ACIS Article

Information Security Awareness Program เรื่องสำคัญขององค์กรที่ถูกมองข้าม ?
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

พูดถึงเรื่องของ Information Security ( INFOSEC ) นั้นเรามักนึกถึงเรื่องของไวรัสคอมพิวเตอร์ หรือ เรื่องของ Hacker เป็นหลักเพราะเป็นเรื่องที่เราได้ยินได้ฟังอยู่เป็นประจำแทบทุกวัน เวลาไวรัสติดเครื่องคอมพิวเตอร์ของเรา เราก็ต้องหาโปรแกรมกำจัดไวรัสมาทำการ "clean" ไวรัสเหล่านั้น จากนั้นอีกไม่นานก็มีไวรัสตัวใหม่ ๆ ออกมาอีกไม่จบไม่สิ้น ขณะเดียวกันพวก Hacker ทั้งมือโปรและพวกเด็กรุ่นใหม่ เรียกว่า "script kiddies" ก็มักจะจู่โจมมายังระบบของเราอยู่เป็นประจำ ถ้าเราโชคร้ายเจอ Hacker ที่มีความรู้มาก ๆ เจาะระบบ ระบบของเราก็อาจถูกเปลี่ยนหน้า web pages หรือถูกลบข้อมูลสำคัญ ๆ บางทีก็อาจจะเป็น "ฐานยิง" ของพวก Hacker ที่ใช้ในการจู่โจมบริษัทหรือหน่วยงานอื่น โดยที่เราไม่รู้ตัว เป็นต้น

การแก้ปัญหาส่วนใหญ่ก็มักจะติดตั้งโปรแกรม Anti-Virus, ติดตั้ง Firewall และ IDS ( Intrusion Detection System ) รวมทั้งการติดตั้ง Patch ที่แก้ปัญหา Bug และช่องโหว่ ( Vulnerabilities ) ต่าง ๆ ที่อยู่ในระบบปฏิบัติการที่เราใช้อยู่ ไม่ว่าจะเป็นตระกูล Windows หรือตระกูล Unix หลังจากนั้นเรามักจะพบว่าบริษัทหรือหน่วยงานส่วนใหญ่ที่มีการลงทุนไปกับด้าน INFOSEC เป็นจำนวนมากนั้น ก็ยังเผชิญกับปัญหาเดิม ๆ อยู่ เช่น ติดไวรัส หรือถูก Hacker เจาะระบบซ้ำอีก เครื่องของพนักงานที่เป็น User ทั่วไป หรือของผู้บริหารระดับสูง ซึ่งไม่ใช่ผู้ที่มีความรู้ทางด้านเทคนิคนั้น มีปัญหาเกิดขึ้นอยู่บ่อยครั้ง เหมือนสิ่งที่เราได้ทำการ "Implement" ไปนั้นไม่ว่าจะเป็น Firewall หรือ IDS นั้น แทบจะช่วยอะไรไม่ได้มาก นอกจากนี้พวก System Administrator ของระบบต่าง ๆ ที่เราใช้อยู่ ก็มักจะไม่ค่อยสนใจกับการลง Patch หรือ Hotfix ต่าง ๆ เพื่อปิดช่องโหว่ที่มีอีกด้วย จนเป็นเหตุให้ถูก Hack ได้ง่ายขึ้น เรียกว่า ลงทุนไปมากแต่ก็ยังแก้ปัญหาทางด้าน Information Security ไม่สำเร็จ

การแก้ปัญหาด้านระบบการรักษาความปลอดภัยคอมพิวเตอร์นั้นต้องมีการทำอย่างเป็นระบบและมีความต่อเนื่อง องค์กรต่าง ๆ จึงพยายามที่จะพัฒนา "Security Policy" หรือ "นโยบายในการใช้งานระบบคอมพิวเตอร์ให้ปลอดภัย" ซึ่งจะต้องประกอบไปด้วย Policy, Standard, Procedure และ Guideline ซึ่งทั้ง 4 คำ นี้มีความหมายที่แตกต่างกัน กล่าวคือ Policy ก็คือนโยบายในภาพรวมที่กระชับและได้ใจความ เรียกว่า "Goal" หรือ เป้าหมายที่เราต้องการบรรลุ ขณะที่ Standard จะพูดถึงมาตรฐานที่ต้องบังคับในการปฎิบัติจริง เช่น รหัสผ่านต้องมีความยาวไม่ต่ำกว่า 8 ตัวอักษรเป็นต้น ส่วน Procedure ก็หมายถึง รายละเอียดปลีกย่อยเป็นข้อ ๆ ที่ต้องนำมาปฎิบัติเพื่อให้ได้มาซึ่ง Standard ที่ได้วางไว้ สำหรับ Guideline เป็นแนวทางในการปฏิบัติที่ไม่ได้บังคับ แต่แนะนำเพื่อให้ผู้ปฏิบัติให้สามารถบรรลุเป้าหมายได้ง่ายขึ้น

