจาะข้อมูลผู้บริหารระดับสูง (Executive Hacking) หรือ การเจาะข้อมูลคนดัง ดารา หรือ เหล่าไฮโซ เซเลบริตี้ทั้งหลาย (Celebrity Hacking) โดยแฮกเกอร์จะทำการบ้านก่อนการโจมตีด้วยวิธีการค้นหาข้อมูลของเป้าหมายจาก Search Engine เช่น Google.com หรือ Bing.com ร่วมกับการค้นหาข้อมุลที่ได้จากเทคนิค "Intelligence data gathering" จากฐานข้อมูลชองโปรแกรมประเภท Social Network เช่น Twitter หรือ Facebook (ดูรายละเอียดจากภัยอันดับหนึ่ง : ภัยจากการใช้งานโปรแกรมประเภท "Social Networks" โดยไม่ระมัดระวัง ("Social Network Attack") จากนั้นแฮกเกอร์จะเจาะข้อมูลของเป้าหมายอย่างเป็นระบบโดยมีข้อมูลพื้นฐานจากวิธีการดังกล่าว เทคนิคการเจาะระบบยอดนิยมที่แฮกเกอร์ชอบใช้คือการส่งโปรแกรมมุ่งร้าย หรือ Malware มายังเป้าหมาย เมื่อเป้าหมายหรือเหยื่อเปิดใช้งานโปรแกรม หรือ "Run" โปรแกรมดังกล่าวโดยไม่รู้ตัวแล้ว โปรแกรมมุ่งร้ายจะทำตัวเป็นม้าโทรจัน (Trojan Horse) หรือ Remote Administration Tool (RAT) เพื่อเอื้อให้แฮกเกอร์สามารถ Remote Access จากระยะไกลเข้ามายังเครื่องคอมพิวเตอร์ของเหยื่อได้ การเปิดใช้โปรแกรมดังกล่าวอาจเปิดจากไฟล์แนบ (attacked file) ที่มากับ eMail หรือ เปิดจากการ Download ผ่านทางLink ที่แฮกเกอร์หลอกส่งมาให้ สำหรับนามสกุลไฟล์ที่ไม่ควรเปิด "Run" มีรายการดังรูปที่ 1
รูปที่ 1 : นามสกุลไฟล์ที่ไม่ควรเปิด "Run" และ ควรลบทิ้งทันที
สำหรับภัยจากโปรแกรมโทรจันดังกล่าว ในประเทศไทยมี Security Incident เกิดขึ้นแล้ว โดยผู้เสียหายเป็นลูกค้าธนาคารแห่งหนึ่งที่เผลอ Download โปรแกรม Trojan Horse ดังกล่าว โดยแฮกเกอร์จะหลอกมาว่าเป็นโปรมแกรมเกมส์ หลังจากเหยื่อ Run โปรแกรมก็จะทำให้แฮกเกอร์สามารถเจาะข้อมูลและโอนเงินจากบัญชีเหยื่อที่ใช้งานระบบอินเตอร์เน็ตแบงก์กิ้ง ซึ่งในกรณีนี้ เหยื่อสูญเงินไปกว่ากว่าแปดแสนบาท [อ่านต่อ]
 จากความจำเป็นขององค์กรในปัจจุบันและอนาคตที่ต้องนำเทคโนโลยีสารสนเทศ (Information Technology) มาใช้ในการดำเนินธุรกิจตลอดจนการทำธุรกรรมต่างๆขององค์กรซึ่งส่วนใหญ่ต้องพึ่งพาเทคโนโลยีอินเทอร์เน็ต เช่น เทคโนโลยี Webโดยการพัฒนาโปรแกรมประเภท Web Based รวมทั้งการนำเทคโนโลยี Web 2.0 เช่น AJAX, RSS มาประยุกต์ใช้ กับโปรแกรม Web Based ตลอดจนความนิยมของการนำเทคโนโลยี Mobile และ Wireless มาใช้ เช่น การใช้ BlackBerry หรือ iPhone ที่กำลังฮิตในกลุ่มผู้บริหาร เซเลบริตี้ ตลอดจนพนักงานบริษัท และ นักเรียนนักศึกษาทั่วไป ที่เรานิยมเรียกคนกลุ่มนี้ว่า "Technology-Generation"
จะเห็นได้ว่าการดำเนินชีวิตประจำวันของเราในปัจจุบันไม่สามารถจะหลีกเลี่ยงการใช้งานเทคโนโลยีสารสนเทศและระบบอินเทอร์เน็ตได้ ดังนั้น การเรียนรู้และทำความเข้าใจเรื่องการรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศนั้นจึงเป็นเรื่องที่จำเป็นอย่างยิ่งยวดสำหรับทุกคนที่ใช้เทคโนโลยีดังกล่าวไม่ใช่เฉพาะคนไอทีเท่านั้นที่ต้องมีความรู้ ความเข้าใจและความตระหนักถึงภัยอินเทอร์เน็ตในระดับหนึ่ง เพื่อที่จะไม่ต้องตกเป็นเหยื่อของผู้ไม่หวังดี หรือ อาชญากรคอมพิวเตอร์ซึ่งนับวันจะมาในรูปแบบแปลกใหม่ที่ยากต่อการป้องกันตัวและองค์กรหากไม่มีความรู้เท่าทันถึงภัยอินเทอร์เน็ต
จึงสรุปได้ว่า การเรียนรู้และทำความเข้าใจถึงภัยอินเทอร์เน็ตที่เราพบบ่อย ๆ ทั้งภัยใหม่ ๆ ที่เรายังไม่คุ้นเคยแต่มีผู้ตกเป็นเหยื่อแล้ว หรือ ภัยที่มีผู้ตกเป็นเหยื่อเป็นประจำนั้นมีความสำคัญและมีประโยชน์ทางตรงต่อการดำเนินชีวิตประจำวันของเราและมีประโยชน์ทางอ้อมต่อครอบครัวตลอดจนองค์กรที่เราทำงานอยู่ในแง่มุมของการรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Information Security) และการป้องกันข้อมูลส่วนบุคคล (Data Privacy)
ภัยอันดับหนึ่ง : ภัยจากการใช้งานโปรแกรมประเภท "Social Networks" โดยไม่ระมัดระวัง ("Social Network Attack")
เราคงปฏิเสธไม่ได้ว่ากระแสความนิยมการใช้งานโปรแกรมประเภท "Social Network" เช่น ทวิตเตอร์ (Twitter) และเฟสบุ๊ค (Facebook) นั้นกำลังแพร่หลายไปทั่วโลก ส่วนหนึ่งมาจากการที่โปรแกรมดังกล่าวถูกติดตั้งมาพร้อมกับ iPhone หรือ BlackBerry ทำให้ง่ายต่อการใช้งาน อีกทั้งสามารถทำงานในลักษณะ Web-Based หรือ Web Application ได้จากเว็บเบราเซอร์ทุกค่ายไม่ว่าจะเป็ [อ่านต่อ]
