พนักงาน : ความเสี่ยงที่คุณอาจจะมองข้ามไป

พนักงาน : ความเสี่ยงที่คุณอาจจะมองข้ามไป

เวลาที่พูดถึงความกังวลเกี่ยวกับภัยคุกคาม โดนส่วนใหญ่แล้วเรามักจะนึกถึงภัยที่เกิดจากแฮ็กเกอร์หรือมัลแวร์ที่โจมตีมาจากภายนอกองค์กรเป็นอย่างแรก แต่คุณทราบหรือไม่ว่ามีผลสำรวจมากมายที่แสดงให้เห็นอย่างชัดเจนว่า ความเสี่ยงที่มีสถิติสูงสุดนั้นเกิดจากการขาดความรู้และการขาดความเอาใจใส่ของ "พนักงาน" จนกระทั่งละเลยการปฏิบัติตามนโยบายความมั่นคงปลอดภัย

ผู้บริหารองค์กรเกือบทุกแห่งต้องพบกับความยากลำบากในการบริหารจัดการความมั่นคงปลอดภัยในสถานการณ์ปัจจุบัน เพราะในขณะที่ความเสี่ยงและภัยคุกคามมีการพัฒนาอย่างไม่หยุดยั้ง แต่พนักงานกลับมองหาทางลัดหรือหลบเลี่ยงแนวทางการรักษาความมั่นคงปลอดภัยเพื่อให้ตนเองทำงานได้สะดวกสบายขึ้น นอกจากนี้ เทรนด์ของการนำ Mobile Device ส่วนตัวมาใช้ร่วมในการทำงาน และการใช้เทคโนโลยีคลาวด์ ยิ่งเพิ่มความเสี่ยงในการเข้าถึงและใช้งานข้อมูลขององค์กรมากขึ้น

อันที่จริงแล้ว ผมเชื่อว่าทุกองค์กรต่างมีมาตรการควบคุม หรือมีการใช้งาน End-point Solution ที่มีประสิทธิภาพเพียงพอที่จะรับมือกับภัยคุกคามต่างๆ ที่มีอยู่ทั่วไปในขณะนี้อยู่แล้ว อย่างไรก็ตาม แม้ว่าเครื่องมือจะดีเลอเลิศสักเพียงใด ก็ย่อมใช้ไม่ได้ผลเมื่อผู้ใช้งานหรือพนักงานนำมาใช้อย่างไม่ถูกวิธีหรือหลีกเลี่ยงการใช้งานเครื่องมือนั้นไป

ข้อมูลจาก Net-Security.org

นอกจากการโจมตีด้วยเทคโนโลยีแล้ว ยังมีเทคนิคการหลอกลวงแบบพื้นๆ ที่ไม่ว่ากี่ยุคกี่สมัยก็ใช้ได้ผลมาเสมอ เช่น การโทรเข้ามาหลอกถามข้อมูล การปลอมแปลงตัวตนเข้ามาตีสนิทเพื่อหวังผลประโยชน์ ซึ่งล้วนแต่จต้องพึ่งพาระดับวิจารณญานของพนักงานในการป้องกันและระมัดระวังตนทั้งสิ้น

ดังนั้น สิ่งที่ผู้บริหารควรจะรีบดำเนินการนั้น ได้แก่ การทบทวนนโยบายและมาตรการด้านความมั่นคงปลอดภัยที่มีการใช้งานอยู่ในองค์กร ว่ามีประสิทธิภาพและความทันสมัยเพียงพอแล้วหรือไม่ จากนั้นจะต้องมีการให้ความรู้ จัดการฝึกอบรม และกระตุ้นให้พนักงานปฏิบัติตามอย่างเคร่งครัดด้วยความเต็มใจ

เชื่อได้เลยครับว่า หากพนักงานทำงานตามขั้นตอนอย่างมั่นคงปลอดภัย ด้วยความเข้าใจ และที่สำคัญที่สุด “ด้วยความเต็มใจ” แล้วล่ะก็ การวัดผลการดำเนินงานของปลายปีนี้ เมื่อเทียบกับปีก่อนๆ ที่ผ่านมา จะเห็นระดับผลสัมฤทธิ์ทีสูงขึ้นมากจนคุณเองจะต้องแปลกใจเชียวล่ะครับ

