Transcript Document 7296538

Chapter 15
Managing Information
Resources and Security
Information Technology For Management 5th Edition
Turban, Leidner, McLean, Wetherbe
Lecture Slides by A. Lekacos,
Stony Brook University
John Wiley & Sons, Inc.
Chapter 15
1
Learning Objectives
•
•
•
•
•
•
•
•
•
ตระหนักถึงความยุง่ ยากในการบริ หารจัดการ information resources.
ทาความเข้าใจถึงบทบาทของ IS department และความสัมพันธ์กบั end users.
ถกแถลงเกี่ยวกับบทบาทของ chief information officer (CIO)
ตระหนักถึงความอ่อนแอของระบบสารสนเทศ, วิธการโจมตี, และความเป็ นไปได้ของความ
เสี ยหายอันเนื่องมาจากความบกพร่ องต่าง ๆ (malfunction)
อธิบายถึงวิธีการหลัก ๆ ของการปกป้อง information systems.
อธิบายถึงเรื่ องความปลอดภัยด้าน Web และ electronic commerce.
อธิบายถึงการดาเนินธุรกิจอย่างต่อเนื่องและ disaster recovery planning.
ทาความเข้าใจเกี่ยวกับ economics of security และ risk management.
อธิบายถึงบทบาทของ IT ในเชิงสนับสนุนการต่อต้านการก่อการร้าย
Chapter 15
2
Cybercrime in the new millennium
• Jan 1,2000 โลกตื่นตระหนกกับปั ญหาเรื่ อง Y2K แต่ผลกับเป็ นว่ามีความเสี ยหายน้อยมาก
แต่ Feb 6, 2000 e-commerce site ใหญ่ ๆ เช่น เกิดปั ญหาการทางานล้มเหลวกันติด ๆ กัน
เป็ นโดมิโน เริ่ มจาก Yahoo แล้วต่อด้วย Amazon, E*trade อื่น ๆ ในที่สุดก็ทราบว่าเป็ นการ
โจมตีแบบ Denial of Service
• การโจมตีเรี ยกว่า “Denial of Service (DoS)” คือ การที่เครื่ องของเราถูกโจมตีโดยวิธีการ
ต่าง ๆ ทาให้เครื่ องไม่สามารถทางานได้ตามปกติ ซึ่ งอาจจะเป็ นการทางานช้าลง หรื อไม่
สามารถให้บริ การแก่ผทู ้ ี่ตอ้ งการใช้งานจริ ง ๆ ได้ โดยที่การโจมตีน้ นั มีเป้าหมายได้หลายที่
ไม่วา่ จะเป็ น Web Server, Mail Server หรื อ Domain Name Server ซึ่ งก็ให้ผลต่างกัน
• สาเหตุ:
• เกิดจากการที่มีคาร้องขอจานวนมาก มายังเครื่ องของเรา ทาให้เครื่ องไม่สามารถรองรับการ
ทางานได้ท้ งั หมด การส่ งคาร้องขอจานวนมากนั้น ส่ วนใหญ่แล้วจะมาจากเครื่ องหลาย
เครื่ อง ที่ถูกเจาะเข้าไป แล้ววางโปรแกรมที่จะทาการส่ งข้อมูลไปยังเครื่ องใดเครื่ องหนึ่งไว้
ทาให้เมื่อถึงกาหนดเวลาหนึ่ งก็จะส่ งคาร้องข้อเข้ามาพร้อม ๆ กัน ทาให้ป้องกันได้ยาก
Chapter 15
3
• อันตราย:
• การที่มีคาร้องขอจานวนมาเข้ามาพร้อม ๆ กันนั้น มีอนั ตรายคือ เครื่ องนั้นจะไม่สามารถ
ให้บริ การกับผูท้ ี่ตอ้ งการใช้งานจริ ง ๆ ถ้า Web Server ถูกโจมตี ก็จะทาให้ไม่สามารถ
เปิ ด Web page ได้ ถ้า Mail Server ถูกโจมตี ก็จะไม่สามารถรับ mail อื่นได้ กรณี ของ
Domain Name Server นั้นจะทาให้การแปลง url เป็ น ip ไม่สามารถทาได้ นอกจากนี้
การที่มีคาร้องขอเข้ามามาก ๆ จาให้เกิดการใช้ bandwidth ในปริ มาณสู ง จะทาให้ขอ้ มูล
ที่ดีไม่สามารถเข้ามาได้อีกด้วย
Chapter 15
4
The IS Department
ทรัพยากรของ IT มีความหลากหลาย ประกอบด้วย personnel assets, technology assets, และ
IT relationship assets ดังนั้นการบริ หารจัดการ information resources จึงแยกระหว่าง
information services department (ISD) และ end userทั้งหลาย ดังนั้นการแบ่งความรับผิดชอบ
จึงขึ้นกับหลายตัวแปร
•
•
•
The reporting relationship ของ ISD จึงมีความสาคัญมาก มันสะท้อนถึงจุดมุ่งเน้นขององค์กร ถ้า
ISD รายงานต่อ accounting หรื อ finance areas แล้วก็มกั จะมุ่งเน้นไปที่ accounting หรื อ finance
applications ในเชิง expense ของ marketing, production, และ logistics areas.
