Page 39 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 39
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 2 กระบวนการในการรักษาความปลอดภัยข้อมูล
CobiT Framework (ปัจจุบันเป็น Version 4.0) มาเป็นแนวทางในการตรวจสอบ
ผู้ตรวจสอบระบบสารสนเทศภายในมีความจําเป็นต้องเรียนรู้พื้นฐานระบบเครือข่าย
เช่น OSI Model และ TCP/IP Protocol ตลอดจนพื้นฐาน Platform ที่ต้องเข้าไป
ตรวจสอบ เช่น Window Server 2003, UNIX/LINUX หรือ Network Devices เช่น
Cisco Router เป็นต้น ตามมาตรฐาน SANS TOP20 ซึ่งอยู่ในส่วนของ General Audit
สําหรับส่วนของ Application Audit ผู้ตรวจสอบระบบสารสนเทศภายในควรมีความรู้
ทางด้าน Application Server เช่น Web Server IIS หรือ Apache ตลอดจนความรู้ด้าน
ฐานข้อมูล RDBMS เช่น Oracle หรือ SQL Server รวมถึง ความรู้พื้นฐานด้าน Web
Application Security เช่น มาตรฐาน OWASP ของ Open Web Application Security
Project. จะเห็นได้ว่า ผู้ตรวจสอบระบบสารสนเทศฯ ต้องมีความรู้พื้นฐานด้านเทคนิค T
(Technic) ใน PPT Concept มากพอสมควร ขณะที่ผู้ตรวจสอบภายใน เน้นไปที่ PP
(People and Process) ใน PPT Concept มากกว่า ปัญหาปัจจุบันของการตรวจสอบ
ระบบสารสนเทศ ก็คือ ผู้ตรวจสอบฯ ขาดความรู้พื้นฐาน และขาดประสบการณ์ในการ
ตรวจสอบเชิงลึกในทางเทคนิค ซึ่งทําให้การตรวจสอบไม่ค่อยสัมฤทธิ์ผลเท่าที่ควร เช่น
ระบบถูกตรวจสอบผ่านในมุมมองของผู้ตรวจสอบฯ แต่ระบบยังมีปัญหาติดไวรัส หรือถูก
แฮกเกอร์เข้าโจมตีอยู่บ่อยๆ สาเหตุก็เนื่องมาจาก ผู้ตรวจสอบไม่ได้เจาะลึกลงไปใน
watermark
รายละเอียดเรื่องเทคนิคนั้นเอง ดังนั้นการตรวจสอบภายในขั้นตอนที่ 3 คือ
“Penetration Testing” จึงได้รับความนิยมมากขึ้น โดยเฉพาะในกลุ่มของสถาบัน
การเงิน และกลุ่มสื่อสาร ที่มาตรฐานระดับของความปลอดภัยค่อนข้างสูงกว่ากลุ่มธุรกิจ
อื่นๆ ตลอดจนต้อง “Comply” ตาม Law และ Regulation ต่างๆ ไม่ว่าจะเป็น SOX,
GLBA, HIPAA หรือ Basel II เป็นต้น
สําหรับผู้ตรวจสอบภายในนั้นสามารถพัฒนาตนเองให้เป็นผู้ตรวจสอบระบบสารสนเทศ
ภายในได้ เช่น ผู้สอบผ่าน CIA ก็สามารถศึกษาและสอบ CISA ได้ ในทางกลับกันผู้สอบ
ผ่าน CISA ก็อาจหันมาศึกษาและสอบ CIA เพื่อให้เข้าใจมุมมองของ “ผู้ตรวจสอบ
ภายใน” ได้เช่นกัน กล่าวโดยสรุป ผู้บริหารระดับสูงขององค์กรควรแบ่งแยกหน้าที่ความ
31