Content Cr : DestinationOne Counselor

Photo Cr : Freeimage.net

การประยุกต์ใช้ ISO 27001 กับธุรกิจโทรคมนาคม

การประยุกต์ใช้ ISO 27001 กับธุรกิจโทรคมนาคม

ในปัจจุบันนี้ ธุรกิจ “โทรคมนาคม” ได้กลายมาเป็นโครงสร้างพื้นฐานที่สำคัญในการขับเคลื่อนอุตสาหกรรมและเศรษฐกิจของประเทศ รวมถึงอำนวยความสะดวกในการใช้ชีวิตประจำวัน ดังนั้น การให้บริการโทรคมนาคมต่างๆ จึงจำเป็นต้องมีความมั่นคงปลอดภัยอย่างสูง และสามารถให้บริการได้อย่างราบรื่นต่อเนื่อง

ทางเลือกที่ชาญฉลาดและดีที่สุดอย่างหนึ่ง ก็คือการนำเอาข้อกำหนดและมาตรการต่างๆ ของมาตรฐานสากล ISO 27001:2013 Information Security Management System มาประยุกต์ใช้ในระบบโทรคมนาคม ซึ่งจะช่วยยกระดับความมั่นคงปลอดภัย สร้างความแตกต่าง และเพิ่มความเชื่อมั่นให้กับลูกค้า ทั้งนี้ โดยปกติแล้วธุรกิจประเภทโทรคมนาคมมักจะมีระบบบริหารจัดการที่ดีอยู่แล้ว แต่โดยส่วนใหญ่จะมุ่งเน้นในด้านความรวดเร็วในการให้บริการ การขยายเครือข่ายสัญญาณ จนบางครั้งอาจจะลืมพิจารณาความสำคัญในการจัดการด้านความมั่นคงปลอดภัยไปบ้าง

ในบทความนี้ ทางทีมงานของ Destination One Counselor จึงอยากจะนำเสนอ 8 มาตรการหรือกระบวนการของมาตรฐาน ISO 27001:2013 ที่ธุรกิจโทรคมนาคมทุกแห่งควรจะให้ความสำคัญ และพิจารณานำไปประยุกต์ใช้หรือทบทวนการดำเนินงานในปัจจุบัน เพื่อปรับปรุงและพัฒนาการให้บริการโทรคมนาคมต่อไป

        1. การบริหารจัดการความมั่นคงทางกายภาพของสถานีฐานและชุมสายโทรศัพท์ ยกตัวอย่างเช่น การคัดเลือกสถานที่ตั้ง, การควบคุมการเข้าถึงทางกายภาพ, การติดตั้งระบบตรวจสอบและเฝ้าระวังภัย เป็นต้น

        2. การบริหารจัดการข้อมูล ยกตัวอย่างเช่น การกำหนดชั้นความลับของข้อมูล, การดูแลรักษาข้อมูลตามชั้นความลับ, การเก็บรักษาและระยะเวลาในการเก็บข้อมูล, กระบวนการทำลายข้อมูล เป็นต้น

        3. การบริหารจัดการเครือข่ายโทรคมนาคมและสารสนเทศ ยกตัวอย่างเช่น การกำหนดและทบทวนสิทธิ์การใช้งาน,  ระบบป้องกันการเข้าถึง,  การบริหารจัดการรหัสผ่าน,  การใช้งานโปรโตคอลที่มั่นคงปลอดภัย, การตั้งค่าระบบและอุปกรณ์ตามมาตรฐานความมั่นคงปลอดภัย เป็นต้นอ ค unselor กิจไปบรกิจไปบ่อเนื่องในการดำเนินธุลอดภัย อข่ายสัญญาณ  ความสะดวกในชีวิตประจำวัน

        4. การบริหารจัดการเปลี่ยนแปลงของระบบโทรคมนาคมและสารสนเทศ ยกตัวอย่างเช่น การขออนุญาตเปลี่ยนแปลง, การวิเคราะห์และประเมินผลกระทบของการเปลี่ยนแปลง, การกำหนดแนวทางกู้คืนหรือแผนสำรอง, การกำหนดเวลาในการดำเนินการเปลี่ยนแปลง, การสื่อสารและการรายงานผลการเปลี่ยนแปลง, การทบทวนหลังการเปลี่ยนแปลง เป็นต้น

       5. การบริหารจัดการ Supply Chain ต่างๆ ที่เกี่ยวข้องกับระบบโทรคมนาคม ยกตัวอย่างเช่น การกำหนดนโยบายการบริหารจัดการ Supply Chain, การจัดการความมั่นคงปลอดภัยตลอดวงจร Supply Chain, การทบทวนการให้บริการ, สัญญารักษาความลับและข้อตกลงในการให้บริการ เป็นต้น