ชื่อของ ISD ก็มีความสาคัญเช่นกัน เช่น
• Data Processing (DP) Department.
• Management Information Systems (MIS) Department
• Information Systems Department (ISD)
คุณสมบัติอีกประการหนึ่งคือ สถานะ (status) ของ ISD
Chapter 15
5
The End-User Relationship
ทั้งนี้เนื่องจาก ISD เป็ น service organization ที่บริ หาร IT infrastructure อันจาเป็ นต้องดูแล IT
application ทั้งหลายของ end user ดังนั้นจึงเป็ นเรื่ องที่สาคัญมากในการมีความสัมพันธ์ที่ดีกบั
end users การเกิดการพัฒนา end-user computing และ outsourcing ทาให้เห็นว่าเกิดการ
บริ การที่ไม่ดี(มองในเชิงความรู ้สึก end users) อย่างไรก็ตามการจะสร้างความสัมพันธ์ขา้ งต้น
ไม่ใช่เรื่ องง่าย เพราะ ISD อยูบ่ นพื้นฐานเชิงเทคนิคซึ่ งมักไม่ค่อยเข้าใจธุรกิจและการ
ดาเนินงาน ในทางกลับกัน user เองก็อาจไม่เข้าใจ information technologies เช่นกัน
•อ่านเพิ่มเติมใน IT at Work 15.1 “Minnesota’s Department of transportation violate
procedures” page 636
Chapter 15
6
The End-User Relationship - continued
ISD and Four approaches
1.
Let them sink or swim. ไม่ตอ้ งทาอะไร เพียงแต่ให้ end user ตระหนักและระมัดระวัง
2.
Use the stick กาหนดนโยบายและระเบียบปฏิบตั ิเพื่อควบคุม end-user computing เพื่อ
ลดความเสี่ ยงในการทางานร่ วมกันลงให้เหลือน้อยที่สุด และพยามบังคับให้เขาทาตาม
3.
Use the carrot สร้างแรงจูงใจเพื่อ end-user ทาในสิ่ งที่ถูกต้อง เพื่อลดความเสี่ ยงของ
องค์กร
4.
Offer support พัฒนาการให้บริ การต่าง ๆ เพื่อช่วยให้ end users ดาเนินงานด้านการ
คานวณต่าง ๆ ได้อย่างเต็มที่
Chapter 15
7
• การปรับปรุ งการทางานร่ วมกัน ทั้งสองฝ่ ายควรมีขอ้ ตกลงร่ วมกัน 3 เรื่ อง คือ:
• the steering committee มีหน้าที่
1) กาหนดทิศทางที่จะไป
2) จัดสรรทรัพยากร
3) จัดโครงสร้างขององค์กร
4) จัดหาพนักงานสาคัญ ๆ
5) จัดการเรื่ องสื่ อสาร
6) ประเมินประสิ ทธิ ภาพ
• service-level agreements
• the information center.
Chapter 15
8
15.2 The CIO (Chief Information Officer) in Managing the IS Dept.
การบริ หารจัดการ ISD จะคล้ายกับการบริ หารจัดการหน่วยต่าง ๆ ในองค์กร สิ่ งที่ต่างออกไปก็
คือ เป็ นการดาเนินงานในเชิงให้บริ การซึ่ งอยูใ่ นสภาพแวดล้อมที่มีการเปลี่ยนแปลงเร็ วจึงทา
ให้การวางแผนและทาโครงการต่าง ๆ ของแผนกค่อนข้างยุง่ ยก
•
บทบาทของ CIO เริ่ มเปลี่ยนแปลงไปสู่ การเป็ นสมาชิกของ top management team เพื่อ
•
•
•
•
•
•
Realization of the need for IT-related disaster planning and the importance of IT to the
firm’s activities.