 ในปัจจุบันแนวปฏิบัติตามหลักบรรษัทภิบาล Enterprise Governance หรือ Corporate Governance เช่น COSO ERM มีการกล่าวถึงการบริหารความเสี่ยงขององค์กรในภาพรวมที่รู้จักกันในนาม Enterprise Risk Management (ERM) Framework ซึ่งเป็นแนวทางบริหารจัดการความเสี่ยงขององค์กรโดยรวมในภาพใหญ่ (Holistic Approach) ที่ไม่ลงรายละเอียดในการประเมิน "ความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร" ซึ่งหมายถึง "Information Technology (IT) Risk" หรือ "IT Related Risk" แต่ในความเป็นจริงเราพบว่า องค์กรมีการนำเทคโนโลยีสารสนเทศมาใช้ในการขับเคลื่อนองค์กรอย่างกว้างขวางและ ระบบสารสนเทศกลายเป็นโครงสร้างพื้นฐานของการดำเนินธุรกิจและธุรกรรมต่าง ๆ ขององค์กรซึ่งจะขาดเสียไม่ได้ ในเมื่อการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรมีความสำคัญต่อองค์กรเช่นนี้ เราอาจกล่าวได้ว่า "IT Risk" ก็คือ "Business Risk" นั่นเอง
จากแนวคิด "IT Risk" ก็คือ "Business Risk" เราสามารถจัดกลุ่ม "IT Risk" ได้ 3 กลุ่ม ดังนี้ (ดูรูปที่ 1)
รูปที่ 1 : The Three Catagories of IT Risk
"IT Service Delivery Risk" เป็นความเสี่ยงเนื่องจากการที่ระบบสารสนเทศไม่สามารถตอบสนองการให้บริการในมุมมองของ "Performance" และ "Availability" เช่น ระบบล่มเข้าถึงข้อมูลไม่ได้ หรือ ระบบมีช่องโหว่ถูกแฮกเกอร์หรือไวรัสคอมพิวเตอร์โจมตี ทำให้ระบบช้าลง หรือ ไม่สามารถให้บริการแก่ลูกค้าตามปกติได้
"IT Solution Delivery Risk" เป็นความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้กับกระบวนการธุรกิจที่เกิดใหม่ เช่น การเปิดโครงการใหม่ หรือ การให้บริการใหม่ หรืออาจจะเป็นการปรับปรุงประบวนการทางธุรกิจหรือการให้บริการทางธุรกิจที่มีอยู่แล้วให้ดีขึ้นโดยการนำเทคโนโลยีสารสนเทศมาใช้ ยกตัวอย่างเช่น โครงการไม่เสร็จตามเวลาที่กำหนดไว้ เนื่องจากมีปัญหาเกิดขึ้นในระบบสารสนเทศ หรือ คุณภาพของการให้บริการในโครงการไม่เป็นไปตามวัตถุประสงค์เนื่องจากเกิดปัญหาทางด้านเทคนิคที่เกี่ยวข้องกับการนำเอาเทคโนโลยีสารสนเทศมาใช้
"IT Benefit Realization Risk" เป็นความเสี่ยงเนื่องจากการที่เราไม่สามารถนำเทคโนโลยีสารสนเทศมาใช้งานตอบสนองธุรกิจได้อย่างคุ้มค่า [อ่านต่อ]
รูปที่ 1 The ITSM standards and best practices pyramid
กล่าวถึงปรัชญาของหลักการ IT Service Management (ITSM) ก็คือ การใช้เทคโนโลยีสารสนเทศเพื่อสนับสนุนความต้องการและเป้าหมายทางธุรกิจขององค์กร (Business Requirements & Objectives) เรียกได้ว่า IT ต้อง "Support" Business ไม่ใช่ Business Support IT องค์กรส่วนใหญ่ในปัจุบันนั้นให้ความสำคัญแก่ "Business Requirement" เป็นลำดับแรก โดยใช้หลัก "Business Leads IT" เทคโนโลยีสารสนเทศถูกนำมาใช้เพื่อเป็นกลไกในการขับเคลื่อนทางธุรกิจธุรกรรมต่างๆ ขององค์กร ดังนั้น การนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการโดยอ้างอิงจาก กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ "IT Service Management" หรือ "ITSM" ซึ่งเน้นเรื่องการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศให้ตอบสนองต่อความต้องการของธุรกิจ และ มุ่งไปที่ความพึงพอใจของผู้ใช้ระบบสารสนเทศ (Users) หรือ ลูกค้า (Customers) เป็นใหญ่ (ดูรูปที่ 2 )
รูปที่ 2 Business/IT Alignment
การนำเทคโนโลยีสารสนเทศมาใช้ในอดีตมักจะเน้นเรื่องทางด้านเทคนิค หรือ "Technology" เป็นจุดสำคัญและมุ่งไปที่การให้บริการภายในองค์กรเท่านั้น แต่ในปัจจุบันองค์กรสมัยใหม่นิยมนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการลูกค้าให้เกิดความพึงพอใจสูงสุด (Customer Satisfaction) โดยเน้นไปที่ "คุณภาพในการให้บริการ" หรือ "Quality of Service" เช่น เรื่อง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น (ดูรูปที่ 3 และ รูปที่ 4)
รูปที่ 3 How to use Standards and Best Practices (Strategic, Control and Process Perspective)
รูปที่ 4 How to use Standards and Best Practices (Holistic Approach)
"ITSM" เป็นหลักการที่เน้นเรื่องของ "กระบวนการ" หรือ "Process-focused" ซึ่งมุ่งเน้นในการพัฒนากระบวนการให้มีประสิทธิภาพมากยิ่งขึ้นโดยสามารถใช้ร่วมกับหลักการ Best Practice อื่นๆ (ดูรูปที่ 5) ยกตัวอย่างเช่น การนำหลักการ TQM , Six Sigma, CMMI หรือ Business Process Improvement (BPM) มาใช้ร่วมกับ ITSM เป็นต้น โดยแนวความคิด ITSM ไม่เน้นเรื่อง "Technology" หรือ "Product" แต่อย่างใด แต่จะเน้นเรื่องกระบว [อ่านต่อ]
