BYOD กับความมั่นคงปลอดภัยของระบบเครือข่าย

BYOD กับความมั่นคงปลอดภัยของระบบเครือข่าย

ยุคนี้องค์กรหลายแห่งจำเป็นต้องยินยอมให้พนักงานทำงานผ่านอุปกรณ์ของตนเอง (Bring Your Own Devices: BYOD) เนื่องด้วยความสะดวกคล่องตัว ทำงานได้ทุกสถานที่ เกิดผลงานอย่างรวดเร็ว ซึ่งนั่นหมายถึงการยอมรับความเสี่ยงที่เพิ่มขึ้นจากการใช้งานอุปกรณ์เหล่านี้ ไม่ว่าจะเป็นเรื่องข้อมูลที่อาจจะรั่วไหล, OS หรือแอพพลิเคชั่นที่ได้อัพเดท หรืออุปกรณ์ที่ไม่ได้รับการปกป้องอย่างเหมาะสม เป็นต้น

ประเด็นหนึ่งที่องค์กรจะต้องได้รับผลกระทบแน่ๆ จากนโยบายการทำงานแบบ BYOD ก็คือเรื่องของความมั่นคงปลอดภัยของระบบเครือข่าย ซึ่งล่าสุด ผมได้อ่านบทความที่น่าสนใจเกี่ยวกับเรื่องนี้ และเห็นว่าน่าจะนำมาสรุปให้เป็นประโยชน์แก่ผู้อ่านทุกท่าน ดังต่อไปนี้

1. ใช้กลยุทธ์แบ่งโครงสร้างของระบบเครือข่าย : ผู้เชี่ยวชาญได้แนะนำให้แบ่งเครือข่ายขององค์กรออกเป็น 3 ส่วน ได้แก่ (1) เครือข่ายสาธารณะ, (2) เครือข่ายสำหรับการใช้งานภายใน และ (3) เครือข่ายที่จำกัดการเข้าถึง แล้วทำการตั้งค่า Configuration รวมถึงบังคับใช้นโยบายควบคุมการเข้าถึงเครือข่ายแต่ละประเภทให้เหมาะสม เช่น อุปกรณ์ที่ไม่เคยลงทะเบียนหรือไม่ผ่านมาตรฐานความมั่นคงปลอดภัยจะสามารถเข้าถึงได้เฉพาะเครือข่ายสาธารณะ เป็นต้น สำหรับเครือข่ายที่จำกัดการเข้าถึง ควรจะได้รับการปกป้องอย่างรัดกุม เช่น มีการจำกัด IP, มีการตรวจพิสูจน์ตัวตนแบบหลายชั้น และการจำกัดการใช้งานระบบ VPN เป็นต้น
2. จำกัดการเข้าถึงระบบให้เป็นแบบ Single Point : พนักงานทุกคนควรจะรู้สิทธิ์ในการเข้าถึงระบบและข้อมูลของตน โดยเฉพาะการเข้าถึงผ่านอุปกรณ์ส่วนตัว ให้จำกัดตามความจำเป็นเท่านั้น องค์กรควรจะควบคุมการเข้าถึงระบบเครือข่ายให้เป็นแบบ Single Point เพื่อให้สามารถตรวจสอบได้ทั้งหมดอย่างละเอียด และตั้งเงื่อนไขในการเข้าใช้ เช่น กำหนดสถานที่หรือเวลาที่สามารถเชื่อมต่อระบบได้อย่างรัดกุม
3. เพิ่มการตรวจพิสูจน์ตัวตนเมื่อต้องการเข้าถึงทรัพยากรขององค์กร : องค์กรอาจจะต้องลงทุนเพิ่มเติมด้วยการจัดหาซอฟต์แวร์ที่ช่วยเพิ่มระดับความมั่นคงปลอดภัยในการตรวจพิสูจน์ตัวตน เช่น ซอฟต์แวร์ประเภท Identity and Access Management (IAM) หรือ Single Sign-On (SOS) เป็นต้น
4. บริหารจัดการอุปกรณ์อย่างมั่นคงปลอดภัย : นอกจากการควบคุมและปกป้องที่ระบบเครือข่ายแล้ว ความมั่นคงปลอดภัยจะเกิดขึ้นได้ก็เมื่อมีการบริหารจัดการอุปกรณ์ที่ดีอีกด้วย อุปกรณ์ต่างๆ ควรจะได้รับการปกป้องด้วยรหัสผ่านที่เข้มแข็ง มีการติดตั้งแอพลิเคชั่นป้องกันมัลแวร์ องค์กรจะต้องจัดให้มีการลงทะเบียนและตรวจสอบอุปกรณ์อย่างเหมาะสม ที่สำคัญคือจะต้องมีการอบรมให้ความรู้เกี่ยวกับการบริหารจัดการอุปกรณ์อย่างมั่นคงปลอดภัย และการปฏิบัติตามนโยบาย BYOD อย่างเคร่งครัด

