นอกเหนือจากการติดตามอัพเดทภัยคุกคามจากภายนอก ทั้งที่มีอยู่เดิมและที่เกิดขึ้นใหม่อยู่ตลอดเวลา
ซึ่งคอยจ้องโจมตีข้อมูลและกระบวนการดำเนินธุรกิจขององค์กรแล้ว อีกสิ่งหนึ่งที่เราควรจะย้อนกลับมาทบทวนอยู่อย่างสม่ำเสมอก็คือ
“จุดอ่อน” หรือ “ช่องโหว่” ขององค์กรเอง ที่อาจจะก่อให้เกิดปัญหา เอื้ออำนวยให้ภัยคุกคามเข้ามาโจมตีระบบหรือขัดขวางธุรกิจขององค์กรให้เกิดการหยุดชะงัก
ดังนั้น DestinationOne จึงขอนำเสนอ 10 จุดอ่อนที่โดดเด่น
ซึ่งองค์กรส่วนใหญ่มักจะประสบอยู่มาให้ลองพิจารณากัน ดังนี้
1. Lack of Policy Enforcement “นโยบาย” เป็นเครื่องมือสำคัญในการกำหนดแนวทางหรือกรอบวิธีการปฏิบัติงานสำหรับผู้ใช้งาน
ซึ่งเมื่อประกาศบังคับใช้แล้วก็ควรที่จะได้รับการปฏิบัติตามอย่างเคร่งครัด ดังนั้น
องค์กรจึงจำเป็นที่จะต้องมีการกำหนดกระบวนการในการตรวจสอบและบทลงโทษอย่างเหมาะสม
เพื่อให้นโยบายได้รับการเคารพและไม่ถูกละเลย
2. Lack of Security Awareness ผู้ใช้งานขององค์กรหลายแห่งยังขาดการตระหนักรู้ถึงภัยคุกคามและแนวทางในการปกป้องความมั่นคงปลอดภัย
ทั้งภัยที่คุกคามธุรกิจขององค์กรและที่คุกคามชีวิตส่วนตัวของผู้ใช้งานเอง
องค์กรจึงควรมีการให้ข้อมูลความรู้แก่ผู้ใช้งานอยู่เสมอ
3. Lack of Management Support/Leadership องค์กรคงจะไร้ทิศทางหรือยากที่จะเอาตัวรอดจากภัยคุกคามที่มีอยู่มหาศาลในปัจจุบันถ้าหากขาดการสนับสนุนที่พอเพียง
รวมถึงขาดภาวะผู้นำที่ดีจากผู้บริหาร
4. Lack of BCP/DRP Practice แผนการรักษาความต่อเนื่องในการดำเนินธุรกิจและแผนกู้คืนฉุกเฉินเป็นสิ่งจำเป็นที่จะช่วยให้องค์กรอยู่รอดในภาวะวิกฤต
ซึ่งในปัจจุบันมีองค์กรจำนวนหนึ่งที่ได้จัดทำแผนเหล่านี้ไว้แล้ว
แต่ยังคงมีเพียงส่วนน้อยเท่านั้นที่มีการซักซ้อมและทดสอบความสามารถในการนำแผนนั้นมาใช้งานจริง
รวมถึงขาดการทบทวนประสิทธิภาพของแผนให้มีความทันสมัยอยู่เสมอ
5. Lack of Separate of Duties องค์กรหลายแห่งยังไม่มีการแบ่งหน้าที่การทำงานออกจากกันอย่างชัดเจน
ทั้งที่การแบ่งหน้าที่นี้เป็นการจัดโครงสร้างการทำงานให้มีความโปร่งใส
ป้องกันการทุจริต และทำให้แต่ละฝ่ายสามารถตรวจสอบการทำงานระหว่างกันได้
6. Lack of Log Management เนื่องจากทุกวันนี้ระบบไอทีถูกใช้เป็นองค์ประกอบพื้นฐานของการทำงานและการให้บริการ
จึงจำเป็นที่จะต้องมีการเก็บรวบรวมข้อมูลหรือกิจกรรมการใช้งานต่างๆ
เพื่อเป็นหลักฐานหรือใช้เพื่อประกอบการตรวจสอบ ทั้งนี้
องค์กรส่วนใหญ่มีการจัดเก็บบันทึกการใช้งานระบบไอทีอยู่แล้ว
เนื่องจากเป็นข้อบังคับทางกฎหมาย
แต่มักจะมีจุดอ่อนอยู่ที่ขาดการทบทวนหรือตรวจสอบการใช้งานไอทีที่ไม่เหมาะสมจากบันทึกเหล่านั้น
7. Lack of Information Classification and Handling การจำแนกชั้นความลับของข้อมูลและการดูแลรักษาข้อมูลแต่ละประเภทอย่างเหมาะสมเป็นเรื่องที่สำคัญมาก
อย่างไรก็ตาม องค์กรส่วนใหญ่มักจะเน้นให้การปกป้องเฉพาะข้อมูลลับที่สุด
แต่ละเลยการดูแลข้อมูลในระดับชั้นความลับที่รองลงมา หรือข้อมูลที่ถือครองโดยพนักงานทั่วไป
ซึ่งเป็นการเปิดช่องโหว่ให้กับความเสี่ยง
8. Internet is Free อินเตอร์เน็ทก้าวเข้ามามีบทบาทสำคัญในชีวิตประจำวันมากขึ้น
อีกทั้งยังสามารถเข้าถึงได้ง่ายและมีให้ใช้งานได้ฟรีอยู่ทั่วไป ผู้ใช้งานส่วนใหญ่ก็มักจะรู้สึกยินดีและเชื่อมต่อกับอินเตอร์เน็ทฟรีเหล่านั้น
โดยลืมคำนึงภัยคุกคามต่างๆ ที่มากับของฟรี ทั้งนี้
ควรจะระลึกไว้เสมอว่าของดีและฟรีด้วยนั้นไม่มีอยู่ในโลก
9. Security Risk Management โดยทั่วไปองค์กรมักจะมีการประเมินความเสี่ยงในการดำเนินธุรกิจอยู่แล้ว
แต่ส่วนใหญ่ยังขาดการให้ความสำคัญในการประเมินความเสี่ยงในด้านที่เกี่ยวข้องกับความมั่นคงปลอดภัยควบคู่กันไปด้วย
10. Critical Infrastructure โครงสร้างสาธารณูปโภคพื้นฐานบางอย่างของประเทศ
ยังไม่รองรับการบริหารความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม
องค์กรจึงควรตระหนักถึงจุดอ่อนในประเด็นนี้ด้วยเช่นกัน
Content Cr: DestinationOne Counselor
Photo Cr: Office.Microsoft.com