|
 |
|
|
 |
|
|
 |
"Information Security Management Outsourcing"
เหตุผล และมุมมอง การวิเคราะห์ข้อดี /ข้อเสีย ในการบริหารระบบความปลอดภัยคอมพิวเตอร์
โดยการทำสัญญาใช้บริการจาก MSSP (Managed Security Service Provider)
by A.Pinya Hom-anek,
GCFW,
CISSP,
CISA
ACIS Professional Team
E-mail: 
|
เมื่อกล่าวถึงการบริหารจัดการระบบความปลอดภัยข้อมูลคอมพิวเตอร์ในทุกวันนี้ถือเป็นเรื่องสำคัญขององค์กรทุกองค์กรที่นำคอมพิวเตอร์และเทคโนโลยี IT เข้ามาใช้งาน เพราะปัญหาต่าง ๆ ที่เกิดขึ้นกับระบบคอมพิวเตอร์ขององค์กรไม่ว่าจะเป็นปัญหาไวรัสคอมพิวเตอร์, ปัญหา SPAM Mail, ปัญหาการถูก Hacker เข้าโจมตีโดยการเปลี่ยนหน้า Web Page (Web Defacement) ตลอดจนปัญหาระบบช้า หรือ ระบบล่ม ไม่สามารถให้บริการผู้ใช้ หรือ ลูกค้าได้ ซึ่งอาจเกิดจากการโจมตีแบบ DoS or DDoS Attack ก็เป็นสิ่งที่ CIO (Chief Information Officer) , CSO (Chief Security Officer) หรือ IT Manager ต้องรับผิดชอบ และ คอยเฝ้าระวังในลักษณะ "Proactive Management" คือ ไม่ใช่รอให้เกิดปัญหาก่อนแล้วค่อยแก้ไข แต่ ใช้หลักการตรวจสอบระบบอยู่เสมอ (Continuous Auditing) มีการติดตั้งระบบ IDS (Intrusion Detection System) เพื่อใช้ในการตรวจจับ Traffic ในระบบเครือข่ายว่ามีสัญญาณของการโจมตีของ ไวรัส หรือ Hacker หรือไม่เพื่อที่จะได้เตือนให้ทันท่วงที เพราะปัญหาเหล่านี้จะเกิดขึ้นเร็วมาก อาจส่งผลกระทบกับองค์กรในเวลาเพียงไม่กี่นาทีเท่านั้น
จากปัญหาดังกล่าว มีการสำรวจและวิจัยแล้วพบว่า องค์กรที่ใช้ IT ใดยทั่วไป ต้องการบุคลากรที่จะมาดูแลจัดการเรื่อง "Information Security" โดยเฉพาะ ตั้งแต่มีการพูดถึงตำแหน่ง CSO (Chief Security Officer) หรือ CISO (Chief Information Security Officer), พูดถึงการจัดตั้งหน่วยงานดูแลด้าน Information Security โดยตรงซึ่งแยกออกมาจากฝ่าย IT เดิม (Infosec Department), มีการตั้งหน่วยงาน IT Internal Audit เพื่อตรวจสอบระบบอยู่เป็นระยะ ๆ
แต่ถึงองค์กรสมัยใหม่จะมีการเปลี่ยนแปลงด้าน IT ไปหลายๆ อย่างแล้วก็อาจยังไม่เพียงพอ เพราะบุคลากรขององค์กรจำเป็นต้องมี "ความรู้เชิงลึก" (In-depth Knowledge) ในด้านของ Information Security หรือ Infosec และ ต้องเข้าใจกลไกการจู่โจมของ Hacker และ ไวรัส เสียก่อน ถึงจะสามารถป้องกันระบบอย่างได้ผล ตลอดจนต้องคอยหมั่นเผ้าระวังอยู่ตลอดเวลา (Real-Time Intrusion Detection) ซึ่งต้องเสียกำลังคน และทรัพยากรไปไม่ใช่น้อย บางองค์กรก็ได้ผลลัพธ์ออกมาไม่คุ้มกับที่ลงทุนไปในเรื่องนี้
ทางออกของการแก้ปัญหาในระยะยาวก็คือ การทำ "IT Outsourcing" ซึ่งเป็นแนวทางที่กำลังได้รับความนิยมอย่างสูงในเวลานี้ เนื่องจากองค์กรไม่ต้องดูแลรับผิดชอบทุกสิ่งทุกอย่างเอง แต่ได้ "Outsource" งานต่าง ๆ ออกไปเพื่อที่จะให้มีผู้ร่วมรับผิดชอบมากขึ้น และประหยัดค่าใช้จ่ายโดยรวมขององค์กร
การทำ "IT Outsourcing" กับ "Information Security Outsourcing" นั้น มีความแตกต่างกันพอสมควร จากการที่องค์กร Outsource งาน IT ทั่วๆไป เช่น งานดูแลเครือข่าย หรือ งาน Help Desk นั้น องค์กรสามารถ Outsource ได้โดยง่าย เพราะงานไม่ค่อยมีความซับซ้อนเท่าไร แต่พอพูดถึง "Information Security Outsourcing" หลายคนอาจจะปฏิเสธเรื่องนี้ไปเลย เพราะปัญหาเรื่องของ "Trust" หรือความไว้วางใจ ในบริษัทที่จะเข้ามาเป็นผู้ดูแลระบบความปลอดภัยให้กับเราที่เรียกว่า MSSP (Managed Security Services Provider) เพราะ เราไม่อยากให้ MSSP ต้องเข้ามารู้ข้อมูลภายในองค์กรของเรา และ เราจะไว้ใจ MSSP ได้แค่ไหน ระบบความปลอดภัยนั้นถือเป็นหัวใจสำคัญขององค์กรทำไมเราไม่ดูแลเอง แต่กลับไปให้ MSSP มาดูแทน จะเห็นว่าเกิดคำถามขึ้นมามากมาย