        6. การบริหารจัดการเหตุล่วงละเมิดความมั่นคงปลอดภัย ยกตัวอย่างเช่น การรายงานและการแจ้งเหตุ, การวิเคราะห์ผลกระทบ, การควบคุมและการกำจัดเหตุ, การเรียนรู้บทเรียนจากเหตุล่วงละเมิด เป็นต้น

        7. การบริหารจัดการความต่อเนื่องของระบบโทรคมนาคมและสารสนเทศ ยกตัวอย่างเช่น การวิเคราะห์ผลกระทบทางธุรกิจ, แผนบริหารจัดการในสภาวะวิกฤติ, แผนความต่อเนื่องในการดำเนินธุรกิจและการให้บริการ, การทดสอบ การทบทวน และการปรับปรุงแผนต่างๆ เป็นต้น

        8. การปฎิบัติตามกฎมายและข้อบังคับต่างๆ จาก กสทช. และหน่วยงานรัฐอื่นๆ ที่เกี่ยวข้อง ยกตัวอย่างเช่น การรวบรวมรายการของกฎหมายต่างๆ ที่เกี่ยวข้อง, การจัดทำรายการสิ่งต่างๆ ที่องค์กรต้องปฎิบัติ เป็นต้น

ในธุรกิจโทรคมนาคม มีความจำเป็นอย่างยิ่งที่จะต้องทำให้เรื่องความมั่นคงปลอดภัยกลายเป็นส่วนหนึ่งของวัฒนธรรมองค์กร เป็นพื้นฐานสำคัญในการคิดค้นและพัฒนาระบบและบริการต่างๆ ซึ่งจะช่วยสร้างความมั่นคงให้กับธุรกิจและสร้างความมั่นใจให้กับลูกค้าผู้ใช้บริการได้อย่างยั่งยืน

Content Cr : DestinationOne Counselor

Photo Cr : Google Image

Lessons Learned : บทเรียนด้านความมั่นคงปลอดภัยจากปี 2014

Lessons Learned : บทเรียนด้านความมั่นคงปลอดภัยจากปี 2014

ช่วงต้นปีใหม่ มักจะเป็นช่วงเวลาแห่งการทบทวนและวางแผนสำหรับสิ่งที่เราจะต้องดำเนินการในอีกสามร้อยกว่าวันที่เหลืออยู่ของปี 2015 ซึ่งถ้าเรามองย้อนกลับไปตลอดช่วงปี 2014 ที่ผ่านมา เราจะเห็นได้ว่าเป็นปีที่มีเหตุการณ์ซึ่งส่งผลกระทบกับความมั่นคงปลอดภัยอยู่มากมาย ไม่ว่าจะเป็นกรณีช่องโหว่ Hearthbleed, Shellshock, การโจรกรรมไซเบอร์, การปลอมแปลงข้อมูลบัตรเครดิต, รวมไปถึงมหากาพย์การแฮ็ก Sony Pictures ที่สะเทือนไปทั่วทั้งวงการฮอลลีวูดและวงการไอที

เหตุการณ์เหล่านี้สร้างความปั่นป่วนวุ่นวายไปแต่ระดับบุคคล ระดับองค์กร และระดับสาธารณะ รวมถึงให้บทเรียนสำคัญแก่พวกเราเพื่อการปรับปรุงแผนการดำเนินการต่างๆ ให้รัดกุมดีเยี่ยมยิ่งขึ้น โดยเมื่อเร็วๆ นี้ ทางสถาบัน IT Governance ประเทศอังกฤษได้เผยแพร่บทเรียนที่ทุกคนต้องจดจำให้ขึ้นใจเมื่อนึกถึงปี 2014

บทเรียนที่ 1 : จงทำความเข้าใจกับความเสี่ยงและจุดอ่อนของคุณ

        โลกไอทีในปี 2014 นั้น มูลค่าของเทคโนโลยีและเครื่องมือที่ใช้สำหรับการแฮ็กหรือการโจมตีความมั่นคงปลอดภัยมีราคาถูกลงจนใครๆ ก็สามารถจับจ่ายมาครอบครองได้ ดังนั้น จึงถึงเวลาแล้วที่องค์กรต่างๆ จะต้องหันกลับมาทำความรู้จักและเข้าใจความเสี่ยงและจุดอ่อนของตนเองเสียใหม่ เพื่อให้สอดคล้องตามสภาพแวดล้อมความเป็นจริงที่เปลี่ยนแปลงไป ที่สำคัญก็คือควรจะมีการนำเอาแนวทางปฏิบัติที่ดีเลิศอย่างมาตรฐาน ISO 27001 Information Security Management มาประยุกต์ใช้ภายในองค์กรอีกด้วย

