290 likes | 518 Views
Information Risk Management. Information Risk Management. Risk management program The process of information risk management should be applied at every stage of a project’s life cycle Set up by the management team/director But the entire organization needs to work together
E N D
Information Risk Management • Risk management program • The process of information risk management should be applied at every stage of a project’s life cycle • Set up by the management team/director • But the entire organization needs to work together • To ensure that protection obligations are fulfilled
Managing Information Risk • Managing Information Risk • Directors need to put in place the arrangements and processes • responsibilities are distributed • significant information risk decisions are made and reviewed • All officers and managers • need to understand these processes • be clear as to the part they play • Requires a governance framework • describes the way these arrangements and processes work • need to be documented.
ทำไมต้องสนใจเรื่อง Information risk management ???
เป้าหมายหลักของ InformationSecurity ความลับของข้อมูล ผู้ที่ไม่มีสิทธิ์ในข้อมูลไม่สามารถอ่านได้ ทั้งในขณะที่ข้อมูลกำลังเดินทางผ่านระบบเครือข่าย Confidentiality ความสมบูรณ์ ถูกต้อง คงที่ ของข้อมูล : ข้อมูลได้รับการแก้ไขเฉพาะผู้ที่มีสิทธิ์ในการแก้ไขเท่านั้น Integrity ความพร้อมใช้ของข้อมูล Availability Privacy Authenticity Authorization Non_repudiation
ทำไมจึงเกิดความเสี่ยงทำไมจึงเกิดความเสี่ยง • คอมพิวเตอร์ในอดีตไม่ได้ถูกออกแบบมากับ Security • จานวนผู้ใช้เพิ่มขึ้นจากเดิมหลายเท่า • ประสิทธิภาพการสื่อสารสูงขึ้น ช่องทางบุกรุกที่เพิ่มขึ้น (และง่ายดายขึ้น) • ผู้ใช้และผู้บริหารไม่เห็นความสำคัญของ Security • บุคลากรขาดความรู้ความเข้าใจ และขาดการจัดการเชิงนโยบาย • ขั้นตอนการจัดการด้าน Security ไม่ดีพอ • สรุป: ความเสี่ยงไม่ได้เกิดขึ้นในแง่ของ “เทคโนโลยี” เพียงอย่างเดียวแต่ เกี่ยวข้องกับทั้ง “ผู้ใช้งาน” และ “ขั้นตอนดำเนินงาน” • (People, Process, และTechnology)
วิธีป้องกันความเสี่ยงทางกายภาพวิธีป้องกันความเสี่ยงทางกายภาพ กุญแจล็อคเครื่อง / ห้อง แบ่งแยกพื้นที่อย่างชัดเจน กล้องวงจรปิด / เจ้าหน้าที่รักษาความปลอดภัย สำรองข้อมูล UPS วางแผนระบบกู้คืนข้อมูล ไฟไหม้ การออกแบบห้องคอมพิวเตอร์ที่เหมาะสม น้ำท่วม แผ่นดินไหว
ความเสี่ยงส่วนบุคคล (Personnel Threats) เดารหัสผ่าน ถูกปลอมตัวเข้าระบบ ใช้บัตรปลอม การใช้ software ผิดกฎหมาย ถูกโจมตีโดยวิธีกรรมทางวิศวกรรมสังคม (social engineering attack) ถูกลักลอบอ่านข้อมูลส่วนตัว อีเมล์ ถูกทราบพฤติกรรมการใช้งานคอมพิวเตอร์
วิธีป้องกันความเสี่ยงส่วนบุคคลวิธีป้องกันความเสี่ยงส่วนบุคคล ตั้งรหัสผ่านที่ปลอดภัย เปลี่ยนรหัสผ่านเป็นประจำ ไม่ตั้งให้ระบบจดจำรหัสผ่านโดยอัตโนมัติ เข้ารหัสข้อมูลก่อนนำไปจัดเก็บ หรือจัดส่ง cookies ลบไฟล์ชั่วคราวทิ้งเป็นระยะๆ – เช่น ไฟล์ชั่วคราวใน Internet Explorer 8 (Tools -> Internet Options -> Browsing History -> Settings -> View files) เก็บไฟล์รูป สคริปต์ หรือcookie ของเว็บที่เคยถูกเข้าถึงในอดีต cookie ส่วนมากจะเก็บข้อมูลการใช้งานของเว็บหนึ่งๆ ของผู้ใช้เอาไว้