แต่ข้อมูลจากการวิจัยพบว่า การจัดจ้าง MSSP ในสหรัฐอเมริกา, ยุโรป และทั่วโลกกำลังได้รับความนิยมสูงขึ้นเรื่อย ๆ และ จากการสำรวจของบริษัทวิจัยต่าง ๆ ไม่ว่าจะเป็น Gartner Group หรือ IDC ล้วนกล่าวเป็นเสียงเดียวกันว่าในอีกปีสองปีข้างหน้านี้ ธุรกิจ MSSP จะเติบโตแบบก้าวกระโดด และ องค์กรต่าง ๆ จะนิยมทำ "Information Security Outsourcing" กันมากขึ้นเรื่อย ๆ
หน้าที่ความรับผิดชอบหลักๆของ "MSSP"
- บริการแจ้งข่าวสารความเคลื่อนไหวด้าน Information Security โดยเฉพาะเรื่อง New Vulnerability/Exploit และ New Virus ให้ทราบในลักษณะวันต่อวัน (Day by Day Report)
- บริหารจัดการ และ เฝ้าระวัง (Managing and Monitoring) Network Perimeter Security ที่ External Firewall, Border Router, IDS/IPS, VPN ตลอดจน Server ในบริเวณ DMZ
- บริหารจัดการ Vulnerability ให้กับระบบขององค์กรอย่างต่อเนื่อง เช่น การทำ Vulnerability Assessment และ Penetration Testing รายเดือน เป็นต้น
- เฝ้าระวัง Internal Network จาก Virus และ Hacker ตลอดจน Internal Firewall and Server Farm ภายในระบบ LAN ขององค์กร
- รับปรึกษาปัญหาเวลาเกิด Security Breach Incident, รับแก้ปัญหาในลักษณะ Incident Response และ Digital Forensic
- บริหารจัดการ Centralized Log Management และ Centralized Patch Management อย่างเป็นระบบ
เราจะเห็นแล้วว่า "Outsourcing Information Security" นั้นเป็นเรื่องที่น่าสนใจและมีประโยชน์กับองค์กร แต่ต้องทำด้วยความระมัดระวัง โดยที่ CIO/CSO หรือ ผู้บริหาร IT ต้องมีสิ่งสำคัญ ที่เรียกว่า "Due Care" และ "Due Diligence" คือ มีความละเอียดรอบคอบเข้าใจปัญหาด้านความปลอดภัยข้อมูลคอมพิวเตอร์เป็นอย่างดี และ มีการทำสัญญากับ MSSP อย่างรัดกุมโดยกำหนด SLA (Service Level Agreement) อย่างชัดเจน จะทำให้ ไม่เกิดปัญหาทั้งสองฝ่ายเมื่อได้เข้ามาร่วมงานกัน เพราะ องค์กร (ผู้ว่าจ้าง) กับ MSSP (ผู้รับจ้าง) จะต้องทำงานร่วมกันอยู่ตลอดเวลา แต่ทำงานคนละบทบาท และ มีการแบ่งแยกขอบเขตของความรับผิดชอบ โดยระบุรายละเอียดใน SLA ไว้ให้ชัดเจน
ข้อดีหรือประโยชน์จากการใช้บริการ "MSSP" ได้แก่
- ลดต้นทุน
การจ้าง "MSSP" นั้น ควรช่วยองค์กรประหยัดค่าใช้จ่ายในการจ้างพนักงานประจำ (Full Time Employee) หรือ พนักงาน In-House Security Engineer ระดับ Expert ที่จะมาดูแลระบบให้องค์กรโดยตรง ซึ่งมีค่าตัวค่อนข้างสูงถึงสูงมาก อาจไม่เหมาะกับการจ้างในรูปแบบเงินเดือน ถ้าเป็นองค์กรใหญ่ๆ อาจจะไม่มีปัญหาเรื่องนี้ แต่สำหรับองค์กรขนาดกลางหรือ SME นั้นการจัดตั้งแผนก "INFOSEC" ถือเป็นการเพิ่มค่าใช้จ่ายให้องค์กร ซึ่งผู้บริหารต้องทบทวนเรื่องนี้พอสมควร
- แก้ปัญหาเรื่องขาดบุคลากรเชี่ยวชาญเฉพาะด้าน INFOSEC
