Transcript Document 7196188

Chapter 16
Establishing and Managing IT
Security
Information Technology For Management 6th Edition
Turban, Leidner, McLean, Wetherbe
Lecture Slides by L. Beaubien, Providence College
John Wiley & Sons, Inc.
1
Learning Objectives
•
•
•
•
•
•
•
•
•
ตระหนักถึงความยุง่ ยากในการบริ หารจัดการ information resources.
ทาความเข้าใจถึงบทบาทของ IS department และความสัมพันธ์กบั end users.
ถกแถลงเกี่ยวกับบทบาทของ chief information officer (CIO)
ตระหนักถึงความอ่อนแอของระบบสารสนเทศ, วิธการโจมตี, และความเป็ นไปได้ของความ
เสี ยหายอันเนื่องมาจากความบกพร่ องต่าง ๆ (malfunction)
อธิบายถึงวิธีการหลัก ๆ ของการปกป้อง information systems.
อธิบายถึงเรื่ องความปลอดภัยด้าน Web และ electronic commerce.
อธิบายถึงการดาเนินธุรกิจอย่างต่อเนื่องและ disaster recovery planning.
ทาความเข้าใจเกี่ยวกับ economics of security และ risk management.
อธิบายถึงบทบาทของ IT ในเชิงสนับสนุนการต่อต้านการก่อการร้าย
2
Cybercrime in the new millennium
• Jan 1,2000 โลกตื่นตระหนกกับปั ญหาเรื่ อง Y2K แต่ผลกับเป็ นว่ามีความเสี ยหายน้อยมาก
แต่ Feb 6, 2000 e-commerce site ใหญ่ ๆ เช่น เกิดปั ญหาการทางานล้มเหลวกันติด ๆ กัน
เป็ นโดมิโน เริ่ มจาก Yahoo แล้วต่อด้วย Amazon, E*trade อื่น ๆ ในที่สุดก็ทราบว่าเป็ นการ
โจมตีแบบ Denial of Service
• การโจมตีเรี ยกว่า “Denial of Service (DoS)” คือ การที่เครื่ องของเราถูกโจมตีโดยวิธีการ
ต่าง ๆ ทาให้เครื่ องไม่สามารถทางานได้ตามปกติ ซึ่ งอาจจะเป็ นการทางานช้าลง หรื อไม่
สามารถให้บริ การแก่ผทู ้ ี่ตอ้ งการใช้งานจริ ง ๆ ได้ โดยที่การโจมตีน้ นั มีเป้าหมายได้หลายที่
ไม่วา่ จะเป็ น Web Server, Mail Server หรื อ Domain Name Server ซึ่ งก็ให้ผลต่างกัน
• สาเหตุ:
• เกิดจากการที่มีคาร้องขอจานวนมาก มายังเครื่ องของเรา ทาให้เครื่ องไม่สามารถรองรับการ
ทางานได้ท้ งั หมด การส่ งคาร้องขอจานวนมากนั้น ส่ วนใหญ่แล้วจะมาจากเครื่ องหลาย
เครื่ อง ที่ถูกเจาะเข้าไป แล้ววางโปรแกรมที่จะทาการส่ งข้อมูลไปยังเครื่ องใดเครื่ องหนึ่งไว้
ทาให้เมื่อถึงกาหนดเวลาหนึ่ งก็จะส่ งคาร้องข้อเข้ามาพร้อม ๆ กัน ทาให้ป้องกันได้ยาก
3
• อันตราย:
• การที่มีคาร้องขอจานวนมาเข้ามาพร้อม ๆ กันนั้น มีอนั ตรายคือ เครื่ องนั้นจะไม่สามารถ
ให้บริ การกับผูท้ ี่ตอ้ งการใช้งานจริ ง ๆ ถ้า Web Server ถูกโจมตี ก็จะทาให้ไม่สามารถ
เปิ ด Web page ได้ ถ้า Mail Server ถูกโจมตี ก็จะไม่สามารถรับ mail อื่นได้ กรณี ของ
Domain Name Server นั้นจะทาให้การแปลง url เป็ น ip ไม่สามารถทาได้ นอกจากนี้
การที่มีคาร้องขอเข้ามามาก ๆ จาให้เกิดการใช้ bandwidth ในปริ มาณสู ง จะทาให้ขอ้ มูล
ที่ดีไม่สามารถเข้ามาได้อีกด้วย
4
16.1 Securing the Enterprise
• CSI/FBI ได้สารวจถึงความสู ญเสี ยในปี 2004 และ 2005 ผลเป็ นดังตารางที่ 16.1
• อ่านเพิม่ เติมใน IT at Work 16.1 “VA Policy Violation and Home Burglary Cause
Security Breach Estimated to Cost $100 Million”, page 626
5
• Global Reach Increase IS Vulnerability:
• Time-To-Exploit is Shrinking
การโจมตีที่ดีจะพยายามลดเวลาที่จะใช้ในการเข้าโจมตี เพราะช่วงเวลาตั้งแต่มีการ
ค้นพบช่องโหว่พร้อมกับการเข้าใช้ช่องโหว่(exploit) จนถึงการที่ผดู ้ ูแลระบบนา patch
มาติดตั้งเพื่อป้องกันระบบนั้นมีช่วงเวลาที่ส้ ันลง และเนื่องจากการที่มีเครื่ องมือสาหรับ
โจมตีเป็ นจานวนมากทาให้การพัฒนาเครื่ องมือเพื่อเข้าใช้งานช่องโหว่ใหม่ๆ ได้ตลอด
