ความเสีย่ งและการบริหารความเสีย่ งด้าน เทคโนโลยีสารสนเทศ Ployphan Sornsuwit [email protected] http://ployphan17.wordpress.com 089-5595638 จำนวน รหัสประจำตัว ชื่อ นายวิโรจน์ แจ่มใส Midterm/ 30 13.5 นางสาวนิภาภรณ์ นิราศ 15.5 4 นายอัคริ นทร์ อภินนั ท์ธนศิริ นายศรายุ ดารงศักดิ์ 16 6 นางสาวนิธิกานต์ พุทธละ 12.5 512420212 นำยธีระ นายรัชชานนท์ วิชำพร วิยานันท์ 9111315 นางมณี รัตน์ ไพบูลย์ธญ ั ญาพร 512420217512420220512420226 นายไชยวัฒน์ นางสาวอัญชลี นายไพโรจน์ นางสาวนิตยา นางสาวเกศินี นายจักรพงศ์ นางชมัยพร อุดมเกตุ ร้อยสุริยะ พนมศักดิ์ ศรี เดช ภูขาว สอนนิล นาคอร่ าม 23.51613.5 22.5 17.5
Download ReportTranscript ความเสีย่ งและการบริหารความเสีย่ งด้าน เทคโนโลยีสารสนเทศ Ployphan Sornsuwit [email protected] http://ployphan17.wordpress.com 089-5595638 จำนวน รหัสประจำตัว ชื่อ นายวิโรจน์ แจ่มใส Midterm/ 30 13.5 นางสาวนิภาภรณ์ นิราศ 15.5 4 นายอัคริ นทร์ อภินนั ท์ธนศิริ นายศรายุ ดารงศักดิ์ 16 6 นางสาวนิธิกานต์ พุทธละ 12.5 512420212 นำยธีระ นายรัชชานนท์ วิชำพร วิยานันท์ 9111315 นางมณี รัตน์ ไพบูลย์ธญ ั ญาพร 512420217512420220512420226 นายไชยวัฒน์ นางสาวอัญชลี นายไพโรจน์ นางสาวนิตยา นางสาวเกศินี นายจักรพงศ์ นางชมัยพร อุดมเกตุ ร้อยสุริยะ พนมศักดิ์ ศรี เดช ภูขาว สอนนิล นาคอร่ าม 23.51613.5 22.5 17.5
่ ความเสียงและการบริ หารความ ่ เสียงด้ าน เทคโนโลยีสารสนเทศ Ployphan Sornsuwit [email protected] http://ployphan17.wordpress.com 089-5595638 จานวน 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 ่ ชือ รห ัสประจาต ัว Midterm/ 30 512420202 นายวิโรจน์ แจ่มใส 512420204 นางสาวนิ ภาภรณ์ นิ ราศ 512420205 นายอัครินทร ์ อภินันท ์ธนศิร ิ 512420207 นายศรายุ ดารงศักดิ ์ 512420208 นางสาวนิ ธก ิ านต ์ พุทธละ 512420211 นายธีระ วิชาพร 512420212 นายรัชชานนท ์ วิยานันท ์ 512420213 นางมณี รตั น์ ไพบูลย ์ธัญญาพร 512420216 นายไชยวัฒน์ อุดมเกตุ 512420217 นางสาวอัญชลี ร ้อยสุรยิ ะ 512420219 นายไพโรจน์ พนมศักดิ ์ 512420220 นางสาวนิ ตยา ศรีเดช 512420225 นางสาวเกศินี ภูขาว 512420226 นายจักรพงศ ์ สอนนิ ล 512420228 นางชมัยพร นาคอร่าม 13.5 15.5 21 16 12.5 26 15 23.5 19 16 17 13.5 22.5 17.5 ้อมทางธุรกิจทาให ้เกิดแรงผลักดันให ้ สาเหตุสภาพแวดล ทต้ ี่ องวางแผนเทคโนโลยี เกิดความเปลีย ่ นแปลงในการดาเนินธุรกิจอยูเ่ สมอ สารสนเทศ ความสามารถในการตอบสนองต่อแรงกดดันเหล่านีท ้ า ให ้ธุรกิจสามารถอยูร่ อดได ้ นอกจากนีห ้ ากมีการเตรียม ตัววางแผนเพือ ่ ตอบรับกับสภาพแวดล ้อมเป็ นอย่างดี จะ สามารถแสวงหาโอกาสทางธุรกิจได ้อีกด ้วย แรงกดดันทางธุรกิจอาจเกิดจาก 1. ความต ้องการข ้อมูลทีท ่ ันสมัย 2. การค ้าแบบรอบโลกและการแข่งขันที่ รุนแรงขึน ้ 3. ความสามารถในการต่อรองของลูกค ้า สูงขึน ้ 4. ความเจริญก ้าวหน ้าทางด ้านเทคโนโลยี ใหม่ ๆ ทีเ่ กิดขึน ้ อย่างรวดเร็ว 3 เกีย ่ วกับโครงสร ้างเทคโนโลยีสารสนเทศ ขององค์กร ซงึ่ ้ อมีไว ้เป็ นหลักฐานเพือ จะตการวางแผน ้องใชหรื ่ รองรับโปรแกรมการใช ้ ้ ้สามารถตอบสนองต่อความ งานที จ ่ ะถูกเลือกสรรมาใชให เทคโนโลยี ต ้องการสารสนเทศขององค์กร สารสนเทศ กระบวนการในการวางแผนมีได ้หลายระดับดังนี้ 1. การวางแผนเทคโนโลยีสารสนเทศใน ระดับกลยุทธ ์ เป็ นการกาหนดทิศทางการลงทุนทางด ้าน โครงสร ้างเทคโนโลยีสารสนเทศ ระบุทรัพยากรการที่ จะต ้องใชส้ าหรับกิจกรรมทางด ้านเทคโนโลยีสารสนเทศ ล่วงหน ้า 5-10 ปี 2. การวางแผนเทคโนโลยีสารสนเทศใน ้ ระดับกลาง เป็ นการกาหนดโปรแกรมการใชงาน ทีจ ่ ะ ้ สามารถตอบสอนงความต ้องการใชสารสนเทศขององค์ กร ระบบโครงการทีผ ่ า่ นการอนุมัตต ิ ามแนวทางของแผนกล ยุทธ์หลักเป็ นการวางแผนในระยะ 3-5 ปี 4 3. การวางแผนเทคโนโลยีสารสนเทศใน ่ คือสงิ่ ทีไ่ ม่พงึ ประสงค์ให ้เกิดขึน ความเสียง ้ ระบบ สารสนเทศขององค์ กรจะต ้องสามารถทางานได ้อย่าง ่ ความเสี ับระบบสารสนเทศ ต่อเนือ ่ ง ถูยงก กต ้องตลอดเวลา ทาอย่างไรกับระบบงานจะ ้ ้ตลอด 24 สามารถนาเสนอข ้อมูลแก่ผู ้ต ้องการใชได ชวั่ โมง 7 วันของการทางาน ทาอย่างไรองค์กรจะสามารถ ลดหรือกาจัดชว่ งเวลาทีเ่ รียกว่าชว่ งเวลาเครือ ่ งไม่ สามารถทางานได ้ ให ้น ้อยทีส ่ ด ุ หรือไม่มเี ลย ี่ งทีเ่ กิดจากความไม่พร ้อมในการใชงานของ ้ 1. ความเสย เทคโนโลยีสารสนเทศ ี่ งทีเ่ กิดจากความไม่สามารถเข ้าถึงข ้อมูล 2. ความเสย และเข ้าถึงระบบงานของบุคคลต่างๆ (Access) ี่ งทีเ่ กิดจากความไม่ถก 3. ความเสย ู ต ้องไม่ทันสมัยของ ข ้อมูลในการทีจ ่ ะตอบรับกับความต ้องการของผู ้ใช ้ ข ้อมูลนัน ้ ไม่วา่ จะเป็ นผู ้บริหาร พนักงาน ลูกค ้า คูค ่ ้า หรือบุคคลอืน ่ ๆ ี่ งทีเ่ กิดจากความไม่คล่องตัวทีจ 4. ความเสย ่ ะสามารถ 5 ่ กพบในความเสียงของเทคโนโลยี ่ ตัวอย่างปั ญหาทีมั สารสนเทศ ดาวไทม ์ คือช่วงเวลาทีระบบสารสนเทศหรือข ้อมูลไม่สามารถ ดึงออกมาใช ้งานในการดาเนิ นธุรกิจได ้ ดาวน์ไทม ์ทาให ้เกิด ความเสียหายอย่างมหาศาลแก่องค ์กร ผลจากการวิจยั พบว่า กิจการในสหร ัฐอเมริกาสูญเสียเงินถึง 400 ล ้านเหรียญสหร ัฐ ต่อปี สืบนื่ องจากดาวน์ไทม ์ ่ อาจท ่ ้ ความเสียงที าให ้เกิดดาวน์ไทม ์นี อาจแบ่ งออกเป็ น ่ อาจเกิ ่ 1. ความเสียงที ดต่ออุปกรณ์คอมพิวเตอร ์ ่ อาจเกิ ่ 2. ความเสียงที ดต่อข ้อมูลและโปรแกรม การใช ้งาน ่ อาจเกิ ่ 3. ความเสียงที ดต่อการดาเนิ นงานแบบ ออนไลน์ กระบวนการ ในการบริ ก ารจัดการความ 1. กาหนดนโยบายหลัก ่ 1.1 กาหนดนโยบายเกีย่ วกับความเสยี่ งด ้านเทคโนโลยี เสียง ั เจน สารสนเทศทีช ่ ด ี่ งด ้าน 1.2 จัดตัง้ คณะกรรมการเพือ ่ กากับดูแลเกีย ่ วกับความเสย เทคโนโลยีสารสนเทศ ่ 2. ระบุความเสียง ่ 3. วิเคราะห ์และจด ั อ ันด ับความสาคญ ั ของความเสียง 3.1 โอกาสทีอ ่ าจเกิดเหตุการณ์และผลกระทบหรือความ ี หายทีอ เสย ่ าจเกิดตามมา ี่ งนัน 3.2 พิจารณาแนวทางในการจัดการกับความเสย ้ หลีกเลีย ่ ง ิ หน ้า หรือลดความรุนแรง เผชญ ่ ด ่ 4.หาแนวทางทีจะจ ั การก ับความเสียง 4.1 จัดสรรงบประมาณและกากับดูแลให ้แนวทางทีถ ่ ก ู เลือก ิ ธิภาพ แล ้วสามารถดาเนินงานได ้อย่างมีประสท 4.2 พัฒนาระบบฐานข ้อมูลเพือ ่ จะได ้สามารถติดตามผลการ ดาเนินงาน มีการเปรียบเทียบและตรวจสอบผลการดาเนินงาน 7 ่ หน้าทีบริ ่ หารจัดการ คณะกรรมการทีมี ่ ความเสียง ่ หน้าทีบริ ่ หารจด ่ คณะกรรมการทีมี ั การความเสียงด้ าน เทคโนโลยีสารสนเทศแบ่งได้ 2 กลุ่มคือ 1. คณะกรรมการบริหาร เป็ นผู ้กาหนดนโยบายควบคุมและ ดูแล 2. คณะกรรมการดาเนินงาน เป็ นผู ้ดาเนินงานจัดการ ี่ ง บริหารความเสย ่ ่ บทบาทและหน้าทีของคณะกรรมการบริ หารจด ั การความเสียง ด้านเทคโนโลยีสารสนเทศ 1. กาหนดนโยบายด ้านเทคโนโลยีสารสนเทศ 2. กาหนดทิศทางและกลยุทธ์ด ้านเทคโนโลยีสารสนเทศ 3. แสดงความเห็นต่อกระบวนการและแนวทางในการ ดาเนินงาน 4. สรุปและจัดทางบประมาณด ้านเทคโนโลยีสารสนเทศ ี่ งด ้าน 5. กาหนดขัน ้ ตอนการบริหารจัดการความเสย เทคโนโลยีสารสนเทศทีอ ่ าจเกิดขึน ้ 6. กากับดูแลให ้ทรัพยากรด ้าน เทคโนโลยีสารสนเทศ ิ ธิภาพและประสท ิ ธิผลสูงสุดแก่องค์กรอย่าง ก่อให ้เกิดประสท 8 ววััตถุ ป ระสงค ์ของการร ักษาความ ตถุประสงค์ของการรักษาความปลอดภัยให ้แก่ ปลอดภั ย ได ้แก่ สารสนเทศ ี่ งอันจะก่อให ้เกิดความ 1. ชว่ ยลดความเสย ี หายแก่ระบบสารสนเทศขององค์กร เสย 2. รักษาสารสนเทศให ้เป็ นความลับ ื่ ถือของ 3. รับรองความสมา่ เสมอและความน่าเชอ ข ้อมูล 4. รับรองว่าระบบสามารถทางานและให ้ข ้อมูลแก่ ้ างต่อเนือ ผู ้ใชอย่ ่ ง 5. รับรองว่าการจัดเก็บสารสนเทศขององค์กร เป็ นไปตามนโยบายและกฏหมายด ้านความปลอดภัย และความลับสว่ นบุคคล 9 ี่ งต่ออุปกรณ์คอมพิวเตอร์รวมถึงความเสย ี หาย ความเส่ ย ออุวป กรณ์ ทีเ่ ความเสี กิดจากเครือ ่ ยงต่ งคอมพิ เตอร์ อุปกรณ์ข ้างเคียง และอุปกรณ์ ื่ คอมพิ ี่ งต่ออุปกรณ์เหล่านี้ ได ้แก่ ภัย สอ สาร สาเหตุ ของความเส ย วเตอร ์ ธรรมชาติ ไฟฟ้ าดับ หรือแรงสง่ กระแสไฟฟ้ าลดลง และความ ี หายทีเ่ กิดจากการกระทาของคนต่ออุปกรณ์คอมพิวเตอร์ เสย ่ แผ่นดินไหว พายุเฮอร์รเิ คน พายุทอร์ ภัยธรรมชาติ เชน นาโด ฟ้ าผ่า น้ าท่วม เป็ นต ้น กระแสไฟฟ้ าขัดข ้อง ได ้แก่ - Blackout คือ การทีก ่ ระแสไฟฟ้ าถูกตัดขาด ิ้ เชงิ โดยสน - Brownout คือ การทีก ่ ระแสไฟฟ้ าถูกลดความ ั้ ๆ แรงลงหรือถูกรบกวนในเวลาสน วิธก ี ารแก ้ปั ญหาไฟฟ้ าได ้แก่การเป็ น ผู ้ผลิตไฟฟ้ าขึน ้ เอง (Generator) ี หายทีเ่ กิดขึน บางครัง้ ความเสย ้ อาจเกิดจากการกระทา 10 ข ้อมู่ลเป็ นสงิ่ มีคา่ อย่างยิง่ แก่องค์กร ข ้อมูลทีถ ่ ก ู เก็บ ความเสี ยงต่ อ ข้ อ มู ล และโปรแกรมการ ใช้ รวบรวมไว ้เป็ นเวลานานเมือ ่ สูญหายไปจะไม่สามารถกู ้คืนได ้ งาน ี่ นไป หรือถึงแม ้จะรวบรวมเก็บมาใหม่ ค่าใชจ่้ ายทีจ ่ ะต ้องเปสย ี หายของข ้อมูลทีเ่ กิดขึน มักมากมายเกินทีจ ่ ะรับได ้ ความเสย ้ อาจเกิดจากข ้อมูลสูญหาย หรือข ้อมูลถูกโจรกรรม โดยเฉพาะ ข ้อมูลทีเ่ ป็ นความลับหรือข ้อมูลสว่ นตัว Identity theft คือการปลอมแปลงเป็ นบุคคลใดบุคคล หนึง่ ด ้วยเจตนาเพือ ่ จะหลอกลวง บางครัง้ อาจทาได ้โดยการ สร ้างโปรแกรมแฝงเข ้ามาในเครือ ่ งคอมพิวเตอร์ของเหยือ ่ แล ้วทาการ Keystroke logging คือ การตัง้ โปรแกรมให ้ บันทึกการกดแป้ นพิมพ์ทก ุ ครัง้ เพือ ่ ทาการโจรกรรม ID และ Password ของเหยือ ่ หรือบางครัง้ ผู ้โจรกรรมอาจใชวิ้ ธ ี Phishing เป็ นวิธก ี ารทีผ ่ ู ้บุกรุกใชวิ้ ธใี นการขโมยสงิ่ ในการ แสดงตัวตนของเจ ้าของเครือ ่ งคอมพิวเตอร์โดยการหลอกถาม ่ การหลอกถามข ้อมูลสว่ นตัว ทาง E-mail หรือหลอกล่อ เชน 11 ่ ความเสี ยงต่ อ ข้ อ มู ล และโปรแกรมการ ใช้ ่ บางครัง้ ผู ้บุกรุกอาจทาการ ปรับแต่งข ้อมูล ทาลายข ้อมูล เชน งาน การแก ้ไขข ้อมูลการเป็ นหนี้ การแก ้ไขข ้อมูลเงินฝากในธนาคาร หรือการ ลบข ้อมูลไฟล์รายงานในคอมพิวเตอร์ ซงึ่ บางครัง้ การแก ้ไขดังกล่าวอาจ ทาด ้วยความตัง้ ใจ หรือไม่ตงั ้ ใจ เราจึงควรมีการป้ องกันการกระทา ่ การสร ้างไฟล์สารองเพือ ดังกล่าว เชน ่ ป้ องกันข ้อมูลหาย หรือเมือ ่ เข ้อมูล หายสามารถนากลับมาใหม่ได ้ในทันที Street Graffiti คือการทีบ ่ ค ุ คลนาข ้อความหรือรูปภาพทีห ่ ยาบ คายไม่สภ ุ าพ หรือไม่สมควรมาเขียนตามถนนหนทาง แต่ถ ้าสาหรับ ่ เดียวกัน ข ้อมูลบนเว็บ เราก็เรียกอย่างนีเ้ ชน ่ ฟ้ มข ้อมูลเมือ Honey token คือการใสร่ ะเบียนปลอม ลงสูแ ่ มีผู ้ บุกรุกพยายามกอปปี้ ฐานข ้อมูลหรือสว่ นหนึง่ สว่ นใดของฐานข ้อมูลทีม ่ ี ระเบียนปลอมนัน ้ อยูร่ ะบบจะเตือนเจ ้าของให ้หาผู ้บุกรุก Honey pot คือการทีเ่ ครือ ่ งคอมพิวเตอร์แม่ขา่ ย สร ้างกอปปี้ ของ ้ นตัวล่อให ้ผู ้บุกรุกเข ้าใจผิดมาขโมย ฐานข ้อมูลไว ้อีกชุดหนึง่ เพือ ่ ใชเป็ เข ้าใจว่าฐานข ้อมูลนัน ้ เป็ นฐานข ้อมูลฉบับจริง และจะมีการแจ ้งเตือนการ ขโมยต่อผู ้ทีเ่ กีย ่ วข ้องให ้รับรู ้ 12 ไวร ัสคอมพิวเตอร ์ เวิร ์ม และลอจิก ่ ่ในตัวมนุ ษย ์ ไวร ัสคอมพิวเตอร ์ทางานในลักษณะเดียวกับไวร ัสทีอยู บอมบ ์ ดต่อจากคอมพิวเตอร ์เครืองหนึ ่ ่ งไปยังอีกเครืองหนึ ่ ่ งได ้อย่าง ไวร ัสสามารถติ ่ ้ร ับไวร ัสความเสียหายอาจเกิดขึนต่ ้ อแฟ้ มข ้อมูลและโปรแกรม ง่ายดาย เมือได การใช ้งานต่าง ๆ ่ ร ์มสามารถ เวิร ์ม คือไวร ัสคอมพิวเตอร ์ชนิ ดหนึ่ ง แต่แตกต่างตรงทีเวิ แพร่ขยายในเครือข่ายคอมพิวเตอร ์ได ้อย่างรวดเร็วโดยไม่ต ้องมีการกระทาของ ่ บุคคลเข ้ามาเกียวข ้อง เวิร ์มสามารถติดต่อได ้แม้ไม่เปิ ดไฟล ์ หรือร ับอีเมล ่ กพัฒนาขึนมาเพื ้ ่ งตัวเข ้ามาสูร่ ะบบ ม้าโทรจัน เป็ นโปรแกรมทีถู อฝั ่ าลายล ้างหรือทาความเสียหาย สารสนเทศขององค ์กรโดยผูใ้ ช ้ไม่รู ้ตัว เพือท ให ้แก่ระบบและข ้อมูล ่ กพัฒนาขึนเพื ้ อสร ่ ลอจิกบอมบ ์ เป็ นโปรแกรมทีถู ้างความเสียหายให ้แก่ ่ งเวลาทีก ่ าหนด ระบบงานเมือถึ Computer hijacking หมายถึงการแอบใช ้ส่วนใดส่วนหนึ่ งหรือ ้ ่ ่ อมต่ ่ บางส่วนของทร ัพยากรทังหมดของเครื องคอมพิ วเตอร ์ทีเชื ออยู่กบั ่ ้โดยบุคคลทัวไป ่ เครือข่ายคอมพิวเตอร ์ทีใช 13