Tuesday, December 22, 2015

แนวโน้ม CyberSecurity ปี 2016



แนวโน้ม CyberSecurity ปี 2016

ตลอดปี 2015 ที่กำลังจะสิ้นสุดลงในอีกไม่กี่วันข้างหน้า เห็นได้อย่างชัดเจนว่าเทคโนโลยีและการดำเนินธุรกิจทุกประเภทต่างก็พากันย้ายเข้าสู่ยุค Mobile และ Cloud Computing ซึ่งนั่นย่อมส่งผลต่อการวางแผนโครงสร้างด้านความมั่นคงปลอดภัยของปี 2016 ที่กำลังจะมาถึงอย่างแน่นอน

ISACA เองในฐานะหน่วยงานที่มีความรับผิดชอบด้านความมั่นคงปลอดภัยโดยตรง จึงได้ออกข่าวประชาสัมพันธ์ให้ผู้บริหารด้าน IT ทุกคนเกิดความตื่นตัวในการเรียนรู้และเพิ่มพูนทักษะเพื่อให้ทันต่อสถานการณ์ความเปลี่ยนแปลงอย่างใกล้ชิด และได้เผยผลการสำรวจเกี่ยวกับแนวโน้ม CyberSecurity ของปี 2016 ดังนี้..



  1. ภัยคุกคามจะมุ่งโจมตีอุปกรณ์สวมใส่, อุปกรณ์การแพทย์ และเครื่องเล่นเกมส์มากขึ้น ธุรกิจ B2B จะมีการใช้ Internet of Things เพิ่มขึ้นอีกอย่างน้อยสี่เท่าภายในปี 2020 ซึ่งหมายถึงการเพิ่มขึ้นของอุปกรณ์สวมใส่, อุปกรณ์การแพทย์, เครื่องเล่นเกมส์, ระบบสมาร์ทโฮม, ระบบสมาร์ทออฟฟิศ, ฯลฯ รวมถึงความเสี่ยงและภัยคุกคามที่มุ่งโจมตีอุปกรณ์และระบบเหล่านี้อีกด้วย การลักลอบดักจับข้อมูลจะสามารถทำได้ง่ายขึ้นด้วยการแฮ็กอุปกรณ์ต่างๆ และมัลแวร์ประเภท Ransomeware ก็จะระบาดรุนแรงเพิ่มขึ้นกว่าเดิม
  2. แฮ็กเกอร์จะมุ่งโจมตีผู้ให้บริการคลาวด์มากขึ้น เพราะในอนาคตอันใกล้ ข้อมูลต่างๆ จะไม่ถูกเก็บไว้ในสำนักงานหรือที่บ้านอีกต่อไป แต่จะถูกย้ายไปเก็บไว้ในคลังข้อมูลบนคลาวด์และเชื่อมต่อใช้งานโดยระบบไร้สายมากขึ้น
  3. คนยุค Millennial จะกังวลเกี่ยวกับการถูกล่วงละเมิดข้อมูลส่วนตัวมากขึ้น จากผลการสำรวจที่เคยมีอยู่แต่เดิม พบว่าคนกลุ่มนี้จะมีความตระหนักถึงการถูกละเมิดข้อมูลส่วนตัวน้อยกว่าคนในกลุ่มอายุอื่นๆ แต่ในช่วงปี 2015 ที่ผ่านมา มีข่าวและเหตุการณ์ที่ทำให้ต้องฉุกคิดเกี่ยวกับความสำคัญของเรื่องนี้มากขึ้น รูปแบบการใช้ชีวิตก็มีความเปลี่ยนแปลงให้ต้องเกี่ยวข้องกับความเสี่ยงเพิ่มขึ้น เช่น การใช้แอพพลิเคชั่นต่างๆ ดังนั้น คนรุ่น Millennial จึงเริ่มเกิดความกระตือรือร้นในการปกป้องข้อมูลของตนเอง
  4. โมบายมัลแวร์และมัลแวร์โฆษณาต่างๆ จะสร้างความวุ่นวายมากขึ้น ธุรกิจบริการและการโฆษณาต่างๆ กำลังย้ายฐานจากแบบเดสก์ท้อปมาสู่โลกโมบายอย่างต่อเนื่อง เราจะได้เห็นมัลแวร์และโฆษณาต่างๆ บุกมาสร้างความรำคาญและคุกคามความเป็นส่วนตัวของเราในปริมาณมหาศาล อีกทั้งจะยิ่งทวีความรุนแรงมากขึ้นเรื่อยๆ
  5. CyberSecurity จะกลายเป็นหน้าที่ความรับผิดชอบหลักของฝ่าย IT ในอีกไม่ช้าภัยคุกคามไซเบอร์จะกลายเป็นภัยที่กระทบถึงความมั่นคงระดับชาติและระบบเศรษฐกิจของโลก บุคลากรฝ่าย IT จึงจำเป็นต้องพัฒนาทักษะ ความรู้ ความสามารถให้ทันต่อสถานการณ์อยู่เสมอ และจำเป็นต้องมีการผลิตผู้เชี่ยวชาญด้าน CyberSecurity ออกมาสู่ตลาดให้มากยิ่งขึ้น เพื่อให้รองรับกับความต้องการที่เพิ่มมากขึ้นในอนาคต

May The Security Be With You ตลอดปี 2016 และตลอดไปนะครับ!