ปัญหาใหญ่ของหน่วยงานและองค์กรโดยทั่วไปก็คือการขาดคนที่มีความรู้ ทักษะและความสามารถเฉพาะทางด้านระบบความปลอดภัยข้อมูลโดยตรง ทำให้ต้องมีการรับสมัครงาน การฝึกอบรมพนักงาน การจูงใจต่างๆ ให้พนักงานที่มีความเชี่ยวชาญและความชำนาญแล้วยังคงทำงานกับองค์กรต่อไป โดยไม่ลาออกไปทำงานที่อื่นซึ่งเสนออัตราเงินเดือนสูงที่กว่าเป็นต้น แต่เมื่อองค์กรจัดจัดจ้าง "MSSP" แล้วหน้าที่ต่างๆ เหล่านี้จะเป็นของ "MSSP" ไม่ใช่ขององค์กร โดยผู้บริหารไม่ต้องมากังวลเรื่องปัญหาบุคลากรอีกต่อไป เนื่องจาก "MSSP" จะเป็นผู้คัดสรรและจัดเตรียมคนที่จะทำงานร่วมกันตามสัญญาที่ระบุไว้ใน SLA เป็นหน้าที่ของ "MSSP" ที่ต้องดูแล Security Expert ของตนเพื่อให้บริการกับลูกค้าอยู่แล้ว บุคลากร ที่เป็น Security Expert นั้นถือเป็นหัวใจสำคัญที่ "MSSP" ทุกที่ต้องม
- มีความเชี่ยวชาญมากกว่า
เราต้องยอมรับว่าบุคลากรไอทีภายในองค์กรของเรา มีโอกาสพบกับการแก้ปัญหาเรื่อง INFOSEC น้อยมาก อาจพบเฉพาะปัญหาที่เกิดขึ้นกับองค์กรเสียเป็นส่วนใหญ่ ขณะที่บุคลากรของ "MSSP" นั้น มีโอกาสได้รับข้อมูลเรื่องนี้อยู่เวลา และ มีประสบการณ์การแก้ปัญหาเรื่อง INFOSEC กับลูกค้าหลายราย บุคลากรของ "MSSP" มีการศึกษาวิจัย Focus เฉพาะเรื่อง "INFOSEC" อย่างเดียว ตลอดจนได้เข้ารับการฝึกอบรมอย่างสม่ำเสมอต่อเนื่อง จึงมีความเชี่ยวชาญและความชำนาญมากกว่า เราจึงได้ประโยชน์จากการจ้าง "MSSP" ในข้อนี้อย่างเห็นได้ชัด
- สถานที่และอุปกรณ์ที่พร้อมกว่า
"MSSP" ต้องมีการลงทุนกับศูนย์ปฏิบัติการด้านการเฝ้าระวังเครือข่ายหรือที่เรียกว่า Security Operation Center (SOC) ซึ่งต้องมีเครื่องไม้เครื่องมือทั้ง Hardware และ Software ที่เกี่ยวข้องกับระบบรักษาความปลอดภัย อาทิ Firewall, IDS, Centralized Log System และ Correlation Log Analysis System ตลอดจนบุคลากรคุณภาพต่างๆ ที่ต้องจัดจ้างไว้ตลอด 24 ชั่วโมงเพื่อเฝ้าระวังข้อมูลให้ลูกค้าของตน ซึ่งการลงทุนเหล่านี้ ถือเป็นประโยชน์ขององค์กร ที่จ้าง "MSSP" เพราะเราไม่ต้องลงทุนเองแต่ใช้ Facilities ที่มีความพร้อมของ "MSSP" แทน
- ความเป็นอิสระในการให้ความเห็นอย่างมืออาชีพจาก "MSSP"
"MSSP" เป็นองค์กรที่มีลักษณะของมืออาชีพที่ต้องให้ความเห็นอย่างตรงไปตรงมาและเข้าประเด็นเพื่อแก้ปัญหาเรื่องความปลอดภัยข้อมูลของผู้ว่าจ้างได้อย่างมีประสิทธิภาพ จึงเป็นการตรวจสอบการทำงานภายในของหน่วยงานผู้ว่าจ้างไปในตัวด้วยว่า ได้มีการจัดการด้านการรักษาความปลอดภัยอย่างเพียงพอและเป็นไปตามนโยบายความปลอดภัยขององค์กร (Corporate Security Policy) หรือไม่
- ข้อมูลที่ลึกและรู้ก่อนจาก "MSSP"
โดยปกติแล้ว "MSSP" จะมี "Security Awareness" ในระดับที่สูงกว่าองค์กรทั่วๆ ไป เพราะว่าได้ทำงานด้านนี้โดยตรง ข่าวสารการค้นพบช่องโหว่ของระบบหรือ Vulnerability ใหม่ๆ และ Exploit ใหม่ๆ ที่ยังเป็น Zero-Day อยู่ ซึ่งยังไม่ประกาศเตือนโดย "CERT" (www.cert.org) อย่างเป็นทางการนั้น "MSSP" จะรู้ข้อมูลก่อนจากเครือข่ายใต้ดินของกลุ่มแฮกเกอร์ที่ "MSSP" ต้องส่งบุคลากรไปศึกษาและล้วงข้อมูลจากบรรดา "BlackHat Hacker" เข้าทำนองสายตำรวจหรือสายลับ เพื่อที่จะได้รู้ข้อมูลล่วงหน้าก่อนที่จะได้เตือนลูกค้าให้เฝ้าระวังและเตรียมป้องกันได้อย่างทันท่วงที
- ติดตั้งประสานงานกับตำรวจ หรือ DSI (Department of Special Investigation) เพื่อนำ Hacker มาลงโทษ
"MSSP" ที่ดีควรมีหน้าที่ในการประสานงานกับสำนักงานตำรวจแห่งชาติ หรือ กรมสอบสวนคดีพิเศษ (DSI) ในการตามจับตัวแฮกเกอร์ และ หาที่มาของการจู่โจมซึ่ง "MSSP" ใช้วิธีที่เรียกว่า "นิติคอมพิวเตอร์" หรือ "Computer Forensic" ในการแกะรอยแฮกเกอร์หรือผู้ต้องสงสัย เพื่อหาหลักฐาน (Evidence) มาประกอบในชั้นศาล เมื่อกฎหมายอาชญากรรมคอมพิวเตอร์ประกาศใช้ก็สามารถนำผู้กระทำผิดมาลงโทษได้จากข้อมูลดังกล่าว