ความเสี่ยงทางข้อมูลและการสื่อสาร (Data Security and Communication Threats) Sniffing การดักฟังการสนทนา ข้อความสื่อสาร Virus, Worm, Trojan Horse, Back Door ภัยคุกคามต่อซอฟต์แวร์ Data fraud การแก้ไขข้อมูลโดยไม่ได้รับอนุญาต SPAM Mail, Spoofing, DoS ภัยคุกคามในการใช้อินเทอร์เน็ต flooding attack การจู่โจมที่ทาให้เครื่องคอมพิวเตอร์ทำงานล้มเหลว Availability attack
Sniffing Sniffingเป็นการดักฟังข้อความที่อยู่ในระหว่างการสื่อสารวิธีป้องกัน: เข้ารหัสข้อมูลก่อนส่ง
Availability Attacks การทำให้เครื่องเป้าหมายให้บริการไม่ได้ • Flooding • DoS(Denial of Service) • DDoS(Distributed DoS) • Smurf • ICMP Attack • Ping Attack
Virus Prevention & Protection •ใช้ anti-virus software • ติดตั้ง Firewall •patch อย่างสม่ำเสมอ • ไม่โหลดไฟล์จากอินเทอร์เน็ตสุ่มสี่สุ่มห้า(หรือไม่ก็เช็คไวรัสก่อนเปิด) • ปิดการใช้งาน Macro • สำรองข้อมูลสำคัญเผื่อกรณีฉุกเฉิน • ดูนามสกุลของไฟล์ให้ชัดเจนก่อนคลิก • ฯลฯ
Trojan Horse • Trojan Horseเป็นโปรแกรมที่แฝงตัวมากับโปรแกรมอื่น ป้องกันโดย • - ไม่ดาวน์โหลดโปรแกรมโดยเฉพาะโปรแกรมที่ไม่ผ่านการตรวจสอบของระบบ (ดูรูปขวาบน) • ติดตั้งโปรแกรมประเภท Trojan Remover/AntiVirus • อ่านหน้าต่างแสดงคำเตือนของระบบ • ถ้าไม่แน่ใจ ให้กดno
Backdoor Attack Backdoor Attack เป็นทางลับเข้าสู่ระบบ โดยอาจติดมากับโปรแกรมใช้งาน อาจติดมากับเครื่อง หรือถูกสร้างขึ้นเองจากภายใน
Spoofing • รูปแบบหนึ่งของการปลอมแปลงข้อความสื่อสาร • การปลอม ARP • การปลอมที่อยู่เว็บ (URL Spoofing) • การปลอมอีเมล์แอดเดรส (Email Address Spoofing) • ผู้ใช้ต้องมีความระมัดระวังในการรับหรือส่งข้อมูล • ก่อนจะเชื่อถือข้อมูลในอินเทอร์เน็ต ควรตรวจสอบให้แน่ใจเสียก่อนว่าถูกต้อง • อ่านหน้าต่างและข้อความให้เข้าใจก่อนคลิกทุกครั้ง
กระบวนการของการบริหารความเสี่ยง ด้านเทคโนโลยีสารสนเทศ • กำหนดนโยบายหลัก (policy and procedures) • กำหนดกรอบนโยบายโดยคำนึงถึง 4 As และลักษณะขององค์กร ทั้งโครงสร้าง การบริหารจัดการ และวัฒนธรรมองค์กร • จัดตั้งคณะกรรมการเพื่อกำกับดูแลความเสี่ยงขององค์กรโดยเฉพาะ • ระบุความเสี่ยง (identify)
กระบวนการของการบริหารความเสี่ยง ด้านเทคโนโลยีสารสนเทศ • วิเคราะห์และจัดอันดับความสำคัญของความเสี่ยง (assess and prioritize) • โอกาสที่จะเกิดเหตุการณ์และผลกระทบหรือความเสียหายที่จะติดตามมา • พิจารณาแนวทางในการจัดการความเสี่ยงนั้น หลีกเลี่ยง หรือเผชิญหน้า หรือหาแนวทางที่จะลดความรุนแรงหรือความเสียหาย
กระบวนการของการบริหารความเสี่ยง ด้านเทคโนโลยีสารสนเทศ • หาแนวทางที่จะจัดการกับความเสี่ยง (migrate) • จัดสรรงบประมาณและกำกับดูแล ให้แนวทางที่เลือกแล้ว ถูกติดตั้งและดำเนินการอย่างมีประสิทธิภาพ • พัฒนาระบบฐานข้อมูล เพื่อติดตามผลการดำเนินงาน เปรียบเทียบผลการดำเนินงานกับเป้าหมายอย่างต่อเนื่อง และสามารถหาแนวโน้มที่ถูกต้องชัดเจนได้ • ติดตามผลและรายงาน (monitor/report)
คณะกรรมการที่มีหน้าที่บริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศคณะกรรมการที่มีหน้าที่บริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ คณะกรรมการบริหารความเสี่ยงด้าน IT อาจแบ่งออกเป็น 2 กลุ่ม • คณะกรรมการบริหาร (กำกับนโยบายและกำกับดูแล) มีชื่อเรียกต่างๆ กันเช่น • IT Governance Committee • IT Steering Committee • คณะกรรมการดำเนินงาน มีชื่อเรียกต่างๆ เช่น • Corporate Risk Management Team • Corporate Risk Governance Committee
