Friday, March 14, 2014

10 จุดอ่อนความมั่นคงที่ยังคงมาแรงในปี 2014


นอกเหนือจากการติดตามอัพเดทภัยคุกคามจากภายนอก ทั้งที่มีอยู่เดิมและที่เกิดขึ้นใหม่อยู่ตลอดเวลา ซึ่งคอยจ้องโจมตีข้อมูลและกระบวนการดำเนินธุรกิจขององค์กรแล้ว อีกสิ่งหนึ่งที่เราควรจะย้อนกลับมาทบทวนอยู่อย่างสม่ำเสมอก็คือ “จุดอ่อน” หรือ “ช่องโหว่” ขององค์กรเอง ที่อาจจะก่อให้เกิดปัญหา เอื้ออำนวยให้ภัยคุกคามเข้ามาโจมตีระบบหรือขัดขวางธุรกิจขององค์กรให้เกิดการหยุดชะงัก ดังนั้น DestinationOne จึงขอนำเสนอ 10 จุดอ่อนที่โดดเด่น ซึ่งองค์กรส่วนใหญ่มักจะประสบอยู่มาให้ลองพิจารณากัน ดังนี้


1. Lack of Policy Enforcementนโยบายเป็นเครื่องมือสำคัญในการกำหนดแนวทางหรือกรอบวิธีการปฏิบัติงานสำหรับผู้ใช้งาน ซึ่งเมื่อประกาศบังคับใช้แล้วก็ควรที่จะได้รับการปฏิบัติตามอย่างเคร่งครัด ดังนั้น องค์กรจึงจำเป็นที่จะต้องมีการกำหนดกระบวนการในการตรวจสอบและบทลงโทษอย่างเหมาะสม เพื่อให้นโยบายได้รับการเคารพและไม่ถูกละเลย



2. Lack of Security Awareness ผู้ใช้งานขององค์กรหลายแห่งยังขาดการตระหนักรู้ถึงภัยคุกคามและแนวทางในการปกป้องความมั่นคงปลอดภัย ทั้งภัยที่คุกคามธุรกิจขององค์กรและที่คุกคามชีวิตส่วนตัวของผู้ใช้งานเอง องค์กรจึงควรมีการให้ข้อมูลความรู้แก่ผู้ใช้งานอยู่เสมอ


3. Lack of Management Support/Leadership องค์กรคงจะไร้ทิศทางหรือยากที่จะเอาตัวรอดจากภัยคุกคามที่มีอยู่มหาศาลในปัจจุบันถ้าหากขาดการสนับสนุนที่พอเพียง รวมถึงขาดภาวะผู้นำที่ดีจากผู้บริหาร


4. Lack of BCP/DRP Practice แผนการรักษาความต่อเนื่องในการดำเนินธุรกิจและแผนกู้คืนฉุกเฉินเป็นสิ่งจำเป็นที่จะช่วยให้องค์กรอยู่รอดในภาวะวิกฤต ซึ่งในปัจจุบันมีองค์กรจำนวนหนึ่งที่ได้จัดทำแผนเหล่านี้ไว้แล้ว แต่ยังคงมีเพียงส่วนน้อยเท่านั้นที่มีการซักซ้อมและทดสอบความสามารถในการนำแผนนั้นมาใช้งานจริง รวมถึงขาดการทบทวนประสิทธิภาพของแผนให้มีความทันสมัยอยู่เสมอ


5. Lack of Separate of Duties องค์กรหลายแห่งยังไม่มีการแบ่งหน้าที่การทำงานออกจากกันอย่างชัดเจน ทั้งที่การแบ่งหน้าที่นี้เป็นการจัดโครงสร้างการทำงานให้มีความโปร่งใส ป้องกันการทุจริต และทำให้แต่ละฝ่ายสามารถตรวจสอบการทำงานระหว่างกันได้



6. Lack of Log Management เนื่องจากทุกวันนี้ระบบไอทีถูกใช้เป็นองค์ประกอบพื้นฐานของการทำงานและการให้บริการ จึงจำเป็นที่จะต้องมีการเก็บรวบรวมข้อมูลหรือกิจกรรมการใช้งานต่างๆ เพื่อเป็นหลักฐานหรือใช้เพื่อประกอบการตรวจสอบ ทั้งนี้ องค์กรส่วนใหญ่มีการจัดเก็บบันทึกการใช้งานระบบไอทีอยู่แล้ว เนื่องจากเป็นข้อบังคับทางกฎหมาย แต่มักจะมีจุดอ่อนอยู่ที่ขาดการทบทวนหรือตรวจสอบการใช้งานไอทีที่ไม่เหมาะสมจากบันทึกเหล่านั้น


7. Lack of Information Classification and Handling การจำแนกชั้นความลับของข้อมูลและการดูแลรักษาข้อมูลแต่ละประเภทอย่างเหมาะสมเป็นเรื่องที่สำคัญมาก อย่างไรก็ตาม องค์กรส่วนใหญ่มักจะเน้นให้การปกป้องเฉพาะข้อมูลลับที่สุด แต่ละเลยการดูแลข้อมูลในระดับชั้นความลับที่รองลงมา หรือข้อมูลที่ถือครองโดยพนักงานทั่วไป ซึ่งเป็นการเปิดช่องโหว่ให้กับความเสี่ยง


8. Internet is Free อินเตอร์เน็ทก้าวเข้ามามีบทบาทสำคัญในชีวิตประจำวันมากขึ้น อีกทั้งยังสามารถเข้าถึงได้ง่ายและมีให้ใช้งานได้ฟรีอยู่ทั่วไป ผู้ใช้งานส่วนใหญ่ก็มักจะรู้สึกยินดีและเชื่อมต่อกับอินเตอร์เน็ทฟรีเหล่านั้น โดยลืมคำนึงภัยคุกคามต่างๆ ที่มากับของฟรี ทั้งนี้ ควรจะระลึกไว้เสมอว่าของดีและฟรีด้วยนั้นไม่มีอยู่ในโลก


9. Security Risk Management โดยทั่วไปองค์กรมักจะมีการประเมินความเสี่ยงในการดำเนินธุรกิจอยู่แล้ว แต่ส่วนใหญ่ยังขาดการให้ความสำคัญในการประเมินความเสี่ยงในด้านที่เกี่ยวข้องกับความมั่นคงปลอดภัยควบคู่กันไปด้วย


10. Critical Infrastructure โครงสร้างสาธารณูปโภคพื้นฐานบางอย่างของประเทศ ยังไม่รองรับการบริหารความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเหมาะสม องค์กรจึงควรตระหนักถึงจุดอ่อนในประเด็นนี้ด้วยเช่นกัน




Content Cr: DestinationOne Counselor

Photo Cr: Office.Microsoft.com