นอกจากนี้ยงั มีกลุ่มคนซึ่ งมักจะซุ่มสร้างเครื่ องมือสาหรับโจมตีใหม่ๆ ออกมาเรื่ อยๆ
เพื่อสร้างคุณค่าให้กบั กลุ่มของตัวเอง เครื่ องมือที่ถูกเผยแพร่ สู่สาธารณะมักจะใช้
ประโยชน์ไม่ค่อยได้เนื่องจากเก่าเกินไป แต่ผพู ้ ฒั นาก็พยายามที่จะออกแบบเครื่ องมือ
เพื่อเพิ่มอายุการใช้งานให้มากขึ้น
• อ่านเพิ่มเติมใน A Closer Look 16.1 “IT Governance”
6
• National And International Regulations Demand Tougher IT Security:
• Industry Self-Regulations: กลุ่มอุตสาหกรรมออกกฏเพื่อใช้ร่วมกันเพื่อปกป้องลูกค้า
ของเขา ภาพพจน์ของยีห่ อ้ ของเขาและผลประโยชน์ต่าง ๆ เช่น Payment Card Industry
(PCI) Data Security Standard ซึ่ งสร้างขึ้นโดยกลุ่มผูเ้ ป็ นเจ้าของบัตรอิเลดทรอนิคส์
เช่น Visa, MasterCard, American Express เป็ นต้น
• Small Business Regulations: บริ ษทั เล็ก ๆ ยังไม่มีภูมิคุม้ กันเพียงพอ ดังนั้นบริ ษทั ใหญ่
ๆ จึงได้รวมกลุ่มขึ้นมาเพื่อให้ความช่วยเหลือเกี่ยวกับ data security procedure เพื่อ
ป้องกัน consumer data
• Cyber-Blackmail: อันตรายรู ปแบบใหม่โดย Hacker จะแอบเข้ามาเข้ารหัสข้อมูล
(Trojan encrypt) ของผูใ้ ช้แล้วเรี ยกร้องเงินในการที่จะถอดรหัสข้อมูลข้างต้น
7
• Information Systems Breakdown:
• Directed and Refined Threats Call For New IT Security Strategies:
• พบว่า 9 จาก 10 กรณี ท่ีเกิดขึ้นมาจาก
• ความผิดพลาดของมนุษย์ (Human error)
• ระบบทางานผิดพลาด (System malfunctioning)
• ไม่เข้าใจถึงผลกระทบในการเพิ่มซอฟต์แวร์ ใหม่เข้าไปในระบบที่ใช้อยูเ่ ดิม
• อ่านเพิ่มเติมใน A Close Look 16.2 “Money Laundering, Organizing Crime and
Terrorist Financing”
8
IT Security and Internal Control Model:
• 1 ผูบ้ ริ หารระดับสู งต้องมีความมุ่งมัน่ และให้การสนับสนุน
• 2 จัดให้มีนโยบายทางด้านความปลอดภัยและการอบรม
• เรื่ องที่วิกฤติตอ้ งถือเป็ น AUP (acceptable use policy) เพื่อแจ้งให้ผใู ้ ช้
ดาเนินการ จุดมุ่งหมายเพื่อ
• 1 ช่วยป้องการการใช้ขอ้ มูลและทรัพยากรที่เกี่ยวข้องกับคอมพิวเตอร์ ไปในทางที่ผิด
• 2 ลดความเสี่ ยงที่อนั เกิดจากความสู ญเสี ยที่เกี่ยวข้องกับการทาผิดกฏหมาย
• อ่านเพิ่มเติมใน IT at Work 16.2 “ Employee-Caused Breaches on the Rise”
9
• 3 จัดทาระเบียบปฏิบตั ิและบังคับให้ทุกคนปฏิบตั ิตาม (ดูความเสี่ ยงในตารางที่ 16.2)
• 4) จัดหาเครื่ องทางด้านความปลอดภัยมาใช้ท้ งั ฮาร์ ดแวร์ และซอฟต์แวร์
10
16.2 IS Vulnerabilities and Threats
• ก่อนอื่นควรอ่านนิยามของ IT Security Term ในตารางที่ 12.2 เสี ยก่อน (แสดงใน
หน้าถัดไป)
• Identity theft หมายถึง อาชญากรรมที่ซ่ ึ งบางคนใช้ขอ้ มูลส่ วนบุคคลของผูอ้ ื่นมา
สร้างให้เกิด false identity แล้วใช้มนั ไปในทางหลอกลวงบางประการ
 ทรัพยากรด้านสารสนเทศ (Information resources) (หมายรวมทั้ง physical resources,
data, software, procedures, and other information resources) กระจายอยูท่ วั่ ทั้ง
องค์กรสารสนเทศถูกส่ งเข้าสู่ หรื อออกจากเครื่ องมือที่พนักงานในองค์กรใช้ ดังนั้นจะ
เห็นว่าจุดอ่อนจะมีอยูห่ ลาย ๆ จุดในเวลาหนึ่ง ๆ
11
Security Terms
Term
Backup
Decryption
Encryption
Exposure
Fault tolerance
Definition
An extra copy of data and/or programs, kept in a secured location (s)
Transformation of scrambled code into readable data after
transmission
Transmission of data into scrambled code prior to transmission
The harm, loss, or damage that can result if something has gone
wrong in information system.
