ข้อพึงระวังด้านความปลอดภัยด้านไอที

หน่วยงานต่างๆ ควรที่จะระวังและพัฒนานโยบายด้านความปลอดภัย เพื่อที่จะป้องกันเครือข่ายสารสนเทศของตน จากข้อผิดพลาดด้านความปลอดภัยที่พบได้ทั่วไป

การป้องกันความปลอดภัยสำหรับระบบเครือข่ายนั้น นับเป็นภาระกิจหลักของหน่วยงานด้านไอทีขององค์กรต่างๆ แต่อย่างไรก็ตามข้อผิดพลาดหลายๆ ประการที่ถูกมองข้ามจากผู้ใช้ในหน่วยงานอื่นๆ ขององค์กร ที่มักจะเปิดช่องโหว่ของระบบ และเปิดโอกาสให้กับการบุกรุก ซึ่งทั้งนี้ทั้งนั้นในการที่จะป้องกันความปลอดภัยของระบบในองค์กรนั้น ต้องมีการเน้นย้ำในนโยบายด้านความปลอดภัย ให้กับบุคลากรทุกคนซึ่งในสัปดาห์นี้ ได้รวบรวมเอาข้อพึงระวังในการรักษาความปลอดภัยด้านไอทีมาแบ่งปันให้กับท่านผู้อ่านดังต่อไปนี้

พนักงานที่อยู่ในแนวหน้าที่ต้องพบปะพูดคุยกับบุคคลภายนอกทั่วไป เช่นพนักงานต้อนรับ และพนักงานรับโทรศัพท์นั้น ควรที่จะระวังในการให้ความช่วยเหลือแก่ผู้ไม่ประสงค์ดี ที่พยายามหลอกล่อหาข้อมูลในการเจาะระบบเช่นว่าได้ มีบุคคลภายนอกโทรศัพท์เข้ามาและปลอมแปลงชื่อว่าเป็นพนักงาน โดยอาจจะขอให้พนักงานรับโทรศัพท์ ช่วยต่อสายไปที่แผนกไอทีภายในสำนักงาน ซึ่งเจ้าหน้าที่ผู้ให้บริการในแผนกไอทีที่ได้เห็นเบอร์โทรศัพท์ที่โทรจากภายใน และได้ให้ความช่วยเหลือแก่ผู้ใช้ที่ขอให้เปลี่ยนรหัสลับ (password) หรือส่งไฟล์ข้อมูลแม้กระทั่งช่วยให้เขาต่อเชื่อมเข้าสู่ระบบภายในสำนักงานจากภายนอกได้

ผู้บริหารเครือข่ายที่ขาดความชำนาญหรือเป็นพนักงานใหม่ อาจสร้างข้อผิดพลาดในการคอนฟิกเครื่องอุปกรณ์ด้านเครือข่าย โดยมีตัวอย่างในหลายหน่วยงานที่โยกย้ายพนักงานจากตำแหน่งอื่นๆ และให้มาทำหน้าที่ดูแลและบริหารระบบเครือข่ายขององค์กร ไม่ว่าจะเป็นเหตุผลด้านการประหยัดงบประมาณ หรือการขาดแคลนบุคลากรด้านไอทีก็ตาม ซึ่งมักจะก่อให้เกิดความผิดพลาดเล็กๆ น้อยๆ ด้านการรักษาความปลอดภัยของระบบ

การป้องกันที่ไม่เพียงพอกับพนักงานเก่าที่ได้ลาออกไป นับเป็นอีกจุดหนึ่งที่หลายๆ ท่านอาจมองข้ามไป โดยได้มีผู้เชี่ยวชาญด้านความปลอดภัยหลายท่าน ได้มีข้อแนะนำให้เจ้าหน้าที่ฝ่ายทรัพยากรบุคคล ตรวจสอบและทบทวนเอกสารและ การสื่อสารผ่านสื่อต่างๆ ของพนักงานทุกคนที่ได้ลาออกไป เพื่อที่จะคัดแยกเอาข้อมูลเฉพาะ หรือข้อมูลที่เป็นความลับของบริษัท นอกจากนี้ต้องมีการเน้นย้ำถึงนโยบายในการรักษาความลับของบริษัท ที่จะต้องครอบคลุมไปถึงข้อมูลต่างๆ ที่เก็บอยู่ในเครื่องคอมพิวเตอร์ของพนักงานเก่า ไม่ว่าจะเป็นเครื่องของบริษัท หรือเครื่องอุปกรณ์อื่นๆ ที่สามารถเก็บข้อมูลได้เพื่อที่จะให้พนักงานนั้นรับทราบว่า ข้อมูลที่อยู่ในอุปกรณ์เหล่านั้นถือเป็นความลับของบริษัท