 วิธีการพัฒนาโปรแกรมประยุกต์ (Application Software) ภายในองค์กรโดยการนำเทคโนโลยีสารสนเทศมาประยุกต์ใช้ให้มีความมั่นคงปลอดภัยตามมาตรฐานสากลนั้น ในความเป็นจริงแล้วถือได้ว่า เป็นความรับผิดชอบของทุกคนที่อยู่ในกระบวนการพัฒนาโปรแกรมประยุกต์ดังกล่าว ในขณะที่หลายคนมีเข้าใจที่ยังไม่ถูกต้องว่า ความมั่นคงปลอดภัยของระบบสารสนเทศนั้นมีที่มาจากการเลือกใช้เทคโนโลยีและกระบวนการที่เหมาะสมและถือเป็นความรับผิดชอบของผู้พัฒนา และ การทดสอบความแข็งแกร่งของระบบด้านความมั่นคงปลอดภัยยังกลายเป็นกระบวนการสุดท้ายของการพัฒนาระบบงาน เช่น เมื่อพัฒนาระบบเสร็จแล้วค่อยมาจัดทำ Vulnerability Assessment และ Penetration Testing ในภายหลัง เนื่องจากหลายคนคิดว่าหากนำเรื่องความมั่นคงปลอดภัยมาเป็นประเด็นตั้งแต่การเริ่มพัฒนา Application Software แล้ว อาจทำให้การพัฒนาระบบงานล่าช้า เนื่องจากโดยปกติแล้ว เพียงลำพังการพัฒนาให้ระบบงานให้ตรงตามความต้องการของผู้ใช้งาน (users) ก็เป็นเรื่องที่ลำบากพอควรอยู่แล้ว แต่จริงๆแล้วเรื่องของความมั่นคงปลอดภัยระบบสารสนเทศนั้น ถือว่าเป็นองค์ประกอบที่สำคัญที่สุดอย่างยิ่งยวดที่จะทำให้องค์กรปลอดภัยจากภัยคุกคามระบบสารสนเทศต่างๆ เนื่องจากภัยคุกคามทางอินเทอร์เน็ต หรือ Cyber Attack นั้นมีอยู่มากมายหลากหลายรูปแบบในปัจจุบันและอนาคต การพัฒนาระบบสารสนเทศที่ไม่คำนึงถึงความมั่นคงปลอดภัยอย่างเพียงพอย่อมเป็นสาเหตุหนึ่งที่จะทำให้องค์กรไม่สามารถดำเนินธุรกิจได้อย่างต่อเนื่องและมีประสิทธิภาพได้ตามเป้าหมายของ Stake Holder
โดยทั่วไปแล้วการพัฒนาโปรแกรมประยุกต์จะมีผู้เกี่ยวข้องจำนวนมาก ดังในรูปที่ 1 ตั้งแต่ ผู้วิเคราะห์ระบบตามความต้องการของลักษณะธุรกิจ ผู้ออกแบบสถาปัตยกรรมระบบ โปรแกรมเมอร์ ผู้ทดสอบคุณภาพของระบบงาน เจ้าหน้าที่ปฏิบัติการ ทีมบริหารและทีมพัฒนาระบบงานซึ่งประกอบไปด้วย ผู้จัดการโครงการ ผู้จัดการฝ่าย และ ผู้บริหารระดับสูงก็ต้องมีส่วนร่วมด้วยเช่นกัน และ ที่ขาดไม่ได้ก็คือ ทีมผู้ตรวจสอบและทีมผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย
รูปที่ 1 แสดงผู้เกี่ยวข้องในการพัฒนาโปรแกรมประยุกต์
ผู้เชี่ยวชาญด้านการพัฒนาระบบงานโปรแกรมประยุกต์ให้มีความมั่นคงปลอดภัยตามมาตรฐานสากล หรือ Certified Secure Software Lifecycle Professional : CSSLP) เป็นบุคลากรที่องค์กรมีความจำเป็นต้องมีตำแหน่งงานประจำ หรือจำเป็นต้องจ้างผู้เชี [อ่านต่อ]
 บทความนี้ มีเป้าประสงค์ให้ผู้อ่านได้ทำความเข้าใจถึง 9 ปัจจัยสำคัญ ในการนำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISMS มาประยุกต์ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศภายในองค์กรให้ประสบผลสำเร็จ ซึ่งจำเป็นต้องอาศัยความเข้าใจในปัจจัยทั้ง 9 ปัจจัย ดังต่อไปนี้
รูปที่ 1
1. Internal Approach
การที่จะทำให้โครงการด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศเกิดความสำเร็จได้นั้น ต้องมาจากความร่วมมือของบุคลากรภายในบริษัทตั้งแต่ ผู้บริหารระดับสูงถึงพนักงานทุกคนที่เกี่ยวข้อง ซึ่งจำเป็นต้องได้รับความร่วมมือจากทุกฝ่ายในการ Implement ISMS ไม่เฉพาะฝ่ายความมั่นคงปลอดภัยและฝ่ายที่ปรึกษาเท่านั้น ผู้ปฏิบัติมีความจำเป็นต้องมีความเชื่อ (Belief) เสียก่อนจึงจะสามารถนำไปสู่ทัศนคติ (Attitudes) ในเชิงบวก และจะส่งผลให้พฤติกรรม (Behavior) ออกมาในที่สุด (ดูรูปที่ 2) ดังนั้น จึงมีความจำเป็นอย่างยิ่งยวดในการให้ความเข้าใจและเพื่อให้เกิดความตระหนักในประโชน์ของ ISMS จึงควรฝึกอบรมผู้ที่เกี่ยวข้องในแนวทาง "AT&E" ได้แก่ "Awareness Training & Education" (ดูรูปที่ 3) ซึ่งเป็นแนวทางฝึกอบรมตามมาตรฐานของ NIST SP800-50 "Building an Information Technology Security Awareness and Training Program" จะช่วยทำให้การ Implement ISMS เป็นไปอย่างราบรื่นมากขึ้น เพราะได้รับความร่วมมือจากผู้เกี่ยวข้อง เนื่องจากผู้เกี่ยวข้องทำจากความเข้าใจของตนเอง ไม่ได้เกิดจากการบังคับให้ทำโดยไม่มีความเข้าใจ
รูปที่ 2
รูปที่ 3
2. Management Support