- การบริการที่พร้อมอยู่เสมอ
"MSSP" ส่วนใหญ่จะปฏิบัติงานดูแลลูกค้าแบบ 24 ชั่วโมง x 7 วัน อยู่แล้ว ลูกค้าสามารถเรียกใช้บริการได้ตาม SLA ที่ตกลงกันในการจัดจ้าง และ "MSSP" ต้องเตรียมความพร้อมอยู่ตลอดเวลาในกรณีที่ลูกค้าต้องการความช่วยเหลืออย่างเร่งด่วน
- "MSSP" มีเทคโนโลยีที่ทันสมัยกว่าและหน่วยงานผู้ว่าจ้างไม่ต้องคอยดูแลตามเทคโนโลยีใหม่ ๆ อยู่ตลอดเวลา
อุปกรณ์เครื่องมือทั้งหลายที่ "MSSP" ทำมาใช้นั้น "MSSP" ต้องเป็นผู้ลงทุนเองเช่น Vulnerability Scanner รวมถึงการทำ Maintenance เพื่อ Update Signature ซึ่ง "MSSP" เป็นผู้รับผิดชอบทั้งหมด การใช้โปรแกรมใหม่ๆ หรือเทคโนโลยีใหม่ๆ ก็เป็นหน้าที่ที่ "MSSP" จะต้องรับไป เพราะถือว่า "MSSP" เป็นมืออาชีพที่ต้องทำหน้าที่เป็น ที่ปรึกษาด้านความมั่นคงปลอดภัย (INFOSEC Consultant) ไปในตัว
อย่างไรก็ตามการใช้บริการ "MSSP" เองก็มีจุดอ่อนหรือข้อเสียอยู่บ้างที่ต้องระมัดระวังได้แก่
ข้อเสียที่ควรระวังในการจัดจ้าง "MSSP"
- ความไว้วางใจใน "MSSP"
ถามว่าเราจะไว้ใจ "MSSP" ได้แคไหนในการที่จะให้มารับผิดชอบดูแลระบบรักษาความปลอดภัยของเรา เราควรมีการตรวจสอบประวัติการทำงาน และ Customer Site References ของ "MSSP" ก่อนที่เราจะจัดจ้าง "MSSP" ว่ามีความเชื่อถือได้มากน้อยเพียงใด ข้อมูลที่มีความละเอียดอ่อนหรือ Sensitive มากๆนั้น หน่วยงานผู้ว่าจ้างอาจต้องดูแลด้วยตัวเอง คือไม่ "Outsource" ไปเสียทั้งหมด เราควร "Outsource" เฉพาะในส่วนของการเฝ้าระวังด้วยระบบป้องกันการบุกรุก (IDS) การวิเคราะห์ Log ที่เกิดขึ้นจากอุปกรณ์ต่างๆ ในลักษณะวันต่อวัน การให้ปรึกษาและ แนะนำในเรื่องใหม่ ๆ เกี่ยวกับ INFOSEC และการเตือนภัยล่วงหน้าจาก "MSSP"
- การยึดกับ "MSSP" มากเกินไป
ความคิดที่ว่าหากองค์กรจ้าง "MSSP" ในการดูแลระบบความปลอดภัยแล้วเราไม่ต้องสนใจความปลอดภัยระบบของเราอีกเลย เพราะมี "MSSP" ดูให้ เป็นความคิดที่ผิดพลาด เพราะอย่างไรเราก็ต้องดูแลด้วยบุคลากรภายในองค์กรเองอยู่ในระดับหนึ่ง เรียกว่าเป็นการควบคุมการทำงานของ "MSSP" การลดภาระงานหรือ Work Load ต่างๆ ที่ต้องเกิดกับองค์กรของเราโดยให้เป็นหน้าที่ของ "MSSP" เพราะเราจ้าง "MSSP" แล้วก็ต้องให้เขารับผิดชอบให้มากที่สุดเท่าที่จะทำได้แต่ไม่ใช่ทั้งหมด
- ความรู้สึกเป็นเจ้าของระบบที่แตกต่างกัน
ถ้าเป็นระบบขององค์กรเราเอง เราย่อมต้องดูแลเป็นอย่างดี แต่ถ้าเราจ้าง "MSSP" มาดูแลระบบเรานั้นความรู้สึกในความเป็นเจ้าของระบบย่อมแตกต่างกัน เพราะ "MSSP" เป็นเพียงผู้รับจ้างดูแลระบบแต่ไม่ใช่เจ้าของระบบเอง ดังนั้นความมีการกำหนดข้อตกลงรายละเอียดต่างๆ ให้ชัดเจนใน SLA ว่าใครต้องรับผิดชอบอะไร และมีการตรวจสอบการทำงานของ "MSSP" ทุกเดือน ว่าเป็นไปตาม SLA หรือไม่
- ปัญหาการใช้ทรัพยากรร่วมกัน
ทรัพยากรของ MSSP ส่วนใหญ่ จะมีการแบ่งใช้ในการบริการลูกค้าหลายๆ ราย ซึ่งต้องมีการจัดการอย่างดี ไม่ให้มีการเชื่อมโยงถึงกัน ข้อมูลของลูกค้าแต่ละรายต้องแยกออกจากกันอย่างสิ้นเชิง ไม่ให้มีการรั่วไหลที่ "MSSP" เสียเอง และ "MSSP" จะต้องเขียน NDA (Non-Discloser Agreement) เพื่อรับรองว่าจะไม่นำความลับหรือข้อมูลที่สำคัญของลูกค้าไปเปิดเผย
- ปัญหาเรื่องการติดตั้งระบบเฝ้าระวังและตรวจจับผู้บุกรุก (Intrusion Detection System)