Content Cr: HelpNetSecurity.com / DestinationOne Counselor

Photo Cr: BizzDesign.com

สร้างองค์กรแห่งความมั่นคงปลอดภัยด้วยการฝึกอบรมและการสร้างความตระหนักรู้

สร้างองค์กรแห่งความมั่นคงปลอดภัยด้วยการฝึกอบรมและการสร้างความตระหนักรู้

การลดความเสี่ยงด้านความมั่นคงปลอดภัยขององค์กรที่ง่ายแต่ทรงพลังก็คือ การให้ความรู้และสร้างความเข้าใจกับพนักงาน โดยจะต้องทำเป็นระยะๆ อย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งสำหรับพนักงานใหม่ หรือพนักงานที่ลาหยุดพักร้อนไปนาน หรือหลังจากช่วงวันหยุดเทศกาล ก็ยิ่งต้องกำหนดให้มีโปรแกรมอบรมหรือสร้างความตระหนักรู้ซ้ำเสมอ

มีผลการวิจัยหนึ่งระบุว่า เนื้อหาของการอบรมราว 50% จะถูกลืมทันทีภายในหนึ่งวัน และกว่า 70-90% ที่สูญหายไปจากความทรงจำเมื่อเวลาผ่านไป 1 สัปดาห์ นี่จึงเป็นสาเหตุที่องค์กรควรจะวางแผนการฝึกอบรมและสร้างความตระหนักรู้อย่างรอบคอบและเหมาะสม

Destination One จึงอยากเสนอคำแนะนำ 5 ข้อ เพื่อเป็นประโยชน์สำหรับทุกองค์กรในการวางแผน..

1. ควรสร้างความเข้าใจและส่งเสริมความมั่นคงปลอดภัยให้เป็นวัฒนธรรมองค์กร โดยผู้บริหารและหัวหน้างานจะต้องปฏิบัติตนเป็นตัวอย่าง ทำตามนโยบายและแนวทางที่องค์กรกำหนดไว้อย่างเคร่งครัด เพราะไม่เช่นนั้น พนักงานอาจจะมองว่าความมั่นคงปลอดภัยเป็นเรื่องที่ไม่จริงจัง และควรจะสร้างสภาพแวดล้อมการทำงานที่เหมาะสมอีกด้วย
2. กำหนดรอบระยะการอบรมอย่างต่อเนื่องด้วยความถี่ที่เหมาะสม รวมถึงมีการเน้นย้ำและกระตุ้นเตือนเนื้อหาที่เป็นสาระสำคัญด้วยสื่อที่หลากหลายตลอดเวลา
3. การใช้รูปภาพและการยกตัวอย่างที่เป็นเรื่องใกล้ตัว จะช่วยสร้างความสนใจ ความรู้สึกมีส่วนร่วม สามารถเข้าใจได้ง่าย จึงช่วยให้การอบรมหรือการสร้างความตระหนักรู้มีประสิทธิภาพมากขึ้น
4. หมั่นติดตามความเปลี่ยนแปลง รูปแบบการทำงาน และข่าวสารต่างๆ เพื่อให้ครอบคลุมการออกแบบเนื้อหาการอบรมและการสร้างความตระหนักรู้ เช่น เพิ่มหัวข้อการอบรมการใช้งาน Mobile Device และการทำงานนอกสถานที่ ตามเทรนด์การดำเนินธุรกิจในปัจจุบัน เป็นต้น
5. สิ่งที่ดีที่สุดก็คือ การทำให้พนักงานให้ความสำคัญกับความมั่นคงปลอดภัยจนติดเป็น “นิสัย” เช่น เมื่อเลิกงานก็เก็บเอกสารเข้าลิ้นชักทันที หรือออกไปทำงานนอกสถานที่ ก็ไม่ปล่อยให้เครื่องคอมพิวเตอร์อยู่คลาดสายตา เป็นต้น

เมื่อพนักงานมีความเข้าใจ มีทักษะ และมีการปฏิบัติอย่างเหมาะสม ย่อมจะช่วยลดความเสี่ยง และช่วยให้องค์กรมีความมั่นคงปลอดภัยอย่างยั่งยืนนั่นเอง

 

Contenet Cr: DestinationOne Counselor

Photo Cr: ClipArtsStock.com