บทท 15การบรหารสารสนเทศ หรอการบรหารขอมลทรพยากร และ

ความปลอดภย(Managing Information Resources &

Security)-----------------------

15.1 IS = Information System15.2 CIO ในการบรหารแผนก IS15.3 IS ทออนแอทไมคง (Vulnerability) และอาชญากรรมคอมพวเตอร15.4 การปองกนทรพยากรขาวสารขอมล ของชาตหรอเฉพาะชาต หรอทใชทวไป ความพยายามขององคการหรอ การรวมกำาลงขององคการ15.5 สวสดภาพความปลอดภยของ WEB , INTRANET ขายสาย วทยโทรศพท Wireless Networks15.6 การสบเนองของธรกจและการวางแผนก เอากลบคนจากความเสยหาย15.7 เครองมอ เครองใช ความปลอดภย : การตรวจสอบ และการวเคราะหความเสยง

วตถประสงคของการเรยนร1.รสก, ยอมรบ ถงความยากในการบรหารทรพยากรขอมล2.ความเขาใจ บทบาท ของแผนก IS และ ความสมพนธกบตอนสดทายตรงทผใช3.การประชม ถกเถยง ปรกษากน, บทบาทของหวหนา เจาหนาท

ขาวสารขอมล

1

4.ร ส ก, ยอมรบ ในระบบขอม ลขาวสาร ,ทอ อนแอ ไมม นคง (Vulnerability),

วธการโจมต, ถกเลนงาน, และความเสยหาย ทอาจเปนไปไดจากการปฏบต การอยาง

บกพรอง,OR การไมสามารถปฏบตงานไดอยางปกต5.อธบาย วธการหลก ของการปองกน ระบบขอมล6.อธบาย ความปลอดภย ทออกมาจาก WEB และ electronic

commerce7.อธบาย การตอเนองของธรกจ แ ล ะ ก า รวางแผน ก , OR เอากลบคนมา

การสบเนอง จากความเสยหาย, โชคราย

OR การดำาเนนการตดตอกนไป8.ความเขาใจในเศรษฐกจ ของความปลอดภย

เศรษฐศาสตร และการบรหารความเสยง

อาชญากรรม คอมพวเตอรระยะเวลาหนงพนปใหม

เมอวนท 1 มกราคม ค.ศ.2000, โลกไดเบาใจ โลงใจทไดรวาความเสยหาย ตอระบบขอมล อนเนองมาจาก ปญหา YK 2 เปนไปไดนอยทสด อยางไรกตาม, เพยงประมาณ 6 สปดาห ทเขาส ระยะเวลาหนงพนปใหมน, ระบบคอมพวเตอร รอบ ๆ โลก จะถกโจมต โดยการกระทำาของอาชญากรรม

เมอวนท 6 กมภาพนธ ค.ศ. 2000, ดานทตง C- commerce ทใหญทสดกไดลมลงคลายตวหมาก ดอม-อ-โนส (DOMINOS) (เกมหมากชนดหนงม 28 ตว) อนแรกกเปน Yahoo, ซงถกบงคบ, ขบเคลอนใหปดลงเปนเวลา 3 ชม. ตอไปกเปน e Bay, Amazon.com,

2

E* Trade, และหลาย EC หลก ๆ อนอน ๆ และทตงฐาน Internet ซงกไดดบมดลง

ผจโจมไดใชวธทเรยกวา ( การปฏเสธ, การไมยอมรบ การบรการ denial of service (DoS) โดยเหมอนการทบดวยคอนไปทอปกรณ , เคร องมอ Website’s ดวยการรองขอ OR ขอรอง มากมากตอขอมล, และผจโจม, โจมต คอ attacker สามารถใชระบบขดขวาง, ถวง (clog) อยางไดผลทำาใหพฤตกรรม, สมรรถะ, การปฏบตงานชาลง และทฐานทตง ตวระบบลม ในทงหมด, สงหนง, ทจำาเปน คอ ทำาเพอไดรบ DOS software (การมอยอยางอสระปลอดจากบรรดา ทตงพวก hacking ทงหลาย (คนเลวๆ) ทำาใหแตกออกมาและไมเกยวของ ไมสมพนธ ไมป องกนคอมพวเตอรท จะซ ำา ๆ ซ ำาสง และโรงงานบาง software ทนนทจะเลอกการรองขอ, ขอรองไปยงทตงเปาหมาย และสอนหรอแนะนำาถงการไมปองกน Computer ในการทจะซำา ๆ สง การขอรอง สำาหรบการสงขอมล ไปยงทตง หรอฐานทตงเปาหมาย มนเหมอนกบวาใหหมนเบอรโทรศพท อยางคงท , อยางเสมอ ดงนน เพอวาไมใหมใครสามารถผานเขาไปได มนเปนการใชเวลาสำาหรบการโจมตฐานทตง ทถกระบ ถกบงช ทจะสง Computer และการขดขวาง, กดขวาง (Block) e-mails จากเขาเหลานน ดงนนด วยประการฉะน, การโจมต, การจโจมฐานทมน อาจจะเสย ( คอ สอสาร OR บรการไมได Out – of – service ) เปนเวลา 2-3 ชม.

ความสำาคญ OR ขนาดของความเสยหาย เปนขนาดใหญนน คอวนท 9 ก.พ. , ทนายความ, ตวแทน, ผรบมอบอำานาจ ทวไป ของสหรฐ U.S. ได ใหคำามนสญญา หรอหลกประกน จะแกะรอยอาชญากร และประกนวา Internet ยงคงปลอดภย สงนประกนวาไมใชสงสดทายทยาวเกนไป คลาย, กบสามารถทจะมองเหนไดจาก เร องราวทจะบอกดงตอไปน จาก ศาสตรจารย Turfan :

เมอผมเปด e-mail ของผมเมอวนท 4 พ.ค. ค.ศ. 2000 ผมสงเกตเหตทนททนใดวา จำานวนขอมลขาวสารมขนาดใหญกวาปกตการลงเอยของการสงเกต เผยใหเหนวา ประมาณ 20 ขาวสาร มหวขอเรอง

3

วา I love you, และสวนใหญมาจาก คณะในมหาวทยาลย, เลขาและนกบรหารท City University ของ Hong Kong. นนไมใชเหตผลทจะเชอวาคนจำานวนมากจะสงสารรกมาถงผมในวนเดยวกน

ความคดอนแรกของผมไดเปด ขาวสารอนหนงเพอจะหาวามนจะเปนอยางไรตอไป แตความคดทสอง ทำาใหผมจำาไวรสชอ “ Melissa” และคำาแนะนำาวไมใหเปดเอกสารแนบใด ๆ ทแนบมา แปลก ๆ ทาง e-mail ผมยกหโทรศพท และเรยกหนงในผสง, ผซงบอกผมวาไมใหเปดเอกสารแนบใด ๆ ทแนบสงมามนกจะเปนเหมอน ไวรส เหมอนตาย

อยางไรกตาม, ถงแมวาระบบของ ศจ. Turban จะหนไวรสได, แตผใชนบพนทแผไปทวโลกกวาง กไดเปดเอกสารแนบทชอ “Love” และมนกเหมอนกบไดปลอยตวแมลง, ตวกบดก. เปนทสนใจทจะสงเกตวา การกลาวอางของผโจมต, จากฟลปปนส, ไมไดถกดำาเนนคดและเปนเหตใหเขาไมไดถกจดการโดยกฎหมายในฟลปปนส ความเสยหายอนเนองมาจาก Zetter และ Miastkowski ( ป ค.ศ. 2000 ถกประเมนราคาขนแผหลายไปทวโลก ถง 8.7 ลาน ลาน $ Billion [ billion = ใน Eng = (ลาน ลาน), billion = ใชใน U.SU. = (พนลาน)]

บทเรยนทเรยนจากกรณนตงแต พ.ค. ป 2000 มไวรสหลกออกมาโจมตมากกวาจำานวนโหล

และเปนไวรสเลก ๆ ยอย ๆ นบรอย, เปนเหตใหเกดความเสยหายตอองคการและแตละบคคล

ความชดเจน, แหลงขอมล, รวมถงคอมพวเตอร , เครอขาย, โปรแกรมและขอมล ทออนแอทไมมนคงเหลาน เปนการจโจม, โจมตทไมไดคาดการลวงหนาไวเลยผกอการโจมต เขาสามารถ กำาหนดในความเปนหนงในการทำาได

15.1 แผนก ระบบขอมล IS และ สดทาย ทผใช

บรษท, หรอสามารถโจมตหลาย ๆ บรษท และแตละบคคลโดยปราศจากการแบงแยก หรอ

4

แบงพวก, โดยใชวธการโจมตหลากหลาย แมวาวธการโจมต จะมความแตกตางกนเทาทร, การทจะปกปอง ตอตานเขาเหลานนเปนการยาก และ/หรอ ราคาแพง ตามเรองของ “Love” ตวไวรส ดงนไดปรากฎไปหลายประเทศ โดยทไมมกฎหมายทเพยงผลทจะจดการกบ อาชญากรรมคอมพวเตอร จากเหตผลทงหมดทเกยวมา, การปองกนระบบเครอขาย สามารถทำาออกมาไดอยางซบซอน

การกระทำาของบคคลผคน หรอ ธรรมชาตของคน สามารถเปนสาเหตใหระบบขอมลขาว

สาร การทำาหนาทไปในทางทแตกตางกนไป จากการทจะวางแผนอะไร เปนสงทสำาคญ, ดงนน เพอทจะรวาจะทำาอยางไรเพอประกนเพอทำาใหแนใจวาจะดำาเนนงานตอไปไดของ IS และรวาจะทำาอะไร ถาระบบลมสลาย, หยด. สงเหลานออกมาคลายคลงกนตอความเกยวของในการบรหารแหลงขอมล, ซงเปนชอเรองของบทน

ในบทนเราดไปท จะทำาอยางไรทใหแผนก IS และสดทายทผใชไดใชทำางานไดรวมกน,

และบทบาทของหวหนาท ขาวสารขอมล, และการออกมาถงการรกษาความปลอดภยในขาวสารขอมล และการควบคมทว ๆ ไปของระบบ Web เปนพเศษโดยเฉพาะเจาะจงในทสดเราไดจดการวางแผนใหธรกจดำาเนนไปไดอยางตอเนอง หลงจากเกดภยพบตเสยหาย, และตนทนของการปองกนคอมพวเตอรจากอนตราย

แผนกระบบขอมล IS และสดทายทผใชในหนงสอเลมนโดยทวไป, เราสามารถมองเหนระบบขอมลขาวสารถก

ใชมากขน ในการเพมผลผลต = increase productivity และชวยใหประสบความสำาเรจในดานคณภาพ , เวลาทเหมาะสม คอ ทนเวลา, และความพงพอใจสำาหรบทงลกจาง และ ลกคา, สวนใหญมาก ๆ ขนาดกลาง, และแมแตองคการขนาดเลกรอบโลก เขมแขง และมการดำาเนนงานขนกบระบบ IT ระบบขอมลของเขาเหลานนมการพจารณา กลยทธ OR ยทธศาสตรอยางสำาคญทเดยว

5

แผนก IS ในองคการทรพยากร, แหลง IT มหลากหลายแตกตางกน, เขาทงหมาย ( OR G. ทงหลาย) จะรวมคน,

บคลากรเปนสนทรพย, เทคโนโลยเปนสนทรพย และ สนทรพย หรอทรพยสนทเกยวกบ IT การบรหารทรพยากรขอมลถกแบงระหวางแผนกการบรการขอมล ( ISD ) และสดทายทผใช (end users ) การบรหารทรพยากรขาวสารขอมล ( IRM ) รายรอย OR ลอมรอบเกยวของกบกจกรรมทงหมดทจะวางแผน, จดองคการ, การหาหรอการไดมา, การบำารงรกษา, สวสดภาพ, ความปลอดภย และ การควบคม แหลงทรพยากร IT การแบงความรบผดชอบขนอยกบหลาย ๆ ปจจย เร มตนจากจำานวนสนทรพย IT , และธรรมชาต, หนาททรวมไปถงใน IRM และจบสนสดทนโยบายจากแหลงภายนอกการตดสนใจเกยวกบ บทบาทของแตละคณะ, เจาหนาท, หนวยงานทำาขนระหวางการวางแผน (บ ท ท 9 ) (เ พ อ ใ ห ม อ ง เ ห น ท ะ ล ม ค ว า ม เ ข า ใ จ ล ก ซ ง , ใ ห ด Sambamurthy และอน ๆ อก, ป ค.ศ. 2001 )

การตดสนใหญหลก, สวนใหญ ตองทำาจากผบรหารอาวโสเปนทซง ISD ทจะรายงานไปยง

การปกครองเปนลำาดบชนขององคการบางสวนสำาหรบเหตผลเกยวกบประวตศาสตร สำาหรบสถานทซงรวมกนไดทจะหา ISD อยในการนบอยในสวนแผนกของบญช หรอ การเงน ในตวอยางบางสถานการณ, ตามปกต ISD รายงานตอผควบคม หรอหวหนาเจาหนาทการเงน ISD อาจจะตองรายงานไปยงหนง ในตำาแหนงทเกยวของดงตอไปน

เชน 1. รองประธานฝายเทคโนโลย2. รองประธานฝายบรหาร

(ตวอยาง, เพอการบรหาร ) , OR หรอ ( 3 ) CEQ

ผอำานวยการ IS เสมอนกบเปน หวหนา “ ”เพอแสดงโชว ความสำาคญของพนท IS , บางองคการเรยก ผอก. IS วาหวหนา เจาหนาท ขอมลขาวสาร ( CIQ ) หวขอเร องคลายคลงกบ

6

หวหนา เจาหนาท ฝายการเงน ( CFQ ) และหวหนา เจาหนาท ปฏบตการ ( CQQ ), นเปนตวอยาง เฉพาะทสำาคญเทานน หรอรองประธานอาวโสรบเร องน หวขออนทใชรวมกนได จะเปน รองประธานสำาหรบรองประธาน IS เพอขอมลเทคโนโลย, หรอ ผอก. ของระบบขอมล โชคไมด, เชน คลาย Becker (ชอคน) (ป 2003) รายงาน, บางบรษทหลายบรษทไดแบง หวขอเรองเปน CIQ , แตกไมสอดคลองกบตำาแหนงความสำาคญ อน ๆ

“หวหนา, ผบงคบบญชา ทไดรบแตงตงในหวขอ เร อง ” CIQ และตำาแหนง ผซงบคคลนจะรายงานการสะทอนกลบ, ในหลายๆ กรณ ระดบการชวยเหลอสนบสนนถกแสดงโดย ผบรหารระดบสง สะทอนกลบ จดรวมของแผนก

ถา ISD รายงานกบ/ตอ บญช หรอ พนทการเงนมบอย ๆ ทแนวโนม เนนยำาบญช หรอ การเงน เพอเร องคาใชจายของสงเหลาน ในดานการตลาด, การผลต และการขนสงในพนท ในบางองคการ, หนาทของ IS ถกแจกจายออกไป, และขนอยก บธรรมชาตของเขาเหลานน ( ด กรณยอย, /) เพอทจะใหได ผลทสด, I$D จำาเปนตอการนำาคลายกระดานมาทำาเขยนความคดเหน เทาทจะเปนไปได ชอและตำาแหนง ของ IS Department ชอ ISD กเปนสงทสำาคญเชนกน อยางแรกหรอโดยแรกเร ม ถกเรยกวา เปนแผนกการดำาเนนการ, ขบวนการเกยวกบขอมล = Data Processing (DP) Department และแลวชอกถกเปลยนไปเปนแผนก การบรหารจดการระบบขอมล Management Information System [MIS] และก มา เป น แผนกระบบขอม ล Information System Dept. [ISD] ในการเสรมเพมเตม, หนง, อนง, สามารถ พบชอ เชน แผนก สารสนเทศทางเทคโนโลย หรอ ขอมลทางเทคโนโลย, ศนยความรวมมอทางเทคโนโลย, และอน ๆ ทจะเปนได ในองคการทใหญมาก ๆ , ISD สามารถแบงได, หรอแมแต บรหารรวมมอกนไดอยางเปนเอกสาร, เปนอสระ(ต.ย. เชน ธนาคารแหงอเมรกา และบรษท โบอง)

7

บางบรษ ท แยกก จกรรม e-commerce ของเขา , สร าง , ประดษฐ แบงเปนออนไลนแบบพเศษ อนนทเราเขาไปใกลอยาง สายการบนแควนตส , สำาหรบต.ย., ในดานอน ๆ e-commerce อาจจะรวมกบ ISD ในแผนกเทคโนโลย หรอแบงแยก, แบงออกมา, ชอนาย Becker (ป ค.ศ. 2003) รายงานบนสอทงการศกษาวาไดแสดงใหเหนวา บรษททงหมาย ไดกลบมา มาอยางใหญหลวง จาก IT เมอเขาทงหลายได ปฎบต, ทำาการรกษา = treat เจา ISD คลายกบสวนอะไร หรอใด ๆ ทสำาคญ อน ของธรกจของเขาทงหลาย

สถานะของ ISD กขนอยกบงานปฏบต mission และโครงสรางภายใน ชอ Agarwal และ ชอ Sambamurthy ( ป ค.ศ. 2002) ไดคนพบจากการสำารวจวา บรษททงหลายปกตจะจดการ หนาท, การทำางาน IT ของเขาทงหลายในหนงของวธการดงตอไปน : ทำา IT เปนกจกรรมทมสวนรวมในนวตกรรม , การเปลยนแปลงในธรก จ , แบงจดสรร ทรพยากร IT เพอนวตกรรม,การเปลยนแปลงและใหถงกนทวโลก, หรอ เสาะแสวงหาความยดหยน ทาง, ไปทางการพจารณา จำานวนของแหลงภายนอก outsourcing

การเพมบทบาท และความสำาคญของ IT และ การทจะบรหารจดการกบเจา IT , ทงโดยการกระจายหนวยตาง ๆ และสดทาย ทผใช, ความตองการ ความเขาใจอยางระมดระวง ของลกษณะทาทางในการซง บรหาร จดการ ISD ใหดเทากบความสมพนธ ระหวาง ISD และสดทายทผใชทงหลาย หวขอเหลานจะเปนสงทถกเถยงกนตอไป และดวย, การทมากกวานน คอการตดตอ ระหวาง ISD และองคการ, ดแบบการตอบกลบ, สะทอน IRM ในแฟม (files) Online Files W 15 / ทตงของเวบซหนงสอ book’s Web site

มนเปนสงทสำาคญมากเหลอเกน ทมความสมพนธอนดระหวาง ISD และสดทายทผใชทงหลาย โชคราย, ทถงแมวา, ความสมพนธเหลาน จะไมเปนทนาพอใจทสดเสมอ การพฒนาของคอมพวเตอรทสดทายทผใช และแหลงภายนอก outsoureing เปนสงจงใจกระตนในสวนทการบรการแย และนนคอ สดทายทผใชไดรบรสกถงวาเขาทงหลายไดรบจาก

8

ISD (สำาหรบการทจะออกมาถงทำาอยางไรทจะวด, [มาตรการออกมาวด ] ถงความมคณภาพของบรการ IS Sernice , ด Jiang และอน ๆ เปนตน ฯลฯ (ป 2002 ) การตอสเปนปรปกษตอกนไดเกดขนจากหลาย ๆ เหตผล , เก ดจากการรบร จากความจรงวามการเก ดมาก อน (priorities) ของ ISD ซงอาจแตกตางจากสงเหลานนของสดทายทผใชขาดแคลนในการตดตอสอสาร

Also , there are differ fromอกทง, ยงมความแตกตางจากสงตาง ๆเหลาน ของสดทายทผใชทขาดการตดตอสอสาร และยงมพนฐานบางอยางทแตกตางกนระหวาง บคคลลกษณะ ทาทาง ( personalities) รปแบบ ความรความเขาใจ (cognitive ) พนฐานการศกษา และประเภท, การเกด, ชนด, เพศ ของสดทายทผใช กบ Vursus พนกงาน ISD staff ( โดยทวไปผชายมากกวาใน ISD )น น , สามารถสน บสน นให เง นชวยเหล อต อการต อส (conflict) ตวอยาง การตอส เชนนน แสดงใหเหนใน IT ทงาน Work 15.1

สถานการณ ไดถกอธบายใน IT ทงาน Work 15.1 ซงถกตองดพอใช พอกนรวมกนได หนงในผประพนธ เมอแสดงคลายกบบททปรกษา consultant แกบรษทการบนในอากาศและทองเทยวไปในอวกาศ ( aerospace company ) ในลอสแอนเจลส พบวา บอย ๆ ทสดทายทผใชไมมเคร องมอมาตรฐาน โดยทำาขนมาจากการซอเลก ๆ เลกกวาอยางหลากหลายแทนทจะซออนหนงใหญ ๆ ไปเลย เพาระวาการซอทเลกๆ เลกวาไมตองการการอนมตโดย ISD เมอถามถง ถา ISD ไดร ทราบเกยวกบ การตวงกน การใชอบายดก ( eiveumventing) ของกฎน การละเมด การกระทำาผด ผจดการตอบ แนนอน เขารแตเขา“สามารถทำา - ทำาใหผมโกรธ (ทำาไม) ?

Generally, the ISD can take one of the following four approaches toward end-user computing

กลาวโดยทวไป, ISD สามารถนำาอนหนงไปทำาดงตอไป 4 วธ (4 ลกษณะใกลเคยง) (4 วธทหาได) ไปยงสดทายทผใชคอมพวเตอร (หรอเครองคำานวณ)

9

1. จง/ อนญาตใหเขาจมหรอวายนำา ไมทำาการใด ๆ : สดทายทผใชระวง

2. ใชไมเรยว , ตงกฎและวธการ, ขบวนการในการควบคมขนสดทายทผใชเคร องคำานวณ ดงนน นนคอรวมกนเสยงใหนอยทสด, และพยายามทจะบงคบมนทงหลาย

3. ใชหวผกกาดแดงสรางสรร แรงจงใจทจะสงเสรมให แนนอนขนสดทายทผใชจะไดฝก และลดการบรหารจดการรวมกำาลงลดความเสยง

4. เสนอ, สนบสนน, พฒนา, บรหารทจะชวยขนสดทายทผ ใชในกจกรรม เครองคำานวณ, เครองคอมพวเตอรแตละการตอบสนองเหลาน แสดงใหเหนถงการบรหารฝายบรหาร IS กบ ความแตกตาง

ในโอกาสสำาหรบการทำาใหงาย, สะดวก, คลองแคลว และการประสานรวมมอกน และแตละนนมผลประโยชนในตวเองและไมมผลประโยชน

Fostering ทเลยงด, สนบสนน, อปถมภ ซงไดรบการเลยงดThe ISD / End – User

สดทาย ผใช–Relationships ความสมพนธ, ความเกยวดองThe ISD is a service organization that manages the IT คำาแปลISD เปนองคการทบรการ ซงการจดการ อนเปนโครงสรางพนฐาน เชน ถนนหนทาง , สง

กอสราง IT , จำาเปนทจะตองดำาเนนไปใหสดทายทผใช ไดใชเปนประโยชน (applications) ดงนนหนสวน ระหวาง ISD และสดทายทผใช [ ทจะตอง or เปนผตอง] สงนไมใชงานงายเลย ตงแต ISD เปนองคการทางเทคนคพนฐาน ซงอาจจะไมเขาใจธรกจ และผใช ผใช, มออน ๆ คนอน ๆ อาจจะไมเขาใจ เทคโนโลย ในขอมลขาวสาร, สารสนเทศ

ดงนนดวยเหตน สามารถทจะแตกตางกนได ระหวาง ISD (ผจดหา provider ) และสด

10

ทายทผใช ในขอตกลงขอกำาหนดวาจะทำาอยางถงจะมมาตรการวด บรการ IT แบงเปน ( Quality คณภาพ , quantity ปรมาณ) (ด Jiang และอน ๆ ฯลฯ ป 2002) เหตผลหลกสำาคญอน ๆ สำาหรบความสมพนธตามกาลเวลาในองคการตาง ๆ มากมาย, เปนการยากทจะประชมถกเถยงในบทท 13 กลาวถง การประเมน การลงทน IT ( Seddon และอน ๆ ฯลฯ ป 2002 )

To improve collaboration, เพอปรบปรง ความรวมมอ, ชวยเหลอ, ISD และสดทายทผใช อาจ จาง 3 การจดการรวมกนได : The steering committee= คณะกรรมการ ซงมหนาทวางระเบยบวาระ และวธดำาเนนงาน Service level agreements = ขอตกลง ระดบการบรการ, and the information center = ศนยขอมล (For other strategies, see online file W.15.2) สำาหรบกลยทธ ยทธศาสตร อนๆ ดออนไลน ไฟล w.15.2

คณะกรรมการ ความรวมมอของคณะกรรมการ คอ กลมผจดการ และ Staff พนกงาน ตวแทน หลากหลาย ในหนวยของ องคการซงไดจดตงขน เพอกอตงการทำาขนกอน-หลงของ การทำากอน IT และเพอใหแนใจวา ISD ไดประชมถงความจำาเปนขององคการหนวยงาน (ด กรณยอย 1) งานหลกของคณะกรรมการ คอ :- กำาหนดทศทาง ในการเชอม ประสาน กลยทธ กบ กลยทธ IT,

วางแผนกจกรรมทสำาคญ (ดบทท 9) และ Willcocks และ Sykes, ป 2000)

การแบงสนปนสวน Rationing คณะกรรมการ อนมตการแบงสวน ทรพยากร สำาหรบและภายใน องคการระบบขอมลสารสนเทศสงน รวมถง นโยบายทรพยากรจากขางนอก outsowcing policy

โครงสราง คณะกรรมการเกยวของอยางไร ISD เปนตำาแหนงทมนในองคการ, การออกมาของการรวมขนจดเดยว-การกระจาย ของ

11

แหลงทมา, ทรพยากร IT คอ/เปน การตกลงใจ, แยกวเคราะห, ตดสนใจโดยคณะกรรมการ

พนกงาน กญแจ, ความสำาคญ ของ บคลากร IT ตดสนเกยวพนการปรกษาขอความเหน และอนมตกระบวนการซงจดทำาโดยกรรมการโดยเฉพาะเปนการเลอกของ CIO และการตดสนใจทรพยากรขางนอก หลก, ของ IT.