The ability of an information system to continue to operate (usually
for a limited time and/or at reduced level) when a failure occurs
12
Information system
controls
Integrity (of data)
Risk
Threats (or hazards)
Vulnerability
The procedure, devices, or software that attempt to ensure that system
performs as planned.
The procedure, devices or software that attempt to ensure that the
system performs as planned.
A guarantee of the accuracy, completeness, and reliability of data,
system integrity is provided by the integrity of its components and
their integration
The likelihood that a threat will materialize
Given that a threat exists, the susceptibility of the system to harm
caused by the threat.
13
ความอ่อนแอของระบบ (System Vulnerability)

Universal vulnerability หมายถึง สถานการณ์หนึ่ง ๆ (state) ใน computing system ซึ่ งมี
การยอมให้ผโู ้ จมตีเข้าไป execute คาสัง่ ต่าง ๆ ในเชิงผูใ้ ช้ผอู ้ ื่น (another user) ; การยอม
ให้ผโู ้ จมตีเข้าถึงข้อมูลที่เป็ นข้อมูลที่มีการจากัดสิ ทธิ์ ในการเข้าถึงข้อมูลเหล่านั้น ; ยอม
ให้ผโู ้ จมตีก่อให้เกิดการสับสนในเชิงใส่ สิ่งอื่นเข้ามา (pose as another entity) ; หรื อ
ยอมให้ผโู ้ จมตีก่อให้เกิดการให้บริ การที่ชา้ ลง denial of service (DoS)

Exposure คือ สถานการณ์หนึ่ง ๆ ใน computing system (หรื อ set of systems) ซึ่ งไม่ใช้
เป็ นแบบ universal vulnerability เช่น ยอมให้ผโู ้ จมตีก่อให้เกิดการดาเนิ นการรวบรวม
สารสนเทศที่ตอ้ งการ; ยอมให้ผโู ้ จมตีบดั บังการดาเนินการต่าง ๆ ทั้งนี้รวมถึง การเบียด
บังใด ๆ ที่ลดความสามารถลงจากเดิม (แต่ทากลับคืนได้ง่าย) หรื อ คือ a primary point
of entry ซึ้ งผูโ้ จมตีต้ งั ใจใช้จุดนี้เพื่อใช้ประโยชน์ในการเข้าถึงระบบหรื อข้อมูล และ ถุก
พิจารณาว่าเป็ นปั ญหาหนึ่ งในแง่ของ security policy.
14
Security Threats
15
ความอ่อนแอของระบบ (System Vulnerability)
• ความอ่อนแอของระบบสารสนเทศจะมีมากขึ้นเมื่อเราเคลื่อนเข้าสู่ โลกของเครื อข่าย
โดยเฉพาะอย่างยิง่ wireless computing ในทางทฤษฎีแล้ว มีจุดอ่อนมากมายในระบบ ที่
ถูกคุกคามได้ง่าย (ดังรู ปหน้าถัดไป) ภัยคุกคามเหล่านี้ สามารถแยกได้เป็ น:
• ไม่ได้ต้ งั ใจ (Unintentional)
• Human errors
• Environmental hazards เช่น แผ่นดินไหว น้ าท่วม เป็ นต้น
• Computer system failures เช่น กระบวนผลิตไม่ดี ใช้วตั ถุดิบไม่ดี
• ตั้งใจ (Intentional)
• Theft of data
• Inappropriate use of data
• Theft of mainframe computer time
• Theft of equipment and/or programs
16
•
•
•
•
•
•
•
•
•
•
•
•
•
Deliberate manipulation in handling
Entering data
Processing data
Transferring data
Programming data
Labor strikes
Riots (ก่อการจลาจล)
Sabotage (ก่อวินาศกรรม)
Malicious damage to computer resources
Destruction from viruses and similar attacks
Miscellaneous computer abuses (ใช้ในทางที่ผดิ )
Internet fraud (การหลอกลวงผ่านอินเตอร์ เน็ต)
Terrorists’ attack
17
อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)
• Type of computer crimes and criminals
• อาชญากรรม ทาได้จากคนภายนอกทาการบุกรุ กเข้ามาในระบบคอมพิวเตอร์ หรื อ คน
ภายที่มีสิทธิ์ ใช้ระบบคอมพิวเตอร์ แต่ใช้สิทธิ์ ไปในทางผิด
• แฮกเกอร์ (Hacker) หมายถึง บุคคลภายนอกที่บุกรุ กเข้าไปในระบบคอมพิวเตอร์
โดยทัว่ ไปมัก มิได้เป็ นไปในเชิงอาชญากร (no criminal intent)
• แครกเกอร์ (Cracker) หมายถึง แฮกเกอร์ที่ประสงค์ร้าย
• Social engineering หมายถึง การดาเนินการรอบๆระบบรักษาความปลอดภัย โดยใช้
กลอุบายให้ ผูใ้ ช้คอมพิวเตอร์เปิ ดเผย sensitive information หรื อ เพื่อให้ได้มาซึ่ ง
อภิสิทธิ์ เหนือผูอ้ ื่น โดยที่ตนเองไม่มีสิทธิ์ ขา้ งต้น
18
Type of computer crimes and criminals
• Cybercrimes หมายถึง การกระทาที่ผิดกฎหมายบน Internet
• Identify theft หมายถึง อาชญากร (the identity thief) ที่แสดงตัวเป็ นผูอ้ ื่น
• Cyberwar หมายถึงสงครามในเชิงระบบสารสนเทศของประเทศหนึ่ง ถูกทาให้เป็ น
อัมพาตจาก massive attack โดยการใช้ destructive software.
