The Future of Information Security บทวิเคราะห์ทิศทางของวงการความปลอดภัยข้อมูลคอมพิวเตอร์ในอนาคต by A.Prinya Hom-anek CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, CompTIA Security+, CCSA 2000, CCNA, MCSE, MCDBA, MCP+Internet, Master CNE, CNI, CNA, ITIL, (ISC)2 Asian Advisory Board Member, ISACA Bangkok Chapter Board Member President & Founder, ACIS Professional Center ACIS

     ในปัจจุบัน เรื่องความมั่นคงปลอดภัยข้อมูลหรือ "Information Security" กลายเป็นเรื่องสำคัญสำหรับการบริหารจัดการระบบสารสนเทศที่ดีและมีประสิทธิภาพ ระบบสารสนเทศที่มีเสถียรภาพสูงควรสามารถป้องกันการโจมตีจากแฮกเกอร์ หรือ มัลแวร์ต่างๆ ได้เป็นอย่างดี วัตถุประสงค์หลักขององค์กรก็คือ การรักษา "CIA" (ย่อมาจาก Confidentiality, Integrity และ Availability) ให้กับระบบสารสนเทศขององค์กร ได้แก่ การรักษาความลับของข้อมูล (Confidentiality) , การรักษาความถูกต้องของข้อมูล (Integrity) และ การทำให้ระบบมีความมั่นคงและมีเสถียรภาพในการให้บริการอย่างต่อเนื่อง (Availability) อีกทั้งยังต้อง "ผ่าน" หรือ "Comply" กฎระเบียบข้อบังคับจาก Regulator และ กฎหมายต่างๆ ที่ทยอยออกมาอย่างต่อเนื่อง เช่น พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔ และ พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ รวมทั้งการปฏิบัติตาม International Standard และ Best Practices ต่างๆ ไม่ว่าจะเป็น ISO/IEC 27001, ISO/IEC 20000, BS25999, CobiT version 4.1, COSO และ ITIL version 3 เป็นต้น

     ดังนั้น การบริหารจัดการระบบความมั่นคงปลอดภัยข้อมูล หรือ Information Security Management นั้น จึงเป็นเรื่องที่ผู้บริหารทุกองค์กรไม่สามารถหลีกเลี่ยงได้ ในปัจจุบันองค์กรขนาดใหญ่ได้แยกแผนกรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศออกจากแผนกเทคโนโลยีสารสนเทศ เพื่อความคล่องตัวในการบริหารและการแบ่งแยกอำนาจหน้าที่รับผิดชอบให้เกิดความชัดเจน อีกทั้งยังเกิดการ "Cross Check" ซึ่งกันและกันระหว่างแผนก "IT" และ แผนก "Information Security" รวมทั้งในอนาคตองค์กรควรจะต้องมีแผนกอย่างน้อย 3 แผนกคือ แผนก IT หรือ MIS , แผนก Information Security และ แผนก IT Internal Audit ร่วมมือกันทำงาน และ ตรวจสอบซึ่งกันและกัน โดยที่บุคลากรของแต่ละแผนกควรได้รับการรับรองความรู้ ที่ได้มาตรฐาน "International Standard" จากสถาบันที่มีชื่อเสียงและมีความเชื่อถือสูง เช่น CISSP,SSCP จาก (ISC)2 และ CISA,CISM จาก ISACA เป็นต้น

     ในอนาคต "Professional Certification" จะกลายเป็นมาตรฐานบังคับ (Mandatory) ไม่ใช่ "Option" ที่จะมีหรือไม่มีก็ได้ ดังนั้น คนไอทีทุกคนควรมี Professional Certification ติดตัวอย่างน้อยก็เป็นใบเบิกทางในการทำงาน และเป็นการพัฒนาตนเอง ตลอดจนสร้างความเชื่อถือให้กับหัวหน้า , เพื่อนร่วมงาน , ลูกค้า และคู่ค้าขององค์กร อีกด้วย

     สำหรับทิศทางในอนาคตของวงการความปลอดภัยข้อมูลในอีกไม่เกิน 5 ปีข้างหน้านั้น ขอทำนายไว้ล่วงหน้าว่า คุณสมบัติ และ ข้อกำหนดทั้ง Hardware, Software และ Peopleware ที่เกี่ยวกับเรื่อง "Information Security" นั้น จะถูกบรรจุไว้ในผลิตภัณฑ์ และ ถูกรวมเข้ากับบริการของ Service Provider ไปโดยปริยาย เพราะลูกค้าจะมองว่า "Information Security" ก็คือ "Basic Infrastructure" หรือ โครงสร้างพื้นฐาน เช่น เมื่อซื้อรถยนต์มาก็ควรมีระบบเบรค "ABS" และ ระบบ "AIRBAG" ติดมากับรถยนต์ โดยลูกค้าไม่ต้องจ่ายเพิ่ม โดยลูกค้าในอนาคตจะไม่อยากจ่ายเพิ่มในเรื่อง "Information Security" ที่ลูกค้าเองมองว่าควรจะพึงมีอยู่แล้วในการให้บริการของ Service Provider ในอนาคตเราอาจจะเห็นการรวมกันของบริษัทเทคโนโลยีสื่อสารคมนาคมกับบริษัทผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลอีกหลายราย

     จากค่านิยมของผู้บริโภค หรือ ลูกค้า ที่เปลี่ยนไปดังกล่าว ทำให้ผู้ให้บริการเกี่ยวกับระบบเทคโลยีสารสนเทศและผู้ให้บริการด้านอินเทอร์เน็ตทั่วไป จำเป็นต้องมี "Information Security Feature" ที่ถูก "Built-In" รวมเข้าไว้ในระบบ และ บริการของผู้ให้บริการ หรือ Service Provider โดยอัตโนมัติ ซึ่งจะทำให้มีข้อได้เปรียบเหนือคู่แข่งที่ไม่มี "Information Security Feature" ดังกล่าว ตลอดจนยังรักษาฐานลูกค้าให้เกิดความ "Royalty" กับบริการของผู้ให้บริการอีกด้วย

     ในอนาคต เราอาจไม่ได้เห็นการ "ขาย" อุปกรณ์ด้านความปลอดภัยข้อมูล Hardware และ Software ให้กับองค์กรดังเช่นทุกวันนี้ แต่จะเป็นการใช้บริการจาก IT Outsourcing และ IT Security Outsourcing มากขึ้น หรือเห็นบริษัท MSSP (Managed Security Service Provider) ควบรวมกิจการกับบริษัทยักษ์ใหญ่ด้าน Telecom เช่น British Telecom (BT) เข้าซื้อกิจการ MSSP ของ Counterpane ซึ่งเป็น MSSP ชื่อดังในยุโรป เป็นต้น

     ในอนาคตการขายอุปกรณ์ความปลอดภัยตรงๆ ให้กับลูกค้าองค์กรนั้นจะไม่ง่ายเหมือนสมัยก่อน เพราะในปัจจุบันและอนาคต ลูกค้าต้องการในรูปแบบของ "Total Solution" หรือ "Turn-key Project" ที่รวมเอา "Information Security Feature" เข้าเป็นส่วนหนึ่งของโครงการ และองค์กรจะนิยม "Outsource" งานด้าน IT และ Information Security ออกไปยังผู้เชี่ยวชาญภายนอกมากขึ้น ดั้นนั้น ITIL Best Practice และ ISO/IEC 20000 Standard จะได้รับความนิยมเพิ่มมากขึ้น

     ดังนั้น ทั้งผู้ให้บริการ (ผู้ขาย) และผู้ใช้บริการ (ผู้ซื้อ) ก็ควรต้องมีการ "ปรับตัว" ตั้งแต่เนิ่นๆ มิฉะนั้นองค์กรอาจไม่สามารถอยู่รอดได้ในอีก 5 ถึง 10 ปีข้างหน้า เราคงเคยได้ยินคำว่า "SAAS" หรือ "Software As A Service" กันมาบ้างแล้ว ซึ่งต่อไปเราคงได้ยินคำว่า SAAI หรือ "Security As An Infrastructure" กันบ้าง ในอนาคตอันใกล้นี้ ที่ทุกคนต้องปรับตัวให้เข้ากับกระแสที่ความสามารถด้านการป้องกันความปลอดภัยข้อมูลของผลิตภัณฑ์ควรจะต้องถูกบรรจุรวมอยู่ในผลิตภัณฑ์ทั้ง Hardware และ Software โดยไม่มีการ "Charge" ลูกค้าเพิ่มแต่อย่างใด เพราะถึงอย่างไรลูกค้าก็จะ "ปฏิเสธ" หรือ "เสียอารมณ์" กับการที่ต้องจ่ายค่าความปลอดภัยเพิ่ม หลังจากการซื้อผลิตภัณฑ์ ที่ผู้ใช้บริการหรือลูกค้าเข้าใจว่า ควรจะมีความสามารถต่างๆ เหล่านี้อยู่ในผลิตภัณฑ์และการให้บริการอยู่เรียบร้อยแล้ว ซึ่งผู้ให้บริการต้องกำหนดยุทธศาสตร์และกลยุทธ์ในการทำธุรกิจให้ชัดเจนกับลูกค้า และ แสดงให้ลูกค้าเห็นถึงความตระหนักเรื่องความมั่นคงปลอดภัยข้อมูลของลูกค้าเป็นสำคัญ