การตดตอสอสาร เปนสงสำาคญ ซงขอมลขาวสารอางถงกจกรรม IT ดำาเนนไป (ไหลไปได) อยางอสระเสร

การประเมน คณะกรรมการ ควรจดตงคณสมบตสมรรถนะมาตรการการวด สำาหรบ ISD และเหนได ซงการมาพบกนสงน รวมถง การเรมขนแรก ของขอตกลงในระดบบรการความสำาเรจของคณะกรรมการ สวนใหญโดยมาก ขนอยกบการจดตง IT Government (ขอแปลวา การจดการดแล

ทด IT.) โดยทางการ, โดยระเบยบ การจดการแถลงการ ควรเปนนโยบายโดยตรง อางองถง การวางแนว IT กบเปาหมายองคการ, การตดสน ความเสยง, และการกำาหนดสวนแบงของ ทรพยากร (cilli, ป 2003)

ขอตกลงระดบบรการ SERVICE LEVEL AGREEMENTS) ขอตกลงระดบ-บรการ (SLAS) เปนขอตกลงทเปนทางการ อางถง การแบงความรบผดชอบเครองคำานวณ (เครองคอมฯ ระหวาง สดทายทผใช และ ISD และบรการทคาดหวง ทจะตอบ มอบคนใหโดย ISD. ขอตกลงระดบบรการ สามารถทจะมเจตนา, ความมงหมาย คลายกบสญญาระหวางแตละหนวยสดทาย-ทผใชและ ISD ถาทางออกระบบคาธรรมเนยบกลบ, มนเปนสงปกตเปนธรรมเนยม อธบาย, ชแจง Spellout กนใน SLA ในกระบวนการของการจดตงและการนำา SLA มาใช อาจจะประยกตใชกบแตละแหลงทรพยากร Computing, Hardware, people คน, data ขอมล, เครอขาย networks, และกระบวนการ

การแบงความรบผ ดชอบใน SLA เป นพ นฐานข นฉก เฉ น , วกฤตกาล Ritical การตดสนใจ เครองคำานวน, เครองคอมพวเตอร ซง

12

ทำาโดย ผจดการสดทายทผใช, ผซงตกลงทจะรบในความรบผดชอบในเครองคำานวณ, เครองคอมพวเตอร อยางแนนอน และกลบไปเขาขาง, พลกไปทางอนๆ ส ISD. ตงแตทผจดการสดทาย ทผใชทำาการตดสน–ใจเหลาน, เขาทงหลายกมอสระภาพทจะเลอกจำานวนและชนดของการสนบสนน, เขาทงหลายรสกถงสงทเขาตองการอสระเสรภาพน เลอก การแบงการเชค ISD และสงเสรมสนบสนนไปสการพฒนา และสงลำาเลยงการสนบสนนการบรการ การพบปะ ความจำาเปน ตองการ สดทายทผ ใ ช

การเขาใกลประทะ พนฐาน SLAS เสนอผลประโยชนใหหลากหลาย อนแรกๆ มนลด การชนว โดยรบผดชอบทมความเฉพาะเจาะจงลงไป“ ”อยางชดเจน เมอ PC ไมสามารถปฏบตงานไดอยางปกต การปฏบตอยางบกพรอง (Malfunction) , ทกๆ คน จะรโดยผซงเปนคนรบผดชอบ ไดกำาหนดมนลงไป ประการทสอง มนเปนการแบงโครงสราง สำาหรบการออกแบบและจดสงของการบรการ สดทายทผใช โดย ISD, ประการทสาม มนเปนการสรางแรงจงใจสำาหรบสดทาย ทผใชเพอทจะปรบปรง การฝกฝนเครองคำานวณ, เครองคอมพวเตอร ดงนน เพอลดความเสยงเครองคอมพวเตอร เพอความมนคง

การกอตง ความตองการ SLAS มขนตอนดงตอไปน1. กำาหนด ระดบการบรการ2. แบงความรบผดชอบเครองคำานวณ, เครองคอมพวเตอร ทแตละ

ระดบ3. ออกแบบ รายละเอยดของระดบบรการ รวมถง การวดคณภาพ (ด

Jiang และอนๆ ฯลฯ ป ค.ศ.2002)4. ระดบการบรการการนำามาใช Kesner (ป 2002) บวกกบสงเหลาน5. การมอบหมาย เจาของ SLA (บคคล หรอ แผนกซงไดรบ (ทำา SLA )6. เครองรบสง Monitor – SLA สวนประกอบ Compliance,7. วเคราะห สมรรถภาพ การทำางาน8. กลนกรอง SLA กบความจำาเปนตาม ความเปน และ

13

9. ปรบปรง บรการ ไปยงแผนก หรอบรษท

15.1 แผนก IS และ สดทายทผใชเนองจากการแนะนำา เครองมอ Web-based tools สำาหรบการงานของ Monitoring เครองรบ

สงคลนสญญาณเสยง กจการ enterprise, เครอขาย network, นากลาวถงมากกวานน เมอเรวๆ นมการให ขอตกลงในระดบ-การบรการ, (Adam, ป 2000) [ foo an everview สำาหรบ ขอคดเหนทวไป, ทศนคตโดยทวไปของ SLAs, ด Pantry และ Griffiths, ป 2002 ; สำาหรบคำาแนะนำาในการควบคม SLAs อยางไร, ด Diao และอนๆ ฯลฯ , ป 2002]

ศนยกลางขาวสารขอมล/ศนยสารสนเทศแนวคดของศนยขอมล (IC) เปนทรกนวา คลายกบศนยกลาง การ

บรการผใช, ศนยกลางสนบสนนเทคนค, หรอชวยเหลอ คอ เปนศนยชวยเหลอ (IS) ซงกอตงขน, คดขนโดย IBM. Canada ในป 1970 คลายกบเปนการตอบสนอง ตอการเพมจำานวน สดทาย-ทผใช รองขอเพอนำาไปประยกตใชกบ Computer ใหมๆ สงน เปนความตองการ สรางสรรค สงทคาง, สนคาทคางสง Backlog จำานวนมากมายใหญโต Huge ในแผนก IS, และผใชไดรอคอยเปนเวลาหลายปทจะไดรบ, สรางระบบของเขาทงหลาย วนน, ICs ไดรวมกำาลงกนเพอสนบสนน สดทาย-ทผใช PCs, ลกคา Client ลกคา / Server ผรบใช, ผบรการ, เครองรบใช และ Internet / Intranet, การชวยและการตดตง, การฝกอ บ ร ม Training, ก า ร แ ก ป ญ ห า แ ล ะ ส น บ ส น น เ ท ค น ค อ น ๆIC ถกตงขน เพอชวยเหลอผใชไดรบระบบทมนใจ แนนอน สราง, ทำาไดเรวและเปนเครองมอทจดการใหแบงสรรใหกวางขวาง ซงสามารถวาจางงานโดยผใช ทจะสรางระบบของตวของเขาทงหลายเอง แนวคดของ IC นอกจากน การแนะนำา ซงประชาชนในศนยควรใหคำาแนะนำา โดยเฉพาะตรงไปยงผใช ในชองทางทจะมองไปได (outlook) ของเขาเหลานนทศนคตนควรแสดงใหเหนในการฝก อบรม โดยแบง โดยใช Staff

14

พนกงานทศนย และพนกงานผชวยเหลอผใชกบการเกดปญหาใดๆ ทอาจมกบลกคา (ผใช) ได อาจจะม หนง หรอ หลายๆ ICs ในองคการหนงๆ , และเขาทงหลายเหลานน รายงานไปยง ISD และ/หรอ ทแผนกสดทาย-ทผใช

ยงกวานน ขาวสาร ขอมล วตถประสงคและกจกรรมของ IC ถกแบงใน online file W.15.3การนำาไปใหบรรลความสำาเรจ ในวสยทศนใน เศรษฐกจเกยวกบตวเลขจำาเปนทจะดดแปลง ISD ใหเหมาะ Rockart และอนๆ ฯลฯ (ป 1996) ไดเสนอ 8 ขอเชงบงคบ สำาหรบ ISDs. , ซงยงมผลบงคบใชถกตองตามกฎหมายในทกวนน ขอเชงบงคบเหลาน ไดสรปไวในตาราง 15.1

เทคโนโลยขอมลขาวสาร ไดแสดงผานในหนงสอเลมน, แสดงบทบาทวกฤตกาลในอาชพ, การทำามาหากน ขององคการตางๆ มากมาย ทงเลกและใหญ, สวนตวและสาธารณะ, ตลอดจนทวโลก ยงกวานนความตองการสำาหรบ IT ความมประสทธภาพของ ISD จะชวยใหเขามนคง, ประยกต IT ในการถายโอนตวเขาเองไปยง E-business, สขบวนการออกแบบใหม, การเขาไปสความจำาเปนของขอมลดวยงบจำากดยงกวานน, ในการบรหารจดการ IT ในยคระบบตวเลข (ด Sambananthy และ ฯลฯ (ป 2001)

15

ตารางท 15.1 8 ขอ เชงบงคบ สำาหรบ ISDs ในยคเกยวกบตวเลข

เชงบงคบ/ขอบงคบ รายการการบรรลผล กลยทธ 2 ทาง

การจดเปนเสนตรง

(ขบวนการ วางแนว เสนตรง)

คณตองจดเปนเสนตรง และเปนกลยทธขององคการ (บทท 9)

พฒนา ใหไดผลมประสทธภาพ สมพนธกบ

การบรหาร

ประสทธภาพของหนสวน ตองมการฝกฝนอบรมระหวาง สดทาย-ผทใช และ ISD

พฒนา และ จดใหเหมาะสม วางระบบใหมอยางรวดเรว

เมอบรษทตองแขงขนใหทนเวลา ความเรวในการตดตงอปกรณใหม ตองวงไดอยางเหมาะสม และทนตอความตองการ ความจำาเปนอยางฉบพลนทนวกฤตการ

สราง และจดการ infrastructure Infrastructure คอ การแบง ทรพยากร, ดงนนมนเปนการวางแผน, สถาปตยกรรม, และนโยบายของใชตองทำาอยางเหมาะสม (บทท 9 )

จดการ ควบคม ผจำาหนายผขาย ความสมพนธVendor

การม Vendor มาก ซงมาใชในโครงการ IT, การบรหารจดการ กลายเปนความเปนความตาย ความสมพนธกบ vendor ตองไมเกยว

16

เพยงสญญาเทานนแตตองมกลยทธ, ยทธวธ เกยวพนกบการรวมมอกน (บทท 13)

ฝกทกษะใหมอก ในองคการ – IT ทกษะของ ผ.จ.ก. IT, พนกงานและชางเทคนค ตองมความสมำาเสมอคงท, แนนอน, ทนสมย ใช Web, การฝก e-training ไดอยางเปนทยอมรบ (บทท 5.7)

สรางสมรรถนะสง ดวยทน IT ทนอย, และจำาเปนตองมเครองมอใหมๆ ระบบตองเชอถอไดมากๆ และสมรรถนะสง ดและเหมาะสมยตธรรม เหมาะกบเงอนไข, ระยะเวลา ของตนทน (บทท 13) แนะนำาใช SIX-SIGMA บรหารจดการดแล

การออกแบบใหม และการจดการรวบรวม การจดองคการ IT

ISD กำาหนด บทบาท, อำานาจ แบงเปน การสนสดทผใช, และแหลงภายนอก, กลยทธตองมการระมดระวงชางฝมอ

15.2 CIO ในการจดการควบคมดแล

แผนก ISการจดการดแล ISD คลายคลงกบการจดการหนวยองคการอนๆ ใดๆ การรวมใหเปนหนงเดยว

ในทศทางทคาดหวงของ ISD เปนสงทตองดำาเนนการคลายกบแผนกบรการ ในการเปลยนแปลงสงแวดลอมอยางรวดเรว, ดงนนการวางแผน โครงการแผนก และการวางแผนยาก การซออปกรณและการบำารงรกษา โดย ISD เปนสงทกระจดกระจายไปทวองคการหนวยงาน, บวกกบความยงยากจกจกในการบรหารจดการ ISD, ทนตรงนเราจะม

17

การประชมกนออกเปนทเดยว, หนงเดยว : ในความสมพนธของ CIO และ เขา หรอ เธอ กบผจดการอนๆ และผบรหารระดบสง

บทบาทของหวหนา เจาหนาทขอมลการเปลยนแปลงบทบาทของ ISD เปนสสรร สะดดตา, ความจรง

นนคอ CIO กลายเปนสมาชกคนสำาคญ ทมบรหารองคการระดบสง (Ross and Feens, ป 2000), อกทง, ประสบการณของ 9/11 เปลยนบทบาทของ CIO, วางเขาและเธอใหสำาคญมากยงขนของตำาแหนงในองคการ (ด Bee, ป 2002) เพราะวา การทำาใหเหนจรงเหนจงขนขอองคการ ของความจำาเปน สำาหรบ IT-เกยวของกบความวบตในการวางแผนและสำาคญของ IT ตอกจกรรมขององคการ

บทบาทขนพนฐานทสำาคญทสดของ CIO คอ ทำา IT ใหอยในเสนตรงอยในแนวรวมกบกลยทธของธรกจได บทบาทอนดบสองเปนการใชเครองมอ แจง ศลปะ การแกไข และ การแบงเปนจดสรรและปรบปรง ขอมลทจะหยบจบไดงาย สามารถจะเขาไปดได

บทบาทเหลาน เปนภาคผนวก, เสรม, เพมเตม ในทกวนนโดยกลยทธบทบาทกลยทธวธทหลากหลาย เพราะวา IT มความเปนไปไดในกลยทธ ทรพยากร สำาหรบหลายองคการ

การประสานงาน ทรพยากรนเปนทตองการในดานความเปนผนำา IT ทเขมแขง, และทสดทาย ทผใช ISD การรวมมอกน ภายในองคการ ในการเสรมเพมเตม ผเปน CIO-CEO ในความสมพนธเปนไปอยางสำาคญ, ถงพรกถงขงในประสทธภาพ ความสำาเรจ และการใช IT ใหเปนประโยชน, โดยเฉพาะอยางยงในองคการ นนคอ ความยงใหญ ขนอยกบ IT, ซง CIO รวมกบผบรหารระดบสง หวหนา กลม “ ” CIO ในบางกรณกเปนสมาชกของคณะกรรมการความรวมมอระดบบรหาร สงสำาคญทสดเปนกรรมการสำาคญทสดในองคการใดๆ ซงรบผดชอบในการวางแผนกลยทธธรกจ ตวสมาชกจะรวมเจาหนาท หวหนา ระดบบรหารและรองประธานอาวโส คณะกรรมการผบรหารระดบสง แบงเปน ระดบสง ดแลตรวจตรา ทรพยากรขอมลองคการ มนเปนการนำา, คณะกรรมการ IS

18

ซงปกตเปนประธานโดย CIO ทเกยวของไปยง CIO คอ ภาวะฉกเฉนของความรหวหนา, พนกงาน (CKO, ดบทท 10) CIO อาจจะรายงานไปยง CKO หรออาจเปนคนเดยวกน เปนทง 2 บทบาท, โดยเฉพาะในบรษทเลกๆ ความรบผดชอบหลก คอ เปนสวนหนงของการกอตงบทบาท ซงมรายการใน ONLINE Fill W.15.4 CIO ใน WEB-Based Era

เนองจาก Ross และ Feeny (ป 2000) และ Earl ( ป 1999-2000) ไดกลาวถงบทบาทของ CIO ใน Web-Based era มอทธพลดงปจจยตอไปน 3 ปจจย

เทคโนโลย และการบรหารจดการไดเปลยนแปลงไปบรษทไดใชรปแบบ Web based business ระเบยบแบบแผน

conventional ใชใหเปนประโยชน โดยโอนเขาส web-based มการเพมขนในการใชของ B2B E-commerce แจกจายไปยงผบรหาร, CRM, ERP (ด----------ป 2000) มการใชพนฐานความรดานการบรหารจดการมาใชใหเปนประโยชนการใชหนงสอบนทกราชการทเปนทางการ postfolio มาใชใหเปนประโยชนรวมดวย อยางมากและมาก ใน web based

ทศนคตผบรหารไดเปลยนแปลงไปความตงใจทยงใหญกวาคอการใหโอกาส และความเสยง ณ สงท

นอยทสดมากมาก, CIO บรโภค เปนแตละบคคลซง บรหารจดการ Computer ไดมากกวา จะมองหาผแนะนำา, โดยเฉพาะอยางยง, คลายกบ เกยวกบ E-Business, อกทงผบรหาร เตมใจอยางมากมากกวาทจะลงทนใน IT ตงแตอตราตนทน กำาไร ของ IT ไดถกปรบปรงและพฒนาขนตามกาลเวลา

19

การมผลกระทบกระทงซงกนและกนกบผขาย Vendors ไดเพมม า ก ข น

Supplier ผขาย IT. โดยเฉพาะอยางยง หลกๆ อนหนง ม (HP, CISCO, IBM, MICROSOFT, SUN, INTEL AND ORACLE) มอทธพลตอกลยทธในการคดของ ความรวมมอของลกคาของเขาบทบาทรปรางของปจจยทกลาวขางตน และ ความรบผดชอบของ CIO 7 วธการ ดงตอไปน1. CIO รบผดชอบมากขนในการกำาหนดกลยทธในอนาคต2. CIO จำาเปนตองเขาใจ (กบสงตางๆ ในองคการ) ซงเปนยค web-

based era อยางมาก เกยวกบพนฐานธรกจเปลยนมากกวา เทคโนโลย

3. CIO เปนผรบผดชอบ, ปองกน ทรพยสน IT ทเพมขนรวมทง Web-infrastructure, ตออตรารายไดทเพมขนดวย, รวมทง การโจมตของผกอการราย

4. CIO เปนผมวสยทศนใดๆ ในธรกจเปนผซงขบเคลอนกลยทธทางธรกจ, พฒนารปแบบธรกจใหมๆ บน web และแนะนำาการบรหาร กระบวนการ ซงมอทธพล, อำานาจในการจดการ internet, intranets และ extranets.

5. CIO จำาเปนตอง จดการโตเถยง มเหตผล สำาหรบการวดทมากกวาใหญกวาของการควบคมศนยกลาง ตวอยาง เชน การวาง สงทไมเหมาะสม ประจ, บรรจบน internet หรอ intranets สามารถรถงอนตรายและความจำาเปนดำาเนนการและประสานงาน

6. กระบวนการ การหามาไดของทรพยสน IT ตองมการปรบปรง (ดแลรกษา) CIO และสดทาย-ทผใช ตองทำางานมากใกลชดเอาใจใสกวาทเคยเปนมากอน

7. การเพมขนของเครอขายเนทเวอรสงแวดลอมอาจจะนำาความไมถกตองกบ IT ในสถานการณทไมเปนทพงปรารถนา ซง CIO ควรชวยเหลอหลกเลยง

20

สงทาทายทง 7 เปนการวางความยนดปรดาจำานวนมาบนตำาแหนง CIO, โดยเฉพาะอยางยงในเวลาทเศรษฐกจทรดโทรม (ด---------ป 2003)

ตามเหตผลของการพจารณา ความกดดนในหนาทของเขา, CIO อาจจะไดรบเงนเดอนสง (1,000,000 $ ขนไป) ในการบรหารประสานงาน แตกมการสบเปลยนหมนเวยนงานในตำาแหนงนสง (ด--------ป 2000) และ---------ป 1997)

ขณะทเทคโนโลย ไดเพมมากขนจนกลายเปน ศนยกลางของ ธรกจ CIO

กลายเปนกญแจสำาคญ ทเคลอนเขาไปในระดบการบรหารทสงกวา ต.ย.เชน คณะกรรมการผบรหารการประชมในสถาบนการเงนทใหญ มาพรอมกบนกประพนธ, ถอมตว ขอรองใหเพมงบประมาณ โดยการเปน รองประธาน ระดบอาวโส สำาหรบการเงนและสำาหรบการตลาด ซงหนเหลงหลงจากถกเถยงกนอภปรายกนยาวนานแตในการประชมทเหมอนกนท CIO ขอรองประกอบดวยสบสวน tenfold เพมเตม, ไดอนมตใน 2-3 นาท เทานน

มนเปนสงทนาสนใจทจะหมายเหตวา CEO มความรทไดเรยนมาทางทกษะของ IT เนองจากบรษทการลงทนทดทสด ซง Duffy ( ตงป 1999) เปน CEO ผซงรเทคโนโลย, ถาทง CIO และ CEO มทกษะทจำาเปนสำาหรบยคขาวสาร, บรษทของเขากจะมศกยภาพทจะเจรญเฟ องฟ ดวยเหตผลนบางบรษทไดโปรโมทยกตำาแหนง CIOs ใหขนเปน CEOs เนองจาก e marketer daily (May 12, 2003) CEOs ไดเหนความปลอดภย เปนพนทอนดบสองทสำาคญทสด สำาหรบ IT. มากกวา 2 ถง 3 ป ถดไป เราตอนน กำาลงจะกลบไปสพนทหนง ซง CEO ไดหวงวาจะเปนผนำาของระบบความปลอดภยของขาวสารขอมล ในกจการบรษท

21

15.3 ความเสยงและอาชญากรรมทางคอมพวเตอรแหลงขอมล ไดถกกระจายทวทงองคกร ยงกวานน

พนกงานทเดนทาง และนำาคอมพวเตอร และขอมล บรษท ขอมลจะถกสงตอ ไป และจากองคกร และระหวางชนสวนขององคกรเปนแหลงขอมลทาง กายภาพ ขอมล ซอฟตแวร ขนตอน และแหลงขอมลอน ๆ อาจจะเปนจดออนได ในหลาย ๆ แหง เมอเวลาใด ๆ

กอนทเราจะบรรยายถงปญหาโดยเฉพาะ พรอมดวยการรกษาความปลอดภยของขอมล และการแกปญหาทเสนอ จงเปนสงจำาเปนทจะรจกถอยคำาหลกในสาขาน ตราราง 15.2 ใหภาพรวมของความหมายเหลานน

ตารางท 15.2 ความหมายทางการรกษาความปลอดภย คำา คำาจำากดความการทำาสำารอง

การถอดรหสการเขารหสการเปดเผย

การอดกล นต อความผ ดพลาด

การควบคมระบบขอมล

ค ว า ม เ ท ย ง ต ร ง (ข อ งขอมล)

ความเสยงสงคกคาม (หรออนตราย)ความเสยง

-สำาเนาเพมเตมของขอมล/ และ/หรอโปรแกรม ทเกบในสถานทปลอดภย -การแปลงรหสทอดกน เปนขอมลทอานได ภายหลงการสง-การแปลงขอมลเปนรหสทอดกน กอนการสง-อ น ต ร า ย ค ว า ม ส ญ เ ส ย ห ร อ อนตราย ทสามารถเกดขน ถาบางสงไดเกดผดพลาด ในระบบขอมล-ความสามารถของระบบขอมลทจะดำาเนนไป (ปรกตสำาหรบเวลาทจำากด/ หรอทระดบทลดลง) เมอมความผดพลาดเกดขน -ขนตอน เคร องมอ หรอ ซอฟตแวร ท พ ย า ย า ม ท จ ะ ป ร ะ ก น ว า ร ะ บ บสามารถทำางานตามทวางแผนไว

22

-การรบประกนความสมบรณของความแมนยำาและความเชอถอไดของความมนคงของขอมล ของชนสวน และบรณภาพ-ความเปนไปไดทวา สงคกคามอาจเกดขนได -อ นตรายต าง ๆ ซ งอา จจ ะ เก ดอนตรายตอระบบ-ถ ามการคกคาม ระบบอาจเก ดอนตรายได

ระบบขอมล คนสวนใหญทราบถงอนตรายทเผชญโดย ธรกจทพงพาคอมพวเตอร ระบบขอมลทเกดเสยหาย อยางไรกตาม อาจไดรบความเสยหายจากเหตผลหลายประการ เหตการณตอไปน เปนตวแทนของกรณทระบบขอมลหยดฉะงก

เรองท 1 เมอวนท 12 กนยายน 2005 บรษท สปลตไฟร โนเวลต ไดตกเปนเหยอของสงทเรยกวา แรงปาเถอน จากการโจมต“ ”บตรเครดต ในวนธรรมดา บรษททตงอยท ลอส แองจลส ปรกตใช ระหวาง 5 ถง 30 รายการ วนพฤหสนน ตวทำารายการบตรเครดต สปลตไฟร ทำาขอมลบรษทออนไลน 140,000 ครง มลคา ครงละ 5.07 เหรยญ และ 62,000 ไดรบอนมต มลคาทงหมดทไดรบอนมต ประมาณ 300,000 เหรยญ สปลตไฟร คนพบการซอขายนเมอไดรบโทรศพทจากหนงในเจาของบตรเครดต ทไดเชคการเงนออนไลน และพบวามการชารจ 5.07 เหรยญ

การโจมตแบบปาเถอนตอบตรเครดตตองการความชำานาญเพยงเลกนอย แฮกเกอร เพยงแต ใชคาใชจายเลกนอยผานทางบญชพอคา รบหมายเลขเดาสม (สำาหรบรายละเอยดการโกงบตรเครดตทใหญกวา ด money.cnn.com /2003/02/18/technology/ creditcards/index.htm.)

23

เรองท 2 ในเดอนมกราคม 2546 แฮกเกอร ขโมย จากฐานขอมลของ MTS มอสโคว (บรษท โทรศพทเคลอนท) รายละเอยดสวนตว (หมายเลขหนงสอเดนทาง อาย ทอย

หมายเลขใบเสยภาษ และอน ๆ ) ของลกคากวา 6 ลานคน รวมถงของประธานาธบด ว ว ปตน และขาย บนแผ น ซด รอม ท – 15 เหรยญตอแผนฐานขอมลสามารถคนหาโดยใชชอ หมายเลขโทรศพท หรอทอย ขอมลสามารถใชสำาหรบอาชญากรรม เชน การขโมยรปพรรณ ซงบางคนใชขอมลสวนตวของคนอนเพอ สรางตวปลอม และใชส ำาหรบการฉอโกง (เชน ทำาบตรเครดตปลอม) อยางไรกตาม ในรสเชย ไมมการขโมย ของขอมลเชนนน หรอการขายเปนสงผดกฎหมาย (ด วอลช 2546)

เรองท 3 ซอฟตแวร ททำาลาย (ไวรส ตวหนอน และ สงตาง ๆ ซงไดถกกำาหนด และพดถงเตมทภายหลงในบทน) กำาลงทวมทน อนเตอรเนต นเปนตวอยางของมรดก ป 2546 SQL Slammer เปนตวหนอนทนำากลไกการเกดใหมดวยตวเอง ททำาใหสามารถทวคณอยางรวดเรวทวอนเตอรเนต ยงเกงในการเลยนแบบทรวดเรวกอใหเกดปรมาณของขอมลจำานวนมาก ซงทำาใหการจราจรทางอนเตอรเนตชาลง สวนใหญในเกาหลใต ญปน ฮองกง และบางประเทศในยโรป ในเดอนมกราคม 2546 เปนการแปลงตวของ โคด เรด ซงทำาใหการจราจรบนอนเตอรเนต ชาลงในเดอน กรกฎาคม 2544 เมอวนท 18 พฤษภาคม 2546 ไวรสตวใหมทแฝงตวเปน อ-เมลจากไมโครซอฟต ซพพอรต โจมตคอมพวเตอรใน 89 ประเทศ ในเดอน มถนายน 2546 ไวรส ความเสยงสง w32/Bugbear เรมลกขโมยขอมลวซา (ด “Bugbear” หนอนขโมย... “ ป 2546).