ผู้บริหารระดับสูงมีส่วนสำคัญอย่างยิ่งยวดในความสำเร็จของโครงการ Implement ISMS ในองค์กร เพราะตามหลักการบริหารตามแนว "Governance, Risk Management and Compliance" (GRC) แล้ว ผู้บริหารระดับสูงควรต้อง "สนับสนุน" และ "ใส่ใจ" กับโครงการดังกล่าวอย่างชัดเจนเพื่อกระตุ้นให้ผู้เกี่ยวข้องในองค์กรเกิดความตื่นตัวและตระหนักว่าการ Implement ISMS นั้น ถือเป็นเรื่องสำคัญที่ทุกคนต้องช่วยกันทำ เพื่อให้เกิดระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่ดีขึ้นในองค์กร เพราะ หากปราศจากการสนับสนุนของผู้บริหารระดับสูงแล้วโครงการคงไม่สามารถประสบความสำเร็จได้ทันเวลาที่กำหนดไว้ และส่งผลด้านลบแก่ผู้บริหารระดับสูงและอง [อ่านต่อ]
 เป็นที่ทราบกันโดยทั่วไปในปัจจุบันว่า ประเทศไทยมีกฎหมายด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เรารู้จักกันดีและถูกบังคับใช้แล้วอยู่ 3 ฉบับ ได้แก่ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 ฉบับที่ 1 พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2551 ฉบับที่ 2 และพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
รูปที่ 1
สำหรับพรบ.การคุ้มครองข้อมูลส่วนบุคคลยังอยู่ระหว่างขั้นตอนการดำเนินงานร่างกฎหมายอยู่ (ดูรูปที่ 1) ดังนั้นทุกคนจึงให้ความสำคัญกับ พรบ. (พระราชบัญญัติ) หรือ กฎหมายหลักที่ถูกประกาศในราชกิจจานุเบกษาและมีผลบังคับใช้แล้ว โดยรายละเอียดของกฎหมายลูกหรือพระราชกฤษฎีกาที่ถูกประกาศใช้ในราชกิจจานุเบกษาเพื่อช่วยเสริมเพิ่มเติมรายละเอียดการบังคับใช้กฎหมายหลัก หรือ พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 และ พ.ศ.2551 นั้นสรุปได้ดังนี้ (ดูรูปที่2)
รูปที่ 2
1.1 พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการกระทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2549 (10 มกราคม 2550) อ้างอิงมาตรา 35 ของพรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544
1.2 พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ.2551 (16 กันยายน 2551) อ้างอิงมาตรา 32 มาตรา 33 มาตรา 34 ของพรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544
และร่างพระราชกฤษฎีกาอีกสองฉบับที่กำลังอยู่ในระหว่างการจัดทำเพื่อจะนำมาใช้ในอนาคตอันใกล้ คือ
2.1 ร่างพระราชกฤษฎีกาว่าด้วยการกำกับดูแลธุรกิจบริการเกี่ยวกับการออกใบรับรองอิเล็กทรอนิกส์ พ.ศ. … อ้างอิงมาตรา 32 มาตรา 33 มาตรา 34 มาตรา 35 ของพรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544
2.2 ร่างพระราชกฤษฏีกากำหนดวิธีการแบบ(มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. … อ้างอิงมาตรา 25 ของพรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544และมาตรฐานสากล ISO/IEC 27001
บทวิเคราะห์พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พ.ศ. 2551
จะเห็นได้ว่าพรบ.ว่าด้วยธุรกรรมฯ นั้นได้มีผลบังคับใช้ตั้งแต่ปีพ.ศ. 2544 จากนั้นอีก 7 ปีจึงได้ออก พรบ.ว่าด้วยธุรกรรมฯฉบับที่ 2 พ.ศ. 2551 ซึ่งในฉบับที่ 2 นั้น เนื้อหาสาระที่สำคัญ คือการโอนภารกิจที่เกี่ยวข้องกับคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ไปอยู่ที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารโดยสมบูรณ์ [อ่านต่อ]
 จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก (ดูรูปที่ 1-4) สถิติอาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเตอร์เน็ตเป็นสื่อกลางในการติดต่อก็มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือเป้าหมายผ่านทางเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นเครือข่ายสาธารณะที่เชื่อมต่อคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์กว่าพันล้านคนเข้าด้วยกัน
รูปที่ 1
Source: http://www.internetworldstats.com/
รูปที่ 2
รูปที่ 3
รูปที่ 4
จากการโจมตีทางอินเทอร์เน็ตดังกล่าวทำให้หลายองค์กรตลอดจนบุคคลทั่วไปเกิดความเสียหายทางด้านเศรษฐกิจและสังคม รวมทั้งเสียชื่อเสียงและสูญเสียความน่าเชื่อถือ ซึ่งในปัจจุบันกลายเป็นปัญหาใหญ่ในระดับชาติที่ทุกคนควรต้องทำความเข้าใจสาเหตุของปัญหาให้ถ่องแท้และร่วมกันแก้ปัญหาให้ถูกจุด
การออก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ของทางภาครัฐ ถือเป็นหนึ่งในวิธีการแก้ปัญหาที่ถูกต้อง แต่การออก พรบ. ฯ ดังกล่าวย่อมส่งผลกระทบกับวงการไอทีในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ ซึ่งผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 นั้น สรุปได้ดังนี้
