เทคนิคการรักษาความปลอดภัยในการเชื่อมต่ออินเตอร์เน็ต

โครงการอบรมทางไกลผ่านระบบดาวเทียม

เรื่อง  เทคนิคการรักษาความปลอดภัยในการเชื่อมต่ออินเตอร์เน็ต

วันพฤหัสบดีที่ 12 พฤศจิกายน 2552  (เวลา 09.00 – 12.00 น.)  

สถานที่        ห้องมินิเธียเตอร์ ชั้น 1 อาคารวิทยบริการ สำนักวิทยบริการและเทคโนโลยีสารสนเทศ

วิทยากร       ดร. ปริญญา  หอมเอนก  ผู้ก่อตั้ง และผู้อำนวยการ  ศูนย์ฝึกอบรม ACIS Professional Center

จำนวนผู้เข้ารับการอบรม

                26  คน

สรุปเนื้อหาการบรรยาย   

การป้องกัน Application Security Threats 

• ติดตั้ง Web Application Firewall (WAF)
• ตรวจสอบช่องโหว่ของ Web Application Firewall (WAF)
• ตรวจสอบช่องโหว่ของ Web Application ด้วย Web Application Scanner หรือตรวจสอบ Source  Code ด้วย Source Code Analysis Tool
• ตรวจสอบเชิงลึกด้านวิธีการ Black-box Penetration Testing
• การฝึกอบรม Software Developer ให้เกิดความเข้าใจในการพัฒนาโปรแกรมให้มีความปลอดภัย

การป้องกัน Using Mobile and Wireless Systems

• ควรมีการเข้ารหัสเวลารับส่งข้อมูลระหว่าง Mobile Device และ Base Station หรือระหว่างเครื่องลูกข่าย Wireless LAN กับ Access Point
• ควรมีการตรวจสอบชื่อผู้ใช้  (Authentication) ก่อนการใช้งาน ร่วมกับการเข้ารหัสข้อมูล
• ควรทำการปิดช่องโหว่ด้วยการปิดช่องโหว่ (Hardening) ระบบก่อนใช้งาน
• ติดตั้ง Wireless IPS เพื่อป้องกันการบุกรุกแบบไร้สาย
• มีการกำหนดนโยบายและมาตรฐาน (Security Policy and Standard)  รวมทั้งสร้างความตระหนักในการใช้งาน Wireless อย่างปลอดภัย (Security Awareness Training Program)

กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law)

ฉบับแรก  พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 มีสาระสำคัญ คือ ใช้เอกสารอิเล็กทรอนิกส์แทนกระดาษ

ฉบับแก้ไข (ฉบับที่ 2) พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2๗ พ.ศ. 2551  มีผลบังคับใช้ 14 ก.พ. 2551 มีสาระสำคัญ คือ รับรองเอกสาร SCAN แทนกระดาษ และตั้งสำนักวงานคณะกรรมการธุรกรรมฯ

 แนวทางการประยุกต์ใช้มาตรฐานและแนวปฏิบัติทีเป็นเลิศ (IT Standards& Best Practices) รวมถึงแนวปฏิบัติตามกฏหมายที่เกี่ยวกับระบบสารสนเทศ (Thailand ICT Related Law)

Management Support  ผู้บริหารระดับสูงมีส่วนสำคัญอย่างยิ่งในความสำเร็จ ตามหลักการบริหารตามหลักการบริหารตามแนว “Governance, Risk Management and Compliance” (GRC) ผู้บริหารระดับสูงต้อง สนับสนุนและใส่ใจ กับโครงการดังกล่าวอย่างชัดเจน เพื่อกระตุ้นให้ผู้เกี่ยวข้องในองค์กรเกิดความตื่นตัวและตระหนัก

• กลุ่มผู้บริหาระดับสูง อบรมอย่างน้อยปีละ 1-2 ครั้ง ครั้งละประมาณ 2-3 ชั่วโมง
• กลุ่มผู้บริหารระดับกลาง อบรมอย่างน้อยปีละ 1-2 ครั้ง ครั้งละประมาณ 3-6 ชั่วโมง
• กลุ่มผู้บริหาระบบ อบรมอย่างน้อยปีละ 2 ครั้ง ครั้งละประมาณ 3-6 ชั่วโมง
• กลุ่มผู้ตรวจสอบ  อบรมอย่างน้อยปีละ 1-2 ครั้ง ครั้งละประมาณ 3-6 ชั่วโมง
• กลุ่มผู้ใช้งานคอมพิวเตอร์ทั่วไป อบรมอย่างน้อยปีละ 2 ครั้ง ครั้งละประมาณ 3-6 ชั่วโมง