เรองท 4 วนท 15 มนาคม นกเรยน ไดโจมต ทมหาวทยาลย ฮสตน ระบบคอมพวเตอร

24

และขโมยหมายเลฃประกนสงคม ของนกเรยน 55,000 คน และพนกงาน และคณาจารย นกเรยนไดถกตงขอหาเขาถงคอมพวเตอรโดยไมไดรบอนญาต ใชบตรประจำาตวของผอน พรอมดวยความตงใจทจะกออาชญากรรมตอรฐบาลกลาง เรองยงอยในศาล และอาจถกจำาคก

เรองท 5 เมอวนท 29 กมภาพนธ 2543 เครอง เอทเอม หลายรอยเครอง ในญปนไดถกปดลง ระบบคอมพวเตอร ทโรงงานนวเคลยร ไดถกยดครอง เครองเตอนอากาศทำางานผดปรกต จอแสดงสำาหรบอตราดอกเบย ททำาการไปรษณย ลมเหลว เครองวดแผนดนไหว ใหขอมลผดพลาด และมปญหาอน ๆ มากมาย ทเกยวของกบโปรแกรม สำาหรบป อธกสรทน ปญหาคอปนน จบลงดวย “ ” “00” และไมไดใหวนพเศษ เพมทก ๆ 4 ป นอกจากหารดวย 400 (2000 เปนปอธกสรทน แตไมใช ค.ศ.1900 หรอ 2100) กฎนไมไดถกโปรแกรมในโปรแกรมเกา ในญปน ดงนนจงสรางปญหา ในเดอนพฤษภาคม 2544 ปญหาทางคอมพวเตอร ในญปน ระบบการควบคมทางอากาศ ทำาใหเครองบนจอดอยบนพน 1,600 เทยว เปนเวลา 30 นาท ในขณะทระบบไดปฏบตการดวยมอ

เรองท 6 สำาหรบเกอบ 2 สปดาห ดเหมอนเครอง เอทเอม ทถกกฎหมาย ทใชงาน ใน ชอปป งมอลล ใกล ฮารดฟอรด รฐคอนเนกตกต ใหขอความขออภยแกลกคาวา ขออภย ไมมการทำา“รายการได ในขณะทเครองบนทกหมายเลข และหมายเลขประจำาตวลกคา”หลายรอยคนทพยายามทจะใหเครอง จายเงน เมอวนท 8 พฤษภาคม 2537 ในขณะทเครองไมทำางาน ขณะทยงคงทำางานใน ชอปป งมอลล ขโมย เรมทจะใชเครอง เอทเอม โดยอตโนมต 24 ชวโมง ในนวยอรค บตรเครดต ทปลอม ใสรหสพรอม ดวยหมายเลฃทขโมยจากลกคาท ฮารตฟอรด ขโมยไดยายเงน 100,000 เหรยญ จากบญชของลกคาทบรสทธ อาชญากรไดประสบความสำาเรจในการทำา เอทเอม เพอทำาสงทไมไดออกแบบใหทำา ฝนกฎรกษา

25

ความปลอดภย โดยการบนทกหมายเลขธนาคาร พรอมกน กบรหสรกษาความปลอดภยสวนตว

เรองท 7 เนสเคป รกษาความปลอดภย ไดเลงท รวบรวมขอมลทางการเงนทละเอยดออน เชน บตรเครดต และการซอขายเพอใหปลอดภยจากการแอบเขาบาน โดยการใชโปรแกรม 128 บต ททรงพลง อยางไรกตาม การใช เครองเวอรค สเตชน และซเปอรคอมพวเตอร 120 เครองททรงพลงและใน ป 2539 นกเรยนชาวฝรงเศส ไดถอดรหสโปรแกรมไดภายใน 8 วน แสดงใหเหนวาไมมโปรแกรมใด ปลอดภย 100 เปอรเซนต

เรองท 8 ในป 2537 แฮกเกอร ชาวรสเซย (ซงไมรจกภาษาองกฤษมาก) ไดบกเขาไป

ในระบบการโอน กองทนอเลกทรอนก ของธนาคาร ซตแบงก และขโมยเงนมากกวา 10 ลาน เหรยญ โดยสงเขาบญชทวโลก ตงแตนนมา ธนาคาร ซตแบงก ธนาคารยกษใหญไดยายเงนประมาณ หนงลานลาน ดอลลาร ตอวนเพมมาตรการรกษาความปลอดภย ใหลกคาใชเครองอเลกทรอนกส ทสรางรหสผานบอย มาก ๆ

เรองท 9 เมอวนท 30 เมษายน 2543 ตลาดหนลอนดอน ไดเปนอมพาต โดยความลมเหลวทรายแรง ทสดของระบบ กอนทจะเปดได สายเกอบ 8 ชวโมง โฆษก สำาหรบตลาดหนกลาววาปญหา ซงไดทำาใหขอมลราคา และการยนยนเปนอมพาต เกดจากขอมล ทถกขโมย แตเขาไมไดใหรายละเอยด ผคาหนได โกรธเคองจากการทความผดพลาดมาในวนสดทายของปภาษ และในไมกชวโมง หลงจากราคาแกวงท รนแรงในตลาดหนสหรฐ การบรการทางการเงนขององกฤษ กลาววาไดทบทวน ความลมเหลวอยาง จรงจง กลาวเสรมวาจะทำาใหการเปลยนแปลงใด ๆ จำาเปน ตอระบบ ทนท และบทเรยนจะตอง เรยนอยางรวดเรว เพอ“ ”ประกนวา ความลมเหลวจะไมกระทำาซำาอก

26

เหตการณเหลาน และทงสองกรณ ในการแสดงความเสยงของระบบขอมล ความหลากหลายของปญหาการรกษาความปลอดภยของคอมพวเตอร และความเสยหายมากมาย ทสามารถกระทำาตอองคกรทใด ๆ ในโลกเปนผลตามมา ความจรงกคอ คอมพวเตอรยงหางจากความปลอดภย (เชน ด ออสตน และ ดารบ 2546 และ รายงานของ เอฟ บ ไอ ป 2546 รชารดสน 2546) ความเสยงของระบบ ระบบขอมลไดทำาจากชนสวนหลายชน อาจเกบไวในหลาย ๆ แหง ดงนน ระบบขอมลแตละอน จงเสยงตออนตราย หรอ การคกคามทอาจเปนได รป 15.1 แสดงขอสรปของสงคกคามหลกตอการรกษาความปลอดภยของระบบขอมล การโจมตทระบบขอมลสามารถกระทำาไดตอระบบภายใน (มประมาณ 30 เปอรเซนต ขององคกรทตอบรบ ใน การสำารวจ ของ CSI/FBI ดงทรายงานโดย รชารดสน 2546) หรอผานทางการหมนระยะไกล (18 เปอรเซนต) หรอบนระบบอนเตอรเนต (78 เปอรเซนต) (ดท sons.org/top20 สำาหรบความเสยงในการรกษาความปลอดภยบนอนเตอรเนตทสำาคญ) ตามท ซวอ (ความเสยง และการสมผสทวไป องคกรทตงอยท ไมเตอร ทใหขอมล การศกษา และคำาแนะนำาเกยวกบความเสยง และการสมผสทางไอท) ( cve.mitre.org/about/terminology.html) มความแตกตางระหวางความเสยง และการสมผส

ความเสยงทวไปเปนสภาวะทางระบบคอมพวเตอร (หรอตงระบบ) ซงฝายใดฝายหนง

ยนยอมให ผโจมตใชการสงใหผใชอกคนหนงยนยอมใหผโจมต เขาถงขอมลทตรงขามกบขอบงคบการเขาทกำาหนด สำาหรบขอมล ยนยอมใหผโจมตแสดงตวเปนอกคนหนง หรอยนยอมใหผโจมตทำาการปฏเสธการใหบรการ

27

AccessAbuse of control

การเขาถงการควบคมในทางทผด

Virus ไวรส Database ฐานขอมล

-การเขาถงทไมไดรบอนญาต-การทำาสำาเนา

Denial of services

การปฏเสธบรการ

Firewall ไฟลวอลลApplication programmer

โปรแกรมปฏบตงาน โปรแกรมททำางาตรงขามกบขอมลจำาเพาะ

Terminal เครองลกขาย *ตดตงในสงแวดลอมทไมปลอดภย

PCs เครองพซ -การบงชการฉอโกง-การร วไหลทผ ดกฏหมายของขอมลทได รบอนมต-ไวรส-การขโมยทางกายภาพ

System software

ซอฟตแวร ระบบ-ความลมเหลวของกลไกปองกน-การรวไหลของขอมล-ซอฟตแวรตดตงโดยไมไดรบอนมต

Hardware -ความลมเหลวขอกลไกปองกน-มสวนชวยใหความลมเหลวของซอฟตแวร-การต ดต ง (ใช )ของฮารดแวรท ไม ได ร บอนญาต

Authorizer ผไดรบอนญาต -การใชทไมถกตองของนโยบายการรกษาความ

28

ปลอดภยOperator พนกงานปฏบตงาน

-การทำาซำาของรายงานความลบ-การเรมตนระบบทไมปลอดภย-การขโมยวสดทเปนความลบ

External environment

-อบตภยธรรมชาต-การโจมตมงราย-ก า ร เ ข า ถ ง ท ไ ม ไ ด ร บ อ น ญ า ต ท ศ น ย คอมพวเตอร-การใช ผ ดกฎหมายหร อ ไม ถ กต อง ของทรพยากรการคำานวณ-การขโมยทางอเลกโทรนกส-การฉอฉล

Processor ตวประมวลผลCrosstalk การพดไขวDatabaseAccess rules

ฐานขอมลกฎการเขาถง

Systems programmer

คนทำาโปรแกรม-หลกเลยงกลไกรกษาความปลอดภย-ทำาใหกลไกรกษาความปลอดภยใชงานไมได-ตดตงระบบทไมปลอดภย

Accidental errors inProcessing storage

ความผดพลาดโดยบงเอ๗ในทเกบการประมวลผล

รปท 15.1 สงคกคามการรกษาความปลอดภยการสมผสเปนสภาวะในระบบการคำานวณ (หรอชดของระบบ)

ซงไมใชความเสยงทวไป แตไมยอมให ผโจมต ทำาการรวบรวมขอมล ยนยอมใหผโจมตซอนกจกรรม รวมถงขดความสามารถทประพฤตตามท

29

คาดหวง แตไมสามารถตกลงไดงาย ๆ เปนจดเรมตนของการนำาเขา ซงผโจมตอาจพยายามทจะเขาไปในระบบ หรอขอมล และพจารณาเปนปญหา ตามนโยบายทมเหตผลตามสมควร

เราจะใชคำาวาความเสยงในทนจะรวมถงการสมผส เชนเดยวกบ (รวมถง สงคกคามทไมตงใจ) โดยบงเอญ ในป 2545 ซอว ไดบงชเรองรกษาความปลอดภย มากกวา 5,000 เรอง และปญหา (ด ไมเตอร 2545)

ความเสยงของระบบขอมลกำาลงเพมขน ในขณะทเรายายเขาสโลกของเครอขาย และโดยเฉพาะการคำานวณทไรสาย ในทางทฤษฎ มหลายรอยจดในระบบขอมลของบรษท ทสามารถเปนเนอเรอง แททจรงมหลายพนทางทระบบขอมลสามารถถกโจมต หรอเสยหาย สงคกคามตอไ ป น ส า ม า ร ถ แ ย ก แ ย ะ เ ป น ต ง ใ จ แ ล ะ ไ ม ต ง ใ จ

สงคกคามทไมตงใจ สามารถแบงออกเปน สามประเภทหลก ๆ ความผดพลาดของมนษย อนตรายจากสงแวดลอม และระบบ

การมองดทใกลชดขน15.1 ปญหาคอมพวเตอรททำาใหการเปดสนามบนชกชาลง

เมอสนามบนราคาหลายพนลานเหรยญ ไดเปดขนในฮองกง เมอวนท 6 กรกฎาคม

2542 ปญหาเลกนอยของคอมพวเตอรทรวมกน และบคลากรทไมไดเตรยมพรอมทำาใหสนามบนอลเวง ทงนกทองเทยว และสนคาไดถกกระทบกระเทอน ตวอยางเชน จดบกพรองซอฟตแวร ไดลบบนทกของรายการสนคา ทงไวไมมรองรอยวาใครเปนเจาของอะไร ไวรสอกตวหนงไดลบขอมลเทยวบนจากจอมอนเตอร ปองกนไมใหผโดยสารไดเทยวบน ปญหาคอมพวเตอรในระบบกระเปาเดนทางยงผลใหกระเปาสญหาย 10,000 ใบ อาหารสด และอาหารทะเลไดถกสงไปทภตตาคาร และโรงแรมเนาเสยและธรกจ

30

มากมายไดสญหายในสหรฐอเมรกา ทสนามบนทเมองเดนเวอร ซงเปดในป 2538 ไดถกระบาดดวยปญหาคอมพวเตอร เชนกน (ด บทท 14) ในทำานองเดยวกน ในประเทศมาเลเซย เมอสถานทไดเปดในวนท 1 กรกฎาคม 2542 ระบบการจดการสนามบนทเปนคอมพวเตอรทงหมดไดลมเหลวในวนแรก

ในกรณสนามบนเหลาน ปญหาไมไดเกดจาก แฮกเกอร โจมตภายนอก หรอการกระทำาจากความตงใจจากภายใน หรอตวไวรส แตเกดจากการวางแผนทไมด ขาดการประสานงาน และการทดสอบทเพยงพอ

ปญหาคอมพวเตอรหลายอยาง เกดจากความผดพลาดของมนษย ความผดพลาด

สามารถเกดขนได จากการออกแบบของเครอง และ/หรอระบบขอมล สามารถเกดขนในการทำาโปรแกรม ทดสอบ เกบรวบรวมขอมล การปอนเขาขอมล การใหอนมต และคำาสง ความผดพลาดของมนษยมสวนรวมเปนจำานวนมาก (ประมาณ 55 เปอรเซนต) ของปญหาทเกยวของการควบคม และการรกษาความปลอดภยในหลายองคการอนตรายจากสงแวดลอมรวมถง แผนดนไหว พายรนแรง (เชน พาย เฮอรเคน หมะ ทราย ฟาผา และ ลมทอรนาโด) นำาทวม ไฟดบ หรอไฟแกวง ไฟไหม (อนตรายทเกดบอย ทสด) เครองทำาความ เยนทชำารด การระเบด การแผรงส และระบบนำาหลอเยนลมเหลว นอกจากการทำาความเสยหายจากการเผาไหม ทรพยากรคอมพวเตอรอาจเกดความเสยหายจากสวนประกอบอน ๆ ทมากบไฟไหม เชน ควน ความรอน และ อนตรายเชนนน อาจกอใหเกดการชะงกงนของปฏบตการคอมพวเตอรตามปรกต และยงผลในระยะเวลารอคอยทยาวนาน และคาใชจายทสงมาก ในขณะทโปรแกรมคอมพวเตอร และไฟลขอมลไดถกสรางขนมาใหม

ความลมเหลวของระบบคอมพวเตอรสามารถเกดขนเปนผลจากการผลตทไมด หรอวสดทชำารด การปฏบตงานทลมเหลวโดยไมตงใจยงสามารถเกดขนจากเหตผลอนๆ ตงแตขาดประสบการณไปจนถงการทดสอบทไมเหมาะ

31

สม ด การมองดอยางใกลชด 15.1 สำาหรบเรองความลมเหลวของระบบทสนามบน

การคกคามโดยตงใจ ตามหวขอขาวเกยวกบอาชญากรรมทางคอมพวเตอร แสดงวาระบบ คอมพวเตอรสามารถไดรบความเสยหายจากความตงใจเชนกน สงเหลานเกดขนประมาณ 30 เปอรเซนต ของปญหาคอมพวเตอร ทงหมด ตามทสถาบนรกษาความปลอดภยของคอมพว-เตอร (gocsi.com) แตความเสยหายทางดานการเงนจากปฏบตการเชนนนสามารถเปนเรองใหญมาก ตวอยางของการคกคามทตงใจ รวมถงการขโมยขอมล การใชขอมลทไม เหมาะสม (เชน การดดแปลง อนพต) การขโมยเวลาของคอมพวเตอร เมนเฟรม การเขา การใชงาน การโอน การทำาโปรแกรมขอมล การสไตรค การกอความวนวาย หรอการบอนทำาลายความเสยจากการคดราย ตอทรพยากรคอมพวเตอร การทำาลายจากไวรส และการโจมตทคลาย ๆ กน และการใชคอมพวเตอรทผด ๆ ปลกยอย และการโกงทางคอมพวเตอร

นอกจากนน การโจมตของผกอการรายปรกตไมเลงไปทคอมพวเตอรโดยตรง ระบบคอมพวเตอร และขอมลสามารถถกทำาลายในกรณเชนนน ดงทเกดขนในภยพบต 9/11 ใน นวยอรค และรฐวอชงตน ด ซ การคกคามโดยตงใจสามารถกระทำาตอทงประเทศได หลายคน

กลวความเปนไปไดจากการโจมตทางไซเบอร โดยบางประเทศตอประเทศอน ๆ

อาชญากรรมทางคอมพวเตอร ตามขอมลสถาบนรกษาความปลอดภยทาง

คอมพวเตอร (gocsi.com) 64 เปอรเซนต ของบรษททงหมดมประสบการณจากอาชญากรรมทางคอมพวเตอรในป 2540 ตวเลขในป 2541 ถง 2546 ไดสงกวาประมาณ 96 เปอรเซนตในป 2546 (ตอรชารดสน 2546) จำานวน ขนาด และความหลากหลายของอาชญากรรมทางคอมพวเตอร กำาลงเพมขน เมอเรว ๆ น การฉอโกงเพมขน เกยวกบอนเตอรเนต และ อคอมเมอรส เปนหลกฐาน สำาหรบการมองทวไปของ

32

ปญหาอาชญากรรมทางคอมพวเตอร ด ลอนด (2546) สำาหรบสถต เอฟบไอ สำาหรบ ป 2545, 2546 ดรชารดสน (2546)

ประเภทของอาชญากรรม ทางคอมพวเตอร และอาชญากร ในหลาย ๆ ทาง อาชญากรรมทางคอมพวเตอร คลายอาชญากรรมธรรมดาทวไป อาจเกดขนในหลาย ๆ ทาง อนดบแรก คอมพวเตอรสามารถเปนเปาของอาชญากรรม ตวอยางเชน คอมพวเตอรอาจถกลกขโมย หรอถกทำาลาย หรอไวรสอาจทำาลายขอมล คอมพวเตอรสามารถเปนสอ หรอเครองมอของการโจมต โดยการสรางสงแวดลอมซงอาชญากรรม หรอการฉอฉลอาจเกดขนได ตวอยางเชน

ขอมลลวงสามารถเขาสระบบคอมพวเตอร เพอนำาบคคลใหเขาใจผด ในการตรวจสอบสภาพทางการเงนของบรษท สดทายน คอมพวเตอรสามารถใชเพอขมข หรอหลอกลวง ตวอยางเชน นายหนาขายหนลก เงน 50 ลานเหรยญ โดยชกจงลกคาวาเขามโปรแกรมคอมพวเตอรท สามารถเพมผลตอบแทนจากการลงทน 60 เปอรเซนต ตอเดอน อาชญากรรมทกระทำาบนอนเตอรเนต เรยกวา อาชญากรรมไซเบอร (จะพจารณาภายหลง) สามารถจดอยในประเภทใด ๆ เหลาน

อาชญากรรมสามารถกระทำาโดยบคคลภายนอกซงเจาะทะลวงระบบคอมพวเตอร (บอยครงผานทางสายสอสาร) หรอโดยบคคลภายใน ซงไดรบอนมตใหใชระบบคอมพวเตอร แตใชการอนมตในทางทผด แฮกเกอร เปนคำาทมกใชบรรยายบคคลภายนอกซงเจาะทะลวงระบบคอมพวเตอร สำาหรบเรองทวไปของการ แอบเจาะขอมล และการปองกน ด ฟาเดย (2545) แครกเกอร เปนแฮกเกอร ทชวราย ซงอาจเปนตวแทนปญหารายแรงของบรษท แฮกเกอร และแครกเกอร อาจเกยวของกบคนภายในทไมตองสงสยในอาชญากรรมของตน ในกลยทธทเรยกวา วศวกรรมทางสงคม อาชญากรคอมพวเตอร หรอสายลบบรษทสรางความสมพนธในความเชอถอทไมเหมาะสมกบคนภายใน เพอจดประสงคของการเขาถงขอมลละเอยดออน หรอสทธพเศษในการเขาท

33

ไมไดรบอนมต สำาหรบรายละเอยดของวศวกรรมทางสงคม และขอแนะนำาบางอยาง ด ดามล (2005) และออนไลน ไฟล ดบบลว 155

อาชญากรคอมพวเตอร ไมวาจะเปนบคคลภายใน หรอภายนอก มกจะมรปพรรณทชดเจน และผลกดนโดยสาเหตหลายประการ (ดออนไลน ไฟล ดบบลว 15.6) เปนทนาประหลาดวา พนกงานหลายคนเขากบลกษณะน แตนอยคนทจะเปนอาชญากร ดงนน จงเปนการยากทจะทำานายวาใครจะเปนอาชญากรคอมพวเตอร

สวนมากของอาชญากรรมทางคอมพวเตอร จะกระทำาโดยผอยภายใน

ตามท รชารด สน (2546) แหลงทเปนไปไดของการโจมตทบรษทสหรฐคอ แฮกเกอร อสระ (82% เปอรเซนต) พนกงานทไมพอใจ (78 %) คแขงสหรฐ (40 %) รฐบาลตางชาต (28 %) บรษทตางชาต (25 %)

นอกจากนนอาชญากรรมคอมพวเตอร ตอองคกร มเพมขนอยางนาตกใจ ตอบคคลบนอนเตอรเนต สงเหลานเปนสวนหนงของอาชญากรรมทางไซเบอร อาชญากรรมทางไซเบอร สงแวดลอมทางอนเตอรเนตใหทวทศน ทงายมากสำาหรบการทำากจกรรมทผดกฎหมาย เปนทรจกกนในนามของ อาชญากรรมทางไซเบอร หมายความวา กระทำาบนอนเตอรเนต มหลายรอยวธทแตกตางกนทจะ หลอกลวง ทจะใช“ ”โดยอาชญากรทมหวคดคนเพอใหไดเงนจากบคคลธรรมดา เพอจะซอโดยไมตองจายเงน หรอขายโดยไมตองสงมอบ หรอทำารายผคน หรอใชในทางทผด และอกมากหลาย

ตามท ซลลแวน (2546) ระหวาง มกราคม 1 ถง 30 เมษายน 2546 สำานกงานของรฐบาลสหรฐไดพบเหยอ 89,000 ราย จากอาชญากรบนอนเตอรเนตโกง 176 ลานเหรยญ ผลกคอ เมอวนท 16 พฤษภาคม 2546 อยการสงสดสหรฐไดประกาศวา 135 คน

ไดถกจบกมทวประเทศ และตงขอหาดวยอาชญากรรมทางไซเบอร อาชญากรรมทพบเหนทวไปคอการโกงทางการลงทน และ การขโมยบตร

34

ประจำาตว อนเตอรเนตพรอมดวยการเขาถงจากทวโลกยงผลในการเตบโตของการฉอโกงขามพรมแดน (ด การดทใกลชด 15.2)

การขโมยรปพรรณ ปญหาอาชญากรรมไซเบอรทเตบโตขน เปนการขโมยร

พรรณ ซงอาชญากร (ขโมยรปพรรณ) แสดงตนเปนคนอน ขโมยจะลกหมายเลขประกนสงคม และหมายเลขบตรเครดต ตามปรกตจะไดรบจากอนเตอรเนต เพอทำาการฉอฉล (เชน ซอผลตภณฑ หรอใชบรการ) ทเหยอตองจายภายหลง ความเสยหายทมากทสดแก บคคล ซงรปพรรณไดถกขโมย คอซอมแซมความเชอถอทางเครดตทเสยหาย สำาหรบรายละเอยด และการแกปญหาทางพาณชย ด idthief.com

สงครามไซเบอร มความสนใจในความคกคามของสงครามไซเบอร ซงระบบขอมลของประเทศอาจถกทำาใหเปนอมพาต โดยการโจมตอยางมากมายดวยซอฟตแวรททำาลายลางระบบทเปนเปาหมายสามารถจะเปนตงแต ไอเอส ของธรกจ อตสาหกรรม บรการของรฐบาลและสอสารมวลชน ถงระบบสงการทางทหาร ลกษณะหนงของสงครามไซเบอร กคอการกอการรายทางไซเบอร ซงหมายถงการกอการรายทางอนเตอรเนต การโจมตเหลาน เหมอนสงครามไซเบอร สามารถเสยงตอโครงสรางพนฐานขอมลแหงชาต คณะกรรมการปองกนโครงสรางพนฐานทสำาคญของประธานาธบด (ซไอพบ) กำาลงเตรยมแผนปองกน นโยบาย และยทธวธ เพอจดการกบการกอการรายทางไซเบอร ซไอพบ กำาลงแนะนำาใหลงทนในโปรแกรมรกษาความปลอดภยทางไซเบอร ในบางพนทของรายงาน ซไอพบ คอ นโยบายทวไปของการรกษาความปลอดภยของขอมล ขอกำาหนดการปองกนทรพยสน รวมถงการควบคมเพอประกนการกลบคน หรอทำาลายของขอมล ขอกำาหนดการประกนเทคโนโลย ทรพยสนทางปญญา สทธทจะตรวจตรา และยกเลก กจกรรมของผใช มาตรฐานการรกษาความปลอดภยของขอมลจำาเพาะทางกายภาพ และทางเทคนค และขนตอนการสอสารในเวลาฉกเฉน (สำาหรบรายละเอยด และการโตแยง ด cdt.org/security/critinfra and

35

ciao.gov. สำาหรบขอมลเพมเตมเรองการกอการรายทางไซเบอรด เวอรตน และ บราวโลว 2546)

วธการโจมตมหลายวธของการโจมต และอนใหม ๆ ปรากฏเปนประจำา หนงในวธ

เหลาน ของการโจมตบนสถานทคำานวณ สถานทคำานวณเหลาน ซเอสไอ/เอฟบไอ รายงานวา (ตอ รชารดสน 2546) สงตอไปนมบอยทสด (เปอรเซนตของบรษททตอบ) ไวรส (82%) การใชในทางผดภายใน (80%) การเขาโดยไมไดรบอนญาต โดยคนภายใน (45 %) ขโมยเครองแลปทอป (59%) ปฏเสธการบรการ (ดโอเอส) (42% ) การเจาะระบบ (36%) การบอนทำาลาย (21%) และลกขอมลทมลขสทธ (21%) ในตอนนเราดทวธเหลาน บาง การเขาถงพนฐานสองอยางในการโจมตอยางจงใจ ตอระบบคอมพวเตอร การยงเกยวกบขอมล และการโจมตทางโปรแกรม

การยงเกยวกบขอมล วธทใชกนทวไปในการโจมต หมายถงการเขาแบบฉอฉการสรางขอมลทหลอกลวงเขาสคอมพวเตอร หรอเปลยนแปลง หรอลบขอมลทมอย น เป นวธท มกใชโดยคนภายใน ตวอยางเชน จายคาซ อยาของภรรยา พนกงานทำาโปรแกรมยายเงน 55,000 เหรยญเขาสบญชออมทรพย และเงนก สวนตว และพยายามทจะปกปดการโอนโดยการเดบต และ เครดตหลอก ๆ

การมองดทใกลชด15.2 สงครามไซเบอรขามพรมแดน

ในขณะทอนเตอรเนต เตบโต ดงนนการโกงขามพรมแดนกเพมขนดวย ตามท

คณะกรรมการการคารฐบาลกลาง (เอฟทซ) ไดมการเพมในการรองเรยนโดยผบรโภคเกยวกบการฉอโกงขามพรมแดน 74 เปอรเซนต ในป 2545 (ถง 24,213) (เดวสสน 2545) คำารองเรยนเกอบทงหมด

36

เกยวของกบคาธรรมเนยมการกยมลวงหนา การเสนอเงนสดจากตางประเทศ และการจบฉลาก ผหลอกลวงทอยในประเทศหนงหลบเจาหนาทโดยการใสความใหแกพลเมองของประเทศอน โดยใชอนเตอรเนต

ตวอยางคอ เดวด ล ชาวฮองกง อาย 44 ป ตอบรบการโฆษณาในหนงสอแมกกาซน ทนาเชอถอทางธรกจ ทเสนอใหคำาแนะนำาการลงทนทฟร หลงจากเขาตอบรบ เขาไดรบโบรชวรทดเปนมออาชพ และคำาพดทเปนการขายทางโทรศพท ดงนนเขาจงไดสงใหไปทเวป ไซตของ เอคควต มวชวล ทรสต (อควต) ซงเขาสามารถทจะตดตามการปฏบตการทนาประทบใจประจำาวน ของกองทนทใหสำานกงานในลอนดอน สวตเซอรแลนด และ เบอลซ จาก เวป ไซต นนเขาไดรบการเชอมตอไปทกองทนพนอง และหนสวนธรกจ นายลไดถกตอเชอมไปทเขาเชอวาเปนบรษทประเมนการลงทนทเปนทรจก มอนงสตาร ( morningstar.com) แททจรง เวป ไซต นนเปนการทำาเทยม ทเลยนแบบไซตเดม สถานทเลยนแบบไดให การประเมนทสงมาก แตเปนการหลอกลวง ทกองทนมวชวลฟนด ผลสดทาย ลไดถกนำาไปทอานเกยวกบอควต และกองทนในฉบบอนเตอรเนชนแนล อนเตอรเนต เฮรล ตรบน บทความดเหมอนวาเปนขาว แตทจรงเปนการโฆษณา

เขาเชอวาไดรบผลตอบแทนระยะสนชนยอด เขาสงเงน 16,000 เหรยญสรอ สงให อควต ลงทนในกองทนแกรนด ไฟแนนเชยล ในไมชาเขารสกสงสย เมอจดหมายจากอควต มาจากตางประเทศ โทรศพท และอเมลไมไดรบการตอบตรงเวลา และ การลงทะเบยนบนอนเตอรเนต แหงลง

เมอนายลตองการจะขาย เขาไดรบคำาแนะนำาใหเพมการลงทน และเปลยนไปทบรษทแคนาดา มต เทค ทกลาวหาวาเปนผแกปญหาป 2000 เวป ไซต เขาถกสงไปดดมากเหลอเกน แตตอนน ล ระมดระวง เขาตดตอเจาหนาทางการเงนใน เกาะ เตอรก และ คลคอส ซง อควตตงอย และ– –ไดถกแนะนำาใหไปทตำารวจองกฤษ

ในไมชาเขาทราบวา โอกาสมนอยทเขาจะไดเหนเงนของเขาอก ยงกวานนเขาทราบวาเหยอหลายพนคนไดจายเงนรวม 4 พนลานเหรยญ ให

37

อควต เหยอเกอบทงหมดอยในฮองกง สงคโปร และประเทศ เอเซยอน ๆ หลายคนกลาววาขอมลทนาเชอถอมาจากเวป ไซต รวมถงเวป ไซต อสระ ทจดอนดบ อควต และกองทนวาปลอดภย มหาดาว “ ”

