ความสัมพันธ์ระหว่างข้อมูล ซึ่งมี 3 ชนิด ดังนี้
1. แบบหนึ่งต่อหนึ่ง
ความสัมพันธ์แบบหนึ่งต่อหนึ่ง เป็นความสัมพันธ์ระหว่างสิ่งหนึ่งกับสิ่งหนึ่งที่มีเพียงหนึ่งเดียวเท่านั้น เช่น อธิการบดีมีหน้าที่บริหารมหาวิทยาลัยเพียงมหาวิทยาลัยเดียวและในมหาวิทยาลัยนั้น ๆ จะมีอธิการบดีบริหารงานในขณะนั้น ๆ เพียงคนเดียวเช่นกัน สามารถเขียนเป็นไดอะแกรมได้ดังนี้
2. แบบหนึ่งต่อกลุ่ม
ความสัมพันธ์แบบหนึ่งต่อกลุ่ม เป็นความสัมพันธ์ระหว่างสิ่งหนึ่งกับสิ่งหนึ่งที่มีเพียงหนึ่งกับอีกด้านหนึ่งเป็นกลุ่ม เช่น สมาชิกผู้บริจาคโลหิตสามารถบริจาคโลหิตได้หลาย ๆ ครั้งและการบริจาคนั้นบริจาคโดยสมาชิกคนเดียว สามารถเขียนเป็นไดอะแกรมได้ดังนี้
3. แบบกลุ่มต่อกลุ่ม
ความสัมพันธ์แบบกลุ่มต่อกลุ่ม เป็นความสัมพันธ์ระหว่างสิ่งหนึ่งกับสิ่งหนึ่งที่มีได้หลาย ๆ อย่าง เช่น นักศึกษาสามารถลงทะเบียนเรียนได้หลาย ๆ รายวิชาและในแต่ละรายวิชามีนักศึกษาลงทะเบียนเรียนได้หลาย ๆ คน สามารถเขียนเป็นไดอะแกรมได้ดังนี้
ภาวะส่วนตัว (privacy)
สังคมมนุษย์นั้นมี กฎหมายบ้านเมือง ถูกร่างและบังคับใช้เพื่อควบคุมความสงบเรียบร้อยในสังคม แต่สำหรับคอมพิวเตอร์ซึ่งเป็นเทคโนโลยีที่มีการเปลี่ยนแปลงอย่างรวดเร็ว การใช้กฎหมายควบคุมเพียงอย่างเดียวจึงเป็นเรื่องที่ควบคุมได้ยาก ดังนั้น "สิ่งที่ดีที่สุดในการควบคุมการใช้งานคอมพิวเตอร์คือ
จริยธรรมของผู้ใช้นั่นเอง" (Computing Essentials, 2007)
จริยธรรม (ethics) คือ มาตรฐานของสังคม ว่าด้วยความประพฤติดีและประพฤติชั่ว ถูกและผิด ควรและไม่คู่ควร
ดังนั้น จริยธรรมทางคอมพิวเตอร์ (computer ethics) คือ แนวทางการใช้คอมพิวเตอร์ด้วยความรู้สึกสำนึกผิดชอบ หรือใช้งานในรูปแบบที่บุคคลในสังคมยอมรับ จริยธรรมเกี่ยวกับการใช้งานคอมพิวเตอร์พอสรุปได้ดังนี้คือ
ภาวะส่วนตัว (privacy) คือ การเก็บรักษาและการนำข้อมูลส่วนบุคคลไปใช้
การเป็นเจ้าของ (property) คือ กรรมสิทธิ์ความเป็นเจ้าของข้อมูลและลิขสิทธิ์การใช้ซอฟต์แวร์
การเข้าถึง (access) คือ การควบคุมการเข้าถึงและการใช้งานข้อมูล
2. อธิบายเกี่ยวกับอาชญากรรมคอมพิวเตอร์ชนิดต่างๆ
อาชญากรรม 6 ประเภทดังกล่าวได้แก่
- การเงิน – อาชญากรรมที่ขัดขวางความสามารถขององค์กรธุรกิจในการทำธุรกรรม อี-คอมเมิร์ซ(หรือพาณิชย์อิเล็กทรอนิกส์)
- การละเมิดลิขสิทธิ์ – การคัดลอกผลงานที่มีลิขสิทธิ์ ในปัจจุบันคอมพิวเตอร์ส่วนบุคคลและอินเทอร์เน็ตถูกใช้เป็นสื่อในการก่ออาชญากรรม แบบเก่า โดยการโจรกรรมทางออนไลน์หมายรวมถึง การละเมิดลิขสิทธิ์ ใดๆ ที่เกี่ยวข้องกับการใช้อินเทอร์เน็ตเพื่อจำหน่ายหรือเผยแพร่ผลงานสร้างสรรค์ที่ได้รับการคุ้มครองลิขสิทธิ์
- การเจาะระบบ – การให้ได้มาซึ่งสิทธิในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต และในบางกรณีอาจหมายถึงการใช้สิทธิการเข้าถึงนี้โดยไม่ได้รับอนุญาต นอกจากนี้การเจาะระบบยังอาจรองรับอาชญากรรมทางคอมพิวเตอร์ในรูปแบบอื่นๆ (เช่น การปลอมแปลง การก่อการร้าย ฯลฯ)
- การก่อการร้ายทางคอมพิวเตอร์ – ผลสืบเนื่องจากการเจาะระบบ โดยมีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว เช่นเดียวกับการก่อการร้ายทั่วไป โดยการกระทำที่เข้าข่าย การก่อการร้ายทางอิเล็กทรอนิกส์ (e-terrorism) จะเกี่ยวข้องกับการเจาระบบคอมพิวเตอร์เพื่อก่อเหตุรุนแรงต่อบุคคลหรือทรัพย์สิน หรืออย่างน้อยก็มีจุดมุ่งหมายเพื่อสร้างความหวาดกลัว
- ภาพอนาจารทางออนไลน์ – ตามข้อกำหนด 18 USC 2252 และ 18 USC 2252A การประมวลผลหรือการเผยแพร่ภาพอนาจารเด็กถือเป็นการกระทำที่ผิดกฎหมาย และตามข้อกำหนด 47 USC 223 การเผยแพร่ภาพลามกอนาจารในรูปแบบใดๆ แก่เยาวชนถือเป็นการกระทำที่ขัดต่อกฎหมาย อินเทอร์เน็ตเป็นเพียงช่องทางใหม่สำหรับอาชญากรรม แบบเก่า อย่างไรก็ดี ประเด็นเรื่องวิธีที่เหมาะสมที่สุดในการควบคุมช่องทางการสื่อสารที่ครอบคลุมทั่วโลกและเข้าถึงทุกกลุ่มอายุนี้ได้ก่อให้เกิดการถกเถียงและการโต้แย้งอย่างกว้างขวาง