บทเรียนที่ 2 : ต้องมั่นใจว่าตลอด Supply Chain ของคุณนั้นมีความมั่นคงปลอดภัย

        ปี 2014 ที่ผ่านมา มีหลายหน่วยงานที่ต้องเจ็บหนักเพราะความผิดพลาดที่เกิดขึ้นจากซัพพลายเออร์ คุณจึงจำเป็นที่จะต้องเข้มงวดในการคัดเลือกและบริหารจัดการกับซัพพลายเออร์ให้มากยิ่งขึ้น เพื่อลดความเสี่ยงในการถูกโจรกรรมข้อมูลหรือถูกละเมิดความมั่นคงปลอดภัย โดยเฉพาะอย่างยิ่งในซัพพลายเออร์รายที่สามารถเข้าถึงระบบและใช้งานฐานข้อมูลขององค์กรได้

บทเรียนที่ 3 : อย่าลบหลู่พลังของการกำหนดรหัสผ่านที่เข้มแข็ง

        ตัวอย่างที่เห็นได้ชัดในปี 2014 คือเหตุการณ์ที่เกิดขึ้นกับ JP Morgan และ eBay เรื่องแบบนี้สามารถป้องกันได้ถ้ามีการบังคับอย่างจริงจังให้ User ทุกคนตั้งรหัสผ่านที่มีคุณภาพ เข้มแข็ง ยากต่อการคาดเดา รวมถึงจะต้องรณรงค์ให้ทุกคนมีสำนึกและความรับผิดชอบที่จะไม่แชร์รหัสผ่านกับบุคคลอื่น หรือเขียนรหัสผ่านไว้ในจุดที่คนอื่นสามารถสังเกตเห็นได้

บทเรียนที่ 4 : สร้างความเชื่อมั่นและใส่ใจกับพนักงาน

        ในยามที่เกิดเหตุการณ์เลวร้ายขึ้น ผลกระทบทางธุรกิจมักจะตามมาในรูปแบบของการถดถอยของความเชื่อมั่นที่ลูกค้ามีต่อองค์กร แต่ในขณะเดียวกัน คุณก็ต้องอย่าลืมนึกถึงพนักงานขององค์กรด้วยว่า พวกเขาก็มีขวัญกำลังใจ และระดับความเชื่อมั่นที่ตกต่ำลงเช่นกัน ยกตัวอย่าง เคสของ Sony Picture ที่ข้อมูลส่วนตัวของพนักงานจำนวนมากถูกล่วงละเมิด ดังนั้น คุณจึงมีหน้าที่ที่จะต้องทำให้พนักงาน ตลอดจนผู้ถือหุ้นทุกคนรู้สึกปลอดภัยและมั่นใจได้ว่าองค์กรมีมาตรการปกป้องคุ้มครองพวกเขาเป็นอย่างดี

บทเรียนที่ 5 : CEO จะต้องมีส่วนร่วมในเรื่องความมั่นคงปลอดภัย

        เหตุการณ์ต่างๆ ที่เกิดขึ้นตลอดปี 2014 ได้พิสูจน์ให้เห็นแล้วว่า การบริหารจัดการแบบ Top-Down Approach นั้นมีความสำคัญและจำเป็นมากเพียงใด เพราะถ้าหากเคสที่เกิดขึ้นส่งผลรุนแรงจนถึงขั้นต้องปิดกิจการ (อย่างเช่น เว็บไซต์ Hotel Hippo หรือ โครงการ Code Spaces) CEO คือคนแรกที่จะต้องออกมารับผิดชอบ หรือถ้าหากเคสนั้นทำให้ลูกค้าขององค์กรจำนวนมากต้องพลอยได้รับผลกระทบไปด้วย (อย่างเช่น กรณีลูกค้าของ Home Depot) นั่นก็คือความรับผิดชอบของ CEO ด้วยเช่นกัน ดังนั้น เรื่องของความมั่นคงปลอดภัยจึงไม่ใช่แค่งานของฝ่ายไอที แต่บอร์ดผู้บริหารจะต้องมีส่วนร่วมอย่างเต็มที่ในการกำหนดแนวทางและให้การสนับสนุนอย่างจริงจังและเต็มที่

ในปีใหม่ 2015 นี้ ภัยคุกคามและเทคโนโลยีการโจมตีต่างๆ จะยิ่งทวีความรุนแรงมากยิ่งขึ้น บทเรียนจากประสบการณ์ที่ผ่านมาย่อมเป็นกำลังสำคัญที่จะทำให้องค์กรเตรียมพร้อมรับมือ และก้าวต่อไปได้อย่างมั่นคงยิ่งขึ้น.. May the Security Be with You!!