ตามท เดวสสน (2546) เอฟทซ ยอมรบวากฎหมายในสหรฐ และประเทศอน ๆ ตงขนมาบนพนฐานของเศรษฐกจเกา และไมมประสทธภาพ เพยงพอในคดขามพรมแดน เกยวกบความเปนจรงของเศรษฐกจใหม เพอแกปญหาน บางประเทศ (เชน เยอรมนน เนเธอรแลนด) พงพากลมธรกจทใชกฎขอบงคบของตวเอง ทสามารถรองขอบรษททกระทำาผดใหเปลยนแปลงการปฏบต ในบางประเทศพยายามทจะ หามผทำาการตลาดอนธพาลจากการทำากจกรรมการตลาดทไรจรยธรรม หรอผดกฎหมาย แตไมสามารถลงโทษทางการเงนได บรษททกระทำาผดเพยงแคมองหาอำานาจศาลทสะดวก (โดยบงเอญ เหตการณนเกดขนกบบรษททสนบสนน การแบงปนไฟล ฟร เชน Kazaa พวกนทำางานนอกสหรฐ และไมขนอยกบกฎหมายสหรฐ ไมวากฎหมายจะลาสมยแคไหน)

อะไรททำาได ในเดอนมถนายน 2546 ม 29 ประเทศ ทเขาในกลม โออซด (องคการเพอความรวมมอทางเศรษฐกจ และ พฒนา) ประกาศขอตกลงในการดำาเนนคดผหลอกลวงออนไลน และบงคบใชกฎหมายทมอย จะมการแบงปนขอมล และความรวมมอระหวางผสอบสวนจากหลาย ๆ ประเทศ (เชน กฎความเปนสวนตว ทวาประเทศเกอบทงหมด รวมถงสหรฐ ขณะนจะกำาหนดขอมลซงสามารถแบงปน) ประเทศทเขารวมจะผานกฎหมายนำามาใชขอกำาหนด ตวอยางเชน ใน สหรฐซงมเหยอเกอบทงหมดของการหลอกลวงขามประเทศ รางกฎหมายในคองเกรส จะใหอำานาจหนาทใหมแก เอฟทซ เพอดำาเนนกฎหมายกบการหลอกลวงขามพรมแดน

การโจมตโปรแกรม เปนทนยมของอาชญากรรมคอมพวเตอร ซงใชเทคนคโปรแกรมเพอแกไขโปรแกรมคอมพวเตอร ไมวาโดยตรง หรอทางออม สำาหรบอาชญากรรมน ความสามารถทาง

38

โปรแกรมและความรในระบบเปาหมายเปนสงจำาเปน การโจมตทางโปรแกรมปรากฏภายใตหลาย ๆ ชอ ดงทแสดงใน

ตารางท 15.3 วธของการโจมตโปรแกรม ทระบบคอมพวเตอร วธ คำาจำากดความ ไวรส

ตวหนอน

มาโทรจาน

แผนสลาม

ซเปอรแซปป ง

ประตกบดกโลจก บอมบการปฏเสธบรการตวดมสปรพฟงคนแกรหสผานการหมนโทรศพททำาสงคราม

ประตหลง

แอปเปลชวราย

คำาส งลบใสเขาในโปรแกรม ส ำาหรบขอมลทบรสทธ ในระหวางงานธรรมดา คำาสงลบอาจทำาลายขอมลหลงจากเปลยนแปลงขอมล เชนเดยวกบแผกระจายภายในหรอระหวางระบบคอมพวเตอร โปรแกรมทเลยนแบบตวเอง และเจาะระบบคอมพวเตอรทด อาจกระจายภายในเครอขาย เจาะคอมพวเตอร ทตอเชอมทงหมดโปรแกรมผดกฎหมายภายในโปรแกรมอกอนหนง ซ งจะ

นอนหลบ จนกวาจะเกดเหตการณจำาเพาะ ซงจะกระตน“ ”โปรแกรมผดกฎหมายใหทำางานและกอใหเกดความเสยหายโปรแกรมทออกแบบใหดดเงนจำานวนเลกนอยจากจำานวนการซอขาย เพอวาจำานวนทรบจะไมปรากฏชดเจนวธการใชโปรแกรม อรรถประโยชน ทสามารถ ออมการ” ”ควบคม เพอแกไขโปรแกรม หรอขอมลเทคนคทยนยอมใหเจาะเขาสรหสโปรแกรม ทำาใหเปนไปไดทใสขอมลเพมเตมคำาสงทกอใหเกดการกระทำาชวรายมคำารองขอมากมายสำาหรบบรการซงจะทำาให เวป ไซตลมโปรแกรมทคนหารหสผาน หรอเนอหาในชดขอมล ในขณะทผานอนเตอรเนตการทำาอ-เมลลวง หรอ หนา เวป เพอหลอกลวงผใชใหขอมลสำาหรบสงเงนรหสผานซงพยายามทจะเดารหสผาน อาจใชไดผลดมากโปรแกรมซงหมนโดยอตโนมต หลายพนหมายเลขในความพยายามทจะบงช ผ ได รบอนมตใหท ำาการตอเช อมดวย โมเดม แลวใครคนหนงจะใชการตอเชอมเพอบกเขาไปในฐานขอมล และระบบ

39

ผบกรกเขาในระบบ สรางหลาย ๆ จดเขา แมวาทานจะคนพบ และปดชองทางนน กยงสามารถเขาไปทางอน โปรแกรมจาวา เล ก ๆ ท ใช ในทางผ ด ในทรพยากรคอมพวเตอร เพอแกไขไฟล ของทานหรอสงอ-เมล ปลอม

ตารางท 15.3 หลาย ๆ วธไดถกออกแบบสำาหรบระบบเวป ไวรส ทำาใหสมควรทจะพจารณาเปนพเศษ เนองจากความถ เพอปฏเสธการบรการ การโจมตทชวราย เนองจากผลเหลาน ทมตอเครอขายคอมพวเตอร

ไวรสตางๆ วธโจมตทเปนทรจกทวไป และ ธรรมดา คอไวรส ไดรบชอมาจากความสามารถ ของโปรแกรมทจะยดตวเองเขา (“เพอตดเชอ”) โปรแกรมอน ๆโดยทเจาของโปรแกรมไมรวามการตดเชอมา (ด รป 15.2) เมอซอฟตแวรใช ไวรสจะระบาด ทำาความเสยหายใหแกโปรแกรม และแกอนอน ๆ ตามทบรโน (2545) 93 เปอรเซนต ของบรษททงหมดประสบกบไวรสโจมต ในป 2544 ดวยความสญเสยของ 243,845 เหรยญ ตอบรษท ไวรส สามารถกระจายไปทวระบบคอมพวเตอรเรวมาก เนองจากความมพรอมของซอฟตแวร ทใชกนทวไปในเครอขายโทรคมนาคม และไวรสบนอนเตอรเนตสามารถกระจากไปหลาย ๆ องคการทวโลก ดงทแสดงในกรณ กลาวกอนหนาน ไวรสทมชอเสยทสด คอ ระหวางประเทศ เชน ไมเกลแองเจโล ปากสถาน เบรง เช“ ”โนเบล และเยรซาเลม (สำาหรบประวตของไวรส และวธทจะสกบมน ดเซทเตอร และ มอาสโกสก 2543)

เม อ ไวรสถกแนบเขาก บโปรแกรมซอฟตแวรท ถ กกฎหมายซอฟตแวรทถกกฎหมาย

จะทำาตวเปนมาโทรจาน โปรแกรมทบรรจหนาททแสดงความเสยงทางการรกษาความ

ปลอดภย ชอนไดรบจากมาโทรจานใน เชนเดยวกบไวรสทางชววทยาขดขวางเซลล เพอกอใหเกดเชอโรค คอมพวเตอรไวรสนำาเสนออยางชวราย

40

บกรกการทำางานภายในของคอมพวเตอร และขดขวางการปฏบตงานตามปรกต ของเครองจกร

(1) ไวรสเรมตนเมอคนทำาโปรแกรมเขยนโปรแกรม ทฝงตวเองในโปรแกรมเจาบาน

(2) ไวรสแนบตวเองและเดนทางทกแหงทโปรแกรม หรอชนสวนของขอมลเดนทางไมวาบนฟลอบป ดสค เครอขาย หรอ การแนบไปกบอเมล

(3) ไวรสเรมตนโดยจำากดเวลา หรอกำาหนดของสถานการณ อาจเปนไปได ทลำาดบการทำางานของคอมพวเตอรแบบงาย ๆ ของผใช ดงนนเมอใดกตาม ทคนทำาโปรแกรมไวรสประสงค ไมวาเพอจะพมพ ขอใหเปนวนด หรอลบขอมล “ ”

รป 15.2 วธทไวรสคอมพวเตอรสามารถแผกระจาย

นยายกรก โปรแกรมมาโทรจาน ทเสนออนตรายมากทสด คอพวกททำาใหเปนไดสำาหรบใครคนหนงเขาถง และควบคมคอมพวเตอร ของบคคลบนอนเตอรเนต เราจะดทไวรส และรวธทจะตอสในบท เมอเราบรรยายถงการรกษาความปลอดภย ทเครอขาย

การปฏเสธการบรการ กรณแรกเรม ของบทนบรรยายการปฏเสธการบรการ ในการโจมตการปฏเสธการบรการ (ดอส) คนโจมตใชซอฟตแวรพเศษเพอสงขอมลเปนชนทวมทน ไปทคอมพวเตอรเปาหมาย พรอมดวยการเลงทโอเวอรโหลด ทรพยากร ผโจมตหลายคนพงพาซอฟตแวรทไดถกสรางโดย แฮกเกอร คนอน ๆ และมใหพรอมกนโดยไมเสยเงนบนอนเตอรเนต พรอมกบการโจมตการบรการการปฏเสธการบรการ (ดอส) ผโจมตเขาบรหารคอมพวเตอรอยางผดกฎหมายบนอนเตอรเนต การเขาถงคอมพวเตอรจำานวนมาก ผโจมตโหลดซอฟตแวรพเศษเขาสคอมพวเตอรเหลาน ซอฟตแวรรอคำาสงทจะเรมโจมต เมอใหคำาสงเครอขายทแจกจายของคอมพวเตอรเรมสงคำาขอไปทคอมพวเตอรเปาหมายเครองหนง หรอหลายเครอง การรองขอ

41

สามารถเปนการสอบถามขอมลทถกตองตามกฎหมาย หรอเปนคำาสงทางคอมพวเตอรทพเศษ ออกแบบใหทวมทนทรพยากรคอมพวเตอรจำาเพาะเครองจกรซงซอฟตแวร ดดอส ทโหลดเปนทรจกในนามของ ซอมบ (คาราเกยนนส 2546) ซอมบ มกจะตงอยทไซต มหาวทยาลย และรฐบาล การเพมของโมเดม ใชสายเคเบล และ ดเอสแอล โมเดม คอมพวเตอรบาน ทตอเชอมเขากบอนเตอรเนต และทงไวตลอดเวลาไดกลายเปนซอมบชนดไดการโจมตแบบ ดอส ไมใชของใหมในป 2539 ผใหบรการอนเตอรเนตในนวยอรค ถกขดขวางเปนเวลากวา หนงสปดาห ดวยวธน ปฏเสธการบรการกวา 6,000 คน และ 1,000 บรษท ตวอยางของเมอเรว ๆ น ของการโจมตของ ดอส เปนหนงใน อารไอเอเอ (สมาคมอตสาหกรรมบนทกเสยง แหงอเมรกา) ซงไซต (riaa.org) ถกทำาใหใชไมไดเปนเวลาหนงสปดาห เรมจากวนท 24 มกราคม 2546 การโจมตไดกระทำาสวนใหญกบผทไมชอบความพยายามของ อารไอเอเอ ทจะพยายามทจะตอสกบดนตรทถกละเมดลขสทธ โดยการแบงปนไฟล

เนองจากความพรอมทมแพรหลาย ของเครองมอบกรก และ สครฟต และการตอเชอม

ทวไปบนอนเตอรเนต ประชากรผบกรกขณะนประกอบดวยแทบทกคน ซงมประสบการทางคอมพวเตอรเลกนอย (บอยครง เปนวยรน ทมเวลาอยในมอ) เปนทนาเสยดาย การโจมตดอส ทประสบความสำาเรจ ตามตวอกษรคกคามการอยรอดของ ไซต อซ โดยเฉพาะ สำาหรบ SMEs /การโจมตผานทางโมเดม ในหลาย ๆ บรษท พนกงานซงอยบนถนนใชโมเดม สำาหรบหมนเขาอนทราเนตของบรษท มโมเดมสองประเภทอยแลว ทไดรบอนญาต และไมไดรบอนญาต (เปนทรจกเปน โมเดมอนธพาล) อนหลงไดถกตดตงโดยพนกงาน เมอไมมโมเดมไดรบอนญาต เมอไมสะดวกทจะใชโมเดมทไดรบอนญาต หรอเมอโมเดมทไดรบอนญาตเขาถงไดจำากดโมเดมเปนสงทเสยงมาก จงเปนการงายสำาหรบผโจมตทจะบกทะลวง และงายสำาหรบพนกงานทจะทำาขอมลความลบของบรษทใหรวไหล ไปสภายนอกเครอขาย ผานทางโมเดมอนธพาล นอกจากนน ปญหา

42

ซอฟตแวร อาจจะพฒนา เชนดาวนโหลด โปรแกรม ทมไวรส หรอ ม ประ“ตหลง เขาสระบบ ประตหลงไดถกสรางโดย แฮกเกอร เพอใหทะลวง”ระบบใหม ครนเมอทะลวงสำาเรจ สำาหรบการปองกนระบบทใชโมเดม ด ไวต (2542)

15.4 การปองกนความปลอดภยของขอมล : จากความพยายามขององคการนานาชาต (PROTECTING INFORMATION RESOURCES : FROM NATIONAL TO ORGANIZATIONAL EFFORTS )

อาชญากรรมหมายถง การไมปฏบตตามกฎหมาย ซงหนวยงาน FBI ไดเปดเผยขอมลเกยวกบการโจรกรรมทางดานคอมพวเตอร โดยในประเทศสหรฐอเมรกา มอตราเฉลยทางโจรกรรมคอมพวเตอรถง 600,000 ดอลลาร

การออกกฎหมาย สามารถใหความชวยเหลอได แตไมเพยงพอ เพราะฉะนน FBIจงมการปองกนโครงสรางพนฐานระหวางประเทศ และนนกคอรอยตอของความเปนหนสวนระหวางรฐบาลและอตสาหกรรมสวนตว ซงไดวางแผนไวลวงหนาแลว การปองกนโครงสรางพนฐานระหวางประเทศ ถอเปนการสอสารทางไกลโดยการใชโทรศพท พลงงาน การขนสง การธนาคารและการเงน กรณฉกเฉนและการปฏบตการของรฐบาล FBI ไดกำาหนดกลมบคคลทเปนผบกรกขอบเขตคอมพวเตอร โดยพนกงานสอบสวนสามารถทจะฟองรองเกยวกบการละเมดทางดานคอมพวเตอร ซงอาจจะเปนการหลอกลวงและใชไปในทางทผด กลมบคคลคนทมการเคลอนไหวดงกลาวเปรยบไดกบการเปนจดศนยรวมการบกรกทางดานสาธารณะ และมการออกอากาศผานสถานเครอขาย การละเมดสวนบคคล

43

ปญหาดานความปลอดภยของขอมลเพมขนอยางรวดเรว สาเหตของความเสยหายเกดขนในองคการ การคมครองทสนเปลองและยงยากบรษทตองไมจำาเพาะแคการควบคมลวงหนา หรอตรวจพบความปลอดภยในปญหา เขาทงหลายจำาเปนตองทำาหนาททไดรบมอบหมายตงแตตนจนจบภายในองคกรภายในองคกร โปรแกรมทงหมดจะนำามาใชเมอจำาเปน โดยตองไดรบการสนบสนน 3 สวนประกอบ ไดแก คน เทคโนโลย และกระบวนการตาง ๆ

ทางแรกในการเรมตนของปญหาคอการดแล ควบคม ทำานองเดยวกบการควบคมดาน

คณภาพการบรหาร ความสำาคญของบรษทหรอความปลอดภยของโปรแกรม จะตองมสญญาประเภทคมครองสงตพมพ ประกอบดวย การคมครองขอมลสารสนเทศ ซงปจจบนการเรมตนนจะตองประกอบดวยสวนสำาคญ 6 สวน ซงมลกษณะเฉพาะดงน

1. โปรแกรมจำาเปนตองปรบใหเขากบจดประสงคขององคการ

2. กจการทมขนาดใหญ : ทกคนในองคการจำาเปนตองรวมกนรกษาและคมครองโปรแกรม

3. ความตอเนอง : โปรแกรมจำาเปนใชไดในทกเวลา4. บทบาทรวมหรอการรเรม : ตองรถงการเตรยมความ

พรอมในการปรบปรง ปองกน และมาตรการคมครอง

5. ทำาใหใชได : โปรแกรมจำาเปนตองมการทดสอบและทำาใหใชงานไดอยางตอเนองและแนนอน

6. รปแบบ : โปรแกรมตองมรปแบบทมหนาท ความรบผดชอบและความนาเชอถอได

บรษทคมครองความปลอดภยจะมการเสนอรปแบบทสวยงาม ซงเปนการแสดงใหเหนภาพในอนาคตทชดเจน โดยเฉพาะองคการทใหญมาก ๆ สามารถจดใหมโครงสรางความปลอดภยท

44

ครอบคลม ซงเราจะนำาเสนอสวนประกอบและขอคดเหนโดยแบงออกเปนขนตอน

ขอสนบสนนในการคนควาสำาหรบวธการของบรษทคมครองความปลอดภยเปน

นโยบายทเดดขาด สงสำาคญอนหนงของสงตพมพคอ บทบาทหนาทของบคคลทรบผดชอบเกยวกบการรกษาความปลอดภย ซงตองไปรบตำาแหนงหวหนารกษาความปลอดภยประจำาสำานกงาน

ศนยรวมความสำาคญและความสามารถในการคกคามระบบขอมลจำาเปนตองเขาใจทางปองกน การคกคามเกยวกบการวเคราะหและวธการสอสารไมใชงาย ๆ หรอไมแพง ในภาระหนาทความสำาคญจะแตกตางจากการปองกนขอมล จากตาราง 15.5TABLE 15.5 The Difficulties in Protecting Information ResourcesTABLE 15.5 The Difficulties in Protecting Information Resources● Hundreds of potential threats exist.● Computing resources may be situated in many locations.● Many individuals control information assets.● Computer networks can be outside the organization and difficult to protect.● Rapid technological changes make some controls obsolete as soon as they areinstalled.● Many computer crimes are undetected for a long period of time, so it is difficultto learn from experience.● People tend to violate security procedures because the procedures are inconvenient.● Many computer criminals who are caught go unpunished, so there is no deterrenteffect.● The amount of computer knowledge necessary to commit computer crimes is usuallyminimal. As a matter of fact, one can learn hacking, for free, on the Internet.● The cost of preventing hazards can be very high. Therefore, most organizationssimply cannot afford to protect against all possible hazards.

45

● It is difficult to conduct a cost-benefit justification for controls before an attackoccurs since it is difficult to assess the value of a hypothetical attack.

เพราะเปนสงสำาคญตอโครงสรางทงสน การจดตงอยางเหมาะสมในการปองกนระบบคอกจกรรมหนงทมความสำาตอ CIO และผทเกยวของกบการปฏบตหนาท ซงใครจะมหนาทควบคมแหลงขอมลตามทไดลงตพมพ จากขอเทจจรงการปองกนดาน IT ของนกธรกจซงถอไดวาเปนหนาทของทกคน

การปองกนแหลงทมาของขอมล ทเกดจากการควบคมแทรกแซง และมเจตนาจะขดขวางโดยบงเอญ ขดขวางอยางตงใจ การตรวจพบปญหาตงแตแรกอาจเปนการยบยงความเสยหาย การควบคมระหวางระบบ สามารถเพมบางสงบางอยางของการปฏบตงานหรอการรกษาจดสำาคญเพอใหพนจากอนตรายจาผบกรก

ในการเพมระบบควบคมทดของการปองกนตวประกอบดวย การปองกนอยางรตว สมาชกขององคการทกคนตองรตว ถงการปองกนการคกคาม และมองถงความเปนไปไดของปญหาและอาชญากรรมทไมเปลยนแปลง

การรตว การควบคม และการเสนอแนะจาก เทลเลอรตงแตมการปองกนการคกคามและการปกปองใหพนจาก

อนตรายทางระบบกลไก การควบคมออกแบบ การปองกนทงหมดถอเปนสวนประกอบของระบบขอมลขาวสาร ความพเศษของหลกฐาน software, hardware และเครอขาย

ตวเลอกของการปกปองใหพนจากอนตรายโดยเฉพาะเปาหมายของการปองกน คอ

1. การปองกนและการขดขวางอยางเหมาะสม การออกแบบควบคมการปองกนความผดทเกดขน การขดขวางอาชญากรรมจากการ

46

โจมตระบบ และจากคนทไมรบอนญาต เปนการทำาใหเกดความเสยหายอยางมาก

2. การตรวจพบ ไมใชธรกจทดำาเนนการไดจากการปองกนอนตรายทงหมด การกดขวาง และมาตรการตาง ๆ ไมใชการทำางาน เพราะฉะนนการปองกนระบบใหมความมนคงไมได ถอเปนการกดขวางและตอตาน แตความเสยหายกเกดขนนอย การตรวจสอบสามารถกระทำาในหลายเหตการณ เชน จากการใชความพเศษ จากการวนจฉย Software

3. ขอบเขตความเสยหาย วธการนเปนการลดการขาดทน ซงสามารถบรรลผลไดมากสวนประกอบความผดพลาดของระบบจะลดลงจนกวาจะเอากลบคนมาได

4. การเอากลบคนมา การวางแผนเอากลบคนมาตองทำาอยางไรในการทจะซอมแซมความเสยหายของระบบขาวสารทเรวและเปนไปได แทนทจะแกไขทสวนประกอบซงเปนวถทางหนงทจะเอากลบคนมาอยางรวดเรว

5. การแกไข การแกไขเปนสาเหตของความเสยหายของระบบ สามารถปองกนไดโดยแกไขจากปญหาทเคยเกดขน

6. การรและยนยอม สมาชกในทกองคการตองศกษาเกยวกบอนตรายทเกดกบขอมล และตองยอมรบในกฎขอบงคบเกยวกบความปลอดภย

ในการปกปองใหพนจากอนตรายวธการนจะมงเนนเพอใหบรรลผลอยางหนงหรอมากกวา เปาหมายอาจจะรวมถงการใช การควบคมในหลาย ๆ อยาง การปกปองใหพนจากอนตรายถอเปนการควบคมซงสามารถแยกออกไดเปน 2 ขอคอ การควบคมทวไป และการใชการควบคม แตละขนตอนจะมลำาดบความสำาคำญ ตามทไดแสดงใน Figure 15.4 การควบคมทวไปเปนการกำาหนดการปองกนระบบจากโปรแกรมโดยเฉพาะ

47

ยกตวอยางเชน การปองกน hardware และการควบคม ซงเปรยบเหมอนเครองปอง

กนจากความตองการของการปองกนโปรแกรมทมราคาสง ขอสำาคญของการควบคมทวไป คอ การควบคมรางกาย การ

ควบคมการเขาระบบ การควบคมการปองกนขอมล การควบคมการสอสาร และการควบคมการบรหาร

การควบคมทางดานรางกาย ซงถอเปนการปองกนทางคอมพวเตอรทงาย ซงจะประกอบดวยการปองกนถงทรพยสนตาง ๆ เชน คอมพวเตอร ศนยกลางขอมล โปรแกรม หตถกรรมและเครอขาย การปองกนทางรางกายเปนทางแรกของการปองกนใหพนจากอนตรายและเปนการสรางระบบอยางงาย การตอตานอนตรายจากธรรมชาต ดกวาตอตานอนตรายนจากมนษย การปองกนทางรางกายเปนการตองกนทเหมาะสม ซงจะประกอบดวยการควบคมหลายดาน ๆ เชน

- จดประสงคบางอยางในการกำาหนดศนยขอมล ตวอยางเชน สถานทจะไมเกดการเผาไหมและนำาไมสามารถซมผานได

- การคมครองและตอตานจากสนามแมเหลกไฟฟา

48

- การปองกน การตรวจพบและการยกเลกระบบ ถอเปนการกระตอรอรนทด ประกอบดวยระบบกงหนสาด เครองสบนำา และความรวดเรวของระบบการระบายนำาทพอเหมาะ การแกปญหาทดทสดคอรฐมการควบคมระบบตาง ๆ

- กรณเกดเหตฉกเฉน กำาลงอาจจะหยดชะงกกลางคน และเกดการอดตนในแบตเตอรรซงจำาเปนตองมการบำารงรกษาใหอยในสภาพทใชการได

- การวางแผนทถกตอง การบำารงรกษาและการปฏบตการของระบบเครองปรบอากาศ

- การเคลอนทของสญญาณบอกเหต สามารถตรวจพบได โดยสามารถสบคนรปรางของผบกรกได

ขอตกเตอนอกอยางหนงเกยวกบการควบคมทางดานรางกาย คอ การปองกนและตอตานการโจรกรรมทางคอมพวเตอรทเคลอนทได ดงนน การคมครองจงเปนสงสำาคญ ไมยกเวนแมกระทงความเสยหายดานคอมพวเตอรและดานขอมล

วธเขาถงการควบคมวธการควบคมเปนการกำาหนดวธการของผใชทไมไดรบ

อนญาต โดยแบงออกเปนสวน ๆ ในระบบคอมพวเตอร หรอทงระบบ มสวนสำาคญในการปองกนและตอตานผทไมไดรบอนญาตทงจากภายในและภายนอก การคนหาขอมลจากแหลงขอมลใหเขาถงผใช จะตองมผเชยวชาญทสามารถเขาถงแหลงขอมลได ซงผเชยวชาญสามารถเขาถงระบบคอมพวเตอรพนฐานได 3 ทาง คอ

1. การเขาทางรางกาย2. การเขาสระบบ3. การเขาอยางเจาะจง

การตดตอดานสทธพเศษ โปรแกรมและระบบทเขาถงขอมล การควบคม sofdware พบไดงายในคอมพวเตอรทมขนาดใหญ สำาหรบ

49

คอมพวเตอรสวนบคคล เครอขายเฉพาะทาง อปกรณโทรศพทเคลอนท และการเขาถงเครอขายสอสาร วธการเขาถงการควบคมสเครอขาทดแตจะอภปรายในภายหลง

วธการเขาถง กบเหตผลทกเหตผล ผใชตองมลกษณะเฉพาะ ซงเขาจะจดทำาใหและรบรองวธการ การรองขอใหผใชเขาระบบคอมพวเตอรไดอยางแทจรงจะตองพสจนไดวามความสามารถสมบรณ โดยผใชควรรถงหรอตองม เชน

- รหสผาน- บตร Smart card หรอสญลกษณตาง ๆ- ลายเซน เสยงรอง ลายพมพนวมอ หรอการสแกนตเรตนา

สงเหลานเปนเครองมอทางการศกษาเกยวกบการปฏบตการของมนษยและสตร ซงสามารถทจะเกบอยบนสอบนทกหรอ การควบคมดานชวสถต ซงเปนวธการอตโนมตของการพสจนความจรงทเหมอนกบของบคคล พนฐานบนสรรวทยาหรอพฤตกรรม เปนลกษณะเฉพาะ ซงสวนใหญหรอธรรมดาจะเรยกวาOnetric โดยมลกษณะดงน

1. รปราง คอมพวเตอรจะใชรปของใบหนาและการปรบตวไวลวงหนา ในป 2002วธการนเปนทประสบความสำาเรจในดานเอกลกษณ ไมเวนแมแตในเรองของแฝดเพศเดยวกนทเหมอนกนทสด

2. ลายนวมอ บางเวลาผใชตองการเขาไปใหถงขอมล ลายนวมอเปนตวตอตานแบบแผนของการยบยงผทไดรบอนญาตให การทำาลายนวมอสามารถบอกลกษณะของเขาหรอเธอได ในป 2001 microsoft ไดแนะนำาโปรแกรมทผานมาคอ windows อนญาตใหผใชใชลายนวมอของ Sony ใหเปนทรจกอปกรณ ผผลตคอมพวเตอรดงกลาว คอมพวเตอรแบบหวทวางใจไดจากการ Scan รอยนวมอในระบบสมผสในป 2004 อปกรณเหลานจะไมยอมรบผไมมอำานาจทจะเขาถงได