19
Methods of Attack on Computing Facility
• (ตารางในหน้าถัดไปแสดงถึงวิธีการโจมตีระบบคอมพิวเตอร์ ) โดยทัว่ ไปมีสอง
แนวทางคือ การเข้าไปยุง่ เกี่ยวกับข้อมูล (Data Tampering) และ การโจมตีผา่ นทาง
โปรแกรม (Programming attack)
• ไวรัส (Virus) หมายถึง ซอฟท์แวร์ ที่ผกู ติดตัวมันเข้ากับโปรแกรมคอมพิวเตอร์ ต่างๆ
โดยที่ผใู ้ ช้ งานโปรแกรมเหล่านั้นไม่ได้ระมัดระวังว่ามันจะเกิดความเสี ยหายขึ้น
• Denial of Service (DoS)หมายถึง Cyber-attack แบบหนึ่งที่ผโู ้ จมตีส่ง data packets
ไปยัง คอมพิวเตอร์ เป้าหมายอย่างมากมาย โดยมีจุดประสงค์คือทาให้เกิด overload
ขึ้น จนกระทัง่ ระบบทางานช้าลง หรื อ หยุดทางานกลายเป็ น Zombied PC
• Botnets คือการใช้คอมพิวเตอร์ ส่งข้อมูลจานวนมาก รวมถึง Spamและไวรัสไปสู่
คอมพิวเตอร์ อื่น ๆ ที่ใช้อินเตอร์ เน็ตอยู่ คอมพิวเตอร์ ที่เจอเรื่ องนี้เรี ยก computer robot
หรื อ bot
20
Virus
21
Security Terms
Method
Virus
Worm
Trojan
horse
Salami
slicing
Definition
Secret instructions inserted into programs (or data) that are innocently
ordinary tasks. The secret instructions may destroy or alter data as well as
spread within or between computer systems
A program that replicates itself and penetrates a valid computer system. It
may spread within a network, penetrating all connected computers.
An illegal program, contained within another program, that ‘’sleep' until
some specific event occurs then triggers the illegal program to be activated
and cause damage.
A program designed to siphon off small amounts of money from a number
of larger transactions, so the quantity taken is not readily apparent. 22
Super zapping
A method of using a utility ‘’zap’’ program that can bypass controls
to modify programs or data
Trap door
A technique that allows for breaking into a program code, making it
possible to insert additional instructions.
Logic bomb
An instruction that triggers a delayed malicious act
Denial of services Too many requests for service, which crashes the site
Sniffer
A program that searches for passwords or content in packet of data
as they pass through the Internet
Spoofing
Faking an e-mail address or web-page to trick users to provide
information instructions
23
Password
cracker
A password that tries to guess passwords (can be very successful)
War dialling Programs that automatically dial thousands of telephone numbers in
an attempt to identify one authorized to make a connection with a
modem, then one can use that connection to break into databases and
systems
Back doors Invaders to a system create several entry points, even if you discover
and close one, they can still get in through others
Malicious Small Java programs that misuse your computer resource, modify
applets
your file, send fake e-mail, etc
24
16.3 Fraud and Computer Crimes
• Fraud (ฉ้อฉล,หลอกลวง) เมื่อคน ๆหนึ่งใช้ตาแหน่งหรื อหน้าที่ของเขาไปทาสิ่ งใดสิ่ ง
หนึ่งเพื่อให้ได้มาซึ่ งการใช้ทรัพยากรหรื อทรัพย์สินขององค์กรเหนือผูอ้ ื่น เรี ยกว่า
Occupational fraud
25
Computer Crimes
Identify Theft:
26
16.4 IT Security Management Practices
Defense Strategy: How Do We Protect ?
การรู ้เกี่ยวกับ potential threats ของ IS ถือเป็ นสิ่ งจาเป็ น แต่การทาความเข้าใจถึงวิธีการป้องกัน
ก็สาคัญเช่นกัน เราต้องใส่ controls (defense mechanisms) และ developing awareness เข้าไป
ในองค์กร
• The major objectives of a defense strategy are:
1.
2.
3.
4.
5.
6.