การติดตั้งระบบเฝ้าระวังและตรวจจับผู้บุกรุก (Intrusion Detection Systems) และ Centralized Log System ต้องติดตั้งโดย "MSSP" ที่มีความชำนาญงานโดยเฉพาะซึ่งต้องมีการวางแผนเป็นอย่างดีไม่ให้กระทบหรือเกิดช่องโหว่ขึ้นในระบบ
- ปัญหาการทำงานร่วมกัน
บางครั้งทีมงานของ "MSSP" ไม่สามารถทำงานร่วมกับทีมงานของผู้ว่าจ้างได้ เพราะไม่ค่อยได้พูดจากัน หรือ อาจเกิดข้อพิพาทระหว่างกัน ทำให้มีทัศนคติในเชิงลบต่อกัน เกิดช่องว่าง หรือ "GAP" ในการประสานงาน เพราะฉะนั้น "MSSP" และ ผู้ว่าจ้างควรมีการจัดการประชุมในทางสร้างสรรค์เพื่อพบปะกันเป็นระยะๆ มีการโต้ตอบ อีเมล์และมีการพูดคุยกันทางโทรศัพท์อยู่เสมอ เพื่อที่จะได้ประสานงานร่วมกันได้อย่างมีประสิทธิภาพ
- ต้นทุนแฝงที่อาจเกิดขึ้น
หากมีการทำงานที่เกิดขึ้นนอกข้อกำหนดใน SLA ซึ่งต้องมีค่าใช้จ่ายที่เพิ่มขึ้นแล้วใครจะเป็นผู้รับผิดชอบระหว่าง "MSSP" กับผู้ว่าจ้าง ดังนั้นควรมีการกำหนดใน SLA ให้ละเอียดว่าจะมี Additional Expenses หรือ ค่าใช้จ่ายเพิ่มเติมอะไรบ้างที่นอกเหนือจากข้อตกลงปกติ
- ความเข้าใจที่ไม่ลงตัวระหว่าง "MSSP" กับ ผู้ว่าจ้าง
ปัญหาข้อนี้ จะคล้ายๆ กับข้อ 7 ก็คือขณะที่ร่างสัญญา SLA นั้นไม่มีความรัดกุมเพียงพอ ดังนั้นควรจะใช้เวลาส่วนใหญ่กับการร่างสัญญา SLA ให้มีความรัดกุม เพื่อไม่เกิดปัญหาระหว่างทั้งสองฝ่ายในภายหลังและควรทำความเข้าใจในเรื่องต่างๆ กันเสียก่อนที่จะร่วมมือกัน จะป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต
กล่าวโดยสรุป การทำสัญญาใช้บริการจาก MSSP (Managed Security Service Provider)
มาดูแลระบบความมั่นคงปลอดภัยในองค์กรเรานั้น ถือเป็นสิ่งสำคัญและจำเป็นสำหรับองค์กรในอนาคตอันใกล้นี้ ทว่าควรมีการจัดจ้างที่ระมัดระวังและรัดกุมโดยกำหนดใน SLA (Service Level Agreement) ให้ชัดเจน แล้วประโยชน์โดยรวมก็จะอยู่ที่องค์กรในที่สุด
จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกันยายน 2547
Update Information : 30 สิงหาคม 2547
|
|
|
 |
|
|
|
10 ภัยมืดยุคอินเทอร์เน็ตปี คศ. 2007" Top 10 Cyber Threats Year 2007
Update: 29 December 2006, 2006
หน้าที่ ความรับผิดชอบ และมุมมองที่แตกต่าง ของ "ผู้ตรวจสอบภายใน" และ "ผู้ตรวจสอบระบบสารสนเทศ"
Internal Auditor and IT/IS Auditor's Perception Analysis
Update: 29 December 2006, 2006
ยุทธศาสตร์การเตรียมพร้อมป้องกันภัยจากมัลแวร์อย่างได้ผลในทางปฏิบัติ
Understanding MalWare Point-of-Entry and How to protect by implementing practical Anti-Malware strategy
Update: 30 November, 2006
แนวทางการประเมินความเสี่ยงระบบสารสนเทศเพื่อให้สอดคล้องกับยุคสมัยที่เปลี่ยนแปลงของเทคโนโลยี
(Information Technology Risk Assessment Guidelines for Modern IT Auditors)
Update: 30 November, 2006
กรณีศึกษา : วิเคราะห์แผนยุทธศาสตร์นโยบายการป้องกันความปลอดภัยข้อมูลของประเทศสิงค์โปร์ (iN2015 and Infocomm Security Masterplan)
Update: 19 September, 2006
"เอาต์ซอร์สระบบความปลอดภัยเชื่อได้แค่ไหน?" : Can we trust IT security outsourcer or MSSP (managed security services provider)
Update: 18 September, 2006
14 เทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุดที่คุณควรรู้
14 IT Security Technology Update
Update: 18 September, 2006
Information Security Awareness Program เรื่องสำคัญขององค์กรที่ถูกมองข้าม ?