10 ผลกระทบจาก พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550
1. การเตรียมความพร้อมและการจัดเตรียมงบประมาณขององค์กรในการจัดเก็บ Log ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ยังไม่พร้อมและยังขาดงบประมาณอยู่ในองค์กรส่วนใหญ่
2. จำนวนพนักงานเจ้าหน้าที่ที่ยังไม่เพียงพอกับจำนวนอาชญากรรมที่เกี่ยวกับคอมพิวเตอร์ในปัจจุบันและอนาคต
หน่วยงานที่เกี่ยวข้องกับพรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่ประชาชนสามารถแจ้งความกับเจ้าพนักงาน โดยประสานงานกับพนักงานเจ้าหน้าที่ ได้แก่
- ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ (ศตท.) หรือ High-Tech Crime Center (HTCC)
- กองบังคับการป [อ่านต่อ]
.jpg) สำหรับภัยอินเทอร์เน็ตประจำปี ค.ศ. 2009 ต่อจากฉบับที่แล้ว มีรายละเอียดดังต่อไปนี้ครับ
7. ภัยจากช่องโหว่ในโปรแกรมประยุกต์ที่ถูกพัฒนาขึ้นอย่างไม่ปลอดภัย (Application Security Threat)
ข้อมูลจาก Gartner Research ระบุว่า การโจมตีของแฮกเกอร์ในปัจจุบันและอนาคตกว่า 70% มุ่งไปที่การโจมตีช่องโหว่ด้านความปลอดภัยข้อมูลในระดับโปรแกรมประยุกต์ (Application Level Attack) ซึ่งในปัจจุบันโปรแกรมเมอร์ หรือ Software Developer ไม่ค่อยได้ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูลมากนัก หรือ อาจจะยังขาดความรู้ด้าน ”Application Security” ทำให้เกิดเป็นช่องโหว่ที่สำคัญยิ่งกว่าช่องโหว่ของโปรแกรมประยุกต์เองเสียอีก โปรแกรมประยุกต์ หรือ Application ส่วนใหญ่ในปัจจุบันล้วนพัฒนาเป็น ”Web Application” ซึ่งปกติจะทำงานผ่านทาง Internet Browser เช่น Internet Explorer, Firefox, Safari โดย Web Server นิยมใช้ Microsoft IIS หรือ Apache และ ภาษาที่นิยมใช้ได้แก่ ASP.NET, JSP และ PHP การเข้าถึง Web Application ผ่านทางพอร์ต TCP 80 (http) และ พอร์ตTCP 443 (https) โดยไฟล์วอลส์ไม่สามารถป้องกันการโจมตี Web Application ผ่านทางพอร์ตทั้งสองได้เลย เพราะไฟล์วอลส์ส่วนใหญ่ไม่เข้าใจ Attack Pattern ในระดับ Application Layer และ พอร์ตทั้งสองเป็นพอร์ตที่จำเป็นต้องเปิดใช้งานอยู่แล้ว (ดูรูปที่ 2) โดยการโจมตีของแฮกเกอร์นิยมใช้ช่องโหว่ทั้ง 10 ประเภทของ Web Application จาก Open Web Application Security Project (www.owasp.org) หรือ อาจหาข้อมูลจาก Web Hacking Incident Database ของ Web Application Security Consortium (www.webappsec.org) มาใช้ในการโจมตี Web Application
รูปที่ 2
สำหรับช่องโหว่ที่แฮกเกอร์นิยมใช้ในการเจาะระบบมากที่สุดตามรายงานจาก OWASP คือ Cross Site Scripting หรือ XSS Attack และ Injection Flaw หรือ SQL Injection ที่เรารู้จักกันดี (ดูรูปที่ 3)
รูปที่ 3
นอกจากนี้แฮกเกอร์ยังนิยมใช้เทคนิค ”Google Hacking” ในการโจมตีเป้าหมายอีกด้วย ดูข้อมูลเพิ่มเติมได้ที่ Google Hacking Database (http://johnny.ihackstuff.com/ghdb.php)
วิธีการป้องกันภัยจาก Application Security Threat มีรายละเอียดดังนี้
7.1 ติดตั้ง Web Application Firewall (WAF)
เพื่อป้องกันการโจมตีของแฮกเกอร์ในกรณีที่เราไม่สามารถแก้ไ [อ่านต่อ]
.jpg) สำหรับภัยอินเทอร์เน็ตประจำปี ค.ศ. 2009 ต่อจากฉบับที่แล้ว มีรายละเอียดดังต่อไปนี้ครับ
6. ภัยจากโปรแกรมมุ่งร้ายหรือโปรแกรมมัลแวร์ (Malware Threat)
ในปัจจุบันปัญหาไวรัสคอมพิวเตอร์ไม่ได้ถูกจำกัดอยู่เฉพาะโปรแกรมไวรัสคอมพิวเตอร์อีกต่อไป แต่ถูกขยายวงเพิ่มมากขึ้น เป็นโปรแกรมประเภทมัลแวร์ ซึ่งโปรแกรมประเภทนี้มีชื่อเรียกที่รู้จักกันในหลายๆชื่อ ขึ้นอยู่กับลักษณะการทำงานของโปรแกรม แต่ก็ล้วนจัดอยู่ในกลุ่มมัลแวร์ด้วยกันทั้งสิ้น โดยมัลแวร์สามารถแบ่งออกเป็น4 ประเภทใหญ่ๆ ดังนี้
6.1 Infectious Malware : Viruses and worms