- ภายในโรงเรียน – ถึงแม้ว่าอินเทอร์เน็ตจะเป็นแหล่งทรัพยากรสำหรับการศึกษาและสันทนาการ แต่เยาวชนจำเป็นต้องได้รับทราบเกี่ยวกับวิธีการใช้งานเครื่องมืออันทรงพลังนี้อย่างปลอดภัยและมีความรับผิดชอบ โดยเป้าหมายหลักของโครงการนี้คือ เพื่อกระตุ้นให้เด็กได้เรียนรู้เกี่ยวกับข้อกำหนดทางกฎหมาย สิทธิของตนเอง และวิธีที่เหมาะสมในการป้องกันการใช้อินเทอร์เน็ตในทางที่ผิด
3. มาตรการการป้องกันความปลอดภัยคอมพิวเตอร์ที่สำคัญมีอะไรบ้าง การเข้าถึงรหัสคืออะไร บริษัท หรือบุคคลจะใช้ได้อย่างไร
การเสริมสร้างความปลอดภัยของระบบคอมพิวเตอร์เพื่อป้องกันการถูกโจมตีจากผู้ไม่หวังดีนั้น สิ่งที่สำคัญคือองค์กรจะต้องทำการป้องกันเครือข่าย และระบบจากภัยคุกคามต่างๆ ทั้งจากภายนอก และภายในองค์กรเอง ซึ่งองค์การจะต้องมีการดำเนินการดังต่อไปนี้
1. เตรียมความพร้อมในส่วนการตรวจสอบว่ามีการบุกรุกเข้ามาในระบบแล้วหรือไม่
2. ต้องหาวิธีการเพื่อที่จะทำการหยุดยั้งขัดขวางสิ่งที่จะก่อให้เกิดความเสียหายจากภัยคุกคามนั้นๆ
โดยในทางปฏิบัติแล้วจะมีแนวทางในการดำเนินการที่เรียกว่า "Prevention is ideal but detection is a must" หรือ “การมีการป้องกันนั้นถือว่าดี แต่การตรวจสอบนั้นถือว่ามีความจำเป็นต้องมีอย่างยิ่ง” และ "Offense informs defense" หรือ “ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ เราก็จะทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย”
สำหรับเป้าหมายในการนำเสนอมาตรการที่สำคัญเพื่อการปกป้องระบบดังกล่าวคือ เพื่อให้สามารถที่จะปกป้องทรัพย์สินที่มีความสำคัญๆ โครงสร้างพื้นฐานของระบบ รวมทั้งข้อมูลต่างๆ ขององค์กรได้ เช่น การเสริมสร้างความแข็งแกร่งให้กับระบบคอมพิวเตอร์ในองค์กรอย่างต่อเนื่อง มีการใช้งานระบบอัตโนมัติเพื่อป้องกันระบบ รวมทั้งมีการตรวจสอบข้อมูลที่สำคัญๆ ขององค์กรที่ดี เพื่อลดโอกาสหรือจำนวนการถูกโจมตี หรือใช้ระยะเวลาที่ใช้ในการกู้คืนระบบได้เร็วขึ้น หรือแม้กระทั้งสามารถช่วยลดค่าใช้จ่ายในส่วนที่เกี่ยวข้องลงได้
เหตุผลที่มาตรการสำคัญเหล่านี้นำมาใช้และประยุกต์กับองค์กรได้ดีนั้น เนื่องจากได้เชิญผู้เชี่ยวชาญที่มีความรู้ความสามารถ และคลุกคลีอยู่กับภัยคุกคามทางคอมพิวเตอร์ จากหลากหลายหน่วยที่เกี่ยวข้องกับความมั่นคงปลอดภัย เช่น U.S. Department of Defense, Nuclear Laboratories of the U.S. Department of Energy, U.S. Computer Emergency Readiness Team of the U.S. Department of Homeland Security, United Kingdom’s Centre for the Protection of Critical Infrastructure, FBI, Australian Defence Signals Directorate รวมทั้งหน่วยงานทางกฎหมายที่เกี่ยวข้อง เข้ามาร่วมพัฒนาและนำเสนอเทคนิค และแนวทางในการป้องกันระบบคอมพิวเตอร์ ซึ่งทำให้ได้มาตรการที่มีประสิทธิภาพในการตรวจสอบ ป้องกัน และลดความเสียหายที่เกิดขึ้นจากการถูกโจมตีในรูปแบบต่างๆ ได้ อีกทั้งมาตรการเหล่านี้ยังได้รับการปรับปรุงให้ทันสมัยอยู่ตลอดเวลาตามรูปแบบและวิธีการของภัยคุกคามต่างๆ ในปัจจุบัน
หลักการแนวคิด 5 ข้อที่เกี่ยวข้องกับมาตรการควบคุมที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์
1. Offense informs defense: ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ และเราก็จะทราบทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย
2. Prioritization: ให้ลำดับความสำคัญที่จะดำเนินการกับความเสี่ยงที่สำคัญๆ ก่อน หรือทำการป้องกันในจุดที่จะก่อให้เกิดความเสียหายรุนแรง ตามลำดับก่อนหลัง