Aligning IT with the business strategy
Implementing state-of-the-art solutions
Providing information access
Being a business visionary who drives business strategy
Coordinating resources
Chapter 15
9
The Transition Environment
Chapter 15
10
15.3 IS Vulnerability and Computer Crimes
• ก่อนอื่นควรอ่านนิยามของ IT Security Term ในตารางที่ 12.2 เสี ยก่อน (แสดงใน หน้า
ถัดไป)
• ลองอ่านเหตุการณ์ที่เกิดขึ้นเกี่ยวกับ Information Systems Breakdowns จานวน 11
incidents หน้า 642
• Identity theft หมายถึง อาชญากรรมที่ซ่ ึ งบางคนใช้ขอ้ มูลส่ วนบุคคลของผูอ้ ื่นมา สร้าง
ให้เกิด false identity แล้วใช้มนั ไปในทางหลอกลวงบางประการ
 ทรัพยากรด้านสารสนเทศ (Information resources) (หมายรวมทั้ง physical resources,
data, software, procedures, and other information resources) กระจายอยูท่ วั่ ทั้งองค์กร
สารสนเทศถูกส่ งเข้าสู่ หรื อออกจากเครื่ องมือที่พนักงานในองค์กรใช้ ดังนั้นจะเห็นว่า
จุดอ่อนจะมีอยูห่ ลาย ๆ จุดในเวลาหนึ่ง ๆ
Chapter 15
11
Security Terms
Term
Backup
Decryption
Encryption
Exposure
Fault tolerance
Definition
An extra copy of data and/or programs, kept in a secured location (s)
Transformation of scrambled code into readable data after
transmission
Transmission of data into scrambled code prior to transmission
The harm, loss, or damage that can result if something has gone
wrong in information system.
The ability of an information system to continue to operate (usually
for a limited time and/or at reduced level) when a failure occurs
Chapter 15
12
Information system
controls
Integrity (of data)
Risk
Threats (or hazards)
Vulnerability
The procedure, devices, or software that attempt to ensure that system
performs as planned.
The procedure, devices or software that attempt to ensure that the
system performs as planned.
A guarantee of the accuracy, completeness, and reliability of data,
system integrity is provided by the integrity of its components and
their integration
The likelihood that a threat will materialize
Given that a threat exists, the susceptibility of the system to harm
caused by the threat.
Chapter 15
13
ความอ่อนแอของระบบ (System Vulnerability)

Universal vulnerability หมายถึง สถานการณ์หนึ่ง ๆ (state) ใน computing system ซึ่ งมี
การยอมให้ผโู ้ จมตีเข้าไป execute คาสัง่ ต่าง ๆ ในเชิงผูใ้ ช้ผอู ้ ื่น (another user) ; การยอม
ให้ผโู ้ จมตีเข้าถึงข้อมูลที่เป็ นข้อมูลที่มีการจากัดสิ ทธิ์ ในการเข้าถึงข้อมูลเหล่านั้น ; ยอม
ให้ผโู ้ จมตีก่อให้เกิดการสับสนในเชิงใส่ สิ่งอื่นเข้ามา (pose as another entity) ; หรื อ
ยอมให้ผโู ้ จมตีก่อให้เกิดการให้บริ การที่ชา้ ลง denial of service (DoS)

Exposure คือ สถานการณ์หนึ่ง ๆ ใน computing system (หรื อ set of systems) ซึ่ งไม่ใช้
เป็ นแบบ universal vulnerability เช่น ยอมให้ผโู ้ จมตีก่อให้เกิดการดาเนิ นการรวบรวม
สารสนเทศที่ตอ้ งการ; ยอมให้ผโู ้ จมตีบดั บังการดาเนินการต่าง ๆ ทั้งนี้รวมถึง การเบียด
บังใด ๆ ที่ลดความสามารถลงจากเดิม (แต่ทากลับคืนได้ง่าย) หรื อ คือ a primary point
of entry ซึ้ งผูโ้ จมตีต้ งั ใจใช้จุดนี้เพื่อใช้ประโยชน์ในการเข้าถึงระบบหรื อข้อมูล และ ถุก
พิจารณาว่าเป็ นปั ญหาหนึ่ งในแง่ของ security policy.
