ACIS Article

"เอาต์ซอร์สระบบความปลอดภัยเชื่อได้แค่ไหน?" : Can we trust IT security outsourcer or MSSP (managed security services provider)
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

ปัจจุบันกระแส "IT Outsourcing" กำลังมาแรงทั่วโลก ในขณะเดียวกันเรื่อง "IT Security Outsourcing" ถูกมองว่าเป็นกระแสที่กำลังมาในอนาคตเช่นกัน การเอาต์ซอร์สระบบสารสนเทศนั้นมีความแตกต่างจากการเอาต์ซอร์สระบบความปลอดภัยอย่างมาก เราจึงควรทำความเข้าใจหลักการ ข้อดี ข้อเสียและ ศึกษาว่าเราควรเตรียมตัวอย่างไรในการเอาต์ซอร์สให้คุ้มค่ากับองค์กรมากที่สุด

Eweek ถาม : 1. การเอาต์ซอร์สระบบซิเคียวริตี้มีข้อควรคำนึงอย่างไรบ้าง
อ. ปริญญา ตอบ :

เราต้องรู้ว่าทำไมถึงต้องเอาต์ซอร์สระบบซิเคียวริตี้เสียก่อน กล่าวคือ หากองค์กรต้องการลดค่าใช้จ่ายในการลงทุนกับฮาร์ดแวร์และซอฟท์แวร์ด้านความปลอดภัย ตลอดจนแก้ปัญหาขาดแคลนบุคคลากรผู้เชี่ยวชาญด้านความปลอดภัยเช่น CISSP หรือ CISA การเอาต์ซอร์สน่าจะเป็นทางออกที่เหมาะสมให้กับองค์กรสมัยใหม่ในยุคนี้ สำหรับข้อคำนึงนั้นมีรายละเอียด 6 ข้อ ดังนี้

1.1 ศักยภาพในการให้บริการของ MSSP (Managed Security Service Provider)

หมายถึง คุณภาพและประสบการณ์ของทีมงานเฝ้าระวังรักษาความปลอดภัยระบบสารสนเทศ โดยดูจากจำนวนบุคลากรที่ได้รับประกาศนียบัตรด้านไอทีต่าง ๆ ยกตัวอย่าง เช่น CISSP จาก ISC2, CISA จาก ISACA, หรือ GIAC จาก SANS เป็นต้น หรือ ถ้าเป็นการเฝ้าระวังระบบ Windows และ Network ก็ควรจะมีใบรับรองอย่างน้อย CCNA หรือ MCSE เพื่อความมั่นใจในการใช้บริการจาก MSSP เป็นต้น

1.2 คุณภาพของรายงานรายวันและรายเดือนของ MSSP

เราควรขอดูตัวอย่างรายงานการแจ้งเตือนผู้บุกรุกของ MSSP ว่าสอดคล้องกับความต้องการขององค์กรหรือไม่ และสามรถตอบสนองความต้องการในมุมมองของ Incident Response และ Incident Handling ได้ทันท่วงทีหรือไม่

รายงานควรมีลักษณะเป็นแบบ "Proactive" หรือ "Preventive" เพื่อให้องค์กรรู้ล่วงหน้าถึงภัยที่อาจจะเกิดขึ้นในอนาคตอันใกล้ เช่น ทราบว่ามีผู้ไม่หวังดีพยายาม "Brute Fore" รหัสผ่านของระบบ หรือ พยายามเจาะ Web Application โดยวิธี "SQL Injection" เป็นต้น

1.3 ตัวอย่างลูกค้าอ้างอิงที่เชื่อถือได้

เราควรโทรศัพท์สอบถามลูกค้าของ MSSP ที่ให้บริการอยู่ว่ามีความพึงพอใจ MSSP รายนั้นในระดับใด และ MSSP มีลูกค้าที่ให้บริการจริงอยู่กี่ที่ เพื่อความมั่นใจในการตัดสินใจเลือกใช้บริการจาก MSSP การสอบถามโดยตรงกับลูกค้าจึงเป็นข้อควรคำนึงที่ไม่ควรมองข้าม