Update: 31 August, 2006
กรณีศึกษาเกี่ยวกับ อาชญากรรมคอมพิวเตอร์ และ การใช้กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ในกระบวนการยุติธรรมของประเทศเกาหลีใต้
Case Study : Cyber Crime and IT Law in South Korea
Update: 19 July, 2006
เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนจบ
Information Security Management Framework (ISMF) Version 2 : "Act" Part
Update: 19 July, 2006
ทิศทางในอนาคตของอาชญากรรมคอมพิวเตอร์ และ 10 วิธีในการป้องกันตนเองและ องค์กรให้ปลอดภัยจากภัยอินเทอร์เน็ต
Future Cyber Crime Trend and Ten Ways to Secure your IT Infrastructure
Update: 28 June, 2006
การประยุกต์ใช้มาตรฐานสากลด้านความปลอดภัยข้อมูลกับงานบริหารความเสี่ยงระบบสารสนเทศในองค์กรอย่างได้ผลในทางปฏิบัติ
Information Technology Risk Management using International Standard Methodologies and Frameworks
Update: 24 April, 2006
เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนที่ 3
Information Security Management Framework (ISMF) Version 2 : "Do" Part
Update: 18 April, 2005
แผนยุทธศาสตร์ IT839: วิวัฒนาการของกระบวนการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ระดับชาติของประเทศเกาหลีใต้
Get Ready for Ubiquitous Society
Update: 24 March, 2005
เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) Information Security Management Framework (ISMF) Version 2
Update: 1 February, 2006
จับกระแสทิศทาง IT Security Outsourcing โดย MSSP (Managed Security Service Provider) ในประเทศไทยและทั่วโลก
"What Motivates an enterprise to outsource IT security?
Update: 30 January, 2006
มุมมองใหม่ของแฮกเกอร์ในการโจมตีระบบความปลอดภัยข้อมูลคอมพิวเตอร์ บทวิเคราะห์ SANS TOP 20 Version 6.01 จากสถาบัน SANS USA
Update: 8 December, 2005
10 Information Security Easy Tips
10 เทคนิคการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์อย่างง่ายด้วยตนเอง
Update: 1 December, 2005
TOP 10 Information Security Threat Year 2006 (Part II) ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนจบ)
Update: 14 Nov, 2005
TOP 10 Information Security Threat Year 2006 (Part I) ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนที่1)
Update: 14 Nov, 2005
มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ CIO ควรรู้เพื่อนำมาใช้เป็นแนวทางปฏิบัติในองค์กร และ กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่
Update: 30 Aug, 2005
ทำความเข้าใจเรื่องความแตกต่างของใบรับรองผู้เชี่ยวชาญระบบรักษาความมั่นคงปลอดภัยข้อมูลคอมพิวเตอร์ระดับสากลวันนี้ Professional Information Security Certification: CISSP, CISM, CISA, SANS GIAC
Update: 30 Aug, 2005
สถานการณ์ขององค์กรในประเทศไทยเกี่ยวกับการรับรองมาตรฐาน BS7799 Part 2 กับ บทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC 17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005
Update: 28 July, 2005
บทวิเคราะห์คำปราศัยวิสัยทัศน์ของ มร. บิล เกตส์ ในงาน Thailand Digital Inspiration ในมุมมองด้านการรักษาความปลอดภัยข้อมูลสารสนเทศกับเทคโนโลยีใหม่ในอนาคต
Update: 12 July, 2005
การเตรียมองค์กรให้พร้อมเข้าสู่ยุค IT Governance ด้วยมาตรฐาน CobiT และ ITIL
Update: 24 Jun, 2005
วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ (ตอนที่ 1)
Update: 22 Jun, 2005
วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ (ตอนจบ)
Update: 22 Jun, 2005
ภัยร้ายไอทีแอบแฝงภายในองค์กรที่เราควรระวัง
Hidden Threat from using email
Update: 22 Jun, 2005
เรียนรู้หลักการ Baseline Security Compliance ด้วยกระบวนการ Compliance Management
Update: 3 Jun, 2005
เตือนระวังภัยอินเตอร์เน็ตใหม่ล่าสุด "Pharming"
Update: 22 Apr, 2005
5 ขั้นตอนในการบริหารจัดการช่องโหว่ในระบบสารสนเทศเพื่อการป้องกันระบบอย่างมีประสิทธิภาพ
"5 Steps Proactive Security Management using Vulnerability Management Concept"
แนวคิดใหม่เรื่องการตรวจสอบระบบสารสนเทศ และหัวใจสำคัญของระบบความปลอดภัยข้อมูลคอมพิวเตอร์ที่มีประสิทธิภาพ
New IT Audit Paradigm "Using Vulnerability Management and Patch Management System"
ความสำคัญของการจัดตั้งศูนย์บัญชาการความปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารแห่งชาติ สำหรับประเทศไทย
Thailand's National ICT Security and Incident Response Center Initiative Project
ทิศทางการเปลี่ยนแปลงของกระบวนการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศทั่วโลก และ สถานะการณ์ล่าสุดของประเทศไทย (The World Information Technology and Information Security Control Trend and latest Thailand's situationg)
Update: 27 Jan, 2005
สรุปสถิติจำนวนผู้เชี่ยวชาญระบบความปลอดภัยข้อมูลสารสนเทศ (CISSP) ในเอเชีย และ