Chapter 15
14
Security Threats
Chapter 15
15
ความอ่อนแอของระบบ (System Vulnerability)
• ความอ่อนแอของระบบสารสนเทศจะมีมากขึ้นเมื่อเราเคลื่อนเข้าสู่ โลกของเครื อข่าย
โดยเฉพาะอย่างยิง่ wireless computing ในทางทฤษฎีแล้ว มีจุดอ่อนมากมายในระบบ ที่
ถูกคุกคามได้ง่าย (ดังรู ปหน้าถัดไป) ภัยคุกคามเหล่านี้ สามารถแยกได้เป็ น:
• ไม่ได้ต้ งั ใจ (Unintentional)
• Human errors
• Environmental hazards เช่น แผ่นดินไหว น้ าท่วม เป็ นต้น
• Computer system failures เช่น กระบวนผลิตไม่ดี ใช้วตั ถุดิบไม่ดี
• ตั้งใจ (Intentional)
• Theft of data
• Inappropriate use of data
• Theft of mainframe computer time
• Theft of equipment and/or programs
Chapter 15
16
•
•
•
•
•
•
•
•
•
•
•
•
•
Deliberate manipulation in handling
Entering data
Processing data
Transferring data
Programming data
Labor strikes
Riots (ก่อการจลาจล)
Sabotage (ก่อวินาศกรรม)
Malicious damage to computer resources
Destruction from viruses and similar attacks
Miscellaneous computer abuses (ใช้ในทางที่ผดิ )
Internet fraud (การหลอกลวงผ่านอินเตอร์ เน็ต)
Terrorists’ attack
Chapter 15
17
อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)
• Type of computer crimes and criminals
• อาชญากรรม ทาได้จากคนภายนอกทาการบุกรุ กเข้ามาในระบบคอมพิวเตอร์ หรื อ คน
ภายที่มีสิทธิ์ ใช้ระบบคอมพิวเตอร์ แต่ใช้สิทธิ์ ไปในทางผิด
• แฮกเกอร์ (Hacker) หมายถึง บุคคลภายนอกที่บุกรุ กเข้าไปในระบบคอมพิวเตอร์
โดยทัว่ ไปมัก มิได้เป็ นไปในเชิงอาชญากร (no criminal intent)
• แครกเกอร์ (Cracker) หมายถึง แฮกเกอร์ที่ประสงค์ร้าย
• Social engineering หมายถึง การดาเนินการรอบๆระบบรักษาความปลอดภัย โดยใช้
กลอุบายให้ ผูใ้ ช้คอมพิวเตอร์เปิ ดเผย sensitive information หรื อ เพื่อให้ได้มาซึ่ ง
อภิสิทธิ์ เหนือผูอ้ ื่น โดยที่ตนเองไม่มีสิทธิ์ ขา้ งต้น
Chapter 15
18
Type of computer crimes and criminals
• Cybercrimes หมายถึง การกระทาที่ผิดกฎหมายบน Internet
• Identify theft หมายถึง อาชญากร (the identity thief) ที่แสดงตัวเป็ นผูอ้ ื่น
• Cyberwar หมายถึงสงครามในเชิงระบบสารสนเทศของประเทศหนึ่ง ถูกทาให้เป็ น
อัมพาตจาก massive attack โดยการใช้ destructive software.
Chapter 15
19
Methods of Attack on Computing Facility
• (ตารางในหน้าถัดไปแสดงถึงวิธีการโจมตีระบบคอมพิวเตอร์ ) โดยทัว่ ไปมีสอง
แนวทางคือ การเข้าไปยุง่ เกี่ยวกับข้อมูล (Data Tampering) และ การโจมตีผา่ นทาง
โปรแกรม (Programming attack)
• ไวรัส (Virus) หมายถึง ซอฟท์แวร์ ที่ผกู ติดตัวมันเข้ากับโปรแกรมคอมพิวเตอร์ ต่างๆ
โดยที่ผใู ้ ช้ งานโปรแกรมเหล่านั้นไม่ได้ระมัดระวังว่ามันจะเกิดความเสี ยหายขึ้น
• Denial of Service (DoS)หมายถึง Cyber-attack แบบหนึ่งที่ผโู ้ จมตีส่ง data packets
ไปยัง คอมพิวเตอร์ เป้าหมายอย่างมากมาย โดยมีจุดประสงค์คือทาให้เกิด overload
ขึ้น จนกระทัง่ ระบบทางานช้าลง หรื อ หยุดทางาน
• การโจมตีผา่ นทางโมเดม (Attacks via Modems)
Chapter 15
20
Virus
Chapter 15
21
Security Terms
Method
Virus
Worm
Trojan
horse
Salami
slicing
Definition
Secret instructions inserted into programs (or data) that are innocently
ordinary tasks. The secret instructions may destroy or alter data as well as
spread within or between computer systems
A program that replicates itself and penetrates a valid computer system. It
may spread within a network, penetrating all connected computers.