ป้องกันและยับยั้ง (ในเชิงไม่ให้กระทา)
ตรวจจับ
จากัดความเสี ยหาย
กูก้ ลับคืน
ทาให้ถูกต้อง (ต้นเหตุที่ก่อให้เกิดความเสี ยหาย)
Awareness and compliance
27
Major defense
control
28
General Controls
• Physical control
•
•
•
•
•
•
ออกแบบ data center ให้ถูกต้อง เช่น ไม่ไหม้ไฟ กันน้ า
ชีลด์เพื่อป้องกันสนามแม่เหล็กไฟฟ้า
มีระบบป้องกัน ตรวจจับ และ ดับไฟ
มีระบบไฟสารอง และ ระบบ UPS
มีการออกแบบ ดูแลรักษา และ ใช้งาน ระบบปรับอากาศอย่างถูกต้อง
มีระบบตรวจจับผูบ้ ุกรุ ก เช่น จับการเคลื่อนไหว จับความร้อน
29
• Access Control
• การควบคุมการเข้าถึง คือ มีการอนุญาต (Authorize) และ การพิสูจน์วา่ เป็ นผูม้ ีสิทธิ์
จริ ง (เป็ นคน ๆนั้นจริ ง ๆ )(Authentication) สิ่ งที่ตอ้ งตรวจสอบคือUnique useridentifier (UID)
• Biometric Control
Photo face
Fringerprints
Hand geometry
Iris scan
Retina scan
Voice scan
Signature
Keystroke dynamic
30
Defense Strategy – Biometric
31
• Data Security controls
• หลักการพื้นฐาน 2 เรื่ องที่สะท้อนถึง data security คือ
• Minimal privilege จัดเตรี ยมข้อมูลให้เฉพาะที่ตอ้ งใช้งานเท่านั้น
• Minimal exposure เมื่อผูใ้ ช้ตอ้ งเข้าถึงสารสนเทศที่อ่อนไหว ต้องเปิ ดเผยเฉพาะผูท้ ี่มี
หน้าที่และเกี่ยวข้องเท่านั้นไม่วา่ จะเป็ น การประมวล จัดเก็บ หรื อ จัดส่ ง ก็ตาม
• Communications and Network controls
• Administrative controls
• Other General Controls
• Programming controls
• Documentation controls
• System Development controls
32
• Application Controls
• Input controls ได้แก่
•
•
•
•
Completeness
Format
Range
Consistency
• Processing controls กระบวนการต้องมัน่ ใจได้วา่ ข้อมูลสมบูรณ์ ถูกต้อง แม่นยา
ในขณะที่กระบวนการกาลังประมวลอยู่
• Output controls ผลลัพธ์ตอ้ งถูกต้อง ใช้งานได้ สมบูรณ์ ไม่เปลี่ยนแปลง
33
16.5 Network Security
• Border Security
• วัตถุประสงค์หลักของ border security คือ access control ดังนั้น จึงทา authentication
หรื อ proof of identity ก่อนเป็ นอันดับแรก และจากนั้นเป็ นการ authorization ซึ่ งเป็ น
การบ่งบอกถึงการดาเนินงานอะไรบ้างที่ user หนึ่ง ๆ ได้รับการอนุมตั ิให้กระทา
Security Layers
34
Tool ที่เกี่ยวข้องกับ Border Security
•
•
•
•
Firewalls
Malware Controls
Intrusion Detecting Systems (IDSs)
Virtual Private Networking (VPN)
•
•
•
•
การเข้ารหัสข้อมูล (Encryption)
การใช้ Tester เพื่อทา Trouble Shooting เช่น Protocol analyzer
Payload Security เข้ารหัสข้อมูลในขณะที่ส่งเข้าระบบโครงข่าย
Honeypots ใช้กบั ดัก hacker เพื่อดูวา่ เขากาลังทาอะไร (โครงข่ายที่มี Honeypots
เรี ยก Honetnets)
35
Authentication
• Phishing และ identity theft จะอาศัยจุดอ่อนของ weak authentication โดยการใช้ชื่อ
และรหัสผ่าน ดังนั้นจึงต้องการแนวทางแบบ strong authentication อันได้แก่ twofactor authentication หรื อ multifactor authentication อันเป็ นการใช้ 2 แฟกเตอร์(หรื อ
มากกว่า)ที่ต่างกัน
• สามคาถามหลักที่ตอ้ งถามเมื่อกาหนดระบบพิสูจน์สิทธ์ คือ
• 1) ท่านคือใคร เช่น พนักงาน คู่คา้ เป็ นต้น เพื่อกาหนดระดับสิ ทธิ์
• 2) ท่านอยูท่ ี่ใด เช่น พนักงานที่อยูภ่ ายในย่อมมีความเสี่ ยงเรื่ องปลอดภัยกว่าน้อยกว่า
remote เข้ามา, ถ้า remote เข้ามา เก็บ IP ย่อมดีกว่าไม่เก็บ
• 3) ท่านต้องการอะไร เพื่อดูวา่ เขาต้องการเข้าถึงสารสนเทศประเภทใด (สาคัญมาก
หรื อ สารสนเทศที่มีเจ้าของอันเป็ นข้อมูลทัว่ ๆ ไป หรื อ เข้าดูขอ้ มูลทัว่ ไป
36
Defense mechanism
37
16.6 Internal Control and Compliance Management
•
•
•
•
•
•
Internal Control (IC) คือกระบวนการหนึ่ง ๆ ที่ออกแบบมาเพื่อให้บรรลุถึง:
1) ความเชื่อถือได้(reliability)ของการทารายงานเกี่ยวกับการเงิน
2) ความมีประสิ ทธิภาพในการปฏิบตั ิงาน
3) ความสอดคล้องกับข้อกฏหมาย (Law)
4) การปฏิบตั ิให้เป็ นไปตามกฏ (Regulation) และนโยบาย (Policy)
5) ความปลดภัยของสิ นทรัพย์ต่าง ๆ
38
Increasing role of IT in internal control
39
40
Internal control procedures and activities
• กิจกรรมหลัก 5 กิจกรรมในการทาการควบคุมภายใน (internal control)
• 1) แยกหน้าที่ออกจากกันและร่ วมกันดูแล
• การควบคุม fraud ที่ดีน้ นั ควรแบ่งความรับผิดชอบออกให้กบั สองคนหรื อมากกว่าและ
อิสระจากกัน
• 2) ทาการตรวจสอบโดยอิสระจากกัน
• ถ้าคนรู ้วา่ กิจกรรมของตนนั้นถูกการเฝ้ามองโดยผูอ้ ื่น เขาจะทาตามสิ่ งที่เขารับปากไว้
และสิ่ งปกปิ ดในเรื่ องเกี่ยวกับ fraud จะลดลง
• 3) มีระบบที่ให้อานาจ(สิ ทธิ์ )อย่างถูกต้อง
• เช่นกาหนดรหัสผ่านให้แต่ละคนในการใช้คอมพิวเตอร์ และเข้าถึงฐานข้อมูล และจากัด
สิ ทธ์การใช้เงินให้แต่ละคนใช้ตามที่เขาใช้ได้และอมุมตั ิในระดับที่เขาทาได้เท่านั้น
41
• 4) มีเครื่ องป้องกันทางกายภาพ (Physical safeguards) (เช่น ตูน้ ิรภัย ห้องปิ ดล็อก)
• จัดให้มีเครื่ องป้องกันทางกายภาพเพื่อป้องกันสิ นทรัพย์จากการโจรกรรมในลักษณะ
ของ fraud
• 5) จัดทาเป็ นเอกสารและมีการบันทึกไว้
• จัดทาเอกสารเพื่อใช้ตรวจประเมินและเก็บบันทึกผลที่ได้เอาไว้
42
16.7 Business Continuity and Disaster Recovery Planning
• องค์ประกอบที่สาคัญในระบบรักษาความปลอดภัยใด ๆ คือ business continuity plan,
มักเรี ยกกันเป็ น
• Disaster recovery หมายถึง การวางแผนเพื่อเชื่อมต่อเหตุการณ์ต่างๆเข้าด้วยกัน อันเป็ น
ไปเพื่อกูก้ ลับคืน (เมื่อเกิดเหตุการณ์ที่ไม่พึงประสงค์)
• Disaster recovery plan. เป็ นแผนที่ระบุถึงแนวทางของกระบวนการที่ธุรกิจจะดาเนินการ
ต่อไปได้อย่างไรหลังจากเกิดหายนะใหญ่ ๆ (major disaster)
• Disaster avoidance หมายถึง การใช้แนวทางรักษาความปลอดภัยมุ่งไปในเชิงการป้อง
กัน
• Backup location หมายถึง สถานที่ที่เก็บรักษา ข้อมูลสาคัญ และ/หรื อ โปรแกรมที่สาคัญ
ที่ทาสาเนาเอาไว้ ซึ่ งต้องนามาใช้เมื่อเกิดเหตุการณ์ที่ไม่พึงประสงค์ข้ ึน
• Hot site หมายถึง สถานที่ที่ vendors จัดเตรี ยมให้ access ในลักษณะ fully configured
backup data center.
43
Business continuity services managed by IBM
44
Business Continuity Planning
• จุดมุ่งหมายหลักของ business continuity plan คือทาให้ธุรกิจดาเนินต่อไปได้หลังจากเกิดหายนะ
ขึ้นมา
• Recovery planning ถือเป็ นส่ วนหนึ่งของการประเมินการป้องกัน (asset protection)
• การวางแผนควรมุ่งเน้นไปที่การกูก้ ลับคืนจากการสู ญเสี ยความสามารถโดยรวมทั้งหมด ( total
loss of all capabilities)
• การพิสูจน์ถึงความสามารถของของแผนควรใช้ “What if analysis”
• Application ทั้งหลายที่วิกฤติตอ้ งถูกระบุและกระบวนการกูก้ ลับคืนต้องถูกกาหนดเอาไว้แล้ว
• แผนควรเขียนใช้งานได้ในทางปฏิบตั ิเมื่อเกิดหายนะขึ้น และเก็บไว้ในที่ปลอดภัย
• อ่านเพิ่มเติมใน IT at Work 16.3 “Business Continuity and Disaster Recovery”
45
One of the most logical ways to deal with loss of data is to back it up. A business continuity plan
should include backup arrangements were all copies of important files are kept offsite.
46
16.8 Implementing Security: Auditing and Risk Management
• การดาเนินการควบคุมในองค์กรหนึ่ง ๆ เป็ นเรื่ องที่ยงุ่ ยากและมีความ
ซับซ้อนในการดาเนินการ มีคาถามมากมายที่ตอ้ งตอบผูเ้ ข้าไปสังเกตการณ์
การตอบคาถามต่าง ๆ ข้างต้นคืองานของการตรวจประเมิน หรื อ auditing
task
• ผูต้ รวจประเมินมี 2 ประเภท คือ:
• ผูต้ รวจประเมินภายใน (internal auditor) คือผูต้ รวจประเมินภายในองค์กรแต่อยูน่ อก ISD.
