Lessons Learned : บทเรียนด้านความมั่นคงปลอดภัยจากปี 2014
ช่วงต้นปีใหม่ มักจะเป็นช่วงเวลาแห่งการทบทวนและวางแผนสำหรับสิ่งที่เราจะต้องดำเนินการในอีกสามร้อยกว่าวันที่เหลืออยู่ของปี
2015
ซึ่งถ้าเรามองย้อนกลับไปตลอดช่วงปี 2014 ที่ผ่านมา
เราจะเห็นได้ว่าเป็นปีที่มีเหตุการณ์ซึ่งส่งผลกระทบกับความมั่นคงปลอดภัยอยู่มากมาย
ไม่ว่าจะเป็นกรณีช่องโหว่ Hearthbleed, Shellshock, การโจรกรรมไซเบอร์,
การปลอมแปลงข้อมูลบัตรเครดิต, รวมไปถึงมหากาพย์การแฮ็ก Sony Pictures
ที่สะเทือนไปทั่วทั้งวงการฮอลลีวูดและวงการไอที
เหตุการณ์เหล่านี้สร้างความปั่นป่วนวุ่นวายไปแต่ระดับบุคคล
ระดับองค์กร และระดับสาธารณะ รวมถึงให้บทเรียนสำคัญแก่พวกเราเพื่อการปรับปรุงแผนการดำเนินการต่างๆ
ให้รัดกุมดีเยี่ยมยิ่งขึ้น โดยเมื่อเร็วๆ นี้ ทางสถาบัน IT Governance
ประเทศอังกฤษได้เผยแพร่บทเรียนที่ทุกคนต้องจดจำให้ขึ้นใจเมื่อนึกถึงปี
2014
บทเรียนที่ 1 : จงทำความเข้าใจกับความเสี่ยงและจุดอ่อนของคุณ
โลกไอทีในปี 2014 นั้น
มูลค่าของเทคโนโลยีและเครื่องมือที่ใช้สำหรับการแฮ็กหรือการโจมตีความมั่นคงปลอดภัยมีราคาถูกลงจนใครๆ
ก็สามารถจับจ่ายมาครอบครองได้ ดังนั้น จึงถึงเวลาแล้วที่องค์กรต่างๆ จะต้องหันกลับมาทำความรู้จักและเข้าใจความเสี่ยงและจุดอ่อนของตนเองเสียใหม่
เพื่อให้สอดคล้องตามสภาพแวดล้อมความเป็นจริงที่เปลี่ยนแปลงไป ที่สำคัญก็คือควรจะมีการนำเอาแนวทางปฏิบัติที่ดีเลิศอย่างมาตรฐาน
ISO 27001 Information Security Management มาประยุกต์ใช้ภายในองค์กรอีกด้วย
บทเรียนที่ 2 : ต้องมั่นใจว่าตลอด
Supply Chain ของคุณนั้นมีความมั่นคงปลอดภัย
ปี
2014
ที่ผ่านมา มีหลายหน่วยงานที่ต้องเจ็บหนักเพราะความผิดพลาดที่เกิดขึ้นจากซัพพลายเออร์
คุณจึงจำเป็นที่จะต้องเข้มงวดในการคัดเลือกและบริหารจัดการกับซัพพลายเออร์ให้มากยิ่งขึ้น
เพื่อลดความเสี่ยงในการถูกโจรกรรมข้อมูลหรือถูกละเมิดความมั่นคงปลอดภัย
โดยเฉพาะอย่างยิ่งในซัพพลายเออร์รายที่สามารถเข้าถึงระบบและใช้งานฐานข้อมูลขององค์กรได้
บทเรียนที่ 3 : อย่าลบหลู่พลังของการกำหนดรหัสผ่านที่เข้มแข็ง
ตัวอย่างที่เห็นได้ชัดในปี 2014 คือเหตุการณ์ที่เกิดขึ้นกับ JP Morgan และ eBay
เรื่องแบบนี้สามารถป้องกันได้ถ้ามีการบังคับอย่างจริงจังให้ User
ทุกคนตั้งรหัสผ่านที่มีคุณภาพ เข้มแข็ง ยากต่อการคาดเดา รวมถึงจะต้องรณรงค์ให้ทุกคนมีสำนึกและความรับผิดชอบที่จะไม่แชร์รหัสผ่านกับบุคคลอื่น
หรือเขียนรหัสผ่านไว้ในจุดที่คนอื่นสามารถสังเกตเห็นได้
บทเรียนที่ 4 : สร้างความเชื่อมั่นและใส่ใจกับพนักงาน
ในยามที่เกิดเหตุการณ์เลวร้ายขึ้น
ผลกระทบทางธุรกิจมักจะตามมาในรูปแบบของการถดถอยของความเชื่อมั่นที่ลูกค้ามีต่อองค์กร
แต่ในขณะเดียวกัน คุณก็ต้องอย่าลืมนึกถึงพนักงานขององค์กรด้วยว่า
พวกเขาก็มีขวัญกำลังใจ และระดับความเชื่อมั่นที่ตกต่ำลงเช่นกัน ยกตัวอย่าง เคสของ Sony
Picture ที่ข้อมูลส่วนตัวของพนักงานจำนวนมากถูกล่วงละเมิด ดังนั้น
คุณจึงมีหน้าที่ที่จะต้องทำให้พนักงาน ตลอดจนผู้ถือหุ้นทุกคนรู้สึกปลอดภัยและมั่นใจได้ว่าองค์กรมีมาตรการปกป้องคุ้มครองพวกเขาเป็นอย่างดี
บทเรียนที่ 5 : CEO จะต้องมีส่วนร่วมในเรื่องความมั่นคงปลอดภัย
เหตุการณ์ต่างๆ ที่เกิดขึ้นตลอดปี 2014 ได้พิสูจน์ให้เห็นแล้วว่า
การบริหารจัดการแบบ Top-Down Approach นั้นมีความสำคัญและจำเป็นมากเพียงใด
เพราะถ้าหากเคสที่เกิดขึ้นส่งผลรุนแรงจนถึงขั้นต้องปิดกิจการ (อย่างเช่น เว็บไซต์ Hotel
Hippo หรือ โครงการ Code Spaces) CEO คือคนแรกที่จะต้องออกมารับผิดชอบ
หรือถ้าหากเคสนั้นทำให้ลูกค้าขององค์กรจำนวนมากต้องพลอยได้รับผลกระทบไปด้วย (อย่างเช่น
กรณีลูกค้าของ Home Depot) นั่นก็คือความรับผิดชอบของ CEO
ด้วยเช่นกัน ดังนั้น
เรื่องของความมั่นคงปลอดภัยจึงไม่ใช่แค่งานของฝ่ายไอที
แต่บอร์ดผู้บริหารจะต้องมีส่วนร่วมอย่างเต็มที่ในการกำหนดแนวทางและให้การสนับสนุนอย่างจริงจังและเต็มที่
ในปีใหม่ 2015 นี้ ภัยคุกคามและเทคโนโลยีการโจมตีต่างๆ
จะยิ่งทวีความรุนแรงมากยิ่งขึ้น บทเรียนจากประสบการณ์ที่ผ่านมาย่อมเป็นกำลังสำคัญที่จะทำให้องค์กรเตรียมพร้อมรับมือ
และก้าวต่อไปได้อย่างมั่นคงยิ่งขึ้น.. May the Security Be with You!!
Reference : IT Governance, UK
Content Cr : DestinationOne Counselor
Photo Cr : Google Search
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.