ตัวอย่างเอกสาร ISO Scope Statement

ตัวอย่าง: เอกสาร ISO Scope Statement

ในโพสต์นี้ ทีมงาน DestinationOne ได้นำเอาตัวอย่างเอกสาร ISO Scope Statement ซึ่งเป็นเอกสารสำคัญในการแสดงขอบเขตการจัดทำระบบมาตรฐานสากล ISO ขององค์กรมาฝากกันครับ

Note: DestinationOne ขอสงวนสิทธิ์ของตัวอย่างเอกสารนี้ โดยอนุญาตให้นำไปใช้เพื่อประโยชน์เชิงวิชาการหรือเพื่อการประยุกต์ใช้ภายในองค์กรเท่านั้น ห้ามนำไปใช้ ดัดแปลง หรือแอบอ้างเพื่อการหาประโยชน์เชิงการค้าโดยเด็ดขาด.

Best Practice เพื่อสยบความเสี่ยงอาชญากรรมไซเบอร์

Best Practice เพื่อสยบความเสี่ยงอาชญากรรมไซเบอร์

ยุคนี้ความปลอดภัยบนโลกไซเบอร์ก็สำคัญไม่ยิ่งหย่อนไปกว่าความปลอดภัยทางกายภาพแล้วนะครับ เพราะคนเราทำงานและใช้ชีวิตประจำวันโดยผูกพันอยู่กับระบบเครือข่ายกันไม่น้อย เรามีความเสี่ยงที่จะเสียทรัพย์เพราะถูกแฮ็ก Internet Banking ไม่ต่างจากการถูกล้วงกระเป๋าหรือย่องเบาขึ้นบ้าน บริษัทอาจจะถูกเรียกค่าไถ่โดยใช้ Ransomware ง่ายกว่าลักพาตัวผู้บริหารเสียอีก!

ความเสี่ยงเหล่านี้สร้างความกังวลให้กับองค์กรทั่วโลกล่ะครับ ซึ่งจากการติดตามข้อมูลข่าวสารที่ผ่านมา ผมก็พบว่าได้มีสถาบันหลายแห่งนำเสนอแนวทางในการป้องกันและลดความเสี่ยงที่อาจจะทำให้องค์กรต้องตกเป็นเหยื่อของอาชญากรรมไซเบอร์ ซึ่งโดยรวมแล้วแนวทางที่น่าจะเรียกได้ว่าเป็น Best Practice ในขณะนี้ ได้แก่

กำหนดนโยบายและใช้เครื่องมือบริหารจัดการรหัสผ่านที่เข้มข้น นั่นก็คือองค์กรจะต้องมีมาตรการควบคุมการตั้งชื่อ การบริหาร และการเก็บรักษารหัสผ่านอย่างมีคุณภาพ หากมีงบประมาณ องค์กรควรจะติดตั้งระบบที่ตรวจสอบความเข้มแข็งของรหัสผ่าน และบังคับให้ผู้ใช้งานต้องเปลี่ยนรหัสผ่านทุกครั้งเมื่อถึงรอบระยะเวลาที่กำหนด เป็นต้น

ต้องมีการประเมินความเสี่ยงของ Third Party อาทิ Vendor, Supplier, Service Provider เป็นต้น เพื่อให้มั่นใจว่าหน่วยงานเหล่านี้มีการบริหารจัดการที่มั่นคงปลอดภัยเพียงพอ เพราะหลายครั้งที่แฮ็กเกอร์มักจะเลือกทางอ้อม โดยโจมตีหน่วยงานภายนอกเพื่อหาทางลักลอบเข้าระบบของเป้าหมายอีกทีครับ

ต้องมีการตรวจพิสูจน์ตัวตนแบบหลายขั้นตอน (Multi-factor Authentication) ซึ่งจะช่วยยกระดับความมั่นคงปลอดภัย เช่น การใช้ Token ร่วมกับการพิมพ์รหัสผ่าน เป็นต้น

เปิดใช้งานการ Log in แบบ Single-Sign-On (SSO) เพราะจะช่วยให้ผู้ใช้งานจดจำไอดีและรหัสผ่านเพียงหนึ่งชุดในการเข้าใช้งานระบบต่างๆ ป้องกันความสับสน แต่ก็ต้องมั่นใจในการบริหารจัดการรหัสผ่านด้วยนะครับ (ย้อนกลับไปอ่านข้อแรก)

ให้สิทธิ์การเข้าถึงแบบจำกัดตามความจำเป็นเท่านั้น ผู้ใช้งานจะต้องไม่ได้รับสิทธิพิเศษมากไปกว่าหน้าที่ของตนเพื่อจำกัดความเสี่ยงครับ

มีการตรวจสอบการใช้งานเสมอ เพื่อมองหาว่ามีการเข้าระบบหรือการใช้งานที่ผิดปกติหรือไม่ โดยจะต้องมีผู้ตรวจสอบตามรอบระยะเวลาที่เหมาะสม อาจจะเป็นรายวัน รายสัปดาห์ หรือแม้กระทั่งเรียลไทม์ถ้าระบบนั้นมีความสำคัญสูง อีกทั้งยังควรจะมีการทบทวนโดยผู้มีอำนาจเพื่อความรัดกุมอีกระดับหนึ่งด้วยนะครับ

ให้การปกป้องระบบเครือข่ายภายในอย่างเข้มแข็ง อาทิ การแบ่งแยกระบบสำคัญออกจากเครือข่ายอย่างเด็ดขาด, การเข้ารหัสข้อมูล, การติดตั้งระบบรักษาความมั่นคงปลอดภัย เป็นต้น

มันไม่มี Best Practice อะไรที่ใช้ได้ผลเต็มที่ และที่เคยใช้ได้ในวันนี้ก็ไม่ได้หมายความว่าจะใช้การได้ตลอดไปนะครับ ทางที่ดีที่สุดคือการติดตามข่าวสารอย่างใกล้ชิดและปรับปรุงการบริหารจัดการของตนเองให้เหมาะสมอยู่เสมอนี่เหละครับ ดีที่สุด!!