An illegal program, contained within another program, that ‘’sleep' until
some specific event occurs then triggers the illegal program to be activated
and cause damage.
A program designed to siphon off small amounts of money from a number
of larger transactions, so theChapter
quantity
15 taken is not readily apparent.
22
Super zapping
A method of using a utility ‘’zap’’ program that can bypass controls
to modify programs or data
Trap door
A technique that allows for breaking into a program code, making it
possible to insert additional instructions.
Logic bomb
An instruction that triggers a delayed malicious act
Denial of services Too many requests for service, which crashes the site
Sniffer
A program that searches for passwords or content in packet of data
as they pass through the Internet
Spoofing
Faking an e-mail address or web-page to trick users to provide
information instructions
Chapter 15
23
Password
cracker
A password that tries to guess passwords (can be very successful)
War dialling Programs that automatically dial thousands of telephone numbers in
an attempt to identify one authorized to make a connection with a
modem, then one can use that connection to break into databases and
systems
Back doors Invaders to a system create several entry points, even if you discover
and close one, they can still get in through others
Malicious Small Java programs that misuse your computer resource, modify
applets
your file, send fake e-mail, etc
Chapter 15
24
15.4 Protecting Information Resources
• การป้องกัน Information Resources ขององค์กร ควรมีลกั ษณะ 6 ประการต่อไปนี้
• Aligned โปรแกรมการป้องกันควรปรับให้สอดรับกับ organizational goals.
• Enterprisewide ต้องรวมถึง ทุก ๆ คนในองค์กร
• Continuous โปรแกรมต้องถูกดาเนินการตลอดเวลา
• Proactive ใช้การวัดในเชิงนวัตกรรม การป้องกันและการปกป้อง
• Validated โปรแกรมต้องถูกทดสอบเพื่อมัน่ ใจว่ามันทางานอย่างถูกต้อง
• Formal ต้องรวมถึง authority, responsibility & accountability.
Chapter 15
25
Corporate Security Plan - Protecting
Chapter 15
26
Control and Awareness
Chapter 15
27
Defense Strategy: How Do We Protect ?
การรู ้เกี่ยวกับ potential threats ของ IS ถือเป็ นสิ่ งจาเป็ น แต่การทาความเข้าใจถึงวิธีการป้องกัน
ก็สาคัญเช่นกัน เราต้องใส่ controls (defense mechanisms) และ developing awareness เข้าไป
ในองค์กร
• The major objectives of a defense strategy are:
1.
2.
3.
4.
5.
6.