50

3. การควบคมดานชวสถต (biometric) นจะคลายกนกบลายนวมอ ยกเวนการตรวจสอบการใชกลองโทรทรรศนถายภาพมอของผใช แนนอนวาจะบอกลกษระของมอไสดแบบอเลกทรอนกส ถาเทยบกบความตานทางการเกบรกษาขอมลไวในคอมพวเตอร

4. การวเคราะหมานตา เทคโนโลยนใชสของตาเปนสวนแบงเอกลกษระของตวบคคลมนเปนวธทไมคอยแพรหลาย ทจะถายรปดวงตาและวเคราะหซงจะเปนวธทถกตองแมนยำา

5. การวเคราะหเรตนา เหมาะกบการทดลองระหวางรปแบบ หลอดเลอกในลกตา-ดำาเรตนา นนเปนการวเคราะหและกำาหนดคาของรปเรตนา

6. การเวคราะหเสยง เหมาะกบการทดลองระหวางเสยงของผใชและรปแบบเสยงทไดมการเกบขอมลไวแลว

7. ลายเซน ลายเซนเปนวธทตานการเกบขอมลไวลวงหนาทนาเชอถอจากลายเซน วธนสามารถสงเสรมระบบรปในบตรประชาชน

8. แรงพมพดด เหมาะกบคนทใชคยบอรดแรง ความเรวเปนแรงตานทมคากำาหนดไวในขอมลยงมอกหลายวธ เชน การวดอณหภมจากหนาทมอย การควบคมทางชววทยา มเขาไปสทางดานพาณชย hardware และ softwareสำาหรบขอคดเหนและการเปรยบเทยบทางดานเทคโนโลย Jainet และ Alga การควบคมทางชววทยามขอจำากดคอ ไมแมนยำาและบางคนจะถกบกรกความเปนสวนตวได

การควบคมความปลอดภยของขอมล เปนเรองทเกยวของกบการปองกนขอมลจากความบงเอญหรอความตงใจในการเปดเผยขอมลโดยผไมไดรบอนญาต หรอจากผทไมไดรบอนญาใหสามารถแกไขขอมล หรอทำาลายขอมลได ความปลอดภยของขอมลจะเกยวของกบระบบการควบคมโปรแกรม ฐานขอมล ขอมลการตดตอสอสาร ขอเสนอ

51

แนะ ผสนบสนน วธการกเอาคอ โปรแกรมทเกยวของและการกคนจากการควบคมภายนอก ความปลอดภยของขอมลจะตองมลกษณะดงน :ขอมลตองมความนาเชอถอได มการควบคมการเขาถง สามารถวเคราะหขอมลเกยวกบธรรมชาตและขอมลตองมความสมบรณ

หลกการ 2 ขอทจะทำาใหเกดความปลอดภยของขอมลคอ1. สทธพเศษทมนอยทสด เพยงแตขอมลทผใชตองการจะ

โอนแยกงานทกำาหนดทเหมาะสมกบเขาหรอเธอ2. การเปดเผยทนอยทสด ผใชจะไดรบการเขาตอความไว

ตอความสมผสของขอมลขาวสาร เขาหรอเธอมความรบผดชอบตอการปองกนมนจากการกระทำาอยางมนใจ เจาหนาทตองไดเรยนรถงขาวสารน เมอมกระบวนการนไวเกบรกษาหรอสงผานแลว ความสมบรณของขอมลเปนเงอนไขของการดำารงอยนานและตงใจทจะทำาลาย เปลยนแปลงหรอ สญเสยขอมลทไมเกดขน มนเปนการเกบรกษาขอมลเพอเจตนาของคนเหลาน

การควบคมการสอสารและเครอขาย การปองกนเครอขายเปนการเหมาะสมและสำาคญทสดในการใช Internet Internet ขนาดยอมและอเลกทรอนกสทางดานพาณชย เราจะโตตอบเรองนในรายละเอยดตอนท 15.5

การควบคมการบรหาร เมอกอนการโตตอบเปนการควบคมทวไปแบบเทคนคทางธรรมชาต การควบคมการบรหาร เปนการจดการรวมกบการออกคำาสง เปนเครองชแนะและเครองเตอนการยนยอม ยกตวอยางในการควบคมในขอ 15.6

การควบคมทวไปและอน ๆ หลายๆ สง และหลาย ๆ ประเภท ของการควบคมเปนการพจารณาทวไป ยกตวอยางเชน

52

- การควบคมโปรแกรม การกระทำาในโปรแกรมอาจจะมผลกระทบมาก วตถประสงคจะประกอบดวยการใชทไมถกตอง ขนตอนหรอโปรแกรมคำาสง ความไมระมดระวง การไมเพยงพอกบการทดสอบ และโครงรางการบรหารหรอความปลอดภยทไมเขมงวด การควบคมจะประกอบดวยการฝกหด การสรางหลกเกณฑเพอการทดสอบ และโครงสรางการบรหารและทำาใหเกดการปฏบตตามหรอการใชแยกสารประกอบ

- การควบคมการใชสารแยกประกอบ เปนคมอทเปนแหลงทมาของปญหาตาง ๆ เปนการลำาบากทจะอธบาย ถงการเขยนทแมนยำา ไดมาตรฐานในความทนสมย และทดสอบตวอยางของความเหมาะสมของการควบคมการใชแยกสารประกอบ ซงความฉลาดของตวแทนสามารถใชขดขวางปญหาของการใชสารแยกประกอบได

- การควบคมการพฒนาระบบ การควบคมการพฒนาระบบ การรบรองของระบบเปนการพฒนาทขนอยกบการสรางวถทางและวธการ การปรบตวกบงานประมาณ เวลา ความปลอดภยทางมาตรการและคณภาพและการใชเอกสารประกอบ ความตองการและตองรกษาไว

การควบคมทวไป เปนการปองกนภยอยางงาย และเปนการจดความปลอดภยใหแกระบบ hardware , software ขอมล และการไมระมดระวงดานเครอขาย อยางไรกตามการควบคมทวไป ไมไดปองกนปรมาณการใชงานโดยเฉพาะ ดงนน การควบคมในหลาย ๆ ครงจะประกอบไปดวยการใชและวธการ โดยจะมการเขยนเปนกฎระเบยบตาง ๆ ทสามารถแบงออกไดเปน 3 ขอ ดงน

1. การควบคมทมการปอนเขาไป2. การควบคมดานวธการ

53

3. การควบคมการผลตหลาย ๆ แบบของการควบคมสามารถใชงานได การบรหารตองมการตดสนใจใหเหมาะสมกบการควบคมรวมกน การควบคมสงทปอนเขาไปเปนการวางแผนไวลวงหนาของขอมลทมการเปลยนแปลงหรอมการถกทำาลาย ขอมลจะมการตรวจสอบความถกตอง ความสมบรณ และความเชอถอได ซงการควบคมสงทปอนเขาไปจะมความสำาคญในการปองกนขยะเขาและออก

ตวอยาง 4 ขอของการควบคมการใช คอ1. ความสมบรณ ขอมลทมการบนทกทมความยาวเปน

พเศษ เชน การบนทกขอถนนเมอง ประเทศ และรหสไปรษณย

2. การจดเกบขอมล การจดเกบขอมลตองอยในเกณฑทไดมาตรฐาน เชน ความตอเนอง

3. ความสำาคญ ขอมลจะมการกำาหนดเปนลำาดบ เชน ลำาดบของรหสไปรษณย ระหวาง 00000 ถง 99999 อายของแตละบคคล ซงสวนใหญจะไมบอก และเงนเดอนตอชวโมงไมเกน 50 ดอลลาร

4. ความสอดคลอง การเลอกขอมลจาก 1 หรอมากกวาทตองการ เชน ในเรองทางการแพทย เพศชายไมสามารถตงครรภได

การควบคมดานวธการ การควบคมดานวธการถอเปนการรบรองวาขอมลนนมความสมบรณ มเหตผลและมความแมนยำา เมอวธการเขาถงโปรแกรมมความถกตองเหมาะสม โปรแกรมนนกจะอนญาตใหผใชเขาถงโปรแกรมไดอยางรวดเรว

การควบคมการผลต การควบคมการผลตเปนการรบรองใหระบบคอมพวเตอรแปลผลไดอยางแมนยำา มหลกฐาน มความสมบรณและแมนยำา จากการศกษาธรรมชาตของการผลต ความผดพลาดหรอความปลอดภยดานบญช สามารถประเมนคาของการควบคมไดในธรกจท

54

มปญหาเชนเดยวกน การควบคมการผลตจงเปนสงทรบรองวาการควบคมขอมลไดตามทไดรบมอบหมาย

15.5 เวบไซค อนทราเนตการดแลระรกษาระบบความปลอดภยและเครอขายไรสายม

ความเครอของระบบอนเตอรเนทและเวบไซค ยงมระบบเครอขายของโลกมากขนเทาไหร กจะมปญหาเรองระบบความปลอดภยมากขนเทานน

ความปลอดภยนเกยวโยงถงการ แขงขนกนระหวาง ผทำาการลอคและผปลด

ลอค ยกเวนในกรณทผทำาการลอคมความสามารถทดกวา ความเชอถอไดและธรกจอเลกทรอนกสกจะไมอยในอนตราย

ในระบบอนเตอรเนต ขอมลจากเครองหนงไปยงอกเครองหนงมากกวาจากระบบ

เครอขายหนงไปยงอกเครอขายหนง ซงทำาใหระบบเครอขายดแลไดยาก มหลาย ๆ จดทมการเขาไปในระบบเครอขายโดยทผใชไมมโอกาสทราบไดเลย วาใครทำาลายระบบของเวบไซค

การโจมตโปรแกรมบนเวบ- การจะเขาไปใน SQL-ใชตววดดงขอมลออกมา-การใชไวรสทเรยกวา Cookie ทำาลาย- การซอนการเปลยนแปลง- การเขาเครองและใชตวเลอกทำาลายระบบความหมายขอมล ใหขอมลเขามามากๆ- ใชคำาสงทำาลายขอมล- ใชระบบใหบคคลท 3 เขาทำาลายระบบ โปรแกรมโดยสรางขอผดพลาดใชการทำาลายตวขอมลทไมชดเจน- ใชคำาสงเขาไปในเวบไซต

55

- พยายามเลอกใชตวทใชตวทำาลาย

ไดจดระบบการวดความปลอดภยของระบบไดภายใน 3 วนความปลอดภยคอในระดบขอมลจรง และการใชระดบการอนญาตตามอำานาจหนาท

ความปลอดภยระดบภายนอกผนงปองกนขอมล หรอ ไฟรวอล ซงมระบบความปลอดภย

มประสบการณมากกวา 250,000 ทำางานอยางหนกตอป ซงไมไดทราบขอมลไมสามารถนำากลบมาใหมได

ระดบขนท 1 ระดบขนท 2 ระดบขนท 3ขนระดบภายนอก ระดบความเปนจรง อำานาจทไดรบมอบ

หมาย สแกนไวรส ชอผใช/รหสผาน การอนญาตใหใช

งาน ผนงกนขอมล รหสผานรวม เปนกลมเดยว การบกรก กญแจผใชรวม ผใหบรการ

จดการ การมองเหน

เครอขายสวนตว อปกรณการ

ปองกน การจดตงกฎ

เกณฑการเขาถงขอม

การปฏเสธ-ของ-การปองกนการบรการ

ไบโอเมทรก

ชอเขาใช

ซงการแฮคทำาใหอตสาหกรรมของสหรฐอเมรกาสญเสย หลายพนลานดอลลา ตอป ซงถาครบแบบประเภท กจกรรมมมากกวา 8,000 เวบไซค ตองลงทนโดยใชระบบผนงปองกนขอมล ซงเปนระบบหรอกลมของ

56

ระบบ ซงทำาใหมการควบคมการเขาใชขอมลระบบเครอขาย 2 ระบบ ซงใชเปนตวกน ระหวางการใชเครอขายภายในรวมกน หรอการใชระบบเครอขาย ระหวางภายภายนอก และระบบเครอขายตะบบเดยวกน ซงจะไมปลอดภยทเดยว

ผนงปองกนขอมลใชเปนทเกบขอมลสาธารณะ ซงผเขาใชขอมลภายนอก ไมสามารถเขาถงในระบบเครอขายภายในของบรษทได

ไฟรวอลทถกใชเปนสถานททจะเกบคำาแนะนำาสาธารณะขณะทผเยยมชมอาจจะถกยบยงจากการเขาไปเครอขายบรษททเขาสามารถดาวนโหลดผลตภณฑและการบรการได

การควบคมไวรส มไวรสเปนจำานวนมากเกดขนประมาณ 100,000 ตวในป

2003 เพมขนอยางรวดเรว 30 % / ป การควบคมไวรสทดทสด คอมแบบการควบคมทอธบายดงตารางดงน

การปองกนการตอตานไวรสการควบคมไวรส วธการควบคมไวรส

ไวรสผานผานไฟรวอลไมไดสบหา(จากอนเตอรเนต

ไวรสสแกนโปรแกรมทกโปรแกรมกอนใชขอมล

ไวรสอาศยอยในระบบเครอขาย

เปดโปรแกรมสแกนไวรส ประจำาวนใชวธการแบคอพขอมล (บนทกทกครง)

แผนขอมลมไวรส ซงมผลตอระบบเครอขายในขนทเกดความเสยงแผนขอมลสามารถทำาใหเครอขายตดไวรสได

ใชตดจดการไวรส หรอทำาการตรวจสอบแผนดสกทใชเกบเครองในนนทนท

ขอมลจากภายนอกหรอการปรบขอมลจำานวนมาก

สแกนแผนขอมลกอนดงขอมลหรอหลงจากดาวนโหลด

57

เสยงการตดไวรสมากขน ขอมลและจดทำาสำาเนาทกครง ไวรสไดรบการจดการได

แลว ใชแผนทำาความสะอาดและก

แผนขอมล

การทำาใหมการถกทำาลายจากไวรสลดนอยลง1. ตดตงโปรแกรมแอนตไวรส เชน Nortion Antivirus

mcafee virusscan2. สแกนตว Hard drive สำาหรบไวรสอยางนอยสปดาหละครง3. เขยนโปรแกรมแลวปองกนแผนดสกและแสกนไวรสกอนการใช

งาน4. เขยนโปรแกรมปองกนโปรแกรมดสก5. แบคอพ สำาเนาขอมลทกขอมลอยางสมำาเสมอ6. หามนำาขอมลจากภายนอกเขามาในเครอง7. ไวรสสแกนกอนเชอมขอมลหรอรวมไฟล8. ใชโปรแกรมและนโยบายควบคมไวรส9. ระวงสญเสยขอมล

- โดยตรง

58

- การสญเสยลกคาเมอระบบขอมลดาวน- ความเสยหาย มไวรส เนองจากความประมาทลกจางของ

คณ10 ยอความเสยหายโดยเครองมอวดดงตอไปน

- ตดตงวธควบคมแนะนำาพนกงานใหมการปองกนไวรสจากอเมล

- ใหผกำาจดไวรสจากภายนอก เชนบรษทตาง ๆเพอดแลปองกนไวรส

- จดทำาสญญากบลกคาผใชขอมล- ใหพนกงานของบรษทของทานทำาการแสกน อเมล

11 สถาบน SANS ของ TT แนะนำาดงน- วางนโยบาย ออกแบบฟอรมทตองการกอนใชเครองพซ- เฉพาะเจาะจง โดยการรวบรวมตวทโดนไวรส- กำาจด- D- ตดตามการใชงานของเครอง

12 ใชขอมลและโปรแกรมโดยไมเรยงลำาดบใชจายเชน Antivirus.com cer.org pgp.com Symantec.com nasa.com rsa.com Mcafee.com iss.net tis.com

การตรวจจบผบกรก เปนเรองยาก ดงนนมนเปนการคมคาทมอปกรณตรวจจบผบกรกตดตงไว ในจดทางเขาของอนเตอรเนตไปอนทราเนต

วตถประสงคเพอ ใหตรวจจบแตเนน ๆ ซงมนทำาไดดวยเครองมอ หลาย ๆ อยางการ

ตรวจจบผบกรก ถกทำาใหสำาเรจไดดวยเครองมอทแตกตางกน เชน การวดขอมลทางสถต หรอเครอขาย Biermann ไดนำาเสนอวธการเปรยบ

59

เทยบของ 10 หลกการทแตกตางกน และอภปรายผลวาหลกการใดจะเปนวธทดกวาสำาหรบระบบการตรวจจบผบกรก

การปองกนตอการปฏเสธของการโจมต หลงจากวนท 6 กมภาพนธ 2000

ระบบ Dos ถกโจมต ผคนกรบทจะพยายามหาทางแกไข กองกำาลงปฏบตการพเศษของผเชยวชาญถกแตงตงขนท ปฏบตการวศวกรรมอนเตอรเนต(IETF) มนถกรวมถงบรษทผขายและบรษทผถกโจมต กลม (IETE) ไดพฒนา กระบวนการเพอปองกนจากเหตการณทถกโจมต โดยใหคอยสงเกตรองรอยของผบกรก โดยการตดตามการไหลของกลมของขอมล ออกไปสอนเตอรเนต

การตรวจสอบโดยอตโนมต การสบสวนผบกรกสามารถทำาไดวธการผบกรกพยายามซอนรหสของตวเองไว แตงานนกจะสามารถมวธการตรวจสอบ

จะคนหาอตโนมตคนหาคนทเขาโจมต หรอสามารถหา คนทเขาโจมตอตโนมตซง

จะอางถงสามารถหรอสามารถถกไวรส ระบบปฏบตการดอสหรอโจมตแบบอนๆ อตโนมตตวอยางเชน มนจะระบเจาของคอมพวเตอร นนคอตนกำาเนดของการโจมตโดยปกต ของคนทเขาโจมต พยายามซอนองคประกอบตาง ๆ อยางไรกตาม การโจมตแบบนอาจสงขน ซงกฎหหมาย (e.g..ขอมลทคณสามารถ แทรคอยางถกกฎหมาย)

การมองเหนการทำาเครอขายแบบ(VPN) วธการลาสดของการรกษาความปลอดภย ซงการมองเหนผใชแบบ VPN อนเตอรเนตทจะถอคำาแนะนำาภายในบรษท ถาสงนนอยทามกลางผรวมธรกจ มนทำาใหความปลอดภยเพมของระบบอนเตอรเนตโดยการใชการรวมเขาดวยกนการรวมเขาดวยกนของการสรางรหสลบ, นาเชอถอ, และหนวยควบคมทางเขา มนเคลอนยายระบบทสญญาณเชาสวนตวดงเดมหรอเครองแมขายทางเขาระยะไกล (RAS) Remote Access sever ทสงนนจดเตรยมการคมนาคมโดยตรงใหระบบแลนของบรษท (เหนไกดเทคโนโลย4).ซงเหนดวยเมอเทคโนโลย Prometheum ( 2003 ),รา

60

คาสามารถถกลดโดยสงถง 50 เปอรเซนโดยการใช VPN สงทยงสามารถถกใชโดยระยะไกล (ทนเงนทเกดจากเกบสะสมถง 60 - 80 เปอรเซน).เปนความลบและความสมบรณถกทำาใหมนใจโดยการใชของททำาโปรโตคอลสำาหรบการสรางรหสลบ( Mckinley 2003 ).สำาหรบรายละเอยดVPNs, มองด Garfinkel ( 2002 ), Fadia ( 2002 ),และ Mckinley ( 2003 )

เพราะการประยกตระบบอนเตอรเนต ทำาใหระบบนาเชอถอผพทกษตอตานไม

เปนทางการบรษทจำานวนมากมายใชยทธศาสตรการปองกน ทางเขาของขอมล ตองการผใชทใหสทธทสามารถใชเอกลกษณสวนบคคล การเปลยนรหสผาน ระบบหนวยควบคมทางเขา รบรองเปนของแท ของผใชและรหสผาน ระบบความปลอดภยจำานวนหนงดำาเนนตอไปหนงขนตอนใน โอกาสขางหนา รวมถงหนวยควบคมดวย

จดประสงคหลกของความนาเชอถอ ดงรปภาพ (15.5) การระบการใชงานถกตองตามกฎหมาย ผใชตดสนใจในการกระทำาทพวกเขายอมใหปฏบต โปรแกรมนนยงสามารถถกผสมกบอำานาจทไดมอบหมาย เพอจำากดการกระทำาของผคนใหสงทเขาถกใหสทธททำากบงานของเขาทงหลาย ถกรบรองเปนของแท ระบบความนาเชอถอมองคประกอบ 5 สวนดงน

1. บคคล(หรอกลม)ถกรบรองเปนถกตองตามลขสทธ2. ลกษณะททำางานแยกสวนกนทำาใหแตกตางกน3. รบผดชอบระบบทใช4. กลไกลการทำางานนาเชอถอ5. หนวยควบคมทางเขาของขอมล สามารถทำาไดโดยบคคลท

รบรองทางดานลขสทธซงระบบทงสองนาเชอถอ (รหสผาน, ตอบรบการสอบถาม) กบบางสงสงม(เครองหมาย,ไบโอเมทรก) การดทางเขาคอตวอยางหนงตวอยาง

61

ของเครองหมาย เพราะถกถอเพอเขาไปถเขาไปในหองซงถอวาเปนผลประโยชนเขาถงสเครอขาย ซงการทำางานกคออเลกทรอนกอปกรณทสงนนสามารถสราง รหสผานบนทกวาระบบคยผานเขาไปรวมถงความสามารถนาเชอถอ

อำานาจทไดรบมอบหมายในการทำากจกรรมของเครองคอมพวเตอร โดยปกตใชรปแบบทพสจนความปลอดภยของระบบ รบรองวาเปนผใชทถกตอง โดยปกตสงนทำาโดยผใชทตดตามกจกรรมและทเปรยบเทยบการทำางานของพนกงานใหรายชอสทธการใชงาน

วธการปองกนการเขารหสแบบอน ๆ ซงปองกนบนเวบไซตและอนทราเนต รวมถงดงตอไปน การสรางรหสลบ การเขารหส ตวแปลงรหสอยางสมำาเสมอสงทถกถอดรหส การรบ การสรางรหสลบสมบรณสามจดประสงค:

(1) เอกลกษณ(ความชวยเหลอระบผสงถกตองตามกฎหมายและเครองรบ)

(2) หนวยควบคม(ปองกนการเปลยนรายการหรอขาวสาร)(3) ความลบ(ตอตานเครองดกสญญาณ)การสรางรหสลบถกใช

อยางกวางในระบบพาณชย สำาหรบการจายเงนซงปองกนและสำาหรบความลบวธการคดรหสลบซงยอมรบกนโดยทวไปอยางกวางขวางคอ

มาตรฐานการสรางรหสลบขอมล(ถอด),เพราะถกผลตโดยu.s สำานกงานแหงชาตของมาตรฐาน ผลตภณฑซอฟแวรจำานวนมากมายดวยทมใหสำาหรบการสรางรหสลบ การกระทำามนเปนไปไมไดอยางแนนนอนสำาหรบการมองเหนสำาหรบการผบกรกทจะระบขอมลถกตอง

เพอทำาใหแนใจปลอดภยสำาหรบผทฝกหดทพฒนาระบบ การนำาขอความมาเขารหส

สำาหรบเครดตการดระบบเหลานยอมใหลกคาทจะทำาการซอบนอนเตอรเนตโดยปราศจากการใหการดใหเครดตของเขาทงหลายตวเลข ผถอครองการดสรางเวอรชนดจตอลของเครดตการดระบบเหลานยอม

62

ใหลกคาทจะทำาการซอของบนอนเตอรเนตโดยปราศจากการใหการดใหเครดตของเขาทงหลายตวเลข ผถอครองการดสรางเวอรชนดจตอลของเครดตการดยนยนการใชเดรดตการด สำาหรบรายละเอยดใหไปดท sra.co และ verisign.com

การแกปญหาและการปองกนทไดรบความนยมของเครอขายพนในระบบ (network)ผทดสอบสายเคเบลสามารถคนหาความ ผดผลาด ซงสามารถเกดขนกบระบบสายเคเบลแลน การปองกนอนๆสามารถ ทำาภายใตเงอนไข ผจดทำาโปรโตคอล สงทยอมใหผใชทจะตรวจสอบอยางละเอยด การเดนทางผานเครอขาย ผจดทำาเปนผเชยวชาญ การแกปญหาแลน(ผทดสอบและฉลาดผวเคราะห)

นำาหนกของความปลอดภย รวมถงการสรางรหสลบ ของขอมล ทสงสญญานบนเครอขายไดอางถงเนอหาสาระ ของขาวสารและการบรการการคมนาคมทามกลางผทใชกระจายไป ตวอยางเชน ความลบของระบบ(PGP)สงทยอมผใช และการนำาขอความมาเขารหสขาวสาร ใหไปดท (pgp.com สำาหรบซอฟแวรฟร)

15.6 ความตอเนองทางธรกจ และ แผนฟ นฟพบตภย (Business Continuity and Disaster Recovery Planning)

ความหายนะอาจเกดขนไดโดยไมมสญญาณเตอนใหทราบลวงหนา ตามท Strassman (1997) การปองกนทดทสดคอการเตรยมตวใหพรอม ดงนน องคประกอบสำาคญของระบบความปลอดภย คอ แผนความตอเนองทางธรกจ แผนดงกลาวไดวางเคาโครงกระบวนการซงธรกจจำาเปนตองฟ นฟจากหายนะสำาคญ การถกทำาลายทงหมด (หรอเกอบทงหมด) ของอปกรณคอมพวเตอรเปนความสญเสยทมความหมาย ดงนน เปนการยากสำาหรบองคกรทจะไดรบการประกนคอมพวเตอรและระบบขอมลหากไมมแผนการปองกนและฟ นฟจากภยพบต แนวคดงาย ๆ ทการวางแผนสำาหรบวกฤตจะชวยลดความสญเสย

63

ใหเหลอนอยทสด (Gerber and Feldman, 2002) ดแผนการฟ นฟธรกจทงหมด จากรป 15.6

การจดการแผนความตอเนองทงหมด การจดการโครงการทงหมด การจดการความเสยง การจดการวกฤต เบนชมารคอตสาหกรรม

การวางแผนความตอเนองทางธรกจ ทำาความเขาใจธรกจและขอกำาหนดดานไอท ประเมนศกยภาพในปจจบน พฒนาแผนความตอเนองทางธรกจ

การออกแบบแผนฟ นฟเทคโนโลยสารสนเทศ ประเมนศกยภาพไอท พฒนากระบวนการฟ นฟ ออกแบบแนวทางแกปญหา

การบรหารแผนฟ นฟเทคโนโลยสารสนเทศ งานดานฟ นฟ การทดสอบ หนาทอน ๆ ของการบรหารแผนและกระบวนการฟ นฟ

รป 15.6 บรการความตอเนองทางธรกจ บรหารจดการโดยไอบเอม (แหลงทมา: ความตอเนองทางธรกจและงานฟ นฟ ธนวาคม 2000 ผลตในประเทศฮองกง โดยความเออเฟ อของไอบเอม)

64

การฟ นฟภยพบต เปนหวงโซเหตการณทโยงแผนความตอเนองทางธรกจเขากบการปกปองและการฟ นฟ ตอไปนเปนแนวคดสำาคญบางประการเกยวกบกระบวนการ วตถประสงคของแผนความตอเนองทางธรกจ คอ การทำาใหธรกจ

สามารถดำาเนนตอไปไดหลงเกดเหตการณภยพบต ทง ISD และ ฝายบรหารสายงานจำาเปนตองมสวนในการจดเตรยมแผน หนาทแตละอยางของธรกจจะตองมแผนศกยภาพการฟ นฟทชดเจน

การวางแผนการฟ นฟ เปนสวนหนงของการปกปองทรพยสน ทกองคกรควรมอบหมายความรบผดชอบใหแกฝายบรหารในการคนหาและปองกนทรพยสนทอยในขอบเขตการควบคม

การวางแผนทตองเนนเปนประการแรก คอ การฟ นฟความสญเสยศกยภาพทงหมด

การพสจนศกยภาพ เกยวของกบรปแบบบางอยางของการวเคราะห (what-if analysis) ซงแสดงใหเหนวาแผนการฟ นฟมความเปนปจจบน

จะตองเขยนแผนงานเปนตวอกษร เพอแผนงานนำาไปใชไดอยางเกดผลด กรณเกดเหตการณหายนะ แผนงานไมใชเปนแคเพยงสงททำาใหผตรวจสอบพอใจเทานน

จะตองเกบแผนงานไวในททปลอดภย ฉบบสำาเนามอบใหแกผจดการทงหมด หรอมฉะนนควรจะปรากฏบนเวปไซต และควรตรวจสอบแผนงานเปนระยะ

สำาหรบระเบยบวธการในการวางแผนความตอเนองทางธรกจ ดใน A Closer Look 15.4 (หนา 714) หรอวธการอน ๆ สามารถหาดไดใน Devargas (1999) และ Rothstein (2002)

จดทำาแผนการฟ นฟภยพบตอาจเปนเรองทสลบซบซอน และอาจกนเวลานานหลายเดอนกวาจะแลวเสรจ (ด Devargas, 1999) ใชซอฟแวรพเศษเฉพาะ เพอใหการวางแผนงานดำาเนนไปไดเรวขน

65

A Closer Look 15.4 วธการจดทำาแผนความตอเนองทางธรกจ

มคำาแนะนำาหลายประการเกยวกบวธการจดทำาแผนความตอเนองทางธรกจ Lam (2002) ไดแนะวธวธการ 8 ขนตอน ดงปรากฏใหเหนในรปดานลาง

ในการจดทำาแผนความตอเนองทางธรกจ เราจะตองใชนโยบายทเปนหวใจสำาหรบทกขนตอนในกระบวนการ ตองทำาการทดสอบแผนดวย worst-case scenario สำาหรบหายนะทอาจเกดขนแตละอยาง (เชน ความลมเหลวของระบบ การแฮคกงขอมล การจโจมของไวรสของผกอการราย) การแตกแยกจะถกนำามาวเคราะหหาผลกระทบทมตอเทคโนโลย ขอมล และ บคคลประการสดทาย สงสำาคญทตองสงเกตหลมพรางของแผนความตอเนองทางธรกจ ไดแก แผนความตอเนองทางธรกจทไมสมบรณ (อาจไมครอบคลมทกรป

แบบ) แผนความตอเนองทางธรกจทไมดพอและขาดประสทธภาพ (ไม

สามารถแกไขปญหาทเกดขนได) แผนความตอเนองทางธรกจทไมไดผลในทางปฏบต (เชน ไมมเงนและ

เวลาเพยงพอ) แผนความตอเนองทางธรกจทลางผลาญ (เชน ตองสนเปลองเวลา

และคาใชจายมาก) แผนความเนองทางธรกจทขาดการสอสารทด (ผคนไมทราบวาจะ

คนหาแผนงานหรอรายละเอยดไดทไหน) กระบวนการขาดความชดเจน (ไมมการกำาหนดความหมายทชดเจน

หวงโซเหตการณทตองการไมชดเจน) ไมมการทดสอบ (อาจดดบนกระดาษ แตไมมใครทราบ เพราะไมเคยม

การทดสอบ) ขาดการประสานงาน (ไมมการทำางานเปนทม หรอทมงานไมด) ลาสมย (เคยใชไดผลดในอดต แตในปจจบน?)