1.4 เทคโนโลยีระดับสูงของ MSSP

MSSP ควรมีเทคโนโลยีด้านการวิเคราะห์ภัยคุกคามทางระบบสารสนเทศที่ค่อนข้างทันสมัย และ รู้เท่าทันเหล่าแฮกเกอร์ตลอดจนควรสามารถปรับแต่งได้ตามลักษณะฮาร์ดแวร์และซอฟท์แวร์ของลูกค้า

1.5 ราคาการให้บริการและเงื่อนไข

เป็นเรื่องสำคัญอีกเรื่องหนึ่ง ซึ่งถ้าราคาไม่เหมาะสมกับบริการที่ได้รับจาก MSSP แล้วคงเป็นเรื่องยากที่จะให้ผู้บริหารระดับสูงตัดสินใจใช้บริการเอาต์ซอร์สความปลอดภัยข้อมูล

1.6 ความน่าเชื่อถือ และชื่อเสียงของ MSSP

น่าจะเป็นเรื่องที่สำคัญที่สุด เพราะระบบซีเคียวริตี้ของเราต้องอยู่ในสายตาของ MSSP ตลอดเวลา เราต้องฝากความหวังไว้กับ MSSP ในระดับหนึ่ง ความเชื่อถือและชื่อเสียงของ MSSP จึงเป็นเรื่องที่สำคัญมาก

ถาม : 2. ข้อดีของการเอาต์ซอร์ส
ตอบ : มีทั้งหมด 10 ข้อ ดังนี้

2.1 ลดต้นทุนด้านฮาร์ดแวร์, ซอฟท์แวร์ และบุคลากร ทางด้านความปลอดภัยข้อมูลให้กับองค์กร

2.2 แก้ปัญหาจากการขาดแคลนบุคลากรผู้เชี่ยวชาญเฉพาะทางด้านความปลอดภัยข้อมูล

2.3 MSSP จะมีความเชี่ยวชาญมากกว่าองค์กร

2.4 MSSP มีสถานที่และอุปกรณ์พร้อมกว่าศูนย์ปฏิบัติการเฝ้าระวังของ MSSP เราเรียกว่า SOC หรือ "Security Operation Center"

2.5 MSSP มีความเป็นอิสระในการให้ความเห็นแบบมืออาชีพ

2.6 MSSP สามารถติดต่อประสานงานกับตำรวจหรือ DSI ในกรณีที่เกิดเหตุที่ไม่พึงประสงค์ในระบบ

2.7 การแจ้งเตือนของ MSSP ทำให้องค์กรลดผลกระทบจากภัยที่อาจเกิดขึ้นได้อย่างทันท่วงที

2.8 MSSP มีข้อมูลที่รู้ลึก รู้ก่อน เช่น ข้อมูล Zero-Day Exploit เป็นต้น

2.9 MSSP มีบริการที่เตรียมพร้อมอยู่เสมอตาม SLA (Service Level Agreement) ที่ให้ไว้กับองค์กร และมีความรับผิดชอบในระดับหนึ่ง ซึ่งเราเรียกว่าเป็นการ "Transfer IT Risk" ให้กับ MSSP ด้วย

2.10 ผู้ว่าจ้าง MSSP ไม่ต้องคอยตามเทคโนโลยีใหม่ ๆ และช่องโหว่ ใหม่ ๆ ของระบบ โดย MSSP จะมีหน้าที่ในการ "Update" ข้อมูลต่าง ๆ ให้เราโดยอัตโนมัติทำให้เราไม่หลุด "Trend" ด้านความปลอดภัยข้อมูล

ถาม 3. ข้อด้อยของการเอาต์ซอร์ส
ตอบ ข้อด้อยของการเอาต์ซอร์สก็เป็นเรื่องที่ผู้บริหารต้องคำนึงถึงเช่นกัน ซึ่งมีรายละเอียดดังนี้

3.1 เราสามารถไว้วางใจ MSSP ได้แค่ไหน ทางออกก็คือการทำสัญญากับ MSSP โดยระบุ SLA ให้ชัดเจน

3.2 การยึดกับ MSSP มากเกินไป จนองค์กรไม่มีบุคลากรที่สามารถแก้ไขปัญหาด้วยตนเองได้ การเอาต์ซอร์สนั้นเป็นเพียงการเอาต์ซอร์สการเฝ้าระวัง (Monitoring) ไม่ควรเป็นการเอาต์ซอร์สในลักษณะให้เข้ามาแก้ไขบริหารจัดการระบบ (Managing) ซึ่งในส่วนของการจัดการแก้ไขทางองค์กรควรมีบุคลากรทำเองจะดีกว่า

3.3 ความรู้สึกเป็นเจ้าของระบบที่แตกต่างกันระหว่าง MSSP กับผู้ว่าจ้างซึ่งควรกำหนด SLA ให้ชัดเจนก็จะช่วยแก้ปัญหาข้อนี้ได้

3.4 ปัญหาการใข้ทรัพยากรร่วมกันระหว่างผู้ว่าจ้างกับ MSSP ควรมีการตกลงกันก่อนว่าใครใช้ทรัพยากรส่วนไหน และใครเป็นผู้รับผิดชอบค่าใช้จ่ายเช่น ค่าเช่า วงจรสัญญาณ จากผู้ใช้บริการมายัง MSSP เป็นต้น

3.5 ปัญหาเรื่องการติดตั้ง IDS / IPS และ Log Agent การติดตั้ง Agent และอุปกรณ์ดังกล่าวจำเป็นต้องมีผู้เชี่ยวชาญจาก MSSP มาติดตั้งและให้คำแนะนำ ตลอดจนผู้ว่าจ้างควรมีช่างเทคนิคหรือวิศวกรระบบคอมพิวเตอร์ที่เชี่ยวชาญรับผิดชอบอยู่มาช่วยทำงานในการติดตั้งร่วมกัน

3.6 ปัญหา SLA ไม่ชัดเจนทำให้เกิดความเข้าใจผิดระหว่างกัน

3.7 ปัญหาต้นทุนแฝงที่อาจเกิดขึ้นภายหลัง ซึ่งควรจะกำหนดไว้ล่วงหน้าใน SLA

3.8 ความเข้าใจ Scope of Work ที่แตกต่างกันระหว่างผู้ว่าจ้าง กับ MSSP ซึ่งควรจะตกลงสรุปกันให้ชัดเจนก่อนการให้บริการ

ถาม 4. มาตรฐานของการเอาต์ซอร์ส
ตอบ พูดถึงมาตรฐาน IT Service Management ก็คงหนีไม่พ้นมาตรฐาน ITIL (IT Infrastructure Library) ซึ่ง MSSP หลายที่ได้นำไปใช้ในการบริหารจัดการภายในและ การบริการลูกค้าอย่างเป็นระบบ สำหรับมาตรฐาน Information Security Management ได้แก่ มาตรฐาน ISO/IEC 27001 ก็เป็นอีกมาตรฐานหนึ่งที่ควรนำมาประยุกต์ใช้ เช่น การเก็บ Log แบบ Centralized Log System เป็นต้น

ถาม 5. องค์กรต้องเตรียมตัวอย่างไรในการเอาต์ซอร์ส
ตอบ องค์กรควรมีการ "เตรียมตัว" และ "ปรับตัว" ในการเอาต์ซอร์ส

การ "เตรียมตัว" หมายถึง การทำความเข้าใจกับผู้บริหารระดับสูง ผู้บริหารระบบสารสนเทศ และความปลอดภัยให้ตระหนักและเข้าใจถึงความสำคัญของการป้องกันภัยแบบ "Proactive" ซึ่งจะช่วยลดผลกระทบให้กับองค์กรได้อย่างชัดเจนในกรณีที่เราสามารถรู้ถึงการบุกรุกก่อนล่วงหน้า องค์กรควรเตรียมงบประมาณให้สอดคล้องกับ Scope of Work ที่จะมอบให้ MSSP เป็นผู้ดูแลสำหรับการ "ปรับตัว" หมายถึง หลังจากอธิบายให้ผู้บริหารเข้าใจแล้ง องค์กรควรเตรียมอุปกรณ์ฮาร์ดแวร์ที่จำเป็นให้กับ MSSP และให้ข้อมูลภายในที่เป็นประโยชน์กับการทำงานของ MSSP ตลอดจนควรฝึกอบรมพนักงานฝ่ายสารสนเทศให้เข้าใจและสามารถทำงานร่วมกันกับ MSSP ได้อย่างราบรื่น

ถาม 6. ประโยชน์ที่องค์กรได้รับจากการเอาต์ซอร์ส
ตอบ ประโยชน์ให้เห็นได้ชัดที่สุดคือ ลด TCO (Total Cost of Ownership) และ เพิ่ม ROI (Return on Investment) ให้กับองค์กร