ประโยชน์ที่ประเทศไทยได้รับจากการประชุมคณะกรรมการที่ปรึกษาแห่งเอเชีย (ISC)2 Asian Advisory Board Meeting
Update: 25 Jan, 2005
Top 10 Information Security Trend 2005
10 ทิศทาง และแนวโน้มด้านความปลอดภัยข้อมูลคอมพิวเตอร์ ปี ค.ศ. 2005
Update: 3 Dec, 2004
วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศ สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ UNIX/Linux
Update: 2 Dec, 2004
วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows (ตอนจบ)
Update: 2 Dec, 2004
วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศ สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows (ตอนที่ 1)
Update: 2 Dec, 2004
Proactive Vulnerability Management and Patch Management
แนวคิดใหม่ของการบริหารจัดการระบบความปลอดภัยข้อมูลคอมพิวเตอร์วันนี้
Update: Sep 27, 2004
3 องค์ประกอบหลักสู่ความสำเร็จด้านการจัดการบริหารความปลอดภัยข้อมูลคอมพิวเตอร์อย่างสมบูรณ์แบบ
"Best Practices for Information Security Management - [ PPT : People, Process/Policy and Technology/Tool ]"
Update: Sep 27, 2004
สรุปสถานการณ์ความเคลื่อนไหวด้านความปลอดภัยข้อมูลคอมพิวเตอร์ และ การวิเคราะห์ผลกระทบจากปัญหาความปลอดภัยข้อมูลคอมพิวเตอร์ของภูมิภาคเอเชีย
(ผลสรุปจากการประชุมคณะกรรมการที่ปรึกษาความปลอดภัยข้อมูลแห่งเอเชียที่ฮ่องกง)
Update: Sep 10, 2004
วันนี้คอมพิวเตอร์ของคุณปลอดภัยแล้วหรือยัง? "10 แนวทางปฏิบัติเพื่อการใช้งานอินเทอร์เน็ตอย่างปลอดภัย"
Update: Sep 1, 2004
"Information Security Management Outsourcing" เหตุผล และมุมมอง การวิเคราะห์ข้อดี /ข้อเสีย ในการบริหารระบบความปลอดภัยคอมพิวเตอร์ โดยการทำสัญญาใช้บริการจาก MSSP (Managed Security Service Provider)
Update: July 30, 2004
วิเคราะห์ผลสำรวจสถิติการนำเทคโนโลยีรักษาความปลอดภัยคอมพิวเตอร์มาใช้ในองค์กรปี 2004
Update: July 30, 2004
"Remote Access Vulnerability" ช่องโหว่ระบบที่หลายคนมองข้าม
Update: July 30, 2004
เมื่อโปรแกรมป้องกันไวรัสไม่ใช่คำตอบสุดท้ายในการปราบไวรัส
Update: July 1, 2004
เรียนรู้วิธีการเจาะระบบ Web Application ทั้ง 10 วิธี ของแฮกเกอร์ และวิธีการป้องกันอย่างได้ผล (ตอนจบ) (Top 10 Web Application Hacking)
Update: June 17, 2004
เรียนรู้วิธีการเจาะระบบ Web Application Hacking ทั้ง10 วิธี ของแฮกเกอร์ และวิธีป้องกันอย่างได้ผล
(Top 10 Web Application Hacking and How to Protect from Hackers)
Update: June 3, 2004
เปรียบเทียบระบบ Two-Factor Authentication ระหว่าง การใช้ One Time Password (OTP) และ Smart Card ร่วมกับ Public Key Infrastructure (PKI)
Update: May 25, 2004
รู้จักกับตำแหน่งผู้บริหารใหม่ในองค์กรยุคไฮเทค CSO (Chief Security Officer) /CISO (Chief Information Security Officer)
Update: May 25, 2004
ถึงเวลาแล้วหรือยังสำหรับ Smart Card และ PKI (ความเข้าใจที่ถูกต้องสำหรับความจำเป็นในการทำ Authentication)
Update: April 29, 2004
ระวังภัยอินเทอร์เน็ทใหม่ล่าสุด "PHISHING"
Update: April 20, 2004
10 Technical Tips for securing your Wireless LAN System (
10 เทคนิคการติดตั้งระบบ LAN ไร้สายให้ปลอดภัยจากแฮกเกอร์ )
Update: April 19, 2004
Information Security Management Framework (ISMF) ขั้นตอนที่ 7 "Managed Security Services (MSS) / Real-time Monitoring using IDS/IPS"
Update: March 25, 2004
Information Security Management Framework (ISMF) ขั้นตอนที่ 6 "Internal/ External Audit, Re-Assessment and Re-Hardening"
Update: March 25, 2004
เรียนรู้หลักการตรวจสอบระบบสารสนเทศ (IT Audit) อย่างมีประสิทธิภาพในทางปฏิบัติ วิเคราะห์ปัญหาการตรวจสอบระบบสารสนเทศ และ การแก้ปัญหาในเชิงบูรณาการ
Update: February 24, 2004
Information Security Management Framework (ISMF) ขั้นตอนที่ 5 "Security Awareness/ Technical Know-how Transfer Training"
Update: February 24, 2004
กฎหมายอาชญากรรมคอมพิวเตอร์ และ การพิสูจน์หลักฐานด้วยวิธีการ "นิติคอมพิวเตอร์"
(Thailand Computer Crime Law and Computer Forensics)
Update: February 11, 2004
Information Security Management Framework (ISMF) ขั้นตอนที่ 4 "Defense-In-Depth/Best Practices Implementation"
Update: January 25, 2004
10 ทิศทางและแนวโน้มด้านระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ ในปี ค.ศ. 2004
(Top 10 Information Security Paradigm Shift)
Update: December 24, 2003
Information Security Management Framework (ISMF) ขั้นตอนที่ 3
"Practical Information Security Policy"
Update: December 24, 2003
บัญญัติ 10 ประการ สำหรับการปราบ Malware ต่างๆ ในองค์กร
(Virus, Worm, Trojan, Backdoor, Spyware, Adware) ให้ได้ผลในทางปฏิบัติ
Update: November 28, 2003
Information Security Management Framework (ISMF) ขั้นตอนที่ 2 :Critical Networks & Hosts Hardening / Patching / Fixing