ป้องกันและยับยั้ง (ในเชิงไม่ให้กระทา)
ตรวจจับ
จากัดความเสี ยหาย
กูก้ ลับคืน
ทาให้ถูกต้อง (ต้นเหตุที่ก่อให้เกิดความเสี ยหาย)
Awareness and compliance
Chapter 15
28
Defense Strategy - Controls
General
Application
Chapter 15
29
General Controls
• Physical control
•
•
•
•
•
•
ออกแบบ data center ให้ถูกต้อง เช่น ไม่ไหม้ไฟ กันน้ า
ชีลด์เพื่อป้องกันสนามแม่เหล็กไฟฟ้า
มีระบบป้องกัน ตรวจจับ และ ดับไฟ
มีระบบไฟสารอง และ ระบบ UPS
มีการออกแบบ ดูแลรักษา และ ใช้งาน ระบบปรับอากาศอย่างถูกต้อง
มีระบบตรวจจับผูบ้ ุกรุ ก เช่น จับการเคลื่อนไหว จับความร้อน
Chapter 15
30
• Access Control
• การควบคุมการเข้าถึง คือ มีการอนุญาต (Authorize) และ การพิสูจน์วา่ เป็ นผูม้ ีสิทธิ์
จริ ง (เป็ นคน ๆนั้นจริ ง ๆ )(Authentication) สิ่ งที่ตอ้ งตรวจสอบคือUnique useridentifier (UID)
• Biometric Control
Photo face
Fringerprints
Hand geometry
Iris scan
Retina scan
Voice scan
Signature
Keystroke dynamic
Chapter 15
31
Defense Strategy – Biometric
Chapter 15
32
• Data Security controls
• หลักการพื้นฐาน 2 เรื่ องที่สะท้อนถึง data security คือ
• Minimal privilege จัดเตรี ยมข้อมูลให้เฉพาะที่ตอ้ งใช้งานเท่านั้น
• Minimal exposure เมื่อผูใ้ ช้ตอ้ งเข้าถึงสารสนเทศที่อ่อนไหว ต้องเปิ ดเผยเฉพาะผูท้ ี่มี
หน้าที่และเกี่ยวข้องเท่านั้นไม่วา่ จะเป็ น การประมวล จัดเก็บ หรื อ จัดส่ ง ก็ตาม
• Communications and Network controls
• Administrative controls
• Other General Controls
• Programming controls
• Documentation controls
• System Development controls
Chapter 15
33
• Application Controls
• Input controls ได้แก่
•
•
•
•
Completeness
Format
Range
Consistency
• Processing controls กระบวนการต้องมัน่ ใจได้วา่ ข้อมูลสมบูรณ์ ถูกต้อง แม่นยา
ในขณะที่กระบวนการกาลังประมวลอยู่
• Output controls ผลลัพธ์ตอ้ งถูกต้อง ใช้งานได้ สมบูรณ์ ไม่เปลี่ยนแปลง
Chapter 15
34
15.5 Securing the Web, Internets and Wireless Networks
• Border Security
• วัตถุประสงค์หลักของ border security คือ access control ดังนั้น จึงทา authentication
หรื อ proof of identity ก่อนเป็ นอันดับแรก และจากนั้นเป็ นการ authorization ซึ่ งเป็ น
การบ่งบอกถึงการดาเนินงานอะไรบ้างที่ user หนึ่ง ๆ ได้รับการอนุมตั ิให้กระทา
Chapter 15
Security Layers
35
Tool ที่เกี่ยวข้องกับ Border Security
•
•
•
•
•
•
•
•
•
Firewalls
Virus controls
Intrusion Detecting
Protecting Against Denial of Service Attacks
วิธีการอื่น ๆ
การเข้ารหัสข้อมูล (Encryption)
การใช้ Tester เพื่อทา Trouble Shooting เช่น Protocol analyzer
Payload Security เข้ารหัสข้อมูลในขณะที่ส่งเข้าระบบโครงข่าย
Honeypots ใช้กบั ดัก hacker เพื่อดูวา่ เขากาลังทาอะไร (โครงข่ายที่มี Honeypots
เรี ยก Honetnets)
Chapter 15
36
15.6 Business Continuity and Disaster Recovery Planning
• องค์ประกอบที่สาคัญในระบบรักษาความปลอดภัยใด ๆ คือ business continuity plan,
มักเรี ยกกันเป็ น
• Disaster recovery หมายถึง การวางแผนเพื่อเชื่อมต่อเหตุการณ์ต่างๆเข้าด้วยกัน อันเป็ น
ไปเพื่อกูก้ ลับคืน (เมื่อเกิดเหตุการณ์ที่ไม่พึงประสงค์)
• Disaster recovery plan. เป็ นแผนที่ระบุถึงแนวทางของกระบวนการที่ธุรกิจจะดาเนินการ
ต่อไปได้อย่างไรหลังจากเกิดหายนะใหญ่ ๆ (major disaster)
• Disaster avoidance หมายถึง การใช้แนวทางรักษาความปลอดภัยมุ่งไปในเชิงการป้อง
กัน
• Backup location หมายถึง สถานที่ที่เก็บรักษา ข้อมูลสาคัญ และ/หรื อ โปรแกรมที่สาคัญ
ที่ทาสาเนาเอาไว้ ซึ่ งต้องนามาใช้เมื่อเกิดเหตุการณ์ที่ไม่พึงประสงค์ข้ ึน
• Hot site หมายถึง สถานที่ที่ vendors จัดเตรี ยมให้ access ในลักษณะ fully configured
backup data center.