3. Metrics: นำเสนอข้อมูลตัวชี้วัดต่างๆ ที่เกี่ยวข้อง เช่น มูลค่าความเสียหายหากถูกโจมตีจากจุดอ่อนต่างๆ ความสำคัญของระบบ หรือข้อมูลในองค์กร และ ข้อมูลอื่นๆ ที่สามารถประเมินได้ให้กับผู้บริหาร ฝ่ายไอที ผู้ตรวจสอบ และบุคคลต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยเพื่อช่วยกันประเมินและปรับปรุงข้อมูลเหล่าตัวชี้วัดนั้นได้รวดเร็วขึ้น
4. Continuous monitoring: ดำเนินการตรวจสอบอย่างต่อเนื่องเพื่อทดสอบและตรวจสอบประสิทธิผลของมาตรการรักษาความปลอดภัยในปัจจุบัน
5. Automation: ระบบอัตโนมัติสามารถเชื่อถือได้ และทำการขยายขีดความสามารถ รวมทั้งตรวจวัดได้อย่างต่อเนื่อง ตามข้อควรปฏิบัติในระเบียบวิธีการควบคุม และตัวชี้วัดที่เกี่ยวข้อง
แนวทางในการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กร
สำหรับการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กรต่างๆ ที่ผ่านมานั้น สามารถนำมาสรุปเป็นวิธีการหรือรูปแบบขั้นตอนเพื่อให้ง่ายต่อการประยุกต์ใช้งานในองค์กรของเราได้
ขั้นตอนที่ 1: ตรวจสอบและวิเคราะห์ช่องโหว่ของระบบ (Gap Assessment) ดำเนินการตรวจสอบและวิเคราะห์ช่องโหว่ของระบบ
เพื่อที่จะระบุให้ได้ว่าระบบมีช่องโหว่ใดที่เกี่ยวข้องในแต่ละมาตรการบ้าง
ขั้นตอนที่ 2: ดำเนินการและปรับปรุงแผนการดำเนินการ (Roadmap) เลือกมาตรการที่จะดำเนินการ และวางแผนระยะดำเนินการ
ตามความสำคัญทางธุรกิจ
ขั้นตอนที่ 3: เริ่มดำเนินการตามแผนในระยะดำเนินการขั้นแรก (First Phase of Controls) ดำเนินการเลือกวิธีการ เครื่องมือ
และขั้นตอนการดำเนินงานตามแผนที่ได้วางไว้ และควรมีการปรังปรุงการดำเนินการข้างต้นให้เหมาะสมกับองค์กร
ขั้นตอนที่ 4: ประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ (Operations) ดำเนินการประยุกต์มาตรการที่ได้วางไว้มาเป็น
ระเบียบวิธีปฏิบัติ เช่น มีระเบียบวิธีการตรวจสอบอย่างต่อเนื่อง สร้างและปรับปรุงการดำเนินงานต่างๆ ให้เป็นมาตรฐาน
ในการปฏิบัติ
ขั้นตอนที่ 5: รายงานและปรับปรุงแผนการดำเนินการ (Improve Roadmap) รายงานและปรับปรุงแผนการดำเนินการที่ได้ทำใน
ขั้นตอนที่ 2 เพื่อให้สามารถดำเนินการตามระยะต่อๆ ไปได้ดีและเหมาะสมกับแต่ละองค์กรยิ่งขึ้น
สำหรับ 20 มาตรการที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์อย่างมีประสิทธิภาพ มีดังนี้
มาตรการที่ 1: ทำรายการจัดเก็บชื่ออุปกรณ์ที่ได้มีการเข้าถึงเครือข่ายภายในองค์กรทั้งที่ได้รับอนุญาต และอุปกรณ์แปลกปลอม
อื่นๆ (Inventory of Authorized and Unauthorized Devices)
มาตรการที่ 2: ทำรายการจัดเก็บชื่อโปรแกรมที่ได้มีการติดตั้งภายในองค์กรทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาต
(Inventory of Authorized and Unauthorized Software)
มาตรการที่ 3: ปรับแต่งอุปกรณ์ และโปรแกรมต่างๆ ในองค์กรให้มีความมั่นคงปลอดภัย (Secure Configurations for Hardware
and Software on Mobile Devices, Laptops, Workstations, and Servers)
มาตรการที่ 4: ตรวจสอบ วิเคราะห์ และแก้ไขช่องโหว่ต่างๆ ของระบบอย่างต่อเนื่อง
(Continuous Vulnerability Assessment and Remediation)
มาตรการที่ 5: ป้องกันอุปกรณ์ และโปรแกรมต่างๆ จากโปรแกรมไม่ประสงค์ดี (Malware Defenses)
มาตรการที่ 6: ตรวจสอบ ป้องกัน และแก้ไขจุดอ่อนของโปรแกรมที่พัฒนาขึ้น หรือนำมาใช้งาน
(Application Software Security)
มาตรการที่ 7: ตรวจสอบ และป้องกันการใช้งานเครือข่ายไร้สายของอุปกรณ์ที่ไม่ได้รับอนุญาต (Wireless Device Control)
มาตรการที่ 8: ทำการสำรองข้อมูลที่สำคัญๆ และมีการซ้อมการกู้คืนระบบอย่างสม่ำเสมอ (Data Recovery Capability)