• ผูต้ รวจประเมินภายนอก (external auditor) คือผูต้ รวจที่อยูน่ อกองค์กร
• การตรวจประเมินมี 2 ประเภทเช่นกัน คือ
• Operational audit เพื่อดูวา่ ISD ทางานถูกต้องหรื อไม่
• Compliance audit เพื่อดูวา่ การควบคุมที่ดาเนินการอยูถ่ ูกต้องและพอเพียงหรื อไม่
47
คาถามที่ควรหาคาตอบของผูต้ รวจประเมิน
• ในระบบมีการควบคุมเพียงพอหรื อไม่ พื้นที่ใดที่ไม่มีการควบคุม และ การควบคุม
ใดที่ไม่จาเป็ น
• การควบคุมต่าง ๆนั้น ถูกนามาใช้อย่างเมหาะสมหรื อไม่
• การควบคุมต่าง ๆ มีประสิ ทธิ ภาพหรื อไม่ (หมายความว่า เขาได้ตรวจสอบเอาต์พุต
ของระบบหรื อไม่)
• มีการแบ่งหน้าที่ของพนักงานต่าง ๆ ชัดเจนหรื อไม่
• มีกระบวนการต่าง ๆ แสดงให้เห็นว่าสอดรับกับการควบคุม หรื อไม่
• มีกระบวนการต่าง ๆ ในการรายงานและแก้ไขข้อบกพร่ อง ในกรณี ที่มีการ
เบี่ยงเบนออกไปจากการควบคุม หรื อไม่
48
Risk Management and Cost-Benefit Analysis
•มักถือกันว่าไม้เป็ นการเตรี ยมป้องกันทุก ๆ อย่างที่อาจเกิดขึ้นได้ ดังนั้น IT security program
จะต้องให้กระบวนการในการประเมินภัยคุกคาม (assessing threats) และตัดสิ นใจว่า เรื่ องใด
ควรจัดเตรี ยม เรื่ องใดควรหยุดเอาไว้ (ignore)
•Risk-Management Analysis:
Expected loss = P1 x P2 x L
เมื่อ P1 = probability of attack (estimate, based on judgment)
P2 = probability of attack being successful (estimate, based on judgment)
L = Loss occurring if attack is successful
สมมติให้ P1 = .02, P2 = .10, L = 1,000,000 usd
Expected loss = 0.02 x 0.10 x 1,000,000 usd = 2,000
49
16.9 Computer Forensics (ศาลยุติธรรมที่เกี่ยวข้องกับคอมพิวเตอร์)
• ให้อ่านกรณี กรณี ศึกษาต่าง ๆในตารานะ
50
MANAGERIAL ISSUES
•
To whom should the IS department report?
•
เรื่ องนี้สัมพันธ์กบั degree of IS decentralization และ บทบาทของ CIO การมี IS department ขึ้นกับ
functional area ใด ๆ อาจนามาซึ่ งการโน้มเอียงในการให้ความสาคัญกับ functional area นั้น ๆ เป็ น
พิเศษ สิ่ งที่ตอ้ งการคือ IS ควรรายงานตรงต่อ CEO
•
Who needs a CIO?
•
นี่คือคาถามที่สาคัญซึ่ งสัมพันธ์กบั บทบาทของ CIO ในฐานะ senior executive ขององค์กร การให้
ตาแหน่งโดยไม่มีอานาจหน้าที่อาจเป็ นการทาลาย ISD และการทางานต่าง ๆ ที่เกี่ยวข้อง ดังนั้น
องค์กรใด ๆ ที่มีการทางานขึ้นอยูก่ บั IT เป็ นอย่างมากแล้ว ควรมีตาแหน่ง CIO
51
MANAGERIAL ISSUES
• 1) What is the business value of IT security and internal control?
• ความเสี่ ยงเกี่ยวกับความปลอดภัยของ IT คือ ความเสี่ ยงของธุรกิจ ดังนั้น ความปลอดภัย
ของ IT จึงควรรวมอยูใ่ น business objective ไม่ควรแบ่งแยกออกมาเป็ นอิสระ
• 2) Why are there legal obligations (การบังคับใช้กฏระเบียบ)?
• เรื่ องเกี่ยวกับกฏระเบียบที่ลอ้ มรอบความปลอดภัยของสารสนเทศนั้นเกิดจากความจริ ง
ที่วา่ transaction และ บันทึกต่าง ๆ ที่เป็ นความลับที่สร้างขึ้น ถูกใช้ ถูกสื่ อสาร และถูก
จัดเก็บในรู ปแบบอิเล็กทรอนิคส์ สมควรที่จะได้รับการปกป้อง
• 3) How important is IT security to management?