คณะกรรมการที่มีหน้าที่บริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศคณะกรรมการที่มีหน้าที่บริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ บทบาทหน้าที่ของคณะกรรมการบริหารความเสี่ยงด้าน IT ได้แก่ • กำหนดนโยบายด้านเทคโนโลยีสารสนเทศ • กำหนดทิศทางและกลยุทธ์ด้านเทคโนโลยีสารสนเทศ • เห็นชอบต่อกระบวนการและแนวทางในการดำเนินงานเพื่อมุ่งสู่ความเป็นองค์กรที่มีความพร้อมด้าน IT ที่สามารถตอบสนองต่อการเปลี่ยนแปลงทางธุรกิจได้อย่างต่อเนื่องและรวดเร็ว • สรุปและจัดสรรงบประมาณด้าน IT • กำหนดขั้นตอนการบริหารจัดการความเสี่ยงด้าน IT ที่จะเกิดขึ้น • กำกับดูแลให้ทรัพยากรด้าน IS/IT ก่อให้เกิดประสิทธิภาพและประสิทธิผลสูงสุดแก่องค์กรอย่างต่อเนื่อง
โครงสร้างการบริหารความเสี่ยงโครงสร้างการบริหารความเสี่ยง • ให้ข้อเสนอแนะ • แต่งตั้งคณะกรรมการบริหารความเสี่ยง • ให้ความเห็นชอบนโยบายการบริหารความเสี่ยง • นำเสนอนโยบายการบริหารความเสี่ยงต่อคณะกรรมการดำเนินการ • กำหนดแนวทางการดำเนินงาน • แต่งตั้งคณะทำงานบริหารความเสี่ยง • กำกับดูแลประสิทธิผล • จัดทำคู่มือการบริหารความเสี่ยง • ประเมินความเสี่ยง • เสนอรายงานการบริหารความเสี่ยงต่อคณะกรรมการบริหารฯ/คณะกรรมการดำเนินการ • จัดวางระบบแบบบูรณาการและเชื่อมโยง • กับระบบสารสนเทศ
การควบคุมเพื่อปกป้องระบบสารสนเทศจากความเสี่ยงการควบคุมเพื่อปกป้องระบบสารสนเทศจากความเสี่ยง • การควบคุมการนำเข้าของข้อมูล และการควบคุมให้โปรแกรมการใช้งานให้สามารถปฏิเสธการถูกนำไปใช้งานที่ไม่ถูกต้อง • โปรแกรมต้องมีความทนทาน (Robustness) • โปรแกรมต้องปราศจากข้อผิดพลาด • การจัดทำข้อมูลสำรอง • การใช้ RAID (Redundant arrays of independent disks-RAID) • ส่งข้อมูลไปสำรองยังสถานที่อื่นๆ
การควบคุมเพื่อปกป้องระบบสารสนเทศจากความเสี่ยงการควบคุมเพื่อปกป้องระบบสารสนเทศจากความเสี่ยง 3. การควบคุมการเข้าถึงข้อมูล • ให้เฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงเครื่องคอมพิวเตอร์ เครือข่าย โปรแกรม และข้อมูลได้ • ควรเก็บเครื่องคอมพิวเตอร์ และอุปกรณ์ข้างเคียงให้สามารถตรวจสอบได้ในวงที่จำกัด • อาจต้องใช้ร่วมกับบัตร กุญแจ หรือรหัสผ่าน (ควรเปลี่ยนรหัสผ่านทุกๆ 3 เดือน) • การควบคุมการเข้าถึงแบ่งเป็นหมวดหมู่ เช่น • สิ่งที่ท่านทราบ (what you know) เช่น รหัสผ่านและรหัสผู้ใช้ • สิ่งที่ท่านมีอยู่ในครอบครอง (what you have) เช่น บัตรประจำตัว • สิ่งที่ท่านเป็น (what you are) เช่น ลายนิ้วมือ ดวงตา
การควบคุมเพื่อปกป้องระบบสารสนเทศจากความเสี่ยงการควบคุมเพื่อปกป้องระบบสารสนเทศจากความเสี่ยง 4. การจัดทำแนวทางการตรวจสอบ • เป็นกระบวนการที่ถูกบันทึกไว้ในเอกสารว่าผู้ใดเป็นผู้บันทึกรายการที่เกิดขึ้น บันทึกเมื่อใด และรายการนั้นได้รับการอนุญาตจากผู้ใด • เมื่อเกิดเหตุการณ์ผิดปกติจะสามารถสืบหาที่มาของสิ่งที่ผิดปกติได้อย่างรวดเร็ว • การมีแนวทางตรวจสอบที่ชัดเจนช่วยลดความพยายามของผู้บุกรุกได้ในระดับหนึ่ง เช่น การเก็บรหัสประจำตัวของผู้บันทึก โดยที่ผู้บันทึกไม่รู้ตัวลงในเอกสารต่างๆ ซึ่งต้องถูกฝังลงในโปรแกรมของฐานข้อมูลตามกฎเกณฑ์และกฎหมายของแต่ละประเทศ
มาตรการการติดตามประเมินผลมาตรการการติดตามประเมินผล • กำหนดให้มีการจัดทำรายงานผลการดำเนินงานตามแผนงานและตามแผนบริหารความเสี่ยงทุก __ เดือน • จัดให้มีการประชุมร่วมกันทุก __ เดือน หรือเมื่อมีเหตุจำเป็นเพื่อประเมินผลการดำเนินงานตามแผน และปรับแก้กลยุทธ์การบริหารความเสี่ยงตามความจำเป็นและเหมาะสม