Content Cr: DestinationOne Counselor

Photo Cr: ColourBox.com

เมื่อพนักงานรู้สึกว่าความมั่นคงปลอดภัยคือภาระ

เมื่อพนักงานรู้สึกว่าความมั่นคงปลอดภัยคือภาระ.. 

ในยุคที่ Internet of Things เริ่มครองเมืองและข้อมูลสำคัญส่วนหนึ่งมักจะถูกจัดเก็บไว้บน Cloud องค์กรต่างๆ จึงจำเป็นต้องมีการลงทุนทั้งเพื่อให้ได้มาซึ่งเทคโนโลยีอันทันสมัยและเพื่อปกป้องข้อมูลของตนเองเพิ่มขึ้น แต่ปัญหาการรั่วไหลของข้อมูลส่วนใหญ่นั้นกลับไม่ได้มีสาเหตุมาจากแฮ็กเกอร์อย่างที่องค์กรเข้าใจ เพราะสาเหตุหลักนั้นเกิดขึ้นจากตัวพนักงานภายในเสียเอง

การทำงานด้วยเทคโนโลยี ทำให้พนักงานต้องเชื่อมต่อผ่านเครือข่ายแทบจะตลอดเวลา แต่ไม่ใช่ว่าพนักงานทุกคนจะสามารถปฏิบัติได้อย่างถูกต้องเหมาะสม แม้ว่าองค์กรจะมีการกำหนดและบังคับใช้นโยบายและวิธีการดำเนินการต่างๆ เพื่อปกป้องความมั่นคงปลอดภัย แต่การหลบเลี่ยงการปฏิบัติตามนโนบายเหล่านี้ช่วยให้พนักงานรู้สึกว่าตนเองทำงานได้สะดวกและรวดเร็วขึ้น ยกตัวอย่างเช่น การแอบเอาแฟลชไดรฟ์มาบันทึกข้อมูลออกไปภายนอกโดยไม่ดำเนินการขออนุญาตและไม่เข้ารหัสข้อมูล โดยลืมนึกไปว่าหากทำแฟลชไดรฟ์นั้นสูญหายหรือถูกขโมยจะมีผลร้ายตามมาอย่างไร

เคยมีผลการสำรวจของ CEB Global ที่เผยให้เราทราบว่า อันที่จริงแล้วเหตุล่วงละเมิดความลับของข้อมูลราว 45% เกิดขึ้นจากการกระทำโดยไม่เจตนาของพนักงาน ดังนั้น ไม่ว่าองค์กรจะทุ่มงบประมาณไปมหาศาลเพียงใด แต่หากพนักงานไม่มีความตระหนักและหลีกเลี่ยงการปฏิบัติตาม ความมั่นคงปลอดภัยก็ดูเหมือนจะเป็นเรื่องห่างไกล อีกทั้งยังก่อให้เกิดความเสี่ยงและเป็นอุปสรรคต่อการเติบโตทางธุรกิจ

ทั้งนี้ ยังมีผลวิจัยจากงานสำรวจดังกล่าว ซึ่งสรุปข้อเสนอแนะเกี่ยวกับประเด็นปัญหาอย่างน่าสนใจว่า..

องค์กรควรจะหลีกเลี่ยงการเก็บข้อมูลที่ไม่จำเป็น – นี่เป็นวิธีการง่ายที่สุดในการปกป้องข้อมูลสำคัญเนื่องจากยังมีหลายองค์กรเข้าใจผิดว่า การสร้างฐานข้อมูล Big Data นั้นคือการเก็บข้อมูลไว้ให้มากที่สุด จึงทำให้เกิดการเก็บข้อมูลที่ไม่จำเป็นไว้เป็นจำนวนมหาศาล ซึ่งนอกจากจะเพิ่มต้นทุนด้านการบริหารจัดการแล้ว ยังเป็นการเพิ่มความเสี่ยงของข้อมูลที่พนักงานสามารถเข้าถึงได้อีกด้วย

การสร้างนโยบายด้านความมั่นคงปลอดภัยที่สามารถเข้าใจและปฏิบัติตามได้ง่าย – เป็นอีกเรื่องหนึ่งที่องค์กรมักจะคิดว่าการสร้างมาตรการที่สลับซับซ้อนจะยิ่งช่วยเพิ่มความมั่นคงปลอดภัย แต่อันที่จริงแล้วกลับยิ่งเป็นการผลักให้พนักงานยิ่งถอยห่าง พนักงานจะรู้สึกว่าการปฏิบัติตามนโยบายและมาตรการเหล่านี้เป็นภาระและหาทางหลีกเลี่ยง ผู้บริหารจึงควรหาวิธีการที่ประนีประนอมเพื่อให้พนักงานรู้สึกดีขึ้น และเกิดความเข้าใจมากขึ้น เช่น การแบ่งชั้นความสำคัญของข้อมูล และกำหนดความเข้มข้นของวิธีปฏิบัติให้เหมาะสม เป็นต้น

Content Cr: DestinationOne Counselor/HelpNetSecurity.com

Photo Cr: iStock Photo