Page 38 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 38
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 2 กระบวนการในการรักษาความปลอดภัยข้อมูล
“Penetration Testing” ก่อนให้บริการระบบแก่ผู้ใช้งานทั่วไป เพื่อพิสูจน์ระดับของความ
ปลอดภัยที่ได้มาตรฐาน เช่น OWASP Web Application Security Standard เป็นต้น
จะเห็นว่า ขั้นตอนในการตรวจสอบ ทั้ง 3 ขั้นตอน เป็นแนวทางที่ผู้ตรวจสอบระบบ
สารสนเทศภายนอกนิยมนํามาใช้ ขณะเดียวกันผู้ตรวจสอบระบบสารสนเทศภายใน ได้
มีการนํามาประยุกต์ใช้เช่นกัน กล่าวคือ การทําVulnerability Assessment นั้น สามารถ
ทําได้โดยผู้ตรวจสอบระบบสารสนเทศภายใน โดยปกติแล้ว แนวทางการทํา
Vulnerability Assessment ควรเปลี่ยนแนวทางเป็น Vulnerability Management โดย
การหา Vulnerability Management Solution มาใช้แทนการทํา Vulnerability
Assessment เพราะ Vulnerability Management สามารถตรวจสอบระบบได้ตลอด
24 ชั่วโมงแทนผู้ตรวจสอสําหรับการทํา Pen-test ภายใน แนะนําว่าให้จ้าง External IT
Auditor มาทําจะดีกว่า เพราะถ้าผู้ตรวจสอบระบบสารสนเทศภายใน ไม่รู้วิธีในการ
โจมตีระบบ หรือ “Ethical Hacking” ระบบ การทํา Pen-test จึงไม่เหมาะกับผู้ตรวจสอบ
ภายใน เรามัก “Outsource” Pen-testing ออกไปยัง MSSP (Managed Security
Service Provider) หรือ Third Party Security Expert ที่มีความเชี่ยวชาญด้านนี้
โดยเฉพาะ จะประหยัดค่าใช้จ่ายได้มากกว่า โดยที่ทางองค์กรไม่ต้องลงทุนกับ
Vulnerability Scanner และ Pen-testing tools ในการเจาะระบบ โดย MSSP
watermark
Security Expert หรือ IT External Auditor เป็นผู้รับผิดชอบแทนมาดูในส่วนของความ
แตกต่างระหว่างผู้ตรวจสอบภายใน (Internal Audit) หรือ ผู้ตรวจสอบที่ผ่านการรับรอง
โดย IIA ได้แก่ CIA หรือ (Certified Internal Auditor) และ ผู้ตรวจสอบระบบสารสนเทศ
ภายใน (IT/IS Internal Audit) หรือ ผู้ตรวจสอบที่สอบผ่านการรับรองโดย ISACA ได้แก่
CISA (Certified Information System Auditor) ความแตกต่างที่เห็นได้ชัดคือ ผู้
ตรวจสอบภายในจะมุ่งเน้นไปที่ “Internal Control” หรือ “Corporate Governance” แต่
ผู้ตรวจสอบระบบสารสนเทศภายใน จะมุ่งเน้นไปที่ “IT Control” หรือ “IT Governance”
โดยตรง ผู้ตรวจสอบภายในมักใช้ COSO หรือ ERM (Enterprise Risk Management)
เป็น Framework ในการตรวจสอบ ขณะที่ผู้ตรวจสอบระบบสารสนเทศภายใน นิยมใช้
30