Reference : IT Governance, UK

Content Cr : DestinationOne Counselor

Photo Cr : Google Search

การบริหารทรัพยากรบุคคลอย่างมั่นคงปลอดภัย ด้วยการประยุกต์ใช้ ISO 27001

การบริหารทรัพยากรบุคคลอย่างมั่นคงปลอดภัย ด้วยการประยุกต์ใช้ ISO 27001

การบริหารจัดการทรัพยากรบุคคล ถือเป็นงานพื้นฐานที่สำคัญมากสำหรับทุกองค์กร ในขณะเดียวกันก็จัดเป็นรากฐานแห่งความมั่นคงปลอดภัยขององค์กรทุกแห่งอีกด้วย เพราะการที่เราสามารถคัดสรรบุคลากรที่ดีมาร่วมงาน ผลงานและบริการขององค์กรก็ย่อมมีแนวโน้มที่จะดีตามไปด้วย

ในมาตรฐาน ISO 27001:2013 ได้กล่าวถึงการบริหารจัดการทรัพยากรบุคคลแบบเข้าใจง่ายๆ โดยแบ่งกระบวนการออกเป็น 3 ช่วงระยะเวลา ซึ่งในแต่ละช่วงนั้นมีรายละเอียดดังต่อไปนี้

1. กระบวนการช่วงก่อนเริ่มงาน

     o การคัดเลือก

            > การกำหนดคุณสมบัติของพนักงาน (เช่น วุฒิการศึกษา, ทักษะความสามารถ, ประสบการณ์, ฯลฯ)

            > วิธีการคัดเลือก

                  - การทำข้อสอบ

                  - การสัมภาษณ์

                  - ฯลฯ

            > การตรวจสอบหลักฐาน

                  - หลักฐานการศึกษา

                  - หลักฐานที่ออกโดยหน่วยงานราชการ

                  - ประวัติการทำงาน

                  - ประวัติอาชญากรรม

                  - ฯลฯ

     o การทำสัญญาจ้างงาน สัญญาการรักษาความลับ และหนังสือข้อตกลงต่างๆ (เช่น ด้านความมั่นคงปลอดภัย เป็นต้น)

     o ฯลฯ

2. ช่วงระหว่างการทำงาน

     o การกำหนดหน้าที่ความรับผิดชอบ (หน้าที่ตามตำแหน่งงาน และหน้าที่ทางด้านความมั่นคงปลอดภัย)

     o การอบรมให้ความรู้ และการสร้างความตระหนักรู้ (ความรู้ตามตำแหน่งงาน และด้านความมั่นคงปลอดภัย )

     o การกำหนดสิทธิในการเข้าใช้งานระบบ

     o การกำหนดกระบวนการลงโทษ (ครอบคลุมทางด้านความมั่นคงปลอดภัย)

     o ฯลฯ

3. ช่วงหลังการเลิกจ้างงาน

     o การกำหนดหน้าที่ความรับผิดชอบที่ต้องปฏิบัติหลังการเลิกจ้าง หรือเมื่อมีการเปลี่ยนแปลงการจ้างงาน (เช่น การรักษาความลับ เป็นต้น

     o การคืนสิทธิ์ และการคืนทรัพย์สิน

     o ฯลฯ

ทั้งนี้ ในแต่ละกระบวนการล้วนแต่เป็นขั้นตอนสำคัญในการสร้างและบริหารความมั่นคงปลอดภัยขององค์กร โดยทุกองค์กรควรจะพิจารณากระบวนการบริหารทรัพยากรบุคคลของตนเองในปัจจุบัน ว่ามีขั้นตอนเบื้องต้นอย่างน้อยตามที่ระบุไว้ข้างต้นแล้วหรือยัง หากยังตกหล่นในกระบวรการใดไปก็ควรจะมีการเพิ่มเติมให้ครบถ้วน หรือหากมีครบอยู่แล้วก็จะต้องพิจารณาทบทวนกระบวนการต่างๆ อยู่เสมอ เพื่อให้มั่นใจได้ว่ายังคงมีประสิทธิภาพและประสิทธิผลตรงตามวัตถุประสงค์ด้านความมั่นคงปลอดภัยขององค์กร

Content Cr : DestinationOne Counselor

Photo Cr : Freeimage.com