Content Cr: ISACA, DestinationOne Counselor
Photo Cr: ImageStocks

Wednesday, December 16, 2015

คำแนะนำเพื่อความมั่นคงปลอดภัยในช่วงวันหยุดเทศกาล



คำแนะนำเพื่อความมั่นคงปลอดภัยในช่วงวันหยุดเทศกาล

ใกล้เทศกาลปีใหม่เข้ามาทุกทีแล้วนะครับ บริษัทห้างร้านหลายแห่งต่างพากันเตรียมตัวสำหรับช่วงปิดทำการส่งท้ายปี 2015 เพื่อให้พนักงานได้ใช้เวลาเฉลิมฉลองและพักผ่อนอย่างมีความสุขในระหว่างวันหยุดยาว แต่ก็อดเป็นห่วงไม่ได้ว่าเมื่อถึงเวลากลับมาทำงานอีกครั้งในปี 2016 จะมีเหตุเซอร์ไพรส์อะไรหรือไม่
เทศกาลวันหยุดอาจจะเป็นปัจจัยหนึ่งในการเพิ่มช่องโหว่ เปิดโอกาสให้ระบบและองค์กรถูกโจมตีได้ง่ายขึ้น เพราะการตรวจสอบหรือการใช้มาตรการควบคุมต่างๆ มักจะหละหลวมลง ระยะเวลาในการสังเกตพบสิ่งผิดปกติจะยาวนานขึ้น ทำให้ไม่สามารถแก้ไขเหตุได้ทันการณ์ ผมจีงอยากจะขอย้ำเตือนให้ทุกท่านยังคงตระหนักถึงความมั่นคงปลอดภัยอยู่เสมอ โดยมีคำแนะนำ 10 ข้อ ที่ทุกองค์กรควรจะเตรียมการและปฏิบัติตามสำหรับช่วงเทศกาลรื่นเริงที่กำลังจะมาถึง..



10 คำแนะนำเพื่อความมั่นคงปอลดภัยในช่วงวันหยุดเทศกาล

  1. ทีมงานที่เกี่ยวข้องกับการควบคุมดูแลความมั่นคงปลอดภัยจะต้องมาประชุมวางแผนร่วมกัน เพื่อหาแนวทางในการรักษาระดับความมั่นคงปลอดภัยให้อยู่ในระดับที่องค์กรกำหนดไว้ได้ตลอดเวลา
  2. รับสายเบอร์โทรศัพท์ที่ไม่รู้จักทุกครั้ง แม้คำแนะนำนี้อาจจะฟังดูแปลกๆ แต่เบอร์ที่ไม่รู้จักนั้นอาจจะโทรมาแจ้งเหตุฉุกเฉินหรือเหตุผิดวิสัยจากธนาคาร ตำรวจ อาสาสมัครกู้ภัย ฯลฯ ก็เป็นได้
  3. จัดตั้งทีมเฉพาะกิจเพื่อคอยตรวจสอบการใช้จ่ายผ่านบัตรเครดิตของบริษัทที่ผิดปกติ หรือมีระบบเตือนการเข้าใช้งานระบบที่ผิดปกติ
  4. ให้ความรู้กับพนักงานเกี่ยวกับภัยคุกคามต่างๆ ที่แฝงมากับบรรยากาศเฉลิมฉลอง เช่น เว็บฟิชชิ่ง, การแอบคัดลอกข้อมูลบัตรเครดิต, การถูกละเมิดข้อมูลในช่วงเดินทางท่องเที่ยว เป็นต้น
  5. กำหนดให้พนักงานทุกคนมีความรับผิดชอบในการรายงานเหตุผิดปกติทันที่ที่พบเห็นหรือรู้สึกถึงความไม่ชอบมาพากล
  6. เพิ่มการตรวจสอบและเฝ้าระวังบุคคลภายนอกที่เข้ามาภายในสำนักงานมากขึ้น เพราะช่วงเทศกาลมักจะเป็นช่วงที่มีการส่งมอบของขวัญ หรือมีคู่ค้า/ลูกค้าเข้ามาอวยพรทักทายกันเป็นจำนวนมาก
  7. ควบคุมการส่งข้อมูลผ่านอีเมล์ โปรแกรมแชท หรือ SMS โดยจะต้องหลีกเลี่ยงการส่งข้อมูลสำคัญโดยไม่จำเป็นหรือโดยไม่ได้รับการปกป้อง
  8. ควบคุมการโพสต์ข้อมูลผ่าน Social Media โดยจะต้องใช้ความรอบคอบระมัดระวัง เพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายสามารถนำไปใช้วิเคราะห์หาวิธีโจมตีได้
  9. Gadget, แอพพลิเคชั่น หรือของเล่นใหม่ๆ ที่มักจะนำมาใช้เพิ่มความสนุกสนานในช่วงเทศกาล อาจจะเป็นสาเหตุให้ข้อมูลส่วนตัวถูกเปิดเผยหรือละเมิดได้โดยไม่รู้ตัว
  10. อัพเดท Patch, Software Version, Virus Definition และอื่นๆ ให้ทันสมัยเสมอ