เป็นประเภทของมัลแวร์ถูกพบและรู้จักมากที่สุด โดยเรามักนิยมเรียกว่า ไวรัสคอมพิวเตอร์ (viruses) ซึ่งส่วนใหญ่จะติดมากับไฟล์นามสกุล .EXE หรือ .COM โดยมีผลกระทบ หรือ payload กับคอมพิวเตอร์ที่ติดไวรัสแตกต่างกันไป แต่สำหรับเวิร์ม (worms) ซึ่งเรามักเข้าใจว่าเป็นไวรัสรูปแบบหนึ่งจะมีรูปแบบการทำงานที่แตกต่างออกไปจากไวรัสคอมพิวเตอร์ โดยโปรแกรมประเภท worms จะมีรูปแบบในการแพร่กระจายตัวเข้าไปในระบบเครือข่ายโดยโจมตีเครื่องคอมพิวเตอร์ที่อยู่ในระบบเครือข่ายเดียวกัน ซึ่ง Worm สมัยใหม่ในปัจจุบันนิยมใช้วิธีนี้ โดยมักจะติดมากับการใช้ Thumb Drive หรือ USB Drive ที่ไม่ได้รับการควบคุม (Device Control) โปรแกรมมัลแวร์ที่ทำงานในลักษณะเวิร์มจะพยายามแพร่กระจายเข้าสู่ระบบเครือข่าย โดยพยายามอาศัยช่องโหว่ของระบบปฏิบัติการ ยกตัวอย่าง เช่น เวิร์มชื่อ WORM_GIMMIV.A หรือ TSPY_GIMMIV.A อาศัยช่องโหว่ MS08-067 ของระบบปฏิบัติการ Microsoft Windows ที่ยังไม่ได้รับการติดตั้ง Patch โดยเวิร์มดังกล่าวมีการพัฒนาตัวเองต่ออีกหลายเวอร์ชั่น ซึ่งเวอร์ชั่นที่ถูกพบในประเทศไทยมากที่สุดคือ WORM_DOWNAD.A และ WORM_NETWORM.C ทำให้คอมพิวเตอร์ที่ติดไวรัสเพิ่มปริมาณจราจรข้อมูลจำนวนมาก และ ทำให้ระบบเครือข่ายของหลายองค์กรประสบปัญหา Denial of Service (DoS Attack) ไม่สามารถทำงานได้ตามปกติ ต้องสิ้นเปลืองงบประมาณในการลบเวิร์ม และติดตั้ง Patch จำนวนมาก
ในเมื่อทิศทางของไวรัสและเวิร์มมาในรูปแบบนี้ ผู้บริหารระบบสารสนเทศขององค์กรควรให้ความสำคัญกับสองเรื่องใหญ่ๆ คือ 1. การใช้งาน Thumb Drive หรือ USB Drive ในองค์กรอย่างปลอดภัยไม่ติดไวรัส และ 2. การควบคุมไฟล์แนบ (Attached File) ที่มากับอิเล็คโทรนิคส์เมล์ที่ทุกคนต้องเปิดใช้งานอยู่เป็นประจ [อ่านต่อ]
ในปัจจุบันการใช้งานระบบอินเทอร์เน็ตในประเทศไทยนั้น มีจำนวนผู้ใช้งานมากกว่า 10 ล้านคน (ข้อมูลจาก NECTEC และสำนักงานสถิติแห่งชาติ) ส่วนใหญ่จะมีช่วงอายุที่ยังไม่มากนัก เช่น เด็กมัธยมและวัยรุ่น ยกตัวอย่างเช่น การเล่นเกมส์ออนไลน์ผ่านอินเทอร์เน็ตทุกครัวเรือน จากความนิยมของเทคโนโลยีอินเทอร์เน็ตความเร็วสูง (ADSL) ผู้ใช้งานอินเทอร์เน็ตส่วนใหญ่ในวันนี้กำลังเพลิดเพลินไปกับเทคโนโลยี WEB2.0 ที่เรารู้จักกันในนามของ Social Network เช่น Hi5 , My Space และ Face Book
ภัยอินเทอร์เน็ตสมัยใหม่จึงมุ่งไปยังกลุ่มผู้ใช้งานตามบ้านผ่านทางการเข้าเว็บไซต์ Social Network ดังกล่าว อีกทั้ง การนิยมชำระเงินและทำธุรกรรมผ่านทางระบบออนไลน์ เช่น ระบบ Internet Banking และระบบ Pay-Online ทำให้กลุ่มผู้ไม่หวังดีหันมาปล้นเงินผ่านทางระบบออนไลน์เพิ่มมากขึ้น ด้วยวิธีการล่อลวงในแบบต่างๆ เช่น Phishing และ Pharming ดังนั้นจึงสรุปได้ว่า ภัยอินเทอร์เน็ตประจำปี 2009 (ตอนที่1) นั้น แบ่งประเภทได้เป็น 10 ประเภท ดังต่อไปนี้
1. ภัยจากการใช้เทคโนโลยี WEB2.0 และ Social Networking (Client Side Attack)
การหลอกลวงผ่านทางการเข้าเว็บไซต์ยอดนิยม เช่น Hi5 หรือ Face Book นั้นกำลังเป็นที่นิยมไปยังหมู่แฮกเกอร์ ด้วยเทคนิคหลากหลายรูปแบบผสมผสานกัน เช่น การใช้ Phishing ร่วมกับ Social Engineering เช่น การหลอกให้ผู้ใช้หลงเข้าไป ล็อกอินในเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์ Social Network ยอดนิยม ทำให้ผู้ใช้งานอินเทอร์เน็ตถูกขโมย Username และ Password โดยไม่รู้ตัว (Identity Theft) ยิ่งไปกว่านั้นโปรแกรมประสงค์ร้าย เช่น โปรแกรมม้าโทรจันยังนิยมแพร่กระจายผ่านทางเว็บไซต์ Social Network ดังกล่าวด้วย
การป้องกันไม่ให้ตกเป็นเหยื่อการล่อลวงอย่างที่กล่าวมาแล้ว คือ ต้องคอยสังเกตเวลา login เข้าเว็บไซต์ว่าเป็น เว็บไซต์จริงหรือเว็บไซต์ปลอม ต้องมีสติระลึกให้รู้ก่อนคลิกหรือป้อนข้อมูลส่วนตัว เช่น Username หรือ Password ลงในเว็บไซต์ที่กำลังใช้งานอยู่ นอกจากนี้ยังควรหมั่น update ข้อมูลข่าวสารให้เป็นปัจจุบันโดยการเข้าไปอ่านข่าวเกี่ยวกับเรื่องความปลอดภัยในอินเทอร์เน็ตหรืออ่านจากแมกกาซีนต่างๆ เพื่อให้เข้าใจถึงเทคนิคการล่อลวงใหม่ๆ ที่อาจเกิดขึ้นได้ตลอดเวลา
2. ภัยจากการทำธุรกรรมออนไลน์และการใช้ E-Commerce
ภัยในข้อสองนี้กำลังมีอัตราการเพิ่มขึ้นตามความนิยมที่ผู้คนชอ [อ่านต่อ]
จากปัญหาสภาวะเศรษฐกิจของโลกในปัจจุบัน พบว่าปัญหาส่วนใหญ่ที่เกิดขึ้นกับองค์กร ได้แก่ ปัญหาด้านการทุจริต ทางด้านการเงิน (Financial Fraud) ที่มีอัตราการเกิดอย่างต่อเนื่อง ไม่ว่าจะเป็นกรณีบริษัท ENRON ในสหรัฐอเมริกา หรือ บริษัท SATYAM ที่เป็นบริษัทยักษ์ใหญ่ด้าน IT Outsourcing ในอินเดีย ก็ล้วนเกิดปัญหาจากการบริหารองค์กรที่ไม่โปร่งใสโดยมีต้นตอมาจากการบริหารงานที่ไม่ตรงไปตรงมาของผู้บริหารระดับสูง (Board of Director) ซึ่งสามารถหลอกลวงผ่านการตรวจสอบทั้งผู้ตรวจสอบภายใน และ ผู้ตรวจสอบภายนอก ได้อย่างไม่น่าเชื่อ สำหรับในประเทศไทยเรา ยกตัวอย่างกรณีที่ ก.ล.ต.