เพราะองค์กร ไม่ต้องลงทุนเองกับเทคโนโลยี SIM (Security Information Management) และ เทคโนโลยี SEM (Security Event Management) เพราะทาง MSSP จะต้องลงทุนในส่วนนี้ให้กับทางผู้จ้างอยู่แล้ว ซึ่งซอฟท์แวร์ทั้ง SIM และ SEM นั้นมีราคาค่อนข้างแพง มูลค่าหลายล้านบาท จึงไม่มีเหตุผลที่องค์กรต้องขี่ช้างจับตั๊กแตนกับซอฟท์แวร์ดังกล่าว ประโยชน์ที่ชัดเจนอีกเรื่องคือ องค์กรไม่ต้องปวดหัวกับการจัดหา บุคลากรผู้เชี่ยวชาญด้านการวิเคราะห์ Log ด้านความปลอดภัยเพราะ MSSP ต้องจัดหาบุคลากรเหล่านี้มาบริการองค์กรอยู่แล้ว และ ประโยชน์ข้อสุดท้าย คือ องค์กรสามารถควบคุม SLA ของ MSSP ได้ดีกว่าองค์กรควบคุมพนักงานของตนเองและ ไม่เป็นการเพิ่ม Head-Count ให้กับองค์กรอีกด้วย

ถาม 7. ค่าใช้จ่ายเป็นอย่างไร
ตอบ ค่าใช้จ่ายปกติแล้วจะคิดตามจำวน "IP device" และ ลักษณะของ "IP device" นั้นว่าเป็น "Firewall", "Router", เครื่อง Server เช่น Window Server หรือ UNIX Server เป็นต้น ราคาก็จะแตกต่างกันเล็กน้อย ในกรณีที่มีจำนวน IP device มาก ๆ ก็สามารถต่อรองลดราคากับ MSSP ได้โดย MSSP จะคิดค่าบริการเป็นรายเดือน และทำสัญญาเป็นรายปี บาง MSSP คิดค่าบริการเพิ่มจากจำนวน Transaction ของ Log ที่เพิ่มขึ้นในแต่ละวัน และคิดเพิ่มในกรณีที่ MSSP ต้องส่งบุคลากรผู้เชี่ยวชาญเข้ามาพิสูจน์หลักฐานทางคอมพิวเตอร์ (Computer Forensic)

กล่าวโดยสรุป กระแสการเอาต์ซอร์สด้านความปลอดภัยข้อมูลคอมพิวเตอร์ (IT Security Outsourcing) กำลังได้รับความนิยมทั่วโลก ปัญหาก็คือ ไม่ใช่แค่การซื้อซอฟท์แวร์ และฮาร์ดแวร์ที่สามารถทำงาน เป็น SIM หรือ SEM (ในปัจจุบันนำมารวมกันเรียกว่า SIEM ย่อมาจาก Security Information and Event Management) เพราะ สิ่งสำคัญที่สุด คือ การใช้บุคลากรที่มีความเชี่ยวชาญเฉพาะด้านความปลอดภัยมาวิเคราะห์ถึงปัญหาต่าง ๆ ที่อาจเกิดขึ้นจากผลการวิเคราะห์ของซอฟท์แวร์ SIEM และการปรับแต่งซอฟท์แวร์ SIEM ก็ต้องการผู้เชี่ยวชาญด้าน Intrusion Analyst มาจัดการเช่นกัน การประหยัดงบประมาณให้กับองค์กร ก็เป็นอีกเหตุผลหนึ่งในการใช้บริการเอาต์ซอร์ส

แต่สำคัญที่สุดของการใช้บริการเอาต์ซอร์ส คือ "ความเข้าใจ" และ "ความไว้วางใจ" เพราะการเอาต์ซอร์สด้านความปลอดภัย ไม่ใช่การเอาต์ซอร์สการจัดการระบบสารสนเทศโดยทั่วไป ดังนั้นก่อนตัดสินใจเลือก MSSP ควรพิจารณาให้รอบคอบเสียก่อน จะได้ไม่เกิดปัญหาในภายหลัง

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนกันยายน 2549
Update Information : 18 กันยายน 2549