มาตรการที่ 9: มีการฝึกอบรมหรือทำความเข้าใจกับช่องโหว่ต่างๆ ที่มีอยู่ในองค์กร
(Security Skills Assessment and Appropriate Training to Fill Gaps)
มาตรการที่ 10: ปรับแต่งอุปกรณ์เครือข่ายให้มีการใช้งานตามที่ได้กำหนดไว้ เช่น กฎของไฟร์วอลล์ การตั้งค่าเส้นทางอุปกรณ์ค้น
หาเส้นทาง (Secure Configurations for Network Devices such as Firewalls, Routers, and Switches)
มาตรการที่ 11: จำกัด และควบคุมการใช้งานเครือข่ายและบริการต่างๆ อย่างเหมาะสม (Limitation and Control of Network
Ports, Protocols, and Services)
มาตรการที่ 12: ควบคุมผู้ใช้งานที่ได้สิทธิ์สูง เช่น สิทธิ์เป็นผู้ดูแลระบบ (Controlled Use of Administrative Privileges)
มาตรการที่ 13: ควบคุมการเชื่อมต่อของแต่ละวงเครือข่ายที่มีระดับความลับของข้อมูลแตกต่างกัน (Boundary Defense)
มาตรการที่ 14: ตรวจสอบ และวิเคราะห์ข้อมูลสำหรับการตรวจสอบ (Maintenance, Monitoring, and Analysis of Audit Logs)
มาตรการที่ 15: ควบคุม และตรวจสอบการเข้าถึงข้อมูลที่มีความลับในลำดับชั้นต่างๆ ตามที่ได้รับอนุญาต
(Controlled Access Based on the Need to Know)
มาตรการที่ 16: ควบคุม และตรวจสอบชื่อผู้ใช้งานในระบบต่างๆ (Account Monitoring and Control)
มาตรการที่ 17: ควบคุม และตรวจสอบข้อมูลที่ผ่านเข้าออกระบบ (Data Loss Prevention)
มาตรการที่ 18: มีการควบคุม จัดการ และตอบสนอง ต่อเหตุการณ์ต่างๆ ทางคอมพิวเตอร์
(Incident Response and Management)
มาตรการที่ 19: ป้องกัน และควบคุมภัยคุมคามในรูปแบบอื่นๆ (Secure Network Engineering)
มาตรการที่ 20: ดำเนินการตรวจสอบ และซักซ้อมการทดสอบเจาะบุกรุกระบบ
(Penetration Tests and Red Team Exercises)
1. เตรียมความพร้อมในส่วนการตรวจสอบว่ามีการบุกรุกเข้ามาในระบบแล้วหรือไม่
2. ต้องหาวิธีการเพื่อที่จะทำการหยุดยั้งขัดขวางสิ่งที่จะก่อให้เกิดความเสียหายจากภัยคุกคามนั้นๆ
โดยในทางปฏิบัติแล้วจะมีแนวทางในการดำเนินการที่เรียกว่า "Prevention is ideal but detection is a must" หรือ “การมีการป้องกันนั้นถือว่าดี แต่การตรวจสอบนั้นถือว่ามีความจำเป็นต้องมีอย่างยิ่ง” และ "Offense informs defense" หรือ “ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ เราก็จะทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย”
สำหรับเป้าหมายในการนำเสนอมาตรการที่สำคัญเพื่อการปกป้องระบบดังกล่าวคือ เพื่อให้สามารถที่จะปกป้องทรัพย์สินที่มีความสำคัญๆ โครงสร้างพื้นฐานของระบบ รวมทั้งข้อมูลต่างๆ ขององค์กรได้ เช่น การเสริมสร้างความแข็งแกร่งให้กับระบบคอมพิวเตอร์ในองค์กรอย่างต่อเนื่อง มีการใช้งานระบบอัตโนมัติเพื่อป้องกันระบบ รวมทั้งมีการตรวจสอบข้อมูลที่สำคัญๆ ขององค์กรที่ดี เพื่อลดโอกาสหรือจำนวนการถูกโจมตี หรือใช้ระยะเวลาที่ใช้ในการกู้คืนระบบได้เร็วขึ้น หรือแม้กระทั้งสามารถช่วยลดค่าใช้จ่ายในส่วนที่เกี่ยวข้องลงได้
เหตุผลที่มาตรการสำคัญเหล่านี้นำมาใช้และประยุกต์กับองค์กรได้ดีนั้น เนื่องจากได้เชิญผู้เชี่ยวชาญที่มีความรู้ความสามารถ และคลุกคลีอยู่กับภัยคุกคามทางคอมพิวเตอร์ จากหลากหลายหน่วยที่เกี่ยวข้องกับความมั่นคงปลอดภัย เช่น U.S. Department of Defense, Nuclear Laboratories of the U.S. Department of Energy, U.S. Computer Emergency Readiness Team of the U.S. Department of Homeland Security, United Kingdom’s Centre for the Protection of Critical Infrastructure, FBI, Australian Defence Signals Directorate รวมทั้งหน่วยงานทางกฎหมายที่เกี่ยวข้อง เข้ามาร่วมพัฒนาและนำเสนอเทคนิค และแนวทางในการป้องกันระบบคอมพิวเตอร์ ซึ่งทำให้ได้มาตรการที่มีประสิทธิภาพในการตรวจสอบ ป้องกัน และลดความเสียหายที่เกิดขึ้นจากการถูกโจมตีในรูปแบบต่างๆ ได้ อีกทั้งมาตรการเหล่านี้ยังได้รับการปรับปรุงให้ทันสมัยอยู่ตลอดเวลาตามรูปแบบและวิธีการของภัยคุกคามต่างๆ ในปัจจุบัน
