ความท้าทายและข้อดีของความปลอดภัยทางกายภาพด้าน IT

โดย John Kirtland

วันอังคาร ที่ 27 ตุลาคม 2552 เวลา 02:13 น.

บทความต้นฉบับ

"เป็นที่กล่าวขานกันอย่างมากในตลาดด้านความปลอดภัยทางกายภาพเกี่ยวกับการปรากฏของผู้ผลิตด้าน IT ในอนาคตอันใกล้และผลกระทบที่จะเกิดขึ้นต่อระบบอุตสาหกรรม ซึ่งมักถูกให้คำนิยามด้านลบโดยผู้ที่กลัวความเปลี่ยนแปลง การคาดการณ์นี้กลายเป็น 'การบุกรุก' ที่ถูกชักนำโดยกลุ่มผู้ขายด้านการจัดเก็บ แต่สำหรับอีกหลายคนสิ่งนี้กลายเป็นความประหลาดใจ ผลกระทบของระบบเหล่านี้กำลังจะมาถึง หากจะพูดกันตามตรง ผมคิดว่าเป็นเรื่องยากที่สินค้าเหล่านี้ (หรือนี่อาจเป็นโซลูชั่น) จะแพร่หลายสู่ตลาดในวงกว้าง" เขียนโดย John Kirtland ประธานฝ่ายขายและการตลาดของผู้รวมระบบความปลอดภัยอิสระ และคู่ค้าทางด้านความปลอดภัยของ Cisco ภายใต้ชื่อ Quadrant Security Group

ในทางกลับกัน ผลกระทบที่สำคัญในตลาดด้านความปลอดภัยอิเล็กทรอนิกส์คือ การกระทำในปัจจุบันจากปลายทางเครือข่ายของระบบ จากที่เหมือนกับของ Cisco มากกว่าจากปลายทางการจัดเก็บที่ผู้ให้บริการด้าน IT ส่วนมากกำลังใช้อยู่ สิ่งที่พวกเขาเรียกว่า “ความปลอดภัยทางกายภาพ” คือการให้โซลูชั่นที่รวมระบบวิดีโอความปลอดภัยที่น่าตื่นเต้นจำนวนหนึ่ง การควบคุมจัดการและผลิตภัณฑ์การจัดเก็บ เข้ากับการสร้างขอบเขตที่ขยายเพิ่มขึ้นของกล้องระบบ IP เพื่อสร้างชุดสินค้าที่ทำงานเข้ากันกับเครือข่าย โซลูชั่นนี้เป็นสิ่งที่ดีมากและจะสร้างความท้าทายแก่แบรนด์ดั้งเดิมที่ยังให้บริการโซลูชั่นระบบ IP ที่ด้อยประสิทธิภาพ

อย่างไรก็ตาม ความแตกต่างที่เห็นได้ชัดที่ผู้ให้บริการโซลูชั่นเครือข่ายทำในส่วนนี้คือ ความเข้าใจและการบริการที่ไม่มีการหยุดพัฒนาเมื่อไปถึงจุดของพอร์ทเครือข่าย หากเรามองไปที่ผู้ผลิตและผู้ขายต่อโซลูชั่นความปลอดภัยแบบดั้งเดิม เราจะพบว่าความรู้เกี่ยวกับเครือข่าย IP ของคนกลุ่มนี้ไม่ลึกพอ และประสบการณ์ด้านเครือข่ายแบบรวมก็มีจำกัด วิธีการที่ไม่สัมพันธ์กันนี้ไม่เหมาะที่จะให้บริการโซลูชั่นด้านความปลอดภัยที่สมบูรณ์ เนื่องจากจะนำไปสู่ความล้มเหลวในการสื่อสารระหว่างระบบความปลอดภัยและฝ่าย IT เพราะแต่ละฝ่ายเข้าใจกันคนละภาษา

ผมเชื่อว่าการเปลี่ยนแปลงที่เกิดขึ้นจะส่งผลไปในทางที่ดีหลายๆด้านสำหรับผู้ใช้ปลายทางและแผนก IT เป็นการสร้างความมั่นใจว่าช่องว่างที่มีอยู่ในแม่แบบส่วนใหญ่ที่ใช้ในอุตสาหกรรมความปลอดภัยจะได้รับการแก้ไข หากลูกค้าเปรียบเทียบมาตรฐานการออกแบบและการขนส่ง พวกเขาก็จะได้ประโยชน์จากแม่แบบทางเครือข่าย ผมกำลังคิดถึงความรู้เรื่องสินค้าที่เพียงพอต่อการสร้างการออกแบบที่สมบูรณ์ รวมถึงการให้บริการอย่างไม่ขาดตกบกพร่องโดยไม่จำเป็นต้องพึ่งพาผู้ผลิตตลอดเวลา

