ความปลอดภัยกับระบบ IT

ความปลอดภัยกับระบบ IT

ปัจจุบันระบบเครือข่ายเป็นสิ่งสำคัญสำหรับองคืกรที่เข้ามาช่วยอำนวยความสะดวกในการดำเนินธุรกิจไม่ว่าจะเป็นภาคเอกชน หรือหน่วยงานราชการ เพราะทำให้หารเข้าถึงข้อมูลมีความรวดเร็วมีการติดต่อสื่อสารอย่างมีประสิทภาพ ช่วยประหยัดต้นทุน โดยเฉพาะการทำธุรกิจแบ e-Commerce

สำหรับการประกอบธุรกิจทั่วๆไปหรือการดำเนินงานของหน่วยงานราชการก้จะมีการเชื่อมต่ออินเตอร์เน็ตเพื่อรับส่งอีเมล์ หรือมีเว็บไซต์เป็นของหน่วยงานตนเอง หรือประชาสัมพันธ์ข่าวสารต่างๆ ทั้งนี้จะพบว่าระบบเครือข่ายนั้นมีประโยชน์ สะดวก แต่ก็มีความเสี่ยงมาก เพราะเปรียบเสมือนการเปิดประตูรั้วเพื่อติดต่อกับโลกภายนอกและเป็นการเชื้อเชิญโจรหรือขโมยเข้ามาในบ้านของเรามากขึ้น

การเกิดอาชญากรรมทางคอมพิวเตอร์นั้นมีหลายรูปแบบ เช่นไวรัส หรือการโจมตีทางเครือข่ายเพื่อก่อกวนให้ระบบงานหยุดชะงักใช้การไม่ได้ เป็นต้น

การโจมตีในที่นี้ หมายถึงการขโมยข้อมูล เช่นเลขบัตรเครดิต รายชื่อลูกค้าทำให้ไม่สามารถให้บริการลูกค้าได้ สิ่งเหล่านี้เป็นการสร้างความเครียดให้กับผู้บรหารดด้านระบบสารสนเทศเป็นอย่างมาก แม้แต่การถูกเปลี่ยนหน้าเว็บไซต์ ที่ดูเหมือนว่าไม่เสียหายอะไร แต่ที่จริงแล้วทำให้สูญเสียชื่อเสียงหรือภาพพจน์ขององค์กร

ดังนั้นผู้บริหารด้าน IT ยุคนี้ยังต้องตระหนักถึงเรื่องการควบคุมรักษาความปลอดภัยของระบบสารสนเทศด้วย โดยต้องประเมินความเสี่ยวอีก 3 ประเด็น ดังนี้คือ

1.ความลับของข้อมูล (Confidentiality) โดยพิจารณาจากความเสียหายที่ข้อมูลได้ถูกเปิดเผย จึงต้องมีการควบคุมการเข้าถึงข้อมูลที่สำคัญ เช่นการใช้รหัสผ่าน เป็นต้น

2.ความถูกต้องและสมบูรณ์ (Integrity) ไม่ว่าจะเป็นการเก็บข้อมูลไว้ในสื่อข้อมูล ขณะประมวลผล หรือระหว่างส่งข้อมูลผ่านเครือข่าย ซึ่งพิจารณาจากความเสียหายที่เกิดขึ้นจากการที่ข้อมูลผิดพลาด

3.ความสามารถใช้งานและการให้บริการตามที่กำหนด (Avalibility) โดยพิจารณาจากความเสียหายที่ระบบไม่สามารถให้บริการได้ ดังนั้นจึงต้องมีการควบคุม ป้องกัน เช่นการสำรองข้อมูลที่สำรองไว้นอกสถานที่ เพื่อรองรับกรณีเกิดภัยพิบัติต่างๆ ที่ทำให้ระบบคอมพิวเตอร์ไม่สามารถให้บริการได้

หลังจากที่มีการประเมินความเสี่ยงของระบบแล้ว ยังต้องพิจารณาการหามมาตรการวิธีการต่างๆ ที่ควบคุมการปลอดภัยของระบบสารสนเทศขององค์กร การดำเนินการเพื่อให้ได้ระบบการควบคุมความปลอดภัยที่ดีอย่างมีประสิทธิภาพ และประสิทธิผลนั้นต้องมีการดำเนินการโดยมีผู้บริหารระดับสูงเห็นชอบและสนับสนุนด้วย ซึ่งต้องพิจารณาจากทั้ง 3 ส่วน ได้แก่

1.ด้านเทคโนโลยี ได้แก่ อุปกรณ์หรือระบบ Firewall,IDS, ระบบป้องกันไวรัส เป็นต้น

2.ด้านกระบวนการควบคุม ได้แก่ มีการกำหนดค่าระบบปฏิบัติให้มีการควบคุมที่ดีเป็นต้น

3.ด้านบุคลากร ที่มีความตระหนักและปฏิบัติตามระเบียบ ของนโยบายการควบคุมความปลอดภัยด้านสารสนเทศ

ดังนั้นจึงเห็นได้ว่าการควบคุมความปลอดภัยด้านไอทีไม่เรื่อที่งายนัก เพราะต้องมีการลงทุนโดยอาจจะมองผลตอบแทนเป็นตัวเงินชัดเจน จึงต้องมีการประเมินความเสี่ยงก่อน เพื่อให้มองประโยชน์ได้ชัดเจนยิ่งขึ้น แล้วจึงดำเนินการติดตั้งระบบรักษาความปลอดภัย อย่างไรก็ตามงานรักษาความปลอดภัยเทคโนโลยีสารสนเทศเป็นงานที่ต้องทำอย่างต่อเนื่อง ต้องมีการตรวจสอบอย่างต่อเนื่อง และปรับปรุงให้สอดคล้องกับสิ่งแวดล้อมที่เปลี่ยนแปลง

 
โดย : นางสาว พัชราภรณ์ อาดำ, มหาวิทยาลัยราชภัฏวไลอลงกรณ์ ในพระบรมราชูปถัมถ์, วันที่ 17 กุมภาพันธ์ 2548