ด้วยแนวโน้มทิศทางของการตรวจสอบภายใน (Internal Audit) และ การควบคุมภายใน (Internal Control) ในแนว Proactive กำลังกลายเป็นเรื่องสำคัญที่องค์กรทุกองค์กรที่ใช้ระบบสารสนเทศ ต้องนำมาปฏิบัติอย่างจริงจัง
จากแนวคิดเรื่อง “IT Governance” และ “IT Internal Control” ซึ่งกำลังเป็นที่นิยมและกลายเป็นกฎข้อบังคับในหลายๆองค์กรในขณะนี้ โดยเฉพาะสถาบันการเงินและบริษัทหลักทรัพย์ ล้วนต้องมีการจัดเตรียมความพร้อมของระบบสารสนเทศภายในองค์กร
การจัดการกับระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพด้วย ISMF นั้น ประกอบไปด้วยขั้นตอนทั้ง 7 ขั้นตอน ซึ่งเราปฏิบัติตามขั้นตอนต่าง ๆ ทีละขั้น เริ่มจาก ขั้นตอนที่ 1 คือการตรวจสอบช่องโหว่และประเมินความเสี่ยงให้กับระบบของเราเอง
หลังจากที่เราได้ปฏิบัติตาม ISMF ในขั้นตอนที่ 1 และ 2 เราจะเข้าสู่ขั้นตอนที่ 3 คือ “Practical Information Security Policy”
ในการประชุมผู้นำ APEC Thailand 2003 ที่ประเทศไทยเป็นเจ้าภาพนั้น มีการนำเทคโนโลยีทางด้าน ICT มาใช้ในหลาย ๆ ส่วน ผมได้รับมอบหมายจากทางภาครัฐให้ดูแลเรื่อง Vulnerability Assessment
ทุกวันนี้ความเสี่ยง (Risk) ของระบบข้อมูลคอมพิวเตอร์มีเพิ่มมากขึ้นทุกวัน เนื่องจากระบบที่เราใช้อยู่ไม่ว่าจะเป็นค่าย Microsoft หรือค่าย Unix ตลอดจนระบบ Open Source ที่ใช้ Linux เป็นหลัก ล้วนมีช่องโหว่ (Vulnerability)
Hacker ในอดีตแตกต่างจาก Hacker ในปัจจุบันและอนาคต เนื่องจาก Hacker ในอดีตนั้น มักจะเป็นผู้ที่มีความเชี่ยวชาญด้าน TCP/IP protocol suite หรือการเขียนโปรแกรมภาษา C อย่างลึกซึ้ง Hacker มักจะใช้ Exploit หรือ โปรแกรมเจาะระบบ เจาะผ่านทาง Port ต่างๆ
จากฉบับที่แล้วผมได้กล่าวถึงขั้นตอนในการจัดการกับความเสี่ยงของระบบ (Risk Assessment) ซึ่งมีทั้งหมด 6 ขั้นตอน ขั้นตอนที่หนึ่งกล่าวถึง “Inventory Definition and Requirement” และขั้นตอนที่สองเป็นเรื่องของ “Vulnerability and Threat Assessment” ในฉบับนี้ผมขอต่อใน ขั้นตอนที่สาม
“Security” ของระบบ IT นั้น ดูเหมือนว่าคำจำกัดความจะมีความหมายค่อนข้างลึกซึ้ง เพราะ “Security” ไม่ได้เป็นแค่ Product เช่น การติดตั้ง Firewall และ IDS (Intrusion Detection System) แล้วจบ แต่ “Security” เป็น “Ongoing Process” หมายถึงต้องทำเป็นระบบและทำอย่างต่อเนื่องไม่มีวันจบ