66

ขาดความคดในการฟ นฟ (คงไมมใครคดวธดำาเนนการ เรมจาก A ไปถง Z)

แผนความตอเนองทางธรกจ แผนฟ นฟธรกจ[แหลงทมา: Lam (2001) หนา 1] 1. การคดรเรมแผนความตอเนองทางธรกจ2. ระบสงทคกคามธรกจ3. วเคราะหความเสยง4. จดทำาแผนความตอเนองทางธรกจ - สรางทมฟ นฟ5. ออกแบบแผนความตอเนองทางธรกจ - ออกแบบแผนฟ นฟ6. กำาหนดความหมายกระบวนการของแผนความตอเนองทางธรกจ -

กำาหนดกระบวนการฟ นฟ7. ทดสอบแผนความตอเนองทางธรกจ - ทดสอบแผนฟ นฟ8. ทบทวนแผนความตอเนองทางธรกจ - ทบทวนแผนฟ นฟ

การจดการขอมลสำารอง (Backup Arrangements) วธทมเหตผลมากทสดประการหนงในการจดการความสญเสยของขอมล คอ การสำารองขอมล แผนความตอเนองธรกจจะนบรวมอยในการจดการขอมลสำารองดวย องคกรจะตองทำาสำาเนาเอกสารสำาคญและเกบแยกไวตางหาก นอกเหนอจากการเกบสำารองขอมลแลว หนวยงานจะตองใหความสนใจในการเรยกคนขอมลกลบคนไดอยางรวดเรว ในฐานะทเปนสวนหนงของความตอเนองทางธรกจ เราสามารถสำารองขอมล

67

คอมพวเตอรทงหมด หรอเกบไวในศนยขอมล ใหเรามาดการจดการขอมล 2 ประการ

การสำารองไฟลขอมล ในขณะททกคนทราบดถงความสำาคญในการเกบสำารองขอมลไวในไฟล แตหลายคนอาจปฏเสธทจะทำา เนองจากกระบวนการมความยงยาก และใชเวลานาน โปรแกรมหลายอยางทำาใหกระบวนการนเปนเรองงายขน โปรแกรมบางอยางเกบขอมล (เชน Ontrac.com มโปรแกรม EasyRecovery และ File repair, 10mega.com มโปรแกรม QuickSync และ Officerrecovery.com มโปรแกรมสำาหรบการเรยกลบขอมล) สำาหรบเคลดลบวธการหลกเลยงความสญเสยของขอมลโดยการเกบสำารองขอมล ดไดใน Spector (2002) การจดการขอมลสำารองอาจรวมอยในการใชเครอขายเนตเวรคทเชอมตอกบการจดเกบ (NAS) และ เครอขายพนทการจดเกบ (NAS) (ดใน Technology Guide 4 และ Hunton, 2002)

การสำารองขอมลของศนยคอมพวเตอร การเตรยมตวสำาหรบความหายนะครงสำาคญ อยางเชน ใน

กรปของ 9/11 บอยครงเปนสงจำาเปนสำาหรบองคกรทจะตองมสถานทเกบสำารองขอมล ผจำาหนายโฮตสไซตภายนอก จะมวธการเขาไปกำาหนดศนยสำารองขอมลทงหมด

ประโยชนของการจดการโฮสตไซตมอยมาก ดตวอยางตอไปน เยนวนท 17 ตลาคม 1989 เกดแผนดนไหวครงใหญในซานฟรานซสโก ชารล สวอบ และ บรษท ไดมการเตรยมพรอมสำาหรบเหตการณ ภายในเวลาเพยงไมกนาท แผนความหายนะของบรษทถกประทขน โปรแกรมเมอร วศวกร และ เทปรายการขอมลสำารองทางคอมพวเตอรวนท 17 ตลาคม เครองบนเจทบนวอนไปถงคารลทดส รฐนวเจอรซ ศนย Comdisco Disaster Recovery Service มโฮสทไซตอยทนน เชาวนถดมา บรษทยงคงสามารถทำางานไดตามปกต ในทางตรงกนขาม หนวยความปลอดภยมอนโกเมอร ซงไมมการจดทำาแผน

68

ฟ นฟขอมลสำารอง วนท 18 ตลาคม หนงวนหลงจากเกดเหตแผนดนไหว พอคาไดหนมาใชโทรศพทกนมากกวาคอมพวเตอรเพอตดตอธรกจ มลคาความสญเสยของมอนโกเมอรในวนนนคดเปน 250,000 – 500,000 ดอลลาร

ทางเลอกการจดการตนทนตำากวา คอ ผจำาหนาย cold-site ภายนอก ไดจดใหมพนทสำานกงานวางภายในชนเฉพาะ การระบายอากาศ และ สายไฟฟา ในกรณฉกเฉน บรษทสามารถเคลอนยายคอมพวเตอรของตนเอง (หรอคอมพวเตอรเชา) ไปยงไซตได

บรษทหนงซงไดมการจดทำาแผนภยพบต คอ Empire Blue Cross and Blue Shield ดงอภปรายใน IT at Work 15.2 (หนา 716)

ความปลอดภยของเครองคอมพวเตอรเปนสวนหนงของระบบความปลอดภยทงหมด Cray Research บรษทผนำาดานการผลตซปเปอรคอมพวเตอร (ปจจบนเปนสาขายอยของบรษท Silicone Graphics, Inc.) ไดดำาเนนการจดทำาแผนความปลอดภยของบรษท โดยทคอมพวเตอรบรษทมการเฝาตดตามและควบคมอตโนมตทสวนกลาง ภาพกราฟฟคแสดงใหเหนทงสถานะปกตและสถานการณทไมปกต อปกรณการควบคมทงหมดแสดงเปนไอคอน ไอคอนเหลานสามารถเปลยนสได (เชน สเขยว หมายถง ปกต สแดง หมายถง มปญหา) ไอคอนสามารถแฟลชไดดวย ขอความใหดำาเนนการแกไขจะปรากฏขนตามความเหมาะสม ระบบการปลกเตอนจะมสญญาเตอนกวา 1,000 รายการ ผใชงานจะไดรบสญญาณเตอน แมแตในพนทหางไกล ภายในเวลานอยกวาหนงวนาท

สงทนาสนใจเปนพเศษ คอ การวางแผนภยพบตสำาหรบระบบททำางานบนเวปไซต ดงปรากฏตวอยางใน Online File W15.7 สำาหรบวธการฟ นฟทนาสนใจ ดใน Computer and Security (2000) ประการสดทาย ตามท Brassil (2003) คอมพวเตอรมอถอและสงประดษฐใหมอน ๆ กำาลงเปลยนแปลงความตอเนองทางธรกจโดยการเขาถงคนกลมใหญไดอยางรวดเรว ไมวาพวกเขาจะอยทไหน และโดย

69

ความสามารถของอปกรณมอถอทชวยใหการฟ นฟกลบคนสสภาพดอยางรวดเรว

การหลกเลยงหายนะ (Disaster Avoidance) การหลกเลยงหายนะเปนแนวคดทเนนไปทางการปองกน

เปนการลดโอกาสการเกดหายนะใหเหลอนอยทสด (เชน ไฟไหม หรอภยคมคามอนมสาเหตมาจากมนษย) ตวอยางเชน บรษทหลายแหงใชอปกรณสำารองไฟ หรอทเรยกวา UPS (uninterrupted power supply) ในกรณทเกดไฟดบ

ไอทในททำางาน9/11 การฟ นฟหายนะ บรษทเอมไพร บล ครอส / บลชลด

บรษทเอมไพร บล ครอส / บลชลด มวงเงนประกนสขภาพสำาหรบประชาชนในอเมรกา

ตะวนออกเฉยงเหนอ 4.7 ลานคน บรษทเปนแขนของสมาคมเอมไพร บล ครอส / บลชลด วนท 11 กนยายน 2001 บรษทไดจบจองพนททงหมดของตกเวรดเทรด ทรพยสนขอมล รวมถงศนยพฒนาธรกจออนไลนและเครอขายเซรฟเวอรบรษท 250 แหง และศนยใหญคอลเซนเตอรทสามารถทำางานบนเวป ลกจาง 9 คน และทปรกษา 2 คนไดเสยชวตในเหตการณกอวนาศกรรม แตการปฏบตงานของบรษทไดถกขดขวาง ลองมาดกนวา ทำาไมจงเปนเชนนน

บรษทไดสรางขอมลไดอยางมากมายในแอพพลเคชนการใชงานทงหมดของบรษท และ

เคลอนธรกจไปสเทคโนโลยอนเตอรเนตสำาหรบการเชอมตอแรงงาน ลกคา และ หนสวน บรษทมแอพพลเคชน 40 รายการบนอนทราเนต ศนยคอลเซนเตอรบนเวปไซตสามารถจดการกบโทรศพท 50,000 สายในแตละวน แอพพลเคชนการใชงานมการเชอมตอกบระบบใหญของโรงพยาบาลและศนยสขภาพ ไมเคล คาลวน หวหนาเจาหนาทดานโครงสรางของบรษทไดทำาการอพยบโยกยายคนงานของเขา 100 คน ออกจากชน 13 และ พยายามตดตอกบเจาหนาททอยชนอนใหรจกแผนฟ นฟหายนะ 1

70

ชวโมงถดมา ในทสดเขาสามารถตดตอผานชองทางการสอสารทการจราจรคบคงเพอคนหาการตดสนอยางรวดเรซของผเชยวชาญเซรฟเวอรอาวโสในอลบาน นวยอรค ซงไดทำาการยายไฟลขอมลประวตลกจางไปยงอลบาน ซงการกระทำาดงกลาวน ทำาใหบรษทสามารถประหยด เวลาทเครองหยดทำางานได รวมถงความจำาเปนการสรางขอมลใหมดวยมอ เมอลกจางถกยายไปยงสำานกงานชวคราว พวกเขาสามารถ log on ทำางานไดราวกบวากำาลงนงทำางานอยตกเวรดเทรด

โปรโตคอลการฟ นฟหายนะ ปรากฏในรป หนา 717 สามารถทำางานไดโดยปราศจาก

ขอบกพรองของเครอง การโทรศพทไปยงศนยสนบสนนลกคาในตกเวรดเทรด ถกจดเสนทางใหมไปยงศนยในอลบานและลองไอรแลนด ลกคาสามารถเขาไปในเวปไซตไดโดยไมถกรบกวน ภายใน 1 ชวโมงหลงจากเกดวนาศภย เซรฟเวอร 150 แหง แลปทอป 500 จด และ เวรคสเตชน 500 จด ถกสงซอ ศนยขอมลหลกไมไดรบผลกระทบจากสงน เทปขอมลสำารองไดรบการฟ นฟเรยกคนขอมลทงหมด เครอขายถกสรางขนใหมโดยอตโนมต เมอเครอขายของบรษทเอกชนถกทำาลายเสยหาย ขอมลทจำาเปนทงหมดทศนยหลกถกจดเสนทางใหม โดยไมสนใจตกเวรดเทรด

นอกเหนอจากการสรางขอมลทลนหลามในระบบแลว บรษทยงไดทำาการทดสอบฉาก

เหตการณภยพบตแบบตาง ๆ อยเปนประจำา เพอใหแนใจวาทกสงกำาลงดำาเนนไปดวยด สงผลใหบรษทและเทคโนโลยไดรบการจดเตรยมสำาหรบการรบมอกบหายนะ ทกสงทกอยางถกเกบสำารอง ดงนน เมอเซรฟเวอรถกสรางขน กจะมขอมลทงหมด และ แอพพลเคชนสามารถทำางานไดภายในเรววน ตองขอบคณทมงานไอทซงประกอบดวยสมาชก 300 คน 3 วน หลงจากเกดเหตการรวนาศภย บรษทใหมดำาเนนการ ทำาใหลกจางสามารถทำางานไดทบาน

จากประสบการณนนเปนตนมา เอมไพรไดใชประโยชนอยางมากมายมากขนจาก

71

เทคโนโลยอนเตอรเนตเพอตดตอกบเจาหนาททกระจดกระจายอยตามสำานกงานชวคราว 5 แหงในเมองแมนฮตตน และมการทำาธรกจมากขนโดยผานการประชมทางวดโอออนไลน เวปคาสตง และ โทรศพททใช IP สำานกงานใหญแหงใหมเปดดำาเนนการในเดอนพฤษภาคม 2003 เมองบรคลน นวยอรค

คาลวน เนนวา สงสำาคญทสดของเหตการณหายนะหรอภยพบตใด ๆ คอ คนสามารถ

ตดสนใจทำาสงตาง ๆ ไดโดยตรงภายในเวลาไมกนาทโดยไมตองรอคำาแนะนำาจากฝายบรหารอาวโส

สำาหรบการคนควาเพมเตม การหาประโยชนจากเทคโนโลยอนเตอรเนตสำาหรบการ

วางแผนความหายนะ อะไรคอขอดทเหนอกวาเทคโนโลยแบบเดมๆ ทำาไมคนจงเปนสวนสำาคญทสดเมอเหตการณหายนะเกดขน

15.7 การนำาระบบความปลอดภยไปใช: การตรวจสอบและวเคราะหความเสยง (Implementing Security: Auditing and Risk Analysis)

72

การใชงานคอนโทรล (Control) ในองคกร อาจเปนงานทยงยากซบซอน โดยเฉพาะ อยาง

ยงในบรษทขนาดใหญทมการกระจายอำานาจการบรหาร ซงอาจทำาใหการควบคม ทำาไดยาก หลายประเดนเปนเรองของการนำาคอนโทรลไปใช ซงในทนจะไดกลาวถง 3 ประการ คอ การตรวจสอบระบบขอมล การวเคราะหความเสยง และ แนวโนมความปลอดภยของเทคโนโลยสารสนเทศ รวมถงการใชระบบพฒนาเชาวนปญญา

คอนโทรล (Control) ถกสรางขนมา เพอใหมนใจไดวาระบบขอมลมการทำางานอยาง

เหมาะสม สามารถตดตงคอนโทรลไดในระบบเดม หรออาจเพมเขากบระบบทปฏบตงานอย การตดตงคอนโทรลเปนสงทมความจำาเปน แตกไมเพยงพอ อกทงยงเปนสงจำาเปนสำาหรบการตอบคำาถาม อยางเชน คอนโทรลตดตงตามทตองการหรอไม คอลโทรลมประสทธภาพหรอไม มการละเมดระบบความปลอดภยหรอไม ถาม จะตองดำาเนนการอะไรเพอปองกนมใหเกดเหตการณขนซำา คำาถามเหลานจำาเปนตองไดรบการตอบโดยผสงเกตการณอสระทปราศจากอคต ผสงเกตการณดงกลาวจะตองทำาการตรวจสอบขอมล

การตรวจสอบระบบขอมล (Auditing Information System)การตรวจสอบ (Audit)

การตรวจสอบ เปนสวนสำาคญสวนหนงของระบบควบคมใด ๆ ในสงแวดลอมองคกร มกจะหมายถงการตรวจสอบเปนระยะ การตรวจดบนทกและกระบวนการการเงนและบญช ผเชยวชาญทไดรบการฝกอบรมมาโดยเฉพาะจะเปนผทำาการตรวจสอบ สำาหรบสงแวดลอมระบบขอมล การตรวจสอบอาจถกมองวาเปนสวนเพมเตมของการควบคมและการเฝาระวง การตรวจสอบยงหมายถง การขดขวางยบยงการกออาชญากรรม (Well, 2000) โดยเฉพาะอยางยงสำาหรบคนในองคกร

73

ประเภทของผตรวจสอบ และ การตรวจสอบ (Types of Auditors and Audits)

ผตรวจสอบ (และการตรวจสอบ) ม 2 ประเภท คอ ภายใน และ ภายนอก ผตรวจสอบ

ภายใน (internal auditor) มกจะหมายถง พนกงานบรษททไมไดเปนสมาชกของ ISD

ผตรวจสอบภายนอก (external auditor) คอ ผทเปนคนนอกบรษท ผตรวจสอบ

ภายนอกจะทำาการตรวจสอบ ทบทวน แกไข ขอสรปขอมลของผตรวจสอบภายใน กระบวนการ และ ขอมลทไดจากระบบขอมล ผตรวจสอบระบบขอมลภายนอกมกจะเปนสวนหนงของการตรวจสอบภายนอกทงหมดทดำาเนนการโดยบรษทบญชทผานการรบรองแลว

การตรวจสอบขอมลไอท เปนเรองทกวางมาก ดงนนในทนจะนำาเสนอเฉพาะประเดนทสำาคญ การตรวจสอบจะมองถงอนตรายทอาจเกดขนและการควบคมระบบขอมล จะเนนประเดนอยางเชน การพฒนาระบบใหม การใชงานและการบำารงรกษา การประสานขอมล ซอฟแวรแอพพลเคชน ความปลอดภยและนโยบาย การวางแผนและฟ นฟหายนะ การจดซอ การจดงบประมาณและคาใชจาย chargebacks การจดการผขาย การจดการเอกสาร การประกนและขอผกมด การฝกอบรม การควบคมตนทน และประสทธผล คำาแนะนำาหลายอยางเปนประโยชนสำาหรบผตรวจสอบ SAS No.55 เปนคมอแบบครอบคลมทงหมด ซงจดทำาโดยสถาบน American Institute of Certified Public Accountants อกทงยงสามารถหาคมอนไดจากสถาบนผตรวจสอบภายใน ออรแลนโด รฐฟลอรดา (ด Frownfelter-Lohrke and Hunton, 2002 สำาหรบการอภปรายเกยวกบทศทางใหมในการตรวจสอบขอมลไอท)

ผตรวจสอบพยายามทจะตอบคำาถามเหลาน เชน- มการควบคมเพยงพอในระบบหรอไม สวนไหนบางทยงไมมการ

ควบคม

74

- การควบคมใดทไมจำาเปน- การควบคมถกนำาไปใชอยางเหมาะสมหรอไม- มการแยกหนาทของพนกงานอยางชดเจนหรอไม- มวธการทจะมนใจไดวาการรายงานและการปฏบตการแกไข กรณ

การละเมดการควบคม หรอไม

สวนประเดนอนทผตรวจสอบอาจทำาการตรวจเชค ไดแก นโยบายและแผนความ

ปลอดภยของขอมล แผนความตอเนองทางธรกจ (Von-Roessing, 2002) แผนขอมลเชงกลยทธ สงทบรษทกำาลงทำาเพอใหแนใจวามการปฏบตสอดคลองกบกฏระเบยบความปลอดภย ความรบผดชอบระบบความปลอดภยของขอมลไอท การวดความสำาเรจของแผนความปลอดภยเทคโนโลยสารสนเทศของบรษท โปรแกรมตระหนกถงความปลอดภย และ ระบบรายงานอบตเหตความปลอดภย

ผตรวจสอบทงสองประเภทเคยตอบคำาถามเหลาน การตรวจสอบปฏบตการ (operational audit) เพอดวา ISD มการทำางานอยางเหมาะสมหรอไม การตรวจสอบการปฏบตตามขอกำาหนด (compliance audit) เพอดวามการนำาคอนโทรลไปใชอยางเหมาะสมเพยงพอหรอไม นอกจากน การตรวจสอบจะเขาคเฉพาะกบการควบคมทวไปและการควบคมการใชงาน (ด Sayana, 2002) สำาหรบรายละเอยดเพมเตมเกยวกบวธดำาเนนการตรวจสอบ ดไดในออนไลนไฟล W15.8

การตรวจสอบระบบเวปไซตและอคอมเมรซ (Auditing Web System and E-commerce)

ตามท Morgan and Wong (1999) การตรวจสอบเวปไ ซ ต เ ป น ม า ต ร ก า ร เ ช ง ป อ ง ก น ท ด

ในการจดการความเสยงตามกฏหมาย ความเสยงตามกฏหมายมความสำาคญในระบบขอมลสารสนเทศ ถงกระนนในเวปไซตกยงมความสำาคญ

75

มากกวาเนองจากสาระของเวปไซต ซงอาจลวงละเมดบคคลหรอละเมดกฏหมายลขสทธหรอขอกำาหนดอน ๆ (เชน การปกปองความลบ) การตรวจสอบอคอมเมรซเปนเรองทมความซบซอนดวยเชนกน เพราะตองมการตรวจสอบการรบใบสงซ อ การกรอกขอมลใบสงซ อ และ ระบบสนบสนนทงหมด (ด Blanco, 2002) สำาหรบรายละเอยดเพมเตมเก ยวก บการตรวจสอบขอม ลสารสนเทศ ด ใน Woda (2002)

ไมใชเปนการประหยดทางเศรษฐกจในการเตรยมการปกปองการลวงละเมด ดงนน โปรแกรมความปลอดภยขอมลสารสนเทศจะตองมกระบวนการสำาหรบประเมนการคกคามและสามารถบอกไดวา สงใดทตองมการเตรยมการ สงใดทตองปฏเสธ หรอลดการปองกน การตดตงมาตรการควบคมจะตองตงอยบนความสมดลระหวางตนทนการควบคมและความจำาเปนในการลดหรอกำาจดภยคกคาม การวเคราะหดงกลาวเปนการหลกพนฐานของการจดการความเสยง (risk management) ซงชวยในการคนหาภยคกคามและเลอกมาตรการความปลอดภยทมประสทธภาพและประหยดตนทน

กจกรรมหลกในกระบวนการบรหารความเสยง สามารถนำาไปประยกตใชไดกบระบบทมอยในปจจบนและระบบทกำาลงพฒนา (ดรป 15.7 รายละเอยดโครงสรางสำาหรบแผนจดการความเสยงเชงกลยทธ โดย Doughty (2002) จาก Onlie File W15.9)

รป 15.7 กระบวนการบรหารความเสยง (The Risk Management Process)

ขนท 1. การประเมนทรพยสนกำาหนดมลคาและความสำาคญของทรพยสน เชน ขอมล ฮารดแวร

ซอฟแวร

ขนท 2 ความเปราะบางของทรพยสน

76

บนทกจดออนของระบบการปองกนปจจบนในลกษณะของภยคกคามทอาจเกดขนทงหมด

ขนท 3 การวเคราะหความสญเสยประเมนความเปนไปไดของความเสยหาย และระบความสญเสยของทรพยทอาจเกดขนทงทรพยทจบตองไดและทรพยสนทจบตองไมได

ขนท 4 การวเคราะหการปองกนรายละเอยดการควบคมทตองพจารณา ความเปนไปไดในการปองกนและ

ตนทน

ขนท 5 การวเคราะหตนทน-กำาไรเปรยบเทยบตนทนและกำาไร พจารณาความเปนไปไดของความเสยหายท

เกดขน และการปองกนทประสบผลสำาเรจจากความเสยหายนน และสดทาย สามารถบอกไดวาจะตดตงการควบคมตวใด

การวเคราะหการบรหารความเสยง (Risk-Management Analysis)

สามารถใชซอฟแวรสำาเรจรป DSS วเคราะหการบรหารความเสยง ดตวอยางการคำานวณ ดานลางโดยท P1 = ความเปนไปไดของการจโจมของไวรส (ประมาณการ ขนอยกบการตดสนใจ)P2 = ความเปนไปไดของการจโจมของไวรสสำาเรจ (ประมาณการ ขนอยกบการตดสนใจ)L = ความสญเสยทเกดขน ถาจโจมสำาเรจ

ตวอยาง P1= .02, P2 = .10 , L = $1,000,000

ดงนน ความสญเสยทอาจเกดขน คอ P1 X P2 X L = 0.02 X 0.1 X 1,000,000 = $2,000

77

สามารถเปรยบเทยบความสญเสยทอาจเกดขนกบตนทนการปองกนความสญเสย

มลคาโปรแกรมซอฟแวรไมไดขนอยทความสามารถในการคำานวณทสลบซบซอนเทานน แตยงขนอยกบความสามารถในการจดโครงงานอยางเปนระบบสำาหรบการจดอนดบการควบคมและภยคกคามเทาไรจงจะปลอดภย

ศนยความปลอดภยคอมพวเตอรแหงชาต (National Computer Security Center หรอ NCSC) กระทรวงกลาโหมของสหรฐ ไดทำาการตพมพคมอระดบความปลอดภย รฐบาลไดใชคมอเหลานในการประมลงานซงผขายตองปฏบตใหไดตามระดบความปลอดภยทกำาหนด ระดบความปลอดภย 7 ระดบ ปรากฏบนเวปไซตของหนงสอ ใน Online File “15.10 ผขายจะตองรกษาระดบความปลอดภยซงขนอยกบความตองการความปลอดภยของงาน ระดบความปลอดภยสามารถนำามาพจารณาการประกนภย (ด Kolodzinski , 2002 และ Gordon et al, 2003)

เมอไมนานมาน การควบคมและความปลอดภยของคอมพวเตอรเปนสงทไดรบความสนใจเพมมากขน เชน เรองของไวรส“I love you” พาดหวขาวหนงสอพมพ ทว และคอมพวเตอร ในเดอนพฤษภาคม 2000 และไวรสคอมพวเตอรอน ๆ นบตงแตทไดรบการแสดงทางสอในลกษณะคลาย ๆ กน เกอบรอยละ 97 ของบรษทใหญไดทำาสงครามกบไวรสคอมพวเตอรในป 2002 ในบทนจะไดกลาวถงแนวโนมสำาค ญของความปลอดภยของระบบไอท

การเพมความนาเชอถอของระบบวตถประสงคทเกยวของกบความนาเชอถอของระบบ คอ

การใชการตานกลโกง (fault tolerance) เพอรกษาการทำางานของระบบขอมล แมวาจะมบางสวนลมเหลว คอมแพคคอมพวเตอร และ ผผลตเครองคอมพวเตอรรายอน ๆ มคอมพวเตอรทสามารถจดเกบขอมลบนดสกไดรฟมากกวา 1 ตวในเวลาเดยวกน ถาดสกตวใดตวหนงถกโจมตหรอไมสามารถทำางานได ขอมลกยงคงไมเสยหาย คอมพวเตอร