สั่งอายัดทรัพย์ผู้บริหารบริษัท เอส.อี.ซี. ออโต้เซลส์ แอนด์ เซอร์วิส จำกัด (มหาชน) ที่ทำให้ผู้ถือหุ้นเกิดความเสียหายเป็นต้น ดังนั้น ความสำคัญของการตรวจสอบภายใน (Internal Audit) ผู้ตรวจสอบภายใน (Internal Auditor) ผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) และ ฝ่ายตรวจสอบภายใน (Internal Audit Department) ในองค์กร จึงกลายเป็นประเด็นสำคัญที่ผู้บริหารระดับสูงขององค์กรต้องให้ความสำคัญอย่างยิ่งยวด เพื่อให้เกิดความมั่นใจต่อผู้ถือหุ้น ตลอดจนบทบาทของ ผู้ตรวจสอบอิสระจากภายนอก หรือ "External Auditor" ไม่ว่าจะเป็นผู้ตรวจสอบจาก Certification Body (CB) ที่มีหน้าที่ตรวจสอบตามมาตรฐาน ISO/IEC เช่น มาตรฐาน ISO/IEC 27001 ยกตัวอย่าง เช่น บริษัท Bureau Veritas หรือ บริษัท Tuv Nord ซึ่งเรามักเรียกกันติดปากว่า "Lead Auditor" ตลอดจน ผู้ตรวจสอบจากบริษัทที่ปรึกษาที่มีหน้าที่ในการตรวจสอบเทคนิคเชิงลึก เช่น การทำ Vulnerability Assessment หรือ การทำ Penetration Testing เป็นต้น ซึ่ง ตามข้อกำหนดในการตรวจสอบของมาตรฐาน ISO/IEC 27001 นั้น กำหนดให้องค์กรต้องได้รับการตรวจสอบจากทั้งผู้ตรวจสอบภายใน (Internal Auditor) และผู้ตรวจสอบภายนอก (External Auditor) ตลอดจนต้องมีการทบทวนโดยผู้บริหารระดับสูง (Management Review) ในการเรียนรู้และแก้ไขข้อบกพร่องต่าง ๆ ในระบบขององค์กรที่ไม่เป็นไปตามที่มาตรฐานได้กำหนดไว้ เป็นต้น
ความหมายของ "Internal Audit"
หมายถึง การตรวจสอบภายใน โดยฝ่ายตรวจสอบภายในของบริษัทเองซึ่ง "ผู้ตรวจสอบภายใน" ควรศึกษาองค์ความรู้ที่จำเป็นต้องใช้ในการปฏิบัติงานตรวจสอบภายใน ได้แก่ "Corporate Governance Framework", &quo [อ่านต่อ]
 ในปัจจุบันระบบสารสนเทศกลายเป็นหัวใจหลักของระบบธุรกิจส่วนใหญ่ทั้งภาครัฐและเอกชนล้วนนำระบบสารสนเทศมาใช้ในองค์กรอย่างกว้างขวาง ไม่ว่าจะเป็นระบบ Web Site ขององค์กร, ระบบ Electronic Mail หรือ ระบบเฉพาะทางต่างๆ เช่น ระบบ Intranet, ระบบ Portal, ระบบ ERP, CRM และ SCM เป็นต้น ทำให้การใช้งานคอมพิวเตอร์ในการเข้าถึงข้อมูลองค์กรจึงกลายเป็นเรื่องที่พนักงานในองค์กรทุกคนคุ้นเคยและใช้ปฏิบัติงานอยู่ในชีวิตประจำวัน โดยอาศัยระบบสารสนเทศและระบบเครือข่ายเป็นโครงสร้างพื้นฐานในการทำงานของระบบต่างๆ ดังกล่าว
ปัญหาที่หลายองค์กรกำลังเผชิญอยู่ทั้งในอดีต ปัจจุบัน และอนาคต คือ ปัญหาระบบสารสนเทศไม่สามารถทำงานตามปกติ หรือ ปัญหาระบบสารสนเทศล่ม ยกตัวอย่าง เช่น หากพนักงานเข้าระบบไม่ได้ในช่วงระยะเวลาที่ระบบล่มอยู่ พนักงานก็ไม่สามารถเรียกข้อมูลต่างๆ ที่ถูกเก็บอยู่ในรูปของดิจิตอลฟอร์เมต (Digital format) หรือ e – Document ออกมาได้ อีกทั้งลูกค้าก็ไม่สามารถเข้าถึงข้อมูลขององค์กร เช่น เข้าชม Web Site ขององค์กร หรือ ไม่สามารถส่งอิเล็กโทรนิคส์เมล์ได้ ยิ่งถ้าเป็นระบบของโรงพยาบาล, ระบบฝากถอนเงินของธนาคาร หรือ ระบบที่ใช้ในการควบคุมขนส่งมวลชน ตลอดจนระบบที่ใช้ในการควบคุมสาธารณูปโภค เช่น ไฟฟ้า, น้ำประปา เป็นต้น ล้วนเป็นระบบที่มีความสำคัญอย่างยิ่งยวด เป็นโครงสร้างพื้นฐานของประเทศ (Critical Infrastructure) ดังนั้น หากระบบดังกล่าวไม่สามารถใช้งานได้ การเข้าถึงข้อมูลที่อยู่ในระบบก็ไม่สามารถเข้าถึงได้ทันท่วงที ทำให้องค์กรไม่สามารถดำเนินธุรกิจธุรกรรมต่างๆได้ตามปกติ ส่งผลให้องค์กรเกิดความเสียหายได้
ตัวอย่างภัยคุกคามที่ทำให้ระบบล่ม ได้แก่ ภัยธรรมชาติ เช่น สึนามิ, พายุเฮอริเคน, น้ำท่วม หรือ ภัยจากมนุษย์ เช่น การก่อวินาศกรรม เช่น กรณี 911, การจราจล, การลอบวางเพลิง ก็ล้วนเป็นปัจจัยกระตุ้นให้ผู้บริหารองค์กรจำเป็นต้องให้ความสำคัญอย่างยิ่งยวดต่อระบบสารสนเทศที่เป็นกระดูกสันหลังในการดำเนินธุรกิจขององค์กร เพราะหากระบบเกิดปัญหา องค์กรก็ควรที่จะมีแผนฉุกเฉินในการทำให้ระบบสารสนเทศขององค์กรสามารถให้บริการได้อย่างไม่ติดขัดจนก่อให้เกิดความเสียหายแก่องค์กรทั้งทางตรงและทางอ้อม
ดังนั้นศาสตร์และองค์ความรู้ทางด้านการบริหารจัดการให้องค์กรส [อ่านต่อ]