ความล้มเหลวในการป้องกันอุปกรณ์คอมพิวเตอร์และอุปกรณ์อื่นๆ ที่มีการต่อเชื่อมจากระยะไกล ทั้งที่โครงสร้างด้านการรักษาความปลอดภัยขององค์กร ที่มีทั้งอุปกรณ์ไฟร์วอลล์, ระบบป้องกันการบุกรุก (Intrusion Detection Systems), การกรองเว็บไซท์ที่อนุญาตให้พนักงานเข้าดูได้, ตลอดจนการใช้ระบบเครือข่ายส่วนตัวเสมือน (Virtual Private Networks) ที่นับเป็นเทคโนโลยีใหม่ และได้รับความนิยมในการใช้งานอย่างมากในปัจจุบัน โดยทั้งหมดที่ได้กล่าวมานั้น ถือเป็นการป้องกันโดยทั่วไปในระดับเบื้องต้น สำหรับการเชื่อมต่อสู่โครงข่ายอินเทอร์เน็นขององค์กรจากผู้บุกรุก แต่อย่างไรก็ตาม ในขณะที่บริษัทหรือองค์กรให้ความสำคัญกับการรักษาความปลอดภัยจากการเชื่อมต่อ แต่หลายต่อหลายครั้งพวกเขาได้ลืมไปว่าอุปกรณ์เครือข่ายของพวกเขา ก็ต้องระวังว่าจะไม่โดนแฮกค์ ซึ่งการเชื่อมต่อจากระยะไกลของพนักงานสู่อินเทอร์เน็ต โดยที่ไม่ผ่านโครงสร้างระบบรักษาความปลอดภัยขององค์กรนั้น ก็หมายถึงการต่อเชื่อมโดยตรงสู่โครงข่ายอินเทอร์เน็ตสาธารณะ ที่ไม่มีการรักษาความปลอดภัย เช่นการเปิดเบอร์หมุนโมเด็มเข้าสู่เครือข่าย ให้แก่พนักงานซึ่งได้บายพลาส (by pass) ระบบรักษาความปลอดภัยขององค์กรเข้ามา และไม่ต้องมีการไดอัล VPN Client อย่างการต่อเชื่อมผ่านระบบเครือข่ายส่วนตัวเสมือนอีกด้วย และนับว่าเป็นช่องโหว่หนึ่งที่อาจถูกมองข้ามไปจากผู้ดูแลระบบ และหลายกรณีนั้นผู้ดูแลระบบเองนั่นแหละที่เป็นผู้เปิดช่องไว้