หลักการแนวคิด 5 ข้อที่เกี่ยวข้องกับมาตรการควบคุมที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์
1. Offense informs defense: ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ และเราก็จะทราบทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย
2. Prioritization: ให้ลำดับความสำคัญที่จะดำเนินการกับความเสี่ยงที่สำคัญๆ ก่อน หรือทำการป้องกันในจุดที่จะก่อให้เกิดความเสียหายรุนแรง ตามลำดับก่อนหลัง
3. Metrics: นำเสนอข้อมูลตัวชี้วัดต่างๆ ที่เกี่ยวข้อง เช่น มูลค่าความเสียหายหากถูกโจมตีจากจุดอ่อนต่างๆ ความสำคัญของระบบ หรือข้อมูลในองค์กร และ ข้อมูลอื่นๆ ที่สามารถประเมินได้ให้กับผู้บริหาร ฝ่ายไอที ผู้ตรวจสอบ และบุคคลต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยเพื่อช่วยกันประเมินและปรับปรุงข้อมูลเหล่าตัวชี้วัดนั้นได้รวดเร็วขึ้น
4. Continuous monitoring: ดำเนินการตรวจสอบอย่างต่อเนื่องเพื่อทดสอบและตรวจสอบประสิทธิผลของมาตรการรักษาความปลอดภัยในปัจจุบัน
5. Automation: ระบบอัตโนมัติสามารถเชื่อถือได้ และทำการขยายขีดความสามารถ รวมทั้งตรวจวัดได้อย่างต่อเนื่อง ตามข้อควรปฏิบัติในระเบียบวิธีการควบคุม และตัวชี้วัดที่เกี่ยวข้อง
แนวทางในการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กร
สำหรับการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กรต่างๆ ที่ผ่านมานั้น สามารถนำมาสรุปเป็นวิธีการหรือรูปแบบขั้นตอนเพื่อให้ง่ายต่อการประยุกต์ใช้งานในองค์กรของเราได้
ขั้นตอนที่ 1: ตรวจสอบและวิเคราะห์ช่องโหว่ของระบบ (Gap Assessment) ดำเนินการตรวจสอบและวิเคราะห์ช่องโหว่ของระบบ
เพื่อที่จะระบุให้ได้ว่าระบบมีช่องโหว่ใดที่เกี่ยวข้องในแต่ละมาตรการบ้าง
ขั้นตอนที่ 2: ดำเนินการและปรับปรุงแผนการดำเนินการ (Roadmap) เลือกมาตรการที่จะดำเนินการ และวางแผนระยะดำเนินการ
ตามความสำคัญทางธุรกิจ
ขั้นตอนที่ 3: เริ่มดำเนินการตามแผนในระยะดำเนินการขั้นแรก (First Phase of Controls) ดำเนินการเลือกวิธีการ เครื่องมือ
และขั้นตอนการดำเนินงานตามแผนที่ได้วางไว้ และควรมีการปรังปรุงการดำเนินการข้างต้นให้เหมาะสมกับองค์กร
ขั้นตอนที่ 4: ประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ (Operations) ดำเนินการประยุกต์มาตรการที่ได้วางไว้มาเป็น
ระเบียบวิธีปฏิบัติ เช่น มีระเบียบวิธีการตรวจสอบอย่างต่อเนื่อง สร้างและปรับปรุงการดำเนินงานต่างๆ ให้เป็นมาตรฐาน
ในการปฏิบัติ
ขั้นตอนที่ 5: รายงานและปรับปรุงแผนการดำเนินการ (Improve Roadmap) รายงานและปรับปรุงแผนการดำเนินการที่ได้ทำใน
ขั้นตอนที่ 2 เพื่อให้สามารถดำเนินการตามระยะต่อๆ ไปได้ดีและเหมาะสมกับแต่ละองค์กรยิ่งขึ้น
สำหรับ 20 มาตรการที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์อย่างมีประสิทธิภาพ มีดังนี้
มาตรการที่ 1: ทำรายการจัดเก็บชื่ออุปกรณ์ที่ได้มีการเข้าถึงเครือข่ายภายในองค์กรทั้งที่ได้รับอนุญาต และอุปกรณ์แปลกปลอม
อื่นๆ (Inventory of Authorized and Unauthorized Devices)
มาตรการที่ 2: ทำรายการจัดเก็บชื่อโปรแกรมที่ได้มีการติดตั้งภายในองค์กรทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาต
(Inventory of Authorized and Unauthorized Software)
มาตรการที่ 3: ปรับแต่งอุปกรณ์ และโปรแกรมต่างๆ ในองค์กรให้มีความมั่นคงปลอดภัย (Secure Configurations for Hardware
and Software on Mobile Devices, Laptops, Workstations, and Servers)
