10 วิธีการในการทำ IT Security Audit ภายในองค์กร ดังนี้
1. ขั้นตอนแรกในการดำเนินการตรวจสอบ คือ การสร้างรายการหลักของสินทรัพย์ที่องค์กรของคุณมีเพื่อใช้ในการตัดสินใจในภายหลัง สิ่งที่ต้องการป้องกันตลอดไปในการตรวจสอบ การแสดงรายการของสินทรัพย์ที่สัมผัสได้ (คอมพิวเตอร์ , เซิฟเวอร์ , ไฟล์) จะง่ายกว่าสินทรัพย์ที่สัมผัสไม่ได้ เพื่อให้มั่นใจได้ว่า สินทรัพย์ที่สัมผัสไม่ได้ขององค์กร จะได้รับการพิจาณานั้น ควรต้องมี
- การสร้าง security perimeter ในการตรวจสอบ
security perimeter คือ ขอบเขตของความคิดและขอบเขตทางกายภาพภายในที่การตรวจสอบความปลอดภัยสามารถโฟกัสได้
2. สร้างรายชื่อภัยคุกคาม รวบรวมรายชื่อของภัยคุกคามทั้งหมดในปัจจุบันที่องค์กรเผชิญอยู่ เช่น
- รหัสผ่านของคอมพิวเตอร์และรหัสผ่านของเครือข่าย มีบันทึกของคนทั้งหมดที่มีรหัสผ่าน
- สินทรัพย์ทางกายภาพ เช่น คอมพิวเตอร์หรือแล็บท็อป สามารถเคลื่อนย้ายโดยพนักงานขององค์กรหรือแขกขององค์กร
- บันทึกเกี่ยวกับสินทรัพย์ทางกายภาพ เช่น สินทรัพย์นั้นมีอยู่หรือไม่ , มีการสำรองไว้หรือไม่
- การสำรองข้อมูล เช่น มีการสำรองข้อมูลหรือไม่ แบ็คอัพที่ไหน ใครแบ็คอัพข้อมูล
- มี logging การเข้าถึงข้อมูล เช่น สถานที่ เวลา ใคร และ ข้อมูลอะไร ที่มีการเข้าถึง
- การเข้าถึงข้อมูลของลูกค้า เช่น ข้อมูลบัตรเครดิต ใครได้เข้าใช้ วิธีที่เข้าถึงข้อมูลสามารถทำได้จากภายนอกองค์กรหรือไม่
- การเข้าถึงรายชื่อ client การเข้าใช้งานทางเว็บไซค์ไม่สามารถเข้าถึงฐานข้อมูลของ client และสามารถแฮ็กข้อมูลได้หรือไม่
- การโทรทางไกล มีการจำกัดการโทรหรือไม่จำกัดหรือไม่
- อีเมล์ มีตัวกรองอีเมล์ขยะหรือไม่ โดยพนักงานต้องศึกษาเกี่ยวกับ spam เมล์ และ phishing เมล์ องค์กรมีนโยบายในการส่งอีเมล์ภายในต้องไม่มีลิงค์ต่างๆอยู่ในนั้น
3. ตรวจสอบประวัติภัยคุกคามของคุณ
- โดยตรวจสอบบันทึกขององค์กร และ สอบถามพนักงาน ถึงภัยคุกคามที่ผ่านมา
- ตรวจสอบแนวโน้มของความปลอดภัย โดยดูจาก internet หรือวารสาร ต่างๆ ว่ามีภัยคุกคามไหนบ้างที่ส่งผลกระทบต่อองค์กรของคุณ
- แบ่งปันข้อมูลภัยคุกคามต่างๆกับบริษัทอื่น
4. การจัดลำดับความสำคัญของสินทรัพย์และจุดอ่อน ในขั้นตอนนี้คุณจะจัดลำดับความสำคัญสินทรัพย์และจุดอ่อนของคุณ เพื่อให้คุณสามารถจัดสรรทรัพยากรของบริษัทได้ตามลำดับ
- การคำนวณความน่าจะเป็น ค้นหาข้อมูลเว็บไซค์ที่จะแฮ็กข้อมูลของท่าน
- ทำการวิจัยภัยคุกคามที่ได้รวบรวมไว้และประมาณความน่าจะเป็นที่จะเกิดขึ้น
- การคำนวณความเสี่ยง คำนวณความเสี่ยงที่อาจเกิดขึ้นจากหลายๆทาง เช่น คำนวณความเสียหายที่เกิดขึ้นเป็นมูลค่า จาก สินทรัพย์ หรือ จำนวนเวลาการทำงานที่เสียไป หากเกิดภัยคุกคามขึ้น
5. การใช้ Network Access Controls (NAC)