การเร่งการใช้งานเทคโนโลยีใหม่ๆ ในการต่อเชื่อมเข้าสู่ระบบที่ไม่มีการดำเนินการอย่างรอบครอบ ซึ่งในทุกๆ ครั้งที่มีการเพิ่มวิธีการใหม่ๆ ในการเชื่อมต่อเข้าสู่ระบบนั้น ก็นับได้ว่าเป็นการเพิ่มช่องทางให้กับผู้บุกรุก ในการเจาะระบบเราเพิ่มขึ้นด้วย อาทิเช่น การติดตั้งการใช้งานระบบเครือข่ายไร้สาย และการเปลี่ยนเครื่องคอมพิวเตอร์เป็นแบบที่มีการติดตั้งอุปกรณ์ไร้สายในตัว มาใช้งานในสำนักงานนั้น อาจเป็นต้นเหตุให้มีผู้ที่ไม่ใช่พนักงานบริษัท สามารถที่จะจับรหัสสัญญาณในขณะที่มีการบูทเครื่อง หรือการที่ปล่อยให้บุคคลอื่นใช้เครื่อง หลังจากมีการต่อเชื่อมสู่เครือข่ายแล้ว ก็อาจจะเป็นต้นเหตุให้ผู้บุกรุก สามารถเจาะระบบเครือข่ายเราได้ ทั้งนี้ทั้งนั้นในปัจจุบัน ก็ได้มีการพัฒนาด้านการรักษาความปลอดภัยในการใช้เครือข่ายไร้สายมากยิ่งขึ้น และถ้ามีการดำเนินการอย่างถูกต้อง และเลือกใช้เทคโนโลยีด้านการรักษาความปลอดภัยผ่านระบบไร้สายอย่างเคร่งครัดแล้ว ก็สามารถวางใจได้ ซึ่งอยากจะฝากเป็นข้อคิดไว้สำหรับทุกๆ ท่านว่า อย่างมองแค่ว่าฟังค์ชันต่างๆ ด้านความปลอดภัย ที่มีมาด้วยกับอุปกรณ์เครือข่ายไร้สายนั้นไม่มีความจำเป็น ซึ่งถ้าท่านเลือกใช้อุปกรณ์ที่ไม่มีหรือมีฟังค์ชันด้านความปลอดภัยบางอย่าง โดยอาจจะไปดูแค่การประหยัดในการซื้ออุปกรณ์ ราคาถูกเพียงอย่างเดียวนั้น อาจจะเป็นสาเหตุที่ระบบของท่านอาจถูกบุกรุก และสร้างความเสียหายมากกว่าการลงทุนใช้อุปกรณ์ ที่มีประสิทธิภาพดีกว่า ซึ่งถ้าเกิดเหตุการณ์เหล่านั้นขึ้นมาแล้ว การลงทุนที่สูงอีกสักนิดนั้น มันเปรียบเทียบไม่ได้เลยกับมูลค่าความเสียหายที่มีต่อระบบและองค์กรของท่าน

การละเลยและไม่ปฏิบัติตามนโยบายด้านไอทีและความปลอดภัยขององค์กรนั้น ก็นับเป็นอีกสาเหตุหนึ่งที่ถูกมองข้าม ซึ่งการเน้นย้ำอย่างจริงจัง จะสามารถลดความเสี่ยงด้านความปลอดภัยของระบบไอทีขององค์กรได้อย่างมาก โดยสิ่งเหล่านี้ สามารถทำได้โดยเจ้าหน้าที่และผู้ดูแลระบบ ในแผนกเทคโนโลยีสารสนเทศ เช่นว่าการปฏิเสธการต่อเชื่อมเข้าสู่ระบบจากระยะไกล ของผู้ใช้ที่ไม่มีคุณสมบัติตามมาตรฐานที่ตั้งไว้ อาทิเช่นไม่มีซอฟท์แวร์ป้องกันไวรัสที่ทันสมัยเป็นต้น ทั้งนี้ผู้บริหารและแผนกบุคคลขององค์กร ต้องมีการสื่อสารและเน้นย้ำนโยบายด้านความปลอดภัย ตลอดจนข้อพึงปฏิบัติต่างและโทษที่จะได้รับถ้าไม่ปฏิบัติตาม

สิ่งที่กล่าวมาทั้งหมดนี้เป็นเพียงส่วนหนึ่ง ที่มักจะเป็นข้อผิดพลาดสำหรับการดูแลด้านความปลอดภัยขององค์กรและ สามารถที่จะใช้หลักการเดียวกันสำหรับการใช้งานในสำนักงานขนาดเล็ก และการใช้งานภายในบ้านก็ได้ เช่นว่าก่อนที่จะนำเอาแผ่นดิสค์ใดมาเปิดในเครื่องคอมพิวเตอร์ ต้องทำการสแกนไวรัสเสียก่อน ซึ่งนับเป็นนโยบายที่ท่านสามารถตั้งขึ้นมา และเน้นให้ทุกคนภายในบ้านปฏิบัติตาม ก็จะสามารถลดความเสี่ยงที่เครื่องคอมพิวเตอร์ของท่านจะติดไวรัสได้