78

หลายยหอจะมแบตเตอรภายในตวซงสามารถใชงานไดทนทในกรณทไฟฟาดบ

ปจจบน บางระบบมชนสวน 10,000 –20,000 ตว แตละตวสามารถใชงานไดนานหลายลานชวโมง แตในระบบผสม ชนสวนอาจใชงานไดเพยง 100 ชวโมง ระบบในอนาคตซงคอมพวเตอรมชนสวน 100,000 ตว ความผดปกตเชงตวเลขซงระบบจะลมเหลวทก ๆ ไมกนาทเปนสถานการณทรบไมได ดงนน จะตองมการปรบปรงความนาเชอของระบบ

คอมพวเตอรทรกษาตนเอง (Self-healing computer)เมอระบบการคำานวณกลายมาเปนเรองยงยากซบซอน นน

ทำาใหคนตองเขามาดแลเพอใหระบบสามารถทำางานตอไปได เมอระดบความซบซอนเพมมากขน (ด Gird Computing ในบทท 2) ความตองการเครองคอมพวเตอรทสามารถดแลตวมนเองได (self-healing computer)จงเพมมากขน โดยหลกการทควรจะเปนแลว การฟ นฟควรทำาไดทนทถาพบปญหาและสามารถจดการแกไขปญหาดวยตนเองไดกอนทระบบจะถกโจมต

ตามแนวคดของ Van (2003) ไอบเอมไดเขาไปเกยวของกบโครงการทเรยกวา การคำานวณอตโนมต หรอ “ ” Automatic Computing ซงมวตถประสงคเพอใหเครองคอมพวเตอรสามารถจดการตนเองไดอยางเพยงพอและลดความเสยหายใหนอยลง แนวคดเบองตนไดมาจากรางกายของมนษยและระบบภมคมกนของรางกาย เครองคอมพวเตอรทสามารถรกษาตนเองไดของไอบเอมเครองแรกมชอวา eLiza ซงเชอมตอเขากบซปเปอรคอมพวเตอรขนาดใหญทเรยกวา Blue Sky ของศนยวจยอากาศแหงชาตในสหรฐ สำาหรบการอภปราย ดใน Percovitz (2002)

คอมพวเตอรทสามารถตรวจจบการบกรกไดแตเนน ๆการตรวจจบการบกรกไดเสยแตเนน ๆ เปนเรองทมความ

สำาคญมาก โดยเฉพาะอยางยงขอมลของเจาหนาทและขอมลทางการเงน

79

ระบบทเชยวชาญและเครอขายเซลลประสาท (Expert System and Nueral Network) ถกนำามาใชสำาหรบวตถประสงคน ยกตวอยาง ระบบการตรวจจบการบกรก (intrusion-detecting systems) เปนระบบทมความเหมาะสมโดยเฉพาะอยางยงสำาหรบเครอขายในพนทและโครงสรางทางสถาปตยของลกคา/เซรฟเวอร แนวคดนจะเปรยบเทยบกจกรรมของผใชคอมพวเตอรบนเครอขายสถานงานกบประวต (historical profiles) และวเคราะหนยสำาคญของความขดแยง โดยมวตถประสงค คอ การตรวจสอบการละเมดความปลอดภย

แนวคดการตรวจจบการบกรก เปนแนวคดทหลายหนวยงานของรฐนำามาใช (เชน กระทรววงพลงงานและกองทพเรอสหรฐ) บรษทใหญ ๆ (เชน ซตคอรป รอคเวลล อนเตอรเนชนนล และ ทราโคร) มนจะทำาหนาทตรวจจบสงตางๆ และปฏบตตามกระบวนวธการความปลอดภย ผคนมแนวโนมไมคอยใหความสนใจมาตรการความปลอดภย (ทบรษทแอโรสเปส ในแคลฟลอรเนย พบรายงานการละเมด 20,000 – 40,000 รายการในแตละเดอน) ระบบจะตรวจจบการละเมดเพอใหมการปรบปรงการทำางานไดดขน

ความสามารถของคอมพวเตอรในการตรวจสอบและสบหากลโกง(Intelligent system in auditing and fraud detection)

ความสามารถของคอมพวเตอรในการตรวจสอบและสบหากลโกง ถกนำามาใชสนบสนนงานตรวจสอบ IS เชน ประเมนการควบคมและวเคราะหระบบคอมพวเตอรเบองตน ในขณะทเครอขายเซลลประสาทและการท ำา เหมองขอม ลถกน ำามา ใช ในการตรวจจบกลโกง (ด Sheridan, 2002)

สมองกลคอมพวเตอรในทางชวสถต(Artificial Intelligent in Biometrics)

ระบบผเชยวชาญ (expert system) การคำานวณเซลลประสาท (neural computing) การสงเกตจดจำาเสยง (voice recognition) และ ระบบฟซซโลจก (fuzzy logic) ถกนำามาใช

80

สนบสนนการทำางานของระบบชวสถต ยกตวอยาง บรษทฟจส ญปน ไดพฒนาเมาสคอมพวเตอรขนมาทสามารถระบตวผใชไดจากเสนลายมอ และตรวจจบผใชทไมไดรบอนญาต

ระบบผเชยวชาญการวเคราะห พยากรณ และ วางแผนภยพบต(Expert System for Diagnosis and Prognoses, and Disaster Planning)

ระบบผเชยวชาญสามารถนำามาใชในการวนจฉยปญหาระบบคอมพวเตอร และ แนะนำาแนวทางแกปญหาให ผใชจะไดรบคำาตอบเกยวกบอาการของปญหา ระบบจะใชฐานความรในการวนจฉยแหลงทมาของปญหา เมอวนจฉยปญหาแลว คอมพวเตอรจะแนะนำาการซอมแซมฟ นฟ เชน บรษท Exec Express (e-exec.co.uk) ผจำาหนวยระบบผเชยวชาญในการวางแผนฟ นฟทางอนทราเนต ซงเปนสวนหนงของโปรแกรมใหญทเรยกวา การประเมนตนเอง (Self-Assessment) โปรแกรมถกนำามาใชในการประเมนสงแวดลอมความปลอดภย กระบวนวธ และ ปจจยเสยงอน ๆ ของบรษท

บตรสมารทการด (Smart Card)เทคโนโลยบตรสมารทการดสามารถนำามาใชในการปกปองเครอง

พซททำางานบน LANs เชน Excel MAR 10 (จาก บรษทแมคโครอารท เทคโนโลย, สงคโปร) เสนอระดบความปลอดภย 6 ระดบ คอ การระบตวผใชทไดรบอนญาตใชงาน การใชโปรแกรมทมการกำาหนดลวงหนา สทธการใช (Authentication) การเขารหสโปรแกรมและไฟล (Encryption of programs and files) การเขา รหสการตดตอสอสาร (Encryption of communication) และ การสรางไฟลประวต (history files) ผลตภณฑเหลานสามารถผสมผสานเขากบการพมพลายนวมอ บตรสมารทการดของผใชไดรบอนญาตจากระบบ การใชลายเซนตจะถกคนหาดวยรหสลบและออกอรธมการเขารหส บตรสมารทการดทมไมโครชปทฝงอยขางในสามารถสรางพาสเวรดสวนตวขนมาได (ใชไดครงเดยวเทานน) เพอยนยนเอกลกษณบคคล

81

การขดขวางแฮคเกอรผลตภณฑหลายชนดทวางจำาหนายใชสำาหรบการตอสกบพวกแฮค

เกอรขอมล เครอขายความปลอดภย (Secure Network) ไดพฒนาผลตภณฑทเปนตวลอเหยอภายในเครอขาย เปนการลอพวกแฮคเกอรใหเขาไปตดกบดกเพอดวาพวกมนใชอปกรณตวใดและสามารถตรวจจบมนไดทนเสยแตเนน ๆ

ปญหาดานจรยธรรมการนำาโปรแกรมความปลอดภยไปใช ทำาใหปญหาดานจรยธรรมเกด

เพมมากขน (ด Azari, 2003) ประการแรก บางคนตอตานการควบคมกจกรรมเฉพาะบคคล การกำาหนดการควบคมบางอยางเหนไดจากการละเมดเสรภาพทางการพดหรอสทธมนษยชน Reda (2002) อางถง การวจยของบรษทการดเนอรกรป ซงชใหเหนวา หลงการจโจมของไวรสเมอวนท 9/11/2001 คนอเมรกนเพยงรอยละ 26 เทานน ทยนยนฐานขอมลเอกลกษณบคคล (ID database) การใชชวสถตไดรบการพจารณาจากการละเมดความลบ ประการสดทาย การใชโปรแกรมสบกลบอตโนมต (ซงไดกลาวแลวในตอนตน) อาจเปนการผดจรยธรรมในบางกรณหรออาจเปนเรองทไมชอบดวยกฏหมาย (Lee and Shield, 2002)

ปญหาการจดการ1.IS department ควรรายงานใหใครทราบ

ปญหานเกยวของกบระดบการกระจายอำานาจของ IS และ บทบาทของ CIO การให IS department รายงานไปยงพนทงานอาจกอใหเกดอคตในการใหความสำาคญของขอมลสารสนเทศในหนาทงานนน ๆ ซงอาจเปนความไมยตธรรม ดงนน ควรให IS department รายงานไปยง CEO จะดกวา

2.ใครทตองการ CIO

82

คำาถามสำาคญนเปนประเดนทเกยวของกบบทบาทของ CIO ในฐานะนกบรหารชนสงระดบอาวโสในองคกร การใหตำาแหนงโดยปราศจากอำานาจอาจสรางความเสยหายแก ISD และการปฏบตงาน การขอใหผอำานวยการ IS เขารบหนาทของ CIO แตไมใหอำานาจและตำาแหนง อาจเปนเรองทกอใหเกดความเสยหายได หนวยงานใดทตองพงขอมลสารสนเทศอยางมากจะตองม CIO

3.ผใชปลายทางคอเพอนหรอศตรของ IS departmentความสมพนธระหวางผใชปลายทางกบ ISD เปนเรองละเอยดออนมา ในอดต ISD ไมคอยในการรบรความตองการของผใชปลายทาง สงนกอใหเกดความตองการทจะเปนอสระของผใชปลายทาง ซงอาจตองใชคาใชจายสงและไมเกดผลด บรษททประสบความสำาเรจไดพฒนาบรรยากาศของความรวมมอและความสมพนธอนดระหวางสองฝาย

4.ปญหาจรยธรรมความสมพนธการรายงานของ ISD สงผลใหเกดพฤตกรรมทไมชอบดวยจรยธรรมบางอยาง เชน ถา ISD รายงานไปยงแผนกการเงน แผนกการเงนจะเขาไปดขอมลเกยวกบตวบคคลหรอแผนกอน ๆ ทอาจถกนำาไปใชในทางทผด

5.ควรมการมอบหมายความรบผดชอบดานความปลอดภยในทกพนทยงองคกรใชอนเตอรเนต เอกซทราเนต และ อนทราเนต มากเทาไร

ปญหาเกยวกบความปลอดภยกมมากขนเทานน สงสำาคญคอตองแนใจวา ลกจางรจกบคคลทรบผด

ชอบตอขอมลและเขาเขาถงความจำาเปนในการควบคมความปลอดภย แหลงขอมลจำานวนมาก

ตองอยในมอผใช ดงนน ผจดการจะตองเขาใจและใชการบรหารจดการขอมลและทรพยสน

อยางเหมาะสม

83

6.โครงการตระหนกในความปลอดภยเปนเรองทสำาคญสำาหรบองคกร โดยเฉพาะอยางยงถาองคกรนนตองพงขอมลอยางมากโปรแกรมดงกลาวจะตองสามารถใชไดทวบรษทและไดรบการ

สนบสนนจากผบรหารระดบสง นอกจากน การควบคมมาตรการความปลอดภยและการปฏบตตามขอ

กำาหนดการควบคมบรหารจดการเปนเรองทมความสำาคญตอความสำาเรจของแผนความ

ปลอดภย สำาหรบหลาย ๆ คนแลว การปฏบตตามขอกำาหนดการควบคมจดการ หมายถง งานทเพมขนมาซง

พวกเขาไมคอยชอบนก7.การตรวจสอบระบบขอมลจะตองจดเขาในระบบวฒนธรรมองคกร

องคกรควรตรวจสอบ ISD ไมใชเพราะบรษทประกนขอใหทำาการตรวจสอบ แตเพราะเปนการประหยดเงนตราไดอยางมาก ในทางตรงกนขาม การตรวจสอบมากเกนไปกไมเปนการประหยดคาใชจาย

8.บรษททมสาขาในหลายประเทศการจดการ ISD ในบรษททมสาขาในหลายประเทศ เปนปญหาทซบซอน บางองคกรชอบรปแบบการกระจายอำานาจโดยสมบรณมากกวา คอ ใหม ISD ในแตละประเทศ หรอ อาจม ISD หลายแหงในหนงประเทศ บางองคกรใหมเจาหนาทสวนกลางนอยทสด บางบรษทชอบโครงสรางแบบศนยรวม สำาหรบปญหาดานกฏหมาย ความเขมงวดของรฐบาล และ ขนาดของเจาหนาท IS เปนปจจยทเปนตวกำาหนดระดบการกระจายอำานาจ

เวปไซต แหลงขอมลเพมเตม ไดแก การซกถามปญหา ขอมล…ออนไลน ตาราง รปภาพ และ กรณศกษา การลงคเวปทมการอพเดทอยสมำาเสมอกบบทความหรอขอมลททนสมย สามารถหาพบไดบนเวปไซตของหนงสอ (wiley.com/college/turban)

84

คำาศพทหลกการควบคมการใชงาน 702 การปฏเสธกระจายบรการ

(DdoS) 697การจโจมโปรแกรมของไวรส 695

การสบกลบการจโจมของไวรส 710

การเขารหส 711 การจดการความเสยง 719

การตรวจสอบ 717 การเปดเผย 691 คอมพวเตอรทรกษาตวเอง 720

การไดรบอำานาจ 711 การตานกลโกง 720 ขอตกลงระดบการบรการ (SLA) 684

การควบคมชวสถต 701 ไฟรวอลล 708 การเอนจเนยรงทางสงคม 693

แผนความตอเนองทางธรกจ 712

การควบคมทวไป 702 สตลทแวร 712

หวหนาเจาหนาทฝายขอมล (CIO) 618

แฮคเกอร 693 กรรมการนำาทาง 684

แครกเกอร 693 ฮนนเนต 712 หนอนไวรส 696อาชญกรคอมพวเตอร 693 ฮนนพอรท 712 ไวรส 696สงครามทางอนเตอร 694 ขโมยเอกลกษณบคคล 689 ความเปราะบาง 690การประสานขอมล 705 ศนยขอมล ผดบซอมบ 697การชกจงขอมล 694 การจดการแหลงขอมล

(IRM) 681การปฏเสธบรการ 697 การดแลขอมลสารสนเทศ

684การหลกเลยงหายนะ 715แผนการฟ นฟหายนะ 712

85

สาระสำาคญของบท (ตวเลข อางองถงวตถประสงคการเรยนร)1 แหลงขอมลทกระจายไปทวองคกรงายตอการจโจมของไวรส และยากตอการจดการ

4 ไวรส เปนโปรแกรมคอมพวเตอรทซอนอยภายในโปรแกรมปกตทชกนำาใหโปรแกรมปกตไปเปลยนแปลงหรอทำาลายขอมล/โปรแกรม ไวรสแพรไปตามเครอขายเนตเวรคทวโลกไดรวดเรวมาก

2 ความรบผดชอบของ IRM ถกแบงระหวาง ISD และ ผใชปลายทาง ทงสองตองประสานกน2 กรรมการนำาทาง ศนยขอมล และ ขอตกลงระดบการบรการ ชวยลดความขดแยงระหวาง ISD และ ผใชปลายทาง

5 ระบบขอมล ไดรบการปกปองดวยการควบคม อยางเชน กระบวนการความปลอดภย การปกปองดานกายภาพ (physical guard) และการตรวจสอบซอฟแวร เหลานถกนำาไปใชสำาหรบการปองกน ยบยง เรยกคน และ แกไขระบบขอมล

2 ตำาแหนงการรายงานของ ISD สามารถเปลยนแปลงได แตตำาแหนงทเหมาะสมกวาจะมการรายงานไปยงฝายบรหารอาวโสโดยตรง

5 การควบคมทวไป ไดแก การปลอดภยดานกายภาพ การควบคมการเขาไปใชงาน การควบคมความปลอดภย การควบคมการสอสาร (เนคเวรค) การควบคมการบรหาร

3 หวหนาเจาหนาทศนยขอมล (CIO) เปนตำาแหนงระดบบรษททแสดงถงความสำาเรจและบทบาททเปลยนแปลงของ ขอมลในองคกร

5 การควบคมชวสถต ถกนำามาใชเพอระบตวผใชจากการตรวจเชคคณลกษณะทางรางกายของผใช (เชน ลายนวมอ และ พมพเรตนาของลกนยนตา

4 ขอมล ซอฟแวร ฮารดแวร เนคเวรค อาจถกคกคามจากอนตรายหลายอยางจากทงภายในและภายนอก

5 การควบคมการใชงาน มกจะถกสรางไวภายในซอฟแวร ทำาหนาทในการปกปองขอมลระหวางการปอนขอมลเขา การประมวลผลขอมล และ การสงขอมลออก

4 อาชญากรรมคอมพวเตอรมากมาย 6 การเขารหสขอมล เปนวธทมประโยชน

86

อาชญากรรมบางอยางจะเหมอนกบอาชญากรรมการเมอง (การฉอฉล การทำาลายทรพยสน การโกง ขโมย และ ละเมด

สำาหรบการปองกนการถายโอนขอมล

4 อาชญากรรมคอมพวเตอรถกผลกดนจากเศรษฐกจ ความคด การยดตวเองเปนใหญ และปจจยดานจตวทยา อาชญากรสวนใหญไดแก บคคลภายใน แตบคคลภายนอก (เชน แฮคเกอร แครคเกอร และ สปาย) กอาจเปนสาเหตแหงความเสยหายได

7 แผนการฟ นฟหายนะ เปนสวนสำาคญของการควบคมทมประสทธภาพและการจดการความปลอดภย

6 ไฟรวอลล ทำาหนาทปกปองอนทราเนตและระบบภายในจากการแฮคเกอร แตไมไดชวยปองกนไวรส

8 เปนการยากมากและตองเสยคาใชจายสงในการปองกนภยคกคามระบบไอท ดงนน จำาเปนตองใชการวเคราะหตนทน-กำาไร เพอจะสามารถบอกไดวาจะมการปรบใชการควบคมแบบใดและมากนอยเทาไร

6 Access control, authentication, และ authorization เปนสวนของความปลอดภยของเครอขาย

8 รายละเอยดการตรวจสอบขอมลทงภายในและภายนอก เกยวของกบปญหามากมาย จำาเปนตองไดรบการสนบสนนจากทงซอฟแวรและการตรวจเชคลสต

คำาถามทบทวน1. อะไรคอตำาแหนงการรายงานทเปนไปไดสำาหรบ ISD2. ทำาไม ISD จงรายงานเหตการณไปยงฝายการเงนหรอฝายบญช 3. ระบกลไกความรวมมอระหวาง ISD กบผใชปลายทาง4. สรปบทบาทของ CIO5. เขยนกฏเกณฑ 8 ประการของ Rockart6. Steering committee คออะไร7. บอกความหมายและบทบาทของ SLAs 8. อะไรคอบรการทผใชมกไดรบจากศนยขอมล9. บอกความหมายของการควคม (Control) การคกคาม (Threats)

ความเปราะบางของขอมล (Vulnerability) และ การสำารองขอมล (Back-up)

87

10. Computer Crimes คออะไร11. อาชญากรรมคอมพวเตอร 4 ประเภท ไดแกอะไรบาง 12. Cybercrime คออะไร 13. อะไรคอความแตกตางระหวาง Hacker กบ Cracker14. อธบายคำาวา ไวรส และ หนอนไวรส“ ” “ ”15. อธบาย ระบบความปลอดภยทวบรษท16. บอกความหมายของคำาวา การควบคม (Control) 17. จงอธบายคำาวา การปองกน (prevention) การยบยง

(deterrence) การสบสวน (detection) การฟ นฟ (recovery) และ การแกไข (correction)

18. บอกความหมายของคำาวา ชวสถต (biometrics) 5 ประการ19. แยกความแตกตางระหวางการควบคมทวไป (general control)

และ การควบคมการใชงาน (application controls) 20. อะไรคอความแตกตางระหวางคำาวา Authorized user และ

Authenticated user21. อธบายความหมายของ Dos และวธการปองกน22. คณจะปองกนไวรสไดอยางไร23. บอกความหมายของคำา Firewall และถกนำาไปใชเพออะไร24. อธบายความหมายของคำา Encryption25. บอกความหมายของ แผนความตอเนองทางธรกจ26. บอกความหมายและอธบาย แผนฟ นฟหายนะ27. “hot” และ “cold” recovery site คออะไร28. อธบายการตรวจสอบระบบขอมล29. เขยนรายการและอธบายขนตอนทเกยวของกบการวเคราะหความ

เสยงของการควบคม

คำาถามสำาหรบอภปราย1. ตำาแหนงทเหมาะสมสำาหรบ ISD ทจะรายงาน คออะไร ทำาไม2. แหลงขอมลใดมกถกควบคมโดย ISD ทำาไม3. อภปรายบทบาทใหมของ CIO และ เกยวของกบการจดการอยางไร

88

4. ทำาไมการควบคมขอมลและความปลอดภยจงเปนประเดนสำาคญตอการจดการ

5. เปรยบเทยบสถานการณความปลอดภยกบสถานการณการประกนทอยอาศย

6. อธบายสงทไฟรวอลลใหการปกปองและไมปกปอง พรอมบอกเหตผล7. อะไรคอวตถประสงคของชวสถต ทำาไมจงเปนทนยมกนมาก8. อธบายวา IS ตรวจสอบการทำางานอยางไร และสมพนธกบการตรวจ

สอบบญชและการเงนแบบเดมอยางไร9. ทำาไม ความนาเชอถอ (Authentication) และ อำานาจ

(Authorization) จงมความสำาคญในการทำาธรกจอคอมเมรท10. บรษทประกนบางแหงจะไมรบประกนธรกจ ถาบรษทไมมแผนฟ นฟ

หายนะ จงอธบายวาทำาไมจงเปนเชนนน11. จงอธบายวา ทำาไมการจดการความเสยงจงเกยวของกบเรองตอไป

น คอ ภยคกคาม การเปดเผยทเกยวกบการคกคามแตละอยาง ความเสยงของการคกคามแตละครงทเกดขน ตนทนการควบคม และ การประเมนประสทธภาพ

12. เมอไมนานมาน มบางคนแนะนำาใหใชโปรแกรมไวรส หรอ โปรแกรมอน ๆ ทคลายกน ในสงครามระหวางประเทศ อะไรคอเหตผลสำาหรบแนวคดดงกลาว และจะสามารถนำาไปใชงานไดอยางไร

13. เปนเรองทมความสำาคญอยางไรสำาหรบ CIO ทจะตองมความรอยางกวางขวางเกยวกบธรกจ

14. ทำาไมจงตองใช SLAs กบผขาย อะไรคอปญหาทอาจเกดขนไดกบสถานการณดงกลาว

15. เปรยบเทยบ TQM กบ แผนความปลอดภยทวบรษท อะไรคอสงทเหมอนกน และ อะไรคอความแตกตาง

16. ทำาไมระบบสมองกลคอมพวเตอรจงมบทบาทเพมขนในการดแลความปลอดภยของขอมล

17. ทำาไมอาชญากรรมคอมพวเตอรขามชาตจงขยายตวเพมขนอยางรวดเรว

89

18. อธบายความสมพนธระหวาง grid computing และ self-healing computer

แบบฝกหด1. ตรวจสอบ Online File W15.4 อานบทความใหมเกยวกบ CIO

และเพมบทบาทใหมๆ เขาไปในสงทคณอาน บทบาทใดทดเหมอนวามความสำาคญมากขน และบทบาทใดทดเหมอนจะสญเสยความสำาคญลงไป

2. สมมตวา ความเปนไปไดในแตละวนของการเกดแผนดนไหวใหญในลอสแองเจลส คอ .07% โอกาสทศนยคอมพวเตอรของคณจะถกทำาลายขณะเกดแผนดนไหวดงกลาว คอ 5% ถาศนยถกทำาลาย ประเมนความเสยหายโดยเฉลย คอ 1.6 ลานดอลลารก. คำานวณความเสยหายทคาดวานาจะไดรบ (ดอลลาร)ข. บรษทประกนภยเตมใจทำาประกนใหคณดวยคาธรรมเนยม

15,000 ดอลลารตอป วเคราะหขอเสนอ และ อภปรายวาจะยอมรบหรอไม

3. การขโมยแลปทอปคอมพวเตอรทหองประชม โรงแรม และ สนามบน ไดกลายมาเปนปญหาใหญอยางหนง ประเภทของการปองกนทมอย ไดแก เครองอปกรณ (เชน targus.com) การเขารหส (เชน networkassociates.com) และนโยบายความปลอดภย (เชน ebay.com) จงคนหารายละเอยดเพมเตมเกยวกบปญหาและแนวทางการแกปญหา สรปขอดและขอจำากดของแตละแบบ

4. ระบบผเชยวชาญสามารถนำามาใชวเคราะหผลกำาไรของผใชคอมพวเตอร การวเคราะหดงกลาวอาจทำาใหสามารถตรวจสอบการบกรกไดดขน นายจางควรแจงใหลกจางทราบถงการใชงานคอมพวเตอรของพวกเขาทมการควบคมจากระบบผเชยวชาญหรอไม ทำาไมจงควร และทำาไมจงไมควร

5. นางเอม ไซ ทำางานเปนตวแทนสนบสนนลกคาใหกบบรษทวลลงกง ซงเปนบรษทซอฟแวรขนาดเลก (Palo Atlo, California) เธอถกไฟไหมเมอปลายป 1987 และในตนป 1988 บรษทพบวามคนลอกออน

90

เขาไปในคอมพวเตอรในตอนกลางคนผานทางโมเดม และไดเขาไปเปลยนและคดลอกไฟล ระหวางการสบสวน ตำารวจไดตรวจสอบโทรศพททบานของนางไซ พบเอกสารสำาเนาขอมลเกยวกบการครอบครองกรรมสทธมลคาหลายลานดอลลาร ทนาสนใจคอ รหสการเขาไปดขอมลของนางไซถกระงบนบตงแตวนทเธอยตงาน บรษทสงสยวานางไซจะไดรบรหสการเขาไปดขอมลของพนกงานคนอน (แหลงทมา BusinessWeek 1 สงหาคม 1988 หนา 67)ก. อาชญากรรมเกดขนไดอยางไร ทำาไมการควบคมจงไรประสทธภาพ

(จงบอกสมมตฐานทเกยวของ)ข. บรษทวลลนกง หรอบรษทอน ๆ จะทำาอะไรเพอทจะปองกนมใหเกด

เหตการณในลกษณะเดยวกนนตอไปในอนาคต6. การเฝาระวงการปฏเสธไมยอมรบของการจโจมของไวรสบรการ ไมใช

เรองงายนก จงศกษาถงเครองมอและแนวคดสำาคญทพอจะหาได เรมตนดวยการดาวนโหลดซอฟแวรจาก nipc.gov และเขาไปทเวปไซต cert.org, sans.org และ ciac.llnl.gov เขยนรายงานสรปการคนควาของคณ

7. ในแตละป ขอความจำานวน 25,000 ขอความถกสงถงบรษท ปจจบนไมมไฟรวอลล โดยเฉลยจะมการแฮคกงทประสบความสำาเรจอยประมาณ 1.2 ครงตอป การแฮคกงแตละครงสงผลใหเกดความสญเสยแกบรษทประมาณ 130,000 ดอลลาร

ไฟรวอลลทสำาคญถกกำาหนดคาใชจาย 66,000 ดอลลาร และคาบำารงรกษา 5,000 ดอลลาร โอกาสทผบกรกจะทำา คอประมาณ 0.0002 ในกรณดงกลาว ความเสยหายจะเทากบ 100,000 ดอลลาร (30%) หรอ 200,000 ดอลลาร (50%) หรอไมมความเสยหายเลย คาบำารงรกษาตอปสำาหรบไฟรวอลล คอ 20,000 ดอลลารก. ควรซอไฟรวอลล หรอไมข. ไฟรวอลลทปรบปรงแลว ประสทธภาพการทำางาน 99.9988%

