จากการที่เรานำระบบ IT มาใช้ในชีวิตประจำวันของการทำงานในองค์กรอย่างที่ยกตัวอย่างให้ท่านผู้อ่านได้ทราบแล้วนั้น จึงมีความจำเป็นที่ต้องมีฝ่ายหรือบุคลากรที่จะมาตรวจสอบด้าน IT ซึ่งเรามักเรียกว่า “IT Auditor” หรือ “IS Auditor”
“Security” ของระบบ IT นั้น ดูเหมือนว่าคำจำกัดความจะมีความหมายค่อนข้างลึกซึ้ง เพราะ “Security” ไม่ได้เป็นแค่ Product เช่น การติดตั้ง Firewall และ IDS (Intrusion Detection System) แล้วจบ แต่ “Security” เป็น “Ongoing Process” หมายถึงต้องทำเป็นระบบและทำอย่างต่อเนื่องไม่มีวันจบ
การป้องกันระบบเครือข่ายของเราที่ต่อเชื่อมโยงกับระบบ Internet นั้น ในทางเทคนิคเราใช้คำว่า “Defense Network Perimeter Security” เป็นเรื่องสำคัญที่ทุกองค์กร
ความรู้พื้นฐานที่สำคัญที่ใช้เป็นหลักในการสอบ CISSP ก็คือ CBK (Common Body of Knowledge) ผมได้กล่าวถึง CBK ไปแล้วทั้งหมด 6 DOMAIN ใน e-week ฉบับก่อน ๆ ในตอนนี้ เราจะมาพูดถึง CBK DOMAIN 7 และ 8
การเตรียมตัวสอบ CISSP (Certified Information Security Systems Professional) นั้น จำเป็นต้องมีความรู้พื้นฐานที่เรียกว่า CBK (Common Body of Knowledge) ทั้ง 10 Domain ในฉบับนี้ ผมจะกล่าวถึง Domain ที่ 5 ของ CBK ได้แก่ “Security Model and Architecture”
กล่าวถึง Domain ที่ 6 ของ Common Body of Knowledge (CBK) ได้แก่ Operation Security เนื้อหาความรู้ใน Domain นี้มีรายละเอียดค่อนข้างกว้าง ครอบคลุมถึงเรื่องของการตรวจสอบ (IT Audit) ซึ่งเป็นเนื้อหาเดียวกับที่ใช้สอบ CISA
ใน ช่วงไตรมาสสุดท้ายของปี 2545 นี้ กระแสความนิยมและการยอมรับในใบประกาศ “CISSP” หรือ “Certified Information Security Systems Professional” ซึ่งเป็น Security Certification ในระดับสากลนั้น มีแนวโน้มที่เพิ่มขึ้นอย่างก้าวกระโดด
ขณะนี้เป็นที่ยอมรับกันโดยทั่วไปว่า ระบบปฏิบัติการ LINUX รวมถึงโปรแกรมต่างๆที่ทำงานบน LINUX ในลักษณะ Open source นั้น ได้รับความนิยมมากขึ้นเรื่อยๆ สังเกตได้จากงาน LINUX Application Day ที่ NECTEC
ล่าสุดข้อมูลสำรวจเกี่ยวกับการจัดอันดับความนิยมเกี่ยวกับ IT Certification จาก Web Site www.certcities.com พบว่า Certification ทางด้าน Networking ที่ได้รับการยอมรับมากที่สุดคือ CCIE
จากฉบับที่แล้ว ทางทีมงานได้รายงานผลการทดสอบระบบ LAN ไร้สาย ที่เปิดให้บริการฟรี ณ ศูนย์การค้า Siam Discovery ไปแล้วนั้น ในฉบับนี้เราจะเจาะลึกถึงเรื่องปัญหาด้านความปลอดภัยของเครือข่าย Wireless LAN กันบ้าง
ในงาน “IT Security 2002” ที่ศูนย์ประชุมแห่งชาติสิริกิตที่ผ่านมานั้น ผมได้มีโอกาสกล่าวถึง “Security Professional Certification” ( Download Slide http://www.topsecure.net )
จากฉบับที่แล้ว เราได้พูดถึง “CIA Triad” ซึ่งเป็นพื้นฐานเริ่มต้นของผู้ที่ต้องการศึกษาด้าน Information Security (INFOSEC) โดย “CIA” หมายถึง “Confidentiality, Integrity และ Availability” ตามลำดับ แต่ CIA Triad