Chapter 15
37
• จุดมุ่งหมายหลักของ business continuity plan คือทาให้ธุรกิจดาเนินต่อไปได้หลังจากเกิดหายนะ
ขึ้นมา
• Recovery planning ถือเป็ นส่ วนหนึ่งของการประเมินการป้องกัน (asset protection)
• การวางแผนควรมุ่งเน้นไปที่การกูก้ ลับคืนจากการสู ญเสี ยความสามารถโดยรวมทั้งหมด ( total
loss of all capabilities)
• การพิสูจน์ถึงความสามารถของของแผนควรใช้ “What if analysis”
• Application ทั้งหลายที่วิกฤติตอ้ งถูกระบุและกระบวนการกูก้ ลับคืนต้องถูกกาหนดเอาไว้แล้ว
• แผนควรเขียนใช้งานได้ในทางปฏิบตั ิเมื่อเกิดหายนะขึ้น
• อ่านเพิ่มเติมใน A Close Look “15.4 How to conduct business continuity planning”
Chapter 15
38
Business Continuity continued
•
The plan should be kept in a safe place; copies should be given to all key
managers; or it should be available on the Intranet and the plan should be audited
periodically.
One of the most logical ways to deal with loss of data is to back it up. A business continuity plan
should include backup arrangements were all copies of important files are kept offsite.
Chapter 15
39
15.7 Implementing Security: Auditing and Risk Management
• การดาเนินการควบคุมในองค์กรหนึ่ง ๆ เป็ นเรื่ องที่ยงุ่ ยากและมีความ
ซับซ้อนในการดาเนินการ มีคาถามมากมายที่ตอ้ งตอบผูเ้ ข้าไปสังเกตการณ์
การตอบคาถามต่าง ๆ ข้างต้นคืองานของการตรวจประเมิน หรื อ auditing
task
• ผูต้ รวจประเมินมี 2 ประเภท คือ:
• ผูต้ รวจประเมินภายใน (internal auditor) คือผูต้ รวจประเมินภายในองค์กรแต่อยูน่ อก ISD.
• ผูต้ รวจประเมินภายนอก (external auditor) คือผูต้ รวจที่อยูน่ อกองค์กร
• การตรวจประเมินมี 2 ประเภทเช่นกัน คือ
• Operational audit เพื่อดูวา่ ISD ทางานถูกต้องหรื อไม่
• Compliance audit เพื่อดูวา่ การควบคุมที่ดาเนินการอยูถ่ ูกต้องและพอเพียงหรื อไม่
Chapter 15
40
Risk Management
•มักถือกันว่าไม้เป็ นการเตรี ยมป้องกันทุก ๆ อย่างที่อาจเกิดขึ้นได้ ดังนั้น IT security program
จะต้องให้กระบวนการในการประเมินภัยคุกคาม (assessing threats) และตัดสิ นใจว่า เรื่ องใด
ควรจัดเตรี ยม เรื่ องใดควรหยุดเอาไว้ (ignore)
•Risk-Management Analysis:
Expected loss = P1 x P2 x L
เมื่อ P1 = probability of attack (estimate, based on judgment)
P2 = probability of attack being successful (estimate, based on judgment)
L = Loss occurring if attack is successful
สมมติให้ P1 = .02, P2 = .10, L = 1,000,000 usd
Expected loss = 0.02 x 0.10 x 1,000,000 usd = 2,000
Chapter 15
41
Chapter 15
42
IT Security in 21 Century
•
Increasing the reliability of systems
•
Self-healing computers
•
Intelligent systems for early intrusion detection
•
Intelligent systems in auditing and fraud detection
•
Artificial intelligence in biometrics
•
Expert systems for diagnosis, prognosis, and disaster planning
•
Smart cards
Chapter 15
43
MANAGERIAL ISSUES
•
To whom should the IS department report?
•
เรื่ องนี้สัมพันธ์กบั degree of IS decentralization และ บทบาทของ CIO การมี IS department ขึ้นกับ
functional area ใด ๆ อาจนามาซึ่ งการโน้มเอียงในการให้ความสาคัญกับ functional area นั้น ๆ เป็ น
พิเศษ สิ่ งที่ตอ้ งการคือ IS ควรรายงานตรงต่อ CEO
•
Who needs a CIO?