นอกจากนั้น ยังมีผลดีทางการเงินอีกด้วย สำหรับแผนกความปลอดภัยสามารถประหยัดค่าใช้จ่ายได้มากถึง 30% เนื่องจากโครงสร้างพื้นฐานสามารถใช้ประโยชน์ได้ และเงินที่เก็บอย่างต่อเนื่องสามารถนำมาเป็นค่าบำรุงรักษาได้ สำหรับแผนก IT การติดตั้งระบบรักษาความปลอดภัยอิเล็กทรอนิกส์ในเครือข่ายที่มีอยู่ช่วยเพิ่มมูลค่าของเครือข่าย และช่วยเพิ่มตัวเลข ROI ยิ่งไปกว่านั้น ท่านยังสามารถให้บริการการฟื้นฟูระบบหลังวิกฤติที่ช่วยเพิ่มมูลค่าสำหรับระบบความปลอดภัยได้อีกด้วย ทุกฝ่ายมีความสุข ไม่เว้นพนักงานดับเพลิง

ข้อดีหลักอีกอย่างคือ ความรู้ด้าน IP ขั้นสูงที่ผู้ขายต่อรุ่นใหม่จะได้รับและจะช่วยสร้างความสัมพันธ์ที่แนบแน่นระหว่างโลกของระบบความปลอดภัยและโลก IT การเชื่อมความสัมพันธ์นี้เป็นกุญแจสำคัญและไม่ได้เป็นกำแพงกั้นความสำเร็จแต่อย่างใด

ประเด็นสำคัญในที่นี้คือ การเชื่อใจและความเข้าใจจากทั้งสองฝ่าย จากประสบการณ์ของผมจากมุมมองของทีมความปลอดภัยมักคิดว่าแผนก IT นั้นไว้ใจไม่ได้ ไม่เหมือนกับฝ่ายความปลอดภัย เพราะแผนก IT ไม่ได้ทำงานตลอดเวลา ซึ่งเป็นหัวใจสำคัญของระบบความปลอดภัยที่มีประสิทธิภาพ และยังมีเรื่องของความไว้ใจ เนื่องจากแผนกความปลอดภัยจะต้องควบคุมและบันทึกผู้คนจากภายในองค์กรและแขกผู้มาติดต่อธุระ หากมีเหตุการณ์เกิดขึ้นและข้อมูลจะต้องถูกเก็บจากระบบความปลอดภัยเพื่อเป็นหลักฐาน พวกเขาจะสามารถไว้ใจพนักงานฝ่าย IT ได้มากแค่ไหน หลังจากนั้น พนักงานเหล่านั้นก็ไม่ได้รายงานโดยตรงมาที่แผนกความปลอดภัย สิ่งเหล่านี้เป็นข้อควรระวังสำคัญ แต่เราก็สามารถข้ามพ้นมันไปได้

และแน่นอน มันให้ผลในทางกลับกัน ในการสร้างความสัมพันธ์ที่ดีจำเป็นต้องใช้ความรู้ความเข้าใจในบทบาทของตนในพื้นฐานของระบบความปลอดภัยทางกายภาพ ในขณะที่ไม่มีใครคิดว่าคุณรู้วิธีการออกแบบระบบความปลอดภัย ก็มีความเข้าใจผิดๆของแผนก IT เกี่ยวกับระบบความปลอดภัยทางกายภาพ ประเด็นที่ชัดที่สุดคือ การติดตั้งระบบอุปกรณ์ความปลอดภัย โดยเฉพาะกล้องในเครือข่ายจะทำให้ดึงเครือข่ายให้ช้าลง หรือทำให้พังไปเลย ข่าวดีก็คือ กล้องไม่จำเป็นต้องมีสัญญาณที่คงที่ตลอดเวลาและสัญญาณวิดีโอก็น้อยกว่า 2MB ต่อตัว แม้จะเป็นเครือข่ายในพื้นที่ที่ต้องการความปลอดภัยสูงก็ยังง่ายต่อการจัดการข้ามเครือข่าย และสามารถออกแบบให้รองรับความต้องการของทั้งแผนกความปลอดภัยและแผนกอื่นๆในเครือข่ายเดียวกัน

ความเข้าใจผิดอีกประการหนึ่งคือ แผนกความปลอดภัยที่มีกล้อง CCTV การควบคุมการเข้าออก การตรวจจับผู้บุกรุก และอื่นๆ มีความเกี่ยวข้องน้อยมากกับอุตสาหกรรม IT ในแง่ของทักษะและเทคโนโลยี แต่เราก็ได้เห็นแล้วว่าในด้านเทคโนโลยี การก้าวไปสู่การใช้อุปกรณ์ IP เป็นสิ่งที่ทลายกำแพงนี้ ในแง่ของความเชี่ยวชาญ อย่าได้ประเมินทักษะที่ต้องใช้เพื่อควบคุมการประเมินความเสี่ยงต่ำเกินไป การบ่งชี้ความต้องการในการจัดการและการออกแบบระบบสามารถเติมเต็มความต้องการเหล่านั้นได้