ราคา 84,000 ดอลลาร อายการใชงาน 3 ป และ คาบำารงรกษา

91

ตอป 16,000 ดอลลาร ควรซอไฟรวอลลตวนแทนไฟรวอลลตวเดมหรอไม

8. ในฤดใบไมผล ป 2000 รฐบาลสหรฐไดพฒนาเครอขายการตรวจจบการบกรกภายในขน (fidnet.gov) เพอปองกนขอมลจากการแฮคเกอร ศนยประชาธปไตยและเทคโนโลย (cdt.gov) มเปาหมายทจะเรยกรองสทธการรกลวงความลบ จงศกษาสถานะของโครงการ (FIDNet) และ อภปรายการเรยกรองสทธของศนย

งานกลม1. แบงชนเรยนออกเปนกลม แตละกลมเขาไปทแผนก IS

department จากนน ใหรายงานหวขอตอไปนในชนเรยน คอ แผนภมองคกรของแผนก อภปรายเกยวกบ CIO (ผอำานวยการ)ของแผนก รวมถงรายงานสถานภาพของผอำานวยการ ขอมลเกยวกบกรรมการนำาทาง (องคประกอบ และ หนาท) ขอมลเกยวกบ SLAs ทแผนกม และ ระดบการกระจายอำานายในบรษท

2. แตละกลมแบงออกเปน 2 สวน สวนท 1 จะสมภาษณนกเรยนและนกธรกจ บนทกประสบการณปญหาของพวกเขาเกยวกบระบบความปลอดภยของคอมพวเตอร สวนท 2 ไปรานคอมพวเตอร (และ/หรอ อานวรรณกรรม หรอใชอนเตอรเนต) เพอคนหาซอฟแวรทมวางจำาหนายซงใชในการจดการกบปญหาความปลอดภยของคอมพวเตอร จากนน ใหแตละกลมเตรยมรายงานในลกษณะทกลาวถงปญหาและระบถงปญหาทสามารถปองกนไดดวยการใชซอฟแวรสำาเรจรปทมวางจำาหนายตามรานคอมพวเตอร

3. จดกลมขนมาเพอทำาการสบคนการพฒนาวงการไอทใหมลาสด และ ความปลอดภยของอคอมเมรท ตรวจดวารสาร อยางเชน CIO.com (ฟรทางออนไลน) ผขาย และ คนใน search engine อยางเชน google.com

4. ศกษาคนควาเกยวกบการจโจมของไวรส Melissa ในป 1999 อธบายถงการทำางานของไวรส และ ไวรสเปนตนเหตความเสยหาย

92

อะไรบาง ศกษาความพยายามของไมโครซอฟในการทจะปองกนความลมเหลวในลกษณะเดยวกนน ศกษาความเหมอนระหวางไวรสป 2003 (เชน Slammer, Bugbear, เปนตนไป กบไวรสตวกอน ๆ (เชน “ I love You” และ Melissa)

แบบฝกหดอนเตอรเนต

1. คนหาเวปไซตการหางาน (เชน brassring.com และ headhunter.com) คนหาการเปดรบสมครงาน CIO ศกษาคณสมบตทจำาเปนสำาหรบตำาแหนงงานและอตราเงนเดอน เขาไปทเวปไซต google.com และ cio.com เพอหาขอมลเกยวกบ CIOs บทบาท เงนเดอน และอน ๆ ของ CIOs และรายงานผลการคนควา

2. เขาไปทเวป scambuster.org เพอดวาองคกรทำาอะไร เรยนรเกยวกบ e-mail scam และ web site scams และ รายงานการคนควา

3. เขาไปทเวป comdisco.com คนหาและอธบายบรการฟ นฟหายนะอนใหมลาสด

4. เขาไปทเวป epic.org/privacy/tool.com ศกษากลมเครองมอตอไปน คอ การเขารหสเวปไซต การเขารหสดสก การไฟรวอลคอมพวเตอร อธบายวาเครองมอเหลานเออประโยชนตอความปลอดภยของคอมพวเตอรไดอยางไร

5. เขาไปทเวปจำาหนายซอฟแวรตานไวรส (symantec.com , mcafeec.com , และ antivirus.com) ศกษาดวาศนยวจยของผจำาหนายกำาลงทำาอะไร และดาวนโหลด VirusScan จาก McAfee รวมถงสแกนฮารดไดรฟดวย

6. กลมหนงสอพมพใหมๆ หลายกลม ทเกยวกบความปลอดภยของคอมพวเตอร (groups,google.com; alt.comp.virus; comp.viru; maous.comp.virus) เขาไปทเวปไซตเหลานเพอคนหาขอมลเกยวกบไวรสทเพงคนพบใหมลาสด

93

7. ตรวจสอบสถานะการควบคมชวสถต (biometrics controls) ดบนทกใน sensar.com ศกษาวาไมโครซอฟกำาลงทำาอะไรกบ biometrics controls

8. เขาไปท v:l.nai.com/vil/default.asp หาขอมลเกยวกบไวรส อะไรเปนเคลดลดของ McAfee (macafee b2b.com) สำาหรบการหลกเลยงหรอลดผลกระทบจากไวรสใหเหลอนอยทสด

9. ตดตง DSL line ทบานของคณ อานเนอหาบทนทคณไฟรวอลลสวนตว เขาไปท securitydogs.com , macafee.com หรอ symantec.com หาผลตภณฑทมความเปนไปได 3 ตว เลอกผลตภณฑตวทคณชอบมากทสด และบอกเหตผลดวยวาทำาไม

10. เขาไปทเวปไซตสำาหรบการคนหา (เชน google.com หรอ findartecles.com) หาบทความทเพงตพมพไมนานเกยวกบการวางแผนปองกนหายนะ รายงานสน ๆ เกยวกบการพฒนาการวางแผนฟ นฟหายนะ

11. ใชบตรสมารทการดสำาหรบเกบขอมลสวนตวของผใช การเปลยนรหสสวนตว และอนๆ ทองเนตและทำารายกงานเกยวกบการพฒนาทเพงเกดขนเมอไมนานมาน (เชน ลองเขาไปทเวป microsoft/windows/smartcard, litronic.com, gemplus.com ,หรอ scai.org)

12. เขาไปทเวปไซต 2600.com และอานวารสาร และเขาไปทเวป waregone.com และ skynamic.com เตรยทำางานแสดงทแสดงใหเหนถงวธการแฮคขอมลไดสำาเรจโดยงาย

13. เขาไปทเวปไซต ncsac.om หาขอมลเกวกบ ทำาไมแฮคเกอรจง“กระทำาสงเหลานน พรอมเขยนรายงาน”

14. เขาไปทเวปไซต biopay.com และผขาย biometrics อนๆ และ หาอปกรณทสามารถนำามาใชเขาถงการควบคมระบบขอมล เขยนรายการความสามารถหลก ๆ

กรณศกษา 2

94

การจดการความปลอดภย Internet Security Alliance (isalliance.org) กอตงขน

ในเดอนเมษายน 2001 เปนความพยายามในการรวมมอของสถาบนวศกรรมซอฟแวรมหาวทยาลยคารเนกเมลอน ศนยความ รวมมอ CERT (CERT Coordination Center) สมาคมอตสาหกรรมอเลคทรอนคส (Electronics Industries Alliance หรอ EIA) สมาพนธการคา และ องคกรภาครฐและเอกชนอนๆ โดยมวตถประสงคเพอแบงปนขอมลและการเปนผนำาดานความปลอดภยของขอมล และ เปนตวแทนสมาชกและผดแล

วนท 9 กนยายน 2002 สมาพนธไดจดพมพผลสรปจากการสำารวจความปลอดภยเมอไมนานมาน โดยความรวมมอกบสมาคมผผลตแหงชาต (National Association of Manufacturers หรอ NAM) และ บรษท Red-Siren Technology Inc. (Durkovich, 2002) การสำารวจไดขอใหผเชยวชาญดานความปลอดภยของขอมลเปรยบเทยบทศนคตในปจจบนของเขากบทศนคตกอน ทจะมการกอวนาศภยตกเวรดเทรดทมตอระบบความปลอดภยของขอมล โดยรวม ๆ แลว พบวาผเชยวชาญดานระบบความปลอดภยของขอมล มองวาระบบความปลอดภยของขอมลเปนประเดนทสำาคญในปจจบนและสำาคญตอการรกษาธรกจขององคกรใหสามารถอยรอดได แตคำาตอบทไดสวนใหญพวกเขายงคงรสกวาไมเพยงพอทจะบรรลถงความทาทายในการดแลระบบความปลอดภยในปจจบน และทสำาคญกคอ การขาดคำามนสญญาของฝายจดการอาวโสทจะกลาวถงความทาทายเหลาน

ตอไปนเปนขอสรปบางประการจากการสำารวจ รอยละ 91 ใหความสำาคญตอความปลอดภยของขอมล องคกรสวนมากประสบกบการจโจมจากไวรสอยางนอยทสด 1

ครงในปทผานมา ประมาณรอยละ 30 โดนไวรสจโจมมากกวา 6 ครง

95

รอยละ 48 รายงานวา เหตการณจโจม 9/11 ทำาใหพวกเขาหนมาใหความเอาใจใสกบความปลอดภยของขอมลมากขน และรอยละ 48 ไมมการเปลยนแปลงทศนคต

รอยละ 40 ปรบปรงความปลอดภยดานกายภาพ ดานอเลคทรอนคส เครอขาย และ นโยบายความปลอดภยมากขนนบตงแตเกดการจโจม

รอยละ 30 รายงานวาบรษทยงขาดการเตรยมพรอมทจะรบมอกบการจโจมความปลอดภย

Internet Security Alliance ไดจดอนดบความสำาคญสงสด 10 อนดบ และ แนวทางทแนะนำาใหใชบอยทสดซงจำาเปนตอการนำาวธการความปลอดภยไปใชอยางประสบผลสำาเรจ แนวทางปฏบตครอบคลมถงเรองนโยบาย วธการ บคคล และ เทคโนโลย ดงน1.การจดการทวไป

ความปลอดภยของขอมลเปนเร องธรรมดาทวไปทเปนสวนหนงของความรบผดชอบของทกคน ผจดการ และ ลกจาง ผจดการตองมนใจวามแหลงขอมลเพยงพอ กำาหนดความหมายนโยบายความปลอดภยไดเปนอ ย า ง ด แ ล ะ ท บ ท ว น น โ ย บ า ย อ ย า ง ส ม ำา เ ส ม อ2.นโยบาย

นโยบายความปลอดภย จะตองกลาวถงประเดนหลก อยางเชน การจดการความเสยงความปลอดภยของขอมล การระบเอกลกษณของทรพยสนทสำาคญ ความปลอดภยทางกายภาพ ความปลอดภยเครอขาย การรบรอง ความเปราะบางของขอมล และ การจดการเหตการณ ความลบ และอน ๆ ในลกษณะน นโยบายจะตองกำาหนดอยในกระบวนการมาตรฐาน แนวทางปฏบต การฝกอบรม และ การจดโครงสราง3.การจดการความเสยง

ผลกระทบจากความเสยงหลายอยางจำาเปนตองระบใหชดเจนและระบจำานวน แผนการจดการจำาเปนตองพฒนาขนมาเพอทำาใหความเสยงท

96

สงผลกระทบสงเหลานลดจำานวนลง และจะตองมการทบทวนแผนงานอยเปนประจำา

4.การออกแบบและโครงสรางความปลอดภยโครงสรางความปลอดภยทวบรษท เปนสงทจำาเปนในการปกปอง

ทรพยสนขอมลทสำาคญ พนทความเสยงสง (เชน ไฟฟา) ควรจะตองมแนวทางแกปญหามากมาย

หลากหลาย

5.ปญหาผใชกลมผใช ไดแก ผจางทวไป เจาหนาทไอท หนสวน ผจดหาสนคา ผขาย

และอน ๆ ทเขาถงระบบขอมลสำาคญ

6.ระบบและการจดการเครอขายแนวหลกในการปองกน ไดแก การควบคมการเขาถงสำาหรบอปกรณและขอมลเครอขายทงหมด การสอสารทมการลงรหส และ VPNs ทตองการ การปองกน เชน ไฟรวอลล ตองตงอยบนนโยบายความปลอดภย ซอฟแวร ไฟลขอมล และ ไดเรคตอร บนเครอขาย จะตองมการตรวจสอบเปนประจำา วธการและกลไกจะตองมนใจไดวาซอฟแวรสามารถแกปญหาทมอยได การเปลยนแปลงจะวเคราะหจากแนวคดเกยวกบความปลอดภย การประเมนความเปราะบางของขอมลจะตองทำาเปนระยะ ตองมการสำารองซอฟแวรและขอมลตามตารางเวลา

7.การรบรอง (Authentication) และ การอนญาต (Authorization)จะตองกำาหนดนโยบายทเขมงวด และมการนำาไปใชสำาหรบการรบรอง

และใหอำานาจในการเขาไปในเครอขาย จะตองใหความสนใจเปนพเศษสำาหรบลกจางทเขาไปดขอมล

ทางอนเตอรเนตจากเครองคอมพวเตอรทบาน รานคา และ หนสวน ผรบเหมา และ บรการผท

เขาไปในเครอขายแบบทางไกล 8.การควบคมและตรวจสอบ

97

จะตองเฝาตดตาม ตรวจสอบ การละเมดความปลอดภยและการเปลยนแปลงเงอนไข ตองมการตรวจสอบเครอขายเปนประจำา ควรมมาตฐานสำาหรบการตอบสนองพฤตกรรมผดปกตหรอทนาสงสย

9.ความปลอดภยทางกายภาพ (Physical Security) การเขาไปดขอมลสำาคญ บรการไอท และ แหลงขอมล จะตองไดรบการควบคมโดย Two-factor authentication

10. การวางแผนความตอเนองและการฟ นฟหายนะแผนความตอเนองทางธรกจและการฟ นฟ จำาเปนตองมการนำาไปใช

และไดรบการทดสอบเปนระยะ เพอใหมนใจไดวาเปนแผนงานทมประสทธภาพด

คำาถามสำาหรบกรณศกษา 21. ทำาไม Internet Security Alliance จงมสมาชกทงภาครฐและ

ภาคเอกชน2. พนธกจของ Internet Security Alliance คออะไร3. ทำาไมจงมผลดตอการลำาดบความสำาคญของปญหา4. คณจะพสจนการมอยจรงของสมาพนธไดอยางไร ใครควรเปนผออก

คาใชจาย

การจดการแหล งขอม ลและความปลอดภ ยของเทคโนโลย สารสนเทศ ทไวรเลส คาเฟ

เมอเรว ๆน คณเขาไปทสำานกงานของเยเรมยเพอพดคยกบเขาเกยวกบมาตรฐานเครอขายไรสายและมาตรฐานทใชของบรษทไวรเลสคาเฟ เยเรมยไมไดอยทนน แตคณแปลกใจทเหนสำานกงานของเขาเปด คอมพวเตอรกอยทนน แอพพลเคชนบนหนาจอแสดงขอมลเกยวกบลกจาง คณอาจเกยวกบนโยบายความลบและกฏหมายความปลอดภย ความเปราะบางของขอมล และคณไดปดหนาจอคอมพวเตอรของเยเรมยกอนทคณจะเดนออกจากสำานกงานของเขาไป

98

คำาแนะนำา1. อะไรคอการเปดเผยและความเปราะบางเปนพเศษ ทคณสามารถบอก

ไดสำาหรบเทคโนโลยสารสนเทศของบรษทไวรเวสคาเฟ เมอระบบขอมลของภตตาคารมการทำางานแบบอตโตมต อะไรคอภยคกคามทงทตงใจและไมตงใจทกระทบถงขอมล

2. คณอยากแนะนำาวา บารบาราและเยเรมยนาจะจดทำาชดควบคมความปลอดภยอยางเปนทางการ ซงควบคมขอมลคอมพวเตอรทงหมดของเขา การควบคมดานกายภาพ (physical control) และ การควบคมการใชงาน (application control) แบบใดเหมาะสมกบภตตาคาร ลกจางคนใดทคณจะรวมเขาไวในในโปรแกรมความปลอดภยและการเกบความลบ เขาไปทเวปไซตของ TWC เพอดตำาแหนงตาง ๆ ทงหมดในภตตาคาร

3. ใชโครงงานการจดการความเสยง และการวเคราะหตนทนกำาไร ในบทนเพอประเมนงบประมาณความปลอดภยของขอมลโดยคราว ๆ ของ TWC เนองจากบรษท TWC เปนบรษทขนาดเลก ไมสามารถครอบคลมคาใชจายการคมคามได จดอนดบระบบและขอมลตามความสำาคญของการปองกน พจารณาภยพบตตาง ๆ (โดยเฉพาะ ไฟไหมในภตตาคาร) ความปลอดภย และ ขอผดพลาดการบรหารงาน ซงเปนสวนหนงของการวเคราะหความเสยงในการจดอนดบระบบ

บรรณานกรมAdams, S., “Effective SLAs Define Partnership Roles.” Communications News, June 2000, comnews.com (accessed August 2003).

99

Agarwal R., and V. Saimbamurthy, “Principles and Models for Organizing the IT function,” MIS Querterly Executive, March 2002.Alberts, B., “Home Depot’s Special Projects Support Team Powers Information Management for Business Needs,” Journal of Organization Excellence, winter 2001.Alga, N., “Increasing Security Levels,” Information Systems Control Journal, March - April 2002.Austin R.D., and C.A.R. Darby, “The Myth of Secure Computing,” Harvard Business Review, June 2003.Atlas, R.I., and S. A. Young, “Planting and Shaping Security Success,” Security Management, August 2003.Azari, R. (ed.), Current Security Management and Ethical Issues of Information, Hershey PA: IRM Press, 2003Ball, L.D., “CIO on Center Stage : 9/11 Changes Everything,” Information Systems Management, spring 2002.Becker, D., “Equal Rights for CIOs,” CNET News.Com, June 16, 2003.Biery K., and D. Hager, “The Risks of Mobile Communication,” Security Management, December 2001.Biermann E. et al., “A Comparison of Intrusion Detection Systems,” Computers and Security, Vol. 20, 2001.Brassil, R. A., “The Changing Realities of Recovery: How Onsite and Mobile Options Have Revolutionalize the Business Continuity Industry,” Information Systems Control Journal, March – April 2003.Blanco L., “Audit Trail in an E-Commerce Environment,” Information Systems Control Journal, September – October 2002.Bruno L., “Out, Out Damned Hacker!” Red Herring, January 2002.

100

”Bugbear Worm Steals Credit Card and Password Details,” Information Management and Computer Security, June 2003.Caulfield, B., “The Trouble with Biometrics,” Business 2.0, September 2002.Cilli, C., “It Governance: Why a Guideline?” Information Systems Control Journal, May – June 2003.Computers and Security, special issue, 19(1), 2000.Davidson, P., “29 Nations Team Up vs. Cross-Border Scams,” USA Today (International issue), June 17, 2003.Davis, J. L., “Using Authentication to Help Prevent Online Fraud,” Direct Marketing, October 2001.Damle, P., Social Engineering: A Tip of the Iceberg,” Information Systems Control Journal, March – April 2002.Devargas, M., “Survival Is Not Copulsory: An Introduction to Business Continuity Planning,” Computers and Security, 18(1),1999.Diao Y. et al., “Using Fuzzy Control to Maximize Profits in Service Level Agreement, IBM Systems Journal, XYZ, 2002.Doll, M. W. et al., Defending the Digital Frontier. New York: Wiley, 2003.Doughty, K., “Business Continuity: A Business Survival Strategy, Information Systems Control Journal, January – February 2002.Doughty, K., “Implementing Enterprise Security,” Information Systems Control Journal, May – June 2003.Duffy, D., “Chief Executives Who Get It,” CIO Magazine, July 15, 1999.Durkovich, C. et al, “Global Computer Security Survey – Results Analysis,” September 9, 2002. redsiren,com/survey.html (accessed July 18, 2003).Earl, M.J., “Blue Survivors (the CIO’s),” CIO Magazine, December 15, 1999 – January 1, 2000.Fadia, A., Network Security: A Hacker’s Perspective. Boston, MA: Premier Press, 2002.

101

Frownfelter – Lohrke, C., and J.E. Hunton, “New Opportunities for Information systems Auditors,” Information Systems Control Journal, May – June, 2002.Garfinkel, s., Web Security Privacy and Commerce, Sebastopal, CA: O’Reilly and Associates, 2002.Gerber, J. A., and E. R. Feldman, “Is Your Business Prepared for the Worst?” Journal of Accountancy, April 2002.Ghosh, A. K., and T. M. Swaminatha, “Software Security and Privacy Risks in Mobile E-Commerce,” Communications of the ACM, February 2001.Granger, s., “Social Engineering Fundamentals. Part I: Hacker Tactics, S., “December 18, 2001, online.securityfocus.com (accessed July 20, 2003).Hiles, A., Enterprise Risk Assessment and Business Impact Analysis. Rothstein Assoc., 2002.Hinde, S., “The Law, Cybercrime, Risk Assessment and Cyber Protection,” Computers and Security, February 2003.Hunton, J, E., “Back Up Your Data to Survive a Disaster,” Journal of Accountancy, April 2002.ISAlliance, “Common Sense Guide for Senior Managers.” Internet Security Alliance, July 2002, www.isalliance,org (accessed July 15, 2003).Jain, A. et al., “Biometric Identification,” Communications of the ACM, February 2000.Jain, A, et al, (eds.), Biometrics: Personal Identification in Networked Security. NewYork: Kluwer, 1999.Jiang, J. J. et al., “Measuring Information Systems Service Quality,” MIS Quarterly, June 2002.Karagiannis, K., “DDoS: Are Next?” Pc Magazine, January 1, 2003, pcmag.com/article2/ 0,4149,768385,00.asp (accessed August 2003).Kesner, R. M., “Running Information Services as a Business: Managing IS Commitments within the Enterprise,” Information Strategy: The Executive Journal, Summer 2002.

102

Koloszinsky, O., “Aligning Information Security Imperatives with Business Needs,” The CPA Journal, July 2002, Iuca.com/cpajournal/2002/0702/nv/nv10.htm (accessed August 2003).Lam, W., “Ensuring Business continuity,” It Pro, June2002.Lee, S. C., and C. Shields, “Technical legal and Societal Challenges to Automated Attomated Attack Treceback,” IT Pro, May-June 2002.Leidner, D, E. et al., “How CIOs Manage IT During Economic Decline: Surviving and Thriving Amid Uncertainty,” MIS Quarterly Executive, March 2003.Levin, C., “The Insurance Plan that Came to the Rescue,” Pc Magazine, January 29. 2002.Los angeles times, April 24, 1998.Loundy, D. L., computer Crime. Information Warefare and Economic Espionage, Durham, N, C: Carolina Academic Press, 2003.Luhn, R., and S. Spanbauer, “Protect Your PC World, July 2002.Lux, A. G., and S. Fitiani, “Fighting Internal Crime Before It Happens,” Information Systems Control Journal, May-June, 2002.McConnell, M., “Information Assurance in the Twenty-first Century,” Supplement to Computer, February 2002.McKinley, E., “VPN Provides Rent-A-Center with a Multitude of Positive Changes,” Stores, May 2003.Mintnick, K., and W. Simon, The Art of Deception. New York: Wiley, 2002.Mitre. “ CVE List Exceeds 5,000 Security Issues,” September 9,2002, cve.mitre.org/news/ (accessed July 20, 2003).Morgan, J P., and N. A. Wong, “Conduct a Legal Web Audit,” e-Business Advisor, September 1999.Nance, B., “Keep Networks Safe from Viruses,” Byte, November 1996, p. 171. Updated June 2003,

103

O’Harrow, R., “Financial Database to Screen Accounts,” Washington Post, May 30, 2002.Pantry, S., and P. Griffiths, A Complete Guide for Preparing and Implementing Service Level Agreement, 2nd ed. London: Library Association Publishing, 2002.Pescovitz, D., “ Helping computers Help Themselves,” IEEE Spectrum, September 2002.Piazza, P., “Honeynet Attracts Hacker,” Attack Security Management, November 2001.Pooley, J., “Blocking Information Passes,” Security Management, July 2002.Prometheum Technologies, “How Does a Virtual Private Network (VPN) Work?” April 2003. promethium.com/m_vpn.htm (accessed August 2003).Reda, S., “Brave New World of Biometrics,” Stores, May 2002.Richardson, R., 2003 CSI/FBI Computer Crime and Security Survey. San Francisco: Computer Security Insitute (gosi.com), 2003.Robinson, c., “The Role of a chief Security Officer,” CIO Asia, April 2003 (cio-asia.com).Rockart, J. F. et al., “Eight Imperatives for the New IS Organization,” Sloan Management Review, fall 1996.Ross, J, W. et al., “Develop Long-Tont-Term competitveness Through It Assets,” Sloan Management Review, fall 1996.Ross, J. W., and D.F. Feeny, “The Evolving Role of the CIO,” in R. Zmud (ed.,), Framing the Domain of IT Management. Cincinnati, OH: Pinnaflex Educational Resources, 2000.Rothstein, P. J., Develop a Disaster Recovery/Business Continuity Plan. Brookfield, CT: Rothstein Assoc., 2002.Sambamurthy, V. et ap al., “Managing in the Digital Era,” in G. Dickson and G. Desanctis, Information Technology and the Future Enterprise. Upper Saddle River, NJ: Prentice-Hall, 2001.

104

Sans.org, “the Twenty Most Critical Internet Security vulnerabilities,” SANS Institute, sans.org/top20 (accessed April 2003).Sayana, S.A., “Auditing General and Application Controls,” Information Systems Control Journal, September-October 2002.Scalet, S. D., “Immune Systems,: CIO Magazine, June 1, 2003. Seddon, P. B. et al., “Measuring Organizational IS Effectiveness,” Data Base, spring 2002.Shand, D., “Service Level Agreement,” Computerworld, January 22, 2001.Sheridan, R. M., “Working the Data Mines,” Security Management, April 2002.Sitonin, J. G., and B. Goldberg, “Changing Role of the CIO,” InformationWeek, March 24 1997.Sivasailam, N, et a., “What companies Are(n’t) Doing about Web Site Assurance,” IT Pro , May-June 2002.Smith, R., authentication: From password to Public Keys. Boston: Addison Wesley, 2002.South china Morning Post, news item, Hong Kong, May 21, 1999.Spector, L., “How to Avoid Data Disaster,” Pc World, June 2002.Stadiak, K., “Web Application Security,” Information Systems Control Journal, November- December, 2002.Statomline, “Technology Facts and Links,” Statonline.com/technologies/facts.asp (accessed August 2003).Strassman, P., “What Is the Best Defense? Being Prepared,” ComputerWorld, March 31.1997.Sullivan A., “U.S. Arrests 1 3 5 in Nationwide Cybercrime Sweep,” Yahoo!, provided by Reuters, May 16, 2003.Talleur, T., “Can Your Organization Survive a Cybercrime? “e-Business Advisor, September 2001Van, J., “Self Healing Computers Seen as Better Fix,” Chieage Tribune, January 2, 2003.

105

Verton, E., and J, Brownlow, Black tec: The Invisible Threat of Cyberterrism. New York: MeGraw Hill, 2003Von-Roessing, R., Auditing Business continuity: Global Best Practices. Brookfield, CT: Rothstein Assoc., 2002.Walsh. N. P. “Stolen Details of 6 Million Phone Users Hawked on Moscor Streets,” The Guaridan January 27, 2003.Wells, J, T., “Occupational Fraud: The Audit as a Deterrent,” Journal of accountancy, April 2002.White, G. B., “Protecting the Real Corporate Networks,” Computer Security Journal, 1(4), 1999.Whitemone, J.J., “A Method Fro Designing Secure Solutions, IBM Systems Journal, 40 (3), 2001.Wiederkehr, B., “IT Securiy Arareness Programme, “Information Systems Control Journal, May – June 2003.Willcodks, L. P., and R, Sykes, “The Role of the CIO and IT Function in ERP,” Communications, of the ACM, April 2000.Williams, D., “ Are You IT-Dependent?” CA Magazine, august 2002.Woda, A., “The Role of the Auditer in IT Govermance,” Information Systems Control Journal, Vol. 2, 2002.Zenkin, D., “Guidelines for Protecting the Corporate Against Viruses,” Computers and Security, August 2001.Zetter, K., and s. Miastkorski, “Viruses: The Next Generation,” PC Word, December 2000.

106