มาตรการที่ 4: ตรวจสอบ วิเคราะห์ และแก้ไขช่องโหว่ต่างๆ ของระบบอย่างต่อเนื่อง
(Continuous Vulnerability Assessment and Remediation)
มาตรการที่ 5: ป้องกันอุปกรณ์ และโปรแกรมต่างๆ จากโปรแกรมไม่ประสงค์ดี (Malware Defenses)
มาตรการที่ 6: ตรวจสอบ ป้องกัน และแก้ไขจุดอ่อนของโปรแกรมที่พัฒนาขึ้น หรือนำมาใช้งาน
(Application Software Security)
มาตรการที่ 7: ตรวจสอบ และป้องกันการใช้งานเครือข่ายไร้สายของอุปกรณ์ที่ไม่ได้รับอนุญาต (Wireless Device Control)
มาตรการที่ 8: ทำการสำรองข้อมูลที่สำคัญๆ และมีการซ้อมการกู้คืนระบบอย่างสม่ำเสมอ (Data Recovery Capability)
มาตรการที่ 9: มีการฝึกอบรมหรือทำความเข้าใจกับช่องโหว่ต่างๆ ที่มีอยู่ในองค์กร
(Security Skills Assessment and Appropriate Training to Fill Gaps)
มาตรการที่ 10: ปรับแต่งอุปกรณ์เครือข่ายให้มีการใช้งานตามที่ได้กำหนดไว้ เช่น กฎของไฟร์วอลล์ การตั้งค่าเส้นทางอุปกรณ์ค้น
หาเส้นทาง (Secure Configurations for Network Devices such as Firewalls, Routers, and Switches)
มาตรการที่ 11: จำกัด และควบคุมการใช้งานเครือข่ายและบริการต่างๆ อย่างเหมาะสม (Limitation and Control of Network
Ports, Protocols, and Services)
มาตรการที่ 12: ควบคุมผู้ใช้งานที่ได้สิทธิ์สูง เช่น สิทธิ์เป็นผู้ดูแลระบบ (Controlled Use of Administrative Privileges)
มาตรการที่ 13: ควบคุมการเชื่อมต่อของแต่ละวงเครือข่ายที่มีระดับความลับของข้อมูลแตกต่างกัน (Boundary Defense)
มาตรการที่ 14: ตรวจสอบ และวิเคราะห์ข้อมูลสำหรับการตรวจสอบ (Maintenance, Monitoring, and Analysis of Audit Logs)
มาตรการที่ 15: ควบคุม และตรวจสอบการเข้าถึงข้อมูลที่มีความลับในลำดับชั้นต่างๆ ตามที่ได้รับอนุญาต
(Controlled Access Based on the Need to Know)
มาตรการที่ 16: ควบคุม และตรวจสอบชื่อผู้ใช้งานในระบบต่างๆ (Account Monitoring and Control)
มาตรการที่ 17: ควบคุม และตรวจสอบข้อมูลที่ผ่านเข้าออกระบบ (Data Loss Prevention)
มาตรการที่ 18: มีการควบคุม จัดการ และตอบสนอง ต่อเหตุการณ์ต่างๆ ทางคอมพิวเตอร์
(Incident Response and Management)
มาตรการที่ 19: ป้องกัน และควบคุมภัยคุมคามในรูปแบบอื่นๆ (Secure Network Engineering)
มาตรการที่ 20: ดำเนินการตรวจสอบ และซักซ้อมการทดสอบเจาะบุกรุกระบบ
(Penetration Tests and Red Team Exercises)
4. การยศาสตร์คืออะไร การใช้คอมพิวเตอร์มีผลต่อสุขภาพด้านจิตใจ และร่างกายอย่างไร มีขั้นตอนที่จะลดความเครียดจากเทคโนโลยีได้อย่างไร
การยศาสตร์ เป็นเรื่องการศึกษาสภาพการทำงานที่มีความสัมพันธ์ระหว่างผู้ปฏิบัติงานและสิ่งแวดล้อม การทำงานเป็นการพิจารณาว่าสถานที่ทำงานดังกล่าว ได้มีการออกแบบหรือปรับปรุงให้มีความเหมาะสมกับผู้ปฏิบัติงานอย่างไร เพื่อป้องกันปัญหาต่าง ๆ ที่อาจมีผลกระทบต่อความปลอดภัยและสุขภาพอนามัยในการทำงาน และสามารถเพิ่มประสิทธิภาพการทำงานได้ด้วย หรืออาจกล่าวอีกนัยหนึ่งได้ว่า เพื่อทำให้งานที่ต้องปฏิบัติดังกล่าว มีความเหมาะสมกับผู้ปฏิบัติงาน แทนที่จะบังคับให้ผู้ปฏิบัติงานต้องทนฝืนปฏิบัติงานนั้น ๆ ตัวอย่างง่าย ๆ ตัวอย่างหนึ่งได้แก่การเพิ่มระดับความสูงของโต๊ะทำงานให้สูงขึ้น เพื่อพนักงานจะได้ไม่ต้องก้มโน้มตัวเข้าใกล้ชิ้นงาน ผู้เชี่ยวชาญทางด้านการยศาสตร์ หรือนักการยศาสตร์ ( Ergonomist ) จึงเป็นผู้ที่ศึกษาถึงความสัมพันธ์ระหว่างผู้ปฏิบัติงาน สถานที่ทำงาน และการออกแบบงาน
ในการนำการยศาสตร์ไปประยุกต์ใช้ในสถานที่ทำงานนั้น ย่อมก่อให้เกิดประโยชน์ที่สามารถเห็นได้อย่างเด่นชัดมากมาย อาทิ ทำให้พนักงานมีสุขภาพอนามัยที่ดีขึ้น และสภาพการทำงานมีความปลอดภัยมากยิ่งขึ้น ส่วนนายจ้างก็จะได้รับประโยชน์อย่างเด่นชัดจากผลผลิตที่เพิ่มมากขึ้น