หลายองค์กรลงทุนกับเรื่อง "Security Policy" โดยว่าจ้างบริษัทที่ปรึกษาด้านระบบรักษาความปลอดภัยมาให้คำแนะนำ และทำเป็น Security Policy ออกมาใช้ในองค์กร รวมทั้งมีการทำ Security Assessment หรือ Penetration test กับระบบที่ใช้อยู่ และยังลงทุนกับ Firewall และ IDS อีกเป็นเงินมหาศาล แต่ผลลัพธ์ที่ได้หลังจากทำการ "Implement" ระบบไปซัก 2 - 3 เดือน ก็พบว่าไม่เป็นไปตามที่ได้คิดไว้ ปัญหาใหญ่ก็คือ ขาดการร่วมมือเท่าที่ควรจากพนักงานและผู้บริหารขององค์กรส่วนใหญ่ ที่ยังไม่เข้าใจเรื่อง "Information Security" ดีพอ และยังคิดว่าหน้าที่ด้านระบบรักษาความปลอดภัยคอมพิวเตอร์นั้นเป็น หน้าที่ของแผนก MIS หรือแผนกคอมพิวเตอร์เท่านั้น

เราจะเห็นว่าเมื่อขาดความร่วมมือจากพนักงานระดับผู้ใช้จนถึงระดับผู้บริหาร จึงเป็นเรื่องยากเหลือเกินที่จะทำให้องค์กรมีความปลอดภัยในระดับที่น่าพอใจ Security Policies ที่สวยหรูก็อาจเป็นเพียงแค่เศษกระดาษที่ไม่มีใครนำไปประพฤติปฏิบัติ แม้กระทั่ง System Admin เองเพราะทุกคนเห็นเป็นเรื่องไกลตัว หรือคิดว่าไม่ใช่หน้าที่รับผิดชอบของตนเอง

ดังนั้น เรื่อง "Security Awareness Program" จึงเป็นสิ่งสำคัญที่องค์กรต้องให้ความสนใจเป็นอย่างยิ่งไม่ว่าจะทำการติดตั้ง Firewall, IDS หรือ Anti virus Program ไปแล้ว หรือยังไม่ได้ติดตั้ง และไม่ว่าจะมี Security Policy แล้วหรือยังไม่ได้เริ่มเขียนขึ้นมาใช้งานเลย ก็ล้วนแต่ต้องสนใจใน "Security Awareness Program" เช่นกัน

Security Awareness Program เน้นที่ "คน" เป็นหลัก ถ้าปราศจากความร่วมมือและความเข้าใจของทุกคนในองค์กรแล้ว เรื่องความปลอดภัยคอมพิวเตอร์ที่ดีในระดับที่น่าพอใจนั้นก็จะไม่อาจเกิดขึ้นได้ ไม่ว่าเราจะลงทุนกับ Firewall, IDS, VPN ,Content Security, Anti-Virus Solution ทั้ง Hardware และ Software ไปมากมายเท่าใดก็ตาม เราก็ต้องมีการจัดฝึกอบรมพนักงานด้าน Information security ที่ต้องใช้คอมพิวเตอร์ในองค์กรทุกคน ไม่ว่าจะเป็น User ทั่วไป, System Admin, ผู้บริหารระดับกลาง รวมทั้ง ผู้บริหารระดับสูง แม้กระทั่งตัวเราเองที่เป็น "Security Manager" หรือ "Security Admin" ให้ทุกคนทราบและตระหนักว่า เรื่องการรักษาความปลอดภัยระบบคอมพิวเตอร์นั้นเป็นความรับผิดชอบของทุกคน ไม่ใช่แต่เพียงแผนกคอมพิวเตอร์เท่านั้น