หากใช้การเปรียบเทียบแบบ IT การประเมินความเสี่ยงด้านความปลอดภัยได้สร้างโซลูชั่นที่มีลักษณะคล้ายวงของหอมหัวใหญ่ คือเริ่มตรงริม ในกรณีนี้คือ รอบๆบริเวณสำนักงาน และวนกลับไปแต่ละชั้น ไปที่ลานจอดรถ ภายนอกอาคาร ผ่านบริเวณต้อนรับ และประตูด้านนอกอื่นๆ และไปถึงใจกลางของตึก คุณต้องเป็นผู้บอกเองว่าความเสี่ยงคืออะไร มาจากไหน และคุณต้องตัดสินใจเลือกวิธีป้องกัน ยับยั้ง เลื่อนเวลา หรือตรวจจับการบุกรุกนั้น ประเด็นหลังเป็นเรื่องสำคัญเนื่องจากคุณอาจมีกล้องทุกตัวในโลกที่ติดตั้งอยู่ แต่มันอาจไม่ช่วยอะไรเลยถ้าคุณไม่ตัดสินใจว่าจะรับมืออย่างไรให้เหมาะสม เช่น หากคุณมีพื้นที่ที่ต้องการความปลอดภัยสูง ก็ต้องให้ความสำคัญกับการป้องกันและยับยั้ง ในขณะที่พื้นที่ที่ต้องการความปลอดภัยต่ำกว่าอาจใช้กลวิธีการเลื่อนเวลาได้ ยิ่งความเสี่ยงมีมากเท่าไร ชั้นความปลอดภัยก็ต้องมากตามเท่านั้นเพื่อปกป้องและยับยั้งการบุกรุก

บริษัทความปลอดภัยยังเผชิญกับความท้าทายของการออกแบบระบบโดยการใช้อุปกรณ์จากผู้ผลิตต่างกันโดยไม่มีแผนแบบเปิด ดังนั้นบริษัทเหล่านี้จึงต้องมีความเข้าใจอย่างลึกซึ้งเกี่ยวกับสินค้าเพื่อสามารถสร้างความมั่นใจได้ว่าไม่ได้กำลังจบแบบเดียวกับระบบที่มีอยู่ ซอฟท์แวร์แบบเดิมของผู้ผลิตได้ฉุดรั้งอุตสาหกรรมความปลอดภัยไว้หลายปี และถึงแม้ว่าแผนแบบเปิดจะได้รับการพัฒนาแต่ก็เป็นระยะเวลาน้อยกว่า 1 ปี

สิ่งที่ทำให้เกิดการเข้าใจผิดอีกประการหนึ่งคือ ในเวลานี้จากทั้งสองฝ่าย ทั้ง IT และความปลอดภัย เป็นประเด็นเรื่องเงินทุนและการเป็นเจ้าของ ใครเป็นผู้จ่ายเงินสำหรับระบบความปลอดภัยที่ทำงานอยู่ในเครือข่ายที่ใช้อยู่ ผมไม่เห็นว่าสิ่งนี้จะสร้างความลำบากใจเนื่องจากระบบความปลอดภัยก็เป็นเพียงแอพพลิเคชั่นทางธุรกิจชนิดหนึ่งเท่านั้น ทำไมถึงต้องมองมันต่างจากแผนกหรือแอพพลิเคชั่นอื่นๆ เช่น ฝ่ายบุคคลและบัญชี องค์กรแต่ละส่วนมีวิธีการทำงานของตนชัดเจนอยู่แล้ว แต่ตามประสบการณ์ของผม เนื่องจากโซลูชั่นแบบรวมถูกใช้ในเงินทุนระบบความปลอดภัยสำหรับอุปกรณ์ และการช่วยเหลือจะถูกส่งมายังแผนก IT ในขณะที่ความต้องการบริหารจัดการและการจัดพนักงานจะอยู่ในความรับผิดชอบของแผนกความปลอดภัย

ดังนั้น การเปลี่ยนแปลงกำลังเกิดขึ้นและเนื่องจากการตัดสินใจหลัก และเงินทุนสำหรับเทคโนโลยีความปลอดภัยอิเล็กทรอนิกส์ถูกถ่ายโอนไปยังแผนก IT ทำให้ความพร้อมของเทคโนโลยีจากการช่วยเหลือทาง IT จะเป็นตัวช่วยเร่งการเปลี่ยนแปลงนี้ ผมหวังจะเห็นสิ่งนี้ในบริษัทดั้งเดิมที่กำลังมีความตกต่ำและจำกัดด้านทักษะ เวลา และเงิน ซึ่งบริษัทเหล่านี้ไม่สามารถก้าวขึ้นมาสู่มาตรฐานที่กำหนดไว้ได้ แต่สำหรับแผนก IT และผู้ขายต่อที่มีความคิดก้าวหน้า เห็นว่ามีโอกาสสูงมากในการเดินไปตามถนนสู่ความเป็นเลิศนี้