การยศาสตร์ จึงเป็นแขนงวิชาที่มีเนื้อหาสาระครอบคลุมกว้างขวาง โดยได้รวมเนื้อหาวิชาหลาย ๆ สาขาที่เกี่ยวกับสภาพการทำงานที่สามารถทำให้พนักงานมีความสะดวกสบายและมีสุขภาพอนามัยดี รวมไปถึงปัจจัยต่าง ๆ ที่เกี่ยวข้อง เช่น แสงสว่าง เสียงดัง อุณหภูมิ ความสั่นสะเทือน การออกแบบหน่วยที่ทำงาน การออกแบบเครื่องมือ การออกแบบเครื่องจักร การออกแบบเก้าอี้ และการออกแบบงาน
การยศาสตร์เป็นเรื่องของการประยุกต์ใช้หลักการทางด้านชีววิทยา จิตวิทยา กายวิภาคศาสตร์ และสรีรวิทยา เพื่อขจัดสิ่งที่อาจเป็นสาเหตุทำให้พนักงานเกิดความไม่สะดวกสบาย ปวดเมื่อย หรือมีสุขภาพอนามัยที่ไม่ดี เนื่องจากการทำงานในสภาพแวดล้อมนั้น ๆ การยศาสตร์จึงสามารถนำไปใช้ในการป้องกันมิให้มีการออกแบบงานที่ไม่เหมาะสมที่อาจเกิดมีขึ้นในสถานที่ทำงาน โดยให้มีการนำการยศาสตร์ไปประยุกต์ใช้ในการออกแบบงาน เครื่องมือ หรือหน่วยที่ทำงาน ดังตัวอย่าง พนักงานที่ต้องใช้เครื่องมือในการทำงาน ความเสี่ยงในการเกิดอันตรายต่อระบบกล้ามเนื้อ-กระดูกจะสามารถลดลงได้ ถ้าพนักงานใช้เครื่องมือที่ได้มีการออกแบบอย่างถูกต้องเหมาะสมตามหลักการยศาสตร์ตั้งแต่เริ่มแรก
เมื่อไม่นานมานี้ ได้มีพนักงาน สหภาพแรงงาน นายจ้าง เจ้าของสถานประกอบการ เจ้าหน้าที่ความปลอดภัยในการทำงาน นักวิชาการ และนักวิจัย ได้เริ่มหันมาให้ความสนใจในเรื่องการออกแบบสถานที่ทำงานว่าจะมีผลต่อสุขภาพอนามัยของพนักงานได้อย่างไร หากในการออกแบบเครื่องมือ เครื่องจักร อุปกรณ์ และหน่วยที่ทำงาน ไม่ได้มีการนำหลักการยศาสตร์มาประยุกต์ใช้ โดยที่มิได้มีการคำนึงถึงความจริงเกี่ยวกับความแตกต่างระหว่างบุคคลในเรื่องความสูง รูปร่าง และขนาดสัดส่วน รวมทั้งระดับความแข็งแรงที่แตกต่างกัน ซึ่งล้วนมีความสำคัญที่ต้องนำมาพิจารณา เพื่อให้พนักงานมีสุขภาพอนามัยที่ดีและมีความสะดวกสบายในการทำงาน ดังนั้น หากมิได้มีการนำหลักการยศาสตร์มาประยุกต์ใช้ จึงเป็นการบังคับให้พนักงานต้องปรับตัวทำงานกับสภาพแวดล้อมที่ไม่เหมาะสม
ในการนำการยศาสตร์ไปประยุกต์ใช้ในสถานที่ทำงานนั้น ย่อมก่อให้เกิดประโยชน์ที่สามารถเห็นได้อย่างเด่นชัดมากมาย อาทิ ทำให้พนักงานมีสุขภาพอนามัยที่ดีขึ้น และสภาพการทำงานมีความปลอดภัยมากยิ่งขึ้น ส่วนนายจ้างก็จะได้รับประโยชน์อย่างเด่นชัดจากผลผลิตที่เพิ่มมากขึ้น
การยศาสตร์ จึงเป็นแขนงวิชาที่มีเนื้อหาสาระครอบคลุมกว้างขวาง โดยได้รวมเนื้อหาวิชาหลาย ๆ สาขาที่เกี่ยวกับสภาพการทำงานที่สามารถทำให้พนักงานมีความสะดวกสบายและมีสุขภาพอนามัยดี รวมไปถึงปัจจัยต่าง ๆ ที่เกี่ยวข้อง เช่น แสงสว่าง เสียงดัง อุณหภูมิ ความสั่นสะเทือน การออกแบบหน่วยที่ทำงาน การออกแบบเครื่องมือ การออกแบบเครื่องจักร การออกแบบเก้าอี้ และการออกแบบงาน
การยศาสตร์เป็นเรื่องของการประยุกต์ใช้หลักการทางด้านชีววิทยา จิตวิทยา กายวิภาคศาสตร์ และสรีรวิทยา เพื่อขจัดสิ่งที่อาจเป็นสาเหตุทำให้พนักงานเกิดความไม่สะดวกสบาย ปวดเมื่อย หรือมีสุขภาพอนามัยที่ไม่ดี เนื่องจากการทำงานในสภาพแวดล้อมนั้น ๆ การยศาสตร์จึงสามารถนำไปใช้ในการป้องกันมิให้มีการออกแบบงานที่ไม่เหมาะสมที่อาจเกิดมีขึ้นในสถานที่ทำงาน โดยให้มีการนำการยศาสตร์ไปประยุกต์ใช้ในการออกแบบงาน เครื่องมือ หรือหน่วยที่ทำงาน ดังตัวอย่าง พนักงานที่ต้องใช้เครื่องมือในการทำงาน ความเสี่ยงในการเกิดอันตรายต่อระบบกล้ามเนื้อ-กระดูกจะสามารถลดลงได้ ถ้าพนักงานใช้เครื่องมือที่ได้มีการออกแบบอย่างถูกต้องเหมาะสมตามหลักการยศาสตร์ตั้งแต่เริ่มแรก