"Security Awareness Program" นั้นเป็นการจัดฝึกอบรมให้กับพนักงานทุกระดับในองค์กรให้มีความเข้าใจและตื่นตัวเรื่องของ "Information Security" ให้เห็นว่าเป็นเรื่องใกล้ตัวที่ทุกคนต้องช่วยกัน โปรแกรมการฝึกอบรมนั้นอาจแตกต่างกันไปในแต่ละองค์กรขึ้นกับลักษณะในการทำธุรกิจขององค์กรนั้น ๆ ซึ่งต้องมีการปรับให้เข้ากับ "Corporate Culture" ในแต่ละองค์กร ต้องแสดงให้ทุกคนเห็นถึงความสำคัญของ Information Security ว่าคืออะไร มีรายละเอียดอย่างไร และทำไมต้องจริงจังกับเรื่องเหล่านี้ ( What, How and Why ) โดยมีรายละเอียดการฝึกอบรมแตกต่างกันไปตามระดับของบุคลากรในองค์กร ซึ่งผมขอสรุปให้เห็นภาพชัดขึ้น โดยแบ่งเป็นทั้งหมด 5 กลุ่ม ที่มีเนื้อหาการอบรมที่แตกต่างกันไปดังนี้

กลุ่มที่ 1 : ผู้บริหารระดับสูง ( Top Management )

โปรแกรมการอบรม ควรพูดถึงภาพรวมของความสำคัญด้าน INFOSEC ผลกระทบที่จะเกิดขึ้นกับองค์กรหากถูก Hacker ผู้บุกรุก หรือมีการติดไวรัสในระบบ กล่าวถึงภาระหน้าที่ที่ต้องรับผิดชอบ ทั้งก่อนเกิดปัญหา และหลังจากเกิดปัญหาด้าน INFOSEC ผลกระทบกับธุรกิจ, ภาพลักษณ์ขององค์กร ตลอดจนความเชื่อมั่นของผู้ถือหุ้น การอบรมไม่ควรจะใช้เวลานานมากเกินไป และ ไม่ควรจะลงลึกทางด้านเทคนิคมากนัก ยกถึง Case Study ตัวอย่างที่ผู้บริหารระดับสูงหลายท่านต้องประสบปัญหาหลังจากมีเหตุเรื่องการ Hack ระบบเกิดขึ้นกับองค์กรการอบรมผู้บริหารระดับสูงถือเป็นเรื่องที่สำคัญที่สุด เพราะผู้บริหารที่ดีต้องมีทั้ง "Due Care" และ "Due Professional" ซึ่งจำเป็นต้อง "รับผิดชอบ" และ "รู้จริง" เพื่อนำองค์กรให้มีประสิทธิภาพและประสิทธิผลต่อไป

กลุ่มที่ 2 : ผู้บริหารระดับกลาง ( Middle Management )

ในองค์กรขนาดใหญ่ โปรแกรมการฝึกอบรมด้าน INFOSEC ให้กับผู้บริหารระดับกลาง ควรจะมีความแตกต่างจากผู้บริหารระดับสูง เนื้อหาการอบรมจะต้องพูดถึงรายละเอียดมากขึ้น ในส่วนของ Security Policies, Procedures, Standards และ Guidelines และ ควรจะให้สอดคล้องกับงานในแผนกที่รับผิดชอบดูแลอยู่ รวมทั้งควรทราบถึงวิธีที่จะทำให้ระบบที่ดูแลอยู่มีความปลอดภัยในระดับมาตรฐาน ตลอดจนมีการอบรมให้รู้วิธีควบคุมดูแลพนักงานในระดับขั้นต่ำกว่าตนเองให้ปฏิบัติตามกฏเกณฑ์ทางด้าน INFOSEC ที่ได้กำหนดไว้ใน Security Policies เป็นต้น

กลุ่มที่ 3 : ผู้ดูแลระบบ ( System Admin/Network Admin/DBA )

โปรแกรมการฝึกอบรมจะมีความแตกต่างจากผู้บริหารทั้ง 2 ระดับโดยจะมีรายละเอียดลงลึกที่งานที่ต้องทำประจำวัน ( Routine Tasks ) และ เจาะลึกในด้าน Technic กับระบบที่ดูแลอยู่ เช่น เจาะลึก Sun Solaris Security หรือ Windows 2000 Server Security แสดงให้เห็นว่า Hacker สามารถเข้าสู่ระบบที่ไม่ปลอดภัยได้ง่ายดายเพียงใด เรียกว่าต้องเห็นภาพการ Hack จริง ๆ ก่อนถึงจะเข้าใจและมีความตระหนักว่าเรื่องความปลอดภัยไม่ใช่เรื่องเล่น ๆ ที่ยังไงก็ได้ แต่เป็นเรื่องที่ต้องดูแลกันแทบทุกวันเลยทีเดียว