- Network Access Controls สามารถตรวจสอบความปลอดภัยของผู้ใช้ที่เข้าสู่เครือข่าย เพื่อป้องกันการขโมยข้อมูล โดยมี ACL (Access Control List) ที่แสดงรายละเอียดของสิทธิของผู้ใช้ต่างๆในการเข้าถึงข้อมูล NAC อาจรวมขั้นตอนต่างๆ เช่น encryption, digital signatures, ACLs, verifying IP addresses, user names, checking cookies for web pages
6. การใช้การป้องกันการบุกรุก
- เมื่อ Network Access Control เจอภัยคุกคามจากผู้ใช้ที่ไม่ได้รับอนุญาติก็จะทำการติดตั้งรหัสผ่านในการเข้าถึงข้อมูล Intrustion Prevention System (IPS) จะป้องกันการโจมตีที่เป็นอันตรายเพิ่มเติมจากแฮกเกอร์
- IPS เป็น ไฟร์วอลล์ รุ่นที่สอง ไม่เหมือน รุ่นแรกที่มีแต่การกรอง content based ส่วนในรุ่นที่ 2 นี้จะเพิ่มการกรอง Rate-based เข้าไปด้วย
- Content-based ไฟร์วอลล์นี้จะทำการตรวจสอบแบบลึกในแพ็คเก็จต่างๆ เพื่อดูว่าแพ็คเก็จนั้นมีความเสี่ยงหรือไม่
- Rate-based ไฟร์วอลล์นี้มีการวิเคราะห์ขั้นสูงของ เว็บ หรือ รูปแบบการจราจรบนเครือข่าย หรือตรวจสอบ - application content ตรวจสอบเหตุการณ์ที่ผิดปรกติในแต่ละ case
7. การใช้ Identity & Access Management (IAM)
- เพื่อใช้ควบคุมการเข้าถึงสินทรัพย์ของแต่ละผู้ใช้ และกำหนดสิทธิ์ผู้ใช้แต่ละคนในการเข้าถึงข้อมูลต่างๆ
8. สร้างการสำรองข้อมูล
- การเก็บแบบ Onsite storage เช่น การถอดฮาร์ดดิสก์หรือเทปสำรองข้อมูลเก็บไว้ในวัสดุที่ทนไฟหรือ secured-access room
- การเก็บแบบ Offsite เป็นการเก็บไว้ในสื่อที่สามารถถอดได้หรือเก็บไว้บน VPN (Virtual Private Network) ผ่านทาง Internet
- การกำหนดคีย์ RFID-enabled โดยใช้ smart pass cards , VPN passwords, safe combinations เป็นต้น ในการเข้าถึงแหล่งข้อมูลที่ได้สำรองไว้
- การจัดตารางเวลาในการสำรองข้อมูลให้เหมาะสม
9. Email Protection & Filtering
- การเข้ารหัสอีเมลที่ทำการส่งออก
- Steganography เป็นเทคนิคในการซ่อนข้อมูลในการเปิด เช่น ใน digital image
- ไม่เปิดไฟล์แนบที่ติดมากับอีเมล์ หากไม่มั่นใจว่าไฟล์นั้นเป็นไฟล์ที่ต้องการ
- ไม่เปิด Spam email หรือ อีเมล์ ที่ไม่มั่นใจว่าจะเป็นอีเมล์ที่ต้องการ
10. ป้องกัน Intrusions Physical
เช่น การโมยทรัพย์สินขององค์กร อาจเป็น โน๊ตบุ๊ค หรือ อื่นๆ เป็นต้น ที่มีข้อมูลที่สำคัญๆอยู่
- ติดตั้งระบบตรวจสอบและป้องกันผู้บุกรุก
- เข้ารหัสระบบไฟล์ในฮาร์ดดิสก์
- ใช้บริการป้องกันการขโมย smartphones และ PDAs หากโทรศัพท์ถูกขโมยจะไม่สามารถใช้ได้หากไม่มี authorization code ข้อมูลในโทรศัพท์สามารถกู้คืนได้จาก server
นี่คือ 10 ขั้นตอนในการสร้าง IT Security Audit ด้วยตัวคุณเอง จะช่วยให้คุณตระหนักถึงภัยคุกคามที่อาจเกิดขึ้นในบริษัทของคุณ และ เป็นการเริ่มต้นที่จะวางแผนการรองรับภัยคุกคามนั้น ภัยคุกคามมีการเปลี่ยนแปลงอยู่เสมอ ให้คุณทำการประเมินภัยคุกคามที่เกิดขึ้นใหม่ๆนั้น เพื่อจะได้วางแผนการรองรับได้