หากท่านปฏิบัติตามคำแนะนำข้างต้น ผมรับรองว่าการกลับมาทำงานช่วงหลังวันหยุดของท่านจะสงบสุขราบรื่นอย่างแน่นอนครับ.. ขอให้มีความสุขกับการเตรียมพร้อม Count down สู่ปี 2016 นะครับ




Content Cr: Net Security, DestinationOne Counselor
Photo Cr: Santatimes

Tuesday, December 8, 2015

ความมั่นคงปลอดภัยแบบองค์รวมในทุกกระบวนการ



ความมั่นคงปลอดภัยแบบองค์รวมในทุกกระบวนการ



การบริหารจัดการความมั่นคงปลอดภัย ถือเป็นเรื่องพื้นฐานที่ทุกองค์กรจำเป็นต้องมี และต้องพิจารณาให้เป็นส่วนหนึ่งของทุกกระบวนการในการดำเนินธุรกิจทั้งหมด ตั้งแต่เริ่มต้นจนถึงปลายทาง เพื่อให้เกิดความมั่นคงปลอดภัยในแบบองค์รวม



โดยทั่วไปแล้ว เราสามารถแบ่งกระบวนการต่างๆ ออกได้เป็น 3 ช่วงระยะ ซึ่งในแต่ละช่วงนั้นจะประกอบไปด้วยหัวข้อต่างๆ ที่องค์กรจะต้องพิจารณาวางแผนหรือออกแบบแนวทางปฏิบัติ เพื่อสร้างเสริมให้เกิดความมั่นคงปลอดภัยกับระบบ อุปกรณ์ กระบวนการ และองค์กร ดังต่อไปนี้




ตัวอย่าง หัวข้อความมั่นคงปลอดภัยที่ต้องพิจารณาตลอดวัฎจักรกระบวนการ


ช่วงเริ่มต้น

  • การออกแบบ การสร้าง และการผลิตที่มั่นคงปลอดภัย
  • การกำหนดคุณสมบัติทางด้านความมั่นคงปลอดภัย
  • การคัดเลือก การจัดซื้อ และการจัดจ้างอย่างมั่นคงปลอดภัย
  • การกำหนดสัญญาการจ้างงาน และสัญญาการรักษาความลับ
  • ……….ฯลฯ………..

ช่วงระหว่างทาง

  • การกำหนดคำสั่ง นโยบาย และขั้นตอนการปฏิบัติ
  • การกำหนดหน้าที่ความรับผิดชอบ และบทปรับบทลงโทษ
  • การอบรมให้ความรู้ และการสร้างความตระหนักรู้
  • การบริหารจัดการการเข้าถึง
  • การบริหารจัดการการเปลี่ยนแปลง
  • การบริการจัดการเหตุอุบัติการณ์
  • การบริหารจัดการความต่อเนื่องของธุรกิจ
  • การจัดเก็บ การส่ง การเคลื่อนย้าย การดูแล และการบำรุงรักษา
  • ……….ฯลฯ………..

ช่วงปลายทาง

  • การกำหนดหน้าที่ความรับผิดชอบ และการรักษาความลับ
  • การคืนสิทธิ และการคืนทรัพย์สิน
  • การทำลายข้อมูลอย่างมั่นคงปลอดภัย
  • การปฏิบัติตามกฎหมายและสัญญาข้อตกลงต่างๆ
  • ……….ฯลฯ………..

เมื่อมีการจัดการให้ทุกขั้นตอนและทุกองค์ประกอบของทุกกระบวนการมีความมั่นคงปลอดภัย ก็จะสามารถลดความเสี่ยงหรือลดโอกาสในการถูกโจมตีจากภัยคุกคามที่อาจจะทำให้องค์กรเกิดติดขัดหรือหยุดชะงัก ดังนั้น การดำเนินธุรกิจก็จะมีความราบรื่นต่อเนื่อง สามารถพัฒนาเติบโตและประสบความสำเร็จได้อย่างยั่งยืน



 



Content Cr: DestinationOne Counselor
Photo Cr: iTechScope