กลุ่มที่ 4 : ผู้ดูแลระบบความปลอดภัยคอมพิวเตอร์โดยตรง ( Security Admin )

องค์กรที่มีการจัดการด้าน IT ที่ดีควรจะมีการแยกแผนกและ INFOSEC ออกจากแผนก MIS หรือแผนกคอมพิวเตอร์ทั่วไป เพราะแผนกที่ดูแลด้าน INFOSEC โดยเฉพาะจำเป็นที่จะต้องมีความรู้ในขั้นสูง และมีเวลามากพอที่จะดูแลเรื่องของ INFOSEC อย่างเพียงพอ เช่น มีเวลาดูเรื่องช่องโหว่ใหม่ ๆ ของระบบ Windows หรือ Unix อยู่เป็นประจำ รวมทั้งทราบถึงวิธีการแก้ปัญหาที่ถูกต้อง เพื่อจะได้แนะนำกลุ่มที่ 3 ให้ปฏิบัติต่อไป โปรแกรมการฝึกอบรมต้องอยู่ในระดับ "Advanced Technic/Advanced Knowledge" รวมทั้งเทคโนโลยีใหม่ ๆ ของ Hacker และเทคโนโลยีที่ใช้ในการป้องกันใหม่ ๆ ด้วย รวมถึงพูดถึงเรื่อง "Incident Response" เวลาที่มีปัญหาด้าน INFOSECจะต้องเป็นหน่วย 191 หรือหน่วย FBI ที่จะต้องรับผิดชอบในการการตรวจจับ Hacker และกู้ระบบให้กลับคืนมาให้เร็วที่สุด ( Disaster Recover Planning)

กลุ่มที่ 5 : ผู้ใช้งานคอมพิวเตอร์ทั่วไป ( Users )

กลุ่มนี้เป็นผู้ที่มีความรู้ด้าน INFOSEC น้อยมาก เช่น พนักงานคีย์ข้อมูล , พนักงานขายที่ต้องใช้คอมพิวเตอร์ในการทำ Quotation ให้ลูกค้าเป็นต้น ควรจะเรียนรู้วิธีการใช้งาน Internet ที่ถูกต้อง, วิธีการป้องกันไวรัสและการแก้ไขปัญหาเบื้องต้น รู้วิธีการป้องกันตัวเองด้วยการใช้ Personal Firewall Program การใช้งานโปรแกรม e-mail ที่ถูกต้องเป็นต้น เรื่องต่าง ๆ เหล่านี้จำเป็นต้องมีการจัดฝึกอบรมให้ผู้ใช้งานคอมพิวเตอร์ทั่วไปมีความเข้าใจในระดับหนึ่งเพื่อลดปัญหาต่าง ๆ ที่อาจเกิดขึ้นให้น้อยลง รวมทั้งฝึกอบรมให้เข้าใจศัพท์ต่าง ๆ ด้าน INFOSEC เช่น คำว่า Threat, Exploit หรือ Vulnerability เมื่อมีความเข้าใจแล้ว การอ่าน Security Policies และการปฏิบัติตามก็จะมีประสิทธิภาพมากขึ้น

การฝึกอบรมด้าน INFOSEC นั้นควรมีการฝึกอบรมเป็นระยะ ๆ และมีความต่อเนื่อง อย่างน้อย 2 - 3 ครั้งในหนึ่งปี เป้าหมายของการฝึกอบรมนั้น ไม่ใช่เพียงแต่ให้ความเข้าใจด้าน INFOSEC ที่ดีขึ้นเท่านั้น แต่จะทำให้ทุกคนรู้ว่า "ทำไม" ต้องมาใส่ใจ และ ช่วยกันป้องกันระบบความปลอดภัยคอมพิวเตอร์ขององค์กรกันอย่างจริงจังในสภาพแวดล้อมที่มีการแข่งขันสูงของเศรษฐกิจในยุคปัจจุบันที่ "IT" มีส่วนสำคัญอย่างมากในการทำธุรกิจและธุรกรรมต่าง ๆขององค์กร

"Information Security Awareness Program" ยังเป็นหัวข้อสำคัญที่ใช้ในการสอบ CISSP Certification ของ (ISC)2 www.isc2.org และ CISA, CISM Certification ของ ISACA www.isaca.org จึงเป็นเรื่องที่เราควรให้ความสนใจและไม่ควรมองข้าม

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนสิงหาคม 2549
Update Information : 31 สิงหาคม 2549