• กฏระเบียบของการบริ หารงานมีข้ ึนเพื่อมัน่ ใจว่า ความปลอดภัยเพิ่มขึ้นอย่างมีนยั สาคัญ
ความเสี ยทางการเงินอันเกิดจาก hacker, phisher, spammer, identity thieve, malware
และ terrorist worldwide เพิ่มขึ้นอย่างมากมาย
52
MANAGERIAL ISSUES
• 4) IT security and internal control must be implemented top-down
• ความปลอดภัยของ IT ทัว่ ทั้งองค์กรต้องเริ่ มจากคามัน่ สัญญาจากผูบ้ ริ หารระดับสู งและ
ให้การสนับสนุน
• 5) Acceptable use policies (AUPs) and security awareness training are important for
any organization
• หมายเลข 1 ของอุปสรรคของความปลอดภันทาง IT คือ Human error
• 6) Digital assets are relied upon for competitive advantage
• ในระดับกลยุทธ์ ทรัพยากรด้านข้อมูลทั้งหมดขององค์กรมสามารถหาเปลี่ยนทดแทนได้
ดังนั้น การดาเนินการของ BI, ERP, CRM และ EC จะขึ้นกับการบูรณาการ การมีให้ใช้
และ สิ ทธิ์ ในการใช้ ของทรัพยากรด้าน IT
53
MANAGERIAL ISSUES
• 7) What does risk management involve?
• การบริ หารความเสี่ ยงประกอบด้วย ความปลอดภัยของ ระบบ โครงข่าย และ ข้อมูล
ความมัน่ ใจว่า มีระบบและการบริ การต่าง ๆ ให้ใช้งาน มีแผนการกูก้ ลับคืนเมื่อเกิดภัย
พิบตั ิและธุรกิจดาเนินต่อไปได้ สอดรับกับข้อกฏหมายและข้อตกลงต่าง ๆ และ มีการ
ปกป้ององค์กรจาก malware, spyware และ profit-motivated hacking
• 8) What are the impacts of IT security breaches (การฝ่ าฝื น IT security)?
• การฝ่ าฝื นโดยคนและเหตุการณ์ดา้ นความปลอดภัยจะนาไปสู่ ความเสี ยหายทั้งทางด้าน
การเสี ยเงินและลูกค้า
54
55
56
• End users are friends, not enemies, of the IS department.
• ความสัมพันธ์ระหว่าง end users กับ ISD เป็ นเรื่ องที่ละเอียดอ่อน ในอดีตนั้น ISD จะทา
ตามที่ end-user ร้องขอเท่านั้น ซึ่ งทาให้การร้องขอข้างต้นเป็ นอิสระจากกันและกัน ส่ งผลให้
สิ้ นเปลืองค่าใช้จ่ายและไม่มีประสิ ทธิภาพ ดังนั้นปั จจุบนั นี้ บริ ษทั ทีป่ ระสบผลสาเร็ จมักจะ
พัฒนาบรรยากาศการทางานในเชิงเพื่อร่ วมงานมากกว่า
• Ethical issues.
• เรื่ องการรายงานที่เกิดจาก ISD นั้น บางครั้งจะเรื่ องของจรรยาบรรณเข้ามาเกี่ยวข้อง เช่น ถ้า
ISD ขึ้นกับฝ่ ายการเงิน ก็จะทาให้ฝ่ายการเงินสามารถเข้าถึงสารสนเทศของแผนกอื่น ๆ ได้
ในขณะที่แผนกอื่น ๆ ไม่สามารถเข้าดูของแผนกการเงินได้
57
MANAGERIAL ISSUES Continued
•
Responsibilities for security should be assigned in all areas.
•
ยิง่ องค์กรใช้ Internet, extranets, และ intranets มากเท่าใดก็จะมีเรื่ องความปลอดภัยเข้ามาเกี่ยวข้อง
มากขึ้นเท่านั้น จึงเป็ นเรื่ องสาคัญที่พนักงานทั้งหลายต้องรับผิดชอบว่าสารสนเทศอะไรที่ตอ้ งถูก
ควบคุมด้านความปลอดภัย ดังนั้น ถือเป็ นหน้าที่ของ functional managers ที่จะต้องเข้าใจและ
ดาเนินการตาม IT security management and asset management อย่างถูกต้อง
•
Security awareness programs are important for any organization, especially if
it is heavily dependent on IT.
•
โปรแกรมข้างต้นควรทาทัว่ ทั้งองค์กรและได้รับการสนับสนุนจากระดับ senior executives หลาย ๆ
คนคิดว่า การปฏิบตั ิตาม administrative controls คือการเพิ่มภาระของงาน จึงไม่ปฏิบตั ิตาม
58
MANAGERIAL ISSUES Continued
•
Auditing information systems should be institutionalized into the
organizational culture.
•
องค์กรต้องทาการประเมิน IS เพราะถือว่าเป็ นการประหยัดเงิน (เมื่อเกิดเหตุการณ์ใด ๆ ขึ้นมาอาจ
ทาให้เกิดความสู ญเสี ยให้กบั องค์กรอย่างมากมาย) ในทางกลับกัน over-auditing ไม่ค่อยมีผลกับ
ต้นทุนเท่าใด
•
Multinational corporations.
•
องค์กรที่มี ISD เป็ นแบบ multinational corporation จะมีความซับซ้อนมากขึ้นในการบริ หาร
จัดการรวมทั้งหมด บางองค์กรจึงจัดโครงสร้างแบบ complete decentralization โดยมี ISD ในแต่
ละประเทศ หรื อมีหลาย ISD ก็ได้ บางองค์กรมี centralized staff อยูส่ ่ วนหนึ่งจานวนน้อย ๆ แต่
บางองค์กรกลับจัดองค์กรแบบ highly centralized structure ไม่มีกฎเกณฑ์ที่แน่นอน
59