จากกระแส พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ และ พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประกอบกับแนวคิด “GRC” (Governance, Risk and Compliance) ที่กำลังเป็นที่นิยมอยู่ในขณะนี้ ทำให้หลายองค์กรเกิดความตื่นตัวในเรื่อง “Regulatory Compliance” หรือ “การปฏิบัติตามกฎหมายและกฎระเบียบต่างๆ” จากหน่วยงานที่เกี่ยวข้อง เช่น ธนาคารพาณิชย์ ปฏิบัติตามกฎระเบียบของธนาคารแห่งประเทศไทย และบ ริษัทหลักทรัพย์ปฏิบัติตามกฎระเบียบของสำนักงานคณะกรรมการกำกับหลักทรัพย์ และ ตลาดหลักทรัพย์ (กลต.) เป็นต้น หน่วยงานที่มีหน้าที่ในการประเมิน (assess) หรือ ตรวจสอบ (audit) ยกตัวอย่าง เช่น สำนักงานตรวจเงินแผ่นดิน , ธนาคารแห่งประเทศไทย ตลอดจน คณะกรรมการนโยบายรัฐวิสาหกิจ โดยบริษัทไทยเรตติ้ง แอนด์ อินฟอร์เมชั่น เซอร์วิส จำกัด ได้มีการนำแนวทาง Corporate Governance (COSO) และ IT Governance (CobiT) เข้ามาประยุกต์ใช้ในการตรวจสอบ ตลอดจนนำมาตรฐานสากล (International Standard) เช่น มาตรฐานด้านการบริหารจัดการความมั่นคงปลอดภัยข้อมูล (Information Security Management System) ได้แก่ มาตรฐาน ISO/IEC 27001 มาเป็นแนวทางในการตรวจสอบ ซึ่งในปัจจุบัน คณะอนุกรรมการด้านความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550 โดยอ้างอิงจากมาตรฐาน ISO/IEC 27001:2005 และ ISO/IEC 17799:2005 (ปัจจุบันเปลี่ยนเป็น ISO/IEC 27002 แต่เนื้อหายังคงเหมือนเดิม) เพื่อให้สอดคล้องกับมาตรฐานสากล คาดว่าภายในปีพ.ศ.2551 นี้ทางคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จะดำเนินการผลักดันให้มาตรฐานนี้กลายเป็นมาตรฐานของประเทศไทยที่ได้รับการรับรองโดย สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) และ มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ยังได้ถูกนำมากำหนดเป็นมาตรา 8 ในร่างพระราชกฤษฎีกาว่าด้วยวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอยู่ในระหว่างการจัดให้มีการรับฟังความคิดเห็นจากผู้ที่เกี่ยวข้อง เพื่อนำข้อสังเกตและข้อเสนอแนะมาปรับแก้ร่างพรฎ.ดังกล่าว และขณะนี้อยู่รหว่างการดำเนินการเพื่อเสนอต่อครม.ต่อไป
จะเห็นว่าที่ม [อ่านต่อ]
สืบเนื่องจากกระแส “Regulatory Compliance” ที่มีผลต่อวงการ “Information Security” ทั่วโลกรวมทั้งในประเทศไทย ทำให้ตลาดผลิตภัณฑ์ฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนบริการต่างๆที่เกี่ยวข้องกับระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ มีอัตราการเติบโตเพิ่มขึ้นจากปีที่ผ่านมาอย่างเห็นได้ชัด สำหรับความตื่นตัวที่กลับมาอีกครั้งขององค์กรเรื่องการปฏิบัติตามพรบ.ว่าด้วยการกระทำผิดฯ หลังจากการประกาศในราชกิจจานุเบกษา เมื่อวันที่ 23 สิงหาคม 2550 ระยะเวลาผ่อนผันให้ทุกองค์กรปฏิบัติตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารที่กำหนดให้หนึ่งปีจากวันที่ประกาศบังคับใช้ โดยจะหมดระยะผ่อนผันตั้งแต่วันที่ 23 สิงหาคม 2551 เป็นต้นไป ทำให้หลายองค์กรกำลังมองหา “ The Right Solution” ที่จะทำให้การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ การจัดเก็บ Log File ขององค์กรสามารถ “ผ่าน” หรือ “Comply” พรบ.ฯ ได้อย่างไม่มีปัญหา ในกรณีที่ทางพนักงานเจ้าหน้าที่ต้องการข้อมูลจราจรทางคอมพิวเตอร์ ์ องค์กรจะต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตามประกาศกระทรวงฯ ไว้ไม่น้อยกว่า 90 วัน จากการสำรวจข้อมูลจากหลายองค์กรชั้นนำ พบว่ามีหลากหลายปัญหาเกิดขึ้นระหว่างช่วงระยะผ่อนผัน สรุปสาเหตุของปัญหาและทางแก้ที่ถูกต้องได้ดังนี้
10 ปัญหาที่พบบ่อยเกี่ยวกับการปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดฯ ขององค์กรในประเทศไทย
ปัญหาที่เกิดจากผู้บริหารระดับสูงไม่ให้ความสำคัญเรื่องการปฏิบัติตามพรบ.ฯ
สาเหตุ
ผู้บริหารระดับสูงอาจยังไม่ได้รับข่าวสารเรื่องพรบ.ฯ เนื่องจากไม่มีการนำเสนอให้กับผู้บริหารระดับสูง หรือ ผู้บริหารระดับสูงคาดว่าการบังคับใช้กฎหมายทางภาครัฐที่รับผิดชอบคงไม่เอาจริง เนื่องจากพนักงานเจ้าหน้าที่ยังไม่พร้อม อีกทั้งยังไม่มีคดีตัวอย่างให้เห็น จึงเพิกเฉยต่อการปฏิบัติตาม พรบ.ฯ
ทางแก้ไข
ทางภาครัฐควรมีการจัดทำการประชาสัมพันธ์เกี่ยวกับแนวทางการปฏิบัติตาม พรบ.ฯ และกระบวนการแจ้งความเกี่ยวกับการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ตลอดจนบทบาทและอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ ตลอดจนนำกรณีศึกษาคดีตัวอย่างที่เกี่ยวข้องกับ พรบ.ฯ เพื่อให้เกิดความตระหนักและความเข้าใจในวัตถุประสงค์ที่แท้จริงของการบังคับใช้ พรบ.ฯ
สำหรับองค์กร ผู้บริหารระบบสารสนเทศระดับสูง (CIO) หรือ [อ่านต่อ]
| |