Update: November 20, 2003
Browser Hijacking " ช่องโหว่ใน Browser Internet Explorer (IE) ภัยอินเทอร์เน็ตใกล้ตัวคุณวันนี้ "
Update: November 12, 2003
Information Security Management Framework (ISMF) ขั้นตอนที่ 1:Risk Management, Vulnerability Assessment และ Penetration testing
Update: November 1, 2003
บทสรุป Wireless LAN Security ในงานประชุม APEC Thailand 2003
Update: October 30, 2003
กรณีศึกษา Wireless Security ในงานประชุม APEC Thailand 2003
Update: October 13, 2003
การจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ
(Information Security Management Framework - ISMF)
Update: October 1, 2003
จะลงทุนกับ IDS, IPS หรือ Honeypot อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนจบ)
Update: September 18, 2003
บทเรียนจากหนอนอินเทอร์เน็ต Blaster Worm วิเคราะห์การทำงานของ VIRUS และวิธีการป้องกันสำหรับอนาคต"
Update: September 15, 2003
จะลงทุนกับ IDS, IPS หรือ Honeypots อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนที่ 1)
Update: August 9, 2003
เจาะลึก Web Application Security ตอนจบ"Cross-Site Scripting Attack"
Update: August 9, 2003
Hacking Web Application (ตอนที่ 2) "ช่องโหว่ใน SSL Protocol และ ความเข้าผิดในการใช้งาน SSL กับ Web Application"
Update: July 17, 2003
เจาะลึก Web Application Security ( ตอนที่2) Knowledge Hackers Vs. Web Application Programmer
Update: July 17, 2003
Hacking Web Application (ตอนที่ 1)
Update: July 17, 2003
เจาะลึก Web Application Security ( ตอนที่1 ) Knowledge Hackers Vs. Web Application Programmer
Update: July 17, 2003
Perimeter Security กับ กรณีศึกษาการ Hack Web Site ภาครัฐ
Update: July 17, 2003
เทคนิคการแก้ปัญหา SPAM Mail และเจาะลึก Web Application Security (ตอนที่1)
Update: May 9, 2003
วันนี้คุณแน่ใจได้อย่างไรว่าระบบของคุณปลอดภัยจาก Hacker ? (ตอนจบ) "The 6 Steps of Information Security Risk Assessment Process"
Update: May 6, 2003
ถอดรหัสใบรองผู้ดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์
Update: April 4, 2003
วันนี้คุณแน่ใจได้อย่างไรว่าระบบของคุณปลอดภัยจาก Hacker ? (ตอนที่ 1) "Information Security Risk Assessment and Vulnerability Assessment - Part1"
Update: March 21, 2003
มาตรฐานสำหรับผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ
(IT & IS AUDITOR) , เรื่องจำเป็นของทุกองค์กรวันนี้
Update: March 21, 2003
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนจบ
Update: Dec 23, 2002
เรียนรู้ และ เข้าใจ วิธีการจัดการระบบความปลอดภัยข้อมูลอย่างเป็นระบบ Understanding Information Security Process Management
Update: Dec 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 7
Update: Dec 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 6
Update: Dec 6, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 5
Update: Dec 6, 2002
จับตาสถานการณ์ Information Security ของประเทศเพื่อนบ้าน
Update: Dec 2, 2002
LINUX Certification มาตรฐานใหม่สำหรับวงการ Open source วันนี้
Update: Oct 21, 2002
Wireless LAN Security LAB Testing at Siam Discovery
Update: Oct 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่4
Update: Oct 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่3
Update: Sep 24, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่2
Update: Sep 24, 2002
Wireless Network Hacking ภัยไร้สาย เป้าหมายใหม่ของ Hacker
Update: Aug 26, 2002
Security Awareness Program เรื่องสำคัญที่ถูกมองข้าม ?
Update: Aug 19, 2002
พื้นฐานที่จำเป็นสำหรับ "Information Security Professional" ตอนที่ 1
Update: Aug 6, 2002
แน่ใจได้อย่างไรว่าระบบของเราปลอดภัยจาก Hacker/Cracker ?
Update: July 20, 2002
เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC) ตอนที่ 3
Update: July 19, 2002
ระวังช่องโหว่ SMTP Services เปิดทางให้ HACKERS/SPAMMERS
Update: July 18, 2002
เรียนรู้วิธีป้องกัน PC ด้วยโปรแกรมประเภท Personal Firewalls , SteathWare Finders/Removers และ SPAM Fighters
Update: July 4, 2002
เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC) ตอนที่ 2
Update: June 28, 2002
เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC)
Update: June 28, 2002
"IT Professional Certification" สำคัญอย่างไร...ในยุคการสื่อสารไร้พรมแดน
Update: May 31, 2002
ถึงเวลาแล้วหรือยัง
.กับคำว่า IT Professional Certification
Update: May 28, 2002
ใบรับรอง CISSP กับอุตสาหกรรมไอทีไทย
Update: May 11, 2002
วันนี้คุณเตรียมพร้อมแล้วหรือยังกับ mCommerce Security
Update: May 11, 2002
|
.gif) |
|
 |
|
|