เมื่อไม่นานมานี้ ได้มีพนักงาน สหภาพแรงงาน นายจ้าง เจ้าของสถานประกอบการ เจ้าหน้าที่ความปลอดภัยในการทำงาน นักวิชาการ และนักวิจัย ได้เริ่มหันมาให้ความสนใจในเรื่องการออกแบบสถานที่ทำงานว่าจะมีผลต่อสุขภาพอนามัยของพนักงานได้อย่างไร หากในการออกแบบเครื่องมือ เครื่องจักร อุปกรณ์ และหน่วยที่ทำงาน ไม่ได้มีการนำหลักการยศาสตร์มาประยุกต์ใช้ โดยที่มิได้มีการคำนึงถึงความจริงเกี่ยวกับความแตกต่างระหว่างบุคคลในเรื่องความสูง รูปร่าง และขนาดสัดส่วน รวมทั้งระดับความแข็งแรงที่แตกต่างกัน ซึ่งล้วนมีความสำคัญที่ต้องนำมาพิจารณา เพื่อให้พนักงานมีสุขภาพอนามัยที่ดีและมีความสะดวกสบายในการทำงาน ดังนั้น หากมิได้มีการนำหลักการยศาสตร์มาประยุกต์ใช้ จึงเป็นการบังคับให้พนักงานต้องปรับตัวทำงานกับสภาพแวดล้อมที่ไม่เหมาะสม
5. ในฐานะผู้ใช้อคอมพิวเตอร์ คุณจะมีส่วนช่วยในการอนุรักษ์สิ่งแวดล้อมอย่างไร
สภาพของความเสื่อมโทรมของสิ่งแวดล้อมได้เพิ่มขึ้นอย่างรวดเร็ว ทั้งนี้เพราะการเร่งรัดพัฒนาเศรษฐกิจเพื่อให้ฐานะของประเทศก้าวรุดไปข้างหน้า การพัฒนาโดยอาศัยทรัพยากรธรรมชาติเป็นพื้นฐาน โดยคำนึงถึงประโยชน์ที่จะได้รับด้านเดียวนั้นได้ทำให้สภาพแวดล้อมของชาติตกอยู่ในสภาพเสื่อมโทรมจนเห็นได้ชัดไม่ว่าจะเป็นปัญหาพื้นที่ป่าไม้ ซึ่งเหลืออยู่เพียง 25% ของพื้นที่ประเทศ การลดลงอย่างรวดเร็วของพื้นที่ป่าไม้นั้น เกิดจากการลักลอบตัดไม้ทำลายป่า ปัญหาที่ดิน ซึ่งมีการใช้ที่ผิด ๆ อยู่เสมอ ๆ ปัจจุบันพื้นที่กว่าครึ่งหนึ่งของประเทศ ถูกใช้เพื่อการเกษตรโดยขาดการวางแผน ซึ่งทำให้ยากต่อการป้องกันและแก้ไขความเสื่อมของดิน หรือการนำพื้นที่ดินที่เหมาะสมต่อการเกษตรไปใช้ประโยชน์ในการตั้งถิ่นฐานที่อยู่อาศัยของชุมชน ตลอดจนความขัดแย้งในการใช้ประโยชน์จากทรัพยากรธรรมชาติ เช่น การทำเหมืองแร่ในป่าสงวนหรือการสร้างเขื่อนในเขตป่าไม้ ต้นน้ำลำธาร ปัญหาน้ำเสีย ซึ่งเกิดจากการปล่อยของเสียจากแหล่งชุมชน จากโรงงานอุตสาหกรรม จนทำให้แหล่งน้ำเสื่อมคุณภาพ ทำให้เกิดการขาดแคลนน้ำที่สะอาด ปัญหามลพิษของอากาศ ที่เกิดจากโรงงานอุตสาหกรรม ยานพาหนะ ที่ทวีความรุนแรงเพิ่มมากขึ้นจนทำให้ปริมาณของสารพิษ อาทิ คาร์บอนมานอกไซด์ ซัลเฟอร์ไดออกไซด์ ออกไซด์ของไนโตรเจน ตะกั่ว และฝุ่นละอองปะปนอยู่ในอากาศมาก จนเป็นอันตรายต่อสุขภาพและทรัพย์สิน ปัญหาเสียงอึกทึก ที่เกิดจากยานพาหนะโรงงานอุตสาหกรรม ซึ่งส่วนใหญ่จะเกิดอยู่ในชุมชนใหญ่ ๆ ที่มีประชากรอยู่หนาแน่น อาทิ กรุงเทพฯ เป็นต้น ปัญหาขยะมูลฝอยที่เกิดจากการทิ้งของเสียจากชุมชนที่มีอัตรามากเกินกว่าจะเก็บทำลายได้หมด นอกจากนี้การทิ้งขยะมูลฝอยแบบมักง่ายยังได้ก่อให้เกิดปัญหาขึ้นกับสิ่งแวดล้อมอื่น ๆ อาทิ น้ำเน่าเสีย อากาศเป็นพิษ ปัญหาสารเป็นพิษ ซึ่งเกิดจากสารเคมีที่ใช้ปราบศัตรูพืชและสารพิษที่เป็นโลหะหนักจากโรงงานอุตสาหกรรมและรถยนต์ สารเคมีที่ใช้ในอาหาร ซึ่งบางชนิดใช้เวลานานกว่าจะสลายตัวจากการสำรวจได้พบสารพิษตกค้างอยู่ในผักในดินที่เพาะปลูก ในแหล่งน้ำ สัตว์น้ำ ซึ่งได้มีการสะสมตัวเองเพิ่มมากขึ้นจนส่วนใหญ่อยู่ในระดับสูงเกินความปลอดภัยต่อชีวิต
ความเสื่อมโทรมของสิ่งแวดล้อมได้ปรากฎให้เห็นอย่างชัดเจนในวันนี้ ซึ่งเป็นความจำเป็นที่ทุกคนจะต้องช่วยกันรักษาคุณภาพสิ่งแวดล้อมให้อยู่ได้ต่อไป เพราะความเสื่อมโทรมของสิ่งแวดล้อมมีผลโดยตรงต่อชาติบ้านเมือง ประเทศจะไม่สามารถทำการพัฒนาสิ่งใดได้อีก หากว่าไม่มีทรัพยากรเหลืออยู่อีก ดังนั้นรัฐจึงจะต้องดำเนินการจัดใช้ทรัพยากรธรรมชาติให้ถูกต้องและรอบคอบไปพร้อม ๆ กับการพัฒนาประเทศ โดยจะต้องคำนึงว่าทรัพยากรของชาติที่มีอยู่จำกัดนั้นเปรียบเสมือนเป็นต้นทุนของชาติ เพราะฉะนั้นในการกำหนดแผนพัฒนาเศรษฐกิจ จึงควรคำนึงในแง่ที่ว่าเป็นการนำเอาทรัพยากรธรรมชาติมาใช้จ่าย ซึ่งจะต้องจัดให้เหมาะสมกับต้นทุนเพื่อความอยู่รอดของชาติ และเพื่อให้เกิดปัญหากับสภาพแวดล้อมให้น้อยที่สุด
ไม่มีความคิดเห็น:
แสดงความคิดเห็น