มาตรฐานสากลเกี่ยวกับ  ICT Security

การบริหารจัดการความมั่นคงปลอดภัยอย่างเป็นกระบวนการ

• แนวคิดหลักของการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ คือ การออกแบบ การใช้ การติดตามและทบทวน การบำรุงรักษาและปรับปรุง กระบวนการซึ่งมีความสัมพันธ์และสอดคล้องกันกับระบบต่างๆ เพื่อให้มีการบริหารจัดการความมั่นคงปลอดภัยที่มีประสิทธิภาพ

ทรัพย์สิน – สารสนเทศ มีความสำคัญต่อการดำเนินธุรกิจ

                ความหมายของคำว่า ทรัพย์สิน (asset) ในบริบทของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) นั้นไม่ได้หมายถึงสินทรัพย์ในทางบัญชี แต่มีคจำกัดความ หมายถึง สิ่งใดๆ ที่มีค่าต่อองค์กร

• ข้อมูล หรือ สารสนเทศ  (Information) เป็นทรัพย์สินสำคัญ และเป็นปัจจัยขั้นพื้นฐานในการดำเนินธุรกิจขององค์กร ซึ่งจำเป็นต้องได้รับการปกป้องอย่างเหมาะสม

Information Security  TRIAD : Core Concepts

• Confidentiality : การรักษาความลับของข้อมูล ข้อมูลจะต้องไม่ถูกเปิดเผยโดยผู้ที่ไม่มีสิทธิ์หรือผู้ที่ได้รับอนุญาต
• Integrity : การรักษาความครบถ้วนของข้อมูล ข้อมูลจะต้องคงความครบถ้วน ไม่ถูกแก้ไขเปลี่ยนแปลง
• Availability : ความพร้อมใช้ของข้อมูล สำหรับผู้ที่มีสิทธิ์และผู้ได้รับอนุญาตที่จะสามารถเข้าถึงข้อมูลได้เมื่อต้องการ

 ปัจจัย 9 แห่งความสำเร็จ

1. Internal Approach  โครงการด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศจะสำเร็จได้ ต้องมาจากความร่วมมือของบุคลากรภายในองค์กร ตั้งแต่ผู้บริหารระดับสูงไปถึงพนักงานทุกคนที่เกี่ยวข้อง ไม่เฉพาะฝ่ายความมั่นคงปลอดภัยและฝ่ายที่ปรึกษา ผู้ปฏิบัติต้องมีความเชื่อ (Belief) จึงจะสามารถนำไปสู่ ทัศนคติ (Attitudes) ในเชิงบวก และจะส่งผลให้ พฤติกรรม (Behavior) ในที่สุด
2. Management Support  ผู้บริหารระดับสูงมีส่วนสำคัญอย่างยิ่งในความสำเร็จของโครงการ ISMS implementation ในองค์กร ตามหลักการบริหารตามแนว Governance, Risk Management and Compliance (GRC) ผู้บริหารระดับสูงต้องสนับสนุนและใส่ใจกับโครงการดังกล่าวอย่างชัดเจน เพื่อกระตุ้นให้ผู้เกี่ยวข้อง
3. Scoping  การกำหนดขอบเขตในการ Implement ISMS ถือเป็นหัวใจในการนำ ISMS มาใช้ในองค์กร การกำหนด Scoping ที่ใหญ่เกินไปจะทำให้โครงการมีความเสี่ยงที่อาจไม่เป็นไปตามระยะเวลาที่กำหนด ควรทำ Scoping ก่อนแล้วค่อยขยายเพิ่มขึ้นภายหลัง
4. Planning  การวางแผนควบคุมโครงการให้เป็นไปตามที่ได้วางแผนไว้ล่วงหน้า  โดยการวางแผนควรสอดคล้องกับความเป็นจริงในองค์กร
5. Communication  ผู้เกี่ยวข้องควรได้รับการฝึกอบรมให้เกิดความเข้าใจในเรื่อง ISMS ก่อนเริ่มโครงการ  Implement  ISMS ก่อนเริ่มโครงการ ควรมีการติดต่อ Update กันอย่างสม่ำเสมอ หากติดต่อสื่อสารไม่ดี จะทำให้เกิดความไม่เข้าใจซึ่งกันและกันระหว่างผู้ที่เกี่ยวข้องจะก่อให้เกิดปัญหาในโครงการได้ในที่สุด
6. Risk Assessmentองค์กรจำเป็นต้องมี Risk Assessment Methodology ก่อนที่จะทำการประเมินความเสี่ยง เพื่อให้เกิดความชัดเจนในประเมิน
7. Documentation  การบริหารจัดการเอกสารต่าง ๆ เป็นเรื่องที่สำคัญในการ Implement ISMS องค์กรจะต้องมีการบริหารจัดการเอกสารเพื่อใช้ในจัดการกับเอกสารต่างๆ ให้อยู่ในรูปแบบที่เป็นระเบียบและสืบค้นเข้าถึงได้ง่าย
8. Consultant  ที่ปรึกษามีส่วนสำคัญในความสำเร็จของโครงการ เช่นกันกับปัจจัยอื่น ๆ ที่ปรึกษาที่มีความรู้และประสบการณ์ในการ Implement ISMS มีส่วนช่วยองค์กรลดเวลาในการปฏิบัติ โดยไม่ต้องลองผิดลองถูก ลดเวลาในการตระเตรียมเอกสาน
9. Staff  Involvement  : Business Owner, Custodian, and End User Involvement  เจ้าของระบบและผู้ดูแลระบบ ตลอดจนผู้ใช้งานระบบก็มีส่วนประกอบในความสำเร็จเช่นกัน