•
นี่คือคาถามที่สาคัญซึ่ งสัมพันธ์กบั บทบาทของ CIO ในฐานะ senior executive ขององค์กร การให้
ตาแหน่งโดยไม่มีอานาจหน้าที่อาจเป็ นการทาลาย ISD และการทางานต่าง ๆ ที่เกี่ยวข้อง ดังนั้น
องค์กรใด ๆ ที่มีการทางานขึ้นอยูก่ บั IT เป็ นอย่างมากแล้ว ควรมีตาแหน่ง CIO
Chapter 15
44
• End users are friends, not enemies, of the IS department.
• ความสัมพันธ์ระหว่าง end users กับ ISD เป็ นเรื่ องที่ละเอียดอ่อน ในอดีตนั้น ISD จะทา
ตามที่ end-user ร้องขอเท่านั้น ซึ่ งทาให้การร้องขอข้างต้นเป็ นอิสระจากกันและกัน ส่ งผลให้
สิ้ นเปลืองค่าใช้จ่ายและไม่มีประสิ ทธิภาพ ดังนั้นปั จจุบนั นี้ บริ ษทั ทีป่ ระสบผลสาเร็ จมักจะ
พัฒนาบรรยากาศการทางานในเชิงเพื่อร่ วมงานมากกว่า
• Ethical issues.
• เรื่ องการรายงานที่เกิดจาก ISD นั้น บางครั้งจะเรื่ องของจรรยาบรรณเข้ามาเกี่ยวข้อง เช่น ถ้า
ISD ขึ้นกับฝ่ ายการเงิน ก็จะทาให้ฝ่ายการเงินสามารถเข้าถึงสารสนเทศของแผนกอื่น ๆ ได้
ในขณะที่แผนกอื่น ๆ ไม่สามารถเข้าดูของแผนกการเงินได้
Chapter 15
45
MANAGERIAL ISSUES Continued
•
Responsibilities for security should be assigned in all areas.
•
ยิง่ องค์กรใช้ Internet, extranets, และ intranets มากเท่าใดก็จะมีเรื่ องความปลอดภัยเข้ามาเกี่ยวข้อง
มากขึ้นเท่านั้น จึงเป็ นเรื่ องสาคัญที่พนักงานทั้งหลายต้องรับผิดชอบว่าสารสนเทศอะไรที่ตอ้ งถูก
ควบคุมด้านความปลอดภัย ดังนั้น ถือเป็ นหน้าที่ของ functional managers ที่จะต้องเข้าใจและ
ดาเนินการตาม IT security management and asset management อย่างถูกต้อง
•
Security awareness programs are important for any organization, especially if
it is heavily dependent on IT.
•
โปรแกรมข้างต้นควรทาทัว่ ทั้งองค์กรและได้รับการสนับสนุนจากระดับ senior executives หลาย ๆ
คนคิดว่า การปฏิบตั ิตาม administrative controls คือการเพิ่มภาระของงาน จึงไม่ปฏิบตั ิตาม
Chapter 15
46
MANAGERIAL ISSUES Continued
•
Auditing information systems should be institutionalized into the
organizational culture.
•
องค์กรต้องทาการประเมิน IS เพราะถือว่าเป็ นการประหยัดเงิน (เมื่อเกิดเหตุการณ์ใด ๆ ขึ้นมาอาจ
ทาให้เกิดความสู ญเสี ยให้กบั องค์กรอย่างมากมาย) ในทางกลับกัน over-auditing ไม่ค่อยมีผลกับ
ต้นทุนเท่าใด
•
Multinational corporations.
•
องค์กรที่มี ISD เป็ นแบบ multinational corporation จะมีความซับซ้อนมากขึ้นในการบริ หาร
จัดการรวมทั้งหมด บางองค์กรจึงจัดโครงสร้างแบบ complete decentralization โดยมี ISD ในแต่
ละประเทศ หรื อมีหลาย ISD ก็ได้ บางองค์กรมี centralized staff อยูส่ ่ วนหนึ่งจานวนน้อย ๆ แต่
บางองค์กรกลับจัดองค์กรแบบ highly centralized structure ไม่มีกฎเกณฑ์ที่แน่นอน
Chapter 15
47