 Information Security Awareness 10 อันดับ Cyber Security Threats ในปี 2009 โดย ACIS

• ภัยจาก WEB 2.0 และ Social Engineering (Client Side Attack)
• ภัยจากการทำธุรกรรมออนไลน์ และการใช้ E-Commerce
• ภัยจากระบบ BOTNET (Robot Network)
• ภัยจากพนักงานภายในบริษัท หรือลูกจ้างชั่วคราวเจาะระบบของบริษัทเอง
• ภัยจากการไม่เข้าใจแนวคิด GRC ของผู้บริหารระดับสูงขององค์กร
• ภัยจากโปรแกรมมุ่งร้าย หรือโปรแกรมมัลแวร์ (Malware Threat)
• ภัยจากช่องโหว่ในโปรแกรมประยุกต์ที่ถูกพัฒนาขึ้นอย่างไม่ปลอดภัย
• ภัยจากการใช้งานระบบไร้สาย (Mobile and Wireless System)
• ภัยจากปัจจัยภายนอก (Threat from the BlackHat/Cyber System)
• ภัยจากปัจจัยภายนอก (Threat from the BlackHat/CyberTerrorist)
• ภัยจากการใช้ “Virtualization” และแนวคิด “Cloud Computing”

        สรุปได้ว่าปัจจัยสำคัญในการจัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศให้ประสบผลสำเร็จจำเป็นต้องอาศัยความเข้าใจใน 9 ปัจจัยดังที่กล่าวมาแล้ว ตลอดจนความร่วมมือร่วมใจของทีมงานผู้เกี่ยวข้อง การสนับสนุนจากผู้บริหารระดับสูงทั้งด้านทรัพยากร งบประมาณ และเวลา รวมทั้งระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISMS ที่จัดทำขึ้นควรจะต้องตอบโจทย์วัตถุประสงค์ขององค์กร ตามหลัก Information Security Governance (ISG) เพื่อนำทางสู่ IT governance และ Corporate Governance ต่อไปในที่สุด

      ผลที่ได้รับ 

1. ได้รับความรู้และสามารถนำไปประยุกต์ใช้ให้เกิดประโยชน์
2. เรื่องความปลอดภัยของคอมพิวเตอร์นำไปปรับแผนการดูแลคอมพิวเตอร์ในองค์กร
3. ได้รับความรู้เกี่ยวกับเทคนิคการรักษาความปลอดภัยในการเชื่อมต่ออินทอร์เน็ต